금융감독원(금감원)이 7개 금융권 협회·중앙회 등과 IT(정보통신)내부통제 운영과 감사 업무 수행을 위한 가이드라인을 마련했다.
가이드라인은 IT리스크에 맞는 3단계 IT내부통제 체계 구성, 사각지대 없는 통제 범위 설정, IT감사 독립성 확보 등이 권고사항으로 담겼다.
금감원은 서울 여의도 금융투자협회에서 7개 금융권 협회·중앙회와 ‘IT감사 가이드라인 마련 태스크포스(TF) 마무리 간담회’를 진행했다고 13일 밝혔다.
금감원은 이날 간담회에서 지난해 11월부터 TF를 통해 공동 마련한 가이드라인 최종안을 발표하고 업권별 시행 방안 등을 논의했다.
가이드라인은 금감원의 IT검사 지적 사례와 국제 표준 등을 참고하고 금융권 의견 수렴을 거쳐 마련됐다.
가이드라인은 IT내부통제체계와 내부통제 범위, IT감사 독립성, IT감사 방법 등으로 구성됐다.
IT내부통제체계의 경우 △금융기관 IT조직 내부통제 방안 수립·이행 △IT조직 자체 감사 △감사조직의 IT감사 등으로 이어지는 통제체계를 구성하도록 했다.
또한 내부통제 범위도 금융권 책무구조도를 기준으로 수행 주체를 명확히 했으며, IT감사인 업무 독립성 확보를 위한 직무 분리와 인력 운용 기준도 담겼다. 이밖에도 IT감사의 수립·실시·보고 단계에 따른 주요 절차 등 업무 기준도 포함됐다.
이날 간담회에 참석한 이종오 금감원 디지털·IT 부원장보는 “금융회사 IT감사는 단순 점검이 아닌 혁신의 안전핀 역할을 한다”며 “가이드라인이 금융회사의 디지털 경쟁력과 금융IT 안전성을 균형 있게 견인하는 기준점이 되길 기대한다”고 말했다.
그러면서 “가이드라인 시행 시 협회와 중앙회별로 업권 특성에 맞게 내용을 조정해 적용할 수 있지만 IT내부통제 강화 취지를 벗어나지 않아야 한다”고 당부했다.
7개 금융권 협회·중앙회 등은 가이드라인이 마련되면서 내부통제 사각지대가 해소되고 자율적인 통제 활동이 활성화돼 전자금융 안전성이 제고될 것으로 기대했다.
금감원 관계자는 “금융협회·중앙회 등 금융권과 지속적인 소통을 통해 가이드라인에 대한 피드백을 반영하고 부족한 부분은 협의해 개선해 나갈 것”이라고 말했다.
한편, IT감사 가이드라인 최종안은 이달 말까지 7개 금융권 협회·중앙회별 심의·보고 등 내부 절차를 거쳐 배포·시행될 예정이다.
