외부감사법 개정에 대비한 보안대책

‘주식회사 등의 외부감사에 관한 법률’ (이하, 외부감사법)은 2017년 내부회계관리제도의 실효성과 투명성을 강화한 개정(안)이 통과됨에 따라, 2018년부터 2024년까지 상장기업의 규모에 따라 순차적으로 적용해야 합니다.

 

기존 회계감사는 외부 회계감사인에게 검토의견을 받도록 했으나, 변경된 법에서는 내부회계관리제도에 대한 감사의견을 받아 금융감독운에 제출하고 공시하여 하는 만큼 기업에 있어서는 부담이 커졌다고 볼 수 있습니다.

 

외부감사법의 개정에 따라 내부회계관리제도의 투명하고 안전한 운영을 위해, 보안정책과 절차에 대한 개정 뿐만 아니라, 적절한 보안기능 구현으로 업무를 지원할 필요가 있습니다.

 

외부감사법 및 관련 규정에 따른 법적 요구사항은 다음과 같습니다.

 -  회계정보 기록·보관장부의 관리 방법과 위조·변조·훼손 및 파기 방지를 위한 통제절차 수립 (법 제8조 제1항 제4호)

- 회계정보의 위조·변조·훼손 및 파기 금지 (외감법 제8조 제2항)

- 신뢰할 수 있는 회계정보의 작성과 공시를 저해하는 위험에 대한 예방·조치 가능한 점검 체계 운영 (외부감사 및 회계 등에 관한 규정 제6조 제3항의 1)

- 회계정보 작성·공시 과정에서 부당개입할 수 없도록 설계·운영되는지 평가(외부감사 및 회계 등에 관한 규정 제6조 제3항의 2)

 

법과 규정에서 요구하는 내부회계관리 작성·공시 시스템 및 회계정보에 대한 사항을 정리하면 다음과 같습니다.

- 보안통제 및 위험평가 절차 마련

- 권한남용에 대한 관리 및 감독

- 보안통제 모니터링 및 개선

- 회계정보의 위조 및 변조 방지

- 데이터 파기 방지

 

각각의 요구사항에 대응되는 보안활동 및 보안기능(시스템)은 다음과 같습니다.

- 보안정책 및 절차 (접근통제 및 위험평가) 개정

- 사용자 계정관리 및 접근통제/모니터링 시스템

- 회계정보의 위·변조 방지 시스템

- 데이터 백업 및 복구 시스템

 

보안팀은 회계감사 결과를 기반으로 개정된 법에서 요구되는 사항이 무엇인지 살펴보고, 보안에 필요한 투자항목과 우선순위를 정하여, 사업계획 수립시 미리 반영하여 준비해야 할 것입니다.  

 

※ IBM Security Secret Server는 모든 운영체제의 계정에 대해 역할별 접근관리를 수행하며, 계정이 부여된 사용자의 모든 행위를 모니터링하고 기록합니다.