추철호 | 제임스마틴코리아 대표 컨설턴트
가장 기본적인 질문부터 시작해 보자. 어느 분야에서나 마찬가지겠지만, IT 분야에서도 투자
금액으로부터 최대의 효과를 얻고자 하는 것이 투자의 궁극적인 목적임은 의심의 여지가 없다.
이에 IT 투자를 통한 비즈니스의 가치 실현 측면에 있어서 (그림 1)과 같은 근원적인 질문을
생각해야 한다. 존 토프는 그의 저서 '정보 패러독스'에서 이런 근원적인 질문을 'IT 서비스
딜리버리 연속체'라고 칭했다.
오늘날 거버넌스라는 용어가 다양한 분야에서 사용되고 있다. 보통 통치나 관리, 지배, 제어
등을 뜻하는 말로 정치나 행정 용어로 주로 쓰여 왔다. 경영학 또는 기업 실무에서 사용되는
기업 거버넌스(Corporate Governance)라는 용어는 기업의 통치, 운영 또는 기업의 지배구조
라는 의미로 사용되기도 한다. 아직까지 거버넌스에 대응하는 적절하고 표준적인 우리말에
대한 합의가 이뤄지지 않은 상태이기 때문에, 본 강좌에서는 현재 통용되고 있는 의미를
그대로 사용하고자 한다.
기업에 IT가 도입된 이래로 IT 거버넌스에 대한 논쟁과 토론이 있어 왔지만, 현재까지도 IT
거버넌스에 대한 명확한 개념이나 이론이 정립돼 있지 못하다. 버트라는 학자는 수많은
문헌에 나오는 IT 거버넌스에 대한 개념은 마치 어휘의 정글과 같아 누구나 새롭게 씨를
부르면 나무를 키울 수 있는 정도라고 비꼬기도 했다.
그러나 10여 년 전부터 IT 거버넌스에 대한 실증적 연구와 전문기관 설립 등이 진행됐으며,
최근에는 개념 정립을 위한 시도가 이뤄지고 있다. 여러 학자나 기관마다 정의가 다르기는
하지만, 가장 대표적인 것으로 1998년도에 설립된 미국의 IT 거버넌스 협회(ITGI,
것을 꼽을 수 있다.
ITGI가 2005년의 발표에서 IT 거버넌스란 경영진과 이사회의 책임이며, 조직의 전략과 목적을
IT가 유지·발전시키기 위한 것으로서 리더십이나 조직 구조, 프로세스로 구성된다고 정의한
바 있다. MIT 슬로언 경영대학원의 CISR에서는 IT 사용에 있어서 바람직한 행위를 촉진하기
위해 의사결정 권한과 책임 소재의 틀을 규정하는 것이 IT 거버넌스라고 설명했다
IT 거버넌스의 등장 배경
사실 IT 거버넌스는 전혀 새로운 것이 아니다. 애플리케이션도 아니고 기술도 아니고, 솔루션도
아니다. IT가 조직의 전략이나 목적을 달성하기 위해 바람직한 행위를 촉진하는 하나의 '접근법'
혹은 '마인드'라 할 수 있다. 그렇다면 개념적으로는 전혀 새로운 것이 아닌 IT 거버넌스가 최근
들어 주목을 받는 배경은 무엇일까. 크게 3가지 요인을 꼽을 수가 있는데, ▲IT의 전략적 중요성
증가 ▲IT에 대한 투자 규모와 위험 증가 ▲기업 거버넌스의 중요성 부각이 그것이다.
IT는 기업의 생산성과 경쟁력 향상을 위한 필수요소로 자리잡았다는 데는 재론의 여지가 없다.
ITGI가 세계 22개국 695개 기관을 대상으로 조사한 결과에 따르면, 응답자의 63%가 IT 관련
안건을 정기적으로 또는 항상 이사회에 상정하는 것으로 나타났다.
IT의 중요성이 갈수록 높아지고 있는 상황에서 기업은 최소한 다음과 같은 사항들을 파악하고
있어야 한다.
