KIFRSGuide.
내부회계관리제도운영위원회223

IT통제의 접근제한 시스템 문의

질문

안녕하십니까?  당사는 1000억 상장사로 2022년부터 내부회계 감사대상인 회사입니다.
2020년 내부회계를 구축완료하고, 2021년 내부회계 설계평가를 수행하던중
ITGC부분에서 중대한 취약점이 발견되었습니다.
DB에 대한 접근제한 시스템이 마련되어 있지 않다는 것인데
2021년 발표된 중소기업 내부회계 적용기법 11.4와 11.5에서는 아래와 같이 기술되어 있습니다.
111 재무적으로 중요한 프로세스를 지원하는 응용 프로그램, 데이터베이스, 운영 체제 및 네트워크에 회사의 정책 및 절차에 따라 접근제한과 업무분장을 구현한다. 특히 재무적으로 중요한 기능이나 데이터에 대한 접근제한이 적절히 이뤄져야 한다. 보안관리 프로세스 관련 통제활동 수립 시 이러한 접근제한과 업무분장을 고려한다. 이러한 통제활동에는 권한관리절차, 사용자 및 시스템 인증절차, 암호설정 등이 모두 포함된다. 시스템의 광범위한 접근권한을 보유하는 슈퍼유저 권한 사용으로 인한 위험 역시 관리하여야 한다. 소규모의 덜 복잡한 정보기술 환경에서는 보안관리가 중앙집중화되고 규정과 절차의 문서화 수준이 높지 않으며, 소수의 인원 또는 한 명의 개인이 파트타임으로 보안 관리와 모니터링을 지원하는 경우도 있다. 이러한 경우 운영체제, 데이터, 응용 프로그램에 대한 접근제한 및 업무분장의 결여에 의해 야기되는 위험은 관련 업무에 대한 적발통제 혹은 모니터링 절차 등을 통해 보완할 수 있다.
112 경영진은 배치(batch) 단위든 실시간(real-time)이든 상관없이 거래가 완전하고 정확하며 유효하게 처리되도록 하는 통제활동을 선택하고 개발한다. 거래 및 데이터 처리 과정에 문제가 존재하는지 여부를 확인하기 위해 시스템 상태 및 로그를 수작업으로 일일이 검토할 수 있고, 문제 발생시 자동 경보체계를 갖춘 시스템을 사용할 수도 있다. 경영진은 문제가 누락없이 확인되고 확인된 문제에 필요한 조치가 적시에 취해질 수 있는 통제활동을 수립한다. 경영진은 중요 재무 데이터 및 프로그램이 주기적으로 백업되며, 완전하고 정확하게 복원될 수 있는 절차와 통제를 마련한다. 이러한 복원절차는 실제 복원의 적정성 확인을 위해 주기적으로 테스트하여 백업 및 복원 프로세스가 올바르게 작동하는지 확인한다. 이는 외감법에서 요구하는 회계정보를 기록•보관하는 장부(자기테이프•디스켓, 그 밖의 정보보존장치를 포함)의 관리 방법과 위조•변조•훼손 및 파기를 방지하기 위한 통제에 해당한다. 소규모의 덜 복잡한 정보기술 환경에서는 공식적인 정보시스템 운영기능이나, 장애 관리 또는 데이터의 저장 및 보존에 관한 공식적인 정책이 존재하지 않거나 관련 절차들이 수작업으로 진행될 수도 있다.
당사는 접근제어툴을 도입하지 않아 DB에 대한 접근이나, 변경, 삭제에 대한 이력이 남지 않고 있습니다.
설계평가시 해당 내용들의 로그가 남지 않는다면 데이터에 대한 완전성, 신뢰성을 확보할 수 없어
GITC, PLC 상의 시스템 승인 및 접근제한과 같은 자동통제 58항목에 대해 모두 매뉴얼 통제로 변경해야 되며,
하나의 자동통제를 커버하기 위한 수동통제는 몇개 혹은 그이상의 통제활동으로 설계되어야 한다는 지적이 있었습니다.
중소기업 내부회계에서는 접근제한 및 업무분장의 결여에 의해 야기되는 위험은 관련 업부에 대한 적발통제 혹은 모니터링 절차 등을 통해 보완할수 있다고 되어 있는데,  회사가 DB접근제어툴이 아닌 적발통제, 모니터링 절차를 정책으로 채택한다고 했을경우, 관련 자동통제를 모두 수동통제로 변경해야 하는지요?
업무가 바쁘신줄 아오나 해당 질의에 대한 빠른 답변 부탁드립니다.
DB 접근제어툴을 도입해야 한다면 시간이 촉박하기 때문입니다.
귀 운영위원회의 빠른 답변 부탁드립니다.

