효과적인 기업 데이터 통합으로 신뢰할 수 있는 고품질 데이터 적시에 활용해야
피터 쿠(Peter Ku)/인포매티카 제품 마케팅 총괄
오늘날의 규제 환경에서 위험을 효과적으로 통제, 관리하여 성과를 달성하고 주주에게 신뢰를 얻을 수 있는 방법은 무엇일까?
통합적인 GRC 전략의 필요성 제기
기업들은 복잡하고 빠르게 변화하는 비즈니스 환경 하에서 거버넌스, 위험 및 규정 준수(Governanc, Risk and Compliance, 이하 GRC)를 관리하기 위해 이전 보다 광범위하고 통합적인 접근 방식을 채택하고 있다. 다시 말해 기업들은 특정한 규정 준수 의무와 개별의 위험 요소를 독립적으로 해결하던 종전 방식에서 벗어나 기업 전반의 GRC 프로세스 상에서 지속 가능성과 일관성, 효율성, 투명성을 확보하기 위해 노력하고 있다. 이를 통해 비용 절감, 포괄적인 위험 관리 및 규정 준수라는 전략적인 이점을 얻을 수 있으며 동시에 비즈니스 민첩성을 향상시켜 신속하고 효율적으로 의사 결정을 내릴 수 있다.
이러한 통합적인 GRC 전략의 필요성은 업계 동향에서도 그 근거를 찾을 수 있다. 규제 기관의 관리ㆍ감독은 지속적으로 강화되고 있으며, 기업의 업무 수행 방식이나 절차에 대한 투자자와 잠재 비즈니스 파트너들의 관심이 증폭되고 있다. 또한 서브프라임 모기지 부실 사태부터 대형 금융 기관의 막대한 거래 손실에 이르기까지, 세간의 주목을 끄는 위험 관리 실패 사례들이 최근 지속적으로 발생함에 따라 규제 및 법적 조치 강화의 움직임에 더욱 힘을 실어주고 있다. 이와 더불어 위험 관리 전략의 정의와 관련된 규제 요건들이 등장하기 시작했으며 기업들의 위험 관리 및 규정 준수 기능이 신속하게 결합해야 할 필요성이 커지고 있다.
통합적인 GRC접근 방식에 따르는 과제
기업들이 GRC에 대해 보다 정형화되고 통합적인 접근 방식을 채택할수록, 데이터에 대한 기존의 신뢰성, 접근성, 적시성, 보안, 관련성 및 품질과 같은 우려와 문제점이 증폭된다. 비즈니스의 복잡성 증가와 글로벌 운영, 리엔지니어링, 광범위한 아웃소싱 등은 지금까지 경험하지 못한 새로운 위험 요소들을 발생시키고 있으며, 동시에 데이터의 신뢰성, 적시성, 품질뿐 만 아니라 효과적인 위험 관리와 적시 보고에 대한 규제는 끊임없이 생성되고 있다. 세계적인 규모로 운영되고 있는 경우 GRC 관리에 사용되는 데이터는 지리적으로 더욱 분산되어 있으며, 새로 도입된 아웃소싱 시스템과 프로세스는 데이터 소스에 통합되지 않고 있다.
또한 위험 관리 및 거버넌스 기능이 결합됨에 따라 상호 연관 및 의존성이 더욱 커지고 있으며, 완전하고 신뢰할 수 있는 적시 데이터와 데이터 무결성에 대한 일관적이고 통합적인 접근 방법의 필요성이 더욱 증가한다.
그러나 아직도 무수한 조직에서 기술, 개발, 데이터 품질과 통합 규칙과 기준들이 중복되어 있으며, 다양한 위험 관리와 규정 준수의 수행에 필수적인 데이터 액세스 및 전달 방법에의 일관성이 결여되어 있다. 즉, 위험 관리와 규제 준수 기능의 병합되고 GRC에 대한 통합적인 접근 방식이 등장함에 따라 이처럼 분산되고 중복되어 있는 데이터와 기술, 절차들을 빠른 시일 내에 정리하는 것도 기업이 해결해야 할 과제가 되었다. 통합적인 GRC 전략에 대해 기업들의 관심이 높아지고 있지만, 중복 투자나 일원화되지 않은 솔루션은 기업의 부담을 가중시킬 수 있으며 지금의 경제 상황은 더욱 이러한 과제를 해결해야 할 필요성이 증가되고 있다.
기업의 GRC 전략 내에서 신뢰할 수 있는 고품질 데이터를 적시에 활용할 수 있도록 하기 위한 청사진을 제시하고자 한다.
1. 데이터 품질 확보가 최우선
품질 문제로 인해 데이터를 신뢰할 수 없다면, 데이터 처리에 대한 모든 투자는 낭비다. 데이터 캡쳐 오류, 열악한 데이터 마이그레이션과 시스템 통합은 데이터 품질을 저하시키고 결국 일상적인 업무 프로세스에까지 영향을 끼쳐 문제를 발생시킨다. 이에 일부 규제에서는 데이터 품질 스코어카드를 통해 데이터 품질을 입증하도록 요구하고 있다. 적절한 기술과 프로세스가 갖추어져 있지 않다면 기업 전반에 걸친 GRC의 구현이 어려울 수 있다. 따라서, 기업의 최우선 과제는 데이터 품질을 확인하고 계량적으로 측정하며, 이를 지속적으로 모니터링하고 적극적으로 향상시킬 수 있는 툴과 프로세스를 마련하는 것이다.
