IT 지배구조 올바로 이해하기

IT 지배구조에 대한 논의는 무성하지만 이를 제대로 이해하고 있는 CIO는 많지 않다. 벤더와 컨설팅업체의 과장으로부터 거품을 걷어 내고 이를 올바로 이해하기 위한 조언에 귀 기울여야 할 때이다. "IT 지배구조의 중요성이 점차 증대하면서 이에 대한 논의가 활발해지고 있지만 이에 대한 오해나 부정확한 이해가 적지 않아 커다란 문제점으로 지적되고 있다." 이정훈 연세대 정보대학원 교수 기사 개요 ■ IT 지배구조에 대한 다양한 정의 ■ IT 지배구조에 대한 오해와 편견 ■ IT 지배구조의 진정한 가치 및 의의 "IT 지배구조가 제대로 작동하고 있는 기업이 어디입니까. 그 기업을 벤치마킹하고 싶은데 연락할 수 있는 방법은 없겠습니까?" IT 지배구조(governance)에 대한 CIO들의 관심이 점차 커지고 있다. 이에 따라 IT 지배구조가 무엇이고 국내외 모범 사례에 대해 파악하려는 움직임도 활발해지고 있다. 사실 몇 년 전까지만 해도 IT 지배구조는 몇몇 글로벌 기업이나 IT 투자가 많은 일부 금융 회사 CIO들만의 관심사였다. 이들 기업은 어떻게 하면 IT 투자로부터 보다 많은 가치를 창출할 수 있을지에 대해 고민했고 그에 대한 가장 효과적인 해법으로 제대로 된 IT 지배구조 확립에 관심을 가졌다. 이러한 일부 대기업 CIO들의 관심이 최근 들어 점차 확산되는 모습을 보이고 있다. 그러나 현재 IT 지배구조는 혼돈에 휩싸여 있기도 하다. IT 지배구조에 대한 아전인수식 소개, 장님 코끼리 만지기식 이해가 판을 치고 있기 때문이다. 여기에 IT 지배구조와 관련된 벤더 및 컨설팅 회사들이 각자 자기 입맛에 맞게 이를 해석하여 CIO들에게 전달하고 있어 개념 혼란을 더욱 부채질하고 있다. 특히 이러한 부정확한 개념들을 미디어들이 마구잡이식으로 보도하고 있어 혼란이 확대 재생산되고 있는 실정이다. 설상가상으로 IT 지배구조와 이해관계가 큰 벤더 및 학계를 중심으로 IT 지배구조와 관련된 협회 또는 단체가 만들어지고 있어 더욱 우려를 낳고 있다. (이런 단체나 협회는 늘 그렇듯이 주인보다는 손님들이 더욱 판을 주도하고 있어 씁쓸함을 자아내고 있다.) CIO매거진은 이러한 혼란에 일정한 질서를 부여하기 위해 연세대학교 정보대학원의 이정훈 교수를 만났다. IT 지배구조에 대한 연구를 몇 년 전부터 꾸준히 진행해온 이정훈 교수는 최근 국내 30여 개 기업을 대상으로 IT 지배구조에 대한 인식도 및 수행 수준 조사를 실시하기도 했다. 이번 연구는 단순한 설문 조사와 함께 심층 조사도 병행되었는데, 이를 통해 국내 기업들의 IT 지배구조에 대한 이해 및 성숙도를 깊이 있게 파악할 수 있었다. 연세대 정보대학원의 이정훈 교수를 만나 IT 지배구조에 대한 진실과 오해를 살폈다. 1. IT 지배구조의 정의 IT 지배구조가 무엇인지 먼저 명확히 정의를 내려야 할 것 같다. IT 지배구조가 장님 코끼리 만지기가 되어 버렸기 때문이다. 어떤 사람은 꼬리를 가지고 IT 지배구조라고 말하고 있고 어떤 사람은 다리를 가지고 IT 지배구조라고 강조한다. CIO들이 코끼리 전체를 만질 수 있도록 큰 그림을 보여줄 필요가 있다. IT 지배구조에 대한 개념적 혼란이 존재하는 것이 사실이다. 