COBIT Series(1) - COBIT의 정신

IT 조직들은 모범 실무(best practices), 표준 프레임워크(framework) 등 여러 형태로 불리는 IT 프로세스를 위한 많은 길잡이들, 예를 들면, COSO, COBIT, ITIL, CMMI, ISO 17799, IT-BPM 등을 이용하여 내부 프로세스를 개선하고자 노력 중이다. 그렇지만 이러한 노력에는 컨설팅, 솔루션 도입 등으로 막대한 비용이 소요됨에도 적게는 몇몇 직원, 기껏해야 IT 조직만의 잔치로 끝나버리고, 궁극적으로 비즈니스 조직에 제공하는 정보 및 서비스의 질적 향상으로 이어지지 못하는 경우가 거의 전부라고 해도 과언이 아닐 것이다.

경험에 비추어 이런 현상들의 근본 원인을 생각해본다면, 다음과 같은 사항이 복합적으로 작용하였다고 할 수 있다: 회사의 규모, 제공하는 IT 서비스 형태, 서비스 이용자 등 조직의 특성을 고려하지 않은 추진; 경쟁 심리에서 비롯되는 IT 프로세스의 인증만을 위한 근시안적인 추진 목적 설정; 모범 길잡이마다 담고 있는 근본 정신에 대한 이해 부족에서 비롯된 무분별한 기준 적용; IT 조직에서 갖춰야 할 전반적인 IT 프로세스의 통합적 개선이 아닌 부분적 개선에 머무는 단편적 또는 상향식(bottom-up) 접근;

이 외에도 운영 과정에서 나타나는 파급적인 원인까지 고려한다면 많은 이유를 꼽을 수 있으나 개별 조직에 특화된 사항들이라고 인식될 수도 있기에 추가 언급은 생략한다.

COBIT에 담겨진 정신을 어느 정도 가늠할 수 있도록 해주는 것으로써 COBIT 프레임워크 개발에 적용된 기본 특성들에는 비즈니스 중심, 프로세스 지향, 통제 기반 그리고 측정 주도 (business-focused, process-oriented, controls-based and measurement-driven) 등이 있다. 이에 덧붙여 COBIT에 정의된 통제 실무들은 정보기술 활용 투자(IT-enabled investment)를 최적화하는데, 서비스 제공을 보증하는데 그리고 일이 잘못된 시점에서 잘잘못을 판단할 수 있는 수단을 제공하는데 도움을 줄 수 있다고 기술하고 있다.

그렇다면, 위에서 언급한 COBIT 의 개발 방향과 기대효과 이외에 COBIT을 관통하고 있는 정신은 무엇인가? 이에 대한 답으로써 다음과 같은 몇 가지 사항들을 제시할 수 있다.

첫째, 균형적이다. 이러한 개념을 엿볼 수 있는 요소들은 다음과 같다:

- 통제 설계의 효과 진단에 있어서 예방과 탐지/교정 통제의 균형;

- 측정 지표를 정의하는데 있어서 목표 달성 여부에 대한 선행 지표인 성과 지표(Performance Indicators)와 목표 지표(goal indicators)의 균형적 조합, 더 나아가 IT 균형 성과표(IT-balanced scorecard) 개발;

- 위험 크기 및 정도에 비례하는 통제 구현;

둘째, 종합적이다. 이러한 개념을 엿볼 수 있는 요소들은 다음과 같다:

- IT 프로세스의 성숙도 진단 시 다면 평가(인식 및 소통, 정책, 계획 그리고 절차, 도구 및 자동화, 스킬 및 전문성, 수행 및 석명 책임; 목표 설정 및 측정 측면에서);

- IT 조직에 필요한 모든 프로세스를 망라(4 개 도메인: 계획 및 조직, 획득 및 구현, 제공 및 지원, 모니터 및 평가);

셋째, 점진적이다. 이러한 개념을 엿볼 수 있는 요소들은 다음과 같다:

- 지속적 표현(continuous representation)방식의 프로세스 성숙도 모델 제시;

- 외부의 모범 실무를 적용하기 이전에 내부의 모범 실무 개발을 필요 조건;

- best 보다 good practices가 우선;

참조: continuous representation과 대비되는 것으로 staged representation 이 있음(용어 해설 참조)

넷째, 비즈니스 중심이다. 이러한 개념을 엿볼 수 있는 요소들은 다음과 같다:

- IT를 비즈니스 목표 달성을 위한 driver가 아닌 enabler로 인식;

- IT 활용 비즈니스 투자(IT-enabled business investment)의 이익 극대화;

- 경영자(IT 투자에 대한 의사 의사결정권자), 사용자(IT 서비스 제공자 및 이용자) 그리고 감사인(통제/위험/컴플라이언스 책임을 지닌 사람) 모두에게 필요한 실무 지침 제공;

다섯째, 사람 중심이다. 이러한 개념을 엿볼 수 있는 요소들은 다음과 같다:

- 역량을 갖춘 사람에 의한 업무 수행을 가장 으뜸가는 핵심 성공 요인(critical success factors)으로 강조;

- IT 프로세스 성숙도 진단 속성에 ‘인식 및 소통’, ‘스킬 및 전문성’ 등을 포함;

- 솔루션(solution)에 의존하기 보다는 기술(technology)의 활용을 높은 수준으로 평가;

여섯째, 프로세스 지향이다. 이러한 개념을 엿볼 수 있는 요소들은 다음과 같다:

- 개별 프로세스는 물론 프로세스들 간의 절차적 관계를 중요시;

- 프로세스 수행에 있어서 정상적인 입력 산출물 이용을 버금가는 핵심 성공 요인(critical success factors)으로 강조;

일곱째, 정량적이다. 정량적이란 뜻은 의사결정에 있어 이성적 판단을 위해 데이터를 사용한다는 의미이다. 이러한 개념을 엿볼 수 있는 요소들은 다음과 같다:

- 모니터링을 위해서 IT 프로세스 성과 및 목표 지표를 정의;

- 5% 미만의 외부 위협 보다 80 % 이상을 차지하는 내부에 존재하는 위협 요소에 더욱 치중;

- ROI/Business Case/사업영향평가/IT-BSC/SLA 등 정량적 데이터에 기반한 의사결정을 강조;

여덟째, 지속적이다. 지속적이란 뜻은 통제 활동들이 통제 목적 달성을 가능한 지속적으로 보증할 수 있도록 한다는 의미이다. 이러한 개념을 엿볼 수 있는 요소들은 다음과 같다:

- 통제 활동의 제도화/자동화 강조;

이상과 같이 COBIT의 정신을 고찰한 이유는 여느 모범 길잡이들과 마찬가지로 진단 기준으로써의 활용 효과를 높이기 위함이다. 보증 활동의 주체가 내부 평가자, 내외 감사자, 외부 컨설턴트 혹은 심사자이든 누구나 특정한 모범 길잡이 또는 이의 변형물을 기준으로 조직의 IT 수준을 비교하기 마련이다(그림1: 보증 프레임워크 참조]. 그런데, 어떤 자격에서 어떤 형태의 보증 활동을 수행하든지, 기준이 되는 모범 길잡이 속에 담겨진 정신을 제대로 살려서 평가하고 개선 사항을 도출한다면 무리한 개선 요구의 도출을 방지할 수 있고, 마찬가지로 사전 준비를 하는 피보증 주체 입장에서도 기준에 담겨있는 정신을 제대로 이해하고 감안한다면, 구체적인 요구조건들을 최소화하여 준비하더라도 궁극적인 기대 효과 달성을 보증할 수 있다는 사실이다.