News & 기고POST
Service Management Enterprise Solution 분야의 리더가 되겠습니다.
ITSM을 통한 내부회계관리제도 ITGC 준수
작성자
steg
작성일
2020-07-05 18:18
조회
8827
내부회계관리제도는 신뢰성 있는 회계정보의 작성과 공시를 위해 회사가 갖추고 지켜야할 재무보고에 대한 내부통제제도로써, 재무제표 오류와 부정비리를 막기 위해 재무보고와 관련된 회사 업무를 관리 통제하는 내부 통제 시스템을 말합니다.
이는 회사의 재무제표가 일반적으로 인정되는 회계처리기준에 따라 작성 · 공시되었는지 여부에 대한 합리적 확신을 제공하기 위해 설계 · 운영되는 내부통제제도의 일부분으로 회사의 이사회, 경영진 등 모든 조직구성원들에 의해 지속적으로 실행되는 과정을 의미합니다.
이러한 내부회계관리제도의 구축 및 운영은 회사의 재무제표 작성 프로세스에 전반적인 영향을 미치는 전사적수준통제 및 전산일반통제를 우선 식별하고, 재무제표상 일정금액 이상의 계정과목에 상당한 영향을 미치는 업무프로세스 하에서의 재무제표 왜곡 표시위험을 감소시키는 통제를 구축하여 업무수행 과정에서 운영하는 것을 의미합니다.
즉, 내부회계관리제도는 분식회계사건을 방지하고자, 기업구조조정촉진법으로 도입하여 주식회사등의 외부감사에 관한 법률로 이관되어 관리되고 있는 제도라고 정리할 수 있습니다.
2019년 11월부터 개정 시행 된 ‘주식회사 등의 외부감사에 관한 법률’에서 정의한 주요 개정사항에는 ‘내부회계관리제도의 실효성 강화’가 규정되어 있으며, 내부회계관리제도의 주요 원칙 중에는 정보기술일반통제(ITGC : Information Technology General Control)가 포함되어 있습니다.
그 내용으로 ‘회사는 내부회계관리제도 목적 달성을 지원하는 정보기술 일반통제를 선정하고 구축한다’라고 명시하고 있으며, 여기서 말하는 정보기술일반통제는 IT관리구조의 기반을 가리키고, IT시스템에서 산출 된 정보의 신뢰성을 확신할 수 있도록 통제할 수 있도록 도와줍니다.
ITSM과 ITGC
상기 언급한 바와 같이 ‘정보기술일반통제(ITGC : Information Technology General Control)’는 ‘IT시스템에서 산출 된 정보의 신뢰성을 확신할 수 있도록 통제할 수 있는 IT관리구조의 기반’을 의미합니다.
그럼 이러한 목적 달성을 위한 가장 효율적인 방법은 무엇일까요? 이에 대한 해답은 오늘날 대부분의 IT조직에서 구축, 활용하고 있는 ITSM에서 찾을 수 있습니다.
오늘날 IT의 활용은 비즈니스의 유틸리티가 되었고 단순히 최고의 기술을 가졌다고 해서 유틸리티와
같은 신뢰성이 제공되는 것은 아니며 전문적이고, 사전 대응적이고, 가치 지향적인 서비스 관리가 이러한
품질의 서비스를 비즈니스에 가져다 준다는 것은 보편적인 가치가 되었습니다. ITSM의 기반이 되는 ITIL에서는IT를 비즈니스의 일부로써 가져야 하는 경쟁력으로 정의하며 이는 고객에게 가치를 제공하는 수단으로써, ‘ITSM은 서비스 형태로 가치를 제공하기 위한 일련의 전문화 된 조직적 역량’을 의미합니다.
여기서 ‘서비스’란 고객들이 특정한 비용과 위험을 소유하지 않고 자신들이 달성하기를 원하는 결과를 촉진함으로써 고객에게 가치를 제공하기 위한 수단을 의미하며, 또한 ‘가치’ 란 효용(목적 부합성)과 보증(사용 적합성)의 결합을 의미하는 것으로써, ‘역량’이란 가치를 생산하기 위해 자원을 조정하고 관리하고 적용하는 능력을 말합니다. 즉 IT를 기반으로 하는 생산과 소비에 관계 된 모든 활동은 IT서비스이며 이러한 서비스를 관리하는 모든 활동은 ITSM의 활동인 것입니다. 다시 말해 오늘날 ITSM은 IT를 투명하게 운영하기 위한 필수 도구로써 이는 ITGC에서 요구하는 ‘IT관리구조의 기반’을 가장 효율적으로 제공해줍니다.
