멘토님! IT 감사 직무를 목표로 취업을 준비 중입니다. 국내에서는 해당 직무를 가진 분을 찾기 어려워 이렇게 질문을 남기게 되었습니다.
1. IT 감사를 진행하면서 꼭 필요한 능력이나 스킬이 궁금합니다. (ex. 영어가 중요하다, 꼼꼼함 등 이러한 것들이 궁금합니다)
2. CISA를 공부하면서 이론적으로 어떻게 진행되는지는 알게 되었지만, 정확하게 IT 감사가 어떤 것을 검토하고 감사하는지, 정확한 업무가 궁금합니다.
바쁘실 텐데 답변 주셔서 감사드립니다!
멘티님. 질문 주셔서 감사합니다. 빠르게 답 드릴게요.
일단 직무부터 말씀드려 볼게요. IT 감사는 기업의 IT 시스템과 해당 시스템에서 운영되는 데이터를 감사하는 직무입니다. 크게 GITC(General Information Technology Control) 과 AC (Automated Control)로 나눠서 설명할 수 있을 것 같습니다.
GITC는 시스템 자체를 감사하는데 기업의 보안과 관련되어 있습니다. 시스템별로 설정된 사용자 접근 제어, 특수 권한, 신규 계정 생성 회수, 방화벽, VPN 등 재무 데이터가 정확하고 안전하게 굴러가기 위해 갖춰져야 하는 전산 환경을 감사하는 것이죠.
반면, AC는 이 시스템 위에서 굴러가는 데이터를 감사하는 것인데요. 비즈니스를 안전하고 효율적으로 운영하기 위해 설정한 통제들 중 자동화, 전산화되어 있는 통제를 의미합니다. 예를 들어 어떤 부품을 구매하기 위해 내부 결재를 받아야 한다고 했을 때, 직접 수기 결재를 받아야 한다면 수동 통제 (Manual Control)인 것이고 시스템에 자동으로 전결권이 설정되어 있고 이에 따라 결재가 이뤄지지 않으면 부품 구매가 되지 않도록 제어되고 있다면 이를 자동 통제 (Automated Control)라고 볼 수 있습니다.
저도 CISA 인강을 잠시 수강했었는데 신입 사원으로 지원하시는 것이라면 이러한 개념 정도만 아셔도 될 것 같습니다. CISA 시험 내용이 실무와 다른 경우도 있고 좀 집약적으로 설명된 부분이 많더라고요.
IT 감사를 잘하기 위해선 저는 윤리성 + self-study 하려는 의지가 중요하다고 생각합니다. 윤리, 정직, 공정은 사실 감사를 하는 모든 사람에게 꼭 필요한 자질이라고 봅니다.
감사 대상 회사에서 규정과 맞지 않은 행위를 하고 있다면 그냥 지나칠 수 있는 부분이라도 어떨 때는 목소리를 내서 짚고 넘어가야 할 수 있어야 하고, 회사에서 준 감사 증거가 부족하다고 생각이 들면 좀 더 꼼꼼히 보고 보완이 필요한 부분을 추가로 요청하고, 증적을 토대로 공정하게 사실 그대로 감사 조서에 기록할 수 있어야 하거든요.
또한 IT 지식과 회계 지식이 모두 필요한 분야이기 때문에 부족한 지식을 계속 공부하면서 채워 넣을 수 있어야 합니다. 감사 자료 중 잘 모르는 코딩 언어가 있다면 인터넷으로 찾아볼 수도 있고 처음 접하는 시스템을 감사해야 한다면 회계법인에서 제공하는 자료들을 토대로 해당 시스템을 평가할 수도 있어야 하겠습니다.
물론 신입 컨설턴트에게 (중략)