정보시스템 감사 프로세스
14 장. 감사 보고 후속조치
정보시스템 감사 프로세스
14 장. 감사 보고 후속조치
1. 감사 보고
2. 후속조치 보고
1. 감사 보고
- 감사 보고와 후속조치 보고를 다룸
-> 감사 보고서의 형태와 내용이 설명되고, 다양한 형태의 의견에 대해 예정된 수령자에게 바람직한 효과를 위해 지정 되듯, 보고의 목적, 구조, 내용, 스타일이 고려됨
-> 권고사항을 실행하기 위해 경영진의 조치를 결정하기 위해 후속조치를 살펴봄
1. 감사 보고
- 궁극적으로, 감사의 가치는 감사의 결과로 발생된 비즈니스 환경의 향상에 있음 -> 어떤 향상도 일어나지 않는 곳에서 그런 감사는 시간과 자원의 낭비가 될 것임
-> 유효한 조치를 하도록 권한 있고 위임 받은 개인들이, 조치의 일부 형태가 통제 환경을 향상시키기에 적합하다고 납득되는 곳에서만 향상이 일어날 것임
- 다양한 개인들은 다양한 목적을 위해 감사 보고서를 이용함
-> 중역 경영진 : 전형적으로 주어진 비즈니스 영역 내에서 내부 통제의 전체 상태에 통찰력을 얻고, 전체 조직을 위해 감사 보고서를 이용할 것임
-> 운영 관리자 : 감사 보고서를 특정 성과와 통제 목표를 달성할 때 특정의 통제의 정확성과 효과성을 결정하기 위해 사용함
-> 다른 기관들 : 특정한 운영의 내부 작동과 비즈니스 영역의 산출물에 부여될 수 있는 신뢰의 정도에 대해 통찰력을 얻기 위해 감사 보고서를 사용함
-> 감사자 : 감사보고서를 이용하여 전체 발견 사항에 대하여, 취해진 조치를 위한 권고사항과 함께 커뮤니케이션 함
- 보고서는 유효한 조치를 취할 위치에 있거나 교정적인 조치가 취해지도록 보장하기 위해 개인들에게 보내짐 -> 조직 내 최고 의사결정자 : 보고서의 복제본이나 보고서의 요약본을 받음
- 감사의 결과 : 대개 서면으로 보고뿐만 아니라 임시 보고서의 형태와 종료(closing) 컨퍼런스의 형태로 구두로 보고됨
1. 감사 보고
1) 임시 보고
- 감사가 진행 중인 동안 준비되고 발표된 보고
- 전형적으로 확장된 감사 상의 보고 진전이나 혹은 즉시 관심을 보증하는 발견 사항에 대해 피 감사인에게 고지하는데 사용됨
- 비록 서면 메모 형태 보고가 발견물 전달의 유용한 증명이 될 수 있어도, 임시 보고는 서면이나 구두가 될 수 있음
- 주요한 이점 : 더 높아진 즉각적인 조치 가능성을 가지도록 피 감사인에게 시의 적절한 피드백을 제공 -> 이것은 결국 적합한 조치가 취해지면 더 우호적인 최종 보고를 가져올 수 있음, 임시 보고는 감사 자체
동안 후속조치 기회를 유효하게 제공함
2) 종료 컨퍼런스
- 최종 감사 보고가 발표되기 전에, 종료 컨퍼런스가 일반적으로 행해짐
-> 이것은 감사 목표와 발견사항의 전체 검토를 가능하게 하고, 보고서 발행 이전에 오해나 빠진 사항을 검토하는 최종의 기회가 됨
-> 이것은 공정하고 균형 잡힌 발표를 보장하고 피 감사인이 의견을 표현하도록 허용함 -> 감사가 클라이언트의 관점에서 다루어졌다는 중간 피드백을 감사자에게 줌
1. 감사 보고
3) 서면 보고서
- 최소한의 서면 보고가 감사의 종료 시에 산출되어야 함
- 보고서 : 대개 정확하고, 객관적이고, 간결·명확하며, 완전하고, 건설적이고, 시의적절 해야 함
