[CISA 이론 정리 - 2장] 03 IS 정책, 절차 및 실무

1. IT 정책(policy)

(1) 의의

① IT 정책은 조직의 IT 철학과 전략적 방향 및 원칙을 제시하는 상위 수준의 문서이다.

② 정책은 조직 내부인은 물론 공급업체, 고객, 하청업체, 기타 제삼자에게도 적용될 수 있다.

③ 정책은 작성 수준에 따라 전사적 정책, 사업부 정책, 부서 정책 등으로 구분한다.

④ 정책의 예에는 내용에 따라 인사 정책, 품질 정책, 보안 정책, 프라이버시 정책 등이 있다.

⑤ 정책은 관련자들의 책임과 역할을 정의하고 위반 시 상응하는 처벌 규정이 있어야 한다.

(2) 정책의 개발

① 전사적 정책 및 사업부 정책은 해당 조직의 이사회 또는 경영진이 작성한다.

② 전사적 정책은 전사적 전략 및 전략 계획과 더불어 전략적 수준의 문서로 간주된다.

③ 특정 부서에 적용되는 정책은 해당 부서의 관리자 또는 부서장이 작성한다.

④ 모든 IT 정책은 비즈니스 목적과 연계되어야 하고 IT통제 실행을 지원해야 한다.

(3) 정책의 적용과 감시

① 문서화 및 배포: 개발된 정책은 문서화하고 관련자들에게 배포해야 한다.

② 교육 및 인식: 정책의 내용과 취지는 관련자들에게 적절히 교육해야 한다.

③ 감시 및 처벌: 정책 준수 현황은 주기적으로 검토하고 위반 시 적절한 조처를 취해야 한다.

(4) 정책의 유지 관리

① 정책 작성자는 정책을 주기적으로 검토하고 비즈니스 및 기술의 변화를 반영해야 한다.

② IS 감사인은 정책이 존재하는지 검토하고 정책의 내용이 적절한지 평가해야 한다.

③ 만약 정책의 내용이 비즈니스 목적 달성에 방해된다면 이를 개선하도록 보고한다.

④ 경영진이 주기적으로 갱신하며 관련자들이 정책을 적절히 준수하는지도 테스트한다.

2. IT 절차(IT Procedure)

(1) 의의

① 절차는 업무 목적을 달성하는 데 필요한 상세한 순서와 방법을 설명한다.

② 절차는 그 근간이 되는 정책이 내포하는 정신과 의도를 구현해야 한다.

③ 절차가 갖추어야 할 특성은 다음과 같다.

효과성(Effectiveness)

• 프로세스를 통해 달성하려는 궁극적 결과(outcome)를 산출한다.

• 절차를 따르기만 하면 성과 목표가 합리적인 수준에서 달성된다.

효율성(Efficiency)

• 동일한 자원과 시간을 투입하고도 높은 산출물(output)을 산출한다.

• 최선의 실무 또는 검증된 업무 관행을 반영한다.

안전/통제/보안

• 직원의 안전이나 정보 보안 상의 위험이 높아서는 안 된다.

• 부정, 낭비, 오남용 등의 위험을 적절히 통제할 수 있다.

균일한 성과

• 동일한 기술과 숙련성을 갖춘 직원이라면 균일한 성과를 거둔다.

• 이를 위해 표준 기법, 투입 수량, 측정 방법 등이 제시된다.

융통성(Flexibility)

• 예외적인 업무 유형을 처리할 경우에도 수용할 수 있다.

• 다시 말해 업무 수행자에게 일정 부분의 재량권과 판단을 허락한다.

규정 준수(Compliance)

• 관련 법률, 규제, 계약 조항 등 외부 요구 사항과 충돌하지 않는다.

• 관련 정책, 계획, 다른 절차 등 내부 요구 사항과 충돌하지 않는다.

(2) 절차의 개발, 문서화, 배포, 교육, 적용, 감시, 유지 관리

① 이에 앞서 절차를 문서화하고 관련 직원들에게 배포한 다음 적절히 교육해야 한다.

② 또한, 관련자들이 절차의 규정에 따라 업무 수행하는지 감시해야 한다.

③ IT 절차는 IT 정책보다 더 자주 갱신해야 한다.

(3) IS 감사인의 검토

① IS 감사인은 관련 절차가 문서화되었으며 최신의 상태로 갱신되었는지 확인해야 한다.

② 또한, 절차에 포함된 통제 규정들이 통제 목적을 달성하는지 평가해야 한다.

