1장. 기업 거버넌스와 IT 거버넌스 ** IS 감사인이 거버넌스를 감사하기 가장 좋은 방법은 이사회 의사록 검토
(1) 기업의 사회적 책임
1) 이해관계자(Stakeholders) : 조직활동과 의사결정과정에서 고려해야 할 개인/단체/조직
2) 지속 가능한 발전(SD: Sustainable Development) : 범지구적이고, 범인류적인 가치관
3) 기업의 사회적 책임(CSR: Corporate Social Responsibility) : SD와 CSR은 3가지 기본가치 지향
- 이윤(Profit)
- 사람(People)
- 환경(Planet)
4) ISO 26000 : 사회적 책임에 관한 세계적인 표준 모델 (7가지 주제 영역 중 가장 근간이 되는 영역: 조직 거버넌스)
- 조직 거버넌스에 대한 개념 도출: (광의의 관점에서) 조직이 목표를 추구하는 과정에서 결정을 내리고 실행하는 시스템
(2) 기업 거버넌스(조직 거버넌스)
1) 이사회(BOD: Board of Directors) = Governance body, Governing body)
- 기업의 미션(=존재 이유)/가치관/비전(=장기목표)를 결정
- 전략적 방향과 정책 제시: 전략과 정책은 항상 이사회 Level임
- 경영진의 전략 계획(전략 X)을 검토하고, 실행을 감시 (따라서, CEO가 BOD 의장을 겸임하지 않는 것을 권장)
** 거버넌스 구현은 경영진 책임, 구현 감독 및 확인은 이사회 책임
- 건실한 통제/보안 시스템을 설계하고 운영하는지 확인
- 준법위원회/감사위원회 등 산하의 위원회를 설립하고 활동을 감독
** 감사헌장 승인 주체: 감사위원회 -> 최종적으로 이사회 승인
2) 기업 거버넌스(기업지배구조, Enterprise Governance, Corporate Governance)
- 정의 : BOD가 조직을 지휘, 감시, 평가하는 시스템이며, 주주를 대신하여 조직을 이끌어 가는 수단
① 지휘(Direct)
② 감시(Monitor)
③ 평가(Evaluate)
- 기업 거버넌스 구현 과정
① 주주 요구사항 및 관여여부 결정 (IS 감사인이 기업 거버넌스 효과성 감사 시 가장 중요하게 판단하여야 할 요인)
② 보증 목표 및 대상 확인
③ 주요 위험 및 관련 기회 식별
④ 주요 성공요인(도구) 및 적용가능성 결정
3) 기업 거버넌스/경영(관리, Management)/운영(Operation)의 관계
- 거버넌스 : 궁극적 책임 -> BOD, 경영: 궁극적 책임 -> 고위 경영진
- 거버넌스 : 비전과 전략을 제시, 경영: 비전과 전략을 실천.
- 거버넌스 : 경영을 감시, 경영: “운영”을 계획/실행/감시하고 성과 책임을 짐
① 운영(Operation): 날마다 반복적으로 수행되는 일상적 활동을 통칭
② 운영 계획과 실행은 중간 관리자 및 일선 실무자들의 책임
(3) IT 거버넌스(GEIT: Governance of Enterprise IT)
1) 정의 : BOD가 IT경영을 지휘/감시/평가하는 시스템
2) 목적 : 사업과 IT의 전략적 연계를 통한 가치창출(위험을 최적화하면서도 최적의 자원비용으로 최대의 편익 실현)
- 편익 실현(Benefit Realization) : 비즈니스 리스크 고려 후 운용 리스크 고려하여 우선순위를 결정
- 위험최적화(Risk Optimization) : 최우선 과제 -> 기업의 위험성향(Risk appetite) 파악
- 자원 최적화(Resource Optimization)
3) IT 관리와의 비교
- IT 거버넌스는 이사회 책임이지만, 관리는 IT 관리자 및 CIO 책임
- IT 거버넌스는 지휘/감시/평가를 수행하지만 IT 관리는 기업/구축/운영/모니터링을 수행
4) IT 거버넌스 5가지 도메인
- 전략적 연계 : IT와 사업 연계성 달성
- 위험 관리 - 가치 제공 : IT의 투자비용 대비 효익, 효과성
- 자원 관리
- 성과 측정 + 컴플라이언스 관리
(4) 정보보안 거버넌스(ISG: Information Security Governance)
1) 정의 : BOD가 정보보안을 지휘/감시/평가하는 시스템
- BOD는 위험 산정 평가와 BIA(Business Impact Analysis)를 정기적으로 수행하여야 함(BIA는 위험산정평가를 포함)
- IS 감사인은 정보보안전략(전략계획 X)을 BOD가 제시하였는지를 확인하여야 함
