IT부문 경영실태 평가制 도입

금융감독원이 정보기술 의존도와 리스크가 증대됨에 따라 금융기관을 대상으로 ‘IT부문 경영실태평가제도’를 도입해 2천년 1월부터 시행키로 했다. 금융업무의 자동화가 가속화되고 인터넷뱅킹 온라인트레이딩등 전자금융의 지속적인 확산으로 금융기관 IT부문의 비중이 높아짐에 따라 종합적인 리스크 관리가 필요해진 것이 그 배경이다.

금감원측은 일반분야에 대한 경영실태평가로는 미흡했던 점을 보완, IT부문의 평가결과를 경영실태평가에 반영함으로써 금융기관의 IT경쟁력 제고 및 금융고객을 보호한다는 방침이다.

‘IT부문 경영실태평가’는 우선적으로 전산장애 발생시 국내 금융시스템에 영향이 큰 은행 증권 투신 보험 신용카드 종금등 1백20여 개 중추금융기관을 대상으로 시행된다. 실태평가 결과 내부통제 또는 IT리스크 관리 측면에서 취약점이 있을 경우 문책 권고등 시정조치도 취해지게 된다. 검사대상은 점진적으로 확대될 예정이며, 이를 위해 금감원은 IT검사 전문인력의 양성과 충원, IT검사조직의 확대를 추진 중이라고 밝혔다. 인원은 현 14명에서 30명까지 늘릴 계획이다.
금융기관에 대한 ‘IT부문 경영실태평가제도’는 美연방준비은행등 미국 5개 은행감독당국에서 채택하고 있는 IT부문 등급평가모델. IT부문의 내부통제와 리스크관리 수준을 5등급으로 평가해 등급에 따라 차별화된 경영지도가 실시되고 있다. 금융기관 정보기술 관련 리스크를 측정하고 내부통제의 신뢰성을 평가해 IT부문의 건전성과 안전성을 종합적으로 평가하는 검사를 말한다.

우리나라의 경우 97년부터 은행권을 대상으로 IT부문에 대한 검사를 진행해 왔지만 주로 위규 사항 적출 위주에 그쳤었다. 그나마 올해에는 IT검사인력들이 Y2K점검에 대거 투입됨에 따라 검사자체를 실시하지 못했다.

금감원측은 우리나라 금융기관의 IT환경을 감안해 평가영역을 4개 부문으로 나누어 종합평가등급을 부여할 계획이다. 현재 은행에 대해 실시중인 IT부문 경영실태평가를 증권 보험 비은행 중추금융기관등으로 확대 실시하되 금융영역에 따라 필요한 부문은 보완 차등적용한다는 것. 거래소 보험개발원 금고·신협연합회등 네트워크 집중 유관기관도 포함된다.

검사주기는 일반분야 종합검사와 동시에 실시됨에 따라 은행은 매년, 기타 기관들은 격년으로 실시될 것으로 전망된다. 평가부문은 전산감사, 전산경영, 시스템과 프로그램밍, 컴퓨터운영등 4개 부문으로 분류되고, 부문별 평가등급과 종합평가등급을 5단계로 부여하게 된다.

금감원은 또한 컴퓨터활용검사(Computer Assisted Examination)기법을 도입해 전 금융영역으로 확대 실시키로 했다. 컴퓨터활용검사는 컴퓨터를 이용해 금융기관의 회계자료와 경영정보의 정확성을 검증하고 편법적인 업무처리를 적발하는 것. 단기적으로는 일반검사국의 요청이 있을때등 필요한 경우에만 IT전문검사역을 지원하는 방식으로 운영되며, 장기적으로는 일반검사역에 대해 검사용 소프트웨어 사용법, 컴퓨터 활용기법등 연수를 실시해 검사기법을 전수한다는 방침이다.

금융감독원 관계자는 “그 동안 전산부문의 퍼포먼스만을 높이기 위한 운영으로 인해 적은 인원으로 무리한 개발작업이 강행됐고 이로 인해 내부통제 기능 약화에 따른 운영리스크가 상존했다”며 “전산부문의 비중이 커진만큼 적절한 통제측면이 보다 강화되도록 노력할 것”이라고 밝혔다.



김춘동 기자 bom@kftimes.co.kr