board > 서평번역 > 소프트 IT 거버넌스 By Kazuhiro Uehara, CGEIT, CISA, CIA, PMP, and Sayaka Akino, CISA

많은 글로벌 기업, 특히 그 기업들의 본사는 자신들의 글로벌 IT 오퍼레이션 관리가 어렵다는 점을 알고 있다. (넘어야 할) 장벽으로는 언어, 거리, 현지의 고객 및 규제들이 포함되는데, 이들은 여전히 어려운 장애물로 남아 있다.

중국에서는, 일상적인 대화를 표준 만다린어(중국의 보통화Putonghua/대만의 국어Guoyu/ 싱가폴의 화어Huayu)로 할 수도 있고, 그렇지 않고 다른 언어로 할 수도 있으며, 일반 직원들에게는 아직 기밀 데이터의 공개를 예방하기 위한 보안 의식 훈련이 필요할 것이다. 유럽에서는, 그리스 출신 동료가 영어를 이해하지 못할 수도 있고, 남아시아에서는, 인터넷에 대한 주요 접근 경로를 속도가 상당히 떨어지는 다이얼 전화에 의존할 수도 있다. 시차 문제는 본사에서 화상 회의—이것은 의사소통만을 목적으로 하는 것은 아니며, 아직까지는 대면 회의보다는 덜 효과적이다—를 개최하는 것을 방해한다.

이런 형태의 공통적인 장애에 더하여, 글로벌 비즈니스는 글로벌 합병(M&A), 규범 준수를 위한 재무 보고에 관한 내부 통제, 그리고 사업 결합 및 연결 재무제표를 위한 회계상의 국제 재무 보고 기준(IFRS: International Financial Reporting Standards) 등과 같은 새로운 도전에 직면하고 있다.

지금까지는, IT 관리에 있어서 효과적인 것으로, “징벌 및 승인”이 IT 직원/사용자를 관리하고 그들의 활동을 통제하기 위한 전통적인 거버넌스 형태이었다. 비즈니스 그룹이 주로 자국 기업들로 구성되어 있을 경우에 IT를 관리하는 것이 훨씬 용이하고 또한 IT 자원을 가까운 곳으로만 보낼 수가 있다.

그렇지만, 백 년에 한번 찾아올까 하는 금융 위기 속에서¹, 많은 글로벌 기업은 자기들의 사업체를 전세계적으로 확산시키기 위해서 IT 관리에, 자체이든 외부조달(아웃소싱)이든, 충분한 자원을 할당할 수 있는 여유가 없다.

세계적인 경제 불황과 함께 하는 오늘날의 글로벌 IT 거버넌스 시대에, 징계와 승인으로 상징되는 하드 IT 거버넌스는 기업의 IT를 효과적이며 효율적으로 관리하는데 부적합하다.

글로벌 IT 거버넌스를 보완하고 향상시키기 위하여, 소프트 파워 이론을 응용함으로써 소프트 IT 거버넌스라는 신개념을 적용할 수 있다.

소프트 파워 이론

‘소프트 파워: 세계 정치에서 성공하기 위한 수단’의 저자이자 소프트 파워 이론의 주창자인, 조지프 나이(Joseph Nye ) ²는 파워(power)의 기본 개념을 다음과 같이 정의한다:

다른 사람들로 하여금 당신이 원하는 것을 하도록 그들에게 영향을 미치는 능력. 그것을 하기 위한 것으로 3가지 방법이 있다: 하나는 그들을 몽둥이로 위협하는 것; 둘째는 그들에게 당근(보상)을 주는 것; 세번째는 그들의 관심을 불러일으키거나 함께 동참시키는 것, 그래서 그들이 당신이 바라는 것을 하도록 한다. 당신이 그들로 하여금 당신이 원하는 것을 원하도록 그,들의 관심을 끌 수 있다면, 이 방법은 당근이나 위협적인 방법보다 훨씬 비용이 적게 든다.

그래서, 그는 다음을 묘사하기 위해 소프트 파워라는 용어를 고안해 내었다:

유인하고 설득시키는 국가의 능력을. 반면에 하드 파워는—억압하는 능력—나라의 군대나 경제적 힘에서 생겨나는 반면에 소프트 파워는 그 나라의 문화, 정치적 이상 그리고 정책의 매력으로부터 생겨난다.

