회계 부정·규제 등 IT 관련 손실 요소 ‘급증’ … 명확한 프로세스 통해 기업 운영과 연계해야

박내석
한국컴퓨웨어 채널/마케팅 매니저
Raeseok.Park@compuware.com

효과적인 IT 운영(IT Governance)의 핵심 요소들은 반드시 기업의 운영(Corporate Governance)과 접목돼야만 하는가? 그렇다면 이사회 차원의 IT 감독에 대한 지원을 준비할 필요성은 무엇인가? 이 글에서는 이에 대한 해답을 찾아보는 한편, IT 운영의 정의, 기업의 운영과 IT 운영의 연계, 피해야 할 IT 운영의 함정과 같은 내용에 대해서도 세부적으로 살펴보고자 한다. <편집자>

새로운 규제들에 대응하기 위해 CEO, CFO 및 임원진들은 보다 강력한 통치 및 위험 관리를 해야 하는 게 오늘날 경영의 현실이다. 그런데 기업이 IT에 지출하는 비용 규모와 투자에 따른 전략적인 기회 및 위험을 고려한다면 최고위 의사결정 기구(이사회) 차원에서의 IT에 대한 위험 관리 및 통치 활동은 지극히 당연한 것이다. 그러나 불행하게도 IT는 대부분 이사회에서 여전히 변방에 존재하고 있다.
일부 전문가들은 이러한 상황이 결국 엔론과 같은 사태를 초래할 것이라고 경고한다. 이에 대한 해답으로서 기업 운영(Corporate Governance)과 별도로 부서 차원의 IT 운영(IT Governance)의 중요성이 강조되고 있다. CIO는 이사회에 참석해 체계화된 IT 운영의 필수 부문으로서 효과적인 의사결정과 이를 지원하는 강력한 업무 절차, 비즈니스 우선순위에 바탕한 IT프로젝트 및 시스템 포트폴리오, 효과적이고 비용 효율적인 IT부서, 직원들의 생산성 향상에 의한 강력한 의사 결정, 고객 만족, 그리고 이상의 항목들에 대한 완전한 검증 능력을 보여줘야 한다.

IT 운영의 정의
CEO나 CFO가 기업의 경영 사항을 위배할 경우에는 법적인 처벌을 받아야 하는 시기임에도 불구하고, 여전히 이사회 차원에서 IT투자 감독의 당위성은 별로 강조하지 않고 있다. 아직까지 IT는 기업의 운영 아젠다에서 소외된 영역이다. 비록 IT투자가 일반적으로 기업 자본지출의 50%이상을 차지한다고 하더라도 미국의 경우 오직 6%의 상장기업 이사회만이 IT감독위원회를 운용하고 있다.
현업 부서들에 대한 기술적 서비스는 꾸준히 확대/심화되고 IT비용지출의 이슈는 여전히 계속되고 있다. 반면 과거의 기술투자들의 성과에 의심하면서 더 이상은 현혹되지 않으려는 경영자는 기업이 IT투자로부터 얻는 가치를 측정하고 극대화하는데 집중하게 됐다. 그리고 여태까지의 IT와 관련된 거대한 손실들, 회계 부정, 신규 법률, 강화된 주식 거래 규제들을 배경삼아 기업과 기업의 위기 관리 방식 그리고 내부 통제에 대한 외부의 감시는 더욱 철저해지고 있다.
IT 운영 및 이사회 차원의 정책 제시의 취약성에 관한 최근의 예를 보면 그 필요성이 보다 분명해진다. 디즈니는 2001 회계연도에 인터넷 부문의 잘못된 의사결정으로 인해 8억7천800만달러의 결손을 겪어야만 했다. 거의 비슷한 시기에 케이마트 역시 공급자망관리 시스템의 하드웨어 및 소프트웨어 투자가 제대로 이뤄지지 못해 1억3천만달러의 손해를 입었고, 게이트웨이는 기업의 전략과 반하는 1억4천300만달러의 IT투자를 집행했다.
오늘날 CIO는 제대로 된 IT 운영을 철저하게 구현해야 할 책임을 가지고 있다. CIO가 반드시 구축해야 하는 IT 운영란 의사결정에서 성과 모니터링에 이르기까지의 제대로 된 관리라고 볼 수 있다. 그것은 이사회에서 기술위원회 등을 운영하는 것과는 별개의 문제다. 그 이유는 IT 운영이 기술투자와 IT부서의 일일 활동이 기업의 최상위 목표와 일치되고 있음을 증명할 수 있도록 CIO에게 도움을 주기 때문이다. 이상적으로는 이사회는 IT 운영 전담 그룹(IT감독위원회)을 만들어야 한다. 이 경우 CIO는 이 위원회를 지원하게 된다. 마치 CFO와 감사위원회와의 관계와 같은 것이다.
만약 이사회의 IT에 대한 고려가 불충분한 수준이라면 CIO는 이사회나 경영진 그리고 종업원, 주주들 모두를 대신해 부서 차원에서 IT 운영을 구현해야 한다. 부서 차원 IT 운영의 강한 필요성은 CIO에게는 뛰어넘어야 할 숙제인 동시에 기회다. 이것을 잘 극복한 CIO는 이사회에 자신 있게 나아가 기업의 중요한 전략적인 이슈들의 논의 과정에 적극적으로 참여하게 된다. 어떤 경우에는 다른 기업들의 이사회에까지도 도움을 주는 위치에 서게 될 것이다. IT 운영을 마스터한 CIO는 전략적인 공헌자로 본인의 위상을 높일 것이고 그 만큼 조직이나 개인의 명예도 함께 할 수 있다.

