overview of it governance - infowebzine - 사람과 일을...
TRANSCRIPT
- 1 -
IT Governance
- 2 -
IT 거버넌스 개요
1. IT 거버넌스 소개
- 3 -
비즈니스 목표와 IT의 연계 필요성 증대
효율적 IT 투자의 필요성 : 중복 방지 및 ROI 추구
체계적 외부 규제 대응
IT 자산의 효과적 관리와 통제
거대한 IT 투자에 대한 투명성 확보
IT 운영 및 이사회 차원의 정책 제시의 취약성에 관한 사례 (Network Times 2005.2월호)
디즈니 : 인터넷 부문의 잘못된 의사결정으로 8억 7천 800만 달러 결손(2001 회계연도)
케이마트 : 공급자망관리 시스템의 하드웨어 및 소프트웨어 투자가제대로 이뤄지지 못해 1억3천만 달러 손해
나이키 : SCM 적용을 잘 못해 4억 달러의 손실 발생(2001년)
게이트웨이: 기업의 전략과 반하는 1억 4천 300만 달러의 IT투자 집행
IT 거버넌스의 필요성
- 4 -
거버넌스의 어원그리스어로서 ‘키를 잡다’라는 뜻
사전적 의미Governance
The act, process, or power of governing
Governto control and direct the public business of (a country, city, group of people, etc.)
to strongly influence the actions and conduct of
-> 거버넌스 : 다양한 행위주체들이 공동의 목표달성을 위해 상호조정 및협력을 이루어 가는 과정
[황경태(동국대학교), IT 거버넌스: 개념및이슈, 한국SI연구조합 ITA협의회–6차 Enterprise Architecture 연구회, 2004.3.17]
IT 거버넌스의 정의 (1/2)
- 5 -
IT 거버넌스는 기관 또는 연구자에 따라 다양하게 정의되고 있음
기관 또는 학자 정의
Gartner &MIT Sloan School
IT 자원을 적절하게 사용할 수 있도록 의사결정 권한과 책임 구조를명확히 정립하는 것
ITGI(IT Governance
Institute)
이사회와 경영진의 책임 하에서 수행되는 기업 거버넌스의 일부로서 IT가조직의 전략과 목표를 유지하고 확장할 수 있게 하는 리더십, 조직구조, 프로세스로 구성됨
Van GrembergenIT 전략의 개발 및 추진을 관리하고 이를 통해 비즈니스와 IT를융합시키기 위해 이사회, 경영진, IT 관리자가 추진하는 조직 기능
Ross & WeilIT infrastructure, IT 사용 및 프로젝트 관리를 포함하여 사업체에서의핵심 IT 활동에 대한 권한의 유형
Phyl Webb, Carol Pollard & Gail Ridley
IT 거버넌스는 비즈니스와 IT의 전략적 연계이며, 효과적인 IT 통제와책임성의 개발 및 유지보수, 성과 관리 그리고 위험관리를 통해 최대의비즈니스 가치를 달성함
IT 거버넌스의 정의 (2/2)
- 6 -
조직 IT 관리통제의방향과방식이근본적으로뒤바뀜을의미
과거 IT 영역은조직거버넌스대상에서벗어나있었음
IT 영역을조직거버넌스의공식적인대상으로편입
IT 통제는업무수행자가업무효율성확보를위해자체적으로부과한선택적활동
활동과통제의주체를분리하고외부적통제메커니즘을설치하여활동주체에게결과에대한책임을부과
과거 IT 통제는즉흥적(ad-hoc), 단편적(fragmented), 단위부서중심(departmental), 자의적이었음
전사적(Enterprise-wide), 체계적(systematic), 구체적(specified) 통제구조를도입
암묵적(Implicit)암묵적
(Implicit)
자체적(Internal)자체적
(Internal)
비공식적(Informal)비공식적
(Informal)
명시적(Explicit)명시적
(Explicit)
외부적(External)외부적
(External)
공식적(Formal)공식적
(Formal)
[전성현, ITA/EA 기본과정(IT 거버넌스), 한국전산원, 2004.12]
IT 거버넌스의 의미
- 7 -
기업거버넌스: 이사회와경영진들이전략적인방향제시, 목적달성, 위험관리, 조직자원의책임성있는사용검증등의과정에서수행해야할일련의책임과업무수행방법
IT Governance는기업거버넌스의일부로서기업의핵심자산중정보및 IT 자산에초점을두고있음
[MIT Sloan 경영대학원정보시스템연구소(CISR), 2003]IT 거버넌스
• IT전략위원회• IT운영위원회• IT예산프로세스• IT조직구조• 프로젝트추진위원회• SLA(Service Level
Agreement)
기업 거버넌스와 IT 거버넌스
- 8 -
1. 거버넌스를적극적으로설계하라.2. 언제재설계해야할것인가를생각하라.3. 최고경영층을참여시키라.4. 결정과선택을회피하지말라.5. 예외상황처리절차를분명히하라.6. 적절한인센티브를제공하라.7. 거버넌스의권한과책임을분명히맡겨라.8. 거버넌스장치를여러조직계층에복합적으로설계하라.9. 투명성과교육훈련을제공하라.10.조직의주요자원들에대한거버넌스메커니즘을일관되게유지하라.
