3.1 © 2010 by Prentice Hall

1. 내부 통제

시스템감리론

3) 내부 통제 유형- 다양한유형으로분류가능, 일반적인통제목표를달성하도록설계된내부통제의전체시스템을구성하도록진행하는것은이러한통제들의결합임

-> 예방 통제 : 사실에앞서일어나지만결코 100% 유효할수없고그래서완전히의존될수없음,

사용자들의제한, 비밀번호에대한요구, 거래의분리된권한부여와같은통제포함가능

-> 적발 통제 : 발생후에불규칙성(irregularities)을적발함, 예방통제를가지고모든거래를점검하는것보다는값이저렴할것임, 감사증적의유효한사용과예외보고서의이용을포함가능

-> 교정 통제 : 적발통제에의해확인된문제들의교정을보장하고대개 IS 내사람의개입을요구함,

이영역에서통제는재난복구계획(DRP)과거래역추적과같은프로세스들을포함할것임,

-> 교정통제는자체적으로대단히에러경향이있는데, 특이한상황에서일어나고대개인적결정이이루어지고,

결정되고실행된조치를요구하기때문임, 프로세스안각단계에서순차적인에러는승수효과를가질것이고최초의실책을복잡하게할것임

-> 감독 통제(directive controls) : 긍정적결과를산출하고수락할수있는행위를촉진하도록설계됨,

자체로바람직하지못한행위를예방하지못하고, 어떤상황에서인간적사리분별이있는곳에서대개활용됨, 그러므로개인컴퓨터의모든사용자들에게적절한백업이적합하게취해지고저장되는것을보장하는것이그들의책임이라고알려주는것은자체로순응을강요하지않음,

-> 또한, 그와같은감독적인통제는모니터링될수있고그런통제가어겨지는곳에대해조치가취해질수있음

-> 보완 통제 : 한통제의취약점이그밖의통제에의해보완되는곳에서존재하도록할수있음,

위험노출을제한하는데이용되고부주의한평가자를격리할것임, 감사자가복잡하고통합된시스템에직면하고통제구조가다양한운영영역에걸쳐산재된시스템지향과인간통제의혼합을포함하는곳에서특히가치가있음

- 경영진과감사자 : 지나친통제가값이비싸고궁극적으로조직을마비시킬수있는반면, 미흡한통제가실행하기값싸지만조직에비용을가져다줄수있음을항상기억해야함

3.2 © 2010 by Prentice Hall

1. 내부 통제

시스템감리론

4) 내부 통제 시스템

- 내부통제시스템을구성하도록하는것은통제의개별요소들의전반적인결합임

-> 이것은결국 통제 환경에의해영향을받음

-> 통제환경 : 다른통제요소들이그내부에서기능하게될전체기반구조로정의될것이고, 내부통제의나머지가운영할상황을설정함

-> 통제환경내기본적인요소들은 조직 구조를포함함

-> 조직구조 : 개별관리자들이책임을정의하고권한의한계치를설정하고직무의적합한분리의보장을허락함

-> 만약개인들에게부여된지나친권력과함께조직구조가부적합하다면또는직무가형편없이분리되어있다면, 개별통제의효과성은회복할수없게약화될것임

-> 만약어느개인이일상적인운영절차의부분으로호환할수없는직무에접근권한을갖는다면,

예를들어상세한접근권한을이용함으로써컴퓨터시스템내직무의분리를실행하는것은불가능함

- 통제 프레임워크 : 법과규제, 관행, 결합협정, 경쟁적환경의외부적영향뿐만아니라기능, 활동, 다른부서와의상호관계의범위를기술하는정책과절차들을포함함

