'피할 수 없다면 대비하라' SW 감사에 대응 팁

CIO UK
감사는 시간이 오래 걸리고 비용이 들며 스트레스가 따른다. CIO가 소프트웨어 감사에 대비하는 최선의 방법을 알아보자. 

전세계 IT부서는 값비싸고 시간 소모적인 소프트웨어 감사의 위협에 시달리고 있다. 감사 기간은 평균 194.15시간의 근무 시간(7.13개월의 지속 시간)이 걸리는 것으로 파악돼 IT관리자가 이를 두려워하는 것은 당연한 일이다. 

소프트웨어 감사는 소프트웨어 공급 업체, 감시 조직, 공인 회계사 같은 제 3자에 의해 시작될 수 있으며 명시된 모든 규정 준수 내에서 회사가 소프트웨어를 사용하는지 여부를 검토한다.

회사가 라이선스 계약 중 하나를 준수하지 않는 것으로 판명되면, 해당 조직은 벌금을 낼 수도 있으며, 일부는 추가 보상까지 해줘야 할 수 있다. 

소프트웨어 감사의 정확한 성격은 조직이 감사를 시행하는 범위에 따라 다르다. 예를 들어, 일부 감사는 특정 제품, 특정 컴퓨터 또는 특정 기간이나 위치만 대상으로 할 수 있다.

회사가 사전에 문제를 해결하고 라이선스 규제를 온전히 준수하기 위해 필요한 조처를 하는 것으로 입증되면, 본격적인 공식 감사에 대한 요구 사항을 피할 수 있는 경우도 있다.

엄격하게 잘 관리되는 소프트웨어 컴플라이언스 계획을 구현해 감사를 완전히 피할 수도 있다. 이것이 실패하더라도 감사에 대한 스트레스를 줄일 수 있는 기초를 마련할 것이다.

다음은 <CIO UK>가 소프트웨어 감사에서 살아남을 수 있는 팁과 함께 감사받을 기회를 최소화해 주는 방법이다.

1. 준비
준비는 소프트웨어 감사에 대한 전부라고 해도 과언이 아니다. 조직의 모든 관련 직원이 모든 규제 준수 문제와 관련 위험을 이해하고 있는지 확인하라.

이는 직원에게 요구될 수 있지만 외부의 조언자, 자문위원회, 조직 내외부 법부팀과 협력하면 비즈니스가 직면할 수 있는 위험에 대한 이해를 높일 수 있다.

라이선스의 감사 권한, 규제 제한, 기밀 유지 방법과 관련된 중요한 문서를 배포하면 회사가 불필요하게 기밀 정보를 노출하지 않도록 할 수 있다.

2. 법률 전문가에 의뢰
소프트웨어 감사의 가능성이 발생할 때마다 사내 법무팀이나 외부 변호사를 포함하는 것이 중요하다. 내부 법무팀이 없거나 있더라도 법무팀이 소프트웨어 감사에 능숙하지 않은 경우 소프트웨어 준수에 대한 전문성을 갖춘 외부 팀을 고용해야 한다.

IT부서가 감사와 별개라고 생각해서는 안된다. 소프트웨어 감사는 법적 절차일 뿐이다. 따라서 변호사는 프로세스를 지시하고 감사 담당자와 의사소통을 담당할 뿐이다.

이는 기밀 정보를 조사자와 과도하게 공유할 가능성을 피하는 부가적인 이점이 있으며, 만약 문제 경험이 적은 전문가가 맡는다면 위험할 수 있다.

3. 정기적인 내부 감사 수행
내부 감사는 회사가 공식 감사의 경우에 대비할 수 있도록 정기적으로 실시하는 것이 이상적이다. 이렇게 하면 규제 준수 또는 보안 측면에서 문제가 될 수 있는 문제가 제기될 뿐 아니라 조직이 감사 절차에 익숙하다는 것을 확인하는 데 도움이 된다.

