내부 제어 및 감사

1) 목적과 지역

목표: 비즈니스 목표 달성을 안전하고 합법적으로 보장하여 운영, 재무, 규정 준수 및 평판 위험을 줄입니다.
적용 범위: 지불/캐주얼, KYC/AML/제재, 사기 방지, RG, 마케팅/데이터 수출, DevOps/SRE, DWH/BI, 개인 정보 보호/GDPR, TPRM 등 모든 영역에서 프로세스 및 IT 제어.

2) 보호 원칙 및 모델

3 가지 방어 라인: 1) 프로세스 소유자 (운영/제품), 2) 위험/준수/보안 (방법론, 모니터링), 3) 독립적 인 내부 감사.
위험 기반: 컨트롤은 잔여 위험의 우선 순위에 따라 구축됩니다.
증거 중심: 각 제어에는 측정 가능한 기준, 데이터 소스 및 확률 아티팩트가 있습니다.
먼저 자동화: 가능한 경우 매뉴얼 대신 자동 및 연속 제어 (CCM).

3) 위험지도 → 목표 → 목표 제어

1. 위험 등록: 원인/이벤트/결과 (재무, 플레이어, 라이센스) 를 식별하십시오.
2. 통제 목표: 예방/탐지/수정해야 할 사항 (예: "자금의 불법 인출", "PII에 대한 무단 액세스").
3. 통제 활동: 목표를 달성하기위한 특정 정책/절차/자동 선택.

• 예방: RBAC/ABAC, SoD (4 눈), 한계 및 점수, 데이터 검증, WebAuthn, mTLS.
• 형사: SIEM/경고, 조정, SLA/SLO 대시 보드, 감사 로그 (WORM), 이상 제어.
• 수정: 자동 잠금, 롤백 릴리스, 키 회전, 수동 구문 분석 및 반환.
• 보상: 주요 제어가 불가능한 경우-조치 강화 (추가 모니터링, 이중 검증).

4) 제어 라이브러리

각 테스트에 대해 다음이 기록됩니다

ID/이름, 객관적, 위험, 유형, 주파수, 제어 소유자, 수행자, 실행 방법 (수동/자동/가이드), 증거 소스, KPI/KRI, 정책/절차와의 통신, 종속 시스템.

상태: 초안 → 활성 → 모니터링 → 은퇴. 검증 및 로그 변경

• 'CTRL-PAY-004' -4 눈 지불> X (예방, 일일, 소유자: 지불 책임자, 증거: 응용 프로그램/로그, KPI: 100% 적용) 승인.
• 'CTRL-DWH-012' -상점에서의 PII 마스킹 (예방, 영구, 소유자: 데이터 책임자, 증거: 테스트 요청, KPI: 95% 이상의 마스크 읽기).
• 'CTRL-SEC-021' -관리자 콘솔 용 MFA (예방; 증거: IdP 보고서; KPI: 100% 채택).

5) RACI 및 소유자

6) 계획 감사 및 테스트

연간 계획은 위험 지향적 (높은 잔류 위험, 규제 요구 사항, 사고, 새로운 시스템) 으로 구성됩니다.

• DE (Design Effectiveness): 컨트롤이 위험을 줄이기 위해 올바르게 설계되었는지 여부.
• 작동 효율 (OE) -안정적이고 주어진 주파수에서 작동하는지 여부.
• 주제/프로세스 감사: 엔드 투 엔드 도메인 검증 (예: KYC/AML 또는 Cassouts).
• 후속/검증-CAPA 폐쇄 확인.

접근 방식: 보행 (추적), 인터뷰, 아티팩트/로그 검토, 분석, 성능 (반복).

7) 증거 및 샘플

증거의 종류: 로그 업로드 (서명/해시), IdP/SSO 보고서, 티켓 및 승인 로그, 구성 요소, 타임 스탬프가있는 스크린 샷, 상점에서 xls/CEO, PAM 세션 기록.
무결성: 'ts _ utc' 를 지정하는 WORM 사본, 해시 체인/서명.
샘플링: 통계/판단; 크기는 제어 빈도와 신뢰 수준에 따라 다릅니다.
기준: 통과/실패; 수동 작업을위한 최소 임계 값이 허용됩니다.

8) 부적합의 평가 및 분류

그레이션: 중요/높음/중간/낮음.
기준: 영향 (돈/PII/라이센스), 확률, 기간, 반복성, 보상 제어.
보고: 카드 (위험, 설명, 예, 근본 원인, 영향, 필요한 조치, 타이밍, 소유자), 추적 상태를 찾으십시오.

