왜 ‘통제’ 가 필요한가?

우리의 현실은 통제란 말을 우선적으로 신체적 억압 또는 구속이라는 의미로 떠올리기 때문에, 내부 혹은 IT 통제라는 말에 대하여도 막연한 거부 의식이 팽배해 있음을 경험적으로 알 수 있다. 나아가 이러한 현상이 COBIT(Control Objectives for Information and relative Technology)의 실무 적용을 활성화시키는데 있어서 한가지 방해 요인으로 작용하고 있다고 할 수 있다.

따라서, ‘통제’이어야만 하는 이유에 대해서 우선 논의할 필요가 있다.

상식적으로, 통제 활동(이하 ‘통제’라 함)이란 위험 관리(risk management)의 총체적인 수단을 지칭하며, 따라서 위험과 통제는 창과 방패의 관계라고 쉽게 규정할 수 있지만, 보다 명확한 이해를 위해 통제에 대한 권위있는 정의를 살펴보는 것이 도움이 될 것이다.

그런데, 본 연재는 전사적인 내부 통제 차원이 아니라 IT 통제에 대한 제한적 내용을 다룰 것이기 때문에 여러 통제 관련 프레임워크 중에서 COBIT에서의 정의를 인용하면 그것은 다음과 같다: “IT 통제(활동)는 비즈니스 목적을 달성하고, 또한 바람직하지 않은 사건을 예방하거나 탐지/교정할 수 있도록 합리적 보증(reasonable assurance)을 제공하기 위하여 설계된 정책, 절차, 실무 그리고 조직 구조이다.” 그리고, 이러한 정의에 바탕을 둔 통제에 대한 구체적인 몇 가지 실례를 든다면 다음과 같다: 첫째, 필요한 일상 활동들의 지속적 수행을 위한 내부 규정화와 자동화; 둘째, 하위 직급에 의한 수행 및 보고 활동 보다는 제3자 또는 상위 책임자들에 의한 이의 검토와 서명; 셋째, 성과 모니터링;

위 정의에 나타나 있듯이 원하는 목적 달성을 위해서 필요한 활동들을 조직 내 일상적인 활동과 구분하여 특별히 통제 활동이라고 일컫는 것이다. 이처럼 목적 달성을 위하여 필요한 것으로 받아들여지기 때문에 IT 통제는 특별히 자동차의 브레이크에 비유되고 있다.

이제, 통제의 긍정적인 측면을 정의 차원을 넘어 보다 심층적으로 고찰해 보고자 한다. 널리 알려진 ‘개발 CMMI(Capability Maturity Model Integration for Development)’에서는 COBIT에서의 통제 목적 및 실무와 유사한 용어로써 ‘특정 목표 및 실무(specific goal and practice)’라는 대응되는 표현을 사용하고 있는데, 다음과 같은 사항들이 ‘통제 목적 및 실무’가 ‘특정 목표 및 실무’보다 적합한 표현이라는 명확한 근거가 될 수 있으며, 그렇지 못하면 통제에 대한 거부감이라도 해소할 수 있는 근거는 되리라 생각한다.

첫째, 통제는 단지 원하는 목적의 달성을 지원하는데 그치지 않고, 가능하다면 목적 달성을 보증까지 할 수 있는 필요한 활동 또는 실무를 포함한다.

비록 이것은 IT 통제 정의를 재차 강조한 것이지만, 부연 설명하면, IT 프로세스의 통제 설계 효과에 관한 내용으로, 일반적으로 통제 목적의 달성이 효율성 추구보다 우선하는 IT 프로세스 성과 기준이 되어야 하고, 부족한 통제 활동으로 인한 위험의 증가는 불미스런 사건 발생을 유발해 비즈니스 목적 달성을 방해하는 요인이 된다는 사실도 고려하고 있는 것이다. 그러므로, IT 프로세스에 대한 통제 설계 시에 조직의 차별성, 예를 들면, 조직의 고유 목적과 구현전략, 조직의 복잡성, 역사 및 문화, 그리고 조직이 처한 환경 및 업종 간 차이점 등을 어느 정도 감안하더라도 어느 조직에서나 목적 달성을 합리적으로 보증하기 위해서 수행하여야 하는 적절한 통제 활동은 반드시 존재해야 하는 것이다. 그렇지 않고, 적정 수준 이하의 통제 활동 운영은 위험 노출 정도가 원치 않는 사건 발생을 예방하거나 탐지/교정하지 못하기 때문에 결코 비즈니스 목적이 달성된다고 확신할 수 없다.

