AI 도입 속도가 빨라지면서 기업의 리스크 관리 방식도 근본적으로 달라지고 있다. 하버드 비즈니스 리뷰(Harvard Business Review) 애널리틱 서비스가 최근 발간한 리포트 '회복력 있는 기업: AI를 활용한 거버넌스·리스크·컴플라이언스 연결(The Resilient Enterprise: Using AI to Connect Governance, Risk, and Compliance)'은 AI가 기업 내 거버넌스·리스크·컴플라이언스(GRC) 기능을 사후 통제 장치에서 미래를 내다보는 전략적 도구로 전환시키고 있다고 분석한다. 사이버 위협, 공급망 교란, 지정학적 불안정이 동시에 뒤얽히는 오늘날, 리스크를 먼저 감지하지 못하는 기업은 한순간에 위기에 빠질 수 있다.

사후 통제에서 사전 예측으로, GRC의 대전환

AI는 거버넌스·리스크·컴플라이언스(GRC) 기능을 사후적 감시 체계에서 보다 능동적이고 예측 가능한 전략 역량으로 재편하고 있다. 과거에는 주로 정책 준수 여부를 점검하는 역할에 머물렀던 GRC가 이제는 조직이 혼란을 예측하고 불확실성을 관리하며 신뢰를 유지하는 데 필요한 통찰의 원천으로 자리 잡고 있다.

그러나 전문가들은 AI가 모든 것을 해결해 준다는 환상을 경계한다. 노스캐롤라이나 주립대학교 엔터프라이즈 리스크 관리 이니셔티브 소장인 마크 비즐리(Mark Beasley) 교수는 "AI를 단순한 기술 도입 과제로만 바라보는 것이야말로 기업이 지금 직면한 가장 큰 리스크 중 하나"라고 지적한다. 명확한 책임 소재와 의사결정 권한 없이 빠르게 움직이는 조직이 결국 문제에 빠진다는 것이다. AI는 어디까지나 사람의 판단을 보조하는 도구이지, 판단 자체를 대체할 수 없다는 원칙이 GRC 혁신의 핵심에 깔려 있다.

사일로를 허무는 '연결된 리스크' 생태계

리포트가 주목하는 가장 중요한 변화는 '연결된 리스크(Connected Risk)' 모델의 부상이다. GRC 분야에서 진행 중인 가장 중요한 구조적 전환은 전통적으로 분리된 조직 기능에 걸쳐 데이터, 인력, 프로세스를 통합하는 운영 모델인 연결된 리스크로의 이동이다.

헬스케어 기업 휴마나(Humana)는 이 변화를 실제로 구현한 대표 사례다. 휴마나의 최고 감사·리스크 책임자 에린 바넷(Erin Banet)은 감사, 리스크, 사업 연속성, 제3자 리스크, 모델 거버넌스를 단일 조직 기능으로 통합해 관리한다. 그는 연결된 리스크가 단순히 보고 체계를 재편하는 수준을 훨씬 넘어선다고 강조하며, 일관된 데이터 모델과 방법론, 그리고 전사적인 리스크·통제 상호작용에 대한 공유된 가시성이 필수라고 설명한다.

기업 여행·경비 관리 플랫폼 나반(Navan)의 감사·리스크·컴플라이언스 책임자 에린 뎀프시 휴웨터(Erin Dempsey Heuwetter)는 처음부터 연결된 리스크 프로그램을 설계하며 AI 도구를 통해 데이터를 중앙화하고 업무 흐름을 자동화했다. 그는 "목표는 통제를 중앙화하는 것이 아니라 리스크 정보를 분산하는 것"이라며, "사업 부서 담당자들이 GRC팀과 동일한 리스크 데이터에 접근할 수 있게 되면 GRC를 기다리지 않고도 더 나은 결정을 내릴 수 있다"고 말한다. GRC가 병목이 아니라 실질적인 사업 조력자가 되는 순간이다.

AI 거버넌스와 인간 감독의 균형

AI가 GRC에 깊숙이 들어올수록 AI 자체를 어떻게 통제할 것인지가 새로운 과제로 떠오른다. AI는 이제 독자적인 기업 리스크 범주가 됐다. 단순히 광범위하게 배치됐기 때문만이 아니라, AI 시스템이 어떻게 작동하는지, 결정이 어떻게 생성되는지, 산출물을 어떻게 설명하고 추적하며 관리할 수 있는지에 대한 명확한 가시성을 이해 관계자들이 갖지 못하는 경우가 많기 때문이다.

