최근에 있었던 미국 주요 은행 두 곳과 글로벌 시스템적 중요 은행(G-SIB)의 실패는 금융 산업에 ‘리스크 관리’가 얼마나 강력한 경쟁력이 될 수 있는지를 분명하게 보여준다. 예금자와 투자자, 규제 당국, 직원들은 은행이 리스크를 성공적으로 관리할 수 있는지, 은행에 문제가 발생했을 때 신속하게 대응해 문제를 해결할 수 있는지를 묻고 있다. 그리고 꽤 많은 은행들이 리스크 관리에 실패한 은행들과는 다른 비즈니스 모델을 갖고 있음에도 불구하고, 이와 같은 질문에 직면해 있다.
리스크를 잘 관리한다는 것은 그 어느 때보다 복잡해지고 있다. 은행은 새로운 상품을 추가하고, 기술 및 분석에 투자하고, 제3자 및 제4자에 대한 의존도를 높이면서 더욱 복잡해졌다. 지난 10년간 상대적으로 안정적이었던 거시적 환경은 은행 고객들과 비즈니스 파트너들의 행동 패턴 변화에 따라 빠르게 변화하고 있으며, 특히 소셜 미디어가 예금 유출 및 마진 콜과 같은 영역에서 집단적인 행동을 주도하고 있다.
사이버상의 위험 요인에 대한 관리를 강화하기 위해 지금까지 시도됐던 사례들을 통해 봤을 때, 이에 성공한 은행들의 특징이 있다. 리스크 식별 및 대응 역량을 강화해 대응 시간을 몇 주 또는 몇 달이 아닌 몇 시간 또는 며칠로 단축하는 데 집중하고 있다는 점이다. 가장 중요한 것에 집중함으로써 투자 비용을 관리하고 보유한 자원으로부터 최대한의 가치를 창출하는 것이다. 또한 이와 같은 은행들은 유리한 밸류에이션으로 기업을 인수하고 안정성을 추구하는 고객들을 확보해, 위기 상황에서 더욱 강력하게 성장할 수 있는 기반을 마련하는 것이 가능하다.
올바른 방향에 집중할 수 있도록 선도은행들은 “소셜 미디어의 속도”에 맞춰 리스크를 관리할 수 있는 역량을 집중적으로 검토하고 있다.
신속한 리스크 포착
오늘날의 리스크 환경에 발 맞추기 위해서는 위험을 신속하고 선제적으로 파악하는 것이 필요하다. 대부분의 은행들은 주요 및 신규 리스크 목록을 보유하고 있지만, 이 목록들은 대부분 오랫동안 변화없이 정적인 경우가 많다. 하지만 선도은행들은 현재 비즈니스 모델, 상품, 지리적 입지, 대차대조표, 자금 조달 모델을 반영하기 위해 신속하게 리스트를 재평가하는 작업을 하고 있다. 또한, 은행들은 현재의 거시적 환경을 반영하기 위해 이와 같은 목록들을 수시로 업데이트한다. 역 스트레스 테스트, 대차대조표 모델링 및 예측과 같은 새로운 유형의 도구와 접근 방식을 통해 큰 어려움을 초래할 수 있는 위험 유형과 위험 수준을 식별할 수 있다. 또 은행들은 공매도, 주요 고객 및 연결성이 높은 고객 손실과 같은 위험에 이러한 도구를 새롭게 적용하고 있다. 이와 같은 도구들은 유동성 문제가 지급 능력 문제를 야기하는 경우나, 혹은 그 반대의 경우에도 리스크의 전체적인 영향을 파악하는 데 도움을 준다.
매우 높은 수준의 리스크 식별력을 유지하기 위해 일부 은행들은 ‘리스크 관리 리더’와 ‘비즈니스 전략가’를 짝지어 배치하는 것 외에도 ‘리스크 등대 기능’을 구축하고 있다. ‘리스크 등대’는 필요에 따라 신속하게 리스크를 스캔하고 중간급 비즈니스 및 기능별 임원에게 설문조사를 실시하는 등 내부를 엄격하게 살펴보는 기능을 말한다. 이를 통해 주요 제품 출시, 기술 업그레이드, 대차대조표 수정 등 대규모 변경 사항에 특히 주의를 기울일 수 있다. 그뿐만 아니라 외부적으로는 뉴스 및 소셜 미디어 검색 도구와 함께 운영위험거래소(ORE)와 같은 사고 데이터베이스를 활용해 잠재적인 리스크와 동향을 파악할 수 있게 해준다. 또한, 은행은 주요 투자자 및 영향력 있는 고객을 포함한 외부 이해관계자들을 확인하고, 규제 당국과의 상호작용을 강화하는 데도 리스크 등대를 활용할 수 있다.
