New 홍현선(ISACA GRA 회원)pds11.egloos.com/pds/200903/08/02/ITSOX.pdf · 2009. 3. 8. ·...
32
2009년 2월 홍현선 (ISACA GRA 회원)
Transcript of New 홍현선(ISACA GRA 회원)pds11.egloos.com/pds/200903/08/02/ITSOX.pdf · 2009. 3. 8. ·...
2009년 2월
홍현선 (ISACA GRA 회원)
목 차
1. 1. 몸몸 풀기풀기
2. 2. 재무재무 보고의보고의 신뢰신뢰 확립확립
3. 3. 인적인적 요소요소 관리관리
IT Compliance Road MapIT Compliance Road Map
1. Plan and scope1. Plan and scope
2. Assess IT Risk2. Assess IT Risk
3. Document Controls3. Document Controls3. 3. 인적인적 요소요소 관리관리
4. 4. 기초기초 다지기다지기 --COSOCOSO
3. Document Controls3. Document Controls
4. Evaluation4. Evaluation
5. Remediation5. Remediation
6. Build Sustainability6. Build Sustainability
몸 풀기 – Risk의 시작 ‘변화’
몸 풀기 – 컴플라이언스와 IT 거버넌스
컴플라이언스 프로세스 수립 자체가 SOX 준수를 의미하지는 않는다.
진정한 SOX 준수는 SOX에서 언급하는 비즈니스 요구사항에 대한 의무,
책임을 규정하고 이것을 지키는 것.
SOX 준수를 위해 잘 갖춰진 IT 통제는 다음을 보증
-효율적, 효과적인 운영을 통한 경쟁우위
-위험관리에 대한 경쟁력 강화, 최 우선 목표 활동 선정
-전반적인 IT Governance 강화
-통합된 관점에서 보안, 가용성, 프로세스의 완전성 보장
-시기 적절 하면서, 보다 양질의 의사결정 지원
-개인정보 보호와 같은 또 다른 규제들에 대한 보완
-프로젝트의 목표를 비즈니스 목표와 부합시킴
-시스템 사고(accident), 지적 재산의 유출 또는 손실을 미연에 방지
몸 풀기(cont.) – 소규모 업체들에 대한 조언
2006년 6월에 발표 – Guidance for Smaller Public Companies Reporting on Internal Control Over Financial Reporting(COSO)
일반적으로 소규모 업체들은 SOX를 위한 통제를 구현하기 어려움.
One-size-fits-all 전략을 피하고, 특화된 전략을 구성하는 것이 중요!
ERP와 같은 복잡한 툴을 사용하지 않으므로 오히려 유리한 측면도 있음.
그러나 적어도 위험평가(RA)는 꼭 수행하자.(이 책에서 제공)
몸 풀기(cont.) – PCAOB, COBIT과의 Mapping
-PCAOB : Public Company Accounting Oversight Board
(미국 상장기업 회계감사 위원회, 회계법인 감독 기구)
몸 풀기(cont.) – 이 책은 이렇게 활용합니다
Customizing-
COBIT, COSO, PCAOBCOBIT, COSO, PCAOB
ITIL, ISO, CMM, PMBOK...
필요한 것만 가져다 쓰기!
재무보고의 신뢰 확립을 위한 초석 – IT 통제
오늘 날의 모든 재무 보고는 시스템에 의해 수행되므로 SOX에서도
IT통제를 강조할 수 밖에 없음.
SOX에서 내부통제 수단으로 COSO를 강조하고 있으나, IT통제
수단으로는 충분하지 못함을 인지.
SEC, PCAOB, COSO, COBIT을 보충 활용 해서 IT 통제 측면의 SOX
준수를 촉진시킬 수 있음.
IT 통제 환경, Computer Operations, 접근 통제, 개발 및 변경관리
재무보고의 신뢰 확립을 위한 초석(cont.) – 조직 구성의 3 요소
(p. 13)
재무보고의 신뢰 확립을 위한 초석(cont.) – PCAOB Guidance
No.1 재무제표의 계정, 공시 사항과 같은 모든 중요 사항에 대한 통제는
테스트 되어야 한다. 특히 다른 통제들을 지원하는 IT통제가 더욱 중요함.
