GRC 관리 체계 ...

요새들어 많이 나오는 솔루션 또는 개념 중에 GRC라고 불리우는 것이 있다.

SAP이나 Oracle 또 IBM 등 글로벌 벤더들이 집중을 하고 있는 분야 중에 하나이다.

 

GRC = Governance, Risk Management and Compliance의 약자이다.

 

그럼 이 분야가 왜 조명을 받고 있는지에 대해서 알아보자 ...

 

하나 전제를 말하자면 이 분야는 IT에 대한 분야가 아니다. 물론 IT를 포함하고 있지만, 하여간 기업 전반에 걸친 분야라는 것을 염두에 두고 시작하자 ....

 

일단 Governance는 지금까지 IT Governance 위주로 이야기를 했지만, Corporate Governance에 대한 부분도 잠깐씩 언급을 했으니 이 부분에 대한 자세한 설명은 첨언하지 않겠다.

 

위키피디아에 보면 이에 해당 하는 정의가 있다.   위키피디아 이동

 

Governance는 조직의 투명성을 보장하고, C-Level 임원에 대한 책임과 역할을 중요시하는 통제 방법이다. 이는 또한 정책과 프로세스를 통한 지속적인 조직의 개선 활동을 포함하고 있다. 효율적인 Governance 구조는 전략을 구현하고 모니터링하며, 현재의 비즈니스에 대한 활동과 업무에 대하여 관리와 규범(Compliance)의 의한 정책의 합의를  도출하고 수행하는 것이다.

 

Risk Management는 프로세스를 통하여 위험에 대한 발굴, 혹은 잠재적 위험의 인지, 비즈니스의 영향도 분석 등을 기반으로 내부 통제와 조직의 위험을 완화하는 업무 수행 체계이다.

 

Compliance는 프로세스이다. 이 프로세스는 통제와 관리를 목적으로 하며, 논리적이거나 물리적인 법규나 규범을 통하여 내부 정책을 수립하는 것이다.

 

결국은 통제와 관리 활동을 원활하게 그리고 효율적으로 수행을 하기 위함이며, 이에 대한 통제와 관리 활동을 Compliance를 기반으로 한 프로세스를 통하여 진행하며, 비즈니스 활동에 유연하고 적극적으로 대처해야 한다. 또한 비즈니스 활동에 대한 위험의 방지나 완화를 위한 활동을 기반으로 비즈니스의 위협을 제거하여 이익의 극대화, 수익 창출의 최적화를 지원해야 한다는 것이다.

 

결국 이 개념 또는 이 개념을 수용한 솔루션들은 대체로 위험 관리에 촛점을 맞추어 효율적인 Governance 구조의 지원에 있다.

Governance는 누누이 이야기 하지만 시스템이나 소프트웨어라기 보다는 조직의 체계와 프로세스, 그리고 문화이기 때문이다.

시스템으로 통제가 가능한 부분에 집중을 하고 나머지는 기업의 또는 조직의 역량에 맡겨 두는 구조로 진화하는 것이다.

 

따라서 원활한 Governance 구조를 위험 관리와 이에 대한 예측(Prediction)에 있다. 또한 이러한 관리 체계와 예측을 높이기 위한 방편으로 Simulation(또는 Scenario)를 수행하고 이에 대한 결과를 통하여 비즈니스에 대한 상황 변화에 대처하는 것이다.

 

"Compliance에 기반한 Risk Management를 통하여 Governance 체계의 효율적인 수행"이 아마도 GRC의 핵심이 아닌가 생각한다.

 

내 사견이지만 GRC의 가장 중요한 구성 요소는 그래서 Risk Management가 아닌가 생각한다.

이러한 구성을 IT Governance로 그대로 차용하자만(조금 무리가 있을 수 있지만) 아마도 위험에 대한 적극적인 관리와 예측 구조를 구성해야 하며, 아마도 이러한 것들에 대한 대안 또는 구축에 대한 사례가 "사전 경고 시스템 구축"이라는 시스템 또는 프로젝트로 표출이 되는 것 같다.

 

그러면 사전 경고 시스템은 무엇인가???????

Risk Managment로 보아도 무방할 듯 하다. 요새 많이 나오는 품질 경영의 한 축이 될 수도 있으며, 더 다양한 용어가 사용될 수도 있다. 하지만 궁극의 목적은 위험 관리와 완화, 제거를 통한 안정적인 기업의 운영과 수익 창출이라 할 수 있다.

