제3자 위험 관리는 최근 금융 기관에 대한 집행 조치를 취하고 있는 미국 연방 및 주 규제 당국의 최우선 과제입니다. 이로 인해 은행 비밀법(BSA) 위반 및 취약한 제3자 위험 관리 통제로 인해 수백만 달러의 민사 벌금이 부과되었습니다.
최근 조치를 보면 규제 기관이 핀테크 기업을 포함한 제3자 관계에 대해 금융 기관에 책임을 묻는 경우가 점점 더 많아지고 있습니다. 규제 기관들은 금융 기관들이 이러한 제3자에 대해 적절한 실사를 수행하고 이러한 관계의 위험을 지속적으로 모니터링, 평가 및 통제하기 위해 위험 기반 관행을 수립할 것으로 기대합니다.
지난 18개월 동안 규제 당국은 세부 지침과 여러 동의 명령을 발표하고 제3자 위험 관리에 대한 집중도를 높였습니다.
2023년 6월 미국 통화감독청(OCC), 연방준비제도이사회, 연방예금보험공사(FDIC)는 금융 기관의 제3자 위험 관리에 대한 기관 간 지침을 발표했습니다. 이 지침은 규제 기대치의 토대를 마련하는 로드맵으로 활용될 것이며, 제3자 관계 및 모범 사례와 관련된 위험을 효과적으로 관리하는 것을 목표로 합니다.
1년도 채 지나지 않아 OCC는 제3자 위험 관리 프로그램의 취약점을 파악한 후 남대서양 지역 은행에 대해 동의 명령을 내렸습니다.
FDIC는 북동부 핀테크가 안전하지 않고 불건전한 은행 관행에 관여한 것으로 판단했습니다. FDIC는 무엇보다도 은행이 규모에 적합한 내부 통제 및 정보 시스템을 갖추지 못한 것과 관련된 동의 명령을 내렸습니다. 이 명령은 또한 제3자 관계의 특성, 범위, 복잡성 및 위험성에 대해서도 다루었습니다.
FDIC는 또한 중서부 지역 은행에 제3자 위험 관리를 위한 적절한 정책과 절차를 개발하도록 지시하는 동의 명령을 내렸습니다. 또한 자금 세탁 방지(AML) 및 테러 자금 조달(CFT) 책임을 이행하는 제3자에 대한 실사 및 모니터링을 개선할 것을 요구했습니다.
기관은 종종 제3자 서비스 제공업체에 의존하여 FCC 제어를 실행합니다. 지금까지 제3자 서비스는 부정적인 뉴스 식별, 제재 심사 및 거래 모니터링에 국한되어 있었습니다. 최근에는 이러한 서비스가 고객 신원 확인, 전자 데이터 증명, 향상된 실사 사례 관리, 경고 조사 및 위험 평가에서 생성형 인공 지능과 같은 프로세스를 포함하도록 확장되었습니다.
금융 기관은 엄격한 내부 프로세스 모니터링을 할 수 있습니다. 그러나 이러한 표준과 관행을 제3자로 확장하지 않으면 기업은 잘못된 고객을 온보딩하거나, 잘못된 경고를 종료하거나, 의심스러운 활동 경고를 제출하지 않을 위험이 있습니다. 적절한 실사 또는 주기적인 공급업체 위험 평가를 수행하는 금융 기관은 제3자에 의해 발생하는 규정 준수 위험을 피할 수 있습니다.
제3자를 통해 얻을 수 있는 이점에도 불구하고, 금융 기관이 제3자가 부과하는 FCC 위험을 인식, 보존 및 관리하는 것이 필수적입니다. 이를 위해서는 위험을 관리하고 제3자의 활동을 모니터링하여 규제 의무를 준수할 수 있도록 지원하는 제3자 위험 관리 프로그램을 구현해야 합니다.
제3자에 대한 적절한 감독과 관리를 보장하기 위한 라이프사이클에는 실사 검토, 지속적인 모니터링, 위험 평가라는 세 가지 주요 위험 관리 구성 요소가 통합되어 있습니다.
많은 금융 기관은 계약 단계에서 실사의 일환으로 새로운 제3자 관계를 통해 표준 규정 준수 검토를 강화할 수 있습니다. 여기에는 최근 기관 간 지침에 설명된 대로 정책, 프로세스 및 내부 통제를 포함한 제3자의 전반적인 위험 관리의 효과성을 평가하는 것이 포함됩니다. 또한 해당 활동을 둘러싼 정책 및 기대치와 일치하는지 확인하는 작업도 포함됩니다.
