출처 : Information Systems Control Journal, Volume 1, 2008

참석자

• Paul Williams, consultant, Paul Williams Consulting, UK

• Jan van Puffelen, principal architect, Unisys, The Netherlands

• Luc Chauvin, senior CIO, Flemish Government, Belgium

• Daniel Evrard, partner, PricewaterhouseCoopers, Belgium

이것은 저널에 실린 'IT 거버넌스 경향'이라는 전체 대담 가운데 아래 소제목에 해당하는 내용을 번역한 것입니다.

How are people/companies defining the term ‘IT governance’ in your areas?

여러분의 지역에서는 사람/회사들이 IT 거버넌스라는 말을 어떻게 정의하고 있는가?

Paul Williams (PW): 물론, IT 거버넌스에 대한 여러 다양한 정의들이 있습니다. 나는 미국에 있을 때, 매우 심각한 준법적 상황에 처해 있어서 준법이 IT 거버넌스의 매우 중요한 부분인 것을 느꼈다. 반면에 유럽, 특히 영국에서는, IT 거버넌스가 더욱 가치- 및 성과-기반이며, 준법도 아직 중요하지만 무대 중앙에서는 벗어나있다.

Luc Chauvin (LC): 얼마 전 나는 그런 것을 주제로 한 회의에 참석하여 IT 거버넌스를 정의하려고 한 시간 반을 보냈기 때문에 흥미가 있다. 우리는 IT 거버넌스와 우리 생각에 ITIL 및 CMMI에 초점이 맞춰진 IT 관리(management)를 구분하였다. 우리가 IT 거버넌스에 관해 이야기할 경우에는 비즈니스를 위한 가치 창출에 관해서 이야기한다. 우리는 옳은 일을 하고 있는가? 우리는 시민들에게 가장 좋은 서비스를 제공하기 위한 일들에 한정된 자원을 - 그들은 돈 혹은 인력일 수 있다 - 사용하고 있는가? 해야 할 일과 자원을 가장 잘 활용하는 방법을 다루는 모든 것을 우리는 IT 거버넌스라 일컫는다.

Jan van Puffelen (JvP): 나도 그 정의에 동의한다. IT 거버넌스에는 2가지 문제가 있다. 첫째는 설명 및 참여유도(buy-in)가 정보담당최고임원(CIO) 및 그 윗선에서 나올 필요가 있다. 내가 본 바로는 CIO 보다 낮은 직급에서 IT 거버넌스가 제기된 경우는 항상 실패 하였다. 어쩌면 가능할 수도 있겠지만 내가 본 적은 없다. 보다 낮은 직급에서는 처음에 자기들의 운영에 대한 보다 엄격한 통제로써 바라보는 것을 원하지 않았기 때문에 IT 거버넌스를 반대하거나 소극적으로 거부하는 경향이 있다. 그것은 매우 강력한 힘이다. 내 경험상 재무담당최고임원(CFO) 혹은 이사회 수준의 누군가가 주먹으로 책상을 치면서 “우리는 IT 거버넌스를 시행할 것이다!”라고 말해야만 IT 거버넌스가 효과적이다. 둘째로는 하위 직급에게 IT 거버넌스의 긍정적인 측면에 대해 이해시키는 것이다. 우리 그룹은 전반적으로 이러한 취지를 이해시키기 위해서 IT 거버넌스 게임을 개발하였다. 이 게임에는 조직의 주요 사람들이 참가하여 IT 거버넌스가 왜 강력하고 긍정적인지를 보여준다.

Daniel Evrard (DE): 나에게 있어서 그것은 IT 거버넌스를 위한 구조적 프레임워크에 관한 모든 것이다. 사람들은 IT 거버넌스와 IT 관리 실무 사이의 경계가 어디인지를 혼동하고 있다. IT 거버넌스는 기업이 목적을 달성하고, 나아갈 방향을 유지하고, 법규를 지키고 그리고 역할 및 책임을 이해하는 것이다. 그것은 전략과 IT 관리를 연결해주는 것이다.

PW: 나는 여러분이 옳은 일을 하는 것에 대하여 이야기하는 것을 흥미롭게 생각한다. 우리는 옳은 일을 하고 있는가? 우리는 옳은 일을 올바른 방법으로 하고 있는가? 우리는 그것들은 제대로 하고 있는가? 우리는 가치를 얻고 있는가? 등 존 트롭의 ‘네 가지 고민(four ares)’ 모델에서 말한 대로 나는 전적으로 동의한다.. 내가 보기에는 항상 COBIT 및 ITIL 의 무대는 ‘우리가 일을 옳은 방법으로 하고 있는가’ 라는 측면이 매우 많다. 옳은 일을 하고 그것들에서 가치를 얻는 것이 IT 거버넌스이며, 그것은 Val IT 프레임워크와 합쳐져서 생겨난다. 회사들이 2가지 영역에 초점을 맞추기 시작하였지만, 우리는 그것을 하기 위한 올바른 도구를 가지고 있지 않다고 생각했다. 또한 여러분들이 이것이 CIO가 주도해야 할 필요가 있다고 말하는 것에 대해서도 나는 흥미롭게 생각한다. 나는 비즈니스 경영진이 어울린다고 생각한다. 비즈니스와 IT 사이의 직접적인 연계가 있어야 하며 - IT에 대한  IT 거버넌스와는 반대로, IT에 대한 비즈니스 거버넌스로의 이동, 그것이야 말로 IT 에서 일어나는 것과 비즈니스에서 일어나는 일 사이에 직접적인 연결이 된다.

