IT 거버넌스 "구체적인 활용 방안이 중요하다"

국내 기업들의 IT 거버넌스에 대한 중요도 인식은 상승한 반면, 국내기업들의 IT 거버넌스 중요성에 대한 인식은 2005년에 비해 크게 증대된 반면, 구체적인 적용방안과 실행수준은 아직 미흡하다. 이러한 결과에 대해 국내기업들은 IT BSC, EA및 ITIL/ITSM등 다양한 IT 관리 혁신기법 등을 도입했지만, 이에 따른 IT의 가치를 전달하기 위한 연계된 의사결정체계 메커니즘은 거버넌스 관점에서는 아직 효과적인 구조를 가지기에 미흡하다고 설명한다. 연구 배경 정보기술(IT)은 경영전략 상의 중요한 경쟁무기로 인식되어 자리매김한 지 오래이다. 기업의 전체 예산에서 IT 예산이 차지하는 비중은 지속적으로 늘고 있으며, 이에 따라 IT 자산이 체계적으로 관리되지 못했을 때 발생할 수 있는 위험 또한 그에 비례하여 커지고 있는 추세이다. 이렇듯 IT를 통해 조직의 전략적 목표를 달성해야 하는 책임감이 커지고 있고, IT 투자에 수반되는 리스크를 통제하기 위해 ‘IT 거버넌스’에 대한 중요도는 그 어느 때보다도 높아지고 있다. 그러나 IT 거버넌스 구축을 위해 컨설팅을 받고 있거나 준비하는 기업들은 많은 반면, 실제 구축까지 실행하고 있는 기업은 국내에선 아직 소수에 불과하다. 이미 선진국에서는 IT 거버넌스가 이미 1990년대부터 이슈화 되어왔지만, 국내의 경우 그 역사가 길지 않으며, 특히 국내 현황 및 동향에 대한 분석은 매우 미흡한 실정이다. 따라서 우리나라의 산, 학계 관계자들은 그 동안 ITGI(IT Governance Institute)에서 매년 발간하는 ‘IT Governance Global Status Report’를 통해 간접적으로 시사점을 얻을 수 있었을 뿐, 국내 실정을 명확하게 파악하는데 한계가 있는 상황이었다. 이에 따라 연세대학교 정보대학원 ISi (Information Systems Intelligence) 연구팀은 지난 2005년 ‘IT 거버넌스 국내 현황 및 동향 분석’을 수행한 바 있으며, 올 6월에는 보다 포괄적이고도 심층적으로 설문조사를 실시했다. IT 거버넌스에 대한 인식과 수행수준 2007년 IT 거버넌스 인식도 및 수행수준조사의 대상은 시가총액기준 국내 대기업 70개 사이며, 설문영역은 IT 거버넌스 각 영역(전략적 연계, 가치제공, 위험관리, 자원관리, 성과측정)별 중요도에 대한 인식도 및 수행수준을 측정했다. 이번 2007년에 시행된 설문조사는 2005년에 자체적으로 수행했던 조사에 비해 자료의 정확성이나 COBIT(Control OBjectives for Information and related Technology)에 대한 도입현황에 있어서 좀더 세밀함을 기했다. 먼저 70개 기업의 전반적인 IT 거버넌스 수행수준의 종합 평균은 2005년과 2007년을 비교했을 때, IT 거버넌스의 중요도에 대한 인식은 평균 0.8정도 상승한 반면, 수행수준은 0.2정도 증가에 그쳤다 <그림 1 참조>. 국내기업들의 IT 거버넌스 중요성에 대한 인식은 2005년에 비해 크게 증대된 반면, 어떻게 그것을 실현하고, 효과적으로 달성할 수 있을지에 대해 많은 기업들은 부분적으로 성숙도를 높여나가고 있지만, 통합적 관점에서는 아직 부족한 실정이라고 볼 수 있다. 