제정 2025. 2. 28.
제1절 IT내부통제 기반사항
 제1조(목적)   조항 인쇄(새창열림)
이 가이드라인은 금융회사 및 전자금융업자의 자체적인 IT부문 내부통제 수행에 필요한 기반사항을 제시하여 IT부문 내부통제체계("이하 IT내부통제체계") 확립을 통한 전자금융거래의 안전성 및 신뢰성 제고를 목적으로 한다.
 제2조(적용대상 및 범위)   조항 인쇄(새창열림)
이 가이드라인은 전자금융거래법 제2조 제3호에 따른 금융회사 및 동법 제2조 제4호에 따른 전자금융업자를 대상으로 한다.
금융회사 및 전자금융업자는 원칙적으로 전체 전산시스템 및 전자금융업무에 대하여 내부통제를 수행하되, 자체 IT리스크 평가결과에 따른 우선순위 및 가용한 감사자원 등을 고려하여 적절한 통제주기, 방식 등을 정할 수 있다.
 제3조(정의)   조항 인쇄(새창열림)
이 가이드라인에서 사용하는 용어의 뜻은 다음과 같다.
1. "IT리스크"란 정보통신기술과 관련한 법규의 위반, ICT 장애 및 기술의 오용, 전산사고 등으로 인한 직접적 손실, 평판 손상, 법적 청구 등 전산시스템 및 전자금융업무 전반에 대한 실제적ㆍ잠재적 위험을 통칭한다.
2. "IT리스크평가"란 금융회사 및 전자금융업자가 자체적으로 마련한 위험관리 방법론에 기반하여 전사 전산시스템 및 전자금융업무에 대한 위험을 식별ㆍ분석하는 계량화된 방식의 위험평가를 말한다.
3. "IT자체감사"란 금융회사 및 전자금융업자의 IT조직 내에서 기술적ㆍ실무적 전문성에 기반하여 내부통제의 적정성을 자체적으로 감사하는 업무를 말한다.
4. "IT감사"란 금융회사 및 전자금융업자의 감사 혹은 감사위원회 산하감사조직이 IT조직 및 업무에 대하여 내부통제 수립ㆍ이행의 적정성을 감사하는 업무를 말한다.
5. "IT외부감사"란 금융회사 및 전자금융업자로부터 독립된 외부감사인이 IT감사 전문성을 바탕으로 금융회사 및 전자금융업자의 IT부문 내부통제체계 수립ㆍ이행의 적정성을 감사하는 업무를 말한다.
6. "IT내부통제"란 제2호부터 제5호까지를 포함하여 이 가이드라인에서 정하는 IT내부통제체계에 따른 일련의 활동을 통칭한다.
 제4조(IT내부통제체계)   조항 인쇄(새창열림)
금융회사 및 전자금융업자는 제3조 제2호부터 제5호에 따른 역할을 적절하게 분배하여 IT내부통제체계를 수립ㆍ운영하여야 한다.
금융회사 및 전자금융업자는 IT리스크평가로 식별된 위험에 대하여 내부통제활동을 수행하여야 한다.
금융회사 및 전자금융업자는 IT내부통제체계 수립시에 각 통제사항에 대한 수행역할 및 책임주체를 명확하게 정의ㆍ지정하여야 한다.
금융회사 및 전자금융업자는 IT내부통제체계 수립ㆍ운용에 관한 사항을 내규에 포함하여 내부통제활동의 근거를 확보하여야 한다.
금융회사 및 전자금융업자는 IT내부통제계획 및 수행결과, 거증자료 등을 문서화하여 내부통제활동의 객관성 및 신뢰성을 확보하여야 한다.
금융회사 및 전자금융업자는 IT내부통제활동의 수행이력을 주기적으로 평가하여 통제제도의 적정성을 확보하여야 한다.
 제5조(IT리스크평가)   조항 인쇄(새창열림)
금융회사 및 전자금융업자는 주기적으로 전사 IT리스크를 자체평가하여 그 결과를 감사 혹은 감사위원회에 보고하여야 한다.
금융회사 및 전자금융업자는 전자금융거래의 규모, 전산화 정도 등 내부 IT환경 및 성숙도를 고려하여 자체적인 IT리스크 평가 방법론을 수립ㆍ적용하여야 한다.
금융회사 및 전자금융업자는 평가방법의 신뢰성 및 적합성을 확보하기 위하여 IT리스크평가를 전사적 리스크관리와 연계하여 수행하여야 한다.
 제6조(IT자체감사)   조항 인쇄(새창열림)
금융회사 및 전자금융업자는 IT조직 및 환경, 규모 등을 고려하여 최고정보책임자(CIO: Chief Information Officer), 정보보호최고책임자(CISO: Chief Information Security Officer) 등 IT부문 각 조직의 최고책임자 산하에 IT자체감사인을 임명하여 각 조직 소관업무에 대한 IT자체감사를 실시할 수 있다.
IT자체감사인은 소속된 IT조직 내 내부통제의 적정성에 대한 상시감사 및 특별감사 등을 독립적으로 수행하여 그 결과를 감사명령권자에게 직접 보고하여야 한다.