따라서 IT 지배구조에 대해 명확히 이해할 필요성이 더욱 커지고 있다. 정확히 알고 있어야 부정확한 내용을 걸러서 들을 수 있기 때문이다. CIO들은 IT 지배구조를 이해하기 위해 두 가지 관점에서 바라볼 필요가 있다. 하나는 Top down 관점이고 다른 하나는 Bottom up 관점이다. Top down 관점은 IT 지배구조를 기업 지배구조의 한 요소로 이해하는 고차원적인 시각이고 Bottom up 관점은 IT 관리의 성숙화라는 시각에서 바라보는 것이다. 두 가지 관점에 대해 보다 자세히 살펴볼 필요가 있을 것 같다 먼저 Top down 관점은 IT 지배구조를 기업 지배구조의 중요한 구성 요소로 보는 시각이다. 최근 기업의 가치 기준은 유형자산에서 지식사회에 기반이 되는 무형자산(브랜드, 지적자산, 정보자산)으로 변하고 있다. 이러한 가운데 정보를 생성하고 관리하는데 있어 핵심적인 역할을 수행하고 있는 IT 역시 기업 지배구조의 일부로서 통제 관리되어야 한다는 인식이 커지고 있다. 하버드대의 리차드 놀드 교수는 정보시스템이 기업 부정 행위의 한 요소로서 사용될 수 있다며, 이에 따라 IT 지배구조의 중요성은 더욱 커지고 있다고 강조한다. 특히 미국의 엔론, 월드콤 사태 등으로 이는 더욱 강조되고 있다. 따라서 다른 자산들과 동일한 차원에서 IT 지배구조는 기업지배구조를 구성하는 한 요소로서 인식되어야 하며, IT 관련 의사결정 과정을 대상으로 한 효과적인 내부통제 및 위험관리의 투명성을 지원하는 관점에서 이해될 필요가 있다. 또 다른 Bottom up 관점은 IT 지배구조를 IT 관리의 성숙화라는 시각에서 바라본 것이다. 기업 내에서 IT에 대한 이해 관계자는 IT 책임자, 이용자, 수혜자 등 매우 다양하다. IT 관리 측면에서 이러한 다양한 이해 관계자들의 IT에 대한 기대, 즉 가치를 충족시키는 것은 매우 중요하다. IT 지배구조는 바로 IT에 대한 효과적인 관리를 통해 어떻게 가치를 전달할 것인지와 관련이 있다. IT 관리 측면에서 IT에 영향을 주거나, 영향을 받는 사람들이 기대하는 가치를 충족시키는 매커니즘으로서 IT 지배구조를 이해할 수 있는 것이다. 이들 이해 관계자는 모두 IT를 통해 비즈니스를 좀더 안정되게 유지하고 수익성을 극대화 시키며 IT와 접목한 비즈니스 모델을 찾아내 기업의 가치 창출과 혁신적인 성장을 기대한다. 이러한 기대에 부응하기 위해서는 기업의 전략과 목표 달성을 위해 이사회, 경영진, IT 관리자 모두 참여하여 비즈니스와 IT의 전략적 연계를 통해 IT 투자, IT 서비스, 애플리케이션 등의 투명성, 생산성 증대와 효과적인 관리를 고민해야 한다. 이러한 현상은 금융, 하이테크, 유통 등 IT의존도가 높은 기업일수록 더욱 크다. CIO들은 이렇듯 다양한 시각에서 IT 지배구조를 바라볼 필요가 있다. 이럴 경우 비로소 IT 지배구조의 전체 모습을 제대로 이해할 수 있는 것이다. IT 지배구조에 대한 일반적인 정의는 무엇인가 IT 지배구조의 일반적 정의에 대해서는 책이나 미디어를 통해 대부분의 CIO들이 한 두 번씩 접했을 것이다. IT 지배구조에 대해 국내외에서 많은 학자, 단체, 벤더, 컨설팅 업체 등이 다양한 정의와 개념을 주장하고 있다. 