Risk Management 101 (American Express, 황영석)

CDFi 5번째 세션 <1>

대형 금융기관들이 리스크 관리를 어떻게 하는지 알게 되면, 금융적인 지식들을 이야기할 때 좀 더 같은 선상에서 얘기할 수 있지 않을까 싶어 오늘 Risk Management를 다뤄볼까 합니다. 특히 이러한 주제는 Crypto, DeFi 쪽에 계신 분들께서 들었으면 좋겠다 하는 개인적인 생각이 있습니다. 금융사들이 관료주의적이고, 하나의 결정에 있어복잡한 과정을 거치긴 하지만, 리스크 관리를 어떻게 하는지 들었을 때 DeFi 또는 크립토 투자에 있어 생각하지 못한 부분들이나 인사이트를 얻을 수 있으면 좋겠다는 생각이 있습니다. 또한 개인이나 자산 포트폴리오에서나 나의 인생에서 리스크가 왔을 때도, 해결하는 인문학적인 관점에서의 힌트를 얻을 수 있지 않을까 하는 생각도 있습니다.

1. Risk Definition

리스크 관리가 왜 중요한지에 크게 4가지 이유가 있습니다.

첫번째, 마켓 컨디션은 보통 예측 불가능하다.두번째, 대형 금융사들이 따라하는 규제, Regulatory Compilance가 많다.세번째, 불안정한 마켓 컨디션에서는 결국 손해라는 것이 분명 발생하게 되는데 그런 손해가 언제든지 닥칠 가능성이 있고 이를 대비해야한다.네번째, 리스크 관리를 하게 되었을 때 단순히 손해를 대비하는 것이 아니라 결국 회사 구성원, 고객, 그리고 주주들에게 회사가 리스크에 준비가 되어 있다는 자신감을 준다.

금융회사들은 마켓 컨디션을 어느 정도 예측해서 최대한의 이익을 추측하고, 이를 기반으로 이후 계획을 세웁니다. 하지만 결국 예상치 못한 리스크들과 상황들이 있습니다. COVID와 2008년도 금융 위기가 예상할 수 없었던 대표적인 리스크였죠. 그래서 우리 주변에 항상 리스크가 존재한다는 것을 알아야합니다.

이러한 리스크가 오면, 금융기관들에게 직접적인 손해를 끼치게 됩니다. Credit Default, 신용위기 뿐만 아니라 Liquidity 이슈로 인해 회사 자본의 유동성이 막혀서 비즈니스가 안 돌아가는 상황이 있기도 합니다. 그리고 어떤 사람이 실수로 클릭을 해서(Fat Finger) 혹은 오퍼레이션을 잘못 시행해서 회사에 손해를 끼치는 Operational Failure이 있을 수 있습니다.

이런 리스크는 compliance 쪽에서도 마찬가지 입니다. 금융당국의 규제를 안 지켰을 때에는 엄청난 벌금을 때려 맞기도 합니다. 기본적으로 본인이 속해있는 조직, 가족을 포함하여 나와 연결되어 있는 사람들, 그리고 회사의 고객이나 투자자까지도 회사가 잘 돌아가고 있는지 이해하기 위해서는 리스크 관리를 잘 해둬야 합니다.

What is Risk?

리스크의 사전적인 정의를 알아보면, 옥스포드 영어 사전에서는 Risk를 ‘The possibility of loss, injury, or an adverse event occuring due to uncertainty.’ 라고 합니다. 그러니까, 불확실성에 기반한 손해를 Risk라고 하는 것입니다.

리스크를 금융회사의 관점에서 생각을 해보면, 회사나 기관 또는 프로젝트 단위에서 자산 등에 부정적인 영향을 끼칠 수 있는 어떤 잠재적인 이벤트의 결과를 리스크라고 볼 수 있습니다.

리스크를 수학적으로 바라봤을 때, ‘Risk = Likelihood * Impact’ 의 공식으로 표현할 수 있습니다. 리스크가 일어날 확률과, 일어났을 때 미치는 영향으로 2개의 차원으로 분리된다는 것입니다. 이렇게 분리해서 이해하는 것이 실제적으로 어떻게 사용되는지에 대해서도 추후 알아볼 예정입니다.

