본문 바로가기
CISA

2.3 IT 거버넌스

by Pooh0216 2019. 4. 19.

IT 거버넌스는 이사회, 경영진, 내부고객 및 재무팀과 같은 부서를 포함한 모든 이해관계자들이 의사결정 프로세스에 관여하는 시스템을 의미한다.

 

IT 거버넌스는 이사회에서 사용하는 관리시스템이다. 다시 말해서, IT거버넌스는 자신의 이익이 충졸될 것으로 기대하는 모든 이해관계자(내부 및 외부 이해관계자)들을 대신한 IT 자원의 관리 책임에 관한 것이다. 이러한 관리 책임이 있는 이사회는 경영진이 필요한 시스템과 IT 통제를 구현하는지 감독할 것이다.

 

IT 거버넌스는 이사회와 최고 경영진의 책임이다.

 

IT 거버넌스의 목적은 IT 성과가 기업의 목적과 연계되고 약속된 효익을 실현하는 목표에 부합하도록 하는데에 IT가 노력을 기울이도록 하는데 있다. 또한, IT는 기업이 기회를 활용하고 효익을 극대화할 수 있도록 지원하여야 한다. IT 자원은 책임감있게 사용되어야 하며 IT 관련 위험은 적절히 관리되어야 한다.

 

IT 거버넌스 프레임워크를 구현한다는 것은 위험관리와 기치제공에 대한 피드백을 제공하는 프로세스를 구현하여 위험관리와 가치전달이라는 두 가지 현안을 다루는 작업이다. 이들 프로세스는 다음과 같다.

 - IT 자원관리는 모든 IT자원의 목록을 최신 상태로 유지하고 위험관리 프로세스를 다루는데 주력한다.

 - 성과관리는 모든 IT 자원이 비즈니스에 가치를 전달할 수 있도록 기대한 성과를 내도록 하고 조기에 위험을 식별하는데 주력한다. 이 프로세스는 가치전달에 최적화된 성과지표에 기반하고 있으며, 성과지표 상의 어떤 차이가 존재한다면 이러한 차이는 실제 위험으로 연결될 수 있다.

 - 컴플라이언스 관리 - 법규 및 규제 정책, 계약에 대한 컴플라이언스 요건을 다루는 프로세스를 구현하는데 주력한다.

 

ISACA의 COBIT 5프레임워크에서는 거버넌스와 매니지먼트를 명확히 구분하고 있다. 이 두 지식은 서루 다른 화롱 형태를 포함하고 있고, 서로 다른 조직 구조를 필요로 하며, 서로 다른 목적으로 사용된다. 거버넌스와 매니지먼트에 대한 COBIT 5 관점에서의 주요한 차이점은 다음과 같다.

 - 거버넌스 (Governance) - 기업의 목적을 달성하기 위한 합의 수준을 결정하도록 이해 관계자들의 요구사항, 조건, 옵션을 측정하고 우선 순위와 의사 결정을 통해 방향을 설정, 그리고 합의된 방향과 목적에 대한 성능 및 컴플라이언스 모니터링하도록 하는 것.

 - 매니지먼트(Management) - 기업의 목적을 달성하기 위해 거버넌스 조직에서 설정한 방향과 동일한 선상의 활동을 꼐획, 구축, 실행하고 모니터링 하는 것.

 

기업 거버넌스의 한 부분인 기업 IT에 대한 거버넌스 (GEIT)는 기업에서 IT를 활용할 때 검토해야 할 핵심이슈를 포함한다.

 

효과적인 기업 거버넌스는 가장 효과적이도록 할 수 있는 특정영역에 대한 개별 또는 그룹 전문지식과 경험에 초점을 맞춘다. 조직 전략의 동인으로만 오랫동안 생각되었던 IT가 이제는 조직 전략의 핵심부분으로 간주되고 있다.

 

CEO, COO,CFO,CIO,CTO는 IT와 조직의 목표간의 연계가 핵심 성공요소라는 것에 동의한다. IT 거버넌스는 경제적으로, 효율적으로, 그리고 효과적으로 안전하고 신뢰할 수 있는 정보와 응용기술을 활용하게 함으로써 이 핵심 성공요소를 달성하는데 도움을 준다. IT조직의 성공에 매우 중요하기 때문에 IT 관리자나 IT 전문가 둘 중 하나에 맡길 수 없으며, 경영진의 지도 및 감독 그리고 이사회의 감시하에 IT 관리자와 TI 전문가 모두가 관심을 가져야 한다.

