운영표준방법 세부지침/ 영업연속성계획(BCP) 세부지침

Presentation on theme: "운영표준방법 세부지침/ 영업연속성계획(BCP) 세부지침"— Presentation transcript:

1 운영표준방법 세부지침/ 영업연속성계획(BCP) 세부지침
금융감독원 신BIS실 팀장 고일용

2 목 차 1 운영리스크 추진 경과 2 운영표준방법 세부지침(안) 3 영업연속성계획(BCP) 세부지침(안)

3 1. 운영리스크 추진경과 금감원ᆞ은행 합동 T/F 운영(’04.1월∼)
2002년 「New Basel Accord 도입 준비 계획」수립 (’02.3월)` 2003년 「신BIS협약 국내 도입 기준 초안」발표 (’03.10월) 금감원ᆞ은행 합동 T/F 운영(’04.1월∼) • 신BIS협약 국내도입 세부기준 마련 등 (7개 은행 참여) 2004년 신BIS실 신설 (’04.4월) 「신BIS자기자본비율산출(안)」마련 (’04.10월) 2005년 「고급측정법 세부지침(1차안)」마련(’05.5월) 「고급측정법 세부지침(2차안)」마련(’05.10월) 2006년 한국 운영리스크 손실자료 공유위원회(KOREC) 출범 (’06.1월) 「운영표준방법 세부지침(안)」마련(’06.10월)

4 목 차 1 운영리스크 추진 경과 2 운영표준방법 세부지침(안) 3 영업연속성계획(BCP) 세부지침(안)

5 1. 운영표준방법 세부지침(안) ◈ 운영표준방법을 적용하고자 하는 은행은 고급측정법과 동일한 수준의 질적 최소요건 충족 필요
▷ 외국(일본, 홍콩)의 경우 운영표준방법을 사전승인대상에 포함 ◈「운영표준방법 세부지침(안)」마련방안 ▷ 현행 「고급측정법 세부지침(안)」의 고급측정법 질적 기준을 바탕으로 , 추가 검토결과 반영 ▷ 추가 검토사항 ① 총이익 산출주기 ② 총이익 세부산출기준 ③ 대체표준방법 도입여부 ④ 산출방법 혼용요건

6 2. 운영표준방법 세부지침(안) 총이익 산출주기 ◈ BaselⅡ는 총이익 산출주기를 구체적으로 제시하지 않음
▷ 국내기준안은 결산손익계산서를 기준으로 ‘연단위’로 산출토록 규정 ▷ 외국의 경우 분기, 반기, 연간으로 다양 ☞ 우리나라의 총이익 산출주기를 분기단위로 결정 ① BIS비율 산출주기(분기)와 일관성 유지 ② 은행 영업규모 변동의 적시 반영 ③ 국내은행의 총이익 산출체계 기구축

7 3. 운영표준방법 세부지침(안) 총이익 세부산출기준 ◈ 은행의 사업부문 신설·폐지에 의해 영업규모 변동시 총이익을
산출하는 방법이 제시되어 있지 않음 ☞ 사업부문 신설 ·폐지시 과거 총이익자료를 조정하되, 명확하게 산출하기 힘든 경우에는 합리적이고 보수적으로 적용하고 감독 당국에 그 적정성을 입증함 ◈ 현행 자회사 총이익 산출방법이 자회사 규모 등을 감안할 때 복잡 ☞ 기제시된 ‘은행 총이익산출기준’을 참고하여 은행이 합리적이고 보수적으로 적용하고 감독당국에 그 적정성을 입증함

8 4. 운영표준방법 세부지침(안) 대체표준방법 도입여부 ◈ 총이익 대신 자산규모를 기준으로 운영리스크 규제자본을 산출
하는 대체표준방법 도입여부 결정 필요(국가재량권) ☞ 국내에는 대체표준방법을 도입하지 않기로 결정 (국가재량권 미행사) ① 적용대상은행 여부(특정영업 편중, 총이익 과소산출) 검토시 국내 은행은 해당되지 않음 ② 국내은행의 경우 영업영역별 총이익 산출능력을 확보하고 있으므로 대체표준방법을 도입할 필요가 없음

9 5. 운영표준방법 세부지침(안) 산출방법 혼용요건 ◈ 국내은행의 운영표준방법 준비를 지원하기 위하여 산출방법간 혼용요건을 보완
☞ 은행의 업무활동의 영업비중이 미미한 자회사, 해외지점에 대해 기초지표법 사용을 허용하되, 허용대상은 영업비중 5% 미만이고, 전체한도는 영업비중 15% 미만으로 함 또한, 영업비중을 판단하는 지표는 총이익뿐만 아니라, 여타 지표 (예; 자산규모 등) 사용도 허용

