IT Assurance (IT 보증) series (1) – 내부 통제의 단계적 이행 (cascading of control)

일반적으로 보증(assurance) 이란 감사(audit) 또는 진단(assessment) 같은 협의의 활동이 추구하는 목표로써, 어떤 점은 잘하고 이런 점은 잘못했다고 확신할 수 있는 단계를 의미한다. 그리고, IT 감사 또는 진단의 대상은 IT 통제 (controls or control activities) 가 그 대상이기도 하며, 더욱이 감사 또는 진단 자체도 조직 전체의 입장에서는 대표적인 통제 활동의 일환인 것이다.

이러한 보편적 시각에서 통제 이론에 관한 것에서 연재를 시작하기로 한다.

내부 통제 이론(internal control theory)이 추구하는 목표는 통제의 적절한 균형을 확인하고 수립하기 위한 것이다. 또한, 위험 평가 프로세스에 활용함도 함께 꼽을 수 있다. 적절한 균형이란 IT 거버넌스와 관리를 포함한 모든 계층의 IT 프로세스에 위치한 거버닝 또는 통제 포인트가 지나치게 많아도, 그리고 부족해도 안된다는 것이다.

IT 프로세스에 내포된 과도한 통제는 관료적 사무절차의 증가, 생산성 감소, 복잡도 증가, 주기 시간 증가, 그리고 비부가가치적 활동 증가 등을 초래할 수 있고, 통제 부재로 인한 위험 증가는 자산의 손실, 허술한 비즈니스 결정, 법규 위반 그리고 각종 스캔들의 증가로 이어질 수 있는 것이다. 이처럼 균형유지의 필요성이 내부 통제 전문가의 양성이 필요한 근거가 된다.

우선, 이번 연재의 제목에 맞춰 통제 활동의 개발 및 이행의 주체는 누구인지, 그리고 각 주체별로 통제 행위의 특징을 살펴본다면, 대략 그림1과 같은 계층별 형태로 나뉘어 볼 수 있다.