- 서면 보고서 : 감사 목적, 범위, 결과, 감사자의 의견, 잠재적인 개선을 위한 권고사항, 만족스러운 성과에 대한 인정, 피 감사인의 감사자 의견과 권고사항에 대한 응답을 포함해야 함
- 발행된 감사보고서는 전체 IS 감사 기능에 대한 역량과 전문적 이미지의 반영이기 때문에, 그것은 발행 이전에 책임 있는 감사자에 의해 검토되고 승인되어야 함
- 많은 관리자의 경우 감사 보고서는 IS 감사가 책임을 완전히 이행했다는 것을 목격하게 될 유일한 입증임 -> 이런 인상은 보고서의 기술적 역량뿐만 아니라 보고서 서술의 논조(tone), 스타일의 명확성에 기반이
두어질 것임
-> 보고서는 분명하고, 모호하지 않은 방법으로 감사자의 메시지를 소통시켜야 함
4) 기록 기법
- 감사 소통의 목표가 알리고, 설득하고, 영향을 주는 것이라는 것을 고려할 때, 보고서의 저자는 가능한 한 효과적으로 메시지를 도달시키기 위해 분명한 기록 기법을 활용해야 함
- 일상적인, 인간적인 소통의 방법 : 소통의 다른 공식적 방법에 비해 더욱 더 유지되게 하는 경향이 있는 대화적 스타일을 이용함
-> 인간의 매일의 대화는 무엇이든 진술, 질문, 대답의 형태를 취함
- 서면 소통 : 감사자는 읽는 사람의 마음에서 서면 진술이 일으키는 질문에 대답할 수 없음 -> 그런 경우에, 서면 소통은 제기된 문제를 기대하고, 보고서 내에 질문에 대한 답을 포함해야 함
1. 감사 보고
4) 기록 기법(계속)
- 설득적이기 위해 요점이 전달되는 것이 보장되고, 감사 보고서의 수령인에 적대적인 것을 피하도록 함 - 개선은 실행된 권고사항의 결과로 발생하고, 권고사항은 책임 있는 사람이 감사 보고서에 부정적으로
반응한다면 쉽게 실행되지 않을 것
- 통제 결함이 보고되는 곳에서, 개인적 참조를 피하기 위해 주의가 이루어져야 하고, 감사 보고서는 개인 보다는 오히려 뒤 떨어지는 관행(practices)을 비판해야 한다.
- 감사자의 목적 : 적합한 조치가 취해지는 것을 보장하고, 조치는 먼저 보고서가 읽혀지는 것을 요구함 -> 더 많은 단어들이 있을수록 그 보고서는 설득적이지 못할 것이라는 대략적인 경험칙이 있음
-> 매우 빈약한 내용을 가진 과다한 두꺼운 보고서에 관리자가 직면할 때, 가장 가능한 시나리오는 보고서가 쓰레기 통으로 들어가거나 책상 한 곳에 두어질 것이라는 점
-> 간단하고 높은 영향의 보고서를 쓰는 것은 길고 두서 없는 에세이를 쓰는 것보다 훨씬 더 어려움 -> 요구된 결과를 얻기 위해, 감사 보고서는 마음에 영향력을 품고서 작성되어야 함
-> 문장 : 하나의 기본적 아이디어를 가지고 간단하며, 적절한 단어 수를 유지해야 함 -> 긴 문장은 모호하고, 재미없고 지루한 경향이 있음
-> 감사자가 한 문장 내 모든 단어 수를 계산하고 긴 문장들을 인공적으로 두 개로 나누라는 것을 의미하지 않음
-> 일반적으로, 활발한 목소리 동사가 문장을 더 가독성 있게 함, 대개 그런 것들이 더 짧고, 살아있고, 대화적이기 때문 -> 수동형 동사 : 재미없고, 불명확하고 덜 감정적인 경향이 있음-> 그것은 또한 서술 스타일에서 지나치게
공식적인 느낌을 줌
-> 일부 감사 보고서는 그 보고서의 공정하고 비사인적 본질을 강조하기 위해 대단히 공식적이고 구조화되도록 공들여 작성 되는데, 그런 환경에서 수동형 동사는 상당히 적합한 것이 될 수 있음 -> 이것의 예) 사기(fraud) 감사 보고서인데, 표현된 의견이 수집된 증거에 기초하고 개인적 의견이
