5 GRC 동향: 거버넌스, 위험 및 규정 준수는 어떻게 진화합니까?

비즈니스 세계의 변화 속도는 상상을 초월합니다.

비즈니스 위험은 제3자 공급업체에서 공급망, 규제 문제, 개인 정보 보호 문제, 운영 문제, 사이버 공격, 재정 문제, 환경 규정 준수 등으로 매일 진화하고 있습니다.

이러한 문제는 고립된 것이 아니라 포괄적인 솔루션이 필요한 상호 연결된 위험입니다. GRC(거버넌스, 위험 및 규정 준수)에 대한 의식적이고 총체적인 접근 방식의 필요성이 그 어느 때보다 조직에 중요합니다.

비즈니스 환경이 변화함에 따라 기업은 상호 연결된 위험에 대한 포괄적인 관점을 유지하고 이러한 위험의 재정적 의미를 이해하며 모든 수준에서 정보에 입각한 결정을 내리기 위해 GRC 전략을 발전시켜야 합니다.

다음은 조직이 위험을 전략적 이점으로 전환하기 위해 사전 예방적 접근 방식을 취하는 데 도움이 되는 몇 가지 GRC 동향입니다.

1. GRC 과제에 대처하는 탄력성과 민첩성의 문화

모든 위험을 피할 수는 없습니다. 기업은 가장 시급한 위협을 고려하고 대비할 때 회복력의 문화를 개발해야 합니다.

위험 관리의 민첩성 은 충돌을 피하는 조직의 능력을 나타냅니다. 반면에 탄력성은 조직이 복구하는 방법입니다.

비즈니스가 인플레이션, 경제적 불확실성 및 글로벌 스태그플레이션 위험(성장의 급격한 둔화)에 대비할 때 비즈니스에 미치는 영향을 최소화하면서 장애를 복구할 수 있는 탄력성을 구축해야 합니다.

회복탄력성은 최근 몇 년 동안 중요해졌습니다. 이는 전사적 위험 관리와 통합되고 조직 전체에서 작동하여 무엇이 문제인지에 대한 포괄적인 보기를 제공합니다. 민첩성과 탄력성은 서로를 보완합니다.

민첩성은 불확실성에 대한 전략적 관점을 제공하는 반면 탄력성은 부서 전반에 걸쳐 참여할 수 있는 전술적 조치를 제공합니다. 회복력은 모든 조직 이해 관계자의 조치가 필요하기 때문에 하나의 문화이기도 합니다.

GRC 전문가인 Michael Rasmussen은 이 문화를 인체에 비유합니다.

조직의 75%가 사일로화된 기술 시스템이 위험 관리 문제를 제기한다는 사실을 인정하지만 35%만이 문제를 해결하기 위해 전사적 수준의 조치를 취합니다.

기업이 지능형 기술과 위험에 대한 "전면적" 관점을 활용했을 때 PwC는 이사회와 경영진이 이해 관계자의 신뢰, 복원력 및 비즈니스 결과를 제공하는 조직의 능력에 대해 높은 확신을 가질 가능성이 5배 더 높다는 것을 발견했습니다. .

2. CIO의 역할은 진화하고 있다

CIO와 같은 기술 리더는 소프트웨어 구현 및 프로젝트 관리의 "보조" 또는 "백엔드" 역할을 능가했습니다. 그들은 이제 기업 의사결정의 중심에 있으며 마케팅, 영업, 제품 개발 및 재무와 같은 핵심 비즈니스 기능에서 중요한 의사결정자가 됩니다.

2022년 CIO 현황 보고서에 따르면 CIO는 비즈니스 혁신과 운영 효율성의 균형을 유지하는 것이 자신의 역할이라고 생각합니다. IT 리더의 4분의 3은 IT 문제에 대한 조직의 주기적 초점에 관계없이 가속화된 디지털 혁신 노력에 힘입어 자신의 역할이 새롭게 발견된 중요성을 유지할 것으로 기대합니다.

그리고 CIO의 80% 이상이 혁신에 중점을 둔 체인지메이커로 간주된다고 말했습니다.

전통적인 IT 서비스 제공에서 보다 전략적인 역할로의 이러한 극적인 전환으로 인해 CIO는 비즈니스 목표에 집중할 수 있습니다. 기술 리더가 경영진에게 비즈니스 사례를 점점 더 많이 제시함에 따라 위험 정량화 접근 방식을 통해 전략적 목표를 달성하고 나머지 C-suite에게 귀중한 통찰력을 제공합니다.

낮음, 중간, 높음, 빨간색, 노란색 및 녹색과 같은 이전 위험 측정 척도는 너무 주관적이었고 이해 관계자는 위험 결정이 비즈니스 요구 사항과 어떻게 일치하는지에 대해 불확실했습니다. 위험을 금전적으로 수량화함으로써 조직은 수익 창출에 미치는 영향을 보여주는 공통 위험 언어를 가질 수 있습니다.