- IT가 해당 목적을 달성하고 있는가?
- IT의 목적 달성이 조직의 전략이나 목적에 부합되는가?
- IT를 통한 기회를 적절하게 인식하고 이를 활용하고 있는가?
이같은 질문에 대한 해답을 찾기 위해서 IT 거버넌스가 필요한 것이다. 즉, 비즈니스 지속성을
위한 IT 거버넌스 문제는 생존을 위한 필수 조건이 된 것이다.
IT의 전략적 중요성뿐만 아니라 기업의 전체 투자액 중 IT가 차지하는 비중 역시 증가하며 IT에
대한 투자 규모와 위험부담이 가파르게 상승하고 있다. 기업의 IT 투자는 평균 연간 매출의
4.2% 이상이며, 이는 총 자본적 투자의 50% 이상이 IT에 투자된다는 것을 의미한다. 따라서
IT 투자 관리의 성공 여부에 따라 기업의 재무 효과나 위상에 막대한 파급 효과를 초래할 수
있으며, 더 이상의 '묻지마' 형식의 투자 방식은 통하지 않는다는 것을 시사한다. IT에 대한
의존도가 높아지고 있는 상황에서, IT의 위험은 기업 전체의 위험 요인으로 직결된다.
거대한 IT 투자에 대한 투명성을 확보하고, 조직의 중요한 자원이 된 IT 자원에 대한 위험을
체계적으로 관리하기 위해 IT 거버넌스가 필요한 것이다.
IT 거버넌스가 최근 주목받게 된 마지막 요인은 기업 거버넌스의 중요성이 부각하고 있다는
것이다. 최근에 기업 거버넌스 부문에 가장 큰 파급효과를 미치는 법규와 제도로 사베인 옥슬리
법안(Sarbanes-Oxley Act, 이하 SOX 법안)과 2003년 국제결제은행이 발표한 바젤Ⅱ(BaselⅡ)
라는 기준을 들 수 있다. SOX 법률의 주요 목적은 효과적인 내부 통제가 가능하도록 기업
거버넌스를 개선하고자 하는 것이며, 바젤Ⅱ는 국제결제은행이 권고하는 신용위험이나
시장위험, 운영위험에 대한 평가 기준이다.
국내에서도 모 기업의 분식회계 사건 등을 계기로 SOX에 준하는 회계 관련 법률을 신설 또는
수정하기에 이르렀다. 현재 주식회사의 경우 외부 감사에 관한 법률, 증권거래법, 공인회계사법,
증권관련 집단소송법 등 4가지 법안이 이미 시행중이다.
컴플라이언스라고 불리는 이런 법규와 제도들이 물론 IT 거버넌스를 구체적으로 명시하고 있지는
않지만, 주요 업무 프로세스의 90% 정도를 IT로 수행하고 있는 오늘날 상황에서 비즈니스에
막강한 영향력을 행사하고 있다. 특히 재무나 회계 부문에서는 더욱 그렇다. 따라서 IT 거버넌스
체계 없이는 이런 법규나 제도에 효과적으로 대응할 수 없다.
IT 거버넌스 관련 프레임워크
그렇다면 IT 거버넌스가 구체적으로 어떤 영역이나 활동을 어떤 방식으로 다루는지 알아보기
위해 몇 가지 대표적인 프레임워크를 살펴보자.
·ITGI의 Focus Area
ITGI는 (그림 2)와 같이 IT 거버넌스를 위한 5가지 핵심 영역을 제시하고 있다.
IT는 기업의 전략과 목표에 부합해 비즈니즈와 전략적으로 연계(Strategic Alignment)돼야
하고, 이를 바탕으로 비즈니스 향상을 위해 IT의 가치를 제공(Value Delivery)할 수 있어야
한다. 또한 IT 서비스에 내재된 위험을 관리(Risk Management)해야 하며, 적합한 IT 자원
관리(Resource Management)와 IT 사용 결과에 대한 성과 측정(Performance
Measurement)이 이뤄져야 한다.
