거버넌스·리스크·규정 준수 관리 쉽도록··· 효과적인 GRC 전략 구축팁

거버넌스, 위험, 컴플라이언스(Governance, Risk, and Compliance, GRC)는 조직이 IT 활동을 비즈니스 목표에 맞추고, 위험을 효과적으로 관리하며, 정부 및 업계 규정을 준수하는 데 도움이 되는 운영 전략이다.
 

거버넌스, 위험, 컴플라이언스(Governance, Risk, and Compliance, GRC)는 조직이 IT 활동을 비즈니스 목표에 맞추고, 위험을 효과적으로 관리하며, 정부 및 업계 규정을 준수하는 데 도움이 되는 운영 전략이다.

비즈니스가 존재하는 한 위험을 관리하고, 규정을 준수하고, 이러한 업무를 관리하는 프로세스를 구축해야 하는 일은 늘 필요하다. 그러나 최근 수십 년 동안 법률, 비즈니스의 복잡성, 위험의 유형, 기술의 사용이 폭발적으로 증가함에 따라 GRC 작업은 기업 성공을 이끄는 중요 요소가 되고 있다.

거기다 오늘날에는 작은 규모의 사업체도 전 세계에 진출할 수 있기 때문에 적절히 관리하지 않으면 국제법과 수많은 위협에 맞서야 한다. 법률적 문제로 업무가 마비되거나 사업 자체를 없애야 할 수도 있다.

이런 상황 때문에 조직의 사명을 안내하고 보호하는 관리 메커니즘과 함께 위험을 관리하고 규칙 및 규정을 준수하는 것이 사일로화된 업무에서 GRC라는 집단적 규율로 진화했다.

GRC란 무엇인가?
거버넌스, 리스크 및 규정 준수(GRC)는 조직의 전반적인 거버넌스, 기업 리스크 관리 및 규정 준수 노력을 관리하기 위한 운영 전략이다. 이러한 체계적인 접근 방식을 통해 조직은 거버넌스, 리스크 및 규정 준수 노력을 전략적 목표, 비즈니스 목표 및 운영을 가능하게 하는 기술에 맞출 수 있다.

아메리칸 시큐리티 앤 프라이버시(American Security and Privacy)의 거버넌스, 위험, 규정 준수, 개인정보 보호 담당 이사이자 거버넌스 협회 ISACA의 최신 트렌드 워킹 그룹 멤버인 리사 맥키(Lisa McKee)는 “GRC는 대단히 중요하다. GRC는 기업의 방향과 철학을 설정할 수 있으며, 정책, 절차, 기대치를 정의한다”라고 설명했다.

맥키는 GRC를 차선, 경계, 제한선을 설정하는 도로 및 운전법과 고속도로에 비유했다. 다시 말해 조직을 운전자로 가정할 때 정해진 규정과 도로 표지판 덕분에 운전자는 사고 가능성을 최소화하면서 원하는 목적지에 최대한 빨리 도달할 수 있는 것이다.

GRC가 중요한 이유는?
잘 설계된 GRC 전략은 의사 결정 개선, 최적의 IT 투자, 사일로 제거, 부서 및 부서 간 파편화 감소 등의 이점을 가져다준다. GRC의 중요성이 커지면서 GRC 자체가 경영진 차원에서 논의될 때가 많아지고 있다. 최고 경영진에게 GRC에 대한 책임과 권한이 부여되는 것이다. 이러한 업무를 지원하기 위해 모범 사례, 프레임워크 및 기술도 개발되고 있다.

교육 및 인증 기관인 ISC2의 CGRC 시험 콘텐츠 개발자인 크리스 스탠리(Chris Stanley)는 “GRC는 여러 가지 이유로 현대 비즈니스 환경에서 중요하다. 데이터 프라이버시 및 보호법, 글로벌화, 상호 연결성이 증가함에 따라 규제 환경이 더욱 복잡해졌기 때문이다”라며 “이러한 수준의 복잡성을 고려했을 때 조직은 강력한 GRC 프레임워크를 만들어 기업 평판 하락되는 상황이나 법적 처벌을 피할 수 있다”라고 설명했다.

