IT Life

COBIT 모델로 살펴본 IT Governance의 이해

2014.04.14 10:49

 

2012년! 런던에서는 올림픽이 개최되었고, 물리학에서는 힉스입자(Higgs boson)의 존재가 최초로 발견되었으며 우리나라에서는 최초의 여성 대통령이 탄생했던 그 해. IT관리 영역에서도 작지만 중요한 변화가 있었습니다. 바로 통제 및 인증에 있어 세계적으로 공인된 기관인 ISACA 에서 COBIT 5.0을 발표한 것입니다. COBIT 5.0은 IT Governance를 실현하기 위한 관리 통제 지침을 말하는데요. IT Governance와 관련 되지 않은 사람이나 IT 업계에 종사하지 않는 사람에게는 다소 생소한 용어가 아닐까 생각됩니다. 

이해를 돕기 위해 다른 것과 비교해 말하면 마치 회계에서 IFRS  기준이 도입되어 연결 재무제표를 작성하게 된 것 혹은, 인사 영역에서 BSC 가 도입되어 성과 지표의 혁신이 일어난 것과 같은 변화죠. 특히, COBIT 5.0은 IT 부서의 역할과 업무에도 큰 변화를 줄 수 있기 때문에 그 영향이 클 것으로 예상되는데요. 지금부터 IT Governance란 무엇이고, COBIT 5.0 프레임워크에는 어떤 내용이 담겨 있는지 함께 살펴보겠습니다.

 

IT Governance란 과연 무엇일까요? ‘IT’는 정보기술, ‘Governance’는 통치, 관리라는 뜻을 가지므로 이 둘을 합쳐보면 ‘정보기술을 관리하는 것’으로 직역할 수 있습니다. 주요 기관의 IT Governance에 대한 정의는 아래 [표 1]에서 보는 것과 같습니다.


 기관

 IT Governance 정의

Gartner & MIT 

Sloan School

  •  IT 자원을 적절하게 사용할 수 있도록 의사 결정 권한과 책임 구조를 명확히 정립하는 것

 IT Governance Institute(ITGI)

  • 이사회와 경영진의 책임하에서 수행되는 Corporate Governance의 일부로서 IT가 조직의 전략과 목표를 유지하고 확장할 수 있게 하는 리더십, 조직구조, 프로세스로 구성됨

 Cisco Systems

  •  IT 투자 효과를 극대화할 수 있는 Process와 Culture

 Accenture

  •  정확한 IT 의사결정을 지원하고, 추진할 수 있는 능력

 LG CNS

  •  전사 사업 전략 및 경영 목표를 달성할 수 있도록 IT 자원의 효율적 활용을 위한 관리/통제 체계 및 활동

<표 1. 주요 기관 IT Governance 정의>


이제 IT Governance의 개념이 이해가 되시나요? 아마도 여전히 IT Governance가 어떤 것인지 이해하기 어려우실 것 같습니다. 조금 더 이해를 돕기 위해 회사 내 구성원들의 목소리로 IT Governance가 무엇인지, 어떤 것을 해결해 줄 수 있는지 예를 들어 보도록 하겠습니다.

 

<그림 1. IT 부서에 대한 회사 내 구성원들의 불만>


<그림 1>에는 회사 내 여러 구성원들이 IT 부서에 대해 품을 수 있는 불만들을 확인할 수 있는데요. 매년 IT 분야에 대한 투자/비용은 꾸준히 증가함에도 불구하고 IT 서비스에 대한 회사 구성원들의 만족 수준이 낮은 것은 국내 회사들의 일반적인 모습입니다. 하지만 IT 부서에서 일하는 사람들도 불만은 있습니다. 사용자들의 요청 사항들에 대응하느라 잦은 야근에 시달리지만 이러한 노고에도 불구하고 자신들의 역할이나 성과를 제대로 인정받지 못하기 때문이죠. 이와 같이 IT와 Non-IT 간의 해 묵은 마찰과 오해는 국/내외를 막론하고 회사 내에서 공통적으로 발견되는 현상입니다. 이러한 문제들을 풀기 위해 해결책으로 제시되는 것이 바로 IT Governance입니다. 체계적인 IT Governance 구현을 통해 기업의 IT 조직과 Non-IT 조직은 서로 소통할 수 있게 되고 효율적인 업무 협조 및 이슈에 대한 적시 지원이 가능해지기 때문이죠. IT Governance 체계 수립을 통한 주요 기대 효과는 다음과 같습니다.


IT Governance 수립을 통한 기대 효과

 IT의 명확한 목표설정과 성과측정

 IT 투자/비용에 대한 투명성 확보

 IT 관련 위험관리 및 정보보안 체계를 구현

 신기술의 출현과 같은 외부 IT 환경 변화에 능동적 대처

 IT에 대한 내/외부의 요구사항의 지원 달성


자, 이제 IT Governance가 필요한 이유와 어떤 역할을 하게 되는지 조금은 이해하셨을 텐데요. 하지만 이와 동시에 하나의 의문이 떠오릅니다. 이렇게 유익한 IT Governance를 ‘어떻게’ 구현하고, ‘어떻게’ 우리 회사에 효과적인 IT Governance 체계를 수립할 수 있을까 하는 것이죠. 모든 조직은 비즈니스 분야, 조직을 구성하고 있는 인원, 처한 환경이 각기 다릅니다. 따라서 각각의 조직이 생각하는 최적의 IT Governance의 모습은 당연히 차이가 있습니다. 하지만, 우수한 IT Governance가 갖추어야 할 공통적인 요소가 있는데요. 그것을 체계적으로 정리해 둔 IT Governance의 모범 답안이 바로 앞서 잠깐 소개했었던 ISACA의 COBIT 프레임워크 입니다.

