FRM Part I – Reading 8
전사적 리스크 관리와 미래 동향 (Enterprise Risk Management and Future Trends)
EXAM FOCUS
핵심 학습 목표
전사적 리스크 관리(ERM)는 기업 내 각 위험이 특정 부서에 의해 개별적으로 평가, 관리, 완화되던 전통적 접근법에서 벗어나 등장한 비교적 최근의 개념입니다. 이 Reading에서는 ERM의 개념과 정의, 장단점, ERM 프로그램의 5가지 중요한 차원에 대해 학습합니다. 강한 리스크 문화의 중요성과 이를 방해하는 요인, 시나리오 분석의 역할, 그리고 시나리오 분석과 스트레스 테스트가 자본 계획에서 어떤 역할을 하는지를 탐구합니다.
시험에서 반드시 할 수 있어야 하는 것
- 사일로(silo) 기반 리스크 관리에서 전사적 접근법으로의 전환과 그 이유
- ERM의 도입 동기와 사일로 대비 장점
- ERM의 5가지 차원: 목표(Targets), 구조(Structure), 식별/측정(Identification & Metrics), 전략(Strategies), 문화(Culture)
- 리스크 문화의 정의, FSB 4대 지표, 문화 강화 요인, 문화 구축 장애물
- 민감도 분석 vs 시나리오 분석 구분
- 시나리오 분석의 장점과 단점(동전의 양면 관계)
- SCAP, DFAST, CCAR의 구조와 차이
- 스트레스 테스트와 자본 계획의 연결, CoCos의 ERM 관점
- 역방향 스트레스 테스트(Reverse stress testing)의 개념
MODULE 8.1: 전사적 리스크 관리 (Enterprise Risk Management)
LO 8.a: ERM의 개념과 전통적 사일로 기반 리스크 관리와의 비교
1. 기업이 직면하는 다양한 리스크
기업은 회사 운영에서 발생하는 다양한 리스크에 직면합니다. 여기에는 신용 리스크(credit risk), 시장 리스크(market risk), 유동성 리스크(liquidity risk), 운영 리스크(operational risk), 사업 리스크(business risk), 정보기술(IT) 리스크 등이 포함되지만 이에 국한되지는 않습니다. 현실에서 이 리스크들은 서로 독립적으로 존재하지 않으며, 하나의 리스크가 다른 리스크를 촉발하거나 증폭시키는 상호의존적(interdependent) 특성을 가지고 있습니다.
2. 전통적 접근법: 사일로(Silo) 기반 리스크 관리
전통적인 리스크 관리 접근법에서는 이러한 각각의 주요 리스크 유형이 조직 내 특정 부서에 의해 독립적으로(in isolation) 평가되었습니다. 이를 사일로 기반 리스크 관리 시스템(silo-based risk management system)이라 합니다. 예를 들어, 기업의 트레이더들이 시장 리스크를 관리하고, 보험계리사(actuary)가 보험 리스크를 관리하며, 경영진이 사업 리스크를 분석하는 식입니다. 각 부서는 자체 KPI와 손익 기준으로 리스크를 평가하고, 자체 정책과 기준을 설정하며, 사업라인과 리스크 단위 간 조율 없이 운영됩니다.
3. 사일로 접근법의 구조적 한계
전통적인 사일로 기반 접근법은 변동성이 낮은 시장 환경에서는 적절했을 수 있지만, 리스크의 동적 특성과 상호의존성을 무시한다는 근본적 결함을 가지고 있습니다. 이 결함은 여러 차원에서 나타납니다.
| 한계 영역 | 상세 설명 |
| 상호의존성 무시 | 하나의 리스크 유형이 다른 리스크에 영향을 미칠 수 있습니다. 예: 시장 리스크(금리 급등) → 채권 평가손 → 담보가치 하락 → 마진콜/추가 담보 요구 → 유동성 리스크 현실화 → 자산 급매각(fire sale) → 시장 리스크 재증폭. 이러한 리스크 루프(feedback loop)를 부서별 관리에서는 포착할 수 없습니다. |
| 과잉 헤지/비효율 | 기업 전체 관점에서 보면 리스크(또는 그 헤지)가 상쇄(offsetting)될 수 있습니다. 각 주요 리스크 유형을 독립적으로 다루면 이러한 상호의존성을 무시하게 되어 기업 수준에서 비효율적이고 비용이 많이 드는 리스크 과잉 헤지(overhedging)가 발생할 수 있습니다. 시장위험팀은 금리 변동을 줄이려 헤지를 강하게 걸고, ALM은 부채 측에서 자연 상쇄된다고 판단해 헤지를 줄이려 하는 식의 충돌이 생깁니다. |
| 보고 체계의 분절 | 리스크 평가와 측정을 담당하는 다양한 기능 단위들이 모두 다른 방법론과 형식을 사용할 수 있습니다. 중앙집중식 리스크 관리 시스템이 없으면, 기업의 고위 경영진과 이사회는 각각 잠재적으로 다른 측정 방법을 활용하는 다양한 단위로부터 분절된 정보(fragmented information)를 받게 됩니다. "우리 회사가 진짜로 가장 위험한 것이 무엇인가?", "위험이 결합하면 얼마나 커질 수 있는가?"에 대한 일관된 답이 나오지 않습니다. |
| 크로스오버 리스크 미포착 | 리스크가 다른 리스크를 새로 만들어내는 크로스오버(crossover) 현상을 개별 부서에서는 식별하기 어렵습니다. 사이버 사고가 IT 리스크에서 시작해 고객정보 유출(평판 리스크) → 고객 이탈(사업 리스크) → 감독당국 제재(규제 리스크) → 소송/배상(운영 리스크)으로 번지는 경우가 대표적입니다. |
4. ERM의 정의: 전사 관점의 통합 프레임워크
전통적 접근법의 언급된 단점들을 감안할 때, 통합되고 중앙집중화된 프레임워크가 기업 리스크를 관리하는 효율성을 상당히 증가시킬 것입니다. 이러한 중앙집중적 접근법을 전사적 리스크 관리(Enterprise Risk Management, ERM)라고 합니다.
ERM은 기업의 핵심 리스크를 관리하여 사업 목표를 충족하고, 예상치 못한 수익 변동성을 최소화하며, 기업 가치를 극대화하기 위한 포괄적이고 통합된 프레임워크입니다. 리스크를 식별하고 우선순위를 매기는 최선의 방법입니다.
