FRM part2. Reading 38: RISK MEASUREMENT AND ASSESSMENT

 

FRM Part II – Reading 38
리스크 측정 및 평가 (Risk Measurement and Assessment)

EXAM FOCUS

이 Reading의 전체 구조

운영 리스크(Operational Risk)를 식별(identify)한 다음 단계는 평가(assess) → 측정(measure) → 모델링(model)입니다. Reading 38은 이 "두 번째 단계"를 다루며, 크게 네 가지 영역으로 구성됩니다. 첫째, 운영손실 데이터의 수집과 품질관리에 관한 규제 기대사항, 둘째, RCSA, KRI 등 정성적 리스크 평가 도구, 셋째, FTA, root-cause 분석, LDA 등 정량적 리스크 평가 모델, 넷째, 운영탄력성(operational resilience)의 개념과 프레임워크입니다.

시험에서 반드시 할 수 있어야 하는 것

• 운영손실 데이터의 규제 기대사항(최소 10년, EUR 20,000 임계치, Basel 분류 등)과 좋은 수집 관행
• 사건일자 4종(Occurrence, Discovery, Reporting, Accounting)의 정의와 시간 간격의 의미
• 경계 사건(Boundary Event)의 분류 규칙과 중복 산정 위험
• RCSA의 목적(정량화가 아니라 인식/우선순위/통제 개선), Inherent vs Residual Risk 구분
• Heatmap 색상 해석과 "등급을 곱해서 비교하면 안 된다"는 핵심 함정
• KRI / KPI / KCI의 차이와 예시, 그리고 지표 간 중복 가능성
• FTA의 AND/OR 구조, 독립가정 하 확률 계산, "노출(exposure)" 개념의 함정
• LDA의 핵심 구조: 빈도(주로 Poisson) + 심도(주로 Lognormal) → 연간 손실분포, 99.9% 분위수
• 내부/외부 손실 데이터 결합 방법: Scaling, Cut-off Mix, Filtering
• Operational Resilience 7단계: IBS 식별 → impact tolerance → 매핑 → 스트레스 테스트 → 개선 → 커뮤니케이션 → self-assessment

학습 전략

Reading 38은 "정량 계산 자체"보다 왜 이 도구가 필요하고, 어떤 가정과 한계가 있는지를 서술형으로 설명할 수 있어야 점수를 받는 파트가 많습니다. 운영 리스크 측정/평가는 한 가지 방법으로 끝나지 않습니다. 데이터(과거 손실)를 기반으로 하되, 데이터가 부족하거나 편향될 수 있으므로 정성적 판단(RCSA, KRI, 시나리오)과 정량적 인과 모델(FTA, root-cause, factor model)을 함께 사용합니다. 마지막으로, "손실이 날 수 있다"에서 더 나아가 중요 서비스가 중단되더라도 허용 가능한 수준에서 회복할 수 있는가를 보는 것이 운영탄력성입니다.

ORM 프레임워크 – 4개의 동심원:

운영 리스크 관리/측정(ORM)은 다음 4개의 레이어가 동심원 구조로 작동합니다.

Layer 1. Incident/Loss Database: 사건/손실 데이터베이스 – 모든 것의 기초 데이터
Layer 2. RCSA: 리스크/통제 자체평가 – 현재 통제 수준과 잔존 리스크를 점검
Layer 3. KRI Monitoring: 핵심 리스크 지표 모니터링 – 리스크가 커지기 전의 조기 경보 신호
Layer 4. Major Events / High-Risk Exposures Takeaways: 대형 사건이나 고위험 노출에서 교훈 도출

---

MODULE 38.1: 운영손실 데이터 및 정성적 리스크 평가

LO 38.a: 운영손실 데이터 수집의 모범 관행과 규제 기대사항

1. 왜 운영손실 데이터가 특별한가

운영 리스크 모델은 시장 리스크나 신용 리스크처럼 "정형 데이터가 풍부"한 영역이 아닙니다. 운영 리스크 데이터는 본질적으로 특이적(idiosyncratic)이며 일반 시장과 대체로 비상관(uncorrelated)적인 특성을 가집니다. 이 때문에 측정과 모델링에서 고유한 어려움이 발생합니다. 또한 수익률 분포와 빈도 분포 모두에서 두꺼운 꼬리(fat tails)가 관찰되어, 극단적 사건의 발생 빈도가 정규분포가 예측하는 것보다 훨씬 높습니다. 운영 리스크의 상호연관적 특성은 원인과 결과를 연결하는 데에도 해석상의 어려움을 만들어냅니다.
따라서 무엇을 손실로 볼지, 어떤 수준부터 기록할지, 사건을 어떻게 분류할지가 곧 모델의 품질이 됩니다. 예를 들어, 하나의 IT 장애가 거래 실패, 고객 보상, 법적 분쟁으로 연쇄적으로 번지는 경우를 생각해 보십시오. 이를 "여러 부서의 별개 사건"으로 기록할지, "공통 원인의 묶음 손실(grouped loss)"로 기록할지에 따라 빈도와 심도 추정이 크게 달라집니다.

2. 규제 기대사항: BCBS 요구사항

바젤은행감독위원회(BCBS)는 운영손실 데이터의 품질과 수집에 관해 다수의 기준을 제시하고 있습니다. 은행은 "내부 손실 데이터의 식별, 수집 및 처리를 위한 문서화된 절차와 프로세스를 갖추어야" 하며, 내부 손실 데이터는 "모든 적절한 하위 시스템과 지리적 위치로부터 모든 중요한 활동과 노출을 포착"해야 합니다.

규제 기준	핵심 내용	왜 중요한가
데이터 기간	최소 10년 데이터 확보	희귀한 대형 손실(꼬리 사건)을 조금이라도 관측하기 위함. 짧은 기간의 데이터는 극단 사건을 포착할 확률이 낮아 모델이 꼬리 리스크를 과소평가할 수 있음.
최소 수집 임계치	EUR 20,000 이상의 손실을 반드시 수집	너무 낮으면(예: 0) 소규모 손실 보고의 비용이 과도해지고, 너무 높으면 중요한 조기 경보 신호가 누락됨. 많은 은행은 EUR/USD/GBP 1,000~10,000 수준의 자체 임계치를 사용하며, 의도적으로 자본 요구량을 줄이기 위한 임계치 설정은 허용되지 않음.
분류 체계	내부손실을 Basel 이벤트 타입에 맞춰 분류	은행 간 비교 가능성 확보, 일관된 집계와 보고 가능. 표준화되지 않은 분류는 외부 데이터와의 결합을 어렵게 만듦.
날짜 및 회수	발생일, 발견일, 보고일, 회계일 및 회수(Recovery) 정보 관리	손실 사건은 총손실(gross loss)에서 회수액을 차감한 순손실(net loss)로 보고되어야 하며, 시간 차이가 분석을 왜곡할 수 있으므로 각 날짜를 구분해야 함.
데이터 품질	손실 데이터의 포괄성과 정확성을 독립적으로 검토하는 프로세스 보유	누락 방지, 다중 소스(일반원장, IT 로그, 고객 불만, 언론보도 등)를 통한 교차 검증 필요.