그럼 이러한 ITSM이 ‘IT시스템에서 산출 된 정보의 신뢰성을 확신할 수 있도록 통제’하는 방법에 대해 조금 더 구체적으로 논해 보겠습니다.
먼저 내부회계관리제도 정보기술일반통제(ITGC : Information Technology General Control) 선정과 구축을 달성하기 위해서는 하기와 주요 위험요소에 대한 통제와 중점 고려사항이 충족되어야 합니다.
상기 중점 고려사항에서와 같이 정보기술일반통제는 IT업무 전반에 걸친 통제활동을 의미하는 것으로써 또한 프로그램 개발, 변경, 프로그램과 데이터에 대한 접근보안, 컴퓨터 운영을 포함합니다.
ITSM의 기반이 되는 ITIL은 기본적으로 프로세스를 중심으로 하는 서비스 수명주기에 초점을 맞추고 있으며, 수명주기는 서비스 전략, 서비스 설계, 서비스 전환, 서비스 운영, 서비스개선으로 구성되어 있습니다. 이러한 수명주기와 수명주기의 각 단계를 구성하는 프로세스는 모든 IT 업무를 포괄함으로써 정보기술일반통제에서 말하는 IT업무 전반에 걸친 통제활동을 가능하게 합니다.
다시 말해 ITSM 시스템은 수명주기를 구성하는 각 프로세스와 프로세스의 목적을 달성하기 위해 필요한 기술 및 조직을 정의하고 이를 시스템적으로 구현해 관리하고 통제하는 시스템으로써 정보기술의 계획->취득/개발->운영 및 유지보수->모니터링 및 개선 전 단계에 걸친 관리와 통제가 가능하게 하는 시스템으로써, ITSM을 구현하고 운영하는 과정을 통해서 IT서비스와 정보기술의 사용에 대한 목적을 제시하고, 목적을 달성할 방법, 목적 달성 여부를 확인하는 방법 등을 정의할 수 있습니다.
또한 IT서비스와 서비스를 구성하는 정보시스템, 어플리케이션, IT인프라에 대한 구성구조가 명확히 정의되고 최적화되고 효율적인 변경과 릴리스 및 배포관리를 통해 통제되며, IT서비스와 그 구성항목에 대한 전체 수명주기 관리가 가능해집니다.
이러한 수명주기의 강점은 수명주기 모든 단계에 걸친 지속적인 피드백에 있습니다. 수명주기의 각 요소는 피드백과 통제를 위한 포인트를 제공하며, 이는 어느 시점에서나 비즈니스 관점에서 서비스 최적화가 관리되고 측정되도록 해줍니다. 즉 수명주기의 각 부분은 다른 부분에 영향을 미치고 다른 부분으로부터 입력 피드백을 받음으로써 서비스 수명주기 전반에 걸친 점검과 균형은 비즈니스가 변경을 요청하면 서비스를 수정하여 여기에 효과적으로 대응할 수 있게 해 준다는 것을 의미합니다.
지금까지 말씀드린 바와 같이 내부회계관리제도 정보기술일반통제(ITGC : Information Technology General Control) 선정과 구축을 효과적으로 달성하기 위해서는 IT업무 전체 영역을 포괄하는 ITIL기반 ITSM을 기반으로 접근하는 것이 가장 효율적이라고 말씀드릴 수 있습니다. ITSM시스템을 중심으로 각 영역별 최적화 된 포인트 솔루션(모니터링 툴, 형상관리 시스템, 통합계정관리시스템 등)의 구현과 연계를 통해 프로세스와 정보기술이 적절한 균형을 이루는 정보기술일반통제를 성공적으로 구현할 수 있을 것입니다.
이는 회사의 재무제표가 일반적으로 인정되는 회계처리기준에 따라 작성 · 공시되었는지 여부에 대한 합리적 확신을 제공하기 위해 설계 · 운영되는 내부통제제도의 일부분으로 회사의 이사회, 경영진 등 모든 조직구성원들에 의해 지속적으로 실행되는 과정을 의미합니다.
이러한 내부회계관리제도의 구축 및 운영은 회사의 재무제표 작성 프로세스에 전반적인 영향을 미치는 전사적수준통제 및 전산일반통제를 우선 식별하고, 재무제표상 일정금액 이상의 계정과목에 상당한 영향을 미치는 업무프로세스 하에서의 재무제표 왜곡 표시위험을 감소시키는 통제를 구축하여 업무수행 과정에서 운영하는 것을 의미합니다.
