[CISA 이론 정리 - 2장] 04 일반적인 IT 실무

1. 인적 자원 관리 실무

(1) 모집(Recruiting) 및 채용(Hiring)

① 능력과 동기를 보유한 직원을 채용하려면 먼저 좋은 후보자들을 많이 모집해야 한다.

② 직원을 모집하고 채용할 때는 부당한 차별이나 위법 사항이 없도록 유의해야 한다.

③ 직원을 채용하기 전에는 해당 후보자가 해당 직책에 적합한지 확인해야 한다.

④ 또한, 후보자의 배경을 자체적으로 확인하고 기밀 유지 협약서도 작성한다.

⑤ 회사와의 이해 상충 및 경쟁을 금지하는데 동의한다는 서약서도 작성한다.

(2) 교육

① 직원을 채용한 다음에는 조직의 정책과 절차를 배포하고 취지를 설명해 주어야 한다.

② 조직 윤리 규범 및 비상 시 행동 요령에 대한 교육도 포함해야 한다.

③ 휴가, 상벌 정책, 인사 평가, 초과 근무 규칙 등에 대해서도 알려 주어야 한다.

④ 교육은 주기적으로 이루어져야 하며 중요한 변경이 있을 때는 추가로 제공해야 한다.

(3) 직무 훈련

① 직무 훈련은 정기적으로 모든 직원들에게 제공되어야 한다.

② IT 분야는 변화의 속도가 대단히 빠르기 때문에 시기적절한 훈련이 대단히 중요하다.

③ 직무 훈련은 직무 능력 향상은 물론 직원의 사기 진작에도 기여해야 한다.

④ 새로운 하드웨어와 소프트웨어가 도입된 경우에는 이에 대한 교육이 있어야 한다.

⑤ 또한, 이에 더해 일반 관리, 프로젝트 관리, 기술 훈련 등도 포함해야 한다.

(4) IT 자원의 일정 계획 및 보고

① IT 시간은 가장 희소한 IT 자원이므로 장기/중기/단기적 일정 계획을 수립해야 한다.

② 적절한 일정 계획은 효율적인 운영과 컴퓨팅 자원 활용에 기여한다.

③ 이와 함께 적절한 시간 보고는 경영진이 일정 수립 과정을 감시할 수 있게 해 준다.

④ 직무가 일정 계획과 일치하게 이루어지지 않았을 때는 그 사유와 영향을 평가해야 한다.

⑤ 또한, 차이의 심각성 따라 적절한 조처와 조정이 이루어져야 한다.

(5) 인사 평가

① 인사 평가는 모든 IT직원들에 대해 표준화된 방식에 따라 주기적으로 이루어져야 한다.

② 표준화된 인사 평가는 직원과 직원 간은 물론 기간과 기간 간 비교 가능성을 높인다.

③ 인적 자원부서는 IT관리자와 직원들이 성과목표에 대해 서로 합의했는지 확인해야 한다.

④ 합의되지 않은 성과 목표에 따라 인사 평가를 할 경우 직원의 불만이 생겨날 수 있다.

⑤ 인사 평가는 실질적인 직무 결과에 더해 잠재적인 직무 능력의 향상도 고려해야 한다.

⑥ 인사 평가 결과는 보상과 승진은 물론 교육과 훈련 제공의 근거가 된다.

(6) 보상 및 승진

① 보상 및 승진 정책은 공정하고 납득할 수 있어야 한다.

② 보상과 승진은 인사 평가 결과 및 객관적 기준에 근거하여 이루어져야 한다.

③ 또한, 직원의 성과, 교육, 경력, 책임 수준을 반영해야 한다.

(7) 직무 분리(Separation of Duties)

① 직무 설계(Job design) 결과는 실무자의 전문성과 업무 생산성을 향상할 수 있어야 한다.

② 한편 직무 설계 시 적절한 직무 분리의 원칙을 적용하면 조직 통제의 효과가 향상된다.

③ 직무 분리란 하나의 직무에 양립할 수 없는 책임을 동시에 부여하지 않는 것이다.

예) 프로그래머가 자신이 개발한 프로그램에 대한 QA/QC 보고서를 작성하는 경우

④ 양립할 수 없는 임무란 겸임할 경우 이해가 상충하거나 부정 위험이 증가하는 임무이다.

⑤ 직무 분리는 일차적으로 예방 통제로 간주되지만 시기적절한 적발과 교정에도 기여한다.

⑥ 단, 직무 분리는 공모(collusion)에 의해 우회될 수 있다는 단점이 있다.

(8) 직무 순환(Job Rotation)

① 직무 순환은 실무자의 담당 직무를 주기적으로 변경하는 실무이다.

② 직무 순환은 실무자가 직무 간 연관성을 이해하도록 도와 주어 생산성 향상에 기여한다.

③ 또한, 다양한 업무 경험을 통해 백업 직원을 양성할 수 있도록 돕는다.

