Embed Size (px)
Citation preview
3.1 © 2010 by Prentice Hall
2. 기업의 IT 거버넌스
시스템 감리론
- Cadbury Committee : BCCI Plc, Polypeck Plc, Barings 은행과 같은 영국에서 극적인 회사 붕괴에 대응하는기업 거버넌스의 재무적 측면들에 대해 상세하게 보고하도록 위탁받음
- 보고서들 : 많은 경우에 이사진의 대응과 준거성 역할의 강화를 요구함-> 독립적인 비중역 감독자들 역할의 강화, 이러한 감사 위원회, 감독자들의 급여를 감독하는 급여 위원회,
이사진에 새로운 감독자 임명에 관심이 있는 지명 위원회 내에 비중역의 독립적인 감독자들을 이용하는컴플라이언스 위원회의 창설을 주창
-> 추가로 이사회 문제의 더 많은 투명성과 기업의 CEO로부터 이사회 의장 역할의 분리를 요구-> 보고서는 기업의 거버넌스 관행을 향상시키기 위한 권고사항을 모두 포함하며, 그것의 일부는 차후에
법인 입법화 내 변화로 구성되었고, 주식 거래소에 요구사항을 리스트화함
- 미국의 사베인 옥슬리 법안 : 모든 미국 증권거래소(SEC) 등록법인과 세계 어디에 설치되고 운영되든 그들의자회사 및 관련된 실체들에 대해 건전한 기업 거버넌스 요구사항들을 실행하도록엄격한 입법적 요구사항을 제공함
-> 이 법은 미국 SEC 법인을 포함하여 특정된 공공 회사를 위한 새로운 기업 거버넌스 규정, 규제, 표준을제공
-> SEC : 인정된 내부 통제 프레임워크 명령(mandatory)을 이용해 왔고, 사베인 옥슬리 법과 관련된 마지막규정들 안에서 COSO의 권고사항들까지 특정의 참조를 함
3.2 © 2010 by Prentice Hall
2. 기업의 IT 거버넌스
시스템 감리론
◈ COSO와 정보기술
- COSO는 COSO 프레임워크(예, 통제 활동)의 어떤 요소에서 IT 통제 요구사항을 특정적으로 제시함
- 이 프레임워크는 1992년에 제시되었고, 2013년 5월에 개정된 프레임워크가 제시됨-> 조직 목표를 달성하는데 있어 위험을 완화하기 위한 세 가지 기업목표의 범주와 다섯 가지 IC 시스템의
구성요소로 구조화됨
- COSO 2013 프레임워크 : 기본 구조는 1992와 비슷하나, 좀 더 상세화된 구조의 깊이와 실제로 이용하기더 쉽도록 분명하게 되어 있다는 차이점이 있음
* 사베인 옥슬리 법 안에 많은 규정들 중, 302조와 404조가 IS에 대해 가장 많은 영향을 가짐
- 경영진 : 재무적 보고에 대한 내부 통제 상의 보고서 안과 감사자에게 진술문서 안 양쪽에 재무적 보고에대한 그 회사의 내부 통제의 효과성에 대한 문서화된 결론을 제공해야 함
-> 재무적 보고에 대한 회사의 내부 통제의 효과성에 대한 결론이 많은 형태를 취할 수 있지만, 경영진은그 회사의 재무적 보고에 대한 내부통제가 효과적인지 여부에 대한 직접적 결론을 진술하도록 요구됨
-> 경영진은 만약 하나 또는 그 이상의 중대한 약점이 있다면, 그 회사의 재무적 보고에 대한 내부 통제가효과적인지를 결론 내는 데서 배제됨
-> 추가로, 경영진은 가장 최근의 회계연도 말 시점에 존재하는 모든 중대한 약점을 공개하도록 요구됨
- 재무적 보고에 대한 내부 통제를 제시하는 조항들 : 재무적 보고에 대한 그 조직의 내부 통제의 효과성을평가하고, 해마다 그 평가 결과를 보고하도록 법에 의해 특정된 공개 회사의 관리를 요구함
-> 리스트된 회사에 대해, 그들의 IS에 대한 조직의 내부 통제의 효과성을 평가함을 의미(이러한 것이 재무적 보고서 내에 포함된 재무적 정보에 대한 기본 원천을 구성하기 때문)
3.3 © 2010 by Prentice Hall
2. 기업의 IT 거버넌스
시스템 감리론
