IT거버넌스, 기업 목표달성 지원하는 활동

IT가 기업의 전략적 의사결정에서 고려되지 못하고 블랙박스의 상태로 방치돼 있다는 점에서 시작된 것이 IT 거버넌스이다. IT 거버넌스는 최근 학계와 산업계에서 활발하게 논의되고 있지만, 아직 명확한 개념정립도 되지 않은 상태이다. 최근 논의되고 있는 IT 거버넌스의 개념을 소개하고 실제 기업에서의 적용방법을 제안하기 위해 한국정보시스템감사통제협회에서 이번호부터 3회에 걸쳐 IT거버넌스 기획 시리즈를 싣는다.

최근 개최된 ‘2007 ISACA Korea Annual Conference’에서 국내의 시가총액기준 70대 기업을 대상으로 IT거버넌스 국내현황 및 동향에 관해서 설문조사한 내용을 발표하였다. 전략적 연계, 성과관리, 가치전달, 위험관리, 자원관리 등 IT거버넌스 다섯 가지 영역을 대상으로 상·하위 10%의 집단차이를 비교한 결과, 가장 큰 격차가 나타난 영역이 IT Security와 IT Compliance가 중심이 되는 ‘IT 위험관리’ 영역이었다.

특히 IT Compliance의 준수여부가 기업의 투명성을 높여 정보시스템을 효과적으로 통제할 수 있고, 적절한 IT위험관리가 기업의 경쟁우위와 비용효율성을 제고시킬 수 있다는 점에서 상·하위 집단 간 큰 격차를 보여 주었다. 이는 IT거버넌스의 수행수준이 낮은 기업일수록 발생 가능한 위험에 취약하다는 점을 시사하고 있다.

최근 IT거버넌스에 대한 다양한 논의가 이루어지고 있지만, 아직까지는 학계와 산업계 모두 명확한 정의를 제시하지 못하고 있는 상황이다. IT거버넌스의 개념이 모호하다는 점은 IT거버넌스 활성화에 걸림돌이 되고 있다. 그러나 지금까지 제시된 정의를 종합해 보면, IT거버넌스는 IT가 기업의 전략적 의사결정에서 고려되지 못하고 블랙박스 상태의 모습으로 방치해 둘 수 없다는 점에서 시작된 것으로 분석된다.

상당수의 국내 기업 경영진은 IT를 기술적으로 활용하는데 초점을 맞추고 있으며, 기업의 목표를 달성하는데 있어서는 보조적인 수단 정도로 취급하고 있다. 대기업 경영진조차 IT관련 의사 결정과정을 IT 부서에 일임해 버린다. 그 중 대표적인 IT거버넌스 영역 중의 하나가 앞서 설명한 정보보호와 위험관리 영역이라고 볼 수 있다.

IT거버넌스는 이사회, 경영진, 내부고객(직원포함)을 비롯한 기업 내 이해관계자 모두가 IT 관련 의사결정에 다양한 방식으로 참여할 수 있도록 이끄는 조직의 체계이자 기업철학이다. 다시 말해 IT거버넌스 체계가 확립되었다는 것은 IT관련 의사결정을 IT 부서 관계자들에게 일임하지 않으며, 전사적으로 균형적인 책임체계를 가지고 있다는 것을 의미한다.

수년 전부터 학계를 중심으로 시작된 IT거버넌스에 대한 논의가 최근 컨설팅회사나 기업실무자 사이에서 중요하게 회자되는 이유는 무엇일까? 또한 IT거버넌스가 현시점에서 요구되는 기업의 경쟁우위를 확보하기 위한 체계인가, 아니면 단순히 세련된 IT 경영기법의 소산일 뿐인가?

IT거버넌스의 모태, 기업 거버넌스

IT거버넌스의 기본 개념은 기업 거버넌스(Corporate Governance)에서 비롯되었다. 실제로 호주 학계에서는 ‘IT거버넌스’ 대신 ‘Corporate Governance of ICT’라고 명명하고 있다.

IT거버넌스를 이해하기 위해서는 기업 거버넌스가 무엇인지 알아두어야 할 필요가 있다. 기업 거버넌스란 경영진과 주주, 채권자, 일반 직원 등 모든 기업 이해관계자들 사이에 존재하는 상호작용의 형태 및 통제구조를 나타난 ‘역학관계’라 볼 수 있다.

거버넌스는 크게 경영활동의 ‘효과성’, ‘투명성’, ‘책임성’의 제고라는 세 가지 목적을 추구한다. 효과성(Effectiveness)이란 경영활동이 기업목표에 부합될 수 있도록 효과적으로 수행되고 있는지 여부를 의미한다.

