2022.12.27 14:28 (수정 : 2022.12.27 14:51)
|
|
[2022-12] 디지털서비스 이슈리포트 01 GRC의 개념과 주요 기업 현황 | |
---|---|
01 GRC의 개념과 주요 기업 현황 │한상기 테크프론티어 대표 GRC의 정의와 필요성 GRC는 거버넌스, 리스크, 규정 준수(컴플라이언스)를 의미하는 영어 약자이며 기업 거버넌스 정책, 기업 리스크 관리 프로그램, 규율과 회사 규정 준수 세 가지 구성 요소 사이의 상호 종속성을 처리하기 위한 조직의 전략을 말한다. 특히 기업들이 GRC를 관리하는 데 사용하는 사람, 프로세스 및 기술을 조정하면 두 가지 방식으로 이익을 얻을 수 있다는 사실을 인식한 21세기 초에 새로운 규율로 등장했다.1) GRC의 세 가지 구성 요소를 다시 정의하면 다음과 같다.
GRC 접근에서는 이 세 가지 구성 프로그램이 지속해서 기존의 비즈니스 기능과 상호 작용하고 지원하지만 세 가지 교차점에서 이점이 분명해진다.
GRC를 제대로 구현하면 정책, 관행, 소프트웨어를 통해서 다음과 같은 이점을 제공한다.
최근에 기업이 관심을 두고 준수해야 하는 주요 규정을 살펴보면 다음과 같은 규율과 법률이 있다.
GRC 솔루션 관련 세계 시장 규모는 그랜드뷰 조사에 따르면, 2021년 기준 408억 4천만 달러 수준으로 파악하고 있으며 2022년부터 2030년까지 연평균 14% 성장할 것으로 예상한다. 이는 2028년에 1,348억 달러로 성장함을 의미한다. 2) GRC 소프트웨어 및 도구 GRC 소프트웨어는 GRC의 핵심 기능을 관리하는 애플리케이션을 단일 통합 패키지 형식으로 결합해 제공한다. 이를 통해 조직은 GRC 관련 전략 및 구현을 관리하기 위한 체계적인 접근 방식을 추구할 수 있다. 기능별로 독립적 애플리케이션을 사용하는 대신 관리자는 단일 프레임워크를 사용하여 규칙과 절차를 모니터링하고 시행할 수 있으며, 성공적인 설치를 통해 리스크를 관리하고 여러 설치로 인해 발생하는 비용을 줄이며 관리자의 복잡성을 최소화할 수 있다. GRC 플랫폼은 사이버 보안 및 규정 준수 프로그램에 쉽게 접근, 구축, 관리 및 보고할 수 있는 보안 및 규정 준수 관리 플랫폼이다. 이때 고려해야 하는 프레임워크는 CMMC, PCI, SOC2, NIST, CIS v7, GDPR, HIPAA, CCPA 등 매우 다양한 것이 있으며 보안과 함께 개인정보 프레임워크를 지원해야 한다. 나아가 내부 감사 수행, 리스크 관리, 워크 플로 효율성을 최적화하기 위한 엔터프라이즈 워크 플로 엔진을 통해 감사, 리스크 및 규정 준수 프로그램을 간소화한다. 사용자는 식별, 대응, 완화 및 모니터링을 포함한 리스크 관리 프로그램을 매우 시각적이고 직관적으로 통합할 수 있다. 아마존의 AWS나 구글 클라우드, 마이크로소프트 애저 클라우드 서비스에는 이와 같은 다양한 규정을 지키기 위한 지원과 이를 위한 아키텍처 설계 등을 제공하고 있다. 예를 들어 아마존의 AWS에는 HIPAA 보안 및 규정 준수를 위한 아키텍처 백서를 제공하고 있다. 3)