또한 스탠리는 “AI, IoT, 클라우드 컴퓨팅과 같은 기술 발전으로 인해 규정 준수 문제와 새로운 사이버 보안 위협이 발생하고 있다”고 지적했다. 그는 “이해관계자들은 개인 정보 및 데이터 보호를 위해 조직을 신뢰하고 있으며, 이러한 이해관계자들은 조직 내 개인을 포함한 조직에 점점 더 많은 책임을 묻고 있다. 강력한 GRC 프레임워크는 기업의 책임을 뒷받침하고 결과적으로 투자자의 신뢰와 재무 안정성을 높인다”라고 덧붙였다.

그럼에도 불구하고 많은 조직이 GRC 역량을 제대로 갖추지 못하고 있다. GRC 소프트웨어 제조업체인 네벡스(NAVEX)가 펴낸 위험 및 규정 준수 현황 보고서(State of Risk & Compliance Report)에 따르면 2023년 조직의 리스크 및 규정 준수 프로그램에 영향을 미치거나 관리하는 담당자 1,300여 명에게 설문조사를 한 결과, 응답자 53%만이 자신의 프로그램이 성숙했다고 평가했다. 또한 응답자 20%는 자신의 프로그램이 초기 단계라고 답했다.

GRC의 의미 분석
GRC의 각 요소에는 다음과 같이 고유한 목표와 프로세스가 있다.

-거버넌스(Governance): GRC의 거버넌스 영역은 IT 운영 관리와 같은 조직 활동이 조직의 비즈니스 목표를 지원한다. 동시에 조직의 확립된 위험 매개변수 및 규정 준수 요구 사항을 준수하는 방식으로 조정되도록 하는 것을 목표로 한다.

FTI 컨설팅의 수석 전무이사 틸시아 톨레도(Tilcia Toledo)는 “거버넌스는 누가, 무엇을, 어떻게, 어떤 데이터를 기반으로 하는가 하는 문제다”라며 “거버넌스는 누가 회의실에 있는지, 무엇을 할 수 있는지, 무엇을 할 수 없는지, 어떤 데이터에 의존하는지, 행동의 주기는 어떻게 되는지에 관한 것이다”라고 표현했다.

톨레도는 거버넌스가 조직 내 여러 계층에 적용되어 이사회, 경영진, 직원이 규칙을 이해하고, 규칙을 따르고, 규칙을 어길 경우 처벌을 받도록 보장해야 한다고 말했다.

-위험(Risk): GRC의 위험 관리 영역에선 조직 활동과 관련된 모든 위험을 식별하고 조직의 비즈니스 목표를 지원하는 방식으로 해결하도록 보장해야 한다. IT 맥락에서 이는 조직의 전사적 위험 관리 기능에 통합되는 포괄적인 IT 위험 관리 프로세스를 갖추는 것을 의미한다.

위험은 조직의 위험 선호도에 따라 감내할 수 있는 위험과 그렇지 않은 위험을 설정한 다음 잔여 위험, 즉 허용할 수 없는 위험에 대한 통제가 실행된 후에도 남아있는 위험을 관리하는 것이다.

톨레도는 “리스크는 조직이 원하는 영역과 원하지 않는 영역에 관한 것다. 현재로서는 넘고 싶지 않은 경계에 관한 것이다”라고 “기업 리스크는 끊임없이 진화하고 있다”라고 설명했다.

-규정 준수(Compliance): GRC의 규정 준수 기능은 조직의 활동이 해당 활동과 관련된 법률 및 규정을 준수하는 방식으로 이루어지도록 하는 것이다. 예를 들어, 이는 IT 시스템과 그 시스템에 포함된 데이터가 올바르게 사용되고 보안이 유지되는지 확인하는 것을 의미한다.

톨레도는 “규정 준수에는 조직이 전략을 실행할 때 따라야 하는 법과 규정이 포함된다”라며 “다시 말해, 비즈니스가 운영되는 법률과 규제 환경이 무엇인가를 따지는 것이다”라고 표현했다.

