전 세계적으로 기업 거버넌스에 대한 중요성이 증가하고 있는 것은 비단 어제 오늘의 일이 아니다. 많은 선진 국가들은 기업 거버넌스에 관련된 법규를 제정했고, OECD는 1999년 기업 거버넌스에 대한 원칙을 발표했다. 최근 들어 기업 거버넌스 부문에 가장 큰 파급 효과를 미치고 있는 요인 중 하나는 2002년 미국에서 제정된 사베인즈-옥슬리 제도와 2003년 국제결제은행(BIS)이 발표한 바젤Ⅱ라는 기준을 들 수 있다. 이들 법규제도의 공통된 목적은 효과적인 내부 통제가 가능하도록 기업 거버넌스를 개선코자 하는 것이다.
물론 이런 기업 거버넌스에 관련된 법규와 제도들이 ‘IT 거버넌스’를 구체적으로 명시하고 있지는 않지만, SOX 등에서 요구하는 효과적인 내부통제, 경영자의 책임 강화, 위험 관리 시스템 구축 등을 위해서는 IT 거버넌스 체계 없이는 효과적으로 대응할 수 없게 됐다.
| 김나연 기자·grace@datanet.co.kr |

IT가 모든 기업에 있어서 전략적이고 핵심적일 수는 없지만, IT의 중요성이 높아지는 비즈니스 및 기업의 비중이 늘고 있는 것은 부정할 수 없다. 기업에서 IT의 중요성이 높다면 조직은 적어도 IT가 해당 목적을 달성하고 있는지, 그리고 IT에 관련된 위험을 적절하게 관리하고 있는지, IT를 통한 기회를 적절하게 인식하고 이를 활용하고 있는지 등을 파악하고 있어야 한다. 바로 이를 위해서는 IT 거버넌스 체계 구축이 반드시 필요하다.
또 기업이 IT에 투자하는 비용(비중)이 증가함에 따라 기업은 여러 가지 위험에 직면하게 된다. 조직의 중요한 자원이 대거 투여된 IT에 대한 위험을 체계적으로 관리하는 데에도 IT 거버넌스가 필요하다.
최근 한 설문조사에서 IT가 기업의 성과에 미치는 영향에 대한 비즈니스 경영진의 인식을 조사한 바에 따르면, 75%가 현재 매우 높은 영향을 끼치고 있다고 응답했고, 93%가 향후에는 지금보다 더 큰 영향을 끼칠 것이라고 응답했다.
이러한 환경에서 IT는 더 이상 기업운영의 보조적인 수단이 아니라 기업의 경영목표 달성과 기업가치 극대화를 도모하기 위한 필수적인 수단이 되고 있다. 나아가 IT가 비즈니스를 새롭게 전환할 수 있는 기회를 만들기도 한다. IT의 역할이 확대되고 중요해짐에 따라 투자하는 비용도 크게 증가하고 관련된 위험 역시 증가하게 됐다. 이처럼 IT 도입에 따르는 비용, 위험, 기회가 존재한다는 것은 IT를 보다 전략적으로 관리해야 함을 의미한다.

