[F1컬럼] 운영리스크관리를 위한 제언

F1컨설팅 이승국 박사

첫째, 영업규모가 평균보다 2~3배이상 높게 시현한 부서 집중관리

둘째, IFRS와 같은 새로운 룰 도입 시 운영리스크 관점의 사전검토

셋째, 유사한 IT보안관련사고 발생 가능성과 보험 등 경감대책 마련

이제 국내에 ‘운영리스크’(operational risk)란 생소한 용어가 소개된 지도 7~8년이 되어 가고 있다.

국내 은행들의 경우, 운영리스크관리체계 및 시스템을 구축하여 3~4년 정도 운영해 오고 있으며, 보험 및 증권회사들도 운영리스크관리체계를 도입하였거나 도입 중에 있다.

처음 Basel II와 함께 국내에 소개된 운영리스크는 기존 내부통제 활동에 익숙해져 있던 은행권에 ‘사전적 리스크관리’와 ‘내부통제 업무’의 결합이라는 관점에서 신선한 자극이 되었다. 물론 운영리스크관리체계를 본격적으로 도입하면서 기존 내부통제 조직(준법감시 및 검사)과의 불명확한 역할 구분으로 혼동이 있었던 건 사실이지만 이제는 나름대로의 조직문화에 적합한 틀을 구성하여 운영하고 있다.

초기 운영리스크관리체계의 구축이 감독당국의 Basel II의 고급측정법(Advanced Measurement Approach) 승인 요건을 충족하기 위한 목적으로 이루어져 다소 불필요하거나 형식적인 부분이 많이 존재하였으나, 이제는 성과평가나 프로세스 개선 등 경영에의 활용 측면을 강조하여 실질적인 운영리스크관리의 모습을 갖추어 가고 있다고 할 수 있다. 다만, 아직도 기존에 구축한 형식적인 틀에 지나치게 얽매어 실질적인 경영의사결정에 활용되지 못하거나 관리의 비효율성을 야기하는 경우가 일부 존재하여 이에 대한 개선노력이 요구되는 실정이다.

국내 은행권에서 운영리스크관리 컨설팅 및 검증 업무를 수행한 필자의 경험에 비추어 한 단계 질적 성장을 위해 향후 보다 집중해야 할 운영리스크관리 활동을 정리하면 다음과 같다.

첫째, 신규 상품이나 업무의 급격한 팽창이 이루어지는 시기에 내재된 운영리스크를 충분히 검토해야 한다. 특히, 금융권의 자산확대 경쟁 등이 심해지는 시기에 지나친 목표 부여 등이 이루어지는지 여부를 주의 깊게 모니터링하여야 한다. 과거 경험으로 볼 때, 은행권의 자산증대 및 수익성 제고 전략 추진 시 펀드, 퇴직연금, 보험 등에 대한 불완전 판매의 발생 가능성이 높아지므로 이를 모니터링하고 점검해야 한다.

특히 연초 전략 수립 시 KPI 배점이 높은 상품에 대한 판매 적합성을 점검하는 체계가 필요하다. 이러한 관점에서 볼 때, 최근 은행 및 카드업계의 높은 수익 시현 및 마케팅 강화 등은 운영리스크 관점에서 주의 깊게 모니터링할 필요가 있을 것이다.

이러한 위험을 충분히 리뷰하지 못할 경우 고객과의 분쟁 등 발생 가능성이 매우 높으며, 동 사건 발생시 회사에 미치는 손실영향은 수백억원에 이를 수 있다. 특히, 매출액 등 영업규모 증가가 평균보다 2~3배 이상 높게 시현하는 업무그룹(부서)에 자원을 집중하는 관리가 필요하다.

둘째, 국제회계기준(IFRS)와 같은 새로운 룰 도입 시 운영리스크 관점의 사전검토가 이루어져야 한다.

특히 IFRS의 도입은 회계규정에 대한 이해 부족 또는 업무 적용 미숙으로 공시나 감독당국 보고 오류, 신용평가 오류로 부적절한 대출 실행 등의 가능성 존재하므로 이러한 손실사건의 발생 가능성을 검토해야 한다.

셋째, 차세대시스템 도입이나 모바일 뱅킹 등 IT 시스템의 변경에 따른 보안 문제에 주의를 기울어야 한다. 잊을 만 하면 뉴스에 나오는 고객 정보 유출이나 해킹 등은 더 이상 새로운 사건도 아닐 것이다. 따라서 유사한 사건의 발생 가능성 평가 및 보험 등의 리스크 경감대책을 검토해야 할 것이다.

이상에서 2010년에 운영리스크 관점에서 관심을 기울여야 할 사건 유형을 살펴보았다. 물론 이외에도 내부직원의 횡령 문제나 자연재해 등의 사건들도 이미 수립되어 있는 내부통제방안이나 비상계획의 적정성 등을 살펴보아야 할 것이다.

그러나, 제한된 소수의 인원으로 전사적 차원의 ‘모든’ 운영리스크 손실사건을 예방하려는 것은 다소 무리한 요구이다. 내외부 손실사건 분석 등에 기반하여 회사에 미치는 영향도를 예상하고, 중요하다고 판단되는 부분에 관리역량을 집중할 필요가 있다.

이를 위하여 전사적으로 전 직원이 정기적으로 수행하는 리스크통제자가진단(Risk & Control Self-Assessment)와 같은 관리방법도 보다 중요한 부분을 선택하여 집중적으로 수행하는 비정기 수행방식으로 전환할 필요성도 검토해볼 만하다.

소방서가 불 난 다음 불을 잘 끄는 것도 중요하지만 불이 날 것 같은 곳을 잘 찾아 사전에 예방하는 것이 보다 우선책일 것이다.

이제 국내 운영리스크관리도 5년도 되지 못하는 일천한 운영이력과 5명 내외의 제한된 자원을 가지고 보다 효과적으로 관리역량을 집중해야 할 전략을 수립할 때가 되었다.

관리자 기자