Ⅰ. 서 문
Ⅱ. 전자금융 리스크관리 준칙
A. 이사회 및 경영진에 의한 감시
B. 보안통제
C. 법률리스크 및 평판리스크 관리
〈부록1〉 전자금융에 있어서의 보안통제에 관한 건전관행
〈부록2〉 아웃소싱된 전자금융시스템 및 서비스의 관리에 관한 건전관행
〈부록3〉 전자금융시스템의 사용권한에 관한 건전관행
〈부록4〉 전자금융의 감사기록에 관한 건전관행
〈부록5〉 고객정보의 프라이버시보호에 관한 건전관행
〈부록6〉 처리용량, 업무연속성 확보 및 비상대응계획에 관한 건전관행
〈요 약〉
― 기술혁신의 지속, 기존 은행과 신규진입자간의 경쟁에 의해 소위 전자금융으로
통칭되는 전자적 채널(distribution channel)을 통해 개인(retail)과 기업
(wholesale) 고객에게 전달되는 금융상품과 서비스의 범위가 확대되어 옴.
o 전자금융의 급속한 발전은 이점과 함께 리스크도 수반함.
― 바젤은행감독위원회는 은행이 전자금융서비스의 기본적 특성과 대응과제에 비추
어 이와 관련된 리스크를 제대로 인식·대처·관리할 것을 기대함.
o 전자금융의 기본적 특성에는
·기술 및 고객서비스의 혁신과 관련하여 일찍이 경험해 보지 못한 변화의 속도,
·개방형 네트워크의 편재성과 글로벌화,
·전자금융시스템과 기존 컴퓨터시스템의 통합, 그리고 필요한 정보기술을 제공
하는 제3자에 대한 은행의 의존성 증가 등이 포함됨.
o 바젤위원회는 이러한 특성에 의해 본질적으로 새로운 리스크가 발생하지는 않
으나 은행업무에 수반되는 전통적 리스크의 일부가 확대·변화되고, 은행업무
의 종합적인 리스크 프로파일에 영향을 미칠 것으로 생각함.
·특히 문제가 되는 리스크는 전략리스크(strategic risk), 운영리스크
(operational risk), 법률 및 평판리스크(legal and reputational risk)임.
― 바젤위원회는 이러한 결론을 근거로 기존의 리스크관리 준칙을 전자금융업무에도
적용할 수 있으나, 그 준칙이 전자금융업무의 특성에 맞게 재조정되고 경우에 따
라서는 확대되어야 한다고 생각함.
o 은행의 이사회 및 고위경영진은 현행 또는 도입추진중인 전자금융업무를 대상
으로 기존의 리스크관리 정책과 절차를 재검토하고 필요한 경우에는 이를 수
정해야 함.
o 또한 새로운 전자금융시스템과 기존의 컴퓨터시스템을 통합하는 경우에는 전
체 은행업무를 대상으로 하는 종합적인 리스크관리 차원에서 접근해야 함.
― 바젤위원회는 전자금융업무에 수반되는 리스크에의 대응을 촉진하기 위해 은행이
리스크 감시에 관한 기존의 정책과 절차를 확대하는데 도움이 되도록「전자금융
리스크관리 준칙(Risk Management Principles for Electronic Banking)」을 정하
였음.
o 동 리스크관리 준칙은 절대적인 요건도 아니고 모범관행(best practice)을 제
시하는 것도 아님.
·기술 및 고객서비스 혁신과 관련된 변화속도가 빨라 이에 관한 규제내용도 급
속하게 진부화될 가능성이 있기 때문에 전자금융분야의 리스크관리 요건을 자
세하게 규정하는 것은 오히려 역효과가 날 수 있음.
·이에 따라 전자금융업무의 안전성과 건전성을 촉진하기 위해 금융감독상의 기
대와 지침을 「리스크관리 준칙」으로 제시하는 한편, 이 분야의 변화속도 등
을 고려하여 실제로 적용함에 있어서는 유연성을 가지도록 함
o 은행별로 리스크 프로파일이 다르기 때문에 전자금융업무의 규모, 리스크의
중대성, 그리고 리스크관리 의지와 능력에 맞는 리스크 감축기법이 필요함.
·즉, 전자금융 리스크관리에 있어서는 “획일적(one size fits all)” 방법론
은 필요하지도 않고 적절하지도 않음.
― 또한 동 리스크관리 준칙은 전자금융과 관련하여 특정한 기술적 해결방안이나 표
준을 상정하고 있지 있음.
o 기술진보에 따른 기술적 해결방안은 은행이나 표준화기구 등이 검토해야 할
사안임.
o 다만, 보고서 부록에 리스크관리 준칙에 대한 보충자료로서 전자금융 분야에
서 현재 널리 사용되고 있는 리스크감축 기법 몇 가지를 포함하고 있음.
