내부 통제를 설정하고 모니터링하여 준수 보장하는 방법

내부 통제 체계 구축을 위한 모범 사례 및 전문 소프트웨어를 활용한 실질적인 구현 방안.

통제“라는 용어는 원래 GRC(거버넌스, 리스크, 컴플라이언스) 분야에서 위험을 관리하고 컴플라이언스를 보장하기 위한 메커니즘을 설명하기 위해 사용되었으나, 이제는 전략적 계획에 더 널리 적용되고 있습니다.

인포그래픽: GRC를 위한 5가지 핵심 내부 통제 요소 구현

이 기사에서는 통제 설정실질적 사용에 대한 모범 사례를 공유하겠습니다.

내부 통제 소개

본질적으로, “통제”는 위험을 관리하고 준수를 보장하기 위해 사용되는 대응 또는 예방 메커니즘입니다.

예시 통제: “직원이 회사를 떠남

  • 행동 계획: 이메일 리디렉션
  • 행동 계획: 고객에게 알림
  • 효과성 측정 지표: 로그인 비활성화 [증거 기반]
  • 효과성 측정 지표: 고객에게 알림을 받은 비율
  • 위험: 워크플로우 중단
Automating Internal Controls with Functional Scorecards

통제의 구성 요소

통제는 특정한 구성 요소를 가지고 있습니다:

구현 예시

자동화 관점에서, 통제는 다음과 같을 수 있습니다:

  • 진행 상황에 맞춘 측정치가 있는 실행 계획처럼 간단하거나
  • 각각의 자체 측정치, 위험 추정, 완화 계획, 맥락적 의존성 및 책임자를 가진 계층적 통제 및 하위 통제 세트처럼 복잡할 수 있습니다.

통제는 특정한 적용 영역을 가지고 있어, 특정 통제가 언제 작동되어야 하는지를 정의합니다.

전략적 계획에서 통제를 구현하기 위해 사용할 수 있는 도구를 탐색해 봅시다.

1. 통제의 정의

초기 단계에서 우리의 목표는 경영진의 과거 경험을 적절하게 통제 또는 공식적인 대응 메커니즘으로 매핑하는 것입니다.

일반 속성

통제를 식별하는 기본 사항에는 의미 있는 이름을 부여하고 설명에서 그 목적을 설명하는 것이 포함됩니다. 정의:

  • 통제를 촉발하는 조건,
  • 통제의 범위.
구현 예시

BSC Designer에서:

  1. 추가 버튼을 사용하여 새 항목을 만듭니다.
  2. 이름 및 설명 필드를 통해 통제를 식별합니다.
  3. 관련 과거 목표, 이벤트 또는 규제 요구 사항과 통제를 교차 연결합니다.
How to Describe Goals and Indicators in a Scorecard
Strategy Cascading or Alignment on Practical Level

지원 문서

더 복잡한 통제는 정책절차와 같은 지원 문서를 필요로 합니다. 관련 문서에 대한 링크를 제공하거나 통제에 업로드하십시오.
구현 예시

BSC Designer에서:

  • 설명 대화 상자를 통해 통제에 문서를 추가합니다.
  • 이니셔티브 대화 상자를 통해 통제의 실행 계획에 문서를 추가합니다.
How to Describe Goals and Indicators in a Scorecard

사용자 정의 속성

조직은 통제 정의의 자체 표준을 따르며, 이는 통제 또는 관련 실행 계획에 대한 특정 속성을 의미합니다.
구현 예시

BSC Designer에서:

  • 사용자 정의 필드를 통해 통제의 필요한 속성을 정의하십시오.
  • 새로운 필드는 통제, 지표, 이니셔티브에 사용할 수 있습니다.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

소유권

대부분의 통제는 일정 수준의 인간 개입을 필요로 합니다. 통제가 자율적으로 실행되도록 설정되더라도 감독은 여전히 필수적입니다.
구현 예시

예를 들어, 소프트웨어 유지 관리 통제는 업데이트를 자동화할 수 있지만, 업데이트가 실패할 경우 충돌을 해결하기 위해 IT 전문가가 필요합니다. BSC Designer에서:

  1. 통제에 대한 책임자를 사용자로 추가; 해당 인물을 팀에 할당합니다.
  2. 책임자 필드를 통해 해당 인물이나 팀을 통제의 책임자로 지정합니다.

