문서요약 - 은행금융 분야의 정보 시스템 감사 정책 by 인도준비은행 IT부서

제목: 은행금융 분야의 정보 시스템 감사 정책(Information systems audit policy for the banking and financial sector)

저자: 인도 준비은행(Reserve Bank Of India) IT부서, 인도

문서유형: 업체 정책서(총 72 페이지), 2001년

 

인도 준비은행에서 작성한 정보 시스템 감사 가이드라인

---

배경

• 은행금융 분야 업무의 컴퓨터 기반 정보 시스템 의존이 매우 커지고 IT 기술을 활용한 새로운 타입의 애플리케이션(인터넷 뱅킹, e-money, e-cheque, e-commerce 등)도 늘어남에 따라 은행금융 시스템의 안전에 대한 지속적인 감시 감독 필요
• 인도준비은행은 은행금융 분야의 정보시스템 감사(IS Audit) 및 안전성 가이드라인(IS Security Guidelines)에 대한 표준과 절차를 마련하기 위한 작업 그룹 조직. 본 문서는 이 조직의 ‘정보 시스템 감사 정책(Information Systems Audit Policy)’에 대한 보고서임

정보 시스템 감사(Information Systems auditing)란

• 의도한 목표가 달성되었는지 확인하기 위해 수행되는 정보시스템과 주변 환경에 대한 체계적이고 독립적인 조사. 정보 시스템 자원의 적절한 구현, 운영, 통제에 대한 증거를 객관적으로 수집하고 평가하는 프로세스
• 감사는 기본적으로 정보수집(gathering of information), 정보비교(comparison of information), 이유질문(asking why)의 세 가지 활동으로 이루어진다.
• IS 감사는 1) 감사 계획 단계(the audit planning phase), 2) 안전 통제 테스팅 단계(the test of controls phase), 3) 상세 테스팅 단계(the substantive testing phase)의 3단계 프로세스를 따른다. 1단계에서 감사자는 조직의 다양한 리스크와 그에 상응하는 안전 통제(the security controls)를 식별한다. 안전 통제는 식별된 리스크를 적절하게 다루기 위한 목적으로 구축된 조직의 정책 및 절차들로서, 컴퓨터 통제(Computer Controls)와 물리적 통제(Physical Controls)로 나뉜다. 2단계에서는 이러한 안전 통제의 효과성을 테스팅한다. 3단계에서는 컴퓨터 기반의 감사 지원 도구와 기법을 활용하여 개별 트랜잭션을 테스트 한다.

정보 시스템 감사의 목표(Objectives)

컴퓨터 환경에 노출된 조직의 리스크 식별하고 안전 통제책(the security controls)의 적절성을 평가하여 그에 따른 결론과 권고사항을 관리자에게 알리는 IS 감사는 아래의 주요 목표를 가진다.

• 정보 시스템 자산/자원을 보호: 하드웨어, 소프트웨어, 설비, 사람(지식), 데이터 파일, 시스템 문서 및 공급품을 사고나 의도적인 위험으로부터 보호해야 한다.
• 데이터 무결성(Data Integrity) 유지: 허가되지 않은 추가, 삭제, 변경으로부터 정보를 보호
• 시스템 효과성 유지: 시스템 효과성은 실제 성과 대비 표준(예정된) 성과의 비율로 산정. IS 감사자의 책임 중 하나는 정보 시스템이 조직 목표 각각의 달성에 어떻게 기여하는지는 조사하는 것이다.
• 시스템 효율성 보장: 정보 시스템에 사용되는 자원(기계, 컴퓨터 주변장치, 소프트웨어 등)은 비용이 들어가므로 효율적인 정보 시스템은 의도한 목표를 달성하는데 최소한의 자원을 사용한다. 효율성은 출력물 대비 입력물의 비율로 산정

정보 시스템 감사의 범위(Scope)

• IS 감사는 조직의 모든 전산화된 부서/사무실을 커버해야 한다.
• IS 감사는 사용중인 정보 시스템이 1) 자산을 보호하고, 2) 데이터의 보안성/무결성/가용성을 유지하고, 3) 조직 목표를 효과적으로 달성하고, 4) 자원을 효율적으로 사용하는지 여부를 판단하는 증거(정보) 수집 및 평가 활동을 포함해야 한다.
• IS 감사는 정보 시스템 활동의 계획/조직 프로세스, 이러한 활동의 모니터링 프로세스, 조직의 적정성 검사와 IS 전문 및 비전문(전문가는 아니지만 IS를 담당하는 스텝) 인력 관리 프로세스를 포함해야 한다.

