Fly, High

IT 거버넌스 연구회 세미나 2008. 8. 18

더홍 — Wed, 20 Aug 2008 14:29:58 GMT

발표1. COBIT FAQ : 유지호 선생님
자료 : COBITFAQ.ppt
COBIT FAQ에 나온 각 문항에 관한 코멘트로서... 아주 알기 쉽게 정리 해 주셨다. COBIT FAQ 원문은 ISACA 홈페이지에 올라와 있다(물론 영어이다) COBIT을 사용하기 위한 일종의 가이드라인으로, COBIT을 보기 전에 몇번이고 반복해서 읽기를 강력히 권장한다.(사실 나도 몰라서 겉돌고 있었던 것이다 ㅠ)

발표하신 유지호 선생님은... 지난 번 세미나 후 술자리에서 뵜는데, 역시 엄청난 내공을 소유하신 분이다. 자격증 무려 80여개 허허허헉. 넘.사.벽 이란 말은 이럴 때 써야 하는 말인 것 같다. 이분께서 운영하시는 네이버 까페를 링크한다. IS감리/감사 및 IT전반 광범위한 자료들, 그리고 기술사, 감리사 같은 초고급 자격증 준비하시는 분들께 많은 도움이 된다.
[정보시스템 감리 포럼] http://cafe.naver.com/ekisa

발표2. How to COBIT : 신성 이사님
COBIT 제대로 공부하는 방법!
핵심은 프로세스를 해체/통합하는 것을 시도해 보는 것...(이것을 COBIT way of thinking이라고 하심)

COBIT way of thinking(관찰법)
-audit, control, management, governance 요소를 찾아봄, 각 요소가 어떻게 엮였는지 살펴봄

COBIT way of thinking(연관법)
-IT조직에서 일어나는 일을 34개 프로세스에 연결시킴
-COBIT 프로세스로 현실의 IT조직 업무를 설명
-연결된 COBIT 프로세스로 해당 일의 수준과 발전 방향을 진단

그리고 각종 다이어그램을 활용한 COBIT의 도식화...(이걸 실제 그림으로 그린 표현한 것을 보여주심)
이로써,,, IT조직의 모든 프로세스는 COBIT을 참조하여 정의되고 연관도를 그릴 수 있다는 것을 확인(놀라웠다!)

12월 CISA 시험 기간 연장

더홍 — Tue, 19 Aug 2008 00:33:36 GMT

Exam Registration

Registration Deadline Extension

The CGEIT/CISA/CISM Exam registration deadline has been extended to Friday, 22 August 2008, 5:00pm Central Time (Chicago, Illinois, USA).

Exam Registration Fees	Online*	Mail/Fax
ISACA member	US $325	US $375
Nonmember	US $455	US $505

--------------------------------------------
2008년 12월 CISA시험 등록 마감이 연장됬다. 미국 중부 시각으로 8월 22일 오후 5시까지.
우리나라 시간으로는 23일 오후 8시 이전까지 해야 한다. 이 기간 넘어 가면 5만원은 더 내고
시험봐야 하니 응시하실 분들은 서두르시는게 좋다.(게다가... 원화값까지 뚝뚝 떨어지고 있다!)
나에겐 이것이 마지막 CISA시험이다!

직업을 갖는 이유???

더홍 — Wed, 13 Aug 2008 12:08:00 GMT

[주의] : 많은 양의 저속한 표현이 포함되어 있음

짤막한 영상 속에 직업을 갖는 이유에 대한 고찰이 고스란히 담겨있다.

5 Reasons Business Go Green

더홍 — Sat, 09 Aug 2008 00:43:37 GMT

출처 : CIO INSIGHT

147명의 IT관련 임원에게 물어봤습니다...(미국)
환경 친화적 비즈니스(요즘 대세인 Green IT도 마찬가지겠죠...)로 가는 5가지 이유!!!

첫째 : 환경에 대한 관심,

환경 관련 사업자는 물론 모든 회사들이 중요하게 생각함

둘째 : 비용절감, 그렇다! 같은 성능이면 전기 덜먹고 공해 발생이 적은게 당연히 더 선호된다

셋째 : 회사 이미지,... ... 가장 솔직한 대답이 아닐까?

넷째 : 법이나 규제, 미국은 아직 유럽만큼 심하진 않으나... 점점 강화되는 중. 한국은???

