1) 관리 프로세스

2. 관리

- 관리 :

1) 관리 프로세스

- 관리 프로세스는 조직의 비즈니스에 대한 이해 로 시작

-> 이것이 달성될 때 까지, 조직의 필요를 결정하려는 시도는 기껏해야 오도될 것이고 최악의 경우 재난이 될 것임

-> 일단 비즈니스에 대한 전체적 목표와 환경이 설정되면, 필요를 설정하는 것은 비교적 쉬운 업무가 됨

-> 조직의 필요는 효과적인 성과가 조직을 만들거나 해체할 수 있는 핵심 활동들을 확인하고 검토함으로써 결정될 것임 (핵심성과영역; Key Performance Areas; KPA)

-> 이러한 주요 활동들은 자체로 모니터링 되어야 하고 그러므로 야심찬 성과 목표는 계획

프로세스에서 초기에 설정되어야 함 (핵심성과지표; Key Performance Indicator; KPI-> 측정) -> 충족된다면 효과성을 줄이거나 전체적으로 목표를 부정할 일정 범위의 위협에 모든 성과 목표는

직면-> 적합한 기업의 대처 전략을 결정하기 위해 공식적인 위험 평가로 평가되어야 함

-> 대처하거나통제하는 전략은 관리진에 의해 결정되어야 하고 적합한 통제 자체가 선택되어야 함 -> 실제의통제는 실행되고 모니터링 되어야 하고, 이것이 발생한다고 보장하는 통제가 거기에 존재

해야 함, 일단 실행되면 통제는 성과에서 유효해야 하고 주기적으로 관리진은 성과를 평가하고 검토해야 함

2. 중역 경영진의 책임과 기업 거버넌스

- 기업 거버넌스 : 회사의 방향과 성과를 결정하는데 다양한 참여자들 사이에 관계로 정의됨

-> 이 정의 하에, 기업의 목표는 사회적 구조에서 인간 만족의 달성을 포함하는 것으로 추가 정의됨 ->효율성, 효과성, 유연성, 연속성이 기업의 목표를 충족하는 중요한 부분을 구성

- 관리(경영) :

-> 중역 : 일반 관리진에 조언을 제공하고, 이사회 후보를 추천하고, 내부 통제의 적합성에 대한 검토를 제공

4. 감사 역할

- 감사 형태

-> 내부감사 : 내부 통제에 대한 관리 시스템의 충분성과 효과성을 검토 -> 외부 감사 : 감사된 실체의 재무적 계정의 표현에 대한 공정성을 보장

-> 공공부문 감사 : 서비스 제공을 보장하기 위해 관리 프로세스의 효과성과 효율성을 보장 -> IS 감사 : 그 밖의 영역의 어떤 것에 활용

- 감사 프로세스 : 통제 전략 평가, 통제 충분성과 효과성, 성과 품질 평가, 단위 성과 보고, 후속조치를 활용 -> 전체적인 감사 성과에 대한 표준은 대개 ISACA 기준에서 설정된 (전문적인) 수준까지를 의미

1) 개념적 기반

- 포함 사항 : 잘못된 감사 의견을 표현하는 위험에 대한 평가를 포함함

2) IS감사 기능 내 전문주의

- IS 감사 책임 :

- IS 감사는 특정한 감사의 계획을 포함함

- IS 감사 중요 기능은 주요 관리자와 이해관계자에게 감사 결과를 소통하는 것

- IS감사라는 전문주의 : ISACA 전문가 윤리강령과 IS 감사기준 양자의 준수에 의해 입증됨

4. 감사 역할

3) 외부 감사자와 내부 IS감사의 관계

- 외부 감사자 : 조직과 이해관계자 모두에게 주로 책임을 짐, 재무적 문제에 대한 보고에 법령상의 책임을 가짐

- 내부 감사자 : 그러한 법령의 책임을 성취하는데 주요한 역할을 담당함, 그런 경우에, IS감사가 내부 감사 기능의 주요한 부분인 반면에, 그것은 또한 독립적인 외부 감사자의 일의 실행 내에 통합된 기능으로 인식되어야 함

