1. 내부 통제
3) 내부 통제 유형
- 다양한 유형으로 분류가능, 일반적인 통제 목표를 달성하도록 설계된 내부통제의 전체 시스템을 구성하도록 진행하는 것은 이러한 통제들의 결합임
-> 예방 통제: 사실에 앞서 일어나지만 결코 100% 유효할 수 없고 그래서 완전히 의존될 수 없음, 사용자들의 제한, 비밀번호에 대한 요구, 거래의 분리된 권한부여와 같은 통제 포함 가능
-> 적발 통제: 발생 후에 불규칙성(irregularities)을 적발함, 예방 통제를 가지고 모든 거래를 점검하는 것 보다는 값이 저렴할 것임, 감사 증적의 유효한 사용과 예외 보고서의 이용을 포함 가능
-> 교정 통제: 적발 통제에 의해 확인된 문제들의 교정을 보장하고 대개 IS 내 사람의 개입을 요구함, 이 영역에서 통제는 재난 복구 계획(DRP)과 거래 역추적과 같은 프로세스들을 포함할 것임,
-> 교정 통제는 자체적으로 대단히 에러 경향이 있는데, 특이한 상황에서 일어나고 대개 인적 결정이 이루어지고, 결정되고 실행된 조치를 요구하기 때문임, 프로세스 안 각 단계에서 순차적인 에러는 승수 효과를 가질 것이고 최초의 실책을 복잡하게 할 것임
-> 감독 통제(directive controls) : 긍정적 결과를 산출하고 수락할 수 있는 행위를 촉진하도록 설계됨, 자체로 바람직하지 못한 행위를 예방하지 못하고, 어떤 상황에서 인간적 사리분별이 있는 곳에서 대개 활용됨, 그러므로 개인 컴퓨터의 모든 사용자들에게 적절한 백업이 적합하게 취해지고 저장 되는 것을 보장하는 것이 그들의 책임이라고 알려주는 것은 자체로 순응을 강요하지 않음,
-> 또한, 그와 같은 감독적인 통제는 모니터링 될 수 있고 그런 통제가 어겨지는 곳에 대해 조치가 취해질 수 있음
-> 보완 통제: 한 통제의 취약점이 그 밖의 통제에 의해 보완되는 곳에서 존재하도록 할 수 있음, 위험 노출을 제한하는데 이용되고 부주의한 평가자를 격리할 것임, 감사자가 복잡하고 통합된 시스템에 직면하고 통제 구조가 다양한 운영 영역에 걸쳐 산재된 시스템 지향과 인간 통제의 혼합을 포함하는 곳에서 특히 가치가 있음
-경영진과 감사자 : 지나친 통제가 값이 비싸고 궁극적으로 조직을 마비시킬 수 있는 반면, 미흡한 통제가 실행하기
1. 내부 통제
4) 내부 통제 시스템
- 내부통제 시스템을 구성하도록 하는 것은 통제의 개별 요소들의 전반적인 결합임 -> 이것은 결국 통제 환경에 의해 영향을 받음
-> 통제 환경 : 다른 통제 요소들이 그 내부에서 기능하게 될 전체 기반구조로 정의될 것이고, 내부 통제의 나머지가 운영할 상황을 설정함
-> 통제 환경 내 기본적인 요소들은 조직 구조를 포함함
-> 조직 구조 : 개별 관리자들이 책임을 정의하고 권한의 한계치를 설정하고 직무의 적합한 분리의 보장을 허락함
-> 만약 개인들에게 부여된 지나친 권력과 함께 조직 구조가 부적합하다면 또는 직무가 형편없이 분리 되어 있다면, 개별 통제의 효과성은 회복할 수 없게 약화될 것임
-> 만약 어느 개인이 일상적인 운영 절차의 부분으로 호환할 수 없는 직무에 접근 권한을 갖는다면, 예를 들어 상세한 접근 권한을 이용함으로써 컴퓨터 시스템 내 직무의 분리를 실행하는 것은 불가능함
- 통제 프레임워크 : 법과 규제, 관행, 결합 협정, 경쟁적 환경의 외부적 영향뿐만 아니라 기능, 활동, 다른 부서와의 상호관계의 범위를 기술하는 정책과 절차들을 포함함
-> 통제를 실행하는 구조는 복잡하거나 단순할 것임
-> 대규모 조직은 대단히 구조화된 통제 프레임워크를 가지는 경향이 있고, 좀 더 작은 조직들은 종업원들 간에 개인적 협정을 종종 이용함
1. 내부 통제
5) 내부 통제의 요소
