GRC(거버넌스, 리스크, 규제준수)란?
GRC는 조직을 안전하고 순조롭게 운영하는 전략과 구조입니다.
거버넌스, 리스크 및 규제 준수 개요
거버넌스, 리스크, 규제준수에 관한 최초의 학술적 연구에서는 GRC를 '조직이 확실하게 목표를 달성하고 불확실성을 해결하며 정직하게 행동할 수 있도록 지원하는 기능으로 구성된 통합 컬렉션'이라고 정의했습니다. 그 후로 디지털 기술과 데이터 볼륨이 폭발적으로 증가했지만 핵심 비즈니스 목표와 가치는 그대로 유지되고 있습니다.
GRC의 의미와 정의
거버넌스, 리스크, 규제준수 또는 GRC는 단순한 용어로 조직을 안전하고 순조롭게 운영하는 전략과 구조입니다. 기업 거버넌스는 도시나 국가의 거버넌스와 마찬가지로 사람들이 준수하는 원칙과 협약을 정의하며, 전체적인 목표를 달성하는 데 필요한 관리 수단과 지원을 제공합니다. 리스크 관리는 위협을 식별하는 동시에 차단하기 위한 프로세스를 도입합니다. 마지막으로 조직은 규제준수 관리를 통해 규정을 준수하고 적절한 회계 방식을 따르며 윤리적으로 사업을 운영합니다.
GRC는 조직을 안전하고 순조롭게 운영하는 전략과 구조입니다.
거버넌스, 리스크 관리, 규제준수는 균형 있는 조직 운영을 위한 세 가지 핵심 요소입니다.
1. 기업 거버넌스
GRC의 G는 거버넌스(Governance)를 의미합니다. 거버넌스는 단순히 규칙을 제시하는 것이 아니라 조직의 사일로를 연결해 전사적 활동이 전략적 목표에 부합하도록 하는 역할을 합니다. 거버넌스는 조직 내외의 모든 이해관계자가 각자의 기여와 관심사가 어떻게 상호 부합하는지 이해하는 조직적이고 생산적인 업무 공간을 지원하며 중복, 모순된 이니셔티브, 불필요한 비용 등을 방지합니다. 또한 리소스 관리와 책임성에 초점을 두고 '안정적인 내부 운영'에 필요한 견제와 균형을 제공합니다. 거버넌스의 목표는 원칙에 입각한 운영, 기업 가치 준수, 윤리적 사업 방식의 보장에 있습니다. 또한 거버넌스는 정보, 정보 출처, 처리를 검증하고 관리해 리스크를 줄이고 규제준수를 보장하는 메커니즘입니다.
2. 리스크 관리 및 리스크 완화
GRC의 R은 리스크(Risk)입니다. 비즈니스의 어떤 측면에든 부정적인 결과를 초래할 수 있는 모든 요소가 리스크를 나타냅니다. 팬데믹과 같은 일부 리스크는 통제가 불가능합니다. 운영, 절차, 기술적 취약점 때문에 내부에서 발생하는 리스크도 있지만 다른 리스크는 사이버 보안 공격, 사기 같은 외부 위협에 기인합니다.
기술은 리스크를 조기에 감지하는 데 중요한 역할을 합니다. 그러나 기업 리스크를 관리하려면 기술 외에 다른 요소도 필요합니다. 조직의 가치, 프로세스, 헌신이 기업 리스크를 관리하는 데 중요한 역할을 합니다. 포브스(Forbes)의 최신 기사는 '사람, 데이터, 인프라를 포괄하는 선제적 통합 솔루션'을 사용하는 전사적 리스크 관리(ERM) 전략에 대한 요구가 증가하고 있다는 사실을 뒷받침합니다.
비즈니스 리스크는 다섯 가지 기본 범주로 나뉩니다. 조직의 ERM 및 GRC 전략은 이 다섯 가지 모두 또는 일부를 예측, 완화, 나아가 예방할 수 있도록 준비해야 합니다.
