내부회계 감사를 위한 준비
내부 회계 감사를 위한 ITGC 범위 지정 문서의 표준 템플릿
리소스에는 체크리스트, 업계 관행, 샘플 감사 보고서, 특히 SOX 규정 준수와 관련된 ITGC 범위 정의에 대한 지침이 포함됩니다.
내부 회계 감사의 경우 ITGC(정보 기술 일반 통제) 범위 및 문서 내용에는 일반적으로 다음 영역이 포함됩니다.
1. 액세스 제어: 시스템 및 데이터에 대한 액세스를 승인된 개인으로 제한합니다.
- 사용자 접속 검토
- 비밀번호 정책
- 직원 입사, 이동, 퇴사를 위한 접근권한
2. 변경 관리: IT 시스템 변경 프로세스를 제어합니다.
- 변경 승인
- 변경 사항 테스트 및 승인
- 변경 사항의 문서화 및 추적
3. 운영 제어: IT 시스템의 일상적인 운영과 관련된 절차입니다.
- 백업 및 복구 절차
- 작업 스케줄링 및 모니터링
- 사고관리
4. 네트워크 보안 제어: 전송 중인 데이터의 무결성과 보안을 보호합니다.
- 방화벽 구성
- 침입탐지 시스템
- 네트워크 접근 제어
5. SDLC(시스템 개발 수명 주기) 제어: IT 시스템의 획득, 개발 및 유지 관리를 제어합니다.
- 프로젝트 관리 실무
- 애플리케이션 설계 및 개발 표준
- 구현 후 검토
6. 물리적 및 환경적 통제: 물리적 IT 인프라를 보호합니다.
- 데이터센터 보안 대책
- 환경 제어(예: 화재 진압, HVAC)
7. 정보 보안: 데이터 및 정보 보안에 대한 전반적인 관리입니다.
- 데이터 분류 및 처리
- 암호화 정책
- 보안 인식 교육
문서에서는 재무 시스템, 데이터베이스,
기타 중요한 IT 인프라 구성 요소 등 어떤 시스템과 환경이 적용되는지 식별하여 범위를 정의해야 합니다.
ITGC의 목표, 범위 내 영역과 관련된 위험, 이러한 위험을 완화하기 위해 마련된 통제 수단에 대한 개요가 나와 있어야 합니다.
ITGC 범위 지정 문서는 감사자가 IT 제어 환경을 이해하고 이에 따라 감사 절차를 계획하는 데 기초가 됩니다. IT 환경 및 제어의 현재 상태를 반영하려면 포괄적이고 명확하며 최신이어야 합니다.
다음은 ITGC 범위 지정 문서를 데 도움이 될 수 있는 몇 가지 리소스입니다.
1. [IT 일반 제어 체크리스트 - 방법론]
https://methodology.eca.europa.eu/aware/Documents/IT-general-controls-checklist.docx
이 문서는 시작 시 유용 할 수 있는 체크리스트를 제공합니다.
2. [SOX 404 감사를 위한 ITGC 범위 지정
- ERA]
https://era.library.ualberta.ca/items/08426624-804c-4409-97fb-7c6316c27984/view/f01615cd-b178-4848-bbdf-f79c2109fd0a/Perhar_2008_MISSM.pdf
: 이 문서에서는 ITGC 범위 지정에 대한 현재 업계 관행을 검토
3. [내부 감사 - 오렌지 카운티 감사관-통제관]
https://ocauditor.gov/wp-content/uploads/2017/08/2624-First-Follow-Up-Audit-of-Integrated-Internal-Control-Review-of-the-Auditor-Controller-Accounts-Receivable.pdf
범위 지정 요소를 포함할 수 있는 ITGC 감사 보고서.
4. [IT 일반 제어 - ACCA 글로벌]
https://www.accaglobal.com/content/dam/members-beta/docs/sectors-industries-roles/ia/IT%20General%20Controls.pdf
이 문서 범위 내 시스템을 식별하고 문서를 검토하는 프로세스
5. [SOX를 위한 ITGC 작업 범위 및 정도를 정의하는 방법 | 거버넌스, 위험 관리 및 감사에 대한 Norman Marks]
https://normanmarks.wordpress.com/2010/10/18/how-to-define-the-scope-and-extent-of-work-on-itgc- for-sox/
SOX 규정 준수 범위를 논의하는 블로그