미국 IT업계의 최고 베테랑이 쓴 책으로, 최신 IT용어 및 관련 개념을 포괄적으로 소개한다. 공인회계사 시험을 준비하는 수험생, IT부서 실무자, IT감사인이라면 최신 IT감사 기법(클라우드 컴퓨팅ㆍ사이버보안ㆍ빅데이터ㆍ데이터베이스ㆍ데이터센터 등 관련 통제, 감사 기술과 더불어 글로벌 IT기업ㆍ제품의 역사)과 IT 인접 분야와의 융합 지식을 익힐 수 있다. IT감사실의 효율적인 조직 구축 방법, 감사인의 처세술, IT 관련 글로벌 규제 법규, 리스크 관리, 체크리스트, 프레임워크(COBIT 등)도 소개한다.

조직 내 IT감사부서의 구축과 IT감사실시를 이해하기 쉽게 설명한 핸드북이다. 기업에서 실제 IT감사업무를 매일 수행하는 사람들에게 생생한 실용적 지침서로 볼 수 있도록 집필했다. IT감사실시 방법을 안내하고 감사인이 회사에 기여할 가치를 극대화할 수 있도록 돕는다.

세 부분으로 구성돼 있다. 1부, ‘감사 개요’에서는 IT감사 프로세스, 효과적인 IT감사팀의 구축과 유지 방법, IT감사 기능의 가치극대화 방법을 이해하는 데 도움이 된다. 2부, ‘감사 기법’에서는 특정 시스템이나 프로세스 감사에 필요한 특정 구성 요소나 감사 단계를 이해하는 데 도움이 된다. 마지막으로 3부에서는 감사 기능의 범위를 관장하는 프레임워크, 표준, 법규, 위험을 다룬다. 이 책의 1부는 IT감사업무의 수행방법에 대한 실용적인 지침을 제시한다. 이러한 지침을 적용하면 IT감사 기능이 회사 IT 환경에서 필수적이고 훌륭한 요소로 간주될 수 있게 될 것이다. 이 지침은 수년간의 경험과 모범 사례에서 도출한 것이다. 경험이 아주 많은 IT감사인들조차도 유용한 도구와 기법들이 해당 장별로 다수 수록돼 있음을 알게 될 것이다.
일반적인 IT 주제, 프로세스, 기술에 대한 감사를 철저히 수행할 수 있게 돕는다.
이 책의 2부는 해야 할 일이 무엇인지뿐만 아니라 그것을 행하는 이유(why)와 방법(how)에 대한 실용적이고 상세한 조언을 독자에게 제시하고 있다. IT감사 자원이 감사인에게 해당 업무의 실시 이유나 정확한 단계별 수행방법의 이해를 위해 충분한 정보를 제공하지 않지만, 자원의 분량은 지나치게 많을 수 있다. 이런 경우 해당 자원은 총알 지향식 체크리스트를 제시하는 것과 같다. 저자들의 목표는 그러한 간극을 메우는 데 있다. 마지막으로 이 책은 현재 IT감사 전문직에 강력한 영향을 주고 있는 제반 법규를 비롯해 IT감사표준과 프레임워크를 제공한다.
3부는 COBIT, ITIL, ISO 27001과 같은 표준 및 프레임워크와 사베인스-옥슬리법(Sarbanes-Oxley), HIPAA, PCI와 같은 법규에 중점을 둔다. 이 절의 또 다른 목표는 대부분의 법규에서 요구하는 위험평가와 관리에 대한 신비적 요소의 제거다.
시스템 강화, 세부 침투테스트를 위한 지식과 자원들은 다른 서적을 이용해서도 충분히 입수할 수 있다. 그런 내용은 이 책의 초점이 아니다. 감사 경험에서 보건대 내부자 관점에서 내부통제 품질에 대한 자문 요청을 더 자주 받아왔다. 따라서 이 책의 감사 단계들은 대부분 모든 구성 파일, 문서, 정보에 감사인이 완전히 접근할 수 있다는 가정하에 작성돼 있다. 이 책은 해커용 안내서는 아니다. 감사인이 회사 IT 시스템, 프로세스의 내부통제와 보안을 평가, 판단하는 방법에 관해 다룬 안내서다.