리스크 관리의 프레임워크는 정하기 나름이긴 하지만, 보통 아래의 5가지 단계를 거친다고 할 수 있습니다.

1) Identifying: 리스크를 파악하기2) Analyzing: 리스크를 분석하기3) Evaluating: 리스크를 평가하기4) Developing Strategies to Mitigate: 리스크를 줄이려고 노력하기5) Manage and Control the Risks: 노력을 통해 리스크를 조절하고 꾸준히 모니터링

이렇게 5가지 단계를 거치고 나서, 모니터링 결과를 바탕으로 다시 리스크를 파악하고 분석을 하면서 다시 사이클을 돌고 돌아간다고 보면 됩니다.

2. Risk Examples

이렇게 리스크를 알아봤을 때 막연하게 들릴 수 있을 것 같아, 리스크에 대한 예시를 알아보면서 이해하면 좋을 것 같아 가져왔습니다. 금융 기관에서 특히 중요하게 생각하는 리스크가 아래 왼쪽에 있는 Major Risks 입니다. 이런 분류가 명확하다라고 받아들이기 보단, 이런 카테고리로 리스크를 이해할 수 있구나 정도로 보면 될 것 같습니다.

Major Risks- Strategic and Business Risk: 전략 혹은 비즈니스 틀에서 잘못 결정했을 리스크- Reputational Risk: 미디어적인 사건으로 인해 회사 이미지에 타격이 있을 경우- Market Risk: 금융 시장에서 금리가 올라가거나, 주가가 급락하는 등의 시장 변화로 자산 가격이 급격하게 떨어지는 경우- Funding and Liquidity Risk: 회사 자금의 유동성이 없어서 지급 불능 상태가 되는 경우- Credit Risk: 돈을 빌린 사람이 갚지 않은 경우- Operational Risk: 회사의 기본적인 운영에서 예상치 못한 결과가 발생한 경우- Model Risk: 사용하고 있는 모델이 설명 불가능하거나 갑자기 충돌을 일으켜 오작동을 하는 경우 등- Compliance Risk: 금융 당국의 규제를 어겨 벌금을 맞는 경우

이렇게 금융회사가 주로 보는 Major Risk 말고도 다른 Risk 사례들도 많이 존재합니다. Supply Chain이 갑자기 망가지는 Supply Chain Risk도 있을 수 있습니다.

Emerging Technology Risk의 사례로 ‘Stack Overflow’가 있습니다. ‘Stack Overflow’는 개발자 커뮤니티 사이트로, 프로그래밍에 대한 질문을 주고 받을 때 사람들이 애용했던 사이트입니다. 하지만 Chat GPT와 같은 Gen AI의 등장 이후, 개발자들이 커뮤니티가 아닌 AI에게 질문을 많이 하면서 사이트 트래픽이 많이 줄어들었습니다.

이렇게 Risk들을 알아봤을 때, 결국 Risk는 나의 조직과 개인에게 부정적인 영향을 끼칠 수 있는 불확실한 것들이라면 다 Risk로 통칭해서 부른다는 것을 알 수 있습니다. 저희가 봤던 사례들을 하나의 예시인 것 뿐이며, Risk는 이름 붙이기 나름입니다.

1) Risk Examples — Strategic and Business Risk

Risk에 대해 좀 더 구체적인 사례들을 보고 가면 이해가 더 쉬울 것 같습니다. 이전에 Blockbuster라고, 넷플릭스 이전에 DVD 대여 시장을 사실상 차지했던 회사가 있었는데 이제는 존재하지도 않습니다. 넷플릭스도 OTT 서비스를 하기 전 Blockbuster가 있었을 때, 사용자들이 보고싶어 하는 DVD를 메일로 보내주는 서비스를 시작하고 있었습니다. 그 때 당시, 넷플릭스나 Blockbuster나 비즈니스 모델이 크게 차이가 없었습니다.

Blockbuster도 넷플릭스가 했던 것처럼, OTT 서비스에 투자를 하고 들어갔다면 지금의 넷플릭스까지는 아니더라도 Disney+, Hulu와 같은 OTT 서비스들 사이에서 충분히 이름을 날릴 수 있었을 것입니다. 하지만 Blockbuster는 그런 전략적인 비즈니스 결정을 못 내렸기 때문에 역사의 뒤안길로 사라졌습니다.