정보 시스템 감사 접근방법(Approaches)

IS 감사 수행에 세 가지 접근 방법이 있다.

• 시스템의 주변 감사(Auditing around the computer): 프로세싱 과정의 상세 내용은 신경 쓰지 않고 특정 입력에 대한 프로세스의 출력 데이터/문서의 정확성 체크에 중점을 둔다. 감사자들이 요구되는 수준의 기술 스킬을 보유하지 않은 경우나 또는 자산 보호, 데이터 무결성 유지, 시스템 효율성 및 효과성 달성에 있어 컴퓨터 통제 보다는 사용자에 대한 의존도가 높은 경우 선호되는 방법. 또한 믿을만한 벤더가 개발하여 오류 없이 널리 사용되는 패키지를 그대로 사용하는 경우에도 적용 가능
• 시스템을 감사(Auditing through the computer): 컴퓨터 프로그램과 데이터가 IS 감사의 타겟. 운영체제, 사용되는 하드웨어, 시스템 개발 관련 특정 기술에 대한 높은 수준의 지식이 요구되는 방법. 컴퓨터 시스템, 소프트웨어(운영체제와 애플리케이션 시스템 포함), 데이터에 대한 실질적인 테스트와 표준 준수 여부 확인이 수행된다. 감사자가 수집되고 평가된 감사 정보에 더 확신을 가질 수 있지만, 애플리케이션 시스템 내부 동작에 대한 이해가 필수적이므로 시간이 많이 소요되고 기술 전문성이 요구된다.
• 시스템을 이용한 감사(Auditing with the computer): 컴퓨터 시스템과 프로그램이 감사 프로세스의 도구로 사용되는 방법. 감사 대상 컴퓨터와 프로그램을 사용하여 테스트를 수행하는 것이 목적. 감사 대상 컴퓨터 시스템으로부터 나온 데이터를 독립적인 환경으로 보내고, 특별히 제작된 프로그램(감사 지원 도구)을 이용하여 감사 관련 질의와 쿼리를 해당 데이터에 수행한다. 애플리케이션의 입출력 데이터의 볼륨이 너무 커서 이를 직접 검사하는 것이 어려운 경우, 시스템 로직이 복잡한 경우, 시스템의 가시적인 결과 추적이 어려운 경우에 사용되는 방법

정보시스템 감사 방법론(Methodology)

감사 활동(Audit activity)은 크게 5개 주요 단계(5 major steps)로 나뉘어진다.

• IS 감사 계획(Planning IS Audit): IS 감사자는 감사의 목적을 이해하고, 감사 대상 조직의 프로세스 및 내부 통제 방안(the internal controls)에 대한 이해를 통해 감사 목적을 달성 할 수 있는 감사 계획을 수립한다. 기 수행된 감사보고서 검토, 관리자 및 IS 담당자와 인터뷰, IS 기능 기반으로 수행되는 활동 관찰, IS 문서 검토 등 여러 방법을 통해 감사자는 감사 대상 조직과 시스템을 이해한다.
• 통제 방안 테스트(Tests of Controls): 불법적인 이벤트의 발생을 막는 내부 통제(관리 통제, 애플리케이션 통제 등) 방안이 효과적으로 작동되는지 테스트하고 취약점을 식별. IS 감사자는 감사에서 식별된 취약점을 개선하는 권고안을 제시해 주어야 한다.
• 트랜잭션 테스트(Tests of Transactions): 잘못된 트랜잭션으로 재무 정보에 오류가 생기지는 않는지, 트랜잭션이 효과적이고 효율적으로 다루어지는지를 평가한다(데이터 무결성 평가가 목적). 장부의 일일 입력 데이터 추적, 가격 파일 검토, 계산 정확성 테스팅, 트랜잭션 로그 분석 등이 이루어진다.
• 대차대조표 테스트(Tests of Balances): 정보시스템이 목표(자산 보호, 데이터 무결성 유지, 시스템 효과성 및 효율성 유지)를 달성하는데 실패했을 때 발생하는 손실 또는 계정 부정확 정도에 대한 최종 판단을 한다.
• 감사 마무리(Completion of Audit): 감사자들은 발견사항, 분석 및 권고사항들을 명확하게 나타난 의견서를 작성. IS 감사의 발견사항들은 감사 과정 전반에 거쳐 적절한 담당자와 토론을 거쳐야 하며, 일차적인 감사 결론과 내용은 감사 종료 회의에서 감사 대상자에게 전달되고 토론 할 수 있어야 한다(감사 대상자의 의견과 질문 등을 포함한 회의 내용을 문서로 기록). 이렇게 감사 대상자의 피드백을 받고 나면, 이를 반영하여 최종 감사 보고서를 작성하고 지정 기관(또는 조직의 관리 부서)에 제출한다.

