2018.09.17

GRC가 골칫거리이기만 한 이유··· 흔한 함정 10가지

Mike Meikle | CIO
거버넌스, 리스크, 컴플라이언스(Governance, Risk, and Compliance, GRC)는 직원이든 경영진이든 할 것 없이 골머리를 앓는 주제들이다. 광대한 스프레드시트, 그리고 KRI, KPI같은 두문자어가 난무하는 끝없는 회의가 떠오른다. GRC 관련 노력은 시간 낭비이거나 CFO와 내부 감사의 영역으로 여겨지는 경우가 너무 흔하다. 

그러나 이는 사실이 아니다. 규제적 의무와 준수 실패에 따른 벌칙이 늘어남에 따라 CIO를 비롯한 IT 담당자들이 위험 관리, 컴플라이언스 및 거버넌스 이니셔티브를 일정 부분 책임지고 추진해야 한다. IT 외부의 부문들(예. 법무 및 재무)이 개입하곤 하지만, 그럼에도 불구하고 이는 GRC프로그램의 효과에 결정적이다.

GRC프로그램이 별개로 간주되던 시절은 끝났다. IT와 비즈니스 GRC는 총체적으로 융합되어야 한다. 그렇지 않다면 엄청난 위험과 불필요한 불확실성이 생긴다.

국내 및 해외의 엄격한 규제 환경 (HIPAA, PCI, FERPA, GDPR), 고객 데이터 프라이버시 기대 수준, 서비스로서의 플랫폼의 위험, 사이버보안 위협, 그리고 계속 변하는 글로벌 시장의 와중에서, 확고하고 효과적인 GRC프로그램은 운영 상의 정당한 주의를 입증할 뿐 아니라, 비용을 절감하고, 수익성을 제고하고, 세계 시장에 걸쳐 규제 체제와의 충돌을 피하는 가장 중요한 수단이다.

크라우드스트라이크(CrowdStrike)의 부사장인 데이비드 맥커프는 “내가 보기에 가장 중요한 GRC문제는, 조직이 자신의 전략을 제대로 따르지 않는다는 것과 컴플라이언스 대 효과적 위험 관리라는 화두에 지나치게 집착한다는 것이다”고 말했다.

적정한 GRC컴포넌트들이 배치된 조직이란 실무적 의사 결정을 안내하는 종합적 전략 계획을 가진 조직이다. 프로젝트나 이니셔티브는 사업 위주의 목표들에 기초해 가감되고 평가되고, 위험은 관리되고 측정 가능하다. 또 컴플라이언스 부담은 알려져 있고 유포되어 있다.

아래에서는 효과적인 거버넌스, 위험 관리 및 컴플라이언스 전략을 생성하는데 어려움을 겪는 조직이 흔히 경험하는 10가지 함정을 서술한다.



조직의 미성숙
조직 미성숙(organization immaturity) 자체가 GRC프로그램을 망치는 경우가 많다. 프로그램, 프로젝트, 자산 또는 변화 관리의 기본조차 결여돼 있다면 어떤 자산을 소유하고 있는지 알 수 없을 것이고 (하드웨어, 소프트웨어, 및 데이터), 결국 효과적인 GRC프로그램을 확립하기가 매우 어려워진다.

다음과 같은 상황을 들 수 있다. 분기 경영진 브리핑에서, 광대한 인프라 및 시스템 통합 노력을 요하는 몇 가지 새로운 인수에 대해 듣는다. 그런데, 이를 위한 돈은 IT 부서 예산으로부터 직접 차출하라는 방침이 내려온다.

또는, 보다 흔한 경우가 있다. IT 자원이 간헐적이고 반응적이다. 프로젝트 작업은 부수적으로 취급된다. IT리더들은 가장 최근의 ‘결정적’ 프로젝트를 감당하느라 정신이 없어서, 어제의 필수 이니셔니브는 뒷전으로 밀리기 때문이다.

데이터 관행(data practices) 또한 조직의 미성숙을 드러내는 또 다른 분야이다. 그렇다. 데이터가 가장 귀중하기까지는 않더라도, 어쨌든 회사의 귀중한 자산임을 인지하고는 있을 것이다. 그러나 중요 데이터가 어디에 있는지 알지 못한다면, 이를 어떻게 보호할 것인가?

