정보기술의 기업지배구조

이 글은 검증을 위해 인용구가 추가로 필요하다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선할 수 있도록 도와주십시오. 공급되지 않은 재료는 도전하여 제거할 수 있다. 출처 찾기: "정보기술의 기업지배구조" – 뉴스 · 신문 · 도서 · 학자 · JSTOR (2022년 1월) (이 템플릿 메시지 삭제 방법과 시기 학습)

이 글은 일반적인 참고문헌 목록을 포함하고 있지만, 그에 상응하는 인라인 인용구가 충분하지 않기 때문에 대체로 검증되지 않은 상태로 남아 있다. 좀 더 정밀한 인용구를 도입하여 이 기사를 개선할 수 있도록 도와주십시오. (2022년 1월) (이 템플릿 메시지를 제거하는 방법과 시기 알아보기)

정보기술(IT) 거버넌스는 정보기술(IT)과 그 성과 및 리스크 관리에 초점을 맞춘 기업 거버넌스의 부분집합이다. IT 거버넌스에 대한 관심은 조직의 전략적 목표에 가치 창출 노력을 집중하고, 모든 이해당사자들의 최선의 이익을 위해 이 가치를 창출할 책임이 있는 사람들의 성과를 더 잘 관리해야 하는 조직 내에서의 지속적인 필요성 때문이다. 과학경영의 원칙, 총품질관리 원칙, ISO 9001 품질관리 체계에서 발전했다.

역사적으로 이사회 수준의 임원들은 회사의 IT 관리 및 비즈니스 리더에게 주요 IT 결정을 보류했다. IT 관리를 책임지는 사람들의 단기 목표는 적절한 감독이 확립되지 않는 한 다른 이해관계자들의 최선의 이익과 상충될 수 있다. IT 거버넌스는 이사회, 경영진, 직원, 고객, 지역사회, 투자자 및 규제자 등 모든 사람을 체계적으로 참여시킨다. IT 거버넌스 프레임워크는 정보 및 관련 기술의 사용을 감독하는 메커니즘을 식별, 확립 및 연계하여 가치를 창출하고 정보 기술 사용과 관련된 리스크를 관리하는 데 사용된다.

IT 거버넌스에 대한 다양한 정의가 존재한다. 비즈니스 세계에서는 성과를 관리하고 가치를 창출하는 데 초점을 맞춘 반면, 학계에서는 "IT 활용에 있어 바람직한 행동을 장려하기 위한 의사결정권과 책임 프레임워크의 구체화"^[1]에 초점을 맞추고 있다.

IT 거버넌스 연구소의 정의는 "… 조직의 IT가 조직의 전략과 목표를 지속하고 확장하도록 보장하기 위한 리더십, 조직 구조 및 프로세스"이다.^[2]

AS8015, 호주 정보통신기술 기업지배구조 표준(ICT)은 ICT 기업지배구조를 "ICT의 현재와 미래의 이용이 지시되고 통제되는 시스템"으로 정의한다. 조직을 지원하기 위한 ICT 이용 계획을 평가·지휘하고, 계획을 달성하기 위해 이 이용을 감시하는 것을 포함한다. 조직 내에서 ICT를 이용하기 위한 전략과 정책을 포함한다."

배경

정보기술 거버넌스의 규율은 1993년에 기업 거버넌스의 파생상품으로 처음 등장했으며, 주로 조직의 전략적 목표, 사업 목표 및 조직 내 IT 관리 사이의 연결을 다룬다. 최고정보책임자나 사업관리책임자보다는 정보 및 관련 기술의 이용에 대한 가치 창출과 책임의 중요성을 강조하고, 관리주체의 책임을 확립한다.

