Monthly Archives: April 2013

You are browsing the site archives by month.

[내부감사] – Consulting Service

대부분의 내부감사는 보증서비스(Assurance Service) 에 포커싱이되어 있다. 물론 합리적 보증이다.

최근 Consulting Service 를 수행했었는데 클라이언트로부터 “고맙습니다”라는 인사를 받았다.

매년마다 회계감사를 받으며서 ERP관련해서 IT감사를 받고 있는 기업이었는데, 3년째 동일한 지적사항을 받고 있었다.

“소스코드 변경이력관리 미흡하므로 개선 필요” 현업에서도 물론 관리를 해야한다는것을 알고 있지만 어떻게 해야되는지 방법을 모르고 있었다. 단순하게 비용이 들것이라는 판단하에 계속 미루고 미뤄졌던것이다.

형상관리 솔루션이 있다. 그것도 무료 솔루션이다. 성능도 좋다 이전에 근무했던 H그룹에서 사용했었다.

그래서, 관련 솔루션을 구축해주고 돌아왔다.

하나라도 현업에 정말 도움이되는 컨설팅이야 말로 진정한 컨설팅이다. 많은 개선사항도 좋지만 정말 할수 있고 할수 있도록 도와줘야한다.

또한, 주기적으로 현업 담당자와 컨택하여 최근 트렌드를 공유하고 있으며, 감사 개선사항 팔로업이 잘되고 있는지도 확인하고 있다.

 

Keep going with Staying Power

[오프라인 문서 분석 기법] – 전표, 품의서 등

IT관련 업무 종사자들은 데이터를 어떻게 다루고 처리하는지에 대해서는 너무나도 잘 알고 있다. 하지만 그 데이터의 본질을 이해 하지 못하면 분석을하는데 한계가 있다. 여기서 이야기하는 본질은 업무전체를 이해하고 활용할 수 있는 능력을 말한다.

어떻게 보면 IT에 대한 전반적인 지식이 있는 사람이 데이터를 분석하는데 아니, 내부감사 업무를 수행함에 있어 효과적이라고 할수 있다. 어디까지나 개인정인 생각이다.

대부분의 기업의 종사자들은 전자문서를 통해서 업무를 처리하고 있다. 즉 휴가를 가더라도 품의를 올려야한다. 무엇인가 회사를 위해서 지출을 했다면, 지출에 대한 증빙들을 전자결재 문서에 첨부해야한다. 이러한 일련의 행위들에 대해서 잘 알고 있을 것이다.

내부감사부서는 이러한 일련의 행위들이 적절한지 평가해야한다. 내부 문서 품의가 회사의 내부 규정 또는 법규를 준수하면서 업무를 처리되었는지를 점검해야한다.

품의서와 전표가 일치하는지를 확인하는 것이 중요하다. 품의서에는 10만원을 지출하였다고 해서. 지출 증빙들을 확인했는데. 불일치 했다면 문제가 있는것이다.

이렇게 하나하나 찾아내는 작업을 해야하고, 정리를 해아한다.

[사나리오 분석기법] 효율적 전산 데이터 분석

이제는 바야흐로 전산 데이터 분석 없이 내부감사를 할수 없는 시대에 살고 있다. 물론 시스템이 제대로 구축이 안되어 있다면 여전히 품의서, 전표 등을 문서고에서 끄집어 내서 일일이 육안으로 확인하고 엑셀시트에 정리를 해야한다.
어쩌면 종이 문서를 분석하는 것이 업무를 수행함에 있어 편할수도 있을 것이다. 편리함을 찾다보면 내부감사부서는 매년 비슷한 감사보고서를 제출할것이다. 물론 꼭 그런것은 아니지만….

그럼 제목에서 언급한 시나리오 분석기법에 대해서 이야기를 해보겠다.
일단, 분석을 하고자 하는 시나리오를 머리속에 담고 있을것이다. 그러나 그것을 밖으로 끄집에 내는것은 생각처럼 쉽지가 않다.

최근 사례를 예로들어 설명해 보겠다.

휴대폰 가입자에 대한 분석이다. 휴대전화 개통이 불법이 있었는지 검토를 하기위해 최근 3개월간 계약관련 데이터를 내려 받았다. 이중 개통지점의 담당자의 계좌번호와 자동이체 정보가 돌일한건이 있는지 확인하였다. 확인결과 본인의 계약이었고 일부는 가족의 휴대폰 계약 이었다. 그러나, 가족도 아니고 본인도 아닌건이 있었다. 실제 추가 확인을 위해 자동이체 관련 아력을 관리하는 태이블 데이터를 요청하였다.
자동이체 테이블을 분석해도 여전히 알수없는 계좌번호가 존재하였다.

어떻게 추적을 해야되나…….

이러한 시나리오가 있다고 가정한다면, 각 단계별로 실제 어떤 필드를 어떻게 정의하고 분석할지에 대해 나열해야 한다.

Step 1.
개통지점의 담당자 계좌번호 필드와 계약테이터의 자동이체 필드 비교.
Select A.* from  계약데이터 where 자동이체계좌번호 in (select 계좌번호 from 담당자데이터 group by 계좌번호)

Step 2.
적절하게 추출된데이터를 별도 Temp 테이블에 저장을하고, Temp 테이블의 데이터와 가족데이터와 비교를 수행한다. 역시 불일치건은 별도 Temp 테이블을 생성한다..더이상 추적 불가시 마지막 생성된 데이터 값을 샘플링으로 선정하여 현업부서와 향후 진행상황에 대해 논의한다.

