IT거버넌스에서 이사회 역할
양지윤 서울대학교 정보통신경영연구센터 연구원
1980년대에 많은 연구들이 기술 진보에도 불구하고 기업이 지출하는 IT 비용과 IT 투자로 인한 생산성 사이에는 별다른 상관성이 없다는 IT 생산성 패러독스가 한때 시장에 충격을 주기도 했다. 그러나 IT 생산성 패러독스는 데드릭, 크레이머와 같은 학자들은 ‘최초 형성된 생산성 패러독스는 잘못된 것이며 IT 분야로의 더 큰 투자는 높은 생산성 향상으로 이어진다’고 실증했다. 기업들의 투자자와 이해관계자는 기업들이 더 높은 이익을 창출하고, 경영의 위험성을 최소화시키고, 제한된 자원을 최대한 활용하며, 경영진이 그들의 의사결정에 책임을 지기를 원한다.
한 연구결과에 따르면 전세계 7개국 27개 회사의 54개 사업을 분석한 결과, 수익의 4.1%와 비용의 7.7%를 매년 IT와 관련해서 투자를 하고 있다. 이런 상황에서 기업의 대다수 중역들은 해마다 책정되는 IT 비용이 실제로 만족할 만큼의 가치를 생산하고, 제대로 사용되고 있는지 궁금해 한다.
그러나 아직도 기업의 이사진들은 IT의 투자 효과에 대해 명확한 이해가 되지 않는 실정이다. 이런 원인이 발생하는 이유들 중 한가지는 기업의 IT 의사결정의 권한과 책임이 과거의 기준에 집착해서 현실에 맞게 반영이 되고 있지 않기 때문이다. 즉, 기업들의 IT 거버넌스가 효율적으로 운영이 되지 않고 있음을 반영한다.
◇IT 거버넌스가 주목 받는 배경=2002년의 미국 최대 에너지 회사인 엔론의 도산과 월드컴, 타이포, 퀘스트, 아더 앤더슨 등의 미국 대기업이 회계법인과의 공모로 분식회계를 통해 주주에게 막대한 재무적 손실을 발생시킨 스캔들로 인해 기관과 개인 투자자들의 기업에 대한 신뢰를 저해했고, 결국 기업들은 그들의 주주를 보호하기 위한 조치를 강화하기 시작했다.
기업에 대한 신뢰 저하는 전세계적인 주가 하락으로 나타났다. 특히 미국의 경우에는 2002년 상반기에 S&P 지수가 16%나 떨어졌고 기술집약적인 나스닥도 36%나 폭락했다. 결국 이 사건들은 미국의 신경제의 몰락을 가져왔다. 이에 미국 폴 샤베인 상원의원과 마이클 옥슬리 하원의원의 발의를 통해 샤베인-옥슬리 법안이 제정되었다.
기업 거버넌스의 투명성을 강조하는 이 법안은 기업의 중요 핵심업무가 IT나 정보시스템(IS)에 의해 구축되었다는 점과 이사회가 엄청난 IT 지출과 산출된 수익에 대한 관심이 증가가 되고 있다는 점에서 자연스럽게 IT 거버넌스에 대한 관심으로 옮겨가게 됐다.
기업 투명성 개선요구와 더불어 IT 관련 위험이 높아진다는 것도 IT 거버넌스가 주목 받는 원인이다. 디즈니는 8억7800만달러를 고닷컴(Go.com)에 투자했다가 손실을 봤고, K마트는 IT가 기대에 못 미쳐 1억3000만달러를 감가상각을 했다. 그리고 나이키는 소프트웨어에 잘못된 투자로 인해 4억 달러 손실을 입었다. 이런 IT 위험관리 실패 사례는 결국 체계적인 IT 거버넌스 구축 실패에 그 원인이 있다고 본다.
이 밖에도 아마존닷컴(Amazon.com)은 해커의 공격으로 한 시간에 60만달러를 손해를 입었고, 시스코시스템스는 하루 동안의 시스템 다운으로 인해 7000만달러의 손실을 경험한 적도 있다.
이처럼 IT 위험은 기술의 발전과 더불어 피해 규모도 커지고 있는 것이 현실이다. 이런 문제는 회사의 존립 자체에도 영향을 미치기 때문에 IT 부서만의 책임으로 끝나지 않고 전사적인 차원에서 다루어지는 것이 마땅하다. 이는 IT 거버넌스가 주주 가치와 밀접한 관련이 있다는 것을 의미한다. 이런 측면에서 기업의 실질적인 주인인 주주의 가치 보호를 위해서 대리인인 이사회의 역할이 매우 중요해지고 있다.
