FRM part1. Reading 53: Operational Risk

 

FRM Part I – Reading 53
운영 리스크 (Operational Risk)

EXAM FOCUS

핵심 학습 목표

이 Reading은 운영 리스크(Operational Risk)의 정의에서 출발하여, 내부 실패(Internal Failures)와 외부 사건(External Events)을 포괄하는 다양한 유형의 운영 리스크를 체계적으로 다룹니다. 운영 리스크는 시장 리스크나 신용 리스크처럼 직접적인 가격 변동에서 비롯되는 것이 아니라, 기업 내부의 프로세스·인력·시스템의 실패 또는 외부 환경에서 기인하는 손실을 의미합니다. 규제자본(Regulatory Capital) 요구량을 계산할 때 고려해야 하는 리스크 유형과 은행 비즈니스 라인에 대해 학습하며, 손실빈도(Loss Frequency)와 손실심도(Loss Severity)의 분포를 활용한 자본 배분 방법론을 깊이 있게 이해해야 합니다.

시험에서 반드시 할 수 있어야 하는 것

• 7가지 운영 리스크 유형과 8가지 비즈니스 라인을 각각 식별하고, 구체적 예시와 함께 설명
• 기본지표접근법(BIA), 표준접근법(SA), 고급측정접근법(AMA)의 계산 구조와 적용 대상 비교
• 손실빈도분포(포아송)와 손실심도분포(로그정규)를 이용한 Monte Carlo 시뮬레이션의 4단계 과정 서술
• RCSA, KRI, 시나리오 분석의 개념, 장점, 한계를 비교 설명
• 멱법칙(Power Law)의 공식과 α 파라미터의 의미를 이용한 운영 리스크 측정 원리
• 보험의 도덕적 해이(Moral Hazard)와 역선택(Adverse Selection) 문제의 정의, 예시, 방어 수단
• 표준측정접근법(SMA)의 세 가지 구성요소(BI, BIC, LC)와 내부손실승수(ILM) 개념

이 Reading은 정량적 계산과 정성적 개념이 혼합되어 있습니다. 특히 손실분포 시뮬레이션 과정과 규제자본 접근법 비교가 시험에 자주 출제되며, 각 접근법의 적합 대상과 신뢰수준·기간 설정을 정확히 구분하는 것이 핵심입니다.

---

MODULE 53.1: 운영 리스크의 정의 및 측정

LO 53.a: 운영 리스크의 정의와 7가지 유형

1. 운영 리스크(Operational Risk)의 정의

금융기관이 직면하는 리스크는 크게 시장 리스크(Market Risk), 신용 리스크(Credit Risk), 운영 리스크(Operational Risk)로 구분됩니다. 이 가운데 운영 리스크는 가장 정의하기 어려운 리스크로, 일부 기업은 이를 "신용 리스크나 시장 리스크가 아닌 모든 리스크"로 광범위하게 정의하기도 합니다. 그러나 대부분의 전문가는 이 정의가 지나치게 포괄적이어서 실무적으로 유용하지 않다는 데 동의합니다.

운영 리스크에 대한 다양한 정의가 존재합니다. 이를 구체적으로 살펴보면 다음과 같습니다:

• 거래 처리 오류 관점: 은행 거래의 잘못된 처리(Incorrect Processing)에서 발생하는 리스크. 단, 이 정의는 사기(Fraud), 사이버 공격, 자산 손상 등을 제외하므로 너무 좁습니다.
• 잔여 리스크 관점: 시장 리스크(예상치 못한 자산가격 변동)나 신용 리스크(거래상대방의 금융의무 불이행)로 설명되지 않는 모든 금융 리스크
• 운영 중단 관점: 정상적인 운영의 중단에서 발생하는 모든 리스크(예: 시스템 장애, 처리 오류)
• 포괄적 관점: 내부 실패(Internal Failures)와 외부 사건(External Events)을 포함하는 운영 사건으로 인한 불리한 변화

이러한 다양한 정의들 가운데, 가장 권위 있고 널리 인용되는 정의는 바젤 은행감독위원회(Basel Committee on Banking Supervision, BCBS)가 2011년에 "건전한 운영 리스크 관리 원칙(Principles for the Sound Management of Operational Risk)"에서 내린 정의입니다:

Basel 공식 정의:

운영 리스크란 "부적절하거나 실패한 내부 프로세스, 인력, 시스템 또는 외부 사건으로 인해 발생하는 손실 위험"입니다.

"the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events."

이 정의는 네 가지 핵심 원천을 명시합니다: (1) 내부 프로세스, (2) 인력, (3) 시스템, (4) 외부 사건. 이 네 가지 원천 중 하나 이상에서 기인하는 손실이 운영 리스크에 해당합니다.

전통적인 운영 리스크 정의는 다음 다섯 가지 요소를 포함합니다:

• 내부 기능 또는 프로세스 (Internal Functions/Processes): 거래 처리, 결제, 내부 통제 등 기업 내부의 업무 절차에서 발생하는 오류나 실패
• 인적 요인 (Human Factors): 직원의 실수, 부정행위, 역량 부족, 또는 고의적인 규정 위반에서 비롯되는 리스크
• 시스템 (Systems): IT 시스템, 소프트웨어, 하드웨어, 네트워크 인프라의 장애나 보안 취약점
• 기업 인프라 (Firm Infrastructure): 물리적 시설, 사무 환경, 통신 설비 등 기업 운영에 필요한 기반 시설
• 외부 사건 (External Events): 자연재해, 테러, 규제 변화, 제3자에 의한 사기 등 기업이 통제할 수 없는 외부 요인

시험 함정 주의 — 운영 리스크의 포함·제외 범위:

운영 리스크의 Basel 정의는 법적 리스크(Legal Risk)를 명시적으로 포함합니다. 법적 리스크란 소송, 규제 위반에 따른 벌금, 계약 분쟁 등에서 발생하는 손실을 의미합니다.

그러나 평판 리스크(Reputational Risk)와 전략적 리스크(Strategic Risk)는 운영 리스크에 포함되지 않습니다. 특히 "실패한 사업전략(Failed Business Strategies)"은 운영 리스크의 7가지 유형에 해당하지 않으므로, 시험에서 이를 운영 리스크로 분류하는 보기가 나오면 오답임을 즉시 판별해야 합니다. 전략적 판단의 실패는 경영진의 의사결정 영역에 속하며, 프로세스·인력·시스템의 실패와는 본질적으로 구분됩니다.

2. 바젤위원회의 7가지 운영 리스크 유형

바젤위원회는 운영 리스크를 보다 체계적으로 관리하기 위해 7가지 유형으로 세분화했습니다. 각 유형은 손실 원인과 성격에 따라 구분되며, 은행은 자사의 리스크 관리 체계에서 이 7가지 유형을 모두 고려해야 합니다. 특히 실증적 데이터에 따르면, 고객, 상품 및 영업관행(Clients, Products, and Business Practices) 카테고리에서 가장 많은 운영 리스크 손실이 발생하는 것으로 나타났습니다.

번호	리스크 유형 (영문)	상세 설명 및 대표 예시
1	내부 사기 (Internal Fraud)	조직 내부의 직원 또는 관리자가 법률, 규정, 회사 정책을 의도적으로 위반하거나, 회사 자산을 개인적 이익을 위해 오용하는 경우에 발생합니다. 내부 사기는 조직 내부에서 발생하므로 발각이 어려울 수 있으며, 장기간 지속될 경우 막대한 손실을 초래합니다. 예: 재무 데이터 허위보고(Misreporting), 직원 절도(Employee Theft), 내부자 거래(Insider Trading), 비인가 거래 체결
2	외부 사기 (External Fraud)	조직 외부의 제3자가 법률을 위반하거나 회사의 자산을 부당하게 취득하려는 행위에서 발생합니다. 디지털 환경의 확대로 사이버 기반 외부 사기가 급증하고 있습니다. 예: 수표 카이팅(Check Kiting: 부도수표를 이용한 사기), 강도(Robbery), 컴퓨터 해킹(Computer Hacking), 피싱(Phishing), 신원 도용(Identity Theft)
3	고용관행 및 직장안전 (Employment Practices & Workplace Safety)	고용 관련 법률이나 산업안전보건 관련 규정을 준수하지 않아 발생하는 손실입니다. 이 카테고리는 조직의 인적자원 관리와 직접적으로 관련되며, 소송이나 행정 제재로 이어질 수 있습니다. 예: 산업재해 보상(Workers' Compensation), 노조 활동 관련 분쟁(Organized Labor Activities), 고용 차별 분쟁(Discrimination Disputes), 안전보건규정 위반(Health & Safety Rule Violations)
4	고객, 상품 및 영업관행 (Clients, Products & Business Practices)	가장 많은 운영 리스크 손실이 발생하는 유형입니다. 고객에 대한 수탁자 의무(Fiduciary Duty)나 적합성 원칙(Suitability)을 이행하지 못하는 경우에 해당하며, 의도적(과실 포함)이거나 비의도적일 수 있습니다. 금융기관의 상품 설계, 판매 관행, 고객 정보 관리 전반에 걸쳐 발생합니다. 예: 기밀정보 오용(Mishandling of Confidential Information), 수탁자 의무 위반(Breaches in Fiduciary Duty), 자금세탁(Money Laundering), 부적합 상품 판매(Mis-selling)
5	물리적 자산 손상 (Damage to Physical Assets)	자연재해나 인위적 사건으로 인해 기업의 물리적 자산(건물, 장비, 데이터센터 등)이 훼손되거나 파괴되는 경우입니다. 이 유형은 기업의 통제 범위를 벗어나는 경우가 많으나, 사전 대비와 보험을 통해 완화할 수 있습니다. 예: 기물파손(Vandalism), 테러공격(Terrorist Attacks), 지진(Earthquakes), 화재(Fires), 홍수(Floods)
6	영업중단 및 시스템 장애 (Business Disruption & System Failures)	컴퓨터 하드웨어·소프트웨어 장애, 통신 네트워크 중단, 전력 공급 차단 등 기술적·인프라적 문제로 인해 정상적인 영업활동이 중단되는 경우입니다. 금융기관의 IT 의존도가 높아짐에 따라 이 유형의 잠재적 영향이 커지고 있습니다. 예: 서버 다운(Server Outage), 정전(Power Outage), 네트워크 장애(Network Failure), 소프트웨어 버그로 인한 시스템 마비
7	실행, 인도 및 프로세스 관리 (Execution, Delivery & Process Management)	거래의 정확한 처리(Execution)에 실패하거나, 거래상대방과의 관계를 적절히 유지하지 못하는 경우에 발생합니다. 일상적인 운영 프로세스에서 가장 빈번하게 발생하는 유형이며, 소규모 손실이 누적되어 상당한 총 손실을 초래할 수 있습니다. 예: 데이터 입력 오류(Data Entry Errors), 담보 관리 문제(Collateral Management Issues), 불완전한 법적 문서(Incomplete Legal Documentation), 회계 처리 오류, 결제 지연

