[CISA 이론 정리 - 2장] 02 IT 거버넌스 및 IT 전략 기획 (2/2)

4. 전사적 아키텍처(EA: Enterprise Architecture)

(1) 의의

① 아키텍처란 특정 시스템이나 개념 또는 대상을 최상위 수준에서 설명한 모델이다.

② 아키텍처는 복잡성을 관리하는 데 유용한 수단으로서 일관성 있는 의사결정을 도와 준다.

③ EA는 기업을 4가지 계층(비즈니스, 정보, 응용, 기술)의 아키텍처로 모델화한다.

④ EA는 특정 조직의 비즈니스/정보/응용/기술이 상호 연계되도록 돕는다.

(2) EA의 활용

① 현재 상태의 EA와 최적화된 EA를 비교하여 향후 IT 투자의 방향을 결정할 때 참조한다.

② 또는 기술의 변화에 따라 비즈니스 수행 방식을 변경하는 것을 고려하게 한다.

③ EA는 정보자산의 불필요한 중복이나 누락,상호 모순적 관계를 해소하는 데 도움을 준다.

④ EA는 IT와 비즈니스 전략을 연계시키며 IT 투자의 실질적 편익을 제공되게 한다.

5. IT 가치 및 투자 관리

(1) 의의

① 모든 투자 결정은 투자로 인한 희생 대비 희생을 통해 얻을 수 있는 편익에 근거해야 한다.

② IT 투자 역시 철저히 IT 가치(value of IT) 평가에 근거하여 이루어져야 한다.

(2) IT 가치 거버넌스

① IT 투자는 철저히 전략적 가치를 지향해야 하므로 BOD의 거버넌스 대상이다.

② 따라서 BOD는 IT 투자의 전략적 방향을 제시하고 투자 관리 과정을 감시해야 한다.

③ BOD는 기업의 IT 투자 가치 평가 기준 및 포트폴리오 바람직한 특성들을 제시해야 한다.

(3) IT 포트폴리오 관리

① IT 포트폴리오란 특정 시점에서 진행되고 있는 IT 투자 프로젝트의 전체 집합이다.

② IT 포트폴리오 관리는 개별 투자 성과가 아니라 전체 투자의 누적 성과에 관심을 둔다.

③ 제한된 예산으로 최대의 편익을 거두려면 IT 프로젝트의 우선 순위를 평가해야 한다.

④ 예산이 축소될 경우 우선 순위가 가장 낮은 프로젝트부터 보류 또는 철회를 고려한다.

⑤ 각각의 IT 투자 프로젝트의 가치가 투자 임계치를 초과하는지 지속적으로 감시해야 한다.

⑥ 특정 프로젝트의 가치가 임계치에 미치지 못하면 이 역시 투자 보류 및 철회를 고려한다.

⑦ IT포트폴리오 관리 실무는 IT 조정 위원회(steering committee)가 감독한다.

(4) IT 프로젝트 투자 관리

① 특정한 IT 프로젝트에 투자는 일반적으로 고위 경영자(executive)가 제안한다.

② 투자 제안을 할 때는 투자 타당성을 증명하는 비즈니스 사례(case)를 작성/제출해야 한다.

③ 비즈니스 사례는 고위 경영자가 승인해야 하고 지속적으로 유지관리해야 한다.

④ 상호 연관성이 높은 IT 프로젝트들은 프로그램(program) 단위로 상호 연계하여 관리하여 시너지를 추구한다.

⑤ 또한,프로젝트 종료 6~18개월 후에 구현 후 검토(post implementation review)를 하여 투자 가치를 확인한다.

6. IT 소싱 거버넌스

(1) 인소싱(Insourcing)과 아웃소싱(outsourcing)

① IT 소싱(Sourcing)이란 조직 내부 또는 외부 원천으로부터 IT기능을 획득하는 실무이다.

② IT 소싱의 원천이 조직 내부이면 인소싱, 외부이면 아웃소싱이라고 한다.

③ 이 두 가지를 결합한 하이브리드 형태의 소싱도 가능하다.

④ 외주 직원이 외부에서 근무하면 온사이트 소싱, 외부에서 하면 오프사이트 소싱이다.

⑤ 또한, IT직원의 근무 위치가 다른 나라이면 오프쇼어(offshore) 소싱이라 한다.

(2) IT 소싱 및 클라우드 거버넌스

① IT 소싱 방식의 선택은 전략적이고 전사적인 의사 결정 사안이다.

