반응형
기업 거버넌스
- 이사회가 조직을 지휘 감시, 평가하는 시스템
- 이사회가 주주를 대신하여 조직을 이끄는 수단
- 거버넌스는 비전과 전략/방향을 제시하지만 경영은 비전과 전략을 실천한다.
- 궁극적 책임 :이사회와 고위 경영진
- 경영의 책임 :고위경영진
IT 거버넌스
- 가치 창출이 궁극적 목적
- 가치 창출 : 위험을 최적화 하면서도 최적의 자원을 비용으로 편익을 실현하는것
- 효과 실현 + 위험 최적화 + 자원 최적화
- 궁극적 책임 : 이사회와 고위 경영진
- 프로세스
- 비즈니스 니즈에 따라 프로세스 동작
- 조직 목적을 달성하기 위해 이해관계자들의 요구사항이나 조건 측정, 우선순위, 의사결정을 통해 방향 결정
- 컴플라이언스 (거버넌스)
- 평가(Evaluate)
- 감독(Direct)
- 모니터링(Monitoring)
- 관리 (경영진)
- 기획(Plan)
- 구축(Build)
- 운영(Run)
- (운영) 모니터링(Monitoring)
- 5가지 중점영역
- 전략적 연계 : 경영 기획에 대한 IT계획의 상호 연계(CxO가 동의한 핵심성공요인, CSF)
- 가치 제공
- 자원 관리 : 핵심 IT 자원(정보, 인프라, 응용 등), 투자/인프라/지식관리 최적화
- 위험 관리
- 성과 측정 : IT BSC 구현
- 촉진 요인
- 고위 경영진의 IT 지원
- 전략 개발 시 IT 관여
- IT부문의 사업 이해
- IT 리더십
- 핵심 실무 관행
- IT 전략위원회
- 위험 관리
- IT BSC
정보보안 거버넌스
- 기업 거버넌스의 필수 사항
- 가치 지표 : 기밀성, 무결성, 가용성, 지속성, 보호
- 정보보호에 대해 CxO가 관리되고, 궁극적 책임은 이사회에 있다.
- 이사회가 정보보안의 전략적 방향과 비전을 제시하고 이후 경영진이 모니터링
- 이사회가 위험평가와 BIA(Business Impact Analysis)를 정기적 수행
- 효익
- 정책/표준에 준수 보증
- 비즈니스 활동 중 정보보호에 대한 책임 추적성
IT 전략위원회(strategy committee)
- IT거버넌스에서 가장 선행되어야할 과정(경영전략을 IT전략으로 해석)
- 책임
- IT 전략적 목표 성취
- IT 비용 최적화
- 권한
- IT 전략에 대한 이사회와 경영진에 자문 제공
- 현재/미래 전략적 IT 문제 초점
- 구성
- 이사회 임원 / 이사회 외 전문가
IT 운영위원회(조정/기획 위원회, steering committee)
- IT전략 실행을 위한 예산을 승인하고 프로젝트 우선순위를 결정
- 책임
- IT 아키텍처 연계와 승인
- 적절한 자원(예산/인프라) 확보와 할당
- 주요 IT프로젝트를 승인하고 성과를 감시(IT 포트폴리오 관리 책임)
- 위원회 회의의 공식적인 의사록 관리
- 권한
- IT 서비스 제공/IT 프로젝트 일상 관리
- 구현에 초점
- 구성
- CIO, 고위 경영진, 자문역(IT, 법률, 재무..)
BI(Business Intelligence)
- 기업에서 데이터 수집, 정리, 분석하고 활용하여 의사결정을 하는 앱/기술의 집합
- DB, DW, ERP와도 연관되어 있어 넓은 의미로는 모든 분야 포함
- 목적 : 경쟁적 우위를 추구 및 법적인 요구사항 대응(GDPR)
IT BSC(Balanced Scorecard) IT 균형 성과표
- 조직 전략 달성을 위해 재무, 고객, 내부프로세스, 혁신(학습과 성장) 관점으로 핵심성장 지표(KPI)로 전환 관리
- IT에 대해 비즈니스 기여를 사용자 지향성으로 나타냄
- 전사 수준에서 구축된 성과지표(KGI)를 개인수준까지(KPI)로 하향 전개
- 전략에 대한 전 조직 공유 가능
- 목적
- 경영진의 이사회 보고 수단
- 핵심 이해 당사자간 IT 목표 이해(IT성과/위험/역량에 대한 의사소통)
EA(Enterprise Architecture) 전사적 아키텍처
- IT자산을 구조적인 방법으로 문서화
- 중점사항
- 전략적 연계
- 가치 제공
- 목적
- CEO/CIO 관점
- 경영을 위한 투가 전략 지원
- IT 비용 절감
- IT 기획자 관점
- 신기술 및 표준 동향 파악
- 정보화 요구사항 파악
- 관리자 관점
- 비즈니스 프로세스 개선
- 운영 및 개발 관점
- 개발을 위한 아키텍처, 표준 제공
- CEO/CIO 관점
경영 전략 기획(BSP, Business Strategy Planning)
- 포괄적인 경영전략을 실천하기 위해 계획을 수립하는 과정
- 3년~5년에 걸친 전략 계획
IT 전략 계획(ISP, IT Strategy plan)
- 고위 경영진이 IT 전략을 실행하기 위한 계획
- 수립과 실행의 책임 : IT 운영위원회
- 실행을 위해 IT부서를 총괄감독하고 관리할 책임 : CIO
- 효과적인 IT 전략 계획 고려
- 기업의 전략적 방향 파악 > 비즈니스 목표과 과제로 전환 > IT 역량
- 현재 시스템 포트폴리오 검토
- IT 감사인의 ISP 관한 역할
- IT 전략계획이 전사적인 비즈니스 전략과 연계되어 있는지 검토
- CIO와 IT고위 경영진이 BSP에 참여했는지 확인
반응형
'IT > Audit' 카테고리의 다른 글
| CISA Domain 2 품질관리, 성과 최적화, 대체 사이트 (0) | 2023.02.01 |
|---|---|
| CISA Domain 2 Val IT, 위험 관리, 인적 자원 관리 (0) | 2023.01.31 |
| CISA Domain 1 SOX, COBIT, COSO (0) | 2023.01.28 |
| CISA Domain 1 감사 방법, 샘플링, 테스트, 통제 (0) | 2023.01.28 |
| CISA Domain 1 감사 절차, 감사 오류/위험, 문서, 증거 (0) | 2023.01.28 |
