이 기사는 2025년 02월 14일 07시42분 thebell에 표출된 기사입니다

금융감독원이 금융회사에 3단계 IT 내부통제 체계 도입을 주문했다. IT 조직이 내부통제 방안을 수립하고 시행하면 IT 자체감사인을 통해 2차 점검을 한다. 최종적으로 감사조직의 IT 감사인이 독립적인 검토를 맡는 방식이다.

내부통제를 수행해야 하는 IT 업무의 범위도 더 넓어진다. 최근 금융권에서 디지털·AI 부문의 확장과 애자일 조직 운영으로 IT 통제 사각지대가 발생하는 문제가 지적된 만큼 내부통제 강화를 위한 세부 지침이 마련됐다.

◇IT 내부통제, 3단계 체제로 다층 관리

금융감독원은 13일 은행·금융투자·생명보험·손해보험·여신금융협회 및 저축은행중앙회, 핀테크산업협회와 IT감사 가이드라인 마련 태스크포스(TF) 마무리 간담회를 열고 가이드라인 최종안을 마련했다.


새로운 IT 감사 가이드라인에 따르면 금융회사는 자체 IT 리스크를 분석하고 평가하기 위해 3단계 내부통제 체계를 구축해야 한다.

1단계는 IT 조직의 내부통제 수립이다. IT 조직은 자체적으로 IT 내부통제 방안을 마련하고 실행해야 한다. 프로그램과 전산원장 변경, 운영·개발·디지털 관련 IT 업무 전반이 통제 대상이다.

2단계는 IT 조직 내 자체감사 수행이다. 이들은 일상적 업무영역에서 IT 내부통제 점검을 담당해야 한다. 최고정보책임자(CIO)와 최고정보보호책임자(CISO), 최고디지털책임자(CDO) 산하 IT 업무가 주요 점검 대상이다.

3단계는 감사조직의 IT 감사 실시다. 감사조직 내 IT 감사인이 제3자적 시각에서 IT 내부통제의 적정성을 평가해야 한다. IT 리스크가 높은 영역을 중심으로 독립적인 감사를 수행함으로써 3단계 내부통제 체계를 거치도록 한다는 방침이다.


◇CDO 산하 조직도 IT 내부통제 대상 포함

기존에는 CIO와 CISO가 각각 IT 운영·개발과 정보보안을 담당하며 내부통제 대상이 되어 왔다. 그러나 금융회사의 디지털 업무가 확장되면서 CDO 산하의 AI와 데이터 분석 조직 등도 IT 내부통제 대상에 포함된다.

금감원 고위 관계자는 "금융사가 부서 간 경계를 허물고 유연하게 운영하는 애자일 조직을 도입하면서 IT와 비(非)IT 업무가 혼재되다 보니 IT 자체감사 시 CDO 산하 조직에서는 누락되는 문제가 있어 왔다"며 감사의 질이 떨어지는 문제를 보완하기 위한 것"이라고 설명했다.

금감원은 IT 자체감사의 업무 독립성을 확보하기 위해 직무분리 기준을 마련한다. 다만 IT 감사인보다 완화된 수준에서 순환지정 방식으로 운영하는 등 인력 운용의 유연성을 확보할 방침이다.

또한 금융사의 IT 감사 품질을 높이기 위해 표준 IT 감사 방법론도 제시했다. IT 감사업무 수행 단계는 △자체 IT 리스크 평가 △감사자원 확보 △감사계획 수립 △감사 실시 △결과 보고 등이다. 이렇게 보고된 결과는 다시 자체 IT리스크 평가 기초자료로 활용해 효용성을 높인다는 계획이다.

금감원은 IT 감사 과정에서 사전적 위험관리 관점을 도입해 예방적 감사를 수행해야 한다고도 주문했다. IT 리스크 수준에 따라 고위험 영역을 집중감사하고 일상적 영역은 IT 자체감사에 맡겨 효율성을 높이는 방식이다.

◇ IT 감사 가이드라인, 금융사 IT 실태평가에 활용

이번 IT 감사 가이드라인은 금융 규제는 아니지만 금감원이 금융회사 IT 실태평가 시 주요 기준으로 활용할 가능성이 크다. 금감원은 서면 점검 및 IT 리스크 계량평가 등을 통해 가이드라인 이행 여부를 모니터링할 계획이다.

이종오 금감원 디지털·IT부문 부원장보는 "감사조직이 체계적인 IT 감사를 수행할 수 있도록 주요 업무절차를 정의하고 최소한의 기준을 마련할 것"이라며 "연간 IT 감사계획의 수립 및 결과에 대한 조치 계획 보고와 승인 기준도 제시할 것"이라고 말했다.

금융회사들의 디지털 전환이 가속화하면서 IT 리스크 관리의 중요성도 커지고 있다. 금융당국이 이번 가이드라인을 통해 IT 내부통제 사각지대를 해소하고 금융사의 자율적인 내부통제 역량을 강화할 수 있을지 주목된다.