여기에 중요한 개념이 하나 있다. 성과(Outcome)와 동인(Driver)이 그것이다. 여기서 성과가 'Performance'가 아니라 'Outcome'의 변역임에 주의할 필요가 있다 근본적으로 IT 거버넌스는
IT를 통한 비즈니스 가치 전달과 IT 위험 완화라는 두 가지에 대한 것이다. 이 두 가지는
IT 거버넌스를 통해 달성하고자 하는 바람직한 결과인 '성과'를 나타내는 것이며, 나머지 세
가지는 성과의 달성을 가능하게 해주는 '동인'이다.
·COBIT
ITGI가 2005년 12월에 발표한 COBIT 4.0은 현재 IT 거버넌스를 위한 프레임워크의 세계적인
표준으로 자리잡아가고 있다. COBIT은 시대의 변화에 따라 COBIT 1.0 버전에서부터 감사
(Audit)→통제(Control)→관리(Management)→거버넌스 순으로 그 영역을 확장하고 있다.
(그림 3)에서 보는 바와 같이 COBIT 4.0은 4가지 프로세스 도메인으로 34개의 IT 프로세스,
215개의 세부적인 통제목표를 포함하고 있다. 4가지의 프로세스 도메인은 IT 생명주기에 따라
▲계획 수립과 조직화 ▲도입과 구축 ▲운영과 지원 ▲모니터링과 평가로 구분돼 있다.
앞서 설명한 ITGI의 5대 핵심 영역은 COBIT의 34개 프로세스와 매핑된다. 즉, 5대 핵심 영역이
기업의 고위 경영진이 관리하고자하는 주제 영역이라면, COBIT 프로세스는 운영 관리자가 IT
활동을 조직화하고 실행하고자하는 것이라고 볼 수 있다.
·MIT 슬로언의 의사결정 프레임워크
MIT 슬로언 경영대학원의 피터 웨일 교수와 제니 로스를 중심으로 연구되고 있다. IT 거버넌스란
IT의 자율과 통제를 추구하기 위한 것이며, 효과적인 거버넌스가 되기 위해서는 다음 세 가지
질문에 답할 수 있어야 한다고 주장한다.
- 어떤 의사결정이 이뤄져야 하는가? (의사결정 대상)
- 누가 의사결정을 해야 하는가? (의사결정 주체)
- 어떻게 의사결정을 행하고 모니터링을 할 수 있는가? (의사결정 매커니즘)
(그림 4)과 같은 표를 거버넌스 배치 매트릭스라 한다. 5가지 유형의 의사결정 대상과 6가지
유형의 의사결정 주체를 제시하고, 이런 의사결정이 어떤 조직 구조를 통해 결정되는지
매트릭스의 각 셀을 채우게 된다.
이런 개념에서 일반적인 거버넌스 배치 매트릭스를 사례 연구를 통해 파악하고, 최적의
거버넌스 배치 매트릭스는 어떤 모습일지 파악하는 것이다.
MIT 슬로언의 의사결정 모델에 따르면 IT 거버넌스에 대한 중요한 개념을 발견할 수 있다.
의사결정을 전개하고 수행하는 것은 경영이고, 누가 의사결정을 하는 지를 결정하는 것이
거버넌스라는 것이다. 즉, IT 거버넌스는 어떤 의사결정 행위를 말하는 것이 아니다.
그런 것은경영이나 관리 행위에 속하는 것이다. 그보다 IT 거버넌스는 이같은 결정을
누가하며, 누가 그것을 돕는지에 대한 체계화를 말하는 것이다.
IT 거버넌스의 범위
지금까지 설명한 내용을 토대로 앞서 제시한 (그림 1)의 근원적인 질문과 연결시켜 보면
(그림 5)과 같은 IT 거버넌스의 '큰 그림'을 제시할 수 있다. 즉, IT를 통한 비즈니스의 가치를
실현하기 위해서는 4가지 근원적인 질문을 반드시 해결해야 하는데, IT 거버넌스 영역을
대상으로 체계적인 의사결정을 위한 틀을 제시한다는 것이다.
