2.4 정보시스템 전략

정보시스템은 기업의 지원, 지속 가능성과 성장에 중요하다. 과거, 지배층 및 고위 경영진은 기능적인 경영의 대부분의 결정을 배제하여 정보시스템 전략 및 방향에 대한 전개 및 개발 참여를 최소화 할 수 있었다. 그러나 이러한 접근은 일상적인 운영과 성공적인 성장을 위한 정보시스템의 증대 또는 전적인 의존하에 더 이상 허용되거나 가능하지 않다. 기능 및 운영활동을 위해 정보시스템에서 거의 완벽하게 의존하고 있는 상황에서 조직은 정보시스템 자원의 남용, 사이버 범죄, 부정, 오류, 누락 등 다양한 내/외부 위협에 직면에 있다. 정보시스템의 전략적인 프로세스는 기존 및 새로운 비즈니스 목표와 목적이 경쟁력의 양항을 위한 주요한 촉진재로서 작용할 수 있다는 합리적인 확신을 제공하는 조직 거버넌스 구조의 핵심 구성요소 이다.

 

2.4.1 전략 계획

정보시스템 관점에서 전략 계획은 회사가 비즈니스 프로세스를 개선하기 위해 IT에 투자하는데 있어 취하고자 하는 장기적인 방향성과 관련이 있다.

 

최고 경영자의 책임으로서 고려할 사항에는 기업이 직면하고 있는 문제와 기회에 대처하는데 비용 효율이 높은 정보시스템 솔루션을 찾아내고, 필요한 자원을 파악하여 이를 입수하기 위한 수행계획을 수립하는 것이 포함된다. 일반적으로 3년에서 5년의 기간동안의 전략계획을 수립할 때에는 기업은 전략계획이 전사적인 목표에 완벽히 연계되고 일관성을 유지하도록 해야 한다. 이해 관계자의 가치와 관련하여 기치 있는 전략적인 의견을 제공하는 IT 운영위원회, 전략위원회와 함께 IT 부서 관리자는 전략계획읭 수립과 이행에 있어서 핵심적인 역할을 한다.

효과적인 IS 전략계획에는 신규 시스템 도입과 기존 시스템 개선에 대한 기업의 요구사항과 체계적인 프로젝트 관리를 통해 새로운 IS시스템 기능을 기업에 제공할 수 있는 IT 조직의 역량에 대한 고려사항이 포함된다. 새로운 IS 시스템의 도입 또는 기존 시스템의 개선에 대한 요구를 파악하기 위해서는 기업의 전략적 방향이 무엇인지, 그 전략적 방향이 어떻게 구체적인 비즈니스 목표와 과제로 전환되는지, 또 이런 목표와 과제들을 뒷받침하기 위해 어떤 IT 역량이 필요할 것인지에 대해서 체계적으로 고려해야 한다. IT 역량을 평가하기 위해서는 기능적 적합성, 비용과 위험의 관점에서 현재의 시스템 포트폴리오를 검토해야 한다. IT의 서비스 제공역량을 평가할 때 IT 인프라 및 주요 지원프로세스의 확장 또는 개선이 필요한지 여부를 결정하기 위해서 조직의 기술적 IT 인프라와 주요 지원 프로세스(예를 들면 프로젝트 관리, 소프트웨어 개발 및 유지보수, 보안관리, 헬프 데스크 서비스)에 대한 검토가 이루어진다. 새로운 시스템과 기술을 도입하는 것은 전략적인 계획 과정에서 중요하며, 현재의IT에 대한 투자수익률(ROI)과 기존 시스템을 폐기하는 것으로 부터 얻어지는 효익도 함께 고려해야 한다. 많은 기업들에서 현재 IT 시스템, 인프라 그리고 지원서비스에 전체 년간 IT예산의 85%이상을 지출하고 있다. 전략적인 IT 계획은 비즈니스 전략지원을 위한 새로운 프로젝트 및 시스템의 비용과 현재 시스템의 유지비용 간의 균형을 맞춰야 한다.

