3장. IS 정책, 절차 및 실무 ** 전략-정책-표준-절차-가이드-실무(상위 개념일수록 고위 경영진 참여 중요)
(1) IT 정책(Policy)
1) 정의 : 조직의 IT 철학과 전략적 방향 및 원칙을 제시하는 상위 수준 문서(이사회 수준)
2) 정책 개발 : 기존의 준비된 IT 체계와 일치하여야 함
- 전사적/사업부 정책 : 이사회 or 경영진
- 특정부서 정책: 해당 부서의 관리자 or 부서장
3) 정책의 적용과 감시
- 문서화 및 배포
- 교육 및 인식
- 감시 및 처벌
4) 정책의 유지 관리
- 정책의 작성자 : 주기적으로 검토 후 비즈니스 및 기술의 변화를 반영
- IS 감사인
① IT 정책이 존재하는지 검토
② 정책 내용의 적절성 평가 : 비즈니스 목적과 연계 및 IT 통제 실행
③ 내용이 비즈니스 목적 달성을 방해한다면 이를 개선하도록 권고 및 보고
④ 경영진이 주기적으로 IT 정책을 갱신하며 관련자들이 IT 정책을 준수하는지 테스트
(2) IT 절차(IT Procedure)
1) 정의 : 업무목적을 달성하는 데 필요한 상세 순서 및 방법 (IT 정책이 내포하는 정신과 의도를 구현하여야 함)
2) 특성
- 효과성(Effectiveness) : 궁극적 결과(Outcome) 산출
- 효율성(Efficiency) : 최선의 실무 또는 검증된 업무관행 반영
- 안전/통제/보안
- 균일한 성과
- 융통성(Flexibility) : 일정부분 재량권 및 판단 허락
- 규정 준수(Compliance) : 내/외부 요구사항들이 충돌하지 않아야 함
3) 절차의 개발, 문서화, 배포, 교육, 적용, 감시, 유지 관리 : IT 절차는 IT 정책보다 더 자주 갱신하여야 함
4) IS 감사인의 검토
- 관련 절차가 문서화되었으며 최신의 상태로 갱신되었는지 확인
- 절차에 포함된 통제 규정들이 통제 목적을 달성하는지 평가
- 통제 절차가 비즈니스 프로세스의 효과성과 효율성이 훼손해서는 안됨
- 실제로 관련 직원들이 절차를 준수하는지 테스트
(3) IT 실무(practice)
1) 의의 : 특정한 IT 업무 활동을 구체적이고 실제적으로 실행하는 과정
- 바람직한 IT 실무는 조직의 외부 및 내부 요구 사항을 준수(주로, IT 정책과 IT 절차)
- 기술적 표준(Standard)와 조직의 지침(Guideline)을 반영
- 실무자(Practitioner)의 판단으로 실무가 수행
2) IS 감사인의 검토
- IT 실무가 조직의 정책과 절차를 준수했는지 테스트
- 실무가 정책 또는 절차와 다르게 수행된 사례를 예외 사항 또는 위반 사항이라 하며, 이에 대한 사유와 영향을 평가
- 예외/위반사항에 건전한 근거와 긍정적 영향이 있었다면 해당 실무는 용인 가능
- 예외/위반사항에 정당한 사유를 찾을 수 없다면 해당 실무자의 관리자에게 보고
- 감사 보고서에는 누락해선 안됨
① 발견 사항의 심각성(Significance)을 고려하여, 사소한 사안은 가볍게, 심각한 사안은 중요하게 보고
② 예외/위반사항은 감사 보고서 작성 이전에 수정해도, 감사 보고서 포함 항목에서 제외 불가
③ 개선점에 대해 의견 제시
(4) 참고: 직무 분석(Job Analysis)
1) 정의 : 조직 구성원의 역할, 책임, 능력, 기술, 기타 업무 수행 요건 등에 관한 정보를 체계적 수집/분석/문서화하는 과정
2) 직무 분석의 결과물
- 직무 기술서(Job Description) : 의무와 역할
- 직무 명세서(Job Specification) : 자격 및 요구사항
3) IS 감사에서의 활용
- IT 부서의 직무 분리의 적절성 및 실무의 적절성을 판단하기 위해 직무 기술서 및 직무 명세서 참조 가능
- 직무 기술서를 통해 책임 추적성(Accountability)를 확립하는 데도 사용할 수 있음
- 직무 기술서와 직무 명세서는 실제 업무내용과 다를 수 있음을 유의
4) 관련 개념
- 직무 평가(Job Evaluation) : 직무 별 적정 급여 수준을 결정하기 위하여 직무의 가치와 난이도를 측정
- 직무 설계(Job Design) : 직무 분석 결과를 바탕으로 특정 직무에 어떤 역할과 책임이 포함되어야 하는지 결정
4장. 일반적인 IT 실무
(1) 인적 자원 관리 실무
1) 모집(Recruiting) 및 채용(Hiring)
** 마이크로 컴퓨터 환경 및 PC 환경에서는 일반적으로 유능한 직원 부족으로 한 사람이 여러 업무 겸임하는 경우가 많음
** 계약직 직원 위험 최소화 방안: 절차 문서화/지식공유/교차훈련/업무승계계획(잠재력 있는 직원 파악/발굴)
2) 교육 : 이해상충 방지를 위해 직원의 부업을 제한하여야 함 (부차적: 조직 자원 유출 방지 목적)
3) 직무 훈련
