스프레드시트 관리에 COBIT 적용하기

이 논문은 스프레드시트 사용이 기업 전반에 걸쳐 중요한 의사결정 도구가 되었음에도 불구하고, 그 위험 관리가 충분히 이루어지지 않고 있다는 문제점을 제기한다. 저자는 1996년부터 ISACA와 IT Governance Institute가 제시한 COBIT 프레임워크를 활용해 스프레드시트 위험을 경영진에게 효과적으로 전달하고 통제할 수 있는 방법을 모색한다. 논문은 먼저 COBIT의 기본 개념을 소개한다. COBIT는 “Control Objectives for Information and related Technology”의 약자로, 34개의 IT 프로세스를 4대 그룹으로 나누고, 각 프로세스에 고수준·세부 제어 목표와 감사 지침을 제공한다. 또한, 관리 지표, 성숙도 모델, 핵심 성공 요인 등을 포함해 경영진, 사용자, 감사인 등 세 가지 주요 이해관계자를 대상으로 설계되었다. 다음으로 저자는 COBIT가 스프레드시트와 같은 엔드유저 컴퓨팅에도 적용 가능함을 설명한다. COBIT는 특정 기술에 국한되지 않고 모든 IT 프로세스에 대한 일반적인 통제 프레임워크를 제공하므로, 스프레드시트 개발·유지보수에도 동일하게 적용할 수 있다. 이를 입증하기 위해 “응용 소프트웨어 획득 및 유지관리” 프로세스의 고수준 목표와 17개의 세부 목표를 인용하고, 각각을 스프레드시트 개발 단계에 맞게 재구성한다. 예를 들어 설계 방법론, 주요 변경 관리, 설계 승인, 프로그램 사양, 테스트, 사용자 문서, 보안 및 보존 등이 포함된다. 논문은 이러한 제어 목표를 실제 조직에 적용하기 위한 성숙도 모델도 제시한다. COBIT의 성숙도 모델은 0(전무)부터 5(최적화)까지 6단계로 구성되며, 조직이 현재 어느 단계에 있는지를 평가하고 목표 단계와의 격차를 파악한다. 스프레드시트에 적용한 성숙도 모델은 다음과 같이 정의된다. 단계 0은 설계·문서화·테스트가 전혀 이루어지지 않아 오류 위험이 극히 높다. 단계 1은 절차 인식이 있으나 일관성 없고 개별적으로 수행된다. 단계 2는 유사한 절차가 존재하지만 비공식적이며 사용자 역량에 크게 의존한다. 단계 3은 문서화된 절차가 존재하지만 경직적이고 실무에 적용하기 어려워 일부 단계가 생략된다. 단계 4는 공식적인 정책·절차·승인·테스트·문서화가 정착되어 오류 위험이 낮으며, 단계 5는 지속적인 개선과 자동화된 문서화, 지식베이스 활용까지 이루어져 거의 오류가 발생하지 않는다. 마지막으로 저자는 COBIT 적용이 스프레드시트 위험 관리에 새로운 통찰을 제공하기보다는, 이미 알려진 위험과 통제 방안을 경영진이 익숙한 거버넌스 언어로 전달함으로써 관심을 끌고, 조직 차원의 정책·절차 수립을 촉진할 수 있다고 결론짓는다. 또한, 향후 스프레드시트 위험에 대한 간략한 요약과 좋은 실무 지침을 COBIT 형식으로 정리한 두 가지 산출물을 제공해야 한다고 제안한다. 이를 통해 감사인과 개발자가 경영진에게 효과적으로 위험을 ‘마케팅’하고, 기업 전반의 IT 거버넌스 체계에 스프레드시트를 통합할 수 있을 것으로 기대한다.