책임자는 통제와 관련된 알림을 받게 됩니다.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

인증 / 승인

통제 또는 지표의 정의를 완료하기 위해 공식적인 인증이나 승인이 필요할 수 있습니다. 경영진은 내부 통제가 규제 및 내부 요구 사항을 준수함을 증명합니다.
구현 예시

BSC Designer에서:

  • “인증 상태” 및 “인증자”와 같은 통제의 속성을 정의하기 위해 사용자 정의 필드를 사용하십시오.
  • 통제를 증명할 때, 경영진은 이러한 속성을 업데이트할 수 있습니다.
  • 적절한 인증이 없는 통제를 식별하기 위해 보고서에서 필터를 사용하십시오.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

인증되지 않은 통제를 비활성화하지만 실적표에 유지하려면:

  1. 통제를 선택하십시오.
  2. 성과 탭으로 전환하십시오.
  3. 원시 데이터 지표 체크박스를 활성화하십시오.

통제의 정렬

통제는 고립되어 존재하지 않습니다. 다양한 통제, 목표, 위험 및 사건 간에 필요한 맥락적 연결을 설정하십시오. 전략 실행 시스템에서 논의된 바와 같이, 통제는 기능적 실적표를 통해 전략에 구현됩니다.
구현 예시

BSC Designer에서:

  • 실적표 간에 항목을 복사하여 붙여넣습니다.
  • 프롬프트가 나타나면 맥락에 의한 연결 옵션을 사용하여 두 항목을 연결합니다.
Strategy Cascading or Alignment on Practical Level

통제 목록

반복적인 통제를 위해 통제 라이브러리를 만드십시오. 특정 이벤트가 발생할 경우, 라이브러리에서 복사하여 쉽게 통제를 배치할 수 있습니다. 미리 정의된 템플릿과 통제 구현을 동기화하려면 플랫폼에서 사용할 수 있는 동기화 기능을 사용하십시오.
구현 예제

BSC Designer에서:

  1. 통제에 전용된 실적표를 만드십시오.
  2. 계층 구조를 사용하여 통제를 조직하십시오.
  3. 필요할 때 활성 실적표로 통제를 복사하십시오.
Automating Internal Controls with Functional Scorecards

2. 통제의 수량화

효과성 지표

통제에 대한 지표를 사용하면 통제가 더 구체적이 되며 다양한 해석을 피할 수 있습니다. 추적할 지표를 정의하십시오:

  • 표준 준수
  • 통제의 효과성
  • 행동 계획의 진척도
구현 예시

예를 들어, 사건 보고에서:

  • 효율성 지표는 “사건 보고 교육을 받은 인원 비율”일 수 있습니다.
  • 효과성 지표는 “적절히 전달되지 않은 사건의 비율”일 수 있습니다.

BSC Designer에서:

  • 통제 항목 내에서 지표를 추가하려면 추가 버튼을 사용하십시오.

전체 성과

통제의 효과성 지표가 정의되면, 개별 지표의 성과에 대한 가중 평균을 사용하여 통제 적용의 총 효과성을 계산할 수 있습니다.
이행 예시

BSC Designer에서:

  1. 지표 선택
  2. 성과 탭으로 전환
  3. 지표의 가중치 변경

통제의 성과/진행 상황은 해당 열에 표시됩니다.

Creating an Index Indicator with Weighted Metrics

효율성 지표

상황에 따라 선행 지표를 사용하십시오. 후행 지표와 달리, 선행 지표는 통제의 전반적인 성과에 직접 기여하지 않지만, 통제의 효율성을 이해하는 데 있어 귀중한 통찰력을 제공할 것입니다.

구현 예시

BSC Designer에서:

  1. 지표 선택하기
  2. 맥락으로 전환하기
  3. 지표의 유형을 선행으로 변경하기
BSC Designer에서 선행 지표 대 후행 지표

위험 평가

통제는 위험 정의를 포함하거나 위험위험 등록부와 일치시킬 수 있습니다.

