정보시스템 감사 프로세스
11 장. 감사 계획 프로세스
정보시스템 감사 프로세스
11 장. 감사 계획 프로세스
- 감사 계획의 편익 - 감사 요소들
- 감사 계획의 구조 - 감사의 형태
1. 감사 계획의 편익
- 계획 : 성공적인 감사에 기본, 가장 기본적인 관리 기법의 하나이고 가장 나쁘게 실행된 기법들 중 하나이기도 함
- 나쁜(잘못된) 계획 : 불완전한 감사를 초래하는 미 식별된 위험을 가진 범위에서 불충분하거나 자원의 비효율적인 사용을 하고, 지나치게 감사하는 것이 되는 감사의 수행뿐만 아니라 대개 감사 목표를 달성하는데 실패를 초래
- 정보기술(IT) 감사자들에 의해 이루어진 좀 더 공통적 실수들 중의 하나 : 깊이 생각한 계획을 가지지 않고 감사의 실행을 지속하는 것
- 감사가 효과적이기 위해 그것은 명확히 목표를 달성해야 함 : 감사를 시작하기 전에 감사자가 완전히 이런 목표를 이해하는 것이 중요
- 구조화된, 잘 문서화된 감사 계획 : 성공적인 감사가 측정해야 할 기준을 식별하고 설정함
-> 그러한 계획 프로세스는 감사의 과정에서 수행되어야 할 과업을 확인함, 특정의 감사자들에게 그런 과업의 할당, 할당된 감사자 기반의 각 개별 과업의 지속기간에 대한 계량화, 과업이 시작해야 할 때를 결정하는 것을 수반
- 어떤 감사를 계획하는 일차적 단계 : 검토 중인 영역의 비즈니스 목표에 대한 분명한 이해를 획득하는 것 -> 예를 들어, 구매 기능의 전체적 비즈니스 목표는 어떤 것을 사는 것, 이것은 비즈니스 영역에 대한 통제 목표의
정의를 이끎, 예로, 재화가 적정한 가격, 시점, 양, 품질로, 적절한 장소에 전달되도록 획득되는 것을 보장
1. 감사 계획의 편익
- 일단 검토 중인 영역의 통제 목표가 분명하고 완전히 이해된다면, 감사자는 그러한 통제 목표가 달성되는 것을 보장하도록, 사용자에 의해 의존된 통제를 식별하는 것을 계속할 것임
-> 이러한 통제의 다수는 예방적일 것이고, 통제 효율성과 효과성의 명확한 감사 증적을 자체로 남기지 않을 것임 -> 그 결과, 감사자는 그러한 통제가 어떤 것이 의도되었던 것을 달성하고 있고, 그 통제 목표가 실제 달성되고
있다는 증거를 위해, 그 밖의 것을 찾아야 할 것임
- 통제 목표의 성취에 관한 증거의 원천을 일단 감사자가 확인하면, 적합한 감사 기법과 감사 도구가 선택될 수 있음
- 만약 이러한 단계들이 생략되고 감사자가 직접 컴퓨터 시스템에 대한 질의와 컴퓨터 지원 감사기법
(CAATs)의 운영으로 나아가면, 어떤 감사는 감사가 발생했을 때 목표와 목적이 알려져 있지 않기 때문에, 목표와 목적을 달성하고 있는 것으로 인식될 수 없는 것을 발생할 것임, 주의 깊은 고려와 계획을 가져야만 성공적인 감사가 될 수 있음
2. 감사 요소들
① 감사의 목표와 범위의 잠정적인 결정
- 감사의 범위 내에 포함되어야 하는 것과 포함되지 않을 내용뿐만 아니라 피 감사인과의 상담에서 감사의 목표를 결정하는 것을 포함
- 일단 목표와 범위가 결정되고 동의되면, 동의된 범위와 목표를 구별하는 합의서(engagement letter)가 클라이언트에게 보내져야 함-> 그래서 감사될 것과 되지 않을 것에 대한 동의된 것에 대한 오해가 나중
단계에서 발생하지 않을 것임
- 이 단계에서, 감사자는 통제 목표뿐만 아니라 검토되는 영역의 전반적인 비즈니스 목표를 결정하려고 애쓸 것임, 감사되는 영역에 대한 배경정보가 수집되어야만 함
-> 이것은 전체적 그림을 얻기 위해서 운영 절차 매뉴얼의 읽기와 운영 관리진과의 대화를 포함
-> 이러한 논리는 비즈니스에 대한 그들의 이해를 평가하고 감사자의 이해를 확인하기 위해, 사용자 스태프를 인터뷰하는 것을 포함하는 더욱 실용적인 접근과 결합될 것임