IT는 철저하고 심도 있는 이사회의 관리를 요구하지만, 이사회는 IT를 운영업무에 관련된 것으로 보고 실무 관리자가 알아서 할 사항으로 무시하고 있고 거기에다 이들이 기술문제에 흥미나 전문지식이 없기 때문에 이러한 감독이 제대로 이루어지지 않고 있다.
일반적으로 이사회 구성원은 IT 위험과 비용 뿐만 아니라 경쟁적인 위험에 대한 전문적인 질문에 필요한 기본적인 지식이 부족한 경우가 많다. 이사회는 비즈니스 전략과 전략적인 위험에 대해서 항상 세밀하게 조사하지만, IT는 전문지식의 부족과 IT를 비즈니스와 독립된 하나의 실체로 취급하는 전통 때문에 대규모 투자와 엄청난 위험이 뒤따른다는 사실에도 불구하고 간과해버리는 경향이 있다.
◇IT 거버넌스에서 이사회의 역할=이사회가 IT 거버넌스에 관심을 가져야 한다는 것을 실증하기 위해 국내 기업의 비즈니스 중역과 CIO(IT 중역)를 대상으로 ‘이사회의 전략적 IT 의사결정 참여가 조직의 성과에 실제로 어떤 영향을 미치는 가’에 대한 설문조사를 실시했다.
설문조사는 2006년 10월 23일부터 11월 31일까지 매경 매출액 순위 1000대 기업의 CEO, 서울대학교 경영대학 AMP(최고경영자과정) 62기 교육생, AMP 수료생, CIO 포럼 회원사의 CIO명에게 총 1470부의 설문지를 배포했다. 각 설문지는 기업을 대상으로 하기 때문에 비즈니스 중역용 2부와 CIO용 1부가 포함됐다.
배포한 설문지 중에 회수된 설문지는 2006년 12월 1일까지 총285부로 파악되었고, 이 중에서 유효한 설문지는 271부(비즈니스 중역 166명, CIO 105명)로 나타났다. 이것을 기업별로 분석한 결과 총 110개 기업에서 최소 1부 이상을 보낸 준 것으로 파악됐다.
비즈니스 중역과 CIO의 응답 차이를 있는지 통계적으로 검증을 해본 결과 유의한 차이는 발견하지 못했다. 즉, 정보기술과 커뮤니케이션 기술의 발달로 인해 기업의 모든 정보는 과거와 달리 공유가 되어 있을 뿐만 아니라 비즈니스 중역들도 IT에 대한 중요성을 인식하고 있음으로 판단된다.
IT 거버넌스에 대한 전반적인 지식을 묻는 질문에 응답자의 대부분(80%)이 IT 거버넌스에 대해 보통 이상의 지식을 가지고 있는 것으로 나타났다. 이는 기업의 중역들이 기업의 투명성과 IT 가치 제고를 위해 IT 거버넌스에 대한 관심을 반영한다고 볼 수 있다.
응답기업의 표준산업분류표에 따른 현황은 대부분이 제조업, 건설업, 금융 및 보험업, 사업서비스업 등으로 나타나고 있다. 또한 응답기업 중 85개(77%)가 종업원수 300명 이상의 기업이었고 나머지 25개(23%)가 300명 미만의 기업으로 나타났다.
응답 기업들의 매출액 대비 IT 투자 비율(%)은 2004년은 1.31%, 2005년 1.39%, 2006년 1.56%로 해마다 IT 투자비율이 높아지는 것으로 나타났다. 이는 기업들의 IT 투자가 늘어나기 때문에 CIO나 IT 부서장의 수준에서 CEO나 이사회 수준에서 IT를 관리해야 한다는 것을 의미한다.
응답기업의 중역들을 대상으로 △이사회의 전략적 IT 의사결정 참여 △비즈니스-IT 연계 △정보시스템 위험 준비도 △정보시스템 효과성 △경영성과에 대해 ‘매우 낮다(1점)’부터 ‘매우 높다(7점)’까지의 7점 척도로 중역들의 인식을 파악해 보았다.
