ISO/IEC 38500 에 기반한 IT 거버넌스의 근본

ISACA JOnline October 2010

Haris Hamidovic, CIA

개별 기업 안에서나 경제 전반에 걸쳐서, 효과적인 기업 거버넌스 시스템의 존재는 시장 경제의 올바른 기능을 위해 필요한 신뢰 수준을 제공하는데 도움을 준다. ¹

거버넌스는 경영진을 통과하여, 이사회가 기업 미션을 달성하도록 회사를 인도하고 회사의 자산을 보호하도록 하는 프로세스이다. 효과적인 거버넌스는 이사회가 경영진에게 조직을 위한 전략적 방향에 대한 올바른 안내를 제공할 때 나타난다. ²

지난 몇 년에 걸쳐, 업무 기능의 상당수가 IT 없이는 불가능할 정도로 IT는 비즈니스의 중심 축이 되고 있다. 더 이상 IT는 기업과 분리될 수 없다; IT는 기업의 필수 요소이다. 과거에 사업 본부장들(=고위 임원)은 IT 결정을 위임하거나, 무시하거나 혹은 회피할 수 있었지만, 이제는 대부분 지역과 산업에서 불가능하다. ³

IT 활동에 대한 이사회 감독의 부재는 위험하다. 그것은 회사를 회계 장부에 대한 감사를 실패하였을 경우와 같은 위험에 놓이게 한다. ⁴ 사실, 국제결제은행(BIS)은 금융기관의 이사들이 IT도 다른 전략적인 이사회 의제를 취급하듯이 다루어야 한다고 지적하고 있다. ⁵

정보 기술에 대한 결정적 의존은 IT 투자가 필요한 비즈니스 가치를 생산할지와 IT 관련 위험이 완화되는지를 보장하기 위한 IT 거버넌스에 특별한 관심을 필요로 한다. ⁶

이 글의 주요 목적은 IT 거버넌스의 주요 요소, 업계에서 이용되는 주요 프레임워크, 그리고 조직의 이사들을 위해 ISO/IEC 38500에 근거한 조직 내에서 효과적이고 효율적이며 수용가능한 IT 이용에 관한 가이드 원칙에 대해 소개하는 것이다. ⁷ 그것은 조직에서 IT 활용에 대한 책무를 다하는 것으로부터 이사들을 조력해야 할 것이다.

IT 거버넌스는 무엇을 다루는가?

IT거버넌스협회(ITGI)는 IT 거버넌스가 근본적으로 2가지 사항에 대해 관련이 있다고 이야기한다: IT의 비즈니스에 대한 가치 제공과 IT 위험의 완화. 처음 것은 IT와 비즈니스의 전략적 연계에 의해 추진된다. 두번째 것은 석명권(accountability)를 전사적으로 도입함으로써 추진된다.

IT 거버넌스는 주요 의사결정을 하는데 있어 누가 자격을 갖는가, 누가 투입되는가, 누가 그 결정에 이행하는 것에 석명권(accountability)를 갖는가에 관한 것이다. 그것은 IT 관리(management)와 동의어가 아니다. IT 거버넌스는 결정 권한에 관한 것이고 반면에 IT 관리는 제한된 IT 결정과 구현하는 것에 관한 것이다. ¹⁰

IT 거버넌스 프레임워크

많은 전문가들이 중간관리자들에 의한 구현을 위하여 상세하고 의도된 프레임워크들을 제시하였다. 이것들이 IT 거버넌스 “프레임워크 frameworks”로 알려져 있다. 자주 인용되는 프레임워크의 일부는 디음과 같은 것이 있다: ¹¹

• COBIT¹²
• IT Infrastructure Library (ITIL)¹³
• ISO/IEC 27001¹⁴

이러한 프레임워크들이 “IT 거버넌스 프레임워크”로 규정할 수 있을 수는 있지만, 사실적으로 이들 가운데 일부는 관리 프레임워크이다.

