Ask Five Questions Before Assessing Your Controls

통제를 진단하기 전에 5가지 질문을 하라.

By Brian Barnier, CGEIT

@ISACA Relevant Timely News Volume 12: 8 June 2011

1.     우리는 “비즈니스를 알고” 있는가? 많은 진단이 이미 알려진 위험, 통제 그리고 결함들에만 초점을 맞춘다; 그러한 진단은 잘 드러나지 않은 결함들과 (해당 통제들이 구현된) 근원적인 (업무) 프로세스 내의 결함을 간과한다.

2.     설계되고 구현된 통제들을 유도하는 위험 평가가 얼마나 믿을 만한가? 진단은 환경 및 기업 역량 평가, 시나리오 분석, 근본 원인 분석, 의존성 분석, 통제 설계, 그리고 통제 구현 등을 포함한 위험 평가 및 대처에 있어서의 정상적으로 완료된 앞선 절차들에 좌우된다. 그러한 선행 절차들이 비정상적이라면, 잘못된 통제들을 진단하고 관련 지적 사항들도 거의 무의미할 가능성이 있다.

3.     진단 주기가 현실의 변화와 보조를 맞추고 있는가? 위험에 대한 변화가 (환경 그리고 프로세스, 혹은 통제) 평가 주기보다 더 자주 발생하면, 그 때의 평가는 실질적인 위험을 놓칠 것이다. 예를 들어, 여러분의 IT 환경이 몇 개월 마다 변한다면, 사업 연속성 테스트 주기가 IT 환경 변화 주기에 맞춰져야 한다—그렇지 않는 것은 잘못된 신뢰감을 갖게 한다.

4.     통제 진단이 실질적으로 통제( 자체)에 초점을 맞추었는지 혹은 통제 진단이 정책, 절차 또는 규정들 속에 어우러져 있는가? 정책들의 존재 여부에 대한 “그린green” 등급은 정상 궤도를 벗어난 조건을 감지하고 그 정보에 대하여 조치할 수 있는 통제를 시험하는 것과는 거리가 멀다.

5.     진단이 위험 관리의 일상적 이용에 대한 주의력을 약하게 하지는 않는가? (환경 또는 비즈니스 역량 보다는) 통제에 대한 지체 시간 및 부각은 조직들로 하여금 위험 관리를, 근본 원인을 치유하는 부가가치적 관리 기능이라기 보다는, 일종의 “일회성 bandage” 보증 기능으로 간주하게 하는 경향이 있다.