3. 대형 운영 리스크 (Large Operational Risks)

운영 리스크 관리에서 특히 중요한 것은 결과의 심도(Severity)입니다. 빈도가 낮더라도 한 번 발생하면 기관의 존립을 위협할 수 있는 대형 리스크가 존재합니다. 바젤위원회와 실무에서는 세 가지 주요 대형 운영 리스크 유형을 식별하고 있습니다.

(1) 사이버 리스크 (Cyber Risks)

사이버 리스크는 기관의 정보 시스템에 대한 외부 공격(External Attacks)으로 인해 발생하는 손실 위험을 의미합니다. 공격의 출처는 다양합니다. 조직 범죄단(Organized Crime), 해커(Hackers), 국가 지원 행위자(State-Sponsored Actors), 심지어 내부자(Insiders)까지 포함됩니다. 사이버 공격이 성공하면 일반적으로 사기(Fraud), 횡령(Embezzlement), 개인정보 및 기업 데이터 유출(Data Breach), 지적재산 도용(Theft of Intellectual Property) 등의 결과로 이어집니다.

디지털 전환이 가속화됨에 따라 사이버 리스크의 잠재적 영향은 계속 확대되고 있으며, 금융기관에게 가장 빠르게 성장하는 운영 리스크 유형 중 하나입니다.

사이버 리스크 주요 사례

• 2011년 Yahoo 해킹: 약 30억 사용자 계정의 데이터가 유출된 사상 최대 규모의 데이터 침해 사건. 이름, 이메일 주소, 전화번호, 생년월일, 보안 질문 등이 노출되었습니다.
• 2016년 방글라데시 중앙은행 해킹: 해커들이 SWIFT 네트워크에 침투하여 뉴욕 연방준비은행에 보관된 방글라데시 중앙은행 계좌에서 자금 탈취를 시도했습니다. 총 10억 달러 상당의 이체를 시도했으나, 대부분이 차단되었고 약 8,100만 달러가 실제로 유출되었습니다.
• 2017년 Equifax 해킹: 미국 3대 신용정보기관 중 하나인 Equifax에서 약 1억 4,300만 사용자의 사회보장번호(SSN), 생년월일, 주소, 운전면허 번호 등 민감한 개인정보가 유출되었습니다.

방어 방법: 사이버 리스크에 대한 효과적인 방어는 다층적 접근이 필요합니다. 정기적인 피싱 훈련(Phishing Exercises)을 통해 직원들의 보안 인식을 높이고, 사용자 계정 통제(User Account Controls)로 접근 권한을 최소화하며, 방화벽(Firewalls)과 침입탐지 소프트웨어(Intrusion Detection Software)로 기술적 방어를 구축해야 합니다.

(2) 컴플라이언스 리스크 (Compliance Risks)

컴플라이언스 리스크는 법률 및 규정 준수 실패로 인해 벌금(Fines)과 과징금(Penalties)을 부과받을 위험을 의미합니다. 이러한 실패는 의도적(고의적 위반)이거나 비의도적(부주의, 시스템 미비)일 수 있습니다. 컴플라이언스 리스크가 특히 위험한 이유는, 규제 위반이 조직 전체 활동의 극히 일부분에서 발생하더라도 조직 전체에 막대한 벌금으로 이어질 수 있다는 점입니다. 글로벌 금융기관의 경우, 한 국가의 규제 위반이 다른 국가의 규제기관까지 조사를 유발하는 연쇄 효과가 나타나기도 합니다.

컴플라이언스 리스크 주요 사례

• 2012년 HSBC: 자금세탁방지(Anti-Money Laundering, AML) 프로그램의 미흡으로 미국 규제당국으로부터 19억 달러(USD 1.9 billion)의 벌금을 부과받았습니다. 멕시코 마약 카르텔의 자금세탁을 적절히 차단하지 못한 것이 주요 원인이었습니다.
• BNP Paribas: 미국의 경제 제재 대상 국가(이란, 수단, 쿠바)와의 거래를 지속한 혐의로 미국 정부에 89억 달러(USD 8.9 billion)를 지불했습니다. 이는 단일 기관에 대한 가장 큰 금융 제재 벌금 중 하나입니다.
• Volkswagen: 배출가스 테스트 결과를 조작(이른바 "디젤게이트")하여 환경 규제를 위반한 혐의로 28억 달러(USD 2.8 billion)의 형사 벌금이 부과되었습니다.

완화 방법: 적절한 컴플라이언스 모니터링 소프트웨어의 설계 및 도입, 정기적인 내부 교육(Internal Training) 실시, 규제 변화에 대한 지속적 추적이 핵심입니다.

(3) 무단거래자 리스크 (Rogue Trader Risk)

무단거래자 리스크는 단일 직원(주로 트레이더)의 활동이 적절히 감지·감독되지 않을 경우, 기관 전체에 심각한 손실을 초래할 수 있는 위험을 말합니다. 이 리스크가 특히 위험한 이유는 두 가지입니다. 첫째, 한 개인의 행동이 기관 전체를 파산시킬 수 있을 정도의 손실을 초래할 수 있습니다. 둘째, 기관은 무단 활동이 이익을 창출하는 한 이를 감지하더라도 제재하지 않으려는 유혹에 빠질 수 있습니다. 이는 "이익이 나면 영웅, 손실이 나면 범죄자"라는 금융업계의 딜레마를 반영합니다.

무단거래자 리스크 주요 사례

• 1995년 Nick Leeson (Barings Bank): 싱가포르 지점에서 닛케이 225 선물에 대한 비인가 투기 거래를 수행하여 약 10억 달러(~USD 1 billion)의 손실을 초래했습니다. 이 손실은 233년 역사를 가진 영국에서 가장 오래된 상업은행의 파산으로 이어졌습니다. Leeson은 프론트 오피스와 백 오피스를 모두 관장하는 위치에 있었기 때문에 손실을 은폐할 수 있었습니다.
• 2008년 Jérôme Kerviel (Société Générale): 유럽 주가지수 선물에 대한 거액의 비인가 포지션을 구축하여 49억 유로(EUR 4.9 billion)의 손실을 초래했습니다. 이는 당시 단일 트레이더에 의한 사상 최대 손실이었습니다.
• 2011년 Kweku Adoboli (UBS): 약 23억 달러의 손실, 2002년 John Rusnak (Allied Irish Bank): 약 6.9억 달러의 손실을 초래한 사례도 있습니다.

가장 효과적인 방어 수단: 프론트 오피스(Front Office)와 백 오피스(Back Office)의 엄격한 분리(Segregation of Duties)입니다.

• 프론트 오피스: 거래 활동 수행 (Trading Activities)
• 백 오피스 (독립적): 거래 검증(Transaction Verification) 및 기록 유지(Recordkeeping)

Barings Bank 사례에서 Nick Leeson이 프론트·백 오피스를 모두 관장했던 것이 대형 손실의 직접적 원인이었으며, 이 사건 이후 프론트·백 오피스 분리가 금융업계의 핵심 내부통제 원칙으로 확립되었습니다.

---

LO 53.b: 운영 리스크 규제자본 계산 방법

바젤위원회는 Basel II 규제 프레임워크에서 운영 리스크 자본 요구량(즉, 운영 리스크 손실 가능성에 대비하여 보유해야 하는 자본의 규모)을 결정하기 위한 세 가지 접근법을 제안했습니다. 이 규정은 과거 많은 대형 은행의 손실이 본질적으로 운영 리스크에 기인한다는 점을 명시적으로 인정하고, 운영 리스크에 대한 별도의 자본 요구를 최초로 도입했다는 점에서 획기적이었습니다.

