金融監督院が外部専門業者への業務委託を不十分に運用したり、自社のIT監査を適切に実施しなかった金融会社5社に対し、経営留意を通知した。
23日に金融業界によると、最近金融監督院はキャロット損保、済州銀行、BCカード、KB貯蓄銀行、アクサ損保、ハナ証券に同様の内容の経営留意事項と改善事項を伝えた。これらは中核業務に集中し電子金融取引を効率化するために外部専門業者へ関連業務を委託しているが、金融監督院の検査の結果、第三者サービスに対する管理部署と体制は存在しなかったことが明らかになった。
特にキャロット損保とアクサ損保、KB貯蓄銀行はIT部門の監査組織を構成しているにもかかわらず、およそ3年間外部委託業者に関連する業務の適正性を監査していなかった。金融監督院は「外部委託業務を含めて監査計画を策定し、外部委託業者に対する業務適正性の管理を強化すべきだ」と述べた。
BCカードはクラウドサービスのインフラとセキュリティ運用業務を外部委託業者に委託しているにもかかわらず、これに対する内部監査手続きを運用していないことが判明した。また、委託管理しているクラウドサービスについて運用現況報告書を作成していないなど、ITガバナンスの管理水準も不十分だった。
委託したクラウドサービスインフラに対する災害復旧システムが別途で運用されており、全社的なレベルでの災害復旧が円滑に行われないのではないかとの懸念も出た。
ハナ証券は有事に備えた業務継続計画(BCP)策定のため各業務部署で業務影響分析を実施しているが、各部署は業務影響分析の結果と無関係に復旧目標時間を設定した。
また部署別の協議が不足し、業務影響分析により選定された中核業務とIT非常計画書上の中核業務が異なって運用される問題もあった。金融監督院は「適正性を検討した後に業務影響分析の結果を確定し、当該結果をIT非常計画書に反映すべきだ」と述べた。