1. IT Compliance 개요
1) 정의
- 새로운 규제나 법안, 권고 등 각 나라 혹은 글로벌 감독 당국이 제시한 각종 요건을 만족시킬 수 있도록 기업의 정보시스템과 업무 프로세스를 재정비하는 활동이고 체계 입니다.
2) IT Compliance의 산업적 의의
- 법규/제도 발효시점까지 무조건 시스템을 구축해야하기 때문에 단기간 폭발적 수요가 일어났습니다.
- 다양한 IT솔루션/컨설팅 서비스와 결합으로 새로운 기회가 창출되었습니다.
3) IT Compliance 시장형성 배경 법안
| 구분 | 내용 |
| 국제회계기준 (IFRS) |
-회계의 원칙만 정하고, 구체적인 회계처리방법은 개별 회사에 맡기되 세부내용을 재무제표 이용자에게 공시 |
| 바젤Ⅱ (Basel Ⅱ) |
-시장, 신용리스크 외에 운영리스크까지 고려 BIS비율 산출, 은행건전성평가 기준 |
| 샤베인즈-옥슬리 법안(Sarbanes-Oxley Act, 약칭 SOA, SOX) | -COSO가 권장하는 내부통제 프레임워크 -회계관리,내부통제시스템도입, 경영인증시스템 구축 -중요사항 변동에 대한 즉시(Real-Time) 공시 |
| 21 CFR part Ⅱ | -미국 FDA에서 요구하는 제약업체에 대한 전자문서관리를 위한 규제 |
| 금융권 DRS | -은행, 증권사, 신용카드사, 증권유관기관 및 통합시스템 운영기관 : 3시간 이내 |
| 기업회계 Compliance | -회계 3법(증권거래법, 공인회계사법, 주식회사의 외부감사에 관한 법률) |
4) IT Compliance의 구성요소
(1) IT Compliance 조직
- 준법감시부처 : 법규 준수와 관련된 점검 절차 및 준법 절차 등을 수립 및 이행점검
- 준법감시인 : 법규 준수, 리스크 관리 등 내부 통제 체제에 대해 총괄 및 준법 상황을 감시 관리
- 윤리강령 : Code of Ethics:임직원이 업무 수행 시에 지켜야 할 법규상, 도덕상의 행동 규범
- 준법감시인 매뉴얼 : Compliance Manual: 내부 통제 정책을 실천하기 위한 구체적인 절차와 준수, 위규 시의 대응 방안
(2) 지원시스템
- RDW(Risk Data Warehouse) : 리스크 관리를 위한 DW
- ODS(Operational Data Store) : 일일 판매 및 주문 등 비즈니스 거래 보고에 사용, DW, Data Mart, CRM, ERP와 연동
- HRD(Human Resource Development)
- DW(Data Warehouse)
2. IT Compliance의 효과적인 구축 방안
1) IT Compliance 대응에 대한 프레임워크
- 비즈니스 영향 분석(BIA)을 통한 Governance 활동 선행
- 전사적 관점에서 IT compliance 접근하여 데이터/보안/위험에 대한 대응 체계 필요
2) COSO기준에 의한 내부통제 프레임워크(구성요소)
- 통제 환경 : 구성원 전체의 의식에 영향을 미치는 조직의 의사와 노력을 의미
- 위험평가 : 기업의 목적 달성을 위한 내부 및 외부의 다양한 위험요소를 확인, 분석하는 절차
- 통제활동 : 위험에 대비하는 제반 정책 및 절차
- 정보와 의사전달 : 관련된 정보(information)는 적절한 시기와, 절차에 따라 구성원에게 확인, 획득, 전달
- 모니터링 : 내부통제 시스템이 의도된 대로 작동 및 적절한 수정이 되고 있는지에 대한 관찰
* COSO에는 IT 통제가 내재되어 있지만, IT통제를 식별, 문서화,평가 할 수 있는 등의 구체적인 IT통제 Framework이 필요하고, 여러 IT통제 Framework 중 ISACA(Information Systems Audit and Control Association)에서 개발한 COBIT(Control Objectives for Information and Related Technology)이 개방형(Open) Framework로 일반적으로 수용
3) IT Compliance 구축 형태
(1) 여러 솔루션 도입
- 여러 가지 포인트 솔루션 또는 하드웨어 디바이스를 활용하는 방법이 구축하기에는 쉬움
- Compliance의 전체 범위를 포괄하지 못하여 기업이 법적인 소송, 또는 주식 가치의 손실 등 비즈니스 위험에 처할 가능성 존재
(2) 기존 솔루션+자체구축
- 기존의 IT 자산을 이용 및 프로세스 개선을 통해 개선
- 조직 내 내재화가 강점이나 대응시간이 길고 초기 투자비용 및 시간이 많이 소요
* 각종 규제나 법안이 발효되는 시기 이전까지 시스템 정비를 마무리해야 함
4) IT Compliance 준수를 위한 IT솔루션 유형
- DRS : IT Compliance 준수 관점에서 업무별 중요도에 따라 재 구축