비슷한 사례로 삼성과 LG의 케이스도 있습니다. 스마트폰이 처음 나왔을 때, LG는 유명 컨설팅 회사 Mckinsey를 통해 스마트폰을 안 해도 된다는 입장을 갖고 있었습니다. 지금 돌아보면 완전 잘못된 전략이었고, 삼성이 Galaxy를 통해 스마트폰 시장을 차지하게 되었습니다.

근데 또 역설적이게도 최근에 일어나고 있는 일이지만, 삼성과 SK 하이닉스가 HBM 메모리 때문에 삼성이 뒤쳐지고 SK하이닉스가 올라가고 있는 상황을 볼 수 있습니다. 이런 현상 역시 어떤 기술적 로드맵을 선택하느냐의 관점에서 SK하이닉스 비교 우위가 있었고 전략적 & 비즈니스적 선택을 잘 했다고 볼 수 있습니다.

그래서 이런 전략과 비즈니스 의사 결정을, 경영진 레벨이나 임원진 레벨에서 잘 내리는 것이 중요합니다. 그리고 해당 전략들을 검증하고 확인하는 리스크 부서들이 있고, 리스크를 항상 유의에 두는 편입니다.

2) Risk Examples — Reputational Risk

두번째 리스크는 Reputational Risk로, 회사의 어떤 프로덕트나 서비스, 비즈니스 활동, 회사 문화 등이 안 좋은 평가를 받는 것입니다. 예를 들어 어떤 회사에서 성추행 사건이 있었다거나, 경영진들이 매일 야근을 시키기로 유명하다거나 등이 있습니다.

최근 일어난 대표적인 사건이 Budweiser가 진행한 마케팅입니다. LGBT 트랜스젠더 모델을 기용해서, 관련 마케팅을 진행하였는데 버드와이저 고객에게 오히려 역풍을 맞았습니다. 이러한 사건이 미디어에 노출이 되고, 더 많은 고객이 버드와이저를 안 찾으면서 Reputation이 계속 안 좋아지면, 비즈니스가 크게 영향을 받게 됩니다. 처음에는 수익이 줄어드는 정도이겠지만, 기존에 있던 사람들이 퇴사를 한다거나 법적으로 영향을 받아 벌금을 받는 등의 여파가 있을 수 있습니다.

미국의 Abercrombie & Fitch와 Hollister라는 의류 회사 CEO가 인종 차별적인 발언을 한 사건이 있었습니다. 과거 매우 인기가 많았던 브랜드이지만, CEO의 발언이 논란이 된 이후 해당 브랜드는 하향기를 걷게 됩니다.

2) Risk Examples — Market + Funding & Liquidity Risk

Market & Funding & Liquidity Risk 3가지 모두가 되게 잘 조화된(?), 퍼펙트 스톰이 되어 망한 케이스가 바로 Silicon Valley Bank입니다.

금리가 갑자기 올라가니까 Silicon Valley Bank가 갖고 있던 채권들의 가격이 폭락하게 되었습니다. 그러다 보니 뱅크런이 발생했고, 때문에 고객들에게 돈을 돌려줘야하는 상황에 놓이게 됩니다. 하지만 고객에게 돌려줄 자금이 없어 Liquidity Risk가 발생하게 되었습니다. Market Risk로 시작해서 Liquidity Risk로 끝난 케이스인 것입니다. 이러한 리스크는 어느 금융회사에서나 존재합니다.

3) Risk Examples — Credit Risk

Credit Risk는 간단히 말해서, 내가 돈을 빌려줬는데 못 돌려받는 경우를 말합니다. Credit Risk는 개인 간 뿐만 아니라 금융 시장에서도 일어납니다. 시장에는 모기지론과 Credit Card를 포함해서 돈을 빌려주는 상품이 많이 존재하는데, 이 상품들은 돈을 못 돌려받을 경우, 비즈니스에 큰 악영향을 받습니다.

돈을 빌려주는 상대에 따라 개인일 경우 Individual Credit Risk, 상대가 회사일 경우 Institutional Credit Risk로 나눌 수 있기도 합니다. 특히 후자의 경우, 단순히 서비스 용역 계약의 경우에도 돈을 못 받는 가능성이 있기 때문에 Credit Risk가 있다고 보기도 합니다.

