참고: 이 내용은 2022. 3. 1에 게시된 컨텐츠(Automating SOX and Internal Controls Monitoring with Snowflake)에서 번역되었습니다.

IPO의 급증, 빠르게 변화하는 비즈니스 환경, 증가하는 규제 요건으로 인해 SOX(Sarbanes-Oxley) 규정 준수 보고에 더 많은 시간과 비용이 소요되고 있습니다. 실행 가능한 통찰을 통한 효과적인 데이터 기반 분석법은 규정 준수 및 위험 관리에 대한 효율성과 확신을 높이기 위해 선호되는 방법입니다. Snowflake에서는 SOX 규정 준수 및 내부 통제를 관리하는 데 있어 데이터 클라우드가 중요해졌습니다.

SOX 규정 준수를 관리하는 기존 방식의 문제점

데이터 집합의 양이 증가하고 변동함에 따라 감사, 위험 및 규정 준수 기능을 통해 운영 효율성에 대한 통제를 식별하고 모니터링하기가 더 어려워졌습니다. 또한 많은 시간이 소요되는 증거 수집 및 샘플링과 관련된 기존 감사 기술로는 더 이상 충분한 위험 보장 범위를 제공하거나 비용이 많이 드는 예외 및 비효율성을 실시간으로 확인할 수 없습니다.

문제가 있는 몇 가지 일반적인 사용 사례:

  • 민감한 역할에 대한 무단 액세스 또는 직무 구분 위반과 같은 주요 시스템에 대한 사용자 액세스 및 보안
  • 주요 구성 설정과 회사 정책 및 절차의 편차
  • 특히 트랜잭션 데이터에서 볼 수 있는 대용량 및 복잡성을 고려한 분개 기입 분석

또한 내부 감사, 회계 및 규정 준수 팀은 실시간으로 조치를 취하고 대응할 수 없습니다. 이 팀들은 실시간 분석 및 알림을 채택할 수 있는 경우가 한정되어 있기 때문에 외부 감사 시 결점이 부각되는 것에 놀라는 경우가 많습니다.

Snowflake에서 솔루션을 설계 및 구축한 방법

당사는 IPO 여정과 SOX 준비 노력에 착수하면서 특정 주요 통제를 수행하고 테스트하는 과정에서 많은 수작업이 이루어지고 있다는 것을 알게 되었습니다. Snowflake의 핵심 가치 중 하나인 ‘창의적 사고’를 통해 Snowflake를 사용하여 범위 내 재무 보고 프로세스에서 몇 가지 일반적인 SOX 통제를 자동화할 기회를 확인했습니다.

Snowflake는 반정형 데이터를 비롯한 많은 유형의 데이터를 한 곳에서 수집하고 저장하여 쿼리, 플래그 지정 예외, 알림 및 규정 준수 상태 보고와 같은 통제 효율성을 거의 실시간으로 모니터링할 수 있는 확장성이 뛰어나고 비용 효율적인 플랫폼입니다. 따라서 다음 기준을 충족하는 몇 가지 사용 사례에 중점을 두고 몇 주 동안 SOX 통제 모니터링을 위한 Snowflake 애널리틱스를 구축하기 시작했습니다.

  • 데이터 가용성: 통제 모집단에 쉽게 액세스할 수 있으며 일관성과 완전성을 검증할 수 있습니다.
  • 안정적 프로세스 및 데이터 지식: 프로세스 및 통제가 가까운 시일 내에 변경되지 않을 것으로 예상되며 데이터와 관련된 위험 및 정책에 대한 충분한 지식이 있습니다.
  • 대용량 및 복잡한 데이터 집합: Snowflake는 여러 데이터 소스의 대규모 데이터 집합에 대한 복잡한 쿼리를 수행하도록 특별히 구축되었으므로 방대한 양의 데이터가 포함된 사용 사례로 자동화하기에 적합합니다.

다음 아키텍처는 SOX 통제 모니터링을 자동화하는 데 사용되며 실시간 알림을 통해 데이터를 수집하고 예외를 분석하는 방법을 보여줍니다.

높은 수준에서 봤을 때 SOX 통제 모니터링을 자동화하는 주요 단계는 다음과 같습니다.

  • 비즈니스에 유용한 인사이드를 제공하는 주요 사용 사례를 식별합니다.
  • 커넥터를 사용하여 필요한 데이터를 Snowflake에 수집합니다.
  • (SQL을 사용하여) 쿼리를 설계하고 구현하여 데이터를 시각화하고 분석합니다.
  • 모니터링 및 이상 징후에 대한 알림을 구현하고 관련 팀에 실시간으로 알림을 보내 필요한 조치를 취할 수 있도록 합니다(예: 분개가 승인 없이 전기된 경우 Slack 알림, ServiceNow 또는 JIRA 티켓이 생성되어 관련 팀에 할당됨).