컴플라이언스, IT 거버넌스 위한 첫 단추일 뿐
기업들이 IT에 막대한 투자를 감행하고 있는 현실에서, 기업의 주주들은 이사회를 비롯한 경영진에게 IT 투자비용의 투명성에 대해 더 많은 책임감을 요구하고 있다. 이에 IT 투자 금액이 어디에 어떻게 쓰이고 있으며, 기업에 어떤 가치를 가져다 줄 수 있는지를 가시적이고 체계적으로 투명하게 나타내주는 IT 컴플라이언스가 요구되고 있다.
이런 환경에서 IT 거버넌스가 IT 투자에 대한 투명성이 확보되고 정확한 ROI의 산출이 가능하다는 점과 사베인-옥슬리 법안이나 바젤Ⅱ 등과 같이 점차 강화되고 있는 국제적인 규정에도 체계적으로 대응할 수 있다는 점에서, 컴플라이언스에서도 굉장히 중요하다.
IT 거버넌스의 궁극적인 목적은 IT를 통해서 조직(기업)에 제공할 수 있는 경영적인 가치를 극대화하는 것이다. 이는 기술적인 성능만이 아니라 진정으로 조직에 기여할 수 있는 가치를 제공하는 것이다(NETWORK TIMES 2006년 8월호 Market Trend ‘IT관리와 거버넌스’ 참조). 이를 위해서는 ▲IT와 경영의 전략적인 연계 ▲IT 자원 관리 ▲IT 위험 관리 ▲성과 모니터링 등과 같은 기능들이 수행돼야 한다.
IT 거버넌스 체계 도입을 고려하고 있는 기업들은 현재 상기 소개된 IT 거버넌스의 궁극적인 목적과 수행돼야 할 기능들을 어느 정도 잘 인식하고 있는 상태다. IT 거버넌스의 태동기를 지나 이제는 본격적인 성장기에 접어들었다는 것이 업계 전반적인 공통된 시각이다.
정확하게 말하자면, 기업내부통제와 같은 컴플라이언스 규제가 IT 거버넌스를 확장시키는 것은 아니지만 기업 운영에 있어 효과적인 IT의 도입과 활용을 통한 경쟁력 확보는 필수요소로 여겨진다. 그래서 전통적인 기업 지배구조(Enterprise Governance) 범주가 확대돼, IT 자원 및 정보를 조직의 전략 및 목표와 연계시킴으로써 경영목표를 달성하고 경쟁우위를 확보하도록 할 수 있는 IT 통제/관리 체계, 즉 IT 거버넌스가 등장한 것이다.
그러나 컴플라이언스 자체가 IT 거버넌스를 목표로 하는 것이 아니고 IT 거버넌스라는 큰 틀에서 컴플라이언스 관련 이슈를 이해해야 하는 것을 인지해야 한다.
이규호 굿어스 IT 거버넌스 사업부 이사는 “컴플라이언스 이슈 때문에 IT 거버넌스를 확장하는 것이 아니라, IT=비즈니스 개념을 증명하기 위한 첫 단추로 봐야 하며, 올해도 이런 부분들을 증명하려고 하는 노력이 이어질 것”이라고 밝혔다.
이규호 이사는 “단순한 프로젝트 매니지먼트가 아닌 기존에는 전혀 다뤄지지 않았던 투자심의에 관련된 프로세스 정의에 관한 툴 적용, 회사의 비즈니스와 연계해 프로젝트 포트폴리오까지 거시적인 관점에서 바라보려는 노력들이 IT 비용만 생각하던 시각에서 비즈니스적 차원으로 넘어서는 개기, 증명하려는 노력들이 올해 잇따를 것으로 예상된다”고 밝혔다.
굿어스는 IT에 포커스된 프로세스 관리 시각을 담은 기존 ITSM을 올해는 IT 거버넌스라는 큰 개념으로 확장시켜 공급할 수 있는 사이트가 조만간 발표될 것이라고 밝혔다.

