만약 ITIL(IT인프라라이브러리)가 없었다면 IT서비스관리(ITSM)가 지금처럼 기업들의 관심을 받을 수 있었을까.

ITSM을 구현하기 위한 지침서인 ITIL은 기업들이 성공적인 ITSM으로 나아가기 위한 방향을을 제시했다.

따라서 이같은 ITIL이 없었다면, ITSM은 어쩌면 IT업체들의 알맹이 없는 구호로만 그쳤을지도 모른다.

물론 IT거버넌스에도 이같은 지침서가 있다. 바로 ?코빗′이다.

◆코빗은 무엇 = 코빗(CobiT)은 ?Control Objectives for IT and related Technology′의 약자다. 국제정보 시스템 감사·조정 협회(ISACA)의 대표적인 저작물이다.

지난 1992년 ISACA에서 처음 발간된 이후 현재는 ISACA의 산하 연구소인 IT거버넌스 협회(ITGI)가 관리하고 있으며, 지난 5월 4.1 버전이 출간된 상태다.

코빗은 원래 IT 감사 모델에서 출발했으나 IT 통제, IT 관리로 진화하다가 지금은 IT거버넌스의 모델로 활용되고 있다.

최신 버전의 코빗은 경영자 개요, 프레임워크,핵심 내용(통제목표, 운영지침, 성숙 모델), 부록 (매핑, 상호참조, 권말 용어풀이)으로 구성돼 있다.

코빗의 가장 큰 특징은 '비즈니스'를 중심 축으로 하고 있다는 점이다.

비즈니스 중심의 IT거버넌스를 위해 이사회와 현업의 역할을 규정하는 데 초점을 맞추고 있다. 이사회, 중역, 관리자들이 IT의 가치를 높이고 IT와 관련한 위험을 줄이는 데 도움을 주기 위해 여러 사례를 담고 있다.

또 코빗에서 제시한 각 프로세스가 어떤 경영 목표와 IT목표에 부합하는지 또 애플리케이션, 인포메이션, 인프라, 인력 등 IT자원이 어떻게 사용되고 있는지, 정보가 경영목적을 충족시키기 위해 어떻게 구성돼야 하는지를 보여준다.

여기에 프로세스 성숙도 모델을 통해 기업의 현 상태가 어떤지 측정할 수 있도록 핵심목표지표, 핵심수행지표 등을 제공한다.

코빗은 프로세스 지향적이다. IT활동들을 ▲계획수립 및 조직화 ▲도입 및 구축 ▲운영 및 지원 ▲모니터링 및 평가라는 4개의 업무영역으로 나눠 34개의 프로세스를 제공한다.
 
◆코빗, IT거버넌스 절대기준은 아니다= 앞에서 언급한 것처럼 코빗은 이제 IT거버넌스를 위한 지침서로서 각광을 받고 있다.

IT거버넌스를 제대로 실행하기 위해서는 IT프로세스를 체계화해야 하고, 현재의 IT 성숙도를 진단해야 하기 때문이다.

코빗은 각 업무 프로세스와 조직의 역활·책임·비즈니스 모델 등을 포괄적으로 다루고, 성숙도 진단 모델을 제공하기 때문에 IT거버넌스의 요구를 충분히 제공하고 있다고 평가받고 있다.

특히 IT거버넌스의 핵심인 비즈니스와 IT의 연계에 대한 구체적인 프로세스를 제공한다는 측면에서 코빗의 가치는 주목할 만 하다.

그러나 코빗이 정의하는 평가 척도가 무조건 IT 거버넌스에 대한 절대적 기준은 아니라는 점에 명심해야 한다. 세상일이란 게 교과서에서 시키는 대로 한다고 다 되지는 않는 것 처럼 말이다.  

코빗의 프로세스를 따른다면 기업은 조금 더 수월하게 IT거버넌스 체계를 구축할 수 있을 뿐이다.

각 기업이 보유한 IT의 환경이 다르기 때문에 일률적으로 IT거버넌스를 구축한다는 것은 현실적으로 불가능하다. IT거버넌스를 성공적으로 구현하기 위한 전제조건은 결국 기업 자신의 냉철한 자기분석이 선행돼야 함을 알 수 있다.

ISACA 코리아의 황경태 회장(동국대 교수)은 “코빗은 기본 내용이 IT 프로세스이기 때문에 IT 거버넌스의 모든 것을 담고 있다고 보기는 어려운 면이 있다”고 지적했다.

그는 다만 “성숙도, 성과지표, 역할/책임 정의 등을 담고 있기 때문에 현재까지는 IT 거버넌스 분야에서 가장 많이 인용되고 있다”고 말했다.