④ 이에 더해 형성된 공모 관계를 해소하여부정 또는 악의적 행위의 위험을 낮출 수 있다.

⑤ 따라서 직무 순환 역시 일차적으로 예방 통제로 간주되지만 적발에도 기여한다.

⑥ 한편 지나친 직무 순환은 통제 우회의 기회를 발견할 수 있게 할 수도 있다.

(9) 교차 훈련(Cross-training)

① 교차 훈련이란 자신의 직무에 더해 다른 직무를 겸하여 수행하는 것이다.

② 직무 순환은 직원의 담당 업무가 바뀌지만 교차 훈련은 일시 겸임하는 차이가 있다.

③ 교차 훈련은 특정 직원에 대한 의존성을 낮추어 운영의 연속성을 향상한다.

④ 또한, 직무 인수 인계를 대비하는 목적으로도 교차 훈련을 활용할 수도 있다.

⑤ 다시 말해 인사 이동에 앞서 향후 수행할 업무에 대한 훈련의 일환으로 시행될 수도 있다.

(10) 강제 휴가(Required vacation, mandatory vacation)

① 강제 휴가란 1년에 한 번 이상 특정 업무를 담당자 이외의 사람이 수행하게 하는 것이다.

② 이러한 실무는 부당/불법 행위의 기회를 낮추고 부정 행위 적발 기회를 제공한다.

③ 강제 휴가는 일차적으로 적발 통제에 해당하며 부정의 의지를 억제하는 효과도 있다.

(11) 퇴사 정책

① 민감한 직무에 대해서는 퇴사 과정을 정의한 문서화된 퇴사 절차가 있어야 한다.

② 퇴사 시에는 신분증과 회사 재산이 회수하고 논리적 접근 권한을 무효화해야 한다.

③ 인사 파일에서는 퇴사자로 분류해야 한다.

④ 최종 급여 지급을 마친 후 급여 루틴에서 정리해야 한다.

⑤ 퇴사 사실을 사내에 알리고 필요하다면 퇴사 면담을 수행한다.

(12) 퇴사 면담(Exit Interview, Termination Interview)

① 퇴사 면담이라 퇴사를 앞 둔 직원을 퇴사 직전에 감사 부서 등에서 면담을 하는 것이다.

② 퇴사 면담 과정에서 내부 통제 또는 업무 절차 상의 개선점에 대한 제안을 받을 수 있다.

③ 또한, 잠재적 또는 이미 발생한 부정 행위에 대해 제보해 줄 것을 요청할 수 있다.

④ 이에 더해 퇴사 후에도 적용되는 의무를 상기시키고 필요하다면 서약서를 재작성하기도 한다.

2. 아웃소싱 관리

(1) 외부 공급자에 대한 통제

① IT기능을 아웃소싱할 때는 무엇보다도 계약서 및 SLA를 명확하게 작성해야 한다.

② 계약서와 SLA는 외부업체를 통제하는 가장 중요한 수단이기 때문이다.

③ SLA(Service Level Agreement)란 외부 공급자와 합의한 서비스 수준을 명시한 문서이다.

④ 계약서에는 소싱의 범위, SLA, 최소 성과 측정 척도 등을 명확하게 정의되어 있어야 한다.

⑤ IT감사 권한을 요청하거나 주기적으로 IS 감사 보고서를 제출할 것으로 규정해야 한다.

⑥ 뿐만 아니라 IT/IS분야의 산업 표준을 준수할 것을 요구해야 한다.

(2) 용량 증설 계획

① IT 기능을 아웃소싱하더라도 해당 서비스의 품질과 연속성에 대한 궁극적 책임은 경영진에게 있다.

② 아웃소싱을 하면 기반시설,용량, 인적 자원에 대한 성장에 유연하게 대응할 수 있다.

③ 따라서 아웃소싱은 IT서비스의 수요가 변동적인 조직에서 성장 계획으로 사용할 수 있다.

(3) 서비스 요구 사항의 변경

① IS 관리자는 외부업체의 서비스 제공 현황을 면밀히 감시하고 감독해야 한다.

② IS 관리자는 제공되는 서비스의 품질, 성과,연속성이 합의한 계약 및 SLA에 부합하는지도 검토해야 한다.

③ 외부업체가 처리하는 정보에 대한 보안 절차가 제대로 준수되는지도 확인해야 한다.

④ 사용자들과의 인터뷰 및 설문 조사 등을 통해 사용자 만족도도 조사해야 한다.

⑤ 서비스의 개선이나 요구 조건의 변경이 필요할 경우 적절한 변경 절차를 밟아야 한다.

(4) 오프쇼어(Offshore) 소싱의 고려 사항

① 외국에 소재한 외부 공급자로부터 아웃소싱할 경우에는 부가적인 쟁점이 발생한다.

② 법규 및 세무 제도, 인사 관리 정책, 시간대/언어/문화 등의 차이가 문제의 원인이 될 수 있다.