-> 통제를실행하는구조는복잡하거나단순할것임

-> 대규모조직은대단히구조화된통제프레임워크를가지는경향이있고, 좀더작은조직들은종업원들간에개인적협정을종종이용함

3.3 © 2010 by Prentice Hall

1. 내부 통제

시스템감리론

5) 내부 통제의 요소 : 앞서주목한전반적통제목표들을고려할때, 통제구조는다음을보장하기위해설계되어져야함

- 직무의 분리. 물리적으로자산을다루는사람들은자산움직임을기록하는사람들이아님을보장하는통제임, 그런기록을중재하는사람과똑같지않고또한그런거래를인가하는사람도아님, 현대의컴퓨터시스템내에서이것은대개사용자식별, 사용자인증, 사용자인가(권한부여)의 조합에의해달성됨

- 사람의 역량과 무결성. 통제시스템을지지하는것은그것을실행하는사람들임, 통제가유효하기위해, 통제를발휘하는사람은그렇게할수있는능력이있어야하고그렇게일관되게할만큼충분히정직해야함, 이것은절차를따르는사용자들을단순히가지는것이현대 IS 환경과높은수준의위험상황에서불충분하고, 통제가의도된대로기능하도록보장하기위해통제인식이요구됨을의미

- 권한의 적합한 수준. 통제구조에서공통의실수는통제영역내에너무많은권한의부여임, 권한은단지 가질 필요성(need-to-have) 기반으로부여되어야함, 어느특정개인이특정의권한을가지는것이필요없다면, 그런권한은부여되지않아야함, 분명히이것은권한의수준이실제요구되고단지욕구되는것을확인할때권한을할당하도록,

그런개인들의입장에서노력을요구함. 접근통제가사용자인증에국한되어지고그인증에따라서그사용자는 IS

내모든기능적영역에무제한의접근을가지는상황이, 불행히도여전히많은영역에서의현실임- 책임성(accountability). 모든결정, 거래, 취해진조치들의경우에, 수락할수있는유의수준을가지고누가무엇을했는지의결정을허용할통제들이있어야함. 이것은대개통제로그와감사증적의이용을포함. 단순히그런로그와레코드를유지하는것은조직이잘못된보안의식으로 잠재워질수있기때문에반생산적일수있음. 그런레코드들이유효한통제가되도록하기위해, 정기적으로면밀히검사되고알려진어떤불일치를치유하기위해적합한조치가취해져야만함

- 충분한 자원. 불충분한자원을가지고시도된통제는스트레스하에있을때면언제나대개실패할것임. 충분한자원은인력, 재무, 장비, 물질, 방법론을포함함. 경영진은종종통제를실행하기위한자원의비용을저평가하고, IS 감사자는그런통제의비용에어떤생각도주지않고, 실행하는자원에대한관리의부족을주는통제를대개추천할수있음- 감독과 검토. 적합한형태의충분한감독은건전한내부통제의실행에기본적인것임. 많은경우에사람들이기대되는것을하지않고, 검사받는것만하는것이여전히목격됨

3.4 © 2010 by Prentice Hall

1. 내부 통제

시스템감리론

6) 수작업과 자동화된 시스템 : IS 내의통제에추가하거나빼는주요한소프트웨어요소가있음

- 시스템 소프트웨어. 컴퓨터하드웨어, 처리, 비사용자기능들을통제하는컴퓨터프로그램과루틴들을포함함,

이카테고리는운영시스템(OS), 통신소프트웨어, 데이터관리소프트웨어를 포함

- 애플리케이션 소프트웨어. 일반원장, 급여, 증권시스템, 주문처리등과같은비즈니스기능들을지원하기위해작성된컴퓨터프로그램을포함, 많은조직들은사용자자신의환경내에만들어진애플리케이션시스템에더욱의존되어가고있음

- 최종사용자 시스템. 특정의사용자요구를충족하기위한 IS 조직외부에생성되는특별한유형의애플리케이션시스템임, 사용자개발시스템뿐만아니라마이크로기반패키지를포함함, 많은경우에이러한시스템은특정의운영목표를달성하도록설계되고, 실행된적합한통제를가지고설계되거나아닐수도있음