가장 대표적인 정의로는 IT Governance Institute에서 제시한 "이사회와 경영진의 책임 아래 수행되는 기업 지배구조의 일부로서 IT가 조직의 전략과 목표를 유지하고 확장할 수 있게 하는 리더십, 조직구조, 프로세스"라는 것이 있다. 반면 학계에서는 MIT 슬론 대학원에서 제시한 "IT 사용에 있어서 바람직한 행동을 야기시키기 위한 의사결정 및 책임에 관한 프레임워크"라는 주장이 있다. IT 지배구조에 대한 다양한 정의 속에서 CIO들이 놓치지 말아야 할 핵심 사항은 IT 지배구조는 조직의 전략과 목표에 부합하고 비즈니스와 IT 간의 연계 강화 및 가치증대를 꾀하기 위한 틀이라는 점이다. 그리고 위험관리 및 투자효과의 극대화를 위한 리더십, 조직구조, 프로세스라는 것을 명심해야 한다. IT 지배구조를 좀 더 알기 쉽게 이해할 수는 없는가 임진왜란 당시 이순신 장군이 왜군과 맞서 싸운 전투를 상상해보자. 배 한척 한척이 최대의 성능을 내도록 만드는 것은 일종의 IT 관리에 비유될 수 있다. 하지만 전투선을 어떻게 배치할 것이며 어디에 포탄을 집중할 것인지 등 전투를 승리로 이끌기 위한 전투선의 전반적인 배치와 자원 투입의 우선 순위 등은 IT 지배구조의 범위에 들어간다. 바다 위에서 전투를 어떻게 승리로 이끌 것인가와 관련된 의사결정 프로세스와 조직 구조의 변화, 자원 투입의 우선 순위 결정 등이 바로 IT 지배구조의 영역인 것이다. 2. IT 지배구조에 대한 오해 IT 지배구조에 대한 정확한 이해가 무엇보다 시급한 것 같다. 그렇다면 이에 대한 오해나 부정확한 이해가 무엇인지 파악하는 것이 중요할 것 같다. 먼저 IT 지배구조에 대해 CIO들이 갖고 있는 오해는 무엇인가 두 가지 정도가 나타나는 것 같다. 하나는 "지배구조"라는 단어 자체에 의해 발생하는 오해이다. 지배구조가 주는 어감 때문에 거부감을 갖는 것이다. 최근 들어 "지배구조"가 경영, 경제 분야에 광범위하게 회자되고 있어 많이 익숙해졌지만 아직도 이것이 주는 어감으로 인해 거부감을 느끼는 경우가 있다. 지배구조를 감리, 감사, 통제, 규제 등의 부정적인 느낌으로 인식하는 것이다. 다른 하나는 IT 지배구조를 IT 부서 만의 조직 구조, 프로세스 개선, IT 업무 효율화로 생각하는 것이다. 전사적으로 IT와 연계된 의사결정 프로세스, 관리 체계의 성숙화가 아닌 IT 부서만의 영역으로 국한시키는 경우가 적지 않게 나타나고 있어 문제점으로 지적되고 있다. 3. IT 지배구조에 대한 부정확한 이해 실제 적지 않은 오해가 있는 것으로 보인다. 그렇다면 이에 대한 부정확한 이해도 많을 듯 하다. IT 지배구조에 대해 CIO들이 잘못 이해하고 있는 것은 무엇인가 IT 지배구조에 대한 부정확한 이해 또한 적지 않게 발생하고 있다. 이는 크게 네 가지 양상을 띠고 나타난다. 첫째는 IT 지배구조를 기업 지배구조와 별개로 생각하는 것이다. IT 지배구조는 기업 지배구조의 중요한 영역이다. 그러나 숲 전체를 보지 않고 IT 지배구조만을 보는 경우가 종종 나타나고 있다. IT 지배구조는 기업 지배구조와 밀접한 관계를 가지고 있기 때문에 이를 분리하거나 떼어 놓고 생각하는 것은 IT 지배구조를 정확히 이해하는데 커다란 장애가 될 수 있다. 