예방 vs 탐지 구분 + 임계값 설정 + 예외 리포트 절차
통제 테스트를 설계할 때 가장 먼저 고려하는 건 통제 목적이 무엇인지 명확히 하는 것입니다. 같은 프로세스라도 예방 통제인지 탐지 통제인지에 따라 테스트 방법이 달라집니다. 샘플 크기는 통제 빈도에 따라 다른데, 일별 통제는 샘플을 줄이고 연간 통제는 샘플을 늘리는 방식이 일반적입니다. 상시 모니터링에서는 임계값 설정이 핵심인데, 너무 낮으면 오탐이 넘치고 너무 높으면 실제 이상치를 놓칩니다.
모니터링 결과를 누가 리뷰하고 어떤 행동을 취하는지 명확히 해 두지 않으면 시스템을 구축해도 운영이 안 됩니다. 예외 리포트 처리 절차를 함께 설계하는 것이 실효성 있는 모니터링의 전제 조건입니다.