② 따라서 BOD는 IT 소싱이 비즈니스 전략을 성공적으로 지원하도록 감독해야 한다.

③ 또한, IT 조정 위원회는 IT 소싱 전략을 검토하고 승인해야 한다.

④ 클라우드 서비스를 통한 아웃소싱에는 비즈니스와 IT의 연계에 더 많은 도전이 따른다.

⑤ 클라우드 서비스는 기존의 IT 통제를 거의 거치지 않고 이루어질 수 있기 때문이다.

⑥ 따라서 아웃소싱을 선택할 경우 각종 정책에 이러한 내부 통제 사안들을 포함해야 한다.

(3) 전략적 IT 소싱 의사 결정

① 무엇보다 비즈니스 요구사항을 가장 잘 충족하는 소싱 방식은 무엇인지 고려해야 한다.

② 또한, IT 기능이 조직의 핵심 기능이라면 인소싱이 바람직할 수 있다.

③ 이 밖에 서비스 품질, 비용, 관련 위험 등을 고려하여야 한다.

④ 특히 아웃소싱을 할 경우IT기능의 전부 또는 일부가 외부로 이전된다.

⑤ 이로 인해 통제 상의 위험이 증가할 수 있으므로 IT 통제 시스템을 재검토해야 한다.

(4) 아웃소싱의 장점과 단점

장점

• 외부의 고급 전문 지식을 단기간 활용

• 경쟁력 있는 조직의 핵심 기능에 집중

• 총 소유 비용(TCO) 및 운영 비용 절감

• 조직 구조의 단순화 및 유연성 증대

단점

• IT 통제 약화 및 정보 유출 위험 증가

• 내부 직원에 대한 훈련 기회 상실

• 조직에 대한 외부 공급자의 낮은 충성심

• 예상하지 못했던 추가 비용 발생 위험

7. IT 조직 구조 결정

(1) 집권화(Centralization)와 분권화(decentralization)

① IT 조직 구조는 IT 의사 결정의 위치에 따라 집권화된 조직과 분권화된 조직으로 나눈다.

② 집권화된 조직은 조직의 본부 또는 본사에서 모든 IT 의사 결정을 내리게 된다.

③ 분권화된 조직은 지사 또는 일선 실무 부서에서 IT 의사 결정을 내리는 것을 허용한다.

④ 집권화와 분권화는 상황에 따라 적합한 선택이 달라지며 그 자체로 좋거나 나쁘지 않다.

⑤ 100% 완벽하게 집권화되거나 분권화된 조직은 없으며 대부분 중간 형태로 존재한다.

(2) 집권화와 분권화 비교

① 분권화를 하려면 지사 또는 일선 실무 부서 직원들의 능력과 성숙도가 높아야 한다.

② 분권화가 성공하려면 정보/자원/도구 등 업무 수행에 필요한 지원/방법을 제공해야 한다.

③ 집권화와 분권화의 상대적 장점은 다음과 같다.

집권화

• IT 통제의 일관성과 표준화가 높아짐

• IT통제 및 보안의 강도가 높아짐

• 전사적 사안 및 요구사항을 잘 다룸

• 규모의 경제를 통해 비용이 절감됨

분권화

• 지사, 하위 부서의 요구 사항을 잘 다룸

• 지사, 하위 부서의 훈련과 사기가 증가함

• 지역 사안에 대한 의사 결정이 신속해짐

• 지역 현안/문제 검토가 더 자주 이루어짐

(3) IT 조직 구조의 결정

① IT 조직 구조의 선택은 전략적이고 전사적인 의사 결정 사안이다.

② 따라서 이사회는 IT 조직 구조가 비즈니스 전략을 성공적으로 지원하도록 감독해야 한다.

③ 실무적으로 IT 조정 위원회는 IT 조직 구조를 검토하고 승인해야 한다.

④ IT 조정 위원회는 IT 조직의 소싱 형태와 더불어 집권화/분권화 수준을 결정해야 한다.

※ 참고

① 집권화/분권화와 유사하지만 다른 개념으로서 집중 처리와 분산 처리가 있다.

② 집중 처리(Central processing)는 본사 또는 본부에서 정보 처리를 수행한다.

③ 집중 처리는 통제와 무결성이 향상되고 규모의 경제가 달성된다는 장점이 있다.

④ 분산 처리(Distributive processing)는 여러 지사나 위치에서 정보 처리를 수행한다.

⑤ 분산 처리는 가용성 또는 고장 감내(fault tolerant)를 향상한다.