10 6. 운영표준방법 세부지침(안) 세부지침(안) 주요 내용(1) ◈ 운영리스크 통제구조
▶ 운영리스크 주요기능이 상호 견제와 균형의 원칙(checks & balances)에 입각한 통제구조를 구축 이사회와 경영진의 감독 이사회 : 운영리스크관리의 최종책임 경영진 : 이사회가 승인한 운영리스크관리시스템을 실행 단위사업부문의 자체 운영리스크 관리 운영리스크관리 기능(function)을 두고 부문내 일상적인 운영리스크관리를 담당 독립적인 운영리스크 관리부문의 전행적인 전행적인 운영리스크관리시스템을 구축하고 이를 관리/감독 독립적인 제3자에 의한 점검 운영리스크관리시스템의 전반적인 운영에 대한 내부정책과 절차가 효과적으로 실행되는 지 여부를 점검

11 7. 운영표준방법 세부지침(안) 세부지침(안) 주요 내용(2) ◈ 리스크관리 : 인식, 평가, 모니터링/보고, 통제/경감 등
인식 및 평가 모든 주요한 영업활동에 내재된 운영리스크를 인식·평가하고, 가장 위협적인 잠재 운영리스크를 파악 모니터링/보고 운영리스크와 관련한 주요한 사항을 정기적으로 모니터링하고, 이를 이사회와 경영진에게 정기적으로 보고 통제/경감 주요한 운영리스크를 통제하거나 경감시키기 위한 정책 및 절차를 구축 내부손실자료 수집 내부손실자료를 최소 2년 이상 수집·관리 (단, 2008년말까지 최소 1년 이상 수집 가능) 영업연속성계획(BCP) 지속적으로 영업할 능력이 있음을 확인하는 영업연속성계획 (BCP: Business Continuity Planning)과 비상계획(Contingency Plan) 마련

12 8. 운영표준방법 세부지침(안) 세부지침(안) 주요 내용(3) ◈ 문서화 ◈ 경영에의 활용
▶ 운영리스크 관리시스템의 전반적인 운영에 대한 내부정책, 통제 및 절차 등을 문서화하여야 함 ◈ 경영에의 활용 ▶ 운영리스크 관리시스템을 운영리스크 모니터링, 운영리스크 허용한도 설정 및 관리, 운영리스크 익스포져 등 운영리스크 관련 보고, 운영리스크 관리전략 수립, 주요 영업단위별 자본배분, 성과평가 등에 활용하여야 함

13 9. 운영표준방법 세부지침(안) 세부지침(안) 주요 내용(4) ◈ 소요자기자본 산출
▶ 직전 3년간의 영업영역별 총이익의 일정비율을 운영리스크에 대한 소요자기자본으로 산출 A. 총이익(Gross Income) 산출 (직전 3년간, 8개 영업영역별) B. 각 연도 소요자기자본 산출 (Σ(영업영역별 총이익×영업영역별 상수)) C. 운영리스크 소요자기자본 산출 (Average(Σ(각 연도 소요자기자본)) KTSA = {Σyear1-3 max[Σ(GI1-8×β1-8),0]}/3

14 목 차 1 운영리스크 추진 경과 2 운영표준방법 세부지침(안) 3 영업연속성계획(BCP) 세부지침(안)

15 1. BCP(Business Continuity Planning)의 개념
으로 영위할 수 있도록 전사적인 정책 및 절차를 수립/이행하는 것을 말함 ▷ IT시스템과 데이터 복구에 중점을 두었던 과거와는 달리 BCP는 전행 적인 차원의 인력, 자원, 업무프로세스를 대상으로 하므로 IT 영역 이외의 비즈니스 영역까지 포함 BCP 영역 IT 영역 비즈니스 영역 ◦ 대체영업장 확보 ◦ 업무복구계획서 작성 - 주요문서(Vital Records) 복원  - 서비스 수준 합의서  - 인력대체 계획 재해복구 영역 ◦ 재해복구센터 설립 - 계정계 시스템 - 대고객서비스 지원시스템  - 대외계, 영업점 통신망 ◦ 전산복구계획서 작성 기타 IT영역 업무지원 관련 모든 어플리케이션 - 하드웨어&소프트웨어 - 네트워크 - 정보계 어플리케이션 - 대외계 - 계약업체 서비스