기본지표접근법(BIA)과 표준접근법(SA)은 비교적 단순한 계산을 사용하며, 총수익(Gross Income)의 일정 비율로 자본 요구량을 산출합니다. 반면 고급측정접근법(AMA)은 상당히 복잡하지만, 리스크 평가 및 관리 기술에 투자하는 대가로 자본 요구량을 줄일 수 있는 가능성을 기관에 제공합니다.

접근법	복잡도	계산 방법	적합 대상
기본지표접근법 (Basic Indicator Approach, BIA)	단순	3년 평균 총수익의 15%	소규모/단순 은행
표준접근법 (Standardized Approach, SA)	중간	8개 비즈니스 라인별 총수익에 지정된 자본계수(β) 적용 후 합산	중간 규모 은행
고급측정접근법 (Advanced Measurement Approach, AMA)	복잡	내부 모델 사용, 99.9분위수 손실 - 기대손실	대형 은행

(1) 기본지표접근법 (Basic Indicator Approach, BIA)

기본지표접근법은 가장 단순한 방법으로, 은행의 3년 평균 총수익(Gross Income)에 단일 비율인 15%를 곱하여 운영 리스크 자본을 산출합니다. 이 방법은 운영 리스크가 은행의 전체적인 영업 규모에 비례한다는 단순한 가정에 기반합니다. 별도의 리스크 모델링이나 세분화된 비즈니스 라인별 분석이 필요하지 않으므로, 리스크 관리 인프라가 덜 발달한 소규모·단순 구조의 은행에 적합합니다.

운영 리스크 자본 = 총수익(Gross Income) × 15%

\[\text{Gross Income} = \text{이자수익(Interest Earned)} + \text{비이자수익(Noninterest Income)} - \text{이자비용(Interest Paid)}\]

3년 평균 총수익 기준으로 계산

(2) 표준접근법 (Standardized Approach, SA)

표준접근법은 기본지표접근법과 유사하게 총수익을 기반으로 하지만, 은행의 영업활동을 8개 비즈니스 라인으로 세분화하여 각 라인에 서로 다른 자본계수(Capital Factor, β)를 적용한다는 점에서 더 정교합니다. 각 비즈니스 라인별로 3년 평균 총수익에 해당 자본계수를 곱하고, 그 결과를 합산하여 총 운영 리스크 자본을 산출합니다. 이는 비즈니스 라인별로 운영 리스크의 크기가 다르다는 현실을 반영합니다.

비즈니스 라인	자본계수 (β)	비고
기업금융 (Corporate Finance)	18%	리스크가 상대적으로 높은 업무 영역으로, 복잡한 거래 구조와 대규모 금액이 수반됨
트레이딩 & 세일즈 (Trading & Sales)	18%
결제 및 정산 (Payment & Settlement)	18%
상업금융 (Commercial Banking)	15%	중간 수준의 리스크를 가진 업무 영역
대행서비스 (Agency Services)	15%
소매금융 (Retail Banking)	12%	상대적으로 표준화된 거래가 많아 운영 리스크가 낮은 업무 영역
자산관리 (Asset Management)	12%
소매중개 (Retail Brokerage)	12%

자본계수 암기 팁: β 값은 12%, 15%, 18%의 세 수준만 존재합니다. 기업금융·트레이딩·결제정산이 18%(가장 높음), 상업금융·대행서비스가 15%(중간), 소매금융·자산관리·소매중개가 12%(가장 낮음)입니다. 일반적으로 거래의 복잡도와 단위 금액이 클수록 더 높은 자본계수가 적용됩니다.

(3) 고급측정접근법 (Advanced Measurement Approach, AMA)

AMA는 세 가지 접근법 중 가장 복잡하지만, 은행에게 자본 요구량을 줄일 수 있는 기회를 제공합니다. AMA를 사용하려는 은행은 정성적(Qualitative)·정량적(Quantitative) 내부 기준에 따라 운영 리스크 자본을 자체적으로 결정해야 합니다. 이를 위해서는 예상치 못한 손실(Unexpected Loss)을 통계적으로 추정할 수 있는 능력을 갖추어야 합니다.

AMA의 운영 리스크 자본은 손실분포의 극단적 꼬리 부분, 즉 99.9 백분위수(99.9th Percentile)에 해당하는 손실에서 기대 운영 손실(Expected Loss, EL)을 차감하여 산출합니다. 이는 이미 예상되는 손실은 일상적 비용으로 처리하고, 예상을 초과하는 극단적 손실에 대비하기 위한 자본만을 별도로 확보한다는 논리입니다.

AMA 운영 리스크 자본 = 손실분포의 99.9분위수 - 기대 운영손실

\[\text{Capital}_{AMA} = \text{VaR}_{99.9\%} - \text{EL}\]

여기서 VaR_99.9%는 1,000번 중 999번은 초과하지 않을 손실 수준을 의미합니다.

핵심 포인트:

• 은행이 8개 비즈니스 라인 모두에서 활동한다면, 56개 조합의 1년 손실을 추정해야 합니다. 56 = 8개 비즈니스 라인 × 7개 리스크 유형이며, 각 조합에 대해 별도의 손실분포를 구축해야 합니다.
• Basel II 규정은 AMA 사용 은행에 99.9 백분위수 신뢰수준과 1년 기간을 명시적으로 요구합니다.
• 대형 은행은 리스크 관리 인프라에 투자하여 표준접근법(SA)에서 AMA로 전환함으로써 자본 요구량을 줄이도록 권장되었습니다.

한편, 유럽연합(EU)에서는 2016년 Basel II와 유사한 규정인 Solvency II 규제 프레임워크를 보험회사에 도입하여, 보험회사에도 운영 리스크에 대한 별도의 자본 요구량을 명시적으로 부과했습니다.

⚠️ 시험 함정 주의:

• AMA의 신뢰수준은 99.9%입니다 (99%가 아닙니다! 시험에서 99%를 정답처럼 제시하는 보기에 주의)
• AMA의 기간(Time Horizon)은 1년입니다 (5년이 아닙니다!)
• 기본지표접근법(BIA)은 소규모/단순 은행에 적합합니다 (대형 은행이 아님!)
• 56개 조합 = 8 × 7 (8개 비즈니스 라인 × 7개 리스크 유형)

---

MODULE 53.2: 표준측정접근법과 손실분포접근법

LO 53.c: 표준측정접근법 (Standardized Measurement Approach, SMA)

AMA 방법론은 운영 리스크에 대한 은행들의 인식을 높이는 데 크게 기여했습니다. 그러나 실제 운영 과정에서 심각한 문제가 드러났습니다. 각 은행이 자체적인 내부 모델을 사용하여 운영 리스크 자본을 계산하다 보니, 은행 간 리스크 자본 계산의 큰 변동성(Large Variability)이 발생했습니다. 동일한 수준의 리스크를 가진 은행들이 매우 다른 수준의 자본을 보유하는 상황이 벌어진 것입니다. 이는 규제의 일관성과 금융 시스템의 안정성을 저해하는 요인이었습니다.

이에 바젤위원회는 2016년 기존의 BIA, SA, AMA를 단일 접근법인 표준측정접근법(SMA)으로 대체하기로 결정했습니다. SMA는 은행 간 비교 가능성을 높이면서도 개별 은행의 리스크 프로파일을 반영할 수 있도록 설계되었습니다.

SMA의 세 가지 구성요소

구성요소	영문	상세 설명
비즈니스 지표	Business Indicator (BI)	총수익(Gross Income)과 유사한 개념이지만, 은행의 규모에 보다 적합하도록 거래 손실(Trading Losses)과 운영비용(Operating Expenses)을 포함하여 조정한 지표입니다. 총수익만으로는 포착하기 어려운 은행의 실제 운영 규모와 복잡성을 반영합니다.
BI 구성요소	BI Component (BIC)	BI의 범위(규모)에 따라 BI의 일정 비율로 계산되는 요소입니다. BI가 클수록 한계 비율이 증가하는 누진적 구조를 가지며, 이는 대형 은행일수록 운영 리스크 익스포저가 비례 이상으로 증가한다는 가정을 반영합니다.
손실 구성요소	Loss Component (LC)	은행의 실제 운영손실 익스포저를 반영하는 요소로, 과거 손실 데이터에 기반합니다. 이 요소가 SMA를 단순한 규모 기반 접근법을 넘어 리스크에 민감한(Risk-Sensitive) 접근법으로 만들어 줍니다.

손실 구성요소(LC) 공식

\[\text{LC} = 7X + 7Y + 5Z\]

여기서 X, Y, Z는 10년 평균 연간 운영 리스크 손실 추정치입니다.

• X: 모든 손실 포함 (크기 무관)
• Y: EUR 1,000만(EUR 10 million) 초과 손실만 포함
• Z: EUR 1억(EUR 100 million) 초과 손실만 포함

X, Y, Z 각각에 가중치(7, 7, 5)가 적용되며, 대형 손실(Y, Z)에 별도의 가중치를 부여함으로써 꼬리 리스크(Tail Risk)를 더욱 민감하게 반영합니다.

