통제와 시스템 사이에서 생기는 이야기
RAWC와 RAITs ?
RAWC / Risk Associated with the Control,
즉 통제와 관련된 리스크다.
통제가 없거나,
있더라도 제대로 작동하지 않거나,
형식적으로만 존재하는 경우.
우리는 종종
“통제가 있다”는 사실에 안심하지만,
더 중요한 건
그 통제가 실제로 작동하느냐다.
⸻
예를 들면 이런 순간이다.
검토는 한다고 되어 있지만
실제로는 서명만 하고 넘어가는 경우,
승인은 존재하지만
실질적인 확인 없이 반복적으로 통과되는 경우.
이럴 때 통제는 있지만,
리스크는 그대로 남아 있다.
이게 바로 RAWC다.
⸻
반대로 RAITs는
Risks Arising from IT,
IT 환경에서 비롯되는 리스크다.
권한이 과도하게 열려 있거나,
프로그램 변경이 충분한 검증 없이 반영되거나,
인터페이스 오류가 조용히 지나가는 구조.
겉으로는 문제 없어 보이지만
그 안에서는 언제든
데이터가 틀어질 수 있는 상태가 만들어진다.
⸻
그래서 둘은 역할이 다르다.
RAWC는
통제가 믿을 수 있는지에 대한 질문이고,
RAITs는
시스템이 믿을 수 있는지에 대한 질문이다.
⸻
그리고 RAITs는
그 안에서도 다시 나뉜다.
Higher RAITs는
시스템을 신뢰하기 어려운 상태다.
통제가 약하거나, 우회가 가능하거나,
문제가 생겨도 발견되지 않을 가능성이 높다.
대용량 데이터와 복잡한 자동통제.
반대로 Lower RAITs는
시스템을 어느 정도 신뢰할 수 있는 상태다.
권한, 변경, 운영이 통제 안에서 관리되고
문제가 생기면 드러나는 구조다.
구조가 단순한 자동통제.
⸻
결국 판단 기준은 하나다.
“이 통제와 시스템을 믿고 데이터를 봐도 되는가?”
⸻
감사는 숫자를 보는 일이지만,
그 숫자를 만들고 지키는
통제와 시스템을 이해하는 순간부터
비로소 시작된다.