3. 데이터 수집 프로세스의 핵심 원칙

무엇을 보고할지에 대한 명확성이 충분한 데이터 품질을 보장하는 첫 번째 단계입니다. 고려해야 할 항목에는 날짜, 사건 유형, 임계치, 손실 정량화 등이 포함됩니다. 운영 사건은 종종 명확하게 기술하기 어렵고, 정량화에 주관성이 개입됩니다. 예를 들어, IT 서비스 중단이 결국 평판 손상으로 이어지는 일반적 사례에서는 여러 사업부가 관여할 수 있으며, "무형의" 평판 손실을 정량화하려는 시도는 어떤 가정을 사용하느냐에 따라 매우 다른 결과를 산출할 수 있습니다.
모든 은행이 공통으로 사용하는 표준 데이터 필드에는 발생 장소, 발생 일자, 이벤트 유형, 원인 유형, 통제 실패 여부, 영향 유형(손실/이득/근접 사건), 총손실, 회수액, 순손실 등이 포함됩니다. 자유서술(free text), 즉 비구조화 데이터는 손실 정보의 주요 소스가 아니라 보조적 세부 정보를 제공하는 역할에 한정되도록 신중하게 통제되어야 합니다.

좋은 데이터 수집의 3대 원칙:

1. 구조화 우선: 자유서술(free text)은 보조로만 사용하고, 핵심 필드는 표준화된 구조로 수집합니다.

2. 다중 소스 교차검증: 일반원장(GL), IT 로그, 고객 불만, 언론보도 등 복수의 데이터 소스로 누락과 과소보고를 점검합니다. 특히 GL은 직접 비용만 포착하는 한계가 있고, 간접적 영향(매출 감소, 평판 손상 등)은 누락되기 쉽습니다.

3. 날짜 구분 관리: "최근 지급된 손실"이 사실은 "오래전 발생한 사건"일 수 있으므로 사건일자 4종을 반드시 함께 관리합니다.

4. 사건일자 4종 (Incident Dates)

하나의 운영 사건에는 최소 다음 4개의 참조 날짜가 존재하며, 각 날짜 사이의 시간 간격은 그 자체로 중요한 정보를 담고 있습니다.

날짜	정의	시간 간격의 의미
(1) Occurrence (발생일)	문제가 처음 발생한 시점	Occurrence → Discovery (잠복 기간): 이 기간이 길수록 사후 비용이 커질 수 있습니다. 소규모 횡령, 데이터 유출 등의 경우 발생에서 발견까지 수년이 걸리기도 합니다. 이 기간은 이슈의 가시성(visibility) 수준을 반영합니다.
(2) Discovery (발견일)	은행이 사건을 인지한 시점
(3) Reporting (보고일)	내부/외부로 보고한 시점	Discovery → Reporting (보고 지연): 보고 적시성(timeliness)의 척도입니다. 중대한 사건은 발생 후 수일 이내에 보고되어야 하고, 덜 중대한 사건은 분기별 등 주기적으로 요약 보고할 수 있습니다. 이 기간이 길면 내부 통제/거버넌스 문제의 신호일 수 있습니다.
(4) Accounting (회계일)	회계 처리되어 장부에 반영된 시점 (정산/합의 포함)	Reporting → Accounting (정산 기간): 규제/법적 함의가 있는 사건은 보고에서 정산까지 3~5년이 걸릴 수 있습니다. 이렇게 큰 시간차가 있으면, 과거 다른 사업 환경에서 발생한 손실을 미래 예측에 그대로 사용하는 것은 부적절할 수 있으므로 주의가 필요합니다.

시험 함정 포인트:
장기간 미발견된 계정 조작 사건(예: 서스펜스 계정 조작)에서 가장 긴 시간 간격을 묻는 문제가 출제됩니다. Occurrence→Discovery가 가장 길다고 답하기 쉽지만, Reporting은 Discovery 이후에 발생하므로 Occurrence→Reporting이 항상 Occurrence→Discovery보다 길거나 같습니다. 따라서 "가장 길어지기 쉬운 간격"은 Occurrence→Reporting입니다.

5. 경계 사건 (Boundary Events)

경계 사건이란 원인(cause)의 리스크 유형과 결과(impact)의 리스크 유형이 서로 다른 사건을 말합니다. 예를 들어, 인적 오류(운영 리스크 성격)로 인해 시장 손실이나 신용 손실이 발생하는 경우가 대표적입니다.
BCBS는 경계 사건의 분류에 대해 두 가지 핵심 지침을 제시합니다. 첫째, 신용 리스크 맥락에서 발생한 운영 손실은 신용 리스크로 분류되며 운영 리스크에 귀속시키지 않습니다. 이러한 손실은 종종 리스크 가중자산(RWA)에 이미 포함되어 있으므로, 운영 손실에 중복 포함할 필요가 없습니다. 둘째, 시장 리스크 맥락에서 발생한 운영 손실은 시장 리스크로 취급되지 않으며, 운영 손실에 포함됩니다.

경계 사건 분류 규칙 요약:
- 운영 원인 + 신용 결과 → 신용 리스크로 분류 (RWA에 포함, 운영 손실에서 제외)
- 운영 원인 + 시장 결과 → 운영 리스크로 분류 (운영 손실에 포함)

분류 규칙을 잘못 적용하면 운영손실 통계가 왜곡되고, 다른 리스크 자본과 중복 산정될 수 있습니다.

6. 묶음 손실 (Grouped Losses)

규정은 공통 원인을 가진 손실들을 묶어서 인식하도록 요구합니다. 종종 하나의 실패가 다수의 사건과 손실을 야기합니다. 예를 들어, IT 장애로 인해 거래 부서에서 불완전한 거래가 발생하고, 동시에 외부 고객에 대한 온라인 서비스 중단에 대한 보상 지급이 필요해지는 경우가 있습니다. 이러한 모든 비용은 결합되어 하나의 묶음 손실(grouped loss)로 보고되어야 합니다.

7. 과소보고 문제와 완화 방법

사건의 과소보고(underreporting)는 특히 소규모 은행에서 지속적인 문제로 남아 있습니다. 원인에는 무엇을 보고해야 하는지에 대한 불확실성, 통제 실패를 추적하는 것에 대한 거부감, 관료적 보고 절차의 회피 등이 포함됩니다. 과소보고를 완화하기 위한 방법으로는 정기적인 알림(gentle reminders), 관리자 성과 평가 시 리스크 지표 활용, 그리고 내부감사 부서의 개입을 통한 운영손실 데이터 수집 방법의 신뢰성 확보 등이 있습니다.

