현대의 기술 주도적 비즈니스 환경에서 기업은 재무 정보 처리, 보관 및 보고를 하기 위해 정보 기술(Information Technology) 시스템에 크게 의존하고 있습니다. 그 결과 재무 데이터의 무결성, 기밀성, 가용성을 확보하는 것이 가장 중요합니다. 이를 달성하기 위해 조직은 내부회계관리제도(ICFR) 프레임워크 내부통제의 일환으로서 IT General Control(ITGC)을 구축합니다.
- 접근 통제(Logical Access Controls)
- 시스템 변경 관리(Change Management Controls)
- 데이터 백업 및 복구(Data Backup and Recovery Controls)
- 물리적 및 환경적 통제(Physical and Environmental Controls)
정보기술 일반통제(ITGC)는 재무보고의 신뢰성과 관련된 IT 시스템의 유효성에 관해 합리적인 보증을 제공하도록 설계된 일련의 통제를 일컫습니다. 이러한 통제들은 특정 애플리케이션이나 프로세스가 아닌 IT 환경 전체에 포커스를 맞추고 있습니다. ITGC는 주로 다음 4개 영역으로 분류할 수 있습니다:
1. 접근 통제(Logical Access Controls)
접근 통제는 IT 시스템 및 데이터에 대한 액세스를 제한하는 인증 및 허가 메커니즘을 통제합니다. 이러한 통제를 통해 기밀성이 높은 재무 정보에 접근 가능한 담당자만이 생성 및 변경할 수 있습니다. 접근 통제의 사례로는 사용자 계정 관리, 비밀번호 정책 및 직무 분리(SoD) 등이 있습니다.
2. 시스템 변경 관리(Change Management Controls)
시스템 변경 관리 컨트롤은 IT 시스템, 애플리케이션 및 기반 구조(Infrastructure)로의 변경 관리를 통제합니다. 이러한 통제는 재무 데이터의 무결성과 신뢰성을 손상시킬 수 있는 시스템 변경을 방지하는 것을 목적으로 합니다. 시스템변경 관리 컨트롤에는 일반적으로 변경을 요청, 승인, 테스트 및 문서화하는 프로세스가 포함됩니다.
3. 데이터 백업 및 복구(Data Backup and Recovery Controls)
데이터 백업과 복구를 통제함으로써 중요한 재무 데이터가 정기적으로 백업되고 안전하게 저장되어 데이터 손실이나 시스템 장애가 발생할 경우에도 신속하게 복원이 가능할 수 있습니다. 이러한 규제는 영속적인 데이터 손실 위험을 최소화하고 재무데이터 시스템과 프로세스의 적시 복구를 지원합니다.
4. 물리적 및 환경적 통제(Physical and Environmental Controls)
물리적 및 환경적 통제는 IT 기반 구조(Infrastructure)와 자산의 보안과 보호에 적절하게 대처합니다. 데이터 센터(IDC) 접근 제어, 전산실 혹은 데이터 센터(IDC) 환경 모니터링(온도 및 습도 등), 화재 방지시스템, 백업 전원 등의 대책이 포함됩니다. 이러한 통제들은 IT 시스템의 가용성과 신뢰성을 보호하는 데 도움이 됩니다.