성공적 추진을 위한 핵심 전략과 조직 구성 방안
앞선 논의에서 우리는 BCP(비즈니스 연속성 계획)를 성공적으로 운영하는 기업이 왜 GRC(Governance, Risk, Compliance)로 나아가야 하는지, 그리고 GRC가 다루는 리스크의 범위가 BCP와 어떻게 차별화되는지 상세히 살펴보았습니다. GRC의 '필요성'에 대해 깊이 공감하셨다면, 이제 다음 질문은 "그래서, 어떻게(How)?"일 것입니다.
GRC는 단순히 새로운 소프트웨어를 도입하거나 몇 개의 정책 문서를 만드는 프로젝트가 아닙니다. 이는 조직의 운영 방식을 근본적으로 바꾸는 **'전략적 여정(Strategic Journey)'**입니다. 많은 기업이 GRC의 필요성에는 동의하지만, 막상 추진 전략의 부재와 조직 구성의 어려움으로 인해 '개별 사일로(Silo)' 상태에 머무르는 경우가 많습니다.
경영학의 거장 피터 드러커(Peter Drucker)는 **"측정할 수 없으면 관리할 수 없다"**고 말했습니다. GRC는 조직의 모든 리스크와 규제 준수 현황을 '측정 가능하게' 만들어, 궁극적으로 '관리 가능하게' 하는 핵심 동력입니다.
이 글에서는 GRC 추진을 위한 가장 현실적이고 검증된 기본 전략과 효과적인 조직 구성 방안을 상세히 제시합니다.
1. GRC 성공을 위한 4대 기본 전략
GRC 프레임워크를 성공적으로 안착시키기 위해서는 기술 도입 이전에 반드시 명확한 전략적 방향성이 수립되어야 합니다.
1. 최고 경영진의 강력한 후원 (Top-Down Sponsorship)
GRC는 IT 부서나 감사팀만의 과제가 아닙니다. 이는 전사적 자원을 통합하고, 부서 간의 이해관계를 조율하며, 때로는 기존의 관행을 타파해야 하는 '변화 관리'의 영역입니다.
전략: GRC는 반드시 이사회(Board)와 CEO의 어젠다(Agenda)가 되어야 합니다. 최고 경영진은 GRC의 비전을 제시하고, 필요한 예산과 인력을 배정하며, 추진 과정에서 발생하는 갈등을 중재하는 '총괄 스폰서(Executive Sponsor)' 역할을 수행해야 합니다.
실패 지점: 스폰서십이 부재한 GRC는 각 부서의 저항에 부딪혀 '데이터 취합을 위한 또 하나의 귀찮은 업무'로 전락하게 됩니다.
2. 비즈니스 목표와의 연계 (Alignment with Business Goals)
GRC는 그 자체가 목적이 되어서는 안 됩니다. GRC는 '비즈니스 목표 달성을 보장하기 위한' 수단입니다.
전략: 조직의 핵심 전략(예: 신시장 개척, 디지털 트랜스포메이션, ESG 경영)을 식별하고, 해당 전략을 저해할 수 있는 리스크(전략 리스크, 컴플라이언스 리스크 등)를 GRC가 우선적으로 관리하도록 연계해야 합니다.
실행: 단순히 '규제를 지킨다'는 방어적 관점을 넘어, "GRC를 통해 어떻게 더 빠르고 신뢰성 있게 비즈니스 목표를 달성할 것인가?"라는 관점으로 접근해야 합니다.
3. 단계적 접근 및 우선순위 설정 (Phased Approach)
GRC가 다루는 범위는 방대합니다. 처음부터 모든 리스크와 모든 규제를 완벽하게 관리하려는 시도는 필연적으로 실패합니다.
전략: 이른바 'Crawl-Walk-Run (기어가기-걷기-뛰기)' 전략을 채택해야 합니다.
Crawl (1단계): 가장 시급하거나 가장 큰 손실을 유발할 수 있는 영역(예: 핵심 개인정보보호 규제, 가장 치명적인 운영 리스크)을 선정하여 GRC 프로세스를 우선 적용합니다. (Quick-Win 확보)
Walk (2단계): 1단계의 성공 경험을 바탕으로 GRC 범위를 주요 연관 리스크 영역(예: IT 리스크, 공급망 리스크)으로 확대합니다.
Run (3단계): GRC를 전사적으로 확산시키고, 리스크 데이터를 전략적 의사결정에 활용하는 성숙 단계로 나아갑니다.
4. 통합 GRC 플랫폼의 활용 (Technology as an Enabler)
GRC의 핵심은 '통합'입니다. 수많은 리스크 데이터와 통제 활동, 규제 요건을 엑셀(Excel) 시트와 이메일로 관리하는 것은 불가능합니다.
전략: 분산된 데이터를 실시간으로 취합하고, 리스크와 통제 활동, 규제 항목을 자동으로 매핑하며, 이상 징후를 모니터링할 수 있는 **'통합 GRC 솔루션(플랫폼)'**의 도입을 초기 전략부터 고려해야 합니다.