위험 평가는 다음과 같을 수 있습니다:

  • 통제 실행의 기폭제 또는
  • 특정 행동 방침을 선택하기 위한 조건.
구현 예

BSC Designer에서:

  1. 새로운 지표 생성
  2. 그 유형을 ‘위험’으로 변경
  3. 위험 가능성과 영향 지표 업데이트
BSC Designer에서 목표에 위험을 추가하는 단계

Binary Control

이진 지표의 가능한 상태:

  • 할당되지 않음 – 해당 통제의 일부가 아직 실행되지 않음
  • – 해당 통제의 일부가 성공적으로 실행되었음을 나타냄
  • 아니오 – 해당 통제의 일부가 성공적으로 실행되지 않았음을 나타냄
구현 예시

예시: “새로 식별된 위협을 고려하여 비즈니스 연속성 계획 업데이트”는 이진 지표로 자동화될 수 있습니다. BSC Designer에서:

  1. 지표 선택
  2. ‘일반’ 탭으로 전환
  3. 측정 단위를 “예/아니오”로 변경
Binary Indicators: An Example of Usage for Internal Controls

정성적 관리

정성적 지표는 보다 구체적인 정량적 추정이 아직 개발되지 않았거나 개발하는 것이 비용 효율적이지 않을 때 관리를 위해 사용됩니다.

구현 예시

예: 관리 정책 관리 및 커뮤니케이션은 가능한 상태와 함께 정성적 지표인 준수 정책 커뮤니케이션의 효과성으로 평가될 수 있습니다:

  • 매우 효과적 (100): 직원들이 준수 정책을 명확히 이해합니다.
  • 적당히 효과적 (60): 일부 직원들이 정책을 이해합니다.
  • 비효과적 (10): 직원들이 대체로 정책을 인식하지 못합니다.

BSC Designer에서:

  1. 지표 선택
  2. 측정 단위 옆의 편집 버튼을 클릭하여 사용자 지정 측정 단위 추가
Using Qualitative and Quantitative Measurement Units on Scorecards

정량적 제어

제어를 보다 구체적으로 하기 위해 정량적 또는 수적 지표가 사용됩니다. 정량적 지표의 경우, 지표의 현재 상태가 출력 성과에 어떻게 영향을 미치는지를 예로 들어, 성과 공식을 정의할 수 있습니다.

구현 예시

예시: 특정 제어의 구현 효과성을 평가하기 위해 내부 감사를 수행하여 % 정책 준수를 추적합니다. 이 경우 성과 공식은 선형 극대화로, 목표는 100%입니다. 또 다른 예로는 목표가 24시간인 선형 최소화로 구성된 평균 탐지 시간 지표가 있습니다.

BSC Designer에서:

  • ‘Performance’ 탭으로 전환하여 성과 함수를 정의합니다.
  • ‘Data’ 탭으로 전환하여 지표의 현재 상태, 기준선 및 목표를 정의합니다.
Practical Use of the Optimization Function for KPIs in BSC Designer

증거 기반 통제

증거 지표는 업로드된 문서/증거의 수에 따라 상태가 변경됩니다.

구현 예제

예를 들어, 백업 및 복구 테스트 통제는 통제의 성공적인 실행을 증명하기 위해 테스트 결과나 로그를 업로드해야 할 수 있습니다.

BSC Designer에서:

  1. 지표를 선택하십시오
  2. 측정 단위를 증거로 변경하십시오
  3. 지표에 문서를 업로드하여 상태를 변경하십시오
GRC 실적표에서 통제를 통한 증거 추적 자동화

3. 통제를 위한 이니셔티브

실행 계획

통제를 적용하는 것은 특정 예방 또는 대응 조치를 따르는 것을 포함하며, 이는 마감일, 예산, 책임자가 있는 고전적인 프로젝트 관리와 유사합니다.
실행 예

BSC Designer에서:

  • 이니셔티브 도구를 사용하여 통제에 실행 계획을 추가하십시오.
  • 위험 및 효율성 지표를 이니셔티브와 정렬하십시오.
  • 이니셔티브에 책임자를 지정하십시오; 이 사람은 상태가 변경될 때 알림을 받게 됩니다.
How to Add an Initiative to a Goal in Strategic Planning

