GRC란?
GRC(governance, risk, and compliance) 프레임워크를 통해 조직은 비즈니스 목표와 규정 준수 요구 사항에 따라 정보 기술을 조정할 수 있습니다.
검은색과 파란색 배경
GRC란?

GRC( governance, risk, and compliance)는 거버넌스, 리스크 관리, 업계 및 정부 요구 사항 준수를 위한 조직적 전략입니다. GRC는 또한 엔터프라이즈 GRC 프로그램 구현 및 관리를 위한 통합된 소프트웨어 기능을 의미합니다.

GRC 관행 및 프로세스는 비즈니스 목표에 맞게 IT를 조정하기 위한 구조화된 접근법을 제공합니다. GRC는 기업이 IT 및 보안 리스크를 효과적으로 관리하고, 비용을 절감하고, 규정 준수 요구 사항을 충족하도록 돕습니다. 또한, 조직의 리스크 관리 상태를 통합적으로 파악하여 의사 결정 능력 및 성과를 향상하도록 돕습니다.

주요 제품

IBM OpenPages

거버넌스

기본적으로, 거버넌스는 기업 활동이 비즈니스 목표를 지원하도록 마련된 규칙, 정책, 프로세스의 집합체입니다. 거버넌스는 윤리, 리소스 관리, 책임성, 관리 제어 조치를 포괄합니다.

또한, 거버넌스는 최고 경영진이 기업의 모든 수준에서 벌어지는 일을 지시하고 이에 영향을 주도록 합니다. 그리고 사업부가 고객의 요구 사항과 회사 전체의 목표에 따라 운영되도록 합니다.

효과적인 거버넌스는 직원이 든든한 지원을 받고 있다고 느끼고 행동과 리소스가 잘 조율되고 통제되는 환경을 조성합니다. 거버넌스의 목표 중 하나는 최고 경영진, 직원, 공급업체, 투자자 등 이해 관계자 다수의 이익 사이에서 균형을 유지하는 것입니다.

예를 들면, 이러한 균형을 유지하기 위해 거버넌스는  회사의 내부 및 외부 이해 관계자 간의 계약이 책임, 권리, 보상이 공정하게 배분되는 방향으로 체결되도록 지원할 수 있습니다. 또한 여기에는 이해 관계자들 사이에서 상충하는 이해를 조정하는 절차, 그리고 감독, 통제 및 데이터 흐름이 견제와 균형의 체계로서 기능하도록 하는 프로세스가 포함됩니다.

거버넌스는  데이터 센터와 같은 시설 및 인프라에 대한 통제력과 더불어 포트폴리오 수준에서 애플리케이션에 대한 감독을 제공합니다.

무엇보다도, 거버넌스는 행위 및 결과에 대한 책임성을 향상하기 위해 구현됩니다. 윤리적 비즈니스 관행과 기업 시민 규칙을 집행하여 행위를 관리할 수 있습니다. 우수한 거버넌스는 비즈니스 라인을 기반으로 직무를 정의하며, 직무보다는 결과를 바탕으로 직원을 평가합니다.

리스크 관리

리스크 관리는 조직의 재무, 법무, 전략, 보안 관련 리스크를 파악, 평가 및 제어하는 프로세스입니다. 리스크를 줄이려면, 부정적 이벤트의 영향을 최소화, 감시 및 제어하는 데 리소스를 투자할 뿐만 아니라 긍정적 이벤트를 극대화하는 노력도 필요합니다.

가장 포괄적인 의미에서 리스크 관리란 조직에서 가치 및 리스크를 염두에 두고 목표를 설정하게 해주는 사람, 프로세스, 기술로 이루어진 체계입니다.

엔터프라이즈 리스크 관리 프로그램의 목표는 리스크 프로파일을 최적화하고 가치를 보존하면서 기업의 목표를 달성하는 것입니다. 이러한 작업 중 일부는 이해 관계자의 기대치의 우선 순위를 정하고 이러한 이해 관계자들에게 신뢰할 수 있는 정보를 제공하는 것입니다.

리스크 관리 프로그램은 또한 소프트웨어 취약성 및 직원의 잘못된 비밀번호 관리와 같은 사이버 보안 및 정보 보안에 대한 위협을 식별하고 이러한 위협과 리스크를 줄이기 위한 계획을 실행할 때도 적용됩니다.

이러한 프로그램은 시스템 성능과 효과성 그리고 기존 기술을 평가하고, 핵심 비즈니스에 영향을 줄 수 있는 운영 장애와 기술 장애를 찾아내야 하며, 인프라 리스크와 네트워크 및 컴퓨팅 리소스에서 발생할 수 있는 장애를 모니터링해야 합니다.