즉, 내부회계관리제도는 분식회계사건을 방지하고자, 기업구조조정촉진법으로 도입하여 주식회사등의 외부감사에 관한 법률로 이관되어 관리되고 있는 제도라고 정리할 수 있습니다.
2019년 11월부터 개정 시행 된 ‘주식회사 등의 외부감사에 관한 법률’에서 정의한 주요 개정사항에는 ‘내부회계관리제도의 실효성 강화’가 규정되어 있으며, 내부회계관리제도의 주요 원칙 중에는 정보기술일반통제(ITGC : Information Technology General Control)가 포함되어 있습니다.
그 내용으로 ‘회사는 내부회계관리제도 목적 달성을 지원하는 정보기술 일반통제를 선정하고 구축한다’라고 명시하고 있으며, 여기서 말하는 정보기술일반통제는 IT관리구조의 기반을 가리키고, IT시스템에서 산출 된 정보의 신뢰성을 확신할 수 있도록 통제할 수 있도록 도와줍니다.
ITSM과 ITGC
상기 언급한 바와 같이 ‘정보기술일반통제(ITGC : Information Technology General Control)’는 ‘IT시스템에서 산출 된 정보의 신뢰성을 확신할 수 있도록 통제할 수 있는 IT관리구조의 기반’을 의미합니다.
그럼 이러한 목적 달성을 위한 가장 효율적인 방법은 무엇일까요? 이에 대한 해답은 오늘날 대부분의 IT조직에서 구축, 활용하고 있는 ITSM에서 찾을 수 있습니다.
오늘날 IT의 활용은 비즈니스의 유틸리티가 되었고 단순히 최고의 기술을 가졌다고 해서 유틸리티와
같은 신뢰성이 제공되는 것은 아니며 전문적이고, 사전 대응적이고, 가치 지향적인 서비스 관리가 이러한
품질의 서비스를 비즈니스에 가져다 준다는 것은 보편적인 가치가 되었습니다. ITSM의 기반이 되는 ITIL에서는IT를 비즈니스의 일부로써 가져야 하는 경쟁력으로 정의하며 이는 고객에게 가치를 제공하는 수단으로써, ‘ITSM은 서비스 형태로 가치를 제공하기 위한 일련의 전문화 된 조직적 역량’을 의미합니다.
여기서 ‘서비스’란 고객들이 특정한 비용과 위험을 소유하지 않고 자신들이 달성하기를 원하는 결과를 촉진함으로써 고객에게 가치를 제공하기 위한 수단을 의미하며, 또한 ‘가치’ 란 효용(목적 부합성)과 보증(사용 적합성)의 결합을 의미하는 것으로써, ‘역량’이란 가치를 생산하기 위해 자원을 조정하고 관리하고 적용하는 능력을 말합니다. 즉 IT를 기반으로 하는 생산과 소비에 관계 된 모든 활동은 IT서비스이며 이러한 서비스를 관리하는 모든 활동은 ITSM의 활동인 것입니다. 다시 말해 오늘날 ITSM은 IT를 투명하게 운영하기 위한 필수 도구로써 이는 ITGC에서 요구하는 ‘IT관리구조의 기반’을 가장 효율적으로 제공해줍니다.
그럼 이러한 ITSM이 ‘IT시스템에서 산출 된 정보의 신뢰성을 확신할 수 있도록 통제’하는 방법에 대해 조금 더 구체적으로 논해 보겠습니다.
먼저 내부회계관리제도 정보기술일반통제(ITGC : Information Technology General Control) 선정과 구축을 달성하기 위해서는 하기와 주요 위험요소에 대한 통제와 중점 고려사항이 충족되어야 합니다.
- 주요 위험 요소
- 데이터를 잘못 처리하거나, 잘못 된 데이터를 처리하는 시스템에 의존할 위험
- 데이터에 대한 승인되지 않은 접근으로 데이터가 부적절하게 변경 될 위험
- IT부서 인원의 업무분장이 적절하지 않을 위험
- 승인되지 않은 마스터 파일의 수정
- 시스템이나 프로그램에 필요한 변경이 적절히 이루어지지 못할 위험
- 적절하지 않은 수작업 개입 위험
- 데이터 유실 위험
- 중점 고려 사항
- 업무 프로세스에서 사용되는 정보기술과 정보기술 일반통제 간 의존도 결정
– 시스템 도입 및 개발에 대한 정보기술 일반통제는 시스템이 최초에 개발될 때 자동통제가
적절히 작동하는지에 대한 확신을 제공한다. 또한, 정보기술 일반통제는 시스템 구축 이후에
지속적으로 정보시스템의 적절한 운영에 대한 확신을 제공한다. - 정보기술 인프라 통제활동 수립
– 정보기술은 사내 네트워크, 각종 애플리케이션 시스템의 운영 기반이 되는 각종 시스템 및
전원장치 등의 인프라 구조를 필요로 한다.
