2018년 11월에 신 외감법 도입에 따른 2019년부터 자산규모 2조원 이상 되는 기업부터 ITGC 전산감사를 수검 받아야 한다.

수검을 받지 못한 경우 감사의견에 영향을 미칠 수 있다.  

주식회사 등의 외부감사에 관한 법률 [제8조 내부회계관리제도의 운영 등] 기준에 의한다.

⑤ 회사의 감사는 내부회계관리제도의 운영실태를 평가하여 이사회에 사업연도마다 보고하고 그 평가보고서를 해당 회사의 본점에 5년간 비치하여야 한다. 이 경우 내부회계관리제도의 관리ㆍ운영에 대하여 시정 의견이 있으면 그 의견을 포함하여 보고하여야 한다.

◆ITGC(정보기술 일반통제, IT General Controls)

개정 외감법은 내부회계관리제도의 실효성 강화를 규정하고 있는데, 이 중에는 회사로 하여금 내부회계관리제도 목적 달성을 지원하는 정보기술 일반통제(ITGC, IT General Controls)를 선정하고 구축토록 하는 내용이 포함됐다.

ITGC는 IT 인프라, 보안관리, 정보기술의 취득, 개발 및 유지보수에 대한 통제활동으로, 구체적으로 ▷프로그램 개발(시스템 도입, 테스트, 데이터 이관) ▷프로그램 변경(설정 및 이관권한 관리) ▷프로그램 데이터 접근 보안(DB접근관리, 사용자 권한관리, 보안) ▷운영(백업관리, 장애관리)에 대한 통제를 의미한다.

​

예를 들어 정보시스템 사용자 계정등록이 계정신청서에 근거해 결재라인의 승인을 얻었는지, 비일상적 IT운영 및 관련작업을 위해 기존 수준보다 상승된 접근권한을 할당받는 경우 ‘사전 승인-활동이력 기록-접근권한 적시 회수-활동이력 검토’가 이뤄졌는지 등을 꼼꼼하게 감사한다는 얘기다.

IT 응용통제(ITAC)와 IT일반통제(ITGC)

ITGC: IT일반통제: 전반적인 IT인프라에 관한 통제 (권한관리, 프로그램개발, 운영, 변경)/ 기초가 되는 것들에 대한 통제 

ITAC: IT자동통제/ ITGC가 잘 이루어진 기반에서 현업부서 업무프로세스상에 자동화 되어있는 업무에 관한 통제

e.g. 운반비는 정해진 비용 테이블과 계산 로직에 의해서 자동계산된다. 

​

ITGC 중 보안 관련 통제내용

​

DB접근제어 및 접근통제

1. 내부 ERP DB/OS의 사용자 계정 및 권한에 대한 주기적 검토

2. 사용자의 DB/OS 우회 접속 금지 설정여부

3. DB 슈퍼유저 권한 허용/차단 여부 점검

4. DB DML 권한 보유자 검토

5. DB DML 이력 검토 및 모니터링