IT Governance Series (4) - IT 거버넌스, 조직의 가치와 위험, 그리고 통제

COSO(Committee of Sponsoring Organizations of the Treadway Commission)에서 발행한 ‘ERM(기업 위험 관리) - 프레임워크’에서는 전략적 가치 창출을 통제 목적의 범주에 새롭게 포함시켜 정의하고 있으며, 시장점유율 증대 및 고객 만족도 증가와 같은 시장에서의 직접적인 기업 성과를 IT 거버넌스 전략의 효과적인 작동의 징후로 인식하고 있다. 그리고 ISACA (Information Systems Audit and Control Association)에서는 IT 거버넌스를 위한 통제 프레임워크, COBIT, 에 이어 “Val IT Framework”을 거버넌스 프레임워크로 발표하였다.

이처럼 가치 중심적인 분위기에 맞춰 조직의 가치와 위험에 대한 상관관계에 대하여 살펴보는 것도 좋을 것이다.

‘조직의 가치 = 성장성 * 수익성 / 위험’

위 식에서 가치와 위험은 반비례 관계임을 알 수 있다. 이와는 달리 재무적 관점에서는 가치를 주주들에 대한 보상의 전체 합계로써 규정하기도 한다. 따라서, ‘위험 대 보상(이익)’의 관계를 흔히 ‘위험이 클수록 많이 남는다.’는 정비례 관계가 성립되는데, 이러한 관계가 일부 전략적인 (IT) 위험 관리에서도 받아들여지기도 한다. 그러나, 정비례 경우는 별개의 문제로 보는 것이 타당하고, 반비례 관계가 IT 거버넌스에 보다 부합하기에 본 연재에서는 반비례 관계만을 전제로 한다.

IT 투자는 분자에 해당하는 성장성과 수익성에도 직접적인 관련이 있지만, 그로 인해 파생되는 위험 또한 적지 않은 것이 사실이기 때문에 IT 거버너스를 위험 관리 시각에서 IT 감사를 능가하는 통제적 행위로 받아들여지기도 한다.

이 점을 Val IT 프레임워크에 따라서 아래의 질의들과 매핑시켜 살펴본다면, 첫째 질의는 방향제시적(directive), 둘째는 예방적(preventive), 셋째는 탐지적(detective), 그리고 넷째는 교정적(corrective) 통제 활동의 의미를 담고 있다고 볼 수 있다. 다시 말해, 이 모든 “Val IT” 활동이 조직의 IT 위험 관리, 즉 통제 활동을 통한 가치 증대 노력이라 할 수 있다.

첫째, 우리는 옳은 일을 하고 있는가?

툴째, 우리는 그것을 올바른 방법으로 하고 있는가?

셋째, 우리는 그것을 제대로 하고 있는가?

넷째, 우리는 이익을 얻고 있는가?

결론적으로, 아래 인용한 IT 거버넌스 프로그램의 실패에 대한 10가지 징후를 통해 IT 가치 창출 수준을 가늠해 볼 수 있다.

-IT 집행과 비즈니스 전략과의 연계가 되지 않음

-의사 결정에 필요한 정보의 부재 또는 제한적 가시성

-과도한 프로젝트 발생

-문제 및 사고에 대한 추적성과 소명성의 완전 부재

-비용 파악 결여

-운영상의 비효율성

-항상 사후대처(react)만을 지향하는 IT 조직 분위기

-규범적 준수 기준에 노출

-기술 선택 및 설계 결정에 있어서 “종교 전쟁”

-응용 및 인프라 포트폴리오가 끝없이 확장됨

Source : 10 Signs Your IT Governance Program is Failing You, By James Rogers