아닌 전문가적 판단이라는 것을 보여주도록 정교한 노력이 요구됨
1. 감사 보고
4) 기록 기법(계속)
- 저자는 의도된 메시지가 전달되도록 하기 위해 분명하고 친숙한 단어들을 사용해야 함
- 더 적은 단어가 더 영향을 가질 수 있지만, 감사자는 간단함을 위해 분명함을 결코 희생하지 않아야 함 -> 다섯 단어가 모호하게 되기보다는 오히려 10개 단어가 특정적이라는 것을 요한다면 10개 단어를 선택해야 함 - 일부 감사 보고서는 너무 비밀스러워 독자가 감사자의 의미를 추측해야 함
-> 특히 IS 감사는 다양한 배경의 보고서 수령자를 포함, 컴퓨팅 전문용어를 이해하거나 하지 못하는 수령자 포함 -> 가능한 전문용어가 회피되어야 하지만 피할 수 없는 곳-> 비 기술적인(technical) 것으로 설명되어야 함
-> 소통의 책임 : 독자가 아니라 감사자에게 있음
- 흰 여백과 표제의 사용 : 긴 섹션들의 단조로움을 해소할 수 있고 특정한 정보의 위치 찾기 촉진 가능 -> 보고서를 탐색하며 관심 있는 키워드를 찾고 속독하는 것은 실제로 문제가 되지 않을 수 있음
-> 독자가 어떤 부분만을 제외하고 완전한 보고서를 읽을 필요가 없는 곳에서, 감사자가 그와 같은 부분들로 직접 주의를 끌 수 있다면 유용함 -> 실질적으로 읽기 프로세스에 속도를 붙일 수 있고 만약
그렇지 않으면 무시될 수 있는 보고서의 부분이 읽혀지도록 유도할 수 있음 - 일부 감사자는 보고서가 작성된다는 것은 모든 독자들이 완전히 읽어야 한다고 느낌
-> 택일적 대안 : 그 보고서가 전혀 읽혀지지 않을 수 있다는 것
- 문장을 간단히 하는 것과 같은 방법으로, 문단을 간결하게 하는 것 : 보고서를 더욱 독자 친화적으로 만듦 가능 - 보고서의 가독성 보장 지원의 다른 기법 : 강조, 여백, 큰 점(장/절 단락 명시용), 그래픽, 색깔의 사용을
포함 + 동시에 이런 기법들은 보고서를 부풀리게 하거나 지나치게 기묘하게 보이게 만드는데 활용되지 않아야 함
-> 보고서의 목표 : 예술 작품을 창조하도록 감사자의 능력을 돋보이게 하는 것이 아닌 소통/설득하는 것
1. 감사 보고
5) 작성 준비
- 감사의 시작부터 감사자는 이미 보고서의 그림을 마음속에 가지게 될 것
- 범위와 목표가 승인되는 때에, 기대된 청중이 알려지고 순차적으로 모든 감사 작업이 마음속에 감사 보고서와 함께 수행되어야 함
-> 감사의 실제 결과가 이 단계에서 알려지지 않을지라도 주제 문제, 범위와 목표가 알려지며, 보고서에 포함될 가능한 영역이 예비 조사의 말미에 분명하게 있어야 함
- 감사 보고서를 작성하는 것은 시간이 흐르고 필드 작업이 끝나고 나서 감사의 말미에 오게 되는데, 종종 감사보고서가 급히 만들어지고 낮은 품질이 되는 결과를 초래함
-> 높은 품질의 소통적인 감사 보고서의 생성을 허용하도록 충분한 시간이 시작부터 계획되어야 함
-> 대부분의 감사자는 감사 보고서를 작성하는데 가장 어려운 부분이 실제로 시작하는 것이라는데 동의 6) 기본적인 감사 보고
- 대부분의 감사 보고서의 내용물 : 단순한 패턴을 따르고 다음사항을 포함
√배경, 범위, 목표 √주요 발견사항의 요약 √감사 의견
√상세한 발견사항과 권고사항 √만족스런 성과의 인정 √ 기술적인 상세 첨부사항 - 시작부터 전문적인 톤을 설정하기 때문에 거의 항상 커버가 있는 것이 바람직함
