기업이 직면한 새로운 기술 위험의 규모가 계속 증가함에 따라 IT 감사인은 이러한 위협을 파악하고 조직이 이를 해결할 수 있도록 지원하는 데 핵심적인 역할을 수행한다.

글로벌 컨설팅 기업 프로티비티(Protiviti)와 공인 내부 감사자 국제전문협회 IIA(The Institute of Internal Auditors)가 실시한 설문조사에서 IT 감사인들이 밤잠을 이루지 못하게 하는 위험을 밝혀냈다.

이번에 발표된 11차 연례 보고서 "글로벌 기술 감사 리스크 조사"는 550명 이상의 최고 감사 책임자(CAE) 및 IT 감사 전문가 그룹을 대상으로 단기(12개월) 및 중기(2~3년) 기간 동안 자사가 직면한 기술 리스크에 대해 설문 조사했다.

조사에서 나타난 내부 감사 기능이 가장 우려하는 위험 요소는 사이버 보안, AI 준비와 내부 조직의 상당한 격차, 인재 부족으로 나타났다.

응답자의 거의 75%가 향후 12개월 동안 사이버 보안을 고위험 영역으로 간주하고 있으며, CAE 및 기술 감사 리더 중에서도 훨씬 높은 비율(82%)을 차지하고 있다. 이러한 위험을 해결하려면 리더와 경영진이 완화 계획을 수립해야 한다. 조직에서는 비즈니스 기능에 새로운 기술의 통합이 증가함에 따라 차세대 사이버 위협이 향후 2~3년 동안 가장 큰 위험을 초래할 것으로 예상하고 있다.

응답자의 28%만이 향후 12개월 동안 AI(생성 AI 포함) 및 머신 러닝(ML)의 사용을 심각한 위협으로 지적했다. 그러나 AI가 즉각적인 위협으로 인식되지 않을 수도 있지만 위험 시점에서 빠르게 증가하고 있다.

구체적으로 설문 참가자의 54%는 생성 AI를 포함한 첨단 AI 시스템이 향후 2~3년 내에 상당한 위험을 초래할 것이라고 생각한다. 기술이 더 널리 받아들여지고 비즈니스 운영에 통합됨에 따라 기술이 도입하는 복잡성과 불확실성은 더욱 절실해질 것이다. 생성AI 및 ML 위험을 처리하는 데 있어 기술 감사 그룹의 준비 수준 또는 숙련도가 수용 가능한 수준이라고 믿는 조직은 거의 없다.

기업이 사이버 및 AI 관련 리스크를 해결하려면 인재와 기술이 부족한 상황에서 이 분야에 이해가 깊은 인재를 채용해야 한다. 기업은 기존 인재 풀을 유지하고 고도화하는 것뿐만 아니라 필요한 리더와 팀원을 채용하는 데 집중해야 한다. 사이버 및 AI와 같은 분야에서 인재와 지적 자본이 부족한 기업은 이러한 리스크가 현실화되면 스스로 노출될 것이다.

향후 12개월 동안 감사 기능이 중대한 위협으로 인식하는 분야로는 타사/벤더(60%), 데이터 개인 정보 보호 및 규정 준수(58%), 변환 및 시스템 구현(55%) 등이 있다.

안젤로 폴리카코스(Angelo Poulikakos) 프로티비티 기술 감사 및 자문 실무 글로벌 리더는 "기술적 문제에 관한 한, 회사들은 광범위한 위협에 직면하고 있을 뿐만 아니라 이러한 위협들 각각은 놀라운 속도로 변하고 있다."라며, "사이버와 AI 관련된 위험은 몇 년 전과는 근본적으로 달라 보이고, 확실히 계속해서 진화할 것이다. 내부 감사를 더 자주 수행하고 고급 분석 도구와 기술을 감사 프로세스에 통합하는 회사들은 이러한 변화에 더 많이 더 많이 추가될 것이고, 결과적으로 실제 문제가 발생할 때 더 준비가 될 것이다. 많은 조직들이 현재 장기적인 인재 격차의 전략적 위험에 대처하고 있으며, 이것이 더 많은 CAE와 감사인들이 이 문제를 인식하고 있는 이유이다."고 말했다.

브래드 J. 몬테리오(Brad J. Monterio) IIA 회원 역량 및 학습 담당 EVP는 "IT 감사인은 기업 전반의 기술 위험에 대해 회사가 잘 이해할 수 있도록 돕는 데 중요한 역할을 한다."라며, "이 설문조사는 CAE와 팀이 감사 계획을 수립할 때 향후 몇 년 동안 노력을 집중해야 할 부분에 대해 귀중한 통찰력을 제공한다. 또한 조직이 위험 대비를 강화하기 위해 전략적으로 인재에 투자하는 것을 고려해야 하는 영역을 파악하는 데 도움이 된다."고 밝혔다.

이 보고서는 2023년 6월부터 7월까지 전 세계적으로 다양한 산업을 대표하는 559명의 최고감사책임자(CAE) 및 IT 감사 전문가를 대상으로 실시된 설문조사를 기반으로 한다.