SMA의 핵심 메커니즘:

• 평균적인 은행의 경우, BI 구성요소 = 손실 구성요소가 되도록 SMA가 설계되었습니다. 이는 SMA의 교정(Calibration) 기준점입니다.
• 손실 구성요소는 은행의 내부손실승수(Internal Loss Multiplier, ILM)를 결정하는 데 사용됩니다. ILM은 은행의 실제 손실 경험이 평균 대비 높은지 낮은지를 반영하는 승수입니다.
• 운영 리스크 자본 = BI 구성요소 × ILM
• 평균적인 은행의 경우 ILM = 1이므로, 운영 리스크 자본 = BI 구성요소가 됩니다. 손실 경험이 평균보다 나쁜 은행은 ILM > 1이 되어 더 많은 자본이 요구되고, 반대의 경우 ILM < 1이 되어 자본 요구량이 줄어듭니다.

---

LO 53.d: 손실분포접근법 (Loss Distribution Approach)

운영 리스크 손실을 정량적으로 모델링하기 위해서는 손실을 두 가지 독립적인 차원으로 분류하는 것이 핵심입니다: 손실빈도(Loss Frequency)와 손실심도(Loss Severity). 손실빈도는 "1년 동안 몇 건의 손실 사건이 발생하는가"를, 손실심도는 "손실이 발생할 경우 그 크기는 어떤 분포를 따르는가"를 나타냅니다. 이 두 차원은 독립적(Independent)이라고 합리적으로 가정할 수 있으며, 이 독립성 가정은 Monte Carlo 시뮬레이션을 통해 두 분포를 결합하는 것을 가능하게 합니다.

차원	정의	사용 분포	분포의 특성
손실빈도 (Loss Frequency)	1년 동안의 평균 손실 발생 건수	포아송 분포 (Poisson Distribution)	단일 파라미터 λ로 무작위 사건의 발생 빈도를 모델링
손실심도 (Loss Severity)	손실이 발생할 경우의 손실 크기 확률분포	로그정규 분포 (Lognormal Distribution)	비대칭적, 팻테일 특성으로 극단적 손실 모델링에 적합

(1) 손실빈도: 포아송 분포 (Poisson Distribution)

포아송 분포는 특정 기간 동안 무작위로 발생하는 사건의 횟수를 모델링하는 이산확률분포(Discrete Probability Distribution)입니다. 운영 리스크에서는 "1년 동안 발생하는 손실 사건의 수"를 모델링하는 데 사용됩니다. 포아송 분포의 핵심 장점은 단일 파라미터 λ만으로 분포 전체를 특성화할 수 있다는 점이며, λ는 주어진 기간 동안의 평균 손실 건수를 의미합니다. 포아송 분포에서는 평균과 분산이 모두 λ와 같다는 특성을 가집니다.

포아송 분포의 확률질량함수:

\[P(n \text{ losses}) = \frac{e^{-\lambda} \cdot \lambda^n}{n!}\]

여기서:

• λ: 주어진 기간 동안의 평균 손실 건수
• n: 실제 발생한 손실 건수
• e: 자연상수(≈ 2.71828)
• n!: n의 팩토리얼

예시: λ 계산과 확률 산출

어떤 은행에서 지난 5년 동안 총 10건의 운영 리스크 손실 사건이 발생했다면, 연간 평균 손실 건수 λ는 다음과 같이 계산됩니다:

\[\lambda = \frac{10}{5} = 2 \text{ (연간)}\]

이 λ = 2를 사용하여, 내년에 정확히 3건의 손실이 발생할 확률을 구하면:

\[P(3) = \frac{e^{-2} \cdot 2^3}{3!} = \frac{0.1353 \times 8}{6} = 0.1804 \approx 18.0\%\]

즉, 연간 평균 2건의 손실이 발생하는 상황에서, 특정 연도에 정확히 3건이 발생할 확률은 약 18%입니다.

(2) 손실심도: 로그정규 분포 (Lognormal Distribution)

손실심도(각 손실 사건의 크기)는 로그정규 분포(Lognormal Distribution)로 모델링하는 것이 일반적입니다. 로그정규 분포를 사용하는 이유는 이 분포가 운영 리스크 손실의 실증적 특성과 잘 부합하기 때문입니다:

• 비대칭성(Asymmetry): 손실은 항상 양수이며, 소규모 손실이 대규모 손실보다 훨씬 빈번합니다. 로그정규 분포는 우측으로 꼬리가 긴(Right-Skewed) 형태를 가집니다.
• 팻테일(Fat-Tail): 극단적으로 큰 손실이 정규분포가 예측하는 것보다 더 자주 발생합니다. 이는 운영 리스크의 "블랙스완" 특성을 반영합니다.
• 양수 제약: 로그정규 분포의 확률변수는 항상 양수이므로, 손실 크기가 음수가 될 수 없다는 물리적 제약과 일치합니다.

로그정규 분포의 파라미터는 손실 크기의 로그값으로부터 도출됩니다. 원래 손실 크기의 평균을 μ, 표준편차를 σ라고 할 때, 로그정규 분포의 파라미터는 다음과 같이 계산됩니다:

로그정규 분포의 파라미터 변환:

먼저 보조 변수 w를 계산합니다:

\[w = \left(\frac{\sigma}{\mu}\right)^2\]

로그 변환된 분포의 평균(Mean of ln):

\[\text{Mean of } \ln = \ln\left(\frac{\mu}{\sqrt{1+w}}\right)\]

로그 변환된 분포의 분산(Variance of ln):

\[\text{Variance of } \ln = \ln(1+w)\]

예시: 로그정규 분포 파라미터 계산

어떤 은행의 운영 리스크 손실 크기가 평균 EUR 6,000만(μ = 60)이고 표준편차가 EUR 2,000만(σ = 20)인 경우, 로그정규 분포의 파라미터를 계산합니다:

Step 1: 보조 변수 w 계산

\[w = \left(\frac{20}{60}\right)^2 = \left(\frac{1}{3}\right)^2 = \frac{1}{9} \approx 0.11\]

Step 2: 로그 변환된 평균 계산

\[\text{Mean} = \ln\left(\frac{60}{\sqrt{1 + 0.11}}\right) = \ln\left(\frac{60}{\sqrt{1.11}}\right) = \ln\left(\frac{60}{1.0536}\right) = \ln(56.92) \approx 4.04\]

Step 3: 로그 변환된 분산 계산

\[\text{Variance} = \ln(1 + 0.11) = \ln(1.11) \approx 0.104\]

이 파라미터(평균 ≈ 4.04, 분산 ≈ 0.104)를 사용하여 로그정규 분포에서 난수를 생성하면, 각 손실 사건의 크기를 시뮬레이션할 수 있습니다.

(3) Monte Carlo 시뮬레이션 과정

손실빈도(포아송)와 손실심도(로그정규)를 결합하여 총 손실의 확률분포를 생성하는 것이 손실분포접근법의 핵심입니다. 이 결합에는 일반적으로 Monte Carlo 시뮬레이션이 사용됩니다. Monte Carlo 시뮬레이션은 난수(Random Number)를 반복적으로 생성하여 확률적 결과의 분포를 구축하는 방법론으로, 해석적(Analytical) 해법이 존재하지 않는 복잡한 확률 모델에 특히 유용합니다.

Monte Carlo 시뮬레이션 4단계:

단계	상세 내용
Step 1	손실 사건 수 결정: 포아송 분포(파라미터 λ)에서 난수를 하나 추출하여, 해당 시뮬레이션 기간(1년) 동안 발생하는 손실 사건의 수 n을 결정합니다. 예를 들어 λ = 2인 경우, 한 번의 시뮬레이션에서 n = 0, 1, 2, 3, ... 등의 값이 확률적으로 결정됩니다.
Step 2	개별 손실 크기 결정: Step 1에서 결정된 n개의 손실 사건 각각에 대해, 로그정규 분포에서 난수를 n번 추출하여 각 사건의 손실 크기를 결정합니다. 예를 들어 n = 3이면, 3개의 서로 다른 손실 크기가 독립적으로 생성됩니다.
Step 3	총 손실 합산: Step 2에서 생성된 n개의 개별 손실 크기를 모두 합산하여, 해당 시뮬레이션 기간의 총 손실(Total Loss)을 계산합니다. 이것이 하나의 시나리오에 해당합니다.
Step 4	반복 및 분포 생성: Step 1~3의 과정을 수천 번에서 수만 번 반복합니다. 각 반복에서 새로운 난수가 생성되므로, 매번 다른 총 손실이 산출됩니다. 이 수천 개의 총 손실 값을 모으면 손실분포(Loss Distribution)가 생성됩니다.

손실분포가 생성되면, 원하는 백분위수(Percentile) 값을 직접 측정할 수 있습니다. 예를 들어, 시뮬레이션 결과를 크기순으로 정렬했을 때 99번째 백분위수(99th Percentile)는 전체 시뮬레이션 결과의 99%보다 큰 손실 금액에 해당합니다. 이 백분위수에서의 손실과 분포의 평균 손실(Mean Loss) 간의 차이가 해당 신뢰수준에서의 예상치 못한 손실(Unexpected Loss, UL)이며, 이것이 곧 해당 신뢰수준에서 필요한 자본의 양입니다.

