금융감독원이 금융기관이 제3자에게 업무를 위탁할 때 발생할 수 있는 위험을 관리하기 위한 '제3자 리스크관리 가이드라인'을 마련해 추진한다. 금융사의 업무 위탁이 증가하면서 이에 따른 리스크 관리 필요성이 커지고 있기 때문이다.

금감원은 11일 금융기관의 제3자 리스크관리 강화를 위한 가이드라인을 올해 3분기까지 마련해 시행할 계획이라고 밝혔다. 이 가이드라인은 금융기관이 업무를 외부에 위탁할 때 발생할 수 있는 전산 사고, 소비자 신용정보 유출, 불완전판매 등의 리스크를 예방하고 관리하기 위한 최소한의 준수 사항을 제시할 예정이다.

가이드라인에 따르면 금융기관 이사회는 제3자 리스크관리 정책을 수립하고 이를 감독해야 한다. 또한, 경영진은 이사회가 결정한 정책을 바탕으로 효과적인 관리 조치를 이행하고 이에 대한 내용을 보고해야 한다.

특히 보험업권과 카드업권에서는 GA(법인보험대리점) 및 전자결제대행사(PG) 등의 불완전판매 및 온라인 결제 리스크를 금융사 차원에서 보다 철저히 관리해야 한다. 이에 따라 보험사가 GA를 통해 판매한 상품에서 문제가 발생할 경우, 업무를 위탁한 금융사의 임원도 책임을 지게 된다.

금융기관은 각 위탁 계약별로 제3자 리스크를 평가하고, 위험 수준이 높은 계약을 중점관리 대상으로 선정해야 한다. 또한, 리스크가 큰 계약에 대해서는 강화된 관리 조치를 적용해야 한다.

아울러 금융기관은 재난 발생, 수탁자의 업무 중단 등에 대비해 업무 연속성 계획(BCP)을 마련하고, 이를 정기적으로 점검해야 한다. 또한, 위탁 관련 주요 의사결정 사항과 실사 결과 등은 문서화해 보관 및 유지해야 한다.

우선 금감원은 이달부터 5월까지 업권별 협회와 협의를 거쳐 가이드라인을 확정할 예정이다. 이후 올해 3분기부터 자율규제 형태인 협회 모범규준으로 시행할 계획이다. 우선 적용 대상은 보험업권과 카드업권이 될 전망이다.

황선오 금융감독원 기획·전략 부원장보는 "제3자에게 업무를 위탁했더라도 금융기관이 본연의 책임에서 벗어날 수 없다"며 "위탁한 업무에서 문제가 발생하면 금융사가 구상권을 행사할 수 있지만, 기본적인 책임은 금융사에 있다"고 강조했다.

한편, 이번 가이드라인은 자율규제 형태로 시행되기 때문에 금융기관에 대한 직접적인 법적 강제성은 없으나 금융사의 책임을 명확히 하는 계기가 될 것으로 전망된다.