기업의 정보보호 수준과 감사노력과의 관련성에 관한 연구

A Study on the Relation between Firm’s Information Protection Level and Audit Efforts

[연구목적]최근 기업들을 향한 사이버 보안 사고 사례 증가와 함께 정보보호의 중요성이 대두되고 있다. 이에 따라 본 연구에서는 정보보호 수준을 향상시키기 위해 기업이 투자한 노력을 내부통제위험과 연결시켜 확인해야 하는 감사인의 입장에서 추가적인 노력 투입과 관련성이 있는지 살펴본다. [연구방법]TS2000 및 정보보호 공시 포털 사이트에서 구성한 표본을 기초로 회귀분석을 실시하였다. [연구결과]연구결과, 정보보호 수준(투자금액, 인력)과 감사노력(보수, 시간) 사이에는 양(＋)의 관련성이 존재하였다. 추가분석으로, 1인당 정보보호 투자금액과 감사노력과도 양(＋)의 관계가 있음을 발견하였으나, 기술 투자금액 중 정보보호 투자금액이 차지하는 비중이 높을수록 정보보호 수준과 감사노력 사이에 영향을 줄 수 있다는 점을 발견하였다. [연구의 시사점]정보보호 투자금액 규모, 인력 규모 등을 적절하게 고려할 필요가 있음을 상기시켰다. 본 연구는 정보보호 분야에서 회계학적 측면의 연구가 가능하다는 점을 시사함과 동시에 관련 문헌 확장에 기여하였다는 데에 공헌점이 있다. 또한 사이버 보안의 대용치로 외부 침입(해킹)이 아닌 정보보호를 선정하여 상대적으로 부족하지만 표본을 확보할 수 있음을 보여줌으로써 선행연구와 차별점을 갖추었다. 그러나 정보보호 공시 의무화 제도가 시행 초기이고 의무공시 대상 기업과 자율공시 대상 기업을 중심으로 표본을 선정하였기 때문에 전체 산업분야 및 다양한 기업 규모를 포괄하지는 못했으므로 결과 해석에 주의가 필요하다.

[Purpose]Recently, the importance of information protection has been emerged with the increasing number of cases of cyber security incidents toward companies. In this study, we examine whether there is relevant implication to the input of additional audit efforts from the auditor’s point of view, whose work includes checking additional efforts invested by companies to improve the level of information protection by linking them with internal control risks. [Methodology]A regression analysis was conducted based on a sample constructed from TS2000 and the information security disclosure portal sites. [Findings]Results of the study show that there is a positive (＋) relationship between the level of information protection (investment amount, manpower) and audit effort (fee, hour). In addition, there is a positive (＋) relationship between information protection investment per person and audit effort, but the higher amount of information protection investment among the amount of technology investment might influence relationship, which reminded us of the need to appropriately consider the size of investment and the size of manpower in information security. [Implications]This study contributes by suggesting that it is possible to study the accounting aspect in the field of information protection and, at the same time, contributes to the expansion of related literature. In addition, by selecting information protection rather than external intrusion (hacking) as a substitute for cyber security, it is differentiated from previous studies by showing that it is possible to identify a relatively small sample to conduct empirical tests. However, since the mandatory information security disclosure system is in its infancy and the sample was selected based on compulsory disclosure and voluntary disclosure, it did not cover the entire industry and various sizes of companies, so care must be taken in interpreting the results.