AI를 도입할 것인가에서 어떻게 통제할 것인가로, 금융권 내부통제의 패러다임이 바뀌고 있습니다. 국내외 규제와 해외 금융사 동향을 기반으로 한 딜로이트의 AI 내부통제 프레임워크를 살펴보시기 바랍니다.
AI는 거래 데이터, 업무 로그, 상담 기록, 민원 내용을 폭넓게 분석해 기존 표본 점검이나 사후 점검 방식으로는 포착하기 어려웠던 이상징후를 식별할 수 있으며, 비정형 데이터 분석을 통해 반복 점검 업무를 자동화하고 고위험 업무 모니터링을 지원하며 법령·가이드라인과 내규 간 정합성 점검에도 활용될 수 있습니다.
하지만 AI 활용 확대는 설명가능성 리스크, 데이터 편향 리스크, 환각과 정보유출 리스크, 모델 성능 저하 리스크라는 네 가지 신규 리스크를 함께 동반하므로, AI 산출물은 통제 결론 그 자체가 아니라 검토 우선순위와 판단 근거를 보완하는 수단으로 관리되어야 합니다.
내부통제의 관리 대상은 '업무 결과'에서 'AI가 개입하는 업무 판단 과정'으로 확장되고 있으며, 통제 방식도 사후 점검 중심에서 벗어나 기획·설계 단계부터 관련 법규와 검증 절차를 반영하는 통제 내재화 방식으로 전환될 필요가 있습니다.
국내에서는 금융위원회가 금융분야 AI 가이드라인, AI 기반 신용평가모형 검증체계, 금융분야 AI 보안 가이드라인을 통해 신뢰성·설명가능성·보안성·책임성 기준을 정비하고 있으며, HSBC, DBS, 골드만삭스, 모건스탠리 등 글로벌 금융기관도 목적 정당성, 데이터 사용 적정성, 설명가능성, 승인된 AI 사용을 공통 통제요소로 운영하고 있습니다.
딜로이트가 제시하는 AI 내부통제 프레임워크는 거버넌스, 업무·리스크 연계, 데이터·모델 관리, 운영·사후관리, 설명가능성의 다섯 축으로 구성됩니다. AI를 통제 가능한 업무 요소로 편입하려면 이 다섯 가지가 하나의 통제 흐름으로 연결되어야 합니다.
"AI 활용 확대의 핵심 과제는 도입 여부가 아니라, AI의 판단과 산출물을 통제 가능한 구조 안에서 관리하는 것입니다. 금융회사는 AI 활용 사례별 책임·검증·기록·보고 체계를 명확히 하여 내부통제와 거버넌스의 수준을 함께 높여야 합니다."
- 김선호 파트너, 금융사 내부통제 컨설팅 리더 -