실행 계획 추적

실행 계획의 실행을 추적하는 것은 일반적으로 통제 범위의 일부입니다. 통제와 일치하는 지표 중 하나를 사용하여 실행 계획의 진행 상황을 추적할 수 있습니다.
구현 예시

BSC Designer에서:

  1. 통제에 새로운 이니셔티브를 추가합니다.
  2. 이니셔티브 대화 상자를 엽니다.
  3. ‘정렬된 KPI’ 필드에서 진행 KPI를 선택합니다.
Using KPIs to Track the Progress of an Initiative

4. 시간 경과에 따른 통제 추적

주기적 통제

일부 통제는 주기적인 수정이 필요합니다. 이러한 수정은 통제의 기계적 부분과 주기적인 통제의 적용을 포함합니다. 특정 통제는 한 번만 활성화하면 됩니다.
구현 예시

통제의 기계적 부분 수정 예시:

  • 준수 체크리스트 수정 – 연간 수정
  • 지식 보유, % – 분기별 수정

통제의 주기적 적용 예시:

  • 취약점 스캐닝 – 매월 수정/업데이트

한 번만 시작되는 통제 예시:

  • 초기 위험 평가 – 한 번 업데이트

BSC Designer에서:

  • 정기적인 수정을 예약하기 위해 지표의 업데이트 간격 설정을 사용하십시오.
업데이트 간격으로 데이터 일관성 보장

통제 상태 업데이트

주기적인 통제를 위해, 통제를 위해 정의된 지표의 상태를 업데이트하십시오.
구현 예제

BSC Designer에서:

  1. 통제의 지표를 선택하십시오
  2. 내부 달력에서 날짜를 선택하십시오
  3. ‘데이터’ 탭으로 전환하십시오
  4. ‘값’ 필드에 새로운 상태를 입력하십시오
Continuous Monitoring of KPIs in BSC Designer

제어 상태의 상속

제어에 사용되는 일부 지표는 이전에 알려진 상태를 상속받으며, 다른 지표는 구체적으로 입력된 업데이트만을 사용합니다.

구현 예시

예를 들어:

  • 훈련된 직원의 % – 5월에 훈련된 직원의 비율이 6월에도 동일하거나 증가할 것이라고 가정할 수 있기 때문에 고유 지표일 가능성이 큽니다.
  • 월별 매출 수익 – 실제 월별 판매 데이터를 추적하는 것이 중요하기 때문에 비고유 지표일 가능성이 큽니다.

BSC Designer에서:

  1. 지표를 선택합니다
  2. 값 편집기 버튼을 클릭합니다
  3. 지표의 상속 유형을 변경합니다
Two Options for Inheriting Previous State of an Indicator

5. 보고 통제

대시보드의 제어

제어 및 상태의 시각적 표현을 만드십시오. 시간에 따른 지표의 변화, 위험 상태 및 위험 완화 계획을 추적하십시오.
구현 예제

BSC Designer에서:

  1. 대시보드 탭으로 전환합니다.
  2. 이니셔티브를 위한 간트 차트, 위험 다이어그램 및 제어와 상태를 나열한 다이어그램을 포함하여 관련 차트를 추가합니다.
Adding a Chart to a Dashboard in BSC Designer

위험 추정에 대한 통제

통제의 효과를 정량화하는 후행 지표는 위험의 가능성 또는 영향을 정량화하는 데 사용할 수 있습니다.
구현 예제

BSC Designer에서:

  • 데이터로 위험 등록부의 위험 영향 또는 위험 추정 지표와 통제의 후행 부분을 연결하십시오.
내부 통제의 효과성으로 위험 식별 및 평가

보고서에서의 통제

통제의 상태 및 그 실행 결과는 관련 이해관계자에게 보고할 수 있습니다.
실행 예시

BSC Designer에서:

  • ‘Report’ 메뉴를 사용하여 다양한 보고서를 생성하십시오
  • ‘Report’ 메뉴의 ‘Schedule’ 버튼을 사용하여 보고서를 이해관계자에게 자동으로 전송하십시오
Report the Status of Goals and KPIs to the Stakeholders

책임

통제의 실행 결과를 기록하는 것은 책임성과 미래 학습을 위해 중요합니다.
구현 예시

BSC Designer에서:

  • 통제의 설계 및 실행과 관련된 모든 활동은 감사 로그에 기록됩니다.
  • 계정의 관리자는 메뉴 > 사용자 > 감사 추적을 통해 감사 로그에 접근할 수 있습니다.
Accountability and Transparency with Audit Trail in Strategic Planning

통제 사용의 실제 예시

실제 예시를 논의해 봅시다. 직원이 회사를 떠날 때 활성화되는 통제를 고려해 보세요.

