홍콩상하이은행(HSBC) 로고

홍콩상하이은행(HSBC) 서울지점이 일반투자자와 장외파생상품을 거래하며 위험회피 목적을 제대로 확인하지 않는 등 '자본시장법'을 위반해 17일 자율처리필요사항(제재내용)을 받았다.

이와 함께 자점감사 실효성 부재, 대손충당금 산정 오류, 고객 정보관리 부실 등 7건의 경영유의 및 개선사항도 무더기로 지적받았다.

서울지점은 2022~2024년 일반투자자인 5개 업체와 장외파생상품을 거래하며 위험회피대상(수출입실적)을 초과하는 거래(21건, 초과액 2,000만 USD)를 했다. 

'자본시장법'상 장외파생거래 손익이 위험회피대상 손익 범위를 초과하면 위험회피목적 거래로 보지 않는다. 

2개 업체와는 79건을 거래하면서 회피하려는 위험의 종류와 금액을 확인하지 않거나 증빙서류를 보관하지 않았으며, 거래 체결 후 최대 307일이 지나서야 위험회피계약을 확인한 사례도 있었다.

지침·모니터링 부재...실효성 없는 자점감사

경영유의사항으로는 '자점감사의 실효성 제고'가 지적됐다. 

은행은 HSBC 내규에 따라 자점감사를 수행 중이나, 일부 부서 감사의 범위·주기·항목 등에 대한 지침이 없고 모니터링 체계도 없었다. 

감사자의 주관적 판단 및 개인적 능력에 따라 감사 결과가 좌우되는 등 일관성이 낮아 내부통제 기능이 약화될 우려가 있다는 것이다. 

당국은 감사 절차를 마련하고 준법감시부 등이 결과를 관리해 실효성을 높이라고 주문했다.

'고객 편의' 내세워 헤지 한도 관리 부실

장외파생상품 거래와 관련한 관리절차 개선도 요구됐다. 

은행은 매년 1월 1일 헤지 한도 소진율을 0으로 초기화하면서도, 실제 한도 재확인 주기는 고객 편의 등을 이유로 고객의 연간 신용분석 주기에 맞췄다. 

특정 고객이 재확인 시점 이전에 대량 거래 시 위험해지 한도를 초과할 우려가 있는 것이다. 

고객이 증빙서류를 제출하지 않아도 전년에 설정한 한도를 유효기간 없이 장기간 적용해 거래를 지속한 사례(A사, B사)도 드러났다. 

당국은 한도 유효기간을 1년으로 설정하고 , 한도 초과 시 거래 제한 장치를 마련하며, 준법감시부 등 제3의 부서가 일별 모니터링을 하도록 사후관리를 강화하라고 요구했다.

임원 내부통제 점검 '형식적'...충당금 산정도 '오류'

임원들의 내부통제 관리의무 이행도 도마에 올랐다. 

대부분 임원이 내부통제 점검(책무 체크리스트)을 반기 1회 내부통제관리위원회 준비 목적으로만 실시하고 있어, 상시적이고 적시적으로 이뤄져야 하는 관리 조치의 실효성이 저하될 우려가 지적됐다. 

대손충당금 산출 절차의 허점도 발견됐다. 은행은 실제 결산기준일(예: 12월 31일) 1개월 전(예: 11월 30일)의 보유 채권을 기준으로 본점에서 산정한 충당금을 재무제표에 반영했다. 

결산기준일이 속하는 월(12월)의 신규 대출에 대한 충당금이 회계처리상 '중요성 기준'을 초과하지 않으면 결산 재무제표에 반영되지 않는 문제가 있었다.

전산 접근권한·고객정보 관리도 '구멍'...착오송금까지

이밖에도 고객 금융거래정보가 포함된 전산시스템(R, E) 접근 권한이 불분명한 해외 계열사(C부) 직원에게 승인됐고, 준법감시인 등이 접근 허용의 적정성을 사후 점검한 기록도 없었다. 

상거래관계가 종료된 고객의 개인신용정보는 '신용정보법'상 5년 기준만 적용해 은행 전산시스템에서 삭제했으나, '상법'상 보존의무(10년)를 고려해 삭제 시점을 상거래 종료 후 10년으로 변경하도록 조치받았다. 

또한 정보처리 위탁 수탁사(D사)에 제공된 정보는 계약서상 은행의 요청 시 파기해야 함에도, 검사기준일 현재 은행이 파기를 요청한 사례는 없었다. 검사대상 기간 중 직원의 단순 실수나 시스템 오류로 인한 착오송금 사례도 적발됐다.

이번 제재와 7건의 경영개선 요구는 HSBC 서울지점이 장외파생상품과 같은 복잡한 금융상품 거래뿐 아니라, 자점감사, 전산 관리, 고객 정보 보호, 송금 업무 등 은행 운영의 기본이 되는 내부통제 전반에 걸쳐 취약점을 드러냈음을 보여준다.