질문
안녕하세요.
보통 내부회계관리제도 ITGC 프로세스의 in-sopce으로 선정된 시스템들에 대해 프로그램 개발, 프로그램 변경, 데이터 접근 및 보안, 그리고 컴퓨터 운영 이렇게 4개의 서브 프로세스로 구성하여 통제를 설계하고 있는 것 같습니다.
이에 특정 in-scope 시스템과 관련된 supporting tool들이 있는데요 (예, DB 접근제어 솔루션, 사용자 권한 통합 관리 툴 등)
이러한 supporting tool에 대해서도 4개의 서브 프로세스 (개발, 변경, 보안, 운영)과 관련된 통제를 설계해야 하는지요?
만약, 설계해야 한다면, 어느정도의 depth을 갖고 설계를 해야 하는지요?
설계하게 되면, in-scope 시스템이 게속 추가되는 것과 같다고 느껴지는 것 같습니다.
의견 주시면 감사하겠습니다.
답변
정보기술일반통제(ITGC)의 대상 시스템을 정하는 방식은 원칙 13번과 관련 적용기법에서 제시한대로 회사의 통제활동이 특정 시스템에 의존하고, 해당 시스템의 정보기술일반통제를 의존할 정도가 커서 특정 통제활동에서 이뤄지는 활동만으로는 충분한 통제활동이라고 보기 어려운 경우에 포함시키는 것이 일반적입니다.
예를 들어 재고자산충당금의 리뷰 통제가 수행되는 경우 재고자산충당금 report의 산출 logic에 대해서 관련 리뷰 통제에서 충분히 적정성 등이 검토되는 경우에는 동 통제활동으로 인해 관련 시스템의 ITGC가 포함되지 않을 수도 있습니다. 그러나 일반적으로 해당 report가 복잡한 경우, 리뷰수행자가 logic의 적정성을 확인할 수 없으므로 관련된 ITGC를 의존하여 통제를 수행하게 됩니다. 이 경우 해당 시스템은 ITGC 대상에 포함됩니다.
ITGC를 supporting하는 Tool 역시 마찬가지입니다. ITGC의 특정 통제를 운영함에 있어 supporting tool에 의존하지 않고 충분한 검토를 수행하는 수작업 통제가 이뤄진다면 해당 Tool은 대상에 포함되지 않으나, 해당 Tool에 의존한다면 ITGC 대상에 포함되는 것이 타당합니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=200&rGotoPage=71&rSchText=&rType=1
게시글 번호: 29