9) CAPA 및 변경 관리

수정 및 예방 조치: 증상뿐만 아니라 근본 원인 제거.
S.M.A.R.T.- 측정: 구체적이고 측정 가능하며 날짜; 책임과 이정표.

자문위원회 변경: 고위험 변경은 CAB를 통과합니다. 정책/절차/역할 업데이트

성능 검증: N 주/개월 후 재감사.

10) 연속 모니터링 (CCM) 및 분석

CCM 후보: 고주파 및 공식화 된 통제-SoD 충돌, JIT 문제, 비정상 수출, MFA 적용 범위, 지불 한도, 제재 조치.
도구: SIEM/UEBA 규칙, 데이터/BI 대시 보드, 회로/마스킹 유효성 검사기, 액세스 테스트 (코드 정책).
신호/경고: 임계 값/행동; SOAR 티켓; 중요한 편차를위한 자동 블록.
장점: 탐지 속도, 수동 부하 감소, 더 나은 확률.

11) 측정 항목 (KPI/KRI)

• 중요한 프로세스 제어에 의한 적용 범위
• 수동 컨트롤의 정시 실행이 98% 이상
• CAPA는 제 시간에 문을 닫았습니다 (높은/중요)
• 자동화 된 MoM TP 컨트롤 공유

• SoD 장애 = 0
• PII는 '목적' 없이 액세스합니다 = 0
• 누출/사고 알림
• 운영 제어 실패율 <2% (추세 감소)

12) 주파수 및 캘린더

일일/연속: CCM, 사기 방지 신호, 지불 제한, 마스킹.
주간: 지불/레지스터 조정, 수출 통제, 경보 분석.
월간: MFA/SSO 보고서, 액세스 레지스터, 공급 업체 모니터링, KRI 동향.
분기 별: 권리 재 인증, 주제 검토, BCP/DR 스트레스 테스트.
연례: 전체 감사 계획 및 위험지도 업데이트.

13) 기존 정책과의 통합

RBAC/ABAC/최소 특권, 액세스 정책 및 세분화-예방 통제의 원천.
비밀번호 정책 및 MFA는 관리자/중요 작업에 대한 필수 요구 사항입니다.
감사 로그/로그 정책-탐정 및 증거 통제.
TPRM 및 타사 계약-외부 제어: SLA, DPA/SCC, 감사 권한.

14) 점검표

14. 1 새로운 제어 디자인

• 목표 및 관련 위험 설명
• 정의 된 유형 (예방/탐정/수정)
• 소유자/수행자 및 주파수 할당
• 데이터 소스 및 증거 형식 지정
• 내장 메트릭 (KPI/KRI) 및 경고
• 정책/절차에 대한 링크
• DE/OE 테스트 계획 정의

14. 2 감사

• 범위 및 DE/OE 기준 동의
• 검색된 아티팩트 및 액세스 목록
• 샘플링은 동의하고 수정했다
• 결과 및 결과 분류
• CAPA, 마감일 및 소유자 승인
• 이해 관계자에게 발행 및 전달 된 보고서

14. 3 모니터링 및보고 (매월)

• 모든 중요한 제어를위한 KPI/KRI
• 실패/거짓 긍정적 인 동향
• CAPA 및 연체 상태
• 자동화/JMA 제안

15) 전형적인 오류 및이를 피하는 방법

목표/메트릭없이 제어: 목표 및 KPI/KRI를 공식화하십시오.
증거없이 수동 제어: WORM에 양식/스크립트를 표준화하고 아티팩트를 저장합니다.
예외 결과: 만료 날짜 및 보상 조치가있는 예외 등록.
"종이" 는 실제로는 작동하지 않습니다. 일반 OE 테스트 및 CCM.
공개 CAPA: 월간 위험위원회의 자동 에스컬레이션 및 상태.

16) 구현 로드맵

1-2 주: 위험 맵 업데이트, 제어 카탈로그 컴파일, 소유자 임명, 증거 템플릿 승인.
3-4 주: KPI/KRI 모니터링을 시작하고 자동화를위한 5-10 컨트롤 (CCM) 을 선택하고 연간 감사 계획을 승인합니다.
2 월: 1-2 주제 감사 (고위험) 를 수행하고 SOAR 경고를 구현하며 이사회보고를 설정합니다.
3 개월 이상: CCM 확장, 분기 별 검토 수행, 수동 제어 감소, DE/OE 적용 범위 증가 및 CAPA 폐쇄율.

TL; DR

효과적인 내부 제어 = 위험 카드 → 목표 → 소유자 및 증거가있는 명확한 활동과 정기적 인 DE/OE 테스트, CAPA 및 CCM 자동화. 이를 통해 위험 관리를 측정 가능하고 감사를 예측할 수 있으며 규정 준수를 입증 할 수 있습니다.