이에 대응해 각국 규제 기관도 움직이고 있다. EU의 인공지능법(Artificial Intelligence Act)은 고위험 AI 시스템에 대한 투명성, 문서화, 리스크 관리, 인간 감독에 관한 공식 요건을 수립했으며, 미국에서는 국립표준기술연구소(NIST)의 AI 리스크 관리 프레임워크가 시스템 전 생애주기에 걸친 AI 관련 리스크 식별·평가·관리를 위한 자발적이지만 영향력 있는 기준으로 활용되고 있다.

바넷은 이 모든 과정에서 인간의 판단이 반드시 개입해야 한다고 강조한다. AI가 이상 징후를 포착하고 변화를 제안하고 격차를 드러낼 수 있지만, 무엇이 중요하고 무엇이 수용 가능하며 어떤 조치를 취할지는 결국 사람이 결정해야 한다.

데이터 품질과 GRC 인재의 재정의

AI 기반 GRC가 실제로 작동하려면 신뢰할 수 있는 데이터가 전제되어야 한다. 바넷은 "AI를 포함한 어떤 신기술이든 깨끗한 데이터의 중요성은 아무리 강조해도 지나치지 않다. 쓰레기를 넣으면 쓰레기가 나온다"고 단호하게 말한다. 통합되고 신뢰 가능한 데이터야말로 AI가 맥락을 갖춘 정확한 인사이트를 제공할 수 있는 근본 조건이다.

한편 AI 도입은 GRC 인력 구조도 바꾸고 있다. 자동화로 반복 업무가 줄어들면서 전통적인 피라미드형 인력 구조는 다이아몬드 형태로 평탄화되고 있다. 진입 수준의 역할은 줄어드는 대신, 데이터를 해석하고 판단을 적용하며 복잡성을 관리할 수 있는 중견 전문가에 대한 수요가 커지고 있다. 몇 년 전만 해도 감사 전문가에게 AI나 데이터 분석 역량이 필수가 아니었지만, 이제는 기본 요건이 됐다. 뎀프시 휴웨터는 오히려 역설적인 현상을 지적한다. AI 도구가 고도화될수록 이전에 다루지 못했던 리스크 영역이 드러나며 감사·리스크 전문가에 대한 수요는 더 늘어날 것이라고 전망한다.

FAQ( ※ 이 FAQ는 본지가 리포트를 참고해 자체 작성한 내용입니다.)

Q. GRC가 무엇인지, 왜 AI와 연결되는 건가요?

A. GRC는 기업의 지배구조(Governance), 리스크 관리(Risk), 규정 준수(Compliance)를 통합적으로 다루는 경영 체계입니다. AI는 방대한 데이터를 실시간으로 분석해 리스크를 사전에 감지하고 대응 속도를 높일 수 있어, GRC 기능을 사후 점검에서 사전 예측으로 전환하는 핵심 기술로 주목받고 있습니다.

Q. AI가 GRC에 도입되면 기존 직원들이 일자리를 잃게 되나요?

A. 단순 반복 업무는 자동화되지만, AI 도입으로 오히려 리스크 전문가에 대한 수요는 늘어날 것으로 전망됩니다. AI가 더 많은 리스크 영역을 가시화할수록 이를 해석하고 판단할 수 있는 전문 인력의 필요성이 커지기 때문입니다. 다만, 데이터 분석과 AI 활용 역량은 이제 필수 요건이 됐습니다.

Q. AI 기반 GRC에서 사람의 역할은 무엇인가요?

A. AI는 데이터를 분석하고 이상 징후를 찾아내며 초안 수준의 판단을 제시하는 역할을 합니다. 그러나 무엇이 진짜 중요한 리스크인지, 어떤 조치가 적절한지, 그리고 최종 책임은 반드시 사람이 져야 합니다. AI 도입이 가속화될수록 인간의 판단과 감독은 더욱 중요해집니다.

기사에 인용된 리포트 원문은 Optro에서 확인할 수 있다.

리포트명: The Resilient Enterprise: Using AI to Connect Governance, Risk, and Compliance

이미지 출처: AI 생성 콘텐츠

해당 기사는 챗GPT와 클로드를 활용해 작성되었습니다.