그림 1은 하드 및 소프트 파워에 해당하는 행동 및 자원을 보여준다.

그림 1—하드 vs. 소프트 파워 매트릭스
	하드 파워	소프트 파워
행동 스펙트럼	명령, 강제력 그리고 유인	행동 지침 수립, 유혹 그리고 동참
가장 알맞는 자원	강제, 승인 그리고 징계	제도, 가치관, 문화 그리고 정책

소프트 파워 이론이 국제 정치에서 유용하다면, 그것을 IT 거버넌스에 적용하지 못할 이유가 있는가? 소프트 IT 거버넌스는 비즈니스를 지원하기 위한 유용한 IT 관리 도구가 될 것이다. COBIT의 34 개 프로세스에 관해서, 비즈니스/IT 관리에 효과적인 다음과 같은 하드/소프트 IT 거버넌스 사례를 찾아볼 수 있다.

COBIT 프로세스에 있는 하드/소프트 IT 거버넌스

COBIT 4.1은 IT 거버넌스를 “고위 임원과 이사회의 책임이며, 또한 기업의 IT가 조직의 전략 및 목표를 유지하고 확장시키도록 보증하는 리더십, 조직 구조 그리고 프로세스들로 구성된다”라고 정의한다. ³ 이것은 기본적으로 IT 거버넌스가 IT "에 의한" 거버넌스가 아니라, 비즈니스 전략 및 목표를 지원하는 IT "에 대한" 거버넌스라는 사실을 의미하는 것이다. 그래서, IT 관리를 평가할 경우에, 언제나 비즈니스 매니지먼트에 대한 효과와 연계되어야 한다(예를 들면, 신뢰 사슬 reliance chain).

스마트 IT 거버넌스

“단단한 모루에게는, 깃털이 해머이다,””진흙 벽이 캐논 볼을 막는다” 그리고 “유연함이 단단함 보다 더 강하다,” 등의 옛날 속담이나 무술을 보면, 사람은 소프트 파워의 개념이나 가치관을 오래 기억한다.

더더욱, “하드 및 소프트 파워를 하나의 성공 전략으로 결합하는 능력”은 중요하다; 그런 능력을 “스마트 파워”라 부른다. ⁴, ⁵

IT 거버넌스에 있어서, IT 전략에 기초한 (그림 2에서 보는) 하드 및 소프트 IT 거버넌스로부터 올바른 도구를 찾아서 선택하기 위하여 이런 스마트 파워를 이용하는 것도 도움이 된다.

기획 및 조직

[PO1] IT 전략 계획 수립

1.비즈니스 전략과 연계되지 않으면, IT 전략계획이 승인될 수 없다. [승인]

[PO4] IT 프로세스, 조직 및 관계의 정의

1.핵심 IT 프로세스(예를 들면, IT 전략 수립 또는 핵심 비즈니스를 위한 설계)가 정의되고, 그것은 외주를 주지 않는다(자체 핵심 IT 자원으로 유지한다). [강제, 징계]

[PO7] IT 인적 자원 관리

1.적소 배치를 위하여 실무 훈련 대상자들은 IT 관리 경력의 궤도 안에서 직원들의 경력 초기에 미리 선정된다. [강제]

[PO9] IT 위험 진단 및 관리

1.위험 평가와 위험 완화 통제에 대한 고려없이 IT 투자 및 프로젝트는 승인되지 않는다. [승인]

[PO10] 프로젝트 관리

1.PMO(project management office)가 인력 및 예산에 대해서 프로젝트를 관리할 권한을 갖는다. [강제, 징계]

[PO1] IT 전략 계획 수립

1.회사의 몇몇 IT 전략 설계에 비즈니스 및 지역 이해관계자가 초기에 참여한다. [가치관, 문화, 정책]

[PO3] 기술방향의 결정

1.기술 참조 모델이 IT 정책 및 전략과 잘 연계되고 매핑된다. [가치관, 정책]

[PO4] IT 프로세스, 조직 및 관계의 정의

1.합병 후의 통합 매뉴얼이 합병 및 피합병 IT 조직들에 제공된다. [제도, 정책]