리스크 관리 도구에는 리스크의 회피(avoiding), 보유(retaining), 완화(mitigating), 이전(transferring)이 포함됩니다. 사일로 접근법에서는 이것들이 전체 기업 리스크에 대한 전략적 접근 없이 일반적으로 별도의 결정으로 처리됩니다. ERM 관점에서는 리스크가 전체의 구성 요소로 간주됩니다.
| 비교 항목 | 사일로 기반 리스크 관리 | ERM |
| 리스크 관점 | 부서별/리스크 유형별 독립 관리 | 전사 전체의 통합 관점에서 관리 |
| 상호의존성 | 무시됨 | 크로스오버/상관관계가 핵심 고려사항 |
| 헤지 효율 | 과잉 헤지, 중복 보험 가능 | 상쇄되는 리스크를 식별하여 비용 최적화 |
| 보고 | 부서별 다른 방법론, 분절된 보고 | 통일된 측정 기준, 일관된 보고 |
| 의사결정 | 회피/보유/완화/이전이 별도 결정 | 전사 최적화 관점에서 전략적 결정 |
| 초점 | 각 부서의 일상적 위협 | 기업 생존을 위협하는 최대 리스크 |
| 신흥 리스크 | 부서 간 사각지대 발생 | 사이버/평판/AML 등 전사 수준에서 관리 |
LO 8.b: ERM 도입 동기
ERM 접근법이 기업에 제공하는 구체적 이점
ERM의 장점을 한 문장으로 요약하면, 기업이 망하는 것은 일상적인 작은 리스크가 아니라 상호작용하는 큰 꼬리위험(tail risk)이기 때문에, 그것을 전사 관점에서 먼저 찾아야 한다는 것입니다. ERM 접근법이 리스크 관리에 제공하는 구체적인 이점은 다음과 같습니다.
| 이점 | 상세 설명 |
| 전사 리스크 선호도 정의 | ERM은 관리자가 전체 기업의 리스크 선호도(risk appetite)를 정의하고, 리스크에 부과된 제약을 준수하도록 돕습니다. 중요한 것은 슬로건이 아니라, 보상체계, 한도, 승인 권한이 선호도와 연결되는 것입니다. "보수적"이라고 말하면서 성과급을 단기 P&L 위주로 주면 직원은 리스크를 더 크게 걸게 됩니다. |
| 최대 위협에 집중 | 관리자가 특정 단위와 사업라인에 대한 일상적 위협보다는 기업에 대한 최대 위협, 기업 생존에 대한 위협에 집중할 수 있게 합니다. 사일로에서는 "우리 부서 오늘 손실"이 커 보이지만, ERM에서는 "이 손실이 회사 자본을 얼마나 갉아먹는가?", "동시에 다른 부서에서도 비슷한 손실이 터질 수 있는가?"로 우선순위가 바뀝니다. |
| 개별 사업라인의 전사 위협 식별 | ERM은 개별 사업라인에서 발생하는 전체 운영에 대한 위협을 식별합니다. 한 사업부의 리스크가 다른 사업부로 전이되거나 전사적으로 증폭되는 경로를 포착합니다. |
| 신흥 리스크 관리 | 사이버 위협, 평판 리스크, 자금세탁방지(AML) 리스크와 같은 신흥 리스크는 전사 수준에서 더 잘 관리됩니다. 사이버 사고는 IT만의 문제가 아니라 고객정보 유출(평판) → 고객 이탈(사업) → 감독당국 제재(규제) → 소송/배상(운영)으로 번지기 때문입니다. |
| 규제 준수 지원 | ERM은 규제 준수(regulatory compliance)를 지원합니다. |
| 이해관계자 안심 | ERM은 금융기관의 주주 및 기타 이해관계자에게 안심을 제공합니다. |
| 크로스오버/상관 리스크 이해 | ERM은 관리자가 크로스오버 리스크(리스크가 추가 리스크를 만드는 경우)와 특정 리스크 유형 간의 상관관계를 이해하도록 돕습니다. |
| 리스크 이전 비용 최적화 | 다양한 리스크의 규모에 맞추어 리스크 이전의 총 비용(보험/파생/CDS 등)을 최적화합니다. 어떤 위험을 얼마나 옮기고(transfer), 어떤 것을 내부에 남기고(retain), 어떤 것을 피하고(avoid), 어떤 것을 완화할지(mitigate)를 전사 비용 최소화 + 생존확률 최대화로 결정합니다. |
| 자본비용의 가격/전략 반영 | 스트레스 테스트와 관련된 자본비용이 가격결정과 의사결정에 통합됩니다. 상품/딜/전략을 볼 때 "이것이 스트레스에서 자본을 얼마나 잡아먹는가?"를 가격에 반영하게 됩니다. |
| 전략적 의사결정에 리스크 반영 | 리스크가 사업 모델 선택과 은행의 전략적 결정에 통합됩니다. |
LO 8.c: ERM 프로그램의 거버넌스와 구현을 위한 모범 관행
1. 기업 거버넌스의 핵심 역할
기업 거버넌스(Corporate Governance)는 성공적인 ERM 프로그램 구현에 결정적이며, 고위 경영진과 이사회가 리스크를 적절히 통제하기 위한 필요한 조직적 관행과 프로세스를 갖추도록 보장합니다. 기업 거버넌스 관행은 Turnbull 보고서와 Sarbanes-Oxley Act를 포함한 최근의 규제 이니셔티브를 통해 상당히 발전했습니다.
성공적인 기업 거버넌스 프레임워크가 요구하는 핵심 사항은 다음과 같습니다:
| 요건 | 상세 설명 |
| 리스크 선호도/손실 허용치 정의 | 고위 경영진과 이사회가 기업의 리스크 선호도(risk appetite)와 리스크 및 손실 허용 수준(risk and loss tolerance levels)을 적절히 정의 |
| 리스크 이니셔티브에 대한 헌신 | 경영진이 리스크 이니셔티브에 지속적으로 헌신하고, 기업이 ERM 프로그램을 성공적으로 구현하기 위한 필요한 리스크 관리 기술과 조직 구조를 갖추도록 보장 |
| 핵심 리스크의 ERM 통합 | 모든 핵심 리스크가 ERM 프로그램에 성공적으로 통합 |
| 역할과 책임의 명확한 정의 | 프로그램 구현을 담당하는 사람들이 CRO(최고리스크책임자)의 역할을 포함하여 명확히 정의된 리스크 역할과 책임을 가짐 |
| 감독/감사/모니터링 | 감독(oversight), 감사(audit), 모니터링 목표는 ERM 거버넌스 프로세스의 중요한 구성요소 |
2. ERM 프로그램의 5가지 차원 (Five Dimensions)
ERM은 단순히 "리스크를 잘 본다"는 것이 아니라, 다음 5가지 중요한 차원이 서로 맞물리는 운영 체계입니다. 이 5가지 차원의 상호작용을 이해하는 것이 기업 리스크를 이해하는 데 중요합니다.
차원 1: 목표(Targets) - "리스크 목표가 전략과 충돌하면 ERM은 즉시 붕괴한다"
은행은 올바른 리스크 목표를 설정해야 합니다. 리스크 목표는 기관의 전략적 목표와 충돌해서는 안 됩니다. 목표에는 다음 두 가지가 포함됩니다:
| 목표 유형 | 설명 | 실행 장치 (연결되어야 하는 것) |
| 리스크 선호도 (Risk Appetite) | 기업이 감수할 의향이 있는 리스크의 범위 | 보상 계획(compensation plans), 글로벌 리스크 한도(global risk limits)와 같은 운영 메커니즘이 리스크 선호도에 연결 |
| 전략적 목표 | 기업의 리스크 선호도에 비추어 설정된 성장/수익 목표 | 딜 승인 기준, 사업 포트폴리오 구성, 자본 배분 |
가장 흔한 ERM 실패 원인은 여기서 발생합니다: 문서상으로는 "우리는 과도한 위험을 지지 않는다"고 명시하면서, 현실에서는 성과급 구조가 위험을 져야 커지도록 설계된 불일치가 존재하는 경우입니다.