둘째는 IT 지배구조의 최고(최종) 책임자가 CIO라고 생각하는 것이다. IT 부서의 최고 책임자인 CIO가 IT 지배구조와 관련된 모든 것을 책임지고 관리한다고 생각하는 것은 커다란 착오이다. IT 지배구조가 제대로 확립되기 위해서는 CEO나 COO 등 최고 경영진이 누구보다 중요한 역할을 해야 한다. 뿐만 아니라 이사회, 경영진, CIO 모두가 핵심적인 역할을 수행할 때 IT 지배구조가 제대로 확립될 수 있다. 기술이나 아키텍처 등 IT 의사결정의 특정 영역에서는 CIO가 이를 이끌 필요가 있다. 하지만 전반적인 IT 투자 의사결정이나 우선순위 결정은 CEO, COO, CFO를 포함하여 현업 경영진들이 주도적으로 나서야 한다. 즉 최고경영진 및 현업이 주도를 하고 CIO는 조력자나 코디네이터의 역할을 수행해야 하는 것이다. 셋째는 IT 지배구조와 IT 관리(Management)의 차이를 구별하지 못하는 것이다. 특히 벤더 및 컨설팅 회사들마저 이를 구분하지 못하고 혼용해서 사용해 혼란이 가중되고 있다. IT 지배구조는 전사적인 IT 영역의 효율적인 자원 관리 및 의사결정에 관한 것이다. 반면 IT 관리는 현재 운영되고 있는 IT 자원의 효율적이고 안정적인 활용과 관리를 의미한다. 이 두 가지가 분명히 다름에도 이를 애매모호하게 사용함으로써 개념의 혼란을 가져오는 경우가 빈번한 상황이다. 넷째는 EA 지배구조와의 혼용이다. IT 지배구조와 EA 지배구조의 체계가 유사해 보이지만 무엇보다 대상의 범위와 목표가 다르다. 대상의 범위에서 IT 지배구조는 이사회와 경영진을 포함한 전사 관점에서 IT 자원의 효율적인 관리 및 의사결정 활동을 포함하고 있다. 반면 EA 지배구조는 EA 구축 범위나 IT 부서와 현업이 연계가 되어 있는 부분에 한정되어 있다. 이사회나 경영진을 포괄하는 것이 아니라 현업과 IT 부서에 그 범위가 한정되어 있는 것이다. 이 둘은 서로 목표도 상이하다. IT 지배구조의 목표는 IT 조직의 역할과 책임을 명확하게 관리하고, IT 활동 상황을 관리 및 통제하고 모니터링 하는 것이다. 반면 EA 지배구조의 목표는 구축된 아키텍처의 활용 및 관리 진행 상황을 현업 부서와 연계해 통제 및 모니터링하여 EA 활동성을 높이는 것이다. 이러한 혼란은 특히 컨설팅 회사에 의해 조장되고 있다. EA 프로젝트를 수행할 경우 일정 부분 IT 지배구조를 건드리게 되는데, 이러한 기업의 요구를 충족시키기 위해 EA 지배구조라는 컨설팅 프로젝트를 포함시키고 있는 것이다. 즉 EA 컨설팅을 팔기 위해 EA 지배구조를 언급하는 것인데, 이 때 정확하지 못하거나 잘못된 내용이 전달되어 여러 가지 개념 상의 혼란이 발생하는 것이다. EA 지배구조는 EA 틀에서 지배구조를 다루기 때문에 한계가 있다. 또한 기업 지배구조와 연계성을 갖지 못하는 모습도 나타나고 있다. 따라서 CIO들은 이러한 점을 명확히 인식할 필요가 있다. 많은 기업들이 EA 프로젝트를 고려하고 있기 때문에 이러한 문제는 앞으로 더욱 커질 듯 하다 CIO들이 더욱 조심하는 수밖에 없다. 물론 EA 지배구조는 그 자체로서 의미를 갖는다. EA 지배구조의 체계화를 통해 IT 지배구조가 더욱 성숙해 질 수 있기 때문이다. EA 지배구조는 IT 지배구조의 하위 개념으로 EA 지배구조를 제대로 확립함으로써 IT 지배구조가 보다 성숙해지는 밑거름이 될 수 있는 것이다. 