전형적인 감사 보고서는 아래 같은 항목들을 포함하고 있다.

• 감사 목적, 범위, 적용된 감사 방법 소개
• 주요 발견사항(the critical findings) 요약
• 주요 발견사항을 뒷받침 하는 데이터
• 취약점(the weaknesses)으로 인한 잠재적인 결과(영향)
• 감사 대상자의 반응
• 취약점 개선을 위한 권고사항(recommendations)

서브시스템 팩터링(Sub-system Factoring)

• 복잡한 IS를 더 잘 이해하기 위해 감사 대상 시스템을 서브 시스템으로 나누는 프로세스. 서브시스템 팩터링 프로세스는 감사 대상 시스템이 이해하고 평가하기 용이한 규모의 서브 시스템으로 나누어 질 때까지 계속된다.
• IS 구축과 운영의 기본 인프라구조를 제공하는 관리 시스템(Management Systems)은 서브시스템 팩터링에서 일반적으로 아래와 같이 나누어진다.
  - 최상위 레벨 관리(Top-level Management)
  - 정보 시스템 관리(Information Systems Management)
  - 시스템 개발 관리(Systems Development Management)
  - 프로그래밍 관리(Programming Management)
  - 데이터 관리(Data Administration)
  - 품질 보증 관리(Quality Assurance Management)
  - 보안 관리 및 (Security Administration)
  - 운영 관리(Operations Management)
• 기본 트랜잭션 프로세싱, 관리 보고, 의사 결정 등을 수행하는 애플리케이션 시스템(Application Systems)은 서브시스템 팩터링에서 아래와 같이 나누어진다.
  - 경계 서브시스템(Boundary sub-system)
  - 입력 서브시스템(Input sub-system)
  - 커뮤니케이션 서브시스템(Communications sub-system)
  - 프로세싱 서브시스템(Processing sub-system)
  - 데이터베이스 서브시스템(Database Sub-system)
  - 출력 서브시스템(Output Sub-system)

IS 감사의 대상 영역(Major areas)

감사자는 아래 측면들을 IS 감사에서 조사한다.

