😭 2011년도 자료니 참고만 하세요.
세월이 많이 지나서 법도 개정되었을 수 있습니다.
위험기반 감리와 입증 서비스 - 통제와 감리
통제와 감리
| 통제(Control) | 감리(Audit) |
| 조직의 목적을 달성하고, 바람직하지 못한 상황을 예방/검출/교정 될 수 있다는 것을 적정하게 보증하기 위해 만들어진 정책/절차/실무 및 조직 구조 | 규정된 통제가 적정하며 실제로 통제가 규정된 바와 같이 일관되고 계속적으로 수행되고 있는지를 평가하며 통제 목적을 달성하지 못할 위험을 보여주는 과정 및 절차 |
통제에 따른 감리 절차
| 전반적 이해 ➡ | 통제 평가 ➡ | 준거성 평가 ➡ | 실증 평가 |
| 통제 대책/절차를 식별하고 규정된 통제 활동에 관한 문서들을 검사한다. | 규정된 통제의 적정성을 평가한다. | 통제가 규정된 바와 같이 일관되고 계속적으로 수행되고 있는지를 평가한다. | 분석적 기법/도구 활용으로 통제목적이 달성되지 않을 위험을 실증한다. |
통제의 확인 방법
📌 감리인의 제반 활동의 핵심 내용
✔ 시스템 취약성 정도와 관리 통제장치의 존재 여부 및 유효성 평가
✔ 관리 통제시스템에 대한 구체적 테스트
| 구분 | 의미 | 사례 | 비고 |
| 준거성 테스트 (Compliance) |
조직의 통제절차 준수여부를 확인하는 증거 수집 활동 감사 프로그램상의 특별한 통제가 사전 평가에서 인지된대로 작동하고 있음에 대한 합리적인 보증을 제공 | 조직의 통제절차 준수하여 처리한 결과의 무결성(정확성)을 확인하는증거수집 활동 | |
| 실증 테스트 (Substance) |
현행소스코드를 통제본과 비교시스템 로그 검토 변경된 프로그램에 대한 인가 증적 확인 | 재무제표 잔액 (금액)의 무결성 확인 매출채권파일의 합계를 구하여통제계정에 비추어 대사 테이프 라이브러리 재고기록 조사 |
프로젝트의 실패 위험요소
• 프로젝트 관리자가 사용자의 요구사항을 이해하지 못함
• 프로젝트의 범위가 제대로 정의되어 있지 않음
• 프로젝트의 변경을 제대로 관리하지 못함
• 채택된 기술의 변경
• 업무 요구사항의 잦은 변경
• 납기의 비현실성
• 사용자가 시스템에 대한 비 호의적 태도를 가지고 있음
• 프로젝트의 주관자가 누구인지 애매
• 관련된 기술 능력을 갖춘 사람이 부족
• 관리자가 최선의 관행과 교훈을 받아들이지 않음
정보화 사업의 일반적 문제점
| 유형 | 주요 문제점 |
| 예산낭비 | - 동일, 유사 업무 개발을 위한 중복 투자 - 사업 후반에 집중되는 요구사항의 발생과 변경 - 기술동향을 파악하지 못한 부적합한 장비 등 도입 - 사업규모산정에 대한 전문지식 부족으로 사업자가 산출한 자료에 의존하므로 부적절한 예산산정 |
| 일정지연 | - 무리한 일정계획수립, 일정지연요소의 파악과 대처미흡 - 일정의 구성요소에 대한 체계적인 |
| 품질저하 | - 계약서에 명시된 기본 요건의 미이행 - 기능/성능에 대한 품질요구사항이 불명확 |
| 정보화 역기능 | - 정보 보호와 보안을 위한 기능설계 미흡으로 개인정보의 유출, 국가 중요 정보의 유출 - 개발사업자에 의한 비밀정보 유출(개발과정의 취약성) |
| 발주처와 사업자간 이해 대립 | - 일부 사업자에 정보화사업 발주가 편중되어 특정 사업자에 대한 의존성 심화 - 독점적 지위에 있는 사업자는 표준화된 방법론과 산출물 작성표준을 따르지 않아, 신규사업자의 진입 장벽으로 작용 - 사업자에 대하여 상대적으로 우월한 지위의 발주처가 비합리적인 의사결정을 내림으로써 사업자 손실 발생 |
공공부문 정보화 사업의 득성
📌 사용자의 대표성 확보 어려움
✔ 사용자 요구사항의 도출 및 확인에 제약
✔ 직무 순환에 따라 현업 TFT 구성 어려움
📌 유사 시스템이 대부분 존재하지 않음
✔ 프로젝트 규모의 산정, 모델링에 차이
✔ 기관별 신규 업무 모형 분석 및 설계
📌 프로젝트 추진 관련 행정업무 과다
✔ 추진 과정상의 공문 처리, 의사결정 기간 증가
📌 사업연도 단위로 일정이 편성되고 관리됨
📌 발주기관의 전산 전문인력 부족
감리 개념의 적용
정보시스템의효율적도입및운영등에관한법률시행령
제12조(감리법인의 업무범위 등)
①법 제11조제6항에 따른 감리법인의 업무범위는
다음 각 호와 같다.
