객관적 증거 수집

1. 개요

객관적 증거 수집은 감리자가 감리 발견事项과 의견을 뒷받침하기 위해 객관적이고 충분한 정보를 입증하는 활동이다. 감리 증거는 감리 보고서의 신뢰성을決定하는 핵심 요소이며, 피감리 조직에 대한 감리 의견의 근거가 된다. 충분하고 적절한 증거가 없이는 감리 발견의 유효성을 주장하기 어렵고, 감리 결과에 대한 이의가 제기될 때 이를 반박할 근거가 없다.

감리 증거의 핵심 특성은 충분성, 적절성, 관련성이다. 충분성이란 감리 의견이나 발견을 支持하기에 충분한 양의 증거가 수집되었음을 의미한다. 적절성이란 증거가 감리 대상의 실제 상황을 정확히 반영하고,它的 출처가 reliable하며, 합법적인 방법으로 수집되었음을 의미한다. 관련성이란 증거가 감리 목적과 直接적으로 연관되어 있음을 의미한다.

감리 증거는 그 출처에 따라 내부 증거와 외부 증거로 구분된다. 내부 증거는 피감리 조직 내부에서 수집되는 것으로, 시스템 로그, 산출물 문서, 인터뷰 결과 등이 있다. 외부 증거는 피감리 조직 외부에서 수집되는 것으로,第三方 발부 문서, 외부 전문가 의견, 규제 기관公报 등이 있다. 일반적으로 외부 증거가 보다 독립적이고客観적이라고 알려져 있다.

2. ASCII 다이어그램

감리 증거 유형 분류

[감관 증거 유형 분류]

┌─────────────────────────────────────────────────────────────────────┐
│                      감리 증거 유형                                  │
├─────────────────────────────────────────────────────────────────────┤
│                                                                     │
│   ┌───────────────────────────────────────────────────────────┐    │
│   │                     감리 증거 분류                         │    │
│   ├───────────────────────────────────────────────────────────┤    │
│   │                                                           │    │
│   │   [1. 물리적 증거]           [2. 문서적 증거]              │    │
│   │   ┌─────────────────┐        ┌─────────────────┐          │    │
│   │   │ ○ 시스템 장비   │        │ ○ 산출물 문서   │          │    │
│   │   │ ○ 시설 환경    │        │ ○ 계약서/약관   │          │    │
│   │   │ ○ 대면 점검    │        │ ○ 로그 기록    │          │    │
│   │   │ ○ 사진/동영상  │        │ ○ 대장/등록簿   │          │    │
│   │   └─────────────────┘        └─────────────────┘          │    │
│   │           │                         │                      │    │
│   │           └────────────┬────────────┘                      │    │
│   │                        ▼                                     │    │
│   │   ┌───────────────────────────────────────────────────┐    │    │
│   │   │                   증거 핵심 특성                     │    │    │
│   │   │                                                   │    │    │
│   │   │   [충분성] 충분한 양의 증거         [적절성] 출처 신뢰 │    │    │
│   │   │   [관련성] 감리 목적과 직접 연관    [적법성] 합법 수집 │    │    │
│   │   └───────────────────────────────────────────────────┘    │    │
│   │                        │                                     │    │
│   └────────────────────────┼───────────────────────────────────┘    │
│                            │                                          │
└────────────────────────────┴──────────────────────────────────────────┘

증거 수집 방법

[증거 수집 方法별 구분]

┌─────────────┐    ┌─────────────┐    ┌─────────────┐    ┌─────────────┐
│   문서 검토  │───▶│   현장 점검  │───▶│   인터뷰    │───▶│   샘플링    │
│(Doc. Review)│    │(Inspection) │    │(Interview)  │    │(Sampling)  │
└─────────────┘    └─────────────┘    └─────────────┘    └─────────────┘
      │                  │                  │                  │
      ▼                  ▼                  ▼                  ▼
 시스템 문서       시스템 직접         관련자 면담        통계적 표본
 산출물 검증       운용 확인          설명 들기          결과 일반화
 계약서 확인       환경 파악          사실 확인          증거 확대

3. 해석

3.1 증거 수집 방법

감리 증거는 다양한 방법을 통해 수집될 수 있으며, 감리자는 감리 목적과 대상에 적절한 방법을 선택해야 한다.

문서 검토(Document Review): 감리 대상의 산출물 문서, 기록, 계약서, 정책 문서 등을 검토하는 것이다. 요구사항 정의서, 설계 문서, 테스트 결과서, 운영 로그, 조직 정책 등을 확인한다. 문서 검토는 감리 증거의 주요 출처이며, 많은 감리工作在 문서 검토만으로 수행될 수 있다.

현장 점검(Inspection): 감리자가 실제 현장을 직접 방문하여 시스템, 시설, 환경 등을 직접 확인하는 것이다. 시스템의 실제 구성, 보안 장비의 작동 상태, 시설의 물리적 보안 상태 등을 확인한다. 현장 점검은 문서상으로는 확인하기 어려운 실제 상태를 파악할 수 있다는 장점이 있다.

인터뷰(Interview): 감리 대상 관련자와의 면담을 통해 정보를 수집하는 것이다. 개발자로부터 개발 프로세스에 대한 설명을 듣고, 운영자로부터 시스템 운영 현황을 들으며, 관리자로부터 의사결정 과정을 확인한다. 인터뷰는 문서로 남아있지 않는 정보나 맥락을 파악하는 데 유용하다.