약간 헷갈릴 수 있는 부분은, Silicon Valley Bank 파산의 경우 Credit Risk로 보지 않다는 것입니다. Credit Risk는 내 회사의 입장에서 제 3자가 지급 불능 상태 상태가 되었을 때, 우리 회사가 돈을 못 돌려받는 경우를 말합니다. Silicon Valley Bank의 경우, 내 회사 자체의 돈이 떨어졌을 때 나타나는 리스크이므로, Liquidity Risk에 더 가깝다고 볼 수 있습니다.

4) Risk Examples — Operational Risk

Operational Risk는 더 다양한 케이스로 나누어볼 수 있습니다. Operation이나 Process에서 결함이 있거나, 회사 문화 또는 HR적인 관점에서 문제가 있다거나, 데이터 거버넌스 및 보안 등에서 문제가 있는 등의 케이스들이 다 Operational Risk의 일부분입니다.

대표적인 예시로, 한국의 한 직원이 클릭을 잘못해서 462억 원 규모의 금융 상품을 팔아서 손해가 발생한 ‘한맥 사태’가 있습니다. 과거 ‘한맥투자증권’이라는 회사의 직원이 이자율 계산의 수식을 잘못 입력하여 단 2분 동안 3만 건 이상의 거래와 462억 원의 손해가 발생한 사태입니다. 이런 경우가 바로 Operational Risk에 해당합니다.

5) Risk Examples — Others

Model Risk는 주로 AI 또는 Financial 모델에서 오차가 발생하거나 모델이 잘못되었을 경우를 말합니다. Compliance Risk는 세금과 관련해서 돈을 못 냈거나, 특정 국가의 법을 지키지 않았거나, Audit에 문제가 있거나 등의 문제입니다. 그리고 Country Risk는 제3국가 진출하였는데, 해당 국가의 정부가 갑자기 바뀌거나 전쟁이 터지는 등의 리스크를 말합니다.

3. Risk Management

이러한 리스크 관리를 위해 앞에서 5가지의 Management Process가 있다고 했습니다. 각각 프로세스에 대해서도 구체적으로 알아보면 좋을 것 같습니다.

1) Risk Identification

금융회사들이 Risk Identification을 위한 Framework를 어떤 식으로 구현하는지, American Express를 예를 들어 설명드리겠습니다. 주로 3가지 방법을 사용합니다.

이렇게 Committess와 Pollicies를 기반으로 보통 리스크 관리가 진행됩니다. 그리고 실제적으로 이런 것들이 어떻게 Enforce 되는지를 보기 위해서는 ‘Lines of Defense’ 설정이 중요합니다.

American Express에서는 Three Lines of Defense를 기반으로 돌아갑니다. First Line of Defense는 최전선에 있는 사람들로, 매일매일 금융 상품 거래 또는 결제를 하는 사람들을 말합니다. Second Line of Defense는 해당 사람을 감독하는 사람들입니다. 앞서 말한 Risk Committees 또는 임원진처럼 실무하는 사람들을 감독하는 사람들을 포함합니다. 마지막으로 Third Line of Defense는 회사 내에서 최종적인 감사를 담당하는 사람들을 말합니다. 그래서 각각의 Line of Defense 마다 책임과 정해진 임무가 있습니다.

Lines of Defense의 포인트는 Risk Management가 공식적으로 Rist Committees에 속한 사람들만의 책임이 아니라, 회사의 모든 구성원들이 갖고 있는 책임이라는 점입니다. 본인이 리스크 부서에 속해 있지 않더라도, 어떤 리스크를 내재화하고 있다면 그 리스크를 특정하고, 관리하고, 어떻게 줄일 수 있을지 항상 고민해야함이 금융회사 직원들에게 부여된 책임인 것 같습니다.

2) Risk Analysis

리스크의 수학적 정의를 앞에서 살펴본 것 처럼, Risk는 Likelihood & Impact, 이렇게 2가지 차원으로 나눠서 볼 수 있습니다.

