2012.08.23

칼럼 | GRC, 툴이 아닌 프로세스로 접근하라

Derek Slater | CSO
필자는 두 가지 이유 때문에 GRC(governance, risk and compliance)의 개념을 좋아한다.  한 가지 이유는 완전히 개념 전술적이고 다른 하나는 완전히 개념적이다. 우선, 전술적이라는 관점으로 보면, 컴플라이언스의 복잡성이 줄어들었다. 복잡성 때문에 전반적인 규제 준수가 왜곡되는 것은 어리석은 짓이다. 6년 동안 매년 실시했던 ‘CSO 현황’ 조사에서 절반 이상의 응답자들은 자신들이 규제 준수 업무에 점점 더 많은 시간을 할애할 것이라고 말했다.

그렇다. 귀사가 준수해야 할 독특한 규제 정책들과 귀사의 사규들을 맞추고자 노력할 수는 있지만, 그 시간을 더 나은 무언가에 할애했다고 확신할 수 있을까? 틀어 박힌 접근법에서 벗어난 방법이 더 나을 수 있다. 그것이 바로 GRC의 임무다.

자, 그럼 두번째 개념적이라는 관점으로 보자. 보안은 공명심을 요구한다. GRC를 좀더 크게 바라보고 접근해야 한다. GRC는 소프트웨어가 아니라 프로세스다. 컴플라이언스는 거버넌스와 리스크보다 더 성숙했지만, 더 나은 거버넌스를 통해 리스크를 측정하고 완화하려는 시도는 이러한 노력들의 더 큰 가치가 궁극적으로 어디에 있는지를 말해준다. GRC는 필자가 침착하게 팬이자 치어리더 역할을 맡는 엔터프라이즈 리스크 관리 초기 단계에서 정보를 알려주고 긴밀하게 작용할 수 있다.

GRC는 이제까지 기술이 뒷받침해주는 프로세스로 적절하게 묘사됐다. 이 특별 보고서(원래는 GRC에 대한 CSO의 디지털 스포트라이트로 발간)에서 앞서 말한 GRC의 두 가지 요소를 볼 수 있다.

최근 GRC 관련 기사들에는 공통 주제가 있다. 바로 ‘프로세스를 잊지 말라’는 것이다. 프로세스는 기본이다. 똑똑한 조직이라는 튼튼한 기초 위에 GRC 툴이 구축될 때 비로소 GRC가 제대로 운영된다.

이는 IT세계에서 오랫동안 주류로 자리잡았던 ERP에서도 똑같이 했던 말이다. GRC 툴이 제공할 수 있는 이점들을 얻으려면 ERP를 구축할 때처럼 프로세스를 정비하는 사전 작업부터 수행하고 ERP 사상에 업무를 맞췄던 것처럼, 이제는 GRC를 위해 필요한 사전 작업을 끝내고 그 안에 모든 것을 녹여내야 한다.

*Derek Slater는 CSO 기자다. ciokr@idg.co.kr



2012.08.23

칼럼 | GRC, 툴이 아닌 프로세스로 접근하라

Derek Slater | CSO
필자는 두 가지 이유 때문에 GRC(governance, risk and compliance)의 개념을 좋아한다.  한 가지 이유는 완전히 개념 전술적이고 다른 하나는 완전히 개념적이다. 우선, 전술적이라는 관점으로 보면, 컴플라이언스의 복잡성이 줄어들었다. 복잡성 때문에 전반적인 규제 준수가 왜곡되는 것은 어리석은 짓이다. 6년 동안 매년 실시했던 ‘CSO 현황’ 조사에서 절반 이상의 응답자들은 자신들이 규제 준수 업무에 점점 더 많은 시간을 할애할 것이라고 말했다.

그렇다. 귀사가 준수해야 할 독특한 규제 정책들과 귀사의 사규들을 맞추고자 노력할 수는 있지만, 그 시간을 더 나은 무언가에 할애했다고 확신할 수 있을까? 틀어 박힌 접근법에서 벗어난 방법이 더 나을 수 있다. 그것이 바로 GRC의 임무다.

자, 그럼 두번째 개념적이라는 관점으로 보자. 보안은 공명심을 요구한다. GRC를 좀더 크게 바라보고 접근해야 한다. GRC는 소프트웨어가 아니라 프로세스다. 컴플라이언스는 거버넌스와 리스크보다 더 성숙했지만, 더 나은 거버넌스를 통해 리스크를 측정하고 완화하려는 시도는 이러한 노력들의 더 큰 가치가 궁극적으로 어디에 있는지를 말해준다. GRC는 필자가 침착하게 팬이자 치어리더 역할을 맡는 엔터프라이즈 리스크 관리 초기 단계에서 정보를 알려주고 긴밀하게 작용할 수 있다.

GRC는 이제까지 기술이 뒷받침해주는 프로세스로 적절하게 묘사됐다. 이 특별 보고서(원래는 GRC에 대한 CSO의 디지털 스포트라이트로 발간)에서 앞서 말한 GRC의 두 가지 요소를 볼 수 있다.

최근 GRC 관련 기사들에는 공통 주제가 있다. 바로 ‘프로세스를 잊지 말라’는 것이다. 프로세스는 기본이다. 똑똑한 조직이라는 튼튼한 기초 위에 GRC 툴이 구축될 때 비로소 GRC가 제대로 운영된다.

이는 IT세계에서 오랫동안 주류로 자리잡았던 ERP에서도 똑같이 했던 말이다. GRC 툴이 제공할 수 있는 이점들을 얻으려면 ERP를 구축할 때처럼 프로세스를 정비하는 사전 작업부터 수행하고 ERP 사상에 업무를 맞췄던 것처럼, 이제는 GRC를 위해 필요한 사전 작업을 끝내고 그 안에 모든 것을 녹여내야 한다.

*Derek Slater는 CSO 기자다. ciokr@idg.co.kr

X