ITGC · ITAC · JE 자문 — 세움회계법인

한국 비금융권 ITGC —
의무는 있고, 공개된 방법론은
없습니다.

한국에서는 ITGC 매뉴얼이 없습니다. 그동안 수행한 전산감사 경험을 바탕으로 ISMS-P 101개를 ITGC 4영역에 공개 매핑하고 있습니다. 이를 통해 근거에 기반한 ITGC 자문과 ITGC 감사를 수행하고 있습니다.

양주웅 KICPA
빅4 → 세움
KICPA · CISA · 정보보안기사 · CPPG · SQLD · 정보처리기사 · 리눅스마스터 1급
10
년차
6+
ITGC
101
ISMS-P
01

두 가지 진행 방식

자문 세움회계법인
ITGC 자문 (클라이언트 측)
ITGC · ITAC · JE 통제 절차를 새로 설계하거나, 외부감사에서 나온 결함을 사후 보완합니다. OS · DB 서포팅 툴이 없는 환경이라면 스크립트 등을 사용한 로우레벨 대응을 함께 고민합니다.
외부감사 지원 세움회계법인
외부감사 ITGC 지원 (감사인 측)
전산감사 인력이 없거나 일정을 배정하기 어려울 때, 세움회계법인이 ITGC 검증을 수행합니다. 회계감사 절차에 맞춘 전산감사를 지원합니다.
02

자문 접근 방식

1
설계 — 회사별 맞춤
범용 통제기술서를 그대로 사용하지 않습니다. 개별 회사의 시스템 환경과 업무 흐름에 맞춘 통제를 설계합니다.
2
자료 — 1차 출처 직접 인용
주먹구구식 전산감사를 수행하지 않습니다. KISA 안내서 · 회계감사기준서 · 법령 원문을 직접 참조하고, 검증 가능한 출처만으로 권고합니다.
3
실행 — 과잉 통제 없이
불필요한 통제를 만들지 않습니다. 일반적인 비금융회사에 수천만 원짜리 서포팅 툴이 필요할까요? 스크립트 등 OS · DB 기본 기능을 최대한 활용한 통제를 설계합니다.
03

작업 샘플

ITGC 실무 가이드 · 오픈소스
itgc-to-isms-p 공개 · 10 / 101 작성
KISA 현행 ISMS-P 101개 인증기준을 ITGC 4영역(APD / PC / CO / PD)에 매핑하고 있습니다. 각 기준당 ISMS 원본 · ITGC 매핑 · IT감사 테스트 절차 · Q&A를 4개 섹션으로 구성합니다. 현재 APD 영역 10개 기준(2.5.1~2.6.4) 작성 완료, 나머지 순차 진행 중입니다. 의뢰 전에 자문의 깊이와 톤을 직접 확인할 수 있습니다.
101개 인증기준 — ITGC 관련도별 분포
1-direct ITGC 직접 영역 (APD · PC · CO · PD)
49/101
2-indirect 전사수준통제 (간접 영역)
31/101
3-other 개인정보 처리단계 (참고)
21/101
출처: KISA ISMS-P 2023 인증기준 기준: itgc-to-isms-p/01-itgc-mapping
실무 가이드 보기 →
github.com/yanghoeg/itgc-to-isms-p →
04

진행 방식

1
yjw@seumer.com 또는 02-6953-2202(세움회계법인)로 무엇을 해결하고 싶은지 알려 주시면 됩니다.
2
상세 진단 전 비밀유지계약 체결이 가능하며, 클라이언트의 회사명 · 시스템명 등을 일체 노출하지 않습니다.
3
업무는 프로젝트 단위 또는 월 단위로 계약 체결이 가능합니다. 계약은 세움회계법인 명의로 체결할 수 있습니다.
05

자주 받는 질문

외부감사인이 ITGC 결함을 통보한 상태인데, 지금 자문을 의뢰해도 되나요?
결함 통보일이 8월 이전이라면 같은 감사 기간 내 결함 치유가 가능할 수 있습니다. 8월 이후라면 감사인과의 협의가 필요합니다. 다만, 자문이 결함의 완전한 치유를 보장하지는 않으며, 결함의 성격과 남은 기간에 따라 결과가 달라집니다.
프로젝트 기간은 보통 얼마나 걸리나요?
  • ITGC 4영역 결함 사후 보완: 4~8주
  • ITGC 신규 설계 + 통제 매트릭스: 8~12주
  • ITAC + IPE 검증: 1~2주
  • JE 분석 룰 + ERP 추출: 1~2주
  • 회계법인 사내 교육: 1~2일 (1회) 또는 분기 단위 정기 과정
일반적인 기간이며, 프로젝트 범위와 난이도에 따라 달라질 수 있습니다.

주체 분리. propsol(주식회사 프로프솔루션)은 양주웅이 설립·운영하는 법인으로 usix-axon을 개발합니다. ITGC · ITAC · JE 자문세움회계법인 명의로 진행되며, 계약 · 비밀유지계약 · 결제는 세움회계법인이 주체입니다.

독립성. 세움회계법인은 동일 회사에 대해 동일 기간 ITGC 자문과 회계감사를 동시에 수행할 수 없습니다.