(정의)

기업 등 조직이 투명한 지배구조(Governance)와 리스크 관리(Risk Management), 그리고 업계와 정부의 규정을 준수하는(Compliance) 활동을 통합적으로 관리하는 경영 전략을 말한다. 
 

(장점) 

이 세 가지를 따로따로 관리하면 상당한 업무 중복과 불필요한 비용 증가가 뒤따르게 되고 경영진의 적절한 의사 결정에 방해가 되어왔다. 
  
조직이 커지면서 유관 정보를 한 곳으로 집중하거나 유관 부서에 공유시킴으로써 불필요한 중복을 피해 비용 절감과 효율성 및 투명성을 확보할 수 있고 더 적절한 의사 결정을 할 수 있도록 통합적인 관리가 필요하게 되었다.

(연혁)

2007년 비영리 국제 조직인 OCEG(Open Compliance and Ethics Group)가 기업 등 조직이 정해진 목표를 달성하고 불확실성을 관리하며 윤리적으로 행동하도록 돕는 표준 모델을 제시하면서 GRC라는 개념이 나왔다. 

이러한 개념이 나오게 된 것은 회계 부정으로 수많은 피해자를 낸 이른바 엔론 사건이 직접적인 동기로 알려져 있다. 이 사건으로 수많은 피해자와 종업원들이 회사의 부정으로 자신들의 미래를 잃게 되었다.
 

(GRC의 핵심 구성요소)

① 지배구조(Governance)
경영진이 기업 등 조직의 활동과 의사 결정을 감독하고 통제해 기업의 목표와 윤리 기준에 맞게 투명하게 운영되도록 이사회 및 경영진의 책임을 매기는 등 체계를 갖춰 경영진의 올바른 의사결정을 유도한다.

② 리스크 관리(Risk Management)
재무, 운영, 보안, 법규 등 조직에 영향을 주는 다양한 위험을 식별, 평가, 모리터링하고 이를 줄이기 위한 대응 방안을 마련하는 프로세스를 말한다.

③ 법령 및 규정 준수(Compliance)
관련 법령 및 업계 규제, 내부 규정 및 정책을 지키도록 관리하는 활동 전반을 가리키며 자주 바뀌는 규정이나 의무사항을 적시에 파악, 적절한 조치를 유도한다.
 

(GRC 시행의 주요 효과)

- 효율성 향상: 중복된 관리 활동을 통합하여 비용과 시간을 줄이고 조직 목표를 안정적으로 달성

- 위험 감소: 보안과 재무 그리고 법률 리스크를 사전에 관리 가능

- 투명성 강화: 정보 공유 및 책임 체계 확립

- 규정 준수: 법적 제재 및 평판 하락 등의 예방 

- 체계적 대응: 데이터 보호와 사이버 보안 및 개인정보 보호 규제 등 복잡한 규제 환경에서 체계적인 대응이 가능하게 된다.
 

(GRC의 운영 방법)

△ 정책이나 규정 정비
윤리강령이나 정보보호 정책 그리고 내부통제 기준 등 문서화된 규칙을 만들고 주기적으로 갱신한다.

△ 위험의 식별과 평가
사이버 공격이나 내부자 자료 유출 등 리스크 목록을 만들고 리스크 발생 시 영향의 수준과 발생 가능성을 점수화한다.

△ 통제와 모니터링
접근 통제나 권한 관리, 로그 점검, 내부 감사와 교육 등 통제 활동을 벌이고, GRC 솔루션으로 이행 여부를 점검한다.
 

(한계)

GRC 체제 도입으로 비용 부담의 문제가 수반되지만 대기업과 달리 중소기업은 조기 투자비용 과다의 문제가 뒤따른다. 그리고 규제 환경이 급속히 변하므로 시스템과 정책을 주기적으로 바꿔 나가야 하는 부담이 있다.
 

(사)한국기업윤리경영연구원 자문교수실