제 2의 엔론 사태 예방
월가의 애널리스트들에 의하면 나이키는 2001년에 SCM 적용을 잘 못해 4억달러의 손실을 발생시켰다. 이와 같은 중대한 실책은 투자결정, 고객관계, 프로젝트 관리, 기타 중요한 IT운영 영역에 대한 의사결정을 통치하는 프로세스로서의 IT 운영이 제대로 이뤄지지 않았을 때 엄청난 손실이 발생할 수 있음을 보여준다.
나이키/i2에 관계자로서 통합(Implementation) 과정에 참여했던 사람들에 따르면 소프트웨어가 잘못 선택됐을 가능성 때문에 투자가 원활히 이뤄지질 못한 것으로 드러났다. 이 기업은 또한 프로젝트에 투자할 IT전문가들의 유형에 대해 신중하게 고민하지 않았고, 상당수의 IT요원들이 동시에 진행되는 ERP나 CRM프로젝트에 동시 투입되고 있다는 사실을 무시했으며, 데이터 품질문제를 안고 있었다. 나이키는 IT운영의 문제가 투자결정에 영향을 끼친다는 사실을 충분히 고려하지 못한 것이다.
IT 운영 이슈는 최근의 법률 규제문제와 관련돼 제기되고 있다. IBM에 인수된 PWC의 보고서에 따르면 사베인스-옥슬리 법률 조항은 내부 통제부문까지도 포함하고 있는데 이와 관련된 사건들의 2/3는 IT와 IT 보안이 차지하고 있다. 예로부터 시스템 도입 결정의 많은 경우가 새로운 법적 규정의 이행과 관련된 것이었다.
회계 및 내부 감사 전문가들은 운영과 재무적 성과면에서의 잠재적인 영향력을 고려할 때 중요 기술의 적용은 반드시 이사회에서 검토돼야 한다고 주장한다. IT아키텍처를 복잡하게 하는 혼란스러운 레거시 시스템들을 엔론을 무너지게 만든 복잡하게 꼬아 놓은 회계 처리와 비교해, 하버드 비즈니스 스쿨의 에머리투스 리차드 놀란(Emeritus Richard Nolan) 교수는 정보시스템이 기업 부정 사건의 유발요소가 될 수 있다고 경고하고 있다. 그는 “고위 경영층은 기업을 위험으로 몰고 갈 수 있는 전략적인 정보기술 결정과 현황에 충분히 참여하지 않고 있다”고 주장한다.

