IT Governance Series (10) - IT 거버넌스, 구현(implementation)시의 고려사항

“이전 40년간 평범했던 제약회사인 월그린사는 1975년부터 25년간 인텔의 2배, GE의 5배, 코카콜라의 8배까지 주가를 끌어 올림(상승률)” (혁신적 변화의 대표적 성공 사례)

“사우스웨스트 항공의 공급망 변화는 수요 전망의 개선과 구매 비용 감소를 가져왔고, 또한 이러한 비용 감소에도 서비스 수준은 높아졌다.”

“광범위한 IT 시너지 효과는 그레이트-웨스트 생명의 재무적 성공의 중요한 부분을 담당한다.”

“IBM은 여러 분산된 공급망을 연결하여 재고 수준을 낮춤으로써 2년에 걸쳐 120억 달러의 비용을 절감했다.”

“IT는 지난 30년 사이 비즈니스에 있어서 가장 길게 실망을 안겨주었다!”

Jack Welch, Chairman, General Electric, World Economic Forum, Davos, 1997

기술은 환상적인 꿈을 이루는데 도움이 될 수 있지만, 기술 이용은 이따금 정신을 번쩍나게 하는 악몽에 더 가깝다!”

Vesa Vaino, CEO Merita Bank, SIBOS, Helsinki, 1998

나는 정보기술의 역사에 관한 책을 쓰고 있다. …. 정보기술이 그토록 난잡한 것인가 하는 이유를 보다 잘 이해하기 위하여!”

Philippe Corniou, CIO, Renault, IT Governance Forum, Paris, 2001

위의 대조적인 사례들은 우리들에게 가치 보존을 위한 위험관리와 가치 창출을 위한 가치 관리 모두에 관심을 가져야 한다는 부담을 안겨주고 있으나, 가치 관리도 가치 창출을 하지 못할 위험에 대한 관리로 본다면 가치 보존 및 가치 창출이 동일한 위험 관리로 수렴이 가능하다. 따라서 해결 방안은 동일하다. 그것은 효과적인 내부 통제이다.

그렇다면, IT 조직에 의한 IT 자가 통제, IT 감사, 그리고 IT 거버넌스는 차이점이 무엇인가? 한마디로 통제 주체가 다른 것이다. IT 자가 통제는 CIO로 대변되는 IT 조직, IT 감사는 최고 경영진의 IT 에 대한 지식 결여로 제3자에게 맡기는 대리 통제, 그리고 IT 거버넌스는 최고 경영자에 의한 직접 통제인 셈이다. 여기에서 명심해야 할 점은 자가, 대리, 그리고 직접 통제 모두 공존해야 한다는 사실이다.

이쯤에서 IT 거버넌스를 구현하는데 있어서 우선적인 고려사항으로 ‘통제’ 라는 표현에 대한 거부감을 버릴 것을 제안한다. “내가 최고의 IT 전문가인데 어느 누가 감히 나를 통제한다니 말이 되는가?” 이러한 경박한 사고 방식을 벗어버리지 못하면 CIO는 영원히 이사회에 명함을 내밀 수 없게 될 것이라고 확신합니다.

잠깐 말을 바꾸어서 우리나라 IT 감리 제도와 관련한 개인적인 의견을 애기하면, ‘감사(audit)’라는 표현에 대한 거부감으로 ‘감리(audit)’로 바꾸고 법제화까지 시켜놓았지만, 결국에는 소프트웨어 개발에 대한 품질 보증 활동 수준을 넘지 못하는 현실을 애석하게 생각합니다. 사실, ISO, ITIL, ITSM, CMM, COBIT 등을 수출(?)하는 선진 외국에서는 오래 전부터(90년 후반으로 기억) IT에 대한 외부 감사는 ‘아무리 잘해도 거대한 고릴라의 등에 앉은 파리 한 마리에 불과 할 수밖에 없다’는 점을 인식하고, 우리가 IT 감리 법제화를 위해 몇 년씩 시간을 소비하고, 그리고 감독기관에서는 자신들의 고유 업무인양 직접적인 외부 감사를 고집하고 있을 때, 자가 통제, 대리 통제(내부 감사), 그리고 직접 통제(IT 거버넌스)를 통하여 조직의 가치를 관리하고자 노력해오고 있음을 깨달아야 할 것입니다. 이러한 배경에는 ‘서비스나 제화는 아웃소싱이 가능할지라도, 위험은 절대로 아웃소싱 대상이 될 수 없다.’라는 위험 관리의 기본적 원리도 함께 한다고 볼 수 있습니다.

끝으로, 통제에 대한 거부감을 덜어드리는 것으로 끝맺고자 합니다.

모든 조직에 있어서 위험 관리 방법 가운데 ‘통제’에 의한 것보다 ‘커뮤니케이션 및 자율’에 의한 것이 보다 발전된 개념이지만, 역사 발전 과정에서 구성 멤버가 더 많은 자유와 자율을 가지는 것은 두 가지가 전제 되어야 시스템적 안정을 가질 수 있다고 합니다. 첫째, 구성원들의 성숙(자율적인 통제 능력 포함, 프로세스 CMM level 5), 둘째, 전체와 조화를 이루는 좋은 거버넌스 존재가 바로 그것입니다. 다시 말하면, 적절한 내부 통제는 조직의 발전 과정에 있어서 거쳐야 하는 필수 요소가 아닌가 생각하며, 더구나 컨설팅 과정에서 매번 말씀드렸던 “내부 통제는 머리에 이거나 등에 짊어지는 것이 아니라, 기업의 경쟁력이다.”라는 생각은 아직도 변함이 없습니다. 또한, 지금까지 IT 조직에서 추진한 모범 실무(ISO, ITIL, ITSM, CMM, COBIT)를 이용한 프로세스 개선도 자가 통제 구현의 일환인 것입니다.