내부 감사는 SAM(책임 성과 관리를 위한 시스템) 및 ITAM(IT 자산 관리) 프로그램에 대한 수동 회계 및 도면 작성과 관련된 전사적 협업 접근 방식을 취한다. 라이선스 조항 및 계약 및 사용 제한 사항을 검토하는 것과 동시에 내부 감사는 기업의 포괄적인 사용 데이터를 비교해야 한다. 더불어, 이 회사가 준수 여부에 대한 답변을 제공할 것이다.

어떤 경우에는 소프트웨어 감사가 전적으로 자체 감사가 진행되는 경우도 있다. 이는 회사가 프로세스를 관리하고 관련된 시간 및 자원에 대한 중요한 결정을 내리기 때문에 가장 유리한 결과다.

4. 대응팀 구성
이미 대응 팀이 구성되어 있어야 하며 감사가 열리면 이들을 동원할 준비가 돼 있어야 한다. 이 팀에는 소프트웨어 감사와 관련된 각 이해 관계자 그룹에서 각각 한 사람이 참여해야 한다.

고위 경영진을 제외하고 이 팀에는 법률, 재무, IT담당자가 포함돼 있어야 한다. 적합한 담당자를 두면 감사가 수행하는 위험을 줄일 수 있을 뿐 아니라 최대한 신속하고 원활하게 조사가 진행되도록 할 수 있다.

5. 협상
감사 과정에서 협상은 법무팀의 중재를 통해 실행되는 모든 단계에서 협상은 매우 중요하다. 먼저, 감사 프로세스에 필요한 정보와 그렇지 않은 정보를 명확히 설명하는 비공개 합의가 있어야 한다. 이렇게 하면 엄밀히 판단해 필요하지 않은 기밀 정보를 감사 기관에 공개하는 것을 피할 수 있다.

감사 결과가 제 3자에 의해 제안되면 협상도 필수적이다. 소프트웨어 회사와 계약을 맺어 합법적인 노력을 통해 좀더 유리한 결과를 내도록 하라. 예를 들어, 실제 비용, 벌금 또는 단순히 일반 계약 조건과 같은 측면을 수정하는 방법이 있다.

6. 이전 감사 검토
위험 평가는 이전의 내부 감사 또는 공식 감사를 검토하는 일에서 출발한다. 이전 보고서, 데이터 및 통계를 검토하면 결과의 강점과 약점을 입증하는 데 도움이 될 수 있다. 이를 통해 리스크 컴플라이언스에 대한 이해를 높이고 향후 컴플라이언스에 어떻게 활용할 수 있는지 파악할 수 있다.

감사에 관한 모든 행적은 후일을 위해 문서로 남겨야 한다. 그래서 다음 감사에서 일정, 비용, 협상 절차가 얼마나 효과적이었는지 등과 같은 중요한 정보를 제공하는 데 사용될 수 있다.

7. 조직의 인식 제고
기업은 감사 프로세스가 무엇인지, 그리고 모든 것이 원활하게 운영되도록 어떻게 하는지에 관한 정보를 제공하기 위해 워크숍과 교육을 통해 인식을 제고해야 한다.

온보딩(onboarding), 프로그램 거버넌스(governance), 위험 평가(risk assessment)로 구성된 프로그램은 개인에게 준수의 중요성을 교육한다. 이를 통해 팀원들이 공동 작업을 촉진하고 의사소통을 증진하며 전반적인 비용을 절감할 수 있다.

8. 모니터링
소프트웨어 감사로 인한 잠재적인 악영향을 완화하는 방법으로 모바일 기기를 모니터링해야 한다. 노트북, 데스크톱, 스마트폰과 같은 모바일 기기를 사용하면 보안 연결 없이 비즈니스 정보에 접근할 수 있다.

기기 간에 교환되는 정보의 보안을 향상할 수 있는 여러 가지 도구가 있다. 이를 통해 기업은 직원 장치의 모든 보안 허점이나 약점을 경고하고 전반적인 책임을 높일 수 있다. ciokr@idg.co.kr