GRC란?

조직이 불확실성을 해결하고, 충실하게 행동하며, 위험 인식 문화를 바탕으로 안정적으로 목표를 달성하는 데 기여하는 기능입니다.

Governance, Risk and Compliance(GRC)는 조직이 규제를 위반하지 않고 안심하며 비즈니스를 운영하는 데 필요한 도구를 제공합니다. 너무 많은 조직이 제대로 정의된 GRC 프로그램을 마련하지 않거나, 자금 동원을 소홀히 하는 경향이 있습니다. 성공하기 위해서는 조직이 회복력을 강화하고 중단에 대비하여 관련성을 유지하고 가치를 제공해야 합니다.

GRC의 비즈니스 케이스는 위험 가시성을 개선하고, 비즈니스 우선순위에 맞춰 GRC 활동을 조율하며, 미래 지향적인 통찰을 제공하여 기업이 신속하고 단호하게 행동하도록 돕는 데 초점을 맞춰야 합니다.

Governance: 조직 활동과 그 활동이 비즈니스 목표와 일치하는지 여부를 평가하는 프레임워크입니다. 회사 활동을 관리하고 모니터링하기 위한 프로세스, 구조, 정책도 활동에 포함됩니다.

Risk: 위험을 처리하고, 제어를 통해 위험을 완화하며, 위험이 정책에 따라 관리된다는 확신을 제공하는 지속적인 프로세스입니다. 여기에는 위험 측정, 평가, 보존, 모니터링, 발견이 포함됩니다.

Compliance: 조직 내 활동이 법률 및 규정에 부합하는 방식으로 운영되도록 보장합니다.

  • 전략: 비즈니스 전략에 영향을 미치는, 위험에 대한 효과적인 책임 의식과 거버넌스.
  • 운영: 회사와 그 프로세스 운영을 중단, 변경하거나 영향을 줄 수 있는 모든 것.
  • 기술: 애플리케이션, 데이터베이스, 인프라, 기타 연결된 장치의 오류뿐만 아니라 사이버 위험을 포함합니다.
  • 데이터: 정보가 도난되거나 손상되기 쉬운 경우. 보호에는 데이터 기밀 유지, 무결성 보장, 가용성 유지가 포함됩니다.
  • 사이버: 기술 위험과 유사합니다. 정보 기술 오류로 인한 재무적 손실, 비즈니스 중단 또는 조직의 평판에 대한 일반적인 피해.
  • 개인 정보: 개인 데이터의 손실, 무단 공개 또는 도난 가능성.
  • 평판: 불만 있는 고객, 데이터 유출, 제품 오류 또는 부정적인 리뷰로 인해 조직이 부정적으로 비쳐질 가능성.
  • 제3자: 벤더, 공급업체, 비즈니스 파트너 및 모든 계열사가 위험 대책을 마련하여 조직에 영향을 미치지 않도록 보장합니다.
  • 준수/규제: 미준수가 규제 의무에 영향을 미칠 수 있는 정도.

  • 이해 관계자들은 높은 수준의 투명성, 책임, 성과를 요구합니다.
  • 규정은 예측할 수 없는 방식으로 끊임없이 변화하고 있습니다.
  • 제3자 관계와 위험이 기하급수적으로 증가하면서, 경영진의 부담이 커지고 있습니다.
  • 위험을 발견하지 못할 경우, 치명적인 영향이 있습니다.
  • GRC를 통한 효율성 향상은 비즈니스 성장에 필수적입니다.

통합 GRC 또는 통합 위험 관리는 더 넓은 범위의 전사적 접근 방식으로, 조직은 이를 통해 다양한 위험을 실시간으로 모니터링, 관리하고 조치를 취할 수 있습니다. 통합 위험 관리는 위험을 의식하여 성과와 의사 결정을 개선할 수 있는 조직의 중요한 특징입니다.

전략

관리자는 비즈니스 목표에 따라 위험에 기반한 현명한 결정을 내릴 수 있습니다.

통합

조직은 위험과 이러한 위험이 수익에 미치는 영향을 더 잘 이해합니다. 이러한 이해는 여러 부서와 비즈니스 단위 사이에 공유되어 사일로와 불필요한 중복을 없애는 데 도움이 될 수 있습니다.

디지털화

GRC는 프로세스의 자동화를 위해 하나의 플랫폼에 통합됩니다. 워크플로우가 간소화되고 문서를 저장할 수 있으며 좀 더 표준화된 프레임워크가 생성됩니다.

위험 관리에 대한 통합적 접근 방식이 바람직한 방향을 향하도록 실무자의 기대치가 진화하고 있습니다.

효과적인 GRC는 다음을 갖춰야 합니다.