4) 다른 조직 감사 활동과 IS감사의 관계

- IS감사와 다른 조직 감사 활동 사이 관계의 이해는 IS 감사의 본질을 완전히 이해하기 위해 필요

- IS 감사자는 외부 컨설턴트의 역할을 하거나 내부 역할을 하지만, IS감사 기능에 대해 독립적인 IS감사 기능의 주요한 부분으로 인식될 수 있음

-전체적으로, 감사 기능의 역할과 책임은 전형적으로 감사 헌장(audit charter)에서 찾을 수 있음

5. 감사 헌장

- 헌장 :

- 최고 중역, IS 감사의 수장, 라인 관리자들 사이에 존재해야 하는 관계와 책임을 정의하기 위해, 중역이 헌장의 기안에 밀접한 관심을 가지는 것이 상당히 바람직한 것으로 인식됨 -> 많은 감사 기능들이 독자적 헌장을 작성하고 최고 중역과 감사 위원회로부터 재가를 구함 -> 최고 경영진에게 그 조직 내 내부 통제의 신뢰성과 품질에 관한 보증의 수준에 대한 측정을

제공함, 그것은 또한 감사 기능의 구조, 계획, 보고서가 검토될 때 참조의 지점으로 작용함

- 조직의 운영 관리자들 :

검토할 때, 감사 기능에 위임된 것으로 작용하는 권한의 수준을 헌장이 지정함 -> 그들은 그 문서의 본체 내 제약사항을 알기를 기대할 것이고, 제약사항은 의사결정자로서

그들 자신의 권리(rights)를 보유하게 됨

○ 헌장 내용

- 헌장의 형태, 내용, 문구는 대개 감사 기능 자체에 의해 선택됨

-> 전형적으로 IS감사 기준(standard)에 의해 영향 받을 것이고 적합한 전문적 몸체에 의해 정의 되는 것처럼, 최고 모범사례(전문적 best practice)를 촉진해야 함

-> 독립적인 발행물 또는 공식적으로 구성된 IS감사 기능의 경우에는 IS 감사 헌장의 부분이 될 수 있음

- 문서는 대개 최고 중역과 감사 위원회 의장 양자에 의해 서명됨, 문서 자체는 전형적 으로 다음과 같이 구성됨(①

② 사람, 소유권, 자산, 기록물에 접근 권한뿐만 아니라 보고의 라인을 포함하는 IS감사의 수장이 행하는 권한 ③ IS감사의 역할과 작동하는 목표를 상세한 수준으로 기술하는 참조의 조항)

6. IS 감사 활동의 아웃소싱

- 많은 조직들은 IS감사 기능을 아웃소싱 하도록 결정

-> 어떤 경우에, 이 결정은 내부 감사 기능 안에 전문 기술의 부족 때문에 이루어짐 -> 또 다른 경우에 IS감사 기능을 최신으로 유효하도록 유지하는데 필요한 기술과

규율을 내부적으로 조직이 유지하는 것이 비용 효과적이지 않음

- 기능이 아웃소싱 된 모든 경우에, 기능의 통제가 전문적인 수준으로 유지되고 있다는 보장을 경영진은 요구함

-> 이것을 달성하는 방법 : 마치 그 기능이 전문적인 관행을 위해 국제적으로 받아 들여진 기준과 순응하는 내부적이었던 것과 동일함

-> 그런 기준과 준거성을 보장하는 것은 감사위원회 역할의 부분이고, IS감사 기능상에 수행되도록 하기 위해 대개 품질 보증 검토의 위임에 의해 이루어짐

7. 규제, 통제, 표준

- 점차적으로, IT 서비스의 인가와 감사는 충분한 보안과 통제가 존재함을 보장하기 위해 내부나 제3자에 의해 제공되어야만 함

- 충분성(adequacy)을 결정하는데 이용될 수 있는 몇 가지 평가 방법

-> ITIL(IT Infrastructure Library)

-> COSO 내부통제^-통합된 프레임워크와^COSO 전사적위험관리^-통합된 프레임워크 -> 기타

이와 같은 표준들을 이용하는

정보기술 보안평가 기준), TCSEC(Trusted Computer System Evaluation Criteria; 신뢰된 컴퓨터 시스템 평가 기준), ISO 9000 평가를 포함

(* p. 73 각주 참고)