체계적 기업 운영의 필요성
IT 운영이 이사회 차원의 IT 감독을 어떻게 지원해야 하는지를 검토하기 이전에 기업의 운영을 이해하는 것이 중요하다. 이사회에 주어진 책임은 관리자들을 감독하고 자문하는 것이며 주주의 이해를 대변하는 것이다.
아더 르비트(Arthur Levitt) 前 SEC 회장은 “기업의 매일 매일의 운영상의 결정은 경영진에 의해 다뤄지지만 중요한 전략적 이슈는 이사회의 참여와 승인을 필요로 한다. 그러한 이슈들은 M&A나 대형 아웃소싱 계약 그리고 일정 규모 이상의 기술 투자 등을 의미하는 것이다. 간단히 말하자면 기업의 운영은 투자자와 경영진 그리고 이사회간의 관계다”라고 말한다.
이사들은 자신들이 주주들의 돈을 감독한다는 사실에 의해 모든 판단을 내리게 된다. 그런데 그 돈의 상당 부분이 IT와 관련된 투자들이다. NACD 조사에 따르면 이사들의 주된 고려 사항은 CEO와의 관계 혹은 후계의 문제, 기업의 실적 및 가치 평가, 시스템의 신뢰성, 전략 기획 및 리스크 등이다. CEO 후계의 문제를 제외한다면 모든 이슈들이 직간접적으로 IT와 관계되는 것이다.
이사회 차원의 기술 위원회가 없을 때 IT투자의 검토를 감사위원회에서 맡을 경우가 종종 있다. 그러나 감사위원회는 새로운 규제의 영역들에 대해 더 많은 임무와 책임을 갖는 곳이다. 게다가 감사위원회는 재무, 회계, 그리고 감사 전문가들로 구성되기 때문에 전략적인 IT이슈들을 이해하는데 필요한 IT 노하우가 부족한 경우가 많을 수밖에 없다.

기업 운영과 IT 운영의 상관 관계
론 액슬러(Ron Exler) 로버트 파이낸스 그룹(Robert Finance Group)의 애널리스트는 “기업 운영과 IT 운영은 밀접하게 연관돼 있다”며 “기업 운영의 강화는 직간접적으로 IT 및 IT 운영이 갈 방향에 영향을 미친다. 나아가 기술이 사업의 핵심적인 요소가 돼 있는 시기에 IT 운영 없는 기업 운영은 불완전할 수밖에 없다”고 말한다.
IT 운영이 이사회 차원의 IT 지도와는 분명 다른 문제다. IT 운영은 CIO가 책임을 지는 것이고 이것은 부서 차원에서 수행되는 것이다. 제대로 된 IT 운영을 운용하는 부서의 CIO라면 이사회 차원의 IT위원회의 각종 요구 사항을 언제든지 만족시킬 수 있는 준비가 돼 있다고 볼 수 있다. 어떤 경우에는 IT위원회의 활동들을 적극적으로 견인해 나가게 될 것이다.
MIT의 정보시스템연구센터의 이사인 피터 웨일(Peter Weil) 교수는 효과적인 IT 운영 프레임워크를 “IT가 제공하는 가치를 밝혀낼 수 있는 유일하면서도 가장 중요한 척도”라고 강조한다.
이제 CIO에 대한 핵심 질문은 IT 운영에 대한 활동이 충분한가라는 것이다. 하버드 비즈니스 스쿨의 놀란 교수는 또한 A&P의 이사로서 이사회 차원의 IT감독위원회 결성을 돕고 있다. 놀란 교수는 모든 IT 운영 위원회가 반드시 제기해야 할 10가지의 질문을 제시한다. 그것들의 절반은 IT투자(특히 ROI)의 적합성, 부서 운영 전반의 효율성, 보안이나 비즈니스 연속성, 재난복구 등에서의 표준 절차 등에 관한 것이다. 나머지 절반은 CIO가 확인해야 하는 보다 전략적인 함축성을 갖는 것들로서 다음과 같은 항목들이다.

·기업의 지적 자산을 개발하는데 적합한 IT를 보유하고 있는가?
·기술적 퇴보를 막을 수 있도록 관리가 이뤄지고 있는가?
·IT를 활용한 사업전략적 기회를 발굴하고 실행할 수 있도록 하는 적절한 절차가 있는가?
·막대한 비용이 드는 법률적 문제를 예방하는 절차가 마련돼 있는가?
·고위 경영진에게는 IT 현황이 적절히 보고되고 있는가?

IT 운영의 성공 요소
앞서 언급한 질문 가운데 하나라도 ‘아니오’가 나온다면 그 CIO는 다시 한번 자기기업의 IT 운영 프레임워크를 돌이켜보아야 한다. 비록 IT 운영의 정확한 모델은 기업마다 다르다고 할 수 있겠지만 효과적인 프레임워크는 성공을 결정할 다음의 6가지의 영역을 커버한다.