데이터 블루프린트(Data Blueprint)의 설립 디렉터이자 소유자인 피터 에이켄은 “회사가 무슨 데이터를 가지고 있는지, 데이터가 어디에 있는지, 그리고 회사의 직원이 이를 가지고 무엇을 하는지 잘 모른다면, 이는 근본적으로 잘못된 것이다”고 말했다.

권고 : 조직이 성숙해지려면 기업 문화가 이를 뒷받침해야 한다. 핵심 임원들은 담당 부서의 책임성과 투명성을 지지해야 한다. 이해 관계자, 관리자, 및 직원이 변화를 수용하지 않는다면 새로운 현실에 책임을 져야 할 것이다.

IT와 비즈니스의 격리
GRC가 효과적으로 작용하려면 IT와 비즈니스는 반드시 서로 정렬되어야 한다. 유감스럽지만, 대다수 기업에서 이는 현실이 아니다. 핵심 소프트웨어나 인프라 구현이 갑작스럽게 대두되고, 즉각적인 완료가 요구된다. 또는 계획된 예산 및 자원 할당이 완전히 실패한다. 또는 비즈니스는 IT와 도대체 소통이라는 것을 하지 않는 것 같다.

기업 경영진이 새 목표를 도입하고 IT가 이를 서둘러 구현해야 한다면, 비즈니스, IT 및 컴플라이언스 부서들 간에 운영 위험을 논의할 여지가 거의 없다.

권고 : 실행 및 기술 경로들이 서로 교차할 수 있도록 소통 채널과 위원회를 확립해 안정성을 확보하라.

표준, 정책 및 절차의 결여
회사의 중요 지적 재산은 여러 직원에 의해 소비자 등급의 클라우드 스토리지에 저장되어 있을지 모른다. 이를 금지하는 회사 정책이 있지 않은가? 그런 정책이 없는 경우가 태반이라는 사실을 알면 놀랄 것이다.

또는 새로 합병한 조직이 여전히 아무런 정책이 없는 상태일 수 있다. 게다가, 기업 정책에 대해, 그리고 정책이 업무에 어떤 영향을 주는지에 관한 교육이 전무한 경우가 생각보다 흔하다. 정책이 이런 저런 파일 셰어와 셰어포인트에 산재해 있기도 한다.

그렇게 되면 이를 추적하기 어렵고, 사람들에게 책임을 지우기도 어렵다. 중앙화, 명확화, 책임성이 부재한다면 GRC에 상당한 위험이 따른다.

권고 : 정책은 간명해야 하고, 중앙화되어야 하고, 전파되어야 하고, 직원들이 쉽게 접근할 수 있어야 한다. 문서 자체가 단순하고 간명하고 이해하기 쉬어야 한다. 아울러 이에 관해 직원 대상의 교육을 실시해야 한다.

위험에 대해 공유된 정의가 없다
위험은 기업에게 어떤 의미인가? 이는 의외로 구체화하기 까다롭다. 흔히, 오로지 재무 위험이나, 기업에 적용할 수 있는지 평가된 적이 없는 일반적 위험들이 이사회에 보고된다. 그리고 조직 내에 이질적 위험 채점 방법론이 있다면 이사회에 위험을 정확히 보고하는 것이 훨씬 더 어렵다.

권고 : 모든 비즈니스 기능들이 위험의 정의에 동의하도록 한다. 아울러 이사회에 보고되는 위험을 망라하는 (IT 및 비즈니스) 하나의 위험 관리 프로그램이 있어야 한다.

기술에 의존
단순한 스프레드시트로부터 수백 만 달러의 기업시스템에 이르기까지 시중에 나와 있는 기업 GRC 툴은 수없이 많다. 그러나, 견고한 GRC체제가 갖추어져 있지 않다면 어떤 기술로도 위험을 관리할 수 없다.

권고 : 값비싼 툴에 투자하려는 충동을 억제하라. 먼저 회사의 GRC프로그램을 확립하고 정상화하라. 그 후 니즈에 적합한 툴이 무엇인지 규명하라. 니즈를 충족하기 위해 회사 환경 내에 이미 구현되어 있는 툴을 활용할 수 있는지 검토하라.