올바른 일을 하고 있는가라는 (그림 1)의 첫 번째 질문은 IT 투자 결정에 대한 것이며, 이에
대한 답은 'IT와 비즈니스의 전략적인 연계'라고 할 수 있다. 올바른 일이란 IT의 목적 달성이
비즈니스에 가치를 제공할 수 있도록 비즈니스와 전략적으로 연계돼야 한다는 것이다.
그리고 올바른 방법으로 하고 있는가라는 두 번째 질문과 잘 하고 있는가라는 세 번째 질문은
IT 거버넌스 프로세스의 실행에 관련된 내용이다. IT 거버넌스 프로세스로 널리 인정되고 있는
COBIT의 내부 통제 목적의 달성이 이에 해당한다.
IT 거버넌스에 대한 그릇된 통념
① 통념 1 : IT 거버넌스는 CIO의 책임이다.
- IT 거버넌스에 대한 CIO의 책임은 필수적인 부분이지만, CIO만이 모든 책임을 지는 것은
아니다. 이제 IT는 기술적인 이슈가 아니라 비즈니스 그 자체로 자리잡았다. 따라서 IT
거버넌스의 유효성을 확보하고 IT를 통한 비즈니스 가치를 실현하기 위해서는 비즈니스와
IT 간의 긴밀한 리더십을 구축하고 IT 역량을 강화해야만 한다. 결국 IT 거버넌스는 경영자의
능력에 달려있다. 다시 한번 앞서 설명한 IT 거버넌스의 정의를 상기해보라.
② 통념 2 : IT 거버넌스는 새로운 형태의 보수적인 IT 관리다.
- IT 관리 영역은 IT 서비스와 제품의 효율적이고 효과적인 제공에 초점을 두고 있다. 이에
비해 IT 거버넌스는 현재와 비즈니스 운영과 성과에 기여하면서도 미래의 비즈니스 과제를
해결하기 위해 IT를 발전시키고 목표에 맞게 위치시켜야 한다는 데 중점을 둔다.
그렇다고 IT 관리의 중요성이나 복잡성을 과소평가하는 것은 아니다. 다만, IT 거버넌스가
내적인 지향성과 외적인 지향성 모두를 가지고 있으며, 현재와 미래를 모두 생각한다는
것이다.
③ 통념 3 : IT 거버넌스는 IT의 집중 또는 분산을 강조한다.
- IT 거버넌스는 IT의 통제 기능을 특정 부서에 집중시키거나 IT 의사결정 권한을 조직 전체에
분산시킨다는 것이다. 이는 IT 거버넌스의 조직 구성에 대한 문제로 이어지며, 결국에는 IT
의사결정 권한에 대한 '집중형과 분산형'의 고전적인 논쟁으로 연결된다.
IT 거버넌스가 집중돼 있는지 분산돼 있는지에 관한 문제는 조직의 특성과 관계있으며, 내부
효율성과 유효성의 문제로 수렴된다.
집중형과 분산형은 각각 장단점을 가지고 있는데, 최근에는 각각의 장점만을 취해 연방형
(Federal) IT 거버넌스 모델로 활발하게 진행되고 있다.
IT 거버넌스 체계 구성요소
IT 거버넌스의 체계를 수립하기 위해서는 (그림 7)와 같은 다섯 가지 요소들을 구축해야 한다.
IT 거버넌스 체계의 핵심적인 구성요소인 IT 프로세스에는 여러 가지가 있을 수 있는데,
대표적으로 COBIT, ITIL, CMMI, PMBOX 프로세스 등이 있다. 이외의 구성요소로 최적의
IT 의사결정을 위한 조직 구조와 적절한 제도가 정립돼 있어야 하며, 이를 수행하는 수완과
능력을 갖춘 인력 양성 또는 확보가 중요하다. 또한 프로세스를 자동화하고 모니터링하며
측정할 수 있는 도구나 솔루션 없이는 IT 거버넌스의 효과를 제대로 실현할 수 없다.