이러한 결과에 대해 국내기업들은 IT BSC, EA및 ITIL/ITSM등 다양한 IT 관리 혁신기법 등을 도입했지만, 이에 따른 IT의 가치를 전달하기 위한 연계된 의사결정체계 메커니즘은 거버넌스 관점에서는 아직 효과적인 구조를 가지기에 미흡하다고 설명한다. 실제로 국내사례분석 연구를 통해 모기업은 IT 관련 의사결정 영역에 대해 부분 최적화가 달성되었지만, 이를 어떤 방식으로 현업간의 연계를 조정하고 통제하는 전체적인 거버넌스 메커니즘을 활성화하는 방법을 모색하고 있는 실정이다. 앞서, 설명한 경영혁신기법들은 대부분 IT 관리라는 관점에서의 높은 수준에 머물고 있는 Sub-optimal Operational Excellence (부분적 운영최적화)라고 볼 수 있으나, IT 관련 자산의 투명성 (Transparency), 효과성(Effectiveness), 준거성(Compliance)을 강조하는 Governance Excellence는 아직 미흡한 실행수준 정도에 머물고 있다고 볼 수 있다. IT 거버넌스 수행수준이 높은 상위 10% 성과관리와 위험관리는 높은 수준인 반면, 전략적 연계 및 비 즈니스 가치전달 수준은 미흡한 실정이다 IT 거버넌스 수행수준이 낮은 하위 10% ‘비용절감을 위한 외부규제 기반의 IT위험관리 활성화’,‘ IT-비 즈니스 성과지표를 통한 전략적 연계 강화’,‘ 사후 운영관리체 계 정립과 지속적인 인력자원 개발의 필요성’등을 고려한 성 숙화된 IT 거버넌스 체계를 정립하는 것이 시급하다 상위10%와 하위 10%의 차이 본 설문조사에서 IT 거버넌스 각 영역별로 상위 10%집단과 하위 10%집단의 수행수준을 살펴보면, 상위 10%는 성과관리와 위험관리에 있어 높은 수준을 보이고 있었다. 그러나 지난 2005년과 비교해 여전히 전략적 연계, 가치전달 영역은 다른 영역에 비해 상대적으로 낮은 수준이라는 것이 파악됐다. 이는 기업들이 각자 기준과 프레임워크를 가지고 성과관리와 위험관리를 진행하지만, 그 효과와 관련된 전략적 연계, 비즈니스 가치전달에서는 미흡하다고 판단하고 있음을 시사하는 것이다. 즉, 무엇을 해야 할 지에 대해서는 COBIT, EA와 ITIL/ITSM등을 통해 표준화된 원칙과 IT 운영프로세스를 정의하지만, 이를 어떻게 자사의 조직에 적용하고 활용 및 유지할 것인가에 대해서는 여전히 어려운 과제로써 고민하고 있음을 드러내는 대목이라고 볼 수 있다. 상, 하위 집단 간에 가장 차이가 두드러진 영역은 위험관리였다. 이는 IT 거버넌스 성숙화 과정에서 하위 10% 집단이 해당 영역에서 상대적으로 많은 어려움을 겪고 있기 때문인 것으로 보인다. 즉, 하위 집단은 IT 위험에 대해 시간과 자원을 투입할 여력이 없기 때문에 이러한 위험관리가 지속적으로 관리되지 못해 IT 거버넌스 성숙도가 계속 제자리 걸음에 머무를 수 밖에 없게 되는 상황으로 설명될 수 있다. IT 거버넌스의 다섯 가지 평가 영역별 세부적 수행수준 평가 결과 1. 위험관리 영역 상위그룹에서 상대적으로 높은 수준인 위험관리 영역에서는 두 집단 모두가 각자 나름대로의 컴플라이언스(Compliance)프레임워크를 보유하고 있는 것으로 파악되었고 전담부서의 역할 수준에 있어서도 상대적으로 일정 수준을 유지한다는 것을 확인할 수 있다. 그러나 ‘컴플라이언스를 위한 통제활동’이나 ‘비용효율성 제고를 위한 위험관리 활동’ 등의 수행에 있어서는 두 집단 간에 큰 차이를 보이고 있었다. 