◈ COSO와 정보기술- 사베인-옥슬리법 : 경영진이 COSO와 호환될 수 있는 통제 프레임워크를 실행해왔다는 것을 진술하도록
요구하지만, 어떤 프레임워크를 활용해야하는지에 대한 지침은 없음
- 이 문서 내에, ITGI의 지적 : 조직은 IT 일반 통제와 애플리케이션 통제가 존재함을 보장하고 준거성 노력의목표를 지원하기 위해, 사베인 옥슬리 팀 상에 IT로부터 진술을 필요로 함
-> IT를 위한 책임성의 주요 영역 중 일부
- 조직의 내부 통제 프로그램과 그것의 재무적 보고 프로세스를 이해함
- 내부 통제와 재무적 보고 프로세스를 지원하는 IT 시스템을 재무제표에 매핑 (mapping)함
- 이러한 IT 시스템들과 관련된 위험을 식별함
- 식별된 위험을 완화하도록 설계된 통제를 설계하고 실행하며, 연속된 효과성을 위해 통제를 모니터링함
- IT 통제를 문서화하고 테스팅함
- 내부 통제나 재무적 보고 프로세스에서 변화에 대응하기 위해, 필요할 때 IT 통제가 갱신되고 변화되는 것을보장
- 시간에 따른 효과적인 운영을 위해 IT 통제를 모니터링함
- IT에 의한 사베인 옥슬리 프로젝트 관리국에 참여
3.4 © 2010 by Prentice Hall
2. 기업의 IT 거버넌스
시스템 감리론
◈ COSO와 정보기술- 실행된 IT 통제가 COSO 프레임워크를 어떻게 지원하는가를 입증하는 것이 중요하게 됨-> 조직은 모든 COSO 요소들 내에 IT 통제 역량을 가져야만 함-> COSO는 효과적인 내부 통제의 다섯 가지 본질적 구성요소(통제 환경, 리스크 평가, 통제 활동, 정보와
커뮤니케이션, 모니터링)를 식별함
- 2013 프레임워크 : IC(내부통제)의 기본적 개념들이 다섯 가지 본질적 구성요소과 관련된 17개 원칙들[87개의 중점사항(focus points) 포함]로 공식화되고 열거됨
- IS 감사자는 IC 시스템의 효과성을 평가하도록 요청됨
- COSO 자체는 IT 내에 적합한 통제 프레임워크의 실행에 대한 충분한 상세사항을 주지 않는 부분이 있는데,
그런 경우 사베인 옥슬리 법의 의도와 부합하고 404조와 순응하는 설계된 통제 구조를 촉진하는 COBIT과같은 앞에서 정의된 좀 더 상세한 통제 프레임워크를 실행하는 것이 IT 경영진에게 요구될 것임
- COBIT은 운영과 준거성 목표에 대한 통제를 제공하기 위해 설계되었다는 것을 기억해야 함, 재무적 보고는단지 그와 같은 목표들 중의 하나임
- COBIT 5와 COSO 2013
-> 개념적으로 유사하고, 차이 있는 내용을 제시하지만[COSO는 좀 더 일반적 전체 IC의 관점인데 비해,
COBIT은 GEIT(기업 IT의 거버넌스와 관리)의 좀 더 상세한 관점이고 IC 정리물을 포함하고 있음]
-> IC의 호환할 수 있는 관점을 제시하고 있어서, IT를 통한 기업(enterprise) 목표의 성취를 보장하기 위해결합되어 활용될 수 있음
-> 한 가지를 독립해서 이용하는데 비해 함께 활용할 때, 양 프레임워크는 더 뛰어난 도구가 됨
3.5 © 2010 by Prentice Hall
1. 위험의 본질
시스템 감리론
- 모든 조직들은 조직 구조, 규모, 비즈니스의 본질, 또는 산업의 형태에 상관없이 위험에 직면함
- 모든 비즈니스 결정은 위험의 요소들과 관련됨-> 모든 비즈니스 결정은 그 비즈니스의 재무, 생산 라인의 추가 또는 감축, 혹은 조직에 공급하는 원천과
방법과 관련 어떤 결정이든 위험 요소들이 관련됨-> 이런 모든 것은 조직의 중역 경영진에 의해 조직 전체 수준으로 평가되어야 하고, 요구된 비즈니스
활동과 관련되어야 함
- 위험 : 성공적으로 경쟁할 수 있는 능력, 재무적 강점과 조직의 긍정적 공공 이미지를 유지하는 능력,