기술은 계속 발전하고 있으며, 감사 기법도 발전해야 한다. 이 책의 2판이 발간된 2011년 이후 몇 년 동안 사이버보안과 빅데이터 같은 영역이 성숙해지고 주류에 들어섰다. 이번 3판에서는 사이버보안 프로그램, 빅데이터, 데이터 리포지토리, 새로운 기술(이 책에서 구체적으로 다루지 않은 기술)에 대한 지침을 제공하는 완전히 새로운 장을 만날 수 있다. 또한 모든 장에 최근 동향과 발전을 반영해 업데이트하고 개선했다.
도움이 될 수 있는 무언가를 만들어내려고 셀 수 없이 많은 시간과 엄청난 노력을 기울였다. 이 책을 끝까지 읽은 다음, 자습서로 사용하려 한다면, 참고 자료로 계속 옆에 두고 보기를 추천한다. 감사는 상세 지향의 업무이므로 압도 당하고 무언가를 간과하기 쉽다. 또한 이해 능력을 넘어선 상태로 들어가기가 쉽다. 이 책은 여러분이 아는 것에서 시작해 새로운 것을 배우고 확장하기에 좋다. 저자들이 즐거운 마음으로 이 책을 저술한 것처럼 여러분도 이 책을 재미있게 읽어주길 바란다. 모든 감사업무에 행운이 함께 하길 바란다.

마이크 케게레이스(Mike Kegerreis)

CISSP 자격이 있는 보안 전문가로서의 11년을 포함해 20년이 넘는 IT 경력이 있다. 텍사스 A&M 대학교를 졸업한 후 소프트웨어 개발자로 12년을 보냈다. 그 후 정보보안 분야로 전향했다. 또한 SANS 과정과 인증 개발에 참여하고, 인포섹 월드(InfoSec World), 캠프(CAMP) IT, 댈러스의 텍사스 대학교와 댈러스 IIA 슈퍼 콘퍼런스(Super Conference) 등에서 강연했다. 한때 웨스트 텍사스(West Texas) 유전 시스템의 휴먼 인터페이스를 개발한 적도 있다. 평생 골프 팬으로, 시간이 날 때마다 라운드를 즐긴다. 가장 좋아하는 골프 코스는 TPC 라스베이거스다. 현재 텍사스 인스트루먼트(Texas Instruments)의 수석 보안 아키텍트다.

마이크 실러(Mike Schiller)

CISA 자격 보유자로서 텍사스 인스트루먼트의 최고 정보보안책임자(CISO)다. 텍사스 인스트루먼트와 사브레(Sabre)의 IT감사 책임자를 비롯해 IT감사 분야에서 15년 이상의 경력이 있다. CACS, 인포섹 월드, ASUG(Americas ‘SAP Users’ Group)와 같은 콘퍼런스에서 연사로, 남부 감리교 대학교(Southern Methodist University)에서 IT감사 과목의 강사로 활동했다. 이 책의 3개 판 모두에 저술팀의 일원으로 빠짐없이 참여했다. 텍사스 A&M 대학교를 졸업했다.

크리스 데이비스(Chris Davis)

안전하고 유연한 하이브리드 클라우드 인프라 구축을 원하는 고객을 대상으로 Caveonix를 통해 제품 전략, 아키텍처 전략을 추진하고 있다. 전 세계 기업과 정부기관을 대상으로 한 인증 커리큘럼, 위험 관리, 감사, 하드웨어 보안 설계, 고급 컴퓨터 포렌식 분석, 정보 보안 분야에서 교육 훈련과 강연 활동을 해왔다. 오라클, 아마존, VMware, VCE, 크리티컬 스타트(Critical Start), 애큐데이터 시스템즈(Accudata Systems), 포스카웃 테크놀러지(ForeScout Technologies), 텍사스 인스트루먼트에서 근무한 경력이 있다. 토마스 에디슨(Thomas Edison)에서 원자력공학 기술 학사 학위, 오스틴에 있는 텍사스 대학교(University of Texas)에서 경영학 석사 학위를 취득했다. 정보 보안, 법의학, 감사 분야의 책을 다수 저술했으며, 이 분야의 기여 저자로도 참여했다. 그중 일부는 다음과 같다. 『Hacking Exposed Computer Forensics 1/e & 2/e』(McGraw-Hill), 『Anti-Hacker Tool Kit 2/e & 3/e』(McGraw-Hill), 『Computer Security Handbook 5/e & 6/e』(Wiley)

