거버넌스, 위험 및 규정 준수(GRC)란 무엇인가요?

GRC는 GRC 접근 방식으로 기업을 구현하고 관리하기 위한 통합 소프트웨어 기능 제품군을 의미할 수도 있습니다.

GRC의 일련의 관행 및 프로세스는 IT를 비즈니스 목표에 맞게 조정하기 위한 구조화된 접근 방식을 제공합니다. 'GRC'라는 이름은 2007년 OCEG(Open Compliance and Ethics Group)에서 처음 제안했습니다. GRC는 기업이 IT 및 보안 위험을 효과적으로 관리하고, 비용을 절감하고, 불확실성을 줄이고, 규정 준수 요구 사항을 충족할 수 있도록 지원합니다. 또한 조직이 위험을 얼마나 잘 관리하는지에 대한 통합 보기를 제공하여 의사 결정과 성과를 개선하는 데 도움이 됩니다. 중소기업도 전 세계에서 사업을 운영할 수 있고 위험과 정부 규정을 준수해야 하는 필요성 모두 전 세계적으로 확대될 수 있기 때문에 거버넌스, 위험 관리 및 규정 준수에 세심한 주의를 기울여야 합니다.

기본적인 수준에서 기업 거버넌스는 기업 활동이 비즈니스 목표를 지원하도록 보장하는 일련의 규칙, 정책 및 프로세스입니다. 이는 윤리, 리소스 관리, 책임, 관리 통제 등을 포괄합니다.

또한 거버넌스는 최고 경영진이 기업의 모든 수준에서 일어나는 일을 지시하고 영향을 미칠 수 있도록 하며, 사업부가 고객의 요구와 전반적인 기업 목표에 부합하도록 합니다.

효과적인 거버넌스는 직원들이 권한을 부여받고, 행동과 자원이 통제되고 잘 조율되는 환경을 조성합니다. 거버넌스의 한 가지 목표는 최고 경영진, 직원, 공급업체, 투자자 등 다양한 기업 이해관계자의 이해 관계를 균형 있게 조정하는 것입니다.

예를 들어, 이러한 균형을 유지하기 위해 거버넌스는 회사의 내부 및 외부 이해관계자 간에 책임, 권리 및 보상을 공정하게 분배하는 계약을 체결하는 데 도움을 줄 수 있습니다. 이해관계자 간의 상충되는 이해관계를 조정하는 절차와 감독, 제어, 데이터 흐름이 견제와 균형의 체계로 작동하도록 보장하는 프로세스도 포함합니다.

거버넌스는 데이터 센터와 같은 시설 및 인프라에 대한 제어뿐만 아니라 포트폴리오 수준에서 애플리케이션을 감독할 수 있는 기능을 제공합니다.

무엇보다도, 거버넌스는 행동과 결과에 대한 책임을 제공하기 위해 구현됩니다. 행위는 윤리적 비즈니스 관행과 및 기업 시민 의식 규칙의 시행을 통해 관리될 수 있습니다. 좋은 거버넌스는 LOB(Line Of Business)를 기반으로 직무를 정의하고 책임보다는 달성한 결과를 기준으로 직원을 평가합니다.

리스크 관리는 조직에 대한 재무, 법률, 전략 및 보안 위험을 식별, 평가 및 통제하는 프로세스입니다. 위험을 줄이려면 조직은 리소스를 활용하여 부정적인 이벤트의 영향력을 최소화하고 모니터링하며 통제하는 동시에 긍정적인 이벤트의 영향을 극대화해야 합니다.

가장 넓은 의미에서 리스크 관리란 조직이 가치와 위험에 맞춰 목표를 설정할 수 있도록 지원하는 인력, 프로세스 및 기술 시스템을 말합니다.

기업 리스크 관리 이니셔티브의 목표는 리스크 프로파일을 최소화하고 가치를 확보하면서 기업 목표를 달성하는 것입니다. 이 과제 중 하나는 이해관계자의 기대치를 우선순위에 두고 해당 이해관계자에게 신뢰할 수 있는 정보를 제공하는 것입니다.