투명성(Transparency)이란 이러한 활동이 공정한 절차와 규칙에 따라 투명하게 수행되고 있는지 여부를 의미한다. 책임성(Accountability)은 활동결과에 대한 책임이 누구에게 있는지에 대한 것이다. 이 때 책임이란 거버넌스 주체인 이사회 등에 대한 공식적 책임을 의미한다.

간단하게 말해 기업 거버넌스란, 경영활동의 효과성, 투명성, 책임성을 평가(Evaluate)하고 지휘(Direct)하며 모니터링(Monitoring)하는 활동이다. 일반적인 관리 개념과는 달리 그 추진 형태와 방식이 명시적, 공식적, 외부적으로 이루어진다.

기업 거버넌스 체계를 수립함으로써 얻을 수 있는 기대효과는 무엇일까?

최근 90대부터 많은 선진국들은 기업 거버넌스의 중요성을 강조해 왔으며, 1999년에는 OECD에서 기업 거버넌스 원칙을 발표했다. 이와 관련, 다양한 규제와 법규가 의무적으로 제도화 되면서 많은 선진기업들은 사베인-옥슬리(Sananes-Oxley) 법률과 2003년 국제 결제은행(BIS)이 발표한 바젤II에 대한 법규를 준수하게 되었다.

기업 거버넌스 구조를 체계화한다는 것은 기업 내 다양한 이해관계자들 간에 존재하는 권한과 책임의 소재에 대해 분명하게 규정하는 것, 사업관련 사안에 대한 의사결정을 수행하고 모니터링하는데 있어 투명성 있는 규칙과 절차를 상세히 기술하는 것을 의미한다. 이러한 과정에서 수립된 기업 거버넌스 체계는, 전사적인 계획을 수립할 수 있도록 하는 효과적이며 안정적인 조직구조를 설계하는데 있어 밑거름 역할을 한다.

그 동안 미국을 위시한 여러 선진국에서는 이미 우수한 기업 거버넌스가 기업경쟁력의 원천이자 각국 경제의 장기적 안정성장의 기본요건이라는 인식이 확산돼 왔다.

기업 거버넌스의 필수요소로서의 IT와 IT거버넌스

오래 전부터 IT는 비즈니스 가치를 창출하는데 있어 없어서는 안 될 요소로서 자리매김해 왔다. 기업의 전체 예산에서 IT 예산이 차지하는 비중은 지속적으로 늘고 있으며, 이에 따라 IT자산이 체계적으로 관리되지 못했을 때 발생할 수 있는 위험 또한 그에 비례하여 상대적으로 커지고 있는 추세이다.

이는 동시에 기회를 의미하기도 한다. IT 자원을 효과적이고도 효율적으로, 그리고 책임성 있게 활용한다면 원가를 절감하고 시장에 빠르게 대응할 수 있을 뿐 아니라, 이로 인해 기업의 신인도를 높일 수 있는 초석을 마련할 수도 있다.

기업의 IT 의존성은 IT를 기업의 중요자산으로 고려하지 않고서는 제대로 된 기업 거버넌스 체계를 구축할 수 없음을 의미한다. 기업운영에 있어 미증유의 기회와 위험을 모두 가져다 주는 IT는 더 이상 ‘기술자들에게 맡겨버릴’ 문제가 아닌, 기업의 최고경영진 및 이사회가 책임져야 하는 사안인 것이다.

IT거버넌스란 기업 거버넌스의 통합된 일부분으로써, IT가 기업이 전사적 목표를 달성하는데 있어 이를 지원하는 IT관련 의사결정의 효과성, 투명성, 책임성을 확인하고 보장하기 위한 활동이라고 정의할 수 있다.

IT거버넌스 프레임워크

IT 의사결정권한을 중심으로 한 IT거버넌스 프레임워크는 미국 MIT Sloan 경영대학원의 피터 웨일과 진 로스가 제창하였다. 그들은 의사결정과 책임소재의 관점에서 IT 의사결정 영역을 IT 원칙, IT 아키텍처 등 다섯 가지로 분류하고, 각각의 의사결정 영역에 따른 지배구조 형태(Archetype)를 봉건형, 연방형 등 여섯 가지로 형태로 분류해 각 기업 환경에 적합한 IT거버넌스 형태를 파악하고자 하였다.

또한 효과적인 IT거버넌스의 수행을 위하여 조직 구조, 프로시저, 위원회, 정책 등의 거버넌스 형태를 구성하는 거버넌스 메커니즘을 제시하고 있다. 그들은 의사결정권한 측면에서 잘 정립된 IT거버넌스 체계는 기업성과에 긍정적인 영향을 준다는 점을 실증하였다. 256개 기업을 대상으로 조사한 바에 따르면 효과적인 IT거버넌스 체제를 구축한 기업들은 약 40%정도의 ROA 효과를 보여주고 있다고 주장하였다.

