board > 서평번역 > IT 거버넌스의 4가지 규칙

HOME > 커뮤니티 > 서평 & 번역물

IT 거버넌스의 4가지 규칙 - By Erik Guldentops

글쓴이 : 신인철 날짜 : 07-12-30 00:48 조회 : 5469 추천 : 32 트랙백 주소

IT 거버넌스의 4가지 규칙

The Rule of Four of IT Governance

저자 : Erik Guldentops, CISA, CISM

출처 : Information Systems Control Journal, Volume 6, 2007

IT 거버넌스는 (여느 거버넌스와) 차원이 다르다! 그것은 기업 거버넌스의 본질적인 요소임에 틀림없다. 지식의 원리와 체계가 필요한 것은 단순히 IT가 중역실에서 무시되고 있기 때문이다. 이사회 및 중역 회의의 논의 과제에 (IT가) 포함되지 않은 결과는 IT 가치와 기회가 충분히 활용되지 못하고, 그리고 IT 위험이 제대로 이해되거나 완화되지 않는다.

진실된 IT 거버넌스는 조금도 사치스럽지 않다. 그것은 현대 기업에 있어서 근본적으로 필수적인 것이다. 수년 전, 가트너는 시작부터 잘못되었거나 허술하게 관리되는 IT 프로젝트들로 인해 매년 미화로 수십억 달러가 낭비되고 있다고 지적하였고, 그리고 스탠디시 그룹은 전세계에 걸친 IT 프로젝트들의 현상을 가지고 18개월 마다 그러한 경향을 확인시킨다.

무엇이 잘못되고 있는가? 최종 결론은 기업들이 그들의 사고와 문화를 바꿀 필요가 있다는 것이다. 이것을 요약할 수 있는 방법을 생각하고 있을 때, 숫자 4가 중요한 역할을 담당하기 시작했다. Val IT에서 설명한대로 ‘4개의 아레스(Ares, 작은 고민)’ 1) 는 사업가들이 IT로부터 가치를 얻기 위하여 필요한 것들을 생각하게 하는 좋은 안내자이다. 다음 4개의 규칙들은 비즈니스에 필요한 커다란 변화에 대한 생각을 하도록 도와줄 것이다:

1. IT 거버넌스는 효과에 관한 것이다. 가령, 사업가들은 사업이 더 잘 되도록 하는 시도들(initiatives)에 투자하는 것과 같은 정당한 일을 할 필요가 있다. 이것이 그림 1에서 보여주는 ‘4개의 아레스’ 가운데 첫번째이다. 여러 기사, 조사 그리고 발표 등은 지속적으로 비즈니스와 IT 의 연계를 강조하지만, 실질적 내용은 비즈니스와 IT 간에 함께 나누는 것이다: 운영 위원회에서 의사결정을 함께 하는 것; 협력 및 여러 분야의 팀을 통해서 이해와 스킬(skills)을 공유하는 것; 그리고 책임, 위험 그리고 보상을 함께 나누는 것;

(역자 주: 전사를 뜻하는 말인 아레스(Ares)는 그리스 신화에 나오는 신으로서, 공포와 테러의 신으로 불리기도 하지만, 이 보다는 ‘행동과 결정을 주관하는 신’의 상징적 의미로써 붙여진 이름이 아닌가 생각됨)

2. 불확실성을 받아들여야만 한다. 이것은 빈틈없는 숫자를 좆는 재무담당 최고 임원과 다른 중역들의 취향에는 맞지 않지만, 조직들에게는 신속하게 수정 조치를 취할 수 있도록 하는 메커니즘을 필요로 하는 여러 변수들이 있다. 여기에는 프로젝트 비용, 납기, 고객 행동 그리고 시장 가설 등이 포함된다. 그렇지만 조직들은 불확실하지만 거대한 이익을 가져다 줄 가능성이 있으며, 동시에 예상 이익을 제공하지 못할 징후가 커지면 방향을 수정하거나 멈춰질 수밖에 없는 시도들을 시작하는 자체가 두려울 뿐이다.

3. IT 거버넌스는 완전성에 관한 것이다. IT 프로젝트에 대한 비즈니스 케이스는 완전한 것이 요구된다, 즉, 아이디어 발의부터 해당 서비스의 철수까지 약속한 이익을 확보하는데 필요한 모든 활동들을 망라할 필요가 있다. 후자(아이디어 발의)는 이미 (조직) 문화적인 변화를 요구하는 커다란 도전이다. 왜냐하면 현재의 서비스 제공이 비즈니스 케이스의 요소로 거의 고려되지 않고, 또한 전체 서비스에서 애플리케이션을 구매하는 비용도 전혀 고려되지 않기 때문이다. 이것은 둘째와 셋째 ‘Ares’ 와 관련이 있으며, 비즈니스가 올바른 비즈니스 및 기술 아키텍처를 가지고 있는지, 그리고 확립된 품질 표준에 맞춰 제공되고 있는지를 조사하는 것이다.

