안녕하세요 오늘은 내부회계 전산감사 등에 대해 알아보겠습니다.
좋은 기업은 개인적으론 정보기술 IT와 내부회계 강화를 통해 안정적인 비즈니스 환경을 구축하여 고객에게 신뢰를 얻는 기업으로 보답해야한다고 생각합니다.
정보 보안, 전산감사에 대해서 규제나 제제가 심해지고 있기 때문이죠.
전산 감사에 문제가 생겼을 경우에는 회사에 있어 큰 이미지 실추를 고스란히 받게 됩니다.
이미지는 곧 고객에 있어 신뢰 같은것인데 시스템 혹은 재무제표에 신뢰성이 없으면 안되겠죠??? 자 그럼 이제 ITGC에 대해 자세하게 알아봅시다~~
ITGC, ITAC 무엇인가요? 뜻을 알고나면 쉬워요
ITGC란?
정보기술 일반 통제(Information Technology General Controls)의 약자로, 조직 내의 정보 시스템과 관련된 일반적인 제어 활동을 의미합니다.
이러한 통제 활동은 전체 정보 시스템 환경을 안전하고 효과적으로 관리하기 위해 필수적입니다. 또한 시각화와 구체화를 시켜 미흡한 부분들을 조금 더 상세하게 보고 빠른 대처가 가능합니다.
요약 : 조직 내 정보시스템의 제어 활동 및 효과 적인 관리를 뜻 함
ITAC란?
정보기술 자동 통제로 재무제표에 입력되는 데이터의 상의 오류가 없도록 자동화 처리 상의 통제를 수립하는 것입니다.
그렇다면 내부회계 관리제도의 감사 적용 시기는 언제일까요?
아래와 같이 내부회계관리제도 감사 적용 시기에 대해 알아봅시다.
[감사 의무화 시기 및 자산규모 제도 현황표]
* 점점 감사의무화 시기와 제도가 개정되고 있습니다.
ITGC의 주요 영역
1) 시스템 개발 및 유지보수 제어
소프트웨어 개발과 유지보수 과정에서의 제어 활동을 포함합니다. 변경 관리, 버전 관리 등이 이에 속합니다.
보통은 형상관리를 각 무료 형상관리 배포 툴을 통해 관리하죠.
대표적으론 젠킨스(JenKins) SVN, GitHub, VScode 등 으로 형상관리를 하고 있을것입니다.
수정,변경,배포 등 액션이 많은 경우 ITSM 솔루션을 통해 결재 이력과 배포이력을 남겨 관련 감사에 있어 문서를 제출하기도 합니다.
하지만 더 좋은 방법은 프로그램에 있어 분리 관리하는것인데요?
각 담당별로 계정을 만들어 형상관리프로그램 같은 솔루션을 도입하여 관리 하는것도 하나의 방법이라 생각이 듭니다.
형상관리 솔루션 도입 시 기대 효과
1. 신속한 응답과 메시지 전달로 업무 속도 향상
2. 편리하고 직관적인 사용법으로 사용자 만족도 상승
3. 강화된 보안 기능과 데이터 암호화로 기밀성과 정보 보안 강화
국내 대표적인 형상관리 시스템 : FRISM, Change Flow, DevEye 등이 있습니다.
* 형상관리 솔루션에 대해서는 다음 시간에 이야기를 해보는걸로 자세하게 포스팅 하겠습니다.
2) 물리적 보안 제어 데이터 센터 및 서버 룸의 접근 통제
장비 보안 등 물리적 보안 관련 활동이 포함됩니다. 예를 들면 어떤것들이 있을까요? 보통은 전산실에 대한 통제 지침 혹은 출입 이력, 물리적인 보안시스템 장비들의 구비 정보 등을 봅니다.
3) 접근 제어 시스템 및 데이터베이스 접근 통제
인가되지 않은 접근으로부터 시스템을 보호합니다. 암호화에 대한 규칙성 복잡성 , 물리적/관리적/기술적인 부분, 계정 분리, 망분리 등 여러가지 조건들이 있겠지만 상세하게 다 접근하기 위해서는 많은부분을 봐야겠지요?
예를들면 ISO27001 같은 수립을 하고 있을 때 세부사항을 봐도 도움이나 참고사항이 많이 될 것 으로 보입니다.
