본 검토에서 실시한 정보시스템 내부통제에 대한 평가는 내부통제의 확신 (Assurance)을 주기 위한 것은 아니며, 본 검토는 정규 회계감사의 일환으로 수행된 것임으로 보다 상세한 검토를 수행하였을 경우 가능한 모든 분야를 포함하고 있지는 않음을 주지할 필요가 있습니다.
본 검토의 결과, 전반적으로 정보시스템의 내부통제 구조와 업무는 비교적 양호한 편이나 감사업무 중 발견한 취약점 및 개선권고사항은 Chapter 5에서 설명하고 있는 바와 같습니다.
주) 개별 시스템 취약성 부분은 외부 네트워크가 아닌 내부 네트워크에서 수 행된 점검 결과이므로 실제 위험성은 전반적으로 낮다고 해석해야 합니다.
주요 발견사항 및 개선권고
검토 결과 xx제조업체의 내부통제구조 중 비교적 중요하고, 개선의 여지가 있 다고 판단되는 분야가 발견되었으며, 이러한 검토결과를 아래와 같이 요약 하였습니다. 개선 권고 방향(Recommendation)은 정보시스템 전반에 대한 종합적인 검토 결과는 아니며, 감사수행과정 중 발견된 분야에 국한 된 것입니다.
| 통제영역(Control Area) | 발견 사항(Findings) | 잠재적 위험요소(Risk & Potential Error) | 개선우선순위(Priority) | 개선 권고방향(Risk Minimization ecommendation) |
|---|---|---|---|---|
| Information Systems Operations | 백업 절차 미흡 데이터 백업 절차가 비즈니스 연속성 계획과 연계되어 수행되고 있지 않습니다. - 재해시 대체 시스템에 대한 방안 부재 - 백업은 daily, weekly, monthly로 1 copy 수행하여 기계실 내 보관됨.(백업 데이터의 소산 없음) - 고객 및 금전과 관련된 증요 데이터의 경우에는 내화금고에 보관됨. | 재해발생시 회사의 비즈니스가 정상적으로 수행되기 어렵습니다. 따라서 재해 발생시 재무정보 처리의 완전성 (Completeness) , 유효성 (Validity), 정확성 (Recording)에 영향을 줄 수 있습니다. | Medium | 데이터 백업 절차는 비즈니스 연속성 계획과 연계되어 수립되어야 합니다. 업무 부서의 담당자와 협의하여 시스템 복구 시간, 데이터 백업 주기 등을 결정하고 시스템 복구 절차를 정의합니다. 데이터 백업은 2copy를 수행하여 1copy는 원거리 소산을 수행합니다. |
| 개발자의 비정기 배치 작업 수행 기간계 업무의 경우, 정기 배치 작업은 배치 작업 Scheduler에 등록 되어 operator에 의해 수행되고 있으나 비정기 배치 작업은 개발 담당자에 의해 수행되고 있습니다. | 배치 작업은 보통 다량의 데이터에 대해 전산 처리 작업을 수행합니다. 배치 작업의 통제의 부족으로 고의적인 또는 비고의적인 오류를 포함한 배치작업이 수행될 경우 비승인된 거래 데이타의 발생 또는 거래의 오처리로 인해 재무 정보의 완전성 (Completeness) , 유효성 (Validity), 정확성 (Recording)에 영향을 줄 수 있습니다. | Medium | 개발자의 운영환경의 데이터에 대한 접근은 최대한 차단하는 것이 바람직합니다. 가급적이면 시스템 기능을 통하여 사용자 부서에서 해당 업무를 처리하도록 하고, 그렇지 못한 경우 비정기 배치 작업에 대한 통제를 강화합니다. - 승인된 배치 프로그램에 대해 작업이 수행되는 것을 보증하기 위한 operator 그룹에 의한 배치 작업의 수행 - 기존 시스템에 부정적인 영향을 미치는 가능성을 최소화하기 위해 작업 시간을 통제함. - 개발자에 의해 배치 작업이 수행 될 경우 승인된 건에 대해서만 작업 절차를 준수하여 수행되었는지 사후 모니터링하는 절차의 수립 | |
| 규정 관리 미흡 정보기술 업무 표준집에 시스템운영절차, 복구관리절차 등에 관한 규정이 수립되어 있습니다. 그러나 현재의 운영 절차와 상이한 내용들이 발견됩니다. - 전산시스템 운영 절차 4.3 오퍼레이터: “작업 의뢰서에 의해 비정규 배치작업을 실시한다”고 되어 있으나 비정규 배치 작업의 경우 작업의뢰 없이 개발자가 수행하고 있습니다. - 상기 규정 5.2 비정규 배치작업 : “비정규배치 작업은 오퍼레이터가 작업하는 것을 원칙으로 한다”고 되어 있으나 개발자에 의해 수행되고 있습니다. - 복구관리지침 : “월간 단위로 2copy 백업하여 전산기계실과 내화금고, 또는 별도 장소에 보관하게 되어 있으며 5.1.3 “매 분기말의 백업 테이프는 재난에 대비하여 별도 장소에 보관한다”고 되어 있으나 현재 데이터 백업은 소산이 이루어지고 있지 않습니다. | 업무 규정이 업무 현실을 반영 하지 못하고 있어 업무 규정의 신뢰성을 저하시키며 직원들이 규정과 상이하게 업무를 수행하고 있으므로 일관된 업무절차를 확보하기 어렵습니다. 규정 관리의 미흡 및 이로 인한 규정의 준수가 미흡한 점은 재무정보 처리의 특정 risk에 영향을 준다기 보다는 전반적인 risk 발생 요인이 됩니다. | Low | IT 규정을 검토하여 현재의 조직 및 업무 현실에 부합하는지 검토하고 필요한 경우 IT 규정의 제·개정을 수행 합니다. IT 규정을 지속적으로 효과적으로 관리 하기 위해서 IT 규정 담당자를 지정합니다. IT규정 담당자는 다음과 같은 업무를 수행합니다. - IT 규정의 효과성 평가 - IT 규정의 공지 - IT 규정 변경 요구 발생시 변경의 타당성 검토 및 IT 규정의 갱신 - IT 규정의 버전 관리 등 | |
