7. 통합된 IS 감사자와 통합된 IS 감사

7. 통합된 IS 감사자와 통합된 IS 감사

2) 통합된 감사

- IS 환경 내 효과적인 감사를 달성하는데 가장 큰 장벽은 IS 감사가 개별적이고 고유하고 특별한 감사 분과라는 가정을 포함

-> 반면에, 기본적인 내부 감사자 기술 세트(통합된 감사자)는 요구된 제한적인 IS 지식을 가지고 있는 회계와 일반 비즈니스 지향적이라는 점

- 많은 조직들은 조직의 나머지 전체에 비즈니스 프로세스가 리엔지니어링 됨에 따라 내부감사를 재정의함

자가 통제 평가

검증되고 실행됨에 따라 또한 대량의 리엔지니어링과 재조직화가 진행 중임

- IT는 조직 내 확산되고 있고 IS를 독특하고 특별하게 만들려고 애쓰는 구조들은 쓸모 없고 비생산적

지정을 만들어 왔음

-> 지나친 전문화를 제거해야 하고, 기능 전문가들에 의해 단지 감사될 수 있는 특별한 조직 기능 보다는 오히려 보편화되고 중요한 조직 자원으로써 IT를 정확히 재분류 해야 함

3) 감사 팀의 부분인 피 감사인

- 효과적인 내부 통제 : 누구나 효과적인 내부통제를 가지기를 원하고 그 목표를 달성하기 위해 함께 일할 때만 성취될 수 있음

- 팀 기반 감사 : 오래 선호된 통합된 감사 접근이 되어 왔고, 팀 노력에서처럼 성공은 공유된 목표와 완전한

8. 감사도구

1) 애플리케이션

- 컴퓨터 감사자들을 위해 활용할 수 있는 도구들 : CAATs 뿐만 아니라 시스템 질문지, 통제 질문지, 인터뷰, 문서화와 같은 표준도구들을 포함

- CAATs, 테스트 데이터 생성기, 플로우차팅 패키지와 같은 통제 평가 도구들은 전문화된 감사 소프트웨어, 일반화된 감사 소프트웨어, 유틸리티 프로그램들, 보고 프로그램과 일반 질의 언어와 같은 비 감사 특정적인 소프트웨어와 결합될 것임

- 위험 분석기, 감사 기획 소프트웨어, 자동화된 작업 페이퍼들이 또한 이런 환경에서 유용한 도구로 확인될 수 있음

2) 향상된 시스템들

- 종이 없는 시스템[예, 전자 데이터 교환(EDI) 또는 의사결정지원 시스템(중역정보시스템(EIS)]과 같은 향상된 시스템들에 대한 감사는 위험 승수 요소를 포함함

- 위험은 그 시스템에 대한 조직 의존도에 의해서 제한됨

-> 이런 영역에서 위험은 조직의 계속되는 존속을 위협할 수 있기 때문에 대개 평가되지 않고 저평가됨 - 향상된 시스템들은 조직 경쟁력을 유지하기 위해 설계된 거대한 조직 투자임

-> 어떤 경우에 그것들은 효과성, 효율성, 경제성에 거대한 영향을 가지는 조직의 완전한 리엔지니어링을

이끌 수도 있음

8. 감사도구

3) 전문가 감사자

- 많은 조직들은 전통적인 IS 감사자의 범위를 넘어서는 것으로 분류된 과업을 수행하기 위해, 그들의 IS 감사 기능 내 전문가들을 이용함

-> 전산화된 시스템에 대한 성능 감사, 논리적 컴퓨터 보안 감사, 통신 감사, 기술적인 전문가의 영역을 감사, IS 전략 기획을 감사하는 것과 같은 영역을 포함

-> 이 영역들 모두에서 기술적 역량의 더 높은 수준이 대개 요구됨

-> 많은 조직 경우에 내부적으로 그런 기술을 보유하는 것이 비용 효과적이지도 않고 바람직스럽지도 않음 -> 이런 환경에서, 조직은 기술적 전문가에게 아웃 소싱을 하거나 자문 기술을 이용할 것임

- 전문가 IS 감사 역량이 내부화 되는 곳 : 경력 발전이 문제가 될 수 있는데, 그런 높은 수준의 기술적 기술은 대개 IS 감사, IS 보안, IS 자체 내에만 요구되기 때문임

4) IS 감사 품질보장

- 어떤 다른 감사 영역처럼 품질보장(Quality Assurance; QA)은 감사 관리자의 책임으로 남음 - 실제로, 이것은 감사 관리진 뿐만 아니라 다른 IS 감사자들에 의해 감사 작업의 검토를 대개 포함

