한국씨티은행이 최근 금융당국으로부터 경영유의사항 10건, 개선사항 12건 등 조치를 받았다.
29일 금융권에 따르면 씨티은행은 지난 21일 금융감독원으로부터 이사회 경영계획 보고 미흡 등 10건의 경영유의사항 제재를 받았다. 구체적으로 2018년 상반기중 씨티그룹의 수익배분 방식 변경 등으로 미국회계기준에 따른 경영계획상 수익목표가 상향 조정됐는데도 이를 이사회에 보고하지 않았다는 지적이다. 이에 “앞으로 미국회계기준에 따른 경영계획상 중요한 변경이 발생하는 경우 이사회에 보고해 국내회계기준에 따른 경영계획 변경에 반영할지 여부 등을 논의할 필요가 있다”고 금감원 측은 밝혔다.
여기에 △대주주 등과의 이해상충 행위에 대한 감독 강화 △업무문서의 한글화 필요 △본부부서 검사업무 강화 △계열사와의 채권·채무 정산 불철저 △효율적 차세대시스템 구축을 위한 대책 강화 필요 △IT자체감사업무 독립성 강화 △외화 유동성커버리지비율 모니터링 관리 미흡 △리스크관리위원회 운영 미흡 △비트레이딩 거래 분리 강화 등의 경영유의사항이 추가됐다.
개선사항 관련해선 정보보호시스템 원격관리 통제절차나 암호화키 관리 통제대책 등에 대해 불합리하다는 내용을 포함해 IT관련 사항이 절반이 넘는다. △전자메일 보관 정보처리의 업무위탁 관리 미흡 △IT위탁업무에 대한 감사활동 미흡 △IT사업 추진관리 불합리 △전산자료 소산 및 복구대책 미흡 △암호화키 관리 통제대책 불합리 △정보보호시스템 원격관리 통제절차 불합리 △기술지원 종료 운영체제 사용에 따른 보정작업 불합리 등이다.
구체적으로 금융감독원은 감독당국으로서 씨티은행에 전자메일을 요구한 날로부터 9영업일이 지난 이후에 전자메일을 제공한 사례를 들며 “업무위탁한 정보처리 절차가 원활하게 이루어질 수 있도록 관련 부서 간 업무 분장 및 정보제공 절차 등을 명확히 마련·운영하길 바란다”고 언급했다.
특히 정보보호시스템에 대한 그룹사 담당조직의 원격관리를 최소화하고, 그룹사 담당 조직이 은행에서 직접 운영하는 중요단말기를 통해서만 정보보호시스템에 접속토록 하는 등 정보보호시스템 공동 관리 절차 및 통제방법 등을 개선하라는 권고도 나왔다.
또 IT사업 추진 시 요구사항 관리 등을 철저히 수행해 예산 미확보사업이 무분별하게 추진되지 않도록 하는 동시에, 통합유지보수 업체의 수행업무 범위를 계약과정에서 명확하게 마련하는 등 IT사업 추진 관련 절차 등을 개선하라고 요구했다.
여기에 IT위탁업무 중 IT리스크가 높은 업무를 선별해 감사를 실시하라는 개선사항도 추가했다. 또 전산센터의 지진·화재 등 재해로 인해 데이터 및 프로그램의 사용이 불가능할 경우에도 복구가 가능하도록 소산자료를 전산센터로부터 원격지에 위치한 장소의 내화금고에 보관토록 개선하고 소산자료 및 저장자료의 세부목록, 복구방법 등이 포함된 복구매뉴얼 등을 원격 소산센터의 내화금고에 보관하고, 정기적으로 소산자료를 활용한 복구훈련을 실시하는 등 소산 및 복구대책을 개선하라 지시했다.
이밖에 금감원은 △대손충당금 관련 리스크 측정요소 추정 방법 불합리 △위기상황 분석시 독립적인 적합성 검증 불합리 △배당가능이익 산정 업무 불합리 △여신협의회 의사록 작성·관리 불합리 △임직원 변동성과급 불합리 △성과급 지급 체계 불합리 △금융투자업무 담당자의 성과급 지급 범위 불합리 △금융투자업무 담당자의 성과지표 불합리 △성과급 유보기준 불합리 △성과급 감액기준 불합리 등도 지적했다.