 

정보시스템 감사인은 경영진의 통제관행을 고려할때 IS 전략계획의 중요성에 관심을 가져야 한다. 아룰러 IT 거버넌스의 목표달성을 위해서는 IT 전략계획이 전사적인 비즈니스 전략과 연계되어야 한다. 정보시스템 감사인은 전략계획 프로세스 및 계획 프레임워크의 중요성에 초점을 맞추어야 한다. 특히 비즈니스로부터의 경영계획 또는 비즈니스 개발 계획들이 IT 전략 수립, 전략계획의 내용, 전략 계획의 업데이트 요건 및 커뮤니케이션 계획, 모니터링 및 평가요건에 어떻게 고려되었는지를 평가할 필요가 있다는 사실에 주의를 기울여야 한다. 정보시스템 감사인은 CIO 혹은 고위 IT 경영진들이 전체적 비즈니스 전략의 수립에 어떻게 참여하는지를 검토해야 한다. IT 조직의 비즈니스 전략 수립 참여가 저조하다는 것은 IT 전략 및 계획이 비즈니스 전략과 연계되지 않을 위험이 존재함을 의미한다.

 

2.4.2 IT 운영 위원회

기업의 경영진은 IT 조직의 기능과 관련된 활동을 감독하기 위해 IT 운영위원회를 구성해야 한다. 정보시스템을 위한 조직 상위 레벨의 운영위원회는 TI 부서가 기업 미션 및 목표와 조화를 유지하도록 하는데 있어 중요한 요소이다. 모든 조직에 공통사항은 아니지만, IT에 관련된 위험과 현안을 이하고 있는 이사회의 이사 중의 한 사람이 IT에 대한 책임을 맡고, 위원회의 의장이 되는 것이 바람직하다. 이 위원회에는 최고경영자, 각 사업부서, 인사, 재무와 같은 관리부서, IT 부서의 대표자들이 포함되어야 한다.

 

운영위원회의 책임과 의무는 공식적인 선언서(charter)에 정의되어야 한다. 위원회의 위원들은 IT 부서의 정책, 절차, 실무를 알야아 하고, 각 위원은 각자의 영역에서 의사 결정을 내릴 수 있는 권한을 갖고 있어야 한다.

 

이와 같은 위원회는 보통 주요 정보시스템 프로젝트에 대한 전반적인 검토위원회로서의 역할을 수행하며, 세세한 일상적인 운영업무에 관여하여서는 안된다. 운영위원회가 수행하는 주요 기능들은 다음과 같다.

- IT 부서 장단기 계획이 기업 목적과 일치하도록 검토한다.

- 이사회에서 승인한 한도 내에서 도입되는 주요한 하드웨어와 소프트웨어을 검토하고 승인한다.

- 주요프로젝트, 정보시스템 계획과 예산현황을 모니터링하고 승인하고, 우선순위를 결정하고, 표준 및 절차를 승인하고 전반적인 정보시스템 성과를 모니터링한다.

- 자체조달 할 것인지 아니면 외주할 것인지, 국제화 할 것인지 아니면 국외외주(offshoring 역자 주 : IT 서비스 가능을 국외에 외주하는 것) 할 것인지를 포함한 정보시스템 활동의 전부 또는 일부에 대한 조달 전략을 검토하고 승인한다.

- 시간 인력, 설비의 관점에서 자원 및 자원 배분의 적절성을 검토한다.

- 집중화할 것인지 분권화할 것인지 그리고 책임할당에 대하여 의사결정 한다.

- 전사적인 정보보호관리 프로그램의 수립과 이행을 지원한다.

- 정보시스템 활동에 대해 이사회에 보고한다.

 

  Note

 책무는 기업마다 다르고, IT 운영위원회의 일반적인 책무에 기재되어 있는 책임들 간에도 다르다. 각 기업은 공식적인 문서와 운영위원회에 대한 승인된 위임조건이 있어아 한다. 그리고 정보시스템 감사인은 IT 운영 위원회에 친숙하고, 위원회의 각 구성원마다 할당된 주된 책무를 이해해야 한다. 많은 기업들은 위원회를 다를ㄴ 명칭으로 부른다. 정보시스템 감사인은 위의 기능들을 수행하는 그룹을 명확히 알 필요가 있다.

