액센츄어(Accenture)는 컴플라이언스 책임자 860명을 대상으로 2021년 8월부터 9월까지 설문조사를 시행하여 컴플라이언스 리스크 보고서(Compliance Risk Study 2022 Report)를 2022년도에 발표하였다. 설문조사에 참여한 기업은 전세계에 10개 섹터(은행, 에너지, 보건 서비스, 보험, 생명과학, 소프트웨어 및 플랫폼, 통신, 유틸리티, 여행, 호텔)로 구성되었다. 보고서의 주요 내용을 아래와 같이 소개한다.
사전 예방적 접근성 향상
컴플라이언스 기능은 기존에 대응 및 자문 역할로만 사용되었다면 이제는 사전 예방적 도구로 전환되고 있다. 컴플라이언스 기능은 기업의 타 기능과 긴밀하게 협력하며 비즈니스, 시장 및 규제 개발 대응에 원활하게 적용되고있다. 많은 기업이 데이터 기반 통찰력을 활용하여 새롭고 업데이트된 규정을 해결함으로써 규제 관행을 상향 조정하고 있다.
비용 압박에 대응
기술에 투자하고 컴플라이언스 리스크 관리를 지원하는 데 필요한 인프라와 도구를 업그레이드해야 함에도 불구하고 컴플라이언스 담당자들은 비용절감 조치가 시행되는 환경에서 지속적으로 증가되는 컴플라이언스 비용에 대처해야 하는 과제를 안고 있다.
컴플라이언스 담당자는 기업이 이러한 리스크 영역을 관리하고 소통하는 데 핵심적인 역할을 수행한다. 이를 위해서는 투자자, 고객 및 기타 내부 및 외부 이해관계자에게 데이터 보호, 기후변화 및 사회적 책임이 핵심 기업 가치임을 입증해야 한다.
사이버 보안
모든 분야의 연구 응답자들은 근무 환경이 온/오프라인 하이브리드 형태로 전환됨에 따라 사이버 보안 리스크 관리에 대한 과제를 강조했다. 직원 및 제3사 공급업체가 현재 전 세계 어디에서든 원격 네트워크를 통해 회사의 시스템에 액세스하고 있기 때문에 기업 데이터의 보안은 CCO(Chief Compliance Officer)뿐만 아니라 CISO(Chief Information Security Officer)의 관심사가 되어 지속적인 모니터링 및 업데이트가 요구되고 있다.
ESG
컴플라이언스 담당자들은 ESG에 점점 더 초점을 맞추고 있다. 기후변화에서 온실가스 배출, 작업장 안전에서 인권, 이사회 다양성에서 경영진 보상 등에 이르기까지 글로벌 규제가 증가하고 있다. 예를 들어, 많은 사람들은 증권거래위원회(Securities and Exchange Commission), 노동부(Department of Labor), 환경보호청(Environmental Protection Agency), 연방에너지규제위원회(Federal Energy Regulatory Commission)를 비롯한 미국 규제기관이 미국 경제의 모든 부문에 영향을 미칠 수 있는 ESG 규정을 발표할 것으로 기대하고 있다.
유럽에서도 정부와 국제회계기준(International Financial Reporting Standards)을 포함한 표준 제정 단체가 새로운 국제지속가능성기준위원회(International Sustainability Standards Board)를 설립하였다. 그들은 지속가능성 공개에 대한 글로벌 표준을 만들고 상장기업의 정보공개 의무화을 위해 노력하고 있다. ESG 분야에 있어 기업은 다른 어떤 영역보다 지속적으로 관련성이 있고, 적응력이 뛰어나며, 기술 중심적인 컴플라이언스 기능이 필요하다.
기업 간 협업 구축 및 컴플라이언스 문화 육성
컴플라이언스 부서는 전사적인 리스크 관리 활동과 조직 전체의 리스크 프로세스를 조정하기 위한 노력을 점점 더 적극적으로 수행하고 있다. 전사적인 데이터 기반 리스크 평가는 기업이 비즈니스의 컴플라이언스 노출 및 취약성을 평가하는 데 필요한 투명성과 신뢰성을 제공할 수 있다.
액센츄어 연구에 따르면 기업들이 전사적으로 컴플라이언스 책임을 공유하는 문화를 구축하는 노력이 증가하고 있다는 것으로 나타났다. 이를 위해 응답자 중 절반 가까이가 컴플라이언스 인력을 훈련시켜 기업 전체에 컴플라이언스 문화를 조성할 계획인 것으로 나타났다. 그리고 약 40%가 이 목표를 달성하기 위해 새로운 기술에 투자할 계획이다.
