[CISA 이론 정리 - 2장] 01 기업 거버넌스와 IT 거버넌스 (2/2)

2. 기업 거버넌스(조직 거버넌스)

(1) 이사회, CEO, 고위 경영진(senior management)

① 조직의 창립자 또는 주주들은 이사(director)들을 선출하여 조직 경영을 위탁한다.

② 선출된 의장(chairman) 및 이사들이 이사회(BOD: Board of Directors)를 구성한다.

③ BOD는 CEO(Chief Executive Officer)와 고위 경영진의 선임/성과 평가/해임 등을 결정한다.

④ BOD는 CEO와 고위 경영진 또는 CXO(COO, CFO, CTO, CRO, CIO, CISO 등)가 경영 및 통제 책임을 성실히 이행하는지 감시한다.

⑤ CEO와 고위 경영진의 도움을 받아 기업의 비전을 달성하고 성과를 증명한다.

⑥ CEO와 고위 경영진이 건실한 통제/보안 시스템을 설계하고 운영하는지 확인한다.

⑦ 고위 경영진은 담당한 부서의 총괄 책임자로서 일상 업무에 대한 궁극적 책임을 가진다.

⑧ 고위 경영진은 운영 담당자들을 채용/관리한다.

(2) BOD의 역할과 책임

① BOD는 CEO 및 고위 경영진의 선발/해임, 급여 결정, 성과 평가를 한다.

※ 이사회(BOD)는 governance body 또는 governing body라고 부르기도 한다.

② 기업의 미션(=존재 이유), 가치관, 비전(=장기 목표)을 결정한다.

③ 전략적 방향과 정책을 제시하고 경영 활동을 감시한다.

④ 경영진의 전략 계획을 검토하고 실행을 감시한다.

⑤ 기업의 연간 운영 계획과 예산, 재무제표와 재무 보고 내용을 검토하고 승인한다.

⑥ 기업의 윤리 표준 및 준법 현황을 검토한다.

⑦ 기업 위험 관리를 감독하고 감사 부서 최고 관리자를 선임한다.

⑧ 준법 위원회, 감사 위원회 등 산하의 위원회를 설립하고 활동을 감독한다.

(3) 기업 거버넌스(Enterprise Governance 또는 Corporate Governance)

① 기업 거버넌스란BOD가 조직을 지휘, 감시,평가하는 시스템이다.

※ 기업 거버넌스는 ‘기업 지배 구조’로 번역하기도 한다.

지휘(Direct)

• 거버넌스는 조직의 비전과 전략적 방향을 제시하는 최상위 활동이다.

• BOD는 조직의 미션, 비전, 이해 관계를 고려하여 조직을 지휘한다.

감시(Monitor)

• 조직 활동과 의사 결정의 적법성/윤리성을 최상위 수준에서 검토한다.

• 조직 목표 및 이해관계자들의 권리와 이해와 상충하는지 확인한다.

평가(Evaluate)

• 조직의 운영 성과가 제시한 비전 및 목표와 부합하는지 평가한다.

• 필요한 조치 및 조정 사항을 파악하여 추후 지휘 활동에 반영한다.

② BOD가 주주들을 대신하여 조직을 이끌어 가는 수단이다.

③ 따라서 BOD는 당연히 주주들의 권리를 대변하고 관심 사항을추구할 것이다.

④ 하지만 BOD는 주주 외에도다양한 이해관계자들의 이해 관계를 중재할 책임이 있다.

⑤ 기업 거버넌스가 건실하려면 BOD가 SD 및 CSR과 같은 가치관을 적극 지지해야 한다.

⑥ 또한,CEO가 BOD의 의장을 겸임하지 않는 것이 권장된다.

(4) 기업 거버넌스, 경영, 운영의 관계

① 거버넌스의 궁극적 책임은 BOD에게 있지만 경영(management)의 궁극적 책임은 고위 경영진에게 있다.

② 거버넌스는 비전과 전략 및 전략적 방향을 제시하지만 경영은 비전과 전략을 실천한다.

③ 거버넌스는 경영을 감시하고 경영은 운영을 계획/실행/감시하고 성과 책임을 진다.

④ 운영(Operation)은 날마다 반복적으로 수행되는 일상적 활동을 통칭한다.

⑤ 운영 계획과 실행은 중간 관리자 및 일선 실무자들의 책임이다.