즉, 상위 그룹은 적절한 관리를 통해 위험(Risk)을 최소화하는 것이 기업의 성과에 영향을 주는 요소로써 중요하다고 인식하는 반면, 하위그룹은 전담부서나 인력을 배치하였음에도 불구하고 제대로 수행하지 않고 있다고 설명할 수 있다. 이러한 내용은 앞서 설명한 IT 관련 위험에 대응하는 수행수준이 하위 집단일수록 오히려 더 약하다는 대목과 일맥상통한다고 볼 수 있다. 2. 성과관리 영역 성과관리 영역에서는 두 집단 모두 IT 관련 성과지표들이 IT 원칙으로부터 파생되어 관리되고 있다고 인식하고 있으며, 나름대로의 IT 투자 성과관리 프로세스 및 IT 운영 프로세스가 수립되어 있고, 이를 지속적으로 개발, 수정, 관리하는 것으로 나타났다. 그러나, IT 관련 성과지표를 비즈니스 지표와 연계하여 관리하는 부분에 있어서는 매우 큰 차이를 보였다. 이것은 결국 IT 성과지표의 관리는 IT 부서 내에서 부분적으로 최적화되어 가고 있을지 모르겠지만, 전사적인 관점에서의 지표들간의 연결성을 고려해 관리되고 있지는 못 하다고 볼 수 있다. 전략으로부터 수직적으로는 각 지표들이 잘 연결되어 있지만, 부서별로 또는 기능별로 수평적인 연계된 지표의 구성이 활성화되지 못한 실정이라고 설명할 수 있다. 3. 전략적 연계 영역 전략적 연계 영역에서는 상 하위 집단 모두 현업의 요구사항에 대한 IT 부서의 이해도는 높은 것으로 조사됐지만, 요구사항을 실행하는데 있어 기반이 되는 ‘IT 원칙과 정책에 대한 표준과 지침을 지속적으로 배포하여 교육하는 부분’과 ‘IT 전략에서 도출된 이행 과제들을 계획에 따라 수행’하는데 있어 큰 차이를 보이고 있었다. 또한 ‘이사회에서 IT가 중요한 안건으로 다루어 지는’데 있어서 하위집단의 수행수준이 매우 낮은 것 또한 눈 여겨 볼 만한 대목이다. 이에 대해 국내기업들은 이사회에서 IT 관련 이슈를 간략하게 보고하는 수준으로 파악되었으며, 운영적 연계는 이루어지고 있지만, 전략적 연계성은 낮은 것으로 분석된다. 4. 비즈니스 가치전달 비즈니스 가치전달에 있어서는 두 집단 모두 ‘IT 프로젝트의 우선순위 결정’이나, ‘계획 및 이행 부문’에 있어서 상대적으로 높은 수행수준을 보이고 있는 것으로 파악됐다. 그러나 ‘비즈니스 가치창출에 대한 IT의 기여도’와 ‘현업을 대상으로 하는 IT 활용교육 실시여부’, 그리고 ‘현업의 요구에 대한 IT 서비스의 적절한 대응’ 측면에서는 집단간 큰 차이를 보이는 것으로 드러났다. 이것은 IT 기획/개발 측면에서는 각 조직 별로 체계적인 활동들을 수행하고 있으나, 그것의 운영과 사후관리 측면에서의 활동은 미흡하다는 것을 시사해 주는 대목이라고 볼 수 있다. 즉, 이제까지 국내 IT 부서의 현실은 솔루션의 기획/개발 측면에서 비중 있게 그 역할이 다루어졌지만, 비즈니스에 대한 지속적인 사후지원이나 운영, 피드백을 받을 수 있는 체계나 관리는 제대로 이루어지지 않거나 형식적으로만 이뤄지고 있다고 볼 수 있다. 이와 관련 ‘현재 도입하고 있는 IT 관리 방법론에 대한 조사’에서도 볼 수 있는데, ITIL이 IT 거버넌스 툴로서 아직까지 제대로 도입되어 있지 않고 있다는 조사결과와 일치한다고 볼 수 있다 5. 자원관리 영역 자원관리 영역에서는 먼저 IT 인프라 관리에 대한 부분은 두 집단 간의 차이가 크지 않았으며 이는 IT 부서가 제공해야 할 가장 기본적인 업무영역이라고 인식하고 있기 때문이라고 볼 수 있다. 