[내부회계관리제도] IT통제감사 ITGC, ITAC

기업에서 IT시스템 운영 및 환경이 차지하는 비중이 크고, ERP/MES/CRM 등 재무회계 데이터를 관리하는 IT시스템의 중요성이 커지기 때문에 IT통제 부문의 감사 또한 큰 비중을 차지하게 되었다.

 

필자가 속해있는 기업 또한, 상장기업으로 2022년도 직전사업연도말 자산규모가 1천억원 이상으로 IT 담당자의 역할로 내부회계관리제도 IT감사 부문을 담당하게 되었다.

 

IT통제 부문은 크게 다음 두 가지로 나누어진다.

1. ITGC(IT General Control) : IT 일반통제로 접근관리, 변경관리, 운영관리, 프로젝트 개발 및 도입관리

2. ITAC(IT Automated Control or IT Application Control) : IT 자동통제로 재무제표에 반영되는 전표의 자동생성, 접근제어 Tool 사용 등 자동으로 기록관리/침입방지/관리자 지정

 

ITGC Scoping 방법론

1. 재무제표 중요 계정 선정

2. 중요 계정과 관련된 Process, Subprocess/Transaction에 대한 연결부 파악

3. Transaction과 연관되어있는 Risk에 대한 예방/적발하기 위한 IT의존통제, 수동/자동통제 설계(ITAC)

4. In-Scope 시스템에 대하여 GITC(=ITGC) 감사 수행

 

ITGC 주요 통제항목

1. 프로그램 및 데이터 접근

- Application, Database, OS 권한 생성 및 회수

- Application, Database, OS 사용자 계정 및 권한 모니터링

- Application, Database, OS, Network 패스워드 정책

- Application(특수계정보유여부), Database(DML 권한 여부), OS(root 권한 여부), Network(특수계정보유여부) 특수 권한자 파악

- 보안 모니터링 : OS, DB, 내부망 불법접근 모니터링

- 물리적 보안 : 서버실 접근 기록 및 시건장치여부

 

2. 프로그램 변경

- Application 형상변경 절차(일반/긴급) : 요청 > 개발 > 테스트 > 이관, 개발자/이관자 분리여부, 개발환경/운영환경 분리여부

- Application 형상변경 이관자 : 이관 수행자는 개발자가 아니어야함.

- 데이터 원장 변경 절차 : 요청 > 제3자검토 > 반영, 중요 데이터 전/후 기록여부, 원장 변경 권한 보유자

- 인프라 변경 절차 : 주요 Application에 대한 OS, DB 최종변경일자를 확인하여 테스트, 승인 등의 작업계획서 확인(버전 취약점 방지)

 

3. 컴퓨터 운영

- 배치작업 등록 및 변경 : 요청 > 승인(배치담당자) 여부

- 배치작업 관리자 : 배치작업 등록/변경/삭제 권한 보유자 모니터링 여부

- 배치작업 모니터링 : 정상/오류 건에 대한 상위권자 보고 및 문서화 여부

- 데이터 백업 모니터링 : 정상/오류 건에 대한 상위권자 보고 및 문서화 여부

- 데이터 백업 관리자 : 백업 등록/변경/삭제 권한 보유자 모니터링 여부

- 장애 관리 : 보고절차 및 모니터링을 통한 이력 관리 여부

- 재해복구훈련 : 계획서 및 결과서

- 취약점 진단 : 계획서 및 결과/이행 계획

 

4. 프로그램 개발

- 프로그램 개발 절차 : 착수준비 > 분석 및 설계 > 구축 > 테스트 및 검증 > 데이터 변환 및 이관 > 적용 > 사용자 교육 및 메뉴얼

- 운영서비스 업체 선정 및 평가 모니터링 절차 및 승인