이 공유된 언어는 비즈니스 의사 결정에 중요한 위험에 대한 공유된 관점으로 이어지며 CIO의 역할을 더욱 강화합니다.

또한 위험 정량화의 공유 언어는 경제 상황이 기업이 예산을 검토해야 할 때 시나리오 계획 및 분석을 용이하게 합니다. 위험 완화 전략은 비용면에서 크게 다르며 다양한 금액으로 위험을 줄입니다. 위험 정량화를 통해 CIO는 제어 구현을 비교하고 적절한 완화를 평가하며 이사회에 피드백을 제공할 수 있습니다.

3. 제3자 위험이 더 중요해지고 더 많은 조사를 견뎌야 합니다.

조직은 시설 관리 및 물리적 보안에서 법률 서비스 및 기술 지원에 이르기까지 점점 더 제3자에 의존하고 있습니다.

타사 서비스를 통합하면 내부 프로그램 개발에 대한 부담 없이 전문 기술과 전문 지식을 활용할 수 있어 비즈니스 경쟁력을 높일 수 있습니다. 그러나 조직의 모든 측면을 다루는 제3자 및 공급업체와의 관계가 확장됨에 따라 조직의 취약성 가능성이 커집니다.

공급업체와 협력할 때 공급업체의 위험이 귀하의 위험이 됩니다. 또 뭔데? 제3자는 점점 더 제3자와 협력하고 있습니다. 귀하의 제3자(및 제3자)가 경험한 위반 또는 실패는 귀하의 비즈니스를 위험에 빠뜨립니다. 타사 취약성으로 인해 직면하는 재정적 손실 외에도 조직은 운영 탄력성과 평판 손상의 위험이 있습니다.

기업의 73%는 제3자가 불필요하게 광범위한 권한과 권한으로 고객 데이터를 너무 많이 제어한다고 우려했습니다. 그리고 조직의 거의 절반이 지난 1년 이내에 데이터 침해를 보고했으며, 4분의 3은 너무 많은 특권적 액세스 권한을 가진 제3자가 침해를 일으킨 것으로 보고 있습니다.

위반으로 인한 즉각적인 비즈니스 위협 외에도 잠재적인 고객 신뢰 상실은 규제 벌금이나 평판 위험보다 더 즉각적이고 정량적인 비즈니스 영향을 미칠 수 있습니다. IBM에 따르면 데이터 유출 비용의 38%가 비즈니스 손실로 인해 발생합니다. 평균 $1.52백만에 달합니다.

타사 공급업체에 대한 고객의 신뢰를 구축하고 유지하려면 타사 위험 관리에 대한 사전 예방적 접근 방식이 필요합니다. 경제적 불확실성이 고조되는 가운데, 제3자 회사를 비즈니스로 면밀히 살펴봐야 합니다. 어떤 공급업체가 미션 크리티컬한 공급업체이고 어떤 공급업체가 부정적인 영향을 최소화하면서 제거할 수 있는지 등입니다.

조직이 현재 공급업체를 평가하고 새로운 관계를 승인하는 데 어려움을 겪으면서 제3자 위험 관리가 핵심적인 역할을 합니다. 전체론적 GRC 소프트웨어의 일부인 타사 위험 프로그램은 회사 공급업체에 대한 모든 필수 정보를 중앙 집중화하여 성과, 비용 및 위험을 보다 쉽게 ​​관리할 수 있도록 합니다.

효과적인 제3자 위험 관리는 일관된 공급업체 선별 프로세스, 의미 있는 공급업체 우선 순위 지정 및 지속적인 모니터링의 세 가지 구성 요소로 구성됩니다.

프로세스 검토

제 3자가 조직의 모든 구석에 도달하기 때문에 모든 사람이 위험 관리에서 역할을 수행하여 균열을 통해 떨어지는 것이 없도록 해야 합니다. 회사로서 귀하는 제3자를 평가하기 위한 평가 기준 및 프레임워크에 동의해야 합니다. 또한 핵심 성과 지표를 결정해야 합니다.

계약을 검토하여 약속을 준수하지 않는 공급업체를 식별하고 SLA(서비스 수준 계약)를 보다 엄격하게 시행 및 관리할 수 있습니다. 올바른 전체론적 GRC 소프트웨어를 사용하면 모든 팀 구성원이 이러한 평가를 수행하는 데 필요한 데이터, 도구 및 공통 언어에 액세스할 수 있습니다.

우선순위

대부분의 기업은 수십 개의 공급업체와 협력합니다. 타사 위험 관리의 성공을 보장하는 가장 좋은 방법은 중요한 공급업체의 우선 순위를 지정하는 것입니다. 이러한 순위를 사용하여 공급업체의 중요성을 반영하는 점수 매기기 프로세스와 주기를 개발할 수 있습니다.