---

LO 38.b: RCSA, 가능성 평가 척도, 히트맵

1. RCSA (Risk and Control Self-Assessment)의 개념과 목적

RCSA는 운영 리스크의 발생 가능성(probability)과 심각도(severity)를 평가하는 프로세스입니다. 이 과정은 두 가지 관점으로 세분됩니다. 첫째는 고유 리스크(inherent risk)만을 검토하는 것으로, 현재 시행 중인 통제를 전혀 고려하지 않은 상태의 리스크 수준을 평가합니다. 둘째는 잔존 리스크(residual risk)를 검토하는 것으로, 현재 통제의 효과를 고려한 후 남아 있는 리스크를 평가합니다.
RCSA는 통상 연간 기준으로 수행되지만, 일부 운영 리스크가 매우 중대한 경우에는 분기별로도 가능합니다. 별도의 리스크 평가 단위(Risk Assessment Unit, RAU)가 RCSA 활동을 조율할 수 있습니다. 대규모 은행에서는 평가 데이터의 일부가 설문조사에서 나올 수 있습니다.
RCSA에서 검토되는 통제는 크게 두 유형으로 나뉩니다. 예방 통제(preventive control)는 리스크가 현실화될 가능성을 줄이는 것이고, 교정 통제(corrective control)는 리스크가 현실화되었을 때 부정적 효과를 최소화하는 것입니다.

RCSA의 핵심 목적 – 정량화가 아니라 인식/개선/우선순위:

RCSA는 본질적으로 비정량적(nonquantitative)이며 상당한 판단(judgment)을 요구합니다. 따라서 리스크 노출을 수치로 정량화하는 것이 목적이 아닙니다. 대신, RCSA는 은행 내의 리스크와 통제에 대한 인식을 높이고, 궁극적으로 리스크 완화를 위해 추가 조치가 필요한지를 결정하는 것이 목적입니다. 이는 외부 감사인이 수행하는 재무제표 감사에서의 통제 테스트와 유사합니다. RCSA를 통해 통제가 효과적으로 작동하는지를 확인하고, 그에 따라 고유 리스크가 은행의 리스크 허용 범위 내로 감소된 것으로 간주합니다.

2. RCSA 백테스트의 전형적 패턴

일부 은행은 RCSA 결과를 과거 사건과 비교하는 백테스트를 수행합니다. 백테스트 결과는 전형적으로 사건의 발생 가능성은 과소평가(underestimate)하고, 심각도(영향)는 과대평가(overestimate)하는 경향을 보여줍니다. 따라서 RCSA 결과를 "숫자 그대로" 신뢰하기보다는, 통제 투자 및 개선의 우선순위 설정 도구로 해석하는 것이 안전합니다.

3. RCSA의 대안과 한계

RCSA의 대안으로는 RCA(Risk and Control Assessment)와 RRSA(Residual Risk Self-Assessment)가 있습니다. RCA에서는 통제 테스트가 문서화되고, 사건 발생 사례를 분석하여 통제가 어디에서 효과적이었는지를 보여주며, 실제 손실을 내부 또는 다른 은행의 유사 활동과 비교합니다. RRSA에서는 현재 시행 중인 통제를 고려한 후 남은 리스크 수준을 결정하는 데 중점을 두며, 고유 리스크에 대한 직접적 분석은 수행하지 않습니다.
RCSA에는 여러 단점이 있습니다. 주관성(subjectivity), 행동 편향(behavioral biases)의 도입, 제한된 데이터 등이 결과의 유용성을 저해할 수 있습니다. 또한 사업부 간 RCSA 수행의 일관성이 부족할 수 있어, 서로 다른 평가 단위와 부서 간 결과 비교가 문제가 될 수 있습니다. 따라서 기본적인 일관성을 위해 표준화된 리스크 기술과 발생 가능성 및 심각도의 정확한 정의가 필요합니다.

4. 영향 척도 (Impact Scales)

영향 척도는 재무적(financial), 규제적(regulatory), 고객(customer), 평판(reputation) 영향을 포함하며, 탄력성 맥락에서는 서비스 연속성도 포함될 수 있습니다. 통상 4~5개의 등급(예: 낮음, 중간, 높음, 매우 높음, 극단)으로 구성됩니다. 재무적 영향은 일반적으로 매출 또는 영업이익 대비 비율과 같은 상대적 척도를 기반으로 하여 다양한 규모의 은행에 대한 유연한 적용이 가능합니다.

5. 가능성 평가 척도 (Likelihood Assessment Scales)

가능성은 발생 확률 또는 빈도로 표현됩니다. RCSA의 최대 시간 범위가 1년이므로, 25년에 1번 발생하는 사건은 해당 연도 내 발생 확률이 4%라는 의미입니다. 이는 25년 동안 반드시 1번 발생한다는 것과 같은 의미가 아닙니다. 특히 기술 발전, 사이버 공격, 규제 벌금과 관련된 빠르게 변화하는 신흥 리스크를 다룰 때 이 구분이 중요합니다.
가능성 척도의 등급 범주는 일반적으로 다음 5점 척도로 기술됩니다: 원격(remote), 가능성 낮음(unlikely), 가능(possible), 가능성 높음(likely), 매우 높음(highly likely).

6. 히트맵 (Heatmap)

가능성과 영향의 조합이 RCSA 매트릭스, 즉 히트맵(heatmap)입니다. 각 조합에는 리스크 강도에 대응하는 색상(예: 녹색, 노란색, 주황색, 빨간색)이 할당됩니다.

색상	의미	관리 행동	예시 조합
Green (녹색)	허용 가능한 수준의 리스크 노출	추가 조치 불필요, 상시 모니터링 유지	가능성 = possible, 영향 = low 또는 가능성 = remote, 영향 = high
Yellow (노란색)	허용 범위에 근접한 수준	모니터링 강화, 완화 조치 검토 필요	가능성 = likely, 영향 = low 또는 가능성 = unlikely, 영향 = high
Amber (주황색)	허용 범위 초과	가능성 또는 영향을 낮춰야 하며, 그렇지 않으면 상위 승인을 위한 에스컬레이션 필요	가능성 = likely, 영향 = medium 또는 가능성 = remote, 영향 = extreme
Red (빨간색)	허용 범위를 크게 초과	즉시 가능성 및/또는 영향을 낮춰야 함	가능성 = likely, 영향 = high 또는 가능성 = unlikely, 영향 = extreme

Heatmap 핵심 함정 – 등급의 수학적 비교 금지:

등급은 정성적(qualitative) 성격입니다. 따라서 수학적으로 비교하는 것은 오류입니다. 예를 들어, 발생 가능성이 원격(1)이고 영향이 중대(3)인 리스크(1 x 3 = 3)는, 발생 가능성이 가능(3)이고 영향이 낮음(1)인 리스크(3 x 1 = 3)와 동일하지 않습니다. 두 리스크는 곱이 같더라도 위험의 의미, 대응 우선순위, 관리 행동이 완전히 다릅니다. 정성 등급은 서열(ordinal) 척도에 가깝고, 간격이나 비율이 정의된 수치 척도가 아닙니다.

---

MODULE 38.2: 핵심 지표(KRI/KPI/KCI) 및 정량적 리스크 평가

LO 38.c: KRI, KPI, KCI의 차이

1. 핵심 리스크 지표 (Key Risk Indicators, KRI)

KRI는 은행의 특정 시점에서의 리스크 노출 수준을 나타내는 지표입니다. 예방적(preventive) KRI는 리스크 원인의 강도가 상승하거나 하락하는 것을 표시합니다. 따라서 KRI는 리스크의 영향 또는 가능성의 상승/하락을 나타냅니다.
가능성을 측정하는 KRI의 예: 직원 1인당 처리 거래 수의 급증(오류 리스크 상승), 보너스 획득을 위한 필요 매출 수준의 상향(사기 리스크 상승). 영향을 측정하는 KRI의 예: 서버에 보관되는 데이터의 민감도 증가(데이터 유출 시 영향 확대), 트레이더 거래 한도의 상향(무단 거래 발생 시 영향 확대).