이러한 프레임워크들은 (위와) 같은 현안들에 대한 대안적 치료법이 아니다.¹⁵ 

COBIT은 IT 거버넌스 프레임워크이면서 책임자에게 통제 요건, 기술적 이슈 그리고 비즈니스 위험들 사이의 갭을 메울 수 있도록 해주는 지원 도구들의 모음이다. COBIT은 조직 전반에 걸쳐 IT 통제를 위한 명확한 정책 개발과 우수 실무를 가능하게 해준다. COBIT은 규범 준수를 강조하고, 조직으로 하여금 IT로부터 얻어지는 가치를 증대하도록 도와주고, (IT와 비즈니스 전략의) 연계를 가능하게 하고, 그리고 COBIT 프레임워크의 구현을 쉽게 해준다. ¹⁶

ITIL은 본질적으로 IT 서비스 관리를 위한 프레임워크의 구현을 돕는데 사용되는 일련의 문서들이다. 이 맞춤화가 가능한 프레임워크는 서비스 관리가 조직 안에 적용되는 방법을 정의한다. 원래 ITIL은 영국 정부 기관인 중앙 컴퓨터 및 통신 협회(CCTA)에 의해 만들어졌지만, 지금은 IT 서비스 규정의 모범 실무를 위한 사실상 표준으로써 세계적으로 채택되고 이용되고 있다. 비록 ITIL이 많은 분야를 다루고 있지만, 그것의 주요 초점은 IT 서비스 관리에 관한 것이다. ¹⁷

ISO/IEC 27001:2005는 정보 보안 관리 시스템을 위한 요건을 상세히 설명한 표준이다. 그것은 정보가 일반적으로 당하기 쉬운 위협의 범위를 확인하고, 관리하고 그리고 최소화하는데 도움을 준다. 이 표준은 정보 자산을 보호하고 고객을 포함한 이해관계자들에게 신뢰를 주는 적절하고 균형있는 보안 통제의 선택을 보장하도록 설계되어 있다. ¹⁸

IT에 대한 좋은 기업 거버넌스를 위한 원리

늘어나고 있는 IT 거버넌스의 중요성 사례로, 조직에서 IT 이용을 평가하고, 지시하고 모니터할 때, 이사들이 이용하기 위한 원리 프레임워크를 제공하기 위한 목적으로 ISO가 2008년 발표한 새로운 세계 표준을 꼽을 수 있다. ISO는 이 표준에서 IT 거버넌스을 위한 6개의 원리를 명시하고 있다: ¹⁹

1.     수행책임(responsibility)—조직의 개인 및 그룹은 IT에 대한 공급 및 수요에 관해서 자신들의 수행책임을 이해하고 수용한다.

2.     전략—조직의 비즈니스 전략은 현재 및 미래의 IT 역량을 고려한다; IT 전략 계획은 조직의 비즈니스 전략의 현재 및 미래 요구를 충족시킨다.

3.     구매—IT 구매는 합당한 이유에 의해, 적절하고 지속적인 분석에 기초해서 그리고 분명하고 투명한 의사결정에 의해 이루어진다. 장단기 측면에서, 이익, 기회, 비용 그리고 위험 간에 적절한 균형이 있어야 한다.

4.     성과—IT는 조직을 지원하고, 현재 및 미래의 비즈니스 요건을 충족하는데 필요한 서비스, 서비스 수준, 그리고 서비스 품질을 제공하는 목적에 부합한다.

5.     순응—IT는 (대내외) 모든 강제적인 법규를 따른다. 정책 및 실무가 명확하게 정의되고, 구현되고 시행되어진다.

6.     인간 행동—IT 정책, 실무 그리고 결정사항들이 프로세스 상의 모든 사람들의 현재 및 미래 욕구를 포함하는 인간 행동에 대한 존경을 나타낸다.

ISO/IEC 38500에서는 이사들이 3가지 주요 태스크를 통해서 IT를 총괄관리하여야 한다고 권고한다.

