규정 준수 감사란 무엇인가요?
규정 준수 감사는 내부 및 외부 정책, 표준 및 규정의 준수 여부를 확인하기 위해 조직의 활동과 기록을 공정하게 검토하는 것입니다. 사이버 보안, 데이터 개인 정보 보호, 재무 보고, 상황 및 안전과 같은 영역을 다룰 수 있습니다.
규정 준수 감사는 종종 조직의 규정 준수 관리 시스템의 일부로 수행됩니다. 규정 준수 관리 시스템(CMS)은 규제 요구 사항, 내부 정책 및 업계 표준을 충족하는 데 사용되는 통합 시스템입니다.
효과적인 CMS에는 정기적인 규정 준수 감사 외에도 기업의 규정 준수 문화를 조성하는 데 중점을 둔 이사회, 규정 준수 정책 및 절차를 수립 또는 구현하는 최고 규정 준수 책임자 또는 관리자, 운영을 감시하여 규정 미준수 영역을 식별하는 규정 준수 모니터링이 포함될 수 있습니다.
감사 관행은 기업이 발전하고 투자자가 재무 기록 감사를 통해 재정 상황에 대한 보장을 추구함에 따라 1차 산업 혁명 기간 동안 사회에서 두드러진 발판을 마련했습니다. 19세기 중반, 영국은 기업 감사를 요구하는 법률을 제정하여 오늘날까지 이어지는 규정 준수 규정 개발을 촉진하는 데 기여했습니다.1
오늘날의 규정 준수 요구 사항은 재무제표 검토를 넘어 민감한 정보 보호나 조직의 환경 규정 준수를 포함합니다.
규정 준수 감사의 중요성을 이해하려면 먼저 오늘날의 규정 준수 환경을 생각해 보는 것이 좋습니다.
전 세계적으로 정부와 조직은 소비자, 근로자, 투자자 및 기타 이해관계자의 이익을 위해 광범위하고 다양한 규정 준수 요구 사항을 시행합니다. 이러한 요구 사항을 위반하면 막대한 처벌, 제재 및 평판 손상을 초래할 수 있습니다.
예를 들어, 유럽 연합의 일반 데이터 보호 규정을 심각하게 위반한 기업은 최대 2천만 유로 또는 전 세계 연간 매출의 4% 중 더 높은 금액의 벌금을 부과받을 수 있습니다.
규정 준수 감사는 조직이 비용이 많이 드는 대가를 피하면서 비즈니스 목표를 달성하는 데 도움이 될 수 있습니다. 조직은 자체 위험 관리 모범 사례를 따르고 있는지 판단하고, 규정 미준수 위험에 처해 있는지 파악하며, 시정 조치가 필요한 시기를 파악할 수 있습니다. 감사는 또한 조직에 대한 규정 준수 노력에 대해 이해 관계자에게 보증을 제공합니다.
'준수 감사(compliance audit)'라는 용어는 일반적으로 독립된 외부 감사인에 의해 수행되는 외부 감사를 가리키는 데 자주 사용됩니다. 그러나 내부 감사(내부 감사인 또는 감사 팀에 의해 수행되는 감사)도 준법 감사 범주에 포함될 수 있습니다.
내부 규정 준수 감사는 많은 경우 회사의 자체 정책 및 절차 준수와 비즈니스 프로세스 및 위험 관리 활동의 효율성 향상에 중점을 둡니다. 그러나 외부 감사는 기업이 정부 규정과 같은 외부 표준을 준수하고 있음을 외부 이해관계자에게 확인시키기 위한 목적으로 수행됩니다.
두 경우 모두 감사 프로세스는 공정한 방식으로 수행되어야 그 결과(감사 보고서에 수집된 결과 및 권장 사항)를 사용하여 조직과 규정 준수 담당자가 지속적인 규정 준수를 유지하고 잠재적인 규정 준수 위험을 식별하는 데 도움이 될 수 있습니다.
감사 절차는 기업이 다양한 영역 및 분야에 대한 규정 준수 표준에 부합하는지 평가할 수 있습니다. 그 예는 다음과 같습니다.