 

IT 거버넌스의 핵심 요소는 비즈니스와 IT 의 연계로 비지니스 가치를 달성하는 것이다. 근본적으로 IT 거버는서는 두가지 이슈와 관련있다. 그 두가지 이슈는 IT가 비즈니스에 가치를 제공하고, IT위험이 관리되도록 하는 것이다. 첫번째 이슈는 IT와 비즈니스의 전략적 연계에 의해 달성되며, 두번째 이슈는 책임 추적성을 조직 내에 내재화 하는것이다.

 

2.3.1 IT 거버넌스를 위한 모범 실무(Good PRactive)

IT 거버넌스는 기업의 IT가 비즈니스 목표를 지원하도록 모범적인 실무 관행을 통합하고 제도화한다. IT거버넌스는 기업이 정보를 최대한 활용하여, 최대의 이익을 얻고, 기회를 이용하며, 경쟁우위를 갖도록 도와준다. IT 거버는서는 가치 창출과 동시에 IT와 프로세스로부터의 효익대비 위험의 균형을 맞춤으로써 조직 목표 달성을 위해 조직을 지휘 및 통제하는데 사용되는 관계구조 및 프로세스이다.

 

기업 내에서 IT를 관리하기 위해서 최고 경영진이 다룰 필요가 있는 주제는 이익실현, 위험 최적화, 자원최적화의 3가지 중점영역에 기술되어 있다.

 

IT 거버넌스는 다음의 요소들 때문에 중요해 졌다.

- IT 투자에 대한 더 나은 수익을 요구하는 비즈니스 경영진과 이사회, 예를 들어 IT는 비즈니스가 이해관계자들의 가치를 증대시키기 위해 필요한 것을 제공한다.

- IT 지출 수준이 일반적으로 증가하고 있다는 사실에 대한 우료

- 개인정보보호 그리고 재무보고(예: 미국 사베인스-옥슬리법, 바젤협약) 및 금융, 제약 및 헬스케어 등의 특정 산업영역에서의 규제 요건을 충족할 필요성

- 서비스 제공업체의 선정과 서비스 외주 및 구매관리(예: 클라우드 컴퓨팅)

- 비즈니스 가치를 증대하고 위험을 감소시키기 위해 주요 IT 활동을 모니터링하고 개선하는데 도움이 되는 통제 프레임워크 및 모범적인 실무관행의 채택을 포함하는 IT거버넌스 추진과제

- 특별히 고안된 접근방법보다 가능한 표준화된 접근방법을 통한 비용 최적화의 필요성

- 성숙도 제고 및 널리 인정 받는 프레임 워크의 도입

- 일반적으로 널리 인정되는 표준 및 경쟁사와 대비(벤치마킹)하여 어느정도의 성과를 내고 있는 지를 평가하고자 하는 요구

 

평가, 지휘, 그리고 모니터(도표 2,3) 프로세스는 거버넌스 프로세스와 통합되어 다음 사항에 대한 평가, 지휘, 모니터링에 초점을 맞추고 있다.

- 내부 규정준수 및 성과

- 내부통제시스템

- 법령 등 외부 요구사항 준수

 

IT 거버넌스 및 관리 프레임워크

다음은 IT 거버넌스 프레임워크들의 예이다.

- COBIT5는 ISACA에 의해 IT와 비즈니스 간 연계, IT 가 비즈니스를 지원하고 이익을 극대화, IT 자원의 책임 있는 사용, IT 위험의 적절한 관리를 위한 프레임워크를 제공하기 위하여 개발되었다. COBIT은 조직 내의 IT 프로세스를 평가하고 그 성과를 측정하기 위한 도구를 제공한다. COBIT 5는 5개의 원칙, 5개의 도메인, 37개의 프로세스 그리고 210개의 실무를 포함한다.

 - ISO/IEC 27001(ISO 27001) 기준은 조직이 정보보호 프로그램을 구현하고 유지하는 것에 대한 지침을 제공하는 모범적인 실무 관행을 한데 모은 것이다. ISO27001은 산업 전반에 널리 알려진 표준이 되었다.

