감리
정보시스템 및 프로젝트 감리는 외부인의 객관적 시각에서 수행되는 프로젝트라고 볼 수 있다. 이러한 감리의 영역은 프로젝트 단계별 및 전문영역별로 다양하지만 목적만큼은 동일하다. 여기서 잠깐 짚고 넘어갈 것은 감리와 감사의 차이다.
간단하게 감리(監理)는 감독하고 관리하는 것, 영어로는 supervision이며 감사(監査)는 감독하고 검사하는 것, inspection을 말한다. 다시 말해 감리는 어떤 사업이나 프로젝트가 기본 계획 및 설계대로 되고 있는지, 효율성, 신뢰성, 품질보증 등의 기술적 요건이 보장되고 있는지를 피감리인의 이해관계로부터 독립된 제삼자가 감독, 지도, 평가하는 것을 말하며 진행 적 성격을 지니고, 감사는 보통의 회계감사와 같은 의미에서 어떠한 조직의 업무에 대해서 제삼자가 업무의 적부 정도를 검토하고 완료된 행위 대상으로 지적, 비판, 시정을 하는 행위로 사후적 성격을 나타낸다.
정보시스템에서 있어서 감리, 감사의 대표적 기구는 미국의 정보시스템감시통제협회(ISACA: Information Systems Audit and Control Association)로 IT 거버넌스에 중점을 두고 있는 기관이며 이곳에서 시행하는 국제자격증이 정보시스템감사사(CISA: Certified Information Systems Auditor)이다. 다시 말해 감리는 내부감사의 직무 만에 국한되지 않고 정보화 컨설팅 활동으로서 감사를 포함, 확대한다.
감리기준
감리인이 감리업무를 체계적으로 수행하기 위해선 표준화된 지침이 필요하다. ISACA에서는 이를 위해 일반기준, 독립성 기준, 기술기준, 감사업무 기준, 보고기준 이렇게 5개 분야의 지침을 제공한다. 이 기준들의 목적은 감사인에게 전문직업윤리강령에 규정된 전문가의 책임을 충족하도록 최소한의 요구사항을 규정하는 것이며 경영자층과 다수 이해관계자에게 감사인의 업무에 관한 직업상 기대 수준을 공지하는 데 있다.
🚩 일반기준
– 자격 및 능력: 전문적 지식과 능력을 갖춰 감사 업무를 수행하며 상황에 따라 적절한 주의와 신중성 발휘
– 전문성: 공정하고 무결한 행동을 유지하고 감사 업무에 관한 비밀 보호
– 객관성: 감사 대상과 관련된 이해관계나 영향을 회피하고 독립성 유지
– 전문성: 공정하고 무결한 행동을 유지하고 감사 업무에 관한 비밀 보호
– 객관성: 감사 대상과 관련된 이해관계나 영향을 회피하고 독립성 유지
🚩 독립성 기준
– 조직적 독립성: 조직 내부에서 영향력 있는 위치가 아니며 조직의 목표와 이해관계로부터 독립성 유지
– 개인적 독립성: 감사 대상 및 관련 당사자와의 개인적 관계를 피하고 객관적 업무 수행
– 조직적 독립성: 조직 내부에서 영향력 있는 위치가 아니며 조직의 목표와 이해관계로부터 독립성 유지
– 개인적 독립성: 감사 대상 및 관련 당사자와의 개인적 관계를 피하고 객관적 업무 수행
🚩 기술기준
– 계획 및 감사 수행: 감사 계획 수립, 감사 업무를 실시하여 목표 달성을 위해 충분한 근거 수집
– 관련 법규와 규정 준수: 관련 법규와 규정을 준수하고 이에 대한 평가 수행
– 계획 및 감사 수행: 감사 계획 수립, 감사 업무를 실시하여 목표 달성을 위해 충분한 근거 수집
– 관련 법규와 규정 준수: 관련 법규와 규정을 준수하고 이에 대한 평가 수행
🚩 감사업무 기준
– 적절한 증거의 획득: 감사 업무를 위해 적절하고 신뢰할 수 있는 증거 획득
– 관련성 평가: 획득한 정보를 평가, 감사 목적과 관련 있는지 판단
– 적절한 증거의 획득: 감사 업무를 위해 적절하고 신뢰할 수 있는 증거 획득
– 관련성 평가: 획득한 정보를 평가, 감사 목적과 관련 있는지 판단
🚩 보고기준
– 감사보고서 작성: 감사 결과를 명확하고 객관적으로 보고서 작성
– 결과의 명시: 감사 결과에 기반하여 결론 명시
– 발견된 결함과 건의 사항 제시: 발견된 결함과 개선을 위한 건의 사항 제시
– 감사보고서 작성: 감사 결과를 명확하고 객관적으로 보고서 작성
– 결과의 명시: 감사 결과에 기반하여 결론 명시
– 발견된 결함과 건의 사항 제시: 발견된 결함과 개선을 위한 건의 사항 제시
특히 CISA는 감사업무를 수행할 때 ISACA의 감사지침인 COBIT(Control Objectives for Information and related Technology) 프레임워크를 참고한다. 이 COBIT은 이전까지의 통제목적이라는 이름으로 정리되었던 것을 경영진이나 정보시스템 실무자 및 감리자에게 유용하게 쓰일 수 있는 포괄적 통제체계로 정립한 것으로 비즈니스 목표와 정보시스템 간의 연결을 강조하고 정보시스템과 관련된 위험을 관리하고 통제하는 데 도움을 준다.
