지침서는 어떠한 일을 완성하는 특별한 방법에 대한 설명서이다. 따라서 절차(procedure)보다는 덜 규범적이다.

 

COBIT 용어 중에서

 

예를 들면, ISACA 에서는 IS 감사와 관련한 통제 활동을 아래와 같이 구분하여 정의하고 있다.

 

감사 표준 - 감사 및 보.고를 위한 강제적인 요건을 정의하고 있는 것

 

감사 지침서 - 감사 표준을 적용하는데 안내를 제공하는 것. 따라서 감사인은 감사 지침서의 응용에 있어서 전문가적인 판단을 사용하고, 지침에 대한 어떠한 이탈(따르지 않음)을 정당화하기 위해 준비하면 된다.

 

감사 절차서 - 감사 표준을 충족시키는 방법에 관한 정보를 제공하는 문서이다. 감사 업무에서 따르면 좋을 절차들의 사례들이지만, 이것은 모든 적정한 것을 포함한다고 또는 동일한 결과를 얻기 위해 합리적으로 지시하는 다른 절차들을 배제한다고 생각해서는 안된다. 따라서, 어떤 특정 절차, 일련의 절차들 혹은 테스트 실시의 적합성을 결정하는데 있어서, 감사인은 특정 정보 시스템 혹은 기술 환경에 의한 특수 상황에 따른 전문가 판단을 실시한다.

 

Audit Program 중에서

 

그런데, 컨설팅 과정에서 파악한 우리 기업들의 현실은 사내 IS 관련 지침(서)을 절대적인 규정 문서로 인식하고 있음을 알 수 있다.

 

만약에 지침에 대한 명확한 개념을 이해하고 의도적으로 지키지 않아도 될 여지를 남기기 위해서 '~지침(서)'이라 명명하였다면 어찌 존경하지 않겠습니까마는 그런 것이 아니라면 내부통제 담당자는 이제부터라도 사규, 표준, 절차, 지침을 각각 구분하여 통제 활동 아키텍처 혹은 프레임워크를 개발하여 개선시키는 것이 좋을 것이다.