• IT의 현재 및 미래의 활용을 평가하라
• IT 활용이 비즈니스 목적을 충족시키도록 보증하기 위한 계획 및 정책을 직접 준비하고 구현하라
• 그러한 계획들에 대비하여 정책에 대한 순응과 성과를 모니터하라

IT 거버넌스 구현

기업은 거버넌스 메커니즘 세트를 통해서 그들의 거버넌스 어레인지먼트를 구현한다: 구조, 프로세스 그리고 커뮤니케이션. ²⁰ 잘 정의되고, 잘 이해되고 투명한 거버넌스 메커니즘들은 바람직한 IT 행동을 촉진시킨다. 반대로, 메커니즘이 엉성하게 구현되면, 거버넌스 어레인지먼트는 바라는 결과를 낳을 수 없을 것이다.

효과적인 거버넌스는 메커니즘의 3개의 서로 다른 형태를 효율적으로 활용한다:

• 의사결정 구조—위원회, 집행부서 그리고 비즈니스/IT 관계 책임자들과 같은 IT 의사결정에 책임이 있는 조직 단위와 역할
• 연계 프로세스—일상적 행위들이 IT 정책과 일관성이 있도록 그리고 결정사항을 후원하는 자원을 제공하도록 보장하는 공식적인 프로세스들
• 커뮤니케이션 접근방법—IT 거버넌스 원리 및 정책과 IT 의사결정 프로세스의 결과물을 널리 전파시키는 발표, 옹호, 채널 그리고 교육 노력

물어야 하는 질문들은 무엇인가?

호주 컴퓨터 협회장, 리차드 혹,은 말했다:

정보 및 통신 기술(ICT) 책임자들이 그들이 지원할 필요가 있는 비즈니스 조직 및 프로세스에 대한 보다 나은 이해를 위하여 자신들의 스킬을 확대하고 있는 것처럼, 이사들도 반드시 IT와 관련된 다양한 이슈들에 대한 이해를 높이려 노력해야만 한다. 이사들은 ICT 거버넌스에 관해 물어야 하는 질문들이 무엇인지 배워야만 한다….. IT 거버넌스를 IT 책임자 수준으로 떨어뜨리는 것은 부실한 기업 거버넌스이다. ICT는 기업 비즈니스에서 없어서는 안될 요소이며 ICT 거버넌스는 기업 거버넌스에서 없어서는 안될 요소이다. ²¹

곤란한 질문을 하는 것은 IT 거버넌스 구현을 시작하도록 하는 효과적인 한가지 방법이다. 물론, 거버넌스의 수행책임이 있는 사람들은 이러한 질문들에 대해 좋은 답을 하길 원한다. 그리고 나면 그들은 행동을 하고 싶어한다. 그런 다음 그들은 후속 조치를 필요로 한다. 할 일만이 아니라, 누가 언제까지 무엇을 전달할지를 결정하는 것도 필수적이다. ²²

캐나다 공인회계사회는 기업의 이사들의 책임 이행을 지원하기 위해 이사들이 “IT에 관해 물어야 하는 20개의 질문들”이라는 소책자를 발간했다. 이 책자는 역시 감사 및 IT 운영 위원회를 돕고자 하는 의도도 함께 가지고 있다. ²³ 이 질문들은 필요한 절차를 구현하는 우선 책임을 경영진에게 부과하는 점을 분명하게 하고 있다. 이사회 이사들은 경영진이 정해진 절차대로 하고 있는지를 결정할 필요가 있다.

더구나, 이사들이 경영진에 대하여 효과적인 감독 역할을 수행하는데 있어, 그들이 얼마나 정직하고 신뢰가능한지는 별개로, 단순히 경영진의 보고만을 믿는 것은 무책임한 것일 수 있다. 그러므로, 어떠한 확실한 증거물은 필수적인 것이다. 이사들은 절차들이 갖춰져 있는지, 절차가 적절한지를 결정해야만 하고, 그리고 이사들은 확실한 증빙을 확보해야만 한다. ²⁴

결론

오늘날 주요 자산에 대한 거버넌스의 성숙도는 대부분 기업 내에서 매우 다양하다. 전형적으로 재무 및 물리적 자산에 대한 거버넌스가 가장 잘 되어 있는 것에, 정보 자산에 대한 거버넌스가 가장 못되고 있는 것에 속한다. 그렇지만, IT거버넌스는 기업 거버넌스의 핵심 요소이어야 한다. 적절한 질문을 하는 것이 IT 거버넌스 구현을 시작하도록 하는 효과적인 방법의 하나이다. 이사들은 IT 거버넌스에 관해 물어야 하는 질문이 무엇인지를 배워야만 한다. 그 다음, 이러한 질문에 대해서 좋은 답을 얻을 필요가 있고 그리고 행동을 요구해야만 한다. 다음 단계는 거버넌스 메커니즘 세트를 – 구조, 프로세스들 그리고 커뮤니케이션 – 서로 연결하여 거버넌스 어레인지먼트를 구현하는 것이다.