또한 응답자의 90%가 이전에는 컴플라이언스 부서에서만 수행해왔던 일부 업무가 다른 부서에도 이전되고 있다는 데 동의하거나 강하게 동의했다. 컴플라이언스 담당자 절반 이상이 2년 안에 리스크 평가 프로세스가 3차 방어선 및/또는 통제 수준에 걸쳐 기업 전체에 완전히 조정될 것으로 기대한다고 말했다. 현재 19%만 리스크 평가 프로세스가 기업 전체에 통합되었다고 응답했다.
의사 결정을 위한 데이터 기반 통찰력 활용
조사 응답자의 절반 이상(52%)은 제3자 리스크를 적절히 식별하고 평가할 수 있는 데이터와 정보가 부족하다고 응답했다.
액센츄어의 연구는 이러한 데이터와 정보 격차를 해결하기 위해 다음과 같은 관행을 제시한다.
- 컴플라이언스 및 내부감사 부서가 동일한 데이터를 사용하여 리스크 관리, 모니터링 및 테스트를 통해 효율성 향상
- 데이터를 모니터링하고 문제를 해결하기 위한 일관된 프로세스 구축
- 규제 의무를 정책, 표준, 리스크 등으로 매핑하여 컴플라이언스의 격차와 약점을 포괄적으로 파악
디지털 기술을 보다 효과적으로 활용
AI, 머신러닝(ML) 등과 같은 신기술은 컴플라이언스 분야에서 효율성을 창출할 수 있다. 컴플라이언스 리스크 연구 응답자 10명 중 9명 이상(93%)은 AI, 클라우드 등 신기술이 만약 인간의 작업을 자동화하고, 인간의 실수를 제거하며, 프로세스를 보다 효과적이고 효율적으로 만들어 준다면 컴플라이언스 업무를 더욱 쉽게 할 수 있다고 동의하거나 강하게 동의했다. 클라우드 기반 플랫폼에 대한 투자는 비즈니스 전반의 리스크 프로세스 조정을 촉진할 수 있고, AI는 반복 가능한 작업을 자동화하여 리스크를 줄일 수 있다.
그러나 기업들은 컴플라이언스 업무에 신기술을 도입하는 데 어려움을 겪고 있다. 데이터 품질 및 관리 저하, 데이터 개인 정보 보호 요구사항 증가, 기술 및 인재 부족 등으로 인해 컴플라이언스 업무를 클라우드로 전환하는 데 어려움을 겪고 있다.
응답자 중 3분의 1(37%)은 기술 투자의 부족으로 문제가 악화되고 있다고 응답했다. 이로 인해 컴플라이언스 기능은 비즈니스 모델, 사이버 범죄, 비즈니스 및 규제의 급속한 진화에 대응하고 리스크를 파악하는데 점점 더 어려워 질 수 있다. 놀랍게도 61%의 컴플라이언스 담당자들만 향후 2년 안에 컴플라이언스 기능에 대한 투자를 늘릴 것으로 예상하고 있다.
데이터 기반 기술의 발전은 컴플라이언스 프로세스와 조직 통찰력을 개선하는 데 강력한 결과를 낳는다.
예를 들어, 모든 업계에서 사용되는 주요 관행은 다음과 같다.
- 컴플라이언스 매핑을 위한 AI 및 ML 활용, 엔드 투 엔드(end-to-end) 규정 변경 관리, 자동화된 컴플라이언스 테스트 및 모니터링
- 이러한 기술을 전사적으로 조정하여 효율성 및 투명성 향상
리스크가 더욱 복잡해지고 상호 관련성이 높아짐에 따라 거버넌스, 리스크 및 컴플라이언스(Governance Risk Compliance, GRC)의 필요성이 더욱 중요해지고 있다. GRC 분야의 기술과 프로세스 발전에도 불구하고 규제, 비즈니스 및 리스크 환경이 끊임없이 진화하는 상황속에서 기업이 컴플라이언스 요구사항의 규모와 복잡성을 처리하는 데 있어 여전히 어려움을 겪고 있다.
이에 대응하기 위해 기업은 AI와 ML을 활용하는 차세대 GRC 및 규제 감시 툴 및 솔루션을 활용하여 컴플라이언스 리스크 관리에 대한 부담을 줄이는 동시에 향상된 분석 기능을 제공하는 것이 중요하다. 이러한 도구와 솔루션은 지난 몇 년 동안 더욱 널리 보급되고 수용되어 GRC 이니셔티브에서 효율성, 효과성 및 민첩성을 촉진하는 데 사용할 수 있는 문을 열었다.