---

LO 53.e: 데이터 문제와 편향 (Data Limitations)

운영 리스크 손실 데이터의 역사적 기록은 현재 불충분(Inadequate)합니다. 신용 리스크의 경우 수십 년간 축적된 부도율, 회수율 데이터가 존재하지만, 운영 리스크는 체계적인 데이터 수집 역사가 짧고, 발생 빈도가 낮은 대형 손실 사건의 데이터는 특히 부족합니다. 이러한 데이터 부족은 빈도와 심도를 정확하게 추정하려 할 때 심각한 어려움을 야기합니다. 운영 리스크가 초래하는 극단적 리스크의 심각성을 인식한 금융기관들은 잠재적 손실 사건의 데이터베이스를 구축하기 시작하고 있습니다.

데이터 추정 권고사항

금융기관은 객관적 데이터(Objective Data)와 주관적 판단(Subjective Judgment)을 결합해야 합니다. 바젤위원회의 권고사항에 따른 데이터 소스별 활용 지침은 다음과 같습니다:

추정 대상	권장 데이터 소스	근거
손실빈도	내부 데이터 사용 (객관적 데이터 + 주관적 판단 결합)	손실빈도는 각 기관의 운영 환경, 내부 통제 수준, 비즈니스 구조에 크게 의존하므로, 자사의 내부 데이터가 가장 관련성이 높습니다.
손실심도	내부 및 외부 데이터 모두 활용 (공유 협정, Factiva, Lexis-Nexis 등)	대형 손실 사건은 어떤 개별 기관에서도 충분한 데이터를 축적하기 어렵습니다. 외부 데이터(타 금융기관의 손실 경험)를 활용하면 희귀 사건의 심도를 보다 정확히 추정할 수 있습니다.

잠재적 편향 (Potential Biases)

⚠️ 벤더 데이터의 편향:

Factiva, Lexis-Nexis 등 외부 벤더로부터 구매하는 손실 데이터는 내재적인 보고 편향(Reporting Bias)으로 인해 신뢰성이 제한적입니다. 이 편향은 두 가지 방향으로 작용합니다:

• 크기 편향: 벤더 데이터에는 상대적으로 큰 손실만 포함될 가능성이 높습니다. 소규모 손실은 언론에 보도되거나 공개적으로 알려지지 않기 때문입니다.
• 통제 편향: 내부 통제가 취약한 기업의 손실이 더 많이 포함됩니다. 내부 통제가 강력한 기업은 손실을 사전에 예방하거나 내부적으로 처리하므로 외부에 공개되지 않는 경우가 많습니다.

이러한 이유로 벤더 데이터는 절대적 손실 규모를 추정하는 데는 부적합하지만, 상대적 손실심도(Relative Loss Severity)를 결정하는 데는 유용합니다. 예를 들어, 벤더 데이터에서 손실 유형 1이 손실 유형 2보다 3배 심각하다는 정보를 얻을 수 있고, 만약 은행이 손실 유형 2에 대한 자체 데이터를 보유하고 있다면, 이 비율을 적용하여 손실 유형 1의 심도를 추정할 수 있습니다.

손실 크기 규모 조정 (Scale Adjustment)

외부 데이터를 활용할 때 중요한 문제 중 하나는 규모 조정(Scale Adjustment)입니다. 다른 은행에서 발생한 손실 사건을 자사에 적용하려면, 두 은행 간의 규모 차이를 반영해야 합니다. 그러나 단순한 수학적 비례(예: 매출이 2배이면 손실도 2배)는 실제 손실을 과대 또는 과소 추정할 가능성이 높습니다. 이는 운영 리스크 손실이 은행 규모에 정비례하지 않기 때문입니다.

손실 크기 규모 조정 공식:

\[\text{Bank Y Loss} = \text{Bank X Loss} \times \left(\frac{\text{Revenue}_Y}{\text{Revenue}_X}\right)^{\beta}\]

여기서 β = 0.23이 경험적으로 좋은 적합도(Good Fit)를 제공하는 것으로 알려져 있습니다.

β < 1이라는 것은 손실이 은행 규모에 비례 이하(Sub-Linearly)로 증가한다는 것을 의미합니다. 즉, 은행 규모가 2배가 되더라도 예상 손실은 2배보다 훨씬 적게 증가합니다.

예시: 손실 크기 규모 조정

조건: Bank Z의 관측 손실이 $500만(USD 5 million)이고 매출이 $10억(USD 1 billion)입니다. 매출이 $20억(USD 2 billion)인 Bank Y의 추정 손실은 얼마인가? (β = 0.23 가정)

풀이:

\[\text{Bank Y Loss} = \$5\text{M} \times \left(\frac{\$2\text{B}}{\$1\text{B}}\right)^{0.23} = \$5\text{M} \times 2^{0.23}\]

2^0.23 계산: \(2^{0.23} = e^{0.23 \times \ln 2} = e^{0.23 \times 0.6931} = e^{0.1594} \approx 1.173\)

\[\text{Bank Y Loss} = \$5\text{M} \times 1.173 = \$5.87\text{M}\]

해석: Bank Y의 매출은 Bank Z의 2배이지만, 추정 손실은 $5.87M으로 단순 비례 추정치인 $10M의 절반에 가깝습니다. 이는 운영 리스크 손실이 은행 규모에 비례하지 않고, β = 0.23이라는 낮은 지수에 의해 완만하게 증가함을 보여줍니다.

추가 조정 사항:

• 인플레이션 조정: 과거 손실심도 추정치를 현재 가치로 환산하기 위해 인플레이션 조정이 필요합니다. 과거의 $100만 손실이 현재에는 구매력 기준으로 더 큰 금액에 해당할 수 있습니다.
• 규모 조정: 외부 데이터 사용 시 반드시 β를 이용한 규모 조정을 적용하여, 다른 기관의 손실 경험을 자사 상황에 맞게 변환해야 합니다.

---

LO 53.f: 시나리오 분석 (Scenario Analysis)

시나리오 분석은 추가적인 운영 리스크 데이터 포인트를 얻기 위한 보완적 방법론입니다. 역사적 데이터만으로는 충분하지 않은 고심도-저빈도(High-Severity, Low-Frequency) 사건의 손실을 추정하는 데 특히 유용합니다. 이러한 사건들은 수십 년 또는 수백 년에 한 번 발생하므로 내부 데이터에 포함되어 있지 않을 가능성이 높지만, 발생할 경우 기관의 존립을 위협할 수 있는 극단적 손실을 초래합니다.

시나리오 분석의 특징:

• 규제기관이 적극 권장: 시나리오 분석을 통해 경영진은 아직 발생하지 않은 사건(Events That Have Not Yet Occurred)을 리스크 모델에 통합할 수 있습니다. 이는 과거 데이터에만 의존하는 접근법의 한계를 극복하게 해줍니다.
• 긍정적 효과: 시나리오 분석 과정에서 경영진은 잠재적 운영 리스크 손실에 대한 면역 방법(Immunization Methods)을 적극적으로 모색하게 됩니다. 이는 리스크 인식을 높이고 사전 대비 문화를 형성하는 데 기여합니다.
• 단점: 시나리오 및 비상계획(Contingency Plans) 개발에 경영진의 상당한 시간이 소요됩니다. 다양한 가상 시나리오를 구성하고, 각 시나리오에 대한 대응 방안을 수립하는 것은 자원 집약적인 활동입니다.

시나리오 분석에는 다음과 같은 다양한 접근방식이 포함될 수 있습니다:

• 역사적 시나리오: 은행 자체의 과거 경험에서 도출한 시나리오. 과거에 실제로 발생했던 손실 사건을 기반으로 유사 사건의 재발 가능성을 검토합니다.
• 가상 시나리오: 리스크 팀이 모델링한 가상 시나리오. 과거에 발생하지 않았지만 이론적·논리적으로 가능한 사건을 설계합니다.
• 빈도 기반 분류: 추정 발생 빈도에 따른 손실 분류. 예를 들어 "1,000년에 1회(Millennium Event)", "100년에 1회(Centennial Event)", "10년에 1회(Decennial Event)" 등으로 구분하여, 각 빈도 카테고리별 잠재 손실 규모를 추정합니다.

시나리오 분석의 핵심 목적은 이전에 발생하지 않았거나 자주 발생하지 않지만, 미래에 발생할 수 있는 손실을 고려하는 것입니다. "과거에 없었으니 미래에도 없을 것"이라는 가정은 운영 리스크 관리에서 가장 위험한 사고방식 중 하나이며, 시나리오 분석은 이 가정에 도전합니다.

---

MODULE 53.3: 운영 리스크 관리

LO 53.g: 전향적 접근법 (Forward-Looking Approaches)

경영진이 미래 운영 리스크 손실에 대비하기 위해서는 전향적 접근법(Forward-Looking Approaches)을 적극적으로 활용하는 것이 중요합니다. 과거 데이터에만 의존하는 후향적 접근법은 이미 발생한 리스크만을 반영하므로, 새로운 유형의 리스크나 변화하는 환경에 대응하기 어렵습니다. 다른 회사의 실수, 금융 재난, 무단거래자로 인한 손실에서 교훈을 얻는 것이 전향적 접근의 출발점입니다.