다섯째 : 이해관계자(투자자, 채권자등) 또는 공공단체의 압력, 그래도 이왕 하는거면 자발적으로 한다고 해야...

--------------------------
BY TheHong
첫째 : 환경에 대한 관심,
둘째 : 비용절감
셋째 : 회사 이미지 제고
넷째 : 법이나 규제
다섯째 : 이해관계자(투자자, 채권자등) 또는 공공단체의 압력

자, 결국 이렇게 정의된다. Green IT, Green Business를 한문장으로 표현하면 "지속 가능한 IT", 혹은 "지속가능한 비즈니스" 라고생각한다. 그냥 쉽게, 같은 비용이면 최대한 환경 덜 파괴시키고 자원 적게 쓰는 쪽으로 가자는 것이다. 요즘처럼 고 원자재 값, 고유가에도 어울리는 트렌드인듯.

Top Business/Technology Issues Survey Results by ISACA

더홍 — Sun, 03 Aug 2008 14:37:00 GMT

[다운로드]BTISSUE0805ISACA.pdf
출처 : ISACA 홈페이지

2008년 4월 ~ 5월까지 3주에 걸쳐 ISACA에서 수행된 서베이 결과. 역시 아쉽게도 서베이에 참여한 나라 목록엔 한국이 없다. 이런걸 보면, 정말 우리나라 IT 갈길이 멀다고 생각이 된다.

응답자 직종/비율 : Audit/Assurance = 41.3%
IT Management = 32.7%
Security Management = 26%

ISACA에서 수행한 서베이 답게 Audit/Assurance 부분이 두드러진다. Top 7 Business로서, 다름 7가지 사항이 도출이 됬는데, 각 직종 별로 생각하는 우선 순위가 전부 다르다.(각 직무 분야에 대한 따로 매겨진 우선 순위는 본문 참조)

Issue 1: Regulatory Compliance : 기업은 이전보다 훨씬 큰 도전에 직면해 있다. 각종 규제와 새로운 기준이 난무하는 가운데 새로운 시장에서의 기회를 찾아 성장시켜야 한다. 이 주제 내에서, 앞으로 12~18개월 사이 응답자들(Technologyt area에서) 이 가장 중요시 될 것으로 -> 책임 분담을 지원하는 기술의 시행, 허가된 접근 모니터링, Compliance 프로세스의 관리를 들었다.

Issue 2: Enterprise-based IT Management and IT Governance : 효과적, 효율적으로 IT부서를 이끌려면 IT거버넌스가 필요하다. IT거버넌스는 IT운영과 비즈니스의 목표간의 일치(Alignment)를 요구한다. 게다가 IT서비스의 전달은 잘 디자인된 IT프로세스와 IT조직 멤버들간의 협동을 요구한다. 이 주제 내에서, 응답자들이 향후 12~18개월 내의 중요 이슈는 -> IT로 인한 Business Value를 리포팅하는 툴의 확보이다.

Issue 3: Information Security Management : 기업 데이터에 대한 위협이 증가하고 이에 대한 관리의 필요성도 급격하게 늘었다. 다행히도 잘 계획된 Information security management (정보보호관리)는 그 위협에 잘 대처할 수 있도록 한다. 대비가 잘 된 보안 계획은 프로세스와 정책, 그리고 관련 기술을 포함한다. 이 주제 내에서, 향후 12~18개월 내의 중요 이슈는 -> 컨트롤의 효과가 적절히 모니터 되지 않는 분야에 대한 지속적 관찰이다. //(이부분... 번역에 정말 자신이 없어지는군요 죄송~!.)

Issue 4: Disaster Recovery/Business Continuity : 비즈니스 연속성 관리는 급작스런 기업의 운영 중단(재해로 인한...)에 대한 복원력을 향상시킨다. 그럼에도 대부분의 기업들은 비즈니스 연속성 관리를 수행하기 쉽지 않다.(정의 자체도 어려움) 이 주제 내에서, 향후 12~18개월 내의 중요 이슈는 -> 재난 상황에서 조직의 핵심 기능에 대한 관리의 책임이 비즈니스 조직에 있다는 것이다. 비즈니스 관리층은 이에 대한 인식이 부족하다. 또한 표준적 비즈니스 연속성 정책 자체의 부재와, 연속성 정책이 한시적이거나 관리할 필요가 없다고 인식되는 문제점이다.

