1차 LoD(방어선)는 일상적인 위험 관리 활동을 담당하는 일선 관리자로 구성된 운영 관리입니다. 해당 관리자는 직원이 비즈니스 시스템 및 애플리케이션 내에서 작업할 때 적절한 위험 관리 절차를 준수하는지 감독합니다. 또한 이들에게는 프로세스 및 통제 결함이 발생할 경우 시정 조치를 이행할 책임이 있습니다.

기본적으로 비즈니스 운영 관리 부서에서는 적절한 내부 통제를 유지하고, 위험 대응 절차를 실행하고, 위험을 식별 및 평가하고, 내부 정책을 안내 및 구현하고, 모든 활동이 수립된 목표를 뒷받침하도록 지원해야 합니다. 이 1차 방어선의 전반적인 목적은 지속적인 규정 준수, 그리고 통제 실패, 부적절한 프로세스 또는 시급한 상황을 신속하게 식별할 수 있는 능력입니다.

일상 활동이 운영 위험에 중요한 역할을 하므로 이 1차 방어선은 절대적으로 중요하며, 안정적인 관리 통제 및 내부 통제 조치와 같은 내부 메커니즘에 의해 뒷받침되어야 합니다. 이러한 조치는 운영 관리 부서의 강력한 감독하에 개발 및 구현되고 그 기능 및 효과가 정기적으로 테스트되어야 합니다.

3LoD 모델의 3차 LoD(방어선)는 내부 감사자입니다. 감사자는 모든 위험 관리 프로세스, 절차, 프레임워크를 검토하여 거버넌스 및 내부 통제의 효과를 포괄적으로 보장할 책임이 있습니다. 이 방어선은 이전 두 방어선을 지원하되 완전히 독립적으로 운영될 수 있어야 하며, 객관적인 입장을 취하고 고위 경영진 및 고위 관리 기관, 이사회 또는 감사 위원회에 직접 보고할 수 있어야 합니다.

최종 방어선인 내부 감사는 운영 효율성 및 효과, 보고 신뢰성, 규정 준수 등과 관련된 다양한 목표를 지원할 수 있어야 합니다.

3차 방어선은 주로 내부 감사와 관련되어 있지만, 이 방어선을 더욱 보완하고 또 다른 보증 계층을 추가하기 위해 외부 감사도 도입될 수 있습니다. 실제로 SOC1 또는 SOC2 인증 획득, PCI 보고서 작성 또는 SOX-404 통제 효과 문서화와 같은 경우에는 외부 감사자가 필수 요구 사항이 될 수 있습니다.

세 가지 방어선은 조직의 운영 복원성을 지원하고 개선하기 위해 설계되었습니다.

운영 복원성이란 불리한 운영 상황에 대한 예측, 방지, 복구, 적응을 통해 해당 상황에서 조직이 지속적으로 고객을 지원하고 제품 및 서비스를 제공하며 직원을 보호하는 능력입니다. 부정적인 상황을 예측, 예방하고 복구, 적응함으로써 이를 달성할 수 있습니다. 발생할 수 있는 상황으로는 팬데믹, 데이터 침해, 화재, 혹독한 날씨, 네트워크 중단이 포함될 수 있습니다.

운영 복원성의 원칙은 다음과 같습니다.

거버넌스

거버넌스는 조직이 운영을 위해 사용하는 시스템과 메커니즘을 설명하고 조직과 직원이 책임을 지는 방법을 설명합니다. 위험 관리와 규정 준수 모두 거버넌스에 속합니다. 효과적인 거버넌스 구조를 통해 조직은 안정적인 운영 복원성 계획과 접근 방식을 수립할 수 있으며, 이를 통해 운영 중단 상황에 보다 효과적으로 대응하고 문제로부터 복구할 수 있습니다.

운영 위험 관리

운영 위험 관리(ORM)은 위험 심사, 위험 관련 의사 결정, 위험 통제의 구현을 포함하는 연속적인 주기로, 위험에 대한 수용, 완화 또는 회피로 이어집니다.

연속성 계획

비즈니스 연속성 계획은 다양한 위기 시나리오에 대한 연속성 계획의 작성, 구현, 교육, 준수입니다. 연속성 계획의 목적은 잠재적으로 운영 중단이 발생할 수 있는 상황에 직면했을 때 중요한 작업을 지속적으로 제공하기 위한 안정적인 전략을 수립하는 것입니다.

상호의존성 매핑

상호의존성 매핑은 내부 및 외부 연결과 상호의존성을 식별하고 도표화하여 중요한 작업에 필요한 상호의존성과 중단 발생 시 지속적 서비스 제공에 필요한 상호의존성을 매핑합니다.