규제적 혼선
어떤 규제 프레임워크가 회사에 영향을 주는지 진정으로 알고 있는가? 예를 들어, 주 및 지역 프라이버시 법률은 데이터 침해 발생 시, 이들이 더욱 엄격한 경우, HIPAA 가이드라인에 우선하여 적용될 것이다.

도드-프랭크(Dodd-Frank)는 어떠한가? 사베인-옥슬리, PCI-DSS, HIPPA, GDPR, 여타 규제들이 회사에 적용되는가? 너무나 빈번하게, 조직은 사업을 영위하는데 따른 전반적 규제 환경을 이해하지 못한다.

권고 : 규제 프로세스는 법률 및 컴플라이언스 팀이 공동으로 소유하고, 문서화 되어야 하고, IT 및 비즈니스로의 명확한 소통 경로가 있어야 한다.

최종 책임의 부재
누군가는 최종적인 책임을 져야 한다. 그렇다면 GRC의 소유자는 누구인가? 이는 최상부로부터 시작한다. 임원진이 효과적인 GRC프로그램을 소유하고 지원해야 한다. 그로부터, GRC책임은 애플리케이션 소유, 데이터 소유 등으로 단계적으로 하향하고, 필수적 상위 보고 경로를 갖추어야 한다.

권고 : GRC이니셔티브가 성장하려면 임원들이 지지를 표현해야 한다. 이는 일회성 진술이 아니다. GRC이니셔티브는 임원실로부터 지속적으로 추진되어야 하고 이사회가 최종 책임을 져야 한다. CFO팀이 좋은 출발점이다.

과도한 복잡성
여기저기 흩어져 있는 포트폴리오 관리 툴, 규제 툴, 스프레드시트, 대시보드 등 상충하는 정보가 넘쳐난다. 수백 가지 GRC데이터 포인트를 한 시스템으로 정상화하는 데는 여러 시간이 걸릴 수 있다. 단순화가 필요하다.

권고 : 기업 GRC프로그램이 대시보드와 툴들에 압도되어 있다면 이제 단순화를 해야 할 시간이다. GRC팀과 긴밀히 협조해 최고의 툴(들)을 선택하고 과대한 시스템을 축소하라. 비즈니스 요구에 따라 기술 투자를 하고 로드맵을 작성하라.

프로그램 및 프로젝트 투자 관리의 부재
필수적 투자에 대한 이해 없이 프로젝트들이나 프로그램들이 급하게 추진될 때 단일의 GRC 프로그램을 갖기 힘들다. 어떤 이니셔티브를 승인할 것인가? 부서들에 걸쳐 회사의 성숙도를 아는가?

권고 : 이사회 참여 및 이니셔티브 관리는 GRC노력을 위한 자금을 확보하는데 필수적인 가시성에 결정적이다. 이에 의해 유효한 포트폴리오 및 투자 관리 전략을 확정할 수 있다.

성공을 측정할 지표의 결여
그렇다면 GRC프로그램이 의도대로 작용하고 있는지 어떻게 알 것인가? 이는 위험을 줄이고, 컴플라이언스 목표를 충족하고, 프로그램 이니셔티브를 달성하는가? 핵심 성과 지표(KPIs), 핵심 비즈니스 질의(KBQ), 핵심 위험 지표(KRIs)를 활용하라.

권고 : SMART기준, 즉 구체적, 측정 가능, 달성 가능, 연관성, 시간 한정(Specific, Measurable, Attainable, Relevant, and Time-bound)을 이용하며, 5개 내지 10개의 비즈니스 프로세스를 선택한다(KPIs, 또는 KBQs). 이들은 비즈니스 가치에 합치해야 하고, 핵심 의사 결정자가 지정되어야 한다. 이들 프로세스에 대해 측정 가능한 KRIs를 배정하라. 이제 프로그램 차원에서 데이터의 질을 모니터하고 추적하라.