③ 그러나 통제 절차가 비즈니스 프로세스의 효과성과 효율성이 훼손해서는 안 된다.

④ 또한 실제로 관련 직원들이 절차를 준수하는지 테스트해야 한다.

3. IT 실무(practice)

(1) 의의

① IT 실무란 특정한 IT 업무 활동을 구체적이고 실제적으로 실행하는 과정을 가리킨다.

② 바람직한 IT 실무는 조직의 외부 및 내부 요구 사항을 준수하며 이루어져야 한다.

③ 조직의 외부 요구 사항에는 법률, 규제, 계약 등이 포함된다.

④ 조직의 내부 요구 사항에는 정책, 계획, 절차 등이 포함된다.

⑤ 또한, 기술적 표준(standard)와 조직의 지침(guideline)을 반영해야 한다.

⑥ 여기에 실무자(practitioner)의 판단이 더해져서 실무가 수행된다.

⑦ 그러나 IT 실무자는 주로 IT 정책과 절차에 근거하여 IT 실무를 수행하게 된다.

(2) IT 실무와 IS 감사인

① IS 감사인은 IT 실무가 조직의 정책과 절차를 준수했는지 테스트해야 한다.

② 실무가 정책 또는 절차와 다르게 수행된 사례를 예외 사항 또는 위반 사항이라 한다.

③ IS 감사인은 예외/위반 사항이 존재할 경우 이러한 차이의 이유와 영향을 평가한다.

④ 만약 이러한 차이에 건전한 근거와 긍정적 영향이 있었다면 해당 실무는 용인될 수 있다.

⑤ 그러나 정당한 사유를 찾을 수 없다면 해당 실무자의 관리자에게 보고하게 된다.

⑥ IS 감사인은 발견 사항의 심각성(significance)을 고려해야 하는데 사소한 사안은 가볍게, 심각한 사안은 중요하게 다루어야 한다.

⑦ 예외/위반 사항은 감사 보고서 작성 이전에 바로 잡았다고 하여 감사 보고서 포함 항목에서 제외되는 것은 아니다.

⑧ 업무 절차가 명확하게 문서화되어 있지 않은 사안은 통제의 목적에 비추어 실제 업무 현장에서 적용되고 있는 사실상의 규정이나 널리 인정 받고 있는 좋은 실무를 기준으로 의견을 제시한다.

4. 참고: 직무 분석(Job Analysis)

(1) 기본 개념

① 직무 분석이란 조직 구성원들이 수행해야 하는 역할(roles)과 책임(responsibilities), 이를 수행하는 데 필요한 능력(capabilities)과 기술(skills), 기타 업무 수행 요건(requirements) 등에 관한 정보를 체계적으로 수집/분석/문서화하는 과정이다.

② 직무 분석의 대표적인 결과물은 직무 기술서와 직무 명세서이다.

직무 기술서(Job Description)

• 직무 개요 및 직무 구분

• 포함되는 업무 상의 의무(duties) 및 역할

• 모집, 선발, 직무 교육 등에 사용된다.

직무 명세서(Job Specification)

• 직무 담당자의 자격 및 요구 사항

• 예) 성별, 연령, 전공, 자격/면허, 지식 등

• 모집, 선발, 급여 결정 등에 사용된다.

(2) IS 감사에서의 활용

① IS 감사인은 IT 부서의 직무 분리가 올바른지 채용/교육/훈련 등의 실무가 적절한지를 판단하기 위해 직무 기술서 및 직무 명세서를 참고할 수 있다.

② 또한, 특정한 업무 수행 책임이 누구에게 배정되어 있는지를 확인할 수 있으므로 책임 추적성(accountability)를 확립하는 데도 사용할 수 있다. 

③ 하지만 직무 기술서와 직무 명세서는 상세한 업무 수행 절차를 설명하지는 않는다.

④ 또한, 직무 기술서 상의 역할과 책임은 실제 실무 현장에서 수행되는 업무 내용과 다를 수 있다는 점도 유의해야 한다.

(3) 관련 개념

① 직무 평가(Job Evaluation): 직무별 적정 급여 수준을 결정하기 위하여 직무의 가치와 난이도를 체계적으로 측정하는 과정이다.

② 직무 설계(Job Design): 직무 분석 결과를 바탕으로 업무 효율성, 동기부여, 직무 만족도, 안전 및 건강, 요구 사항, 관련 법규 등을 추가로 고려하여 특정 직무에 어떤 역할과 책임이 포함되어야 하는지를 구체적으로 결정하는 과정이다.