그러나 EA 지배구조는 IT 지배구조 체계 안에서 정의되어야 한다는 점을 명확히 인식할 필요가 있다. 그렇지 못하면 많은 부작용이 발생할 수 있다. 현재 많은 컨설팅 회사들이 EA 기반의 지배구조를 구현하려는 모습들이 보이지만, 선행적으로 IT 지배구조의 그림을 그리는 것이 바람직할 것이다. 물론 EA 지배구조를 선행한 후 IT 지배구조로 나아가는 점증적인 접근 방법을 선택했다면 크게 문제될 것은 없을 것이다. 그렇지만 EA 지배구조 확립 시 비즈니스 아키텍처를 만들 때 참여하는 대상의 수준이 달라질 수 있으며, 기업 지배구조의 속성을 부여 받지 못한 아키텍처 관점에서 EA 지배구조가 확립된다면 커다란 문제가 발생할 수 있다. 따라서 CIO들은 이러한 점에 유념할 필요가 있다. 4. IT 지배구조를 통한 가치 창출 IT 지배구조가 실질적으로 IT 투자로부터 최대의 가치를 창출하는데 어떻게 기여할 수 있는가. 그 효과와 의의는 무엇인가 기업의 IT 투자는 이제 적지 않은 규모를 보이고 있다. 따라서 IT 투자를 제대로 하느냐는 기업의 중요한 관심사가 됐다. 잘못된 IT 투자로 인해 기업의 존재 자체가 흔들릴 수도 있기 때문이다. 미국의 K마트나 나이키 등 여러 기업 사례에서 이 점을 어렵지 않게 목격할 수 있다. 현재의 주주들은 투자 실패에 대해 관대하지 않다. 투자 실패는 주주들에게 직접적인 손실을 의미하기 때문이다. 따라서 IT 투자에 대해 주주들은 예전보다 민감하게 반응하고 있다. 사베인 옥슬리 법안과 바젤 II 등은 이러한 주주들의 의도를 받아들인 중요한 법률이라고 할 수 있다. 그 연장선에서 IT 투자 성과 관리에 대한 인식의 확대로 인해 많은 기업들이 성과관리 프로세스를 보다 명확히 만들고 있다. 그러나 IT 투자 성과 관리는 많은 문제점을 갖고 있다. 주로 IT 부서 위주로 성과관리가 이뤄지고 있어 신뢰나 현업 수용 측면에서 한계를 보이고 있다. 국내 모 대기업의 경우 투자관리의 중요성을 일찍 인식하여 성과관리 시스템을 구축했다. 그러나 IT 부서에서는 그 정보를 공유하고 있지만 현업은 이에 큰 관심이 없으며 신뢰하지도 않는 실정이다. 성과 관리 시스템은 구축되었으나 실질적인 활용은 제대로 이뤄지고 있지 못한 것이다. 특히 그것이 전사적인 기업 가치 향상에 기여하고 있는지에 대해서는 누구도 장담하고 있지 못하는 상황이다. IT 지배구조 하에서의 IT 투자는 전사적인 IT 투자관리 및 성과측정에 커다란 기여를 할 수 있다. IT 서비스, 엔터프라이즈 아키텍처, 신규 애플리케이션 도입 등의 영역에서 전사적인 투자평가 및 성과측정이 이뤄진 이후 시스템 도입 등에 지속적으로 이전의 결과가 반영되어 기업의 가치 상승에 기여하게 되는 것이다. IT 지배구조의 틀에 의하면 IT 투자 및 우선 순위 결정이 현업에 의해 주도되기 때문이다. 뿐만 아니라 성과 평가도 현업이 중심이 되기 때문에 IT 투자로부터 최대의 가치를 창출하는데 매우 중요한 매커니즘으로 작용할 수밖에 없다. 현업 관점에서 IT 투자를 관리하고 성과를 평가하는 것이 핵심 사항으로 보인다 그렇다. 