* Mike Meikle는 정보기술, 컨설팅, 사이버보안 분야를 20년 동안 추적해온 전문가다. ciokr@idg.co.kr
 



2018.09.17

GRC가 골칫거리이기만 한 이유··· 흔한 함정 10가지

Mike Meikle | CIO
거버넌스, 리스크, 컴플라이언스(Governance, Risk, and Compliance, GRC)는 직원이든 경영진이든 할 것 없이 골머리를 앓는 주제들이다. 광대한 스프레드시트, 그리고 KRI, KPI같은 두문자어가 난무하는 끝없는 회의가 떠오른다. GRC 관련 노력은 시간 낭비이거나 CFO와 내부 감사의 영역으로 여겨지는 경우가 너무 흔하다. 

그러나 이는 사실이 아니다. 규제적 의무와 준수 실패에 따른 벌칙이 늘어남에 따라 CIO를 비롯한 IT 담당자들이 위험 관리, 컴플라이언스 및 거버넌스 이니셔티브를 일정 부분 책임지고 추진해야 한다. IT 외부의 부문들(예. 법무 및 재무)이 개입하곤 하지만, 그럼에도 불구하고 이는 GRC프로그램의 효과에 결정적이다.

GRC프로그램이 별개로 간주되던 시절은 끝났다. IT와 비즈니스 GRC는 총체적으로 융합되어야 한다. 그렇지 않다면 엄청난 위험과 불필요한 불확실성이 생긴다.

국내 및 해외의 엄격한 규제 환경 (HIPAA, PCI, FERPA, GDPR), 고객 데이터 프라이버시 기대 수준, 서비스로서의 플랫폼의 위험, 사이버보안 위협, 그리고 계속 변하는 글로벌 시장의 와중에서, 확고하고 효과적인 GRC프로그램은 운영 상의 정당한 주의를 입증할 뿐 아니라, 비용을 절감하고, 수익성을 제고하고, 세계 시장에 걸쳐 규제 체제와의 충돌을 피하는 가장 중요한 수단이다.

크라우드스트라이크(CrowdStrike)의 부사장인 데이비드 맥커프는 “내가 보기에 가장 중요한 GRC문제는, 조직이 자신의 전략을 제대로 따르지 않는다는 것과 컴플라이언스 대 효과적 위험 관리라는 화두에 지나치게 집착한다는 것이다”고 말했다.

적정한 GRC컴포넌트들이 배치된 조직이란 실무적 의사 결정을 안내하는 종합적 전략 계획을 가진 조직이다. 프로젝트나 이니셔티브는 사업 위주의 목표들에 기초해 가감되고 평가되고, 위험은 관리되고 측정 가능하다. 또 컴플라이언스 부담은 알려져 있고 유포되어 있다.

아래에서는 효과적인 거버넌스, 위험 관리 및 컴플라이언스 전략을 생성하는데 어려움을 겪는 조직이 흔히 경험하는 10가지 함정을 서술한다.



조직의 미성숙
조직 미성숙(organization immaturity) 자체가 GRC프로그램을 망치는 경우가 많다. 프로그램, 프로젝트, 자산 또는 변화 관리의 기본조차 결여돼 있다면 어떤 자산을 소유하고 있는지 알 수 없을 것이고 (하드웨어, 소프트웨어, 및 데이터), 결국 효과적인 GRC프로그램을 확립하기가 매우 어려워진다.

다음과 같은 상황을 들 수 있다. 분기 경영진 브리핑에서, 광대한 인프라 및 시스템 통합 노력을 요하는 몇 가지 새로운 인수에 대해 듣는다. 그런데, 이를 위한 돈은 IT 부서 예산으로부터 직접 차출하라는 방침이 내려온다.

또는, 보다 흔한 경우가 있다. IT 자원이 간헐적이고 반응적이다. 프로젝트 작업은 부수적으로 취급된다. IT리더들은 가장 최근의 ‘결정적’ 프로젝트를 감당하느라 정신이 없어서, 어제의 필수 이니셔니브는 뒷전으로 밀리기 때문이다.

데이터 관행(data practices) 또한 조직의 미성숙을 드러내는 또 다른 분야이다. 그렇다. 데이터가 가장 귀중하기까지는 않더라도, 어쨌든 회사의 귀중한 자산임을 인지하고는 있을 것이다. 그러나 중요 데이터가 어디에 있는지 알지 못한다면, 이를 어떻게 보호할 것인가?

