추철호 | 제임스마틴코리아 대표컨설턴트
COBIT은 IT 활동들을 4개의 업무 도메인으로 구분하고, (그림 1)에서 보는 바와 같이 각 도메인 별로 해당 프로세스를 정의하고 있다. 즉, 계획수립과 조직화 도메인에는 10개의 프로세스, 도입과 구축 도메인에는 7개의 프로세스, 운영과 지원 도메인에는 13개의 프로세스, 모니터링과 평가 도메인에는 4개의 프로세스가 정의돼 있다.
이제 COBIT이 각 프로세스 별로 어떤 내용을 기술하고 있는지 ‘PO1 IT 전략계획 수립’ 프로세스를 예로 들어 알아보자.
프로세스 개략 설명
각 프로세스에 대해 3~6줄 정도의 개념적 설명을 제공한다. ‘PO1’에 대해서는 다음과 같이 설명되어 있다.
– 비즈니스 전략 및 우선순위에 부합하도록 IT 자원을 관리하고 통제하기 위해 IT 전략계획수립 필요.
– 비즈니스 전략과 우선순위가 포트폴리오에 반영돼야 하고, 전술계획에 따라 실행돼야 함.
– IT 전술계획은 현업과 IT가 모두 이해하고 인정하는 구체적인 목적, 계획, 과업을 설정해야 함.
정보기준과 프로세스 도메인
각 프로세스가 어떤 정보기준과 관련이 있는지를 보여 준다. (그림 2)에서 ‘P’는 primary를 의미하는 것으로, 가장 밀접한 정보기준임을 설명하는 것이다. ‘S’는 secondary를 의미하는 것이다(정보기준에 대해서는 10월호 기사 참조).
즉, ‘IT 전략계획수립’ 프로세스는 정보의 효과적 창출(effectiveness)을 위한 IT 활동이며, 그 다음으로 효율성(efficiency)에 초점을 둔다는 것이다.
IT 목표, 프로세스 목표, 활동 목표
각 프로세스가 어떤 IT 목표를 만족시키기 위한 것이며, 해당 프로세스 그 자체의 목표는 무엇인지를 명시적으로 제시하고 있다. 예를 들어, ‘PO1 IT 전략계획수립’ 프로세스의 IT 목표는 다음과 같다.
* 비즈니스 전략과 연계해 비즈니스 요구사항에 대응
* 이사회의 방향에 따라 거버넌스 요구사항에 대응
또한 프로세스 그 자체의 목표는 다음과 같이 정의돼 있다.
* 비즈니스 요구사항을 서비스로 변환하는 방법을 정의
* 서비스를 제공하기 위한 전략 수립
* IT 관련 비즈니스 투자의 포트폴리오 관리에 기여
* IT 목적과 자원에 대한 위험이 현업에 미치는 영향을 명확하게 식별
* IT 비용, 효과, 전략, 정책, 서비스 수준 등에 대한 이해와 투명성 확보
참고로 COBIT은 28개의 IT 목표를 예시적으로 <부록 I>에서 제시하고 있으며, IT 목표와 비즈니스 목표와의 연관, IT 목표와 프로세스 목표와의 관계를 제시하고 있다(온더넷 10월호 기사 참조).
또한 프로세스 목표를 달성하기 위해 구체적으로 어떤 활동을 수행하는 지를 다음과 같이 제시하고 있다.
* IT 전략계획 수립을 현재와 미래 비즈니스 요구에 연계시키는 과정에 현업과 고위관리자를 참여시킴
* 현재의 IT 역량 파악
* IT 전략계획을 IT 전술계획으로 변환
* 비즈니스 요구사항을 계량화하는 비즈니스 목적의 우선순위 결정 체계 제공
주요 메트릭
앞서 설명한 여러 목표를 어떤 방식으로 측정할 수 있는지를 설명하고 있다.
IT 거버넌스 초점 영역과 IT 자원
해당 프로세스가 IT 거버넌스의 5대 초점영역 중 어떤 영역과 관계돼 있으며, 어떤 IT 자원과 관련이 있는지를 제시하고 있다.
참고로 IT 거버넌스의 초점영역은 전략연계, 가치제공, 위험관리, 자원관리, 성과측정으로 구분하고 있다. COBIT에서 IT 자원은 애플리케이션, 정보, 인프라, 그리고 인력으로 정의하고 있다. 이런 기본개념에 대해서는 온더넷 9월호를 참조하기 바란다.
상세 통제목표
IT 통제목적이란 특정한 IT 활동에 통제 절차를 구현함으로써 달성하려는 바람직한 결과나 목적을 선언한 것이다. COBIT에서 제시하는 통제목적은 각 IT 프로세스의 효과적인 통제를 위한 최소한의 요구사항들이다.
예를 들어, ‘PO1 IT 전략계획수립’에 대한 구체적인 통제목적은 (그림 4)와 같다. COBIT의 34개 전체 프로세스에 대해 215개의 통제목적이 설정돼 있다. 즉 COBIT의 프로세스는 이런 통제목적을 달성하려는 IT 통제 프레임워크라고 할 수 있다.
