NSP통신

(서울=NSP통신) 강수인 기자 = 최근 금융사들의 IT 관련 장애사고가 지속 발생함에 따라 금융감독원이 금융업권과 함께 ‘IT감사 가이드라인’을 수립했다. 이에 따라 IT영역별 최고책임자의 소관 IT내부통제 범위를 명확히 하고 IT내부통제 업무의 외부위탁도 가능하도록 제시했다. 해당 가이드라인은 이달 말 시행될 예정이다.

13일 금융감독원은 7개 협회·중앙회와 ‘IT감사 가이드라인 마련 TF’ 마무리 간담회를 개최했다. 이 자리에서 지난해 11월부터 TF를 통해 공동으로 마련한 가이드라인 최종안을 발표하고 업권별 시행방안 등을 논의했다.

해당 가이드라인은 IT리스크에 맞는 3단계 내부통제 체계 구성, 사각지대 없는 통제범위 설정, IT감사 독립성 확보 및 표준 IT감사 방법론 등을 권고사항으로 제시한다.

우선 3단계 IT내부통제체계를 살펴보면 ▲1단계로 IT조직은 IT업무(프로그램, 전산원장 변경 등) 전반에 걸쳐 법규 등에서 요구되는 IT내부통제 방안을 수립 및 이행 ▲2단계로 IT조직 내 자체감사인을 통해 일상적 업무영역에서의 IT내부통제 적정성을 자체점검 ▲3단계로 감사조직의 IT감사인을 통해 제3자 관점에서 IT리스크가 높은 영역 등에 대한 IT내부통제 적정성을 감사한다.

또 최근 IT조직 확장(디지털·AI) 및 유연화(애자일 조직)로 인한 통제 누락사례를 방지하기 위해 금융회사 책무구조도를 기준으로 IT영역별 최고책임자가 소관 IT업무에 대한 내부통제 활동을 수행하도록 IT내부통제 범위 및 수행주체를 명확히 설정해야 한다.

이와 함께 IT자체감사인의 업무 독립성 확보를 위한 직무분리 기준을 마련하고 IT자체감사 전담인력 운용의 어려움에 대한 금융회사의 의견을 반영해 IT내부통제 업무의 위탁운영(전문업체 등)도 가능하도록 제시했다.

해당 가이드라인은 국제표준 및 IT검사 지적사례 등을 참고하고 각 금융협회·중앙회와 업계 의견을 수렴해 마련한 것으로 행정지도 등 금융규제에 해당하지 않는다. 다만 향후 서면 점검, IT리스크 계량평가 등을 통해 가이드라인 이행 여부를 관리할 예정이며 IT실태평가시 기준으로 활용할 수 있다.

이종요 금감원 디지털·IT 부원장보는 “금융회사 IT감사는 단순한 점검이 아닌 혁신의 안전핀 역할을 한다”며 “이번 가이드라인이 금융회사의 디지털 경쟁력과 금융IT 안전성을 균형있게 견인하는 든든한 기준점이 되기를 기대한다”고 말했다.

이어 “2025년 2월말까지 전 금융권역에서 협회·중앙회별 내부 절차를 거쳐 가이드라인이 조속히 시행될 수 있도록 차질없이 준비하고 가이드라인 시행 초기에 금융회사가 제정 취지에 맞게 잘 이행할 수 있도록 협회·중앙회에서 적극적인 도움을 달라”고 요청했다.

이번 간담회를 통해 발표된 ‘IT감사 가이드라인’ 최종안은 이달 말까지 7개 협회·중앙회별 심의·보고 등 내부 절차를 거쳐 배포·시행될 예정이다.

NSP통신 강수인 기자(sink606@nspna.com)

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.