지난 2007 ISACA Korea Annual Conference 키 노트로 초청된 벨기에 앤트워프 대학의 반 그렘베르겐 교수는 피터슨(2004)이 정의한 IT거버넌스 프레임워크인 조직적인 구조, 프로세스, 관계 메커니즘 등으로 분류한 프레임워크를 제시하였다. 여기서 구조는 IT 경영자, 재무관리자, 각종 위원회 같은 담당기능들이 관련된 조직을 의미하며 프로세스는 전략 IT 의사결정 과정 및 이에 따른 모니터링을 의미한다.

마지막으로 관계 메커니즘은 비즈니스와 IT참여 및 파트너십, 전략적 커뮤니케이션 학습 공유 등을 포함하고 있다. 반 그렘베르겐 교수에 따르면, IT거버넌스가 우수한 기업은 최소 20% 이상 수익을 거두었으며, 이러한 체제는 기업성과 중 하나인 수익성 등 기업의 전략적 목표달성의 효과로 연결된다고 주장했다.

학계관점에서 제시된 몇 개의 프레임워크와 같이 실무적으로 접근한 프레임워크인 COBIT(Control Objectives for Information and Related Technology)은 현재 산업계에서 가장 많이 인용되고 있다. COBIT은 미국 ISACA(Information Systems Audit and Control Association)의 연구기관 역할을 수행하고 있는 IT Governance Institute(ITGI)의 주도 하에 업계, 학계, 정부, IT거버넌스, 보증, 통제 및 보안 분야의 국제적인 대표자들에 의해서 개발된 프레임워크이다.

COBIT에서는 IT거버넌스 중점영역을 전략적 연계, 가치제공, 자원관리, 위험관리, 성과측정영역으로 분류하고 있다. 경영 및 거버넌스에 관련된 요구사항에 따라 현업의 정보를 제공하도록 ‘계획수립 및 조직화’, ‘도입 및 구축’, ‘운영 및 지원’ 그리고 ‘모니터링 및 평가’ 등 4개의 영역과 함께 관련 영역을 지원하는 34개의 IT 관리 프로세스에 대한 목적, 기본적인 통제 및 측정지표를 설명한다.

또한 해당 프로세스를 정보기준, IT자원, IT거버넌스 영역 등과 매핑한 결과를 실무적인 관점에서 설명하고 있다. COBIT은 독립적인 비영리 연구기관인 제휴기관의 회원, 업계전문가, 통제 및 보안전문가들의 전문성을 바탕으로 개발, 유지, 관리되고 있다. COBIT의 내용은 IT Practice를 지속적으로 연구한 결과를 바탕으로 하고 있고, 지속적으로 유지 관리되고 있기 때문에 모든 종류의 사용자들에게 객관적이고 실용적인 프레임워크로 활용되고 있다.

정보보호 거버넌스(Information Security Governance)

IT거버넌스가 널리 회자되기 시작하면서 다양한 형태의 거버넌스가 차례로 논의되고 있는데, 정보보호 거버넌스도 그 일례이다. 어떤 용어에 거버넌스라는 말이 붙으면 해당 사안에 대해 이사회 및 고위 경영진이 특별히 신경 써야 하는 것이라고 해석하면 된다.

정보보호 거버넌스는 정보보호 이슈를 별개의 것으로 다루던 종래의 경우와 달리, 기업의 전사적 목표를 달성할 수 있도록 정보보호 이슈를 전사 전략에 어떻게 연계할 것이며, 해당 이슈에 대해 이사회와 고위 경영진이 책임져야 할 부분은 무엇인지를 명확히 하는 활동이다.

IT거버넌스가 기업 거버넌스를 지지하듯이, 정보보호 거버넌스는 IT거버넌스 체계가 정립되는데 있어 반드시 수반되어야 하는 요소이다. 그 구성요소는 정보보호를 위한 활동에 대해 책임성, 투명성, 효과성이 확보되었는지를 점검할 수 있는 것으로 구성되어 있고, 이에 따른 조직체계, 프로세스, 제도 및 원칙이 명시화, 공식화되어 있는지 점검이 필요할 것이라고 본다.

필자가 분석한 IT거버넌스 사례분석에서는 IT Risk 관리는 대부분 IT부서가 주도해 진행하는 경우가 대부분이며, 이와 관련해서 몇몇 기업을 제외하고는 대부분 시스템에 대한 통제관리에 대한 윈칙과 제도 수립이 제한적이다.

또한 기업전략의 연계성 부분에서는 정보보호 및 위험관리 수준은 아직 미흡하다. 따라서 정보보호 거버넌스의 활성화를 위해서는 기업의 목적에 부합된 정보보호와 사업전략 간의 전략적 연계(Strategic Alignment)를 강화하는 원칙들이 운영 수준이 아닌 이사회 수준에서 더욱 활성화 되어야 한다.

<글: 이정훈 연세대학교 정보대학원 조교수>

[월간 정보보호21c 통권 제86호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)