건전한 운영 위험 관리 원칙(PSMOR) - 요약
FSI 요약 |
2023년 4월 27일
PDF 전문
(154kb)
| 3페이지
2021년 3월, BCBS(Basel Committee on Banking Supervision)는 건전한 운영 위험 관리 원칙 (PSMOR) 개정안을 발표했습니다. 이 원칙은 2003년에 도입된 후 2011년에 금융 위기의 교훈을 반영하기 위해 개정되었습니다. 2021년 개정은 몇 가지 원칙이 적절하게 구현되지 않았으며 운영 위험의 중요한 특정 원인을 충분히 포착하지 못했다는 2014년 검토 결과입니다.
운영 위험은 모든 은행 상품, 활동, 프로세스 및 시스템에 내재되어 있습니다. 건전한 운영 위험 관리는 제품, 활동, 프로세스 및 시스템 포트폴리오를 관리하는 이사회 및 고위 경영진의 효율성을 반영합니다.
PSMOR 및 정기 업데이트는 은행 시스템 전반에 걸쳐 운영 위험 관리의 효율성을 촉진하는 것을 목표로 합니다. 모든 은행과 관련된 건전한 관행을 반영합니다. 그러나 BCBS는 은행이 원칙을 이행할 때 활동의 성격, 규모, 복잡성 및 위험 프로필을 고려해야 한다고 권고합니다.
12가지 원칙
2021 PSMOR의 12가지 원칙은 거버넌스, 위험 관리 환경, 정보 통신 기술(ICT), 비즈니스 연속성 계획 및 공개의 역할을 다룹니다. 이러한 요소를 단독으로 보아서는 안 됩니다. 오히려 그들은 은행의 운영 위험 관리 프레임워크(ORMF)와 전체 위험 관리 프레임워크(운영 탄력성 포함)의 통합 구성 요소입니다.
원칙 1은 은행의 강력한 리스크 관리 문화를 촉진하는 이사회의 역할을 강조합니다.
이사회는 고위 경영진이 구현하는 강력한 위험 관리 문화를 구축하는 데 주도적인 역할을 해야 합니다. 이사회는 핵심 정책(위험 관리, 보상, 행동 강령 또는 윤리 정책 포함)을 수립하고 정기적으로 검토하고 승인해야 합니다. 이러한 정책을 통해 이사회와 고위 경영진은 강력한 위험 관리에 따른 기업 문화를 확립하고, 전문적이고 책임 있는 행동에 대한 기준과 인센티브를 설정하고, 직원이 적절한 위험 관리 및 윤리 교육을 받도록 해야 합니다.
원칙 2는 ORMF에 대한 일반적인 요구 사항을 제공합니다.
은행은 1차 방어선에서 은행의 전반적인 위험 관리 프로세스에 완전히 통합되고, 2차 방어선에서 적절하게 검토 및 도전하고, 3차 방어선에서 독립적으로 검토되는 ORMF를 개발, 구현 및 유지해야 합니다. 개별 은행이 채택한 ORMF는 은행의 특성, 규모, 복잡성 및 위험 프로필을 포함한 다양한 요인에 따라 달라집니다.
원칙 3은 ORMF에 관한 이사회의 주요 의무를 설명합니다.
이사회는 ORMF를 승인하고 주기적으로 검토해야 합니다. 또한 이사회는 고위 경영진이 모든 결정 수준에서 ORMF의 정책, 프로세스 및 시스템을 효과적으로 구현하도록 해야 합니다.
원칙 4는 은행의 위험 성향 및 허용 한도에 관한 지침을 설정합니다.
이사회는 은행이 감수하고자 하는 운영 위험의 성격, 유형 및 수준을 명시한 운영 위험에 대한 위험 성향 및 허용 범위를 승인하고 정기적으로 검토해야 합니다. 운영 위험에 대한 위험 선호도 및 허용 범위는 전달하고 이해하기 쉬워야 합니다. 또한 주요 배경 정보 및 가정을 포함하고 미래 지향적이어야 하며 특정 위험을 감수하거나 피하려는 동기를 명확하게 설명해야 합니다. 또한 이러한 위험을 모니터링할 수 있는 경계 또는 지표를 설정해야 합니다.
원칙 5는 ORMF의 효과적인 구현과 관련된 고위 경영진의 의무를 설명합니다.
고위 경영진은 이사회의 승인을 받을 수 있도록 은행 활동의 성격, 규모, 복잡성 및 위험 프로필에 상응하는 명확하고 효과적이며 강력한 지배 구조를 개발해야 합니다. 그 역할은 또한 ORMF(이사회 승인)를 특정 정책, 절차 및 프로세스로 변환하고 필요한 경험, 기술 능력 및 자원을 갖춘 직원이 은행 활동을 수행하도록 하는 것입니다.
원칙 6은 운영 위험의 식별 및 평가를 위한 지침을 설정합니다.