2. 핵심 성과 지표 (Key Performance Indicators, KPI)

KPI는 은행이 얼마나 효과적으로 운영되는지를 측정합니다. 예를 들어, 고객 불만 건수, 고객 거래 오류율, IT 시스템 평균 다운타임 등이 있습니다. 성과 악화는 곧 리스크 상승과 연결될 수 있으므로, KPI는 KRI와 밀접하게 관련됩니다.

3. 핵심 통제 지표 (Key Control Indicators, KCI)

KCI는 은행의 통제가 얼마나 효과적으로 작동하는지를 측정합니다. 예를 들어, 기한 내 검토/갱신되지 않은 업무연속성계획(BCP)의 수, 독립적이고 자격을 갖춘 두 차례의 검토 후에도 남아 있는 오류, 편집 검증(edit check) 적용 후의 일반원장 데이터 입력 오류 수 등이 있습니다.

4. 세 지표의 중복과 구분

KRI, KPI, KCI는 상당히 중복되며, 하나의 지표가 리스크, 성과, 통제 요소를 모두 가질 수 있습니다. 특히 기준 수준(benchmark level) 대비 결함을 분석할 때 이러한 중복이 두드러집니다.

예시: 편집 검증(edit check)에도 불구하고 잘못된 거래 처리가 발생한 통제 실패 시나리오

KCI 관점: 부정확한 거래 처리 자체 → 통제가 효과적으로 작동하지 않았음을 나타냄
KRI 관점: 오류로 인한 고객 소송 리스크 증가 → 리스크 노출 수준의 상승을 나타냄
KPI 관점: 취약한 백오피스 역량 → 운영 성과의 저하를 나타냄

지표	무엇을 보나	예시	주의점
KRI	현재 시점의 리스크 노출 수준	직원 1인당 거래 수 급증, 트레이더 한도 상향	은행의 리스크 허용 범위를 반영한 임계치(threshold) 설정이 핵심
KPI	업무 수행의 효율성/성과	고객 불만 건수, IT 다운타임, 처리 오류율	성과 악화가 곧 리스크 상승으로 연결될 수 있음
KCI	통제의 작동 효과	BCP 검토 미이행 건수, 검토 후 잔존 오류 수	통제 실패 자체가 리스크 신호가 될 수 있음

---

LO 38.d~e: 정량적 리스크 평가 방법론

1. 정량적 분석의 목적과 특성

정량적 분석은 운영 리스크 사건의 발생 확률에 영향을 미치는 원인에 대한 상세한 분석을 수행합니다. 여기서 사용되는 리스크 평가 방법은 팩터 모델(factor model)로, 통제 층과 그 실패율에 관심을 둡니다. 시나리오와 리스크 추정치를 확률 및 심각도 측면에서 분석함으로써, 분석의 산출물은 방법론의 투명성과 함께 더욱 신뢰성이 높아집니다.
인과 분석(causal analysis)은 과거 손실에 의존하지 않고 순전히 미래 지향적으로 가능성과 영향을 계산합니다. 다만 특히 영향의 정량화는 신뢰할 수 있는 산출물을 보장하기 위해 매우 큰 표본의 실증 데이터가 필요하므로 쉽지 않습니다.

2. 결함 트리 분석 (Fault Tree Analysis, FTA)

FTA는 연역적 실패 분석(deductive failure analysis)의 한 형태로, 결함 트리가 실패 시나리오를 대형 사건이 발생하기 위해 필요한 외부 및 내부 조건으로 분해합니다. FTA는 일련의 실패가 대형 손실로 이어지는 은행에서 점차 더 많이 사용되고 있습니다.
FTA에서 조건은 두 가지 논리적 게이트로 결합됩니다. AND 조건은 여러 조건이 동시에 발생해야 사건이 성립하는 것이고, OR 조건은 여러 조건 중 하나만 발생해도 사건이 성립하는 것입니다.

FTA 확률 계산 (독립 가정)

AND 게이트 (모든 조건이 동시에 발생): $$\mathbb{P}(A \cap B) = \mathbb{P}(A) \times \mathbb{P}(B)$$ OR 게이트 (하나 이상의 조건이 발생): $$\mathbb{P}(A \cup B) = 1 - (1 - \mathbb{P}(A))(1 - \mathbb{P}(B))$$

모든 사건이 서로 독립이라고 가정하면, 동시 발생의 결합 확률은 단순히 각 개별 확률의 곱입니다. 예를 들어, 4개의 독립적인 통제가 각각 5%의 실패 확률을 가진다면, 4개 모두 동시에 실패할 확률은 \(0.05^4 = 0.00000625 = 0.000625\%\)입니다. 이 값은 시나리오가 발생할 최소 확률입니다.
그러나 현실에서는 통제가 함께 설계되었을 가능성이 높기 때문에, 실패가 완전히 독립적일 가능성은 낮습니다. 따라서 보다 현실적인 발생 확률을 파악하기 위해 조건부(또는 베이지안) 확률이 적용되어야 합니다. 예를 들어, IT 서비스 중단이 발생했다는 조건 하에서 거래 처리 오류의 확률이 증가하는 것과 같은 상황입니다.

예시: 데이터 유출 사건의 FTA 확률 계산

다음 5개 조건이 모두 독립이고, AND 게이트로 연결된다고 가정합니다.

조건	확률	설명
피싱 메일 수신	99% (0.99)	사건이 시작될 "기회" – 거의 모든 직원이 피싱 메일을 받음
방화벽 실패	5% (0.05)	95%는 정상 작동하므로 실패 확률은 5%
직원이 삭제하지 못함	10% (0.10)	90%의 직원은 올바르게 대응하므로 실패 확률은 10%
탐지 통제 실패	3% (0.03)	의심스러운 네트워크 활동 탐지 실패
외부 유출	1% (0.01)	유출된 정보가 실제로 외부로 빠져나감

$$p = 0.99 \times 0.05 \times 0.10 \times 0.03 \times 0.01 = 0.000001485$$ $$p \approx 0.0001485\%$$

"노출(Exposure)" 함정 – 절대 간과하지 마세요:

개인 단위 사건 확률이 매우 작더라도, 인원 수/거래 수/계정 수와 같은 노출(exposure)이 크면 "연간 1회 이상 발생" 확률은 무시할 수 없게 됩니다. 예를 들어, 위 예시에서 은행에 50,000명의 직원이 있다면:

$$0.000625\% \times 50{,}000 = 31.25\%$$

0.000625%라는 극히 낮은 확률이 직원 수를 곱하면 연간 약 31%의 발생 확률이 됩니다. 따라서 단순히 낮은 실패율만 보고 안심하는 것이 아니라, 반드시 노출 규모를 함께 고려해야 합니다.