차원 2: 구조(Structure) - "누가 무엇을 결정하는가"
ERM 구조의 일부로서, 관련 당사자의 역할이 정의됩니다. 여기에는 CRO(최고리스크책임자), 글로벌 리스크 위원회, 기타 리스크 위원회의 역할과 함께 기업의 거버넌스 구조에 대한 설명이 포함됩니다. 구조는 전사적 리스크가 식별되고 직접적 손실과 간접적 손실(평판, 규제, 연쇄 손실) 모두가 고려되도록 보장해야 합니다. 보고라인(사업라인 관리자 → 리스크 위원회 → CRO)이 ERM 구조에서 설정됩니다.
핵심은 리스크가 "어느 부서의 문제"가 아니라 "회사 전체의 의사결정"으로 올라오게 만드는 파이프라인을 설계하는 것입니다.
차원 3: 식별과 측정(Identification & Metrics) - "위험을 찾고 같은 언어로 재기"
기업 리스크는 기업에 대한 영향, 리스크의 심각성, 그리고 이상적으로는 발생 빈도의 관점에서 측정되어야 합니다. ERM의 한 가지 목표는 기업이 전사 리스크를 포착하기 위한 올바른 측정 지표(metrics)를 갖추도록 하는 것입니다. 사용되는 지표에는 다음이 포함됩니다:
| 측정 도구 | 설명 |
| 시나리오 분석 (Scenario Analysis) | 여러 변수가 동시에 움직이는 상황을 서사(narrative)와 함께 분석 |
| 스트레스 테스트 (Stress Testing) | 극단적 시나리오에서의 영향을 평가 |
| VaR (Value at Risk) | 특정 신뢰수준에서의 최대 예상 손실 |
| Total Cost of Risk | 리스크 관리의 전체 비용 접근법 |
| 전사 리스크 맵핑 (Enterprise-wide Risk Mapping) | 전사적 리스크를 시각적으로 매핑(heat map 등) |
| 리스크별 지표 (Risk-specific Metrics) | 각 리스크 유형에 특화된 측정 지표 |
| 리스크 플래깅 도구 (Risk Flagging Tools) | 조기경보 시스템 |
식별 측면에서, 리스크 관리자는 집중(concentration)을 인식해야 합니다. 집중은 평상시에는 "효율"처럼 보이지만, 위기 때 동시에 터지는 상관 구조를 만듭니다.
| 집중 유형 | 예시 |
| 신용 리스크 집중 | 은행 대출 포트폴리오 내 특정 차주/지역에 대한 과도한 노출 |
| 섹터 집중 | 특정 산업(예: 부동산)에 속한 기업에 대한 너무 많은 대출 |
| 대출 유형 집중 | 토지 개발 대출(land development loans) 등 특정 유형에 대한 과도한 비중 |
| 차주 수준 집중 | 차입 기업이 단일 공급업체에 대한 과도한 의존, 공급망 충격 시 신용 리스크 급등 |
| 외부 의존 집중 | 금융기관이 특정 데이터 제공자, 리스크 분석 제공자, 기술 제공자에 대한 과도한 의존 |
차원 4: ERM 전략(Strategies) - "위험을 전사 최적화로 다루기"
기업은 전사(whole-firm) 및 사업라인 수준에서 리스크를 관리하는 데 사용될 방법과 전략을 명확히 해야 합니다. 리스크를 회피할지, 완화할지, 이전할지에 대한 결정은 전사 수준에서 이루어져야 합니다. 리스크 이전 수단도 식별되어야 합니다. 사일로는 "우리 부서 손실 최소화"로 최적화하지만, ERM은 "회사 가치/생존 확률 + 비용"으로 최적화합니다.
차원 5: 문화(Culture) - "ERM의 심장이자 영혼"
기업의 리스크 문화는 ERM의 심장이자 영혼입니다. 기업은 최고 경영진의 목표, 관행, 행동을 통해 조직 전체 직원에게 리스크 관리의 중요성을 내면화(instill)해야 합니다. 수학적 모델보다 강한 것이 사람의 행동이며, 문화는 구호가 아니라 습관입니다.
Module Quiz 8.1
문제 1. 전사적 리스크 관리(ERM)의 기초는:
A. 리스크가 각 리스크 단위 내에서 관리되지만 고위 경영진 수준에서 중앙집중화된다.
B. 사일로 접근법이 최적의 리스크 관리 전략이다.
C. 리스크는 각 사업 또는 리스크 단위 내에서 관리되고 중앙집중화되어야 한다.
D. 대부분의 리스크를 감독하기 위해 CRO를 임명하는 것이 필수적이다.
문제 2. Jimi Chong은 중견 금융기관의 리스크 분석가입니다. 그는 최근 ERM 프로세스를 설명하는 기사를 접했는데, 잘 쓰이지 않았다고 생각하여 부정확하다고 판단한 네 가지 진술을 식별했습니다. Chong이 식별한 진술 중 실제로 올바른 것은?
A. 완전히 중앙집중화된 ERM 프로세스의 단점 중 하나는 리스크 과잉 헤지와 과도한 보험 가입이다.
B. ERM의 이점에는 사업 수준에서의 더 나은 리스크 관리, 향상된 사업 성과, 더 나은 리스크 보고가 포함된다.
C. ERM은 잠재적 위협을 분석하기 위해 시나리오 분석 대신 민감도 분석을 사용한다.
D. 강력한 ERM 프로그램은 기업이 기업에 직면한 가장 큰 리스크에 집중할 수 있게 한다.
문제 3. ERM 프로그램의 일부로 설정되어야 하는 목표는?
A. 다수의 스트레스 테스트 시나리오 하의 최대 VaR.
B. 기업의 리스크 선호도(risk appetite).
C. 기업의 Tier 1 자본 대 자산 비율.
D. ERM 위원회의 최적 규모.
MODULE 8.2: 리스크 문화와 시나리오 분석 (Risk Culture and Scenario Analysis)
LO 8.d: 리스크 문화의 정의, 강한 리스크 문화의 특성, 구축 도전과제
1. 리스크 문화의 정의와 중요성
기업의 리스크 문화(risk culture)란 직원들의 행동에 영향을 미치는 목표, 관습, 가치, 신념(암묵적 및 명시적 모두)입니다. 이러한 기업 규범은 개인이 리스크를 이해하고 대응하는 방식을 안내합니다. 한 줄로 말하면, 직원들이 "위험"이라는 단어를 들었을 때 자동으로 떠올리는 행동 규칙입니다.