가치: 기술 플랫폼은 GRC 담당자가 '데이터 취합'이라는 수동적 업무에서 벗어나, '데이터 분석 및 전략 수립'이라는 고부가가치 업무에 집중할 수 있도록 지원하는 필수 기반입니다.
2. GRC 추진을 위한 효과적인 조직 구성
성공적인 GRC 전략은 이를 수행할 '조직'이 뒷받침될 때 완성됩니다. GRC 조직의 핵심은 '사일로 타파'와 '협업'에 있습니다.
핵심 프레임워크: 3선 방어 모델 (The Three Lines of Defense)
현대 GRC 조직론의 표준은 명확한 역할과 책임을 정의하는 **'3선 방어 모델(Three Lines of Defense)'**입니다. GRC 조직은 이 모델을 기반으로 구성되어야 합니다.
1선 방어 (The 1st Line: Risk Owners)
주체: 현업 부서 (비즈니스 부서, IT 운영팀 등)
역할: 리스크의 '실행 및 소유(Owning Risk)' 주체입니다. 일상 업무를 수행하며 발생하는 리스크를 직접 식별하고, 수립된 정책과 통제 절차를 '실행'하며, 문제 발생 시 1차적으로 대응하고 보고합니다. GRC의 시작점이자 가장 중요한 현장 조직입니다.
2선 방어 (The 2nd Line: Risk Overseers)
주체: 리스크 관리팀, 컴플라이언스팀, 정보보호팀, 재무기획팀 등
역할: 1선이 리스크를 잘 관리할 수 있도록 **'전문적인 지원 및 감독(Overseeing Risk)'**을 수행합니다. 전사 리스크 정책을 수립하고, GRC 프레임워크를 설계하며, 1선의 활동을 모니터링하고 전문적인 자문을 제공합니다. GRC의 '엔진룸' 역할을 합니다.
3선 방어 (The 3rd Line: Independent Assurers)
주체: 내부감사팀 (Internal Audit) (또는 외부 독립 감사인)
역할: 1선과 2선의 활동으로부터 **'독립적인 검증 및 보증(Providing Assurance)'**을 제공합니다. GRC 프레임워크가 효과적으로 작동하는지, 정책과 규제가 제대로 준수되는지 객관적으로 평가하여 이사회와 최고 경영진에 직접 보고합니다.
권장 조직 모델: 연합 모델 (Federated Model)
3선 방어 모델을 구현하는 방식에는 여러 가지가 있으나, 가장 효율적이고 현실적인 모델은 **'연합 모델(Federated Model)'**입니다.
중앙 집중형 (Centralized): 하나의 강력한 GRC 팀(주로 2선)이 모든 리스크와 통제를 직접 관리합니다.
장점: 강력한 통제력, 표준화 용이.
단점: 현업의 저항, 비즈니스 속도 저하, 조직 비대화.
분산형 (Decentralized): 각 현업 부서(1선)가 GRC 활동을 자율적으로 수행합니다.
장점: 현업의 유연성, 빠른 의사결정.
단점: 전사적 기준 부재, 리스크 관리 수준의 편차 발생, '사일로' 고착화.
(권장) 연합형 (Federated / Hybrid):
구조: 2선의 역할을 하는 **'중앙 GRC 조직(Center of Excellence, CoE)'**이 전사 표준, 정책, GRC 플랫폼을 제공합니다. 그리고 각 현업 부서(1선)에는 해당 부서의 GRC 활동을 책임지는 '임베디드(Embedded) 담당자' 또는 **'리스크 오너(Risk Owner)'**를 둡니다.
장점: 전사적 **'일관성'**과 현업의 '자율성' 및 **'전문성'**을 동시에 확보할 수 있는 가장 균형 잡힌 모델입니다. 중앙 GRC 조직은 전략에 집중하고, 현업은 비즈니스 특성에 맞는 리스크 관리를 수행합니다.
결론: GRC는 '문화'이자 '시스템'입니다
GRC 추진 전략의 핵심은 '사람'과 '프로세스', 그리고 '기술'의 조화입니다. 최고 경영진의 의지를 바탕으로 명확한 전략을 수립하고, 3선 방어 모델에 기반한 '연합형 조직'을 구성하는 것이 그 출발점입니다.
GRC는 단기 성과에 집착하기보다, 조직의 투명성과 예측 가능성을 높이는 '문화'이자 '운영 시스템'으로 접근해야 합니다. 견고한 GRC 체계는 위기 상황에서 조직을 보호하는 가장 강력한 무기이자, 지속 가능한 성장을 담보하는 전략적 자산이 될 것입니다.
이 GRC 전략과 조직 구성을 바탕으로, GRC 성숙도를 측정하고 개선하는 구체적인 '성숙도 모델(Maturity Model)'에 대해 더 자세히 알아보고 싶으신가요?
댓글 없음:
댓글 쓰기