시작하려면 다음 단계를 따르세요.

• 운영에 얼마나 필수적인지를 기준으로 각 제3자 관계의 순위를 매기십시오.
• 각 공급업체의 데이터 또는 네트워크 액세스(시스템 및 인증 수준)를 나열합니다.
• 각 공급업체에 대해 사고로 인해 잠재적으로 영향을 받을 수 있는 운영 및 기능을 자세히 설명합니다.
• 이 정보를 사용하여 각 공급업체의 취약성을 평가하는 데 필요한 세부 정보를 결정하십시오.

지속적인 모니터링

대부분의 기업은 일부 실사를 수행하지만 많은 기업이 연간 체크리스트를 넘어 제3자 위험을 모니터링하지 않습니다. 그때쯤이면 정보가 오래되고 공급업체가 규정을 준수하지 않고 비즈니스가 위험에 처할 수 있습니다.

제3자 위험을 지속적으로 모니터링함으로써 관계 초기에 수집된 정보가 아닌 실시간 데이터를 기반으로 취약성을 완화하고 필요에 따라 비상 계획을 수립하기 위해 진화하는 위험 표면에 뒤처지지 않습니다.

TPRM은 팀 스포츠입니다.

제3자 위험 관리는 비즈니스 리더와 내부 감사 팀에서 법무, 규정 준수 및 IT 부서에 이르기까지 모든 사람에게 영향을 미칩니다. 올바른 도구와 명확한 커뮤니케이션을 통해 비즈니스는 공급업체 위험을 관리하여 자신과 고객을 보호할 수 있습니다.

4. ESG 규제 강화

ESG 노력이 고용 결정, 소비자 행동, 이사회 심의 및 투자 전략을 주도하면서 전체론적 GRC의 일부인 환경, 사회 및 거버넌스(ESG)에 대한 대화가 최근 증가했습니다.

2022년 초에 BlackRock과 같은 회사는 지속 가능한 투자를 우선 순위에 두는 것에 대해 목소리를 냈지만 ESG 펀드에 대한 주장과 실제 보고 사이의 모순이 규제 기관의 관심을 불러일으켰습니다.

증권거래위원회는 ESG 펀드에 대한 지침을 제공하기 위해 두 가지 규칙 초안을 제출했습니다. 이 지침은 투자 회사와 펀드에 포함된 회사가 지속 가능성 관련 이름을 사용하기 전에 지속 가능성 주장을 입증하도록 요구합니다.

소비자의 80% 이상이 기업이 ESG 지침을 적극적으로 만들어야 한다고 생각하고 거의 모든(91%) 비즈니스 리더는 조직이 ESG 문제에 대한 조치에 책임이 있다고 생각합니다. 또한 직원의 86%는 자신의 가치를 공유하는 기업에서 일하기를 원합니다.

부패 근절부터 DEI(다양성, 형평성, 포용성) 목표에 대한 책임 유지, 배출량 감소에 이르기까지 기업은 ESG 모니터링 및 보고를 진지하게 받아들여야 합니다. 그렇지 않으면 뒤쳐질 위험이 있습니다.

다양한 프레임워크가 특정 산업에 가장 중요한 ESG 요소를 안내하지만 미국은 ESG에 대해 확립된 표준이 없습니다. 프레임워크는 일반적인 보고 목표를 제공하지만 진행 중인 ESG 관리 관행에 대한 통찰력은 제공하지 않습니다.

모니터링 및 보고를 용이하게 하려면 조직에서 전체적 GRC 프로그램의 일부로 ESG를 다루어야 합니다. 기존 이니셔티브, 데이터 및 목표를 강력한 GRC 소프트웨어에 통합함으로써 ESG 진행 상황과 위험에 대한 더 큰 통찰력을 얻을 수 있습니다.

이러한 노력은 기업이 ESG 약속이 행동과 일치함을 보여주는 보고서를 점점 더 많이 제공함에 따라 성과를 거둘 것입니다.

5. 하이브리드 작업은 인적 위험, 사이버 위험을 도입합니다.

탄력적인 조직에는 모든 운영 영역에서 유연하고 적응 가능한 구조가 필요합니다. 하이브리드 작업은 직원에게 유연성을 제공하지만 운영 위험도 증가합니다.

하이브리드 모델에서 "뉴 노멀"을 수립하기 위해 노력하는 조직은 데이터를 보호하고 직원을 공정하게 관리하며 DEI 목표를 달성하기 위해 변화와 민첩성을 수용해야 합니다.