리스크 평가 프로그램은 법무적, 계약적, 내부적, 사회적, 윤리적 목표를 충족해야 할 뿐만 아니라 새로운 기술 관련 규정도 모니터링해야 합니다. 리스크에 관심을 기울이고 리스크 제어 및 완화에 필요한 리소스를 투자하는 기업은 불확실성으로부터 스스로를 보호하고, 비용을 줄이며, 비즈니스 연속성 및 성공의 가능성을 높일 수 있습니다.

규제 준수

규정 준수는 산업 및/또는 정부 기관이 제정한 규칙, 정책, 표준, 법규를 준수하는 것입니다. 규정을 준수하지 않으면 조직은 성과 저하, 비용을 초래하는 실수, 벌금, 처벌, 소송과 같은 대가를 치를 수 있습니다.

규정 준수의 대상은 회사에 적용되는 외부 법규, 규정, 업계 표준입니다. 기업 규정 또는 내부적 규정 준수는 개별 기업이 만든 규칙, 규정, 내부 통제 조치를 준수하는 것을 말합니다. 내부 규정 준수 관리 프로그램은 외부 규정 준수 요구 사항과 부합해야 합니다. 통합 규정 준수 프로그램은 규정 준수 정책의 제정, 업데이트, 전달, 추적 및 이러한 정책에 대한 직원 교육으로 구성된 프로세스를 따라야 합니다.

효과적인 규정 준수 프로그램을 만들려면, 가장 큰 리스크를 유발하는 영역을 이해하고 이러한 영역에 리소스를 집중해야 합니다. 그 다음, 이러한 리스크 영역에 대처하기 위해 정책을 개발 및 구현하고 직원에게 알려야 합니다. 또한, 직원과 공급업체가 규정 준수 정책을 쉽게 따를 수 있도록 지침을 마련해야 합니다.

GRC 사용 사례

GRC 프레임워크는 규정 준수 리스크를 최소화하기 위해 정책 및 관행을 확립하는 데 도움을 줍니다. IT 및 보안 GRC 솔루션은 데이터, 인프라, 그리고 가상, 모바일, 클라우드 애플리케이션에 대한 적시 정보를 활용하는 데 초점이 맞추어져 있습니다.

또한, 조직의 GRC 프로그램은 효율성을 높이고, 리스크를 낮추고, 성과 및 투자 수익(return on inverstment, ROI)을 향상해야 합니다. 기업들은 IT 영역의 리더십, 구성, 운영을 위한 GRC 프레임워크를 개발하고 사용하여 조직의 전략적 목표를 지원하고 실현합니다. 여기에는 비즈니스 프로세스, 정책, 통제 장치와 더불어 IT, 재무, HR, 팀, 최고 경영진이 수행하는 활동 측면에서 정보의 상관관계를 파악하는 일이 포함됩니다.

 

효율성
 

리스크 평가, 규정 준수 관리, 내부 감사 및 기타 GRC 활동은 GRC 소프트웨어 플랫폼이 없을 경우 시간과 리소스를 많이 사용할 수 있습니다. GRC 플랫폼은 프로세스와 데이터의 사일로를 해소하고, 규정을 준수하고, 손실 및 리스크 이벤트를 모니터링, 측정, 예측하는 데 도움을 줄 수 있습니다.

또한, 재무적 모델 및 인공지능(AI) 기반 모델의 라이프사이클을 관리하고 IT 규정 준수 능력 및 통제 조치를 향상하는 데 도움을 줄 수 있습니다. 기업은 심지어 규제 및 비즈니스 요구 사항이 정책 프레임워크에 주는 영향을 측정하고, 타사 제품과의 통합을 통해 자동화된 측정 및 IT 제어를 지원할 수도 있습니다.

 

리스크 평가 및 개선
 

GRC를 통해 기업은 리스크 평가 및 리스크 개선을 수행하고 이를 자동화하고 관리할 수 있습니다. 그리고 GRC 플랫폼이 제공하는 데이터로 충분한 정보에 기반한 의사 결정을 내리고 리스크 완화를 위해 리소스를 배정할 수 있습니다. 

Sarbanes-Oxley Act와 같은 규정에 대한 감사는 GRC 운영의 중요한 이벤트입니다. 이러한 감사에 대비하기 위해 부서는 인보이스, 인사 기록, 재무 보고서 등 중요한 세부 정보를 보관하고 보호해야 합니다.

효과적인 GRC 프로그램은 특히 중대한 규정 준수 리스크 이벤트 또는 실패를 경험한 회사들에게 유용할 수 있습니다. 또한, 규정 준수 또는 내/외부의 재무 리스크 보고 및 가시성에 대한 확신이 없는 기업은 반복될 수 있는 리스크 우려를 방지하기 위해 중복된 통제 조치와 효과적이지 않은 프레임워크를 정정하고 모니터링하는 데 도움이 되는 GRC 모델을 활용할 수 있습니다다. 

