앞으로 시스템 운영·개발, 디지털 등 금융권 정보기술(IT) 조직의 각 업무마다 자체 감사인을 두는 방안이 권장된다. IT자체 감사 전담인력 운용이 어려울 경우 전문업체를 통한 외부위탁도 가능해진다.
금융감독원은 이같은 내용을 담은 'IT감사 가이드라인' 최종안을 13일 열린 IT감사 가이드라인 마련 TF 마지막 회의에서 공개했다. 이날 간담회에서 공개한 가이드라인 최종안은 이달말까지 각 금융권 협회와 중앙회별로 심의·보고 등 내부 절차를 거쳐 배포·시행된다.
가이드라인은 금융사의 IT내부통제체계를 3단계로 구분했다. 먼저 △IT조직이 IT내부통제 방안을 수립 및 이행하고 △IT조직 내 자체감사인을 통해 내부통제의 적정성을 점검한 뒤 △감사조직의 IT감사인을 통해 IT부문 전반의 적정성을 감사하도록 했다. IT감사업무 수행단계에 따라 준수해야 할 주요 절차 등 업무 기준도 담겼다.
특히 IT자체감사는 IT부문 임원, 즉 CIO나 CISO 등 최고책임자가 산하 IT자체감사인을 지정해 소관업무에 대한 자체적인 감사를 명령하는 것을 의미한다. 따라서 소관업무가 아닌 다른 IT부문 업무를 '자체' 감사는 불가능하다. 각 금융사는 효과적인 직무 수행과 이해상충 방지를 위해 IT자체감사 직무와 감사대상업무의 겸직 및 본인이 수행한 업무에 대한 감사를 금지하는 등 독립성을 확보해야 한다.
가이드라인은 행정 지도 등 성격이 아닌 효과적인 IT감사업무 수행을 위한 기준으로 쓰인다. 향후 금감원은 서면 점검이나 IT리스크 계량평가 등을 통해 가이드라인 이행 여부를 관리할 예정이다. IT실태평가시 기준으로 활용하는 방안도 검토 중이다.
금감원에서는 가이드라인에 대한 세부 매뉴얼은 이른바 '그림자 규제'로 작용할 수 있는 만큼 추가로 배포하지 않기로 했다. 다만 가이드라인 운영과정에서 우수사례를 발굴해 금융권에 공유하는 식으로 지원할 예정이다.
이종오 금감원 디지털·IT 부원장보는 “금융회사 IT감사는 단순한 점검이 아닌 혁신의 안전핀 역할을 한다”면서 “가이드라인이 금융회사의 디지털 경쟁력과 금융IT 안전성을 균형있게 견인하는 든든한 기준점이 되기를 기대한다”고 밝혔다.
류근일 기자 ryuryu@etnews.com