③ 또한, 통신 보안 문제 그리고 가용성을 확보하기 위한 가외의 비용이 발생할 수 있다.

④ 운영의 연속성을 확보하기 위한 적절한 대책을 수립/운영하는지도 검토해야 한다.

3. 기타 IT 실무

(1) 조직 변화 관리

① 조직의 변화는 기술적 차원을 넘어 조직 전반에 걸친 대대적 변화를 가져 올 수 있다.

② IT 부서는 모든 경우에 사용자의 기대가 어떻게 변화했는지 철저히 파악해야 한다.

③ 특히 조직의 변화는 프로젝트를 통해 이루어진다.

④ 따라서 IT 부서는 프로젝트 전체 과정에서 최종 사용자와 원활한 의사소통을 유지한다.

(2) 재무 관리 실무

① IT 기능을 적절히 운영하려면 장단기 IT 계획을 반영한 합리적인 예산 수립이 필요하다.

② IT 기능은 일반적으로 수익을 창출하지 않으며 비용만 발생시키는 지원 부서이다.

③ 이로 인해 IT부서의 운영 비용 조달에 불필요한 반대나 저항이 생길 수 있다.

④ 이런 경우 IT서비스 사용량에 따른 비용 지불(chargeback) 시스템을 운영할 수도 있다.

⑤ 그 중 한가지 사례가 사용자 지불 체계(user-pays scheme)이다.

⑥ 이 시스템을 도입하려면 이사회, CFO, 사용자 경영진, IT 관리자의 참여와 합의가 반드시 필요하다.

⑦ 사용자 지불 체계는 크게 작업 회계 시스템과 과금 시스템으로 구성되어 있다.

⑧ 작업 회계(Job accounting) 시스템은 IT서비스 사용량을 측정하고 요금을 계산한다.

⑨ 과금(Billing) 시스템은 측정한 IT 서비스 량에 근거해 비용을 청구한다.

⑩ 사용자 부서는 객관적이고 계량화된 방식으로 청구된 비용을 IT부서에 납부하게 된다.

(3) 회계 관리 실무

① IT 부서에는 몇 가지 고유한 회계 처리 쟁점이 발생한다.

② 예로서 소프트웨어를 자체 개발할 경우 개발 원가 산정이 상당한 자의적이다.

③ 인건비 중 어디까지를 소프트웨어 개발 원가로 처리할 것인가의 문제가 있다.

④ 따라서 관련 회계 및 세무 규정을 정확히 이해하고 이에 따라 개발 비용을 산정해야 한다.

⑤ 또한 소프트웨어의 감가상각 실무도 약간의 이해가 필요하다.

⑥ 컴퓨터와 함께 구입한 소프트웨어 비용은 해당 컴퓨터의 구입 원가에 포함된다.

⑦ 이러한 소프트웨어의 감가상각은 해당 컴퓨터의 감가상각 일정에 따르면 된다.

⑧ 컴퓨터와 별도 구입한 소프트웨어는 별개 자산으로 간주하며 세법에 따라 감가 상각한다.

(4) 품질 관리 실무

① 품질은 크게 공정(process)의 품질과 제품(product)의 품질관점에서 접근할 수 있다.

② 일반적으로 제품의 품질은 공정의 품질에 의존한다.

③ 따라서 표준 공정에 따라 제품 생산이 엄격히 통제되어야 한다.

④ 그런 다음 완성품이 사양서(specification)을 준수(conformance)했는지 검증해야 한다.

⑤ 완성된 제품이 표준 및 사양서를 준수했는지 검증(verification)하는 것을 QC(Quality Control)라고 한다.

⑥ IT 실무가 표준 공정을 준수하는지 QC 활동이 적절히 이루어지는지 등을 검토하는 것을 QA(Quality Assurance)라고 한다.

⑦ IT서비스 제공 과정에서는QA와 QC활동이지속적으로 이루어져야 한다.

(5) 정보 보안 관리

① IT기능 및 정보 자산의 보호에 대한 확신을 제공하기 위한 관리가 필요하다.

② 정보 보안은 정보 위험 관리와 연계되어야 한다.

③ 또한, 비즈니스 연속성 계획 및 재해 복구 계획을 개발하고 시기적절하게 유지 관리하는 활동을 포함해야 한다.

(6) 성과 최적화

① 성과 최적화란 기존의 IT 기반구조에서 최고의 IT생산성을 산출하기 위한 실무이다.

② 성과 최적화는 명확한 성과 측정에 기반을 둔다.

③ 다차원 성과 측정에는 IT BSC(Balanced Scorecard)를 사용할 수 있다.

④ 성과 최적화 또는 극대화와 관련하여 다음 두 가지 기법을 참고할 수 있다.

⑤ 하나는 급격한 공정 재설계로 성과를 높이는 BPR(Business Process Reengineering)이다.

⑥ 다른 하나는 동종 또는 이종 업계의 선두 업체와 비교하여 성과 개선을 도모하는 벤치마킹이다.