금융감독원, 「IT 감사 가이드라인」 제정 및 금융권 전면 시행 


법무법인 대륙아주 이창민 변호사
법무법인 대륙아주 서명은 변호사



1. 「 IT 감사 가이드라인 」 제정의 배경

  금융감독원은 금융회사 IT 감사 체계의 고도화를 위해 마련한 「IT 감사 가이드라인」을 전 금융권에 배포하고, 2025. 2. 말부터 본격적인 시행에 착수하였습니다. 최근 금융업권에서는 전자금융 및 디지털화 확산에 의한 전산 사고, 기술 오남용, 보안 위협 등을 대비해 리스크 대응이 필요한 상황이고, 금융규제의 기조는 정형화된 규정 적용에서 벗어나 원칙을 기반으로 자율적 판단을 중시하는 방향으로 변화해가고 있는 추세입니다. 따라서 금융회사가 자율적으로 IT 리스크를 관리하고 이에 상응하는 내부 통제 체계를 수립하는 것이 그 어느 때보다 중요해졌습니다. 이러한 환경 변화에 대응하여 동 가이드라인은 금융회사 및 전자금융업자의 IT 감사를 위한 체계적 기준을 제시하고 있습니다.



2. 「 IT 감사 가이드라인 」의 주요 내용

  동 가이드라인의 주요 내용은, 1) 자체 리스크에 기반한 3단계 통제방안을 구축하여 각 회사마다 마주하는 IT리스크 수준에 따라 개별적으로 통제수준을 차등 적용하도록 하고, 2) 감사 범위의 포괄성을 강화하여 단순 전산시스템 외에도 외부 업무, 보안시스템 등 포괄적인 범위에 대해 감사하도록 합니다. 또한, 3) IT감사의 독립성을 확보함으로써 감사인의 독립적인 권한 보장을 통해 실질적인 통제력이 발휘될 수 있도록 조직적, 절차적인 요건을 명확히 하고, 4) 표준화된 IT감사 방법론을 제시하여 감사항목, 점검절차, 보고방식 등을 표준화하여 감사 품질의 일관성을 확보하며 그 절차를 명문화하였습니다.

  동 가이드라인의 제1절 “IT내부통제 기반사항”의 핵심은 3단계로 구성된 IT 내부통제 체계이며, 이 3단계 구조는 각기 다른 수준의 통제를 상호 보완적으로 배치함으로써 통제 사각지대를 줄이고 감사의 실효성을 높이는 데 목적이 있습니다.
 

• 1단계 ‘IT자체감사’;  IT조직 내에서 기술적ㆍ실무적 전문성에 기반하여 내부통제의 적정성을 자체적으로 감사하는 업무로서, IT 관련 부서가 스스로 내부통제 방안을 마련하고, 관련 절차에 따라 이를 일상적으로 이행합니다. 주요 IT 시스템, 인프라, 정보보호 정책 등을 실무 선에서 통제합니다. 
   
• 2단계 ‘IT감사’; 금융회사 및 전자금융업자의 감사 혹은 감사위원회 산하감사조직이 IT조직 및 업무에 대하여 내부통제 수립ㆍ이행의 적정성을 감사하는 업무로서, IT 조직 내 별도로 지정된 내부 점검 인력이 1단계 통제 활동의 적절성과 이행 상태를 정기적으로 평가하고, 보완 사항을 도출합니다. 
   
• 3단계 ‘IT외부감사’; (고위험 영역에 대하여) 금융회사 및 전자금융업자로부터 독립된 외부감사인이 IT감사 전문성을 바탕으로 금융회사 및 전자금융업자의 IT부문 내부통제체계 수립ㆍ이행의 적정성을 감사하는 업무로서, 외부감사인이 독립적인 입장에서 전체 IT 통제체계의 유효성을 검토하고, 통합적인 감사 활동을 수행합니다. 
   

  동 가이드라인 제2절의 ”IT감사업무 수행단계별 준수사항”의 주요 내용은 다음과 같습니다.

 

가. 계획단계
 

1) IT 내부통제체계 명확화 및 수행근거 확보: 내부통제는 IT 부문의 모든 조직이 각자의 역할을 분담하여 수행해야 하며, 내규 등을 통해 각 사항별 수행 주체와 근거를 명확히 하여 통제 누락을 방지해야 합니다.