No. 2 이러한 통제 보증을 위해, 감사인은 각 계정(회계)의 잠재적인 오류
가능성을 고려해야 한다. 이는 현업의 프로세스를 지원하는 시스템
환경을 올바르게 진단함으로써 이루어진다환경을 올바르게 진단함으로써 이루어진다.
특히 각 회계 기간에 이루어지는 모든 재무 보고 프로세스에서 IT가
연관되어 있는 부분에 대한 평가가 이루어져야만 함.
인적 요소 관리 –결국은 사람을 Control 해야%
첫째, SOX 준수를 위한 위원회 결성.
둘째, AS-IS 파악하기.
(문화, 변화의 범위, 직원들에 대한 영향, Bench of strength)
셋째 장애물 뛰어넘기 새로운 통제는 언제나 고통을 수반셋째, 장애물 뛰어넘기 – 새로운 통제는 언제나 고통을 수반.
(커뮤니케이션, 교육, 동기부여)
기초 다지기 –COSO
구축된 IT 통제가 어떻게 COSO를 뒷받침 할 것인가? 이것이 바로 SOX
IT 통제의 ‘핵심’ 이다.
효과적인 내부 통제를 위한 다섯 가지 필수 요소
-통제 환경(Control Environment) : ‘Tone at the top’
-위험 평가(Risk Assessment) : Overall level, Activity level-위험 평가(Risk Assessment) : Overall level, Activity level
-통제 활동(Control Activities) : 통제 목표들을 관리하여 실제로 위험을 완화
General, Application control 이 두 가지로 언급
-정보, 커뮤니케이션(Information and Communication)
-모니터링(Monitoring)
IT Compliance Road Map(p. 27)
IT Compliance Road Map(cont.) – 1.Plan and scope
-책임과 의무의 할당 : SOX 추진 위원회 구성
-Application Inventory 작성(첨부E, p97)
IT Compliance Road Map(cont.) – 1.Plan and scope
-재무 프로세스 문서화와 Application 통제 확인 : IT 컴플라이언스 팀이
참여하는 것이 중요하다. 다음의 2 가지 방법으로 추진 가능.
(IT 통제 팀이 Financial / Business 쪽을 Support 또는 그 반대)
-계획 수립과 승인 받기 : Project Estimating tool의 사용(첨부 F, p.98)
IT Compliance Road Map(cont.) – 1.Plan and scope
-Application 통제의 책임자 정의 : Business-specific Application에
대해선 해당 Owner를 책임자로 정한다. 이 때, IT조직의 역할은
통제가 잘 이루어 질 수 있도록 돕는 것.
-어떤 Application을 배제할지 고려 : 해당 APP가 지극히 제한적인
통제를 지원 하고 있는 경우통제를 지원 하고 있는 경우.
-아웃소싱 서비스 의존도 고려 : 서비스 업체의 내부 통제에 대한 적절성
여부 평가.
IT Compliance Road Map – 2. Assess IT Risk
-위험의 가능성과 영향을 동시에 고려 하는 것이 중요 포인트.
-기술, 인적자원, 프로세스, 과거 경험, 재무보고에 끼치는 영향 등이
위험평가의 기준으로 사용 됨.
위험 평가를 수행으로 인해 어디에 얼마만큼의 통제를 적용할지- 위험 평가를 수행으로 인해 어디에, 얼마만큼의 통제를 적용할지
결정할 수 있게 된다. RA는 대체적으로 수행자의 판단에 의해
결과물이 도출되지만 이 책에서는 공통적으로 고려되야 할
위험요소를 제시 해주고 있다.