인재 관리 과제

하이브리드 작업 모델은 관리자가 이중 인력의 문제를 탐색함에 따라 새로운 인력 위험을 초래합니다. 즉, 현장 및 원격 직원과 동등한 관계를 구축하고 유지합니다. 하이브리드 작업 모델의 한 가지 위험은 원격 작업자에게 불리할 수 있는 "돌아다니는 관리" 스타일에 의존한다는 것입니다.

이러한 불일치를 피하려면 조직에서 리더에 투자해야 합니다. 가상 리더십 기술을 육성하고 원격 근무자와 더 나은 연결 및 관계를 구축할 수 있도록 교육 및 개발을 제공합니다.

성과 평가에 대한 접근 방식도 변경해야 합니다. 직원의 "사무실" 시간에 집중하지 마십시오. 근무 장소에 관계없이 직원이 업무 의무를 이행하는지 여부를 기준으로 평가합니다.

DEI 이니셔티브에 대한 장애물

하이브리드 작업 환경을 탐색하는 관리자는 실수로 두 가지 "부류"의 직원을 만들 수 있습니다. 회사 문화와 긴밀하게 연결된 사무실 직원과 회사에 대한 애착이 덜한 원격 직원입니다.

여성과 유색인종은 재택근무에서 더 많은 성취감을 느끼며 백인 남성보다 원격으로 일할 가능성이 더 큽니다. 이러한 선호는 소수 직원의 내부 이동을 방해하고 전사적 DEI 목표의 진행을 위태롭게 할 수 있습니다.

이러한 위험을 방지하려면 데이터를 사용하여 내부 이동성, 성과 평가 및 직원 혜택이 공평한지 여부를 결정하십시오.

데이터를 분석한 후 문제를 식별하고 작업장 전략을 보다 공평한 접근 방식으로 조정합니다. 이러한 질문을 정기적으로 검토하여 팀이 정상 궤도에 있는지 또는 새로운 문제가 발생하는지 확인하십시오.

사이버 보안 및 규정 준수 위협

데이터 침해, 주요 IT 중단 및 랜섬웨어 공격은 2022년 전 세계 기업의 가장 큰 위험 문제로 선정되었습니다. 사이버 보안 위험을 증가시키는 원격 작업은 아무 소용이 없습니다. 원격 지원 직원의 4분의 3 이상이 Gallup에 적어도 2022년까지 원격 또는 하이브리드 방식으로 작업할 계획이라고 말했습니다.

Tessian의 보안 행동 보고서에 따르면 IT 리더의 절반 이상이 직원이 원격 근무 이후 위험한 사이버 보안 습관을 갖게 되었다고 믿고 있으며 직원의 3분의 1 이상이 이에 동의합니다. 직원들이 집에서 일할 때 사무실의 보안 연결이라는 상대적인 안전을 벗어납니다.

원격 직원은 개인 장치에서 작업 자료에 액세스하려는 유혹을 더 많이 받습니다. 커피숍 및 기타 공공 장소에서 일하는 직원을 추가하면 사이버 재난의 비법이 있습니다.

HP Wolf Security 연구에 따르면 직원의 약 3분의 1이 보안 정책을 방해한다고 생각하며 많은 직원이 보안 조치를 우회하기 위해 노력합니다. 보안 회사에 따르면 거의 모든 IT 팀(91%)이 비즈니스 연속성을 유지하기 위해 보안을 타협해야 한다는 압력을 받고 있으며 10개 팀 중 8개 팀이 원격 근무를 잠재적인 침해의 "시한 폭탄"으로 식별했습니다.

데이터 침해 및 랜섬웨어 공격으로부터 보호하는 것은 조직의 사이버 보안 관행 및 정책을 업데이트하는 것으로 시작됩니다.

• 다단계 인증을 채택하십시오.
• 직원 교육에 사이버 보안 보호의 최신 발전 사항이 반영되도록 합니다.
• 마지막으로 IT 직원이 보복에 대한 두려움 없이 의심스러운 커뮤니케이션과 자신의 오류를 보고할 수 있도록 지원합니다.

위험 관리 우선 순위

위험 관리는 모두의 책임입니다. 회복력의 문화를 배양하고 제3자 관계를 통제하면 위험 태도가 향상됩니다. CIO가 체인지메이커로서 권한을 부여하고 강력한 ESG 모니터링 및 보고 관행에 전념할 때 위험은 전략적 이점이 됩니다.

조직의 가장 큰 자산이자 위험인 직원에게 적절한 주의를 기울임으로써 DEI 진행 상황을 보호하고, 끊임없이 진화하는 사이버 위협에 맞서며, 복잡한 하이브리드 환경에서 팀의 효율성을 유지할 수 있습니다.

조직의 사이버 보안 관행을 개선하는 것이 최우선 과제가 되어야 합니다. 인증을 보다 안전하고 쉽게 비즈니스에 적용하려면 싱글 사인온을 선택하십시오.