이러한 순환 구조는 전사적으로 투명하고 체계적인 투자관리 프로세스를 구축하게 됨으로써 지속적으로 이에 대한 관리 및 통제가 가능하다. 또한 IT 투자의 진행 과정 및 결과에 대한 피드백을 받음으로써 관리가 수월해진다. 또한 IT 프로젝트가 제대로 진행되고 있는지 그 여부를 파악할 수 있고 낭비 요소를 확인하여 제거할 수 있다. 이를 토대로 IT 중복 투자 방지와 IT 투자로 인해 노출된 위험에 능동적으로 대처할 수 있는 성과 관리 체계를 구축할 수 있다. 더 나아가 단순한 IT 관리 체계의 구축이 아니라 IT 투자로부터 더욱 많은 가치를 창출할 수 있는, 관리 체계를 성숙시켜 나갈 수 있다. 아울러 IT 업무 영역의 프로세스를 표준화하고 자동화할 수 있어 신속하고 명확하며 책임 있는 의사결정을 내릴 수 있다. 5. IT 지배구조에 대한 연구 현재 국내 기업들을 대상으로 IT 지배구조에 대한 연구를 진행하고 있는 것으로 알고 있다. 배경 및 동기는 무엇인가 이번 연구는 연세대학교 정보대학원 내의 ISi (Information Systems intelligence)라는 연구실에서 주도하고 있다. 이 연구실은 어떻게 하면 IT가 좀더 지능적인 의사결정체계 및 프로세스에 따라 기업의 가치 창출을 극대화 시킬 수 있는지를 연구하는 조직이다. 특히 IT 지배구조 연구를 실시하게 된 배경은 IT 지배구조가 등장하게 된 배경 및 효과와 연관이 크다. 최근 IT는 단순한 비즈니스 지원 도구가 아닌 기업의 자원을 효율적으로 관리하고 새로운 사업 가치를 창출하며 비즈니스 전략 목표를 달성하기 위한 실행 도구로써 인식되고 있다. 따라서 기업의 IT 예산도 운영비용이 아닌 수익 창출을 위한 투자로 관점이 전환되고 있다. 그 연장선에서 IT를 통한 사업 가치 증대 의존도가 높아지고 있다. 그러나 국내에서는 아직까지 IT가 중요한 전략 무기로 자리매김하고 있지 못한 실정이다. 그 보다는 무분별한 IT 투자로 인한 불신과 오해가 더 크다. 따라서 이러한 인식을 타파하고 IT가 제대로 기업 내에 자리잡도록 하는 것이 연구의 중요한 목표이다. 그런 측면에서 IT 예산이 증가되는 만큼 위험성 또한 증가되고 있는 상황에서 IT 지배구조를 통하여 개선점을 찾고자 이번 연구를 진행했다. 지금까지의 추진 내용 및 향후 연구 일정은 국내 주요 대기업을 대상으로 IT 지배구조의 필요성 인식 및 현황, 실제 사례, 이론적 검증 등을 통해 국내 환경에 맞는 실제 IT 지배구조 가이드라인을 제시하고자 한다. 지난 해 하반기부터 대기업을 중심으로 IT 지배구조의 CIO 인식도 및 수행 수준에 관한 연구를 수행하고 있다. CIO 인식도 및 수행수준을 파악하기 위해 권위 있는 연구 기관들의 연구 내용 분석과 결과를 토대로 설문을 작성하여 주요 전문가들에게 검증을 받아 활용하고 있다. 현재 운영되고 있는 IT 자원을 효율적이고 안정적이게 활용하고 관리하는 IT 관리와 비즈니스 성과 사이에서 기업의 가치창출과 전략적인 연계를 위해서 IT 지배구조의 필요성 및 중요도를 실제 연구를 통하여 검증할 것이다. 연구를 위해 CIO들의 많은 지원이 필요한 만큼 관심을 갖고 지켜봐 주었으면 좋겠다.

박호경기자  hk_park@ciokorea.com [출처] IT 지배구조 올바로 이해하기|작성자 푸르른삶