관찰(Observation): 감리자가 업무 수행 과정을 직접 관찰하여 절차를 준수하고 있는지를 확인하는 것이다. 시스템 백업 과정, 접근 권한 신청·승인 절차, 인시던트 처리 과정 등을 직접 지켜본다.

샘플링(Sampling): 전수 검사가 어려운 경우 통계적 샘플링을 통해 증거를 수집·일반화하는 것이다. 예를 들어, 수천 건의 변경 요청 중 일부를 샘플링하여 변경 관리 절차를 준수하였는지 검증한다.

3.2 증거의sufficient 조건

충분한 증거란 감리 의견이나 발견을 支持하기에 충분한 양과 качество의 증거가 수집된 상태를 의미한다. 충분성 판단 기준은 다음과 같다.

数量的 충분성: 감리 발견의 중요도에 비추어 충분한数量的 증거가 있어야 한다. 중대한 문제일수록 더 많은 증거가 뒷받침해야 한다. 그러나 단순히 증거의 개수만으로 충분성을 판단해서는 안 된다.

质量的 충분성: 증거의 설득력이 중요하다. 직접 관찰이나 샘플링을 통해 확인된 증거가 문서 검토만으로 수집한 증거보다 설득력이 높다. 또한 제3자 발급 문서가 내부 문서보다 객관성이 높다.

다양성:单一한 출처의 증거보다는 여러 출처에서 수집한 증거가相互 검증되므로 더 신뢰할 수 있다. 문서, 인터뷰, 현장 점검 등 서로 다른 방법으로 수집한 증거가一致하면 발견의 신뢰도가 높아진다.

3.3 증거의 적절성 조건

적절한 증거란 감리 대상의 실제 상황을 정확히 반영하고, 신뢰할 수 있으며, 합법적으로 수집된 증거를 의미한다.

정확성: 증거가 감리 대상의 실제 상황을 정확히 반영하고 있어야 한다. 오류가 있거나 왜곡된 증거는 감리 의견을 잘못導く危険がある。감리자는 증거의 정확성을 검증해야 한다.

신뢰성: 증거의 출처가 신뢰할 수 있어야 한다. 피감리 조직이 제공한 문서라 하더라도, 검증 가능한 경우okies 있으면 신뢰성을確認해야 한다. 출처가 불분명하거나 위조의 우려가 있는 증거는 그 채택에 주의해야 한다.

적법성: 증거는 합법적인 방법으로 수집되어야 한다. 불법적인 접근이나 개인정보 보호법을 위반하여 수집한 증거는 감리에서 활용할 수 없다. 감리자는 수집 방법의 적법성에도注意해야 한다.

3.4 증거 관련성 조건

관련성이란 수집된 증거가 감리 목적과 직접적으로 연관되어야 함을 의미한다.

감리 목적과의 연관성: 증거는 감리 질문이나 목적에 직접적으로 답하는 것이어야 한다. 관련 없는 증거를 많이 수집하는 것은 감리 효율을 저하시킬 뿐이다. 감리자는 각 증거와 감리 질문과의関連性を분석하여 불필요한 증거 수집을 방지해야 한다.

시간적 관련성: 증거가 감리 대상 기간의 상황을 반영하고 있어야 한다. 너무 오래된 증거는 현재 상태를代表하기 어려울 수 있다. 반면, 현재 진행 중인 문제에 대해서는 최근의 증거가 필요하다.

3.5 증거 관리

수집된 증거는 적절히 관리되어야 한다.

증거 보존: 수집된 증거는 감리 보고서 작성, 의견 교환, 향후 분쟁 등에 활용될 수 있으므로, 적정 기간 동안 보존해야 한다. 보존 기간은 조직의 Records Management 정책에 따라 정해진다.

증거 기밀성: 증거에는 민감한 정보가 포함되어 있을 수 있으므로, 적절한 접근 통제가 이루어져야 한다. 증거의 Unauthorized 수정이나 유출을防止해야 한다.

증거 색인: 많은 양의 증거를 효율적으로 관리하기 위해 증거 목록(Evidence Index)을 작성하여 각 증거를 체계적으로整理해야 한다.

4. 핵심 용어 정리

5. analogies 📢

객관적 증거 수집은 형사 사건의 증거 확보와 같다. 형사가 용의자를 기소하려면 범죄 사실에 대한 충분하고 적절한 증거를 법정에 제출해야 한다. 목격자 진술, CCTV 영상,指纹 분석, 전문가는 해석 등 다양한 증거를 수집하고,它们가 법정에서採用될 수 있도록 적법한 절차에 따라 증거를 확보해야 한다. 증거가 부족하거나 부적절하면 범죄를 입증하기 어렵고, 설령 용의자가 실제 범법자라 하더라도 무죄 평형을 받을 수 있다. Likewise, 감리에서도 감리자가 감사 대상에 대한 의견을 제시하려면 충분하고 적절하며 관련성 있는 증거를 수집해야 한다. 증거가 부실하면 감리 의견의 신뢰성이 떨어지고, 피감리 기관으로 하여금 감리 결과에 이의를 제기할 명백한 근거를 제공하게 된다. 형사가 증거 수집에서 소홀히 하면 Justice가 왜곡되는 것처럼, 감리자가 증거 수집에서 부실하면 감리 제도 전체의 신뢰성이 훼손될 수 있다.