IT Governance Series (18) - IT 거버넌스, Implementation, Before and After (구현, 이전 및 이후) (2)

언제까지 “선진 기업에서는 이렇지 않는데..” 하며 부러워하면서도, 스스로는 외풍에 ‘좌지우지’되는 상황을 예방하기 위해서는, 다시 말해 어떠한 외풍에도 흔들리지 않는 내부 IT 의사결정 품질을 확보하기 위해서는 그것의 근원적 한계에도 불구하고 성숙된 ‘내부 통제 시스템(internal control system)’의 구축 이외에 다른 대안은 없다고 본다.

이러한 관점에서 통제 활동(control activities, 거의 대부분 복수형을 사용함)에 대한 의미를 되새겨 보는 것도 IT 거버넌스 구현(implementation)에 도움이 될 것이다.

우선, COSO의 내부 통제 통합 프레임워크(internal control - integrated framework)와 ERM(enterprise risk management) 통합 프레임워크에서는 통제 활동을 각각 ‘경영자 지시가 성취되도록 보증하는데 도움되는 정책 및 절차’ 그리고 ‘위험 대처가 올바르게 실행되도록 보증하는데 도움이 되는 정책 및 절차’ 로 정의하고 있으며, 이에 기초하여 COBIT에서는 IT 통제를 ‘비즈니스 목적이 달성되도록, 또한 바람직하지 않은 사건이 예방되고 혹은 탐지되고 교정되도록 합리적 보증을 제공하기 위해 설계된 정책, 절차, 실무 그리고 조직 구조’ 로 표현하고 있다.

마찬가지로, ‘ ~ 조직의 IT가 조직의 전략 및 목적을 지속시키고 확장시키도록 보장하는 조직의 리더십과 조직 구조 및 프로세스로 구성된다.’ 라는 IT 거버넌스의 정의를 상기했을 때, IT 통제 구성 요소 중에서 정책은 IT 거버넌스 구성 요소의 리더십, 조직 구조는 조직 구조, 그리고 절차 및 실무는 프로세스와의 연결이 가능한 것을 알 수 있다. (단, 일부 통제 실무에는 조직 구조에 해당하는 내용도 포함) 따라서 IT 거버넌스도 조직의 목적 달성을 위한 통제 활동이라는 의미이다. (그림 5, IT 거버넌스 프레임워크의 중심에도 통제가 자리잡고 있음)

그렇다면, 이들의 (IT 통제 와 IT 거버넌스) 차이점은 무엇인가? 이들의 차이점은 COBIT으로부터 배울 수 있다. 다음의 IT 거버넌스 프레임워크와 IT 통제 프로세스의 그림을 관찰함으로써 알 수 있을 것이다. (프로세스에는 절차 및 실무가 포함된다.)

그림 4. 통제 프로세스