◎ IT감사의 개념과 필요성
◦ IT감사의 개념
일반적으로 IT감사라고 할 때, 몇 가지의 개념을 통합적으로 지칭하고 있다. 우선적으로 IT감사는 IT시스템의 개발·사용·관리가 조직의 업무목표 달성과 정보자산 보호 그리고 데이터 무결성 유지에 기여하는지에 대하여 확인·검증하는 활동을 의미한다. IT시스템과 IT통제장치들을 검사함으로써 조직이 보안, 개인정보 보호 또는 주요 업무처리상의 활동들을 훼손하지 않고 업무 목표를 달성할 수 있도록 해 주는 것이다.
또한 IT감사는 IT시스템이나 IT기법을 활용한 감사를 의미한다. 재무감사나 성과감사를 실시하면서 자료의 검색, 분류, 대조 등을 목적으로 IT시스템이나 감사에 최적화된 CAATS(Computer Assisted Audit ToolS) 등 소프트웨어를 사용하여 재무감사나 성과감사의 부분적 감사목표 달성을 지원하는 것이다.
셋째로 IT감사는 IT시스템 설치나 IT관련 프로젝트에 대한 감사를 지칭하기도 한다. 프로젝트의 기획, 재정, 집행 등 일련의 활동을 감사의 대상으로 한다는 점에서 사업감사 또는 성과감사의 범주에 속하기도 하지만, 정보시스템 프로젝트가 IT와 중요하게 연관되어 있다는 점에서 IT감사의 범주에 포함시키는 것이다.
◦IT감사의 필요성
무엇보다 현대 모든 행정관리업무의 처리를 위해서 IT에 의존하지 않을 수 없는 환경이 되었다. 뿐만 아니라 IT는 조직의 중요한 고가의 자산이며 IT 관련 투자는 지속적으로 증대하고 있다. 이에 따라 IT자원사용의 경제성, 효율성 및 효과성에 대한 관심도 커지고 있다. 이러한 추세와 더불어 조직 차원에서 IT에 대한 전문적인 지식 및 이해에 대한 요구도 증가하고 있다.
IT감사는 실지감사를 줄임으로써 수감부담을 완화시켜 준다. 또한 실지감사 전에 미리 데이터를 획득하여 조사함으로써 실지감사 중 자료 요청에 수반되는 시간을 단축할 수 있다. 경우에 따라서는 감사현장에 직접 가지 않고도 사전에 자료 분석을 하는 것이 가능하다.
IT활용 감사는 감사 목적에 필요한 데이터를 추출하고 분석하는 반복적이고 정형화된 분석 업무는 IT를 활용하여 수행하고, 감사관은 컴퓨터가 대신할 수 없는 좀 더 종합적인 판단이 요구되는 업무에 집중함으로써 선택과 집중을 통한 감사효율성을 제고시킬 수 있다.
◎ IT 리스크통제와 IT감사
정보시스템은 조직의 중요한 자산 중의 하나으로 모든 정보시스템은 그 속성상 취약성이 있다. 모든 정보시스템은 내외부적으로 물리적, 인위적, 자연적인 위협을 받으며 이는 정보시스템에 리스크를 초래한다. 이러한 리스크를 차단하거나 감소시키기 위해서 통제 기능이 필요하게 된다. 그러나 완전한 IT통제는 없으며 몇몇 이유 때문에 통제의 실패는 발생한다. 통제 기능은 언제나 비용대비 효과를 따져서 설치하게 되는 현실적 제약이 있고, 환경과 상황변화에 따라서 통제가 작동하지 않게 되는 경우도 있으며, 관리자의 권한 남용 또는 단순 착오나 실수에 의해서 통제는 실패하게 된다. 이점에서 감사기능의 필요성이 부각된다.
정보시스템의 가치를 극대화하는 것은 잠재적인 리스크 요소를 최소화하는 것과 연관이 있으며, 이러한 잠재적인 리스크 요소를 관리하기 위해서 필요한 것이 통제 기능인데, 이러한 통제 기능이 조직 내에서 효과적으로 작동되고 있는지를 제3자의 입장에서 독립적으로 점검, 검증하고 필요시 관리층에 통제장치의 결함에 대해서 조언하고 개선대안을 제시하는 것이 IT감사의 목적이다.
◎ IT감사 핵심 역량은?
◦IT감사시스템과 전문인력 구비
IT감사 역량을 효과적으로 강화하기 위해서는 IT감사를 전적으로 담당하는 인력이나 조직을 설치할 필요가 있다. 여건이 허용되는 경우에는 IT감사를 위한 별도의 전문조직을 구성하여 재무감사나 성과감사 실시를 지원해 줄 수 있다. 중앙부처, 지자체뿐만 아니라 일부 공기업 등의 감사기구에서는 이미 IT감사 활성화를 위해 IT기반의 감사 시스템을 구축·운영 중에 있다. 자체감사기구들은 내부감사의 선진화를 위해 자체적으로 상시감사시스템을 도입하고 IT감사기법의 지속적인 개발을 통해 IT활용 감사를 활성화하는 추세에 있다. 일부 선진외국 감사원은 자체적으로 감사시스템을 보유하고 대상기관의 재무데이터 등과 연계하여 데이터 추출 및 분석을 통한 IT감사를 수행하기도 한다. 이를 위해서는 자체감사인력 중 일부는 IT시스템 운용이나 데이터처리 관련 전문성을 보유한 전문인력을 확보하여야 한다.
◦IT 감사기준 등 규범 정비와 IT감사 전문교육
IT감사 전문성을 제고시키기 위해서는 우선적으로 감사인력들이 INTOSAI나 COBIT등 국제적인 IT감사기준을 숙지하여 감사실무에 활용하도록 하고 나아가서 국제적인 IT감사기준을 참조하여 감사기준을 자체적으로 개발하고 적용하는 것이 바람직하다. 감사부서의 감사인력 충원 시에 IT전문성을 보유한 IT전문가를 채용하는 것은 단기간에 IT감사 전문성을 높여주는 방법이 될 것이다. 뿐만 아니라 기존의 감사인력들에게도 IT감사 교육을 받도록 하여 IT감사 전문성을 배양시켜 주어야 할 것이다.