본문 바로가기
자격증/CISA

[CISA 요약정리] Domain 2. IT 거버넌스 및 관리 | 3장. IS 정책, 절차 및 실무 & 4장. 일반적인 IT 실무

by Goddoeun 2022. 5. 28.
728x90
반응형

3장. IS 정책, 절차 및 실무 ** 전략-정책-표준-절차-가이드-실무(상위 개념일수록 고위 경영진 참여 중요)

    (1) IT 정책(Policy)

        1) 정의 : 조직의 IT 철학과 전략적 방향 및 원칙을 제시하는 상위 수준 문서(이사회 수준)

        2) 정책 개발 : 기존의 준비된 IT 체계와 일치하여야 함

            - 전사적/사업부 정책 : 이사회 or 경영진

            - 특정부서 정책: 해당 부서의 관리자 or 부서장

        3) 정책의 적용과 감시

            - 문서화 및 배포

            - 교육 및 인식

            - 감시 및 처벌

         4) 정책의 유지 관리 

             - 정책의 작성자 : 주기적으로 검토 후 비즈니스 및 기술의 변화를 반영

             - IS 감사인

               ① IT 정책이 존재하는지 검토

               ② 정책 내용의 적절성 평가 : 비즈니스 목적과 연계 및 IT 통제 실행

               ③ 내용이 비즈니스 목적 달성을 방해한다면 이를 개선하도록 권고 및 보고

               ④ 경영진이 주기적으로 IT 정책을 갱신하며 관련자들이 IT 정책을 준수하는지 테스트

 

 

    (2) IT 절차(IT Procedure)

         1) 정의 : 업무목적을 달성하는 데 필요한 상세 순서 및 방법 (IT 정책이 내포하는 정신과 의도를 구현하여야 함)

         2) 특성

             - 효과성(Effectiveness) : 궁극적 결과(Outcome) 산출

             - 효율성(Efficiency) : 최선의 실무 또는 검증된 업무관행 반영

             - 안전/통제/보안

             - 균일한 성과

             - 융통성(Flexibility) : 일정부분 재량권 및 판단 허락

             - 규정 준수(Compliance) : 내/외부 요구사항들이 충돌하지 않아야 함

          3) 절차의 개발, 문서화, 배포, 교육, 적용, 감시, 유지 관리 : IT 절차는 IT 정책보다 더 자주 갱신하여야 함

          4) IS 감사인의 검토

             - 관련 절차가 문서화되었으며 최신의 상태로 갱신되었는지 확인

             - 절차에 포함된 통제 규정들이 통제 목적을 달성하는지 평가

             - 통제 절차가 비즈니스 프로세스의 효과성과 효율성이 훼손해서는 안됨

             - 실제로 관련 직원들이 절차를 준수하는지 테스트

 

    (3) IT 실무(practice)

         1) 의의 : 특정한 IT 업무 활동을 구체적이고 실제적으로 실행하는 과정

             - 바람직한 IT 실무는 조직의 외부 및 내부 요구 사항을 준수(주로, IT 정책과 IT 절차)

             - 기술적 표준(Standard)와 조직의 지침(Guideline)을 반영

             - 실무자(Practitioner)의 판단으로 실무가 수행

         2) IS 감사인의 검토

             - IT 실무가 조직의 정책과 절차를 준수했는지 테스트

             - 실무가 정책 또는 절차와 다르게 수행된 사례를 예외 사항 또는 위반 사항이라 하며, 이에 대한 사유와 영향을 평가

             - 예외/위반사항에 건전한 근거와 긍정적 영향이 있었다면 해당 실무는 용인 가능

             - 예외/위반사항에 정당한 사유를 찾을 수 없다면 해당 실무자의 관리자에게 보고

             - 감사 보고서에는 누락해선 안됨

               ① 발견 사항의 심각성(Significance)을 고려하여, 사소한 사안은 가볍게, 심각한 사안은 중요하게 보고

               ② 예외/위반사항은 감사 보고서 작성 이전에 수정해도, 감사 보고서 포함 항목에서 제외 불가

               ③ 개선점에 대해 의견 제시

 

    (4) 참고: 직무 분석(Job Analysis)

         1) 정의 : 조직 구성원의 역할, 책임, 능력, 기술, 기타 업무 수행 요건 등에 관한 정보를 체계적 수집/분석/문서화하는 과정

         2) 직무 분석의 결과물

              - 직무 기술서(Job Description) : 의무와 역할

              - 직무 명세서(Job Specification) : 자격 및 요구사항

          3) IS 감사에서의 활용

              - IT 부서의 직무 분리의 적절성 및 실무의 적절성을 판단하기 위해 직무 기술서 및 직무 명세서 참조 가능

              - 직무 기술서를 통해 책임 추적성(Accountability)를 확립하는 데도 사용할 수 있음

              - 직무 기술서와 직무 명세서는 실제 업무내용과 다를 수 있음을 유의

          4) 관련 개념

              - 직무 평가(Job Evaluation) : 직무 별 적정 급여 수준을 결정하기 위하여 직무의 가치와 난이도를 측정

              - 직무 설계(Job Design) : 직무 분석 결과를 바탕으로 특정 직무에 어떤 역할과 책임이 포함되어야 하는지 결정

 

 

4장. 일반적인 IT 실무

    (1) 인적 자원 관리 실무

          1) 모집(Recruiting) 및 채용(Hiring)