예시 구조:
GRC 통제 라이브러리의 예시

GRC 통제를 위한 라이브러리 구조 예시입니다. 출처: BSC Designer에서 GRC 통제 라이브러리 온라인 보기 GRC 통제 라이브러리.

통제 라이브러리

통제 라이브러리에는 인사(HR) 섹션이 있으며, 그 중 하나의 통제는 “직원이 회사를 떠남”입니다.

이 통제에는 세 가지 행동 계획이 있습니다:

  • 이메일 재전송.
  • 고객 연락.
  • 지식 이전 계획.

또한 두 가지 측정 기준이 있습니다:

  • 로그인 비활성화 (증거 기반).
  • 고객 통지 비율.

또 다른 측정 기준은 통제의 주기적 검토에 사용됩니다:

  • 지식 유지 (%)

위험은 다음과 같이 통제를 위해 정의됩니다:

  • 위험: 업무 흐름의 중단
  • 완화 계획: 중요 기능 문서화

이벤트 실적표

저는 “HR 이벤트”라는 이름의 실적표를 가지고 있으며, 관련 HR 이벤트가 기록됩니다. 이 실적표는 이벤트 유형별로 구성되어 있습니다.

통제 적용하기

직원이 회사를 떠날 때 따라야 할 단계는 다음과 같습니다:

  1. 이벤트 실적표에 새로운 이벤트를 만듭니다. 예: “Alex가 회사를 떠났다.”
  2. 제어 라이브러리에서 적절한 통제를 복사하여 이벤트 실적표에 붙여넣습니다.
  3. 통제 책임자는 새로 생성된 실행 계획에 대해 자동으로 통보를 받습니다.
  4. 로그인이 비활성화되었음을 증명하는 증거(스크린샷)를 업로드합니다.
  5. 고객에게 통보하고 “통보 받은 고객 비율” 지표를 업데이트합니다.
  6. 실행 계획의 상태를 “검토 중”으로 업데이트합니다.

Training program교육 세션: 'BSC Designer for Automation of GRC Controls'은 저희의 지속적인 학습 프로그램의 일환으로 제공되며, BSC Designer 구독에 포함되어 있습니다.

교육 세션은 매주 Zoom을 통해 제공되며, 실용적인 통찰력과 개인 맞춤형 지침을 제공합니다. 완료 후 참가자는 수료 인증서를 받습니다. 모든 사용 가능한 교육 세션을 여기에서 탐색하십시오.

추가 예시

제어 사용에 대한 추가 예시는 다음 기사에서 찾을 수 있습니다:

GRC 제어 라이브러리 템플릿 사용하기

BSC Designer는 조직이 복잡한 전략을 구현할 수 있도록 도와줍니다:

  1. 플랫폼에서 무료 플랜에 가입하세요.
  2. Scorecard Template GRC 제어 라이브러리 템플릿을 시작점으로 사용하세요. New > New 실적표 > More Templates에서 찾을 수 있습니다.
  3. 우리의 전략 구현 시스템을 따라 이해관계자와 전략적 목표를 포괄적인 전략으로 정렬하세요.

오늘 시작하여 BSC Designer가 귀하의 전략 구현을 어떻게 간소화할 수 있는지 확인해보세요!


다음과 같이 인용하십시오: Alexis Savkín, "내부 통제를 설정하고 모니터링하여 준수 보장하는 방법," BSC Designer, 11월 11, 2024, https://bscdesigner.com/ko/grc-controls.htm.

Leave a Comment

이 사이트는 Akismet을 사용하여 스팸을 줄입니다. 댓글 데이터가 어떻게 처리되는지 알아보세요.