KIFRSGuide.
내부회계관리제도운영위원회713

ITGC 권한 관리 부분

질문

ITGC 적으로  ERP에 권한 부여시 IT팀이 판단해서 넣어도 문제없을까?
예를들어  주문등록 메뉴가 없는 팀에서 주문등록 권한 달라고 기안를 받았는데
그 기안에는 해당팀장 그리고 IT팀합의만 있는 결재문서를 가지고만 해당 권한을 부여 했을때 문제없을지 문의드립니다.
인사팀 주문등록 관리 권한 요청 기안 -> 인사팀장 결재 -> IT팀장 합의 -> 권한 부여 순

답변

정보시스템의 사용자 권한은 업무수행을 위해 필요한 범위 내에서 최소한으로 부여하는 것이 기본 원칙입니다. 또한, "내부회계관리제도 설계 및 운영 적용사례"에서는 접근권한관리 솔루션 상 권한등록·변경 요청 절차의 사례로 ‘요청서 작성 → 부서장 결재 → 시스템 소유자 또는 정보보안 파트 결재’를 제시하고 있습니다(11-03 보안관리 프로세스에 대한 통제활동 수립). 이 때 요청한 권한이 업무 수행을 위해 반드시 필요한 지를 부서장이 결재 과정에서 확인하는 것이 필수적이며, 질의와 관련하여서는 언급하신 "IT팀장"이 위 적용사례의 시스템 소유자(또는 관련 업무 수행부서)나 정보보안 파트의 역할을 수행할 권한과 지식을 갖추고 있는지 여부에 기초하여 판단하여야 할 것입니다.

출처

https://www.k-icfr.org/sub/menu/qna.asp?rWork=TblRead&rNo=931&rGotoPage=3&rSchText=&rType=1


게시글 번호: 713

이 주제에 대해 더 궁금한 점이 있으신가요?

실무 적용, 회계처리 판단 등 구체적인 사안은 이메일로 문의해 주세요.

이메일로 문의하기

AuditGuide|외부감사가 처음인 회사를 위한 공인회계사 무료 상담

바로가기 →