금융권 필두로 IT 거버넌스 도입 확대
IT 거버넌스 도입은 아무래도 컴플라이언스 이슈와 관련해 금융권에서 가장 활발한 도입이 일어나고 있다. 또 금융권에서는 대부분의 프로젝트들이 지주회사로 넘어가는 형태이므로 IT 투자에 대한 부분들, 투자를 결정하는 부분, 그리고 투자를 집행하는 부분의 투명성이 아주 중요하다.
이처럼 투명성 확보를 위해서는 IT 거버넌스와 관련된 부분들, 예를 들어 포트폴리오 매니지먼트, 프로젝트 매니지먼트 등을 차세대프로젝트를 하기 전에 먼저 도입시킨다. 즉, IT 투자의 타당성부터 집행까지 전 프로세스의 투명성을 확보한 후 지주회사 전반적인 프로젝트로의 움직임을 가져가는 것이 금융권이 IT 거버넌스를 수용하는 힘이 되고 있다.
통신업계에서는 KT가 작년 초부터 투자심의 부분이나 IT자산, PMS 관련 부분 정비를 계획하고 있고 사전 컨설팅을 진행하고 있다. KT는 특히 IT 투자심의 부서가 최근 본사로 모두 모아진 의사결정 구조의 변화로 인해 ‘투명성 확보’에 다시 노력을 기울이고 있는 것으로 알려졌다. 지난해 KT는 투자심의와 관련해 PPM, 자산관리 도입을 위한 사전컨설팅을 받은 것으로 알려졌으며, 올해는 PPMC, 자산관리를 두 축으로 해서 전체적인 그림을 그려나가기 위해 준비하고 있다.
SK텔레콤은 ITSM 등이 나름대로 잘 구축돼 있어, IT 거버넌스를 진행하는데 무리가 없을 것이라는 전망이다. 특히 최근 하나로통신을 인수한 SK텔레콤은 다시 한 번 지배구조 조정을 겪을 것으로 예상돼 지배구조 투명성 확보를 위한 IT 거버넌스 도입이 급물살을 탈 전망이다.
지난해 한국씨티은행, 국민은행, SK텔레콤, 현대중공업, 키움증권, 한국증권선물거래소, SK C&C 등 20여 곳에서 IT 거버넌스 관련 시스템 구축 작업을 완료했다고 밝혔다. 사실 이 사례들은 IT 거버넌스의 일부 영역인 프로젝트포트폴리오관리시스템(PPMS)을 도입한 사례로, 올해는 어떤 방향으로 확대될 지 관심이 집중되고 있다.
이에 대해 SK C&C는 “최근 정부와 많은 기업들이 ITA와 ITSM 도입을 완료했거나 도입 중에 있고, IT 거버넌스는 현재 도입이 활발히 논의되고 진행중에 있다. IT 거버넌스 영역 중 PPMS는 가장 성숙된 솔루션을 보유하고 있는 것으로 평가받고 있어서 IT 거버넌스에서 제일 먼저 도입되는 편이다”라고 설명했다.
PPM은 단일 프로젝트뿐만 아니라 다수의 프로젝트를 진행할 경우, 전체적인 IT 포트폴리오를 정립해 프로젝트의 우선순위를 정하고, 자원을 효율적으로 배분하며 모니터링 하는 등 전체적인 관리를 책임지기 위한 것이다.
ITA와 더불어 IT 거버넌스에서 PPM 다음으로 주목받고 있는 영역이 IT 성과 평가와 IT ROI 측정이다. ITA의 조직의 비전과 전략에 연계된 성과지표와 PPMS의 결과를 통해 IT 성과 평가와 ROI 측정이 가능해지기 때문이다.
SK C&C 한 관계자는 “현재 시점에서 중요한 부분은 각기 진행돼 온 ITA, ITSM, PPM, IT성과체계를 전체 측면에서 통합하고 조정해야 하며, 특히 각각의 솔루션에 대한 연계 또는 통합은 꼭 필요한 실정이다”고 설명했다.
한국컴퓨웨어 김응남 차장은 “지난해 시장은 100억원 정도 규모를 형성했고, 올해는 170억원 정도가 될 것으로 예상한다”며, “올해 본격적으로 프로젝트를 시작하기 위해 예산을 준비하고 있는 기업들이 많다. 특히 올해는 검증된 상태에서 안정적으로 진행하려는 추세가 강하다”고 덧붙였다.

APM·PPM 업체 합병, 시장 성장 ‘견인’
IDC는 지난 2007년 9월 발간한 ‘월드 와이드 오토메이티드 IT 프로젝트 포트폴리오 매니지먼트 소프트웨어 2007~2011 전망, 2006 벤더 점유율’ 보고서에서 2006년도 전세계 ITPPM(IT 프로젝트 & 포트폴리오 매니지먼트) 시장이 총 5억7천600만 달러 규모로 전년대비 17% 성장한 것으로 보고했다. 또 오는 2011년에는 11억 달러 규모로 성장할 것으로 전망했다. 특히 ITPPM 분야는 지난 3년간 16건의 인수합병이 있었을 정도로 인수합병이 활발하며, ALM(Application Lifecycle Management) 업체들과 PPM 업체들간의 협업이나 인수합병이 성장의 견인차 역할을 하고 있는 것으로 평가했다.
<표 3>을 보면 마이크로소프트가 개인용 프로젝트 관리 솔루션인 MS 프로젝트 제품을 기반으로 2006년도 ITPPM 시장에서 32%의 시장점유를 보이고 있으며, 그 뒤를 HP와 CA가 각각 10.8% 및 10.2%의 점유율로 뒤쫓고 있다.
한국HP 우병오 이사는 “씨티그룹의 표준인 플랜뷰를 최근 HP가 한국과 뉴욕에서 윈백했다”며, “이를 기반으로 점점 더 점유율을 늘려갈 계획이다”고 설명했다.

