◆안중호 (서울대학교 경영대학 교수) jahn@snu.ac.kr
IT 거버넌스는 비즈니스와 IT 연계 및 IT 리스크 관리를 통해 주주의 비즈니스 가치를 극대화하기 위해, IT 사용에 대한
조직의 권한과 책임을 명확히 하자는 것이다.
IT 거버넌스는 거시적으로 자원할당, 사업 착수와 그 위험에 대한 평가, 프로젝트의 우선순위, 성과 평가, IT 투자의 가치 등에 대한 결정과, 미시적으로 조직의 각 부서와 그들의 IT 사용에 대한 의사결정을 관리하기 위해 인증, 통제, 책임, 의무, 역할 등을 포함한다. IT 거버넌스의 도입 필요성이 제기된 중요한 이유는 조직에서 인건비 다음으로 차지하는 비중이 크게된 IT 분야와 그에 수반되는 점증하고 있는 리스크와 관련이 있다.
예를 들자면, 다우케미컬은 7년 동안 5억 달러를 메인프레임 기반 엔터프라이즈 시스템 구축에 투자했지만 현실에 맞지 않아 결국 클라이언트/서버 시스템으로 전환해야만 했고 디즈니도 8억7천만 달러를 고닷컴(Go.com)에 투자했으나 결국 실패했다.
이는 IT 리스크가 단지 IT 부서만의 책임으로 끝날 수 없다는 것을 단적으로 말해준다. 또한 2002년 7월에 제정된 미국 샤베인-옥슬리 법에 따르면 미국 증시에 상장한 기업은 의무적으로 내부통제시스템을 갖춰야만 한다. 미국 증권거래위원회에 보고 의무가 있는 외국법인의 경우도 이 법의 모든 조항을 준수해야 하므로 미국과 거래가 많은 우리나라 기업도 당연히 관심을 가질 수 밖에 없다. 어떻게 보면 이 법은 IT 거버넌스와 별 관련이 없게 보이지만, 바로 이 법안에서 언급하는 재무보고의 신뢰성을 확보하기 위해서는 IT 통제가 중요한 부분을 차지 하고 있기 때문에 당연히 또 자연스럽게 IT 거버넌스에 관심을 가질 수 밖에 없다. 이 두 가지 사례는 단적으로 IT 거버넌스 도입의 중요성을 말해준다.
IT 거버넌스의 궁극적인 목적은 주주에게 비즈니스 가치를 전달하는 것이다. 이를 위해 IT와 비즈니스를 전략적으로 연계시킴으로써 IT를 통한 비즈니스 가치 창출과 IT 투자에 대한 책임감을 높여 IT 리스크를 완화 시킬 수 있다.
여기서 IT와 비즈니스의 전략적 연계란 비즈니스와 IT 사이의 공생 관계를 구축하고 발전시킴으로써 기업 경쟁력을 확보하는 과정이자 목적을 의미한다. 전략적 연계를 위해서는 IT를 부분으로 보는 시각에서 전체로 보는 시각의 전환이 필요하다. 전략적 연계와 더불어 중요한 것이 IT 리스크 관리이다. IT 리스크 관리란 기대되는 IT 산출물로부터 비선호적인 일탈의 가능성을 확인하고, 평가하며, 감소하거나 제거하는 데 사용되는 시스템적인 접근방법이다.
그러므로 IT 리스크는 기술적 무지, 잘못된 의사결정, 임직원의 부정행위, 해킹 등을 모두 포괄하는 광범위한 개념이다.
오늘날의 지식 기반 사회에서 기업 IT 관리의 중요성이 더욱 커지고 있다. IT 거버넌스의 핵심 요소는 주주에게 IT를 통한 극대화된 비즈니스 가치를 전달하기 위해 IT 사용에 대한 명확한 권한과 책임을 할당하는 것이 중요하다. 이것은 특정 IT 솔루션에 의해서는 해결이 안되며 CIO나 IT 부서만의 힘으로는 더욱 더 불가능하다. IT 거버넌스는 기업의 이사회와 최고 경영진을 중심으로 적극적인 관심과 참여가 필수적이다.