(1) 손실 원인 분석 (Causes of Losses)

손실 원인 분석은 잠재적 운영 리스크를 식별하는 데 편리하고 효과적인 방법입니다. 이 분석의 핵심은 기업 행동(Firm Actions)과 운영 리스크 손실 간의 상관관계(Correlation)를 체계적으로 확인하는 것입니다. 예를 들어, 직원 이직률(Employee Turnover)의 증가가 특정 기간의 운영 손실 증가와 강한 상관관계를 보인다면, 이직이 업무 연속성을 저해하고 오류 발생 가능성을 높이는 원인인지 조사해야 합니다. 마찬가지로, 새로운 컴퓨터 시스템의 도입 시기와 운영 손실 사이에 상관관계가 나타나면, 시스템 전환 과정의 리스크를 재평가해야 합니다.

중요한 상관관계가 발견되면, 반드시 비용-편익 분석(Cost-Benefit Analysis)을 수행해야 합니다. 상관관계의 원인을 제거하거나 완화하는 데 드는 비용이 예상 손실 감소 효과보다 클 수 있기 때문입니다.

(2) 리스크 및 통제 자체평가 (Risk and Control Self-Assessment, RCSA)

RCSA는 운영 리스크 식별 및 측정에서 가장 자주 사용되는 도구(Most Frequently Used Tool) 중 하나입니다. 그 이름에서 알 수 있듯이, 조직 스스로(Self) 자사의 리스크와 통제 상태를 평가(Assessment)하는 프로그램입니다.

RCSA의 기본 접근법:

• 관리자 대상 설문조사: 다양한 비즈니스 라인의 운영을 직접 담당하는 관리자를 대상으로 설문을 실시합니다.
• 인터뷰: 관리자 및 핵심 직원과의 심층 인터뷰를 통해 일상적인 운영 과정에서 감지되는 리스크를 파악합니다.
• 설문지: 표준화된 설문지를 통해 리스크 인식 수준, 통제 활동의 효과성, 잠재적 취약점 등을 체계적으로 수집합니다.
• 보고서 검토: 내부 감사인(Internal Auditors)과 외부 규제기관(Regulators)의 보고서를 검토하여 추가적인 리스크 정보를 확보합니다.

핵심 가정: 관리자가 일상적 운영에 가장 가까이 있으므로(Closest to the Operations), 리스크를 평가하기에 가장 좋은 위치에 있다는 것입니다.

⚠️ RCSA의 근본적 한계:

RCSA의 가장 중요한 한계는 독립적 검증(Independent Verification)을 제공하지 않는다는 것입니다. 관리자가 자신이 통제하지 못하고 있는 리스크(Risks That Are Out of Control)를 솔직하게 공개할 것이라고 합리적으로 기대할 수 없습니다. 관리자는 자신의 영역에서 통제 실패를 보고하는 것이 자신의 평가나 경력에 부정적 영향을 미칠 수 있다고 우려할 수 있으며, 이는 리스크 과소보고(Under-Reporting)로 이어집니다.

따라서 RCSA만으로는 리스크 관리가 불완전하며, 반드시 독립적인 검증 메커니즘(내부 감사, 외부 감사 등)과 결합하여 사용해야 합니다.

건전한 리스크 관리 프로그램은 손실의 빈도와 심도를 정량화하고, 평가를 정기적으로(일반적으로 연간 1회) 업데이트해야 합니다.

(3) 핵심 리스크 지표 (Key Risk Indicators, KRIs)

KRI는 운영 리스크 손실이 발생하기 전에 리스크 수준의 변화를 감지하여 사전 경고(Early Warning)를 제공하는 지표입니다. 적절한 KRI의 식별은 운영 리스크 관리의 효과를 크게 높일 수 있습니다. KRI는 후행지표(Lagging Indicator)가 아닌 선행지표(Leading Indicator) 또는 동행지표(Coincident Indicator)로 기능해야 의미가 있습니다.

KRI 예시	측정 대상	리스크 시그널
직원 이직률 (Employee Turnover)	인적 리스크	높은 이직률 → 업무 연속성 저하, 경험 부족에 의한 오류 증가
임시직 수 (Number of Temporary Positions)	인력 안정성	임시직 비율 증가 → 숙련도 부족, 내부통제 약화 가능성
미충원 직위 (Unfilled Positions)	운영 능력	장기 미충원 → 기존 직원의 과부하, 실수 가능성 증가
최종 실패한 거래 수 (Failed Transactions)	프로세스 리스크	실패율 증가 → 시스템 또는 프로세스의 근본적 문제 시사

KRI가 가치 있는 리스크 지표가 되기 위한 두 가지 필수 조건:

1. 손실과의 예측적 관계(Predictive Relationship): KRI의 변화가 미래의 운영 리스크 손실 발생 또는 증가와 통계적으로 유의미한 상관관계를 가져야 합니다. 단순히 데이터가 있다고 해서 KRI가 되는 것이 아니라, 손실을 실제로 예측할 수 있어야 합니다.
2. 적시에 접근 가능하고 측정 가능(Accessible and Measurable in a Timely Fashion): KRI 데이터를 손실이 발생하기 전에 충분히 일찍 확보할 수 있어야 하며, 객관적으로 측정 가능해야 합니다. 손실이 이미 발생한 후에야 측정 가능한 지표는 경고 기능을 수행할 수 없습니다.

KRI 활용의 궁극적 목적은 기업에게 손실이 발생하기 전에 경고(Warns of Possible Losses Before They Happen)하는 조기경보 시스템을 제공하는 것입니다.

(4) 교육 (Education)

직원들에게 좋은 비즈니스 관행(Good Business Practices)에 대해 교육하는 것은 운영 리스크를 완화하고 법적 분쟁 및 부정적 홍보를 피하기 위한 또 하나의 중요한 단계입니다. 많은 운영 리스크 손실이 직원들의 인식 부족이나 절차 미준수에서 비롯되므로, 지속적이고 체계적인 교육은 비용 대비 높은 효과를 가져올 수 있습니다. 특히 교육에는 이메일 및 전화 커뮤니케이션에 대한 훈련이 포함되어야 합니다. 부주의한 이메일이나 전화 대화가 법적 증거로 사용되거나 기밀 유출의 경로가 되는 경우가 빈번하기 때문입니다.

---

LO 53.h: 운영 리스크 자본 배분

각 비즈니스 유닛(Business Unit)에 운영 리스크 자본을 배분하는 것은 단순한 회계 처리가 아니라, 리스크 관리 행동을 유도하는 강력한 인센티브 메커니즘입니다. 자본이 배분되면, 각 유닛의 관리자는 자신의 유닛에 할당된 자본이 수익성 지표에 직접적으로 영향을 미치므로, 운영 리스크 관리를 개선하려는 동기를 갖게 됩니다.

자본 배분의 효과:

• 리스크의 빈도와 심도를 줄일 수 있는 비즈니스 유닛에는 더 적은 자본이 배분됩니다.
• 자본 배분이 줄어들면, 해당 유닛의 분모(투입 자본)가 감소하므로 투자자본수익률(Return on Invested Capital, ROIC) 측정치가 증가합니다.
• 따라서 관리자는 운영 리스크를 줄이면 자신의 유닛 성과가 개선되므로, 리스크 관리에 적극적으로 투자할 인센티브를 갖습니다.

⚠️ 주의사항 — 자본 감소의 한계:

자본 감소가 항상 이상적인 것은 아닙니다. 특정 리스크를 줄이기 위한 비용(추가 인력 채용, 시스템 투자, 통제 절차 강화 등)이 잠재적 이익(자본 감소로 인한 ROIC 개선)을 초과할 수 있기 때문입니다.

따라서 반드시 비용-편익 분석(Cost-Benefit Analysis)을 수행하고, 각 비즈니스 라인 관리자에게 최적의 운영 리스크 자본(Optimal Amount of Operational Risk Capital)을 배분해야 합니다. "리스크 제로"를 추구하는 것이 아니라, 리스크 감소의 한계비용과 한계편익이 일치하는 지점을 찾는 것이 목표입니다.

---

LO 53.i: 멱법칙 (Power Law)

멱법칙(Power Law)은 주어진 분포의 꼬리(Tail) 특성을 평가할 때 유용한 도구입니다. 운영 리스크 손실이 분포의 꼬리, 즉 극단적 영역에서 발생할 가능성이 높기 때문에, 이 법칙의 사용은 운영 리스크 측정에 특히 적절합니다. 멱법칙은 변수의 극단적 값이 발생하는 확률이 특정한 수학적 패턴을 따른다는 것을 설명합니다.

멱법칙 공식:

\[P(v > x) = \frac{K}{x^{\alpha}}\]

여기서:

• P(v > x): 확률변수 v가 특정 값 x를 초과할 확률
• K: 스케일 파라미터 (분포의 전체적인 수준을 결정)
• α (알파): 꼬리 두께 파라미터(Tail Thickness Parameter)
  α가 작을수록 꼬리가 두꺼움(Thicker Tail) = 극단적 손실이 발생할 확률이 증가
  α가 클수록 꼬리가 얇음(Thinner Tail) = 극단적 손실이 발생할 확률이 감소

일반적으로 이 방정식은 분포의 상위 5%(Top 5%)에 있는 x 값에 대해 가장 잘 적용되는 것으로 알려져 있습니다. 즉, 멱법칙은 분포 전체를 설명하는 것이 아니라, 극단적 꼬리 영역의 행동을 특성화하는 데 특화된 도구입니다.

