2009년 10월 29일
Audit = 상대방의 말에 귀를 기울이는 것.
Audit(감사)의 어원은 = '듣다' 출처 : http://www.etymonline.com/ 입니다.
흔히 콘서트장 관객이나, TV 시청자(듣는 입장이죠?)를 'Audience'라고 하는 것도 같은 의미 입니다.
국제 표준 관련 IT감사를 진행했습니다. Auditor 분들과 실제 감사 현장을 졸졸 따라다니면서... 인터뷰를 지켜봤습니다. 꿈에 그리던 장면을 실제로 겪은 것이지요. 감사라고 해서 굉장히 딱딱하고, 취조하는 분위기를 연상했지만 예상은 완전히 깨졌습니다.
제가 만난 Auditor 분들은 '질문의 대가' 이더군요. 첫번 째 질문은 전반적인 환경을 파악하는 데 중점을 둡니다. 네트워크 쪽 이라면 네트워크 다이어그램 정도에 대한 것이 되겠고... 현업 이라면 실제 비즈니스 모델이죠. 이후 세부적인 질문들이 이어지더군요. 간단한 예로 Application의 Password history는 몇 개까지 남느냐?(What) -> 왜 그렇게 설정했느냐?(Why, 조직의 환경을 고려), 어떻게 개선 할 것이냐?(how, 조직의 실정에 맞지 않는다고 생각 될 경우). 이런 식입니다. What, why, how 등의 의문문을 계속 던집니다.
이건 아주 간단한 예 이고요, 더욱 예리한 질문들은 프로세스를 건드립니다. 외부 사람에게 PC지급 시 승인 절차는?, 그리고 그 사람이 나갈 경우 처리 절차 등. 이것도 아주 간단한 예 이고요 실제로는 조직의 환경을 고려하여 꼬리에 꼬리를 무는 질문들이 이어지죠. 그리고 들은 이야기가 맞는지 눈으로 보며 확인합니다. 물론 전부는 아니고, 샘플링으로.
이제 CobiT과 같은 Framework들을 실제로 활용하는 방법을 좀 더 잘 이해할 수 있을 것 같습니다. 조직에 '어떠한 질문을 던지는 것'이 왜 중요한지, 실제 감사 현장을 따라다니다 보니 뼈저리게 느껴지더군요. 제대로 된 질문은 CobiT에 있는 Control Objectives들이 실제 조직에서 어떠한 모습으로 녹아들어 있는지 파악할 수 있게 합니다. 물론 이때 커뮤니케이션 능력이 필수이지요!
Audit... = 상대방의 말에 귀 기울이는 것.
# by | 2009/10/29 23:18 | IS Audit | 트랙백 | 덧글(0)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]