3. IT 거버넌스

(1) 의의

① IT거버넌스는 기업 거버넌스의 일환이며 따라서 BOD에게 궁극적 책임이 있다.

※ ISACA는 기업 IT 거버넌스(GEIT: Governance of Enterprise IT)라는 표현을 사용한다.

② IT거버넌스는 IT의 전략적 방향과 비전을 제시하고 경영진이 이를 달성하는지 감시한다.

③ 다시 말해 IT 거버넌스는 BOD가 IT 경영을 지휘, 감시, 평가하는 시스템이다.

④ IT(정보 및 관련 기술)는 기업의 전략적 목표 달성에 있어 필수적인 요소가 되었다.

⑤ 따라서 IT를 기업경영과 독립적인 요소로 보거나 기술적 주제로 간주해서는 안 된다.

⑥ BOD는 전략적 IT 의사결정에 참여하여 더 많은 책임을 져야 한다.

(2) IT 거버넌스의 목적

① ITGI(IT Governance Institute)에 따르면 ITG의 궁극적 목적은 가치 창출이다.

② 가치 창출이란 위험을 최적화하면서도 최적의 자원 비용으로 편익을 실현하는 것이다.

③ IT 거버넌스의 목적은 다음과 같이 세 가지로 정리할 수 있다.

편익 실현(Benefit Realization)

• 기업의 새로운 편익(benefit)을 발생시킨다.

• 기존 형태의 가치를 유지하고 확장한다.

• 충분한 가치를 창출하지 못하는 프로젝트/자산을 제거한다.

위험최적화(Risk Optimization)

• 위험을 인식하고, 위험의 영향과 가능성을 평가한다.

• 위험을 기업의 위험 성향(risk appetite)을 확인한다.

• 위험을 위험 성향 범위 내에서 관리하기 위한 전략을 개발한다.

자원 최적화(Resource Optimization)

• 자원에 대한 투자는 철저한 비용 대비 편익 분석에 근거한다.

• 모든 자원을 효과적이고 효율적이며 책임감 있는 사용하게 한다.

• 최적화 대상 자원은 인적 자원, 재무 자원, 집기, 시설 등이다.

④ BOD와 경영진은 조직의 IT 거버넌스와 경영 프레임워크를 제시하고 전달해야 한다.

⑤ IT 거버넌스 목적은 다양한 최선의 실무(best practices)를 통해 달성된다.

4. 정보보안 거버넌스(ISG: Information Security Governance)

(1) 의의

① 정보 보안 거버넌스란 기업 거버넌스의 일환이며 따라서 BOD에게 궁극적 책임이 있다.

② BOD가 정보 보안의 전략적 방향과 비전을 제시해야 한다.

③ 그런 다음 경영진이 정보 보안의 전략적 방향과 비전을 달성하는지 감시한다.

④ BOD는 위험평가와 BIA(Business Impact Analysis)를 정기적으로 수행하게 해야 한다.

(2) 위험 평가

① 위험 평가는 IT 위험을 식별, 평가하고 적절한 위험 관리 대책을 권고하는 프로세스이다.

② 위험 평가는 위험 분석(analysis)이라고도 하며 다음과 같은 활동을 포함한다.

(3) 위험의 영향 및 발생 가능성의 측정

① 정성적(Qualitative) 기법과 정량적(quantitative) 기법이 있다.

정성적 기법

• 서술형 또는 등급으로(예. 상/중/하) 평가한다.

• 집중해야 할 대상을 신속하게 판별한다.

• 평가가 주관적이며 추측에 의존한다.

• 상대적으로 시간/노력이 적게 소요된다.

정량적 기법

• 통계치 및 화폐적 금액을(예. ALE) 사용한다.

• 객관적이고 비용 편익 분석이 가능하다.

• 대량 데이터 분석과 복잡한 계산을 한다.

• 자동화된 도구를 사용할 수 있다.

※ ALE(Annual Loss Expectancy, 연간 손실 기댓값)

ALE = SLE(Single Loss Expectancy) × ARO(Annual Rate of Occurrence)

SLE = AV(Asset Value) × EF(Exposure Factor)

예) AV(자산 가치) = 10억원, EF(보안 사고 시 가치 감소 비율) = 40%

ARO(연간 보안 사고 발생율) = 1/5 (평균 5년에 1회 발생)

ALE = (10억원 × 0.4) × 1/5 = 4억원 / 5 = 8천만원