멱법칙의 적용 분야:

멱법칙의 적용 가능성은 금융 분야를 넘어 매우 광범위합니다. 다양한 자연·사회 현상에서 멱법칙 분포가 관찰됩니다:

• 개인 소득(Income of Individuals): 파레토 법칙 — 소수의 고소득자가 전체 소득의 대부분을 차지
• 기업 규모(Sizes of Corporations): 소수의 초대형 기업과 다수의 소규모 기업
• 주식 거래량(Stock Trading Volumes): 대부분의 날은 평균적 거래량이지만, 간헐적으로 극단적 거래량이 발생
• 지진 강도(Earthquakes): 구텐베르크-리히터 법칙 — 소규모 지진은 빈번하고 대규모 지진은 드물지만 발생
• 운영 리스크 손실(Operational Risk Losses): 가장 최근에 확장된 적용 분야로, 소규모 손실은 빈번하고 대형 손실은 드물지만 극단적일 수 있음

---

LO 53.j: 보험 — 도덕적 해이와 역선택

관리자는 운영 리스크 발생에 대해 보험(Insurance)에 가입할 옵션을 가지고 있습니다. 보험회사는 화재 손실부터 무단거래자 손실까지 거의 모든 유형의 운영 리스크에 대한 보험 상품을 제공합니다. 중요한 의사결정 사항은 얼마나 많은 보험을 구매할 것인가와 어떤 운영 리스크를 보험에 부보할 것인가입니다. 특히 AMA를 사용하여 운영 리스크 자본 요구량을 계산하는 은행은 보험을 활용하여 자본 부담(Capital Charge)을 줄일 수 있습니다.

그러나 보험 시장에서는 보험회사와 리스크 관리자가 직면하는 두 가지 근본적인 문제가 존재합니다: 도덕적 해이(Moral Hazard)와 역선택(Adverse Selection).

(1) 도덕적 해이 (Moral Hazard)

정의: 도덕적 해이란 보험 정책의 존재가 피보험 회사로 하여금 보험 보호가 있을 때 다르게 행동(Act Differently)하게 만드는 현상을 말합니다. 구체적으로, 보험이 손실을 보상해줄 것이라는 기대가 리스크 완화 노력을 약화시킵니다.

예시: 화재 보험에 가입한 기업이 보험이 없었다면 당연히 취했을 화재 안전 예방조치(방화벽 설치, 정기 점검, 소화 설비 투자 등)에 대한 동기가 줄어들 수 있습니다. 보험이 손실을 보상해줄 것이므로, 예방에 투자하는 것이 "낭비"로 느껴지는 것입니다.

보험회사의 도덕적 해이 방어 수단: 보험회사는 도덕적 해이를 억제하기 위해 다음과 같은 계약 조건을 활용합니다:

• 공제금(Deductibles): 손실의 초기 일정 금액을 피보험자가 부담하게 함으로써, 소규모 손실에 대한 주의를 유지하게 합니다.
• 보험한도(Policy Limits): 보상 가능한 최대 금액을 설정하여, 극단적 손실에 대한 완전한 보호를 제공하지 않음으로써 리스크 관리 동기를 유지합니다.
• 공동보험 조항(Coinsurance Provisions): 피보험 기업이 공제금 외에도 손실의 일정 비율(Percentage)을 부담하도록 합니다. 예를 들어 80/20 공동보험에서는 보험회사가 80%, 피보험자가 20%를 부담합니다.

무단거래자 보험의 딜레마

무단거래자 보험은 도덕적 해이의 가장 극단적인 형태를 보여줍니다. 무단거래자가 있는 기업은 보험 보호로 인해 손실 측면의 하방 리스크는 제한되는 반면, 무단거래자의 성공적 투기로 인한 이익은 온전히 기업에 귀속됩니다. 즉, 잠재적 이익은 무제한인 반면 잠재적 손실은 보험으로 보상되는 비대칭적 구조가 형성됩니다.

이러한 정책을 제공하는 보험회사의 대응:

• 거래 한도 명시: 보험 계약에 개별 트레이더의 거래 한도(Trading Limits)를 명확히 규정합니다.
• 비밀 유지 요구: 일부 보험회사는 피보험 기업이 트레이더에게 보험 정책의 존재를 밝히지 않도록 요구할 수 있습니다. 트레이더가 보험의 존재를 알면 더 큰 리스크를 감수할 유인이 생기기 때문입니다.
• 발각 시 제재: 무단거래자가 발견되면 보험료가 대폭 인상되고, 기업의 평판에 심각한 손상이 예상되므로, 기업이 내부 통제를 유지할 동기가 존재합니다.

(2) 역선택 (Adverse Selection)

정의: 역선택이란 보험회사가 좋은 보험 리스크(저위험, Good Insurance Risk)와 나쁜 보험 리스크(고위험, Bad Insurance Risk)를 구별할 수 없는 상황에서 발생하는 정보 비대칭(Information Asymmetry) 문제입니다.

보험회사가 모든 기업에 동일한 보험료를 부과한다면, 내부 통제가 취약한 기업(고위험)은 보험이 자신에게 유리하므로 보험을 적극 구매하고, 내부 통제가 강력한 기업(저위험)은 보험료가 자신의 리스크 수준 대비 과도하다고 느껴 보험을 기피합니다. 결과적으로 보험회사의 고객 풀에는 고위험 기업이 불균형적으로 많이 포함되어, 실제 보험 손실이 보험회사의 예상을 초과하게 됩니다.

역선택 예시

사이버 보험 시장에서 역선택의 전형적인 예를 볼 수 있습니다. 사이버 보안이 취약한 회사는 사이버 공격에 의한 손실 가능성이 높으므로 보험을 적극적으로 구매하려 합니다. 반면, 강력한 사이버 리스크 보호 체계를 갖춘 회사는 사이버 공격에 의한 손실 가능성이 낮으므로, 동일한 보험료가 너무 비싸다고 느낄 수 있습니다. 결과적으로 사이버 보험의 가입자 풀은 사이버 보안이 취약한 기업으로 편중됩니다.

보험회사의 역선택 대응:

• 내부 통제 평가: 각 기업의 내부 통제 수준을 이해하는 데 적극적인 역할을 수행합니다. 보험 가입 심사(Underwriting) 과정에서 기업의 리스크 관리 체계를 면밀히 평가합니다.
• 차등 보험료 적용: 자동차 보험에서 운전자의 사고 이력, 연령, 차종 등에 따라 보험료를 차등 적용하는 것처럼, 각 기업의 리스크 수준에 맞게 보험료를 조정합니다. 리스크 관리가 우수한 기업에는 낮은 보험료를, 취약한 기업에는 높은 보험료를 부과합니다.

---

MODULE QUIZ

Module Quiz 53.1

문제 1. 고급측정접근법(AMA) 하에서 은행의 운영 리스크 자본 요구량을 구성할 때, 리스크는 다음에 대해 집계됩니다:

A. 상업금융과 소매금융
B. 투자금융과 자산관리
C. 관련된 7가지 리스크 유형과 8가지 비즈니스 라인 각각
D. 은행 총수익의 최소 20%를 창출하는 비즈니스 라인만

문제 2. Basel II 규정에 따라, 고급측정접근법을 사용하는 은행은 운영 리스크 자본을 다음 수준에서 계산해야 합니다:

A. 99 백분위수 신뢰수준과 1년 기간
B. 99 백분위수 신뢰수준과 5년 기간
C. 99.9 백분위수 신뢰수준과 1년 기간
D. 99.9 백분위수 신뢰수준과 5년 기간

문제 3. 다음 중 바젤위원회가 식별한 7가지 운영 리스크 유형에 포함되지 않는 것은?

A. 실패한 사업전략
B. 고객, 상품 및 영업관행
C. 고용관행 및 직장안전
D. 실행, 인도 및 프로세스 관리

문제 4. 다음 중 운영 리스크 평가를 위한 측정 접근법 중 소규모 은행에 가장 적합한 것은?

A. 표준접근법
B. 기본지표접근법
C. 고급측정접근법(AMA)
D. 표준접근법 또는 AMA

Module Quiz 53.2

문제 1. 리스크 빈도를 모델링할 때 일반적으로 사용하는 방법은?