이사회의 △전략적 IT 의사결정의 참여는 기업의 전략적 IT 의사결정에 대해 이사회에 의해 수행된 행동 혹은 활동들의 정도를 △ 비즈니스-IT 연계란 비즈니스 전략, 목표, 요구 기준에 맞추어 적시에 적절한 방법으로 IT를 활용하는 정도를 △정보시스템 위험 준비도는 IT 위험관리에 대한 준비 정도를 △정보시스템 효과성이란 정보시스템이 조직의 성과에 영향을 주는 조직의 목표를 달성하기 위한 정도를 △경영성과란 기업에서 지각한 성장성·수익성과 관련된 개념으로써 이를 달성한 정도를 의미한다.
조사결과, 비즈니스-IT 연계와 정보시스템 효과성은 높은 것으로 파악되었고, 경영성과, 정보시스템 위험 준비도는 보통으로, 이사회의 전략적 IT 의사결정의 참여는 낮은 것으로 인식하는 것으로 파악되었다. 특히, 다른 요인에 비해 이사회의 전략적 IT 의사결정의 참여가 저조하다는 것을 알 수 있다. 그만큼 아직까지는 이사회 차원에서의 IT 의사결정에 상대적으로 소홀하다는 것은 알 수 있다.
이들의 5가지 요인을 기초로 통계적인 방법을 이용해서 분석한 결과, 이사회의 전략적 IT 의사결정에 참여는 IT 거버넌스 주요 요인인 비즈니스-IT 연계와 정보시스템 위험 준비도에 영향을 미치고, 이들은 다시 정보시스템 효과성을 거쳐 경영성과에 긍정적인 영향을 주는 것으로 나타났다.
◇이사회의 IT 거버넌스 참여는 필수=설문결과를 통해 알 수 있듯이 기업들은 IT 의사결정을 단지 CIO나 IT 부서장의 책임으로 국한시킬 것이 아니라 이사회가 적극적으로 관여를 해야 하다는 것을 알 수 있었다.
이사회의 전략적 IT 의사결정에 참여는 IT 거버넌스의 중요한 요인인 비즈니스-IT 연계와 IS 위험 준비도에 긍정적인 영향을 미치게 된다. 즉, 기업의 전략적 IT 의사결정을 이사회에서 다루는 것은 기업의 핵심업무의 근간을 이루는 IT와 기업의 성장과 수익의 원동력이 되는 비즈니스와의 전략적 통합을 이루게 된다. 기업의 전략적 방향을 파악하고 있는 정보기술 전문가와 정보기술 및 그 변화 추세를 이해하고 있는 기업 전략 수립자 사이에 상호 긴밀한 협조가 이루어질 때, 정보시스템 전략과 기업 전략 사이에 바람직한 비즈니스와 IT 연계가 이루어진다.
또한 이사회에서 IT 의사결정을 다루게 되면 향후 예상치 못한 정보시스템 실패로 인한 기업 수익과 성장에 대한 손실을 미연에 방지할 수 있다. IT 투자 비용이 갈수록 커지는 현실을 감안할 때 잘못된 IT 의사결정으로 인한 손실을 줄일 수 있다. 이처럼 비즈니스-IT 연계와 정보시스템 위험 준비도가 높아질수록 정보시스템의 효과성은 높아지게 된다. 결국 정보 시스템 효과성의 증가는 기업의 핵심 업무의 효율을 가져와서 경영성과를 높일 수 있는 것이다.
오늘날의 지식 기반 사회에서 기업 IT 관리의 중요성이 더욱 커지고 있다. IT 거버넌스의 핵심 요소는 주주에게 IT를 통한 극대화된 비즈니스 가치를 전달하기 위해 IT 사용에 대한 명확한 권한과 책임을 할당하는 것이 중요하다. 이것은 특정 IT 솔루션에 의해서는 해결이 안되며 CIO나 IT 부서만의 힘으로는 더욱 더 불가능하다.
예를 들어 경영성과를 높이기 위해 이사회 직속의 IT 위원회 설치, 이사회에서 IT을 안건으로 다룸, CIO의 이사회 멤버로 참여 등이 구체적인 전술 개발이 필요하다. 효율적인 IT 거버넌스 체제를 유지하는 것은 단지 하드웨어 혹은 소프트웨어 도입으로 해결될 수 있는 문제가 아니라 이사회의 적극적인 참여와 지원이 필수적이다.
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