즉 두 집단 모두 상대적으로 각자의 수준에서 인프라의 관리가 기본적으로 잘 이루어지고 있다고 보고 있었다. 그러나, 경력개발계획(Career Development Plan)에서는 상위 집단은 하위 집단에 비해 매우 큰 격차로서 CDP를 잘 하고 있음이 드러났지만, 하위 집단은 매우 취약한 것으로 드러났다. 이것은 하위 집단이 IT 인프라의 중요한 요소 중 하나인 인적 자원에 대한 관리에 있어 수행수준이 매우 낮은 것으로 해석되며, 궁극적으로 IT 거버넌스 체계의 연속성을 보장하는데 있어 중요한 의미를 갖는 IT 인력 관리가 체계적이어야 할 필요가 있다는 점을 지적해 준다고 볼 수 있다. 전체적으로 IT 거버넌스의 수행수준에 대한 결과를 다양한 영역별로 살펴본 결과, 종합적인 시사점은 대다수의 국내기업들은 IT거버넌스가 중요하다는 것은 2005년에 비해 높게 인지하고 있는 것으로 파악됐다. 그러나 이를 어떻게 구축해나가야 할 것인가에 대해서는 다양한 방법론 도입을 통해 전개해 나가고 있지만, 전체적인 그림을 제시하지 못하는 상태라고 볼 수 있다. 이러한 문제점은 아래의 <그림 2>를 통해 다시 한 번 확인할 수 있다. ‘IT 거버넌스의 장애물이 무엇입니까?’라는 질문에 큰 부분을 차지하는 것은 ‘전문가의 부족’과 ‘예산확보’의 어려움으로 나타났으며 이는 IT 거버넌스에 대한 실행수준에 장애요소로써 작용하고 있다고 해석할 수 있다. 전문인력 부족 및 예산부족으로 IT 거버넌스 활성화 미흡 산 학계에서는 아직까지 IT 거버넌스의 정의에 대한 합의가 이뤄지지 않았다. 또한 어디까지를 IT 거버넌스에 포함시킬 것인지에 대한 범위에 대한 논란도 많다. 그럼에도 불구하고 앞서 말한 것처럼 기업의 IT 자원에 대한 효과성, 투명성, 준거성을 증대시키기 위한 거버넌스 체계는 필요하며, 전사 조직의 비즈니스를 전략적으로 지원하는 IT 부서의 역할 또한 강조될 수밖에 없다. 이번 연세대학교 ISi연구실의 IT 거버넌스 중요도 인식 및 수행수준에 대한 국내 기업의 현황조사는 그러한 측면에서 의미가 크다고 볼 수 있다. 이번 조사를 통해 얻은 가장 큰 국내 IT 거버넌스 현황 조사에 대한 시사점은 다음과 세 가지 정도로 정리할 수 있을 것이다. 첫째, IT 거버넌스의 중요도에 대한 인식은 증가하였지만 수행수준은 아직 제자리 걸음이므로 이의 원인에 대한 심층적인 조사와 연구가 필요하다는 것이다. 분명 IT 거버넌스에 대한 장애물로서 국내 기업이 중요하게 꼽은 것은 IT 거버넌스 전문인력의 부족과 예산의 부족이었다. 이것은 중요도에 대한 인식은 증가하였지만 기업들이 정말 ‘제대로’ 된 전문지식은 갖추지 못하고 있다는 뜻이며, 또한 자사 조직의 상황에 맞게 어떻게 도입, 구축, 활용할 수 있는지는 잘 모르겠다는 것을 의미한다고 볼 수 있다. 이에는 외부 컨설팅 업체로부터 조건 없이 베스트 프랙티스를 받아들이는 태도를 넘어서 IT 원칙으로부터 도출된 전략을 바탕으로 적극적으로 자사의 IT 거버넌스 체계를 완성해야만 기업의 IT 거버넌스가 최적화될 수 있고 그것이 대안이 될 수 있으리라고 본다. 