빠르게 변하는 리스크를 올바르게 이해하고 관리하기
때때로 은행은 새로운 리스크에 직면할 때 나무만 보고 숲을 놓치는 경우가 많다. 그러나 선도은행들은 리스크의 가능성, 잠재적 영향 그리고 리스크가 영향을 미치는 속도 등과 관련해 더 넓은 시각을 갖추기 위해 노력하곤 한다. 이를 위해서는 예를 들어 레포(Repo) 마켓의 폐쇄와 같은 스트레스 요인들을 기반으로 통합적인 관점을 만들고, 공급업체나 거래 상대와 같은 제3자를 포함해 스트레스 요인이 생성할 수 있는 피드백 루프를 이해해야 하는 경우가 많다.
위험을 제대로 평가하려면 첫 번째 라인과 두 번째 라인을 연결하는 ‘등대 기능’이 필요하다. 첫 번째 라인은 은행의 운영 방식에 대한 완전한 지식을 보유한다. 두 번째 라인은 리스크가 나타날 수 있는 모든 방식에 대한 이해를 제공한다. 외부 전문가는 다른 지역, 기관, 산업에서 얻은 인사이트를 포함한 더 넓은 관점을 제공할 수 있다. 예를 들어 비즈니스, 기술 및 리스크 리더와 외부 전문가를 한자리에 모으면 은행이 생성형 AI로 인한 위험을 더 잘 관리하는 방법을 이해할 수 있는 것뿐 아니라, 리스크 부서의 잠재적인 활용 사례와 그 가치를 이해하게 된다. 또, 비즈니스 및 기술 리더가 잠재적인 우려 영역을 인식하고 완화하는 데도 도움이 될 수 있다.
위험이 파악되면 등대 기능은 리스크 관리에 대한 은행의 접근 방식을 평가한다. 이 평가에는 리스크를 추적하기 위한 데이터 및 보고의 가용성, 리스크를 관리하는 직원의 수와 기술, 사고나 위기 발생 시 도움이 될 수 있는 광범위한 리소스 네트워크가 포함된다. 등대 기능은 투자자가 전통적인 방식을 벗어난 투자 주기를 갖고 있다고 해도, 투자상에 새로운 위험 요인이 부상하고 있거나 빠르게 변화하는 추세에 있을 때 직원을 재배치하거나 필요한 투자의 우선순위를 지정하는 기능을 갖추고 있다. 또한 신속한 시나리오 모델링 기능과 같이 여러 위험 유형에 대처하는 투자도 가능하다.
이러한 모든 중요한 리스크는 리스크와 그 영향에 대해 처음부터 끝까지 모든 것을 관리하는 ‘엔드투엔드 뷰’를 갖춘 한 명의 책임자가 있어야 한다. 여기에는 위기 상황에서 조직 경계를 넘어 조율하는 책임이 포함된다. 아직 지정된 책임자가 없는 경우 ‘등대 기능’은 은행의 위험 대응을 담당할 책임자를 식별하게 된다.
신속한 조치를 위한 거버넌스 간소화
급격한 영향을 미칠 가능성이 있는 위험의 경우, 일부 은행에서는 ‘패스트 트랙’ 형태의 리스크 거버넌스를 구축하고 있다. 여기에는 자동 트리거가 발생했을 때 리스크 책임자에게 긴급 권한을 부여하는 것 등이 포함된다. 유동성 위기가 발생했을 때 은행이 재무 담당자들에게 ‘긴급 권한’을 부여하는 것과 유사하다. 은행은 리스크 책임자가 효과적으로 업무를 수행할 수 있도록 필요한 경우 IR, 홍보, 커뮤니케이션, 규제 관계 등의 분야를 포함해 조직 전반의 리소스를 활성화할 수 있는 역량을 갖추도록 해야 한다. 이때 리스크 책임자는 미리 지정된 특수 기동팀(SWAT)팀을 활성화할 수 있다. 이 SWAT팀은 적절한 데이터를 확보하고 의사결정에 필요한 보고를 할 수 있는 직원들을 포함해 은행의 모든 관련 부서 담당자와 함께 이사회 멤버들로 구성돼 있다.
상황이 모호한 경우에 리스크 책임자는 하급 위원회를 우회해서 이사회 리스크 위원회를 포함한 더 높은 수준의 위원회를 정기적인 주기 외에도 별도로 소집할 수 있는 에스컬레이션 메커니즘을 이용할 수 있다. 이사회, 기업 리스크 관리 위원회 및 기타 주요 이해관계자에게 통보되는 시기와 방법에 대한 기준점이 미리 설정돼 있으며, 이와 같은 기준치는 위험의 잠재적 영향과 속도에 따라 조정된다.
마지막으로 사전 준비는 필수불가결하다. 선도은행들은 소셜 미디어와 같이 위험의 영향력이 매우 빠른 속도로 커질 수 있는 경우에 대비해 실제 이와 같은 상황에서 작동할 수 있는 ‘플레이북’을 구축하고 테스트하고 있다. 사이버 보안 스타일의 테이블 탑 연습 또는 워 게임을 통해 은행은 플레이북이 얼마나 잘 작동하는지 파악하고 주요 이해관계자들이 이와 같은 대응에 익숙해지도록 할 수 있다. 특정 리스크의 경우는 위기 관리에 기여하는 법률 자문과 같은 외부 지원이 필요할 수도 있다. 이러한 서비스가 미리 준비돼 있을 경우 이에 대응하기 위한 처리 과정을 보다 효율적으로 만들어 줄 것이다.
