KIFRSGuide.
내부회계관리제도운영위원회074

정보기술일반통제와 ERP 수불부 자동통제 중복 여부

질문

정보기술일반통제(IT General Controls)는 프로그램 개발, 프로그램 변경, 프로그램과 데이터에 대한 접근보안 그리고 컴퓨터운영(백업/복구)을 주요 통제활동으로 하고 있습니다. 프로그램 개발 시 적절한 테스트과정을 거치도록 하고 있고 데이터의 완전성을 확보해야 합니다. 한편, PLC통제 설계시 ERP 제품수불부의 데이터 완전성, 배부로직 등의 정확성을 자동통제로 설정하고 회사가 검증하는 통제는 정보기술일반통제와 중복되는 것은 아닌지 궁금합니다.
프로그램이 제대로 개발되었고 변경관리가 이루어지고 있으며 접근보안 및 백업이 제대로 통제되고 있다면 이것만으로도 ERP 내 개발된 제품수불부의 완전성과 정확성은 검증이 되었다고 판단하는 것이 타당한 것이 아닌지요?

답변

내부회계관리제도 설계·운영 개념체계(A)의 문단 A58에는 “자동통제를 포함하여 업무프로세스에 사용되는 정보기술의 신뢰성은 정보기술일반통제(ITGC)에 따라 달라진다”라고 규정하고 있고, 평가·보고 모범규준(B) 문단 42에서도 “적절하고 지속적인 자동통제 또는 IT기능은 효과적인 정보기술일반통제(ITGC)에 의존한다”라고 규정하고 있습니다. 따라서 효과적인 ITGC는 자동통제나 IT기능이 효과적으로 작동하기 위한 전제조건이 됩니다.
질의에서 설명하신 것처럼 회사가 자동통제나 IT기능을 도입 또는 변경하는 경우 ITGC의 개발 또는 변경관리절차를 통해 해당 통제나 기능의 개발 또는 변경의 적정성을 검토합니다. 동 과정에서 회사는 다양한 통제활동, 특히 다양한 Test (단위 test, 통합 test 및 특히 사용자 Test)를 거쳐서 자동통제나 IT기능의 개발 및 변경의 적정성에 대한 검토를 수행합니다. 따라서 회사가 효과적인 ITGC를 유지한다면, 회사의 자동통제나 IT기능은 적정하게 설계되었다고 확인할 수 있습니다.
자동통제의 경우 별도의 운영 평가를 수행하는 것이 아니라, 한번의 Test를 통해 설계와 운영평가를 한꺼번에 수행하는 것으로 인정될 수 있는 특징을 가지고 있습니다. 따라서 회사의 ITGC에 문제가 없는 경우에는, ITGC를 기반으로 설계 뿐 아니라 운영이 적절하게 이뤄졌다고 판단할 수 있습니다. 단, 해당 자동통제나 IT기능에 사용되는 기초 data나 입력정보(Input Parameter)의 적정성은 별도로 확인될 필요가 있는지 판단하여야 합니다.
또한 일부 자동통제는 변화가 존재하지 않음을 확인하는 것으로 해당 자동통제의 평가를 대신하는 Benchmarking approach를 사용할 수 있습니다. 그러나 이러한 기간이 장기간 지속되는 경우에는 해당 자동통제에 대해 추가적인 절차를 수행하는 것이 바람직합니다. 장기간이 어느 정도 기간인지는 자동통제의 복잡도나 중요도 등에 따라 달리질 수 있습니다. 예를 들어 3년 이상을 장기간으로 정의할 수 있습니다.
또한 회사의 자동통제 중에서 그 기능이 복잡하고, 개입된 변수가 많아 통제 위험이 매우 높고 관련된 고유위험도 높다고 판단되는 경우에는 ITGC 이외의 추가적인 절차를 수행하는 것이 바람직합니다.

출처

https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=253&rGotoPage=67&rSchText=&rType=1


게시글 번호: 74

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 이메일로 문의해 주세요.

이메일로 문의하기

AuditGuide|외부감사가 처음인 회사를 위한 공인회계사 무료 상담

바로가기 →