< COBOT 2019: 최신판 >
감리단계 및 절차
정보시스템 감리는 보통 계획, 수행, 보고, 후속 조치의 단계를 거친다.
✔️ 계획수립
: 감리계획은 피감리 조직의 현황, 목적, 감리현황, 위험, 기간 및 비용, 기법/도구 등으로 고려하여 수립한다. 특히 감리목적을 명확히 파악하여야 하는데 감리 요청 시 피 감리인은 감리의 목적을 명확히 하고 감리를 요청하는 것이 일반적이나 그렇지 않은 경우도 많다. 이러한 목적이 불명확한 경우 추후 작업 진행 및 목표 달성에 큰 장애가 될 수 있으므로 반드시 목적과 목표를 명확히 하여야 한다.
✔️ 감리 수행
: 감리의 실질적 활동으로서 예비조사를 수행한다. 이를 토대로 감리자료를 확보하고 검토한다. 또한 세부적 감리 일정과 범위를 피감리인과 협의, 조율하며 감리인별로 점검항목과 평가 방법을 준비한다. 감리 수행은 감리 대상과 환경을 이해하고 감리 분야별 점검항목에 대해 검토하고 시험하는 데 의의가 있으며 수행 결과로 문제점과 위험요인을 식별, 개선사항을 도출하고 권고안을 토의한다.
✔️ 보고서 작성
: 감리 활동의 결과를 감리보고서로 문서화하는 단계이다. 감리보고서는 매우 복잡한 기술적 사항들에 대해서 구체적인 지적, 권고사항을 도출, 정리하여야 하므로 초안 작성 후 관련자와 세밀한 검토를 거쳐 최종 보고서를 작성하는 형태로 진행한다. 감리책임자는 보고서 취합 후 총평을 작성하고 총평과 감리보고서의 의견이 상이한 경우 총평에 그 차이점을 명시한다.
✔️ 후속 조치
: 감리보고서 배포 후 기록보관, 폐기, 지적사항에 대한 개선 확인과 추적관리, 감리문제점 및 미결사항에 대한 시정조치와 추적, 감리인 평가활동 등을 수행한다.
※ 애로사항
제3자의 자격이라는 것이 장단점이 있으나 무엇보다도 기존 조직에서 감리인을 대하는 태도는 사전에 충분히 짐작해 볼 수 있다. 하지만 일을 진행하다 보면 비협조적이고 부정적인 분위기와 여러 이해당사자들, 이로 인한 불충분한 자원 및 지원의 문제, 의사소통의 어려움이 전부 다라고 해도 과언이 아닐 것이다. 일의 규모, 전문성 및 복잡성 등 여러 사항 이전에 무엇보다도 사람이 가장 기본인 것은 어디를 가도 마찬가지이다. 사람을 먼저 얻는 방법. 아마도 보다 경청하고 먼저 다가가서 진심을 전하지 않으면 안 될 것이다. 그리고 설득의 도구로서 현실적 전문성을 갖추는 일은 당연하겠지. 이 또한 감리인만의 문제는 아닐 것이다.