엔터프라이즈솔루션 2007 년상반기 1
Ⅰ. IT Compliance 의개요가. IT Compliance 의정의 - 기업의투명성강화, 리스크관리등을위해정부나관련기관이제시한권고안이나각종규제법안의요건을만족시킬수있도록 IT관점에서시스템을재정비하는활동 - 새로운규제와변화에대응하고급변하는환경에대한민첩하고능동적인대처를지원하기위한 IT 솔루션및프로세스영역 나. IT Compliance 시스템도입의필요성 - 미국의경우엔론ㆍ아더앤더슨ㆍ월드컴등기업들의회계부정으로인한사회적여파가재발하지않도록더욱엄격한회계책임을기업들에지우게됨에따라이를효과적으로대처할시스템이필요하게됨 -유럽의경우바젤 II의 BCP도입관련한규제사항과이에따른같은각종규제조치의강화로정보접근과보안문제, 리스크관리를효율적으로하기위한시스템도입필요 -국내의경우사베인-옥슬리법 302조와 404조규정이 2003년말개정된공인회계사법, 2004. 4월개정된외부감사법및증권거래법, 2005년 1월과 2007년 1월두번에걸쳐발효된증권관련집단소송법등4가지법안에들어있고이에대한대처필요 2
Ⅱ. 주요규제및구축유형 가. IT Compliance 주요규제 규제안 HIPPA GBLA 바젤Ⅱ 샤베인옥슬리법안 -Health Insurance Portability and Accountability ACT - 국제적으로개인의료정보에대한엄격한통제와보안을규정 - 보건보험의이전및책임성에관한법률 -Gramm-Leach-Bliley ACT 설명 - 미국내은행 증권 보험사의인수합병 (M&A) 을쉽게하고금융권별상품판매규제를대폭완화하는내용의금융서비스현대화법 - 상품판매규제는완화한대신에고객에대한정보관련보안및백업, 재해관리에대한규정을통한금융권고객보호를강화 - 위험관리통해적정한수준자기자본확보위한국제적통일기준 -Pillar 1 은최저자기자본규제, Pillar 2 는감독당국의점검, Pillar 3 는은행의공시강화를통한시장규율강화를다루고있음 -2003 년부터미국증시에상장된모든기업들이반드시이규정을준수하도록의무화되어있는법안 - 회계관리와내부통제시스템도입, 경영인증시스템구축을통해모든단계별기업활동을효율적으로운용하고관리감독할수있도록규제한법률 - 최고경영자 (CEO) 및최고재무책임자 (CFO) 가재무보고서에서명하도록규정한 302 조와감사인이내부통제프로세스에대해인증하고날인하도록한 404 조가핵심조문으로구성된법안 3
규제안 데이터베이스보호를위한 EU 지침 미국방부전자기록보관표준 (DoD 5015.2-STD) 설명 - 소재의선택과배열에창작성이없는데이터베이스도보호하여이에대한투자를유도할필요가있다는관점에서만들어진것 - 데이터베이스에관하여, 데이터의추출하는것과이것의재이용을금지하는권리를데이터베이스작성자에게부여하고그권리의존속기간은 15 년으로보며이에따른보호과관리를규제하는법안 - 전자적인파일레코드를확실하고안정적으로보관하기위해전자레코드관리시스템이갖춰야할최소한의요건을정의한표준 - 미국방부나영국국립기록보존소와같은정부기관에서규정되어사용되고있으며국제적표준 4
나. IT Compliance 구축형태 구분 내 용 여러솔루션도입기존솔루션이용 + 자체구축 - 여러가지포인트솔루션또는하드웨어디바이스를조합해활용하는방법이구축하기는쉬움 - 컴플라이언스의전체범위를포괄하지못하며기업이법적인소송, 또는주식 가치의손실등심각한비즈니스위험에처할수있는가능성존재 - 단기적인관점에서볼때, IT 인프라스트럭처의복잡성이증가하고하드웨어 비용및관리비용이늘어나는문제 - 이미사용중인하드웨어, 소프트웨어및프로세스를적극적으로활용함으로써 구현에소요되는비용을절감 - 자동화된정책기반운용작업을통해관리비용과총소유비용을절감하고운 용의일관성을보장 -프로세스의자동화, 스토리지사용률의향상, 백업데이터양의절감등을통해데이터관리환경을개선할수있는솔루션이필요 - 각종규제나법안이발효되는시기이전까지시스템정비를마무리해야하는특성만족 - 기업들이시급히적용해야할 IT컴플라이언스만도 3 4개에이르고있고시간적제약이따르기때문에전사차원의 IT컴플라이언스를이루려는노력이필요 5
