하이브리드 모델로 재편한 제3자 리스크 관리 체계
딜로이트 관리형 서비스를 통한 글로벌 금융기관의 전환
고객 직면 문제 및 이슈 (Situation)
통합적, 전사적제3자 리스크관리(TPRM) 체계 구축 과제에 직면
“내 일에 신경 끄고 너나 잘하세요.” 어릴 적 남의 일에 지나치게 참견하는 친구에게 한 번쯤 해봤을 말이다. 개인사에서는 귀찮은 참견을 떨쳐내는 효과가 있을 수 있지만, 현실의 비즈니스 세계에서는 이러한 태도가 바람직하지 않다. 글로벌 경제 환경에서는 고객, 임직원, 기업의 평판에 잠재적 위험을 초래할 수 있는 요소를 어느 하나라도 외면할 수 없기 때문이다. 오늘날 ‘자기 일에 집중’하기 위해서는 역설적으로 타인의 비즈니스에도 건전한 관심을 가져야 한다.
대부분의 대기업은 핵심 운영 서비스부터 호스팅 기술 솔루션에 이르기까지 다양한 영역에서 제3자에 의존하고 있다. 그러나 이러한 필수적인 외부 솔루션은 동시에 새로운 리스크를 수반한다. 딜로이트의 고객사인 한 글로벌 대형 금융기관 역시 바로 이 지점에서 어려움에 직면해 있었다. 해당 기관은 글로벌 산업 표준과 규제 요건에 부합하기 위해 사이버 보안, 개인정보보호, 업무 연속성, 재무 건전성, 뇌물·부패 방지 등 복수의 리스크 범주를 동시에 관리해야 했다.
문제는 단일 벤더가 아닌, 대규모 벤더 집단 전체를 동시에 관리해야 한다는 점에서 복잡성이 커졌다는 점이다.
해당 금융기관은 복잡한 벤더 생태계 전반에 대한 가시성을 확보할 수 있는 제3자 리스크 관리(TPRM , Third-Party Risk Management) 프로그램의 설계와 구축을 위해 딜로이트의 지원을 요청했다. 이 프로그램은 효율성과 실효성을 동시에 갖춰야 했으며, 기업 내 모든 사업 부문이 제3자 리스크를 단일한 관점과 기준으로 관리할 수 있도록 해야 했다. 이처럼 광범위한 통합적 시각을 구현하는 데에는 상당한 시간이 필요했다. 그러나 해당 금융기관은 이러한 과정에 투입할 시간 자원이 충분하지 않았다.
"기업의 경계가 사라진 지금, 리스크도 함께 확장됩니다."
해결 방안(Solution)
인간 전문성과 기술 지원이 포함된 딜로이트의 TPRM 통합 지원
제3자 리스크 관리(TPRM) 프로그램을 단기간 내 구축·가동하는 일은 자칫 막대한 부담이 될 수 있었지만, 해당 금융기관은 딜로이트와의 협업으로 부담을 상당 부분 덜어낼 수 있었다. 딜로이트의 Operate Services는 고객사 조직의 연장선으로 기능하며, 관리형 서비스(managed service)에 하이브리드 접근 방식을 적용했다. 딜로이트의 Hybrid Operate 솔루션은 인간의 전문적 판단(human intelligence)과 첨단 기술을 결합해 리스크를 관리하고, 복잡한 이슈를 해결하며, 지속적인 성장 가능성을 뒷받침한다.
먼저 ‘사람’ 중심의 접근은 TPRM 프로그램의 각 리스크 도메인에 맞춰 개별 공급업체에 대한 리스크 평가 과정에 인간적 상호작용을 체계적으로 통합하는 데 초점을 맞췄다. 고객사 현장에 상주한 인력과 원격으로 근무한 딜로이트 전문가들은 벤더들과 직접 대화를 나누며 제공 서비스의 실질적 내용을 확인했다. 이 과정에서 벤더가 제공한 정보에 대해 객관적 증빙 자료가 존재하는지 검증했으며, 필요 시에는 공급업체 현장 방문이 가능하도록 프로세스를 설계했다. 딜로이트 팀은 각 벤더의 통제 체계에서 이미 인지된 이슈를 면밀히 검토하고, 그에 따른 잠재적 영향과 권고 대응 방안을 제시할 수 있었다.
기술 측면에서는 고객사가 딜로이트의 TPRM Operate 플랫폼을 활용할 수 있도록 연계해, 평가 수행, 상시 모니터링, 리스크 감지를 지원했다. 이를 통해 고객사는 제3자 관계 및 리스크를 관리하는 보다 효율적이고 체계적인 새로운 방식을 확보하게 됐다. TPRM Operate 플랫폼은 벤더와의 커뮤니케이션, 업무 흐름 관리, 이해관계자 협업, 리스크 리포팅 등 다양한 기능을 단일 허브에서 통합적으로 수행할 수 있도록 설계됐으며, 확장된 기업 생태계 전반에 걸친 리스크와 성과를 한눈에 조망할 수 있는 통합적 시각을 제공했다.
"최고의 인재, 최고의 기술 — 진정한 솔루션은 둘 다 갖춰야 합니다."
추진 결과 (Impact)
리스크 관리 역량 확장과 신뢰 기반의 외부 생태계 운영
딜로이트의 TPRM 관리형 서비스(Managed Service)는 고객사에 다음과 같은 역량을 제공하는 확장 가능한 제3자 리스크 관리 프로그램을 구현했다.
- 단일 리스크를 개별적으로 바라보는 수준을 넘어, 리스크 전반을 통합적으로 조망할 수 있는 시각
- 제3자와의 협업을 기반으로 구축한 서비스를 보다 신속하게 시장에 출시할 수 있는 역량
- 워크플로 및 리포팅 기능을 통한 TPRM 투명성 강화
- 벤더와의 연결성 제고를 통한 운영 성과 및 협업 품질 개선
- 뉴스 모니터링과 같은 저비용 옵션을 포함한 다양한 TPRM 데이터 솔루션 활용
- 규제 변화 및 감사 요구에 대해 보다 민첩하게 대응할 수 있는 역량
아울러 고객사의 벤더들 역시 TPRM 프로그램에 대한 피드백을 제공할 수 있었으며, 이를 통해 기존에 제기됐던 불편 사항이 해소됐다. 그 결과, 기업과 벤더 양측 모두에서 TPRM 접근 방식에 대한 신뢰도가 한층 제고되는 효과가 나타났다.
새롭게 구축된 TPRM 프로그램은 공급업체 리스크 전반에 대한 광범위하고 일관된 가시성을 제공함으로써, 기업이 타사의 잠재적 리스크에 과도하게 신경 쓰지 않아도 안정적으로 외부 생태계를 운영할 수 있게 됐다. 또한 고객사는 딜로이트의 Operate Services를 통해 리스크 관리 자체에 매몰되기보다, 본연의 비즈니스 성장에 역량을 집중할 수 있는 환경을 확보하게 됐다.
복잡한 제3자 리스크 관리, 이제 딜로이트와 함께 하세요