고위 경영진은 모든 물질적 제품, 활동, 프로세스 및 시스템에 내재된 운영 위험을 포괄적으로 식별하고 평가하여 내재된 위험과 인센티브를 잘 이해하도록 해야 합니다. 운영 위험을 식별하고 평가하는 데 사용되는 도구의 예로는 이벤트 관리, 운영 위험 이벤트 데이터, 운영 위험 및 제어에 대한 자체 평가, 제어 모니터링 및 보증 프레임워크, 운영 위험 지표, 시나리오 분석, 벤치마킹 및 비교 분석이 있습니다.
원칙 7은 변경 관리를 다룹니다.
고위 경영진은 은행이 합의된 객관적 기준에 따라 변경 사항을 식별, 관리, 도전, 승인 및 모니터링하는 프로세스를 정의하는 정책 및 절차를 갖추도록 해야 합니다. 변경 구현은 특정 감독 제어로 모니터링해야 합니다. 변경 관리 정책 및 절차는 독립적이고 정기적인 검토 및 업데이트를 받아야 하며 3선 방어 모델에 따라 역할과 책임을 명확하게 할당해야 합니다.
원칙 8은 운영 위험 모니터링 및 보고에 대한 지침을 설정합니다.
고위 경영진은 운영 위험 프로필과 중요한 운영 노출을 정기적으로 모니터링하는 프로세스를 구현해야 합니다. 운영 위험의 사전 예방적 관리를 지원하기 위해 이사회, 고위 경영진 및 사업 단위 수준에서 적절한 보고 메커니즘이 마련되어야 합니다. 운영 위험 보고서에는 다음이 포함되어야 합니다.
원칙 9는 제어 환경 및 위험 완화를 설명합니다.
은행은 정책, 프로세스 및 시스템을 활용하는 강력한 통제 환경을 갖추어야 합니다. 적절한 내부 통제; 적절한 위험 완화 및/또는 이전 전략. 건전한 내부 통제 프로그램은 직무를 적절하게 분리해야 하며 위험 관리 프로세스에 필수적인 네 가지 구성 요소인 위험 평가, 통제 활동, 정보 및 커뮤니케이션, 모니터링 활동으로 구성됩니다. 내부 통제가 위험을 적절하게 처리하지 못하고 위험을 제거하는 것이 합리적인 선택이 아닌 경우 경영진은 보험 등을 통해 위험을 다른 당사자에게 전가함으로써 통제를 보완할 수 있습니다.
원칙 10은 은행의 운영 위험 프로필에 대한 ICT 위험 관리의 중요성을 강조합니다.
효과적인 ICT 성능과 보안은 은행이 업무를 제대로 수행하는 데 가장 중요합니다. 따라서 은행은 운영 위험 관리 프레임워크에 맞춰 강력한 ICT 위험 관리 프로그램을 구현해야 합니다. 이사회는 정기적으로 은행의 ICT 위험 관리 효과를 감독해야 합니다. 고위 경영진은 데이터 및 시스템의 기밀성, 무결성 및 가용성을 보장하기 위해 은행의 ICT 위험 관리의 설계, 구현 및 효율성을 정기적으로 평가해야 합니다.
원칙 11은 ORMF와 비즈니스 연속성 계획 간의 관계를 설정합니다.
은행은 관련 영향 평가 및 복구 절차와 관련된 시나리오 분석과 함께 미래 지향적인 비즈니스 연속성 계획(BCP)을 준비해야 합니다. 은행은 비상 전략이 현재 운영, 위험 및 위협과 일관성을 유지하도록 BCP 및 정책을 주기적으로 검토해야 합니다. BCP는 은행 ORMF에 연결되어야 합니다.
원칙 12는 공개의 역할을 설명합니다.
은행은 이해관계자가 은행이 운영 위험을 효과적으로 식별, 평가, 모니터링 및 통제/완화하는지 여부를 결정할 수 있는 방식으로 ORMF를 공개해야 합니다. 은행은 관련 운영 위험 노출 정보를 이해관계자에게 공개해야 하며(중요한 운영 손실 이벤트 포함) 이 공개를 통해 운영 위험을 생성하지 않아야 합니다(예: 해결되지 않은 제어 취약성에 대한 설명). 은행은 고위 경영진과 이사회의 정기적이고 독립적인 검토 및 승인을 받는 공식적인 공시 정책을 가지고 있어야 합니다.
PSMOR은 감독자가 운영 위험과 관련된 정책, 프로세스 및 시스템을 평가하여 은행의 ORMF를 정기적으로 평가하도록 요구합니다. 운영 위험에 대한 감독 평가에는 PSMOR에 설명된 모든 영역이 포함되어야 합니다. 특정 상황에서 감독자는 이러한 평가 프로세스에서 외부 감사자를 사용하도록 선택할 수 있습니다. 감독당국은 은행이 은행의 ORMF에 대한 감독적 검토를 통해 확인된 결함을 해결할 수 있도록 조치를 취해야 합니다.