IT Governance Series (11) - IT 거버넌스, 구현(implementation)시의 고려사항(2)

여느 진취적인 시도들과 마찬가지로 IT 거버넌스도 하룻밤 사이에 구현할 수는 없기 때문에, 조직이 처해있는 상황과 요구에 적합한 효과적인 추진 계획에 의하여 일련의 공정들로 나뉘어 진행되는 프로젝트로써 추진되어야 한다. 더불어, 중요 IT 활동에 대한 의사결정 권한 및 소명책임을 정의하는 일은 강력한 리더십과 더불어 올바른 조직 문화, 정책 프레임워크, 내부 통제 그리고 사전 정의된 거버넌스 실무(practices)를 필요로 한다는 사실을 명심해야 한다.

지금부터 실질적인 현안들을 중심으로 중요한 몇 가지 고려사항을 구체적으로 논의해 보기로 한다.

먼저, IT 거버넌스 구현에 대한 책임자로서 누가 적임자이겠는가?

앞서 인용하였듯이 이는 분명 CIO가 혼자 할 수 있는 것은 아니라는데 동의한다. 따라서 비즈니스 경영진 (general management)과 IT 경영진 (IT management or head) 의 공동 수행 책임이 적합할 것이다. 사실, IT 조직 입장에서 볼 때, IT 거버넌스의 통찰 속에는 IT 위험 관리 실패에 대한 CIO 만의 책임에서 비즈니스 조직과의 공동 책임 체계로 전환하는 효과(?)도 숨어있다. 그리고, 어떤 형태로든, 최고 경영자의 확고한 의지 천명(commitment)도 반드시 필요한 전제 조건일 것입니다.

다음, Top-down vs. Bottom-up, 단계적 vs. 총체적, 올바른 접근 방법은?

(지나치게 입에 발린 질문 같기도 하고, 전혀 어울리지 않는 질문이라는 걱정도 앞서지만, 무언가 표현하여 전달하고 싶은 현상이 있는데 딱히 어울리는 질문을 찾아내지 못하였습니다.)

이에 대한 판단 기준은 ‘가치 극대화’ 혹은 ‘즉각적인 가치 획득’으로 구분할 수 있는데, 차이점은 핵심 요소의 완전한 세트를 가지고 시작하는가와 부분적 요소만으로 먼저 시작하느냐인 것이다. 어느 것이 현실적이고 비현실적인지에 대한 직접적인 판단은 수많은 변수가 존재하겠지만 효율성에 앞서 목적 달성 여부가 우선적으로 고려되어야 할 것이다.

따라서, IT 거버넌스에도 정보 보안 거버넌스(information security governance), 외주 거버넌스(outsourcing governance), 컴플라이언스(개인정보보호 거버넌스(Privacy governance), 내부회계관리제도 등을 포함), 그리고 가치 거버넌스(Value Governance) 등 여러 부분적 유형들이 있는데, 유일한 정답은 있을 수 없듯이 접근 방법의 선택은 기존 관리 부문에 대한 현재의 조직 역량에 달려 있다고 볼 수 있다. 예를 들면, ‘가치 거버넌스’ 프로세스는 ‘투자 관리’, 그리고 ‘포트폴리오 관리’ 프로세스가 영향을 미치게 된다. (ITGI의 Val IT Framework 참조, 여기서는 ‘가치 거버넌스 프로세스들’에 가치 거버넌스, 투자 관리, 그리고 포트폴리오 관리 프로세스를 포함하여 정의하고 있음)

여기에서 반드시 짚고 넘어갈 필요가 있는 사실은 기존 IT 관리(management) 프로세스들을 제각각 ‘관리’라는 표현을 ‘거버넌스’로 바꾸어 표현하는 것은 지나친 것으로 생각되며 (대표적인 관리 유형은 세번째 연재물인 ‘IT 거버넌스(governance), “21세기의 IT 네잎 클로버”’ 참조), 이러한 관리 프로세스들이 거버닝 주체에게 보여질 때는 반드시 변환(transform)되어야 한다. 다시 말하면, 설령 모든 관리 프로세스들이 중요하다고 할지라도, 엎어 놓은 깔때기 형태의 조직 구조 형태에서 하위의 수많은 관리 프로세스들이 모두 좁은 구멍을 통과 할 수 없는 것과 같은 의미에서 덜 중요한 것은 제외될 필요도 있고, 중요한 관리 프로세스들일지라도 압축되거나 통합되어야만 제한된 크기의 접시에 담겨 이사회 식탁에 놓일 수 있으며, 또한 그렇게 되어야만 한다.

끝으로, 여러분들의 최종 판단에 맡기기 위해서, 주관적인(?) 관점이라 생각되지만, 현재 문헌에서 찾아 볼 수 있는 IT 거버넌스의 부분적 표현들을 나열하도록 하겠습니다.

-Governance of IT investment

-Project governance

-Business Intelligence governance (이상 해외 문헌)

-Application governance

-Data governance

-System governance

-Service-oriented Architecture(SOA) governance

-Quality governance (이상 국내 문헌)

참고로 한가지 덧붙이면, 일반적으로 대다수 IT 조직의 예산을 보면, 기존 시스템 운영에 80%, 신규 개발에는 20% 정도로 책정되는데, 80%가 중요하다고 할 수 있지만, 그러한 관점은 관리 차원에서 바라볼 때이고, 거버넌스 차원에서는 80%는 이미 주어진 틀에서 돌아가는 것이고, 따라서 20 %의 IT 투자로 얻어지는 수십 배의 재생산 가치와 20%가 잘못되면 발생할 수 있는 몇 배의 추가 비용(이때는 투자가 아님)을 고려하는 것이 적합하다.

(글로벌 회사의 경우에는 매년 수십~수백 건의 R&D 프로젝트가 추진되지만, 이러한 경우는 IT 거버넌스에 있어서의 논의 대상이 아님)