조시 해밋은 왜 IT 거버넌스가 때때로 좋지 않은 평가를 받는지 잘 이해한다. 그는 “거버넌스를 생각할 때면 으레 느린 속도와 넘어야 할 수많은
해밋은 이어 “혁신이 불가피한 시대다. 거버넌스로 인한 속도 저하 없이 어떻게 이를 이행할 것인지가 화두로 부상했다”라고 덧붙였했다.
이는 해밋이 알트라 페더럴 크레딧 유니언(Altra Federal Credit Union)의 CIO로서 대처해온 어려움이기도 하다. 그는 위험을 관리하는 여러 안정장치를 이용하지만 여전히 적응성과 속도를 가능하게 하는 거버넌스 모델을 구현했다.
구체적으로 해밋의 거버넌스 체계는 역할과 책임을 정의하고, 의사 결정과 설명 책임을 할당하고, IT팀이 전략적 우선 순위에 입각해 일하도록 의도된 절차를 생성한다. 또한 이는 IT가 의무적 표준과 규제적 요건을 준수하도록 보장하면서도 새로운 비즈니스 니즈에 맞춰 변할 수 있는 유연성 있는 정책들을 포함한다.
해밋은 IT 거버넌스 협회인 ISACA의 신규 경향 워킹 그룹(Emerging Trends Working Group)의 회원이기도 하다.
해밋은 자사의 IT 거버넌스에 대해 현업 임원 및 IT 리더 사이의 주간 회의를 통해 우선 순위를 필요에 따라 신속히 재설정할 수 있다고 설명했다. 아울러 애자일 접근법은 IT 직원이 스스로 결정을 내릴 권한을 주었다. 그리고 위험 평가 및 변화 관리에 관한 정책은 IT 제품 및 서비스가 규제 및 보안 요건을 준수하면서도 이용자 니즈를 충족할 수 있도록 보장한다고 그는 전했다.
해밋은 “우수한 체계가 배치되어 있다. 따라서 기민하게 움직일 수 있고 새로운 것이 출현할 때 필요에 따라 적응할 수 있고, IT가 진로를 이탈하지 않도록 하는 안전 장치도 여전히 있다”라고 덧붙였다.
갈림길에 선 IT 거버넌스
IT 거버넌스란 IT 기능이 운영되는 방식을 안내하고 통제하는 정책, 프로세스, 툴의 집합이다.
인포-테크 리서치 그룹(Info-Tech Research Group)의 CIO 사업부의 책임자인 밸런스 호든은 “이는 조직을 운영하는 자연스러운 일부다. 원하는 결과를 얻을 수 있도록 돕는 근간이다”라고 말했다. 호든은 거버넌스를 최적화해 조직의 성공을 돕는 애널리스트이기도 하다.
일부 CIO는 조직의 거버넌스 접근법의 구성 요소들을 명시하는 프레임워크를 채택하고 있다. 다른 CIO는 덜 정형화된 거버넌스 체계를 유지하기도 한다. 그리고 거버넌스를 종합적으로나 직접적으로 다룬 적이 없는 CIO도 있다. 이들의 경우 여러 해에 걸쳐 발달한 워크플로우나 습관에 의존하곤 한다.
IT 거버넌스가 어떤 방식인지와 무관하게, 전문가들은 이용성과 안정성이라는 전통적인 IT 요건에 치중한 거버넌스 철학을 고수하는 CIO가 많다고 말했다.
호든은 “많은 이들이 거버넌스를 통제하는 데 이용한다. 거버넌스는 잘못될 수 있거나 이미 잘못된 무언가를 억제하는 방식이 되었다”라고 말했다. 그에 따르면 이제 CIO에게는 IT 거버넌스에 있어서 다른 접근 방식이 요구되고 있다.
오늘날 IT 리더는 적응성과 혁신을 중심에 둔 거버넌스 전략, IT팀이 시장의 수요에 따라 신속하게 움직이고 빈번하게 변화할 수 있는 거버넌스 전략을 필요로 한다. 그러나 거버넌스 모델은 이용성, 안정성, 보안을 훼손하지 않아야 한다.
호든은 “변화, 그리고 변화의 속도로 인해 이제 거버넌스는 달라질 수밖에 없다”라고 말했다.