둘째는 “누가 통제 주체가 되어야 하는가?” 에 대한 답을 구해보는 것이 될 것이다. 일반적으로, 통제 활동을 설계하고 정의하는 일은 어느 조직에서나 사람(예, 이사회, 감사인, 경영진, 매니저 등)이 하지만, 이러한 통제 정의 주체들도 통제 대상, 즉 IT 자원의 일부분이다. (COBIT에서는 IT 자원을 인력, 응용, 인프라, 정보 등으로 분류하고 있다.) 따라서, 통제 활동의 준수 책임은 통제 정의 주체를 포함한 구성원 모두에게 있음을 내포하고 있다.

IT 통제 설계의 방향을 제시한 상기 기술을 다시 정리하면, 조직의 IT가 통제 목적 달성을 보증할 수 있어야 하고, 이를 위해서는 IT 통제를 IT 프로세스의 일부로써 사람에 의한 규제가 아닌 도움을 주는 내부 기능으로 구현하여야 한다는 점이다. 따라서, 브레이크도 제작자의 손을 떠나 자동차의 일부로 작동하듯이, IT 통제 목적 달성을 보증할 IT 통제 주체는 어느 개인이 아닌 조직의 IT가 되어야 한다.

상기 내용들은 컨설팅 과정에서 자주 설명하고 이해를 구한 것들이지만, 그러함에도 현실에서는 소규모 IT 조직일수록 비즈니스 목적 달성보다 IT 업무의 효율성을 강조하는 분위기가 팽배해 있음을 쉽게 경험할 수 있었다. 특히, 특정 통제 활동에 관한 정책 및 절차들을 명문화시켜야 한다는 요구에 대한 반응에 있어서 더욱 그러하였다. 그러나, 통제 활동을 정의하고 명문화하는 것도 통제 운영의 지속적 효과와 밀접한 관계가 있으므로, IT 프로세스 성숙도 향상 이상으로 중요한 이슈이다.

정리 차원에서 지금까지 기술한 내용들을 요약하면 다음과 같다: 첫째, 통제는 위험관리 수단이다; 둘째, 적절한 통제 수준은 IT 프로세스의 효율성 보다는 우선적으로 목적 달성 여부에 의해 결정되어야 하며, 모든 조직에서는 일정 수준의 통제를 필요로 한다; 셋째, 통제 주체는 조직의 IT이지, 개인이 아니다;

COBIT의 통제 목적 및 실무

IT 활동 정의에 있어 COBIT 프레임워크에서도 지향하고 있는 프로세스 중심적인 접근은 IT 프로세스의 궁극적인 결과물로 제공되는 정보 및 서비스의 품질이 프로세스 품질에 의해 좌우될 수 있다는 기대에서 출발하고 있으나, 우리의 현실에서는 모델로 채택한 모범 실무에서 정한 요구조건들의 철저한 반영으로 초래되는 너무 복잡한 프로세스 설계, 조직들의 연속적인 위기 직면에 따른 조직 구성원들의 잦은 이직과 조직 통폐합, 그리고 IT 시스템에 의해 자동화, 단순화 그리고 사고의 고착화로 야기되는 환경 변화에 신속히 대응할 유연성 또는 탄력성 저하 등으로 그러한 바램이 점차 퇴색되고 있다.