궁극적으로 그 조직의 생존하는 능력에 영향을 줄 수 있음-> 위험은 제거될 수 없고 단지 관리되지만, 이것은 실체 범위의 위험 식별을 필요로 함-> 전반적 위험은 주로 조직 목표에 달려있을 것이고, 그러한 식별은 지속하는 기반으로 수행된 반복적인
프로세스로 인식되어야 함
-> 위험 식별 : ‘0 기준’ 상으로 or 마지막 검토까지 점진적으로 기획 프로세스의 부분으로 행해질 수 있음
-> 위험은 내부나 외부 요소로부터 일어날 수 있고 그러한 요소들은 서로 관련될 수 있음
- 위험 관리 협회(영국) : 위험 관리 표준에서 다음과 같이 이사회의 책임을 권고함-> 이사회 : 전략적 조직의 방향을 결정하고 위험 관리가 효과적으로 운영하는 환경과 구조를 창출할 책임을 가짐,
이것은 중역 집단, 비 중역 위원회, 감사 위원회나 조직의 운영방법에 적합하고 위험 관리를 위한‘스폰서’로 활동할 수 있는 그런 다른 기능을 통해서 일 수 있음, 이사회는 최소한 내부 통제의 시스템을평가할 때 다음을 고려해야 함
- 특정한 비즈니스 내에 회사가 받아들일 수 있는 가능 손실액의 본질과 정도- 그런 위험이 현실화 될 수 있는 가능성 - 받아들일 수 없는 위험이 다루어져야 하는 방법- 비스니스 상에 가능성과 영향을 최소화하는 조직의 능력 - 위험과 착수된 통제 활동의 비용과 편익- 위험 관리 프로세스의 효과성 - 이사회 결정의 위험 함의
3.6 © 2010 by Prentice Hall
2. 일반적인 감사
시스템 감리론
- 일반적인 감사 : 필요한 전체 감사 커버리지를 결정하기 위한 연간 위험 평가와 연간계획 실행을 포함하고, 개별 감사 계획이 이것에 뒤따름
-> 예비 검토 : 감사 영역이 폭넓게 평가될 수 있기 위해 이해를 구하고 기록하는데 이용됨-> 이 평가로부터, 요구된 컴플라이언스(준거성) 테스트나 실질적(실증) 테스트의 정도가 결정될 수 있음
* 준거성 테스트 : IS의 보안성, 효율성, 효과성을 확보키 위해, 수립해 놓은 효과적인 통제의 준수 여부를테스트 하는 것, 통제 테스트라고도 함
* 실증 테스트 : IS의 보안성, 효율성, 효과성을 검증하기 위해 데이터, 처리, 트랜잭션의 무결성을 테스트하는 것
-> 테스트가 완료되고 결과가 평가된 후, 감사 보고가 이루어져야 함-> 이것은 전형적으로 유효한 조치를 취할 수 있고 권한을 받은 첫번째 레벨의 경영진에게 전달됨
-> 보고가 동의되고 발표된 후에, 어떤 동의된 조치가 발생했다고 보장하기 위해 후속조치(follow-up)가요구됨
- 감사자 : 적합한 통제 목표, 통제를 성취하는데 필요한 것, 책임이 어디 있는지, 관리, 시스템, 물리적통제가 적합한지를 각각 확인하는 것이 필요함
-> 통제 목표를 확인하는 것은 위험 프로파일을 통해 행해짐
-> 가용성, 완전성, 정확성, 기밀성, 무결성이 변하지 않더라도 통제 목표는 각 사이트에 대한 고유한비중을 가지게 될 것임, 실행된 모든 통제는 비용과 편익의 상충관계를 포함할 것임
* 컴퓨터 위험의 결과로 공통적으로 직면될 문제
3.7 © 2010 by Prentice Hall
2. 일반적인 감사
시스템 감리론
- 회사 내 컴퓨터 위험의 전형적인 원인 : 어떤 위험 평가도 행해지지 않음을 포함
-> 이것은 컴퓨터 통제의 잘못된 관점을 공통적으로 초래함-> 어떤 책임 부여도 없고 경영진 개입의 부족이 직무의 불충분한 분리를 이끎-> 미흡한 관리와 빈약한 인력 절차 : 불충분한 접근 통제를 가진 문제를 야기할 수 있음-> 공개된 시스템과 인간 잘못의 공통 문제와 동조된 사용자 인식의 부족이 수락할 수 없는 위험포지션을
남기도록 결합됨
