질문
업무분장 통제 관련 문의 드립니다.
현재 개발자와 운영자의 업무를 분리하여 통제할동을 진행 하고 있습니다.
ERP 시스템의 경우 개발자는 개발환경에서 개발 후 문제가 없을 경우 내부 승인을 득한 후 운영자가 라이브 Application 시스템(ERP)에 접근하여 배포 관리 업무를 진행하고 있습니다.
개발자가 라이브 Application 시스템(ERP)에서 접근해야 하는 경우가 존재 할 경우 어떤 통제활동을 해야 하는지 문의 드립니다.
- 개발자는 ITGC 업무분장에 따라 라이브 Application 시스템(ERP)에 접속을 못 하도록 통제 하고 있습니다.
--> 개발자의 라이브 Application 접속은 화면 조회 및 셋업 사항확인 용도로만 사용하고 싶어 합니다. - 가능하다면 운영자 아이디와 개발자 아이디를 분리 하여 각각 라이브 시스템 접근 가능하도록 분리하고 주기적인 모니터링을 통해 통제활동을 진행하면 되는것인지요.
- 불가능하다면 개발자는 라이브 Application 시스템(ERP)에 접속을 하면 안된다 라고하면 ITGC 통제활동에 있어 어느부분에 설명이 되어 있는지 안내 부탁 드립니다.
답변
경영진은 양립할 수 없는 직무를 분리하되, 업무분장 적용이 가능하지 않을 경우 대체적인 통제활동을 선택하고 구축하며 (내부회계관리제도 설계 및 운영 개념체계 문단 47.6), 이는 정보기술 일반통제에도 동일하게 적용됩니다. 정보기술 일반통제에서 개발자와 운영자의 업무를 분리하는 목적이 인가받지 않은 변경 또는 반영으로 인해 프로그램 및 재무정보의 무결성이 훼손될 위험을 방지하기 위한 것임을 고려하면, 개발자에게 라이브 Application 시스템(ERP)에서 화면 조회 및 셋업 사항을 조회하는 제한적인 권한만 부여하고, 직접 프로그램을 변경하거나 신규 또는 변경된 프로그램을 배포하는 권한을 부여하지 않는다면 개발자와 운영자 분리원칙에 중대하게 반하지 않는다고 판단됩니다.
출처
https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=827&rGotoPage=13&rSchText=&rType=1
게시글 번호: 613