하지만 무엇보다 조직이 처한 외부 환경적인 요소와 내부의 문화적인 측면에 따라 IT
거버넌스의 추진 전략이나 운영 형태 등이 상이할 수 있다는 점을 간과해서는 안된다.
이는 IT 거버넌스의 차별화 전략과 밀접한 관계가 있다.
IT 거버넌스의 기대 효과
성공적인 IT 거버넌스를 갖춘 조직은 그렇지 못한 조직에 비해 여러 지표에 있어 분명한
차이점을 보이고 있다. (그림 8)은 시간 경과에 따른 거버넌스 성과 기업들의 특징을 잘
보여주고 있다.
피터 웨일 교수와 제니 로스는 비효과적인 거버넌스의 징후를 다음과 같이 제시하고
있다.
- 고위 경영층이 IT 투자가치를 낮게 느낀다.
- IT가 새로운 전략 수행에 자주 장애가 된다.
- IT 의사결정 매너키즘들의 진행이 늦고 서로 충돌한다.
- 고위 경영층이 IT 거버넌스를 설명하지 못한다.
- 많은 IT 프로젝트들이 지연되고 예산을 초과한다.
- 고위 경영층이 IT 문제의 신속한 해결방안으로 아웃소싱을 꼽는다.
- 거버넌스가 자주 변화한다.
지금까지 IT 거버넌스에 관한 전반적인 내용을 간략하게 소개했다. 아직도 진화하고 있는
IT 거버넌스를 요약·정리한다는 것이 그리 쉽지는 않았지만, 독자 여러분들의 이해에 조금
이나마 도움이 됐으면 하는 바람이 간절하다. 월간 온더넷 2006년 9월호
- IT 거버넌스 향상을 위한 6가지 원칙 - 출처 | 가트너 2004년
1. IT 거버넌스와 기업 문화의 조화
합의를 중요시하는 문화라면 IT 거버넌스를 민주적인 방법으로 실시
2. 권위와 직능의 일치
예를 들면, 마케팅 중역들은 영업활동에서 영업 자동화의 의미를 논할 수 있어야 함
3. 역할과 책임의 명확화
의사결정에 관한 의견 제공, 결정 주체, 결정 사항의 공지 등에 관한 규정
4. 거버넌스 매커니즘의 통합과 조정
각종 위원회, 태스크포스 등의 구조와 프로세스를 모니터한 후 조정
5. IT 거버넌스의 효과 측정
처음에는 통제로 시작, 점차 비즈니스 가치 실현에 초점
6. IT 거버넌스의 발전 도모
기업의 비전과 전략이 변함에 따라 IT 거버넌스도 조화로운 성장
참고문헌
1. ITGI, IT Governance Domains practices and Competencies: IT Alignment -
Who Is in Charge?, ISACA, 2005.
2. 황경태, 'IT 거버넌스의 기본 개념', 지역정보화, 2005년 vol. 31/32, 자치정보화조합
3. Wim Van Grembergen 저, 안중호, 서한준 역, IT 거버넌스 Strategies for IT Governance,
네모북스, 2005년
4. 한국정보산업연합회, 'IT Governance IT와 비즈니스의 연계', FKII Report 2006-01,
2006년
5. ITGI, 'IT Governance Global Status Reporting', 2006년
6. KRG, 국내 IT 시장 보도자료, 2005년
7. ITGI, 'Board Briefing on IT Governance', 2nd Edition, ITGI, 2003.
8. ITGI, COBIT 4.0, ITGI, 2005년
9. Peter weill Jeanne W. Ross 공저, 류명재 역, IT 거버넌스 How Top Performers
IT Decision Rights for Superior results, 인터워크솔루션즈㈜, 2006년
10. 장연아, IT 거버넌스 세미나 발표자료, SDS, 2006
| 
