GRC란?

Governance: 조직 활동과 그 활동이 비즈니스 목표와 일치하는지 여부를 평가하는 프레임워크입니다. 회사 활동을 관리하고 모니터링하기 위한 프로세스, 구조, 정책도 활동에 포함됩니다.

Risk: 위험을 처리하고, 제어를 통해 위험을 완화하며, 위험이 정책에 따라 관리된다는 확신을 제공하는 지속적인 프로세스입니다. 여기에는 위험 측정, 평가, 보존, 모니터링, 발견이 포함됩니다.

Compliance: 조직 내 활동이 법률 및 규정에 부합하는 방식으로 운영되도록 보장합니다.

• 전략: 비즈니스 전략에 영향을 미치는, 위험에 대한 효과적인 책임 의식과 거버넌스.
• 운영: 회사와 그 프로세스 운영을 중단, 변경하거나 영향을 줄 수 있는 모든 것.
• 기술: 애플리케이션, 데이터베이스, 인프라, 기타 연결된 장치의 오류뿐만 아니라 사이버 위험을 포함합니다.
• 데이터: 정보가 도난되거나 손상되기 쉬운 경우. 보호에는 데이터 기밀 유지, 무결성 보장, 가용성 유지가 포함됩니다.
• 사이버: 기술 위험과 유사합니다. 정보 기술 오류로 인한 재무적 손실, 비즈니스 중단 또는 조직의 평판에 대한 일반적인 피해.
• 개인 정보: 개인 데이터의 손실, 무단 공개 또는 도난 가능성.
• 평판: 불만 있는 고객, 데이터 유출, 제품 오류 또는 부정적인 리뷰로 인해 조직이 부정적으로 비쳐질 가능성.
• 제3자: 벤더, 공급업체, 비즈니스 파트너 및 모든 계열사가 위험 대책을 마련하여 조직에 영향을 미치지 않도록 보장합니다.
• 준수/규제: 미준수가 규제 의무에 영향을 미칠 수 있는 정도.

• 이해 관계자들은 높은 수준의 투명성, 책임, 성과를 요구합니다.
• 규정은 예측할 수 없는 방식으로 끊임없이 변화하고 있습니다.
• 제3자 관계와 위험이 기하급수적으로 증가하면서, 경영진의 부담이 커지고 있습니다.
• 위험을 발견하지 못할 경우, 치명적인 영향이 있습니다.
• GRC를 통한 효율성 향상은 비즈니스 성장에 필수적입니다.

효과적인 GRC는 다음을 갖춰야 합니다.

• CISO, CRO, CIO, CFO, CEO, 법무 팀 등의 업계 리더가 주도합니다.
• 위험 중심의 문화를 가지고 있습니다.
• 클라우드 기반의 최신 통합 플랫폼을 기반으로 구축됩니다.
• 에코시스템의 다른 기술과 쉽게 통합하여 데이터를 수집합니다.
  
• 데이터 공유가 가능하여 공통 데이터를 교차 활용할 수 있습니다.
• 조직과 외부 에코시스템 전체의 비즈니스 위험을 목표로 삼고 해결합니다.
• 비즈니스 지향적인 프로세스 기반 워크플로우를 만들어 위험을 분석하고 처리합니다.
• 위험 인텔리전스 및 워크플로우를 일일/운영 도구에 통합합니다.
• 모든 사람에게 위험 및 규정 준수에 대해 알립니다.
• 자동화된 위험 지표를 사용하여 위험 및 제어를 지속적으로 모니터링할 수 있습니다.
• 비즈니스 중심 대시보드를 통해 비즈니스 용어로 위험을 설명합니다.
• 기업의 모든 부서와 기능 그룹, 벤더와 함께 이 모든 작업을 지속적으로 수행하여 전반적인 위험 상황을 실시간으로 파악합니다.

• 비용이 증가할 수 있습니다.
• 발생 가능한 위험에 대한 가시성이 부족합니다.
• 이사회 수준의 보고서 작성에 상당한 시간이 낭비될 경우 데이터가 오래되어 경영진과 이사회가 적절히 지시하고 검토할 수 없습니다.
• 외부 공급업체의 위험이 제대로 해결되지 않습니다.
• 위험 요소를 조정하여 성과를 측정하기 어렵습니다.
• 다음과 같은 결과를 초래하는 부정적인 인식이 너무 많습니다.
  
  1. 감사 결과
  2. 규정 미준수로 인한 불이익
  3. 침해 복구 비용
  4. 고객 이탈
  5. 평판 훼손
• 언어를 공유하지 않으면 사람들이 덜 중요한 문제에 시간을 낭비합니다.
• 많은 시간이 소요되는 프로세스로 인해 생산성이 떨어집니다.
• 번거롭고 익숙하지 않은 사용자 경험은 업무를 방해하는 요소로, 일선 직원의 집중력을 훼손합니다.
• 부서 간에 효과적으로 협업할 수 없습니다.

효과적인 GRC는 적절한 인력이 필요할 때 필요한 정보를 얻고, 목표를 수립하며, 불확실한 상황을 처리하고 행동하기 위해 적절한 제어가 이루어지도록 보장하는 접근 방식입니다. GRC 프로세스를 올바르게 이행하면 다음과 같은 이점이 있습니다.

• 감사 결과, 규정 위반 및 침해로 인한 불이익 가능성을 줄이고 자동화를 실시하여 비용을 절감합니다.
• 벤더가 제기하는 위험을 줄입니다.
• 비즈니스 모델의 변화, 디지털 혁신과 관련된 위험 또는 새로운 규정에 적응하는 능력이 개선됩니다.
• 운영에 대한 영향 감소 - 효율성이 향상되어 조직은 더 적은 자원으로 더 많은 일을 할 수 있습니다.
• 비즈니스를 확장하고 키우는 능력이 개선됩니다.
• 직원과 벤더로부터 품질 정보를 빠르고 효율적으로 수집할 수 있는 능력이 향상됩니다.
  
• 리포지토리 단일화를 통해 전사적으로 위험 정보에 대한 접근성이 높아집니다.
  
• 일관된 방식으로 프로세스를 반복하는 능력이 향상됩니다.
• 반복적이고 중복되는 작업을 없애 생산성이 개선됩니다.
• 조직 전체의 이해 관계자, 임원, 이사회와 효과적으로 의사 소통합니다.
• 실시간 위험 데이터와 비즈니스에 미치는 영향을 계산하는 기능을 기반으로 전략적 의사 결정을 내립니다.
• 경쟁 우위 - 위험을 해결할 계획이 마련되어 있어 위반 가능성이 낮고 개인 데이터가 더 잘 보호될 수 있다는 사실에 고객이 안심합니다.

모든 조직의 효과적인 Governance, Risk, and Compliance를 보장할 수 있는 단 하나의 GRC 솔루션은 없지만 대부분의 GRC 솔루션은 공통적인 구성요소를 공유합니다. 다음은 대부분의 GRC 플랫폼에서 볼 수 있는 몇 가지 기본 기능과 구성요소입니다.

• 통제
  
• 워크플로우
• 중앙 데이터 리포지토리
• 비즈니스 영향을 도출할 CMDB
• 위험 지표
• 정책 수명주기
• 권한 문서 라이브러리
• 모바일
• 챗봇
• 외부 공급업체들과의 OOTB 통합

• 정책 관리
• 규정 준수
• 디지털 및 기술 위험 관리
• 외부 공급업체 위험 관리
• 감사 관리
• 복원성 및 연속성 관리
• 개인정보 관리