위험 관리 프로그램은 소프트웨어 취약성 및 잘못된 직원 비밀번호 관행과 같은 사이버 보안 및 정보 보안 위협과 위험을 식별하고 IT 위험을 줄이기 위한 계획을 구현하는 데에도 적용됩니다.

이 프로그램은 시스템 성능과 효율성을 평가하고, 레거시 기술을 평가하고, 핵심 비즈니스에 영향을 미칠 수 있는 운영 및 기술 장애를 파악하고, 인프라 위험과 네트워크 및 컴퓨팅 리소스의 잠재적 장애를 모니터링해야 합니다.

위험 평가 프로그램은 법적, 계약적, 내부적, 사회적, 윤리적 목표를 충족하고 새로운 기술에 관련된 규제를 모니터링해야 합니다. 기업은 위험에 집중하여 통제하고 완화하는 데 필요한 리소스를 투자함으로써 불확실성으로부터 자신을 보호하고 비용을 절감하며 비즈니스 연속성 및 성공 가능성을 높일 수 있습니다.

규정 준수에는 업계 및/또는 정부 기관이 정한 규칙, 정책, 표준 및 법률을 준수하는 것이 포함됩니다. 규정을 준수하지 않을 경우 조직은 실적 저하, 실수로 인한 비용 발생, 벌금, 과태료, 소송 등의 손실을 입을 수 있습니다.

규정 준수에는 회사에 적용되는 외부 법률, 규정 및 업계 표준이 포함됩니다. 기업 또는 내부 규정 준수는 개별 기업이 정한 규칙, 규정 및 내부 통제와 관련이 있습니다. 내부 규정 준수 관리 프로그램이 외부 규정 준수 요구 사항을 완전히 최신 상태로 유지하는 것이 중요합니다. 통합 규정 준수 프로그램은 규정 준수 정책을 생성, 업데이트, 배포, 추적하고 이러한 정책에 대해 직원을 교육하는 프로세스를 기반으로 해야 합니다.

효과적인 규정 준수 프로그램을 만들려면 조직은 어떤 영역이 가장 큰 위험을 초래하는지 파악하고 해당 영역에 리소스를 집중해야 합니다. 그런 다음 이러한 위험 영역을 해결할 수 있도록 정책을 개발하고, 시행하고, 직원들에게 전달해야 합니다. 직원과 공급업체가 규정 준수 정책을 쉽게 따를 수 있도록 지침을 개발해야 합니다.

GRC 프레임워크는 조직이 규정 준수 위험을 최소화하기 위한 정책과 관행을 수립하는 데 도움이 됩니다. IT 및 보안 GRC 솔루션은 데이터, 인프라, 가상, 모바일, 클라우드 애플리케이션에 대한 정보를 적시에 활용하는 데 중점을 둡니다.

또한, 조직의 GRC 시스템은 효율성을 개선하고, 위험은 줄이며, 성과와 투자 수익률(ROI)을 높여야 합니다. 기업은 리더십, 조직, IT 영역의 운영을 위한 GRC 프레임워크를 개발하고 활용하여 조직의 전략적 목표를 지원하고 실현할 수 있도록 합니다. 여기에는 정보를 비즈니스 프로세스, 정책 및 제어와 연결하는 것뿐만 아니라 IT, 재무, HR 팀 및 최고 경영진이 수행하는 활동을 관리하는 것도 포함됩니다.

위험 평가, 규정 준수 관리, 데이터 규정 준수, 내부 감사 및 기타 GRC 활동을 GRC 소프트웨어 플랫폼 없이 구현하면 시간이 오래 걸리고 많은 리소스가 필요할 수 있습니다. GRC 기능은 기업이 프로세스 및 데이터 사일로를 허물고, 중복 작업을 제거하고, 규정을 준수하고, 손실 및 사이버 위험 사건을 모니터링, 측정 및 예측하는 데 도움이 될 수 있습니다.