7) 통제 절차 : 조직의컴퓨터투자에대한통제가충분한지를보장하기위해, 통제의범위가다음과같은것을포함하여요구됨

- 일반적 IS 통제 : 컴퓨터시스템이활용되는환경을다룸

- 컴퓨터 운영 : 컴퓨터의일상운영을다룸

- 물리적 보안 : 물리적하드웨어, 소프트웨어, 건물, 스태프의보안을다룸

- 논리적 보안 : 데이터와소프트웨어가자체시스템을통한접근으로부터보호되는방법을다룸

- 프로그램 변화 통제 : 정확하고기능적인시스템들이그대로계속존재하는지보장하는것

- 시스템 개발 : 조직에의해사용중인시스템들이효과적, 효율적, 경제적인지를보장하는것

3.5 © 2010 by Prentice Hall

1. 내부 통제

시스템감리론

8) 애플리케이션 통제- 애플리케이션시스템은주로비즈니스시스템지향적인빌트인(built-in) 통제라는자신의집합을가짐

-> 일반적으로정확성, 완전성, 권한부여와같은통제목표들을포함-> 추가로, 감사자는어느한영역에서약한통제가다른통제들에의해보완되어질수도있는보완통제를발견할수있음

- 통제는대개예방, 적발, 교정의일반적범주로분류됨-> 그것은다른방법들로통제를범주화하기위해통제구조상에두어지는신뢰의정도를결정할때감사자에게

유용할수있음

- 통제는재량적또는비재량적통제로분류될수도있음-> 재량적통제 : 사람의자유재량에영향받기쉬운통제임, 서명의감독적검토와같은통제가여기에포함-> 비재량적통제 : 시스템에의해제공되고생략될수없음, 개인식별번호(personal identification number; PIN)의

사용과같은통제가포함- 자발적또는명령적(mandated) 통제가있음

-> 자발적통제 : 비즈니스를지원하기위해조직에의해선택됨-> 명령적통제 : 법과규제에의해요구되는통제

- 통제는수작업이나자동화된것일수도있음-> 수작업통제 : 수작업개입에의해실행됨-> 자동화된통제 : 컴퓨터시스템자체에의해실행됨

- 통제는애플리케이션이나일반적 IS일수있음-> 애플리케이션통제 : 비즈니스기능과관계가있음-> 일반적 IS 통제 : IS 기능의운영에대한것

- 어떤통제가만약다음과같다면예방적, 자유재량적, 자발적, 수작업, 일반적통제일수있음-> 에러를방지, 변화되거나생략될수있음, 법에의해요구되지않음, 사람에의해수행, 다른통제가운영하는환경에적용함

3.6 © 2010 by Prentice Hall

1. 내부 통제

시스템감리론

9) 통제 목표와 위험

- 모든컴퓨터환경은다양한리스크에직면 : 사기, 비즈니스방해, 에러, 고객불만족, 형편없는대중이미지, 비효과적이고비효율적인자원의이용과같은위험을포함-> 이러한것들은특정의위협영역을해결하는다양한통제목표(control objectives)를통해통제됨

가. 일반적인 통제목표 : 1) 정보의무결성, 2) 컴퓨터보안, 3) 정책, 계획, 규칙, 법, 규제에의준거성이라는전반적측면들을포함

나. 데이터와 트랜잭션 목표

- 트랜잭션의처리와데이터의취급은또한처리의각단계에서통제절차에영향을받기쉬움

- 입력 단계에서전형적인통제목표의예

-> 모든트랜잭션은최초에그리고완전히기록된다.

-> 모든트랜잭션은완전하게, 정확히시스템내부에입력된다.

-> 모든트랜잭션은한번만입력된다.

-> 입력방법 : 온라인입력, 일괄(batch) 입력, 인터페이싱시스템으로부터입력, 전자적데이터교환의혼합을포함

* 이단계에서 통제는전형적으로다음을포함

- 미리번호부여된문서의이용 - 통제합계의일치(reconciliation)

- 모든형태에서데이터타당성 - 활동로깅 - 문서(document) 스캐닝- 접근권한부여 - 문서취소

3.7 © 2010 by Prentice Hall

1. 내부 통제

시스템감리론

9) 통제 목표와 위험

나. 데이터와 트랜잭션 목표

- 처리 단계에서전형적인통제목표의예

-> 승인된트랜잭션은시스템에의해받아들여져서처리된다.