IT 거버넌스 리더십의 10대 원칙
- 9 -
명확한목표설정과성과측정가능
기업의성장과자원간의균형적인투자, 자원의선택과집중고려기업의평판, 제품경쟁력및비용효율성향상중요한 IT 투자관리에대한투명성확보IT 관련위험관리및정보보호를위한체계구현기업외부환경의변화및 IT 환경변화에능동적대응지원IT 자원이현재와미래의요구사항을지원가능
IT 거버넌스 기대효과
- 10 -
IT 거버넌스 개요
2. IT 거버넌스 구성요소
- 11 -
Strategic Alignment
IT가 기업의 전략과 목표에 부합하여 비즈니스와 전략적으로 연계되어야함
Value Delivery
비즈니스 향상을 위해 IT의 가치를 제공
Performance Management
IT 사용결과에 대한 성과 측정
Resource Management
IT 자원에 대한 관리
Risk Management
IT 서비스에 내재된 위험을 관리 < IT 거버넌스의 5가지영역 >
[IT Governance-IT와비즈니스의전략적연계, 정보산업연합회, 2006.1]
IT 거버넌스 프레임워크 - ITGI
- 12 -
다양한 IT 거버넌스구조설계대안존재
① 조직의사결정구조
③ 성과평가체계
② 조정통제수단A
B
IT 거버넌스 구조 설계의 축
- 13 -
IT 관련주요의사결정
IT principles비즈니스에있어 IT가어떻게활용될것인가에대한 High-level description
IT architecture바람직한비즈니스적, 기술적표준화및통합을달성하기위한 Data, Application, Infrastructure의구성로직 (정책, 관계, 기술적대안으로표현됨)
IT infrastructure기업의 IT Capability에있어기초가되는서비스를어떻게제공할것인지에대한의사결정
Business application needs구입하거나내부적으로개발해야할 IT applications에대해비즈니스요구사항을어떻게기술할것인지에대한의사결정
IT investment and prioritization어떤 IT 과제에얼마나많은투자를할것인지에대한의사결정 (과제에대한승인및 justification 기술을포함함)
IT 거버넌스 구조 설계의 축
①의사결정 메커니즘 (1/4)
- 14 -
의사결정의주체(Archetype)
Business monarchy(경영진주도형)경영진으로구성된집단(CIO 포함가능)이나개별적인비즈니스경영진이주도하는형태
IT monarchy(IT주도형)개별 IT관련임원(Executives) 또는 IT관련임원의집단이주도하는형태
Feudal(사업부주도형)비즈니스조직의리더와핵심프로세스의오너또는대리인이주도하는형태
Federal(연방형)기업의중앙부서와사업부책임자(경영진또는리더)가동일한권한으로참여하는형태
IT duopoly(복점형)반드시 IT 조직의임원이포함되며비즈니스조직의경영진또는리더가참여하는형태
Anarchy(무질서형)개별적인 IT 사용자들이주도하는형태
IT 거버넌스 구조 설계의 축
①의사결정 메커니즘 (2/4)
- 15 -
거버넌스 Arrangement Matrix의사결정의영역(Domain), 주체(Archetype), 메커니즘을 Arrangement Matrix에표현하여 IT Governance 현황을파악하거나기업간비교에이용함
Domain
Archetype
ITPrinciples
ITArchitecture
ITInfrastructure
Strategies
BusinessApplication
Needs
ITInvestment
Input Decision Input Decision Input Decision Input Decision Input Decision
BusinessMonarchy
• IT 경영위원회
• IT 경영위원회
• CIO
ITMonarchy
• 아키텍처사무국
• CIO• IT 리더
• CIO• IT 리더
Feudal
Federal• CIO• IT 리더• IT 조직
• 아키텍처사무국
• IT 조직• Biz 리더
• 예산
• SLA• IT 리더
Duopoly • Biz 리더• IT 리더
AnarchyDon’t Know
예시
IT 거버넌스 구조 설계의 축
①의사결정 메커니즘 (3/4)
- 16 -
의사결정메커니즘교훈
모든 IT 의사결정에대한 Input은 Federal 형태가최적이다.
