정보기술내부통제를 위한 환경 구축 필요성
신 외감법의 감사 기준에 대응하기 위한 기업들의 발걸음이 빨라지고 있다. 관련하여 미국의 ICFR(Internal Control over Financial Reporting) 감사 제도에 대한 통계와 비적정 사례를 한국과 비교하여 분석한 자료 등을 확인해보면 내부통제를 위한 제반 환경구축 미비만으로도 비적정 감사의견을 받을 수 있기 때문에 철저한 대비 필요성을 이야기하고 있다. 한국의 신 외감법 내 내부회계관리제도에 대한 감사 제도가 ICFR의 감사 제도를 참고해 도입하였기 때문에 향후 감사에 있어서도 내부통제 환경 구축이 미비한 경우 관련 감사 지적사항은 피할 수 없는 항목일 것이다.

도출되는 감사 지적사항의 유형을 찾아보면 큰 비중을 차지하는 부분이 ‘프로세스 수준통제 미흡’ 과 ‘내부통제를 위한 환경구축 미흡’ 항목으로 볼 수 있다.

이러한 미비점에 대한 몇가지 예시를 보면,
- 사용자계정생성 및 권한부여 History 관리 미비
- 요청 및 프로그램 변경관련 승인절차수행 미비
- 퇴사자의 권한회수증빙 미비
- 프로그램 변경이력관리 미비
- 개발자와 배포담당자의 분리 미비
- 배포작업 이력관리 미비
- 계정생성/접근권한부여 요청에 대한 이력/승인내역 미비 등
예시항목에서 보여지듯이 내부통제를 위한 환경구축과 대응 방법은 기업 관계자들에게 많은 고민을 안겨주고 있다.

물론 도출된 감사 비적정항목은 기간/계획을 두고 조치를 시행하면 되겠지만 기업의 관계자들은 감사 이전에 이러한 위험요소를 사전에 식별하고 조치를 취하고자 할 것이다.

그렇다면 이러한 상황에서 어떻게 대응방법을 찾고 준비하는게 효과적일까?

새로운 대응법을 찾기보다는 그 해결책을 기업의 IT운영관리체계를 지원하는 ITSM 관리체계와 이를 지원하는 ITSM시스템에서 보다 손쉽게 찾아볼 수 있다. 본 기고에서는 ITSM을 활용한 대응 관점에 대해 몇 가지 기술해보고자 한다.

정보기술내부통제 대응의 해결책! ITSM
앞서 표현한 내부통제를 위한 규정 시스템 미구축에 따른 감사 비적정의 위험에 대응하기 위한 해결책의 하나로 ITSM 체계의 도입/활용의 방법이 내부통제 지원시스템으로서 유용한 가치를 가지고 있다.

정보기술내부통제(ITGC)의 통제요건에 포함되어야 하는 주요 항목을 보면 ‘Program Development’, ‘Program Change’, ‘Access to Program and Data’, Computer Operation’ 등의 영역을 포함하고 있으며, 기업 내 IT 조직 역시 주요 자원에 포함되는 만큼, 개발자와 배포자가 이원화되어야 하고 배포 전 반드시 테스트를 거치고 결과가 참조되어야 하며, 작업에 대한 승인 절차/이력의 관리 강화를 요구하는 등 안정적인 운영을 위한 많은 기준이 요구되고 있다.

이러한 수많은 통제 요구 조건을 ITSM을 통해 어떻게 대응할 것인가?

[그림1_정보기술일반통제(ITGC)]

어렵지 않다. 상기 그림에서와 같이 ITSM의 관리표준은 이미 내부통제를 위한 요구조건을 수용하고 이에대한 통제를 이행하고 있기에 해당 조건을 포함하여 개발된 STEG의 EGENE ITSM 솔루션을 활용하면 어렵지 않게 ITGC 대응의 해결책을 찾을 수 있기 때문이다.
또한 자사의 EGENE ITSM은 빠른 시장변화에 대응해 전체 IT개발의 속도를 높이고 혁신을 지원하기 위해 애자일 기반의 반복적 프로토타이핑 환경을 지원하며, 로우코드 커스터마이징과 유연한 Workflow 엔진을 통한 기업 내 개발 프로세스의 변화를 빠르게 지원하고, 대외 기술적 프레임워크 변화를 유연하게 충족시켜 주고 있다. 이러한 대응의 유연성은 자사의 여러 기업 구축 사례를 통해 입증되고 있다.(하단 그림 참조)

 [그림2_로우코드 기반의 E-GENE ITSM]

이러한 특징을 가진 자사의 ITSM 시스템을 활용해 기업의 IT 업무 절차를 한 눈에 확인할 수 있을 뿐 아니라 담당자에게 업무를 배치하고 효율적인 업무 처리 표준화, 승인에 대한 통제, 이행관리의 방법을 제공하기에 내부회계관리제도에서 요구하는 ITGC 요건을 준수할 수 있게 되고, 승인관리와 배포 과정에서의 안정성까지 확보할 수 있는 유연성을 제공함을 알 수 있다.

ITSM을 활용한 IT관리체계 혁신과 정보기술내부통제 대응 사례
자사의 ITSM 서비스를 활용하고 있는 수많은 고객사가 실제적인 대응 사례로 볼수 있다.