성과 또는 운영 리스크는 경계가 가장 넓고 잠재적 다양성도 가장 큰 리스크로서, 비즈니스 운영의 모든 측면에 관련된 구조, 시스템, 사람, 제품, 프로세스 전반에 걸친 우발적 또는 의도적 실패에서 비롯됩니다.
규제준수 리스크는 산업 또는 조직 내에서 법규, 행동 강령 또는 확립된 관행 기준을 위반했을 때 발생합니다.
IT 리스크는 IT의 장애 또는 오용으로 발생해 손실 또는 부정적 비즈니스 결과를 야기하며 우발적 IT 장애에서 의도적 사기, 해킹, 사이버 공격까지 범위가 다양합니다.
재무 리스크는 비즈니스 리스크의 범주로서 투자 또는 비즈니스 벤처에 대한 자금 손실을 의미합니다. 여기에는 신용 리스크 또는 유동성 리스크가 포함되거나 사기 또는 잘못된 관리와 같은 운영 리스크와 결합될 수 있습니다.
평판 리스크는 위의 네 가지 범주 중 하나라도 실패해 비즈니스에 대한 대중의 인식이 약화되어 발생하는 리스크입니다. 평판 리스크는 정량적인 손실은 크지 않더라도 회사나 브랜드에 가장 부정적인 영향을 미칠 수 있는 요소입니다.
GRC 소프트웨어는 위협을 감지해 조직이 선제적으로 리스크를 모니터링하고 관리할 수 있도록 지원합니다.
3. 규제준수 관리
GRC의 C는 규제준수(Compliance)를 의미합니다. 많은 경우 규제준수 실패는 막대한 재정적 손실과 심각한 평판 손상으로 이어질 수 있습니다. 2019년에는 데이터 위반 벌금만 사상 최고치를 기록했습니다. 미국 국제 무역 위원회는 2019년 유럽연합(EU) 소재 기업들이 GDPR 벌금에 연간 글로벌 매출의 최대 4%를 지출했다고 발표했습니다. 이 외에도 기타 법률 및 규제준수 과제 대응에 연간 수십억 달러를 지출하고 있는 실정입니다.
규제 준수는 유지가 복잡하고 어렵지만 규칙을 기반으로 하기 때문에 잘만 관리하면 예방 가능성이 높아지는 리스크 중 하나입니다. 지능형 기술과 최신 GRC 소프트웨어 솔루션은 강력한 최신 규제준수 전략을 유지하는 데 필요한 데이터 관리, 예측 분석, 실시간 인사이트와 관련해 중요한 역할을 담당하고 있습니다.
GRC 프레임워크란 무엇이고 왜 중요한가?
GRC 프레임워크는 전사적 시스템과 프로세스를 통합해 거버넌스, 전사적 리스크 관리, 규제준수의 모든 측면을 감독합니다. 정보 기술을 바탕으로 조직의 비즈니스 전략에 부합하도록 하는 데 필요한 체계적인 접근 방식을 제공하므로 효과적으로 리스크를 관리하고 규제준수 요구사항을 충족할 수 있습니다. GRC는 조직의 운영 대상이 아닌 조직의 운영 방식을 제어합니다. 즉 제조나 소매유통, 전문인력 서비스에 관한 문제가 아니라 윤리적이고 신중하며 책임감 있게 비즈니스를 수행하며 모든 분야에서 조직의 미션을 이행하기 위해 일하는 방식의 문제입니다.
그렇다면 건전한 GRC 프레임워크가 그 어느 때보다 중요해진 이유는 무엇일까요? 오늘날의 기업은 전례 없는 복잡성에 직면하고 있습니다. 던앤브래드스트리트(Dun and Bradstreet)는 2020년 3분기 글로벌 비즈니스 리스크 리포트에서 글로벌 비즈니스 영향 리스크에 사상 최고의 점수를 부여했습니다. 그뿐 아니라 최근 한 연구에서는 2025년경 사이버 보안 범죄 및 데이터 위반으로 인한 비용이 전 세계적으로 2015년의 세 배 이상인 미화 10조 달러 이상을 기록할 것으로 예측했습니다. 이러한 현대적 리스크에 대응하기 위해 글로벌 규제 기구 역시 늘어났습니다. 파이낸서(Financer)의 보고에 따르면 뱅킹 부문에만 현재 250개 이상의 규제 기구가 있으며 이로 인해 12분마다 뱅킹 규정이 변경되고 있습니다.
