2011.10.06

IT분야의 외부 감사, 리스크 평가에 취약한 것으로 조사

Roy Harris | CFO world

4개 기업 중 1개사가 IT 리스크 평가를 제대로 실시하지 못한다는 조사 결과가 발표돼 보안 유출 사고에 대응하는 문제가 지적됐다. 또한 42%의 기업은 자원과 전문가가 부족하기 때문에 해결될 수 없는 IT감사를 받을 계획이 별도로 있다고 답했다.

프로티비티(Protiviti)의 2011 IT감사 벤치마킹 조사에는 최고 감사 임원, 감사 이사, IT감사 담당 이사 및 관리자를 포함해 약 500명의 전문가가 참여했다. 이 조사는 온라인과 이메일로 진행됐으며 응답자들에게 4개 분야에서 35개의 질문을 던져서 답변을 받았다. 4개 분야는 내부 감사 부서와 IT감사의 관계, IT 리스크 평가, 감사 계획 및 기술 및 역량 등이다.


현재 시행중인 IT감사 현황(복수 응답)


프로티비티의 글로벌 내부 감사와 재무 관리 담당 부사장인 밥 허스에 따르면, 소셜 미디어 및 모바일 기기를 포함한 기술의 전반적인 사용과 관련해 너무 많은 리스들이 있으며 그러한 리스크들을 관리하고 식별하는 데 충분히 주력하지 못하고 있다. 허스는 “기업들이 IT 리스크를 해결하는 것에 대한 좀더 신중해져야 한다. 그렇지 않으면 그들 자신의 취약점으로 피해를 입게 될 것이다"라고 강조했다.

기업 규모가 작을수록 감사를 잘 안받는 것으로 조사됐다. 연 매출 1억 달러 미만의 기업 가운데 43%는 외부 IT감사를 전혀 받지 않는다고 답했다. 매출 1억 달러~10억 달러 사이의 기업 중 82%는 IT감사 담당 이사나 해당 업무를 전담하는 임원이 부족하다고 말했다.

외부 IT 감사에 대해, 매출 규모 1억 달러~10억 달러의 기업 중 13%만이 이를 사용하는 것으로 조사됐다. 매출 1억 달러 미만의 기업 중 17%만이 외부 감사를 사용한다고 답했다. 프로티비티는 이 두 기업군에서 예상보다 높은 비중이 나타났다고 전했다. 왜냐면, 10억 달러 미만의 기업들도 정규직 IT감사 자원을 두지 않는 것으로 조사됐기 때문이다.

• 북미 기업의 약 70%는 국제내부감사인협회 기준(Institute of Internal Auditors Standard) 2110.A2이라고 하는 IT 거버넌스 프로세스의 평가와 측정을 아직 도입하지 않았다. 그리고 36%는 IT거버넌스 프로세스의 평가와 측정을 도입할 의향이 없다고 밝혔다.

• 북미 기업의 29%는 CIO와 같은 임원들이 IT 리스크 평가 프로세스에 전혀 관여하지 않는 경우는 없다고 말했다.

• 연 매출 10억 달러 이상의 기업들 대부분은 IT감사 담당자들에게 최소 40시간 이상의 교육 시간을 할애하는 것으로 조사됐다. 매출 1,000만 달러 미만 기업 32%와 매출 1,000만 달러 이상 10억 달러 미만 기업의 20%는 어떤 IT 기술 교육도 제공하지 않는 것으로 나타났다.  

"기업 또는 내부 감사 부서가 IT 거버넌스, IT 리스크, 특히 IT 리스크 평가에 대해 고려하지 않고 있다면, 이는 반드시 해야 한다"라고 프로티비티에서 국제 IT감사 담당자이자 관리이사인 데이비드 브랜드는 설문 조사에 대한 보도자료에서 밝혔다 그는 "기술과 데이터 수요가 높아지면서 기업은 의무적으로 이러한 기술들이 어떻게 작용하는지를 검토해야 하기 때문이다”라고 설명했다. ciokr@idg.co.kr




2011.10.06

IT분야의 외부 감사, 리스크 평가에 취약한 것으로 조사

Roy Harris | CFO world

4개 기업 중 1개사가 IT 리스크 평가를 제대로 실시하지 못한다는 조사 결과가 발표돼 보안 유출 사고에 대응하는 문제가 지적됐다. 또한 42%의 기업은 자원과 전문가가 부족하기 때문에 해결될 수 없는 IT감사를 받을 계획이 별도로 있다고 답했다.