Impact는 중요도에 따라 Low — Moderate — Significant — Critical로 구분할 수 있습니다. Likelihood도 발생 가능성에 따라서 나눌 수 있는데, 이 2가지 차원을 바탕으로 Risk가 얼마나 중요한지 파악할 수 있고, 리스크 분석 방법들을 결정할 수 있습니다.

3) Risk Evaluation

리스크를 인식하고 나서 Evaluation을 해야하는데, 우리가 허용할 수 있는 리스크의 한계는 어디인지, 어떻게 Risk를 인식해야하는지 평가를 하여 Risk Appetite and Tolerance를 정해야합니다.

Expected Loss $30K 정도는 허용할 수 있다, 하는 것처럼 Risk를 수치화 시켜서 우리의 standard와 일치하는지를 체크할 수도 있습니다. 만약 standard 안에 들어온다면 안전하다고 판단되어 계속 모니터링하고, 혹여 standard에서 벗어나는 문제가 있다고 해도 mitigating 작업을 하면 됩니다.

4) Risk Mitigation

대표적인 리스크 감소 전략을 보면 크게 6가지가 있습니다.

Diversification: 포트폴리오 러닝을 하는 사람들은 한 곳에만 투자를 했을 때 리스크가 분명 존재하니까, 분산화를 진행합니다.

Hedging: 옵션이나 선물 등을 사서 미래에 올 수 있는 손해들을 어느 정도 이해로 줄이는 작업을 합니다.

Risk Transfer: 보험이나 계약을 통해 위험을 제3자에게 전가시킵니다.

Risk Monitoring: 다가오는 리스크를 미리 모니터링하고 대처합니다.

Contingency Planning: 특정 사건이 발생하였을 때의 대처 방안을 준비합니다.

Regulatory Compliance: Compliance와 관련된 리스크가 있을 때 규제를 잘 따르는지 주기적으로 체크합니다.

이러한 방법들을 통해 리스크들을 줄이려는 노력을 하게 됩니다.

5) Risk Monitoring and Control

이렇게 리스크를 줄이려는 노력을 하고 나서는, 모니터링과 컨트롤을 진행합니다. 지속적인 모니터링을 통해 장점들이 몇가지 있습니다.

우선 리스크가 발생하고 나서 적절한 시간 내에 다시 identification을 할 수 있습니다. 그리고 좀 더 명확한 의사 결정이 가능해지고, 리스크가 도래했을 때도 좀 더 선제적인 대처 방안을 진행할 수 있겠습니다.

Risk…

중요한 것은 우리가 이렇게 아무리 노력을 해도 결국 리스크는 존재한다는 것입니다. 그럼에도 불구하고 리스크 관리를 해야하는 이유는, 그 리스크에 대해서 대비를 한다기 보다, 리스크 관리를 많이 준비한 회사들이 결국 좀 더 견고하게 버텼기 때문입니다.

‘The Black Swan’의 저자이자 유명한 금융 전문가인 ‘나심 니콜라스 탈레브’는, 리스크 대비를 위한 어떤 과정이나 예측도 08년도 금융위기 앞에서는 다 틀렸으나, 그 중에서도 살아남은 애들의 특징은 리스크 관리를 위한 투자를 많이 했다고 말했습니다.

리스크라는 것은 언제든지 존재하지만, 이것을 예측하는 것이 중요한 것이 아니라 내가 항상 준비되어 있는 상태에 있다는 것이 중요하다는 것을 말씀드리고 싶습니다.

Case Study — CCAR

CCAR는 FED(연방준비제도)가 은행에 시행하는 리스크 관리입니다. CCAR는 Comprehensive Capital Analysis and Review의 약자입니다.

미국에 있는 은행 기관들은 엄청 크고 복잡합니다. FED가 이러한 금융 회사에게 회사의 비즈니스를 전부 이해하고 정리해서 보고서를 내, 하는 것이 CCAR라고 이해하면 쉽습니다. 그래서 CCAR는 Capital Adequacy를 점검을 하는 것으로, 회사 내의 자본이 적절하게 있는지, capital plan과 stress test에 대한 점검 결과를 확인합니다.