답변

회사가 IN-SCOPE 시스템의 DB에 직접 접근하여 데이터를 수정하는 경우, 해당 활동은 ITGC뿐만 아니라, 재무제표에 직접 영향을 미칠 수 있는 중요한 사항입니다. 따라서, 회사는 DB에 직접 접근하여 데이터를 수정하는 활동에서 발생할 수 있는 위험을 충분히 관리할 수 있는 통제활동이 필요합니다. 대표적인 통제활동이 IT부서에서 수행하는 GITC(혹은 ITGC)의 직접DB변경에 대한 통제활동입니다.
이러한 통제의 설계나 운영에 있어 미비점이 존재한다면, 해당통제를 의존할 수 없고 회사가 다른 방법으로 DB직접 변경으로 인한 사항이 적절히 관리되고 있음을 제시하지 못하면, 이는 최종적으로 미비점으로 판단합니다. 따라서 설계의 미비점이나 운영의 미비점이 무엇인지를 명확하게 하고, 확인된 미비점의 원인을 개선하거나 보완적인 방안을 제시하여야 합니다.
회사가 DATA를 수정하는 범위, 방식, 빈도 및 원인 등에 따라 다양한 방안이 고려될 수 있어, 일반화된 답변은 어렵습니다. 문의하신 DB접근툴을 사용하지 않음에 따라, DB에 대한 변경(추가, 수정, 삭제 등)의 전체 LIST(모집단)가 확보되지 않는 경우에 다음과 같은 절차를 고려할 수 있습니다.
STEP 1.  DB에 대한 변경 모집단 확보를 위한 다른 방안 고려 (DBMS 기본 기능 등)
STEP 2. 현재 프로세스와 통제활동에서 DB변경사항이 누락될 가능성을 고려한 모니터링 방안 및 통제활동 추가하고 해당 통제의 설계 및 운영 평가 수행
STEP1과 2가 적용되지 않는 경우 해당 통제활동은 효과적이지 않고, 미비점이 존재한다고 판단할 수 있습니다.
STEP 3. 해당 DB와 연관되는 거래수준통제활동을 파악 (대부분 자동통제 및 IT의존 수작업통제)하고, 해당 통제활동이 DB 수정 가능성을 고려하여 통제활동 설계가 적절한지 평가합니다. 이 과정에서 필요하면 자동통제를 수동통제로 전환하는 경우가 발생할 수 있습니다.
따라서, 문의주신 “DB접근제어툴이 아닌 적발통제, 모니터링 절차를 정책으로 채택한다고 했을 경우” 내용이 STEP 2의 통제활동이 존재하고 효과적이라고 한다면 STEP 3의 거래수준통제활동에 미치는 영향은 미미할 수 있습니다. 단 STEP2의 모니터링 통제활동이 완벽하지는 않더라도 상당히 정교하게 설계되고 운영되어야 할 필요는 있습니다.

출처

https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=425&rGotoPage=52&rSchText=&rType=1


게시글 번호: 223

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 이메일로 문의해 주세요.

이메일로 문의하기

AuditGuide|외부감사가 처음인 회사를 위한 공인회계사 무료 상담

바로가기 →