- 사이버 보안
- 데이터 프라이버시 및 보호
- 재무 보고 및 보안
- 환경, 사회 및 거버넌스(ESG)
- 건강 및 안전
사이버 보안
조직의 사이버 보안 관행에 대한 감사는 피싱 에서 멀웨어에 이르기까지 다양한 사이버 위협을 관리하고 대응하기 위한 올바른 조치를 마련하는 데 도움이 될 수 있습니다.
사이버 보안 감사에 일반적으로 사용되는 표준 중 하나는 미국 국립표준기술연구소(NIST) 사이버 보안 프레임워크(NIST CSF)입니다. 이 표준은 민간 부문 조직이 정보 보안 및 사이버 보안 위험 관리를 개선하기 위해 따를 수 있는 지침과 모범 사례를 제공합니다 이 프레임워크는 위험 평가, 신원 관리, 액세스 제어, 대응 계획 및 복구 활동을 비롯한 다양한 사이버 보안 조치를 다룹니다.
사이버 보안 감사를 뒷받침하는 또 다른 주요 표준은 ISO 27001이라고도 알려진 ISO/IEC 27001입니다. 국제표준화기구(International Organization for Standardization)와 국제전기기술위원회(International Electrotechnical Commission)가 공동으로 개발한 글로벌 정보 보안 표준은 조직 내 정보 보안 관리 시스템에 대한 일련의 요구 사항입니다. 실질적으로, 이는 조직이 민감한 데이터 및 기타 정보를 관리하고 보호할 수 있는 프레임워크를 제공하여 데이터 침해, 사이버 공격 및 기타 보안 사고의 위험을 줄입니다.
또한 서비스 제공업체를 위해 특별히 설계된 사이버 보안 감사도 있습니다. 서비스 조직 제어(SOC) 보고서는 아웃소싱 서비스와 관련된 위험을 해결하기 위해 미국공인회계사협회(AICPA)의 인증을 받은 평가자가 발행하는 독립적인 서드파티 보고서입니다. SOC 2 보고서는 조직이 고객 소유 데이터를 보호하기 위해 마련한 내부 제어를 평가하고 이러한 내부 제어의 성격에 대한 세부 정보를 제공합니다.
데이터 프라이버시 및 보호
사이버 보안 감사의 경우 조직의 데이터 보호 조치에 대한 검토가 포함되지만 특정 법률 및 규정에 따른 감사의 경우 특히 이 영역에 중점을 둡니다. 여기에는 소비자 정보 및 상황 데이터 개인 정보 보호를 보호하는 법률에 따른 감사가 포함됩니다.
소비자에게 광범위하게 적용되는 법률에는 EU의 일반 데이터 보호 규정(GDPR) 과 California Consumer Privacy Act(CCPA)가 포함됩니다. GDPR을 준수하기 위해 기업은 법적으로 승인된 방법을 사용하여 개인 데이터를 전송 및 처리하고, 보관 중이거나 전송 중인 개인 데이터를 보호하고, 법률에 의해 설정된 대로 개인 데이터 수집, 사용 및 소유에 대한 EU 거주자의 권리를 존중해야 합니다.
CCPA 준수를 위해 회사는 생년월일, 운전면허증 번호, 여권 번호, 은행 계좌 정보, 신용 카드 또는 직불 카드 번호를 포함하여 캘리포니아 거주자를 위한 여러 유형의 개인 데이터를 다루는 지침을 준수해야 합니다.
건강 개인정보 보호 분야의 주요 규정 준수 감사 유형 중 하나는 건강 보험 양도 및 책임에 관한 법률(HIPAA) 감사입니다. 의사, 병원과 같은 의료 상황 제공자, 건강 보험 회사를 포함하여 이 미국 법률의 적용을 받는 법인과 그 제휴 비즈니스 동료는 보호 대상 건강 정보(PHI)를 보호하기 위해 고안된 일련의 기술적, 행정적 및 물리적 통제를 구현하고 유지해야 합니다.
재무 보고 및 보안
조직의 재무제표 및 보안 제어에 대한 감사를 통해 사베인스-옥슬리법(SOX)과 같은 법률 및 지불 카드 업계 데이터 보안 표준(PCI DSS)과 같은 업계 규칙을 준수하는지 평가할 수 있습니다.