또한 많은 전문 기업이 GRC 플랫폼을 제공하고 있는데 GRC 플랫폼은 기업이 리스크를 완화하여 재정적, 법적 책임 및 기타 모든 책임을 최소화하도록 도와준다. 기업은 GRC 플랫폼을 사용하여 리스크 관리를 위한 전사적 전략을 정의, 구현 및 모니터링하며 전사적 리스크 관리(ERM)라고도 하는 이 유형의 소프트웨어는 재무, 위험, 전략 및 운영과 같은 여러 유형의 리스크를 다룬다. 대부분의 GRC 관련 소프트웨어 클라우드 기반으로 제공하고 있으나 독립적인 솔루션 형식도 아직 있다. 그러나 대부분 기업이 클라우드 기반으로 시스템을 전환하고 있으므로 GRC 소프트웨어는 여러 퍼블릭 클라우드 환경에 맞추거나 통합할 수 있는 기능을 제공하고 있으며 기업의 작업자들이 사용하는 환경이나 협업 도구와도 통합해서 GRC에 관한 모니터링과 관리를 하도록 하고 있다. GRC 기능은 리스크 정보를 구성 및 평가하고 전사적 사건을 추적하며 리스크 요소를 측정하고 정책 및 규정을 준수하기 위해 작업을 수정하게 하는 다양한 도구를 제공한다. GRC 플랫폼은 주로 규정 준수 담당자, 분석가와 관리자가 사용하며, 조직 내의 운영팀은 GRC 플랫폼을 활용하여 회사의 무결성을 유지하고 소송, 조사 및 상해와 같은 시나리오를 방지한다. GRC 플랫폼을 보안 및 개인 정보 보호에 중점을 두고 다른 유형의 리스크를 다루지 않는 사이버 보안 소프트웨어와 혼동해서는 안 된다. GRC 소프트웨어는 소매 및 제조와 같은 산업을 위한 환경, 품질 및 안전 관리 소프트웨어와 통합하며, 세 가지 GRC 구성 요소(거버넌스, 리스크 및 규정 준수)는 각각 조직에 영향을 미치고 중요한 정보를 다른 두 구성 요소와 상호 연계한다. 전 세계 13만 개 이상의 소프트웨어 제품과 서비스 리뷰를 하는 G2 사이트에서는 GRC 소프트웨어 카테고리를 다음과 같이 나누고 있다. 4)
이 가운데에서 GRC 플랫폼 범주에 들어가는 제품은 다음을 충족해야 한다.
G2에서는 시장 입지와 만족도를 기준으로 G2 그리드 스코어링을 카테고리별로 제공하는데 GRC 플랫폼의 경우는 그림 3과 같다. 여기에는 리더, 고성과자, 경쟁자, 니치 플레이어 네 가지 그룹이 있다.
또 다른 분석기관인 차티스(Chartis) 리서치에서는 기업용 GRC 솔루션의 리더 그룹으로 메트릭스트림, IBM, SAP, LSEG 등을 선정했다.
포레스터 리서치 역시 써드 파티 리스크 관리 플랫폼이라는 영역에서 솔루션을 비교 평가하고 있으며 여기에서는 원트러스트와 서비스나우가 리더로 평가받고 있다.
G2의 평가에서 GRC 플랫폼 카테고리에 올라온 소프트웨어를 보면 다음과 같은 것들이 있다.