3. FAIR 모델 (Factor Analysis of Information Risk)

FAIR 모델은 팩터 모델의 일종으로, 리스크를 개별 팩터로 분해합니다. 세 가지 단계로 구성됩니다. 첫째, 리스크 팩터를 결정하고 상호 관계를 파악합니다. 둘째, 각 팩터를 측정합니다. 셋째, 모든 팩터를 계산적으로 결합합니다.
산출물은 주어진 시나리오에 대한 손실 분포입니다. 시나리오는 위험에 처한 자산(asset at risk), 위협(threat), 위협 유형(threat type), 리스크 발생 시 손실(losses) 등의 속성을 가집니다. 모든 것은 단일 점(point estimate)이 아니라 분포로 표현되며, 이 분포들이 몬테카를로 시뮬레이션의 입력이 됩니다. 시뮬레이션의 산출물은 시뮬레이션된 손실의 분포입니다.

4. 스위스 치즈 모델 (Swiss Cheese Model)

이 모델은 다층 방어 체계의 각 층이 완벽하지 않으며, 스위스 치즈의 구멍처럼 각 층에 취약점이 존재한다는 개념입니다. 정상적으로는 한 층의 구멍이 문제를 일으키지 않지만, 여러 층의 구멍이 일시적으로 정렬(align)되면 위험이 피해로 직접 연결되는 "완벽한 폭풍(perfect storm)"이 발생합니다.
이러한 리스크에 대응하기 위해서는 적절한 통제 층화(control layering)가 필요합니다. 구멍이 절대 정렬되지 않도록, 통제 실패율이 상관되어서는 안 되며, 약점을 효과적으로 상쇄하는 보상 통제(compensating controls)가 있어야 합니다. 통제가 서로 독립적으로 유지되고, 각 독립 통제가 신뢰할 수 있는지를 확인하기 위한 정기적 검토가 필요합니다.

5. 근본 원인 분석 (Root-Cause Analysis)과 보타이 다이어그램

운영 리스크 맥락에서 근본 원인 분석은 중대한 사건 및 근접 사건(near miss)에 대해 제1선 방어선(first line of defense)이 수행합니다. 제2선은 분석을 추가하거나 질의합니다. 5-Whys 분석은 "왜 이것이 발생했는가?"를 최소 5번 반복하여, 직접적 원인뿐 아니라 간접적 원인과 근본 원인을 찾아내는 심층 조사 기법입니다.
보타이 다이어그램(Bow-Tie Diagram)은 분석 대상 리스크 사건을 다이어그램 중앙에 배치하고, 왼쪽에는 원인과 예방 통제를, 오른쪽에는 영향과 탐지/교정 통제를 배치합니다.

보타이 다이어그램의 구조:

[원인/위협] ---(예방 통제)---> [사건(Top Event)] ---(탐지/교정 통제)---> [영향/손실]

왼쪽 (원인 측): 인적 오류, 피싱 메일, 시스템 취약점 등 → 예방 통제(교육, 방화벽, 접근 제한 등)
중앙: 데이터 유출, 승인 없는 송금, 서비스 중단 등
오른쪽 (영향 측): 고객 보상/벌금, 평판 훼손, 법적 비용 등 → 탐지/교정 통제(모니터링, 비상 계획, 고객 소통 등)

보타이 분석은 현재의 모든 통제와 완화 기법을 고려하여 사건의 기대 빈도와 심각도(범위 내)를 평가하는 데에도 사용될 수 있습니다. 또한 직접적 원인을 넘어 간접적 원인과 근본 원인까지 탐구하며, 모니터링할 추가 KRI를 결정하는 데에도 활용됩니다. 근본 원인 분석은 사건의 원인과 그로 이어진 통제 실패에 대한 훨씬 강력한 이해를 가능하게 하며, 이는 특정 사건의 발생 빈도를 더 정확하게 추정하는 데 기여할 수 있습니다.

---

MODULE 38.3: 운영 리스크 자본(경제적 자본) 및 운영탄력성

LO 38.f: 경제적 자본 산출을 위한 운영 리스크 자본 접근법

1. 손실 분포 접근법 (Loss Distribution Approach, LDA)

LDA는 운영 리스크 자본 산출에서 가장 일반적인 접근법입니다. LDA는 손실 사건을 빈도(frequency)와 심도(severity)로 분해하여 모델링의 데이터 항목 수를 2배로 늘립니다. 빈도와 심도 분포는 독립적으로 모델링된 후, 합성(convolution)을 통해 연간 총손실 분포(aggregated loss distribution)로 결합됩니다. 몬테카를로 합성 방법은 수백만 번의 빈도와 심도 무작위 추출을 사용하여 합성 분포를 생성합니다.

(1) 빈도 분포 (Frequency Distribution)

빈도 분포는 정수 기반(이산형, discrete)이며, 운영 사건이 1년 동안 발생하는 횟수를 표현합니다. 모델링에는 주로 포아송 분포(Poisson distribution)가 사용되며, 대안으로 음이항분포(negative binomial distribution)가 있습니다.

포아송 분포 (Poisson Distribution)

$$\mathbb{P}(N = k) = \frac{e^{-\lambda}\lambda^k}{k!}, \quad k = 0, 1, 2, \dots$$

\(\lambda\): 연간 평균 발생 건수(강도/위험률, intensity/hazard rate)
포아송 분포의 특성: \(\lambda\)가 분포의 평균(mean)과 분산(variance) 모두에 해당
관측값은 독립이고 동일하게 분포(i.i.d.)한다고 가정

(2) 심도 분포 (Severity Distribution)

심도 분포는 연속형이며, 비대칭(asymmetric)이고, 두꺼운 꼬리(fat tails)를 가집니다. 소규모 사건은 매우 많지만, 중대한 손실을 초래하는 대형 사건은 극소수입니다. 모델링에는 주로 로그정규분포(lognormal distribution)가 사용되며, 두꺼운 꼬리를 가진 다른 몇 가지 분포도 점차 사용이 늘고 있습니다. 로그정규분포의 핵심 속성은 확률변수가 양의 실수 값만을 취할 수 있다는 것입니다(손실은 음수가 될 수 없으므로 적합).

로그정규분포 (Lognormal Distribution)

$$X = \exp(Y), \quad Y \sim \mathcal{N}(\mu, \sigma^2)$$

\(X\): 사건당 손실 크기 (양수만 가능)
\(Y\): 정규분포를 따르는 로그 손실

(3) LDA의 합성 구조 (Compound Model)

LDA 연간 총손실 (Compound Distribution)

$$L = \sum_{i=1}^{N} X_i$$

여기서 \(N \sim \text{Poisson}(\lambda)\) (빈도), \(X_i \sim \text{Lognormal}(\mu, \sigma)\) (심도), \(N \perp X_i\) (빈도와 심도 독립 가정)

자본 산출 (Stand-alone): $$\text{Capital} \approx \text{VaR}_{99.9\%}(L) = \inf\{x : \mathbb{P}(L \le x) \ge 0.999\}$$

