IT거버넌스 통합 프레임워크, COBIT기반 통제 프레임워크 설계 및 성숙도 진단 사례 발표
한국정보시스템감사통제협회(ISACA 회장 황경태 동국대 교수, www.isaca.or.kr) 산하 IT거버넌스(Governance)연구회는 지난 2월 27일 한국정보사회진흥원 지하 1층 대강당에서 IT거버넌스의 방향성을 모색하는 월간세미나를 개최했다.
이날 세미나에는 국민대 전성현 교수가 IT거버넌스 통합 프레임워크를 소개했고,굿어스(Goodus) 전호영 책임이 코빗(COBIT)기반 통제 프레임워크 설계 및 성숙도 진단 사례를 발표했다.
윤성규 기자 sky@rfidjournalkorea.com
ISACA 황경태 회장은 “이번 세미나는 학계와 산업의 다양한 분야 전문가들의 활발한 주제발표 및 토의를 통해 좀더 명확하고 바람직한 IT거버넌스의 방향을 함께 모색할 수 있는 기회를 제공하는데 목적을 두고 있다”며 “ISACA코리아 산하 분야별 연구회 조직을 IT거버넌스연구회로 통합한후 온라인 커뮤니티와 별도로 오프라인 세미나를 마련하게 됐다”고 설명했다.
주제발표에 나선 전성태 교수는 “최근 IT거버넌스에 대한 관심이 고조되고 있으나 IT거버넌스가 무엇인지 여전히 혼란스러운 상황”이라며 “IT 거버넌스의 개념과 목적에 대한 명확한 이해가 필요하며, 이를 통해 IT 거버넌스의 통합 프레임워크를 마련하는 것이 필요하다”고 말했다.
두 번째 주제발표에 나선 굿어스 전호영 책임은 실제 수행했던 COBIT기반의 IT거버넌스 사례를 소개했다. 전 책임은 “COBIT 4.0을 기준으로 IT거버넌스 중점영역 별 통제 목표를 설정한 후 기업 환경에 맞는 통제 프레임워크를 도출했다”며 “이후 프로세스 별 성숙도 평가를 실시하고 평가결과를 바탕으로 IT거버넌스 개선 로드맵을 제시했다”고 설명했다
이날 주제발표에 나선 전성현 교수와 전호영 책임의 발표 내용을 요약 정리한다.
■ 국민대 경상대학 비즈니스IT학부 전성현 교수
‘비즈니스 관점에서 IT의 관리 통제’가 IT거버넌스 목표
거버넌스란 거버넌스 대상 활동에 부합하는지(효과성, Effectiveness)와 이 활동이 원칙과 기준에 따라 투명하게 이뤄지는지(투명성, Transparency)를 확인하고 그 활동의 결과에 대한 책임(책임성, Accountability)을 묻는 활동이다. 이러한 거버넌스를 확보하기 위한 제반 제도, 법규, 조직과 절차를 일컬어 거버넌스 체계(Governance Structure)라고 한다.
IT거버넌스는 이런 효과성, 투명성, 책임성을 IT에 적용한 것이다. IT가 조직 목표 달성에 기여하는가, IT 활동이 원칙과 기준에 따라 수행되는가, IT 활동의 결과에 대해 누가 책임을 질 것인가를 감사하고 통제하는 것이다.
EA(엔터프라이즈 아키텍처)와 IT거버넌스의 차이를 놓고 혼동하는데 EA는 IT거버넌스를 위한 관리통제구조라고 할 수 있다.
IT거버넌스는 IT 관리통제의 방향과 방식을 근본적으로 바꾼다. 암묵적이던 것은 명시적으로, 자체적이던 것은 외부적으로, 비공식적이던 것은 공식적으로 바뀌는 것이다.
IT거버넌스의 목표는 비즈니스 관점에서 IT를 관리 통제하는 것이다. IT 비즈니스가 투명한가, IT 비즈니스를 책임지는가, IT 비즈니스가 성과를 거두고 있는가 등을 관리 통제하는 것이다.
IT거버넌스 프레임워크는 IT거버넌스 수단인 기술수단(조직, 프로세스)과 사회수단(문화, 인력)을 엔터프라이즈 IT 활동 측면에서 효과성, 책임성, 투명성을 관리 통제하는 것이다. IT거버넌스 수단별로 무엇을 대상으로 할 것인가(거버넌스 대상), 무엇을 할 것인가(거버넌스 구성활동), 어떻게 할 것인가(거버넌스 수단설계)를 따져봐야 한다.
■ 굿어스 전호영 책임
IT거버넌스, 기업 거버넌스의 일부로 인식해야
COBIT 기반의 통제 프레임워크 설계 및 성숙도 진단 사업은 경영진, 관리자, 실무자로부터 다양한 IT 요구가 발생하면서 시작된다. IT거버넌스와 관련된 다양한 주제로 자유로운 토의로 요구를 구체화해야 한다. 다음으로 구체적으로 나타난 요구에 대한 우선순위를 정하고, 사업수행 범위를 확정해야 한다. 이 단계에서는 사업수행 범위와 일정까지 조정해야 한다. 이 단계를 거치고 나서 IT거버넌스 전략 컨설팅을 수행해야 한다.
컨설팅을 하는 이유는 다양하다. 현재 회사의 IT수준은 어떠한가? 자원(시설, 장비, 인력)의 현재 운영 실태는 어떠한가? 시설 및 장비의 투자에 대한 의사결정의 주체는 누구이어야 합리적인가? 시스템 구조 분석으로 현재 문제점 및 개선 방안은? 현재의 자원 인프라를 최적으로 운영하고 있는가? 현재의 IT에서 취약점은 무엇(조직, 인력, 시스템 등)이며 어떻게 개선을 해야만 수준을 높일 수 있는가? IT업무 수행 실정의 정량화 방법은? IT에 대한 투자, 구축의 타당성 검증방법은? 업무에 대한 인력 수는 어느 정도가 적당한가? IT운영 인력 관리는 어떻게 해야 하는가?(성과평가, 서비스 품질, 기술력, 인력 순환배치 등) IT관리의 난제를 극복하고 서비스의 품질을 제고할 수 있는 방안은 무엇인가 등이다.
사업수행 범위의 확정 단계에서는 COBIT 기반으로 IT 현황 분석 및 성숙도 진단, 비즈니스, 경영목표에 기반한 IT거버넌스 체계 분석, 베스트 프랙티스 및 표준과의 비교분석, ITG 통제 목표 설계, ITG 통제 프레임워크, 역량성숙도 관리 모델 개발 등을 마련한 후 ITG 로드맵, 단계별 실행계획을 수립해야 한다.
마지막 단계로 사업을 수행할 때는 IT통제 목표를 설정하고, IT통제 프레임워크를 구축하고 IT거버넌스 성숙도 진단 및 관리 툴을 제공해야 한다. 또 IT거버넌스 개선 로드맵 및 단계별 실행 계획도 제시해야 한다. 이런 수준으로 추진하면 프로젝트 기간은 5개월 정도가 적당하다.
IT거버넌스를 더욱 효과적으로 추진하기 위해서는 IT거버넌스를 기업 거버넌스의 일부로 인식하는 것이 중요하다. 또 기업의 비즈니스 전략과 연계, 성과관리, 자원관리(투자관리 포함), 가치전달, 위험관리 프로세스와 유기적인 연동이 필요하다.