여러 고객사중 최근 구현된 녹십자, 흥국생명/화재, 진행중인 브이엔티지, 부산은행 등의 사례만을 예로 들어보아도 자사의 EGENE 솔루션을 도입하여 IT관리체계 혁신을 수행하고 업무문화의 개선과 나아가 정보기술내부통제의 요구조건에 대한 대응력을 강화한 사례로 뽑을수 있다. 고객사 내부적으로도 ITSM을 토대로 계획(Plan), 실행(Do), 평가(Check), 개선(Act) 이라는 ‘PDCA’ 사이클을 통해 업무 효율을 지속적으로 향상시킬 수 있는 IT 서비스를 제공할 수 있게 되었다고 강조하고 있다. ‘관련 내용은 자사의 홈페이지 참고’

디지털 트랜스포메이션의 변화를 충족하는 ITSM시스템을 선택하자.
많은 기업들이 기업내 조직의 업무 프로세스 변화와 외부 환경적 변화에 매우 빠르게 대응할 수 있는 유연한 솔루션을 찾고 있다. 빠른 내/외부 변화를 유연하게 지원하는 솔루션이 많지 않기 때문이다. 기존의 ITIL 표준에 집중한 ITSM 솔루션 구조는 일부 무겁고 변화의 유연성에 어려움을 느낄 수 도 있다. 허나 ITSM 솔루션도 빠르게 변화하고 진화하고 있다.

자사의 EGENE ITSM이 그 변화와 유연성의 중심에서 해결책을 제공하고 있으며, 끊임없는 R&D를 통해 기술변화를 수용하고, 사용자 Needs를 충족하여 다양한 기업에서 베스트 사례로 인정받으면서 ITSM을 통해 기업의 IT문화를 개선하고 나아가 정보기술내부통제의 해결책으로까지 활용되고 있는 현 상황이다.

이제 기업내 조직의 업무 프로세스의 많은 변화와 외부 환경적 변화 대응에 두려워하거나 어려움을 느낄 필요가 없다. 빠르게 대응할 수 있는 유연한 Workflow 플랫폼을 가진 ITSM을 선택하고 이를 응용하여 조직에 내재화할 수 있기 때문이다.

정리하면 자사의 ITSM 플랫폼은 수많은 Best Practices의 경험/노하우/사례를 솔루션의 기반에 녹여내고, 이를 각 고객사의 다양한 환경/문화/절차에 맞게 변화시킬 수 있는 로우코드 기반의 Workflow 플랫폼(그림참조)이기에 무엇보다 빠르고 유연하게 디지털 트랜스포메이션의 변화를 충족하는 진화된 ITSM 시스템이라고 정의할 수 있다.

다가오는 2022년 자사의 ITSM은 또다른 진화와 도약을 준비하고 있다.
선택하고, 유연하게 활용하면 된다.
최고의 유연성을 가진 EGENE ITSM으로 IT문화개선과 정보기술내부통제에 유연하게 대응해보자.

㈜에스티이지 솔루션서비스본부 PSP팀



**Tip: 외감법과 신(新)외감법
신 외감법 시행에 따라 상장회사의 내부회계관리제도에 대한 인증 수준이 기존 ‘검토’에서 ‘감사’로 한층 강화되고 정보기술 일반통제(ITGC, IT General Controls)까지 대응이 필요해 기업의 관계자들이 골머리를 앓고 있다. 대기업 조건에서 점차 중소/중견기업으로 확대대고 있으며, 2022년에는 1000억이상, 2023년에는 1000억미만 모든 기업에 까지 확대가 진행중이다.

2022년이 다가옴에 따라 ‘외감법’, ‘외부감사’, ‘정보기술내부통제’ 라는 용어가 주변에 더 많이 들려오고 있다.

당사에도 외감법, 정보기술내부통제 대응의 해결책을 찾기위한 상담문의가 계속 들어오고 있다. 이러한 상황을 보았을때, 2023년이 다가올 즈음에는 해당 용어들이 더욱더 뜨겁게 들려올것으로 예상된다.

‘외감법’이란 주식회사 등의 외부감사에 대한 법률 시행령으로, 외감법에 해당하는 법인은 외부의 공인 회계사에게 외부 감사를 받고 감사 보고서를 공시해야 한다. 독립된 외부의 회계사가 외부 감사를 함으로써 이해 관계인의 보호 (ex.투자자)와 기업의 건전성 확보 목적이 있으며, 분식회계를 완벽히 막을 순 없겠지만 최소한의 안전장치인 셈이다.

2018년부터는 ‘신(新)외감법’이라 불리는 외부감사법 개정안이 시행되고 있다. 이 개정안 중 하나가 바로 상장회사의 내부회계관리제도에 대해서도 외부 감사를 받도록 하는 것인데, 내부회계관리제도 주요 원칙 중 하나인 ‘정보기술일반통제(ITGC)’ 위험요소에 대한 해소방안이 핵심 이슈로 떠오르고 있으며, 기업이 ITGC에 규정된 시스템을 구축하지 못하면 감사 비적정으로 인해 상장폐지의 위험성을 가지게 된다는 것이다.

*정보기술일반통제(ITGC): IT 관리구조의 기반으로 IT 시스템에서 산출된 정보의 신뢰성을 확신할 수 있도록 통제하는 내부회계관리제도 운영프로세스의 항목이며, 핵심은 IT시스템의 문제로 재무제표 오류나 부정이 발생할 수 있는 위험요소에 대한 통제력을 갖추는 것이다.