16 2. 운영리스크관리와 BCP 비교 ◈ BCP는 운영리스크 4대 발생원인(인력/절차/시스템/외부)중 시스템과 외부
<운영리스크 프로세스> <BCP 프로세스> 리스크의 식별 모니터링/ 보고 측정 평가 Control

17 2. 운영리스크관리와 BCP 비교(계속) 운영리스크 관리 BCP 수행범위 목 적 관리 프로세스 핵심영업/핵심업무기능의 중단
피해규모가 큰 본점/전산센터 주요 인프라 등 전행 업무 프로세스 목 적 운영리스크 사건발생 최소화 재해발생으로 인한 영업영향 최소화 관리 프로세스 리스크 인식, 평가/측정, 보고 및 모니터링, 통제 재해예방, 대비, 대응, 복구, 모의훈련, 유지/관리

18 3. BCP 도입효과 ◈ 은행의 재난/재해에 대한 대응력 향상을 통해 고객, 주주, 시장의
신뢰를 얻어 금융서비스의 경쟁력 제고 가능 ① 통합적인 위기대응체제 확보: 단편적이던 위기관리, 비상계획, 데이터센터 복구계획 등을 전략적/통합적으로 관리 ② 대내외적 기업 신뢰도 향상: 서비스중단 최소화로 대내외 이해 관계자의 신뢰 유지 ③ 치명적 업무손실로부터 신속한 회복: 은행의 핵심자산을 보호하고 은행안정성 보호 ④ 국내외적 규제에 대한 적절한 대응: 국가적 재해대응체계 구축과 BaselⅡ 도입에 적극적 대응

19 4. 주요국 동향 ◈ 바젤위원회 ◈ 주요국 감독당국 ▷ 주요국 감독당국은 자연재해, 테러 등 중대한 영업중단사태로부터 개별
▷ 국제금융시장이 시스템적으로 연계됨에 따라 외부적 충격에 따른 시스템리스크(system risk)의 증가로 금융시스템의 안정성 훼손에 대비할 필요 ⇒ 이에 바젤위원회와 국제보험감독기구, 국제증권감독기구는 합동으로 개별 감독당국과 금융기관 차원의 영업연속성관리 모범 관행을 반영 하여 영업연속성 기본원칙 제시(’06.8월) ◈ 주요국 감독당국 ▷ 주요국 감독당국은 자연재해, 테러 등 중대한 영업중단사태로부터 개별 금융기관 및 금융시스템 전체의 연속성을 확보하기 위해 영업연속성 관리 지침 발표 및 감독 강화 ▷ 각국 감독당국 지침 발표: 홍콩(’02), 영국(’02), 싱가폴(’03), 호주(’05)

20 5. BCP 도입 필요성 ◈ BaselⅡ 도입 대응 ◈ 국제적 정합성 유지
▷ 바젤위원회가 ‘운영리스크관리 및 감독을 위한 건전한 지침(’03.2월)’ 에서 제시한 BCP 관련 사항을 BaselⅡ 도입과 관련하여 이행 ◈ 국제적 정합성 유지 ▷ 바젤위원회는 ’05.12월 BCP상위원칙을 별도로 발표 ▷ 미국(’03.4)과 영국(’02.7) 등 주요국 감독당국은 BaselⅡ 도입과 별도로 BCP 감독지침을 제정하고 은행의 준수여부 점검중 ◈ 영업 위협요인 증가 ▷ 국내외적으로 금융시스템 전반에 걸친 복잡성과 상호의존성 증대로 영업 위협요인이 크게 증가

21 6. 기존 위기상황 대응제도 ◈ 국내 은행은 IT재해복구계획 이외에 전행 비즈니스 전략과 연계된
수준에서 BCP 체제를 구축한 사례는 드뭄 ▷ 현재 충무계획, 소방계획, 민방위계획, 부서별 비상계획 등 비상계획이 있으나 BCP와 대상, 포괄범위, 목적이 상이 ⑴ IT 재해복구계획(DRT: Disaster Recovery Planning) ⇒ DPR는 BCP의 일부로서 IT시스템의 연속성 보장은 가능하나, 비즈니스의 연속성 보장을 위한 총체적 대응 및 복구계획으로는 미흡 ⑵ 충무계획과 민방위계획, 소방계획 ⇒ 비즈니스 목적보다는 각종 규제에 대응한 비상계획으로서, 재해 상황 범위도 전쟁, 화재 등으로 제한 ⑶ 부서별 비상계획(영업점 재해복구계획 포함) ⇒ 정상적인 업무운영을 전제로 하는 비상계획으로서 정상적인 업무 운영이 불가능한 상황을 전제로 하는 BCP와는 다름