― 따라서 이 보고서에 서술된 리스크관리 준칙과 건전관행(sound practice)을 활용
함에 있어 각국 금융감독당국은 필요한 경우 고유의 규제와 개별은행의 리스크
프로파일에 맞추어 수정·적용할 것을 전제로 함.
o 동 준칙중 일부는 이미 바젤위원회나 각국 감독당국의 지침으로 제시된 것도
있음.
o 그러나 아웃소싱 관계의 관리, 보안통제, 법률리스크 및 평판리스크 관리 등
의 문제에 관해서는 인터넷을 통한 전달채널의 특성과 영향을 감안하여 지금
보다 더 상세한 준칙을 정할 필요가 있음.
― 「리스크관리 준칙」은 크게 3개의 범주(‘이사회와 경영진에 의한 감시’,
‘보안통제’, ‘법률리스크 및 평판리스크 관리’)로 나누어져 있으며, 각각의
범주에 포함된 사항이 중복되는 경우도 있음
【이사회와 경영진에 의한 감시】
― 이사회와 고위경영진은 은행의 경영전략을 수립하고 효율적인 리스크 관리 및
감시체제를 구축할 책임이 있기 때문에 전자금융서비스의 제공여부 및 제공방
법에 관해서도 명시적이고 충실한 내용을 담은 문서로서 전략적인 결정을 내려
야 함
o 이에는 리스크 관리상의 책임, 정책, 그리고 관리절차가 포함되어야 하며,
대상이 되는 리스크에는 국제간(cross-border) 거래에서 발생하는 리스크도
포함되어야 함.
o 경영진에 의한 효과적인 감시에는 내외의 위협으로부터 전자금융시스템과
데이터를 보호하기 위한 적절한 보안대책의 구축·유지 등 보안통제절차의
주요 사안에 대한 검토 및 승인도 포함할 필요가 있음.
o 또한 중요한 전자금융업무가 제대로 수행되기 위해서는 경영진이 아웃소싱
및 제3자 위탁의 증가에 따라 복잡해지고 확대되는 리스크를 포괄적으로
관리할 수 있는 절차를 마련하는 데에도 주의를 기울여야 함.
【보안통제】
― 전자금융에 관해 적절한 보안통제절차를 확립할 책임은 이사회에 있으나, 전자
금융에 따른 보안위협이 과거보다 더욱 크기 때문에 경영진도 이러한 보안통제
절차의 내용에 대해서 특별한 주의를 기울일 필요가 있음.
o 경영진은 보안통제의 구체적 내용 즉, 적절한 권한 부여(authorization),
정당성 확인(authentication)을 위한 조치, 시스템상 및 물리적 접근관리,
내외의 사용자 활동에 대해 적절한 범위와 제한을 유지할 수 있는 충분한
시스템 보안대책, 그리고 거래·기록·정보관련 데이터의 무결성(integrity)
에 관해서도 주의를 기울여야 함.
o 또한 모든 전자금융거래에 관해 명확한 감사기록(audit trails)을 갖추어야
하며, 주요 전자금융정보에 대해서는 비밀정도에 따라 기밀성을 유지해야 함.
― 고객보호와 프라이버시에 관한 법규가 나라마다 다르나, 모든 은행은 고객이
전통적인 전달채널을 이용하는 경우에 기대하는 것과 동일한 수준의 정보공시,
고객데이터보호, 서비스의 가용성(availability)을 제공할 책임이 있음.
o 자국내 및 해외에서 이루어지는 전자금융업무에 따른 법률리스크와 평판리
스크를 최소화하기 위해 은행은 웹사이트를 통해 충분한 정보를 공개하고,
자신의 전자금융서비스를 제공하는 나라에서 적용되는 고객 프라이버시에
관한 요건들도 확실히 준수해야 함.
【법률리스크 및 평판리스크의 관리】
― 은행은 업무리스크, 법률리스크 및 평판리스크로부터의 보호를 위해, 상시적이
고 신속한 서비스 제공에 관한 고객의 높은 기대에 부응하여 거래수요의 확대
가능성에 대처하는 한편 전자금융서비스를 안정적으로 적시에 제공해야 함.
o 은행은 모든 최종사용자에게 전자금융서비스를 제공할 수 있는 능력을 보유
해야 하며, 이러한 능력은 어떠한 환경 하에서도 유지될 수 있여야 함.
― 내·외부로부터의 보안침해 등 전자금융시스템과 서비스를 저해할 수 있는 예
기치 않은 사건에서 생기는 운영리스크, 법률리스크 및 평판리스크를 최소화하
기 위해서는 장애발생에 대비한 효과적인 비상대책도 매우 중요함.
o 따라서 은행은 고객의 기대에 부응할 수 있도록 거래처리용량, 업무의 연속
성 확보 및 비상상황에 관한 효과적인 계획을 수립해야 함.
o 또한 업무의 연속성 확보, 평판리스크의 관리, 그리고 전자금융서비스 중단
에 따른 책임 축소를 위해 홍보전략을 포함한 적절한 비상대응계획을 수립
해야 함.
|