• Bookmark

COBIT 5와 GEIT(Governance of Enterprise IT)의 부가가치

저자: Arturo Umana, COBIT Foundation, ITIL Foundation

COBIT Focus | 2015년 12월 7일 아랍어 | 영어 | 프랑스어 | 독일어 | 일본어 | 포르투갈어 | 스페인어

COBIT 5 의 주요 개선점 중 하나가 Val ITRisk IT 를 하나의 프레임워크로 통합한 것이라는 점은 잘 알려져 있는 사실이다. 이는 다른 버전과 맥락을 같이 하는 것으로 COBIT 의 논리적 전개 방식에 따른 것이며, 현대적 기업을 위한 적당한 GEIT의 필요성을 더 잘 반영하고 있다. 3개의 기존 프레임워크 전부르 조합해 사용하고 있거나 일부를 사용하고 있는 사람들에게 하나의 통합된 프레임워크로 전환하는 것은 분명히 앞으로 그들이 나아가야할 방향일 터이다.


첫 번째 서프라이즈

이전 조직뿐만 아니라 현재 조직에서 COBIT 4.1, Val IT 2.0 및 Risk IT를 사용해 매우 만족스러운 경험을 한 후에 새로운 버전 채택에 대한 찬반 의견을 평가하기 위해서 뿐만 아니라 의사 소통을 통해 최근의 우수 사례, (이번 경우에는 구체적으로 ITIL V3TOGAF 9. 와 연계하는데 일종의 통찰력을 얻기 위해 COBIT 5의 개념을 증명해보기로 했다. 이를 위해, 25개국의 50여개 이상의 회사로 구성된 글로벌 보험사의 핵심적이지는 않지만 또한 사소하지도 않은 업무 영역을 선택하여, 여러 본부의 상품과 직접적인 관련이 없는 지원 프로세스를 위한 서비스 제공 및 운영에 그 프레임워크의 원칙과 도구를 적용하기로 했다.


솔직히 말해, 첫 만남은 놀라움을 넘어서 충격적이었다. 동인에 대해 강하게 초점을 맞추고 프로세스 참조 모델(process reference model)을 개정하기 위해 대대적인 재설계가 필요하다는 것 때문이 아니라, 이전에 많은 작업 분야에서 이미 매우 유용하다고 입증이 된 CMM(Capability Maturity Model, 역량 성숙도 모델) 기반 방식에서 탈피했기 때문이었다. 프레임워크에서 이러한 필수품을 포기하는 것에 익숙해지는데는 많은 노력이 필요했다.


두 번째 서프라이즈

발전의 기회를 놓치고 싶지 않다면 가끔은 습관을 깨는 것이 아주 중요하다. 처음에 말했던 거북함이 극복되자, 새로운 프레임 워크에 대한 가능성이 보이기 시작했고 새로운 접근 방식을 추가적으로 다른 분야에 적용하는 결정은 쉬웠다.


예상한 바대로, Val IT와 Risk IT를 COBIT 5로 통합함으로써 프레임워크의 초점이 자연스레 비지니스에 대한 IT의 성공적이고 안정적인 기여로 옮겨졌다. 물론 이 기여는 이전 버전에서도 절대적으로 중요한 부분이었지만, 기존의 접근 방식은 좀 더 IT 중심이었다고 할 수 있다. 이제 핵심 요인은 3개의 프레임워크가 단순히 하나로 결합되는 것이 아니라 모든 단계에서 가치, 리스크 및 운영 요소를 고려하는 하나로 굳어진 단일체로 아주 매끄럽게 통합되었다는 것이다. 이 사실을 이해하는 것도 중요한 깨달음이지만, 이를 실행에 옮기는 것은 더 놀라운 경험이다.
 

Val IT와 Risk IT를 COBIT 5로 통합함으로써 프레임워크의 초점이 자연스레 성공적이고 안정적인 비지니스에 대한 IT의 기여로 옮겨졌다.


여기서 놀라운 부분은 프로세스 참조 모델만큼 중요한 것이 변경되었음에도 불구하고 이전의 사용 방식에서 현방식으로 전환하는 과정이 자연스러웠다는 점이다(성숙도 평가는 이러한 규칙에 대한 예외 사항이었다). 이 경우, 순조로운 전환은 IT 거버넌스 활동의 주된 관심이 IT 규제와 감독에서 비지니스 동인으로서의 IT를 위한 적극적인 노력으로 교묘하게 바뀌는 흥미로운 효과를 가져왔다.


우연한 발견

성숙한 조직에서 조차 IT 거버넌스에 대해 명확한 그림을 가지고 있는 것은 아니다. 아직 많은 오해가 있고 또한 지나치게 단순화시키는 경향이 있어 이러한 혼란을 부추긴다. IT 거버넌스가 제공하는 가치에 대해서는 더더욱 이러한 경향이 심해진다.