은행 감독당국은 2007-2009년 금융위기 이후 리스크 문화를 은행 실패의 주요 기여 요인으로 식별했습니다. 약한 리스크 문화의 사례는 다음과 같습니다:
| 사례 | 설명 |
| LIBOR 금리 조작 스캔들 (2012년 발각) | 은행들이 벤치마크 금리를 조작하여 자사에 유리한 포지션을 만든 사건 |
| 은행의 자금세탁(Money Laundering) | 금융기관이 불법 자금의 세탁을 방조하거나 묵인한 사례 |
| 서브프라임 대출 (금융위기 이전) | 금융위기 이전 많은 금융회사의 대출 문화 일부였던 서브프라임 대출 관행 |
2. 리스크 문화의 다층 구조
강한 리스크 문화를 확립하는 것이 어려운 이유는 그것이 다층적(multilayered)이기 때문입니다. 개인은 기업에서 일하기 시작할 때 자신만의 리스크 태도를 가지고 옵니다. 인구통계, 가족 배경과 경험, 성격, 직업적 규범과 기준 모두가 개인의 리스크 선호도에 영향을 미칩니다. 동료뿐만 아니라 경영진도 직원의 리스크 행동에 영향을 미칩니다.
| 문화 수준 | 영향 요인 |
| 개인 수준 | 성향, 경험, 윤리관, 가족 배경, 전문적 규범 |
| 그룹(팀) 수준 | 또래 압력, 집단사고(group think), 비슷한 사고방식을 가진 개인의 채용 필터 |
| 기업(전사) 수준 | 경영진의 톤(tone), 보상 구조, 징계/승진 기준, 공식 정책 |
3. FSB의 4대 리스크 문화 지표
기업은 리스크 문화 측면에서 진행 상황을 측정하는 방법이 필요합니다. 한 가지 방법은 기업의 핵심 리스크 문화 지표를 식별하는 것입니다. 금융안정위원회(Financial Stability Board, FSB)는 네 가지 리스크 지표를 지정했습니다:
| FSB 지표 | 핵심 질문 | 실무적 의미 |
| 1. 조직 상위의 톤 (Tone from the Top) | 경영진의 행동이 명시된 리스크 목표/선호도와 충돌하는가? 보상 계획이 기업의 가치를 지지하는가, 아니면 리스크 추구를 장려하는가? 이사회가 리스크 선호도와 기업 전략/목표 간의 적합성을 어떻게 소통하는가? | 윗사람이 말과 행동이 같아야 합니다. "보수적 경영"을 말하면서 공격적 목표를 밀어붙이면 문화는 붕괴합니다. |
| 2. 효과적 의사소통과 도전 (Communication & Challenge) | 반대 의견이 가치 있게 여겨지는가? 경영진의 "이견에 대한 개방성" 평가가 있는가? 리스크 관리에 지위(stature)가 부여되는가(성과에만 부여되는 것이 아니라)? | 실적 좋은 스타 트레이더/영업이 "성역"이 되면, 리스크 조직이 문제를 알아도 말을 못 하게 됩니다. 이 지표가 현실에서 가장 자주 죽습니다. |
| 3. 인센티브 (Incentives) | 보상 계획이 리스크 선호도/리스크 문화를 지지하고 이에 부합하는가? | 성과급이 단기 P&L에만 연동되면 직원은 과도한 리스크를 추구하게 됩니다. |
| 4. 책임 (Accountability) | 기대가 명확한가? 에스컬레이션 프로세스가 사용되는가? | 위반 시 실질적 결과가 따르고, 문제를 상위에 보고하는 명확한 경로가 존재해야 합니다. |
4. 강한 리스크 문화 구축을 위한 추가 요인들
| 요인 | 핵심 질문/설명 |
| 리스크 선호도에 대한 인지 | 직원이 기업의 리스크 선호도를 이해하는가? 소통되고 있는가? 일상적 사업 운영에서의 적용에 대한 질문에 답할 수 있는가? |
| 리스크 리터러시(문해력) | 리스크에 관한 교육 프로그램이 있는가(참석되는가)? 직원이 리스크를 설명하는 데 사용되는 용어와 리스크 감수의 결과를 아는가? |
| 리스크 정보의 흐름 | 리스크에 대한 정보가 기업 전체에 걸쳐 흐르는가? 리스크 논의와 기업 관리자의 결정 사이에 명확한 연결이 있는가? |
| 관리자의 리스크/보상 결정 | 관리자가 기업의 리스크 선호도 맥락에서 리스크와 보상에 관해 일관적인가? |
| 리스크 관리의 위상(Stature) | CRO와 다른 리스크 관리자가 기업에서 지위를 가지는가? 누가 리스크 관리자를 고용하고 해고하는가? |
| 내부고발과 에스컬레이션 | 직원이 기업 리스크를 보고하고 싶을 때 에스컬레이션 프로세스를 이해하는가? 내부고발자가 신고할 수 있는 방법이 마련되어 있는가? |
| 이사회의 우선순위 | 이사회 구성원이 상위 10개 기업 리스크를 열거할 수 있는가? 이러한 리스크와 관련된 산업 재난을 열거할 수 있는가? |
| 위반자에 대한 조치 | 리스크 기준을 위반한 직원에게 징계가 이루어지는가? |
| 리스크 문화 우려/사건 식별 | 기업이 리스크 사건과 위반에 대응하여 취해진 조치를 식별할 수 있는가? |
산업 및 전문적 규범, 신용 사이클(예: 금융위기 이전의 대출 기준과 행동), 경제 사이클, 변화하는 산업 관행, 전문적 및 규제 기준, 국가 리스크와 부패 지수 등 외부 요인도 리스크 문화에 영향을 미칩니다. 설문조사 및 기타 데이터를 사용하여 리스크 문화 점수를 개발할 수 있지만, 이러한 측정은 기업의 리스크 문화 실패와 관련된 손실을 정량화하지는 못합니다.
5. 리스크 문화 구축의 장애물
기업이 견고한 리스크 문화를 발전시키는 것을 방해할 수 있는 요인들이 있습니다. 이 장애물들은 시험에서 자주 출제됩니다.
