KIFRSGuide.
내부회계관리제도운영위원회593

시스템에 의한 데이터 기록이 자동통제에 해당히는지 등

질문

안녕하세요.
전자상거래업에 해당하며,
고객이 상품을 주문(결제)하면 부채로 인식하고,
이후 배송이 완료되면 매출로 인식합니다.
배송완료 정보의 신뢰성(완전성 및 정확성) 확보가 필요한 상황이며,
배송완료 정보는 물류사로부터 다음과 같은 흐름으로 전달 받고 있습니다.

  1. 물류사는 회사의 API를 호출하여 배송완료 정보를 송신함.
  2. 회사는 '외부용 API 서버'를 통해 배송완료 정보를 수신함.
  3. '외부용 API 서버'는 '내부용 API 서버'에 배송완료 정보를 전달함.
  4. '내부용 API 서버'는 주문DB에 배송완료 정보를 기록함.
    [물류사  (배송완료 정보 송신)--> 외부용 API 서버  (배송완료 전달)--> 내부용 API 서버  (데이터 기록)--> 주문DB]
    이때, '내부용 API 서버'가 배송완료 정보를 전달 받아 DB에 기록하는 것을 자동통제로 볼 수 있을지 문의드립니다.
  • '내부용 API 서버' 대신 사람이 배송완료 정보를 전달 받아 DB에 입력할 경우, 입력 과정에서 휴먼에러(오기입 리스크)가 발생할 수 있으나, 이를 시스템화(자동화)하여 휴먼에러를 경감시켰으므로 이를 통제의 성격으로 봐야하는 것인지.
  • 혹은, 배송완료 정보 흐름 일련의 과정을 시스템 상에서 이루어지는 프로세스로 봐야하는 것인지.
    또한, '내부용 API 서버'의 데이터 기록을 자동통제로 식별할 경우,
    중간에서 배송완료를 수신 및 전달하는 역할을 하는 '외부용 API 서버'에도 IT Dependency가 존재하는 것(= 배송완료 정보 Interface)으로 봐야하는 것인지 문의드립니다.

답변

질문1에 대한 답변
프로세스는 어떤 거래나 사건을, 사전에 수립된 정형화된 일련의 절차 또는 단계를 거쳐 처리하는 행위를 의미하며, 통제는 프로세스 내의 오류를 예방하거나 적발하기 위한 행위나 활동을 의미합니다. 한편 프로세스 내의 특정한 단계를 자동화함으로써 인적 오류를 제거하고 의도적인 부정의 가능성을 크게 줄일 수 있기 때문에, 자동화는 프로세스를 통제로 변환할 수 있습니다.
이런 측면에서 “사람이 배송완료 정보를 전달받아 DB에 입력할 경우, 입력 과정에서 휴먼에러(오기입 리스크)가 발생할 수 있으나, 이를 시스템화(자동화)하여 휴먼에러를 경감시켰”다면 자동화된 기능에 의존하는 통제로 볼 수 있습니다.
질문2에 대한 답변
경영진은 IT 연관 항목(IT dependency) (자동통제, 리포트, 보안, 계산, 인터페이스 등)과 관련된 시스템을 외부 재무보고와 관련된 시스템으로 정하고, IT 연관 항목이 적정하게 작동하기 위해 필요한 정보기술 일반통제의 각 항목에 대한 이해를 기반으로 정보기술 일반통제를 수립할 대상 시스템을 선정합니다(설계 및 운영 적용기법 문단 105). 즉 재무보고와 관련되고, 핵심통제활동이 연계된 시스템은 IT연관 항목(IT dependency)이라고 할 수 있습니다.
'외부용 API 서버'가 비즈니스 로직이 없고 망분리에 따라 IP 매핑만 하는 일반적인 게이트웨이 통신 서버의 역할에 국한된다면 IT연관 항목에 포함될 가능성이 낮다고 판단됩니다.
다만 질의에서 말씀하신 ‘배송완료 정보 Interface’는 '내부용 API 서버'의 IT연관 항목 측면에서 내부용 API 서버와의 인터페이스 정합성 확인 등의 통제를 고려할 수 있을 것입니다

출처

https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=807&rGotoPage=15&rSchText=&rType=1


게시글 번호: 593

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 이메일로 문의해 주세요.

이메일로 문의하기

AuditGuide|외부감사가 처음인 회사를 위한 공인회계사 무료 상담

바로가기 →