데이터 블루프린트(Data Blueprint)의 설립 디렉터이자 소유자인 피터 에이켄은 “회사가 무슨 데이터를 가지고 있는지, 데이터가 어디에 있는지, 그리고 회사의 직원이 이를 가지고 무엇을 하는지 잘 모른다면, 이는 근본적으로 잘못된 것이다”고 말했다.

권고 : 조직이 성숙해지려면 기업 문화가 이를 뒷받침해야 한다. 핵심 임원들은 담당 부서의 책임성과 투명성을 지지해야 한다. 이해 관계자, 관리자, 및 직원이 변화를 수용하지 않는다면 새로운 현실에 책임을 져야 할 것이다.

IT와 비즈니스의 격리
GRC가 효과적으로 작용하려면 IT와 비즈니스는 반드시 서로 정렬되어야 한다. 유감스럽지만, 대다수 기업에서 이는 현실이 아니다. 핵심 소프트웨어나 인프라 구현이 갑작스럽게 대두되고, 즉각적인 완료가 요구된다. 또는 계획된 예산 및 자원 할당이 완전히 실패한다. 또는 비즈니스는 IT와 도대체 소통이라는 것을 하지 않는 것 같다.

기업 경영진이 새 목표를 도입하고 IT가 이를 서둘러 구현해야 한다면, 비즈니스, IT 및 컴플라이언스 부서들 간에 운영 위험을 논의할 여지가 거의 없다.

권고 : 실행 및 기술 경로들이 서로 교차할 수 있도록 소통 채널과 위원회를 확립해 안정성을 확보하라.

표준, 정책 및 절차의 결여
회사의 중요 지적 재산은 여러 직원에 의해 소비자 등급의 클라우드 스토리지에 저장되어 있을지 모른다. 이를 금지하는 회사 정책이 있지 않은가? 그런 정책이 없는 경우가 태반이라는 사실을 알면 놀랄 것이다.

또는 새로 합병한 조직이 여전히 아무런 정책이 없는 상태일 수 있다. 게다가, 기업 정책에 대해, 그리고 정책이 업무에 어떤 영향을 주는지에 관한 교육이 전무한 경우가 생각보다 흔하다. 정책이 이런 저런 파일 셰어와 셰어포인트에 산재해 있기도 한다.

그렇게 되면 이를 추적하기 어렵고, 사람들에게 책임을 지우기도 어렵다. 중앙화, 명확화, 책임성이 부재한다면 GRC에 상당한 위험이 따른다.

권고 : 정책은 간명해야 하고, 중앙화되어야 하고, 전파되어야 하고, 직원들이 쉽게 접근할 수 있어야 한다. 문서 자체가 단순하고 간명하고 이해하기 쉬어야 한다. 아울러 이에 관해 직원 대상의 교육을 실시해야 한다.

위험에 대해 공유된 정의가 없다
위험은 기업에게 어떤 의미인가? 이는 의외로 구체화하기 까다롭다. 흔히, 오로지 재무 위험이나, 기업에 적용할 수 있는지 평가된 적이 없는 일반적 위험들이 이사회에 보고된다. 그리고 조직 내에 이질적 위험 채점 방법론이 있다면 이사회에 위험을 정확히 보고하는 것이 훨씬 더 어렵다.

권고 : 모든 비즈니스 기능들이 위험의 정의에 동의하도록 한다. 아울러 이사회에 보고되는 위험을 망라하는 (IT 및 비즈니스) 하나의 위험 관리 프로그램이 있어야 한다.

기술에 의존
단순한 스프레드시트로부터 수백 만 달러의 기업시스템에 이르기까지 시중에 나와 있는 기업 GRC 툴은 수없이 많다. 그러나, 견고한 GRC체제가 갖추어져 있지 않다면 어떤 기술로도 위험을 관리할 수 없다.

권고 : 값비싼 툴에 투자하려는 충동을 억제하라. 먼저 회사의 GRC프로그램을 확립하고 정상화하라. 그 후 니즈에 적합한 툴이 무엇인지 규명하라. 니즈를 충족하기 위해 회사 환경 내에 이미 구현되어 있는 툴을 활용할 수 있는지 검토하라.