4) IT 자원의 일정 계획 및 보고
5) 인사 평가
6) 보상 및 승진
7) 직무 분리(Separation of Duties)
- 정의 : 하나의 직무에 양립할 수 없는 책임을 동시에 부여하지 않는 것
예) 프로그래머가 자신이 개발한 프로그램에 대한 QA/QC 보고서를 작성하는 경우
- 양립할 수 없는 책임 : 겸임할 경우 이해가 상충하거나 부정 위험이 증가하는 책임
- 일차적으로 예방 통제로 간주되지만 부차적으로 시기적절한 적발과 교정 통제에도 기여
- 공모(Collusion)에 의해 우회될 수 있다는 단점 보유
8) 직무 순환(Job Rotation)
- 장점
① 공모관계 해소를 통해 일차적으로 예방 통제로 간주되지만 적발에도 기여
② 백업 직원 양성을 통한 운영의 연속성 확보
③ 직무 간 연관성 이해를 통한 생산성 향상
- 단점: 지나친 직무 순환은 통제 우회의 기회를 발견
9) 교차 훈련(Cross-training)
- 장점
① 특정직원에 대한 의존성을 낮추어 운영의 연속성 및 가용성을 향상
② 직무 인수인계 대비 가능(훈련 목적)
- 단점 : 일시 겸임에 불과해 부정행위 적발 효과는 없음
10) 강제 휴가(Required vacation, mandatory vacation) : 일차적 -> 적발통제, 부차적 -> 부정의지 억제를 통한 예방통제
11) 퇴사 정책
** IS 감사인이 인사자원 정책과 절차 검토 시 가장 중요하게 확인되어야 할 부분
- 퇴사 과정을 정의한 문서화된 퇴사 절차가 있어야 함(퇴사자 체크리스트 작성: 퇴사 면담보다 중요)
- 퇴사 시에는 신분증과 회사 재산을 회수하고 논리적 접근 권한(ID)을 무효화해야 함 (ID 관리가 퇴사 정책에서 가장 중요)
** 논리적 접근 권한은 퇴사 결정 시점에 회수하는 것이 통제 목적상 맞음
** 퇴사자 계정 위험 방지: 주기적 ID 일괄 삭제
- 인사 파일에서는 퇴사자로 분류해야 함
- 최종 급여 지급을 마친 후 급여 루틴에서 정리해야 함
- 퇴사 사실을 사내에 알리고 필요하다면 퇴사 면담(Exit Interview, Termination Interview)을 수행
** 퇴사면담의 가장 중요한 목적 : 기밀유지 서약서(NDN, Non-Disclosure Agreement) 작성
** 신규 직원 NDN 중요성 낮음
** 퇴사자 체크리스트 > 퇴사 면담(그중 기밀유지 서약서가 가장 중요)
(2) 아웃소싱 관리
1) 외부 공급자에 대한 통제
- 무엇보다도 계약서를 명확하게 작성 : 그러나, 모든 궁극적 책임은 고객사 경영진, 아웃소서는 단순 손해배상 책임만 존재
** 계약서 작성 전 SLRs(Service Level Requirements, 서비스 레벨 요구사항) 작성
- 계약서에 SLA(Service Level Agreement, 서비스수준협약), 최소성과측정척도, 서비스 연속성 보증을 명확하게 정의
** IS 감사인 입장 : 최소성과측정척도가 가장 중요
** 서비스 연속성 보증 관점에서 재무적 안정성이 가장 중요
** 비용 감소 및 서비스 향상을 위한 계약 문구 : 수익공유성과 보너스 (SLA에 인센티브 반영)
- IT 감사 권한을 요청하거나 주기적으로 IS 감사 보고서를 제출할 것으로 규정 : 아웃소싱 계약 시 감사인의 주요 관심사항
- IT/IS 분야의 산업 표준을 준수할 것을 요구
- 가장 강력한 통제 : 계약에 배상책임 조항 포함
2) 오프쇼어(Offshore) 소싱의 고려 사항: 법규의 차이가 가장 중요한 쟁점(사법관할권, 개인정보보호법 등)
** 상세하고 정확하게 작성된 명세서 필요
(3) 성과 최적화 기법
1) IT BSC(Balanced Scorecard, 균형점수카드) : 당사자 간 합의를 통한 다차원 성과 측정
2) BPR(Business Process Reengineering, 공정 재설계) : 내부통제활동 통합(내부통제 약화)에 유의하여야 함
3) 벤치마킹
- 계획 : 정보수집
- 연구 : 대상 설정
- 관찰 : 대상 방문
- 분석 : 최적실무분석 및 차이분석 수행
- 적용
-끝-
참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)
참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com
Codes and Things
프로그래밍 학습 블로그
unvertige123.wordpress.com
- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4
'CISA/1. IS 감사 프로세스' 카테고리의 글 목록
CISA, PMP, CISSP, CIA 자료를 공유합니다.
33cram.tistory.com
댓글