Issue 5: IT Value Management : IT프로젝트는 비즈니스의 목적이나 목표와의 연계가 잘 안될때가 많다(확실히,,, 그리고 이것은 매우 심각한 문제이다.) 결과적으로 그들은 비즈니스 이익을 달성할 수 없게 된다. IT프로젝트에서 비즈니스 계층의 참여 부족(커뮤니케이션 부재)으로 이러한 결과가 빛어지기도 한다. 비즈니스 실무자와 프로젝트 진행자, 이 두 계층의 갭을 없에야 IT가 비즈니스 목표를 달성할 수 있게 된다. 이 주제 내에서, 향후 12~18개월 내의 중요 이슈는 -> 프로젝트와 지식 관리를 위한 툴의 확보이다. IT시스템과 프로젝트 포트폴리오를 기록하는 툴, 예산 지출에 대한 툴, 그리고 프로젝트에서 효과적인 커뮤니케이션을 하는 방법을 정립하는 것 또한 중요하다.

Issue 6: Challenges of Managing IT Risks : 많은 기업들은 그들의 위험을 관리하는 것 자체가 이미 비즈니스라는 것을 이해하지 못하고 있다. 예측 불허한 수많은 IT 리스크들은 가뜩이나 어려운 IT리스크 관리를 더욱 어렵게 만든다. 이 주제 내에서, 향후 12~18개월 내의 중요 이슈는 -> IT리스크 관리에 대한 상급 관리 계층의 책임 또는 이해 부족, IT리스크 관리에 대한 투자 의지 부족 등이다.

Issue 7 : Compliance With Financial Reporting : US 사베인-옥슬리(SOX) 같은 글로벌 재무 보고 기준이 2004년부터 시행되어 왔다. 그러나 이것이 단지 IT부서에서만 다룰 영역이라고 인식되어져 왔다. 이러한 기준(SOX)들은 좀더 높은 리스크를 다루도록 초점을 맞춰온 반면(이런 걸 할려면 돈이 든다는 뜻...) 이것을 받아들이는 조직은 비용/효익 관점에서만 접근했다.(즉, 비용이 크다는 이유로 활용되지 못했을 떄도 많았다...는 뜻 일듯~!) 그래서 프로그램과 데이터에 대한 접근을 효과적, 효율적으로 하는 툴의 확보가 중요하다.(SOX를 효과적으로 수행할 수 있는 툴을 말하는듯...그럼 비용이 덜 드니까.) 연관된 새로운 시스템의 개발 또한 중요하다고 여겨진다.

헥헥. 이번 번역은 정말 허접하다. 내맘대로 한 부분도 많고... 뛰어 넘은 부분도 꽤 있고...

그냥 원문을 보세요ㅠ

IT 거버넌스 연구회 세미나 2008. 7. 28

더홍 — Tue, 29 Jul 2008 15:59:12 GMT

[첫번째 자료] ITSecurityGovernance.pdf
이번 주제는... Information Security Governance 2nd Edition으로
IS Governance의 의미, 중요성, 책임, 구현방법, 결과를 살펴봤다. 정보보호 거버넌스라고 해서 어려울까봐
쫄았는데 의외로 주변에 흔한 사례를 들어 설명해서 꽤 잘 와 닿았다.

두 번째 강의는 IT Audit을 진행하며 어떻게 비즈니스쪽(CEO 등) 사람들과 소통을 해야 하는지에 대한 강의였다.
내 꿈이 Auditor라서 그런지 역시 더 관심이 간다. 또 실제 IT Audit하시는 분이셔서 그런지 더욱(엄청난 내공이 느껴졌음은 물론. 그러나 안타깝게도 자료는 ISACA측에서 공개를 안해준다고 하네용.

특강 열어주신 ISACA, GRA에 감사드린다. 끝나고 맥주 한잔 기울이며 Audit의 Real world 이야기 들려주신 송선생님과(휴가 잘 보내세요) 같은자리 함께했던 모든 분들꼐도 감사. Audit이라는 관심사를 중심으로 모인 그룹의 술자리에 낄 수 있어서 너무 기뻤씁니다.~ +_+

CISA Fail -_-!!

더홍 — Wed, 23 Jul 2008 04:28:05 GMT

Dear Mr. Hong

RE: CISA Exam Result Notification -- Exam ID:

At your request (per your exam registration authorization), this email is being sent to notify you of your June 2008 CISA exam result.