실사에는 당사자가 잠재적으로 새로운 위험이나 기타 위험을 도입하는지를 확인하기 위해 사용하는 기술에 대한 검토도 포함되어야 합니다. 금융 기관의 규정 준수 부서는 제공된 서비스의 품질을 확인하기 위해 초기 테스트를 수행할 수 있습니다. 이는 또한 제3자가 금융 기관의 위험 허용 한도 내에서 운영되도록 설정되었는지 확인하는 데 도움이 됩니다.
기관 간 지침은 모범 사례에 대한 지속적인 모니터링을 위한 정보 보안, 안전 및 건전성에 대한 표준을 설정합니다. 규제 당국은 금융 기관이 관계 전반에 걸쳐 제3자의 성능을 모니터링할 것으로 예상합니다. 이는 금융 기관이 기대에 부응하는 성과를 거두고, 관계에서 필요한 변화를 식별하고, 결과적으로 위험과 통제에 대한 변경을 가능하게 하기 위한 것입니다. 지속적인 모니터링 단계의 주요 위험 관리 활동은 다음과 같습니다.
금융 기관은 기존의 연례 AML 및 BSA 위험 평가를 개선하여 위험 프로필을 더 잘 파악하여 금융 범죄 규정 준수 위험을 보다 정확하게 식별할 수 있습니다. 제3자가 초래하는 위험을 식별하고 위험을 완화하기 위한 통제 수단을 도입할 수 있습니다. 또한 관계를 규제 요건에 매핑하고 주요 제3자 데이터 포인트를 문서화할 수 있습니다.
모든 제3자가 충분한 실사 및 모니터링을 보장할 수 있는 것은 아니지만, 전반적인 제3자 위험에 대한 평가는 금융 기관이 적절한 위험 기반 접근 방식을 결정하는 데 도움이 될 수 있습니다.
주제별 전문가로 구성된 IBM 팀은 제3자 위험 관리 프로그램을 개선하고 강화합니다. 자문 서비스를 통해 조직이 제3자 위험 관리 정책 및 절차를 평가할 수 있습니다. 또한 제3자 위험 관리에 대한 AML 프로그램의 적용 범위를 평가하여 조직의 위험 감수 범위에 적합한지 확인할 수 있습니다.
IBM Promontory는 조직을 대신하여 활동하는 제3자의 AML 법률 준수를 유지하기 위하여 AML 실사와 지속적인 모니터링 프로그램을 개발하도록 지원할 수 있습니다. IBM Promontory는 제3자와 함께 사용하는 계약 템플릿을 평가하여 제3자가 AML 통제를 충족하는지 확인할 수 있습니다. 또한 IBM Promontory는 AML 제어를 실행하는 역할을 하는 제3자를 위한 거버넌스, 보고 및 위험 완화 절차를 개발할 수 있습니다.
IBM Promontory는 IBM과의 협업을 통해 자동화된 데이터 분석, AI 생성 요약 및 클러스터링, AI 기반 보고를 제공할 수 있는 독보적인 입지를 확보하고 있습니다. IBM watsonX Discovery는 실사 정보, 거래 기록, 조직 문서 등 제3자와 관련된 대량의 데이터를 분석할 수 있습니다. 이 툴은 인간 분석가에게는 분명하게 드러나지 않을 수 있는 패턴, 이상 징후 및 관계를 식별할 수 있습니다. 또한 시각화 및 요약을 제공할 수도 있습니다. 이 기능을 사용하면 실사 및 위험 등급과 관련된 주요 요소를 발견할 수 있습니다.
IBM Cloud Pak for Data는 데이터, 위험 등급 및 기타 관련 요소를 기반으로 제3자를 요약하고 클러스터하는 데 도움을 줄 수 있습니다. 이 툴은 강화된 모니터링이나 오프보딩과 같은 근본적인 문제를 해결하기 위한 권장 사항도 제공할 수 있습니다. IBM Cognos Analytics는 제3자 경향 및 패턴에 대한 상세 보고서를 생성하여 고위 경영진, 규제 기관 및 기타 이해관계자에게 정보를 제공할 수 있습니다.
규제 당국은 금융 기관이 제3자 금융 범죄 위험을 어떻게 관리하는지에 중점을 두고 있다는 점을 분명히 했습니다. 금융 기관은 제3자에 대한 실사를 수행하고 이러한 관계에서 발생하는 위험을 지속적으로 모니터링, 평가 및 제어할 수 있는 효율적이고 효과적인 프로그램을 마련해야 합니다.