반면연방형(Federal)은본사와사업부의근원적갈등을극복하고전체적조화와균형을찾을수있을만큼조직이성숙되어있지않는경우는가급적피하는것이좋다.
IT Principles 및 Investment 의사결정은 IT와비즈니스복점형(IT Duopoly)이좋다.
IT Investment, Principles, Business Application Needs등주로비즈니스관련의사결정은비즈니스와 IT를같이참여시키는 joint 의사결정형태가효과적이다.
IT 거버넌스 구조 설계의 축
①의사결정 메커니즘 (4/4)
- 17 -
경영목적달성을위한기업의정보및 IT 자원을계획및조직, 도입및구축, 운영및지원, 모니터링의 4개영역으로나누어대상프로세스, 경영요구사항, 통제설명, 통제실무등을제시함(ISACA/ISACF)
계획및조직
도입및구축
모니터링
운영및지원
정보정보정보
IT 자원IT IT 자원자원
경영목적경영목적경영목적
–효과성–효율성–기밀성–무결성–가용성–준거성–신뢰성
–인력–응용시스템–기술–시설–데이터
•• 전략적전략적 IT IT 계획계획 정의정의•• 정보정보 아키텍처아키텍처 정의정의•• 기술기술 발전발전 방향방향 결정결정•• IT IT 부서와부서와 타타 부서의부서의 관계관계정의정의
•• IT IT 투자투자 관리관리•• 경영진의경영진의 관리관리 목표목표 및및방침전파방침전파
•• 인력인력 자원자원 관리관리•• 외부외부 요건의요건의 준수준수•• 위험위험 평가평가•• 프로젝트프로젝트 관리관리•• 품질관리품질관리
•• 솔루션솔루션 도출도출•• 응용소프트웨어응용소프트웨어 구입구입 및및유지보수유지보수
•• 기술기술 아키텍쳐아키텍쳐 구입구입 및및유지보수유지보수
•• IT IT 절차절차 개발개발 및및 유지보수유지보수•• 시스템시스템 설치설치 및및 인가인가•• 변경변경 관리관리
•• 서비스서비스 수준수준 정의정의•• 외주업체외주업체 서비스서비스 관리관리•• 성능성능 및및 용량용량 관리관리•• 서비스의서비스의 지속성지속성 확보확보•• 시스템의시스템의 보안성보안성 확보확보•• 비용산정비용산정 및및 배분배분•• 사용자교육사용자교육 및및 훈련훈련•• IT IT 고객의고객의 지원지원 및및 자문자문•• 형상관리형상관리•• 문제문제 및및 사고관리사고관리•• 데이터데이터 관리관리•• 시설관리시설관리•• 운영관리운영관리
•• 프로세스프로세스 모니터링모니터링•• 내부통제의내부통제의 적절성적절성 평가평가•• 독립적인독립적인 인증인증 획득획득•• 독립적인독립적인 감사시행감사시행
정보기준
IT 프로세스
IT 자원
인
력
응용시스템
기
술
시
설
데이터업무영역(4개)
프로세스(34개)
활동/작업(318개)
품질
주주에
대한수탁
책임
보안
34개상위 IT 통제목적에대해서설명하고, 각통제목적에의해서영향을받는정보및 IT 자원에대한경영상의요구사항을제시
프로세스별로통제대상 IT 프로세스, 경영상의요구사항, 통제에대한설명, 통제실무, 충족되는정보기준, 관계되는 IT자원으로구성
IT 거버넌스 구조 설계의 축
② 조정통제 수단 – COBIT 프레임워크 (1/3)
- 18 -
34개프로세스에대해서다음사항제시Maturity Model
0-5 단계의성숙 levelCSF (Critical Success Factor)
IT 프로세스의목표/성과달성에중요한사항KPI (Key Performance Indicator)
IT 프로세스의수행정도 (How)KGI (Key Goal Indicator)
IT 프로세스의목표달성도 (What)
[황경태(동국대학교), IT 거버넌스: 개념및이슈, 한국SI연구조합 ITA협의회-6차 Enterprise Architecture 연구회, 2004. 3.17]
IT 거버넌스 구조 설계의 축IT 거버넌스 구조 설계의 축
② 조정통제 수단 – COBIT 프레임워크 (2/3)