리스크의 변화를 빠르고 명확하게 표시하기
리스크 문제에 잘 대응하기 위해서는 현재의 상태를 잘 이해해야 한다. 일부 은행들은 유동성 및 금융 사기 등 빠르게 변화하는 리스크에 대해 일일 보고서를 작성하는 등 리스크의 속도에 따라 보고 주기를 재설정하고 있다. 또한 많은 은행들이 소셜 미디어 및 정서 모니터링을 개선해 위험의 전염을 추적하기 위해 노력하고 있다. 은행들은 지금 당장 쉽게 활용 가능한 데이터로 작업하는 것을 선택하는 대신 필요한 데이터를 식별하고 이를 얻기 위해 자동화 및 분석에 투자하고 있다.
또한 많은 은행들이 “현장에서” 리스크를 더욱 빨리 감지하기 위해 노력하고 있다. 여기에는 주요 위험(예: 주요 거래처의 잠재적 불안정성)을 발견하는 방법에 대한 직원 교육과 책임 소재가 명확하고 신속한 에스컬레이션 프로토콜을 만드는 것 등이 포함된다. 이러한 프로토콜은 위험 소지가 있는 곳에 대한 보고 팀과 실시간으로 연결된 채널을 활용하는 경우가 많다. 이 경우 은행들은 문제를 전면으로 드러내는 직원을 칭찬하고, 문제를 숨기는 직원에게는 불이익을 준다.
마지막으로 은행들은 리스크 환경에서 변경된 사항을 강조함으로써 리스크를 명확하고 간결하게 요약한 ‘저지연 보고’ 체계를 설계할 수 있다. 필요한 경우 실시간 해설과 함께 정보가 완전히 확인되지 않았음을 설명하는 문구를 추가할 수 있다. 보고서에는 첫 번째 결제 불이행 급증에 대응하기 위한 신용 정책 변경과 같은 명확한 권장 사항과 행동 유도 문구가 포함된다.
신속하고 효과적인 문제 해결
새로운 위험이 식별되고 우선순위가 정해지면 일반적으로 리스크 관리 방법과 관련해 몇 가지 문제가 발생한다. 이와 같은 문제들은 품질이 좋지 않은 데이터와 과도하게 수동적인 보고 체계부터 충분한 2차 검증 부족까지 매우 다양하다. 선도은행들은 자체적인 대응 역량을 점검해 모든 문제를 기록하고, 위험과 관련된 기존 미해결 문제를 충분히 우선순위에 둔다. 그 이후 리스크 책임자는 리스크와 관련된 중요한 이슈가 적절하게 자원을 확보하고 신속하게 종결될 수 있도록 문제 해결에 주도적인 역할을 수행하게 된다.
새롭거나 혹은 잠재적인 문제가 발생할 경우 리스크 책임자에게 지정된 표시가 뜨고 적절한 우선순위를 지정할 수 있다. 또한 리스크 책임자는 주기적으로 기록된 관련 이슈의 전체 집합을 분석하고 해결되지 않은 근본 원인이 있는지 확인한다. 이를 통해 위험이 더 중요해지거나 긴급해질 경우 은행이 가질 수 있는 약점을 지속적으로 파악할 수 있다.
이러한 모든 기능은 오늘날 소셜 미디어와 함께 빠르게 변화하는 시장으로 인해 은행이 위기를 관리할 수 있는 시간이 줄어든 환경에서, 은행이 위험을 해결하는 데 도움이 될 수 있다. 이미 대부분의 은행들이 이와 같은 기능들 중 일부를 갖추고 있으며, 주요 위험 및 새로운 위험 목록을 업데이트하고 신속한 시나리오 분석을 위한 도구를 구축하는 등의 기본적인 요소들을 신속하게 처리할 수 있다.
은행이 위기 관리 역량을 구축할 때 주요 이해관계자를 참여시키고 이들에게 지속적으로 정보를 제공하는 것이 중요하다. 많은 은행에게 이는 그 자체로 새로운 경쟁력이 될 것이다. 오늘날의 환경에서 특히 중요한 세 가지가 있다. 첫째, 은행이 리스크를 성공적으로 관리할 수 있는 방법에 대한 비전을 공유하고, 둘째 사실에 기반한 방식으로 진행 상황을 이해관계자에게 업데이트하는 것이다(예: 역 스트레스 테스트를 수행하고 그 결과에 따라 조치를 취하는 방법 언급). 세번째는 위기 상황에서 소통할 준비를 하는 것이다. 소셜 미디어의 빠른 속도에 맞춰 리스크 관리에 대한 이야기를 전달할 수 있는 이러한 커뮤니케이션 역량이 리스크 관리의 마지막 핵심 요소가 될 것이다.