GRC의 책임 소재
GRC 계획 및 프로세스를 수립하고 유지 관리하는 책임은 일반적으로 재무 및 규제준수 최고 경영진(CFO 및 CCO)과 담당 팀에 있으며 조직 전반에서 IT, HR, 운영 팀 리더가 이를 지원합니다. 그러나 탁월한 GRC 전략의 수립과는 별도로 GRC 전략이 효과가 있으려면 전사적으로 일상 업무 활동에 잘 포함되고 통합되어야 합니다. 최고의 GRC 및 리스크 관리 전략은 직원 중심의 접근 방식을 취해 모든 직원이 비즈니스의 지속가능성을 보장하는 데 관여할 수 있도록 합니다.
GRC 및 지능형 기술 솔루션
머신러닝 고급 또는 증강 분석, 예측 분석 등을 포함하는 인공지능(AI) 기술이 리스크 관리와 규제 기술(레그테크(RegTech))을 혁신하는 데 갈수록 더 많이 사용되고 있습니다. 빠르게 변화하는 대규모 데이터 세트를 처리, 분석, 학습하는 기능을 통해 GRC 전문가는 자신의 인적 기술을 강화하고 실시간 분석 인사이트를 활용하며 다양한 시나리오에서 즉각적인 상황을 제대로 시각화할 수 있습니다.
로봇 프로세스 자동화(RPA)는 더 강력하고 효과적인 규제준수 프로그램을 구축하는 데 매우 중요한 툴입니다. RPA는 지속적인 통제 모니터링과 전체 샘플 감사를 지원합니다. 따라서 리스크와 이상 상황을 더 쉽게 감지할 수 있습니다. 또한 RPA 툴은 ERM 및 규제준수와 관련된 반복적이고 종종 방대하기까지 한 관리 작업을 자동화, 합리화하는 데 도움이 됩니다. 블록체인은 트랜잭션 기록의 보안과 불변성으로 GRC 시스템의 역량을 강화합니다. '단일 정보원'의 역할을 하는 블록체인은 또한 전 세계 어디에서든지 자재 및 상품의 정확한 출처와 결제 기록을 보장해 보다 실무적인 비즈니스 분야에서 리스크를 최소화합니다. 리스크와 규제준수 과제가 더욱 복잡해지면서 지능형 기술이 확신과 신뢰를 바탕으로 미래에 발생할 모든 상황을 관리할 역량을 제공합니다.
요약
오늘날의 리스크 환경은 지속적으로 변화하고 진화하고 있습니다. 코로나19 팬데믹으로 국가와 기업, 개인은 자연의 힘 앞에서는 모두 동등하다는 점을 뼈저리게 깨달았습니다. 아울러 클라우드 솔루션과 지능형 기술이 지속적으로 발전하면서 사이버 범죄, 데이터 침해, 사기 등의 위협이 갈수록 복잡해지고 있습니다.
이렇게 리스크와 불확실성이 가중되는 현재 환경에서 기업은 리스크를 예측하고 관리하기 위해 가능한 모든 툴을 활용하고 간소화해야 합니다. 비즈니스 목표를 달성하고 강력한 규제준수 및 거버넌스 표준을 유지하는 일은 모든 조직에 있어서 점점 더 어려운 과제로 자리합니다. 최고의 기업은 직원 중심의 접근법과 팀 교육 및 지원을 위한 지속적인 헌신을 하향식으로 이행해 이러한 요구사항을 충족함으로써 새로운 기술을 활용하고 대응형 GRC 전략을 혁신합니다.