JvP: 나는 이사회 수준에서 이러한 연결 고리가 있어야 하고, 한 사람의 챔피언을 둔다면, 그것은 CIO 또는 CFO 이어야 한다는데 동의한다.

LC: 내가 그것을 바라볼 때, 근본적인 문제는 우리가 비즈니스 거버넌스를 전혀 갖지 못하기 때문에 IT 거버넌스도 효과가 없다는 사실이다. 그래서 첫번째 질문은 이렇다: 관리 요구사항에 대한 전반적인 범주 안에서 IT 가 어떻게 받아들여지고 위치하는가? 우리의 경우, IT가 이사회 (테이블) 위에 있지만, IT는 비즈니스를 지원하는 것으로 인식되어, 비즈니스 케이스, 비용대비이익, 그리고 해야 할 일들의 우선순위에 관해 이야기를 하는 것이 매우 어렵다. 실질적으로, 여러분이 그 일을 할 수 있는 유일한 방법은 IT를 비즈니스에 직접 연결하는 것이다. 그래서, 나는 IT 거버넌스가 최고위층에 의해 지지를 받아야 하는데 동의한다; 지지해주는 최고위층이 없다면, 여러분은 실패하고 만다. 우리는 현재 자문 위원회, 실무 그룹 그리고 싱크 탱크(think tank) 등 많은 새로운 IT 거버넌스 모델을 가지고 일을 하고 있으나, 장관들은 참여하지 않는다. 이 점 때문에, 우리는 아마도 강력한 거버넌스 모델을 구현할 가능성이 아주 작을 것이다.

PW: 그것은 공공 분야의 현안만이 아니다. 그것은 민간 부문에서 내가 항상 부딪히고 있는 것이다. 여러분이 이사회 및 최고회의(the top of the business)에 적절한 참여를 해야만 거버넌스는 올바른 방식으로 전개될 것이며, 그리고 그것이야말로 최고 높은 직급에서 IT를 대리하는 것을 의미한다. 이사회에 CIO가 참석하지 않거나, IT가 무엇인가에 대해서 (CIO와) 같은 수준으로 이해하지 못하는 이사회의 누군가에게 보고한다면, 분명히 커다란 단절이 존재한다. IT 와 해당 비즈니스의 최고 직급 사이에 공동 참여의 부재는 아직도 많은 곳에서 (직면하고 있는) 커다란 문제이다. 나는 특히 ‘컴퓨터위클리’라는 영국 출판물을 통해 많은 기사를 쓰고 있는데, 일 년 전쯤에 CIO와 이사회에 관한 기사를 썼다-CIO가 실질적인 이사회 멤버가 아닐 경우, 이사회 차원에서 IT에 대한 실질적인 토론이 이루어지도록 보장하기 위해서는 책임있는 이사회 멤버가 충분한 IT 전문 지식을 가져야 한다. 사실은 CIO가 이사회에 참석해야 한다는 취지로 말한 것이다; 특히 IT에 매우 의존적인 기업에 있어서는, 이사회에 그러한 사람이 없다면 상당한 기회를 잃어버리는 것이다. 나는 그 기사 때문에 아주 많고 다양한 반응을 들었다. 대부분이 ‘예, 당신 말이 전적으로 옳습니다’ 라고 말하였지만, 다른 사람들은 이렇게 말했다: ‘CIO는 절대 이사회에 참여하지 못할 것이다, IT는 단순히 지원하는 것이며, 그러한 점을 극복하라’! 이것이 여러분들이 다루고 있는 관심사인가?

DE: 역시 회사의 문화가 열쇠이며, 회사의 전략도 마찬가지다. 매우 분산된 조직에서는 이사회에 참여하는 것이 보다 어렵다. 더욱이, 회사의 문화가 기업이 자신의 활동을 자치적으로 수행하는 ‘연방제’라면, IT에 대한 공통의 비전과 의사결정 모델을 갖기가 훨씬 어렵다. 그리고 IT 만이 유일하게 어려운 것은 아니다-마케팅, 인사 그리고 다른 것들 역시 고위층에 도달하기가 어렵다.