 

IT 운영위원회는 IT부서, 사용자부서 및 감사부서로부터 적절한 관리정보를 받아 기업의 정보시스템 자원을 효과적으로 조율하고 모니터링해야 한다. 운영위원회는 성과를 모니터링하고, 원하는 결과를 달성하기 위해서 적절한 조치를 취해야 한다. 위원회는 정기적으로 회의를 소집하고 최고경영자에게 보고해야 한다. 위원회의 활동 내역과 의사결정 사항을 문서화하기 위해 IT 운영위원회의 공식적인 회의록을 기록 관리하여야 한다.

 

2.5 성숙도와 프로세스 개선 모델

IT 거버넌스의 구현에는 IT서비스를 비즈니스에 제공하는 프로세스의 실행에 기여하는 조직 자원의 지속적인 성과 측정이 요구된다. 프로세스의 효율성과 효과성을 일관되게 유지하기 위해서는 프로세스 성숙도 프레임워크를 마련할 필요가 있다. 프레임워크는 CMMI(Capability Maturity Model Integration),IDEAL(the Initiating, Diagnosing, Establishing, Acting and Learning)등 다양한 모델에 기반할 수 있다. 이번 장에서는 CISA 수행생이 조직 내에서 발견할 수 있는 몇가지 성숙도 프로세스 및 개선 모델을 대해 소개한다.

 

COBIT 5 기반 프로세스 평가 모델(PAM: Process Assessment Model)은 IT 프로세스 검토의 엄격성과 신뢰성을 개선할 필요에 의해 개발되었다. 이 모델은 조직의 현재 프로세스의 역량 평가시 참고자료로 이용가능하며, 평가 결과가 일관되고, 반복가능하며 평가 대상 프로세스를 잘 표현 할 수 있도록 평가 시 최소의 요건을 정의하고 있다. 이 모델은 ISO/IEC 15504-2와 연계되어 있으며, 프로세스 속성이 달성되었는지 판단하기 위해 프로세스 역량 및 성과 지표를 이용한다.

 

IDEAL 모델은 소프트웨어 프로세스 개선(SPI) 프로그램 모델로서, 카네기 멜론 대학의 SEI(Software Engineering Institute) 에 의해 개발되었다. 이 모델은 조직이 효과적인 프로세스 개선 프로그램을 계획하고 구현할 때 참고할 수 있는 토대를 제공하며, 개시(Initiating), 진단(Diagnosing), 수립(Establishing), 수행(Acting) 그리고 학습(LEarning)의 5가지 단계로 구성되어 있다.

 

CMMI(Capability Maturity Model Integration)는 효과적인 프로세스의 필수 구성요소를 기업에게 제공하는 프로세스 개선 방법이다. 이 모델은 프로젝트, 부서 또는 전체 조직에서 프로세스 개선 가이드로 이용될 수 있다. CMMI 는 전통적으로 서로 분리된 조직의 기능을 통합하고, 프로세스 개선 목표 및 우선순위를 설정하며, 품질관리 프로세스 지침을 제공하고, 현재 프로세스를 평가하는데 도움을 준다. 프로세스 역량 모델은 전세계적으로 인정받고 있는 Information Technology - Process Assessment의 표준인 ISO/IEC 15504에 기초하고 있다. 이 모델을 통해 기업은 프로세스 평가 및 프로세스 개선의 전체 목표를 달성할 수 있다. 예를 들어 이 모델은 조직에게 COBIT 5 거버넌스 프로세스 (EDM 기반) 프로세스 관리(PBRM 기반) 프로세스의 성과를 측정하기 위한 수단을 제공하며, 개선이 필요한 영역을 조직이 식별할 수 있도록 해준다.