-> 그것은 보고서 표제, 피 감사인 이름과 위치, 감사 커버리지의 날짜를 포함해야 함 - 정식절차(formalities) 부분 : 대개 도입부를 구성하며 1~3 페이지 분량
-> 그것은 보고서의 날짜, 수신인, 감사의 배경, 범위, 목표를 포함
-> 응답 기대사항, 서명과 함께 간단한 감사 의견과 발견사항의 일반적인 본질이 요구됨
-> 참가하는 감사자의 이름, 배포 리스트, 보고서의 몸체 내용물이 또한 정식절차 섹션의 일반적 부분임
1. 감사 보고
7) 중역 요약서
- 대부분의 감사 보고는 전체 비즈니스 관점에서 가장 중요한 문제와 발견사항을 다루는 중역 요약서를 포함
-> 이것은 전체 보고서에 예비적 관점을 제공하고, 조직에 위험과 통제 약점의 특정한 효과에 초점을 둠 -> 그것은 읽히는 모든 것이 될지 모르고, 많은 경우에 그런 요약서가 최고 중역에게 가는 곳에서 그것은
읽혀야 하는 모든 것이 됨
- 중역 청중의 본질에 달려 있는, 두 가지 접근법이 요약서 에서 가능
1) 지식이 있는 중역의 경우에, 압축되고 소거된(eliminate) 접근이 이용될 것
-> 이것은 중역에게 중요하고 보고서의 몸체에 교차 참조되도록 하기 위해, 주요한 감사 발견사항에 대해 요약된 설명을 포함함
2) 알리고, 조언하고, 해석하는브리핑 접근
-> 중역들이 발견사항의 함의에 완전히 정통하지 못하는 영역인 전문화된 감사에 더 적합할 것
1. 감사 보고
8) 상세한 발견사항
- 상세한 발견사항은 대개 보고서의 몸체를 구성함 - 감사 발견은 네 가지 독특한 부분으로 이루어짐
-> 상황 : 감사자에 의해 발견된 기록들(예, 증거가 보여준 것) -> 기준 : 통제 고려사항의 견지에서 발생했어야 하는 것을 가리킴
-> 원인 : 상황(condition)이 내부 통제의 부재나 그것의 실패와 어떤 것에 의해 원인되었는지를 가리킴 -> 효과 : 상황의 원인에 대한 비즈니스 상 영향을 가리킴
- 많은 감사자들은 얼마나 상세한 것이 보고서의 몸체에 포함되어야 하는지를 결정하려고 애씀
-> 상세한 발견사항 : 독자가 그 발견사항의 본질, 발견사항의 관련 중요성, 발견사항에 대해 행해질 필요가 있는 것을 이해하도록 하는 충분한 정보를 포함해야 함
-> 그것이 소통하고 있는 청중의 지식수준과 경험에 달려 있기 때문에 상세한 발견사항에 대한 명확한 법칙은 있을 수 없음
- 감사의 과정 동안, 감사자는 최종 보고서 안에 얼마나 상세한 것이 요구될지를 평가해야 함
- 최종 보고서가 읽힐 수 있고 나타내는 것을 보장하기 위해서, 보고서의 몸체 안에 그 정보를 두는 것이 지나치게 길이가 길어지거나 읽힐 수 없도록 된다면 대개 첨부물이 부록에 붙음
- 모든 그래픽, 표, 사진, 재무 표는 둘이나 세 곳에서 참조되는 경우에 보고서 내 명확히 라벨이 붙어야 함 -> 부록이 사용되는 곳에서, 그것은 보고서에 상호 참조되어야 함
1. 감사 보고
8) 상세한 발견사항(계속)
- 경영진의 공통의 요구사항중의 하나는 감사 의견의 표현
-> 이것은 대개 내부 통제 구조의 충분성과 효과성에 대한 의견의 형태를 취함
-> 감사자는 충분성에 대한 의견이 통제 구조가 경영진의요구된 통제 수준을 달성하거나 그렇지 못한 지표라는 것을 기억해야 함
