금감원, ‘IT감사 가이드라인’ 발표…감사체계 3단계로 구성

(조세금융신문=진민경 기자) 금융감독원이 7개 금융협회‧중앙회와 ‘IT감사 가이드라인 마련 TF’를 마무리하는 간담회를 개최했다.

금감원은 금융권 IT부문에서 운영‧통제 미흡으로 장애 사고가 지속해서 발생하자 별도 가이드라인을 배포해 내부통제를 강화할 방침이다.

13일 금감원은 서울 여의도 금융투자협회에서 7개 금융협회 및 중앙회와 함께 ‘IT감사 가이드라인 마련 TF 마무리 간담회’를 진행했다.

이날 금감원은 지난해 11월부터 TF를 통해 마련한 가이드라인 최종안을 발표하고 업권별 시행방안을 논의했다.

금감원은 자체 IT리스크에 맞는 3단계 IT내부통제 체계 구성, 사각지대 없는 통제 범위 설정, IT감사 독립성 확보, 표준 IT감사 방법론 등 네 가지 핵심 내용을 권고사항으로 제시했다.

IT내부통제체계는 1단계 IT조직이 내부통제 방안을 수립해 이행, 2단계 IT조직 내 자체감사인을 통해 내부통제 적정성 검사, 3단계 감사조직의 IT감사인이 제3자 관점에서 IT부문 전반을 감사하는 방식이다.

특히 가이드라인은 IT 관련 내부통제 범위와 수행 주체를 명확히 했다.

금융사는 IT 조직의 확장과 유연화로 인한 사각지대를 방지하기 위해 책무 구조를 기준으로 IT 영역별 최고 책임자가 소관 업무에 대한 내부통제 활동을 수행할 수 있도록 통제 범위와 수행 주체를 명확히 설정해야 한다.

또 가이드라인은 IT자체감사인이 업무를 독립적으로 수행할 수 있도록 직무가 분리돼 있어야 한다.

다만 금감원은 가이드라인에 IT자체감사 전담 인력 운용의 어려움에 대한 금융사의 의견을 반영해 내부통제 업무의 외부 위탁도 가능하다는 내용을 포함시켰다.

아울러 가이드라인에는 그간 금감원의 IT검사 지적 사례를 반영, IT감사 업무수행 단계에 따라 준수해야 할 주요 절차 등 업무 기준들도 기재했다.

이종오 금감원 디지털‧IT부원장보는 이날 간담회를 주재하며 “금융사 IR감사는 단순한 점검이 아닌 혁신의 안전핀 역할을 한다”며 “가이드라인이 금융사의 디지털 경쟁력과 금융 IT 안정성을 균형 있게 견인하는 든든한 기준점이 되길 기대한다”고 전했다.

7개 협회‧중앙회는 내부 절차를 거쳐 오는 2월 말까지 IT감사 가이드라인 최종안을 배포하고 시행할 계획이다.

최신기사