또한 기업이 재무 및 인공 지능(AI) 기반 모델의 수명 주기를 관리하고 IT 규정 준수 및 제어를 개선하는 데 도움이 될 수 있습니다. 기업은 비즈니스 및 규제 요구 사항이 정책 프레임워크에 미치는 영향을 측정하고, 타사 제품과의 통합을 통해 자동화된 측정 및 IT 제어를 지원할 수도 있습니다.

GRC를 통해 기업은 위험 평가 및 위험 감소를 수립, 자동화 및 관리할 수 있습니다. GRC 플랫폼의 데이터를 활용하여 기업은 더 정확한 정보를 바탕으로 결정을 내리고, 리소스를 할당하여 위험을 완화할 수 있습니다. 엔터프라이즈 위험 관리(ERM)는 위험 요소에 초점을 맞춘 GRC의 하위 집합입니다.

사베인스-옥슬리법(Sarbanes-Oxley Act) 과 같은 규정에 대한 감사는 GRC가 운영되는 데 있어 중요한 이정표이며, 각 부서는 이러한 감사에 대비하기 위해 청구서, 인사 기록, 재무 보고서를 비롯한 민감한 세부 정보를 유지 관리하고 보호해야 합니다.

효과적인 GRC 프로그램은 이미 심각한 규정 준수 또는 위험 사건이나 실패를 경험한 기업에게 특히 유용할 수 있습니다. 또한, 규정 준수나 내부 및 외부 재무 위험 보고 및 가시성, 타사 위험 관리에 대한 자신감이 없는 기업은 GRC 모델을 통해 중복된 통제 세트와 비효율적인 프레임워크를 수정하고 모니터링하여 반복적인 위험 문제를 방지할 수 있습니다.

때때로 기업은 리소스를 할당하고 이해 상충을 해결하며 성공을 측정하는 데 어려움을 겪을 수 있습니다. 이는 위험 및 요구 사항을 해결하는 데 드는 비용의 증가와 씨름하는 동시에 기하급수적으로 증가하는 타사 관계 및 위험을 관리해야 하는 과제에 직면한 결과일 수 있습니다.

그러나 기업은 GRC 플랫폼에서 생성된 메트릭을 사용하여 명확한 목표를 설정하고 모니터링할 수 있습니다. 이를 통해 성과를 높이고 ROI를 개선할 수 있습니다.

성공적인 GRC 전략을 위해서는 인력, 계획, 프로세스 및 기술의 원활한 조정이 필요합니다. 위험과 규정은 지속적으로 변화하고 있으며, 조직은 이를 따라잡고 앞서 나가기 위해 지속적인 노력을 기울여야 합니다. 성공을 위한 단계는 다음과 같습니다.

명확한 목표 수립 및 GRC 프레임워크 구축: 가장 큰 위험과 당면 과제를 파악하면 프레임워크의 구조를 결정할 수 있습니다. 조직이 정부 규제 또는 데이터 개인정보 보호 및 보안에 중점을 두어야 하나요? 완전한 프레임워크는 조직이 정보에 입각한 비즈니스 결정을 내리고 위험을 최소화하며 지속가능성을 보장하는 데 도움이 될 것입니다.

현재 운영상의 부족 사항 파악: 조직은 심각한 보안 문제가 발생한 제3자 또는 조직이 필수 규정 보고를 따라잡지 못하는 등 완전히 해결되지 않은 모든 문제를 면밀히 검토해야 합니다. 비즈니스 운영 프로세스와 기술은 언제나 개선될 수 있으며, 뒤처지면 더 큰 위험을 초래합니다.

상부의 지지 확보: 고위 경영진이 진정으로 헌신하지 않으면 실행에 대한 추진력을 확보하기 어렵습니다. 관리자는 위험을 인식하는 기업 문화를 이끌어내야 합니다. GRC 문제가 발생한 후 사후에 대응하는 것이 아니라 조직이 GRC 문제를 예방하도록 유도하는 것이 중요합니다.

조직 전체의 지지 확보: 조직 전체가 GRC의 중요성을 이해해야 합니다. 직원들이 GRC가 다른 사람의 일이라고 생각하면 아무리 포괄적인 프레임워크가 있어도 문제가 발생할 수 있습니다.