A. 포아송 분포 사용
B. 리스크가 높은 상관관계를 가진다고 가정
C. 리스크 빈도와 심도가 동일하다고 가정
D. 가장 최근 손실 데이터에서 직선 추정 사용

Module Quiz 53.3

문제 1. 리스크 및 통제 자체평가(RCSA) 프로그램의 단점은 다음을 고려하지 않는다는 것입니다:

A. 관리자의 전문가 의견
B. 기대손실의 식별
C. 리스크 식별 및 측정의 독립적 검증
D. 리스크 관리 활동의 효과성에 대한 지속적 평가

정답 및 상세 해설

문제	정답	상세 해설
53.1-1	C	은행의 운영 리스크 자본 구성은 해당 은행에 관련된 7가지 리스크 유형과 8가지 비즈니스 라인 각각에 대해 집계됩니다. 총 56개(8×7) 조합에 대해 1년 손실을 추정해야 합니다. A, B는 일부 비즈니스 라인만 언급하고, D는 총수익 기준이라는 잘못된 조건을 제시합니다. (LO 53.b)
53.1-2	C	Basel II 규정은 AMA 사용 은행이 99.9 백분위수 수준에서 1년 기간으로 운영 리스크 자본을 계산하도록 요구합니다. 99%(A, B)가 아닌 99.9%이고, 5년(B, D)이 아닌 1년입니다. (LO 53.b)
53.1-3	A	실패한 사업전략(Failed Business Strategies)은 운영 리스크의 7가지 유형에 포함되지 않습니다. 이는 전략적 리스크에 해당하며, 운영 리스크는 프로세스·인력·시스템·외부 사건에서 비롯되는 손실만 포함합니다. (LO 53.a)
53.1-4	B	기본지표접근법(BIA)은 가장 단순한 방법으로, 덜 정교한(Less-Sophisticated) 소규모 은행에 더 일반적으로 적용됩니다. SA는 중간 규모, AMA는 대형 은행에 적합합니다. (LO 53.b)
53.2-1	A	손실 빈도 모델링에 포아송 분포를 사용하는 것이 일반적입니다. 포아송 분포는 단일 파라미터(λ)를 변화시켜 손실 데이터를 정확하게 설명할 수 있는 분포입니다. 빈도와 심도는 독립적이므로 동일하다고 가정하지 않으며(C), 리스크 간 높은 상관관계 가정(B)이나 직선 추정(D)은 사용되지 않습니다. (LO 53.d)
53.3-1	C	RCSA의 근본적 한계는 리스크 측정 및 식별에 대한 독립적 검증(Independent Verification)을 제공하지 않는다는 것입니다. RCSA는 관리자의 자체 평가에 기반하므로, 관리자가 통제 불능인 리스크를 솔직하게 공개하지 않을 수 있습니다. (LO 53.g)

---

KEY CONCEPTS (핵심 개념 정리)

LO 53.a 핵심

• Basel 정의: "부적절하거나 실패한 내부 프로세스, 인력, 시스템 또는 외부 사건으로 인한 손실 위험"
• 법적 리스크는 포함, 평판 리스크와 전략적 리스크는 제외
• 7가지 유형: 내부사기, 외부사기, 고용관행/직장안전, 고객/상품/영업관행(가장 큰 손실 발생), 물리적자산손상, 영업중단/시스템장애, 실행/인도/프로세스관리
• 대형 리스크: 사이버 리스크, 컴플라이언스 리스크, 무단거래자 리스크
• 무단거래자 방어의 핵심: 프론트 오피스와 백 오피스의 분리

LO 53.b 핵심

• 세 가지 자본 계산 방법: 기본지표접근법(BIA: 총수익의 15%), 표준접근법(SA: 8개 라인별 12~18%), 고급측정접근법(AMA: 내부모델)
• BIA는 소규모/단순 은행, SA는 중간 규모, AMA는 대형 은행에 적합
• AMA: 99.9% 신뢰수준, 1년 기간, 56개 조합(8×7) 추정 필요
• 대형 은행은 자본 요구량 감소를 위해 SA에서 AMA로 전환 권장
• Solvency II: EU가 보험회사에 적용한 유사 규제 프레임워크

LO 53.c 핵심

• AMA의 은행 간 변동성 문제 → 2016년 표준측정접근법(SMA)으로 대체
• SMA 구성요소: 비즈니스 지표(BI), BI 구성요소(BIC), 손실 구성요소(LC)
• LC = 7X + 7Y + 5Z (X: 전체 손실, Y: EUR 1,000만 초과, Z: EUR 1억 초과)
• 운영 리스크 자본 = BIC × ILM, 평균 은행은 ILM = 1

LO 53.d 핵심

• 손실빈도: 포아송 분포(Poisson)로 모델링, 파라미터 λ = 평균 손실 건수
• 손실심도: 로그정규 분포(Lognormal)로 모델링, 비대칭적·팻테일 특성
• 두 차원은 독립적이라고 가정
• Monte Carlo 시뮬레이션 4단계: 포아송에서 n 결정 → 로그정규에서 n번 샘플링 → 합산 → 수천 회 반복
• 99.9분위수 손실 - 평균 손실 = 예상치 못한 손실(자본 요구량)

LO 53.e 핵심

• 손실빈도 추정: 내부 데이터 사용 (객관적 데이터 + 주관적 판단)
• 손실심도 추정: 내부 및 외부 데이터 모두 활용
• 벤더 데이터의 편향: 크기 편향(대형 손실 위주) + 통제 편향(취약한 기업 위주)
• 벤더 데이터는 상대적 손실심도 결정에 더 적합
• 규모 조정: β = 0.23 사용, 손실은 규모에 비례 이하로 증가
• 인플레이션 조정도 필요

LO 53.f 핵심

• 시나리오 분석: 고심도-저빈도 사건의 손실 추정에 유용
• 규제기관 권장: 아직 발생하지 않은 사건 통합 가능
• 역사적 시나리오 + 가상 시나리오 + 빈도 기반 분류 활용
• 단점: 경영진의 상당한 시간 투자 필요

LO 53.g 핵심

• 전향적 방법: 손실 원인 분석, RCSA, KRI, 교육
• RCSA: 가장 많이 사용되는 도구, 관리자 자체 평가 기반
• RCSA의 핵심 한계: 독립적 검증 부재
• KRI 조건 2가지: (1) 손실과의 예측적 관계, (2) 적시 접근/측정 가능
• KRI 목적: 손실 발생 전 사전 경고 시스템

LO 53.h 핵심

• 비즈니스 유닛별 자본 배분 → 관리자의 리스크 관리 개선 장려 (인센티브 메커니즘)
• 자본 감소 → ROIC 증가 → 관리자 리스크 관리 동기 부여
• 단, 리스크 감소 비용 > 이익인 경우 있으므로, 비용-편익 분석 필수

LO 53.i 핵심

• 멱법칙: P(v > x) = K / x^α
• 분포의 꼬리 특성 평가에 유용, 상위 5%에 주로 적용
• α 작을수록 꼬리 두꺼움 = 극단 손실 확률 상승
• 운영 리스크 손실이 꼬리에서 발생할 가능성이 높아 적용 적합

LO 53.j 핵심

• 도덕적 해이: 보험 보호로 인해 회사가 다르게(더 위험하게) 행동
• 도덕적 해이 방어: 공제금, 보험한도, 공동보험 조항
• 역선택: 보험회사가 좋은(저위험) 리스크와 나쁜(고위험) 리스크를 구별 불가
• 역선택 방어: 내부 통제 평가, 차등 보험료 적용
• AMA 사용 은행은 보험으로 자본 부담 경감 가능

---

시험 대비 한 줄 암기 체크리스트

주제	암기 포인트
운영 리스크 정의	부적절/실패한 내부 프로세스·인력·시스템 또는 외부 사건 → 손실 위험
포함/제외	법적 리스크 = 포함 / 평판 리스크, 전략적 리스크, 실패한 사업전략 = 제외!
운영 리스크 7가지 유형	내부사기 / 외부사기 / 고용관행 / 고객상품영업(최대 손실) / 물리적자산 / 영업중단시스템 / 실행인도프로세스
대형 리스크 3가지	사이버 / 컴플라이언스 / 무단거래자
무단거래자 방어	프론트 오피스 ↔ 백 오피스 분리 (직무분리 원칙)
자본 계산 3가지 방법	BIA(15%) / SA(8개 라인별 12~18%) / AMA(내부모델, 99.9%)
SA 자본계수	18%: 기업금융·트레이딩·결제정산 / 15%: 상업금융·대행 / 12%: 소매·자산관리·중개
AMA 핵심 숫자	99.9% 신뢰수준, 1년 기간, 56개 조합 (8×7)
SMA 구성요소	BI + BIC + LC, LC = 7X+7Y+5Z, 평균 은행은 BIC = LC, ILM = 1
손실빈도 분포	포아송 분포 (Poisson), 파라미터 λ
손실심도 분포	로그정규 분포 (Lognormal), 비대칭·팻테일
Monte Carlo 4단계	포아송→n결정 / 로그정규→n번샘플 / 합산 / 수천회반복
데이터 소스	빈도=내부 / 심도=내부+외부 / 벤더=상대적 심도에 적합
규모 조정 β	β = 0.23 (손실은 규모에 비례 이하로 증가)
시나리오 분석	고심도-저빈도 사건, 규제기관 권장, 미발생 사건 통합 가능
RCSA 한계	독립적 검증 부재 (관리자 자체평가의 한계)
KRI 조건 2가지	손실과 예측적 관계 + 적시 접근/측정 가능
자본 배분 원리	비즈니스 유닛별 배분 → ROIC 인센티브 → 비용-편익 분석 필수
멱법칙 α	α 작을수록 꼬리 두꺼움 (극단 손실 확률 상승), 상위 5%에 적용
도덕적 해이	보험 있으면 더 위험하게 행동 → 방어: 공제금·한도·공동보험
역선택	보험회사가 고/저 리스크 구별 불가 → 고위험 유치 → 방어: 차등 보험료

---