기업 GRC, CFO와 CIO 협업이 필요하다
GRC(Governance, Risk management and Compliance)를 지나가는 유행으로 생각한다면 오산이라고 전문가들은 지적한다. 그럼에도 기업들은 매 사안별로 대응하거나 솔루션 도입으로 GRC 구현이 완료되는 것으로 여기고 있다. 가트너와 AMR리서치, 포레스터리서치 등 리서치 전문업체들은 GRC의 구현 방법과 인식에 혼란이 많다며 그 원인을 △통합·포괄적인 GRC 전략과 접근의 부재 △GRC 벤더들의 과도한 마케팅 △CFO와 CIO의 긴밀한 협력 부재에서 찾고 있다.
◇GRC 구현은 끝없는 마라톤=GRC를 염두에 둔 IT 프로젝트와 프로세스가 증가하고 있다. 또 기업 GRC를 법규제에 따르는 수동적 대응이 아니라 투자 유치 및 투자자 보호 차원에서 능동적으로 대응해야 한다는 의견도 확산되고 있다. 그러나 GRC 이니셔티브를 IT 및 비즈니스 요구와 어떻게 정렬시켜야 하는지 명확한 방법론이 없는 상태에서 여전히 많은 기업들이 GRC 구현과 추진 방법을 혼란스러워 하고 있다.
컨설팅 업체와 리서치 기관들은 기업들의 단편적인 GRC 대응을 그 원인으로 보고 있다. GRC를 사안에 따라 개별적으로 대응하는 것에서 벗어나야 한다는 것이다. 기업의 IT 전략, 아키텍처 결정, 애플리케이션들을 GRC 관점에서 통합·포괄적으로 추진해야 할 필요성이 제기되고 있다.
미국의 경영 컨설팅 업체인 e비즈큐(ebizQ)는 기업들이 한 시대를 풍미하는 유행처럼 GRC에 접근하고 있다고 지적했다. GRC 프로세스와 프로그램의 효율성을 높이기 위해서는 컨트롤 자동화와 정보 가용성이 필수지만 이에 대한 기업들의 관심은 저조하다. 포레스터리서치 역시 성공한 기업들은 거버넌스 효율화와 효과적인 리스크 측정 및 관리, 컴플라이언스 충족에 노력하고 있다며 각각의 기능들을 통합 구현할 때 얻는 혜택을 이해하는 것이 중요하다고 강조한다.
◇단일 솔루션으로는 GRC 해결 어려워=GRC의 진정한 성공은 GRC 이슈를 전체론적인 관점으로 보는 데서 출발한다. 특정 컴플라이언스나 거버넌스 이슈에 초점을 맞추는 것뿐 아니라 통합 플랫폼, 최소한 통합 프레임워크가 구축돼야 한다. 법규제와 비즈니스 목표에 맞는 일관된 비즈니스 프랙티스를 제공하는 것이 GRC의 가치다.
그럼에도 GRC가 잘못 인식되고 있는 것에는 솔루션 벤더들의 영향도 크다. 존 해거티 AMR리서치 부사장은 “GRC에 대해 10명에게 물어보면 20개의 대답이 돌아올 것”이라며 “GRC 정의보다 소프트웨어 패키지 하나 구입한 것으로 모든 문제를 해결할 수 있다고 생각하는 것이 문제”라고 지적했다.
GRC 솔루션에 대한 회의적인 시각은 가트너도 마찬가지다. 7월 중순 가트너가 발행한 리서치 노트는 2010년 이후에나 포괄적인 GRC 관리 솔루션이 등장할 것으로 기술하고 있다. GRC 솔루션 벤더들은 자사 제품이 포괄적 GRC 구현을 지원한다고 주장하지만 가트너는 현재 GRC 솔루션을 미성숙한 제품으로 평가하고 있다.
가트너 정의에 따르면 포괄적인 GRCM(GRC Management) 솔루션이란 재무회계와 IT, GRCM 운영을 통합 지원하며 기술과 재무회계 각각에서 도출된 리포트가 통합된 형태로 제공되는 것이다. 가트너 리서치 노트는 “복합적인 GRCM은 감사(audit), 컴플라이언스, 리스크와 정책 관리를 포함해야 한다”며 “현재 복합 GRCM에 초점을 맞추고 있는 벤더는 없다”고 기술하고 있다. 거대 GRC 시장 선점을 위한 벤더들의 마케팅 메시지가 기업들의 혼란을 지속시키고 있다는 지적이다.
◇CFO와 CIO의 긴밀한 협력 필요=GRC의 많은 부분이 재무회계와 연관돼 있어 CFO의 리더십 또한 요구된다. 미 GRC저널은 CFO를 GRC 총책임자로 보고 있으며, CIO와 CFO의 긴밀한 협업이 기업 GRC를 성공으로 이끈다고 역설하고 있다.
CFO가 기업 GRC 책임자로 적역인 것은 GRC에서 재무회계가 차지하는 비중이 크기도 하지만 기업 비즈니스를 전반적으로 파악할 수 있는 CFO의 독특한 위치 때문이다. 재무회계 보고서, 실적 관리, 예산 작업과 그외 재무회계 프로세스 등은 CFO가 기업의 모든 비즈니스와 사업부에 실질적으로 참여하도록 하며 세부적인 통찰력을 확보할 수 있도록 해준다. 기업 비즈니스와 업무 부서에 대한 전체적인 관점은 전사 컴플라이언스를 구현하는 데 특히 중요하다.
GRC저널은 CFO 책임론과 함께 현대 사회에서 컴플라이언스 목표를 수행하는데 콘텐츠관리시스템(CMS), 보안, 워크플로, 그 외 많은 솔루션들이 강력한 지원군 역할을 하고 있다고 전한다. 또 컴플라이언스 요구를 충족시킬 수 있도록 특별히 설계된 솔루션들이 속속 발표되고 있으며, 그 결과 CIO들은 중요한 영향력을 갖고 있다고 지적했다. 하지만 그럼에도 기업 GRC를 위한 CFO와 CIO의 협력은 미미하다. 어느 한쪽에 CCO(Chief Compliance Officer)의 역할을 맡기더라도 GRC의 특성상 CFO와 CIO의 공통 리더십이 요구된다.
성공적인 GRC 구현은 결국 인력에 달려 있다. AMR리서치는 2008년 GRC 관련 시장이 32억달러 규모이며, 규모에 상관없이 거의 모든 기업들이 GRC 기술과 서비스에 막대한 비용을 지출할 것으로 보고 있다. 하지만 GRC 비용의 3분의 2가 인건비일 것이며, 인력에 의존하는 만큼 강점과 약점이 동시에 존재한다고 설명한다. 한 명의 직원이 GRC 활동을 부주의하거나 나태하게 처리하면 그 대가는 기업 전체가 치르기 때문이다.
박현선기자 hspark@etnews.co.kr