감사명령권자는 IT자체감사 수행결과에 따라 조치계획을 수립하여 관련 내부통제 현황을 개선하는 등의 필요한 조치를 수행하여야 한다.
금융회사 및 전자금융업자는 IT자체감사를 운영하는 경우, IT자체감사인의 임명, 업무, 권한, 보고, 책임 등에 관한 기준 및 절차를 수립ㆍ운용하여야 한다.
금융회사 및 전자금융업자는 IT자체감사인이 직무를 수행함에 있어 필요시 유관조직이 적극적으로 협조할 수 있도록 지원하여야 한다.
 제7조(IT감사계획)   조항 인쇄(새창열림)
금융회사 및 전자금융업자는 IT리스크평가를 수행한 결과에 따라 적절한 연간 IT감사계획을 수립ㆍ운용하여 감사 혹은 감사위원회에 보고하여야 한다.
연간 IT감사계획은 원칙적으로 해당 금융회사 및 전자금융업자가 당해연도에 수행 예정인 전체 IT감사업무를 포괄하여야 한다.
금융회사 및 전자금융업자는 제2항에도 불구하고 사고발생에 의한 사고감사, 기타 제보 등에 의한 특별감사 등 필요에 의한 개별적 감사업무를 연간 IT감사계획에 추가하여 수행할 수 있다.
금융회사 및 전자금융업자는 예기치 않은 사정으로 연간 IT감사계획을 이행하지 못하는 경우, 감사 혹은 감사위원회에 보고한 후 대체 감사계획을 수립ㆍ이행하여야 한다.
 제8조(IT감사 결과보고 및 후속조치)   조항 인쇄(새창열림)
금융회사 및 전자금융업자는 IT감사를 수행한 결과 및 그에 따른 후속조치 계획을 감사 혹은 감사위원회에 보고하여야 한다.
금융회사 및 전자금융업자는 IT감사를 수행한 결과 발견된 지적사항에 대하여 유관부서에 공개하고, 조치계획을 수립하는 등 적절한 후속조치를 이행할 수 있도록 후속조치 절차 및 기준을 수립ㆍ운용하여야 한다.
금융회사 및 전자금융업자는 IT감사에 따른 후속조치를 이행하지 않거나 별도 후속조치 없이 지적사항을 수용하는 경우 등에는 이사회 혹은 이사회로부터 적법하게 권한을 위임 받은 감사위원회 등의 의결을 거쳐야 한다.
 제9조(IT내부통제인력)   조항 인쇄(새창열림)
금융회사 및 전자금융업자는 전자금융거래 규모 및 전산화 정도, IT리스크 등을 고려하여 적정한 수준의 IT내부통제인력 운영ㆍ관리 기준을 수립ㆍ운용하여야 한다.
금융회사 및 전자금융업자는 제1항의 IT내부통제인력 운영ㆍ관리 기준에 따라 제3조 제2호부터 제4호에 따른 기능을 수행하는 IT내부통제인력을 지정하여야 한다. 단, 제3조 제2호부터 제4호의 기능을 별도로 분리하지 않은 경우, 업무분장 등으로 각 기능을 수행하는 주체를 명확히 하여야 한다.
금융회사 및 전자금융업자가 제1항에 의한 IT내부통제인력 운영ㆍ관리기준에 따라 제3조 제2호부터 제4호에 따른 기능을 수행하는 IT내부통제인력을 제3조 제5호의 IT외부감사자에 위탁하여 운용하는 경우, IT외부감사자의 선정ㆍ관리 기준 등을 수립하여 감사기능의 유효성 및 신뢰성을 확보하여야 한다.
금융회사 및 전자금융업자는 IT내부통제인력의 역량 강화를 위한 교육 및 연수계획을 제1항의 IT내부통제인력 운영ㆍ관리기준에 포함하여야 한다.
 제10조(업무 독립성)   조항 인쇄(새창열림)
금융회사 및 전자금융업자는 제3조제2호부터 제4호의 업무를 수행하는 IT내부통제인력에 대하여 피감업무와의 이해상충을 방지하고 독립적으로 업무를 수행할 수 있도록 직무분리 기준 등을 수립ㆍ운용하여야 한다.
금융회사 및 전자금융업자는 제3조제1호부터 제4호의 업무를 수행하는 IT내부통제인력에 대하여 업무 수행을 위한 적절한 권한 및 책임을 부여하여야 한다.
 제11조(IT감사업무편람)   조항 인쇄(새창열림)
금융회사 및 전자금융업자는 제3조 제2호부터 제4호의 업무를 수행하는 IT내부통제인력이 활용할 수 있도록 IT감사절차 및 항목, 감사요령 등을 수록한 IT감사업무편람을 마련하여야 한다.
금융회사 및 전자금융업자는 제1항의 IT감사업무편람에 대하여 감사이력 및 최신 기술 등을 반영하는 등 주기적으로 검토ㆍ개정관리를 수행하여야 한다.