주요 콘텐츠 바로가기

AI 도입에 따른 금융권 내부통제의 재설계

AI 활용 확대에 따른 리스크 관리와 통제체계의 전환

AI를 도입할 것인가에서 어떻게 통제할 것인가로, 금융권 내부통제의 패러다임이 바뀌고 있습니다. 국내외 규제와 해외 금융사 동향을 기반으로 한 딜로이트의 AI 내부통제 프레임워크를 살펴보시기 바랍니다.

AI는 거래 데이터, 업무 로그, 상담 기록, 민원 내용을 폭넓게 분석해 기존 표본 점검이나 사후 점검 방식으로는 포착하기 어려웠던 이상징후를 식별할 수 있으며, 비정형 데이터 분석을 통해 반복 점검 업무를 자동화하고 고위험 업무 모니터링을 지원하며 법령·가이드라인과 내규 간 정합성 점검에도 활용될 수 있습니다. 하지만 AI 활용 확대는 설명가능성 리스크, 데이터 편향 리스크, 환각과 정보유출 리스크, 모델 성능 저하 리스크라는 네 가지 신규 리스크를 함께 동반하므로, AI 산출물은 통제 결론 그 자체가 아니라 검토 우선순위와 판단 근거를 보완하는 수단으로 관리되어야 합니다.
AI 활용에 대한 최종 책임 구조 설계
AI 활용 목적, 금지 또는 제한되는 활용 영역, 산출물 검토 원칙, 고위험 업무 승인 기준을 사전에 정의하는 전사 차원의 판단기준 마련이 출발점입니다. 경영진 수준의 의사결정 기구를 통해 AI 도입의 적정성과 윤리적 가치를 심의하고, AI 시스템의 오작동이나 사고 발생 시 책임질 임원을 명시적으로 지정해야 합니다. AI가 업무 판단을 보조하더라도 최종 책임은 AI 시스템이 아니라 금융회사와 해당 업무의 책임 주체에게 남습니다.
기존 내부통제 체계에 AI로 인한 리스크 연결
업무 프로세스 단위로 AI 활용 사례를 식별하고, 각 Use Case별로 기존 내부통제와의 연결성과 위험요인을 파악·정의해야 합니다. 동일한 AI라도 회의록 요약에 활용되는 경우와 대출 심사, 이상거래 탐지에 활용되는 경우의 리스크 수준은 다르므로, 고객 영향도·업무 중요도·데이터 민감도에 따라 통제 수준을 차등화하는 것이 핵심입니다.
AI 판단의 근거와 통제 구조 변경의 관리
학습 데이터의 출처와 품질, 편향 가능성을 점검하고, 모델을 정의·목록화해 리스크 등급에 따라 개발·검증·배포·변경·폐기 절차를 생애주기 관점에서 관리해야 합니다. 고객에게 직접 영향을 미치거나 내부통제 판단에 활용되는 모델은 도입 전 검증, 독립적 검토, 재학습 기준, 변경 승인 절차가 필요합니다.
도입보다 운영에서 중요한 AI 내부통제
모델 정확도, 오류율, 오탐·미탐, 산출물 수정률을 지속적으로 모니터링하고, AI 판단과 실제 결과 간 괴리를 분석해 재학습 근거로 활용해야 합니다. 성능 저하나 사고 징후가 확인되면 모델 변경, 재학습, 사용 제한, 수동 절차 전환 기준이 작동해야 하며, 업무연속성계획(BCP)과 사고 대응체계를 함께 갖춰야 합니다.
내부통제로서의 책임성 확보
AI 모델의 구조와 학습 데이터 출처, 알고리즘 선택 이유가 명확한 투명성, 특정 입력값이 결과에 미친 영향을 사람이 이해할 수 있게 제시하는 해석가능성, 동일한 상황에서 일관된 논리로 결과를 도출하는 신뢰성이 함께 요구됩니다. 담당자는 AI 산출물을 수동적으로 수용하지 않고, 책임의식을 가지고 업무 판단에 반영해야 합니다(Human in the Loop).
"AI 활용 확대의 핵심 과제는 도입 여부가 아니라, AI의 판단과 산출물을 통제 가능한 구조 안에서 관리하는 것입니다. 금융회사는 AI 활용 사례별 책임·검증·기록·보고 체계를 명확히 하여 내부통제와 거버넌스의 수준을 함께 높여야 합니다."
- 김선호 파트너, 금융사 내부통제 컨설팅 리더 -

Deloitte Insights

유용한 정보가 있으신가요?

의견을 보내 주셔서 감사합니다