톨레도는 거버넌스, 리스크, 규정 준수는 각각 특정 요구사항에 초점을 맞추지만, 서로 겹치기도 하고 함께 작동하기도 한다고 설명했다. 예를 들어, 리스크 기능은 거버넌스 관행에 의존하여 통제를 구현하고 조직의 위험 경계를 벗어나는 행동이 있을 경우 감독하는 대상에게 경고함으로써 위험을 줄여준다.

디지털 시대의 GRC의 전략적 특성
거버넌스, 리스크 및 규정 준수는 과거부터 계속 중요하게 여겨졌지만 최근 들어 특히 GRC가 조직의 최우선 순위가 여겨질 때가 많다. 많은 기업이 글로벌 서비스를 내놓고 디지털 시대를 맞이하며 비즈니스의 복잡성이 증가함에 따라 GRC를 효과적으로 다뤄야 할 필요성이 더 커지고 있는 것이다.

사이버 공격 및 데이터 유출과 같은 최신 위협 때문에 더 많은 조직이 GRC 전략을 재정비하고 있다. 거기다 데이터 보호 및 보안에 관한 법률과 규정의 양이 증가함에 따라 조직은 성숙한 GRC 기능을 갖춰야 한다는 압박을 받고 있다. 거버넌스, 리스크, 규정 준수 영역 중 하나라도 미흡한 상태에서 사이버 공격을 받거나 데이터를 제대로 보호하지 못할 경우 치명적이지는 않더라도 심각한 결과를 초래할 수 있기 때문이다.

톨레도는 “GRC가 제대로 작동하면 조직을 보호할 수 있기 때문에 GRC를 전략적으로 중요하다”라며 “조직을 보존하고 외부의 강력한 평판을 만들고 유지하는 데에도 도움이 된다”라고 밝혔다.

기업에서 GRC가 작동하는 방식
여느 운영에서 그렇듯 GRC는 사람, 프로세스, 기술이라는 세 가지 영역을 고려해야 한다. ISACA 런던 지부 부회장이자 ISACA 이머징 트렌드 워킹 그룹 위원인 아밋 주그노트(Ameet Jugnauth)에 따르면 효과적인 GRC 프로그램을 구현하려면 먼저 기업 리더가 비즈니스와 사명, 목표를 이해해야 한다.

그런 다음 경영진은 조직이 충족해야 하는 법적 및 규제 요건을 파악하고 조직이 운영되는 환경에 따라 조직의 위험 프로필을 수립해야 한다는 것이다.

주그노트는 “비즈니스, 비즈니스 환경(내부 및 외부), 위험 감수성, 정부가 달성하고자 하는 목표를 이해해야 한다. 이 모든 것이 GRC의 핵심을 결정짓는다”라고 설명했다.

이러한 활동을 주도하는 역할은 조직마다 다르다. 맥키에 따르면 중견 및 대기업에서는 일반적으로 최고 거버넌스 책임자, 최고 위험 책임자, 최고 규정 준수 책임자 등 최고 경영진이 이러한 업무를 감독한다. 이러한 임원들은 전담팀과 함께 리스크 또는 규정 준수 부서를 이끈다.

소규모 기업에서는 일반적으로 이사나 관리자(규정 준수 관리자 또는 이사 또는 리스크 관리)에게 GRC 책임을 맡기거나 다른 임원에게 GRC 관리를 맡길 수 있다.

GRC의 역할과 책임
스탠리에 따르면, GRC는 경영진의 최상위 계층에서 내려오는 경우가 많으며, 역할과 책임은 다음과 같이 세분화된다.