명확한 역할과 책임 설정: 모든 사람이 부서 간 협업에서 자신의 위치를 알아야 합니다. 이사회와 최고 경영 책임자(CEO)는 GRC 프레임워크를 감독하고 승인할 책임이 있습니다. 최고 위험 책임자(CRO)는 일상적인 관리 감독을 담당합니다. 최고 준법 책임자(CCO), 최고 정보 책임자(CIO), 최고 기술 책임자(CTO), 최고 재무 책임자(CFO)는 법무 부서, 내부 감사, 재무, IT 및 LOB 관리자와 함께 모두 중요한 역할을 담당합니다. 각자의 업무와 책임이 명확해야 하며, 모든 사람이 GRC 우려 사항을 보고하는 방법을 알고 있어야 합니다.

GRC 소프트웨어 사용: 워드 프로세서와 스프레드시트만 사용하면 조직이 수동 추적에 의존하게 될 수 있습니다. 이 프로세스에서는 적합한 질문을 하거나 법적 규정 준수와 더 깊은 인사이트를 도출하는 데 필요한 명확하고 완전한 보고서로 결과를 기록할 수 없습니다.

GRC 프레임워크 테스트: 한두 개의 부서부터 시작하여 GRC 프로세스와 인터페이스가 명확하고 모든 중요한 문제가 해결되고 있는지 확인합니다. 첫날부터 조직 전체에 프로그램을 배포하기보다는 문제의 규모가 작을 때 문제를 수정하면 시간을 절약하고 당혹감을 줄일 수 있습니다.

운영 관리는 기업이 규정 준수 및 위험 표준을 충족하고 있는지 확인하기 위해 전문화된 GRC 소프트웨어를 최대한 활용해야 합니다. 또한 이러한 툴은 회사 내 IT의 사용, 소유권, 운영, 관여, 영향력, 도입과 관련된 위험을 파악하고 완화하는 데 도움이 될 수 있습니다. GRC 툴은 운영 위험, 정책 및 규정 준수, IT 거버넌스, 내부 감사를 포괄해야 합니다. 대부분의 GRC 소프트웨어에는 다음과 같은 기능이 포함되어 있습니다.

• 기업이 디지털화된 콘텐츠를 보다 정확하게 생성, 추적, 저장할 수 있도록 도와주는 콘텐츠 및 문서 관리가 포함됩니다.

• 위험을 측정, 정량화, 예측하고 위험을 줄이기 위한 다음 단계를 결정하는 데 도움이 되는 위험 데이터 관리 및 분석 기능이 포함됩니다.

• 워크플로 관리를 통해 기업이 GRC 관련 워크플로를 수립, 실행 및 모니터링할 수 있도록 지원합니다.

• 정보를 체계화하고 내부 감사를 수행하기 위한 프로세스를 간소화하는 감사 관리 기능이 포함됩니다.

• 비즈니스 부서가 단일 플랫폼에서 각자의 활동을 조정할 수 있도록 지원합니다.

• 규정 변경 사항을 최신 상태로 유지하기 위한 연결

• 빠른 설정 및 사용자 지정이 가능한 사전 구축된 템플릿입니다.

• 비즈니스 프로세스 및 목표와 관련된 핵심 성과 지표를 실시간으로 모니터링할 수 있는 중앙 인터페이스를 제공하는 대시보드가 포함됩니다.

또한 담당 부서에 보안 정보 및 이벤트 관리(SIEM) 소프트웨어에 대한 액세스 권한을 부여하면 보안 위협을 탐지하는 데 도움이 될 수 있습니다. 감사 소프트웨어는 GRC 노력의 성공을 벤치마킹하고 개선 가능성을 제시하는 데도 도움이 될 수 있습니다.

효과적인 GRC 도구는 정책 및 제어를 생성 및 배포하고 이를 규정 및 규정 준수 요구 사항에 매핑합니다. 제어 항목이 배포되었는지, 제대로 작동하는지, 위험 평가 및 완화를 개선하고 있는지 평가하는 데 도움이 됩니다.