: 앞서 주목한 전반적 통제 목표들을 고려할 때, 통제 구조는 다음을 보장하기 위해 설계되어져야 함- 직무의 분리. 물리적으로 자산을 다루는 사람들은 자산 움직임을 기록하는 사람들이 아님을 보장하는 통제임, 그런 기록을 중재하는 사람과 똑같지 않고 또한 그런 거래를 인가하는 사람도 아님, 현대의 컴퓨터 시스템 내에서 이것은 대개 사용자 식별, 사용자 인증, 사용자 인가(권한부여)의 조합에 의해 달성됨
- 사람의 역량과 무결성. 통제 시스템을 지지하는 것은 그것을 실행하는 사람들임, 통제가 유효하기 위해, 통제를 발 휘하는 사람은 그렇게 할 수 있는 능력이 있어야 하고 그렇게 일관되게 할 만큼 충분히 정직해야 함, 이것은 절차를 따 르는 사용자들을 단순히 가지는 것이 현대 IS 환경과 높은 수준의 위험 상황에서 불충분하고, 통제가 의도된 대로 기 능하도록 보장하기 위해 통제 인식이 요구됨을 의미
- 권한의 적합한 수준. 통제 구조에서 공통의 실수는 통제 영역 내에 너무 많은 권한의 부여임, 권한은 단지 가질 필 요성(need-to-have) 기반으로 부여되어야 함, 어느 특정 개인이 특정의 권한을 가지는 것이 필요 없다면, 그런 권한은 부여되지 않아야 함, 분명히 이것은 권한의 수준이 실제 요구되고 단지 욕구되는 것을 확인할 때 권한을 할당하도록, 그런 개인들의 입장에서 노력을 요구함. 접근 통제가 사용자 인증에 국한되어지고 그 인증에 따라서 그 사용자는 IS 내 모든 기능적 영역에 무제한의 접근을 가지는 상황이, 불행히도 여전히 많은 영역에서의 현실임
- 책임성(accountability). 모든 결정, 거래, 취해진 조치들의 경우에, 수락할 수 있는 유의 수준을 가지고 누가 무엇을 했는지의 결정을 허용할 통제들이 있어야 함. 이것은 대개 통제 로그와 감사 증적의 이용을 포함. 단순히 그런 로그와 레코드를 유지하는 것은 조직이 잘못된 보안의식으로 잠재워질 수 있기 때문에 반 생산적일 수 있음. 그런 레코드들이 유효한 통제가 되도록 하기 위해, 정기적으로 면밀히 검사되고 알려진 어떤 불일치를 치유하기 위해 적합한 조치가 취 해져야만 함
- 충분한 자원. 불충분한 자원을 가지고 시도된 통제는 스트레스 하에 있을 때면 언제나 대개 실패할 것임. 충분한 자 원은 인력, 재무, 장비, 물질, 방법론을 포함함. 경영진은 종종 통제를 실행하기 위한 자원의 비용을 저평가하고, IS 감 사자는 그런 통제의 비용에 어떤 생각도 주지 않고, 실행하는 자원에 대한 관리의 부족을 주는 통제를 대개 추천할 수 있음
- 감독과 검토. 적합한 형태의 충분한 감독은 건전한 내부 통제의 실행에 기본적인 것임. 많은 경우에 사람들이 기대 되는 것을 하지 않고, 검사 받는 것만 하는 것이 여전히 목격됨
1. 내부 통제
6) 수작업과 자동화된 시스템 : IS 내의 통제에 추가하거나 빼는 주요한 소프트웨어 요소가 있음
- 시스템 소프트웨어. 컴퓨터 하드웨어, 처리, 비사용자 기능들을 통제하는 컴퓨터 프로그램과 루틴들을 포함함, 이 카테고리는 운영시스템(OS), 통신 소프트웨어, 데이터 관리 소프트웨어를 포함
- 애플리케이션 소프트웨어. 일반 원장, 급여, 증권 시스템, 주문처리 등과 같은 비즈니스 기능들을 지원하기 위해 작성된 컴퓨터 프로그램을 포함, 많은 조직들은 사용자 자신의 환경 내에 만들어진 애플리케이션 시스템에 더욱 의존되어 가고 있음
- 최종사용자 시스템. 특정의 사용자 요구를 충족하기 위한 IS 조직 외부에 생성되는 특별한 유형의 애플리케이션 시스템임, 사용자 개발 시스템뿐만 아니라 마이크로 기반 패키지를 포함함, 많은 경우에 이러한 시스템은 특정의 운영 목표를 달성하도록 설계되고, 실행된 적합한 통제를 가지고 설계되거나 아닐 수도 있음
7) 통제 절차 : 조직의 컴퓨터 투자에 대한 통제가 충분한지를 보장하기 위해, 통제의 범위가 다음과 같은 것을 포함하여 요구됨