정보기술(IT) 감사 실무를 수행하는 내부/외부 감사인, IT 역량을 갖추려는 학생, 기업 내 IT 부서 구성원에게 이해하기 쉽고 실용적인 IT 전문 지침서를 제공하려는 취지로 이 책의 번역을 하게 됐다.
이 책의 저술에 참여한 9명은 미국 IT업계의 최고 베테랑이다. 한국어판의 독자는 다수의 옮긴이 해설을 포함, 최신 IT 용어와 관련 개념을 포괄적으로 접할 수 있다. 이 책은 IT와 인접 분야(규제 법규, 경영조직론, 인간관계론, 마케팅, 경영분석, 정보시스템, 회계감사 등) 지식을 접목시킨 융합 개론서다. 또한 해커용 안내서가 아니라 감사인이 회사의 IT 시스템, 업무프로세스에 대한 내부통제(IC)와 보안(security)을 평가, 판단하는 방법의 안내서다.
많은 IT 활용 기업이 갈수록 더 많은 데이터를 수집하고 저장하고 활용할 수 있게 되면서 이들 데이터 처리 시스템 자체에 대한 감사의 필요성과 데이터의 활용 분석이 더욱 중요해지고 있다. IT 기술은 계속 발전하고 있으며, IT 발전에 부합하는 감사 기법도 함께 발전해야 한다.
이 책의 1부에서는 IT감사 기능의 가치극대화라는 목표하에 IT감사부서의 효과적인 구축, 유지 방법, 감사인의 처신, IT감사 프로세스 등을 다룬다. 2부에서는 IT 시스템, 업무 프로세스에 대한 감사 기법과 다양한 신기술(예를 들어 클라우드 컴퓨팅, 사이버보안 프로그램, 빅데이터, 데이터센터, 최종 사용자 컴퓨팅, 데이터 리포지토리 등)을 소개한다. 또한 최신 ICT의 동향, 세계의 주요 IT 기업, 제품, 기술의 탄생과 발전의 약력, 정보 자산의 보호 통제 지침(종합 체크리스트) 등을 주제별로 설명한다. 3부에서는 IT 활용 기업에 관련된 프레임워크, 표준, 규제 법규, 리스크 관리를 다룬다. 이 책은 IT 실무 지침서와 한국 공인회계사(KICPA) 및 미국 정보시스템감사인(CISA) 자격시험의 준비서로서의 역할을 훌륭히 해낼 것으로 기대된다. 시절의 인연에 따라 최근 공인회계사(KICPA) 시험 과목 체계가 회계감사에서 IT 비중 확대 및 필수 이수과목에 IT 과목 3학점 추가로 개편됐다.

지현미

계명대학교 경영대학 회계세무학부 회계학 전공 교수로, 한국 및 미국 공인회계사(KICPA, AICPA)며, 국내 회계법인과 금융감독원에서 회계 및 감사업무를 수행한 경력이 있다. 계명대학교에서는 재무회계, 회계감사, 재무제표 분석 등의 과목을 가르치고 있다. 전공 관련 학회, 콘퍼런스, 웨비나 형태의 세미나 등에서 연사나 토론자로 꾸준히 활동하고 있다. 또한 각종 공공기구(기획재정부 국가회계제도심의위원회, 대구광역시 남북교류협력위원회, 대구지방법원 민사조정위원회 등)의 위원과 학회(한국회계학회 회계저널 편집위원장, 한국경영학회 이사) 구성원으로 대외 활동 중이다. 성균관대학교에서 경영학(학사, 석사, 박사) 학위를 취득했다. 집필한 책 중 일부는 다음과 같다.
『지금 당장 국제회계기준(IFRS) 공부하라』(한빛비즈, 2010), 『생활 속 회계탐구』(삼영사, 2013), 『New ISA를 반영한 알기 쉬운 회계감사』(삼영사, 2015), 『원칙 중심 K-IFRS 교육: 개념체계 기반 접근법(회계윤리와 종합사례)』(한국회계기준원, 2016), 『포렌식 탐정의 화이트칼라 범죄 제거전략』(교육과학사, 2016), 『IFRS 재무제표분석 제5판』(삼영사, 2018), 『리스크 기반 ISA 회계감사』(삼영사, 2019) 등이 있다.

최영곤

계명대학교 경영대학 회계세무학부 회계학 전공 소속의 명예교수로, 한국 공인회계사(KICPA)다. 계명대학교에서 33여 년 동안 재무회계, 회계감사, 회계정보시스템, 법규(회사법, 행정법, 세법) 등의 과목을 강의했다. 집필한 저서와 역서 중 일부는 다음과 같다.
『통계적 표본 회계감사론』(법문사, 1983), 『기초적 감사개념에 관한 보고서』(계명대 출판부, 1992), 『디지털정보의 보안』(박영사, 2000), 『정보시스템』(탑북스, 2012), 『기업정보자원의 보호론』(범한, 2012), 『투자구매협상의 심리』(탑북스, 2011), 『포렌식 탐정의 화이트칼라 범죄제거전략』(교육과학사, 2016), 『리스크기반 ISA회계감사』(삼영사, 2019), 『세법요론 제3판』(세학사, 2019) 등이 있다.
연세대학교에서 경영학(학사, 석사, 박사)과 서울대학교 행정대학원에서 행정학(석사) 과정을 이수했고, 행정고시는 제19회다. 9년에 걸친 공직(경제과학심의회의, 체신부, 감사원) 활동 후 교직으로 전향했다. 음향시스템(CREDENZA(8-30) phonograph와 Turntable을 통한 SP와 LP의 구동) 이용 관련 취미활동은 미국 University of Rhode Island 교환교수로 체류 중 시작하고, 지금도 계속 중이다.