1. 효과적인 의사결정과 강력한 업무 절차
어떤 기업에서나 IT 운영의 가장 어려운 과제는 프로세스의 명확한 정의다. 마이클 제라드(Michael Gerrard) 가트너 부사장은 CIO나 IT관리자는 IT 운영의 각 부문별 목표를 정의하는 것부터 시작해야 한다고 말한다. 그는 IT 운영의 목표가 될 가능성이 높은 몇 개의 사항을 프로젝트를 승인할 효과적 의사결정에의 도달, IT 및 비즈니스 목표와 기반한 프로젝트 우선순위의 설정, 새로운 투자의 자금 조달 방법의 결정으로 정의한다.
이러한 목표를 달성하기 위한 업무 절차는 투자결정이 영향을 미치게 되는 여러 IT운영 부문을 아우른다. 예를 들면 보안 정책, 비즈니스 연속 정책, IT아키텍처, 개발 표준, 공급자 정책, IT관리 및 자원의 중앙집중화 및 분산화, 주무 및 사용에 관한 정책과 절차 등이 여기에 해당된다.

2. 비즈니스 우선 순위와 IT프로젝트
IT프로젝트를 사업목표와 연계시키는 것의 중요성에 대해서는 충분히 인지하고 있는 사항이다. 그러나 프로젝트 관리에 많은 강조를 해도 메타 그룹에 의하면 IT부서에서 진행하는 주요 업무의 52∼75%는 프로젝트 성격의 것이 아니라고 한다. 따라서 프로젝트 포트폴리오 관리는 분명 IT 운영에서 중요한 프로세스지만, CIO들은 반드시 포트폴리오 관리 프로세스가 IT시스템 및 비 프로젝트성 업무에도 적용돼야 한다는 사실을 이해해야 한다. 그렇게 함으로써 언제 시스템이 제공하는 가치와 시스템 교체 시기 등에 대한 올바른 판단을 가져갈 수 있게 되는 것이다.
수잔 크램(Susan Cramm) 전 타코 벨(Taco Bell) CIO는 극소수의 CIO만이 그렇게 하고 있다라고 말한다. ‘운영의 전체 주기(Full-Cycle Governance)’를 주창하는 글에서 그는 CIO들이 도입된 후 수년이 경과한 프로젝트 및 시스템에 대해서도 집중을 유지할 수 있는 측정시스템을 확립하기 위한 노력을 게을리 한다고 질책하고 있다.
한편 시스템에 대한 주요 고려 사항에 대해 제라드 가트너 부사장은 IT서비스의 수요측면으로서 다음과 같이 제시한다.

·비즈니스와 IT 계획 수립의 연계 및 통합
·기업에서 IT를 위해 존재하는 모든 재무적 혹은 비재무적인 자원의 총합
·사업 부문간 IT 사용 및 자원의 할당
·IT관련 프로젝트 투자에 대한 가치의 측정 기준
·투자 대안들의 상대적 우선 순위
·투자된 프로젝트의 성과를 인식할 수 있는 정량화 및 회계화
·IT투자 예산 조달, 집행, 그리고 예산의 현업 이관 정책