예시: LDA 몬테카를로 시뮬레이션 절차

Step 1. 1년 사건 건수 \(N\)을 Poisson(\(\lambda\))에서 무작위 추출
Step 2. \(N\)건의 손실 \(X_1, X_2, \dots, X_N\)을 Lognormal(\(\mu, \sigma\))에서 각각 무작위 추출
Step 3. 연간 총손실 \(L = \sum_{i=1}^{N} X_i\) 계산
Step 4. Step 1~3을 수백만 번 반복하여 \(L\)의 경험적 분포를 구축
Step 5. 구축된 분포에서 99.9% 분위수를 측정 → 이것이 운영 리스크 자본

2. LDA의 핵심 가정과 한계

가정/한계	상세 설명	시험 포인트
빈도-심도 독립 가정	LDA는 빈도와 심도가 독립이라고 가정하지만, 실증적으로 고빈도-저심도 사건과 저빈도-고심도 사건이 구조적으로 관찰되어 이 가정은 의심될 수 있음.	독립 가정의 현실적 타당성에 대한 서술형 문제 출제 가능
리스크 클래스 내 독립(i.i.d.) 가정	손실 간 내재적 상관관계가 없다고 가정. 이는 운영 리스크 사건의 이질적 특성과 일관되나, 검증이 필요함. 동일하거나 유사한 손실을 클러스터링하여 자기상관(autocorrelation) 부재를 테스트해야 함.	클러스터링과 i.i.d. 검증의 필요성
Unit of Measure(UoM) 분할의 어려움	운영 손실은 매우 다양하여 동질적 UoM으로 클러스터링하기 어려움. 동질성을 높이면 세분화가 커져 사용 가능한 데이터가 줄어들고, 결과의 신뢰성이 저하되며 분포 결합이 어려워짐.	동질성 vs 데이터 양의 트레이드오프
극단적 비대칭(skewness)	운영 리스크 손실의 매우 높은 비대칭성을 LDA만으로는 적절히 처리할 수 없어, 대형 손실 추가, EVT 적용, 시나리오 분석 중 하나 이상의 보완이 필요.	LDA의 꼬리 리스크 과소평가 가능성
모델 의존성과 UoM 집합	UoM 간 의존성이 자본 요구량 계산에 큰 영향을 미침. UoM 집합은 코풀라(copula)를 통해 이루어지며, 이는 꼬리 의존성과 극단값 간 의존성을 분석하는 데 사용됨.	코풀라의 역할과 목적

3. 극단값 이론 (Extreme Value Theory, EVT)

EVT는 LDA가 극단적 꼬리 리스크를 적절히 포착하지 못할 때 보완적으로 사용됩니다. 두 가지 주요 방법이 있습니다.
(1) Block Maxima (Fisher-Tippett) 접근법: 동일한 간격의 시간 기간별, UoM별 최대 운영 손실을 관찰하고, 이러한 극대값의 분포를 분석합니다.
(2) Peaks-over-Threshold (POT) 접근법: "충분히 큰" 것으로 간주되는 특정 높은 임계치를 초과하는 항목을 분석합니다. 임계치 초과 금액의 분포는 일반화 파레토 분포(Generalized Pareto Distribution, GPD)로 추정될 수 있습니다.
그러나 EVT는 모든 손실을 생성하고 현재보다 더 큰 미래 손실도 생성할 하나의 주된 근본 원인이 존재할 때만 효과적입니다. 운영 손실의 다양한 특성을 고려하면, 하나의 주된 근본 원인이라는 아이디어는 현실적이지 않으며, 이는 운영 리스크 정량화에서 EVT의 유용성을 심각하게 저해합니다. 따라서 시나리오 분석, 인과 모델링, 고정 승수, 운영 리스크의 거시적 결정요인 등 대안적 방법이 고려될 수 있습니다.

4. 내부 및 외부 손실 데이터의 결합

내부 손실 데이터는 리스크 및 통제 실패에 대한 상세 정보의 원천이자 LDA의 출발점으로서 다중 역할을 합니다. 특히 고빈도-중간심도 사건의 "임계 질량(critical mass)" 영역에서 분포를 생성하기 위한 많은 데이터 포인트를 제공합니다. 외부 데이터에 비해 은행에 대한 관련성이 높고 세부 사항이 더 풍부합니다.
그러나 내부 손실 데이터만으로는 충분하지 않으며, 다른 은행의 외부 손실 데이터로 보완해야 합니다. 이를 통해 은행에 영향을 미칠 수 있는 손실 결과의 전체 범위를 훨씬 더 폭넓게 이해할 수 있습니다. 외부 데이터는 공개 소스(모든 사건의 전체 손실 세부 정보 이용 가능), 회원 전용 데이터베이스(익명 기반으로만 사건별 손실 세부 정보 이용 가능), 산업 협회(예: ORX) 등에서 얻을 수 있습니다.

결합 방법	무엇을 하는가	왜 하는가	주의점
Scaling (규모 조정)	은행 규모나 인플레이션에 맞춰 손실을 조정	외부 사건을 해당 은행의 스케일로 맞추기 위함	단순 비례 조정은 과대/과소 추정 가능
Cut-off Mix (임계치 혼합)	내부 손실이 희소한 특정 임계치 이상 구간에 외부 손실을 보강	꼬리 구간의 "표본 수"를 확보하여 신뢰할 수 있는 분포 생성	외부 데이터의 편향과 비교가능성 점검 필요
Filtering (필터링)	데이터셋에 포함/제외할 손실에 대한 명시적 규칙 적용	결과의 잠재적 조작 방지, 일관성 확보	규칙이 자본을 '의도적으로' 낮추지 않도록 거버넌스 필요

5. 자본 모델링의 현행 프레임워크

운영 리스크 자본 산출을 위한 새로운 표준화 접근법(standardized approach)은 기술적으로 은행이 운영 리스크를 모델링할 요구사항을 제거합니다. 그 결과, 은행의 모델링 활동은 이제 Pillar 2, 내부 자본적정성 평가 프로세스(ICAAP), 스트레스 테스트, 운영탄력성에 집중됩니다.
ICAAP는 운영 리스크 및 기타 리스크를 포괄하며, 재무적/비재무적 리스크 모두를 커버합니다. ICAAP는 사업의 성격, 중기적 사업 변화로 인한 잠재적 리스크 노출 변화, 현행 통제를 고려한 자본 충분성 자체 평가로 구성됩니다. 시나리오 식별, 완화, 평가는 Pillar 2a에서, 자본 평가, 계획, 스트레스 테스트는 Pillar 2b에서 다루어집니다.
ICAAP는 본질적으로 은행이 경제적 자본(economic capital)을 산출할 수 있게 합니다. 경제적 자본은 잠재적 손실을 충당하고 은행이 계속기업(going concern)으로 유지되며 외부 신용등급을 유지하는 데 필요한 내부 자본을 의미합니다.

---

LO 38.g: 운영탄력성 (Operational Resilience)

1. 운영탄력성의 개념

시나리오 분석 결과는 은행이 운영 사건으로 인해 미래 수익과 평판에 심대한 피해를 입을 수 있음을 시사할 수 있습니다. 운영탄력성은 은행이 이러한 가능한 사건(아직 발생하지 않았을 수 있는)을 고려하고, 그러한 사건으로부터 충분한 회복력을 보유하고 있는지를 판단하도록 요구합니다. 실제로 운영탄력성은 강력한 ORM 프레임워크의 결과물이어야 합니다.