변화의 불가피성
최근의 한 연구에 따르면 IT 거버넌스가 변화해야 할 필요는 중대하면서도 보편적이다.
소프트웨어 회사인 플랜뷰(Planview)가 의뢰하여 롤리스 리서치(Lawless Research)가 이행한 ‘전략 이행 현황: 속도에 적응하기 위한 불확실성 감수(The State of Strategy Execution: Embracing Uncertainty to Adapt at Speed)’라는 보고서는 전략 이행을 신속히 변화시키지 못하면 성장 저하, 경쟁자로 인한 기회 상실, 고객 유지 감소, 큰 폭의 수익 감소가 있음을 발견했다.
보고서에 따르면 임원들은 변화에 적응하는 데 따른 가장 큰 장벽으로 복잡한 거버넌스 및 승인 프로세스를 꼽았다. 그리고 불분명하고 상충되는 우선순위와 승인된 프로젝트를 위한 리소스의 결여를 기민성을 해치는 다른 두 가지 장벽이라고 말했다. 이 조사로 볼 때 특히 IT에게 한층 반응적인 거버넌스 모델이 필요함을 알 수 있다.
EY의 글로벌 CTO인 니콜라 모리니 비안지노는 “IT 투자를 시장 성공과 연계시켜야 한다. 이제 이런 식으로 IT 업무를 규정해야 한다”라고 말했다.
따라서 IT는 IT 업무를 안내하는 다른 규칙을 필요로 한다고 비안지노는 말했다. 그는 IT 기능을 현업 기능으로, 성장의 동력으로 전환시키려는 대대적인 움직임이 있다”라고 덧붙였다.
조직들이 시장 변화에 한층 반응적이 될 수 있는 조치를 취해야 한다는 증거가 있다. 롤리스 리서치에 따르면 89%의 설문 응답자가 변화와 와해에 대한 적응 속도를 향상시키기 위한 계획이 있다고 말했다.
IT 거버넌스의 새로운 요소들
적응성, 기민성, 속도를 지원하는 IT거버넌스 모델에는 IT부서를 운영하는 수많은 새로운 방식이 융합되곤 한다고 여러 컨설턴트와 임원들은 말했다.
우선, 새로운 거버넌스 모델들은 애자일 개발 원리를 수용한다. 획일적인 애플리케이션 배포에 쓰였던 규칙을 단순히 고치는 것이 아니고, 애자일 개발에 특화된 정책, 절차, 툴을 구축한다.
예를 들어 이들 거버넌스 모델은 소프트웨어 배포 계획에 대한 위원회 검토 및 승인의 필요를 제거하여, 제품 소유자가 로드맵을 스스로 관리할 수 있도록 하고, 아울러 제품 팀이 스스로 결정을 내리고 선택에 대해 책임을 지도록 한다.
호든은 “보다 빠르고 신속히 움직이기 위해서는 세세한 간섭을 배제해야 한다”라고 말했다.
기민성과 적응성을 위해 정립된 새로운 IT 거버넌스 모델에는 소프트웨어 개발 주기를 줄일 수 있는 정책 또한 마련되어 있다고 ISACA 위원장이자 보안 및 위험 관리 컨설팅 회사인 인트로사이트(introSight)의 설립자 겸 CEO인 아사프 위즈버그는 전했다.
아울러 이들 모델에는 리소스 관리 계획을 개정해 고효율 교차 기능 팀을 만드는 접근법이 포함돼 있다. 이들 팀은 필요한 역량을 부여받고 새 업무 방식을 기준으로 관리되고 평가된다. 다양한 IT 분야가 조립 라인 형식으로 각각 떨어져 일하던 구식 모델을 기준으로 하지 않는다.
위즈버그는 “이는 리소스 관리를 바라보는 다른 방식이다”라고 말했다.
아울러 이러한 새로운 거버넌스 철학은 팀들이 스스로 실시간으로 위험을 관리하는 방식을 정의하여 끊임없이 변화하는 사이버보안 위험 지형에 대응할 수 있도록 한다고 위즈버그는 말했다.
나아가 이러한 현대적인 IT 거버넌스 모델은 의사 결정 과정에 위험 평가를 접목시키고 워크플로우 툴을 이용해 규칙 및 규정 준수를 자동화한다. 호든은 “이들 규칙은 강제적이어서 일을 일정한 방식으로 이행해야만 한다”면서 “그러면 이러한 생각이 모든 사람의 업무의 일부가 된다”라고 설명했다.