Capital Plan은, 회사 내의 자본이 앞으로 돌아감에 있어 어떻게 배당을 하고 주식을 운용할 것인지에 대한 계획을 말합니다. 근데 이것을 FED에게 다 보고를 해야합니다. 이러한 CCAR는, 08년 금융 위기 이후 2009년 부터 시행되기 시작하여, Federal Reserve가 미국 은행 시스템이 잘 돌아가고 있는지 그리고 위기 상황에서 잘 대처할 수 있고 자본을 주주나 제3자에게 적절하게 배분할 수 있는지를 확인합니다.

좀 더 구체적으로 알아보면, ‘CET 1 비율’을 최소 7% 이상 유지하도록 FED가 규제한다고 할 수 있습니다. 여기서 ‘CET 1 비율’은 Common Equity Tier 1 Capital을 Risk Weighted Assets (RWA)로 나눈 값을 말합니다. 결국 리스크에 조정된 내 자산 대비 내 자산이 얼마나 있는지, 금융 회사의 손실 흡수 능력을 표현하는 지표입니다.

여기서 Common Equity Tier 1 Capital은 ‘보통주자본’이라고 하며 보통주, 자본잉여금, 이익잉여금, 기타포괄손익누계액 등이 포함되어 있습니다. 총자본 중에서 가장 안정적으로 평가받는 것이 ‘보통주자본’입니다. 이를 위험도를 기준으로 가중치가 달라지는 ‘위험가중자산(RWA)’로 나눈 것이 CET 1 비율입니다.

CET 1 값이 높을 수록, 내가 가용할 수 있는 자본이 많아서 다른 주주나 제3자에게 돌려줄 수 있는 가능성도 높습니다. 만약 7% 이하가 될 경우, 갑자기 시장에 충격이 왔을 때 당장 돌려줄 돈이나 자본이 없어서 위험에 처할 수 있게 됩니다.

처음 시행된 2009년에는 1회성으로 진행되었으나, 2010년부터 처음으로 자산이 $100B 이상인 은행에 한하여 도입이 되기 시작했습니다. 미국에는 ‘Dodd Frank Act’ 라는 금융 규제가 있는데, 여기서 Stress Test setting을 하는 것이 추가가 되면서 점점 CCAR가 확대되어 갑니다.

초기에는 19개의 은행들만 했다가 2014년에는 30개 이상 은행이 참여했고, 2019년부터는 asset 기준에 따라 은행을 Tier 1 ~ 4으로 나누고 차등적인 규제를 진행하고 있습니다.

CCAR에 투입되는 인원을 간접적으로 생각해도 한 회사당 몇 백명 수준입니다. 그만큼 복잡한 작업이고, 모든 비즈니스와 재무재표 등을 다 분석하고 예측해서 회사의 자본이 어떻게 되는지 보고를 하는 작업입니다. 매년 2월마다 FED 측에서 시나리오를 제공하는데, 이것을 바탕으로 Moody’s 같은 곳에서는 여러가지 Economic Factor 등을 제공하고, 각 은행마다 커스텀된 시나리오를 만들기도 합니다.

Epilogue: CDFi 만의 잡담

1) American Express에서 Interest Rate와 Foreign Exchange Rate를 보는 이유

American Express는 신용카드 회사임과 동시에 은행의 역할도 수행합니다. 금리가 올라가면 신용카드 APR이 올라가기도 하고, 시중에 돈이 마르기 때문에 Credit Default 확률이 올라갑니다. 신용카드 회사도 결국 대출을 내주는 회사이기 대문에 비슷하게 Interest Risk에 노출되는 것입니다. Foreign Exchange Rate의 경우, American Express가 전세계 여러 국가에서 operation을 하는 것과 동시에 Cross-Border 결제도 많이 해주고 있기 때문에 확인하고 있습니다. 여기서 Interest Rate를 좀 더 중요시 확인하고 있는 것 같습니다.

해당 자료는 CDFi 세미나에서 진행한 세션 내용을 바탕으로 제작되었습니다.해당 자료의 저작권은 CDFi 및 발표자에게 귀속되며, 어떤 형태로든 동의 없이 복제, 변형, 재배포 될 수 없습니다.

뉴스레터: https://maily.so/cdfi

유튜브: Youtube_월스트리트디파이

텔레그램(뱅크리스 코리아): https://t.me/BanklessKorea

트위터(뱅크리스 코리아): https://twitter.com/BanklessKorea