 

성능 및 ROI에 대한 전략적 지원
 

때로는 리소스 배정, 상충하는 이해 조정, 성공 정도 측정이 어려울 수 있습니다. 이는 타사와의 관계 및 리스크의 기하급수적 성장을 관리하는 과제에 직면한 상태에서 리스크를 해결하고 요구 사항을 충족하는 데 드는 증가하는 비용과 씨름한 결과일 수 있습니다.

하지만 GRC 플랫폼이 제공하는 지표를 활용하면 분명한 목표를 설정하고 모니터링할 수 있습니다. 그렇게 하면 성과와 ROI를 향상하는 데 도움이 됩니다.

GRC 도구

GRC 도구를 사용하는 것은 운영을 관리하고 규정 준수 및 리스크 표준을 충족하는 한 방법입니다. 이러한 도구는 또한 회사 내에서 IT의 이용, 소유, 운영, 개입, 영향, 채택과 관련된 리스크를 결정하고 완화하는 데 도움이 될 수 있습니다. GRC 도구는 운영 리스크, 정책 및 규정 준수, IT 거버넌스, 내부 감사를 포괄해야 합니다.

대부분의 GRC 도구는 다음과 같은 기능 중 일부가 있습니다.

  • 기업이 디지털화된 콘텐츠를 생성, 추적, 저장하도록 돕는 콘텐츠 및 문서 관리
  • 리스크를 측정, 정량화, 예측하고 리스크를 줄이기 위한 조치를 결정하는 데 도움을 주는 리스크 데이터 관리 및 분석
  • GRC 관련 워크플로우의 생성, 실행, 모니터링을 돕는 워크플로우 관리
  • 내부 감사 수행을 위한 정보를 체계적으로 정리하고 프로세스를 간소화하는 감사 관리
  • 비즈니스 프로세스 및 목표와 관련된 주요 성과 지표를 실시간으로 모니터링할 수 있는 중앙 인터페이스를 제공하는 대시보드

효과적인 GRC 도구는 정책과 통제 조치를 제정 및 전달하고 규정 및 규정 준수 요구 사항에 맞게 조정합니다. 또한, 통제 조치가 활용되고, 올바르게 작동하고 있으며, 리스크 평가 및 완화 능력을 향상하는지 평가하는 데 도움을 줍니다.

관련 솔루션
IBM OpenPages

IBM OpenPages은 기업들의 리스크 및 규정 준수 문제 관리를 지원하기 위해 구축된 AI 기반의 거버넌스, 리스크 및 규제 준수 플랫폼입니다.

IBM OpenPages 살펴보기
Watson Assistant: 지능형 가상 상담원

IBM Watson Assistant는 임의의 애플리케이션, 디바이스 또는 채널에서 빠르고 일관적이며 정확한 답변을 고객들에게 제공합니다.

지능형 가상 상담원 살펴보기
IBM Cloud Pak for Data

IBM Cloud Pak for Data는 클라우드에서 모든 데이터를 AI 및 분석에 사용할 수 있도록 데이터 패브릭을 제공하는 개방형의 확장 가능한 데이터 플랫폼입니다.

IBM Cloud Pak for Data 살펴보기
리소스 GRC(Governance, Risk and Compliance) 혁신
코그너티브 기능과 향상된 사용자 경험(UXD)을 통해 일차 방어선의 역량을 강화합니다.
GRC의 진화
급변하는 세계 금융 시장에서 어떻게 차세대 GRC(governance, risk and compliance) 솔루션이 리스크에 기반한 의사 결정을 내리고 프로세스 효율성과 효과성을 향상하도록 점점 더 많은 조직과 비즈니스 사용자를 지원하고 있는지 IBM이 살펴봅니다.
디지털 혁신과 GRC의 미래
금융 서비스 부문의 GRC 전문가들은 디지털화의 새 시대를 맞이하고 있습니다. AI와 같은 첨단 기술은 이와 같이 예측 불가능한 환경에서 새로운 리스크를 관리하는 데 중요한 역할을 수행할 수 있습니다.
다음 단계

IBM OpenPages은 AI 및 데이터를 기반으로 리스크 및 규정 준수 관리 방식을 간소화하는 GRC 플랫폼입니다. 이 플랫폼은 확장성이 뛰어나고 방화벽 뒤 또는 어느 클라우드 등 어디서나 실행되므로 엄격한 규제를 적용받는 세계 최대 규모의 기업들을 지원할 수 있습니다. IBM OpenPages는 가시성이 뛰어난 단일 환경 안에서 사일로화된 리스크 관리 기능을 중앙집중화하므로 GRC를 간소화합니다. 이 플랫폼은 Watson Assistant, Watson Natural Language Translator, IBM Cloud Pak for Data 등의 다양한 IBM 기술과 기능을 활용하여 사용자 교육의 필요성을 최소화하고 GRC 문제에 조직이 대응하는 방식을 표준화 및 자동화하도록 돕습니다.

지금 IBM OpenPages 살펴보기