-> 많은 감사자는 통제 구조가 충분성에 대한 그들 자신의 정의를 충족하는지 여부에 대한 의견을 표현함 - 감사 의견 : 보고서의 나머지 부분에 전체적인 관점을 제공하고 감사자가 스스로 관련되도록 함
-> 그러나 본질적으로 감사 결과는 대개 혼합되어 있기 때문에, 보고서의 중요한 부분들이 무시되도록 만드는 경영진의 지나친 반응을 유발할 수 있음
- 발견사항과 권고사항에 대한 피 감사인의 반응은 대개 최종 보고서 안에 포함됨 -> 이것은 균형 잡힌 보고서의 제공을 지원하고 보고서에 신뢰성을 줄 수 있음
-> 그런 주석(comment)이 포함되는 곳에서 발견사항과 권고사항은 피 감사인에 의해 검토되고 동의되어야 함
-> 그러나 이것이 피 감사인이 감사자의 발견사항과 권고사항 모두에 동의해야 한다는 것을 의미하지는 않음 -> 일부 경우에, 두 당사자는 관리 결정이 이루어질 수 있기 위해, 보고서 내에 표현된 양 의견에
일치하지 못 하는데 동의해야 함
- 만약 관리자가 보고서 내 표현된 위험을 받아들이기로 결정하고 어떤 조치도 취하지 않는다면, 그리고 그런 결정이 권한의 그들 영역 내에 있다면, 그 감사자는 그런 위험을 경영진의 주의로 이끄는데 최선을 다해 왔다면 -> 더 이상의 어떤 감사 노력이 이 영역에서 요구되지 않음
1. 감사 보고
9) 보고서 정제
- 감사 보고서가 전체 IS 감사 기능의 전문주의와 역량에 대한 반영이기 때문에, 보고서는 가능한 전문적으로 나타나야함
- 보고서를 정제하는 것은 발행 이전에 엄격한 검토를 수반함
-> 이것은 보고서의 가독성과 이해력을 보장하기 위해 체크리스트를 사용하거나 동료 집단(peer group)을 사용함으로써 실행될 수 있음
-> 동료 집단은 가정들이 도전될 수도 있도록 하기 위해, 특정한 감사 영역에 대한 어떤 지식도 가지고 있지 않은 감사자를 대개 포함함
- 궁극적으로 보고서는 책임 있는 감사자나 지명된 대리인에 의해 서명될 것
- 주요한 피 감사인 불만들 중의 하나 : 주요 문제를 포함하는 보고서가 늦게 발행되고, 그래서 즉각적인 효과를 가진 권고사항을 실행하도록 기대된다는 점
-> 감사자가 보고서 발행에 지연을 가하지 않는 것이 중요
- 공통적으로 감사 보고서는 몇 몇 저자 노력의 조정을 수반 : 그런 경우에 보고서를 크게 읽어서 개별
공헌자가 변화하는 차이를 인식하게 하는 것이 바람직할 수 있을 것임
1. 감사 보고
10) 보고서 배포
- 감사 보고서는 대개 다양한 관리진 수준에 배포됨
- 보고서는 적합한 조치를 취할 수 있는 최초의 권한 수준으로 방향 잡혀야 함 - 완전한 배포 리스트 : 대개 감사 프로세스에서 일찍 알려짐
-> 그러나 피 감사인의 명령 사슬이 내부 정치적 세분화를 유발할 수 있음
-일반적으로, 배달 방법이 수령인의 원격성 뿐만 아니라 보고된 정보의 기밀성 양자를 고려해야 함 -> 급송이나 수작업 전달 : 선호되지만 비실용적임
-> 전자 메일 사용 : 전달된 메시지의 기밀성과 완전성을 보장하기 위해 충분한 암호화 기법이 실행되어야 함(* 많은 IS 감사 보고서가 전자 메일로 수령인들에게 보내짐) - 감사 보고 내용이 상당히 비밀사항이라면, 누설이 발생하면 개별 복제물이 추적 되도록 적발 통제가
실행될 수 있음
-> 이 기법의 가장 명확한 것은 복제 번호부여 이지만, 중요한 영역의 고의적인 오 철자나 말 바꿈이 또한 이용될 수 있음