2. 운영탄력성 vs BCM (업무연속성관리)

운영탄력성과 업무연속성관리(BCM)를 구분하는 것이 중요합니다. BCM은 각 사업 프로세스와 그 연속성 및 적시 복구에 중점을 둡니다. 반면 운영탄력성은 "중요한 비즈니스 서비스(Important Business Services, IBSs)"에 보다 구체적이며, "영향 허용치(impact tolerances)"에 종속됩니다. 영향 허용치를 위반하는 "감당 불가능한 영향(intolerable impacts)"은 운영탄력성의 범위에 포함되지 않습니다. 즉, 운영탄력성은 비극단적 상황에서의 중요한 비즈니스 서비스만을 고려합니다.

3. 운영탄력성 7단계

단계	내용	상세 설명
Step 1	중요 비즈니스 서비스(IBS) 식별	은행마다 사업 초점에 따라 IBS가 다름. 대규모 은행은 IBS 목록을 우선순위화하여 좁힐 필요가 있음.
Step 2	IBS별 impact tolerance 설정	사업영향분석(BIA)을 출발점으로, 중단으로 인한 운영적/재무적 함의(매출/이익 손실, 추가비용/벌금, 고객 이탈 등)를 분석하여 허용 가능한 영향 수준을 설정.
Step 3	IBS 제공에 필요한 자원/의존성 매핑	인력, IT, 벤더 등 의존 자원을 매핑하는 복잡한 프로세스. 은행이 클수록 훨씬 더 많은 데이터, IT 자원, 인력(HR, IT 등 다양한 그룹)이 필요.
Step 4	가혹하지만 현실적인 시나리오로 스트레스 테스트 설계	IBS 제공 시 취약성을 테스트하기 위한 시나리오 설계. 잠재적 중단 사건의 핵심 단계를 평가하고, 회피 또는 적시 복구 방법을 파악.
Step 5	한도 초과 시 교훈 반영 및 개선 실행	스트레스 테스트에서 impact tolerance가 위반된 경우, 학습된 교훈을 검토하고 구조/통제/백업 등에 필요한 변경사항을 구현.
Step 6	커뮤니케이션 플랜 준비	사건 발생 시 즉시 실행할 수 있는 모든 커뮤니케이션 계획을 사전에 준비.
Step 7	연 1회 이사회 승인 self-assessment 수행	이사회가 승인하는 연간 자체평가로, 탄력성 계획의 적절성과 효과성을 검증.

4. 탄력성 맥락의 핵심 리스크 지표 (SPOFs)

탄력성 맥락에서 단일 실패 지점(Single Points of Failure, SPOFs)은 적절한 KRI입니다. SPOFs는 백업 및 이중화 시스템을 통해 제거되어야 하며, 그렇지 않으면 허용 한도 설정과 스트레스 테스트에 포함되어야 합니다.
탄력성 KRI의 예시로는 매우 전문적인 기술을 보유하고 프로세스를 문서화하지 않았거나 대체가 어려운 핵심 인력에 대한 의존(예: 코딩 및 사이버보안 전문가), 또는 대체재가 거의 없는 핵심 공급업체에 대한 의존(예: IT, 데이터, 인터넷 제공업체)이 있습니다.

---

MODULE QUIZ

Module Quiz 38.1

문제 1. 한 은행 직원이 장기간 서스펜스(경유) 계정을 조작해 왔으며, 이 사건은 중대한 운영 사건으로 판정되었습니다. 운영 사건 날짜 측면에서 다음 중 가장 길 가능성이 높은 시간 간격은?

A. 보고일(Reporting)에서 회계일(Accounting)까지
B. 발견일(Discovery)에서 보고일(Reporting)까지
C. 발생일(Occurrence)에서 발견일(Discovery)까지
D. 발생일(Occurrence)에서 보고일(Reporting)까지

문제 2. 다음 중 리스크 평가에 관한 설명으로 가장 정확한 것은?

A. RCSA는 정성적, 정량적 측면이 잘 혼합되어 있다.
B. 리스크 평가의 주된 목적은 리스크 관리 및 리스크 완화 대응의 우선순위를 정하는 것이다.
C. 리스크 평가 결과를 과거 사건 경험과 백테스트하면, 운영 리스크 사건의 발생 가능성을 과대평가하는 경향이 있다.
D. 리스크 평가 결과를 과거 사건 경험과 백테스트하면, 운영 리스크 사건의 영향을 과소평가하는 경향이 있다.

Module Quiz 38.2

문제 1. 은행의 준법감시 담당자가 업무연속성계획(BCP) 2건이 검토 기한을 경과했음을 발견했습니다. BCP의 미완료 검토는 다음 중 무엇으로 가장 잘 설명되는가?

A. 핵심 평가 지표 (Key Assessment Indicator)
B. 핵심 통제 지표 (Key Control Indicator)
C. 핵심 성과 지표 (Key Performance Indicator)
D. 핵심 리스크 지표 (Key Risk Indicator)

문제 2. 은행 직원에 의한 비악의적(nonmalicious) 데이터 유출 사건의 맥락에서 다음 정보가 주어졌습니다.
– 피싱 메일 수신 확률: 99%
– 방화벽 정상 작동 확률: 95% (실패 확률: 5%)
– 직원이 즉시 삭제할 확률: 90% (실패 확률: 10%)
– 탐지 통제 실패 확률: 3%
– 정보 유출(외부로 빠져나감) 확률: 1%

FTA를 사용하고 위 조건이 완전히 독립이라고 가정할 때, 주어진 기간에 데이터 유출 리스크가 현실화될 가능성은?

A. 0.0001485%
B. 0.0004365%
C. 0.0048015%
D. 0.0253935%

Module Quiz 38.3

문제 1. 한 정량 분석가가 모델 보정을 위해 내부 및 외부 손실 데이터를 결합하는 과정에 있습니다. 분석가는 데이터셋에 포함/제외할 손실에 대한 특정 기준을 설정했습니다. 분석가가 사용한 방법은?

A. Cut-off mix
B. Filtering
C. Scaling
D. Rule based

정답

문제	정답	해설
38.1-1	D	운영 사건의 날짜 순서는 발생(Occurrence) → 발견(Discovery) → 보고(Reporting) → 회계(Accounting)입니다. 장기 미발견 계정 조작의 경우 발생~발견 기간이 매우 길지만, 보고일은 발견일 이후에 발생하므로 발생~보고 기간이 항상 발생~발견 기간 이상이 되어 가장 길어질 가능성이 높습니다.
38.1-2	B	RCSA는 정성적이며 주로 판단(judgment)에 기반합니다. 백테스트 결과에 따르면 가능성은 과소평가하고 영향은 과대평가하는 경향이 있습니다. 리스크 평가의 주된 목적은 리스크 관리 및 완화 대응의 우선순위를 결정하는 것입니다.
38.2-1	B	KCI는 은행의 통제가 얼마나 효과적으로 작동하는지를 측정합니다. 기한 내 검토되지 않은 BCP는 검토 기한이라는 통제가 효과적으로 작동하지 않았음을 의미하므로 KCI가 가장 적절합니다.
38.2-2	A	독립 가정 하의 AND 결합: \(0.99 \times 0.05 \times 0.10 \times 0.03 \times 0.01 = 0.000001485 = 0.0001485\%\)
38.3-1	B	Filtering은 결과의 잠재적 조작을 방지하기 위해 모델링에 사용될 데이터셋에 대한 손실의 포함/제외에 대한 특정 규칙을 설정하는 것입니다. Cut-off mix는 내부 손실이 적은 구간에 외부 손실을 보강하는 것이고, Scaling은 규모/인플레이션 조정입니다. "Rule based"는 이 맥락에서 존재하지 않는 방법입니다.