2.조직의 자체 IT 부서뿐만 아니라 3자, 운송 그리고 컨설팅 회사의 서비스를 통합시킬 수 있는 확장된(가상의) IT 조직과 서비스가 정의되어 있다.[제도, 가치관]

[PO5] IT 투자 관리

1. IT 투자 결정을 하는데 정성적인 (평가) 요소들도(동기, 적절한 소통) 포함되어 있다. [가치관]

[PO6] 경영 목표 및 방침 전파

1.비디오 컨퍼런스 시스템 같은 소통 도구를 이용하기 전에 신뢰 관계를 쌓기 위하여 직접 대면 회의를 먼저 개최한다. [가치관]

[PO7] IT 인적 자원 관리

1.(해외/지방) 지역에 근무하는 직원들이 기업 본사에서 일할 기회를 갖는데, 이것이 사기를 진작시킨다. [제도, 문화]

2.예를 들어, 영국의 정보 세대를 위한 스킬 프레임워크[SFIA], 일본의 사용자 정보 스킬 표준[UISS]과 IT 스킬 표준[ITSS] 등의 스킬(skill) 프레임워크에 기반한 IT 직원용 커리어 로드맵이 만들어져 있다. (제도, 정책)

[PO8] 품질 관리

1.일본의 품질통제활동인 QC 서클 혹은 Six Sigma 같은 전통적인 메소드를 이용하여 지속적으로 자가 진단 활동을 한다. [제도, 가치관]

[PO9] IT 위험 진단 및 관리

1.직원들의 부주의한 실수로 인한 것 조차도, 경영자는 IT 직원으로부터의 어떠한 위험 보고서도 진지하게 받아들인다. [가치관]

[PO10] 프로젝트 관리

1.PMBOK(Project Management Body of Knowledge)와 같은 널리 보급된 지침이 프로젝트를 관리하기 위하여 그룹 및 글로벌 공통 언어로 쉽사리 수용된다. [가치관, 정책]

획득 및 구현

[AI1] 자동 솔루션 도출

1.요구사항 및 타당성 조사가 문서화되고 승인되었을 경우에만, 프로젝트가 다음 공정으로 이어질 수 있다. [승인]

[AI3] 기술 인프라 도입 및 유지보수

1.IT 인프라는 미리 정의된 IT 아키텍처 및 기술 표준에 일치하여야만 한다. [승인]

[AI4] 운영 및 이용 확보

1.어떠한 애플리케이션도 적절한 사용자 및 운영자 매뉴얼을 제공하지 않으면 운영 환경으로 이관될 수 없다. [승인]

[AI6] 변경 관리

1.긴급이든 아니든 모든 변경 요청은 그 변경 사항이 프로덕션 환경에 구현되기 전에 문서화되고 승인된다 (즉, 비승인 변경은 전혀 없다). [승인]

[AI1] 자동 솔루션 도출

1.예를 들어, BABOK(Business Analysis Body of Knowledge) 같은 잘 확립된 방법론이 IT 솔루션의 확인과 평가에 이용된다. 그러한 방법론은 운영계로의 이관 및 유지보수를 효율적으로 하도록 하는 미리 정해진 구조의 문서를 생산한다. [정책]

[AI2] 응용 소프트웨어 획득 및 유지

1.비기능성 요구사항(예를 들면, 성능, 신뢰성, 확장성, 보안)이 충분히 고려되어 설계 명세에 반영된다. [제도, 가치관]

[AI3] 기술 인프라 도입 및 유지보수

1.보다 작은 서비스 목표와 그의 인프라 수준(예를 들어, 광역보다는 개별 도시)이 (세밀하게) 조정된 IT 서비스들을 제공한다). [제도]

[AI4] 운영 및 이용 확보

1.오퍼레이터 및 사용자가 매뉴얼을 작성하고 검토하는 것을 도울 수 있는 충분한 시간을 갖는다. [제도, 문화]

[AI6] 변경 관리

1.변경 요청이 거부되거나 지연되지 않도록 하기 위하여, 요청사항들은 정기적으로 검토되고 수정된다. [가치관, 문화]

2.변경 요청이 빈번하지 않게 일어나고, 적절한 변경 관리 (절차)를 받아들인다. [가치관]