- 19 -
주요내용
Control Statements
Control Practices
is enabled by
and considers
IT Processes
The control of
Business Requirements
which satisfy
Process Descriptione ffe
c tive n e s s
e f fic ie nc y
con fid
e n tial it
y
inte g ri t
y
a v a ilab i li t
y
com
p l ian ce
relia
bi lity
S PS P
peop
le
appli
cation
s
techn
ology
facilit
ies
data
Critical Success FactorsCSFh
h
h
h
h
h
KGI’shhhh
KPI’shhhh
InformationCriteria
Resources
00 - Management processes are not applied at all
11 - Processes are ad hoc and disorganised22 - Processes follow a regular pattern33 - Processes are documented and
communicated44 - Processes are monitored and measured55 - Best practices are followed and
automated
Maturity Model
[황경태(동국대학교), IT 거버넌스: 개념및이슈, 한국SI연구조합 ITA협의회-6차 Enterprise Architecture 연구회, 2004. 3.17]
IT 거버넌스 구조 설계의 축IT 거버넌스 구조 설계의 축
② 조정통제 수단 – COBIT 프레임워크 (3/3)
- 20 -
정렬(Alignment) 프로세스
효과적 IT 거버넌스를위한의사결정프로세스설계비즈니스-IT 정렬(Alignment) 확보가궁극적목표Ensure effective input to and implementation of the decisions
주요프로세스
IT 투자승인(IT Investment Approval Process)아키텍처예외상황처리(Architecture Exception Process)서비스레벨설정(Service-Level Agreement)IT 서비스요금부과(Chargeback)프로젝트관리(Project Tracking)IT 비즈니스가치실현추적(Formal Tracking of Business Value from IT)
[전성현, ITA/EA 기본과정(IT 거버넌스), 한국전산원, 2004.12]
IT 거버넌스 구조 설계의 축
② 조정통제 수단 – IT 거버넌스 프로세스 (1/2)
- 21 -
커뮤니케이션프로세스
IT 거버넌스관련정보를조직내공지, 전파, 홍보, 설득이를통해거버넌스이해당사자들로부터최대한참여를유도
거버넌스관련커뮤니케이션이많으면많을수록효과적거버넌스가이루어짐
내용최고경영층공표(Senior Management Announcement)공식위원회구성(Formal Committees)CIO Office 혹은 IT 거버넌스 Office 설치비협조자설득(Working with Nonconformists)웹기반포탈
[전성현, ITA/EA 기본과정(IT 거버넌스), 한국전산원, 2004.12]
IT 거버넌스 구조 설계의 축
② 조정통제 수단 – IT 거버넌스 프로세스 (2/2)
- 22 -
필요성
IT 부문의성과측정을통해 IT 가치를이해관계자들에게효과적으로전달하고커뮤니케이션해야함
IT 부문의성과를 KPI(Key Performace Indicator) 등으로측정하여 IT 프로세스자체의성과및경영적인성과를측정하고 BSC 등의기법을통해전반적으로 IT의성과를모니터링하는것이필요