– 회사는 정보기술 처리의 완전성, 정확성 및 이용 가능성을 달성할 수 있는 정책, 절차 및
통제활동을 구축하고 적용한다. - 보안관리 프로세스에 대한 통제 수립
– 보안관리는 애플리케이션 시스템의 거래를 처리할 수 있는 권한을 포함하여 회사의
정보기술에 대한 접근권한을 누가 어떤 수준으로 보유하고 있는지에 대한 프로세스 및
통제활동을 포함한다.
– 정보기술에 대한 사용자의 접근은 일반적으로 승인된 사용자 계정에 기반한 인증 통제활동을
통하여 제어된다. - 정보기술의 취득, 개발, 유지보수 프로세스에 대한 통제활동 수립
– 정보기술 일반통제는 정보기술의 취득, 개발, 유지보수 활동을 지원한다. 정보기술
개발방법론은 정보기술의 취득, 개발, 유지보수 활동과 관련하여 시스템 설계 및 구축, 특정
개발단계에 대한 개요, 문서화 요건, 승인 체계, 점검항목에 대한 통제활동의 구조를 제공한다
상기 중점 고려사항에서와 같이 정보기술일반통제는 IT업무 전반에 걸친 통제활동을 의미하는 것으로써 또한 프로그램 개발, 변경, 프로그램과 데이터에 대한 접근보안, 컴퓨터 운영을 포함합니다.
ITSM의 기반이 되는 ITIL은 기본적으로 프로세스를 중심으로 하는 서비스 수명주기에 초점을 맞추고 있으며, 수명주기는 서비스 전략, 서비스 설계, 서비스 전환, 서비스 운영, 서비스개선으로 구성되어 있습니다. 이러한 수명주기와 수명주기의 각 단계를 구성하는 프로세스는 모든 IT 업무를 포괄함으로써 정보기술일반통제에서 말하는 IT업무 전반에 걸친 통제활동을 가능하게 합니다.
다시 말해 ITSM 시스템은 수명주기를 구성하는 각 프로세스와 프로세스의 목적을 달성하기 위해 필요한 기술 및 조직을 정의하고 이를 시스템적으로 구현해 관리하고 통제하는 시스템으로써 정보기술의 계획->취득/개발->운영 및 유지보수->모니터링 및 개선 전 단계에 걸친 관리와 통제가 가능하게 하는 시스템으로써, ITSM을 구현하고 운영하는 과정을 통해서 IT서비스와 정보기술의 사용에 대한 목적을 제시하고, 목적을 달성할 방법, 목적 달성 여부를 확인하는 방법 등을 정의할 수 있습니다.
또한 IT서비스와 서비스를 구성하는 정보시스템, 어플리케이션, IT인프라에 대한 구성구조가 명확히 정의되고 최적화되고 효율적인 변경과 릴리스 및 배포관리를 통해 통제되며, IT서비스와 그 구성항목에 대한 전체 수명주기 관리가 가능해집니다.
이러한 수명주기의 강점은 수명주기 모든 단계에 걸친 지속적인 피드백에 있습니다. 수명주기의 각 요소는 피드백과 통제를 위한 포인트를 제공하며, 이는 어느 시점에서나 비즈니스 관점에서 서비스 최적화가 관리되고 측정되도록 해줍니다. 즉 수명주기의 각 부분은 다른 부분에 영향을 미치고 다른 부분으로부터 입력 피드백을 받음으로써 서비스 수명주기 전반에 걸친 점검과 균형은 비즈니스가 변경을 요청하면 서비스를 수정하여 여기에 효과적으로 대응할 수 있게 해 준다는 것을 의미합니다.
- 그림1. ITSM 기반 정보기술 일반통제의 선정과 구축
지금까지 말씀드린 바와 같이 내부회계관리제도 정보기술일반통제(ITGC : Information Technology General Control) 선정과 구축을 효과적으로 달성하기 위해서는 IT업무 전체 영역을 포괄하는 ITIL기반 ITSM을 기반으로 접근하는 것이 가장 효율적이라고 말씀드릴 수 있습니다. ITSM시스템을 중심으로 각 영역별 최적화 된 포인트 솔루션(모니터링 툴, 형상관리 시스템, 통합계정관리시스템 등)의 구현과 연계를 통해 프로세스와 정보기술이 적절한 균형을 이루는 정보기술일반통제를 성공적으로 구현할 수 있을 것입니다.