1. 내부회계관리제도란?

- 주식회사 등의 외부감사에 관한 법률(이하 "외감법") 제8조(내부회계관리제도의 운영 등)의 법적요구사항으로 신뢰할 수 있는 회계정보를 위해 내부회계관리제도를 운영해야 함.

그 중 IT통제는 Genereal Control(ITGC)과 Appliacation Control(ITAC) 도메인으로 나뉘며, ITGC에서 IT와 관련한 전체적인 프로세스와 이행내역을 확인한다면, ITAC는 응용프로그램 레벨에서 데이터의 입력 및 변조등의 사항이 신뢰성 있게 처리되고 있는지 확인한다. 

[표1. 내부회계관리제도 감사의무화 시점]

[표2. 연결재무제표 작성 대상 종속회사의 감사의무화 시점]

[그림1. 내부회계관리제도에 대한 검토와 감사 비교]

2. 적용범위

 - ERP를 중심으로 ERP와 인터페이스 되어 매출에 영향을 발생 시킬 수 있는 모든 시스템

 - 계정 베이스로 업무가 처리되기 때문에 계정관리, 인사시스템도 포함될 수 있음

3. 정보보안 및 접근통제 (APD, Access to Program and Data)

  - 정보보안: 

    ㄴ 정보보안 정책을 수립하고 있으며, 보안실무를 고려하여 그 적정성을 정기적으로 검토하는가

    ㄴ 보안활동에 대한 기록, 발생가능한 보안위반 사항에 대한 식별, 이에 대한 전달 및 적시대응을 포함한 효과적인 보안체계를 

구축했는가

  - 접근관리:

    ㄴ 접근권한 요청은 경영진(관리자)에 의해 검토 및 승인 후 처리되고 있는가

    ㄴ 권한 소유자의 부서 이동 및 퇴사 발생 시 적시에 삭제되고 있는가  

    ㄴ 권한 요청, 생성, 부여, 삭제 등의 모든 요청과 시스템 로그 등은 1년 이상 보관되고 있는가

  - 사용자 확인 및 인증:

    ㄴ 프로그램과 데이터에 대한 논리적 접근이 적절하게 제한되고 있는가.

    ㄴ 비인가되거나 부적절한 접근을 차단할 수 있는 보안통제 절차가 있는가

  - 모니터링:

    ㄴ 정기적으로 사용자 권한의 타당성을 검토하고 있는가

  - 슈퍼유저:

    ㄴ 슈퍼유저의 권한 적절성과 슈퍼유저의 모니터링이 적용되어 있는가.

    ㄴ 슈퍼유저는 IT부서와 현업사용자간의 직무분리가 되어 있는가

4. 프로그램 개발 (PD, Program Development)

  - 개발 및 취득 방법론:

    ㄴ 신규 시스템(어플리케이션) 도입 시 위험을 평가하는 방법론이 있는가

    ㄴ 전산시스템 및 응용 프로그램의 개발은 적절한 통제가 내재된 개발방법론을 적용하고 있는가

  - 개발 타당성 검토:

    ㄴ 새로운 시스템의 개발 및 도입은 경영진(관리자)에 의해 승인되는가

  - 분석-설계-구축-테스트 방법론:

    ㄴ 새로운 시스템 구축에 의해 영향을 받을 수 있는 기존의 통제는 수정되거나 완전성의 유지를 위해 재설계한다   

    ㄴ 전산시스템 및 응용프로그램의 개발은 현업부서 및 전산관련 부서의 적절한 테스트 과정을 거처야 하며, 테스트 방법론이 있어야 한다.

