"리스크 평가의 핵심 역할"··· 'IT 감사인(auditor)'의 이해

IT 감사인(auditor)은 공정과 시스템이 정확하고 효율적으로 작동하고 안전하게 유지하면서 컴플라이언스 규정에 부합하도록 기업의 IT 인프라를 분석하고 평가하는 사람이다. 또한, 감사에 포함되는 IT 문제, 특히 보안과 위험 관리 관련 문제를 파악하는 일도 담당한다. 문제를 발견하면 이를 기업 내 다른 담당자에게 알리는 한편, 공정과 시스템을 개선하거나 변경하는 해법을 제시하며 보안과 컴플라이언스를 강화한다.



IT 감사인의 업무
IT 감사인의 직무에는 감사 평가 절차를 개발하고 구현하고 시험하고 평가하는 일이 포함된다. IT 감사인은 기업 내의 기존 IT 감사 표준에 따라 IT 및 IT 관련 감사 작업을 수행한다. 감사 프로세스는 네트워크, 소프트웨어, 프로그램, 통신 시스템, 그리고 기업의 IT 인프라에 의존하는 여타 서비스로 확대될 수 있다. 

기술에 의존하는 기업이라면 IT 감사가 필수적이다. 하나의 사소한 오류나 실수가 전체 회사로 번져 타격을 줄 수 있기 때문이다. IT 감사는 내부 통제 및 프로세스를 평가해 기업과 기업의 데이터를 내외부의 위협으로부터 안전하게 유지하기 때문에 중요하다.   

IT 감사의 책임 
IT 감사인은 기업의 기술과 공정에 대해 여러 감사를 이행한다. IT 감사는 자동화 데이터 처리(Automated Data Processing, ADP) 감사 및 컴퓨터 감사(computer audits)라고 불리기도 한다. 과거에는 전자 데이터 처리 감사(Electronic Data Processing, EDP)로 불렸다. 기업은 보안 공정과 위험 관리를 평가할 수 있도록 정보 보안(IS) 감사도 시행할 수 있다. 일반적으로 IT 감사 공정은 데이터 무결성, 보안, 개발 및 IT 거버넌스를 평가하기 위해 사용된다. IT 감사는 여러 종류가 있다. 예를 들면 아래와 같다.

- 기술 혁신 공정: 회사의 현재 및 미래 프로젝트에 대해 위험 프로파일을 작성하는 감사 공정. 기업의 해당 기술에 대한 경험과 시장 지위에 중점을 둠.
- 혁신 비교 감사: 회사와 경쟁자 사이의 혁신 역량을 비교하고, 회사가 신제품을 얼마나 원활하게 생산하는지 평가하는 감사
- 기술 포트폴리오 감사: 조직 내 현행 기술과 도입이 요망되는 미래 기술을 조사하는 감사
- 시스템 및 애플리케이션: 시스템 및 애플리케이션이 관리되고 있고, 안정적이고, 효율적이고, 안전하고, 효과적인지를 세밀하게 평가하는 감사
- 정보 처리 역량: 와해적 상황에서도 애플리케이션을 만들 수 있는지 조직 역량을 평가하는 감사
- 시스템 개발: 개발 중인 시스템이 조직에 적합하고, 개발 표준에 부합하는지 검증하는 감사
- IT 및 기업 아키텍처 관리: IT 관리의 조직적 구조가 정보 처리에 적합한지 감사 
- 클라이언트, 서버, 무선 통신, 인트라넷 및 엑스트라넷: 클라이언트에 연결된 서버 및 네트워크에 관한 제어를 조사하는 감사 

IT 감사인의 급여
로버트 하프 테크놀로지 2019 회계 및 재무 급여 가이드에 따르면 IT 감사인의 평균 급여는 초보부터 관리 직급에 이르기까지 <표 1>과 같다.



<표 1>을 보면 아직 스킬을 개발 중인 신입 감사인, 또는 경쟁이 적거나 소규모 조직에서 일하는 감사인이 25분위(percentile)다. 50분위, 75분위는 평균적 경험 및 스킬을 가진 감사인으로부터 견실한 스킬 세트, 전문성, 자격증을 가진 감사인을 아우른다. 일반적으로 이 집단은 직무가 복잡하거나 경쟁이 치열한 시장에서 일한다. 95분위는 고도화된 스킬, 경험, 및 전문성을 가진 사람으로, 경쟁이 극심한 시장에서 고도로 복합적인 직무를 담당한다.

IT 감사인의 스킬 
IT 감사인이 갖추어야 할 스킬은 구체적인 역할과 업종에 따라 차이가 있다. 그러나 IT 감사인으로 성공하는데 필요한 일반적인 스킬, 가장 필요한 스킬은 다음과 같다.

- IT 보안 및 인프라
- 내부 감사
- IT 위험
- 데이터 분석
- 데이터 분석 및 시각화 툴(ACL. MS 엑셀, SAS, 타블로)
- 보안 위험 관리
- 보안 테스팅 및 감사 
- 컴퓨터 보안
- 내부 감사 표준(SOX, MAR, COSO, COBIT)
- 분석적 및 비판적 사고 기술 
- 소통 기술 
 
IT 감사인 직무 요건  
신입 IT 감사인 직위는 최소한 컴퓨터 과학, 경영 정보 시스템, 회계 또는 금융 분야의 학사 학위를 요구한다. IT 또는 IS 분야의 견실한 경력과 공인회계 또는 내부 감사에서 대한 경험도 필요하다. 이 직무는 전문 스킬, 그 중에서도 보안 스킬이 중요하다. 

그러나 소통과 같은 소프트 스킬 또한 필요하다. IT 감사 중에는 문제를 파악하는 것은 물론이고, IT 외부의 리더에게 무엇이 잘못됐고 무엇을 바꿔야 하는지 설명해야 하기 때문이다. 분석적 및 비판적 사고 기술 역시 결정적이다. 데이터를 평가해 경향이나 패턴을 발견하며 IT 보안 및 인프라 문제를 파악할 수 있어야 한다.

IT 감사인 자격증 
로버트 하프 테크놀로지는 IT 감사인으로 널리 인정받고자 하는 사람을 위해 2가지 전문 자격증을 추천한다.

- 공인 정보 시스템 감사인(Certified Information Systems Auditor (CISA)): CISA 자격증은 ISACA를 통해 제공되고, IS 전문가 및 IT 감사인을 위해 특별히 만들어졌다. CISA 자격증을 얻으려면 해당 분야에서 최소 5년 실무 경력이 있어야 한다. 
- 공인 정보 보안 관리자(Certified Information Security Manager (CISM)): CISM 자격증은 정보 보안 관리자를 위해 설계됐다. IS 프로그램을 설계하고 구축하고 유지하는 데 중점을 둔다. CISM 자격증을 받으려면 최소한 5년의 IS 경력과 3년의 보안 관리자 경력이 필요하다. ciokr@idg.co.kr