질문
안녕하세요, 수고많으십니다.
저희는 5천억 이상 상장사로써 내부회계관리제도 감사를 수감하는 과정에서 ITGC 관련 이견이 있어 질의를 드리고자 합니다.
현재 회사는 더존 ERP를 사용하고 있습니다.
더존 ERP의 경우 회사에서 프로그램을 변경하거나 추가 개발할 수 없기 때문에 관련하여 ITGC 상 '프로그램 변경'프로세스 통제를 설계하지 않았습니다.
즉 프로그램의 변경이 회사 내부에서는 이루어 지지 않고 외부(더존)을 통해서만 이루어지고 있습니다. 더존 시스템은 주기적으로 더존에서 적용하는 패치에 따라 변경이 되는데, 더존에서 적용하는 패치의 경우 회사의 서버를 거치지 않고 더존 자체 파일 서버에 반영된 후 사용자 계정의 업데이트를 통해 시스템에 반영됩니다. 또한 사용자는 패치 적용을 하지 않으면 프로그램을 사용할 수 없게 되어있습니다.
이와 관련하여 회사는 통제할 수 없는 더존 프로그램에 대해서 '프로그램 변경'에 대한 위험을 가지고 있지 않다고 판단하고 있으나, 감사인은 외부(더존)에서 프로그램을 변경하는 것에 대한 위험도 회사가 통제하여야 하므로 패치 오류에 대한 모니터링이 필요하다는 입장입니다.
- 프로그램 변경 프로세스가 회사가 자체적으로 프로그램을 변경하는 것에 대한 위험에 대응하는 것 뿐만이 아니라 범용 소프트웨어 사용 시 외부 업체에 대한 변경 위험도 대응하여야 하는 것인가요?
- 내부회계관리제도 모범규준 문단 43에 따르면 ‘재무보고 위험을 처리하는 것과 관련이 없으며, 회사의 운영 측면의 효과성 또는 효율성과 주로 관련된 정보기술 일반통제를 평가할 필요는 없다.’라고 기재되어 있는데 이 의미가 재무보고 위험과 관련없는 시스템은 ITGC시스템에 Inscope 할 필요가 없다는 것인지, Inscope 된 시스템의 경우라도 재무보고 위험 처리와 관련이 없는 프로세스라면 평가 할 필요가 없다는 의미인 지 문의드립니다.
- 또한 기존에 답변주신 내용에 따르면 시스템의 복잡성 및 시스템이 지원하는 업무프로세스의 위험 등을 고려하여 통제 활동의 범위와 강도는 달라질 수 있고 (설계 및 운영 개념체계 문단 A.59) 이러한 프로세스와 통제활동은 간단한 범용소프트웨어를 사용하는 경우에 보다 간단하게 관리될 수 있으며, 허용된 커스터마이징의 정도 및 해당 소프트웨어의 신뢰성 및 범용성에 따라 위험이 달라질 수 있기 때문에 (설계 및 운영 개념체계 문단 A58 및 A66) 이를 고려하여 범용 소프트웨어를 사용하는 경우 정보기술 일반통제의 범위와 강도를 조정할 수 있다는 내용을 확인하였습니다. 여기서 정보기술 일반통제의 범위와 강도를 조정할 수 있다는 의미가 Inscope 된 시스템이라면 프로그램 개발, 프로그램 변경, 프로그램과 데이터에 대한 접근보안, 컴퓨터 운영 프로세스와 관련한 프로세스(MEGA)는 무조건 모두 설계하되 그 안에서 통제(Sub process)의 범위와 강도가 조정할 수 있다는 의미인 지도 문의드립니다.
바쁘시겠지만 빠른 답변 부탁드리겠습니다.
감사합니다.
답변
질문1에 대한 답변
범용소프트웨어는 허용된 커스터마이징의 정도 및 해당 소프트웨어의 신뢰성 및 범용성에 따라 위험이 달라지며 (설계·운영 개념체계 문단A66), 회사에서 프로그램을 변경하거나 추가 개발할 수 없다면 변경 자체에 대한 위험은 크지 않을 것으로 판단됩니다. 다만, 경영진은 재무적으로 중요한 패치를 설치하거나 시스템을 업그레이드하기 위해 정의된 변경절차를 준수하여야 하며, 동 절차는 업그레이드나 패치의 성격과 적합한 사항인지를 확인하는 것을 포함합니다. 이후 적절한 것으로 판단되면 패치 또는 업그레이드를 실제 운영시스템에서 적용하기 전에 실제 운영시스템과 동일한 환경의 시스템에서 시스템 테스트 및 사용자 테스트를 수행하고, 이를 검토 승인하고 변경절차가 적절히 이뤄졌음을 증명하는 문서화를 수행합니다 (설계·운영 적용기법 문단 115).
질문2에 대한 답변
내부회계관리제도 평가 및 보고 모범규준 문단 43에서는 ‘재무보고 위험을 처리하는 것과 관련이 없으며, 회사의 운영 측면의 효과성 또는 효율성과 주로 관련된 정보기술 일반통제를 평가할 필요는 없다’고 기술하고 있습니다. 이는 재무보고 위험과 관련 없는 시스템은 내부회계관리제도 목적의 정보시스템의 범위에 포함할 필요가 없다는 의미이며, 범위에 포함된 시스템의 경우라도 재무보고 위험 처리와 관련이 없는 프로세스라면 평가대상에서 제외할 수 있다는 것을 의미합니다.
질문3에 대한 답변
경영진은 IT 연관항목이 적정하게 작동하기 위해 필요한 정보기술 일반통제의 각 항목(개발, 변경, 보안, 운영)과의 연관관계를 이해하고 이러한 이해를 바탕으로 정보기술 일반통제를 수립할 대상 시스템을 정합니다 (설계 및 운영 적용기법 문단 105). 이 때 내부회계관리제도 목적상 정보기술 일반통제의 설계 및 운영 범위는 IT연관항목과의 연관관계에 따라 각 항목(개발, 변경, 보안, 운영) 단위로 이루어질 수 있으며, 이들 네 가지 항목을 모두 포함하는 경우에도 각 항목을 구성하는 개별 통제수준에서 조정할 수 있을 것으로 판단됩니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=824&rGotoPage=13&rSchText=&rType=1
게시글 번호: 610