IT Governance Series (20) – IT 거버넌스, ‘거버넌스는 거버넌스이다.’

이번 연재의 제목은 스위스 작가인 페터 빅셀(Peter Bichsel)의 대표작 가운데 하나로 꼽히는 ‘책상은 책상이다.’라는 책의 제목에서 빌려 왔다. 대학 시절에 읽은 것이라 내용이 너무도 가물가물하여 다시 기억을 떠올리기 위해서 인터넷의 도움을 받을 수밖에 없었다. 이 책의 요지는 주인공이 어떤 이유에서 자신의 삶을 변화시키기 위해서 혼자서 ‘책상을 양탄자로’, ‘침대를 사진으로’, ‘의자를 괘종시계’ 등으로 사물의 이름을 바꾸어 불렀고, 본래의 명칭 조차 잊기까지 하였다. 그러다가 사람들이 하는 말이 그에겐 웃기게 들렸고, 급기야는 다른 사람들과 의사소통을 할 수 없는 지경에 이르러 말을 하지 않고 침묵하며 사람들과 인사도 나누지 않게 되었다. 이러한 불편한 경험을 하고서 다시 사물들의 본래 이름으로 부르게 된다는 것이다.

위 소설을 언급한 이유는 주인공이 겪은 고통(?) – 특히, 의사소통의 문제점 – 이 우리 후배들에게도 충분히 일어날 수 있는 현상이기 때문이다. 사실, 바로 이 점이 IT 거버넌스 연재를 시작하게 된 계기가 된 것이다.

부연하여 설명하면, 국내에서의 IT 거버넌스 개념이 국제적 개념과 다른 한국 고유의 의미로 정착이 될 경우, 그러한 독특한 개념으로 무장한 후배들이 글로벌 커뮤니티에서 대화를 할 수 없는 비슷한 상황을 겪을 것으로 충분히 예상할 수 있었던 것이다. 그리고, 15 년 가까이 IT 거버넌스/통제/보증 관련 커뮤니티에 참여하면서 비슷한 경우를 많이 목격하였기에 더욱 우려가 될 수밖에 없었던 것이다.

IT 거버넌스의 이해를 돕기 위하여 필자는 본 연재(20회)를 통해서 지금까지의 연재를 통해전달하고자 했던 의미를 재정리하는 기회를 갖고자 하는 것이다.

첫 연재물인 ‘IT 거버넌스, 황무지인가?’에서 결코 IT 거버넌스는 황무지가 아니라는 강한 부정을 피력하였었다. 그 이유는 IT 거버넌스/통제/보증 관련 커뮤니티의 대표적 리더인 정보시스템감사통제협회(ISACA)가 객관적인 입장에서 올바른 정의를 내렸다고 믿기 때문이다. 그럼에도 불구하고 우리는 20 세기의 산물인 IT 거버넌스의 정체에 대하여 아직도 많은 논란, 아니 논란이라기 보다는 실체에 대하여 이해하지 못하거나 거버넌스의 홍수로 혼란에 빠진 사람들이 많이 있다. 더구나, 잘못된 정보 탓에 자신의 조직 내에 이미 작동되고 있음에도 느끼지 못하는 경우도 있다.

이제, IT 거버넌스에 대한 혼돈의 늪에서 나올 수 있도록, 나름대로 분석한 이 늪의 속성 및 특징을 몇 가지 공통적인 이슈로 묶고서, 이러한 이슈들에 대응되는 적절한 논리를 명제화하여 설명하기로 한다.

명제 1. 거버넌스는 새로운 개념이 아니다.

반드시 새로운 의미를 이끌어내야 한다는 부담 또는 새로운 것을 뜻할 거라는 기대를 가질 필요가 없다. 거버넌스를 이미 사전에 등재된 뜻으로 해석하여 받아들이면 된다. 단지, 거버넌스는 조직의 목적을 이루기 위하여 경영자 혹은 지도자가 지시하고 통제하는 프로세스이다.

Corporate Governance (이하 CG)를 ‘기업 지배구조’ 혹은 ‘기업 소유구조’로 해석한 것은 사회적 이슈인 우리의 선단식 기업 경영 형태에 기인하여 윤리적 측면을 강조하는 차원에서 경영권 행사에 ‘지분만큼 지배하고 권한만큼 책임지는’ 주식회사의 본질을 구현하려는 노력의 일환으로 프로세스 전체 관점보다는 지시하고 통제하는 프로세스의 최고 주체인 이사회의 이사 선임에 대한 원칙만을 부각시킨 것으로 이해가 가능하다.

명제 2. 거버넌스 주체는 경영자 또는 지도자이다.

CG 이든 IT Governance (이하 ITG) 는 모두 이사회와 집행임원(executive management : 이사회 구성 멤버)의 책임이다. 따라서 이들이 직간접으로 관여하지 않는다면, 거버넌스, 즉 거버닝 프로세스라 할 수 없다.