    ㄴ 새로운 전산시스템과 응용프로그램에 대해 시스템, 사용자, 관련 통제에 대한 적절한 문서화가 이루어 지고 있는가

    ㄴ 새로운 시스템을 운영환경으로 이전함에 있어 접근통제를 적용하였는가

  - 데이터 이관:

    ㄴ ITGC/ITAC 요구사항이 반영되어 있으며 데이터 변환이 정확한지 확인해야 한다

5. 프로그램 변경 (PC, Program Change)

  - 인가, 개발, 테스트 및 승인: 

     ㄴ 시스템에 대한 변경 요청은 적절한 경영진(관리자)의 승인을 받는가

     ㄴ 시스템 변경의 영향을 적절히 반영하기 위해 관련시스템, 사용자, 문서를 적절히 수정하고 있는가

     ㄴ 시스템의 변경을 테스트하고 그 결과를 문서화 하고 있는가

     ㄴ 개발 및 테스트 환경이 운영환경과 분리되고 있는가  

  - 운영환경으로 이관

     ㄴ 변경사항을 운영환경에 이관하기 위해 접근권한을 제한하는 절차가 있는가

     ㄴ 경영진(관리자)의 승인된 사항만을 운영 환경으로 이관하고 있는가

     ㄴ 개발자와 이관자는 직무가 분리되어 개발자가 운영환경으로 이관할 수 없도록 하고 있는가

  - 시스템 설정 변경

     ㄴ 운영환경에 적용된 시스템은 경영진(관리자)의 승인 없이 변경되지 않는가

     ㄴ OS, Application의 업그레이드, 보안패치 등에 대한 절차 및 운영이 적절한가

6. 컴퓨터 운영 (CO, Computer Operation)

  - 배치잡관리:

    ㄴ재무보고와 관련된 응용프로그램이나 데이터에 관한 일괄처리(batch job) 및 온라인 거래가 정확하며, 적시에 처리되는가

    ㄴ 배치 등록/변경은 제한된 사람만 가능하고 경영진(관리자)의 승인 후 등록/변경 할 수 있는가

    ㄴ 배치 등록/변경 및 실행이력(성공/실패) 로그들은 1년 이상 보관되고 있는가

    ㄴ 배치 작업의 모니터링이 수행되고 있는가

  - 백업관리:

    ㄴ 백업자료에 대한 접근을 승인된 구성원에게만 허용할 수 있는 통제가 있는가

  - 장애관리:

    ㄴ 시스템 관련 장애나 오류 등을 기록하고 분석하여 동일한 문제의 재발을 방지할 수 있는 절차가 있는가

  - 재해복구절차:

    ㄴ 재무보고에 필요한 데이터, 거래, 프로그램을 복구하기 위해 적절한 백업 및 복구절차가 존재하는가

    ㄴ 복구절차의 효과성과 백업자료의 질을 정기적으로 테스트하기 위한 절차가 있는가

7. 응용통제 (AC, Application Control)

  - 경영진(관리자)의 승인을 통해 데이터가 시스템에 입력되는가 

  - 부정확한 데이터를 추출하고 수정하는 절차와 방법이 있는가

  - 원본 데이터와 입력된 데이터가 일치하는가

  - 처리되는 데이터를 적절히 모니터링 하고 있는가

  - 출력되는 데이터는 직무별로 나뉘어 구분 후 보여지고 있는가

 ※ 기본적으로 요청부터 배포까지 모든 결재나 로그 등은 1년 이상 보관되어 있어야 감사인의 요구사항에 대응할 수 있음

    Application, 서버, 접근제어, github, jenkins, DB 등 모든 사항의 로그를 분석, 적재할 수 있게 관리가 필요함

 ※ 요청에 대한 사항을 경영진(관리자)를 통해 승인 받고 진행하는 것을 예방통제라고 한다면, 장애 및 부재 등의 긴급상황 시 선조치 보고하는 사항을 적발통제라고 할 수 있음. 적발통제 사항은 최소화 시키고 데이터 변경 발생 시 자동으로 알람이 발생하고 경영진(관리자)가 보고 받을 수 있게 모니터링 조치가 필요함

 ※ 데이터 변경의 경우 Application을 통해 변경되는 사항 및 DML 내용 및 검토 등 데이터의 신뢰성을 확보할 수 있도록 처리해야 함 

출처 : 내부회계관리제도 IT통제부문 설명 (tistory.com)