---

KEY CONCEPTS (핵심 개념 정리)

LO 38.a 핵심

• ORM 프레임워크는 4개의 동심원으로 구성: 사건/손실 DB → RCSA → KRI 모니터링 → 대형 사건 교훈
• 은행은 내부 손실 데이터의 식별, 수집 및 처리를 위한 문서화된 절차와 프로세스를 갖추어야 함
• 사건일자 4종: Occurrence → Discovery → Reporting → Accounting (각 간격의 의미를 이해)
• 경계 사건: 신용 맥락의 운영 손실은 신용 리스크로, 시장 맥락의 운영 손실은 운영 리스크로 분류
• BCBS 요구: 최소 10년 데이터, EUR 20,000 수집 임계치, Basel 이벤트 분류, 독립적 품질 검토

LO 38.b 핵심

• RCSA는 정량화가 목적이 아니라, 리스크 인식, 통제 개선, 우선순위 설정이 목적
• Inherent risk(통제 미반영) vs Residual risk(통제 반영 후 잔존) 구분
• 예방 통제(preventive: 발생 가능성 감소) vs 교정 통제(corrective: 영향 최소화) 구분
• 백테스트 전형적 패턴: 가능성은 과소평가, 영향은 과대평가
• Heatmap 색상(Green/Yellow/Amber/Red)은 정성 등급이며, 산술적 곱셈 비교는 오류

LO 38.c 핵심

• KRI = 현재 시점 리스크 노출 수준, KPI = 은행 운영 효율, KCI = 통제 작동 효과
• 세 지표는 상당히 중복되며, 하나의 지표가 리스크, 성과, 통제 요소를 모두 가질 수 있음

LO 38.d~e 핵심

• FTA는 AND/OR 게이트로 실패 시나리오를 분해. 독립 가정 시 AND = 곱, OR = 여집합 곱
• 독립 가정은 "최소 확률"을 산출하며, 현실에서는 조건부/베이지안 확률이 더 현실적
• 개인 단위 확률이 매우 작아도 노출(인원/거래수)이 크면 연간 발생 확률이 커질 수 있음
• 스위스 치즈 모델: 다층 통제의 취약점 정렬 방지를 위해 통제 독립성과 보상 통제 필요
• 근본 원인 분석: 5-Whys로 직접/간접/근본 원인을 탐색, 보타이 다이어그램으로 구조화

LO 38.f 핵심

• LDA: 빈도(Poisson) + 심도(Lognormal) → 연간 총손실 분포 → 99.9% 분위수 = 자본
• Poisson: \(\lambda\) = 평균 = 분산, 이산형. Lognormal: 양수만, 비대칭, fat tail, 연속형
• LDA 가정의 한계: 빈도-심도 독립, 리스크 클래스 내 i.i.d., UoM 동질성 vs 데이터량 트레이드오프
• EVT: Block Maxima 또는 POT(GPD) 방법 – 운영 리스크의 다양성으로 인해 유용성 제한
• 데이터 결합: Scaling(규모/인플레이션 조정), Cut-off mix(상위 구간 외부 보강), Filtering(포함/제외 규칙)
• 새 표준화 접근법으로 모델링 요구 제거 → 모델링은 Pillar 2 / ICAAP / 스트레스 테스트에 집중

LO 38.g 핵심

• 운영탄력성: IBS(중요 비즈니스 서비스)와 impact tolerance 중심의 프레임워크
• BCM(프로세스별 연속성)과 구분: 탄력성은 IBS + 허용 영향 → 역으로 자원 매핑
• 7단계: IBS 식별 → tolerance 설정 → 의존 자원 매핑 → 시나리오 테스트 → 개선 → 커뮤니케이션 → 이사회 승인 self-assessment
• SPOFs(단일 실패 지점)는 탄력성 맥락의 적절한 KRI

---

시험 대비 한 줄 암기 체크리스트

주제	암기 포인트
ORM 4동심원	Incident DB → RCSA → KRI Monitoring → Major Event Takeaways
규제 데이터 기준	최소 10년, EUR 20,000 임계치, Basel 이벤트 분류, 회수 정보, 독립 품질 검토
사건일자 4종	Occurrence → Discovery → Reporting → Accounting (잠복/보고지연/정산 기간 의미)
경계 사건 분류	운영원인+신용결과 = 신용 리스크(RWA 포함), 운영원인+시장결과 = 운영 리스크
RCSA 목적	정량화가 아니라 인식/우선순위/통제 개선. Inherent vs Residual 구분
RCSA 백테스트 패턴	가능성 = 과소평가, 영향 = 과대평가
Heatmap 함정	정성 등급을 곱해 "수학적 비교"하면 안 됨 (ordinal scale)
KRI / KPI / KCI	Risk exposure / Performance / Control effectiveness (겹칠 수 있음)
FTA 확률	AND = 곱(독립), OR = 여집합 곱. 독립 가정은 "최소 확률"
FTA 노출 함정	개인확률이 작아도 인원/거래수가 크면 연간 발생확률 무시 불가
스위스 치즈	다층 통제의 취약점 정렬 방지 → 통제 독립성 + 보상 통제 + 정기 검토
보타이 다이어그램	좌 = 원인+예방통제, 중앙 = 사건, 우 = 영향+탐지/교정통제
LDA 구조	빈도(Poisson, \(\lambda\)=mean=var) + 심도(Lognormal, 양수) → 연간 총손실 \(L=\sum X_i\)
LDA 자본	\(\text{VaR}_{99.9\%}(L)\) = 99.9% 분위수 (몬테카를로 시뮬레이션)
LDA 한계	빈도-심도 독립 의심, UoM 동질성 vs 데이터량 트레이드오프, 극단 비대칭 미포착
EVT 두 방법	Block Maxima (Fisher-Tippett), POT (GPD). 운영리스크 다양성으로 유용성 제한
데이터 결합 3방법	Scaling / Cut-off Mix / Filtering
ICAAP	Pillar 2, 경제적 자본 산출. Pillar 2a = 시나리오/완화/평가, Pillar 2b = 자본/스트레스
운영탄력성 7단계	IBS → tolerance → mapping → scenario test → 개선 → 커뮤니케이션 → 이사회 self-assessment
탄력성 vs BCM	BCM = 프로세스별 연속성, 탄력성 = IBS + impact tolerance 중심
SPOFs	단일 실패 지점 = 탄력성 맥락의 KRI. 백업/이중화로 제거 또는 스트레스 테스트에 포함

---