29일 금융권에 따르면 씨티은행은 지난 21일 금융감독원으로부터 이사회 경영계획 보고 미흡 등 10건의 경영유의사항 제재를 받았다. 구체적으로 2018년 상반기중 씨티그룹의 수익배분 방식 변경 등으로 미국회계기준에 따른 경영계획상 수익목표가 상향 조정됐는데도 이를 이사회에 보고하지 않았다는 지적이다. 이에 “앞으로 미국회계기준에 따른 경영계획상 중요한 변경이 발생하는 경우 이사회에 보고해 국내회계기준에 따른 경영계획 변경에 반영할지 여부 등을 논의할 필요가 있다”고 금감원 측은 밝혔다.
여기에 △대주주 등과의 이해상충 행위에 대한 감독 강화 △업무문서의 한글화 필요 △본부부서 검사업무 강화 △계열사와의 채권·채무 정산 불철저 △효율적 차세대시스템 구축을 위한 대책 강화 필요 △IT자체감사업무 독립성 강화 △외화 유동성커버리지비율 모니터링 관리 미흡 △리스크관리위원회 운영 미흡 △비트레이딩 거래 분리 강화 등의 경영유의사항이 추가됐다.
개선사항 관련해선 정보보호시스템 원격관리 통제절차나 암호화키 관리 통제대책 등에 대해 불합리하다는 내용을 포함해 IT관련 사항이 절반이 넘는다. △전자메일 보관 정보처리의 업무위탁 관리 미흡 △IT위탁업무에 대한 감사활동 미흡 △IT사업 추진관리 불합리 △전산자료 소산 및 복구대책 미흡 △암호화키 관리 통제대책 불합리 △정보보호시스템 원격관리 통제절차 불합리 △기술지원 종료 운영체제 사용에 따른 보정작업 불합리 등이다.
구체적으로 금융감독원은 감독당국으로서 씨티은행에 전자메일을 요구한 날로부터 9영업일이 지난 이후에 전자메일을 제공한 사례를 들며 “업무위탁한 정보처리 절차가 원활하게 이루어질 수 있도록 관련 부서 간 업무 분장 및 정보제공 절차 등을 명확히 마련·운영하길 바란다”고 언급했다.
특히 정보보호시스템에 대한 그룹사 담당조직의 원격관리를 최소화하고, 그룹사 담당 조직이 은행에서 직접 운영하는 중요단말기를 통해서만 정보보호시스템에 접속토록 하는 등 정보보호시스템 공동 관리 절차 및 통제방법 등을 개선하라는 권고도 나왔다.
또 IT사업 추진 시 요구사항 관리 등을 철저히 수행해 예산 미확보사업이 무분별하게 추진되지 않도록 하는 동시에, 통합유지보수 업체의 수행업무 범위를 계약과정에서 명확하게 마련하는 등 IT사업 추진 관련 절차 등을 개선하라고 요구했다.
여기에 IT위탁업무 중 IT리스크가 높은 업무를 선별해 감사를 실시하라는 개선사항도 추가했다. 또 전산센터의 지진·화재 등 재해로 인해 데이터 및 프로그램의 사용이 불가능할 경우에도 복구가 가능하도록 소산자료를 전산센터로부터 원격지에 위치한 장소의 내화금고에 보관토록 개선하고 소산자료 및 저장자료의 세부목록, 복구방법 등이 포함된 복구매뉴얼 등을 원격 소산센터의 내화금고에 보관하고, 정기적으로 소산자료를 활용한 복구훈련을 실시하는 등 소산 및 복구대책을 개선하라 지시했다.
이밖에 금감원은 △대손충당금 관련 리스크 측정요소 추정 방법 불합리 △위기상황 분석시 독립적인 적합성 검증 불합리 △배당가능이익 산정 업무 불합리 △여신협의회 의사록 작성·관리 불합리 △임직원 변동성과급 불합리 △성과급 지급 체계 불합리 △금융투자업무 담당자의 성과급 지급 범위 불합리 △금융투자업무 담당자의 성과지표 불합리 △성과급 유보기준 불합리 △성과급 감액기준 불합리 등도 지적했다.