2. 완전하고 신뢰할 수 있는 데이터의 가시성과 투명성 향상
위험 관리와 규정 준수에 대한 압력은 기업 전체를 비롯하여 개별 부서 수준까지 광범위하게 영향을 미친다. 그러나 이러한 압력에 효과적으로 대응하는 데 필요한 데이터는 기업 전반에 분산되어 있으며 이를 위한 애플리케이션과 데이터베이스, 방법 또한 너무나도 다양하다. ERP와 같은 패키지 애플리케이션을 제외하더라도 GRC 에 필요한 데이터의 상당량이 엑셀이나 파워포인트, PDF 파일과 같은 비정형 방식으로 존재하며 접근성이 떨어지는 메인프레임에 저장되어 있다. 기업들은 모든 데이터에 효율적으로 접근할 수 있어야 하며 데이터 품질 문제와 데이터 격차(gap), 비호환성 등을 프로파일링하기 위한 도구를 마련해야 한다.
3. 민첩성 증가 및 실시간 위험 감소
위기 상황에서의 시간은 또 하나의 위험 요소이다. 오래된 데이터에 의존하는 것은 상당히 위험하다. 기업들은 일괄처리든 실시간이든 어떠한 처리 조건 하에서도 트랜잭션 소스 시스템에서 생성되는 데이터를 직접 캡쳐하고 변경사항을 확인하고 데이터를 정제하고 변환하여 의미를 분석하고 활용할 수 있어야 한다.
4. 데이터 계보(Lineage) 및 영향 분석을 통한 감사 및 문서화 요구 사항 충족
최근의 규제들 중에서도 특히 사베인-옥슬리 법과 바젤II는 데이터의 생산 및 활용에 대해 감사할 수 있는(auditable) 프로세스와 이에 대한 문서화를 요구한다. 금융 기관의 경우, 감사 가능한 데이터 통합 프로세스를 보유함으로써 Basel II의 자본 보유고 요구 수준을 낮출 수 있다. 그러나 이러한 방법은 적절한 기술과 아키텍처가 없다면 많은 비용이 들고 구축하기 어렵다. 특히 이는 데이터 요소의 계보(Lineage)를 이해하고 데이터 소스, 변환 및 변경 사항을 확인 하기 위한 모든 메타데이터를 활용할 수 있는 능력을 필요로 한다. 동시에 메타데이터를 활용하여 기존의 보고서와 프로세스 상의 데이터베이스에 대한 변경 사항이 가져올 영향도 이해할 수 있어야 한다. 이러한 능력을 갖춘 기업들은 데이터 통합과 전달을 위한 반복적이고 조직적인 프로세스를 구현할 수 있으며, 데이터 프로세스의 문서 자동 생성을 통해 감사 요구 사항을 충족 시킬 수 있다.
5. 복잡한 데이터의 효율적인 처리를 통한 GRC 비용 절감
오늘날 GRC를 위해 기업에서 사용되는 주요 데이터의 상당량은 복잡한 데이터의 형태를 띠고 있으며, 기본적으로 다른 기업용 데이터와의 통합이나 액세스가 어렵다. 이러한 데이터에는 비정형 스프레드시트 데이터나 레거시 형식의 반정형 데이터, SWIFT 등의 표준 그리고 복잡한 정형 데이터가 포함된다. 기업들은 기업 내부뿐 만 아니라 외부와도 다양한 통합 시나리오에서 복잡한 데이터를 교환할 수 있어야 한다. 이를 위해 어떠한 시스템에서도 정보를 가져와 변환하고 어떠한 사용자나 시스템에도 유용한 형태로 전달할 수 있는 플랫폼과 자동화된 프로세스가 필요하다. 이러한 업무가 플랫폼이나 자동화된 프로세스 없이 사용자에 의해 임의로 수행될 경우, 결과적으로 비용이 많이 들고 취약하고 비효율적인 인터페이스로 인해 기업의 민첩성과 의사 결정의 적절성 및 신속성을 저하시킨다.
결론
거버넌스, 위험 관리 및 규정 준수는 서로 긴밀하게 연계되어 있다. 따라서 기업들은 모든 규제 및 비즈니스 관련 위험에 자신 있게 대처하고 비즈니스 프로세스와 의사 결정 과정을 최적화하여 낮은 비용으로 규제 준수를 달성하기 위해서 GRC와 관련된 다양한 데이터 통합, 데이터 품질 및 복잡한 데이터 문제를 해결할 수 있는 포괄적인 플랫폼과 프로세스를 확보해야 한다. 기업의 성공적인 GRC 전략은 효과적인 기업 데이터 통합에 의해 좌우된다. 포괄적이고 신뢰할 수 있는 고품질 데이터를 적시에 활용할 수 없다면 무수히 많은 GRC를 여러 측면에서 종합적이고 전략적으로 관리하기 어렵다는 점을 유념해 둘 필요가 있다.
피터 쿠(Peter Ku)/인포매티카 제품 마케팅 총괄
ikim@informatica.com