SOX 법은 기업 사기를 방지하기 위한 미국 법률입니다. 이로 인해 공기업은 재무 데이터가 변조되지 않도록 보호하기 위해 내부 통제 시스템을 구축해야 하며 보안 통제의 효율성과 재무 공개의 정확성을 증명하는 정기 보고서를 증권거래위원회(SEC)에 제출하고 재무제표 및 통제에 대한 연례 독립 감사를 통과해야 합니다.
PCI DSS는 카드 소지자 데이터(예: 주요 계좌 번호(PAN), 이름, 유효 기간, 서비스 코드 등) 및 기타 민감한 정보를 그 수명 주기 전반에 걸쳐 보호하기 위한 보안 요구사항의 집합입니다.
PCI DSS 규정 준수를 위해서는 판매자 및 서비스 제공업체의 연간 보고가 필요하며, 카드 소지자 데이터 환경에 중대한 변경 사항이 발생한 후에는 추가 보고가 필요합니다. 규정 준수를 검증하기 위해 조직의 보안 태세를 지속적으로 평가하고 보안 정책, 기술 또는 절차의 격차를 해결하기 위한 지속적인 교정이 필요합니다.
환경, 사회 및 거버넌스(ESG)
환경, 사회 및 거버넌스(ESG) 감사는 기업이 환경 및 사회적 영향과 관련된 법률 및 자발적 프레임워크를 준수하고 있는지 여부를 결정할 수 있습니다. 여기에는 EU의 기업 지속가능성 보고 지침(CSRD), 미국 환경 보호국 규정, 글로벌 보고 이니셔티브(GRI) 및 지속가능성 회계기준위원회(SASB) 표준이 포함됩니다.
건강 및 안전
안전 감사는 조직이 근로자의 건강과 안전을 보호하기 위해 고안된 규칙과 규정을 준수하고 있는지 평가합니다. 주요 표준에는 국제표준화기구(ISO)에서 개발한 글로벌 보건 및 안전 표준인 ISO 45001과 미국의 경우 산업안전보건청(OSHA)이 설정하고 집행하는 작업장 안전 규칙이 있습니다.
규정 준수 감사의 성격은 감사 유형, 규정 준수 프로그램, 조직 및 산업에 따라 다를 수 있습니다. 그러나 규정 준수 감사자가 규정 준수 감사 프로세스에서 일반적으로 수행하는 단계가 있습니다. 이는 다음과 같습니다.
1단계: 감사 계획
감사의 범위, 목표 및 필요한 리소스를 결정합니다. 프로세스를 매핑한 규정 준수 감사 체크리스트가 도움이 될 수 있습니다.
2단계: 문서 검토
회사의 정책과 절차는 물론 다양한 기록과 계약서 등 기타 관련 문서를 검토합니다.
3단계: 추가 조사 수행
직원 및/또는 관리자를 인터뷰합니다. 해당하는 경우 운영 및 내부 프로세스를 관찰합니다.
4단계: 감사 준수 보고서 작성
결과, 발견 사항 및 권장 사항을 문서화하여 지속적으로 개선하고 시정 조치를 취합니다.
5단계: 후속 조치 참여
권장 조치 또는 조치의 구현 진행 상황을 모니터링합니다.
소프트웨어 솔루션은 조직이 규정 준수 요구 사항 준수를 추적하고 규정 준수 감사를 준비하는 데 도움이 될 수 있습니다. 선도적인 솔루션은 다음과 같은 기능을 제공합니다.
데이터 보안 및 규제 태세를 실시간으로 모니터링합니다.
포괄적인 대시보드를 통해 규정 준수 활동에 대한 통합된 관점을 제공합니다.
자동화된 데이터 캡처 및 보고는 규정 준수 감사를 간소화하는 데 도움이 됩니다.
즉시 사용할 수 있고 정기적으로 업데이트되는 템플릿은 규정 준수 정책 설정을 간소화합니다.
리소스
각주
1 “Why change over time the fundamental purpose of auditing?” International Journal of Business and Management Invention. 2023년 9월.