내부회계관리제도 IT감사 요구사항 및 대응방안
내부회계관리제도 IT 감사에 대한 준비가 되셨나요?
내부회계관리제도 수준이 '검토'에서 '감사'로 강화되고 감사 대상이 확대됨에 따라 국내 상장사는 큰 변화를 맞이하게 되었습니다. 특히나 2023년부터 본격적으로 모든 상장사가 내부회계관리제도 외부감사의 대상이 되면서 이를 대응하기 위한 IT 시스템 구축에 많은 관심을 표하고 있습니다.
내부회계관리제도란
내부회계관리제도란 기업의 재무 정보 상 신뢰성 확보를 위해 회사가 갖추고 지켜야 하는 내부통제제도입니다. 기업에서 IT 시스템 운영 및 환경이 차지하는 비중이 꾸준히 증가하며 IT 통제 부문의 감사 또한 이슈화되고 있습니다. IT 통제 부문은 크게 ITGC (IT General Control)과 ITAC (IT Application Control) 로 설명되며 다음과 같은 차이가 있습니다.
- ITGC : 정보기술 일반 통제로 IT와 관련한 업무에서의 전체적인 프로세스 상의 통제를 수립
- ITAC : 정보기술 자동 통제로 재무제표에 입력되는 데이터의 상의 오류가 없도록 자동화 처리 상의 통제를 수립
그 중 기업의 재무보고와 관련된 IT 기술에 대한 통제 수준을 검토하는 ITGC에 대해 집중해야 합니다.
검토와 감사의 차이
2019년부터 내부회계관리제도 인증이 '검토'에서 '감사'로 상향되면서 재무제표 산출에 영향을 미치는 IT 시스템의 내부통제 강화가 요구되어지고 있습니다. 이에 따라 검증 대상과 수행 절차도 변경되었습니다. '검토'는 내부통제에 대하여 회사 내에서 자체적으로 점검하고 이를 보고한 후 감사인과는 문답 위주 방식으로 검증을 수행했었습니다. 반면 '감사'의 경우 증적 자료의 점검이 강화되었고 주요 통제 활동의 경우 재수행을 하거나 감사인이 직접 기업에 방문하여 관찰하는 등 검토 단계보다 체계적이고 강화된 절차로 감사가 이루어집니다.
내부회계관리제도 대상과 시점
감사 대상은 상장 기업의 자산 총액을 기준으로 순차 적용 받게 됩니다. (하기 표 참고) 그리고 2023년에는 모든 상장 기업이 내부회계관리제도의 대상이 됩니다. 따라서 신외감법 대응를 위한 IT 팀의 신속한 준비가 필요합니다.
1. 개별 기준 외부 감사 적용 시점
| 자산 총액 | 적용 시점 |
|---|---|
| 2조원 이상 | 2019년 |
| 5천억원 ~ 2조원 | 2020년 |
| 1천억원 ~ 5천억원 | 2022년 |
| 1천억원 미만 모든 상장사 | 2023년 |
2. 연결 기준 외부 감사 적용 시점
| 자산 총액 | 적용 시점 |
|---|---|
| 2조원 이상 | 2023년 |
| 5천억원 ~ 2조원 | 2024년 |
| 1천억원 ~ 5천억원 | 2025년 |
| 1천억원 미만 모든 상장사 | 2025년 |
IT 일반 통제(ITGC) 대응 방안
신외감법 IT 일반 통제 (ITGC) 는 '재무보고 대상 기간 동안 유효하게 운영되었는지 여부'를 평가합니다. 일반적으로 내부회계관리제도 목적상 다음의 영역을 대상으로 하며, 일련의 활동에 대한 업무 프로세스와 승인 절차, 히스토리 관리, 접근 권한 관리가 수반됩니다.
- 프로그램 개발 (Program Development)
- 프로그램 변경 (Program Changes)
- 프로그램과 데이터에 대한 접근보안 (Access to Program and Data)
- 컴퓨터 운영 (Computer Operation)
그리고 IT 일반 통제 대응의 실효적 방안을 확보하기 위해 Jira, Jira Service Management, Bitbucket 과 같은 Atlassian 솔루션이 필수적입니다. 업무 프로세스 상 관련 없는 자의 접근을 제한하고, 담당자의 역할과 책임을 분리하고, 모든 기록은 투명하게 관리되는 절차가 내부 통제를 위해 반드시 기반되어야 하는데요. Atlassian 솔루션 기반의 IT 통제 체계 구성도를 살펴보겠습니다.
1. 일단 Jira Service management 는 Service Request 창구로서 현업의 요청자로부터 요구사항을 받는 역할을 합니다. 그리고 해당 요구사항은 이슈로 등록되어 관리되어 지는데요, Jira Service Management의 이슈는 Jira에 자동으로 클론됩니다. 2. Jira에서는 해당 요구사항을 해결할 담당 개발자에게 이슈를 할당되고 개발자는 Bitbucket에서 소스를 수정 후에 업데이트합니다. 3. 이후 배포 담당자의 검토 과정을 거쳐, 배포 담당자가 승인 시에만 Bamboo에서 배포를 진행하게 됩니다. 그리고 이 모든 일련의 과정은 Jira에 히스토리가 남게됩니다. 4. 여기서 중요한 포인트는 개발과 배포의 영역 분리, 배포 담당자를 통한 승인 절차 그리고 모든 활동에 대한 로그 관리라고 할 수 있습니다. |
ITGC 측면의 아틀라시안 솔루션 도입 효과
Atlassian 솔루션 기반의 IT 통제 환경 구축 시 하기와 같은 기능을 기반으로 내부회계관리 ITGC 전반의 요건을 해결할 수 있습니다. 또한, 내부회계관리제도의 영향을 받는 다수의 기업에서 이미 Jira와 Jira Service Management, Bitbucket 등을 도입하여 사용하고 계실 것으로 판단됩니다. IT 감사 대응을 위해 별도의 솔루션을 도입하여 학습하고 익히는데 불필요한 시간과 비용을 낭비하지 마시기 바랍니다. 기존에 사용하던 업무용 협업툴을 기반으로 IT 감사의 실효적 방안을 확보할 수 있다는 점은 Atlassian 솔루션의 비교 우위 장점이라 할 수 있을 것 같습니다.
1. 절차적 프로세스 구현
- 변경 사유에 대한 명확한 요구사항 수집
- 관리자 측면에서의 개발 현황 모니터링
- 프로세스에 대한 역할 분리 권한
2. 변경 행위에 대한 증적 기록 및 분석
- 소스 변경에 대한 히스토리 관리
- 빌드 및 배포에 대한 히스토리 관리
- 변경 이력에 대한 기록 추출
3. 개발자 및 배포자(결재권자)의 분리
- 절차와 통제에 따른 업무 분장
- Pull Request를 통한 승인 절차 부여
다만, 각 제품의 기본 기능 자체로는 ITGC의 요건에 충족하기는 어렵고 컨설팅과 커스터마이징을 통해 보완이 필요합니다. 아틀라시안 제품간의 연동, 커스터마이징 애드온을 통한 기능 확장, 투명하고 디테일한 추적성을 기반으로 ITGC의 요건 전반을 해결하고 보완하시어 내부회계관리제도에 효과적인 대응은 물론, IT 운영의 체계화 환경까지 구축하는 효과를 얻으시기 바랍니다.