- IS 감사 기능 내 피 감사인과 IS 부서의 신뢰성을 유지하기 위해, IS 감사 작업이 제시된 영역 모두에서

기술적으로 역량 있는 것으로 보이는 것이 중요함

정보시스템 감사 프로세스

13 장. 감사 증거 프로세스

정보시스템 감사 프로세스

13 장. 감사 증거 프로세스

1. 감사 증거

2. 통계적 샘플링

3. 계량적 방법

1. 감사 증거

- 충분하고, 신뢰할 수 있고, 적절하고 유용한 것으로 상정될 기본적인 감사 증거 프로세스와 증거의 수집을 탐구 -> 통계적/비통계적 샘플링 기법, 샘플의 설계와 선택, 샘플 결과의 평가, 계량적인

방법이라는 영역이 검토됨 1. 감사 증거

- IS 감사자 : 의견을 표현하기 위해 감사 증거를 수집해야 함 - 감사 증거 자체 : 충분한, 역량 있는, 적절한, 유용한 것으로 분류 - 증거 : 전형적으로 물리적, 증언적, 문서적, 분석적 증거로 분류

1) 감사 증거 절차

- 감사자 : 적합한 증거를 얻기 위해 준수하게 될 상세한 단계들의 집합인 감사 프로그램을 따라가며 증거를 수집 -> IS 감사자 :

- 수집된 증거 : 활동의 효율성, 경제성, 효과성에 대한 의견의 표현을 허용

-> 그것은 정보의 검토와 평가를 위한 방향을 목록화(list)하고, 감사 필드 작업과 감사 보고서 사이에 주요한 연계를 제공

- 감사 프로그램을 구성하는 단계들 : 예비적인 조사로부터 결과를 결정하고, 어떤 위험이 지정되는지

결정하고, 어떤 통제의 형태가 그 위험들을 가장 잘 다루는가를 결정하고, 감사자가 좋아하는

1. 감사 증거

1) 감사 증거 절차

- 감사 프로그램 : 감사자가 스케줄/예산 선상에 있는 것을 지원함, 그것은 ‘형식화(pro-forma)’ 되거나 특정하게 재단될 수 있지만, 어느 경우든 다음의 편익을 제공

-> 감사 작업의 각 단계가 팀 구성원들에게 일을 할당하는 기초를 제공하는 체계적인 계획 -> 진전사항을 통제하고 평가하며 미경험 스태프 구성원을 훈련하는 것을 지원하는 수단 -> 행해진 작업의 요약 기록을 제공

-> 구성원들에 대한 분명한 경로를 제공함으로써, 직접적인 감독 요구사항을 줄이고 내부적 감사 품질보증 정보를 제공

- 최종 감사 프로그램 : 감사 동안 그 프로그램이 수정되는 경우라도 예비 조사 후에 즉시 준비되어야 함 - 새로운 형식의 감사 프로그램이 도입되는 곳 : 미리 잘 준비되고 필드 테스트되어야 함

- 너무 늦게 준비된 프로그램 : 급하게 되고 상실하는 단계를 가짐 - 감사 프로그램의 준비 : 조직의 위험한 것에 초점을 두어야 함

- 프로그램 : 모든 항목이 체크될 필요는 없고, 합리성과 적절성이 유지되어야 함

1. 감사 증거

2) 성공을 위한 기준

- 감사 프로그램이 성공적이기 위해 : 운영의 목표가 언급되고 피 감사인 관리진에 의해 동의되어야 함

-> 감사 프로그램의 공통된 실패 : 대답될 질문의 리스트 생성임

- 감사 프로그램 : 감사 증거의 획득에서 따라와야 하는 일련의 상세한 명령어들

-> 이러한 작업 단계들은 먼저 가장 중요한 통제 목표에 대한 증거를 구하도록 우선 순위화 되어야 함 -> 모든 감사 프로그램은 다루어지지 않은 증거에 기초하여 환경이 변화할 수 있기 때문에 유연해져야 함 -> 감독적인 승인이 모든 감사 스케줄링, 인력배정을 위해 있어야 되고, 감사 제약이 동의되어야만 함

- 감사 감독 : 자원을 요구사항에 매칭하기 위해 전형적으로 표준 프로젝트 관리 기법을 활용할 것임

-> 이것은 감사 프로그램의 승인뿐만 아니라 과업에 대한 정의, 조직화, 모니터링과 직원을 훈련하는 것을 포함

- 감사 감독자의 충족해야 할 사항 : 감사 주제, 감사 목표, 감사 범위, 감사 전 계획, 감사 절차의 선택, 평가나 테스팅을 위한 절차, 커뮤니케이션을 위한 절차, 보고서 준비, 후속조치 검토