정보 기술(IT) 거버넌스의 주요 목표는 (1) 정보 및 기술의 사용이 비즈니스 가치를 창출하고, (2) 경영진의 성과를 감독하며, (3) 정보 및 기술 이용과 관련된 리스크를 완화하는 것이다. 이는 위원회 수준의 방향을 통해 수행될 수 있으며, 전략 목표의 성공적 달성에 영향을 미치는 의사결정에 대한 책임을 명확히 하고, 오르가(Orga)와 연계될 수 있는 프로세스 결과의 명확히 정의된 프로세스에서의 활동을 조직하여 우수 사례를 제도화한다.국정화의 전략적 목표

1980년대 기업지배구조의 실패에 이어 1990년대 초 많은 국가가 기업지배구조 코드를 제정했다.

• 트레드웨이 위원회(미국) 후원 기구
• 캐드베리 보고서(영국)
• 킹 리포트(남아공).

기업 자원의 지렛대를 보다 잘 관리하기 위한 이러한 기업 지배구조 노력의 결과, 정보의 역할과 좋은 기업 지배구조를 뒷받침하는 기반기술에 대해 구체적인 관심을 기울였다. 정보기술이 기업지배구조의 원동력일 뿐만 아니라 자원으로서 더 나은 지배구조가 필요한 가치창업자임을 곧 인식하게 되었다.

호주에서는 2005년 1월에 정보통신기술(ICT)의 AS8015 기업지배구조가 발표되었다. 2008년 5월에 ISO/IEC 38500으로 채택된 패스트트랙이다.^[3]

IT 거버넌스 프로세스는 전략에 따라 IT 리소스 및 프로세스를 엔터프라이즈 목표에 직접 연결하도록 한다. IT 거버넌스의 성숙도 곡선과 IT의 전반적인 효과 사이에는 강한 상관관계가 있다.

문제

IT 거버넌스는 종종 IT 관리, 컴플라이언스 및 IT 제어와 혼동된다. 이 문제는 거버넌스와 컴플라이언스 사이의 연계를 설정하는 "거버넌스, 리스크 및 컴플라이언스(GRC)"와 같은 용어로 인해 증가한다. IT 거버넌스의 주요 초점은 조직의 관리 기구에 의해 순위가 설정되는 다양한 이해관계자를 대신하여 IT 자원의 관리 책임이다. IT 거버넌스를 설명하는 간단한 방법은 IT 리소스의 활용을 통해 달성해야 할 사항이다. IT 관리는 「IT 자원의 활용을 기획·정리·지도·통제하는 것(즉, 방법)」에 관한 것이지만, IT 거버넌스는 지배하는 자가 제시하는 방향에 근거해 이해관계자의 가치를 창출하는 것이다. ISO 38500은 회사 이사들이 사용할 모델을 설명함으로써 IT 거버넌스를 명확히 하는 데 도움을 주었다.

이사가 이러한 책임에 책임이 있지만, 기대되는 성과를 달성하는 데 필요한 역량을 개발할 것으로 예상되는 경영진(비즈니스 및 IT)에게 이 책임을 위임하는 것은 드문 일이 아니다. 리스크 관리 및 컴플라이언스 보장이 훌륭한 거버넌스의 필수적인 구성요소인 반면, 주요 초점은 가치 제공 및 성과 관리(즉, "거버넌스, 가치 제공 및 성과 관리"(GVP)에 있다.

프레임워크

정보 기술(IT) 거버넌스 구현에 유용한 지침이 될 수 있는 지원 참고 문헌이 꽤 있다. 그 중 일부는 다음과 같다.

