내부 통제를 위한
대응 전략,
ITGC 구축
2018.11.1 외부감사에 관한 법률 개정에 따라,
내부통제가 강화되어 개별 자산규모에 따라
2019~2023까지 순차 적용되며
강화된 감사기준에 따라 전산 부서에서는
정보시스템 감사를 준비하여야 하고
이를 위해 프로그램 개발, 변경, 운영, 접근 보안 등의
관점에서 절차, 근거, 기록을 제시할
방안을 마련해야 합니다.
내부통제가 강화되어 개별 자산규모에 따라
2019~2023까지 순차 적용되며
강화된 감사기준에 따라 전산 부서에서는
정보시스템 감사를 준비하여야 하고
이를 위해 프로그램 개발, 변경, 운영, 접근 보안 등의
관점에서 절차, 근거, 기록을 제시할
방안을 마련해야 합니다.
내부회계관리제도란?
“내부회계관리제도”란 기업의 재무제표 및 관리 시스템 신뢰성의 확보를 위해 회사가 갖추고 지켜야 하는 내부통제제도입니다.
국가에서는 기업의 IT 시스템 운영 및 환경이 차지하는 비중이 높아짐에 따라 안정적 기업 운영을 위하여 IT 통제 부문의 감사를 의무화하고 있습니다.
IT 통제 부문은 크게 ITGC (IT General Control)과 ITAC (IT Application Control) 분류됩니다.
ITGC : 정보기술 일반 통제로 IT와 관련한 업무에서 전체적인 프로세스상의 통제를 수립
ITAC : 정보기술 자동 통제로 재무제표에 입력되는 데이터의 상의 오류가 없도록 자동화 처리상의 통제를 수립
국가에서는 기업의 IT 시스템 운영 및 환경이 차지하는 비중이 높아짐에 따라 안정적 기업 운영을 위하여 IT 통제 부문의 감사를 의무화하고 있습니다.
IT 통제 부문은 크게 ITGC (IT General Control)과 ITAC (IT Application Control) 분류됩니다.
ITGC : 정보기술 일반 통제로 IT와 관련한 업무에서 전체적인 프로세스상의 통제를 수립
ITAC : 정보기술 자동 통제로 재무제표에 입력되는 데이터의 상의 오류가 없도록 자동화 처리상의 통제를 수립
이에 따라 전산 부서는 통제 수준을 정의하고 가시화하여 ITGC 관리 체제 구축에 집중하여 감사에 대비하여야 합니다.
2028년부터 모든 상장법인은
정보시스템 감사를 시행합니다
23.6월 국무회의에서
외부감사법 시행령 개정안이 의결되어,
연결 내부회계관리제도 구축·운영·외부감사 의무가
2023년부터 순차적으로 적용됩니다.
외부감사법 시행령 개정안이 의결되어,
연결 내부회계관리제도 구축·운영·외부감사 의무가
2023년부터 순차적으로 적용됩니다.
자산규모 기준
2조원 이상
5천억 ~ 2조원 미만
500억 ~ 5천억 미만
500억 이하
연결기준 감사 의무
시행 연도(유예 연도)
시행 연도(유예 연도)
2023년
2023년(2028년)
2023년(2028년)
해당 없음
유예 내용
유예 없음. 즉시시행
5년 유예
5년 유예
비고
개별 감사 면제 가능(비상장 중심)
내부 회계 관리 제도의 위험성
RISK 1
감사에 대비가 미진할 경우 많은 비용적, 인적 불이익 발생
RISK 2
감사 자료 요구에 정확한 자료 미제출 시 “의견거절” 감사 의견 발생
RISK 3
재감사의 경우 따른 비용 및 일정 부담
RISK 4
감사 의견 (한정, 비적정, 의견거절)으로 인한 상장 폐지 위험성
감사의견 비적정으로 인한
상장폐지 건수
전체 상장 폐지
감사 의견 비적정
18
1
2019년
31
10
2020년
39
9
2021년
44
11
2022년
43
7
2023년
근거자료 : 한국경제 - "한때 '시총 9조' 금양까지...벌써 31개사 줄상폐 위기" 에서 발췌
IT 업무의 위험성과 해결방안
IT감사 주요 점검 포인트
일반
- IT 정책서가 존재하며 적시에 업데이트되고 있는가?