** 최소한의 보안표준: 보안 아키텍처
2) 위험 평가(=위험 분석) : 전사적으로 수행되어야 함
- 자산 식별 및 분류(최우선 과제)
- 위험 식별(위협&취약점 확인)
- 현행보안대책 평가
- 추가보안대책 추천
3) 위험의 영향 및 발생 가능성의 측정
- 정성적(Qualitative) 기법 수행 후 정량적(quantitative) 기법을 사용하여야 함
- 위험 측정 기법
① ALE(Annual Loss Expectancy, 연간손실기댓값)
② ALE = SLE(Single Loss Expectancy, 단일손실기대값) × ARO(Annual Rate of Occurrence, 연간사고발생빈도)
③ SLE = AV(Asset Value, 자산가치) × EF(Exposure Factor, 가치감소비율)
4) 정보보호 거버넌스 6가지 결과물
- 전략적 연계
- 위험 관리
- 가치 제공 : 효과성
- 자원 관리
- 성과 측정
- 프로세스 통합
2장. IT 거버넌스 및 IT 전략 기획
(1) IT 전략의 수립과 실행 ** 장기 수준의 IT 전략과 단기 수준의 IT 전술을 구별하는 문제가 자주 출제
1) IT 전략 위원회(Strategy committee) : BOD수준 -> IS전략의 준거성 검증책임 [사업전략 - IS전략] 연계
2) IT 조정 위원회(Steering committee, IT운영위원회, IT기획위원회) : 경영진수준 -> IS전략 실행책임 [IS전략 – IS활동] 연계
- IT 전략실행 예산승인/프로젝트 우선순위 조정(조직자원 할당)
** 사업부(비즈니스)의 우선순위 조정: 이사회 권한 -> 사업부는 프로젝트의 집합(포트폴리오)보다 상위의 개념
** 프로젝트 일정/비용 관리 : 프로젝트 관리자 -> 단일 프로젝트 수준
- 주요 IT 프로젝트 승인/성과 감시 : 사업 목표에 부합하도록 프로젝트의 방향 조정과 통제사항 제공
- IT 전략 위원회와 정기적/주기적 소통 필요
(2) IT 전략 경영(Strategic management)
** 전략과 전략계획을 구별하는 문제가 자주 출제
** 전략 목표 공유: 정보 전략 계획(의사소통 및 교육훈련) 필요
1) 비즈니스 전략(Business strategy) : BOD 수준
2) 비즈니스 전략 계획(BSP: Business Strategic Plan) : 고위 경영진 수준
- BSP는 일련의 전략적 과제(Initiative)들로 구성
- 과제 : 전략을 달성하기 위한 프로젝트 및 프로그램
3) IT 전략(Information and related Technology Strategy) : BOD 수준
- 비즈니스 전략이 수립되면 이를 지원하는 IT 전략 수립 -> IS 전략 계획서(ISP)
① 사업 전략
② 전략목표에 대한 분석
③ 4가지 전사적 아키텍처 : 정보 아키텍처/정보 기술 아키텍처/응용 시스템 아키텍처/정보관리조직
- 비즈니스 전략을 지원해야 하며 비즈니스 기회를 확장해 줄 수 있어야 함 (조직의 전략과 목적을 확장) : 가치분석 활용
- IT 전략을 실행하고 IT 가 비즈니스를 지원하게 할 궁극적 책임 : CEO (전략적 목적을 부서 차원으로 상세화)
- IT 전략 준거성을 검증할 책임 : 이사회 산하 IT 전략 위원회 (이사회는 사업과 IT가 연계되었음을 비준)
4) IT 전략 계획(ITSP) : 고위 경영진 수준
- IT 전략 계획(ITSP) : 고위 경영진이 IT 전략을 실천하기 위한 계획
- ITSP는 일련의 전략적 IT 과제들로 구성
- IT 과제 : IT 전략을 달성하기 위한 IT 프로젝트 및 프로그램(예산/구입사양/개발일정과 같은 구체적인 실무X)
- ITSP를 수립하고 실행할 책임 : IT 조정 위원회 (수립 후 IT 전략 위원회 보고, 이사회 비준)
- ITSP를 실행하기 위해 IT 부서를 총괄 감독하고 관리할 책임 : CIO (경영전략과 연계하여 상세화를 하여야 함)
- IT 전략 계획 실행이 성공하기 위한 핵심성공요소(CSF) : 적절한 자원할당
(3) IT 거버넌스 구현 후 성과 측정도구
1) IT 균형성과표(BSC: Balanced Scorecard)
- 비즈니스 균형성과(점수)표
① 재무
② 고객
③ 내부 비즈니스 프로세스
④ 학습과 성장
- 측정기준 -> IT 대쉬보드(주기적 검토 및 변경)