               ** 마이크로 컴퓨터 환경 및 PC 환경에서는 일반적으로 유능한 직원 부족으로 한 사람이 여러 업무 겸임하는 경우가 많음

               ** 계약직 직원 위험 최소화 방안: 절차 문서화/지식공유/교차훈련/업무승계계획(잠재력 있는 직원 파악/발굴)

           2) 교육 : 이해상충 방지를 위해 직원의 부업을 제한하여야 함 (부차적: 조직 자원 유출 방지 목적)

           3) 직무 훈련

           4) IT 자원의 일정 계획 및 보고

           5) 인사 평가

           6) 보상 및 승진

           7) 직무 분리(Separation of Duties)

               - 정의 : 하나의 직무에 양립할 수 없는 책임을 동시에 부여하지 않는 것

                  예) 프로그래머가 자신이 개발한 프로그램에 대한 QA/QC 보고서를 작성하는 경우

               - 양립할 수 없는 책임 : 겸임할 경우 이해가 상충하거나 부정 위험이 증가하는 책임

               - 일차적으로 예방 통제로 간주되지만 부차적으로 시기적절한 적발과 교정 통제에도 기여

               - 공모(Collusion)에 의해 우회될 수 있다는 단점 보유

            8) 직무 순환(Job Rotation)

                - 장점

                   ① 공모관계 해소를 통해 일차적으로 예방 통제로 간주되지만 적발에도 기여

                   ② 백업 직원 양성을 통한 운영의 연속성 확보

                   ③ 직무 간 연관성 이해를 통한 생산성 향상

                 - 단점: 지나친 직무 순환은 통제 우회의 기회를 발견

            9) 교차 훈련(Cross-training)

                - 장점

                  ① 특정직원에 대한 의존성을 낮추어 운영의 연속성 및 가용성을 향상

                  ② 직무 인수인계 대비 가능(훈련 목적)

                - 단점 : 일시 겸임에 불과해 부정행위 적발 효과는 없음

            10) 강제 휴가(Required vacation, mandatory vacation) : 일차적 -> 적발통제, 부차적 -> 부정의지 억제를 통한 예방통제

            11) 퇴사 정책

                  ** IS 감사인이 인사자원 정책과 절차 검토 시 가장 중요하게 확인되어야 할 부분

                  - 퇴사 과정을 정의한 문서화된 퇴사 절차가 있어야 함(퇴사자 체크리스트 작성: 퇴사 면담보다 중요)

                  - 퇴사 시에는 신분증과 회사 재산을 회수하고 논리적 접근 권한(ID)을 무효화해야 함 (ID 관리가 퇴사 정책에서 가장 중요)

                     ** 논리적 접근 권한은 퇴사 결정 시점에 회수하는 것이 통제 목적상 맞음

                     ** 퇴사자 계정 위험 방지: 주기적 ID 일괄 삭제

                   - 인사 파일에서는 퇴사자로 분류해야 함

                   - 최종 급여 지급을 마친 후 급여 루틴에서 정리해야 함

                   - 퇴사 사실을 사내에 알리고 필요하다면 퇴사 면담(Exit Interview, Termination Interview)을 수행

                      ** 퇴사면담의 가장 중요한 목적 : 기밀유지 서약서(NDN, Non-Disclosure Agreement) 작성

                           ** 신규 직원 NDN 중요성 낮음

                           ** 퇴사자 체크리스트 > 퇴사 면담(그중 기밀유지 서약서가 가장 중요)

 

    (2) 아웃소싱 관리

         1) 외부 공급자에 대한 통제

             - 무엇보다도 계약서를 명확하게 작성 : 그러나, 모든 궁극적 책임은 고객사 경영진, 아웃소서는 단순 손해배상 책임만 존재

                ** 계약서 작성 전 SLRs(Service Level Requirements, 서비스 레벨 요구사항) 작성

             - 계약서에 SLA(Service Level Agreement, 서비스수준협약), 최소성과측정척도, 서비스 연속성 보증을 명확하게 정의

                 ** IS 감사인 입장 : 최소성과측정척도가 가장 중요

                 ** 서비스 연속성 보증 관점에서 재무적 안정성이 가장 중요

                 ** 비용 감소 및 서비스 향상을 위한 계약 문구 : 수익공유성과 보너스 (SLA에 인센티브 반영)

              - IT 감사 권한을 요청하거나 주기적으로 IS 감사 보고서를 제출할 것으로 규정 : 아웃소싱 계약 시 감사인의 주요 관심사항

              - IT/IS 분야의 산업 표준을 준수할 것을 요구

              - 가장 강력한 통제 : 계약에 배상책임 조항 포함

          2) 오프쇼어(Offshore) 소싱의 고려 사항: 법규의 차이가 가장 중요한 쟁점(사법관할권, 개인정보보호법 등)

               ** 상세하고 정확하게 작성된 명세서 필요

 

    (3) 성과 최적화 기법

         1) IT BSC(Balanced Scorecard, 균형점수카드) : 당사자 간 합의를 통한 다차원 성과 측정

         2) BPR(Business Process Reengineering, 공정 재설계) : 내부통제활동 통합(내부통제 약화)에 유의하여야 함

         3) 벤치마킹

             - 계획 : 정보수집

             - 연구 : 대상 설정

             - 관찰 : 대상 방문

             - 분석 : 최적실무분석 및 차이분석 수행

             - 적용

 

-끝-

 

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

 

Codes and Things

프로그래밍 학습 블로그

unvertige123.wordpress.com

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

 

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록

CISA, PMP, CISSP, CIA 자료를 공유합니다.

33cram.tistory.com

 
 
 

 

 

728x90
반응형

댓글