---- 물론 다른 의미로 사전경고 시스템을 사용할 수도 있다. 하지만 이 글에서는 Risk Management의 관점에서 사전경고 시스템을 이야기 하겠다.-----

 

이러한 관점에서 사전경고 시스템을 살펴보면 갖추어야 할 상당한 컨텐츠와 시스템, 그리고 프로세스가 필요하다.

 

 

우선 위협이 될만한 요소들의 파악이다. 어떤 것이 위협이 될지 알 수 없기 때문에 이에 대한 수많은 지표나 기준, 그리고 구성요소를 추출하는 것이다.

두 번째는 그러한 위협에 대한 취약점의 분석이다. 과연 우리 조직에 도출된 위협을 적용하였을 때 문제가 되는 부분이나 혹은 취약점이 나오는 지에 대한 분석이 필요하다.

이러한 분석은 그 기준에 대한 도출을 함께 진행해야 한다.

세 번째는 적용이다. 어디에 적용을 해야 하는가의 고민이 필요하다. 어디다 적용을 하느냐??? 물론 보유하고 있는 자산이다. 물적, 인적, 지적, 기타 자산 분류 체계에 대한 자산에 적용을 하고 취약점 분석을 통한 기준의 적용까지 그리고 언제 확인하고 언제 조치할 것인지에 대한 보고 체계와 처리 체계, 프로세스의 정의 등이 필요하다.

 

이러한 세 가지 가장 주요한 요소를 통하여 Risk Management를 진행해야 하며, 두 번째 단계의 취약점 분석을 통하여 Compliance를 적용하고 마지막 단계의 적용에서 비즈니스에 효율적인 Governance 체계 및 프로세스를 구성해야 한다.

 

또한 앞서도 말을 했지만 이 분야는 IT가 아닌 기업의 모든 분야에 적용이 가능하다.

따라서 이러한 세 가지 요소를 통한 GRC의 처리가 적용을 위해서 Risk Management의 분야가 세분화 될 필요가 있다.

 

그 분야는 조직에 따라 비즈니스의 방향에 따라 달라질 수 있으니, 그 부분은 같이 한 번 생각해 보시길 ....

 

오늘은 이만 끝 ...=============================================================================================================

 

P.S.

다양한 GRC를 위해서는 다양한 Risk Management가 필요하다. 이에 따라 프로세스나 정책, Compliance가 변경이 될 것이다.

예를 들면 Risk Management의 분야를 어디로 한정하느냐에 따라서 상당한 차이가 있을 것이다.

요즘 장마가 끝난 지 얼마 안되었으니 재해 복구나 관리로 혹은 정부 기관 중 소방방재청을 예로 들어보자......

 

우선 각 지역의 홍수에 대한 혹은 집중 호우, 태풍 등에 대한 지표를 산정해야 한다.

다양한 지표나 기준, 요소를 통하여 해당 지역에 따른 취약점을 분석한다.

예를 들면 서울의 경우 도로가 잠기거나, 지하철역의 침수 또는 전봇대의 감전사고, 교통 대란 등이 취약점으로 나올 것이다.

이를 더 세분화하면 지하철역이 있는 지역과 없는 지역, 축대가 있는 지역과 없는 지역, 저지대와 고지대에 따른 취약점이 다를게 적용이 될 것이다.

그리고 시골의 경우(농사를 짓는 지역이라 가정하자) 논의 침수, 혹은 산사태의 대비, 가옥의 침수 등에 대한 취약점 분석과 기준의 적용이 필요할 것이다.

 

그럼 이러한 지역적인 차이에 따른 지표의 기준 적용을 통하여 프로세스를 만들고 정책 합의를 이루어야 한다.

예를 들면 시간당 강우량이 150이 넘으면, 별다른 경고 없이도 해당 지역의 공무원은 비상근무체계에 돌입한다던가, 아니면 각 지역의 최소 단위 (통이나 반, 읍, 면 등 .... 지역은 특색에 따라 기준을 바꾸어야 한다.)까지의 통보 ... 그리고 침수 지역에 대한 수재민이나 이재민의 수용 시설 확보 등 ..........

 

대충 감이 오는가??? 난 오는데 ......

암튼 이것이 GRC라 할 수 있겠다.

다른 사기업의 경우 그 기업의 비즈니스 목적에 따라 함 생각해보시길 ....

 

진짜로 끝 ===============================================================================================================