- 감사 프로그램 : 구조, 문서화 표준, 시스템 문서화라는 감사 증거의 수집을 제공함

2. 통계적 샘플링

- 많은 경우에 감사자는 모든 단일 기록이나 트랜잭션을 검토해야 되는 것은 아니고 위험의 완화와 관련해서 충분한 보증을 얻을 수 있음

-> 그런 환경 하에, 감사자는 만족스럽고 역량 있는 증거를 획득하기 위해 다양한 샘플링 기법을 사용하는 것을 선택할 것

-> 감사자는 비통계적이거나 통계적 샘플링 기법을 사용하는 것을 선택할 것

◈ 통계적 샘플링 : 전체로서 모집단에 대한 결론을 평가하고 이끌어내기 위해 항목의 집단 중 부분을 테스팅하는 과정

◈ 비 통계적 샘플링 : 선택되는 항목의 수나 어떤 항목인지와 관련, 판단 추출을 하는 것을 수반, 이 샘플링 기법은 감사자가 전체 모집단에 대한 결론을 반드시 도출함이 없이 몇 가지 예를 검토하는 것을 원하는 곳에서 타당함

1) 샘플링 이유

- 샘플링의 기저 가정 : 샘플의 결과가 샘플이 취해진 모집단에 대한 정확한 정보를 산출한다는 것

- 만약 감사자가 샘플링을 사용하지 않는다면 : 계정 균형을 구성하는 모든 항목이나 트랜잭션의 어떤

등급(class) 내 일어나는 모든 트랜잭션이 검토될 필요가 있을 것임

b) 획득된 편익보다 비용이 훨씬 더 들게 될 것

- 샘플링 : 감사자가 거의 동일한 정보를 획득하는 수단을 훨씬 더 낮은 비용으로 제공해 줌

(대개의 경우 전수조사는 상당한 비용도 문제지만 물리적으로 불가능한 경우가 많음)

2. 통계적 샘플링

1) 샘플링 이유

- 두 가지 기본적인 샘플링 접근법이 있음 : 판단(비통계)적인 것과 통계적인 것

-> 각각은 어떤 모집단을 위해 적합하나, 다른 모집단을 위해서는 그렇지 않을지도 모름

-> 적합한 접근을 선택하는 것 : 위험, 모집단 특징, 테스팅의 목표에 대한 일부 주요한 문제들에 답하는

것을 포함 -> 그 답들은 최선의 접근과 가장 효율적인 감사 계획을 이끌어주게 됨

2) 통계적 접근(확률적 추출 방법)

- 통계적 샘플링에서, 샘플은 모집단의 대표가 될 것으로 기대될 수 있는 방법으로 선택됨

-> 그렇게 함으로써, 감사자는 크기나 비율이나 에러와 같은 샘플의 적절한 특성이 모집단의 그것들과 수학적으로 비례되어야 함을 의도함

-> 이것이 타당하도록 하기 위해 난수표 이용방법(현실적으로 잘 사용하지 않음)이나 랜덤(무작위) 선택과 같은 적합한 샘플 선택 기법과 충분한 샘플 크기가 고려되어야 함

-> 그 모집단을 위한 특정한 값을 추정하기 위해, 샘플링 결과는 모집단에 투사되는데(추정 되는, extrapolate) 사용될 것임

-> 샘플이 더욱 대표적일수록 그 추정은 더 정확해짐

2. 통계적 샘플링

2) 통계적 접근(확률적 추출 방법)

- 통계적 샘플링 방법에서 변수의 특성에 따라 속성(attribute) 샘플링과 변량(variable) 샘플링으로 나눔

◈

샘플링 :

◈

샘플링 :

(☞ p. 114) 3) 판단(비통계적) 샘플링(비확률적 추출 방법)

- 감사자는 샘플링 에러의 위험을 가늠하고 모집단을 평가하는데 자신의 전문적인 판단에 의존

-> 샘플이 전체 모집단의 대표가 되도록 의도되지 않기 때문에, 샘플 결과가 전체 모집단으로 추정될 수 없음 -> 감사자가 제한된 목적을 위해 샘플을 사용하도록 의도하는 곳에서 대개 사용됨

-> 감사자는 적은 비용과 시간이 소요되는 이 방법을 통해서 감사목적을 달성할 수 있는 경우에는 판단 샘플링을 사용하게 되며, 감사기준에서도 이 방법의 사용을 허용하고 있음

-> 감사자가 모집단의 섹션이 더 위험한 리스크가 있다고 인식하는 곳에서, 그 샘플을 특정한 영역으로

방향 짓도록 결정할 것임 (감사자는 검토될 모집단을 선택하는데 전문적인 판단을 발휘하고, 도출된 결론은 타당성을 보장하기 위해 주의 깊게 판단되어야 함)

* 판단 샘플링 : 만약 감사자들이 모집단 내 어떤 항목들이 오진술을 더 포함할 것 같은지에 특별한 지식을 가지고 있지 않다면, 주요한 감사 절차로 활용되지 않아야 함

-> 판단 샘플링 : 예측의 타당성을 체크하기 위해 몇 몇 상세한 트랜잭션을 검토함으로써, 다른 분석 결과의 구성부분과 같은 제한된 목적(예, 샘플링이 주요한 감사 절차가 아닐 때)을 위해 사용되어야 할 것임