[공부] IT내부통제 및 IT일반통제, IT응용통제, 최종 사용자 컴퓨팅

[IT내부통제]

비즈니스는 지속적으로 변화하고 복잡해지고있다. 많은 기업의 회계 결산 혹은 회계정보를 산출하는 소스는 IT시스템에 의존하고 있는 것이 더욱 더 일반적인 환경이다.

재무제표를 구성하는 정보의 산출은 담당자가 수작업으로 처리하거나, 전산시스템을 사용하든지 간에 충분한 신뢰성을 부여할 수 있어야한다.

전산시스템을 이용하는 재무정보의 산출은 IT시스템이라는 고유특성이 존재하므로 내부통제를 파악하고 테스트하기 위한 별개의 방법이 필요할 것이다.

IT시스템의 고유 특성은 아래와 같다.

> 전산통제로 인한 업무효율성 증대
> 일관성있는 업무처리절차의 적용
> 체계적인 오류의 발생 가능성 증대
> 물리적인 거래 자료의 부족
> 데이터의 손실 가능성
> 업무분장의 감소와 자동화된 통제 증대
> IT업무지식의 필요성 증대


[IT일반통제 - ITGC or GITC (IT General Controls or General IT Controls)]

IT일반통제는 IT시스템 환경에서 정보의 처리목적을 달성하기 위한 일반적이고 전반적인 통제활동이다.

IT시스템에 의존하기 위해서는 가장 기본적으로 충족되어야 하는 필수 조건이라고 볼 수 있다.
내부회계관리제도에서는 응용통제에 대한 검토 이전에 일반통제를 먼저 테스트 하여야 한다.
(재무제표에 영향을 미치는 PLC 파악 -> ITAC파악 -> ITAC가 처리되는 시스템을 파악하여 GITC 범위를 결정하겠지만,
테스트의 순서는 GITC -> ITAC 라는 말로 파악됨.
실제로 GITC(연중 유효성 테스트)가 FAIL이 나면 ITAC(test of 1 - 시점을 보기때문에 GITC로 연중 유효했다고 cover가 되어야 함.)도 의존이 불가하기 때문임.)

<영역>
1. 정보보안 및 접근통제
ㄴ 사용자 권한, 인증절차, 접근 설정, 슈퍼유저, 직무분리 등
2. 프로그램 개발
ㄴ 개발 방법론의 준수 및 문서화 여부 ( 개발 승인절차, 분석 -> 설계 -> 구축 -> 테스트 등 ), 단계별 문서화(승인포함), 버전관리, 테스트 및 검증, 프로그램 적용 및 이관승인, 교육 등
3. 프로그램 변경
ㄴ 변경요청, 심사, 확인, 개발, 테스트, 이관 전 승인, 이관, 반영 및 종료 문서화 등
4. 컴퓨터 운영
ㄴ 배치 관리, 백업 관리, 장애 관리, 재해복구절차 관리 등


[IT응용통제 - ITAC (IT Application Controls)]

응용통제는 개별적인 거래를 처리하기 위해 응용프로그램별로 수행되는 구체적인 작업과 관련하여 적용되는 내부통제이다.

1. 입력통제
ㄴ 정보가 완전하고 정확하게 입력되도록 하는 통제
2. 처리통제
ㄴ 애플리케이션의 처리로직과 처리과정이 원래 목적대로 수행되도록 하는 통제
3. 출력통제
ㄴ처리된 결과물이 승인된 자에게만 의도된대로 정확하게 작성 및 보고되도록 하는 통제



[최종 사용자 컴퓨팅 (End-User Computing)]

재무보고의 중요한 프로세스나 관련 통제활동이 사용되는 엑셀 스프레드시트 등을 포함한 최종 사용자 컴퓨팅의 사용으로부터 재무제표 왜곡표시위험을 평가하고 이에대한 통제절차를 마련해야한다.


실무적으로는 엑셀파일을 주로 이용하는데, 이러한 엑셀파일 조차도 한 개의 어플리케이션처럼 다루어져야한다.






참고 : [중급 내부회계관리제도 실무], 삼일포마인, 2020