-> 특정한 비즈니스 기능들의 운영을 관찰하기 위한 사이트 방문이 또한 도움이 될 것임
-> 추가적인 정보와 확인이, 통제에 대한 현행 이해와 이전 검토 동안 확인되고 운영된 것들과 비교함으로써 도출될 수 있음
- 비즈니스 목표를 충족하는데 포함된 핵심적인 활동인 주요 상품과 서비스들이 확인되어야 함 -> 이것은 그들 자신의 핵심 성과 영역(KPA)에 대한 경영진의 이해의 수준을 결정하는 것을 수반할 것임
2. 감사 요소들
② 각 KPA에 대해 성과 목표의 설정
- 이것은 달성할 수 있고 동시에 확장할 수 있는 핵심적인 활동 목표를 찾는 것을 포함 - 성과가 적합하게 측정될 수 있는 것을 가능하게 할 핵심 성과 지표(KPI)가 식별되어야 함 - 미달성, 낮은 성취, 또는 심지어 실패를 이끌 수 있는 위험과 위협이 평가되어야 함
- 외부와 내부 위협 양자가 고려되어야 함
-> 내부 위협: 경영진이 제조사의 선택과 같은 완전한 통제를 가지는 것
-> 외부 위협: 경영진이 직접 통제할 수 없는 것이지만, 그럼에도 환율 변동이나 경쟁자에 의한 행동과 같은 것에 대응하는 전략을 개발해야 함
③ 특정한 감사의 전반적 의향
- 충분성을 위한 내부통제 시스템의 설계를 검토, 설계된 통제 시스템에 준거성의 테스트, 그러한 통제 시스템의 실행의 효과성에 대한 평가로 분류될 것임
2. 감사 요소들
④ 감사 팀의 선택
- 많은 경우에 감사는 규율의 혼합물을 포함하게 될 감사자들의 팀에 의해 수행될 것임 -> 각 팀은 전형적으로 수행할 여러 기능들을 가지고, 대개 그 팀의 다양한 멤버들에 의해 수행됨
-> 이것은 목표와 범위의 결정, 팀 구성원을 임명하는 것을 포함하는 일을 조정함, 그 프로젝트를 동시에 부서 내에서 진행되는 다른 일과 조정함, 감사 프로세스에 대한 모든 문서화를 검토하는 것을 포함할 것임
-> 이러한 행정적인 기능들에 추가하여, 확장된 감사 테스트의 수행은 개별적인 팀 구성원들에 의해 수행될 것임 - 많은 더 작은 감사에서 또는 IT 감사가 적은 부서에서, 전형적으로 단일 감사자가 모든 그런 기능들을
수행하도록 결합됨
- 일단 팀이 선택된다면, 감사의 완전한 시간 범위가 결정될 것임
-> 소요된 시간은 개별 팀 구성원들의 기술과 경험에 달려 있을 것이기 때문
⑤ 피 감사인들과 감사에 포함된 다른 사람들과의 최초 소통
- 실행의 좋은 비즈니스와 공손함은, 감사자가 감사의 개시 이전에 피 감사인과 선택된 다른 사람들에게 고지해야 하는 것을 가리킴
-> 이것은 피 감사인들이 필요한 준비를 하도록 하고 기록물, 종업원, 시설에의 접근을 조정하도록 함 -> 이 지점에서 감사 팀 리더가 수행할 감사에 속하는 정보를 요약하는 합의서를 기안하는 것이 적합함 -> 이 문서는 피감사인들과의 토의, 목표와 범위에 도달한 합의를 확인시킴
-> 분명히 그와 같은 예비 소통이 똑 같은 방법으로 실행되지 않는, 예를 들면 사기 감사의 경우가 있음
2. 감사 요소들
⑥ 예비적인 감사 프로그램의 준비
- 계획 프로세스에서 가장 중요한 영역 중의 하나 : 감사 프로그램을 설정하는 것 -> 이 프로그램은 감사의 진행 동안 수행되는 분석적 단계들의 상세한 리스트임
-> 이 프로그램의 준비는 전체적 감사 내 개별 업무들에 개별 감사자들의 할당을 가능하게 함 -> 이것은 개별적인 감사자들이 동일한 비율로 일하지 않기 때문에, 시간 관리에서 필수적임 -> 감사자 생산성은 검토 중인 영역에 대한 개별 감사자의 경험과 지식에 상당히 달려 있을 것임
->감사 프로그램은 순수하게 예비적이고 새로운 정보가 드러남에 따라 차후 감사 운영의 과정 동안 수정될 것이라는 것이 강조되어야 함