1. 사업목표의 달성 및 요구사항의 충족여부에 대한 검토 확인
2. 사업관리, 품질보증, 응용시스템, 데이터베이스, 시스템구조 및 보안 등 감리 분야별
정보시스템 구축 활동 및 산출물의 품질 검토․확인
3. 관련 규정 및 지침 등의 준수 여부 확인
4. 그 밖에 정보시스템의 효율성 및 안전성 검토 등에 관하여 감리기준(법
제11조4항에 따른 감리기준을 말한다)에서 정하는 사항
전자정부법 시행령
제72조(감리법인의 업무범위 등) ① 법 제57조제1항 또는 제4항에 따라 정보시스템
감리를 하는 법인 또는 기관의 업무범위는 다음 각 호와 같다.
1. 사업수행계획의 계약내용 반영 여부, 일정 및 산출물 작성계획의 적정성 여부
검토·확인
2. 과업범위 및 요구사항의 설계 반영 및 구체화 여부 검토·확인
3. 과업 이행 여부 점검
4. 관련 법령등, 규정 및 지침 등의 준수 여부에 대한 검토·확인
5. 그 밖에 법 제57조제5항에 따른 감리기준(이하 “감리기준”이라 한다)에서 정하는
사항
통제의 필요성
📌 조직의 성공과 생존 좌우 : IT의 효과적 관리 여부
📌 시간, 공간, 속도의 제약이 없는 정보화 사회에 중요성 대두
✔ 데이터 손실이 조직에 미치는 영향 증대
✔ 부적절한 의사결정
✔ 컴퓨터 범죄로 인한 피해액 및 건수의 증가
✔ 컴퓨터 오류로 인한 손실의 증대
✔ 성능을 발휘하지 못하는 정보시스템 구축
✔ 요구기능을 충족하지 못하는 시스템 개발
✔ 개발 일정의 지연 및 추가 비용 발생
📌 대부분의 조직들은 IT를 통해서 실현할 수 있는 잠재적인 효과를 인식하고 있으며, 성공적인 조직들은 새로운 IT를 구현하는데 수반되는 위험을 이해하고 이를 관리하고 있습니다.
정보시스템 통제 목표
📌 정보시스템의 효과성(Effectiveness) 확보
✔ 정보시스템이 사전에 설정된 목표(예: 업무 자동화, 관리자에게 양질의 정보 제공, 고객에 대한 서비스 개선 등)를 달성하도록 함.
📌 정보시스템의 효율성(Efficiency) 확보
✔ 정보시스템의 효율성을 평가하는 척도에는 여러 가지가 있을 수 있으나 일반적으로 사용되는 것은 사용자 측면에서 본 Turnaround Time(Batch Job), Response Time (Transaction)과 시스템 측면에서 본 Throughput, Capacity, 자원 이용도(Cpu, Channel, Disk, Software)가 있음.
