IT아웃소싱 회사에 문제 생기면?… 금융권 `제3자 리스크` 가이드라인, 올 3분기 시행

실시간
뉴스

뉴스

IT아웃소싱 회사에 문제 생기면?… 금융권 '제3자 리스크' 가이드라인, 올 3분기 시행

디지털데일리 발행일 2025-03-11 16:54:31

박기록 기자

URL복사

[디지털데일리 박기록기자] 금융회사가 IT기업 등 외부 기업(제3자)과 위탁을 맺어 운용하고 있는 업무나 서비스에서 사고가 발생할 경우, 피해를 최소화하고 업무정상화를 위한 '제3자 리스크 가이드라인'을 올 상반기중으로 마련, 올 3분기부터 시행에 들어간다.

11일 금융감독원은 3~5월중 각 금융업권별 협회와 협의해 '제3자 리스크 가이드라인' 우선 적용 대상 금융기관에 대한 기준 등을 확정하고, 또한 가이드라인을 올 3분기 중 협회 모범규준(자율규제)으로 시행할 계획이라고 밝혔다.

향후 제3자 리스크 가이드라인에는 ▲업권별 우선적용대상 기준, ▲중점관리위탁계약 선정기준, ▲수탁자 실사 체크리스트, ▲위탁계약서 기재 필요사항 등이 담긴다.

금감원은 제3자 리스크 대응을 위한 가이드라인 제정 이유에 대해 "최근 금융의 디지털화, 금융상품 판매채널 다변화 추세 등에 따른 업무위탁 증가로 금융기관의 제3자 의존도가 심화됨에 따라 제3자 리스크 등 운영리스크 관리강화의 필요성이 증가하고 있다"며 "제3자 리스크의 자체적인 관리능력 강화를 도모하고, 금융기관이 업무위탁시 준수해야하는 최소한의 사항을 제시하는 가이드라인 마련을 추진하는 것"이라고 설명했다.ㅏ

제3자 리스크 가이드라인은 금융기관의 리스크 수준, 복잡성, 규모 및 제3자 관계의 특성에 따른 자체적인 리스크관리를 유도하기 위한 것으로, 각 업권이 고유한 제3자 리스크의 특성 등을 반영해 운영할 수 있도록 협회 모범규준(자율규제)으로 시행할 예정이다.

예를 들어 금융업종을 불문하고 수탁자의 전산사고 발생에 따른 소비자 개인신용정보 유출리스크가 발생할 경우, 보험의 경우는 GA(보험판매대리점)의 외형성장 중심 영업에 따라 불완전판매 등 판매위탁리스크, 카드사는 제휴관계인 e-커머스 회사의 부실 등으로 인한 온라인 결제시장에서의 결제리스크 등이 제3자 리스크 가이드라인의 대상이 된다.

금감원은 관련하여, 금융기관은 규모, 업권별 리스크요인 및 위탁계약의 특성 등을 고려해 전사적인 리스크관리 프로세스와 통합된 제3자 리스크관리 체계를 구축·시행·유지해야한다고 설명했다.

금감원은 제3자 리스크 가이드라인과 관련해 금융기관의 이사회 및 경영진의 역할과 책임을 명확히했다.

이사회는 금융기관의 제3자 의존도, 종속성 등에 유의하여 제3자 리스크관리 정책 수립 및 감독 관련 주요 사항을 심의·의결하여야 하며, 경영진은 이사회가 수립한 제3자 리스크관리 정책을 바탕으로 제3자 리스크 관리체계를 구축·시행·유지하고, 효과적인 관리조치를 이행한 후 이를 이사회에 보고해야한다.

특히 책무구조도의 대상이 되는 금융회사는 대표이사가 위탁에 따른 제3자 리스크관리 책무를 담당임원에게 적정히 배분하고 각 임원의 관리의무 이행을 점검하도록 했다.

이에 따르면 책무를 배분받은 임원의 관리조치 내용은 지배구조법에 따라 회사마다 가장 효과적인 방법으로 구체화 할 수 있다. 금융기관은 위탁계약별 제3자 리스크를 측정하여 리스크가 높은 위탁계약을 중점관리대상으로 선정하고, 강화된 리스크관리 활동을 수행해야한다.

또 예기치 못한 재난 발생, 수탁자의 갑작스러운 업무중단 등에 대비해 제3자 리스크관리 체계와 연계된 업무연속성 계획(BCP)을 마련하고 정기적으로 그 적정성을 점검하고, 제3자 리스크관리 활동내역, 위탁 관련 의사결정사항, 실사 결과 등 주요사안은 문서화하여 보관 및 유지하도록 할 방침이다.

한편 금감원은 금융기관이 위탁계약 체결 전 현장실사 등을 통한 제3자 리스크 평가를 실시해야 하며, 위탁계약을 반드시 서면으로 체결하고, 계약서상 제3자 리스크관리에 필요한 핵심내용들을 명확히 규정해야 하고, 위탁계약의 제3자 리스크 수준을 주기적으로 모니터링하고, 중대한 리스크 징후를 발견하는 경우 필요한 조치를 취하도록 했다.