4) 운영 제어
일상적인 시스템 운영 활동을 통제하고 모니터링하여 장애를 방지하고 대응합니다. 다운타임은 얼마나 될까? 로드밸런싱은? 이중화 작업은 등등에 대한 이력이나 대책방안이 있는지 등을 봅니다.
5) 프로세스 제어
비즈니스 프로세스를 지원하기 위한 제어 활동을 포함합니다. 데이터 일관성과 무결성을 유지하며 비즈니스 목표를 달성합니다.
이렇듯 크게 5가지 주요항목으로 살펴 보았습니다. 위의 사항은 기본적인것이며 더 많은 부분들을 고려하며 감사에 대응 해야겠지요?
아래 심사 감사 항목 예시표를 만들어 보았어요 참고해보세요 ㅎㅎ
[심사 감사 항목 예시표]
그렇다면 ITGC 관리 및 핵심 포인트는 어떤것들이 있고 대응 방안의 질을 높이는 방법은 무엇일까요? 효율 100%증가 가보잣
ITGC 관리의 핵심 포인트
1. 리스크 평가와 계획 수립
ITGC 관리의 첫 번째 단계는 조직의 리스크를 평가하고 적절한 ITGC 계획을 수립하는 것입니다.
리스크 평가를 통해 어떤 통제가 필요한지 식별하고 이에 대한 계획을 세웁니다.
2. 통제 설계 및 구현
ITGC 통제는 잘 설계되어야 하며, 그 설계에 따라 실제로 시스템에 구현되어야 합니다. 효과적인 통제 설계와 구현을 통해 정보 시스템의 안전성과 무결성을 유지할 수 있습니다.
3. 모니터링과 평가
ITGC는 지속적으로 모니터링되어야 합니다. 이를 통해 제어의 유효성과 효과성을 평가하고 필요에 따라 조정할 수 있습니다. 모니터링 결과는 정기적으로 리더십과 고위 경영진에게 보고되어야 합니다.
4. 교육과 인식 제고
조직 내 모든 구성원은 ITGC의 중요성과 그들의 역할을 이해해야 합니다.
교육과 인식 제고를 통해 직원들이 효과적으로 통제를 준수하고 관리할 수 있습니다.
데이터 무결성 보장을 위한 ITGC
ITGC는 정보 시스템의 데이터 무결성을 보장하기 위한 핵심 요소입니다. 아래 표에서 확인할 수 있듯이, 데이터 무결성은 기업의 신뢰성과 신뢰도에 직접적인 영향을 미칩니다. 데이터 조작으로부터 보호하려면 엄격한 데이터 액세스 권한과 규칙을 구현해야 합니다.
| 데이터 무결성 보장 방안 | 효과 |
|---|---|
| 엄격한 액세스 제어 구현 | 데이터 변조 방지 |
| 실시간 모니터링 시스템 구축 | 데이터 위협 탐지 |
| 로그 및 이력 추적 | 데이터 조작 추적 |
내부회계의 투명성과 외부 감사 준비
내부회계 강화는 외부 감사와 준수 검토를 대비하는 중요한 요소입니다. 아래 표에서 보듯이, 외부 감사를 위한 ITGC 적용은 투자자와 이해관계자에게 신뢰와 투명성을 제공합니다.
| 외부 감사 준비를 위한 ITGC | 효과 |
|---|---|
| 감사 흐름 참조용 문서화 | 효율적인 감사 협조 |
| 시스템 접근 로그 보존 | 감사자의 시스템 접근 추적 |
| 데이터 보안 정책 시행 | 감사적 데이터 보호 |
ITGC 및 내부회계감사를 높이기 위한 방안
1. 통합 형상관리솔루션 도입 2. 사내 전사 및 보안정책 강화 3. 파편적인 시스템 재검토 4. ITSM 시스템으로 이력 관리 ※ 본 이야기는 2편에서 상세하게 다루도록 하겠습니다.
마무리
ITGC는 조직의 정보 시스템 환경을 안전하게 보호하고 효과적으로 관리하기 위해 필수적인 요소입니다. 이 글을 통해 ITGC의 개념과 핵심 관리 포인트에 대해 자세히 알아보았습니다. 여러분의 조직이 안전하고 원활한 정보 시스템 환경을 구축하기 위해 ITGC를 적절하게 관리하길 바랍니다. 그럼 이만