We are sorry to inform you that you were not successful in passing the CISA exam. You received a total scaled score of 443. A scaled score of 450 or higher is required to pass, which represents the minimum consistent standard of knowledge as established by ISACA's CISA Certification Board.

SCALED SCORES OF YOUR PERFORMANCE BY AREA:
550 IS Audit Process
630 IT Governance
327 Systems and Infrastructure Life Cycle Management
401 IT Service Delivery and Support
358 Protection of Information Assets
534 Business Continuity and Disaster Recovery

The above represent a conversion of individually weighted raw scores based on a common scale. As such do not attempt to apply a simple arithmetic mean to convert area scores to your total scaled score.

-------------------------
크헉! 이럴수가 450 패싱스코어에 443점이라니 7점차로 미끄러졌다. 헉헉헉. CHAPTER3가 나를 붙잡는구나~
ㅠ_ㅠ... 다시 구석에 짱박아 뒀던 REVIEW MANUAL 열심히 공부해야할 판. 375달러 외화낭비했음-_-;. CISSP는 무슨... 다시 CISA에 집중합니다!

주식투자 시작

더홍 — Fri, 18 Jul 2008 12:43:03 GMT

그리고 위의 책을 꺼내 들었다. 초심을 잃지 않기 위해. 종목 선정하느랴 요 며칠 내 공시 보고서 뒤적겨렸다. 모의투자 할때 쌓인 나름대로의 원칙이 있어 선정하는데 그리 오래 걸리진 않았다. 이젠 마치 아무일도 안했던 것 처럼 신경 끄고 기다리는 일만이~.

Audit 관련 용어 해설

더홍 — Mon, 14 Jul 2008 04:41:36 GMT

좋은 자료 찾아주신 아네스라님께 감사.
[다운로드] Korea_Glossary_of_Terms_for_ISAs_(revised).doc

Audit관련: 용어의 해설(Glossary of Terms)->아네스라님 블로그

중국판 ‘SOX법’, 내년 7월 실시

더홍 — Mon, 14 Jul 2008 01:21:54 GMT

중국판 ‘SOX법’, 내년 7월 실시

- 재무 투명성 제고 및 증시 안정 기대 -

보고일자 : 2008.7.10.

이준호 다롄무역관

junhao@kotra.or.kr

□ 기업 내부통제 기본규범 시행

○ 지난 6월 28일 중국 재정부, 감사원, 증권감독관리위원회, 은행감독관리위원회, 보험감독관리위원회 등 5개 정부기관은 공동으로 미국의 사베인 옥슬리법(SOX)과 유사한 ‘기업내부통제 기본규범(이하 규범)’을 공포함.

○ 중국은 규범을 통해 기업회계 및 재무보고의 투명성과 정확성을 제고하고, 감사제도를 근본적으로 개혁해 투자자를 보호하고 시장의 건전한 발전을 도모하고자 함.

○ 내년 7월 1일부터 시행되는 규범은 우선 상장기업을 대상으로 적용하지만, 비상장된 대·중형 기업도 규범 준수를 장려하고 있어 향후 시행결과가 주목됨.

□ 추진 배경

○ 중국은 기업내부통제 규정의 부제와 상장회사의 의식 부족으로 부정부패 사건이 빈발해 투자자에게 큰 피해를 입히는 경우가 빈발했을 뿐만 아니라, 은행의 불량 대출도 많아 시장 전반에 악영향을 줌.

○ 중국은 규범의 시행으로 상장기업에 대한 관리와 통제를 강화하고, 이를 통해 주식시장의 안정과 해외로부터의 투자를 촉진하고자 함.

- 증권감독관리위원회의 이샤오쉬에 서기는 상장기업의 재무제표 정확성과 신뢰도를 높여, 투자가를 보호하고 자본시장의 건전한 발전을 촉진하는 데 규범 시행의 목적이 있다고 밝힘.

- 이 밖에, 이 위원회는 상장기업의 기업정보 공시에 관한 지침인 ‘상장기업 내부 통제 지침’을 개정할 예정함.

○ 중국의 기업내부통제 기본규범은 미국이 2003년에 시행한 사베인 옥슬리법(SOX)을 참고로 함.

- 미국은 Enron이나 WorldCom 등 대기업의 연이은 분식회계의 영향으로 주식시장이 침체되자, 이에 대처하기 위해 사베인 옥슬리법을 제정함.