3가지 SOX 자동화 사용 사례

위 단계를 사용하여 다음 세 가지 사용 사례를 자동화했습니다.

  1. 분개 기입 분석
  2. IT 일반 제어의 일부로 사용자 액세스 관리
  3. 직무 구분 분석

이 섹션에서는 이러한 각 사용 사례에 대해 Snowflake에서 파생된 몇 가지 주요 과제와 가치를 강조합니다.

분개 기입 분석

데이터 분석은 특히 복잡한 ERP, 여러 데이터 소스 또는 보조 원장, 대용량 데이터를 처리할 때 분개 기입 및 조정에 대한 프로세스 및 통제를 이해하는 데 필수적입니다. 시중에 여러 도구가 있기는 하지만 데이터를 쉽게 수집하고 잠재적 오류 또는 부정행위를 실시간으로 분석하는 데는 여전히 많은 시간이 소요됩니다. 그러나 당사는 Snowflake의 핵심 연산 기능을 사용하여 여러 분개 기입 소스에서 2백만 개가 넘는 트랜잭션을 몇 초 만에 분석할 수 있었습니다.

당사는 분개 기입 통제에 대한 감사 문제를 해결하고 잠재적인 운영 비효율에 대한 통찰을 제공하는 데 정말 유용한 몇 가지 사용 사례(아래 참조)를 개발했습니다.

주요 이점:

  • 감사 위험 관리: 영향력 있는 통찰을 통해 SOX 규정 준수 팀이 구성, 워크플로, 데이터 인터페이스 및 분개에 대한 무단 액세스와 같은 주요 통제를 충분히 다룰 수 있도록 보장할 수 있습니다. 이는 또한 샘플을 검토하는 대신 전체 모집단을 모니터링하여 위험 보장 범위를 확장합니다.
  • 실시간 예외 모니터링: 회계 및 규정 준수 팀에 다양한 분개 기입 트랜잭션 및 이상 징후를 실시간으로 확인할 수 있는 권한을 부여합니다.
  • 비용 및 프로세스 비효율 감축: 당사는 Snowflake를 사용하여 증거 문서화와 관련된 감사 부담을 줄이고 효율적인 재무 마감 프로세스를 위해 저비용 분개 전기 빈도를 다시 검토해야 하는지 확인할 수 있도록 분개 분석을 지원합니다.

Snowflake 분개 기입 대시보드의 예

위에 표시된 바와 같이 분석되는 몇 가지 예시 사용 사례는 다음과 같습니다.

  • 비정상적 분개: 주말 또는 휴일에 전기된 분개, 고액 달러 분개 등이 있습니다.
  • 예상치 못한 사용자: 분개 작성자/승인자를 검토하고, 동일한 사용자가 작성 및 전기했거나 해당 보안 그룹의 일원이 아닌 사용자가 작성 및 전기했는지 확인합니다.
  • 비정상적 계정 조합: 자본화 비용 또는 비정상적 수익 항목과 같은 계정 조합입니다.

사용자 액세스 관리

주요 시스템에 대한 무단 액세스를 통한 내부자 위협은 모든 조직의 주요 위험이며 상당한 평판 및 재무적 손해를 야기할 수 있습니다. 당사는 Snowflake를 사용하여 실시간 예외에 플래그를 지정하는 쿼리를 작성하여 SOX 액세스 관리 통제에 대한 모니터링을 자동화할 수 있었습니다. 이 구현의 일부로 먼저 사용자 액세스 로그를 수집한 다음 예외를 모니터링하고 알림을 보내는 논리를 구축했습니다. 이 논리의 설계 핵심은 애플리케이션 및 관련 액세스 정책 내에서 액세스 데이터 모델(예: 특정 역할, 권한 부여 개념 및 액세스)을 이해하는 것이었습니다.

자동화한 주요 사용 사례는 다음과 같습니다.

  • 액세스 프로비저닝: 승인 전 또는 승인 없이 액세스 권한을 부여받은 사용자, 식별된 규칙에 기반한 직무 구분 위반, 사용하지 않는 라이선스 등이 있습니다.
  • 액세스 프로비저닝 해제: 사용이 종료된 사용자에 대한 시기가 부적절한 액세스 제거가 확인되었습니다. 또한 마지막 로그인 날짜와 승인되지 않은 활동을 확인하여 이 사용 사례에 대한 영향을 평가할 수 있었습니다.
  • 사용자 액세스 검토: 분기 사이에 새로운 역할이나 권한이 추가 또는 제거되었는지, 또는 최근 액세스 검토 후 액세스 권한이 부여되었으나 승인된 역할 기반 정책 및 직무 책임과 일치하지 않았는지 추적합니다.