- 일반적 IS 통제 : 컴퓨터 시스템이 활용되는 환경을 다룸 - 컴퓨터 운영 : 컴퓨터의 일상 운영을 다룸
- 물리적 보안 : 물리적 하드웨어, 소프트웨어, 건물, 스태프의 보안을 다룸
- 논리적 보안 : 데이터와 소프트웨어가 자체 시스템을 통한 접근으로부터 보호되는 방법을 다룸 - 프로그램 변화 통제 : 정확하고 기능적인 시스템들이 그대로 계속 존재하는지 보장하는 것 - 시스템 개발 : 조직에 의해 사용 중인 시스템들이 효과적, 효율적, 경제적인지를 보장하는 것
1. 내부 통제
8) 애플리케이션 통제
- 애플리케이션 시스템은 주로 비즈니스 시스템 지향적인 빌트인(built-in) 통제라는 자신의 집합을 가짐 -> 일반적으로 정확성, 완전성, 권한부여와 같은 통제 목표들을 포함
-> 추가로, 감사자는 어느 한 영역에서 약한 통제가 다른 통제들에 의해 보완되어질 수도 있는 보완 통제를 발견할 수 있음
- 통제는 대개 예방
,
적발,
교정의 일반적 범주로 분류됨-> 그것은 다른 방법들로 통제를 범주화하기 위해 통제 구조상에 두어지는 신뢰의 정도를 결정할 때 감사자에게 유용할 수 있음
- 통제는 재량적 또는 비 재량적통제로 분류될 수도 있음
-> 재량적 통제 : 사람의 자유재량에 영향 받기 쉬운 통제임, 서명의 감독적 검토와 같은 통제가 여기에 포함
-> 비 재량적 통제 : 시스템에 의해 제공되고 생략될 수 없음, 개인 식별 번호(personal identification number; PIN)의 사용과 같은 통제가 포함
- 자발적 또는 명령적
(mandated) 통제가 있음
-> 자발적 통제 : 비즈니스를 지원하기 위해 조직에 의해 선택됨
-> 명령적 통제 : 법과 규제에 의해 요구되는 통제
- 통제는 수작업이나 자동화된 것일 수도 있음 -> 수작업 통제 : 수작업 개입에 의해 실행됨
-> 자동화된 통제 :컴퓨터 시스템 자체에 의해 실행됨
- 통제는 애플리케이션이나 일반적
IS일 수 있음
-> 애플리케이션 통제 : 비즈니스 기능과 관계가 있음-> 일반적 IS 통제 : IS 기능의 운영에 대한 것
- 어떤 통제가 만약 다음과 같다면 예방적, 자유 재량적, 자발적, 수작업, 일반적 통제일 수 있음
-> 에러를 방지, 변화되거나 생략될 수 있음, 법에 의해 요구되지 않음, 사람에 의해 수행, 다른 통제가 운영하는 환경에 적용함
1. 내부 통제
9) 통제 목표와 위험
- 모든 컴퓨터 환경은 다양한 리스크에 직면 : 사기, 비즈니스 방해, 에러, 고객 불만족, 형편없는 대중 이미지, 비효과적이고 비효율적인 자원의 이용과 같은 위험을 포함
-> 이러한 것들은 특정의 위협 영역을 해결하는 다양한 통제목표(control objectives)를 통해 통제됨
가. 일반적인 통제목표 : 1) 정보의 무결성, 2) 컴퓨터 보안, 3) 정책, 계획, 규칙, 법, 규제에의 준거성이라는 전반적 측면들을 포함
나. 데이터와 트랜잭션 목표
- 트랜잭션의 처리와 데이터의 취급은 또한 처리의 각 단계에서 통제 절차에 영향을 받기 쉬움 - 입력 단계에서 전형적인 통제 목표의 예
-> 모든 트랜잭션은 최초에 그리고 완전히 기록된다.
-> 모든 트랜잭션은 완전하게, 정확히 시스템 내부에 입력된다.
-> 모든 트랜잭션은 한번만 입력된다.
-> 입력 방법 : 온라인 입력, 일괄(batch) 입력, 인터페이싱 시스템으로부터 입력, 전자적 데이터 교환의 혼합을 포함
* 이 단계에서 통제는 전형적으로 다음을 포함
- 미리 번호 부여된 문서의 이용 - 통제 합계의 일치(reconciliation)
- 모든 형태에서 데이터 타당성 - 활동 로깅 -문서(document) 스캐닝
- 접근 권한부여 - 문서 취소
1. 내부 통제
9) 통제 목표와 위험
나. 데이터와 트랜잭션 목표
- 처리 단계에서 전형적인 통제 목표의 예
-> 승인된 트랜잭션은 시스템에 의해 받아들여져서 처리된다.