규제적 혼선
어떤 규제 프레임워크가 회사에 영향을 주는지 진정으로 알고 있는가? 예를 들어, 주 및 지역 프라이버시 법률은 데이터 침해 발생 시, 이들이 더욱 엄격한 경우, HIPAA 가이드라인에 우선하여 적용될 것이다.

도드-프랭크(Dodd-Frank)는 어떠한가? 사베인-옥슬리, PCI-DSS, HIPPA, GDPR, 여타 규제들이 회사에 적용되는가? 너무나 빈번하게, 조직은 사업을 영위하는데 따른 전반적 규제 환경을 이해하지 못한다.

권고 : 규제 프로세스는 법률 및 컴플라이언스 팀이 공동으로 소유하고, 문서화 되어야 하고, IT 및 비즈니스로의 명확한 소통 경로가 있어야 한다.

최종 책임의 부재
누군가는 최종적인 책임을 져야 한다. 그렇다면 GRC의 소유자는 누구인가? 이는 최상부로부터 시작한다. 임원진이 효과적인 GRC프로그램을 소유하고 지원해야 한다. 그로부터, GRC책임은 애플리케이션 소유, 데이터 소유 등으로 단계적으로 하향하고, 필수적 상위 보고 경로를 갖추어야 한다.

권고 : GRC이니셔티브가 성장하려면 임원들이 지지를 표현해야 한다. 이는 일회성 진술이 아니다. GRC이니셔티브는 임원실로부터 지속적으로 추진되어야 하고 이사회가 최종 책임을 져야 한다. CFO팀이 좋은 출발점이다.

과도한 복잡성
여기저기 흩어져 있는 포트폴리오 관리 툴, 규제 툴, 스프레드시트, 대시보드 등 상충하는 정보가 넘쳐난다. 수백 가지 GRC데이터 포인트를 한 시스템으로 정상화하는 데는 여러 시간이 걸릴 수 있다. 단순화가 필요하다.

권고 : 기업 GRC프로그램이 대시보드와 툴들에 압도되어 있다면 이제 단순화를 해야 할 시간이다. GRC팀과 긴밀히 협조해 최고의 툴(들)을 선택하고 과대한 시스템을 축소하라. 비즈니스 요구에 따라 기술 투자를 하고 로드맵을 작성하라.

프로그램 및 프로젝트 투자 관리의 부재
필수적 투자에 대한 이해 없이 프로젝트들이나 프로그램들이 급하게 추진될 때 단일의 GRC 프로그램을 갖기 힘들다. 어떤 이니셔티브를 승인할 것인가? 부서들에 걸쳐 회사의 성숙도를 아는가?

권고 : 이사회 참여 및 이니셔티브 관리는 GRC노력을 위한 자금을 확보하는데 필수적인 가시성에 결정적이다. 이에 의해 유효한 포트폴리오 및 투자 관리 전략을 확정할 수 있다.

성공을 측정할 지표의 결여
그렇다면 GRC프로그램이 의도대로 작용하고 있는지 어떻게 알 것인가? 이는 위험을 줄이고, 컴플라이언스 목표를 충족하고, 프로그램 이니셔티브를 달성하는가? 핵심 성과 지표(KPIs), 핵심 비즈니스 질의(KBQ), 핵심 위험 지표(KRIs)를 활용하라.

권고 : SMART기준, 즉 구체적, 측정 가능, 달성 가능, 연관성, 시간 한정(Specific, Measurable, Attainable, Relevant, and Time-bound)을 이용하며, 5개 내지 10개의 비즈니스 프로세스를 선택한다(KPIs, 또는 KBQs). 이들은 비즈니스 가치에 합치해야 하고, 핵심 의사 결정자가 지정되어야 한다. 이들 프로세스에 대해 측정 가능한 KRIs를 배정하라. 이제 프로그램 차원에서 데이터의 질을 모니터하고 추적하라.

* Mike Meikle는 정보기술, 컨설팅, 사이버보안 분야를 20년 동안 추적해온 전문가다. ciokr@idg.co.kr
 

X