| 장애물 | 상세 설명 |
| 리스크 지표가 리스크 레버가 됨 (Risk indicators → Risk levers) | 기업은 리스크의 지표를 식별해야 합니다. 그러나 많은 경우 실제로 기업의 리스크 문화를 개선하는 것보다 리스크 지표를 관리(조작)하는 것이 더 쉽습니다. "문화 개선" 대신 "측정 지표만 좋게" 만들려는 유혹입니다. |
| 리스크 교육의 범위 | 리스크 교육은 직원만을 위한 것이 아니라, 이사회 구성원을 포함한 조직 전체에 걸쳐 중요합니다. 이사회는 핵심 기업 리스크를 열거하고 핵심 리스크를 기업의 리스크 선호도와 연관시킬 수 있어야 합니다. 모든 직원과 이사회가 사용하는 공통 리스크 언어를 갖는 것이 유용합니다. |
| 조직 및 시간에 걸친 리스크 | 리스크는 일반적으로 전사 수준이 아닌 사업라인에서 확립됩니다. 사업라인은 종종 자체 리스크 문화(예: 영업 문화)를 발전시킵니다. 기업은 다수의 사업라인에도 나타나는 리스크를 식별하는 메커니즘을 가져야 합니다. |
| 문화 사이클 (Culture Cycle) | 리스크 문화는 위기 시에 더 뚜렷하며, 위기 기간 동안 되살아나는 감정과 두려움은 시간이 지나면서 사라집니다. 위험한 행동은 위기 동안과 직후에 줄어들 수 있지만, "고통"의 기억이 퇴색하면서 다시 부활합니다. |
| 데이터의 저주 (Curse of Data) | 리스크 분석에 사용할 수 있는 데이터가 점점 증가하고 있습니다. 예를 들어, 병가 일수(인사 데이터)가 리스크/리스크 문화 지표가 될 수 있습니다. 데이터가 더 풍부해지면서, 기업은 가용한 정보의 풍부함에서 유용한 통찰과 결론을 도출하기 위해 머신러닝을 활용해야 할 수 있습니다. |
(1) "사업라인 수준의 관리자가 전체 기업과 동일한 리스크 선호도를 가지고 있는 한, 사업라인 직원의 리스크 허용치는 무관하다"는 틀린 진술입니다. 리스크 문화는 사업라인 관리자뿐 아니라 조직 전체에 스며들어야 합니다.
(2) "CRO를 고용하면 우리 기관이 직면한 리스크 문화 문제가 해결될 것이다"도 틀린 진술입니다. CRO 고용은 문화 변화를 신호할 수 있지만 모든 리스크 문화 문제를 "고치지"는 않습니다. 리스크 선호도와 리스크 허용치에 대한 실질적 변화 없이 장식(window dressing)이나 리브랜딩으로 인식될 수 있습니다.
LO 8.e: ERM 구현에서 시나리오 분석의 역할, 장점과 단점
1. 민감도 분석 vs 시나리오 분석: 근본적 차이
시나리오 분석을 이해하려면 먼저 민감도 분석(sensitivity analysis)과의 차이를 명확히 해야 합니다. 이 구분은 시험에서 매우 중요합니다.
| 특성 | 민감도 분석 (Sensitivity Analysis) | 시나리오 분석 (Scenario Analysis) |
| 변수 | 한 번에 하나의 변수만 변경 | 여러 변수를 동시에 변경 |
| 서사(Narrative) | 없음 (단순 수치 변경) | 변수가 왜 변하는지, 그 효과가 무엇인지 설명하는 서사 개발 |
| 예시 | "금리 +100bp일 때 순이익 영향" | "글로벌 경기침체 → 실업률 상승 → 연체율 상승(신용) + 주가 하락(시장) + 유동성 경색 + 평판 리스크" |
| 장점 | 단순하고 빠름 | 현실적인 리스크 상호작용 반영 |
| 한계 | 현실에서는 변수가 독립적으로 움직이지 않음 | 복잡성, 확률 추정 어려움 |
| ERM에서의 위치 | ERM에서 사용하지 않음 (시험 포인트) | ERM의 핵심 리스크 식별 도구 |
2. VaR 모델의 한계와 시나리오 분석의 부상
VaR와 같은 확률적 리스크 지표(probabilistic risk metrics)는 2007-2009년 글로벌 금융시장이 붕괴하면서 약점이 드러났습니다. VaR 모델에 기반하면 상상할 수 없어 보이는 실제 리스크 수준(예: 25 표준편차 수준의 움직임이 연속 여러 일 동안 발생)이 현실화되었습니다. VaR는 과거 분포, 정상성(normality), 상관관계 안정성 같은 가정에 의존하는데, 위기 때는 상관이 1로 수렴하고, 유동성이 사라지며, 꼬리 사건이 연속으로 터집니다. 이에 따라 시나리오 분석과 스트레스 테스트가 ERM 프로그램 리스크 식별의 가장 중요한 도구가 되었습니다. 시나리오 분석은 기업이 비정상적/꼬리 사건(abnormal/tail events)의 효과를 이해하도록 돕습니다.
3. 시나리오 분석의 장점
| 장점 | 상세 설명 |
| 리스크 빈도 무관 | 리스크는 단순히 개연성(plausible)이 있으면 됩니다. 정확한 확률이 필요 없습니다. |
| 직관적이고 투명 | 시나리오는 직관적이고 투명한 서사가 될 수 있습니다. 이사회 설득에 강점이 있습니다. |
| 최악 상황 상상 | 기업이 일어날 수 있는 최악의 상황과 그 잠재적 최악의 시나리오의 결과를 상상해야 합니다. |
| 핵심 리스크 유형 집중 | 기업이 핵심 리스크 유형과 리스크 노출에 집중하도록 돕습니다. |
| 경고 신호/대비 계획 | 기업이 잠재적 경고 신호를 보고 리스크 사건을 관리하기 위한 비상 계획(contingency plans)을 개발하도록 돕습니다. |
| 전방위적(Forward-looking) | 가상의 사건을 사용하여 미래지향적이거나, 역사적 데이터에 기반할 수 있습니다. |
| 유연한 정교함 | 시나리오 분석은 간단하거나 고도로 정교할 수 있습니다. |
| 실질적 활용 | 기업의 리스크 선호도 개발, 리스크 한도 설정, 자본적정성 계획에 사용될 수 있습니다. |
4. 시나리오 분석의 단점
| 단점 | 상세 설명 |
| 확률 추정 어려움 | 부정적 사건의 확률을 추정하기 어렵습니다. 또한 시나리오 분석은 본질적으로 정성적이기 때문에 리스크의 정량화로 이어지지 않습니다(정량적 모델이 시나리오 주변에 구축되기는 하지만). |
| 복잡성 | 시나리오는 복잡합니다. |
| 과소추정 위험 | 시나리오가 가능한 사건과 그 사건의 효과를 과소추정할 수 있습니다. |
| "올바른" 시나리오 선택 불확실 | 기업이 "올바른" 시나리오를 개발하고 있는가? (제한된 수만 완전히 개발 가능) |
| 올바른 경고/계획 여부 | 완전히 개발된 제한된 시나리오에 기반하여 올바른 경고에 집중하고 올바른 계획을 개발하고 있는가? |
| 과거 위기 복제 경향 | 시나리오가 미래에 있을 수 있는 것보다는 마지막 큰 위기에 기반하는 경우가 많습니다. |
| 신뢰성 평가 어려움 | 시나리오 분석이 정교하거나 간단할 수 있기 때문에, 신뢰성을 평가하기 어려울 수 있습니다. |
| 유용성 조건 | 시나리오 분석의 유용성은 정확성, 포괄성, 그리고 분석이 과거 리스크뿐 아니라 미래 리스크를 포착하는지 여부에 달려 있습니다. |
LO 8.f: 스트레스 테스트 프로그램과 자본 계획에서 시나리오 분석의 활용
1. 금융위기 이전: 역사적 시나리오 중심
2007-2009년 금융위기 이전에 은행들은 일반적으로 실제 역사적 사건에 기반한 역사적 시나리오를 구축했습니다. 위기 이전과 동안의 시나리오 예시에는 1997년 아시아 위기, 1998년 러시아 채무 모라토리엄, 2001년 9월 11일의 금융시장 영향, 2007년 서브프라임 모기지 위기, 2008년 리먼 브라더스 파산과 그에 따른 카운터파티 위기가 포함됩니다.