- IT시스템에 의존하는 통제 활동과 관련된 시스템이 모두 ITGC 대상 시스템으로 관리되고 있는가?
프로그램 개발
- 신규 시스템의 개발 또는 도입이 적절한 IT관리자에 의해 승인되고 관리되고 있는가?
- IT시스템의 개발은 현업부서 및 IT부서의 적절한 테스트 과정을 거치고 있는가?
프로그램 변경
- 프로그램 변경 이력이 관리되고 있는가?
- 프로그램 변경 시 적절한 인원에 의해 검토되고 승인되고 있는가?
- 프로그램 변경을 적절하게 테스트하고, 그 결과를 문서화하고 있는가?
프로그램과 데이터에 대한 접근보안
- 적시에 사용자 계정을 추가, 수정, 삭제할 수 있는 절차를 수립하고 적용하고 있는가?
- 구성원이 수행하는 업무의 내용 및 직무기술서 등을 고려하여 시스템 접근권한의 적절성이 정기적으로 검토되고 있는가?
- 데이터 직접 변경 이력이 관리되고 있는가?
- 데이터 직접 변경 시 적절한 인원에 의해 검토되고 승인되고 있는가?
프로그램 운영
- 데이터, 거래, 프로그램을 복구하기 위해 적절한 백업 및 복구절차가 존재하는가?
- IT시스템과 관련된 장애나 오류 등을 기록하고 분석하여 동일한 문제의 재발을 방지할 수 있는 절차가 존재하는가?
ITGC 항목에 따른 지원 범위
항목 |
세부 항목 |
FRISM 기본 기능 |
프로세스 지원 |
지원 프로세스명 |
인터페이스 시스템 |
|---|---|---|---|---|---|
| IT Process-wide Consideration | IT Process-wide Consideration | IT 정책 게시판 및 규정 등록 | |||
| IT Process-wide Consideration | 프로그램 개발 | ||||
| 프로그램 변경관리 | |||||
| 프로그램 이관 | |||||
| 인프라 변경관리 | 인프라 프로세스 | ||||
| 전산 운영 | 배치잡 관리 | 배치 시스템 영역 | 권한 보고 프로세스(배치) | 배치관리 시스템 | |
| 시스템 성능 및 오류관리 | 관제 영역 | 장애 보고 프로세스 | 관제 시스템 | ||
| 데이터 백업 및 복구 | 백업 영역 | 백업 프로세스 | |||
| 백업 프로세스 | 계약 영역 | ||||
| 접근 보안 | 어플리케이션 접근 보안 | △ | 권한 요청 프로세스 | ||
| 데이터베이스 접근 보안 | DB 접근 제어 영역 | DB 요청 프로세스 | DB 접근제어 시스템 | ||
| 운영시스템 접근 보안 | 계정관리 영역 | 권한 보고 프로세스(OS) | |||
| 물리적 보안 | 해당 사항 아님 |
신외감법 IT 일반통제(ITGC)는 '재무보고 대상 기간 동안 유효하게 운영되었는지 여부'를 평가합니다.
내부 회계관리제도 목적상 프로그램 개발, 변경, 프로그램과 데이터에 대한 접근 보안, 컴퓨터 운영 등의 영역을 대상으로 하며
일련의 활동에 대한 업무 프로세스와 승인 절차, 히스토리 관리, 접근 권한 관리가 수반되는 통합 관리시스템 구축을 제안합니다.
내부 회계관리제도 목적상 프로그램 개발, 변경, 프로그램과 데이터에 대한 접근 보안, 컴퓨터 운영 등의 영역을 대상으로 하며
일련의 활동에 대한 업무 프로세스와 승인 절차, 히스토리 관리, 접근 권한 관리가 수반되는 통합 관리시스템 구축을 제안합니다.
