금감원, 협회·중앙회와 공동 마련
‘3단계 IT 내부통제체제’ 구성 등
이달 말 시행…“혁신 안전핀 기대”


금융권 디지털 혁신의 안전핀 역할을 할 ‘IT감사 가이드라인’이 마련됐다.

금융감독원 이종오 부원장보는 13일 오후 2시 서울 여의도 금융투자협회에서 금융권 7개 협회·중앙회와 ‘IT감사 가이드라인 마련 테스크포스(TF)’ 마무리 간담회를 개최, 지난해 11월부터 TF를 통해 공동으로 마련한 가이드라인 최종안을 발표했다.

이번 가이드라인은 IT운영·통제 미흡으로 인한 장애사고가 지속적으로 발생하는 등 IT내부통제 체계의 구축 필요성이 증가하고 있다는 판단에 따라 마련됐다. 이달 말까지 7개 협회·중앙회별 심의·보고 등 내부 절차를 거쳐 배포·시행될 예정이다.

가이드라인은 ▲자체 IT리스크에 맞는 3단계 IT내부통제 체계 구성 ▲사각지대 없는 통제 범위 설정 ▲IT감사 독립성 확보 ▲표준 IT감사 방법론 등을 권고사항으로 제시했다.

가이드라인은 금융사가 자체적으로 IT리스크를 식별·분석하고 평가해 ‘3단계 IT내부통제 체계’를 구성하도록 했다.

1단계는 IT조직의 내부통제 방안 수립·이행, 2단계는 IT조직의 자체감사, 3단계는 감사조직의 IT감사로 이어지는 유기적·다층적 통제체계 구축이다.

아울러 금융회사 책무구조를 기준으로 IT영역별 최고책임자가 소관 IT업무에 대한 내부통제 활동을 수행하도록 IT내부통제 범위와 수행주체를 명확히 설정했다. 최근 IT조직 확장과 유연화로 인한 통제 누락을 방지하기 위한 조치다.

IT자체감사인의 업무 독립성 확보를 위한 직무분리 기준도 마련했다. IT자체감사 전담인력 운용이 어려울 경우 IT내부통제 업무의 외부위탁도 가능하도록 했다. IT감사계획 수립-실시-보고 단계에 따른 주요 절차 등 업무 기준도 담았다.

금감원은 향후 서면 점검, IT리스크 계량평가 등을 통해 가이드라인 이행 여부를 관리할 예정이며, IT실태평가시 기준으로 활용하는 방안도 검토 중이다.

금감원 이종오 디지털·IT 부원장보는 “금융회사 IT감사는 단순한 점검이 아닌 혁신의 안전핀 역할을 한다”며 “가이드라인이 금융회사의 디지털 경쟁력과 금융IT 안전성을 균형있게 견인하는 든든한 기준점이 되기를 기대한다”고 언급했다.

이 부원장보는 또 “이달 말까지 전 금융권역에서 협회·중앙회별 내부 절차를 거쳐 가이드라인이 조속히 시행될 수 있도록 차질없이 준비해 달라”며 “가이드라인 시행 초기에 금융회사가 제정 취지에 맞게 잘 이행할 수 있도록 협회·중앙회가 적극적으로 도와달라”고 요청했다.

아울러 “협회·중앙회별로 업권 특성에 맞게 내용을 조정해 적용할 수 있지만 IT내부통제 강화 취지를 벗어나지 않도록 유의해 달라”고 당부했다.

협회·중앙회 등 업계는 가이드라인을 통해 금융사가 IT부문 전반에 대해 각자 적합한 방식으로 통제체계를 수립·운영할 수 있는 근거가 마련됐다고 평가했다. 또 내부통제 사각지대가 해소되고 자율적 통제활동이 활성화돼 전자금융 안전성이 높아질 것으로 기대했다.

다만 금융회사 사정에 따라 가이드라인의 이행 시기와 수준이 다를 수 있는 만큼 금융당국과 소통을 통해 유연하게 운영할 필요가 있다고 제언했다.

금감원은 “앞으로도 금융협회·중앙회 등 금융업계와 지속적인 소통을 통해 가이드라인에 대한 피드백을 반영하고 부족한 부분은 협의해 개선해 나가도록 하겠다”고 밝혔다.

[서울=뉴시스]