리스트에서 알 수 있듯이 전문 기업 외에 IBM, 오라클, SAP, SAS, 서비스나우 등 대형 기업 역시 GRC 플랫폼을 제공하고 있음을 알 수 있다. 리더 그룹에서 가장 평가가 좋은 오디트보드를 보면 제품군으로는 SOXHUB, RiskOversight, OpsAudit, CrossComply, TPRM, ESG가 있으며 이를 위한 플랫폼과 통합 기능을 제공하고 있다. 또한 다양한 생태계를 위해서 기존의 클라우드 서비스와 통합해 제공하고 있다. 통합 지원하는 클라우드 생태계는 다음과 같다.5)
IBM의 경우는 모든 클라우드에서 실행되는 인공지능 기반의 확장 가능한 거버넌스, 위험 및 규정 준수 솔루션으로 오픈 페이지를 제공한다. 이 플랫폼은 50개 이상의 언어로 문서를 번역하고 연중무휴 지원을 제공할 수 있는 GRC 가상 도우미를 제공한다. 또한 오픈 페이지는 셀프서비스 데이터 탐색을 위해 IBM 코드노스 애널리틱스를 사용하여 조직 전체의 리스크 상태에 대한 통찰력을 제공할 수 있다. 공통 리스크 라이브러리는 공유 문서, 프로세스, 위험 및 제어를 통해 중복을 제거한다. 오픈 페이지에는 운영 리스크 관리, 규정 준수 관리, 정책 관리, IT 거버넌스, 내부 감사 관리, 모델 리스크 거버넌스, 비즈니스 지속 관리, 제3자 리스크 관리, 금융 제어 관리, 데이터 프라이버시 관리 등의 솔루션을 모듈로 제공하고 있다.
SAP 역시 GRC 서비스로 내장된 분석 및 인공지능을 통해 비즈니스 전반에 걸쳐 리스크, 제어, ID, 사이버 위협 및 국제 무역을 자동화하고 관리할 수 있는 기능을 사용자에게 제공한다. 사용자는 전사적 규정 준수 노력을 합리화하고 모범 사례 내부 제어 프로세스를 활용하여 중요한 프로세스 리스크 및 제어를 문서화, 평가, 테스트 및 수정할 수 있다. 또한 SAP GRC는 자동화된 사용자 프로비저닝, 역할 관리, 권한 있는 액세스 및 주기적 인증을 제공하는 동시에 사용자와 애플리케이션의 위험을 지속해서 모니터링한다.
서비스나우의 GRC 솔루션은 내부 프로세스를 측정, 테스트 및 감사하여 리스크를 사전 예방적으로 관리하는 데 필요한 도구를 조직에 제공한다. 이 플랫폼은 조직이 특정 요구 사항에 따라 모든 지표를 추적하고 측정할 수 있는 직관적인 보고 및 분석 기능을 제공한다. 서비스나우는 채팅 및 커뮤니케이션 기능을 통해 차별화해서 외부 및 내부 팀 간의 간소화된 워크플로우 관리 및 협업을 가능하게 하고 있다. 이제 기업의 GRC 이슈는 점점 강화되는 국가별 규율과 새로 생기는 법률에 따라 모든 기업이 그 준수 여부를 추적하고 리스크를 사전에 최소화해야 한다. 세금과 자금 관리에 대한 법적 책임 외에도 개인정보에 대한 중요성이 더욱 강조되면서 이제 기업이 검토해야 하는 법률과 규율은 많이 늘어나고 있다. 이를 위해서는 단지 규정 준수만을 확인하는 퍼블릭 클라우드 서비스 외에도 기업의 특성에 맞춰 모니터링과 리스크 완화를 지원하는 독자적인 솔루션과 서비스에 대한 시장은 앞으로도 많이 늘어날 것이며, 대부분 클라우드 기반으로 제공하고 있으므로 상황에 따라 필요한 기능을 활용하면서 서비스 최적화하는 방안에 기업들이 관심을 가질 수밖에 없다. 특히 정책과 규율이 계속 바뀌고 범위가 달라지고 있기 때문에 이에 대한 개별적 추적을 기업이 일일이 하는 것보다는 전문적인 도구와 서비스를 사용해서 정책과 규율의 변화에 대응하는 것이 효과적이며 인공지능 기술과 같이 새로운 리스크를 가져올 수 있는 기술의 응용을 위해서는 기존 GRC 관리와 통합을 위한 노력이 앞으로 더 필요할 것이다. 참고문헌 1) Tech Target Network, “What is governance, risk and compliance (GRC)” 3) https://aws.amazon.com/ko/compliance/hipaa-compliance/ 5) https://www.auditboard.com/integrations/
이슈리포트 2022-12호.pdf (933 KB)
|