22 7. 국내 도입방안 - 효율적인 접근방법 ◈ 비용-효율(cost-effective)적인 BCP 체제구축을 위해 기존의
업무범위의 단계적 확대가 바람직 ▷ 단일 Control Tower를 구축하여 위험요소 완화부터 위험발생으로 인한 재해상황과 그 이후 대응에 이르기까지 전체 위기관리 Life- Cycle에 걸친 BCP 체제 구축 ⇒ 이를 위해 업무프로세스 분석, 영업영향분석 및 복구시간 목표설정, 전담 조직 설치, 대체사업장 마련, 테스트 실시, 유지 및 관리전략 마련 등 일련의 절차 수행 필요 ◈ IT DRP는 BCP중 핵심적인 사항으로 어느 정도 완료가 되었으나 향후 전행 BCP 수립과정과 연계적 DRP로 발전시킬 필요 ▷ 전행적 BCP에 의한 비즈니스 복구전략과 IT DRP 수립결과의 연계성 및 일관성 확보

23 8. BasleⅡ 도입 대응(1) ◈ 바젤위원회는 관련 지침에서 BCP에 대해 언급하면서 BaselⅡ
구축/운영하도록 권고하고 있음 ▷ BaselⅡ 도입을 위해 경영진이 적극 지원하는 현시점이 경영진의 결단이 요구되는 BCP 도입의 적기라고 판단됨 ▷ BaselⅡ를 도입하면서 BCP 체제를 구축하지 않은 것은 국제정합성 측면에서도 어긋날 뿐만 아니라 전사적인 리스크관리 (Enterprise Risk Management) 체제 구축이 되어 있지 않다고 평가됨

24 9. BasleⅡ 도입 대응(2) ◈ BaselⅡ 도입시기가 얼마남지 않은 현 단계에서는 시스템
리스크를 야기할 정도로 영향이 큰 대형은행부터 우선 도입하고 점차 확대하는 것이 바람직 ▷ 고급측정법 목표 은행들은 모두 대형은행이므로 BCP 구축을 승인 요건에 넣어 독려할 필요가 있으나, 승인시점에 완벽한 구축보다는 추진성과와 계획의 구체성 등을 평가할 예정 ◈ 여타 은행들에 대해서는 BCP 체제구축을 BaselⅡ 운영리스크 도입에 대한 권고사항(자율추진 유도)으로 제시 ◈ 장기적으로 은행의 경영실태 평가시 “리스크관리 실태 및 운영 실태” 항목에 BCP 구축 현황을 반영토록 하는 한편 고객에게 BCP 관련 정보를 제공토록 함(Pillar3 공시 항목 추가)

25 10. 향후 계획 ◈ 국내 모범규준(표준안)을 제시하고 은행의 BaselⅡ 운영리스크 추진에 반영하도록 권고하는 공문 발송
▷ BCP 구축을 위해서는 최고경영자(CEO)의 인식, 전행적인 관심과 참여가 필요한 만큼 이를 촉구하는 내용 포함 ⇒ 다만, 소형은행이나 고급측정법을 목표로 하지 않는 은행에 대해서는 BCP 체제구축을 BaselⅡ 운영리스크 도입에 대한 권고사항임을 표시 ◈ 고급측정법 승인을 위한 사전협의 과정으로서 매반기 실시하는 사전점검시 BCP 체제 구축 추진상황 점검

26 <참 고> 모범규준 주요 내용 ◈ 은행은 가능성은 낮지만 발생시 심각한 타격을 줄 수 있는 사건이 발생시
에도 영업이 지속될 수 있도록 영업연속성계획(BCP)을 갖추어야 함 ◈ 이사회와 경영진은 BCP 수립과 실행에 대한 궁극적인 책임을 짐 ◈ 은행은 영업중단 발생시 신속한 복구가 요구되는 핵심영업을 파악하고 적절한 복구전략을 수립하여야 함 ◈ 위기대응과 관리를 위한 상세한 지침과 절차 및 조직을 마련하여야 함 ◈ 입지, 복구속도 등을 감안하여 영업복구를 위한 대체영업장소를 마련 ◈ 최소한 연 1회 이상 BCP 테스트를 실시하고 유효성을 평가하여야 함 ◈ BCP를 일상적인 경영관리에 통합하고 건전한 관행을 형성하여야 함 ◈ 중대한 영업중단 발생시 즉시 감독당국에 보고하여야 함

27 Q & A