IT Governance 프레임워크에는 COBIT 모델 외에도, ITIL(IT Infrastructure Library), ISO 27002, ISO 9000, ITA/EA 등이 있으나 본 기고에서는 이 중 가장 통용되는 COBIT 모델을 중심으로 IT Governance에 대해 설명하고자 함

 

COBIT 1.0이 처음 소개된 것은 1996년입니다. 당시 회계사들이 기업감사를 수행할 목적으로 사용한 것이 최초였죠. 이 후 IT 통제(Control), IT 관리(Management), 그리고 IT Governance라는 개념으로 점점 대상 영역을 확장하였고, COBIT 5.0에 이르러서는 비즈니스와 IT 부문 모두를 포괄하게 되었습니다. 더불어 내부뿐만 아니라 외부의 이해관계자들까지 고려의 대상에 포함시킨다는 의미로 기업 IT에 대한 거버넌스(Governance of Enterprise IT)로 그 의미를 확장하게 됩니다.

 

<그림 2. COBIT의 진화 출처: www.isaca.org/cobit >


이처럼 15년 이상 전 세계 IT 전문가들에 의해 계속 연구되고 발전되어 온 COBIT 프레임워크에는 IT 업무 담당자들의 모든 업무 절차, IT 조직 구조, IT 관련 지침/내규 등 그 양이 실로 매우 방대하므로 본 기고에서는 COBIT 5.0의 5가지의 원칙과 7가지 동인(Enabler)에 대해 간단히 소개해 보도록 하겠습니다.


1) COBIT 5.0의 원칙

 

<그림 3. COBIT 5.0의 원칙>


COBIT 5.0은 <그림 3>에서 보는 것과 같이 IT Governance 및 관리를 위한 5가지의 원칙을 가지고 있습니다.


① 이해관계자의 Needs 충족: IT Governance는 효과, 위험, 자원 평가와 관련된 의사 결정 시 관련된 모든 의사결정자들을 고려해야 한다.

② 조직의 모든 부문 포괄: IT Governance는 IT 조직/기능에만 한정되는 것이 아니라, 조직 내 모든 Governance와 연계/통합되어야 한다.

③ 하나의 통합적인 프레임워크 적용: COBIT 5는 기업 내 IT와 관련된 모든 것(업무, 조직, 지침, IT 시스템 등)을 통합하는 모델로서 활용되어야 한다.

④ 총체적인 접근방법의 활용: 조직의 IT를 효과적으로 관리하기 위해서는 모든 구성요소에 대한 총체적인 고려가 필요하다.

⑤ 거버넌스와 관리의 분리: COBIT 5.0에서는 COBIT 4.0/4.1과는 달리 Governance와 Management를 분리하여 정의하고 있다. Management 영역에는 실제 IT 업무 담당자들의 기획, 시스템 구축, 운영, 모니터링 활동이 포함되며, Governance 영역에는 고위 경영진들을 위한 의사결정, 평가 및 모니터링 활동들이 포함된다.


2) COBIT 5.0의 동인(Enabler, 구성요소)

 동인

 설명

 원칙, 정책 및 프레임워크

  •  IT 지침, 정책, 내부 규정

 프로세스

  •  업무 수행 절차 및 수행 역할, 업무 간의 선/후행 관계

 조직구조

  •  IT 기능을 구현하는 조직체계, 의사결정 기구

 문화, 윤리관 및 행동

  •  개인적 및 집단적 행위를 규범 짓는 조직문화

 정보

  •  조직에 의해 생산되고 사용되는 모든 정보

서비스, 인프라 및

애플리케이션

  •  IT 관련 서비스를 제공하는데 활용되는 애플리케이션, 인프라와 같은 IT 자원

 인력, 스킬 및 전문성

  •  모든 활동 및 의사결정을 수행하는 인적 역량

이상, COBIT 5.0 프레임워크에 대해 간단히 살펴보았습니다. 위에서 설명한 5가지 원칙을 바탕으로 7가지 구성요소 영역 별 상세한 실행 방안이 정의되어 있는 IT Governance의 실무 지침서라고 생각하시면 한결 이해가 쉬울 것입니다. 

 

앞서 살펴본 것과 같이, IT Governance는 조직 내 IT와 Non-IT 간의 간극을 좁혀주고 IT를 통한 가치창출을 일궈내기 위한 기반이라고 할 수 있습니다. 따라서 IT Governance는 선택이 아닌 필수이며, 경영진이 주도적으로 참여하고 계속 관리해야 할 하나의 업무 영역입니다. 

또한, IT 업무 프로세스를 수립하고, 조직 체계를 갖추는 것만으로는 효과적인 IT Governance 체계가 수립될 수 없기에, 지속적인 변화관리 활동을 통해 조직 내 문화의 변화까지 이뤄내야 비로서 성공적인 IT Governance 체계가 조직 내 뿌리내렸다고 할 수 있을 것입니다.


IT 강국 Korea! 이제 IT Governance를 통해 IT 관리의 영역에서도 글로벌 리더가 되길 바랍니다.


ㅣ글 신용우 선임ㅣLG CNS 스마트 블로거




Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로