그러나, 위의 논조에는 일부 부정적 의견이 있을 수 있기에, 모든 조직에 보편적으로 해당된다고 믿는 근본적인 원인으로 ‘프로세스는 통제를 필요로 한다’는 사실에 대한 인식 부족을 꼽을 수 있다. 이를 달리 표현하면, IT 프로세스에 대한 기대 효과는 프로세스에 반영된 IT 통제 효과에 좌우된다고 할 수 있다.

그렇다면, IT 통제가 실패할 수 있는 이유는 무엇이겠는가?

우선 비즈니스 관점에서는 통제 행위로 전환되지 않은 정말 중요한 비즈니스 목표가 무엇인지를 아무도 알지 못한다는 점과 IT 통제에 대한 비즈니스 조직의 참여가 없다는 점이다. 또한, 비즈니스 성과와 관련이 없는 목표를 지향하고, 그리고 지나치게 IT 자원에만 집중하는 기술적 접근이 IT 관점에서의 또 다른 실패 이유가 될 수 있다.

이제 다음 질문에 대한 답을 구하는 것으로 결론에 갈음할 수 있을 것이다. “과연, COBIT의 통제 목적 및 실무는 상기 교훈을 어느 정도 반영하고 있는가?” 이에 대해서 한마디로 충분히 반영하고 있다고 답할 수 있다. 이런 즉각적인 답변이 가능한 것은 COBIT에서 밝히고 있는 다음의 몇 가지 사항에 근거하고 있다:

첫째, COBIT은 경영자, IT 서비스 사용자들 그리고 감사인들의 요구를 반영하여 개발됨;

둘째, COBIT은 IT 역할을 비즈니스 목적을 위한 기여자(enabler)로 규명하고 접근함;

셋째, COBIT 운영 위원회, ITGI 위원회, 그리고 검토자 등으로 COBIT 개발에 실무 경험이 풍부한 사람들이 참여함;

위에 기술한 근거들이 담고 있는 함축적 의미로는 COBIT의 통제 목적 및 실무가 비즈니스 목표를 지향하는 효과적인 통제를 위한 최소한의 요구사항들을 포함하고 있다는 사실에 아직 동의하지 않는 분들을 위해서 직접적이고 구체적인 통제 실무를 추가로 제시하고자 한다. (사실, 이 내용을 COBIT에서 처음 확인하였을 때, 마음속으로 놀라움을 금할 수 없었던 바, 다같이 동감하리라 기대하면서…)

넷째, COBIT에서는 ‘계약팀 또는 구매부서 직원은 정보 취득 목적을 제외하고는 공급자와 개인적 접촉을 허용하지 않는다.’는 구매 통제와 관련한 통제 실무를 제시하고 있음;

(Control Practices Version 1.0, ‘AI 1 자동화 솔루션 확인’ 프로세스의 구매 통제를 위한 통제 실무 중에서, 참고로 IT 거버넌스를 위한 C.P. Version 2.0 에는 없음.)

이처럼 IT 인프라를 비롯한 IT 자원 구매에 있어서 납득하지 못하는 기준, 특히, 부정 행위에 반드시 수반되는 조작된 정보에 의거하여 구매 의사결정이 이루어졌을 때, 해당 시스템은 구현 이후 운영 과정에서 사고가 발생할 수 있다는 높은 잠재 위험까지도 고려하였다는 점에서 COBIT의 통제 목적 및 실무는 그 가치를 인정할 수 있다.

부록: 용어 정의 (번역된 글은 IT 통제보증 전문용어 참조)

Control—

the policies, procedures, practices and organisational structures designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented or detected and corrected.

Control objective—

A statement of the desired result or purpose to be achieved by implementing control procedures in a particular process

Control practice—

Key control mechanism that supports the achievement of control objectives through responsible use of resources, appropriate management of risk and alignment of IT with business

Specific goal—

A required model component that describes the unique characteristics that must be present to satisfy the process area.

Specific practice—

An expected model component that is considered important in achieving the associated specific goal. The specific practices describe the activities expected to result in achievement of the specific goals of a process area.

신인철

IT거버넌스인터내셔널

© IT Governance International