3. 효과적이고 비용 효율적인 IT부서
이사회 차원의 IT감독위원회의 주요 활동을 살펴보면 IT운영을 가장 중요하게 보고 있는 것을 알 수 있다. 기업의 예산에서 IT부문의 규모는 IT부서가 어떻게 운영되고 있느냐에 좌우된다. CIO는 반드시 항상 현재의 자료와 데이터로써 부서의 효율성을 보여줄 수 있어야 한다.
탐 피셀로(Tom Pisello) 얼라이니언(Alinean) IT ROI 전문가는 IT 운영 프로그램은 IT부서와 현업간의 관계를 개선시킬 것이라고 확신한다. 그는 “일단 IT 운영이 정립된다면 CIO는 경영진과 CFO의 언어로써 말할 수 있게 되고 잃어버린 영역을 되찾을 수가 있을 것이다”라며 “이것은 계획수립이 마술로부터 ROI과학으로 옮겨가는 것이다. 이 ROI 과학은 충분히 검증되고 선도 기업에서 활용되는 것이다”라고 말한다.
4. 강력한 의사 결정
IT 운영 전문가들은 직원 개개인이 내리는 의사결정의 중요성을 역설한다. 효율적인 IT 운영에는 의사결정 책임의 할당의 문제가 포함된다. 누가 여러 IT 운영의 의사결정에 대해 책임을 가지고 있는지와 같이 말이다. 만약 IT직원들이 높은 수준의 비즈니스 목표를 지원할 의사결정을 하게 될 경우 그들의 실적에 대한 평가 또한 의사 결정의 품질에 의해 결정돼야 한다.
제라드 가트너 부사장은 IT관리자들에게 한 개인이 의사결정을 해야 하고 협업을 필요로 할 때 의사결정의 실무적인 세부사항 들에 집중하라고 충고한다. 즉, 의사결정에 필요한 정보는 무엇이고 그것들이 어떻게 커뮤니케이션되고 있는지, 그리고 이러한 절차를 매끄럽게 해야 할 IT운영 관리직원의 활동 및 책임 등을 의미한다.

5. 고객 만족
IT관리자나 직원들이 수행하는 고객 관련 활동들의 상당 부분은 요구사항의 관리 및 수행과 관계되는 것들이다. 이러한 일들은 대체로 예측이 불가능한 속성을 가지고 있어 적절한 업무 절차와 문서화가 없이는 관리 및 지침 제공이 곤란하다.
그러나 CIO가 IT 운영의 성공을 좌우할 수 있는 시스템과 프로젝트 및 전반적인 운영의 효과를 제대로 이해하기 위해서는 이처럼 측정이 어려운 정상적인 활동들을 반드시 관리하고 측정해야 한다.

6. 완전한 검증 능력
절차들은 효과적인 IT 운영을 위해 중요한 역할을 수행하고 있다. 또한 이러한 프로세스는 반드시 문서화돼야 하고 결실을 맺을 수가 있을지 지속적으로 모니터링돼야 한다.
액슬러 로버트 파이낸스 그룹 애널리스트는 제대로 된 운영이란 책임과 측정을 요구한다고 말한다. 그는 “절차 및 진행상황은 반드시 상세하게 문서화돼야 한다. 그래야만 기업 전반에 걸쳐 제기되는 이슈의 해결책에 일관성 있는 접근을 하고 있다는 것을 보여줄 수 있는 것이다. 궁극적으로 운영이란 기업이 IT투자로부터 최대한의 가치를 끌어내는데 있어 필수불가결한 요소다. IT 책임자는 개인적인 면에서나 부서적인 면에서의 신뢰성을 IT 운영의 프레임워크 안에 부여해야 하는 것이다”라고 주장한다.
가트너는 엑슬러 애널리스트의 측정과 문서화에 대한 강조에 동의한다. 가트너는 전사 차원의 IT투자의 우선 순위 설정 및 의사 결정 프로세스에 대한 문서화 및 관리는 IT 운영의 메커니즘을 보다 효율적이고 유연하게 만든다고 말한다.

성공적 IT 운영을 위한 준비 사항
IT 운영의 즉각적인 필요성과 이사회 차원의 IT지도에 대한 점증하는 압력은 CIO에게는 기분 좋은 일이면서도 위압적인 사안이다. 최고의 IT 책임자는 이사회에 참석해 보내는 시간이 많기를 바랄 것이다. 그것은 IT부서 및 CIO직책의 전략적인 위치를 보여주는 것이기 때문이다.
그러나 CIO에게 이 자리는 어려운 장소다. 마치 CFO가 감사위원회의 세부적인 문의에 답해야 하는 것과 같은 것이다. CIO는 이사회에서 제대로 발표할 수 있도록 현재 상황의 정확한 정보를 반드시 확보하고 있어야 한다. 그래서 CIO들은 IT 운영의 고급 수준의 정보들을 이사회에서 수시로 발표하게 되는 것이다.
그때 이사회 멤버들은 CIO에게 수치들이 어떻게, 왜 나왔는지 그리고 최상의 목표를 달성하기 위해 그 수치를 어떻게 개선해야 하는지를 묻게 될 것이다. 특히 CIO는 새로운 투자의 정당화를 위해 과거에 이뤄졌던 유사한 프로젝트나 시스템에 대한 투자의 가치를 면밀히 검토한 정보를 제시해야 한다. 이를 준비하기 위해 CIO는 반드시 IT에 대한 통합된 시각을 매일매일 전달할 수 있는 제대로 된 인력과 프로세스 및 기술을 확보해야 한다. CIO는 또한 IT 운영의 노력을 약화시킬 수 있는 다음과 함정들을 피해나가야 한다.