외부 공급업체 위험 관리

외부 공급업체 위험 관리는 중요한 작업에 필수적인 외부 공급업체를 식별하여 외부 공급업체와의 관계를 관리하기 위한 도구와 관행을 설명합니다.

인시던트 관리

인시던트 관리는 특정 인시던트 시나리오에 대한 대응 및 복구 계획 작성과 관련된 프로세스를 말합니다. 이러한 계획은 데이터 분석과 이전 인시던트에서 얻은 통찰력을 사용하여 지속적으로 개선되고 업데이트되어야 합니다.

정보, 통신 및 사이버 보안 기술

정보, 통신 및 사이버 보안 기술은 중요한 작업을 지속적으로 제공할 수 있도록 정기적으로 테스트를 거쳐 개선되어야 합니다.

세 가지 방어선 모델은 검증된 위험 관리 접근 방식입니다. 그러나 변화하는 상황을 더 잘 설명하려면 연속성 및 복원성 계획이 정기적으로 업데이트되어야 하듯이, 3LoD는 처음 도입된 이후 여러 번 개정되었습니다.

최근 BCBS(Basel Committee on Banking Supervision)는 효과적인 운영 위험 관리 원칙에 대한 개정판을 발표했습니다. 이 3LoD 모델 개정판은 은행 및 관련 조직에 맞게 특별히 고안된 것이지만, 비은행 기업에서도 쉽게 적용하여 위험 관리 프로필을 개선하는 데 활용할 수 있습니다.

Basel 3LoD의 업데이트 내용은 다음과 같습니다.

• 운영 위험 관리 활동의 실행에 있어 고위 경영진의 역할을 더욱 강조합니다.
• 세 가지 방어선 모델 내의 다른 역할에 대해 더욱 명확한 설명을 제공합니다.
• 시급한 위험의 근원에 대해 더욱 명료하게 설명합니다.
• 운영 복원성에 특별히 집중합니다.

위험이 다양해지면서 세 가지 방어선 모델도 계속 적응해야 합니다. 이러한 사실은 3차 방어선인 내부 감사와 가장 직접적으로 관련될 수 있습니다. 내부 감사자와 관련 프로세스에는 3LoD 모델의 나머지 부분에 긍정적인 변화를 촉진하면서 더욱 민첩하고 멀리 내다보는 사고방식이 필요합니다. 앞으로 감사자는 모든 수준의 이해 관계자를 교육할 뿐만 아니라 조언과 예측에 있어 훨씬 더 적극적인 역할을 수행하게 될 것으로 예상됩니다.

내부 감사를 넘어 다른 발전도 이루어져 3LoD 모델을 형성할 것입니다. 자동화, 머신 러닝, AI 구현을 비롯한 새로운 혁신을 통해 위험을 더 쉽게 식별하고 해결할 수 있을 것입니다. 마찬가지로 조직은 팀과 부서 전반에 걸쳐 조율 방식, 소통 방식, 방법론을 개선하기 위해 노력하면서 세 가지 방어선의 인적 요소에 대해 더욱 중점을 둘 것입니다.

운영 위험 관리는 현대 비즈니스에서 중요한 요소입니다. 3LoD 모델은 발생할 수 있는 다양한 위협에 대한 보안을 강화하는 중복 보호 계층을 제공하기 위해 존재합니다. 그러나 3LoD만으로는 조직이 진화하는 위험으로부터 완벽하게 보호하기에 충분하지 않을 수 있으며, IT 관리 분야의 리더인 ServiceNow에서 바로 이에 대한 솔루션을 제공합니다.

ServiceNow의 Operational Risk Management를 통해 조직은 지속적인 모니터링을 적용하고, 관련 데이터 통찰력을 전사적으로 통합하고, 시급한 위험에 대한 우선순위를 정하고, 가능한 한 신속히 대응할 수 있습니다. Operational Risk Management GRC 애플리케이션에는 위험 자체 심사, 통제 보증, 테스트, 인시던트 및 손실 포착, 자동 모니터링을 위한 도구가 포함되어 있습니다. 고급 분석 및 보고 기능, 통합된 예측 인텔리전스 기능으로 강화된 문제 관리 기능이 탑재된 Operational Risk Management는 오늘날의 조직이 생존과 성공을 위해 활용할 수 있는 고급 방어 기능을 제공합니다.

운영 손실을 줄이고, 복원성과 안정성을 높이고, 비용을 절감하고, 생산성을 향상할 수 있을 뿐만 아니라 모든 위험 및 통제 허용치를 실시간으로 완벽하게 파악할 수 있는 ServiceNow의 Operational Risk Management를 사용해 보시기 바랍니다.