만약에 ITG에 대하여 이사회 또는 집행임원이 전권을 위임하여 하부 조직(예를 들면, CIO)에만 일임한다면, 그것은 더 이상 거버넌스가 아닌 것이다. 왜냐하면, 거버넌스가 지닌 본질, 즉 소명책임(accountability), 경영자에 대한 관리, 그리고 경영에 대한 감독(supervision)이라는 원리를 상당히 잃어 버리게 되기 때문이다. 따라서, 이사회에서 IT를 다루지 않는 경우는 IT 거버닝 프로세스 성숙도 기준으로 최하위 수준(Level 1)으로 간주하는 것도 같은 이유에서이다. 따라서, 동일한 목적을 지닌 유사한 행위일지라도 일반 경영자 선에서 처리되면 그것은 IT 관리로 간주하여야 한다.

참고로, 거버넌스 주체에 대한 새로운 해석을 Enterprise Governance (이하 EG)에서 찾을 수 있다. EG는 비집행임원(non-executive management)까지도 포함하는 모든 경영진 활동을 전체 이해관계자에 관해서 조정하는 포괄적인 소명책임 프레임워크로써 부른다. 국제회계사회(IFAC : the International Federation of Accountants Committee) 와 칙허 경영회계사회 (CIMA : Chartered Institute of Management Accountants)는 CG와 Business Governance (이하 BG) 의 통합적 사고를 추상화하여 EG로 생각한다.

명제 3. 거버넌스는 메소드(methods)가 아니라, 거버닝 포인트를 포함하고 있는 프로세스이다..

명제 1에서 지적하였듯이 거버넌스는 지시하고 통제하는 조직적 구조이며 프로세스이기 때문에, 프로세스 상에서 활용되는 어떠한 개별 메소드 또는 결과물을 의미하지는 않는다. 대표적인 예로 Enterprise Architecture (EA)와 Service-oriented Architecture(SOA)를 꼽을 수 있다.

IT의 중요성을 인정받아 CG에서 ITG를 분리시켰듯이 CG 혹은 ITG의 하위 거버넌스로써 EA 또는 SOA 거버넌스를 독자 영역으로 간주할 수도 있으나, 보편적 타당성은 없어 보인다. ‘XXX Architecture’ 가 갖는 단어적 의미의 제약과 더불어 이들은 일종의 메소드 혹은 결정된 방향이기 때문에 이들에게 반복적 활동을 뜻하는 프로세스로 보기에는 무리가 있다고 본다.

그리고, 설령 EA 와 SOA를 개별적인 거버넌스로 인정한다면, 데이터 거버넌스, 응용 거버넌스, 시스템 거버넌스, 품질 거버넌스, BI 거버넌스, 프라이버시 거버넌스, 컴플라이언스 거버넌스, 인터넷 거버넌스, 컴플라이언스 거버넌스, 외주 거버넌스, 프로젝트 거버넌스 등을 모두 인정할 수밖에 없으며, 앞으로도 수없이 많은 새로운 주장들이 제기될 경우에는 더욱더 혼돈의 늪에서 빠져 나오기 어렵게 된다는 것은 명약관화한 일이다.

그렇다면, 이렇듯 IT 거버넌스의 곁가지들이 우후죽순 생겨나는 원인은 무엇인가? 한마디로,거버닝 주체의 생각과는 완전히 동떨어진 생각에서 접근하기 때문으로 판단된다. 만약 여러분이 이사회 멤버라면 이들을 각각 별개로 간주하겠는가?

최종 결정은 가치 분석과 위험 분석 결과에 따라 거버닝 프로세스 후보들을 결정하는 것이 올바른 접근방법이라 생각한다. 따라서 다른 조직의 거버닝 서브-프로세스(sub-process)가 내게는 적합하지 않을 수도 있는 것이며, 가능한 서브프로세스를 뽑아내기 보다는 소수의 통합 프로세스들로 구성하는 것이 효과적이며 효율적이다.

참고로, ITGI의 자료들을 기반으로 했을 때에는, CG 차원에서의 계획수립, 모니터링, 그리고 지식수집 프로세스들 속에 ITG 도 통합시키는 방안, 아니면 독자적인 ITG 차원에서는 계획수립, 가치창출, 위험관리, 자원관리, 그리고 성과관리 등으로 거버넌스 서브프로세스를 구현하는 방안도 제안할 수 있다.

명제 4. 거버넌스와 거버넌스용(지원)을 구분하라.

명제 3에서 거론된 여러 서브프로세스와 메소드(methods) 중에는 IT 거버넌스 프로세스를 위해서 보다 개선되거나 활용해야 하는 IT 관리 프로세스 및 메소드들이 대부분이다. 왜냐하면 IT 거버닝에 필요한 성과 정보가 IT 관리에서 제공되는 것이 전부이기 때문이다.

명제 5. 거버넌스는 솔루션이 있을 수 없다.

목표를 위해 작업자의 효율성과 관련이 깊은 IT 관리와는 달리 IT 거버넌스는 기술에 의해 도움을 받을 영역을 포함하고 있지 않다. 따라서, IT 거버넌스 도구는 없는 것이다.

명제 6. IT 거버넌스는 하향식 접근이 중요하다.

서평번역 부문의 'IT 거버넌스의 10가지 원칙', by Peter Weill and Jeanne W. Ross 참조

결론적으로 말해서, 아무리 시대가 변하고, 지역에 따라 개념이 다를 수 있다고 하더라도 본질적 의미마저 바뀐다면 그 때는 동일한 표현을 쓸 수 없다는 사실을 강조하고 싶다.