이들 거버넌스 프레임워크는 혁신을 위한 공간을 창출할 필요 역시 다룬다고 비안지오는 말했다. 그는 “따라서 조직은 과감하게 행동할 수 있게 된다”라고 말했다.
또 이들 모델들은 때에 따라 CIO의 역할 역시 다루고, 사실 그같이 해야 한다고 비안지노는 덧붙였다. CIO는 사업을 견인하는 일에 집중해야 한다. 그러자면 비용 최적화, 벤더 관리, 가동 시간 등의 IT 업무의 일부를 분리해야 할 수도 있다.
비안지오는 미래 지향적인 IT 거버넌스의 경우 CIO 가 CEO나 COO 에게 직접 보고하는 일을 요구한다고 말했다. 그가 설명하듯이, 적응성 있는 IT 부서가 되려면 CIO가 여러 보고 단계를 거쳐서는 안 된다.
마지막으로, 전문가들은 이러한 새로운 IT 거버넌스 접근법이 IT 부서를 넘어서서 확장되어야 한다고 말한다. 호든은 “다른 부서가 기술을 가속한다면 이들 역시 동일하게 관리되어야 한다”라고 말했다.
물론 현대의 IT 거버넌스는 여전히 안전장치를 필요로 한다. 비안지노는 “너무 느슨한 거버넌스 역시 좋지 않다. 따라서 내부적인 관여 규칙이 정의되어야 한다”라고 말했다.
따라서 유능한 CIO는 조직 자체의 니즈, 위험 허용 한도, 규제 요건으로 인해 필수적인 규칙과 한계를 새로운 거버넌스 체계에 포함한다. 그러나 적응성과 반응성을 굳이 훼손하지 않는 방식으로 그같이 한다.
예를 들어 호든은 IT 부서의 최하위 수준에게 권한을 위임해 기민성을 도모하는 CIO는 어떤 위험 시나리오의 경우 고위 리더와 논의를 해야 하는 지에 관한 지침 역시 확립한다고 말했다.
다른 경우 CIO는 팀에게 자율성을 부여하여 팀에 대한 신뢰를 보여주면서도 이들이 책임져야 할 지표 역시 확립한다.
미래를 향한 거버넌스
일부 전문가는 IT 거버넌스 개념을 한층 더 대담하게 변화시켜야 한다고 주장하고 있다. 마르셀로 드 샌티스는 “IT를 넘어서는 완전히 새로운 업무 모델이 필요하다”라고 말했다. 그는 기술 컨설팅 회사인 쏘트웍스(Thoughtworks)의 상임 어드바이저다.
그는 모든 유형의 조직이 신속히 적응하고 끊임없이 혁신할 준비가 되어있어야 하고, 그러자면 조직 운영 방식이 이 니즈에 합치해야 한다고 설명했다.
드 샌티스는 “이는 디지털 기업이든, 전통적인 회사이든, 모든 조직을 위한 새로운 ‘일상적인 일(BAU, Business-As-Usual)’이다. 이게 오늘날 세계가 작용하는 방식이다. 따라서 기업은 안정성이 아닌 변화를 위한 운영 모델이 필요하다”라고 덧붙였다.
그는 이른바 ‘반응적인 조직’ 운영 모델에 결정적인 5가지 요소를 지목했다. 고객에게 집중하는 최고-수준 전략, 단기간의 실험을 지원함으로써 고객 가치를 촉진하고 측정하고 향상시키는 포트폴리오 프로세스, 유연성 있는 기술 아키텍처 및 애자일 관행, 자율적인 제품 팀, 성공을 판단할 수 있는 적정한 지표의 이용이 그것이다.
드 샌티스는 이 운영 모델에 거버넌스가 삽입돼 있다고 말했다. 고객 가치에의 집중과 적정 성공 지표의 이용은 가용성, 보안 등 전통적인 관심 분야는 물론이고 반응성, 이용자 경험, 기민성 등 현대적인 관심 분야를 아우르기 때문이다.
그는 “CIO는 회사 전체가 끊임없는 시장 변화에 보다 잘 적응할 수 있도록 마찰 없는 모델을 구현해야 한다”라고 말했다.
dl-ciokorea@foundryco.com