2) IT(자체)감사업무에 필요한 권한 확보: IT 감사인은 정기 또는 수시 IT 감사계획에 대해 감사위원회 등의 승인을 받아야 하며, 이를 통해 필요한 자료 요청, 의견 제출, 시정 요구 등의 권한을 부여받아야 합니다.

3) 충분한 감사자원 산정: 감사 대상 범위와 실시 횟수가 IT 리스크 평가 결과에 적절한지 검토하고, 목표에 따른 감사 인력 투입 공수, 기간 등 필요한 자원을 적정하게 산정해야 합니다.

4) 직무능력 명확화 및 감사인력 할당: 감사 대상 특성에 따라 필요한 직무능력을 명확히 하고, 해당 능력을 갖춘 감사 인력을 할당해야 합니다.

5) 업무 독립성 확보: IT 감사인은 감사 업무 수행 시 독립성을 유지해야 하며, 감사 결과를 감사위원회 등에 직접 보고해야 합니다.

6) IT감사 업무편람의 마련: 감사 조직은 IT 감사 업무에 관한 지식을 누적 관리하여 감사 품질을 제고할 수 있도록 IT 감사업무편람을 마련하고 정기적으로 업데이트해야 합니다.  

나. 수행단계
 

1) 감사대상부서와의 사전협의: 감사 착수 전에 감사 대상 부서와 감사 목적, 범위, 일정 등을 사전 협의하여 감사의 효율성을 높여야 합니다.

2) 감사증거의 충분성 및 적정성 확보: 감사 결과의 신뢰성을 확보하기 위해 충분하고 적정한 감사 증거를 수집해야 합니다.

3) 감사문서의 작성 및 보관: 감사 수행 과정에서 작성된 문서는 체계적으로 정리하여 보관해야 하며, 이를 통해 감사의 추적성과 재현성을 확보해야 합니다.

다. 보고단계
 

1) 감사결과의 보고: 감사 결과는 명확하고 객관적으로 작성하여 감사위원회 등에 보고해야 하며, 주요 지적사항과 개선 권고사항 등을 포함해야 합니다.

2) 시정조치의 이행 확인: 감사에서 지적된 사항에 대한 시정조치가 적절히 이행되었는지 추적하고 확인해야 합니다.

3. 「IT 감사 가이드라인」 시행의 시사점

  동 가이드라인은 금융회사가 IT 금융 환경에서 자율적이고 체계적인 IT 리스크 관리 능력을 갖추도록 유도하는 중요한 제도라 할 수 있겠습니다. 동 가이드라인은 기존의 규정 중심 감사 방식에서 벗어나, 개별 회사가 직면한 리스크를 기반으로 원칙 중심의 내부통제와 감사체계를 마련할 수 있도록 방향을 제시하였다는 점에서 의미가 큽니다. 

  특히 클라우드, AI, 블록체인 등 새로운 기술이 금융권에 빠르게 적용되는 만큼, 이러한 신기술 담당 조직에 대해서도 동일한 내부통제 체계를 적용하도록 명시하였습니다. 이를 통해 혁신 부서에 대한 예외구역 없이 전사적으로 통일된 통제 기준을 확립하겠다는 취지를 분명히 하였습니다.

  또한, IT감사 조직의 독립성과 전문성 확보 역시 중요한 시사점입니다. IT 감사인은 감사대상 부서로부터 조직적으로 독립되어야 하며, 감사 수행 시 필요한 권한과 자율성이 보장되어야 합니다.  감사 결과는 경영진 또는 이사회에 직접 보고되어야 하며, 지적사항에 대한 개선 조치와 그 이행 여부까지 체계적으로 관리되어야 합니다.

  동 가이드라인은 금융회사 내부에서 IT 감사 기능이 단순한 통제 점검을 넘어, 리스크 대응 전략을 세울 수 있는 기반을 마련하고 있습니다. 이를 위해 각 금융회사는 감사 체계의 실질적 운영 방안을 재정비하고, 감사 인력의 역량 강화, 내부 점검 프로세스 고도화, IT 리스크에 대한 조직 차원의 이해와 대응 체계 구축이 필요할 것으로 보입니다.