📌 정보시스템 안전성(Security) 확보
✔ 무결성(Integrity)
📌 정확성, 완전성, 일관성, 승인, 최신성
✔ 가용성(Availability) – 기밀성(Confidentiality)
통제의 유형 분류
| 통제 유형 | 통제의 정의 및 예제 |
| 일반통제 (정보시스템 전체와 관련된 통제) |
업무분장이나 승인절차의 수립과 같이 조직구조상의 책임과 역할 정의 또는 업무수행 프로세스에 의해 구현되는 통제 (예) 조직 통제, 시스템 개발 및 문서화 통제, 하드웨어 및 시스템 소프트웨어 통제, 접근 통제, 자료 및 절차 통제 |
| 용업무 통제 (개별 거래처리와 관련된 통제) |
사용자의 요구사항에 근거하여 어플리케이션 개발시 개발자에 의해 어플리케이션 시스템에 구현한 통제 (예) 입력 통제, 처리 통제, 출력 통제 |
| 정보기술 관련 통제 | 데이터베이스 통제 분산 처리 및 통신 통제 전자 자료 교환 (EDI) 통제 GIS 통제 Web 환경 통제 DW, EUC 통제 |
응용 통제의 유형
📌 입력 통제
✔ 데이터를 정보시스템에 입력할 때, 중복 입력, 입력 누락, 부정확한 데이터 입력, 승인되지 않은 데이터 입력을 방지하기 위한 통제
👀 범위 체크, 일련번호 체크, 완전성 체크
📌 처리 통제
✔ 정보시스템이 데이터를 처리할 때, 잘못된 파일 및 레코드의 사용, 불완전한 처리, 부정확한 처리, 처리기간 경과, 파일 및 프로그램 손상 등을 방지하기 위한 통제
👀 처리 간 합계, 트랜잭션 로그, 원시 문서 보관
📌 출력 통제
✔ 정보시스템의 출력 시 부적절한 보고서의 배포, 배포의 지연이나 유실, 오류 등을 방지하기 위한 통제
👀 배포처 대장, 출력 보고서 보관
통제 시점별 분류
| 통제 유형 | 통제의 정의 및 예제 |
| 예방 통제 (Preventive Control) |
정보시스템의 근본 목적에 위배되거나 목적 달성을 방해하는 일이 발생되지 않도록 하기 위한 통제 (예) 직무 분장: 응용 프로그래머와 오퍼레이터의 직무 분리, 시스템 프로그래머와 응용 프로그래머의 직무 분리 |
| 검출 통제 (Detective Control) |
이미 발생한 부정적 상황을 발견해 내고자 하는 통제로서 재발 방지책(예방 통제)을 마련하거나 복구책(교정 통제)을 동원하기 위하여 필요함 (예) 배치 합계 비교 : 입력할 배치의 금액, 건수 합계와 실제로 컴퓨터가 처리한 금액, 건수의 비교 |
| 교정 통제 (Corrective Control) |
통제(Corrective Control)발견된 부정적 상황을 벗어나 원래의 상태를 복구하기 위하여 필요한 통제 (예) 백업 및 복구 : 정보시스템 서비스 중단 후 서비스 재개를 위해 필요한 하드웨어, 소프트웨어, 데이타의 백업과 복구 절차를 정함. |
보완 통제 및 중복 통제
보완 통제 (Compensating Control) – 같은 목적을 가진 통제 중 주된 것이 그 기능을 하지 못하거나 우회되었을 경우 이것을 보완할 수 있는 차선의 통제
(예)
* 주된 통제: 트랜잭션 로그 확인에 의한 불법 트랜잭션 사용의 적발
* 보완 통제: 당일 거래 합계나 건수를 컴퓨터-수작업 비교하여 불법 트랜잭션의 적발
• 중복 통제 (Overlapping Control) – 같은 목적을 달성할 수 있는 서로 다른 유형의 통제
(예) 참조 무결성을 확보하기 위하여 데이터베이스에 정의하고 프로그램에서도 검증하는 기능을 구현
요약 : 소프트웨어어 qa, 웹 qa, 앱 qa, 소프트웨어 테스트 자동화, 자동화 소프트웨어, pm 교육, 비즈니스 소프트웨어, 소프트웨어 공학 프로젝트, audit, auditer
'EDUCATION' 카테고리의 다른 글
| [개론 - Chap.1] 유사 서비스와의 비교에 대해서 알아보자 (0) | 2021.03.14 |
|---|---|
| [개론 - Chap.3] '위험기반 감리와 입증 서비스' CobiT 및 사례에 대해서 알아보자 (0) | 2021.03.08 |
| [제2020-1호(2020.1.6.)] 정보시스템감리 기준의 변경점에 대해서 알아보자 (0) | 2021.03.03 |
| [개론 - Chap.2] '위험기반 감리와 입증 서비스' CobiT 및 사례에 대해서 알아보자 (0) | 2021.03.02 |
| [개론 - Chap.1] '위험기반 감리와 입증 서비스' CobiT 및 사례에 대해서 알아보자 (0) | 2021.03.01 |