IT Governance Series (5) - IT 거버넌스, 그 정의(definition)는?

이번 연재는 새로운 개념 정의보다는 기존 개념들에 대한 해석에 초점을 두는 것이므로 다양한 시각을 보이고 있는 IT 거버넌스에 대한 정의를 논하기 전에 몇 가지 다른 개념을 살펴보는 것이 도움이 될 것이다.

우선, 거버닝 주체인 이사회의 역할에 대하여 간략히 설명하면, 이사회는 조직의 성공을 위해 자금을 조달하고, 계약 및 영향력을 발휘하고, 법률 및 회계에 있어서 특별한 스킬을 제공하며, 그리고 대외적으로 대사 역할 등의 지원 역할(supporter or builder)과 반면에 조직 바깥에 위치하며, 대중 이익의 보호를 다하기 위해 CEO 선임과 그의 성과 평가, 계획 및 공약을 검토하고 승인, 법적 그리고 계약 요건의 준수를 보장, 그리고 조직의 업무를 평가하는 등의 거버닝 역할 (monitor or questioner)을 동시에 수행한다.

이러한 이사회 역할인 거버닝 활동을 소유와 경영이 분리된 상황에서는 경영자(management)가 대신 할 수 없는데, 현실적으로 이사회의 일부 멤버가 집행 임원(executive management))으로서 CEO 또는 CFO 등의 고위 직책을 맡고 있기 때문에 이사회 멤버인 집행 임원도 기업 거버넌스 책임을 공유한다고 보는 것이다. 그렇지만 분명한 점은 이사회 또는 이사회 멤버, 그리고 감사 위원회 및 거버넌스 위원회 같은 이사회에 소속된 단체 이외의 다른 신분으로서 똑같은 행위를 했을지라도 거버닝 활동이라고 하지 않는다는 사실이다. (입장에 따라서 목적이 다르고, 또한 결과에 있어서는 커다란 차이가 있다.)

다른 하나는 개념을 정의하는데 있어서 보다 구체적으로 일어나는 행위, 행위 주체 그리고 행위 목적 (6하 원칙 중에서 언제, 어떻게, 어디서는 덜 중요) 을 모두 조합하였을 때 보다 분명하고 이해하기 쉽게 의미가 전달될 수 있는데, 그렇지 않고 행위의 다양한 주제를 개별적으로 취급하거나, 행위 목적 등을 지나치게 추상화시키기 때문에 여러 개념 정의가 양산되고 있다고 생각된다.

여기에서 IT Governance에 대한 한국정보시스템감사통제협회 차원의 용어 표준화 논의 과정에서 있었던 한가지 에피소드(?)를 이야기하자면, 당시 Corporate Governance에 사용된 ‘지배구조’라는 표현 대신에 ‘지배통제’ 라는 용어를 제안한 적이 있었는데, 그 배경에는 “구조가 먼저냐 행위가 먼저냐?” 라는 사회학적 논쟁을 떠나 구조(행위 주체)에 행위적 표현을 더한 것이 의미 전달에 효과적이라고 생각하였기 때문입니다. 물론 ‘통제’라는 표현은 행위에서 한발 더 나아가 다양한 행위들의 공통 목적에 대한 추상화 의미로 변환시켰다고 할 수 있습니다. 그러나, 최종적으로 ‘거버넌스’ 로 합의가 되어 사용되고 있는데, 이러한 용어의 표현 문제도 IT 거버넌스에 관한 논란에 일조하게 되었다고 생각한다. (일반적으로 구조적 보다는 행위적 표현이 개념 파악에 도움이 됨)

지금까지 살펴본 두 가지 내용만으로도 IT 거버너스에 대하여 회의체를 통한 의사결정과정 (구조 중심)과 위험 관리 차원의 통제 (주제와 행위 중심), 조직의 가치 창출 (행위 목적), 그리고 통제 주체의 상향 조정에 필요한 리더십 등이 함축되어 있음을 파악할 수 있다. 이러한 기본적인 의미를 미리 염두에 둔다면, 제시된 웬만한 개념 정의들은 동일한 의미로 수용이 가능할 것이다.

본론으로 들어가서, 가장 공신력 있는 ITGI(IT governance institute : IT 거버넌스 협의회)에서 발표한 IT 거버넌스의 정의는 다음과 같다.

“IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives.”

“IT 거버넌스는 이사회 및 집행 임원의 책임이다. 그것은 기업 거버넌스의 중요한 요소이며, 조직의 IT가 조직의 전략 및 목적을 지속시키고 확장시키도록 보장하는 조직의 리더십과 조직 구조 및 프로세스로 구성된다.”

Board Briefing on IT Governance, 2nd Edition, ITGI

구성 요소를 상세히 설명하면, 첫째, 리더십은 IT 거버넌스 프로그램의 성공에 있어서 가장 중요한 요소로써, 그 내용은 성공 및 가치를 달성하고자 하는 적극적인 의지와 거버넌스 및 소명책임(accountability)을 새로운 계층(기본적으로 이사회 수준을 의미)으로 끌어올리려는 의지를 담고 있다.

둘째, 조직의 구조는 의사결정 권한과 소명책임을 구체화할 목적으로 경영진과 이사회의 책임 관계를 정립하며 이사회가 갖는 시간적 제약 등을 극복하기 위해 이사회 부속 위원회의 설치 및 참여를 의미한다 (예, IT 전략 위원회, CIO 의 이사회 참여, IT executives and accounts, 기타 위원회 및 협의회).

끝으로 기업의 IT를 지시하고 통제하는 프로세스는 목적 설정, 그것을 이루기 위한 방법에 관한 지시, 그리고 성과를 측정하는 것을 포함한다 (예, 전반적인 IT 의사결정, IT 모니터링, 균형 성과표, IT 전략계획, 서비스 수준 협약, 정보 경제학에 따른 프로젝트 우선순위결정, 성숙 모델)

여기에서 강조될 사항은 경영진과 이사회의 만남, 비즈니스 조직의 참여, 그리고 IT 거버넌스 정보에 대한 이사회까지의 전달이 거버넌스 프로세스가 갖춰야 하는 필요충분조건이라는 점이다.