IT Compliance Road Map(cont.) – 2.Assess IT Risk
Risk Assessment Considerations(고유 위험)
(첨부 G, p.99)
IT Compliance Road Map(cont.) – 2.Assess IT Risk
Risk Assessment Considerations(IT 위험)
(첨부 G, p.100)
IT Compliance Road Map(cont.) – 2.Assess IT Risk
Control Prioritization Grid
(첨부 G, p.101)
IT Compliance Road Map – 3. Document Controls
-재무보고에 사용되는 복잡한 Application들이 많을수록, 승인되지 않은
작은 변경들이 재무제표에 치명적인 영향을 끼칠 수 있다. 문서화
통제는 이러한 것들을 예방하고 찾아낼 수 있도록 해 준다.
-Entity-level 통제 : 조직의 운영 스타일에 반영. (정책, 프로시저, 상위
수준 실무 경험 일반적으로 이것이 잘 정의된 조직은 운영수준 실무 경험), 일반적으로 이것이 잘 정의된 조직은 IT 운영
환경도 잘 구축되어 있기 마련이다.
-Application controls : 2가지 타입이 존재(자동, 혼합) → 문서화! 다음
슬라이드의 첨부 D 참조.
IT Compliance Road Map(cont.) – 3. Document Controls문서화의 예(첨부D), 결산 사이클 (p.88) 총계정 원장 (p.89~90)
IT Compliance Road Map(cont.) – 3. Document Controls문서화의 예, 고정 자산 (p.94-95) 인적 자원 (p.95~96)
IT Compliance Road Map(cont.) – 3. Document Controls
-IT 전반 통제 : 크게 Entity level(상위), Activity level(하위) 로 나뉨.
전자는 경영진 층의 의견을 반영, 후자는 현업의 프로세스 또는 통제
목표들과 같은 세부적인 사항을 다룸.
-IT 기반의 부정방지 통제 : 재무 거래에 대한 적정한 승인, 직무분리
(SOD), Access control( ex : role – based authority )
-SOX에서는 이러한 통제 사항에 대한 문서화를 요구하고 있다. 각
기업의 기업의 실정에 맞는 정책, 프로시저, 의사결정 테이블 등 과
같은 다양한 형태의 문서들을 준비해야 한다.
IT Compliance Road Map(cont.) – 3. Document Controls문서화의 예, 첨부C, IT통제 환경 (p.58) 커뮤니케이션 (p.59)
IT Compliance Road Map(cont.) – 3. Document ControlsRisk Assessment (p.59) Monitoring(p.59)
IT Compliance Road Map – 4. Evaluate Control Design
-통제 설계 평가 : 조직의 통제 프로그램이 사용자들이 수용할 수 있을
만큼 위험을 감소시킬 수 있는지 평가한다. 이를 위해 CobiT에서
제시하는 성숙도 모델을 이용할 수 있다.
IT Compliance Road Map – 4. Evaluate Control Design
-통제 운영 효과성 평가 : 운영적인 측면의 통제에 대한 지속적인 보장을
받을수록 해야 함. 이는 내부 통제 관리 팀에 의해 수행된다.
-통제 테스트 기간에 대한 고려 : 통제가 제대로 작동하는지에 대한 여부.
IT Compliance Road Map – 5. Remediate Deficiencies
-IT통제에 대한 결함일 지라도, 다른 모든 내부 통제와 함께 고려되어야
함. 기업이 일반적으로 겪는 통제 결함의 종류에는 (1)설계적 결함
(2)운영 효율상의 결함이 있다.
-통제 결함을 발견하기 위한 절차, 도구의 개발이 요구됨. (첨부 H, p.102)
IT Compliance Road Map – 6. Build Sustainability
-이 시점에서 CIO와 같은 IT 경영진은 적용된 모든 통제의 효율성을
평가할 수 있어야 한다.
-통제는 ‘이벤트’가 아니다. 지속적인 관심과 평가를 요구하는 ‘프로세스’
이다. 통제 프로젝트를 프로세스로 전환하는 것이 결국 가장
궁극적인 목표임.궁극적인 목표임.
-더 이상 필요가 없는 통제를 없애는 것 또한 지속적으로 수행해야 할 일.
맺음말 – 진정한 Control Objectives% ‘사람’
‘文史哲’
읽기!읽기!
