Offcanvas

애플리케이션

IT GRC 툴, IT만이 아닌 기업 내외부 환경을 통제하라

2011.03.09 Neil Roiter  |  CSO

IT GRC 선택 기준
앞서 언급했지만, 이들 툴은 복잡하고 다양하다. 따라서 하나의 특정 툴이 모든 요건을 충족해주지 않는다. 특정 툴은 정택 관리에, 또 다른 툴은 다른 툴 및 시스템과의 통합 지원에 강점을 갖고 있다. 통제방안과 대응 준비, 위협 정보 등과 관련해 풍부한 콘텐츠를 보유한 툴이 있는가 하면, 탄력성과 확장성 측면에서 주목할만한 툴도 있다.

가트너의 프록터는 이와 관련, "가장 먼저 던져야 할 질문은 ‘어떤 감사 임원, 내부 감사 관리자가 이들 툴을 사용하게 되는가’ “라며 “너무나도 많은 기업들이 이런 점을 고려하지 않고 있다는 점이 놀라울 따름”이라고 말한다.

기업의 IT GRC 요건과 이를 충족하기 위해 고려할 사항을 결정하는데 있어 도움이 되는 몇 가지 기준들이 있다.

정책, 조사, 감사, 대응, 위험을 관리하는 프로그램들을 평가한다. 그리고 이들 중 가장 우선 순위가 높은 프로그램을 결정하고, 각 툴의 역량에 이를 매칭한다. 라스무센은 "구매하는 소프트웨어를 통해 효율성을 개선하는 방안을 확인하기 위해 기업이 져야 하는 책임과 복잡성을 이해해야 한다”며 “구체적으로 평가할 분야가 무엇인지, 위험과 대응할 영역이 무엇인지 등 현재 무엇을 하고자 하는지 파악해야 한다”고 지적했다.

데이터 저장소가 현재 또는 미래의 요건을 충족할 수 있을 만큼 확장이 가능한지 확인해야 한다.

현재 어떤 종류의 콘텐츠를 보유하고 있는지, 벤더가 공급할 콘텐츠가 무엇인지를 판단한다.

인터페이스 이용이 복잡하지 않고 명료한가? 사용자가 이를 탐색해, 업무를 쉽게 달성할 수 있는가?

어느 정도의 통합이 필요한지 파악해야 한다. 내부 개발자, 아니면 외부 개발자를 이용해야만 하는가?

스스로 처리할 수 있는 부분과, 전문가의 도움을 받아야 하는 부분을 결정한다.

자동화 역량을 평가한다. 해당 툴이 복잡한 프로세스를 쉽게 자동화 할 수 있는가? 이러한 자동화가 기업이 가장 필요로 하는 부분에 가치를 전달할 수 있는가?

툴이 위험을 모델화하는 방식을 조사해야 한다. 일부 툴은 상, 중, 하로만 대시보드에 위험을 보여줄 수 있다. 반면 어떤 툴은 한층 정교한 매트릭스와 위험 분석을 적용하고, 보다 상세한 다이어그램과 모델을 제공할 수 있다.

연계해야 할 외부 데이터 출처를 파악한다. 현재의 리스크를 측정하고 새로운 규제에 대응하기 위해 지속적으로 정보를 업데이트해서 제공하고 있는가?

비즈니스 프로세스를 시각적으로 배열하고, 위험과 관리 포인트를 파악하고, 위험이 존재하는 영역을 보여주는 비즈니스-프로세스-모델링 기능을 살펴봐야 한다.

설문조사 역량을 고려해야 한다. 기업 요건을 충족할 만큼 기술이 향상됐나?

마지막으로 IT GRC 툴이 관리와 운영, 감사와 관련, 리포팅 요건을 충족하는지도 평가해야 한다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.