가트너(www.gartner.com)는 규제 준수가 IT 리스크와 보안 조치 계획에서 CIO의 제 1순위 고려사항이 되지 않아야 한다고 조언했다. 컴플라이언스는 리스크 관리 프로그램을 적절하게 운영한 결과이지 CIO의 의사 결정을 좌우해서는 안 된다는 것이다.
존 휠러 가트너 리서치 이사는 “기업이 개별 컴플라이언스 요건을 충족시키기에 급급 하다면 위기관리 리더보다 규칙을 따르는 추종자에 머물게 된다”며 “CIO는 컴플라이언스가 비즈니스 의사 결정을 좌우하는 상황을 지양하고 기업의 잠재적 위협을 적극적으로 관리하는 리스크 리더가 돼야 한다”고 말했다.
리스크 리더는 주요한 규제 및 비즈니스 변화를 추적함으로써 예상되는 컴플라이언스 리스크를 평가한다. 이후 전략적이고 적극적으로 컴플라이언스 요건을 충족할 계획을 세움으로써 회복력을 개선하고, 비즈니스를 성공으로 이끌 수 있다.
휠러 이사는 “다수의 기업이 여전히 컴플라이언스 활동을 체크박스 점검 활동 정도로 취급하면서 근본적인 리스크에는 신경을 쓰지 않고 있다. 기업은 체크박스 점검 차원의 소극적인 태도를 벗어나서 컴플라인언스를 리스크로 인식해야 한다”고 강조했다.
급증하는 규제 요건을 감안하면, 기업이 미래 지향적인 적응 방안을 고안하기란 쉽지 않다. CIO는 개별 규제를 따라 가는데 그치는 경우가 많고 이러한 관행은 반드시 중단돼야 한다.
CIO는 자사 비즈니스에 적용되는 리스크를 선별하고 실제 상황을 바탕에 둔 공식적이고, 논리적인 통제 조치를 만들어야 한다. 미리 선별된 통제 조치에 규칙과 법을 반영해야 하며, 법이 적절하게 다루어질 수 있도록 방어 가능한 논거를 마련해야 한다는 것이 휠러 이서의 주장이다.
그는 “컴플라이언스는 통제 맵핑 및 방어 활동에서 다뤄지는 리스크의 한 카테고리로 볼 수 있다. 급변하는 규제 환경에 적응가능하며 예상 리스크로부터 기업을 보호할 수 있는 공식 프로그램을 구축하기 위해서는 보안 및 리스크 관리 팀과 CIO의 협력이 중요하다”고 덧붙였다.