IT 거버넌스, 국제표준 완성 ‘눈앞’
IT 거버넌스는 IT업계는 물론 대기업들의 관심을 모으는 등 새로운 분야로 주목받고 있으며 IT업계 역시 새로운 시장으로써 IT 거버넌스에 대한 기대치를 높여가고 있다.
최근의 IT기술은 전통적인 기술 및 프로세스 관점에서 벗어나 경영의 투명성을 보장하고 기업의 실질적 ROI를 향상시킬 수 있는 전략적 도구로써의 역할을 요구받고 있다.
IT 거버넌스는 이러한 요구에 부흥하기 위해 등장했으며, IT 프로세스 환경을 비즈니스 관점의 전략적 통제 방법을 재정립하고 IT자원의 효율성을 고려한 관리 프레임워크가 출현하게 된 것이다.
미국 정보기술관리협회(IT Governance Institute)의 자료에 의하면 북미의 최고경영자(CEO) 및 중역들 중 91%가 IT가 사업성공의 전략적 필수 요소로 인식하고 있는 반면 아시아-태평양 기업들은 23%만이 중요하게 인식하고 있는 것으로 발표된 바 있다. 이미 선진국들은 자사 투자비용의 50%를 초과하고 있는 IT시스템에 대한 가치 창출(ROI)을 위해 IT 거버넌스 개념을 기업경영의 전략적 수단으로 활용하고 있는 것이다.
최근의 이러한 변화는 그동안의 단순한 IT기술 발전의 변화와는 근본적인 차이가 있는 것으로 향후 기업 또는 국가 경쟁력에 큰 영향을 미칠 것으로 보인다.
한국기술평가원은 국내외로 IT 거버넌스가 IT분야의 화두로 부상하면서 국제표준화 기술위원회(JTC1/SC7)에서도 IT 거버넌스 국제표준 제정 노력을 가속화하고 있다고 발표했다. 특히 지난 2006년 5월, IT 거버넌스와 관련된 표준의 제정 및 새로운 표준 제정을 권고하기 위해 JTC1/SC7 산하에 ICT 거버넌스 스터디 그룹을 창설했다. 이 SG(Study Group)에서는 IT 거버넌스 및 범위 정의, IT 거버넌스 표준 개발을 위한 원칙 식별, 국가별 IT 거버넌스 활동 검토, 관련 표준 검토 등의 활동을 수행한다.
특히 ICT거버넌스 SG는 2006년 10월 신속하게 국제표준을 제정하는 방식인 패스트-트랙(Fast-track)으로 상정된 호주 AS 8015 표준에 대한 논의를 진행해 현재 ISO/IEC DIS 29382 ‘Corporate Governance of Information and Communication Technology’ 단계로 이르면 올 초에 국제표준(IS)로 제정될 예정이다.
이 표준은 IT 거버넌스의 개념을 정의하기 위한 상위수준의 원칙기반의 표준으로 그 목적은 조직의 이사진이 조직의 IT 활용을 평가하고, 지휘하고, 모니터링하는데 활용할 수 있는 프레임워크를 제시하는 것이다. 제시된 프레임워크는 IT 거버넌스에 관련된 용어의 정의, 원칙, 모델, 원칙 구현을 위한 조치 등으로 구성돼 있으며 IT 활용 평가 등에 필요한 제반사항을 제시한다.
한국정보시스템감사통제협회 황경태 회장(동국대 교수)은 “ISO/IEC DIS 29382는 IT 거버넌스에 대한 정의, 원칙, 모델 등 기본적인 개념만을 정의하고 있어 실무적인 유용성은 다소 미흡하나, 현재 혼재돼 있는 IT 거버넌스의 개념을 국제적으로 통합 정의한 면에서 유용성이 높다고 볼 수 있다”며, “향후 개발 예정인 IT 거버넌스 성숙도 모델, IT 거버넌스 측정 프레임워크, IT 프로젝트 및 운영 시스템 거버넌스 등과 같은 표준의 기반이 될 수 있다는 점에서 의의를 찾을 수 있다”고 설명했다.

목적에 있어서는 같지만, 범위 및 내용 측면에서는 다르다. 기업 거버넌스의 범위가 확장되고, IT 분야에 좀 더 집중된 관리 통제체계가 IT 거버넌스다.
기업 거버넌스(Corporate Governance)는 이해관계자들의 가치를 근간으로 전략을 수립하고, 그에 따라 프로세스에 실행지침을 내려주며, 프로세스에서 자원을 사용해 업무를 수행하고, 그 결과를 측정해 보고함으로써 개선활동을 진행하거나 전략을 수정하는 프레임워크로 이해 할 수 있다
IT 거버넌스는 이사회와 경영진의 책임하에서 수행되는 엔터프라이즈 거버넌스의 일부로서 IT가 조직의 전략과 목표를 유지하고 확장할 수 있게 하는 리더십, 조직구조, 프로세스(기획-구축-운영-관리)로 구성된다. 그리고 IT 거버넌스는 조직의 전략과 목표에 부합, IT와 비즈니스 연계, 가치증대와 위험관리, IT 투자효과 극대화가 핵심 이슈이다.

데이터넷