• 자산 보호(Safeguarding of Assets)
  - 주변 환경 보안(Environmental Security)
  - 데이터(Data) 보호
  - 지속적인 파워 공급(Uninterrupted Power Supply)
  - 전기선(Electrical Lines)
  - 데이터 케이블 및 네트워킹 제품(Data Cables & Networking Products)
  - 화재 보호(Fire Protection)
  - 자산의 보험 가입(Insurance of Assets)
  - 연간 유지 보수 계약(Annual Maintenance Contract)
  - 운영 체제 레벨의 논리적 보안 및 접근 통제
  - 애플리케이션 시스템 레벨의 논리적 보안 및 접근 통제
• 데이터 무결성(Data Integrity)
  - 데이터 입력 통제(Data Input Controls)
  - 데이터 프로세싱 통제(Data Processing Controls)
  - 패치 프로그램(Patch Programs)
  - 데이터 파일 삭제(Purging of Data Files)
  - 데이터 백업(Backup of data)
  - 데이터 복원(Restoration of Data)
  - 비상 계획/사업 지속 계획(Business Continuity Planning)
  - 출력 보고(Output Reports)
  - 버전 통제(Version Control)
  - 바이러스 보호(Virus Protection)
• 시스템 효과성(System Effectiveness)
  - 전산화된 오퍼레이션이 시간과 품질 면에서 더 나은 고객 서비스를 제공하는가
  - 온라인 오퍼레이션 도입으로 스텝들은 이전보다 더 많은 수의 고객을 응대 가능한가
  - 고객 정보가 적시에 정화하게 제공되는가
  - 시스템이 제품 및 서비스의 전반적인 품질 향상에 기여하는가
  - 시스템이 작업자의 업무 생산성 향상에 기여하는가
  - 시스템 성능에 사용자가 만족하는가
  - 사용자가 사용하기 쉽고 편리한 시스템인가
  - 작업자가 시스템을 자주 사용하고 소프트웨어 성능에 만족하는가
• 시스템 효율성(System Efficiency)
  - 부서/사무소가 모든 컴퓨터 자산의 사용을 보장하는가
  - 부서/사무소가 모든 컴퓨터 자산을 최적의 용량으로 활용하는가
  - 지속적 서비스를 위해 하드웨어 자산의 주기적 유지보수가 이루어지는가
  - 온라인 작업이 수작업 시 보다 시간을 덜어주어 그날 일을 그날 완료하도록 돕는가
  - 온라인 작업이 프로세싱 각 단계에서 정확하고 완전하고 일관성 있는 데이터를 제공하는가
  - 부서/사무소가 오류나 불법 조작을 발견하기 위해 대차대조의 일관성 체크를 매일 수행하는가
  - 부서/사무소가 프린터 같은 하드웨어 주변 장치를 효율적으로 사용하는가
• 조직 및 행정(Organization and Administration)
• 비상 운영(Business Continuity Operations)

감사 샘플링(Audit Sampling)

• 모집단 전체를 100% 조사하는 것이 대개 비현실적이므로 샘플링 필요
• 감사 샘플의 규모나 구조 설계 시 감사자는 감사의 목적, 모집단의 특징, 샘플링 방법 등을 고려한다.
• 샘플링 단위(Sampling Unit)는 샘플의 목적에 따라 달라진다. 내부 통제책 준수 여부 확인 테스팅(compliance testing)에서는 샘플링 단위가 이벤트 또는 트랜잭션인 애트리뷰트 샘플링이 주로 사용된다. 실 업무 관련 테스팅에서는 샘플링 단위가 통화(monetary)인 변수 샘플링(variable sampling) 또는 추정 샘플링(estimation sampling)이 종종 사용된다.
• 샘플 규모(Sample Size) 결정 시 IS 감사자는 샘플링 리스크(샘플을 통한 감사자의 결론이 전제 모집단에 동일한 감사 절차를 적용했을 때의 결론과 다를 확률), 허용 가능한 오류량, 모집단 내의 예상 오류 정도를 고려해야 한다.
• 계층화(Stratification): 효과적이고 효율적인 샘플 설계를 돕기 위해 모집단을 동일한 특징을 가진 서브모집단으로 나누는 프로세스(각 샘플링 단위가 하나의 계층에만 속하도록 제한)

주로 사용되는 샘플링 방법으로 아래 4가지를 들 수 있다.

• 통계적 샘플링 방법(Statistical Sampling Methods)
  - 랜덤 샘플링(Random Sampling): 모집단에서 샘플링 단위의 모든 조합이 동일하게 선택될 기회를 갖는다.
  - 체계적 샘플링(Systematic Sampling): 선택들 간의 일정 간격(a fixed interval between the selections)을 활용하여 샘플링 단위 선택. 첫 번째 간격(the first interval)은 랜덤으로 시작
• 비통계적 샘플링 방법(Non-Statistical Sampling Methods)
  - 우연적 샘플링(Haphazard Sampling): IS 감사자는 의식적인 편견을 피하며 구조적 기법 적용 없이 샘플 선택. 이 샘플의 분석으로 모집단에 대한 결론을 내리는 것을 바람직하지 않음
  - 판단적 샘플링(Judgemental Sampling): 샘플에 IS 감사자의 편견(주관적 판단)이 들어간다. 예, 특정 값 이상의 모든 샘플링 단위를 선택, 특정 예외 타입만을 선택, 모든 신규 사용자들을 선택 등. 샘플이 모집단의 대표성을 띄지 않을 가능성이 높으므로 샘플 결과로 모집단에 대한 결론을 내려서는 안 된다.