그러나 은행들에게 얼마나 많은 역사적 및/또는 가상의 시나리오를 포함해야 하는지는 명확하지 않았습니다. 예를 들어, 러시아 채무 디폴트 이후 Long-Term Capital Management(LTCM)가 거의 붕괴했습니다. 이 두 사건은 관련되어 있었지만, 은행들은 시나리오 분석을 수행할 때 반드시 하나를 다른 것과 함께 포함하지는 않았습니다.
금융위기에서 드러난 교훈
2007-2009년 금융위기 이후 다음과 같은 점이 명확해졌습니다:
(1) 은행들은 리스크가 어떻게 상호작용하는지와 스트레스 기간 동안 시장 참가자 행동이 어떻게 변하는지를 보지 못했습니다.
(2) 규제당국은 은행들이 2007-2009년 동안 실제로 발생한 것보다 더 온건한 시나리오를 테스트했음을 발견했습니다.
(3) 이에 따라 규제당국은 은행들에게 더 잔혹하고 현실적인 시나리오를 견딜 수 있는 능력을 입증하도록 요구했습니다.
2. 미국 은행 스트레스 테스트 체계
미국 은행 스트레스 테스트는 2009년 초기 감독자본평가프로그램(SCAP)으로 시작되었습니다. 이후 체계적인 스트레스 테스트 프레임워크가 정착되었습니다.
| 프로그램 | DFAST (Dodd-Frank Act Stress Tests) | CCAR (Comprehensive Capital Analysis and Reviews) |
| 시기 | 연중(mid-year) | 연말(year-end) |
| 대상 | 자산 100억 달러 이상의 모든 은행 | 자산 500억 달러 이상의 은행 |
| 시나리오 | 동일 (감독당국이 설계) | |
| 규범성(Prescriptive) | 더 규범적 | 덜 규범적 (은행의 자체 모델 사용 여지 더 큼) |
| 보고 요건 | 덜 많은 보고 필요 | 포괄적이고 상세한 보고 필요 |
| 자본 행위 가정 | 제한된 자본 행위 가정 | 상세한 자본 계획 제출 필요 |
3. 연준의 3가지 거시경제 시나리오
2011년 이후 연방준비제도(Federal Reserve)는 매년 스트레스 테스트를 실시하고 있습니다. 연준은 은행들에게 다음 세 가지 거시경제 시나리오를 고려하도록 요구합니다:
| 시나리오 | 가정 |
| 기본(Baseline) | 대형 은행 경제학자들의 합의 경제 전망에 기반 |
| 불리(Adverse) | 중간 정도로 쇠퇴하는 경제를 가정 |
| 심각하게 불리 (Severely Adverse) | 글로벌 경기침체/불황과 고정수입 투자에 대한 수요의 상응하는 감소를 가정 |
4. CCAR의 복잡성과 자본 계획
CCAR는 9개 분기(nine-quarter) 지평선에 걸친 전망을 요구하며, 은행이 재무상태표와 손익계산서를 동적으로(dynamically) 예측해야 하는 복잡한 과정입니다. 은행이 예측해야 하는 항목은 다음과 같습니다:
| 예측 항목 | 구분 |
| 수익(revenues) | 기본 예측 항목 |
| 대손충당금(loan loss provisions) | |
| 디폴트 대출 및 채무증권 등급하락 관련 신용 손실 | |
| 신규 대출 규칙 | |
| 규제 비율 | |
| 9개 분기 동안의 예상 자본 원천 및 자본 사용 | 자본 계획 추가 항목 |
| 자본적정성 결정에 사용될 방법론 설명 | |
| 상세한 자본정책 계획 제출 | |
| 자본적정성과 유동성에 영향을 미칠 사업계획 변경 논의 | |
| 각 시나리오에서 은행이 최소 자본 기준을 유지할 것임을 입증 | |
| 필요시 어떻게 자본을 조달할지 설명 | |
| 배당금 지급, 자사주 매입 및 자본 포지션에 영향을 미칠 기타 요인에 대한 계획 논의 |
5. 최소 자본 기준과 ERM의 연결
2018년 기준 최소 자본 요건은 다음과 같습니다:
| 자본 비율 | 최소 기준 |
| 보통주 Tier 1 자본 비율 (CET1) | 4.5% |
| Tier 1 위험기반 자본 요건 | 6% |
| 총 위험기반 자본 비율 | 8% |
| Tier 1 레버리지 비율 | 4% |
6. CoCos(조건부 전환채): ERM 관점의 다차원적 사례
ERM과 자본 계획이 동일한 것인가? 아마 아닐 것이지만, 확실히 얽혀 있습니다(intertwined). 예를 들어, 은행은 CCAR 보고서에서 곤란한 상황 시 조건부 전환채(CoCos, Contingent Convertible Bonds)를 발행할 것이라고 설명할 수 있습니다. CoCos가 ERM의 사고방식을 잘 보여주는 이유는 하나의 상품이 ERM의 여러 축(전략, 자본, 문화)을 동시에 건드리기 때문입니다.
| CoCos의 특성 | ERM 관점 |
| 자본 완충 | 은행이 자본 곤란에 처하면 채권이 주식으로 전환되어 스트레스 시 은행의 현금 유출을 완화. 전환은 Tier 1 자본 수준 같은 회계 사건이나 주가 하락 같은 시장 사건에 의해 촉발 |
| 리스크 이전 | 채권이 은행의 보험 역할을 하므로 ERM 관점에서 리스크 이전. 리스크 유형을 사전에 정의할 필요가 없음 |
| 리스크 문화 강화 | 충격 후 채권 가치가 하락하므로, 경영진 보상이 하방 리스크에 노출되어 과도한 리스크 감수를 억제하고 더 강한 리스크 문화를 장려할 수 있음 |
7. CCAR가 ERM에 기여하는 방식
CCAR의 복잡성은 놀라운 수준입니다. 예를 들어, 2018년 연준 시나리오는 VIX(주식시장 변동성)부터 금리, GDP 전망, 주거/상업용 부동산 지수까지 28개 변수를 포함했습니다. 은행들은 포트폴리오에 영향을 미칠 수 있는 모든 다른 요인도 고려해야 했으며, 이러한 변수는 수익률 곡선의 기울기부터 상품 가격, 토지 개발 가치 상태까지 잠재적으로 수백 개에 달할 수 있었습니다.
