질문
안녕하세요.
ITGC 운영평가와 관련하여 Jenkins 및 DB Safer의 도입 예정입니다.
하지만 관리 Tool의 도입 전, 운영평가를 수행 할 예정인데 회사와 같이 현재 모집단이 추출 불가한 경우 어떻게 평가를 진행해야할까요?
- 운영평가를 수행하지 않고 비효과적으로 판단
- ITSM이나 수기리스트 등의 대체 리스트를 모집단으로 하여 완벽하지 않지만 평가 후, 효과적/비효과적 판단
감사합니다.
답변
귀사는 현재 당 사업연도의 관리 TOOL (모집단 관리 가능 방안) 도입 이전의 평가방식에 대한 질의를 주신 것으로 이해됩니다. 회사 시스템의 복잡성과 내부회계관리제도의 IT 의존도 및 현재 프로세스와 통제활동에 따라 최선의 대안은 다를 수 있으며, 1안 또는 2안의 적용이 가능할 것으로 판단됩니다
CASE1. 대상 기간 동안 회사가 모집단을 관리하는 통제활동이 부재하거나 적정하지 않은 경우:
모집단의 완전성은 통제 평가의 필수적인 요소 중의 하나입니다. 따라서 모집단의 완전성을 확신할 수 없다면 통제의 효과성을 판단할 수 없기 때문에 미비점으로 결론 내려야 할 가능성이 매우 높습니다. 다만 이러한 미비점이 재무제표 왜곡표시에 미치는 영향을 완화할 수 있는 보완통제가 효과적으로 설계 및 운영되고 있다는 사실을 확인한다면, ITGC 미비점의 심각성을 평가(단순한 미비점, 유의한 미비점, 중요한 취약점)할 때 이를 고려할 수 있습니다.
CASE2. 대상 기간 동안 회사가 모집단을 관리하는 통제활동이 적정한 경우:
비록 수작업으로 관리하고 있으나, 다양한 활동을 통해 모집단의 완전성을 확신할 수 있다면 이를 기반으로 통제를 평가하고 이를 기반으로 운영의 효과성 여부를 판단할 수 있습니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=527&rGotoPage=43&rSchText=&rType=1
게시글 번호: 317