[CISA 이론 정리 - 1장] 3. 통제 모형 (2/2)

2) IT 통제 모형

(1) COBIT 5.0 구조

COBIT(Control Objective for Information and related Technology)은 ISACA(Information Systems Audit and Control Association)이 제정한 IT 거버넌스, 관리, 통제 및 감사를 위한 모형으로서 5.0이 최신 버전이다.

COBIT 5.0은 IT 목표를 기업 목표 및 성공 요인(enabler) 목표와 연결한다. 

다양한 차원의 목표 그리고 목표 간 연관 관계를 다음과 같이 모형화할 수 있다.

(2) IT 거버넌스 및 경영의 성공 요인

원칙/정책/프레임워크

• 원칙/정책/프레임워크는 IT 거버넌스와 관리의 기본 규칙을 규정하며 조직의 문화와 윤리적 가치를 반영해야 한다.

• 원칙(Principle): 조직의 핵심 가치를 간명하게 정의한다.

• 정책(Policy): 원칙을 적용하는 방법을 좀더 자세히 안내한다.

프로세스

• 프로세스: 입력물을 가공하여 산출물을 생산하는 실무들의 집합이다.

• 프로세스는 정책과 절차(procedures)에 맞게 수행해야 한다.

• COBIT은 37개의 개괄적 IT 거버넌스 및 경영 프로세스를 제시한다.

조직 구조

• IT 거버넌스 및 경영 원칙을 반영한 조직 운영 원칙이 있어야 한다.

• 조직을 구성할 때는 구성원의 스킬셋이 적합한지 고려해야 한다.

• 조직 구성원의 책임, 권한 수준, 이관 절차 등을 명확히 정의해야 한다.

• 조직 구조의 효과성/효율성은 문화/윤리/행동양식의 영향을 받는다.

문화/윤리/행동

• 문화/윤리/행동이란 기업 내 다양한 행동의 집합을 통칭한다.

• 개별 행동이 모여서 문화를, 기업 활동의 가치관이 윤리를 결정한다.

• 고위 경영진이 모범을 보여야 하며 바람직한 행동을 고무해야 한다.

정보

• 정보의 순환 사이클은 ‘데이터-정보-지식-가치’이다.

• 정보의 가치는 실제로 사용되거나 외부에 판매되었을 때 실현된다.

• 정보는 내용 외에 표현 매체, 사용자 인터페이스, 형식 등도 중요하다. 

• IT(정보 및 관련 기술) 투자는 비용 효과 분석에 근거해야 한다.

서비스/기반구조/응용

• 서비스/기반구조/응용은 서비스 제공 능력을 결정한다.

• 서비스 제공 능력을 구현하는 데 적용할 최상위 원칙이 있어야 한다.

• 서비스 구성 요소에 대한 정보를 정의하고 유지 관리해야 한다.

• 서비스 제공자가 달성해야 할 서비스 수준을 정의해야 한다.

사람/스킬/숙련성

• 역할 수행에 필요한 교육, 자격, 스킬, 경험, 지식, 행동 등과 관련된다.

• 각 역할별로 객관적인 스킬 세트 요구사항을 정의해야 한다.

• 매년 조직의 인적 자원을 평가하여 인적 자원 개발에 활용해야 한다.

• 숙련성의 현재 수준과 요구 수준을 분석하고 보완해야 한다.

(3) 성공 요인의 공통 속성

7가지 성공 요인들은 공통적으로 다음과 같은 4가지 속성 차원 및 관리 영역을 가진다.

(4) 프로세스 성숙도 평가(Process Maturity Evaluation)

COBIT 5.0은 BSC(Balanced Score Card) 개념을 적용하여 성공 요인의 성숙도를 측정한다.

평가 결과는 프로세스의 수준은 크게 6가지이다.