ITGC 시스템 구축
ITGC Process & Work-flow
ITGC 프로세스로 확장 적용하세요
내부통제에 필요한 프로세스를 제공합니다
전문가가 인프라 현황 및 조직 구조를 분석하여 Process Tailoring을
통해 대응 방안을 마련해 드립니다
이미 20여종의 프로세스가 준비되어 있고 조직의
규모에 따라 선택적 사용이 가능합니다
전문가가 인프라 현황 및 조직 구조를 분석하여 Process Tailoring을
통해 대응 방안을 마련해 드립니다
이미 20여종의 프로세스가 준비되어 있고 조직의
규모에 따라 선택적 사용이 가능합니다
Change Flow & Audit Check Point
어떤 요구사항으로 변경요청을 의뢰 하였나?
CSR의 요청 내역과 관련 문서를 확인합니다
요청일에 따라 만족도 및 진척율을 관리 할 수 있습니다
요청일에 따라 만족도 및 진척율을 관리 할 수 있습니다
IT 담당자는 어떤 작업 계획을 수립하고 적절한 승인을 받았나?
담당자의 접수 및 개발에 관련된 분석내용을 기준으로 적정한 완료일을 계획하고 절차에 맞는
승인이 이루어 졌는지를 확인합니다
승인이 이루어 졌는지를 확인합니다
어떤 파일을 변경하여 버전을 기록했는가?
적절한 테스트를 수행하였는가?
적절한 테스트를 수행하였는가?
변경된 파일과 릴리즈된 버전을 확인하고 개발확정(Freezing) 상태와 개발 및 테스트
서버에 반영된 결과를 확인합니다
또한, 개발 문서 및 단위 테스트 결과물을 등록하고 관리 할 수 있습니다
서버에 반영된 결과를 확인합니다
또한, 개발 문서 및 단위 테스트 결과물을 등록하고 관리 할 수 있습니다
운영 반영 계획과 승인은 적절하게 수행되었나?
운영에 반영될 시간을 즉시 또는 예약을 통하여 의뢰되고 승인되었는지를 확인합니다
운영 적용시 작업 로그 및 결과에서 문제는 없었는가?
빌드 및 배포의 결과에서 오류가 발생했는지를 확인하고 작업이 적절히 수행되었는지 조회 합니다
또한, 서비스를 진단을 통하여 문제 발생시 재작업을 수행하거나 중단,롤백 처리가 수행할지를 판단합니다
또한, 서비스를 진단을 통하여 문제 발생시 재작업을 수행하거나 중단,롤백 처리가 수행할지를 판단합니다
Process Flow History
프로세스 진행 이력이 Diagram으로 표시됩니다
승인 및 반려되고 재 진행되는 모든 절차가 직관적으로 표시되며 상세한
내역을 조회 할 수 있습니다
ITGC에서 요구되는 절차를 이력관리 화면을 통해 조회, 출력하세요
내역을 조회 할 수 있습니다
ITGC에서 요구되는 절차를 이력관리 화면을 통해 조회, 출력하세요
User & Roll Change History
로그인 및 권한의 변경등을 레포팅합니다
형상관리 시스템 운영 중 발생되는 로그인, 사용자 권한, 그룹권한 등의
변경 정보를 조회하고 출력할 수 있습니다
변경 정보를 조회하고 출력할 수 있습니다
Capture & PDF Printing
근거 자료의 추출을 위하여 모든 화면에서
Capture, Printing 기능을 제공합니다
Capture, Printing 기능을 제공합니다
화면에 대한 Capture를 통해 이미지 파일을 저장합니다
Print를 이용하여 스크롤된 화면전체를 출력하거나PDF파일로 저장할 수 있습니다
Reports
팀별 / 조직별 SR, 진행 일정 표시
긴급, 사용자 레포트 관리 화면
시스템 사용 현황 표시
System Log 표시
IT 시스템 투명성 확보!
형상관리 솔루션으로 신뢰받는 기업으로 도약하세요!
외부감사법(외감법)은 기업의 재무제표와 내부통제 시스템의 투명성을 높이기 위해 필수적으로 준수해야 하는 법령입니다.
IT 시스템의 관리가 점점 중요해짐에 따라, 형상관리 솔루션은
개발 및 변경 이력을 체계적으로 관리해 법적 요구사항을 충족하는 데 핵심적인 역할을 합니다.
IT 시스템의 관리가 점점 중요해짐에 따라, 형상관리 솔루션은
개발 및 변경 이력을 체계적으로 관리해 법적 요구사항을 충족하는 데 핵심적인 역할을 합니다.