다. 도입시스템종류 시스템 DRS BCP BPM ILM DRM 설명 - 단순한재해복구시스템수요보다는 IT 컴플라이언스관점에서기존재해복구시스템을업무중요도별로복구시간을구분하는시스템의재구축 - 백업시간에대한관심보다는얼마나빨리시스템을정상적으로복구할수있느냐가더중요 - IT 관점이아닌서비스의관점에서비즈니스연속성을담보하는일련의활동이나솔루션 - 규정을준수하는 컴플라이언스 (compliance) 대응에필요한프로세스및인프라스트럭처를구현 - 기존투자자원과프로세스를최대한활용해효율적으로구축 - WORM(Write Once Read Many) 스토리지디바이스에서 e 메일아카이빙소프트웨어에이르기까지, 모든비즈니스기록및데이터의보존, 인출관련규정에효과적으로대응하기위해정보수명주기로데이터를관리 - 특정데이터의보존및보호, 감사를목적으로한데이터접근성및가용성의보장 - 금융기관들의거래내역, 각종회계정보, 의료기관의병력관리등방대한데이터를효율적으로관리 - 전자문서이용시권한관리, 등급관리, 내용암호화등규제준수 6
Ⅲ. IT Compliance 솔루션도입전략 가. 솔루션도입절차 구분 내 용 프로세스정의기능프로세스모니터링 - 프로세스일관성및가시성을고려한프로세스컨트롤정의 - 수행업무, 의무사항, 정보보안업무정의하여문서화함 - 프로세스는내부직원뿐만아니라파트너, 3rd Part, 업무처리를 지원하는일반공공에게도유용하게이용되도록정의 - 주어진기간내레코드안전하게유지관리 - 신속한대응능력및모니터링기능 - 의사소통통합관리 : 정당하고오류방지 - 채널관리 : 의사소통매체일관적인트랜잭션제공 - 디스크관리와손실률제어 - 회계감사와학습기능 : 실시간자료제공 - 투명하고자동화된보고기능 나. IT Compliance 솔루션종류 -각종리스크관리솔루션 : 바젤II 대응 - 스토리지관리솔루션 : 금융권재해복구시스템의무화 (DRS 구축권고 ) - 내부통제및재무연결제표관리솔루션 : 공인회계사법, 증권거래법, 집단소송대비 7
다. 도입시요구되는기능 기능 설 명 BPM 컨텐츠 / 레코드관리이메일관리형상관리감시기능유연성 / 민첩성 - 일관된프로세스자동화표준화 - 위험식별줄이고지속적인프로세스최적화 - 중요레코드와문서저장, 검색위한효율적인시스템보유 - 이메일, 첨부전달되는핵심업무정보 - 빠른저장및신속한검색 - 소스를공통의규제준수프레임워크관리 - 문서화된감사의사결정추정기록보유 - 새로운규제에신속한대응및준수 라. 도입효과 - 자체구축시보다는소요비용이저렴하며향후규제의폭과복잡도에효과적대응 - 프로세스중심의 IT Compliance 솔루션은규제에포함되지않은위험감소효과 - 운영리스크감소와자본활용율증가효과 - 규정대응에대한신속한대응능력보유 - 변화되는규제등비즈니스변화에대응능력강화 8
Ⅳ. IT Compliance 대응고려요소및효과적인대응방향가. IT Compliance 대응고려요소 -정보시스템만의구성으로는내부통제제도또는회계개혁법안에서요구하는사항을완전히만족시킬수없음 -기업경영의구조가재무보고에대한독립적인관리및통제권한이부여된감사위원회등을포함하는선진관리구조형태로바뀌어야하며전문가그룹으로구성되는내부감사제도의운영이필수적으로수반되어야함 나. 효과적인대응방향 - 프로젝트가아닌기업단위전체로대응 - 규제에대한정확한이해필요 - 규제를기업운영문화에적용 9