4. IT 거버넌스는 석명성(accountability)에 관한 것이다. IT-enabled 비즈니스 시도(투자)로 창출될 이익에 대하여 약속이 있었다면, 누군가는 이러한 이익에 대해서 끝까지 책임질 필요가 있다. 석명성은 IT 서비스를 제공하는 것에 그치지 않는데, 그 이유는 궁극적 이익은 관련 비즈니스 프로세스의 변화에 따른 결과로만 얻어지기 때문이다. 프로젝트 리더들이 매력을 느끼는 기술적 IT 프로젝트들이 있으나, (이러한 프로젝트들 가운데) 강력한 조직적, 인간적 영향을 지닌 프로젝트에 도달하기까지 진행되는 것은 거의 없다. 그럼에도 불구하고, 그러한 시도들이 초기에는 불확실하지만, 이따금 거대한 투자 수익을 낳게 되는 분명한 증거가 있다. 석명성은 일이 잘못되었을 경우뿐만 아니라, 성공에서 보상이 주어질 때에도 적용된다.

‘4개의 아레스’에 더하여, 이 4가지 규칙들은 기업들이 IT에 대한 그들의 사고를 변화시키는데, 그리고 기업 경영에 있어서 IT를 다른 것들처럼 고려하도록 하는데 도움이 될 수 있다. 인적 자원, 지식 그리고 재무가 필요로 하는 것처럼 IT도 거버넌스를 필요로 한다. 그리고, IT에 투자할 때, 조직은 IT 투자를 여느 다른 투자처럼 생각할 필요가 있다 (예를 들면, IT 거버넌스로써가 아니라 기업 거버넌스 차원으로 간주). 비록 IT를 보다 잘 다스릴(govern) 필요가 있을지라도, 궁극적으로 IT는 지원 기능이라는 것을 기억하는 것이 중요하다. 왜냐하면, IT는 비즈니스가 이익을 창출할 수 있도록 하기 위해 필요한 일을 할 필요가 있기 때문이다. 그것은 금융계에 종사하는 어느 CIO의 다음과 같은 말로 가장 잘 표현할 수 있다: ‘IT는 전혀 예산을 가지고 있지 않고, IT는 어떠한 가치도 창출하지 못한다’.

Endnotes

1 Based on the ‘Four Ares’ as described by John Thorp in his book, The Information Paradox, written jointly with Fujitsu, first published in 1998 and revised in 2003

Erik Guldentops, CISA, CISM

is an executive professor at the University of Antwerp Management School (Belgium). He has initiated and provided leadership to the COBIT and Val IT initiatives since their inception.

Information Systems Control Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscript-xion to the Information Systems Control Journal.

Opinions expressed in the Information Systems Control Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT
Governance Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. Information Systems Control Journal does not attest to the originality of
authors' content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the
association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, Mass. 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article.
Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly
prohibited.

의견쓰기


번호	제목	글쓴이	날짜	조회	추천

	번역에 대한 변 (1)	신인철	07-03-24	7830	17

38	엔터프라이즈의 개념	신인철	13-01-08	2402	8

37	통제를 진단하기 전에 던져야 할 5가지 질문 By Brian Barnier, CGEIT	신인철	11-06-13	2673	9

36	클라우드 컴퓨팅, 법규 그리고 데이터 보안 위험에 관한 입문 By Carl Cadregari, and Alfonzo Cutaia, Esq (4)	신인철	11-05-31	5441	20

35	전사 위험 관리에서의 IT 시나리오 분석 By Urs Fischer, CISA, CRISC, CPA Swiss	신인철	11-05-04	5290	11

34	보안의 가치는 무엇인가? By Steven J. Ross, CISA, CISSP, MBCP	신인철	11-04-17	3233	10

33	보안 정책을 작성하는 방법: 네트워크 보안 정책 매뉴얼 by Paul R. Meynen	신인철	11-03-25	3579	14

32	소프트 IT 거버넌스 By Kazuhiro Uehara, CGEIT, CISA, CIA, PMP, and Sayaka Akino, CISA	신인철	11-01-31	3522	13

31	IS 개발 프로젝트에서 위험 관리를 위한 ‘요구사항 즉흥성’ 관리 by Sachidanandam Sakthivel	신인철	11-01-20	3456	12

30	한가지 중요한 질문 by Steven J. Ross	신인철	11-01-11	3184	13

29	서비스 가용성과 재해 복구 by Steven J. Ross	신인철	11-01-05	4572	13

28	ISO/IEC 38500 에 기반한 IT 거버넌스의 근본 by Haris Hamidovic	신인철	10-12-02	5111	15

27	IT 위험 분석 – 빠뜨린“A” By Eric J. Brown and William A. Yarberry Jr.,	신인철	10-11-08	3766	20

26	클라우드 컴퓨팅의 현혹 (Cloudy Daze) by Steven J. Ross	신인철	10-03-03	3936	16

25	IT 거버넌스를 한 차원 끌어올리기 위한 5가지 팁 By Brian Barnier	신인철	10-01-22	3341	14

24	요약: 매력있는 전향적 거버넌스 매핑 이니셔티브 By ISACA (번역자 추천)	신인철	09-08-10	3627	13

1 2 3