명확한 출발점을 갖기 위해서 우리는 COBIT에서 내리고 있는 IT 거버넌스의 정의를 살펴볼 수 있다:

IT 거버넌스는 고위 경영진 및 이사회의 책임이며, 이것은 조직의 IT가 조직의 전략과 목표를 지원하고, 확장하도록 하기 위한 리더십, 조직 구조 및 프로세스로 구성된다.


그 뿐만 아니라, IT 거버넌스는 모범적인 프랙티스를 통합하고 제도화하여 조직의 IT가 경영 목적을 지원하도록 한다. 따라서 IT 거버넌스는 조직이 정보를 최대한 활용하여, 효과를 극대화하고, 기회를 포착하고, 경쟁 우위를 확보하도록 해준다. 이러한 성과를 얻기 위해서는 COSO(Committee of Sponsoring Organisations of the Treadway Commission)의 내부 통제 - 통합 프레임워크(Internal Control - Integrated Framework)와 기타 유사한 준수 프레임워크에 부합하고, 이를 지원하는 IT 통제에 대한 프레임워크가 필요하다. COSO 프레임워크는 기업 거버넌스 및 리스크 관리를 위한 통제 프레임워크로서 광범위하게 인정받고 있다.


조직들은 다른 자산과 마찬가지로 정보에 대해서도 품질(quality), 주주에 대한 수탁책임(fiduciary) 및 보안(security) 등의 요구 사항을 충족시켜야 한다. 또한, 경영진은 애플리케이션, 정보, 인프라, 및 인력 등과 같은 가용 IT 자원을 최적으로 활용해야 한다. 경영자들이 조직의 목표를 달성하면서 이러한 임무를 수행하기 위해서는 조직이 보유하고 있는 IT의 아키텍처 현황을 이해하고 어떤 종류의 거버넌스와 통제를 제공해야 하는지를 결정해야 한다. 1

이는 IT 거버넌스가 비지니스와 IT 관리 양쪽 모두에 관여한다는 사실을 확인시켜 주는 매우 정확한 정의이다. 하지만 이러한 관점에 대해 쉽게 동의할지라도, 비지니스 및 IT 양쪽 모두 IT 거버넌스가 공통 목적과 목표에 미치는 영향을 항상 인식하는 것은 아니다. 이러한 인식을 만들어내는 것이 조직에 손해를 끼칠 수 있는 잘못된 연계 및 갈등을 피하기 위해 매우 중요하다.


이 점에서, 탄탄한 협력과 의사소통 기반 마련이 시급하다. 행동 및 인식의 양 측면에서 IT가 비지니스를 위한 동인 및 신뢰할 만한 파트너가 되는 것은 필수 요인이다. 여기서 다시 위에서 언급했던 관심의 변화에 대해서 얘기해야겠다.


가치 제안 및 제공이라는 측면에서 IT 관련 거버넌스 활동의 초점이 변화하는 것은 여러분 자신의 인식뿐만 아니라 비지니스 및 IT 전문가 모두와 의사소통하고 대응하는 방식, 나아가 그들이 상호 협력하는 방식까지 바꾼다. 물론 IT 거버넌스의 규제 및 감독 측면을 무시해서는 안되지만, 공동 목표에 기여하는 것의 중요성을 강조함으로써 그러한 측면이 협력을 위한 방해 요인이 아니라 지원 구조가 되게끔 해야 한다. 이러한 프로세스를 거치면서, 거버넌스의 부가가치가 가시화되고 IT 거버넌스는 GEIT로 발전한다.


이러한 변화가 우리 조직 내에서 아직 진행중이긴 하지만, 몇몇 프로젝트 및 이니셔티브의 접근 방식을 변화시키기 시작한 것을 볼 수 있다.


결론

돌이켜보면, COBIT 4.1, Val IT 2.0 및 Risk IT를 결합하여 COBIT 5로 통합시킨 것이 우리 조직의 IT 거버넌스의 역할 변화에 실질적인 영향을 끼쳤다. 가장 드라마틱한 변화는 규제 부분에 추가된 통합 측면이다. 이 전환의 긍정적인 반향은 현재의 조직 내 문화 발전에 완벽하게 연계하는 모습을 보였고 가시적인 부가 가치를 만들어 냈다는 점이다.


저자: Arturo Umana, COBIT Foundation, ITIL Foundation

빈 보험 그룹의 IT 거버넌스 관리자 및 전사 아키텍트이다. 데이터베이스 아키텍트, IT프로젝트 매니저, 전사 아키텍트 및 IT 거버넌스 관리자로 있으면서, 방법론, 전사 아키텍처 관리, IT 거버넌스 및 IT 전략 개발에 집중하였다.


 

1 ISACA, COBIT 4.1, USA, 2009

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.