- 이사회: 정책 및 전략적 결정에 대한 감독과 승인을 제공
- CEO: 리더십을 제공하고 GRC 활동에 적절한 리소스를 확보
- 최고 위험 책임자(Chief risk officer): 이사회 및 경영진에 대한 위험 평가 및 보고와 같은 위험 관리 노력을 위한 리더십을 확보
- 최고 규정 준수 책임자(Chief compliance officer:): 규정 준수에 관한 감독과 교육 및 커뮤니케이션을 제공
- CIO/CTO: 기술 및 디지털 자산에 대한 위험 관리와 모든 IT에 대한 규정 준수 및 보안을 지원
- 최고재무책임자(CFO): 재무 규정 준수 및 보고, 조직 재무의 위험 관리 영역을 담당
- 법무: 모든 법적 요건을 준수하는 동시에 법적 리스크를 관리
- HR: 승인된 사용 정책 및 직원 행동 정책과 같은 HR 관련 GRC 정책을 구현
- IT: 정책 및 제어를 통해 데이터 보호 및 보안 제공
- 부서장: 각 부서 내에서 GRC 프로세스 및 통제를 구현하고 부서별 리스크를 식별 및 관리
- 내부 감사: 독립적인 평가와 개선을 위한 권고 사항 제공
- 직원: 정책을 준수하고 관찰한 모든 위험 또는 규정 준수 문제를 보고

스탠리는 또한 다양한 부서의 전문성을 결합하여 특정 GRC 이니셔티브를 위해 구성된 교차 기능 GRC 팀도 있다고 덧붙였다.

그럼에도 불구하고 GRC의 책임과 의무는 공유되며, 종종 조직의 최고위층까지 올라가며 궁극적으로 CEO가 책임과 의무를 진다고 전문가들은 말한다.

GRC 인증
GRC 전문가는 다양한 학문적, 직업적 배경을 가지고 있지만, 대부분은 다음과 같이 위험, 규정 준수 및/또는 거버넌스에 중점을 둔 자격증을 취득했다.

- ISACA 공인 정보 보안 관리자(Certified Information Security Manager, CISM)
- ISACA 공인 위험 및 정보 시스템 제어 자격증(Certified in Risk and Information Systems Control, CRISC)
- ISACA 공인 정보 시스템 감사자(Certified Information Systems Auditor, CISA)
- ISC2 거버넌스, 리스크 및 컴플라이언스 인증(Certified in Governance, Risk and Compliance, CGRC)
- OCEG GRC 전문가(GRC Professional, GRCP)
- OCEG GRC 감사관(GRC Auditor, GRCA)

이 외에도 컴플라이언스에 중점을 둔 미국 내부감사협회 공인 내부감사사(Certified Internal Auditor, CIA) 인증과 리스크에 중점을 둔 리스크 관리 보증 인증(Certification in Risk Management Assurance, CRMA)이 있다.

GRC 프레임워크
GRC 리더는 일반적으로 프레임워크를 사용하여 GRC 업무를 조직하고 실행한다. 모든 프레임워크와 마찬가지로 GRC 프레임워크는 조직의 GRC 노력의 효과를 조명하는 명확하게 정의된 측정 항목을 명시한다. 또한 조직이 각자의 환경에 맞게 조정할 수 있고 조정해야 하는 구성 요소를 제공한다. 프레임워크에는 다음이 포함된다.

- ISACA의 IT 거버넌스를 위한 COBIT
- ISACA의 IT 리스크 프레임워크
- 내부 통제를 위한 COSO
- 다양한 NIST 프레임워크 및 표준

GRC 소프트웨어
GRC 소프트웨어는 조직이 정책과 제어를 생성 및 조정하고, 이를 규제 및 내부 규정 준수 요구사항에 연결해준다. 일반적으로 구독 기반 SaaS로 제공되는 이러한 소프트웨어 옵션은 많은 프로세스를 자동화하여 효율성을 높이고 복잡성을 줄여준다.

GRC 문화
프레임워크는 조직이 견고한 GRC 프로그램을 수립하는 데 도움이 되고 GRC 소프트웨어는 이를 지원하는 데 도움이 된다. 하지만, 이러한 프레임워크에 포함된 의사 결정, 리소스 및 포트폴리오 관리, 리스크 관리, 규정 준수 기능은 조직의 경영진이 문화적 변화를 지지하지 않으면 효과를 제대로 낼 수 없다.
ciokr@idg.co.kr