프로세스 입출력
어떤 프로세스로부터 어떤 입력물을, 그리고 해당 프로세스의 출력물이 어떤 프로세스에서 사용되는지가 (그림 5)와 같이 구체적으로 정의돼 있다.
(그림 5)을 보면 ‘PO1’ 프로세스의 출력물인 IT 전략계획서와 IT 전술계획서가 ‘PO2’에서 ‘PO6’까지의 프로세스에서 사용되고 있음을 알 수 있다.
RACI 차트
COBIT의 매우 중요한 내용 중 하나가 RACI 챠트인데, RACI는 각각 Responsible(수행책임), Accountable(총괄책임), Consulted(자문), Informed(통보)을 의미한다. (그림 6)에서 보는 바와 같이 해당 프로세스의 각 활동에 대해서는 누가(부서 또는 위원회 등의 각종 조직 구성) 책임을 지고 있으며, 누구에게 정보가 통보돼야 하는지를 구체적으로 제시하고 있다.
RACI 챠트를 통해 IT 업무 관련 조직 구성이나 수행 역할 등에 대해서 상세히 알 수 있다. IT 거버넌스는 IT 관련 의사결정 체계라고 지난 9월호에 간략하게 언급한 바 있으며, 이에 대해서는 다음 호에 구체적으로 알아볼 예정이지만 (그림 6)을 통해 간적접으로도 그 내용을 엿볼 수 있다.
예를 들어 (그림 6)에서 ‘비즈니스 목표와 IT 목표의 연계’라는 첫 번째 활동은 CEO의 자문을 받아 비즈니스 부문의 임원과 CIO가 함께 수행해야 하며, CFO에게 그 내용이 통보돼야 한다. 그리고 이런 활동에 대한 최종 책임은 비즈니스 부문의 임원에게 있다는 것을 알 수 있다.
목표 대비 메트릭
앞서 설명한 IT 목표, 프로세스 목표, 활동 목표를 측정할 수 있는 메트릭과 대비시켜 놓은 것이 (그림 7)이다. 앞서 설명한 (그림 4)의 주요 메트릭은 프로세스 전체 수준에서 주요 메트릭을 열거한 것이며, (그림 7)은 구체적인 IT 목표, 프로세스 목표, 활동 목표 대비 메트릭을 정의해 놓은 것이다.
(그림 7)에서 각각의 목표는 핵심목표지표, 즉 KGI(Key Goal Indicator)에 의해 측정되며, KGI는 상위 수준의 KPI(Key Performance Indicator)가 된다. 예를 들어, 프로세스 핵심목표지표는 IT 목표에 대한 KPI가 됨을 (그림 7)에서 화살표로 그 의미를 나타내고 있다.
참고로 프로세스 입출력, RACI 차트, 목표 메트릭의 3가지를 묶어서 COBIT에서는 ‘관리지침서(Management Guidelines)’라 한다.
성숙도 모델
COBIT은 34개 IT 프로세스 각각에 대해 부재 단계(0 단계)에서부터 최적 단계(5 단계)까지 (표 1)과 같은 성숙도 속성을 제시하고 있다.
이런 성숙도 모델을 활용해 체크리스트나 설문서를 만들어 인터뷰나 설문 등을 통해 조직의 프로세스별 현재 수준을 진단할 수 있다. 뿐만 아니라, 동종 업계의 표준적인 수준이나 목표 수준을 달성하기 위해서는 무엇에 초점을 맞춰야 하는지를 판별할 수 있다.
예를 들어, ‘PO1 IT 전략계획수립’ 프로세스에 대해 표준적인 절차가 있으며, 관계자들이 모두 그에 따르고 있으나, 아직은 현업관리자의 재량에 맡겨져 있고, 이러한 활동에 대한 점검이나 그 효과가 제대로 측정되지 않는 조직이 있다고 하자. 이 조직은 3단계 수준에 머물러 있으며, 4단계를 향한 목표를 설정할 수 있다. 물론 반드시 4단계에 도달해야 하는 것은 아니며, 이는 비용 대비 효과적인 측면에서 판단해야 하는 사안이다. 즉 성숙도 모델은 역량(Capability)에 초점을 맞춘 것이지 성과(Performance)에 중점을 둔 것은 아니다.
지난 10월호에 COBIT의 외부적 특성에 대해서 살펴보았다면, 이번 호는 COBIT의 내부적인 구체적인 내용을 정리했다. 물론 34개 프로세스의 내용을 지면 관계상 나열할 수는 없지만, 본고의 전반적인 내용을 이해한다면, 참고 문헌을 통해 쉽게 파악할 수 있을 것이다.
[참고문헌]
[1] ITGI, COBIT 4.0, 2005년
[2] ITGI, COBIT Mapping; Overview of International IT Guidance, 2nd Edition, 2006
[3] 황경태, COBIT 4.0 한글판, (사)한국정보시스템감사통제협회, 2006년
Comments