질문
예를 들자면,
IT 통제항목 중 퇴사자에 대한 ERP 권한이 적시에 회수 되어야한다는 통제 활동이 있습니다.
현재는 평가대상기간의 퇴사자 명단을 추출하고, 테스트 시점에 ERP권한이 회수되어 있는지 비교를 하는 방식으로 운영하고 있습니다.
퇴사시점으로부터 언제 ERP권한이 회수되었는지는 이력까지는 관리하고 있지 않은데, 언제 ERP권한이 회수되었는지 그 이력까지 관리를 필수적으로 해야하는지 문의 드립니다.
답변
답변이 늦어 죄송합니다.
문서화의 수준과 특성은 조직의 규모와 통제의 복잡성에 따라 달라질 수 있으므로 (설계 및 운영 개념체계 문단33) 전체적인 사실관계를 알 수 없는 상황에서 문서화가 필수적인지에 대하여 본 운영위원회에서 답변드리기 어려운 점 양해 부탁드립니다.
다만 문의하신 내용에 기반하여 제한된 답변만을 드립니다.
문의하신 통제활동은 퇴사과정에 발생하는 통제가 아닌 일정기간(예를 들어 월별 혹은 분기별)의 퇴사자를 확인하고, 월말(가정)에 해당 인원의 권한이 회수되었는지 확인하는 통제로 이해됩니다.
만약 회사가 월말에 확인한 사항(퇴사자가 ERP 접근권한이 없다는 확인과 증빙문서)가 존재한다면, 회사는 회사가 설계한대로 통제활동을 적절히 운영하는 것으로 판단됩니다.
다만, 감사인은 통제활동의 설계가 적정한지에 대한 의문을 제기하는 것으로 보입니다(가정). 감사인은 실제 퇴사일과 ERP권한을 회수한 날과의 차이에 발생할 수 있는 위험이 중요하기 때문에 동 통제활동의 설계가 적절하지 않다고 주장하는 것이고, 회사가 이러한 위험이 미치는 영향이 적다는 것을 충분히 납득시키는 것이 필요할 것으로 판단됩니다. 그리고 이러한 통제 수행 빈도가 낮을수록 합리적이라 판단되기 어려울 수 있다고 판단됩니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=366&rGotoPage=57&rSchText=&rType=1
게시글 번호: 170