- ITIL은 영구 OGC(Office of Government Commerce)와 ITSMF(IT Service Management Forum)가 공동으로 개발한 성공적인 IT 운영 서비스 관리르 달성하는 방법에 대한 실무 정보를 담고 있는 상세한 프레임워크이며, 비즈니스 가치 전달에 대한 내용도 포함하고 있다.

- IT Baseline Protection Catalogs, or IT grundschutz Catalogs(과거 IT Baseline Protection Manual이라고 불림)는 독일 FSI(German Federal Office for Security in Information Technology)의 문건을 한데 모은 것이다. 이들 문건은 IT 환경에서의 보안 취약점을 감지하고 대처하는데 유용하다.

- Information Security Management Maturity Model(ISM3)은 프로세스 기반의 IT 보안관리 성숙도 모델이다.

- ISO/IEC 38500:2008 Corporate governance of information technology(AS8015-2005에 기반하고 있다)는 효과적인 IT 거버넌스를 위한 프레임워크를 제공한다. ISO/IEC 38500은 조직의 최상위층의 구성원이 IT 이용과 관련하여 법적, 규제적, 윤리의무를 이하하고 이행하도록 돕는다. ISO/IEC 38500은 공기업, 사기업, 정부기관, 비영리 조직을 ㅗㅍ함하여 조직의 규모와 상관없이 적용가능하다. 이 표준은 이사회가 조직 내에서 효과적이고 효율적이며 수요할 수 있는 IT의 이용에 대한 원칙을 제공한다.

- ISO/IEC 20000은 ITIL의 서비스 관리 프레임워크와 연계하여 IT서비스 관리르 상세화 한 것이다. ISO/IEC20000는 두 부분으로 나누어지는데, ISO/IEC 200001:2011는 서비스 관리 개선을 위한 특정 요건으로 구성되어 있으며, ISO/IEC 2000-2:2012는 ISO/IEC 200001:2011의 적용을 위한 가이드와 사례를 제공한다.

 

IT 거버는스를 위한 감사 역할

기업은 일반적으로 통용되는 모범적 실무관행을 통해 관리되고, 통제 구축을 통해 보호된다. 이러한 모범적인 실무 관행은 조직의 자원 이용방법을 결정하는데 있어 가이드를 제공한다. 그 결과는 지속적으로 측정, 보고되어 통제의 지기적인 개편과 유지관리를 위한 정보로 사용된다.

마찬가지로 IT 또는 모범적인 실무관행에 의해서 조직의 정보 및 정보기술이 기업의 사업목표를 지원하고(예, 전략적 연계), 가치를 전달하며, 조직의 자원을 책임있게 사용하고, 위험을 적절하게 관리하며, 그 성과를 측정하도록 관리된다.

 

조직 내 IT 거버넌스의 성공적인 구현에 있어 IT 감사는 중대한 역할을 수행한다. 감사부서는 수행된 IT 거버넌스 추진과제의 품질 및 효과성을 개선하는데 도움을 주기 위해서 앞서가는 실무관행을 경영진에 권고하기에 가장 좋은 위치에 있다.

 

컴플라이언스(법규 및 규정 준수)를 모니터하는 주체로서, 감사부서는 조직 내에 수행된 IT거버넌스 추진과제 결과를 준수하도록 도와준다. 지속적인 모니터링, 분석 그리고 IT 거버넌스 추진과제와 관련된 성과지표에 대한 평가를 위해서는 정성적 평가에 대해서 독립적이고 균형있는 시각이 필요하다. 독립적이고 균형있는 시각에 기초한 정성적 평가는 IT 프로세스 및 관련 IT 거버넌스 과제의 질적 개선을 촉진하는 역할을 한다.

 

IT 거버넌스에 대한 보고서는 조직 최상위층으로 부터 감사를 포함하며, 이는 여러부문, 기능, 부서를 포괄할 수있다. 정보시스템 감사인은 조사활동의 책임범위(terms of reference)에 다음과 같은 내용이 기술되어 있는지 확인해야 한다.

- 업무범위, 이에는 포함될 업무기능 영역과 현안에 대한 명확한 정의가 포함된다.

- 보고라인, 이르 통해 IT 거버넌스 현안이 조직 최상위층에 까지 확인된다.