| CCAR의 ERM 기여 | 설명 |
| 부서 간 대화 촉진 | 사업라인 관리자들이 함께 모여 리스크를 논의하는 훈련에 참여하도록 요구, 이는 ERM 프로세스의 핵심 |
| 동적 시나리오 전개 | 시점 충격(point-in-time shocks)이 아닌 9개 분기에 걸쳐 시나리오 전개 허용 |
| 상호연결 요인 | 사일로화된 리스크가 아닌 상호연결 요인(interlinking factors) 허용 |
| 동적 리스크 요인 | 리스크 요인이 동적(dynamic)이 되도록 허용 |
| 시스템 리스크 파악 | 은행들이 동일한 시나리오를 테스트하므로 규제당국이 시스템적 리스크에 대해 더 잘 파악 가능 |
| 은행 간 비교 | 규제당국이 은행 리스크 노출을 동일 기준(apples to apples)으로 비교 가능. 은행들이 각자 자체 시나리오를 테스트했을 때는 서로 다른 기준(apples to oranges)이어서 거의 불가능했음 |
8. 역방향 스트레스 테스트(Reverse Stress Testing)
기업은 역방향 스트레스 테스트도 수행할 수 있습니다. 이는 은행이 핵심성과지표(KPI)에 대한 최악의 결과를 먼저 식별한 다음, 역으로(backward) 어떤 시나리오가 이러한 최악의 결과를 초래했는지 찾는 것을 의미합니다. 일반 스트레스가 "시나리오 → 결과"인 반면, 리버스는 "최악의 KPI 붕괴 → 어떤 조합이 그것을 만들었나"로 진행됩니다.
| 접근법 | 방향 | 목적 |
| 정방향 스트레스 | 시나리오 → 결과 | "이 상황이 오면 얼마나 피해가 생기나?" |
| 역방향 스트레스 | 최악의 결과 → 시나리오 | "이 최악의 결과를 만드는 조합은 무엇이며, 어떤 사업라인이 가장 취약하고/또는 나쁜 결과에 기여하는가?" |
9. 스트레스 테스트의 전략적 활용
많은 은행이 여전히 스트레스 테스트를 규제 준수(compliance) 문제로 보지만, 다른 은행들은 결과를 활용하여 리스크 선호도와 한도 설정, 자본 계획의 합리성 점검, 경고 신호 개발, 유동성/신용/자금조달 등의 리스크 관리를 위한 비상 계획 마련에 사용하고 있습니다. 거시경제 요인에 초점을 맞춘 스트레스 테스트는 은행의 일상적 사업 계획에 사용될 수 있습니다. 시나리오 분석은 전략적 의사결정에 사용될 수 있습니다.
Module Quiz 8.2
문제 1. Luke Drake는 최근 한 은행의 CRO로 임명되었습니다. Drake는 포괄적인 ERM 프로그램을 구현하려 하며 고위 경영진과 여러 차례 논의했습니다. 논의 중 Drake는 다음 진술을 했습니다:
진술 1: "스트레스 테스트 시나리오는 1998년 러시아 금융위기나 2008년 서브프라임 부채 위기와 같은 역사적 충격을 견디는 은행의 능력에 집중해야 합니다."
진술 2: "성공적인 ERM 프로그램을 개발하려면 거버넌스가 중요합니다. 이는 고위 경영진과 이사회가 우리의 리스크 선호도와 리스크 및 손실 허용 수준을 정의하는 데 참여해야 한다는 것을 의미합니다."
Drake는 스트레스 테스트와 기업 거버넌스에 관해 올바릅니까?
문제 2. Allen Richards는 캐나다 금융기관의 이사회에 소속되어 있습니다. Richards는 경영진이 이사회에 한 리스크 문화 발표에서 다음 진술을 읽었습니다:
진술 1: "사업라인 수준의 관리자가 전체 기업과 동일한 리스크 선호도를 가지고 있는 한, 사업라인 직원의 리스크 허용치는 무관합니다."
진술 2: "CRO를 고용하면 우리 기관이 직면한 리스크 문화 문제가 해결될 것입니다."
Richards는 두 진술 모두 부정확하다고 믿습니다. Richards의 평가는 다음에 대해 정확합니다:
A. 진술 1에 대해서만
B. 진술 2에 대해서만
C. 두 진술 모두에 대해
D. 어느 진술에 대해서도 아님
정답 및 상세 해설
| 문제 | 정답 | 상세 해설 |
| Quiz 8.1-1 | A | ERM의 기초는 리스크가 각 리스크 단위 내에서 관리되지만 고위 경영진 수준에서 중앙집중화되는 것입니다. 전통적 접근법은 각 단위가 자체 리스크를 관리하고, 자체 정책과 기준을 설정하며, 사업라인과 리스크 단위 간 조율 없이 운영하는 사일로 접근법이었습니다. ERM은 경영진이 기업 내 상쇄되는 리스크를 보고 별도로 헤지할 필요가 없는 등 통합적 접근의 이점을 누리는 우월한 접근법입니다. CRO를 임명하는 것은 일반적이지만 필수는 아닙니다. (LO 8.a) |
| Quiz 8.1-2 | D | 강력한 ERM 프로그램은 기업이 기업에 직면한 가장 큰 리스크에 집중할 수 있게 합니다. A는 틀림: 리스크 과잉 헤지와 과도한 보험은 통합된 ERM 전략이 없는 기업이 직면하는 문제입니다. B는 틀림: 사업 수준에서의 리스크 관리가 ERM의 장점이 아닙니다. C는 틀림: ERM 프로그램은 민감도 분석이 아닌 시나리오 분석과 스트레스 테스트를 사용합니다. (LO 8.b) |
| Quiz 8.1-3 | B | 기업의 리스크 선호도와 리스크 선호도에 비추어 본 전략적 목표가 ERM 프로그램의 일부로 설정되어야 하는 목표입니다. VaR 수치, Tier 1 비율, 위원회 규모는 ERM의 다른 차원(측정, 구조)에 속합니다. (LO 8.c) |
| Quiz 8.2-1 | 진술 1 부정확, 진술 2 정확 | 진술 1은 후방지향적(backward looking)이므로 부정확합니다. 연준은 역사적 변수를 포함할 수 있지만 이전에 반드시 발생하지 않았던 요인도 포함하는 기본, 불리, 심각하게 불리한 시나리오를 고려하도록 요구합니다. 진술 2는 정확합니다. 기업 거버넌스는 관리자, 임원, 이사회가 기업의 리스크 선호도와 허용 가능한 손실을 정의하는 데 완전히 참여하도록 요구합니다. (LO 8.f) |
| Quiz 8.2-2 | C (두 진술 모두) | Richards는 두 진술 모두에 대해 정확합니다(두 진술 모두 부정확). 리스크 문화는 사업라인 관리자뿐 아니라 조직 전체에 스며들어야 합니다. CRO를 고용하는 것은 문화 변화를 신호할 수 있지만 모든 리스크 문화 문제를 "고치지"는 않습니다. 리스크 선호도와 리스크 허용치에 대한 실질적 변화 없이 장식(window dressing) 또는 리브랜딩으로 인식될 수 있습니다. (LO 8.d) |
KEY CONCEPTS (핵심 개념 정리)
LO 8.a 핵심
ERM 하의 통합적이고 중앙집중화된 접근법은 전통적 사일로 접근법보다 기업 리스크 관리에 상당히 더 효과적입니다. ERM은 기업의 핵심 리스크를 관리하여 사업 목표를 충족하고, 예상치 못한 수익 변동성을 최소화하며, 기업 가치를 극대화하기 위한 포괄적이고 통합된 프레임워크입니다. 사일로의 문제점: 상호의존성 무시, 과잉 헤지, 분절된 보고. ERM의 핵심: 각 단위에서 관리하되 고위 경영진 수준에서 중앙집중화. CRO 임명은 일반적이지만 필수는 아님.