주요 이점:

  • 보안 위험 관리: SOX/규정 준수 및 IT 팀이 민감한 데이터에 대한 무단 액세스 인스턴스의 위험을 실시간으로 식별하고 완화하는 것을 지원합니다. 자동화된 대시보드를 사용하면 지정된 기간 동안 보안 액세스 위반에 대한 감사 추적을 확인할 수 있어 통제 모니터링과 테스트 샘플에 대한 보증을 제공할 수도 있습니다.
  • 감사 비용 절감: 테스트를 위한 모집단 확보 및 승인을 위한 스크린샷 요청에 따르는 감사 부담을 크게 줄입니다. 자동화를 사용하면 이 모든 것을 한 번에 모니터링할 수 있습니다.
  • 라이선스 모니터링 및 최적화: 애플리케이션 로그인 대시보드는 라이선스 사용량을 모니터링하고 이를 최적화하여 비용을 절감하는 데 도움이 됩니다.

Snowflake를 사용하는 액세스 관리 대시보드의 예

이러한 대시보드를 사용하면 SOX에 결점이 있는 것으로 되기 전에 오류를 수정할 수 있습니다. 또한 특정 애플리케이션에 대한 통제 설계 및 액세스 정책의 잠재적인 프로세스 개선 사항을 표시할 수도 있습니다. 예를 들어 현재 당사는 주요 영업 애플리케이션 중 하나에서 액세스 역할 및 시스템 기능을 다시 검토하여 분기별 사용자 액세스 검토를 훨씬 더 효율적인 프로세스로 만들었습니다.

직무 구분

직무 구분(SoD) 통제를 구현하고 테스트하는 것은 내부 통제 프레임워크의 중요한 요소이자 외부 감사 회사의 중점 사항입니다. 수천 개의 애플리케이션 액세스 포인트에서 위반을 감지하는 포괄적인 SoD 정책과 고급 분석이 없다면 SoD 통제 구현, 테스트, 수정 및 완화를 달성하기가 매우 어려울 수 있습니다.

이때 Snowflake가 도움이 됩니다. 내부 감사의 일환으로 주요 애플리케이션 내부 전반에 걸쳐 고위험 규칙을 식별하여 역할 및 사용자 수준 모두에서 숨겨진 SoD 충돌을 감지할 수 있었습니다. 그런 다음 Snowflake 내에서 이러한 규칙을 구성하고 정의된 SoD 규칙을 위반하는 역할/사용자를 식별하는 쿼리를 작성했습니다. 여기에는 IT 및 비즈니스 SoD 규칙이 모두 포함되었습니다.

Snowflake를 사용하는 SoD 대시보드의 예

해당 대시보드는 당사의 팀이 당사 환경에서 SoD 충돌을 식별하고 문제를 신속하게 해결하는 데 필요한 액세스를 업데이트하는 데 도움이 되었습니다.

주요 이점:

  • 보안 및 부정행위 위험 관리: SOX/규정 준수 및 IT 팀이 정의된 SoD 규칙을 위반하는 시스템 간 또는 시스템 내 액세스 인스턴스의 위험을 식별하고 완화할 수 있습니다. 이 액세스는 실시간으로 모니터링되고 액세스 제거 또는 위험 완화 등의 수정 조치가 취해집니다.
  • 액세스 거버넌스의 중앙 집중식 보기 유지: Snowflake 데이터 레이크를 시스템 전반의 액세스 로그에 대한 중앙 집중식 리포지토리로 활용하면 중앙 집중식 단일 진실 공급원 및 전체적인 전사적 관점을 제공할 수 있습니다.
  • 규정 준수 비용 절감: 역할 수준에서 SoD 위험을 모니터링하면 해당 역할에 대한 사용자 액세스 할당을 통해 위반 확산을 방지하여 규정 준수 비용을 절감할 수 있습니다.

통제 모니터링의 성공적이고 효과적인 자동화를 위한 핵심 요소

데이터 분석을 통한 SOX 모니터링 자동화 구축은 데이터와 기술에 한해서만 관련이 있는 것이 아닙니다. 자동화를 사용할 수 있도록 하려면 비즈니스 가치도 제공해야 하고, 감사 방법에 포함되어야 하며, 예외를 설계, 구축, 모니터링할 수 있는 적정 기술을 보유한 사람을 확보해야 합니다. 또한 통제가 적재적소에서 이루어지고 있는지 확인하는 것도 감사관과 경영진이 위에서 강조한 이점을 실현하기 위한 핵심 요소입니다.