  • CISO, CRO, CIO, CFO, CEO, 법무 팀 등의 업계 리더가 주도합니다.
  • 위험 중심의 문화를 가지고 있습니다.
  • 클라우드 기반의 최신 통합 플랫폼을 기반으로 구축됩니다.
  • 에코시스템의 다른 기술과 쉽게 통합하여 데이터를 수집합니다.
  • 데이터 공유가 가능하여 공통 데이터를 교차 활용할 수 있습니다.
  • 조직과 외부 에코시스템 전체의 비즈니스 위험을 목표로 삼고 해결합니다.
  • 비즈니스 지향적인 프로세스 기반 워크플로우를 만들어 위험을 분석하고 처리합니다.
  • 위험 인텔리전스 및 워크플로우를 일일/운영 도구에 통합합니다.
  • 모든 사람에게 위험 및 규정 준수에 대해 알립니다.
  • 자동화된 위험 지표를 사용하여 위험 및 제어를 지속적으로 모니터링할 수 있습니다.
  • 비즈니스 중심 대시보드를 통해 비즈니스 용어로 위험을 설명합니다.
  • 기업의 모든 부서와 기능 그룹, 벤더와 함께 이 모든 작업을 지속적으로 수행하여 전반적인 위험 상황을 실시간으로 파악합니다.

  • 비용이 증가할 수 있습니다.
  • 발생 가능한 위험에 대한 가시성이 부족합니다.
  • 이사회 수준의 보고서 작성에 상당한 시간이 낭비될 경우 데이터가 오래되어 경영진과 이사회가 적절히 지시하고 검토할 수 없습니다.
  • 외부 공급업체의 위험이 제대로 해결되지 않습니다.
  • 위험 요소를 조정하여 성과를 측정하기 어렵습니다.
  • 다음과 같은 결과를 초래하는 부정적인 인식이 너무 많습니다.
    1. 감사 결과
    2. 규정 미준수로 인한 불이익
    3. 침해 복구 비용
    4. 고객 이탈
    5. 평판 훼손
  • 언어를 공유하지 않으면 사람들이 덜 중요한 문제에 시간을 낭비합니다.
  • 많은 시간이 소요되는 프로세스로 인해 생산성이 떨어집니다.
  • 번거롭고 익숙하지 않은 사용자 경험은 업무를 방해하는 요소로, 일선 직원의 집중력을 훼손합니다.
  • 부서 간에 효과적으로 협업할 수 없습니다.

효과적인 GRC는 적절한 인력이 필요할 때 필요한 정보를 얻고, 목표를 수립하며, 불확실한 상황을 처리하고 행동하기 위해 적절한 제어가 이루어지도록 보장하는 접근 방식입니다. GRC 프로세스를 올바르게 이행하면 다음과 같은 이점이 있습니다.

  • 감사 결과, 규정 위반 및 침해로 인한 불이익 가능성을 줄이고 자동화를 실시하여 비용을 절감합니다.
  • 벤더가 제기하는 위험을 줄입니다.
  • 비즈니스 모델의 변화, 디지털 혁신과 관련된 위험 또는 새로운 규정에 적응하는 능력이 개선됩니다.
  • 운영에 대한 영향 감소 - 효율성이 향상되어 조직은 더 적은 자원으로 더 많은 일을 할 수 있습니다.
  • 비즈니스를 확장하고 키우는 능력이 개선됩니다.
  • 직원과 벤더로부터 품질 정보를 빠르고 효율적으로 수집할 수 있는 능력이 향상됩니다.
  • 리포지토리 단일화를 통해 전사적으로 위험 정보에 대한 접근성이 높아집니다.
  • 일관된 방식으로 프로세스를 반복하는 능력이 향상됩니다.
  • 반복적이고 중복되는 작업을 없애 생산성이 개선됩니다.
  • 조직 전체의 이해 관계자, 임원, 이사회와 효과적으로 의사 소통합니다.
  • 실시간 위험 데이터와 비즈니스에 미치는 영향을 계산하는 기능을 기반으로 전략적 의사 결정을 내립니다.
  • 경쟁 우위 - 위험을 해결할 계획이 마련되어 있어 위반 가능성이 낮고 개인 데이터가 더 잘 보호될 수 있다는 사실에 고객이 안심합니다.

모든 조직의 효과적인 Governance, Risk, and Compliance를 보장할 수 있는 단 하나의 GRC 솔루션은 없지만 대부분의 GRC 솔루션은 공통적인 구성요소를 공유합니다. 다음은 대부분의 GRC 플랫폼에서 볼 수 있는 몇 가지 기본 기능과 구성요소입니다.

  • 통제
  • 워크플로우
  • 중앙 데이터 리포지토리
  • 비즈니스 영향을 도출할 CMDB
  • 위험 지표
  • 정책 수명주기
  • 권한 문서 라이브러리
  • 모바일
  • 챗봇
  • 외부 공급업체들과의 OOTB 통합

  • 정책 관리
  • 규정 준수
  • 디지털 및 기술 위험 관리
  • 외부 공급업체 위험 관리
  • 감사 관리
  • 복원성 및 연속성 관리
  • 개인정보 관리

ServiceNow Governance, Risk, and Compliance 시작하기

ServiceNow를 통해 위험과 복원성을 실시간으로 관리하십시오.