[IT Governance-IT와비즈니스의전략적연계, 정보산업연합회, 2006.1]
IT 거버넌스 구조 설계의 축
③ 성과평가 체계 (1/4)
- 23 -
IT-BSC를이용한 IT 거버넌스성과평가
[Wim Van Grembergen, Measuring and Improving IT Governance Through the Balanced Scorecard]
< IT 거버넌스 Scorecard 관점과 Cause-and-effect 관계 >
IT 거버넌스 구조 설계의 축
③ 성과평가 체계 (2/4)
- 24 -
IT 거버넌스 구조 설계의 축
③ 성과평가 체계 (3/4)
- 25 -
IT 거버넌스 구조 설계의 축
③ 성과평가 체계 (4/4)
- 26 -
1. 모든거버넌스메커니즘은단순, 투명, 적절하게설계되어야한다.2. 메커니즘들간상호연계성을고려해서설계한다.3. 의사결정구조, 정렬프로세스, 커뮤니케이션방식은같이설계되어야한다.4. 의사결정구조는가능한단순화시켜야한다.5. 의사결정의책임은의사결정구조보다는정렬프로세스를통해배분시킨다.6. 비즈니스와 IT의간격을줄이고비즈니스가 IT 의사결정에공히참여하도록한다.7. 본사와사업부여러계층에복수의거버넌스메커니즘을설치한다.8. 거버넌스의권한과책임을분명히한다.9. 성과평가의분명한기준과지표를개발한다.10.선택과결정을피하지않으며조직의핵심가치및목표와연계해서설계한다.11.거버넌스는진화함을잊지말라. 수시로선도기업을벤치마킹하라.
[전성현, ITA/EA 기본과정(IT 거버넌스), 한국전산원, 2004.12]
거버넌스 메커니즘 설계 원칙
- 27 -
[윤의석(넥스젠테크놀러지), IT Governance와 ITA 연관성및활용방안, 2006.4.25]
IT 거버넌스실현에는 ITA를비롯한다양한솔루션구축이수반됨
IT 거버넌스 솔루션
- 28 -
IT 거버넌스 개요
3. IT 거버넌스와 EA 거버넌스
- 29 -
IT Governance는기업이경쟁우위성구축을목적으로 IT전략의설정/실행을관리통제하고바람직한방향으로이끌어나가는조직능력, IT전략을설정한다거나실행하는능력, 조직/체제, 관리프로세스등전체를포함함
일반적으로 IT Governance는「조직」,「Management Process」, 「표준」3가지요소를사용하여 IT 전략을입안·운용함
EA는비즈니스전략에대한일치화를지향함
EA는 IT Governance와같이 Principle, Standard, 평가 Criteria 라는「표준」을사용함. 아키텍처관리프로세스나아키텍처리뷰보드(ARB)라는명칭의「관리프로세스」와「조직」을가지고있음. 이것에「아키텍처모델」과「아키텍처이행계획」을추가하고 IT 전략의입안·운용을지탱하는 PDCA Cycle을확립하면 EA 체계그자체가됨
[EA 기반 IT Governance-IT 표준정립및활용, 제13기 EA 전문가양성과정 . 한국SI연구조합 EA협의회, 2005.5]
IT 거버넌스와 EA의 관계 (1/2)
- 30 -
EA가구축되면 IT 거버넌스의베이스라인은 EA 정보가되어야함
[이석(2e Consulting), EA 고도화를위한 EA 활용전략, EA Conference 2005 –한국EA협의회, 2005. 10. 6]
IT 거버넌스와 EA의 관계 (2/2)
- 31 -
IT 거버넌스와 EA 거버넌스의관계
EA 거버넌스아키텍처의구축, 활용및지속적유지관리를위한체계
IT 거버넌스전사적아키텍처를포함하여IT 기획부터개발·운영및평가에이르는 IT 활동전반에걸친의사결정및관리체계
IT Governance
IT 조직IT 조직 IT 프로세스IT 프로세스 IT 역량IT 역량
IT비전IT비전
EA Governance
전사적아키텍처
EA 조직EA 조직 EA 운영관리절차
EA 운영관리절차 EA 역량EA 역량
IT 거버넌스와 EA 거버넌스