| Application Systems Implementation and Maintenance | production 이관시 승인 여부 검토 없음 응용시스템의 개발 및 변경시 운영환경에 적용하는 업무는 개발자가 아닌 시스템운영팀 의 담당자에게 부여되어 있습니다. 그러나, 시스템 운영팀의 담당자가 production 적용시 승인 된 변경인지 확인하는 절차가 부재합니다. | 시스템운영팀의 변경 담당자가 변경된 응용시스템 의 승인 여부를 확인하지 않고 운영환경에 적용하고 있으므로 고의· 비고의적인 오류를 포함한 승인받 지 않은 프로그램이 운영환경에 적용될 수 있습니다. 오류를 포함한 프로그램은 비승인된 거래 데이타의 발생 또는 거래의 오처리로 인해 재무 정보의 완전성 (Completeness), 유효성(Validity), 정확성 (Recording) 에 영향을 줄 수 있습니다. | Medium | 신규 또는 변경된 시스템의 Production 이관 시 사용자 부서로부터의 인수 확인에 대한 근거를 확인하는 절차를 수립합니다. |
| Application Systems Implementation and Maintenance | 공식적인 개발 변경 절 차 미흡 신규 시스템 개발 또는 프로젝트성의 개발인 경우에는 프로젝트에 적용하는 개발 절차에 따라 수행되고 있으나 통상의 유지보수 개발 인 경우에는 공식적으 로 적용되는 개발 절차가 부재합니다. - 테스트 결과는 담당자 에 따라/사안의 중요도 에 따른 담당자의 판단 에 따라 작성되거나 작성되고 있지 않음 - 통상적인 유지보수 변경의 경우 변경된 시스 템의 사용자 인수 절차는 현업 사용자와의 유선 연락에 의함 | 일관된 개발 절차 및 표준의 부재는 개발 시스템이 담당자 에 따라 상이한 양식으로 개발 되어 관리 복잡도를 증가시킬 수 있으며 시스템 담당자의 교 체시 유지보수 업무의 어려움을 증대시킬 수 있습니다. 또한 시스템 변경시 테스트 근거의 부재, 사용자 부서의 인수에 대 한 근거를 요구하지 않으므로 비승인된 변경을 허용하는 위험을 야기합니다. 이로 인해 재무 정보의 완전성 (Completeness), 유효성(Validity), 정확성 (Recording) 에 영향을 줄 수 있습니다. | Low | 회사의 응용시스템은 다수의 시스템으로 구성되 어 있으며 응용 시스템 관리 담당 부서(팀)도 복수의 지역, 다수 부서로 구분 되어 있습니다. 따라서 개발 방법론 및 절차를 표준화하여 공식 적인 표준을 수 립하고 각 담당자에 의해 준수 되도록 합니다. 개발 방법론에는 다음과 같은 내용이 포함되어 있어야 합니다. - 어플리케이션 개발 요청부터 승인, 개발수행, 완료까지의 상세한 프로세스 - 개발 시기 및 Resource 정의에 대한 기준 - 데이터 전환 절차 - 테스트 절차 등 |
| Information Security | TIMEOUT 설정 비활성 Mainframe 시스템의 사용자 세션에 대한 TIMEOUT 설정이 되어 있지 않습니다. | Timeout이 설정 되어 있지 않으면 사용자의 자 리 이석 시 비인가된 접근이 일어날 수 있습니다. 이는 불법적인 목적에 의한 접근가능성 증가 의 위험을 가중 시켜, 재무정보의 처리의 유효성 (Validity), 정확성 (Recording) 에 영향을 줄 수 있습니다. | Medium | 60분 이내 사용자 세션이 종료 되도록 메인프레임을 설정해야 합니다. |
| VAATZ UNIX Server 패스워드 설정 기준이 미흡합니다: Password Length: 6 Password expiration: 없음 Alphanumeric Value: 없음 Password Lockout: 없음 | 취약한 패스워드 통제는 시스 템에 대한 비인가된 접근을 가능하게 할 수 있습니다. 이는 불법적인 목적에 의한 접근가능성 증가의 위험을 가중시켜, 재무정보의 처리의 유효성 (Validity), 정확성(Recording)에 영향을 줄 수 있습니다. | Medium | VAATZ Unix Server에 일관성있는 패스워드 통제가 적용되어야 합니다. 통제는 시스템 사용자와 현업 부서의 사용자 모두에게 적용되어야 합니다. 패스워드 통제에 대한 제안은 다음과 같습니다. Minimum password length: 6 Password 구성: Alpha-numeric Password Locking: after 3 failed attempts Password Expiry: Forced password changes for all accounts (including the administrator) should occur every 60 days |