둘째, ITIL이 아직 국내 기업들의 도입화하는데 있어 정체되고 있는 것은 IT 거버넌스 체계를 확립하는데 큰 장애요소로 작용할 수 있다. ITIL은 IT 거버넌스의 자원관리 영역에 있어 매우 중요한 프레임워크인데, 실제로 많은 기업들은 아직까지도 기존의 템플릿을 통한 관리나 정성적인 IT 서비스 관리를 하고 있는 것이다. 이것은 분명 앞에서 지적한 IT 인력에 대한 체계적인 관리(CDP)를 하지 않는다는 지적과 그 틀을 같이 한다고 볼 수 있는데, 실제로 필자가 프로젝트를 진행했던 국내 한 대기업의 IT부서는 순환 직무제를 채택함으로써 조직원들이 많은 직무를 체험하게 하였는데, 이로 인해 직무의 전문성이 떨어지는 경우가 발생하였던 사례도 있었다. IT는 기술을 다룬다는 특성과 또한 전략 기획부서 인력의 변동이 커서는 안 된다는 특성을 간과하는 것은, 전통적인 우리나라의 Generalist 선호 문화 때문일 수도 있을 것이다. 즉, IT 전문 인력에 대한 문제는 앞으로 테크놀러지와 함께 IT인프라의 중요한 요소로서 인정되어야 하며, 체계적으로 관리 되어야 한다고 볼 수 있다. 셋째, COBIT은 베스트 프랙티스를 집대성해 실무자의 관점에서 만들어진 IT거버넌스 프레임워크지만 국내 기업들에 적용하기 위해선 한국적으로 Customized된 프레임워크로 개량되어야 할 필요성 또한 있다는 점이다. 물론 표준화된 프레임워크는 그 존재만으로도 큰 가치를 가진다고 볼 수 있다. 하지만, 국내 기업들이 적용하기 위해서는 한국적인 기업문화의 적용에 있어 문제점이 있는 것이 사실이다. 이번 조사에서 많은 기업들이 감사도구로서 COBIT을 인식하고 있는 것은 이러한 문화의 차이를 적용하지 않고 표준화만을 강조해 도입한다면 미래에 여러 가지 문제가 발생할 수 있음을 시사하는 것이라고 볼 수 있다. 생각해 보자. COBIT을 우리의 기업문화에 맞추는 것이 쉬울까 아니면 우리의 기업문화를 바꾸는 것이 쉬울까? 필자는 전자와 후자의 비율이 8:2정도라고 본다. IT거버넌스 프로세스의 표준에 대한 중요성을 강조하되 상황에 맞게 개량화시켜야만 한다. 또한 이 개량화의 몫을 각 기업에게만 지울 것이 아니라 필자가 부회장을 맡고 있는 ISACA Korea Chapter나 itSMF, 한국 정보사회진흥원 같은 기관이 각계의 의견을 수렴해 추진하는 것이 매우 중요하다고 볼 수 있다. 이미 외국에서는 많은 글로벌 기업들이 IT거버넌스의 필요성을 실감하고 많은 관련 기술의 확보와 지식 구축에 매진하고 있다. 과연 우리 나라는 어느 정도 수준에 와 있는지 기업 스스로 다시 한 번 진단해 보고 또한 스스로에게 경종을 울려야 하는 시점이라고 본다. ------------------------------------------------------------------------------ 이정훈 연세대학교 정보대학원 교수는 영국 University of Manchester(U.M.I.S.T)에서 전자공학 학사 및 시스템공학 공학석사학위를 받았다. LG CNS, 엔트루 컨설팅에서 선임 컨설턴트로 일하며 IT ROI, IT 거버넌스, BSC, SCM/CRM, Logistics, KPI 선정, CRM 등 다수의 프로젝트를 수행했다. 현재 연세대학교 정보대학원 조교수로 재직 중이며, 산업자원부 평가위원, ISACA Korean Chapter 학술부문 부회장으로 활동하고 있다.

맡겨 놓되 내버려 두지 말라. | 이청득심 http://blog.naver.com/ts0724/90025159480