->모든거부된트랜잭션은보고되고, 수정되고, 재입력된다.

-> 모든수락된트랜잭션은단지한번처리된다.

->모든트랜잭션은완전하게, 정확히처리된다.

-> 처리형태 : 데이터가온라인으로캡처되지만처리가배치환경에서발생하는그런온라인배치처리뿐만아니라배치처리, 상호작용적인업데이트(실시간)를포함

* 이단계에서통제- 통제합계 - 프로그램된균형화(balancing) - 직무의분리 - 제한된접근- 파일라벨 - 예외보고서 - 에러로그 - 합리성테스트 - 동시갱신통제

- 출력 단계에서전형적인통제목표의예 : 입력과처리의결과가출력되는보증, 출력이권한있는

인력에게만활용가능함등-> 출력은하드카피인쇄, 전방처리를위한파일출력, 온라인질의응답을포함할수있음

* 이단계에서통제 : 전형적으로완전한감사증적, 출력배분로그를포함

3.8 © 2010 by Prentice Hall

1. 내부 통제

시스템감리론

9) 통제 목표와 위험

다. 프로그램 통제 목표

- 컴퓨터프로그램의개발과운영은자신의통제목표와절차에영향받기쉬움- 통제목표는다음을보장하는것을포함할것이다.

- 프로그램과처리의무결성 - 원하지않는변화의방지- 충분한설계와개발통제를보장하는것 - 충분한테스팅을보장하는것- 통제된프로그램전달 - 시스템의미래유지보수성

- 프로그램의개발과관련된전형적인통제

- 공식적인시스템개발수명주기(SDLC)의이용 - 사용자관여- 충분한문서화 - 공식화된테스팅계획 - 계획된변환- 사후실행검토의이용 - 품질보증(QA) 기능의설정- 내부감사자의관여

-> 이러한통제목표가충분히해결되고적합한통제가유효화되면, 컴퓨터시스템내위험은효과적으로최소화될수있을것

3.9 © 2010 by Prentice Hall

2. 기업의 IT 거버넌스

시스템감리론

◈ COSO와 정보기술- 실행된 IT 통제가 COSO 프레임워크를어떻게지원하는가를입증하는것이중요하게됨-> 조직은모든 COSO 요소들내에 IT 통제역량을가져야만함-> COSO는효과적인내부통제의다섯가지본질적구성요소(통제환경, 리스크평가, 통제활동, 정보와커뮤니케이션, 모니터링)를식별함

- 2013 프레임워크 : IC(내부통제)의기본적개념들이다섯가지본질적구성요소과관련된 17개원칙들[87개의중점사항(focus points) 포함]로공식화되고열거됨

- IS 감사자는 IC 시스템의효과성을평가하도록요청됨

- COSO 자체는 IT 내에적합한통제프레임워크의실행에대한충분한상세사항을주지않는부분이있는데,

그런경우사베인옥슬리법의의도와부합하고 404조와순응하는설계된통제구조를촉진하는 COBIT과같은앞에서정의된좀더상세한통제프레임워크를실행하는것이 IT 경영진에게요구될것임

- COBIT은운영과준거성목표에대한통제를제공하기위해설계되었다는것을기억해야함, 재무적보고는단지그와같은목표들중의하나임

- COBIT 5와 COSO 2013

-> 개념적으로유사하고, 차이있는내용을제시하지만[COSO는좀더일반적전체 IC의관점인데비해,

COBIT은 GEIT(기업 IT의거버넌스와관리)의좀더상세한관점이고 IC 정리물을포함하고있음]

-> IC의호환할수있는관점을제시하고있어서, IT를통한기업(enterprise) 목표의성취를보장하기위해결합되어활용될수있음

-> 한가지를독립해서이용하는데비해함께활용할때, 양프레임워크는더뛰어난도구가됨