위와같이 실제 단계별 수행업무를 정의해야한다. 구체적이지 않은 시나리오는 분석중에 중단을 경험하게 될것이다.

위에 제시한것보다 더 디테일하게 나열할수 있다면 더 할나위 없이 좋은 시나리오 분석기법이 될것이다.

[칼럼]기업정보 어떻게 효과적으로 관리할 것인가?

회사의 경영자라면 우리회사의 임직원들이 어떤문서를 얼마나 보유하고 있는지 궁금할것이다.

정보보안에 몇백억을 투자 했다고 하더라도, 임직원의 실수 또는 고의로 회사의 기밀정보를 외부로 가지고 나간다면 회사 운영에 치명적인 결과를 초래할지 모른다.

기업의 어제가 다르고 오늘도다르고 내일도 다를것이다. 어제, 오늘 아무런 사건사고가 없었다고 내일도하그러할 것이라는 안일한 생각을 한다면 안된다. 정기적으로 비정기적으로 임직원 컴퓨터에 어떤 정보들이 있는지 점검할 필요가 있다. 문서 중앙화가 되어 있고, 문서보안 시스템을 구축하였다 하더라도 완벽한 시스템은 없다. 이말은, 어디엔가 누구도 알지못하는 “홀”이 존재한다는 것이다. 이러한 홀을 찾아내는것은 쉽지가 앖다. 홀만 찾아내는 별도의 인력이 없기 때문이다.

디지털 포렌식 방법론을 적용하여 기업의 내부정보를 어떻게 관리하고 있는지 점검이 필요한다. 임직원 컴퓨터의 하드디스크로부터 전체 파일 목록(삭제파일 포함)을 데이터베이스 화하여 문서의 보유량을 점검하고, 보유한 문서중에 회사에서 중요키워드라고 생각하는 것들 정의해서, 키워드가 포함된 문서들의 보유량도 확인할 필요가 있다.

위 사항은서효과적으로 관리하기 위한 첫번째 단계이다. 단순하게 문서를 많이 가지고 있다라는 것은 경영자가 느끼기에 “그래서 뭐가 문제인데?” 이럴수 있다.

두번째는 이들 문서간에 흐름을 분석하는 것이다. 각 문서에 대한 해쉬값을 통해 회사 내부에 어떤 부서의 어떤 직원이 들이 가지고 있는지 확인하는 것이다. 해쉬값을 이용하는 것이 가장 완벽할 수 있지만, 다른 방법으로는 파일명, 용량으로 흐름을 분석할수 있다.

특정한 업체에서는 BOM정보 Recipe 정보가 중요할 수 있다. 이러한 정보가 경쟁사로 넘어갈경우에는 기업에 막대한 손실을 입힐 수 있다. 이와 유사한 사례들은 이 업무를 하면서 많이 접할 수 있었다.

기업정보가 내외부자에 의해서 유출이되었다 하더라도 기업이 보호받을수 있게 하려면 적절하게 영업비밀로서관리해야한다.
법에서 요구하는 수준을 만족해야한다. 판례분석을 통해서 기업이 갖추어야할 최소한의 요건을 살펴보자.

(2008도3435) 직원들이 취득/사용한 회사의 업무 관련 파일이 보관책임자가 지정되거나 보안장치/보안관리 규정이 없었고 중요도에 따른 분류 또는 대외비/기밀자료 등의 표시도 없이 파일서버에 저장되어 회사 내에서 일반적으로 자유롭게접근/열람/복사할 수 있었던 사안에서, 이는 상당한 노력에 의하여 비밀로 유지된 정보로 볼 수 없다.

(2006가합17631) ‘무단복사’, ‘이 문서에 대한 모든 책임은 출력자에게 있습니다’, ‘대외비’ 등을 기재하여 놓은 사실만으로는 기술 정보를 상당한 노력을 들여 비밀로 유지하려는 노력을 기울였다고 인정하기에는 부족하고, 오히려 위 기술정보에 관한 문서나 설계도면 등을 개발자들의 책꽂이에 바인더로 꽂아 놓고 회사 밖으로도 가지고 나갈 수 있도록 한 사실이 인정되므로 비밀로서 관리했다고 볼 수 없다.

(2005노244) 직원들을 대상으로 제품의 회로도를 비밀로 유지, 관리하도록 하는 계약서, 각서, 취업규칙 등을 작성하거나 이에 대한 보안교육을 실시하는 등으로 비밀로 유지하기 위한 별도의 노력을 행한 적이 없는 점 등에 비추어 보면 피해회사의 회로도는 부정경쟁방지법상의 영업비밀에 해당한다고 인정하기에 부족하다.

 

부정의 유형

– 회계적 내부 통제와 관련된 부정 회계나 불법행위

– 경쟁법이나 반독점법에 반하는 행위

– 감사 문제/납세 문제

– 은행 업무 및 재무적 위반

– 환경 보호에 반하는 행위

– 인권에 반하는 행위

– 직원의 신체적 안전에 반하는 행위

– 뇌물 수수

– 공무원 매수

– 차별이나 괴롭힘

– 아동 노동력 착취

– 유령 직원이나 사업체

– 사기 또는 절도

– 리베이트 또는 리베이트 주선

– 금지도니 내부자 거래/기밀 정보의 누설

– 컴퓨터 보안의 심각한 위험

– 회사의 중대한 이익에 대한 위협이나 위배

– 비승인 또는 불법 정치 헌금

– 신고되지 않은 이해의 충돌

– 지적재산권 법률 위반/ 지적재산권의 무단 사용