질문
ITGC 계정 권한과 관련하여 문의드립니다.
현재 회사는 ERP로 SAP를 사용중이며, In-scope 되어있는 상태입니다.
감사인으로부터 ITGC 미비점으로 SAP 개별 계정권한 분류 미비를 지적받았으며, 그에 따라 미비점을 보완하기위해 전체 계정의 권한 재분류를 실시하였고, 현재 재분류된 사항을 반영하였습니다.
현업 담당자들의 담당 모듈을 제외한 권한은 모두 회수하였는데, 문제는 현업에서 업무를 진행할 때 필요한 타모듈 조회권한이 제외된 것입니다.
질의사항은 하기와 같습니다.
양립불가한 사항을 제외하고 담당하는 업무가 아니더라도 현업담당자에게 타모듈에 대한 조회권한을 부여해도 괜찮은지?
타모듈에 대한 조회권한을 부여해도 ITGC 상 문제가 없는지? 예시)영업담당자에게 원재료 재고조회 권한 부여
이상입니다.
답변부탁드립니다.
답변
개별 회사의 상황을 모두 이해하지 못하는 상황에서 문의 주신 내용에 대해 구체적인 답변을 드리기는 어렵습니다만, 내부회계관리제도 목적상 중요한 기능이나 데이터에 대한 “생성, 변경, 실행 등” 데이터의 신뢰성에 영향을 줄 수 있는 권한에 대한 접근제한이 중요하며, 데이터의 단순한 ”조회“ 권한은 업무 필요성에 기초하여 ‘시스템 권한 부여절차’에 따라 검토 및 승인이 이루어진다면 실무적으로 무리가 없을 것으로 판단됩니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=690&rGotoPage=27&rSchText=&rType=1
게시글 번호: 477