는 작업이다.
10. ERP(Enterprise Resource Planning)은 기업전부문의 자원을 하나의 체계로 통합하여 생산성을 극대화하는 BPR의 일종이지만, 이로인해 조직의 고유한 특성에 따른 통제,문화가 없어짐에 주의해야한다. 또한 이러한 패키지의 도입은 대개 여러 옵션을 통해 유연성있는 system을 유지하게 되지만, 비효율적인 system 이 된다는 점은 피할수 없다. 이점은 최근의 기술경향이 저효율일지라도 효과성을 높이려는 경향과 일맥상통한다.
11. CASE를 비롯한 최신기법은 프로젝트 개발의 본래목적인 사용자요구사항충족을 위해 프로토타이핑기법을 쓴다.
12. PERT는 각 업무들간의 관계를 식별하여, 전체프로젝트일정을 계획하는데 목표가 있다. 여기서 각 업무들의 소요시간을 알고 있다는 것을 가정하고 있는데,최소소요시간,최대소요시간,가능성있는 소요시간 각각에 대해서 프로젝트소요시간을 산출해내면, 통계적으로 지연이 될 확률을 구해낼수 있다.
13. Datawarehouse 는 성격상 DSS의 주요목적인 의사결정에 보완적인 관계에 있다.
14. 기능점수분석기법은 각 프로세스특성에 따른 가중치를 부여해서 프로젝트크기를 산정한다.
15. 프로젝트관리기법은 어느하나로 완전한 성과를 얻을수 없다. 각 관리기법의 특징을 이해하고, 여러개를 동시에 관리해야한다.
16. 최종사용자컴퓨팅(End User Computing)은 사용자요구변화에 신속한대응,시스템개발적체의 해소,업무프로세스방법개선의 효과등이 있지만 , 변경관리, 형상관리,백업정책등에 일관성을 부여하기 어렵다.
17. Timeboxing기법은 프로토타이핑같은 기법에서 사용자요구가 광범위하게 수용되어 개발기간이 무한정 늘어나는 위험을 제한한다.
18. 프로토타이핑기법은 사용자요구를 처음에 수용하므로 시스템개발비용은 전통적인 Waterfall 기법보다 많이들지만, 유지보수비용은 거의 들지 않으므로 결과적으로는 더 적은비용이 소요된다. 이 기법은 물론 유지보수절차자체가 없다.하지만, 이런 유연성에 따른 통제절차가 미흡해 위험이 생길 수 있다.
9. 맺음말
1. IS 운영이 성공적으로 이루어지기 위해서 필요한 통제와 이에 대한 감사에 대해 살펴보았다. 하지만 실무입장에서 볼 때 모든 문제가 명료하게 떨어지는 것이 아니다. 다루어지기 힘든 이해관계들이 얽혀있고 사람이 하는 일이기 때문이다. 따라서 IS감사에서 중요한 것은 “어떤경우에 어떻게 한다” 이런 기계적인 방법과 절차가 아니라 감사에 필요한 중심적인 개념과 그 취지, 방향을 이해하고 주어지 문제상황에 가장 현실적이면서도 효과적인 방법을 찾아내야 할 것이다.
2. 지금까지 우리나라의 기업실태를 보면 효율성을 높일수 있는 부분에 대한 투자와 관심이 미흡하였다. 효율성은 높여봐야 보통 10% 안쪽에서 이루어지지만, 로비나 기타 다른 방법으로 인수,사업권을 따내면 수백배에 달하는 이득을 낼 수 있었기 때문이다. 하지만, 주요 선진국의 경우를 보면 조직운영관리가 점차 투명해짐에따라 부정적인 방법을 통한 이득은 기대할수 없게 되었다. 우리나라도 점차 이런 선진국과 비슷한 모습을 보이게 될거같다. 따라서 IS의 효율성,효과성을 높이는데 기여할수 있는 감사부분에서도 보다많은 관심을 갖게되지 않을까하는 조심스런 예측을 해본다.
3. 과거 IS부서는 조직내의 여러부서중 하나의 부서에 지나지 않았다. 과거 조직에서 IS 부서는 조직이 필요로 하는 IS 관련업무를 해왔으나, 근래에는 기존의 수동적인 역할이 아니라 IS 부서의 활동에 따라 조직의 목표가 변할수 있을 정도로 능동적인 관계에 놓이게 됐다. 이에따라 IS 부서의 활동은 조직내 여러부서에 영향을 미치는 중심적인 역할을 하게됐다. 이런 추세로 볼 때 IS감사는 단순히 IS 운영에 관한 분야가 아니고 조직의 성패를 좌우하는 중요한 의미가 있다.
4. 공부하면서 느낀건데 내용들이 당연해 보일수도 있겠다는 생각을 했다. 하지만 문제상황이 조금만 복잡해지면, 체계적인 접근을 하지 않을 때 엄청난 비효율이 발생함을 생각해볼 때 충분히 의미있는 일인거 같다. IS 감사는 IS 에 대해서 획기적인 통제방법을 제시해주는 것이 아니라, IS 운영이 예기치않은 비용이나 과도한 손실의 여지를 줄이는 효과가 있으며, 이를 통해 조직의 목표달성에 기여하게 된다.
5. 감사에서 주로 사용하는 통제는 다음과 같다. 모든직원의 활동에 대해 각각 문서화된 기록을 남겨야하고 활동간에는 업무분장을 한다. 따라서 어느 직원의 부정행위에 따라 그 직원의 문서기록이 변경되어도 업무분장으로 인해 추적해낼수 있다. 또한 조직활동에서 보면 대부분이 어느기능의 출력은 다른기능의 입력으로 연결됨을 알수 있다. 이에 대한 조정,합계대조등을 통해서 알수 있다. 또한 보완통제로 감사증적,로그기록등이 관리되기 때문에 여러사람이 부정행위를 해도 알아낼수 있다.
6. IS 운영에서 고질적인 문제가 되었던 것은 효과와 효율이 낮은 개발,유지보수에 있었다. 이 문제해결을 위한 최근의 흐름은 고비용이 들더라도 효과는 높이는 방향으로 진행되고 있다. 비교적 최근의 IS 운영관련기법들인 BPR , ERP , CASE , 4GL , DSS 등은 모두 고비용이고 효율적이지는 않지만, 효과를 높이는데 주력하고 있다. 과거의 개발방법론은 개발후 유지보수에 상당한 비용이 들었으나, 최근의 기법은 사용자 요구사항 분석때부터 최종결과물과 테스트기법,유지보수계획,보안계획,재해복구계획을 모두 작성한다.
10. Reference
ISACA(Information Systems Audit Controls Association) MANUAL
COBIT(Control Objectives for Information & Related Technology)
정보시스템감사(2판) 김궁헌 / 법문사
정보시스템감리 문대원,장시영 / 명경사
CISA 정보시스템감사 / 현대고시사
CISA 정보시스템감사 / 한언출판사
http://isaca.or.kr (한국정보시스템감사통제협회)
http://isaca.org (국제정보시스템감사협회)
http://www.cobit.or.kr/ ( 한국 Cobit 연구회)