자동화를 효과적으로 사용하기 위한 핵심 성공 요소는 다음과 같습니다.

  • 프로그램 거버넌스 및 교차 기능 조정: 주요 이해 관계자(통제권 소유자 및 내부 감사, IT 및 규정 준수 팀)와 설계 요건에 대한 명확한 식별 및 조정. 이러한 자동화를 이끌어 가기 위해 당사는 역할과 책임이 정의된 핵심 팀을 구성했습니다.
    • 장점을 극대화할 수 있는 자동화 사용 사례를 식별하고 조정합니다.
    • 자동화를 위한 요건(감사, 데이터, 시스템, 프로세스의 집합적 지식 결합)을 설계합니다.
    • 충분한 품질 검사를 거쳐 요건을 작성합니다.
    • 구현 중 및 구현 후 관련 통제를 설계 및 테스트합니다.
    • 해당 자동화를 일관되게 구현하기 위한 도구 및 템플릿을 개발합니다.
  • 애널리틱스 개발 통제: 애플리케이션 개발 수명 주기 통제와 유사하게, 이러한 애널리틱스의 개발, 테스트 및 배포는 IT 팀(또는 애널리틱스를 구축하는 관련 팀) 뿐만 아니라 각 통제권 소유자가 소유해야 합니다. 개발 및 테스트 절차를 수립 및 준수하고 IT, 데이터 사이언스, 감사/규정 준수 팀 및 프로세스 소유자의 모든 해당 인력을 포함하는 것이 중요합니다.
  • 개발 후 IT 통제: 감사관이 구현 후 해당 자동화를 사용할 수 있도록 하려면 SOX 규정 준수를 위해 범위가 지정된 주요 자동화와 마찬가지로 액세스 및 변경 사항을 관리할 수 있도록 적용 가능한 정책 및 IT 통제를 구현하는 것이 중요합니다. 이때 감사 및 규정 준수 팀에서 감사관이 해당 자동화를 사용할 수 있다는 증거 요건에 대한 지침을 제공할 수 있습니다. 이러한 감사 및 규정 준수 요건을 심사숙고하여 자동화 프레임워크 초기에 포함하면 조직이 가치를 실현하는 데 도움이 됩니다.
  • 지속적인 모니터링 프로세스: IT 통제 설계와 유사하게 예외를 적시에 효과적으로 해결할 수 있도록 통제 모니터링을 고려하는 것도 중요합니다. 통제권 소유자는 감사 목적에 중요한 모니터링, 추적 및 보고 예외에 대한 명확한 SLA를 수립해야 합니다. 모니터링을 용이하게 할 수 있도록 기존 서비스 데스크 및 알림 도구를 사용하여 Snowflake를 통합할 수 있습니다. Snowflake에서는 합의된 SLA에 따라 필요한 조치를 취할 수 있도록 관련 팀에 실시간 예외를 알림으로써 이를 가능하게 했습니다.

Snowflake를 사용하는 액세스 관리 모니터링의 예외 알림 예시

유사한 자동화 여정을 시작하기로 결정한 경우의 몇 가지 핵심 사항

  • 실행 가능하다는 것을 알아두고 가치 제안에 집중하십시오. 통제 모니터링 자동화는 중대한 위험 및 규정 준수 팀에만 국한되지 않습니다. 핵심은 한두 개의 영향력이 큰 사용 사례로 시작하고 관련 이해 관계자와 설계 및 구축 요건에 대해 조정하는 것입니다. 한 번에 모든 것을 자동화하려고 하는 것보다 체계적인 방식을 통해 몇 가지 사용 사례에 집중하는 것이 효과적입니다.
  • 실시간 확인을 통해 책임감과 실행 가능한 통찰을 이끌어낼 수 있습니다. 주요 통제 기능의 운영 현황을 일상적으로 확인함으로써 기능 리더는 문제가 발생할 때 대응하는 것이 아니라 사전에 오류를 식별 및 수정하여 중요한 일에 집중할 수 있습니다.
  • 자동화는 재미있어야 합니다. Snowflake를 사용한 당사의 프로젝트는 실패를 두려워하지 않고 창의적으로 생각하는 문화 덕분에 가능했습니다. 프로세스에 대해 더 많이 배우고 데이터를 테스트하면서 쿼리를 개선했습니다. 몇 주 만에 팀은 주요 이해관계자를 위한 가치 창출이라는 중요한 사명으로 단합하게 되었습니다!