IT Governance Series (8) - IT 거버넌스, 필요한 이니셔티브(Initiatives : 조치)는(2)?

IT 거버넌스 시도(initiatives)에는 여러 가지가 있을 수 있으나, 가장 일반적이고 가시적인 것으로 ‘IT 거버넌스 프레임워크’(이하 프레임워크라 함)를 수립하는 것이다. 여기에서 IT 거버넌스를 위한 통제 프레임워크인 COBIT 4.0에 들어 있는 ‘IT 거버넌스 제공’ 프로세스 (이하 프로세스라 함) 에 대한 소개가 프레임워크를 수립하는데 많은 도움이 될 것이다.

(용어 정의 : IT 거버넌스 프레임워크 - IT 거버넌스에 대한 조직적 접근방법을 기술한 일련의 지침, 정책 그리고 메소드(methods)들을 통합한 모델, 2007년 CISA exam review manual 에서)

COBIT 4.0은 다음과 같은 주요 내용을 제시하고 있다.

-프로세스의 통제 목적

프레임워크로 하여금 기업의 IT 투자가 기업의 전략과 목적에 따라 조율되고 제공되도록 보장하는 것이다. (프레임워크를 수립한다는 것은 조직 구조, 프로세스들, 리더십, 역할 및 책임을 정의하는 것을 포함한다.)

-프로세스를 통해 만족시켜야 하는 비즈니스 요구조건

IT 거버넌스를 기업 거버넌스 목적에 통합시키고, 또한 법규를 준수

-중점 추진 사항

1. IT 전략, 성과, 위험에 관한 이사회 보고서 준비

2. 이사회 방침에 따라 거버넌스 요건에 대응

-수단

1. 기업 거버넌스와 통합된 IT 거버넌스 프레임워크 수립

2. IT 거버넌스 상황에 대한 독립적인 보증 확보

-프로세스 측정기준

1. 이해 관계자에게 IT에 관한 이사회 보고의 빈도 (성숙도 포함)

2. IT로부터의 이사회 보고 빈도 (성숙도 포함)

3. IT 법규 준수의 독립적 검토의 빈도

-프로세스 입력(input) 자료

1. IT 프로세스 프레임워크

2. 비용/수익 보고서

3. 위험 평가 및 보고서

4. IT 통제 효과에 관한 보고서

5. IT 서비스 제공과 관련된 규범적 요건의 목록

-프로세스 결과(output)

1. 프로세스 프레임워크의 개선

2. IT 거버넌스 상태 보고서

3. IT-활용 비즈니스 투자의 예상 비즈니스 수익

4. IT를 위한 기업의 전략적 방향

5. IT 위험에 대한 기업의 선호(appetite)

-프로세스 활동

1. IT 활동에 대한 집행임원 및 이사회의 감독 및 촉진 기능을 수립

2. IT 성과, IT 전략, 자원 및 위험 관리를 비즈니스 전략에 맞춰 검토하고, 승인하고, 조율하고, 그리고 전파

3. 성과와 정책, 표준 그리고 절차 준수에 대한 주기적인 독립적 진단을 보증

4. 독립적 진단 결과를 해결하고, 합의된 권고 사항의 경영자 이행을 보장

5. IT 거버넌스 보고서를 작성

-거버넌스 활동 성숙도 (프로세스 성숙도가 아님)

수준 5 - 이사회가 IT 전략 위원회를 두고 있으며, IT 전략도 직접 승인

수준 4 - 이사회가 IT 전략을 승인하든지, 혹은 IT 전략 위원회만을 설치

수준 3 - 이사회가 정기적으로 정보를 제공 받음

수준 2 - 이사회가 가끔 질문함

수준 1 - 이사회가 IT를 다루지 않음

수준 0 –

(ITGI에서 작성하여 공개한 프리젠테이션 자료에 들어있는 IT 거버넌스 성숙도 설명을 사용하였으며, IT 전략 위원회는 IT 거버넌스 위원회로 전환 중임)

보다 자세한 사항은 COBIT 4.0을 참조하시기 바랍니다.

신인철

아이티거버넌스인터내셔널

© IT Governance International