공급망의 복잡성, 경제적 불확실성, 디지털화 증가 등의 문제 속에서 많은 조직들이 공급업체를 추가하거나, 현재 비즈니스를 위해 협력하는 업체와의 기존 관계를 변경하고 있습니다.
원격 근무가 늘어나면서 많은 회사들이 클라우드 공급업체를 추가하게 되었습니다. 공급망 백로그로 인해 회사가 현지 공급업체로 전환했을 수도 있습니다. 또는 인력을 늘리는 대신 유연한 역량을 갖춘 마케팅 대행사 또는 기타 유형의 컨설턴트를 추가했을 수도 있습니다.
이러한 결정은 기업이 변화하는 환경에 적응하고 탄력성을 구축하는 데 도움이 될 수 있지만 공급업체와 협력함으로써 새로운 리스크도 야기될 수 있습니다. 사내 데이터 보안 프로세스와 같은 문제는 회사가 충분히 처리할 수 있다고 생각할 수도 있지만, 공급업체도 이러한 보안 영역의 요구 사항에 부합하는지 확인해야 합니다.
내부 감사 팀은 공급업체 리스크 관리와 관련하여 중요한 감독 역할을 담당할 수 있습니다. 공급업체와 관련된 구체적인 관리 결정을 내리지는 않을 수 있지만 공급업체를 선정할 때 적절한 실사를 따르도록 하는 데에는 여전히 관여할 수 있습니다. 그리고 공급업체와의 관계가 확립되면 내부 감사 팀은 이러한 절차를 모니터링하여 조직이 새로운 리스크에 노출되지 않도록 할 수 있습니다.
공급업체 리스크 관리와 관련된 주요 문제는 무엇일까요?
소프트웨어 공급업체, 관리형 서비스 공급업체, 청소 용역 회사 등과 같은 제3자와 협력하면 기업이 현재 역량의 격차를 메우고 효율성을 높이는 등의 이점을 누릴 수 있습니다. 그러나 내부 감사 팀은 조직이 모든 잠재적 리스크를 파악하고 관리하고 있는지 확인해야 합니다.
- 사이버 보안: 내부 감사 팀은 공급업체의 사이버 보안 관행을 검토하여 이러한 관행이 데이터 보안 제어, 해결 기능 등에 대한 조직의 기대치를 충족하는지 평가해야 합니다.
- 규정 준수: 제3자 공급업체는 고객 데이터를 부적절하게 저장하거나 불법적인 비즈니스 관행에 참여하는 등 규정 준수 리스크를 초래할 수도 있습니다. 이러한 공급업체 문제가 조직에 대한 법적 조치로 이어지지 않더라도 내부 감사자는 이러한 문제를 미리 파악하여 평판 손상을 방지하는 것을 목표로 해야 합니다.
- ESG: 환경, 사회 및 거버넌스(ESG) 조사가 점점 더 공급망으로 확장되고 있으며 자칫하면 평판 리스크를 초래할 수도 있습니다. 내부 감사자는 공급업체가 자사 ESG 목표에 어떻게 부합하는지 평가하기를 원할 것입니다. 이러한 평가는 결과적으로 추가 제어 수단 구현으로 이어질 수 있습니다. 예를 들어 조직이 공급업체 오염물질 배출 등의 문제를 확인할 수 있도록 데이터 공유 관행을 확립할 수 있습니다.
- 품질: 공급업체가 주변의 추천을 받은 공급업체이거나 널리 알려진 공급업체이더라도 공급업체가 기대하는 품질을 제공할 것이라고 그냥 받아들이지 마십시오. 내부 감사자는 조직이 여전히 적절한 실사를 수행하여 해당 공급업체와의 협력을 통해 기대하는 작업 품질을 확보할 수 있는지 여부를 확인해야 합니다. 리스크 관리에는 공급업체 성능 제어 기능을 살펴보고 기존 제3자 공급업체가 적절한 품질 표준을 유지하는지 확인하는 것도 포함될 수 있습니다.
이러한 리스크는 제3자와 협력할 때 발생할 수 있는 많은 중요 리스크 중 일부일 뿐입니다. 공급업체가 또 다른 제3자의 자체 네트워크를 보유하고 있을 수도 있으며 이러한 네트워크는 궁극적으로 조직에 영향을 미칠 수 있습니다.
귀사의 공급업체와 또 다른 제3자와의 모든 연결 지점을 파악하는 것은 불가능할 수 있지만 공급업체의 제3자 리스크 관리 관행이 어떻게 이루어지는지는 평가하길 원할 것입니다.
내부 감사자가 제3자 리스크 관리를 어떻게 개선할 수 있을까요?
내부 감사자만 공급업체 리스크 평가를 담당해서는 안 되지만 앞서 언급한 공급업체 리스크 관리 문제를 염두에 두고 다른 부서들과 협력하여 이러한 리스크를 파악해야 합니다.
예를 들어 내부 감사자는 IT 리더들과 협력하여 공급업체 보안 실사 체크리스트를 만들 수 있습니다. 그런 다음, 내부 감사 통제 기능을 통해 이 체크리스트가 모든 공급업체 검토 시 사용되도록 할 수 있습니다.
내부 감사 리더는 제3자 공급업체에 대한 성과 지표 수집과 같은 감사 프로세스에 분석을 통합하여 조직의 품질 기대치를 지속적으로 충족하는지 여부를 평가할 수도 있습니다.
그러나 감사 보고서에 분석을 추가하는 작업은 노동 집약적인 수동 프로세스인 경우가 너무 많으며, 이런 경우 데이터 오류와 같은 자체 리스크가 초래될 수 있습니다. TeamMate Audit Benchmark에 따르면 내부 감사 팀의 79%가 다른 애플리케이션의 데이터를 수동으로 활용하는 것으로 나타났습니다..
TeamMate+와 같은 감사 도구를 사용하면 내부 감사자가 다른 플랫폼과의 자동화된 API 교환을 통해 필요한 제3자 데이터를 얻을 수 있으므로 리스크를 지속적으로 모니터링할 수 있습니다. 그런 다음 자동화된 보고서를 생성하여 다른 부서와 분석 정보를 공유함으로써 제3자 리스크를 파악할 수 있습니다.
이러한 단계를 따라서 진화하는 공급업체 관리 리스크를 파악하면 내부 감사 팀은 조직이 제3자 파트너십을 최대한 활용하면서 안전을 유지하도록 도울 수 있습니다.