- 정보시스템 감사인의 정보에 대한 접근권한, 이에는 조직 내 정보는 물론 외부 서비스 제공업체로부터의 정보에 대한 접근권한이 포함된다.

 

정보시스템 감사인의 조직내에서 지위와 요구되는 직무능력이 감사계획의 성격엥 비추어 적절한지 고려되어야 한다. 불충분하다고 확인될 경우 감사를 수행하기 위해 독립적인 외부전문가를 고용하는 방안에 대해 적절한 위치의 경영진이 고려해 보아야 한다.

 

정보시스템 감사인의 역할정의에 따라, GEIT와 관련되 다음의 측면에서 평가될 필요가 있다.

- 기업 거버넌스와 GEIT의 연계

- 조직의 미션, 비전, 추구하는 가치, 목표 그리고 전략과 IT 부서기능의 옌계

- 비즈니스 와 IT부서에 의해 수립된 성과목적(예: 효과성과 효율성)의 달성

- 법적,환경, 정보품질, 주주에 대한 책임, 보안, 프라이버시 요건

- 조직의 토제환경

- 정보시스템 환경 내의 고유위험

- IT 투자 및 비용 지출

 

2.3.2 IT거버넌스 위원회

전통적으로, 조직들은 조직 전반적인 IT현안을 다루기위해 최고 경영진 차원의 운영위원회를 두어왔다. IT 전략위원회와 IT 운영위원회 양쪽 모두를 명확히 이해해야 하는데, ISACA는 이에 대한 명확한 분석을 담은 문서를 발간하였다. 정보시스템 감사인은 IT실행위원회, IT 거버넌스위원회, IT 투자위원회 혹은 IT경영위원회 등 조직 IT 운영의 중심이 되는 간부 및 중간관리자 주도의 원원회를 포함훌 수 있음을 인식하여야 한다.

 

2.3.3 IT 균형 성과표(IT Balanced Scorecard)

IT 균형성과표(BSC: Balanced, Scorecard 도표 2.5)는 프로세스 관리 평가 기법으로 IT 기능 및 프로세스를 평가하는데 있어 IT 거버넌스 프로세스에 적용될 수 있다. 이 기법은 고객(사용자) 만족, 내부(운영)프로세스 그리고 혁신 역량과 관련된 측정지표를 추가로 제공함으로써 전통적인 재무적 평가 그 이상의 의미를 가진 기법이다.

 

이러한 추가적인 측정디표는 평가의 모든 측면에서 균형을 이루는 동시에 조직이 IT사용을 최적화하도록 하여 조직의 전략적인 목표와 연계될 수 있도록 한다.

 

IT에 BSC를 적용하기 위해서 4가지 측면(재무, 고객만족, 내부프로세스, 혁신)에서 3개의 계층구조가 사용된다.

- 미션 -예

 - 고객이 선호하는 정보시스템 공급업체가 된다.

 - 경제적이고, 효과적이며 효율적인 IT 애플리케이션과 서비스를 제공한다.

 - IT 투자를 통해서 비즈니스에 적절히 기여한다.

 - 미래 도전과제에 대응하기 위해 기회를 발굴한다.

- 전략 - 예

 - 우수한 애플리케이션과 운영방식을 개발한다.

 - 사용자와의 협력관계와 더 나은 고객서비스를 개발한다.

 - 보다 나은 서비스 수준과 가격 체계를 제공한다.

 - IT 비용을 통제한다.

 - IT 프로젝트에 비즈니스 가치를 부여한다.

 - 새로운 비즈니스 역량을 제공한다.

 - IT 인력을 훈련 및 교육하여 역량을 강화한다.

 - 연구 및 개발을 지원한다.

 

측정비표-예

 - 비즈니스 지향적인 IT 의사결정을 유도하는 균형 있는 성과지표(예: 핵심성과지표KPI)를 제공한다.

 

'CISA' 카테고리의 다른 글

2.6 IT 투자와 자원 배분 실무  (0) 2019.04.20
2.4 정보시스템 전략  (0) 2019.04.20
2.4 운영위원회 책무에 대한 분석  (0) 2019.04.19
2.2 기업 거버넌스  (0) 2019.04.19
2.1 간편한 참조  (0) 2019.04.19