프로티비티(Protiviti)의 2011 IT감사 벤치마킹 조사에는 최고 감사 임원, 감사 이사, IT감사 담당 이사 및 관리자를 포함해 약 500명의 전문가가 참여했다. 이 조사는 온라인과 이메일로 진행됐으며 응답자들에게 4개 분야에서 35개의 질문을 던져서 답변을 받았다. 4개 분야는 내부 감사 부서와 IT감사의 관계, IT 리스크 평가, 감사 계획 및 기술 및 역량 등이다.


현재 시행중인 IT감사 현황(복수 응답)


프로티비티의 글로벌 내부 감사와 재무 관리 담당 부사장인 밥 허스에 따르면, 소셜 미디어 및 모바일 기기를 포함한 기술의 전반적인 사용과 관련해 너무 많은 리스들이 있으며 그러한 리스크들을 관리하고 식별하는 데 충분히 주력하지 못하고 있다. 허스는 “기업들이 IT 리스크를 해결하는 것에 대한 좀더 신중해져야 한다. 그렇지 않으면 그들 자신의 취약점으로 피해를 입게 될 것이다"라고 강조했다.

기업 규모가 작을수록 감사를 잘 안받는 것으로 조사됐다. 연 매출 1억 달러 미만의 기업 가운데 43%는 외부 IT감사를 전혀 받지 않는다고 답했다. 매출 1억 달러~10억 달러 사이의 기업 중 82%는 IT감사 담당 이사나 해당 업무를 전담하는 임원이 부족하다고 말했다.

외부 IT 감사에 대해, 매출 규모 1억 달러~10억 달러의 기업 중 13%만이 이를 사용하는 것으로 조사됐다. 매출 1억 달러 미만의 기업 중 17%만이 외부 감사를 사용한다고 답했다. 프로티비티는 이 두 기업군에서 예상보다 높은 비중이 나타났다고 전했다. 왜냐면, 10억 달러 미만의 기업들도 정규직 IT감사 자원을 두지 않는 것으로 조사됐기 때문이다.

• 북미 기업의 약 70%는 국제내부감사인협회 기준(Institute of Internal Auditors Standard) 2110.A2이라고 하는 IT 거버넌스 프로세스의 평가와 측정을 아직 도입하지 않았다. 그리고 36%는 IT거버넌스 프로세스의 평가와 측정을 도입할 의향이 없다고 밝혔다.

• 북미 기업의 29%는 CIO와 같은 임원들이 IT 리스크 평가 프로세스에 전혀 관여하지 않는 경우는 없다고 말했다.

• 연 매출 10억 달러 이상의 기업들 대부분은 IT감사 담당자들에게 최소 40시간 이상의 교육 시간을 할애하는 것으로 조사됐다. 매출 1,000만 달러 미만 기업 32%와 매출 1,000만 달러 이상 10억 달러 미만 기업의 20%는 어떤 IT 기술 교육도 제공하지 않는 것으로 나타났다.  

"기업 또는 내부 감사 부서가 IT 거버넌스, IT 리스크, 특히 IT 리스크 평가에 대해 고려하지 않고 있다면, 이는 반드시 해야 한다"라고 프로티비티에서 국제 IT감사 담당자이자 관리이사인 데이비드 브랜드는 설문 조사에 대한 보도자료에서 밝혔다 그는 "기술과 데이터 수요가 높아지면서 기업은 의무적으로 이러한 기술들이 어떻게 작용하는지를 검토해야 하기 때문이다”라고 설명했다. ciokr@idg.co.kr


X