• AS8015-2005 호주 정보통신기술 기업지배구조 표준. AS8015는 2008년 5월에 ISO/IEC 38500으로 채택되었다.
• ISO/IEC 38500:2015 (AS8015-2005에 매우 밀접하게 기초) 정보 기술의 기업지배구조에서는 ^[4]조직의 IT 이용에 관한 법률, 규제, 윤리적 의무를 최고 수준의 조직에서 이해하고 이행할 수 있도록 지원하는 효과적인 IT 거버넌스의 프레임워크를 제공한다. ISO/IEC 38500은 공공 및 민간 기업, 정부 기관, 비영리 단체 등 모든 규모의 조직에 적용된다. 이 표준은 조직 내에서 정보 기술(IT)의 효과적, 효율적, 허용 가능한 사용에 관한 조직의 이사들에게 지침 원칙을 제공한다.
• 코빗은 세계 최고의 IT 거버넌스 및 제어 프레임워크로 평가받고 있다. COBIT는 일반적으로 조직에서 발견되는 37개의 IT 프로세스의 참조 모델을 제공한다. 각 프로세스는 프로세스 입력 및 출력, 주요 프로세스 활동, 프로세스 목표, 성과 측정 및 완성도 모델과 함께 정의된다. ISACA는 COB를 발행했다.「기업 IT의 거버넌스·경영을 위한 비즈니스 프레임워크」로서 2019년 IT2019. COBCOB를 대체하는 IT2019 통합그 자체가 COBIT 4.1, Val IT, Risk IT를 TOGAF 및 ITIL과 연계되고 상호운용 가능한 엔터프라이즈 프레임워크의 역할을 하는 단일 프레임워크로 대체한 IT 5.
• IGPMM- 정보 거버넌스 프로세스 성숙도 모델은 정보 가치, 비용 및 리스크 관리를 식별하고 개선하는 데 도움이 되는 22개 프로세스를 성숙시키는 데 달려 있다. CGOC는 2017년 3월 IGPMM을 업데이트했다.^[6] 이 프로세스는 법률, 기록 정보 관리(RIM), 개인정보 보호 및 보안, 사업부 및 IT 부문을 포함한 주요 정보 이해당사자들의 요구를 반영한다. 각 비즈니스 프로세스의 성숙도는 다음 4단계로 이동한다.
  • 1단계: 임시 및 불일치
  • 2단계: 사일로 및 수동
  • 3단계: 사일로 처리, 일관성 및 계측
  • 4단계: 통합, 계측 및 최적화

다른 프레임워크에서는 IT 관리 및 IT 거버넌스 프로세스에 대한 부분적인 관점을 제공한다.

• CMM - Capability Maintency Model: 소프트웨어 엔지니어링에 집중
• ITIL - IT 서비스 관리에 집중
• ISO/IEC 20000 - IT 서비스 관리에 집중
• ISO/IEC 27001 - 정보 보안 관리에 집중
• ISO/IEC 27005 - 정보 보안 위험 관리에 집중
• ISO/IEC 29148 및 IREB - 요구사항 엔지니어링에 집중
• ISO/IEC 29119 및 ISTQB - 소프트웨어 테스트에 집중

비 IT 전용 사용 프레임워크에는 다음이 포함된다.

• PRINE2 및 PMBOK - 프로젝트 관리에 집중
• ISO 22301 - 비즈니스 연속성에 중점을 촛점
• BSC(균형화된 스코어카드) - 다양한 영역에서 조직의 성과를 평가하는 방법
• Six Sigma - 품질 보증에 집중
• TOGAF(Open Group Architecture Framework) - 비즈니스와 IT를 조정하여 유용한 프로젝트와 효과적인 거버넌스를 실현하는 방법론

프로페셔널 인증

• 기업정보기술 거버넌스(CGEIT) 인증은 ISACA가 2007년에 만든 인증이다. 5년 이상의 경험을 입증할 수 있는 숙련된 전문가를 위해 설계되었으며, 기업 차원에서 IT의 거버넌스 및 제어에 초점을 맞춘 관리 또는 자문 역할을 담당한다. 또한 기업 IT 관리에 대한 지원자의 이해를 평가하기 위해 고안된 4시간 시험을 통과해야 한다. 첫 시험은 2008년 12월에 열렸다.
• COBIT5 기초, COBITIT5 평가자 및 COBIT5 이행은 ISACA가 2012년에 만든 인증이다.

참고 항목

• 컴퓨터 보안
• 데이터 거버넌스
• 엔터프라이즈 아키텍처
• 정보 거버넌스
• IT 포트폴리오 관리
• 프로젝트 거버넌스
• 서비스 거버넌스

참조

추가 읽기