JvP: CIO가 이사회 멤버가 아니라면, 나는 그 사람을 CIO로 생각하지 않을 것이다. 그는 IT 이사, 아니면 그와 비슷한 어떤 직책이다.

PW: 그렇습니다, 호칭이 때로는 방해가 될 수 있다. 나는 우리가 IT의 주요 담당자에 대해서 이야기하고 있다고 가정한다. 그 사람이 이사회에 참석할 수 있는 중역팀에 속해 있든지 아니면 한두 단계 떨어져서 누군가를 거쳐서 보고하는지?

JvP: 가끔, 이사회에 참석하지 못하는 CIO는 CFO를 통해서 보고하는데, 그래서 CIO는 CFO와 함께 하는 그 자리에 머무르고, 이사회 차원에서는 CFO가 IT에 대한 궁극적인 책임을 진다. 문제는 보통 CFO가 IT에 대한 재능이 없다는 것이다. 그는 오로지 프로젝트 비용이 얼마인가에 대해서 관심을 갖고 있다-물론 상당한 지출이 일어난다.

PW: 그렇습니다. CIO가 CFO에게 보고하는 것은 아주 전형적인 모습인데, 아마 회사 내에서 흔히 회계 부서가 IT가 시작되도록 하는 곳이기 때문입니다. 여러분이 그러한 CFO들과 이야기하면, 많은 사람들이 IT에 대한 자신들의 이해가 매우 제한적이라고 인정할 것이다; 그래서 그들이 그 일(CIO)에 대한 적임자가 아니기 때문에, 궁극적으로 IT는 항상 효과적인 이사회 대표를 확보하지 못한다.

JvP: 통계적으로 검증되지 않았으나, 나는 기업의 30 퍼센트는 이사회에 CIO가 직접 나가지 않는다고 (감히) 말하겠다. 오래된 우스개 소리로 IT 프로젝트는 돈만 쓰고, 반면에 비즈니스 프로젝트는 돈을 번다는 말이 있다. 이제는 상황이 매우 달라졌다. IT 프로젝트는 더 이상 존재하지 않는다; 작거나 큰 IT 구성 요소를 가진 비즈니스 프로젝트들만이 있다. 이 말은 비즈니스가 IT 속에 연루되어야 하는 것을 의미한다; 그렇지 않으면, 여러분은 합동 프로젝트를 수행할 수 없다. 또한 프로젝트 목표가 더 이상 비용 절감이 아니라 더 많은 이익을 얻는데 있다는 것을 의미한다. 아직 우리는 완전히 거기에 이르지 못하였지만, 변화가 일고 있다.

DE: 이사회 자리에 누가 앉는가에 대하여, 주어진 여건 속에서 우리들이 해결한 방법은 IT에 박식하면서도 서비스 및 비즈니스 부서에 맞게 IT를 표현하고 정당화할 수 있는 다른 비즈니스 부서의 대표자들로 구성된 운영위원회를 두는 것이다. 이 운영 위원회가 이사회에 보고할 것이다. 지금 우리는 비즈니스 사람들과 함께 그러한 전략 및 우선순위 그리고 내부 방향을 준비하고 있다.

PW: 나는 그 일이 잘 될 수 있으리라 생각하지만, 아직까지 IT를 실질적으로 이끌기 위하여는 이사회에 참석하는 누군가는 IT 와 비즈니스에 대한 충분한 지식을 갖출 필요가 있다고 생각한다. 내가 목격한 일부 운영 위원회는 올바른 리더십이 없어서 비효과적이다 - 그 리더들은 필요한 만큼 열성적이지 않다. 나는 최근 런던 은행에 대한 컨설팅을 수행했는데 내 보고서의 일부는 운영 위원회가 정당한 리더십을 갖지 않아서 효과적이지 않다는 내용이다. 나의 예비 보고서를 IT를 책임지고 있는 이사회 멤버에게 제출했을 때, 그는 다음과 같이 말하였다, ‘예, 적당한 리더십이 있습니다. 그것이 나입니다. 나는 이사회 의장이며 멤버입니다.’ 그래서 나는 말했습니다, ‘예 나는 당신이 이사회 의장인 것을 알고 있습니다. 그러나 지난 일년 반 동안의 회의록을 조사했는데 당신은 실제로 한번의 회의 조차도 의장을 맡은 적이 없습니다. 모든 것들은 거기서부터 악화된다. - 리더십이 참여하지 않을 때, 사람들은 결국 대리인을 보내기 시작하는데, 그렇게 되면 금새 이사회는 완전히 다른 일종의 사용자 그룹으로 변모한다.

<중략>

Information Systems Control Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscript-xion to the Information Systems Control Journal.

Opinions expressed in the Information Systems Control Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. Information Systems Control Journal does not attest to the originality of authors' content.

© 2008 ISACA. All rights reserved.