LO 8.b 핵심
ERM의 핵심 동기: 리스크 조직의 통합, 리스크 이전의 통합, 사업 프로세스의 통합으로 조직 효과성 증가, 더 나은 리스크 보고, 향상된 사업 성과. 전사 리스크 선호도 정의, 기업 생존 위협에 집중, 신흥 리스크(사이버/평판/AML) 관리, 크로스오버/상관 리스크 이해, 리스크 이전 비용 최적화, 자본비용의 가격/전략 반영.
LO 8.c 핵심
성공적 거버넌스: 경영진/이사회가 리스크 선호도와 손실 허용 수준을 정의. ERM의 5가지 차원: (1) 목표 - 리스크 선호도와 전략적 목표, (2) 구조 - CRO/위원회/보고라인, (3) 식별과 측정 - 시나리오/스트레스/VaR 등 + 집중(concentration) 인식, (4) 전략 - 회피/완화/이전을 전사 수준에서 결정, (5) 문화 - ERM의 심장이자 영혼.
LO 8.d 핵심
리스크 문화: 직원 행동에 영향을 미치는 목표, 관습, 가치, 신념. 다층적(개인/그룹/기업). FSB 4대 지표: 톤(Tone from top), 소통/도전(Communication & Challenge), 인센티브(Incentives), 책임(Accountability). 강화 요인: 리스크 선호도 인지, 리터러시, 정보 흐름, CRO 위상, 내부고발, 이사회 우선순위. 장애물: 지표의 레버화, 교육 범위 제한, 문화 사이클(위기 후 느슨해짐), 데이터의 저주.
LO 8.e 핵심
민감도 분석(1변수) vs 시나리오 분석(다변수+서사). VaR의 한계(2007-2009) 이후 시나리오/스트레스가 핵심 도구로 부상. 장점: 빈도 무관(개연성만), 직관적, 최악 상상, 경고/대비 개발, 미래지향, 리스크 선호도/한도/자본 계획에 활용. 단점: 확률 추정 어려움, 복잡, 과소추정, 시나리오 선택 불확실, 과거 위기 복제 경향, 신뢰성 평가 어려움. 장점/단점은 동전의 양면.
LO 8.f 핵심
금융위기 이후 규제당국이 은행에 시나리오 분석/스트레스 테스트를 자본 계획에 사용하도록 요구. SCAP(2009) → DFAST(자산 100억+, 연중, 더 규범적) / CCAR(자산 500억+, 연말, 9개 분기 동적 예측). 연준 3대 시나리오: 기본/불리/심각하게 불리. 최소자본 미충족 시 리스크 선호도 하향 필요. CoCos: 리스크 이전 + 자본 완충 + 문화 강화. 역방향 스트레스: 최악 결과에서 역추적. CCAR가 ERM에 기여: 부서 간 대화, 동적 전개, 상호연결 요인, 은행 간 비교(apples to apples).
시험 대비 한 줄 암기 체크리스트
| 주제 | 암기 포인트 |
|---|---|
| 사일로의 한계 | 상호의존성 무시, 과잉 헤지/중복 보험, 분절된 보고, 크로스오버 리스크 미포착 |
| ERM 정의 | 각 단위에서 관리하되 고위 경영진 수준에서 중앙집중화하는 통합 프레임워크 |
| CRO 임명 | 일반적(common)이지만 필수(necessary)는 아님 |
| ERM 최대 효과 | 사업라인 수준이 아닌 기업 전체의 가장 큰 리스크에 집중 |
| 과잉 헤지 | ERM의 단점이 아니라, ERM이 없는 기업의 문제 |
| ERM 5대 차원 | Targets - Structure - Identification/Metrics - Strategies - Culture |
| Targets에 포함 | 리스크 선호도(Risk Appetite) + 전략적 목표 (VaR/Tier1 아님) |
| ERM 도구 | 시나리오 분석/스트레스 테스트 (민감도 분석 아님) |
| 집중(Concentration) | 신용집중, 섹터집중, 대출유형, 차주수준, 외부의존 집중 |
| 리스크 문화 정의 | 직원 행동에 영향을 미치는 목표, 관습, 가치, 신념(암묵적+명시적) |
| FSB 4대 지표 | Tone from top / Communication & Challenge / Incentives / Accountability |
| CRO와 문화 | CRO 고용 ≠ 문화 문제 해결. 리브랜딩/장식으로 인식될 위험 |
| 문화 사이클 | 위기 시 뚜렷하지만, 고통의 기억이 퇴색하면 다시 느슨해짐 |
| 지표 vs 레버 | 문화를 개선하는 대신 지표만 관리(조작)하는 유혹 |
| 민감도 vs 시나리오 | 민감도 = 1변수, 시나리오 = 다변수 + 서사(narrative) |
| 시나리오 장단점 | 동전의 양면: 직관적(장) ↔ 복잡(단), 미래지향(장) ↔ 올바른 시나리오 불확실(단) |
| 시나리오 빈도 | 확률이 정확할 필요 없음. 개연성(plausible)이면 충분 |
| VaR 한계 | 2007-2009년 25 표준편차 연속 발생 → VaR 모델로는 상상 불가 |
| 스트레스 테스트 시작 | 2009년 SCAP, 2011년부터 연준 연례 실시 |
| DFAST vs CCAR | DFAST: 100억+, 더 규범적 / CCAR: 500억+, 9개 분기 동적 예측, 자본계획 제출 |
| 연준 3대 시나리오 | Baseline(합의 전망) / Adverse(중간 쇠퇴) / Severely Adverse(글로벌 침체) |
| 스트레스 시 자본 미달 | 은행은 리스크 선호도를 낮춰야 함 |
| CoCos (ERM 관점) | 리스크 이전(보험) + 자본 완충(주식 전환) + 문화 강화(경영진 하방 노출) |
| 역방향 스트레스 | 최악의 KPI 결과 → 역으로 어떤 시나리오/사업라인이 원인인지 추적 |
| CCAR의 ERM 기여 | 부서 간 대화, 동적 전개, 상호연결, apples-to-apples 비교 |
| 기업가치 손실 원인 | 리스크 관리 실수가 아닌 전략적 실수(strategic blunders)가 주요 원인 |
| 최소 자본 기준 | CET1 4.5% / Tier1 6% / 총 8% / 레버리지 4% (모든 시나리오에서 충족) |