이 기사는 2020년 05월 19일 13:44 thebell 에 표출된 기사입니다.

“그 어느 때 보다 CRO의 역할이 중요한 시기가 도래했다. 수익은 깨져도 다시 회복하면 되지만 리스크 관리에 실패하면 은행 자체가 무너질 수 있다.”

최근 금융사들의 최대 관심사는 '리스크 관리(risk management)'다. 불과 지난해까지만 해도 수익 증대를 통한 지속 성장을 추구했지만 라임 사태와 DLF 이슈가 불거지면서 경영기조를 바꾸고 있다. 특히 코로나19로 경기가 하강 국면에 진입할 가능성이 높아지면서 사상 최대 순이익 기록을 경신한 금융지주와 은행들은 앞다퉈 리스크 관리를 전면으로 내세우고 있다. 저금리를 뚫고 수익 다변화와 수익성 증대를 내세웠던 보험사들도 전략을 수정하기 시작했다.

경영전략 변화로 각 금융사별로 최근 가장 주목받는 인물은 '최고리스크관리책임자(CRO)'다. ‘Chief Risk Officer’의 약자인 CRO는 각 은행 및 보험사별로 다양하게 번역해 사용하고 있다. ‘위험관리책임자’가 법률상 명칭이다.

규모가 조금 작은 금융사의 경우 리스크관리총괄로 명칭하는 경우도 있다. 은행과 금융지주에서는 부행장(부사장)급 인사가 CRO를 맡는 것이 일반적이다. 보험사들은 은행에 비해 CRO의 권한과 의무가 다소 작은 만큼 전무나 상무급 인사가 CRO 역할을 맡기도 한다.

외부로 잘 드러나지 않지만 CRO는 금융사의 주요 보직 중 하나다. 대표이사(CEO)나 최고재무책임자(CFO)에 버금가는 CRO를 정점으로 금융사들은 독립적이고 전문화된 리스크 관리 조직을 꾸리고 있다. CRO의 고유 역할은 개별 회사가 처할 수 있는 위기를 사전 진단하고 대응책을 모색하는 것이다. 대표적으로 금융사의 자본적정성 및 자산건전성 등 재무지표 관리를 CRO가 총괄한다.


전문적인 리스크 관리라는 개념과 CRO라는 직함이 우리나라 금융사에 등장한 시기는 2000년대 초반이다. 1990년대 말 IMF 외환위기 이후 대형 은행들을 중심으로 상시적 리스크 관리 필요성이 대두됐다. 기존 감사부, 심사부 등에서 비전문적으로 수행하던 리스크 관리 업무를 별도의 조직에서 전담하기 시작하면서 CRO라는 개념도 정착됐다.

본격적으로 CRO 및 리스크 관리 조직이 전 은행으로 확대된 시기는 2004년부터다. 금융감독원은 2004년 3월 ‘종합리스크관리체제 선진화’ 계획을 수립하고 8개 추진 과제를 제시했다. 그해 5월부터 7월까지 두달 동안 당시 국내에 설립돼 있던 17개 은행 및 특수은행을 대상으로 과제별 점검을 실시했다.

금감원이 8개 과제 중 가장 강조한 부분은 ‘전사적 리스크 관리 조직의 정비’였다. 이 때부터 국내 은행권에 본격적으로 CRO 및 리스크 관리 조직이 안착됐다. IMF 외환위기 이후 급하게 도입된 CRO의 지위와 역할, 리스크 관리 조직의 운영은 2004년 한 차례 정비되면서 체계적이고 전문적으로 바뀐다.

금감원이 은행권에 대한 리스크 관리 실태를 파악하고 이를 평가해 시정조치 및 권고를 한 이후 CRO 및 리스크 관리 조직의 역할도 더 분명해졌다. 2004년 3월 금감원이 제시한 8개 추진 과제는 ‘자본 적정성 평가’ ‘신용리스크 관리’ ‘시장리스크 관리’ ‘금리·유동성(ALM)리스크 관리’ ‘운영리스크 관리’ ‘한도관리 및 성과관리체제의 선진화’ ‘내부통제체제의 선진화’ 등이다. 현재 이 추진 과제들은 은행을 넘어 금융권 전반에 걸쳐 CRO 및 리스크 관리 조직이 수행하는 고유 업무로 정착됐다

이후 국내 금융권 전반에 리스크 관리 업무가 확대된 시기는 2016년이다. 그 해 8월1일부터 시행된 '금융회사의 지배구조에 관한 법률'에 최초로 위험관리책임자(CRO)가 등장한다. CRO의 법률용어로 위험관리책임자가 만들어졌고, 그만큼 법적인 구속력이 만들어졌다. 이 때부터 전 금융사들이 CRO를 의무적으로 선임해야 하는 시대가 도래했다.

금융회사의 지배구조에 관한 법률 제28조(위험관리책임자의 임면 등)는 "금융회사는 자산의 운용이나 업무의 수행, 그 밖의 각종 거래에서 발생하는 위험을 점검하고 관리하는 위험관리책임자를 1명 이상 두어야 한다”고 명시돼 있다.

이 법은 2017년 4월18일 CRO의 업무를 더 고유화하고 역량을 강화하는 쪽으로 개정된다. CRO가 회사 내 다른 업무를 겸직하지 못하게 못 박았다. 제29조(겸직 금지 등)는 "준법감시인 및 위험관리책임자는 선량한 관리자의 주의로 그 직무를 수행하여야 하며, 다음 각 호의 업무를 수행하는 직무를 담당해서는 아니된다"고 명시돼 있다.

금감원이 은행들을 규제하고 감독하는 근거가 되는 은행업무감독규정에도 CRO의 역할과 권한에 대해 명시돼 있다. 은행업무감독규정 제30조(리스크관리체제 등)는 "①은행은 각종 거래에서 발생하는 제반 리스크를 적시에 인식·평가·감시·통제하는 등 리스크를 적절히 관리하고, 감독원장이 정한 바에 따라 내부자본적정성을 평가·관리할 수 있는 체제를 갖추어야 한다"고 명시했다.

이어 "②은행은 리스크를 효율적으로 관리하기 위하여 부서별, 거래별 또는 담당자별 리스크부담한도·거래한도 등을 적절히 설정·운영하여야 한다", "③은행은 각종 거래에서 발생할 수 있는 신용리스크(신용편중리스크 포함), 운영리스크, 시장리스크, 비트레이딩 포지션(banking book)의 금리리스크, 유동성리스크, 전략 및 평판리스크 등 각종 리스크를 종류별로 평가하고 관리하여야 한다"는 조항을 두어 은행들이 CRO 및 리스크 관리조직의 구성 및 역할에 대해 규정하고 있다.

금감원 관계자는 “구체적으로 국내 은행들이 CRO라는 개념을 언제 도입했는지 정확히 확인하기 어렵지만 각 부서에 분산돼 수행하던 리스크 관리 업무가 전문적인 조직으로 합쳐진 형태로 발전한 것은 2004년 전후”라며 “현재 감독규정은 은행의 자율성을 일부 인정하기 위해 정형화된 틀을 제공하고 그에 맞추기보단 상시적으로 리스크 관리를 수행할수 있도록 점검을 주기적으로 하고 있다”고 말했다.