정보시스템 감사 프로세스

7 장. 정보시스템 위험과 기본적 감사 개념

정보시스템 감사 프로세스

7 장. 정보시스템 위험과 기본적 감사 개념

- 중대성(materiality) 개념 : 계약 중대성 - 증거의 품질과 종류

- 증거를 찾는데 포함된 위험

1. 컴퓨터 위험과 노출

- '통제’ : 조직의 목표 성취에서 함께 합쳐지고 사람들을 지원하는 어떤 조직의(조직의 자원, 시스템, 프로세스, 문화, 구조와 과업을 포함하는) 모든 요소들을 포함

-> 통제는 그 조직이 목표를 신뢰성 있게 달성할 것이라는 합리적인 보증을 제공하는 정도 에 따라 '유효하다’

-> 리더십은 불확실성에 직면하여 선택 하는 것을 포함

-> '위험'은 한(명) 또는 그 이상의 사람들이나 조직들이 그와 같은 선택으로부터 역의 결과를 경험할 가능성, 위험은 기회의 거울 이미지

-> 모든 실체(entities)는 크기, 구조, 본질, 또는 산업에 상관없이 위험과 직면

-> 모든 비즈니스 결정들은 금융, 상품라인 이나 원천(source), 공급의 방법과 같은 요소를 포함하는 위험 요소를 가지고 있음

-> 모든 사업, 상품, 프로세스는 어느 정도의 위험을 포함

- 위험 관리 : 다음에 의해 상품, 프로세스, 또는 사업을 평가하는 것을 포함함

각 프로세스와 관련된 통제를 확인함, 위험을 완화할 때 통제에 대한 시스템의 충분성(adequacy)을 평가함, 각 프로세스와 연관된 주요 통제들을 결정함, 주요 통제들의 효과성을 결정함

- 세 가지 위험 형태가 위험 기반 감사 접근법을 이용할 때 대개 고려됨

1. 컴퓨터 위험과 노출

① 고유 위험

- 어떤 위험을 줄이는 요소들을 고려하기 전에 발생하는 중대한 상실의 가능성

- 감사 대상 영역에 통제가 전혀 없다고 가정할 때, 중대한 오류가 존재할 확률을 의미 - 고유 위험을 평가할 때, 감사자는 무슨 요소들이 어떤 위험이 존재한다고 가리키는 것

뿐만 아니라 위험의 형태와 본질이 무엇인지를 고려해야 함

-> 이것을 달성하기 위해 감사자는 실체가 운영하는 환경과 친숙해야만 함

② 통제 위험

- 고유 위험을 제한하거나 관리하도록 설정된 통제 프로세스들이 유효하지 않을 가능성을 측정함 -> 즉, 감사대상 조직의 (내부) 통제가 감사대상 영역에 발생된 오류나 부정을 적시에 발견하여

수정하지 못할 가능성을 의미

- 내부 감사가 통제들을 타당하게 평가하는 것을 보장하기 위해, 감사자는 어떤 통제들이 유효 한지를 측정하는 방법을 이해해야 함

-> 비즈니스 내에 위험을 최소화하기 위해 보증의 가장 최대 정도를 제공하는 통제를 확인하는

1. 컴퓨터 위험과 노출

③ 감사 위험

- 감사 커버리지가 중대한 비즈니스 노출을 해결하지 못하게 될 위험

-> 즉, 감사인이 감사대상 영역에 중대한 오류가 존재함에도 불구하고 적정 감사보고서를 발행 함으로써 발생하는 위험을 의미

- 감사 수행 시 감사인은 목표 감사위험을 설정해야 함

- 형식상의 감사 프로그램은 감사 위험을 줄이기 위해 개발될 것임, 이것은 주요한 통제들이 위험을 해결하기 위해 존재해야 되는 것과 관련 가이드를 제공하고, 수행되는 추천된

준거성(compliance)과 실질적인 테스트 단계들을 제공함

-> 이러한 프로그램들은 주의해서 이용되고 현행 비즈니스 위험 프로파일을 반영하도록 수정 되어야 함

* 우리나라의 정보시스템 감리기준에서 IS 감사 수행 후 검토의견 총평 -> 적정, 보통, 미흡, 부적정 중 하나를 제시함