->모든 거부된 트랜잭션은 보고되고, 수정되고, 재입력된다.
-> 모든 수락된 트랜잭션은 단지 한번 처리된다.
->모든 트랜잭션은 완전하게, 정확히 처리된다.
-> 처리 형태 : 데이터가 온라인으로 캡처되지만 처리가 배치 환경에서 발생하는 그런 온라인 배치처리 뿐만 아니라 배치 처리, 상호작용적인 업데이트(실시간)를 포함
* 이 단계에서 통제
- 통제 합계 - 프로그램된 균형화(balancing) - 직무의 분리 - 제한된 접근 - 파일 라벨 - 예외 보고서 - 에러 로그 -합리성 테스트 - 동시 갱신 통제
- 출력 단계에서 전형적인 통제 목표의 예 : 입력과 처리의 결과가 출력되는 보증, 출력이 권한 있는 인력에게만 활용 가능함 등
-> 출력은 하드카피 인쇄, 전방 처리를 위한 파일 출력, 온라인 질의응답을 포함할 수 있음
* 이 단계에서 통제 : 전형적으로 완전한 감사증적, 출력 배분 로그를 포함
1. 내부 통제
9) 통제 목표와 위험 다. 프로그램 통제 목표
- 컴퓨터 프로그램의 개발과 운영은 자신의 통제 목표와 절차에 영향 받기 쉬움 - 통제 목표는 다음을 보장하는 것을 포함할 것이다.
-프로그램과 처리의 무결성 - 원하지 않는 변화의 방지 -충분한 설계와 개발 통제를 보장하는 것 - 충분한 테스팅을 보장하는 것 -통제된 프로그램 전달 - 시스템의 미래 유지보수성 - 프로그램의 개발과 관련된 전형적인 통제
-공식적인 시스템 개발 수명주기(SDLC)의 이용 - 사용자 관여 -충분한 문서화 - 공식화된 테스팅 계획 -계획된 변환 -사후 실행 검토의 이용 - 품질보증(QA) 기능의 설정
-내부 감사자의 관여
-> 이러한 통제 목표가 충분히 해결되고 적합한 통제가 유효화 되면, 컴퓨터 시스템 내 위험은 효과적으로 최소화될 수 있을 것
2. 기업의 IT 거버넌스
◈ COSO와 정보기술
- 실행된 IT 통제가 COSO 프레임워크를 어떻게 지원하는가를 입증하는 것이 중요하게 됨 -> 조직은 모든 COSO 요소들 내에 IT 통제 역량을 가져야만 함
-> COSO는 효과적인 내부 통제의 다섯 가지 본질적 구성요소(통제 환경, 리스크 평가, 통제 활동, 정보와 커뮤니케이션, 모니터링)를 식별함
- 2013 프레임워크 : IC(내부통제)의 기본적 개념들이 다섯 가지 본질적 구성요소과 관련된 17개 원칙들 [87개의 중점사항(focus points) 포함]로 공식화되고 열거됨
- IS 감사자는 IC 시스템의 효과성을 평가하도록 요청됨
- COSO 자체는 IT 내에 적합한 통제 프레임워크의 실행에 대한 충분한 상세사항을 주지 않는 부분이 있는데, 그런 경우 사베인 옥슬리 법의 의도와 부합하고 404조와 순응하는 설계된 통제 구조를 촉진하는 COBIT과 같은 앞에서 정의된 좀 더 상세한 통제 프레임워크를 실행하는 것이 IT 경영진에게 요구될 것임
- COBIT은 운영과 준거성 목표에 대한 통제를 제공하기 위해 설계되었다는 것을 기억해야 함, 재무적 보고는 단지 그와 같은 목표들 중의 하나임
-
COBIT 5와 COSO 2013
-> 개념적으로 유사하고, 차이 있는 내용을 제시하지만[COSO는 좀 더 일반적 전체 IC의 관점인데 비해, COBIT은 GEIT(기업 IT의 거버넌스와 관리)의 좀 더 상세한 관점이고 IC 정리물을 포함하고 있음]
-> IC의 호환할 수 있는 관점을 제시하고 있어서, IT를 통한 기업(enterprise) 목표의 성취를 보장하기 위해 결합되어 활용될 수 있음
-> 한 가지를 독립해서 이용하는데 비해 함께 활용할 때