Endnotes

¹ Organisation for Economic Co-operation and Development (OECD), OECD Principles of Corporate Governance, France, 2004
² Rock, Rachel; Maria Otero; Sonia Saltzman; Principles and Practices of Microfinance Governance, ACCION International, USA, August 1998
³ Van Grembergen, Wim; Steven DeHaes; Implementing Information Technology Governance: Models, Practices and Cases, IGI Publishing, USA, 2008
⁴ Nolan, Richard; F. Warren McFarlen; “Information Technology and the Board of Directors,” Harvard Business Review, 1 October 2005
⁵ Bank for International Settlements (BIS), “Enhancing Corporate Governance in Banking Organisations,” September 1999, referenced in IT Governance Institute (ITGI), Unlocking Value: An Executive Primer on the Critical Role of IT Governance, USA, 2008
⁶ Op cit,Van Grembergen and DeHaes, 2008
⁷ International Organization for Standardization (ISO) and International Electrotechnical Commission (IEC), ISO/ IEC 38500:2008, Corporate governance of information technology, 2008, www.iso.org/iso/catalogue_detail.htm?csnumber=51639
⁸ ITGI, Board Briefing on IT Governance, 2nd Edition, USA, 2003
⁹ Weill, Peter; Jeanne Ross; IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business Press, USA, 2004
¹⁰ Broadbent, Marianne; “Understanding IT Governance,” CIO Canada, 1 April 2003
¹¹ Musson, David; “IT Governance: A Critical Review of the Literature,” Information Technology Governance and Service Management: Frameworks and Adaptations, Ed. Aileen Cater-Steel, Information Science Reference, USA, 2009
¹² ITGI, COBIT, 1996-2007, www.isaca.org/cobit
¹³ Office of Government Commerce, IT Infrastructure Library (ITIL) V3, UK, 2009
¹⁴ ISO and IEC, ISO/IEC 27001, Information technology— Security techniques—Information security management systems—Requirements, 2005, www.iso.org/iso/catalogue_detail?csnumber=42103
¹⁵ Van Bon, Jan; Arjen de Jong; Axel Kolthof; Mike Pieper; Ruby Tjassing; Annelies van der Veen; Tieneke Verheijen; Foundations of IT Service Management Based on ITIL^® V3, Van Haren Publishing, The Netherlands, 2007
¹⁶ ISACA, www.isaca.org/cobit
¹⁷ IT Service Management Zone, www.itil.org.uk
¹⁸ BSI Management Systems, www.bsi-emea.com
¹⁹ Op cit, ISO/IEC 38500:2008
²⁰ Op cit, Weill and Ross
²¹ Australian Computer Society (ACS), “ACS Stresses Need for Better ICT Governance,” media release, 5 March 2002
²² Op cit, ITGI, 2003
²³ Canadian Institute of Chartered Accountants (CICA), “20 Questions Directors Should Ask About IT,” Canada, 2004
²⁴ Trites, Gerald; “Director Responsibility for IT Governance,” International Journal of Accounting Information Systems, vol. 5, issue 2, July 2004

Haris Hamidovic, CIA
i

s chief information security officer at Microcredit Foundation EKI Sarajevo, Bosnia and Herzegovina. Prior to his current assignment, Hamidovic served as IT specialist in the North Atlantic Treaty Organization (NATO)- led Stabilization Force (SFOR) in Bosnia and Herzegovina. He is the author of four books and more than 60 articles for business and IT-related publications. Hamidovic is a certified information technology expert appointed by the Federal Ministry of Justice of Bosnia and Herzegovina.