1. 지속적인 실적 모니터링의 실패
크램 전 타코 벨 CIO는 너무도 많은 기업에서 IT 운영을 일회적인 통치활동으로 잘못 취급하고 있다고 지적한다. 그는 “이런 기업에서는 IT 운영을 프로젝트 우선순위 설정 및 승인에만 초점을 두고 해당 업무 담당자만이 처리하는 단순한 체크리스트 기반의 활동이라는 1차원적인 것으로 취급한다”고 말한다.

2. 개인 실적에의 불충분한 연결
IT 운영은 개별 직원들에게 매일매일 ‘그것이 나에게는 무엇을 의미하는가’라는 질문에 답을 줘야 한다. 개별 직원들이 내리게 되는 IT 운영 결정들이 어떻게 실적과 보상에 반영되는지를 보여줘야 한다. 개별 IT직원들은 IT 운영의 원칙들을 지원하고 발전시키는 개인적인 성과의 수준에 대해 개별적인 평가를 받아야 한다.

3. 문화적 좌절
또 다른 IT 운영의 가장 흔한 장애요소는 조직적인 마찰, 부족한 커뮤니케이션, 약한 추진력 및 불필요한 절차들이다. 물론 이러한 것들은 문화적일 수도 있고 특정 이슈에 따른 것일 수도 있다.
가트너의 연구에서는 조직의 문화는 ‘운영 메커니즘의 성공과 실패에 대한 지대한 영향을 미치는 것’이라고 반복적으로 지적하고 있다. 특히 제라드 부사장은 특정 운영 목표와 의사결정 기준은 반드시 개별 IT직원에게 분명하게 명시돼야 한다고 주장한다.
그는 “IT 운영 프로세스에 참여하는 일이 왜 자신들의 관심사안인가를 제대로 이해하지 못하는 참여자는 비즈니스 목표를 달성하기 위한 툴로서 IT 운영을 활용하는 것이 아니라 따라 하는 시늉만 할 뿐이다”라고 강조한다.

운영의 취약점

IT투자는 기업의 전략, 리스크, 실적 면에서 중요한 요소다. 또한 재무재표 상에서도 중요한 위치를 차지한다. 그러나 IT는 많은 이사회의 멤버들로부터 여전히 관심 밖의 분야이기도 하다. 이사회는 미션의 중심을 전략과 리스크, 실적 면에서 경영진을 지원하는데 두면서도 소수의 선도적인 기업에서만이 IT 관련 위원회를 운영하고 있다. 다음은 美 이사협회(NACD) 조사의 이사회 산하 위원회의 보유 현황이다.

위원회 보유율
감사 98.3%
보상 94.2%
경영 51.8%
재무 22.4%
종업원 복지 및 퇴직 지원 8.9%
기술 6.1%
인사/노무관계/관리자개발 5.4%

이사회 차원의 IT감독위원회

이사회 차원의 IT위원회의 임무는 분명하다. IT투자에 대해 높은 수준의 지침을 제시하고 이들 투자 및 IT부서의 실적을 현재의 사업목표 및 전략계획에 비춰 평가하는 것이다. IT 위원회에서의 평가는 이사회에 정기적으로 보고된다. 멜론 파이낸셜(Mellon Financial)과 페덱스(FedEx)의 IT위원회의 역할을 살펴보면 그 목적이 분명하게 드러난다.

·비즈니스 및 IT 상위 관리자들이 현재 및 미래의 기술들을 최대한 활용할 수 있도록 운영 계획 및 전략 수립에서 자문 제공
·기술 투자 검토
·주요한 IT관련 프로젝트 및 기술적 아키텍처 결정에 대한 감독
·기업 전체에 걸쳐 IT부서의 성과를 모니터링해 비즈니스와 전략 목표에 효과적으로 기여하고 있는지를 확인