- 이 법은 기업회계 및 재무보고의 투명성과 정확성을 제고해 기업 지배구조의 본연의 모습과 감사제도를 근본적으로 개혁하고, 투자자에 대한 기업경영자의 책임과 의무를 규정함.

□ 주요 규범 내용

○ 규범은 8장 82개 조문으로 구성되며, 기업내부통제를 위해 내부감사와 반부정부패 시스템을 구축을 의무화한 내부환경 시스템 구축·리스크 평가·통제조치·효율적인 정보 소통·관리감독시행을 요구함.

‘기업내부통제 기본규범’

ㅇ 상장기업은 자사의 내부 통제를 객관적으로 평가한 연말에 발표하고, 증권·선물업무 자격을 갖춘 중개기구의 감사를 받음.

ㅇ 기업 내부통제에 대해 자문을 하는 회계사무소는 동일 기업을 대상으로 내부통제 감사를 할 수 없음.

ㅇ 기업은 리스크 평가결과에 따라 인적 통제와 자동 통제, 예방 조치와 사후 조치를 결합하는 방법을 통해 회사가 견딜 수 있는 범위 내에 리스크 수위를 조절함. 통제조치는 일반적으로 겸직금지, 회계시스템통제, 재산보호통제, 예산통제, 운영분석통제와 업적평가통제 등이 있음.

ㅇ 기업은 중대한 업무나 사항에 대해 집단 정책 결정 심의제도 혹은 연대 서명제도를 시행하고, 개인이 단독으로 정책을 결정하거나 집단이 결정한 정책을 수정하지 못함. 또한, 기업은 리스크 예방 시스템과 사후 응급처리 시스템을 구축함.

ㅇ 기업은 반 부정부패 시스템을 구축하고, 다음과 같은 상황을 반 부정부패 업무의 중점 사항으로 지정함.

- 권한을 위임받지 않고 불법적으로 기업 자산을 침해하거나 남용해, 부당 이익을 도모

- 회계 보고서와 공시 자료를 허위로 기재하고, 중대한 사실을 누락

- 이사, 감사, 고위 관리자가 직권을 남용

- 유관 기구나 인사가 부정부패 사건에 연루

□ 규범 시행에 따른 향후 전망

○ 중국 정부는 규범이 상장기업의 내부통제 시스템 구축을 의무화하고 있어, 기업의 경영관리 수준과 리스크 예방 능력을 제고해, 궁극적으로 자본시장의 건강한 발전을 도모할 것으로 기대하고 있음.

- 리스크관리서비스회사의 관계자는 규범 시행 초기에는 기업의 비용 증가가 불가피하지만, 주식시장 안정에는 긍정적인 영향을 줄 것으로 전망함.

- 이는 장기적으로는 기업내부통제가 기업의 관리비용 감소로 이어지고, 재무보고서와 기업정보 공시수준 제고로 기업의 경영효율이 높아지는 데 원인이 있다고 분석함.

○ 그러나 시장 일각에서는 장기적으로는 시장에 긍정적인 영향을 줄 것이 확실하나, 단기적으로는 자본시장에 미치는 영향이 미미할 것으로 예상함.

- 핑안증권은 장기적으로는 기업 경영관리수준·자산의 안전성·기업의 준법경영 이행율 제고를 기대할 수 있으나 규범의 구속력이 약하고, 둘째, 기업내부통제 시스템 구축과 이에 따른 통제수준 제고는 점진적으로 이뤄지고, 셋째, 과거 법적 구속력이 강한 제도라도 시행 초기에는 예상치 못한 문제가 발생했던 점을 감안하면 규범이 빠른 시간 내에 가시적인 성과를 거둘지는 미지수라고 분석함.

- 광따증권은 고유가·비유통주 및 IPO의 충격·유동성 긴축이 악재로 작용하고 있는데, 규범이 시행되더라도 이러한 3대 악재를 상쇄하는 효과를 거두기는 어렵고, 규범 시행 후 기업의 관리구조를 개선하기에는 많은 시간이 필요하다는 반응임.

- 신다증권은 장기적으로는 재무보고서의 신뢰도를 제고시키고 리스크 예방을 기대할 수 있으나, 규범이 내년에야 시행되기 때문에 단기적으로 상장기업과 시장에 미치는 영향은 심리적인 선에서 그칠 것으로 봄.