① KPI(Key Performance Indicators, 핵심 수행 지표) : 과정지표, 목표 값, 백분율로 측정, 선행(Lead) 지표
② KGI(Key Goal Indicators, 핵심 목표 지표) : 결과지표, 궁극적 목적(Outcome), 후행(Lag) 지표
2) IT거버넌스 성숙모형(=프로세스 성숙도 평가(Process Maturity Evaluation))
(4) 전사적 아키텍처
1) 정의 : 특정 조직의 비즈니스/정보/응용/기술이 상호 연계되도록 돕는 최상위(최소한) 수준에서 설명한 모델
2) EA의 활용 : 현 상태와 미래 상태 사이의 격차를 파악하여 IT 투자 방향 결정 시 참고(궁극적으로 IT와 비즈니스 전략 연계)
** 미래 상태에 대한 청사진(미래 상태)을 포함하여야 함 (미포함 시 보고 사항)
(5) IT 가치 및 투자 관리 = Val IT 프레임워크 (COBIT 프레임워크 중 “가치제공”)
1) 의의 : 철저히 IT 가치(value of IT) 평가에 근거하여 모든 투자 결정을 내려야 함
2) Val IT 프레임워크 3가지 Domain
- IT 가치 거버넌스 : IT 전략 위원회(BOD 수준)
① BOD가 IT 투자의 전략적 방향을 제시하고 투자 관리 과정을 감시
② BOD는 기업의 IT 투자 가치 평가 기준(기대수익 설정)을 제시하여야 함
- IT 포트폴리오 관리 : IT 조정 위원회(최종 경영진 수준)
① IT 포트폴리오는 IT 프로젝트의 전체 집합
② IT 프로젝트의 우선 순위 평가 : ROI기법 활용
③ 프로젝트 효익 제안 프로세스 사용
- IT 프로젝트 투자 관리: 고위 경영자 수준
① 특정한 IT 프로젝트에 투자는 일반적으로 고위 경영자(Executive)가 제안
② 투자 제안 시 투자 타당성을 증명하는 비즈니스 사례(Case)를 작성/제출
③ 비즈니스 사례는 고위 경영자가 승인해야 하고 지속적으로 유지관리해야 함
④ 상호 연관성이 높은 IT 프로젝트들은 프로그램(Program) 단위로 상호 연계하여 관리하여 시너지를 추구
⑤ 프로젝트 종료 6~18 개월 후에 구현 후 검토(Post implementation review)를 하여 투자 가치를 확인
⑥ 표준 프로젝트 관리 방법론 사용
(6) IT 소싱 거버넌스 : IT 조정 위원회의 검토 및 승인
1) 인소싱(Insourcing) : 조직의 핵심 기능
2) 아웃소싱(Outsourcing) : 특히, 클라우드 서비스를 통한 아웃소싱은 IT 통제 우회 가능성이 높음
- 장점 : 총 소유 비용(TCO) 및 운영 비용 절감(단기계약 가능)/아웃소서의 전문 지식 활용
- 단점 : 지적재산 소유권 문제 발생
- 감사 주안점 : 계약서의 요구사항 충족 여부 -> 업무 연속성 확보여부 -> SLA 대비 목표 수준 달성 여부
3) 오프쇼어 소싱(Offshore sourcing)
(7) IT 조직 구조 : IT 조정 위원회 결정(전략이 결정된 후 조직구조가 결정되기 때문)
1) 집권화(Centralization)
2) 분권화(Decentralization)
** 참고
- 집중 처리(Central processing) : 본사 또는 본부에서 정보 처리를 수행 -> 무결성 향상, 규모의 경제 달성
- 분산 처리(Distributive processing) : 여러 지사나 위치에서 정보 처리를 수행 -> 가용성, 고장 감내(Fault tolerant) 향상
(8) IT 위험관리 프레임워크(Risk IT)
1) 리스크 거버넌스(RF: Risk Governance)
2) 리스크 평가(RE: Risk Evaluation)
3) 리스크 대응(RR: Risk Evaluation)
-끝-
참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)
참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com
Codes and Things
프로그래밍 학습 블로그
unvertige123.wordpress.com
- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4
'CISA/1. IS 감사 프로세스' 카테고리의 글 목록
CISA, PMP, CISSP, CIA 자료를 공유합니다.
33cram.tistory.com
댓글