- BCP : 비즈니스 관점에서 재해 시 기업의 연속성을 가능토록 함
- BPM : IT Compliance 대응에 필요한 프로세스 및 인프라 구축
- DQM : Compliance에서 요구되는 데이터의 일관성과 완전성 등을 보장하는 품질관리 솔루션
- EAMS : 전사 아키텍처의 효율적인 관리를 통해 상호 운영성을 보장하고 표준기술 요소 등의 관리를 통해 Compliance요건에 대해 아키텍처 차원에서 대응 가능
3. IT Compliance 국내외 사례
1) 해외 사례
| 규제 명칭 | 관련 내용 | 규제기관 |
| Sarbanes-Oxley Act(SOA) | 회계 감사에 대해 투명성을 제고할 목적으로 재무보고서 작성과 공시에 대해 CEO와 CFO의 서명을 요구하는 등의 규제를 가하고 있음 | GAO, SEC (미국) |
| HIPAA | 병원이나 의료 관련 기관에 보관되어 있거나 발표되는 의료 기록 및 다른 건강 관련 정보를 보호하기 위해 자료관리에 대해 규제 HIPAA: Health Insurance Portability and Accountability Act |
DoHH (미국) |
| Basel Ⅱ | 최저자기자본 규제, 감독기관의 점검, 은행의 공시 강화 등을 내용으로 하며, 위험자산 비중이 높을수록 필요자본금을 많이 확보토록 하는 등 은행의 위험관리를 규제 | BIS(국제기구) |
| IFRS | -유럽의 국가별로 상이한 회계기준을 통일시키기 위하여 2000년 IOSCO(국제증권감독기구)와 IASC (국제회계기준위원회)의 협약에 의하여 적용. IFRS: International Financial Reporting Standards (국제회계기준) |
|
| 21 CFR Rule 11 | 이메일을 포함한 전자적 기록과 전자서명이 FDA에 의해 규제되는 생산 공정에서 사용되는 서면기록 서명과 같이 취급되도록 기준을 설정 | FDA (미국) |
| USA PATRIOT Act | 2001 9.11테러에 대응해 개발됨. 금융서비스 회사, 보험회사가 고객 식별 및 수상한 거래를 표시하도록 하는 것을 포함하여 anti-terrorism 및 돈세탁방지 규정을 둘 것을 요구함 | DoD (미국) |
| California SB 1386 | California 주민이 위태롭게 될 수 있는 민감한 정보와 관련된 computer-security를 침해한 사실을 공표토록 강제함. | California State Gov. (미국) |
2) 국내 사례(IT Compliance 관련 법률)
| 규제 명칭 | 관련 내용 | 규제기관 |
| 정보통신망 이용촉진 및 정보보호 등에 관한 법률 | -개인정보의 보호 -정보통신망에서의 이용자 보호(청소년 보호, 권리보호) -정보통신망의 안전성 확보 등 |
방통위 |
| 금융감독원 지침 | -증권회사 업무관련 이메일, 메신저 3년 의무 보관 -기업의 전자 금융거래에 OTP 사용 필수 적용 |
금감원 |
| 산업기술유출방지법 | -국가핵심기술의 보호를 위한 조치 -산업기술의 유출 및 침해행위 금지 |
지경부 |
| 정보격차해소법 | -장애인, 고령자 등의 정보 접근 및 이용보장 | 행안부 |
| 의료법 | -진료기록부 등에 전자서명 의무화 환자명부(5년), 진료기록(10년)보관 |
보건복지 |
4. IT Compliance 도입 효과
- 비용절감 : 비즈니스 프로세스 가시화, 자동화를 통한 의무사항의 신속한 반영
- 잠재적 위험 요소의 제거 : 전사적인 프로세스의 최적화를 통한 잠재적 위험의 제거 가능
- 운영리스크 감소와 자본 활용률 증가 효과 : 사베인스-옥슬리 법안이나 바젤Ⅱ 협약은 특별히 기업의 운영 위험요소 관리 부분과 위험을 관리•측정•분석하는 기업의 규제 관리 능력에 초점
- 규제 대응에 신속한 대응 능력 보유 : 규제관리 기관과 효율적인 업무수행을 위한 노력과 소요비용을 절감, 비즈니스 변화에 대응능력 강화, 변화를 쉽게 반영할 수 있도록 구성되어 있고 기업의 변화에 빠르게 대응
'IT 기본개념' 카테고리의 다른 글
| [데이터관리] 클라우드 컴퓨팅(Cloud Computing) (0) | 2022.12.15 |
|---|---|
| [IT관리] Escrow(임치제도) (0) | 2022.12.05 |
| [IT구축] SOA(Service Oriented Architecture) (0) | 2022.12.03 |
| [IT서비스] BI(Business Intelligence) (0) | 2022.12.02 |
| [IT구축] MDA(Model Driven Architecture) (0) | 2022.12.01 |
댓글