지난해 투명한 내부회계관리를 위한 “주식회사 등의 외부감사에 관한 법률(약칭, 외부감사법)“ 개정이 시행됨에 따라, 대상기업은 내부회계관리제도 운영을 통해 운영실태보고서를 작성하고, 기존 내부 감사가 아닌 외부 감사를 통해 평가보고서를 작성해야 합니다. 또한, 평가보고서를 공시하고 금융감독원에 제출해야 합니다.
※ 대상: : 주권상장법인, 상장 준비사, 대통령령 기준 해당사(자산, 부채, 종업원수, 또는 매출액), 유한회사로 자산규모에 따라 적용 시기는 2022년도부터 2024년까지 상이
외부감사를 통한 투명한 내부회계관리를 위한 법률상 요구사항은 다음과 같습니다.
- 회계정보를 기록·보관하는 장부(자기테이프, 디스크 등 정보보존장치)의 관리 방법과 위·변조·훼손 및 파기를 방지하기 위한 통제 절차 (외부감사법 제8조 제1항 제4호)
- 회계정보를 위조·변조·훼손 및 파기해서는 안됨 (외부감사법 제8조 제2항)
- 신뢰할 수 있는 회계정보의 작성과 공시를 저해하는 위험을 예방·조치 가능한 점검체계 운영 (규정 제6조)
- 회계정보 작성·공시과정에서 부당하게 개입할 수 없도록 설계·운영되는지 평가 (규정 제6조)
법률상 요구사항에 따른, 보안요구사항은 다음과 같습니다.
- 권한남용 관리·감독
- 통제 모니터링 및 개선
- 회계정보 위·변조 방지
- 데이터 파기 방지
최근에 KG동부제철은 접근통제, 프로그램 변경, 운영 등 IT 일반통제 요건에 대해 IBM Guardium Data Protection(GDP)을 도입하여, 개정 외부감사법의 컴플라이언스 요건을 신속하게 대응하고 체계적인 전사 데이터 보호 전략을 구축하였습니다. 개정 외부감사법에 따른 동부제철의 고민은 다음과 같습니다.
- MES(제조실행시스템) 데이터에 대한 내부통제 관련 내부 감사 요건
- 시스템으로 직접 접근 가능한 개발자 접근에 대한 모니터링 필요
- 애플리케이션 및 배치 사용자 계정에 대한 모니터링이 어려움
KG동부제철은 IBM Guardium의 뛰어난 확장성으로 SAP, Oracle, IBM I Series 등 전사의 다양한 플랫폼에 유연하게 적용할 수 있었습니다. 또한, 우회 없는 실시간 모니터링을 제공함으로써 개발자 및 특권사용자에 대한 내부 통제 환경을 구성하여, 개인정보보호법 및 외부감사법의 컴플라이언스 요건을 준수할 수 있었습니다.
기존 제조업계는 고객과 임직원의 개인정보를 포함하고 있는 일부 기간계 시스템에 대해 개인정보보호법 대응을 위해 암호화 및 개인정보접속기록 시스템을 도입하여 규제를 대응해 왔으나, 2019년 외부감사법의 개정과 더불어 내부통제요건이 강화되어, MES 등 내부시스템에 대해서도 규제 대응이 필요하게 되었습니다. 또한, 단순 개인정보접속기록의 저장 뿐 아니라 접근통제, 프로그램 변경 및 운영에 대한 상세 데이터 접근관리 정책이 필요해 졌습니다. 2022년 이내 도입을 완료해야 하는 자산총액 1000억원 이상의 주권상장법인의 제조사들에게 적용 가능한 좋은 모범사례 입니다.
동부제철 데이터 보안 솔루션 도입사례에 대한 보다 자세한 내용은 다음 영상과 자료를 통해 확인하실 수 있습니다.
- 영상: https://mediacenter.ibm.com/media/1_ts5wqm6k
- 브로셔: https://www.ibm.com/account/reg/kr-ko/signup?formid=urx-47281