[AI7] 솔루션 및 변경의 설치 및 인가

1.높은 품질을 증명하기 위하여 (사용에 앞서) 인가가 행해지고, (이러한 행위가) 애플리케이션에 관한 표준 (절차)이다. [가치관, 문화]

제공 및 지원

[DS1] 서비스 수준 정의 및 관리

1.정의된 서비스 수준을 달성하거나 미달했을 때 보상 또는 벌칙이 내려진다.[승인, 징계]

[DS2] 외주 서비스 관리

1.효율적 관리를 위해서 허가해준 외주 업체의 수를 줄인다.[강제]

[DS3] 성능 및 용량 관리

1.제한된 용량으로 네트워크 대역폭 같은 IT 서비스 수준이 어느 정도로 제한된다. [강제]

[DS9] 형상 관리

1.모든 클라이언트 PC에 해당 컴퓨터의 소프트웨어/하드웨어 구성을 모니터하는 에이전트 (프로그램)가(이) 설치되어야만 한다. [강제]

[DS12] 물리적 환경 관리

1.구내, 건물 그리고 지역에 대한 접근은 생체측정 방식으로 허가되어야만 한다. [강제, 승인]

[DS1] 서비스 수준 정의 및 관리

1.IT 서비스 및 그의 수준에 관하여, IT관리자 및 비즈니스 고객 사이에 효과적인 소통 방법(예를 들면, 서비스 카달로그)이 잘 마련되어 있다.. [가치관, 문화]

[DS2] 외주 서비스 관리

1.릴레이션십 품질이 신뢰와 투명성에 기초하는 것을 보증하기 위하여 릴레이션십 오너가 고객 및 공급자와 연락하여야 한다. [가치관, 문화]

2.잠재적인 벤더와의 소통 채널을 늘인다.[가치관]

[DS4] 서비스 지속성 확보

1.잠재적인 돼지/조류 인플루엔자에 의한 세계적인 유행 같은 새로운 위협을 모니터하고 위험 영향을 분석한다. [가치관, 문화]

[DS5] 시스템 보안 확보

1.보안 수준이 너무 엄격하지도 그리고 느슨하지도 않도록IT 관리자와 비즈니스 고객간에 충분히 토론되고 합의된다. [가치관, 정책]

[DS9] 형상 관리

1.IT 직원이 정기적으로 IT 자산에 대한 물리적 재고를 조사하고 체크하며, 이를 위해 사용자와 만나 이야기함으로써 자산이 이용되는 환경을 이해할 수 있다. 예를 들어, 열, 습도, 전자기 같은 환경 정보는 자산 모니터 툴로는 얻을 수 없는 것이다. [가치관, 문화]

[DS11] 데이터 관리

1.보관 정책에 근거해, 불필요한 데이터를 제거하고 순서대로 넣기 위해서 사용자들이 자신들의 데이터를 정기적으로 점검한다. [가치관, 문화]

[DS12] 물리적 환경 관리

1.책상, 의자, 단말기, 마우스, 키보드 같은 IT 직원을 위한 작업 환경이 인체공학적으로 설계되어 있다. [가치관, 문화]

모니터 및 평가

[ME3] 외부 요건 준수 보증

1.해외 소재지의 법규를 준수하기 위하여 설치된 고가의 IT 장치에 관한 정보가 수집된다.[강제, 징계]

[ME4] IT 거버넌스 준비

1. CGEIT 또는 CISA 같은 관련 자격을 소지한 경험있는 IT 전문가에 의해 IT 거버넌스에 대한 보증이 요구되고 획득된다. [강제]

[ME2] 내부 통제 모니터 및 평가

1.잘 알려진 방법론에 기반한 자가진단(예를 들면, 통제 자가진단(CSA: Control Self-Assessment)) 및 간사의 지원을 받는 CSA 워크샵 같은 소프트 통제에 높은 가치를 부여한다. [제도, 가치관]

[ME4] IT 거버넌스 준비

1.외부 요건 및 규제 사항을 이해하기 위하여 IT 책임자들이 IT 관련 협회에 참여한다 . [가치관, 문화]

글로벌 IT 거버넌스에 대한 도전과제들

소프트 파워 이론

COBIT 프로세스에 있는 하드/소프트 IT 거버넌스

스마트 IT 거버넌스

결론

References

Endnotes