- 감사자 : 대개 위험 기반 감사 접근을 활용할 때 세 가지 형태의 위험(☞ 7장 참고)을 고려-> 고유 위험(inherent risk) : 위험을 감소시키는 요소들을 고려하기 전에 발생하는 중대한 상실의 가능성
-> 고유 위험을 평가하기 위해 위험의 본질, 그런 위험의 가능성을 제시하는 지표들, 그런 함축된위험의 심각성이 평가되도록 하기 위해 위험이 발생할 수 있는 환경에 감사자는 친숙해져야 함
-> 통제 위험(control risk) : 고유 위험을 다루기 위해 설정된 통제 프로세스들이 유효하지 못한 것으로판정되는 가능성을 측정함-> 경영진에 의해 설계되고 실행된 통제가 허용(tolerance) 수준 내로 고유위험을 충분히 감소시키는지
여부를 평가하기 위해, 감사자는 그 위험의 가능성이나 영향을 감소시키기 위해 경영진이 의존하는통제를 식별해야 함 -> 이러한 통제가 일단 식별되면, 통제의 알려진 유효성을 테스트하기 위한
감사 프로그램이 설계되고 실행될 것임
-> 감사자는 위험을 감소시키는데 통제의 비용을 항상 고려해야 하고, 어떤 점에서 관리 결정은 더이상의 어떤 통제도 실행하도록 취하지 않고 잔여 위험(residual risk)을 받아들인다는 것을 또한명심해야 함
-> 감사 위험(audit risk) : 중대한 비즈니스 노출이 충분히 감사 프로세스에 의해 해결되지 않아 발생한위험, IS 감사자가 감사 위험이 최소화되어 왔다는 것을 보장하기 위해 모든 조치를 취하는 반면에,
그것은 결코 완전히 보장될 수는 없음
3.8 © 2010 by Prentice Hall
3. 위험 분석의 요소
시스템 감리론
- 위험분석 : 주어진 위험의 중대성에 대해 평가하고 발생하는 위험의 가능성이나 빈도를 평가하는 것 수반
-> 조직에서 위험 분석 : 주요한 의존성과 통제 노드의 식별을 요하는 프로세스 분석을 수반함-> 그것은 비즈니스 조직(entity) 내 프로세스들을 살피고 교차 조직의 의존성을 식별함-> 데이터가 어디서 발생하고, 어디에 저장되며, 그것이 어떻게 유용한 정보로 변환되며, 그 정보를 누가 이용
하는지를 살핌-> 이런 프로세스들 : 품질 통제 프로세스에 의해 긍정적으로 영향 받을 수 있음, 이 단계에서 통제의
완화하는 효과가 고유 위험을 설정하기 위해 고려되기 전에 대개 위험이 평가됨
- 경영진과 감사자 : 위험이 어떻게 다루어져야 하고, 어떤 조치가 취해질 필요가 있고, 무슨 통제가 실행될필요가 있는지를 고려해야 함-> 발생하는 위험의 중대성이나 가능성을 줄이기 위한예방적 절차이거나 위험이 발생하면 효과를 상쇄하는 대체 절차가 되어야 함
- 내부 통제에 의한 위험의 완화 : 비용과 편익과 관련된 결정을 수반, 이 중에서 비용은 대개 계량화하기가 더 쉽고, 이론적으로 비용은 편익과 같아지는 시점(편익=비용)까지만 집행 되어야 함
-> 이것은 비용편익 분석이 대개 관리될 위험의 부분과 남게 되는 부분을 초래하는 어떤 경영 결정임
- 경영진 : 잔여 위험을 지속되는 기반 상에서 검토해야 하고 노출 견지에서 검토해야 함-> 아무리 분석이 좋아도, 의사결정에서 나쁜 판단이 위험이 알려진 이후에 여전히 일어날 수 있음-> 분석 자체가 불완전, 불충분, 부적절한 시기의 데이터 관점에서 이루어졌을 수 있음-> 사람들은 지치고 실수를 하며, 대부분의 위험 분석은 두 명 이상의 사람들의 집단적 공모나 관리진의
내부 통제 시스템에 대한 무효화를 경시하게 됨
- 의미 있는 위험 분석 : 실제로 목표를 달성할 가능성을 증가시킴-> 통제 절차에 필요한 변화에 경영진을 주의시키고, 활동 목표를 조치로 연결시킴-> 위험 분석은 통제 절차에 노력을 집중해야 하고, 분석 자체는 공식적이거나 비공식적일 수도 있고,
중요한 것은 공식성의 정도가 아니라 그 결과임
