[공부] 내부회계관리제도 IT감사, GITC(ITGC) 및 ITAC 요약 -1편-

내부회계관리제도 수준이 검토수준에서 감사수준으로 강화가 되고, 감사 대상이 2019년도 2조억원 자산규모 이상부터 쭉 확대되어 2023년도 부터 거의 대부분의 상장사가 내부회계관리제도 외부감사의 대상이 되면서 이를 대응하기 위한 내부통제, 시스템 등의 구축에 많이 투자하고있습니다.

내부회계관리제도란?

내부회계관리제도란 기업의 재무정보 상, 신뢰성 확보를 위해 회사가 갖추고 지켜야하는 내부통제제도입니다.
이는 2017년도에 대우조선해양의 분식회계로 인하여 국내 회계제도에 대한 신뢰가 추락한 사건을 계기로, 주식회사 등의 외부감사에 관련한 법률이 전면 개정 되었고, 2018년도 말부터 전면 시행이 되었습니다.

기업에서 IT시스템 운영 및 환경이 차지하는 비중이 크고, 결국 IT시스템에서 재무적인 데이터가 나오기 때문에 IT통제 부문의 감사 또한 큰 비중을 차지하게 되었습니다. 회계법인에서도 실제적으로 내부회계관리제도 검토 수준을 감사 수준으로 바꾸고, 외감법에 변경이 있게되며 IT감사인을 대거 채용하였습니다.

IT통제 부문은 크게 GITC(ITGC라고도 함. - General IT Control)과 ITAC(IT Automated Control or IT Application Control)로 나누어집니다.
> GITC(ITGC) : 일반IT통제라고 부르며, 크게 접근관리, 변경관리, 운영관리, 프로젝트 개발/도입관리 등으로 나뉩니다.
> ITAC : 자동통제라고 부르며, 재무제표에 반영되는 숫자의 정확성을 높이기 위해 IPE나 EUC에 의해 값이 입력되는 것이 아니라 전표의 자동생성 등 정보기술을 이용하여 값이 자동으로 반영될 수 있도록 설계하거나 원천적으로 접근제어 Tool 등을 이용하여 자동으로 기록을 남기고, 침입을 자동으로 막고, 관리자를 지정하는 등의 통제로 구분할 수 있습니다. (Interface, Calculation, System Access control, Edit Check Control, Configuration 등)

용어 설명이 궁금하다면 ? https://goddoeun.tistory.com/18?category=1094289

GITC(ITGC) Scoping의 이해

GITC(ITGC)의 Scoping 방법을 이해해 보도록 하겠습니다.

1) 첫번째로, 재무제표에서 중요 계정을 선정합니다.
2) 두번째로, 중요 계정들과 관련된 process, subprocess/transaction을 찾아서 연결을 합니다. 이 과정은 기말감사시 Journal Entry 분석시에도 사용되니, 회계감사팀은 반드시 중요계정 선정을 해 두어야하고, 전산감사팀은 필요시 회사의 전산담당자와 인터뷰하여 전산에서 생성되는 회계전표유형 등을 파악하여 계정과목과 연결지을 수 있어야 합니다.
3) 세번째로, transaction과 연관되어있는 risk를 식별하여 그 risk를 예발/적발하기 위한 Automated, IT의존통제, 수동통제를 설계하게 됩니다. 여기서 식별된 ITAC, IT의존통제가 어떤 시스템에서 수행되고있는지 확인하여 In-scope system을 선정하게 됩니다.
4) 네번째로, In-scope 시스템에 대하여, GITC 감사를 수행하게 됩니다. (이는 2편에 따로 설명하도록 하겠습니다.) GITC 통제의 결과에 따라 ITAC, IT의존통제의 결과가 변경되게 됩니다. (회계감사 절차, 범위 등이 변경될수 있음. - 입증감사의 범위가 넓어지는 등.)

기억과 기업에서 사용하는 시스템의 종류 예시

<제조, 건설사>
- SCM(Supply Chain Management) System
- SRM(Supply Relationship Management) System
- PIS(Purchase Information System)
- WMS(Warehouse Management System)
- MES(Manufacturing Execution System)
- MDM(Master Data Management) System
- 대리점, 영업주문 시스템
- 주유소 실적집계 시스템
- POS 시스템
- 물류/출하 시스템
- 수출입 관리 시스템
- 공사/현장관리 시스템(건설)
- 자산관리 시스템
- ERP(Enterprise Resource Planning) System
- CRM(Customer Relationship Management) System
등

<금융권>
- 계정계(원장 시스템) : 통업무, 수신업무, 증권서비스, 신탁업무, 보험업무, 카드업무, 여신업무, 외환업무, 대행업무 경영지원 등.
- 정보계(고객 및 분석정보 시스템) : 거래활동 및 성과를 분석하고 측정하기 위한 목적, 통계, 경영정보, 리스크, 수지분석, Datawarehouse
- 고객채널 : 대고객 온라인 서비스, 홈페이지, 정보공개
- 대외채널 : 은행 외부기관과의 연계업무를 처리, 거래기업, 은행, 정부기관, 대외기관
- 신용평가 시스템
- 자산관리 시스템
등

<공통>
- HR(인사/급여/연말정산) System
- E-Accounting System
- Firm Banking System

<통제관련 시스템>
- GRC(Governance Risk Compliance) 시스템
- ERM(Enterprise Risk Management) 시스템
- 종합감사 시스템
- 내부회계관리 시스템

<Supporting Tools>
- 형상관리 툴(Softmanager, git-lab, changeflow, harvest, ecams 등)
- 배치작업 툴(Control-M, J-Flow, Ezjobs 등)
- DB 접근제어 툴(DBSafer, ChakraMax, Petra 등)
- OS 접근제어 툴(Hi-ware, DBSafer 등)
- 네트워크 접근제어 툴(Genian NAC 등)
- IAM(Identity and Access Management) (접근관리툴)
- EAM(Extranet Access Management) (권한관리툴)
- SSO(Single-Sign On)
등


IT감사나 내부회계관리제도 GITC(ITGC) 구축 시, 제일 먼저 In-Scope 시스템 파악이 중요합니다.
위에 써내려간대로 인스콥 시스템을 선정하고, GITC 및 ITAC를 테스트하게 됩니다.

회계법인(빅4기준)의 IT감사팀은 크게 비금융/금융으로 나뉘는데요,
대부분 산업군마다 시스템이나 ITAC등이 비슷하기에 팀을 나누어 효율적으로 업무를 수행할 수 있도록 하기 위함 같습니다.

다음 편에는 GITC에 대해서 다루어보도록 하겠습니다.
2편은 여기를 click하세요!

감사합니다!

그럼안뇽~