-> 그런 경우에, 이 단계에서 시간 추정은 추정된 값임
- 예비적인 감사 프로그램을 준비하는데 가장 공통적인 실수 중의 하나는 요청될 질문을 단지 목록화 하는 것 -> 이것이 감사 프로그램의 부분인 반면에, 중요한 요소는 어떤 증거가 검토될 것인가와 그런 질문에 대답하기 위해
어떻게 검토될 것인가의 결정임
- 나쁜 감사 프로그램의 예 : ‘모든 구매 주문이 적합하게 사인되어졌나를 결정하는’ 단계를 포함할 것임 - 더 나은 단계 : '구매 주문들의 통계적으로 유의한 샘플을 취해 모든 구매 주문들이 적합하게
사인되어졌는지를 결정하기 위해 그 서명을 권한 있는 서명과 비교하는‘ 것이 될 것임
2. 감사 요소들
⑦ 감사 보고서의 계획
- 경영진이 통제 절차에 변화가 필수적이라고 설득되도록 하기 위해, 감사자는 객관적이지만 설득력 있고, 분명하고, 간결하고, 건설적이고, 시의 적절한 보고서를 산출해야 함
- 감사 보고서는 조직의 피 감사인들과 다른 사람들에게 감사의 결과를 소통시킴 - 감사 보고서를 위한 계획은 감사 프로세스의 준비 단계에서 시작함
-> 궁극적으로, 모든 감사 업무는 최종 감사 보고서를 기대하며 수행됨
- 많은 감사자들이 감사 보고서를 주로 비생산적인 일로 간주하고 감사의 말미에 가능하면 빨리 곧 해치워야 할 일로 간주함
-> 이 단계가 급히 진행되면 질 낮은 보고서가 산출될 것임 -> 많은 경우에 그것은 관리자의 책상 위에 읽히지 않고 두어질 것이고, 전체적으로 조직상에 거의 영향을 미치지 못할 것임
- 잘 작성된 감사 보고서 : 내부에 포함된 문제들을 해결하기 위해, 전형적으로 적합한 관리 수준으로부터 빠른 반응을 초래할 것임
- 최종 보고서의 내용은 계획 단계에서 명확히 알려져 있지 않은데, 대부분의 감사 부서는 표준화된 보고서 레이아웃을 사용하기 때문-> 최종 보고서는 실제 내용이 알려져 있지 않을 때조차도 보고서의 구조와 외관을
감사자가 상상하는 것이 가능해야 함
⑧ 감사 접근을 위한 승인
- 감사 팀에 의한 실제적인 일의 착수 이전에 감사 프로그램을 검토/승인하는 것은 주관하는 감사자의 책임 -> 이 검토는 감사 목표와 범위가 요구된 대로이고, 그 감사 프로그램 내 포함되는 특정의 감사 절차가 그와 같은
감사 목표가 성취되도록 이끌 것인지를 결정하는 것을 포함
3. 감사 계획의 구조
- 계획의 구조 : 일반적으로 감사 프로세스의 구조를 따름
-> 포함사항 : 운영에 대한 예비적 조사, 내부 통제 기술과 분석, 확장된 테스트 통제 시스템, 발견사항과 권고사항, 보고서 생성, 후속조치, 감사 평가
1) 예비 조사
- 예비조사의 목표 :피 감사인의 운영에 대한 최초의 이해를 얻고 추가적인 감사 계획을 위한 예비적인 증거를 모으는 것
-> 과거에 그 영역이 감사되어진 곳에서, 예비조사는 감사자의 이해의 확인의 형태를 취할 것임
- 조사 자체는 관리진과의 감사 할당을 요약하고 감사 활동을 피 감사인 운영과 조정하기 위해, 감사 팀과 피감사인 관리진의 구성원들 사이에 전형적으로개시(opening) 컨퍼런스를 포함함
- 자산에 대한 현장 투어가 감사자를 운영의 본질과 포함된 인력에 친숙하게 하도록 함 -> 이러한 투어는 감사자가 내부 통제의 전반적인 기준에 대한 최초의 평가를 하도록 함 - 이 단계에서 감사 프로세스를 미성숙하게 시작하지 않도록 주의가 필요
- 선택된 문서에 대한 추가 연구가 피 감사인의 운영에 대한 문서화된 설명을 위한 기초를 제공할 것임 - 직무 기술서, 조직도, 정책 매뉴얼, 중요 운영 문서와 같은 문서들이 존재하는가와 그러한 것들이 어떻게
유지되는지, 적합하게 보호되는지, 이용되고 있는지를 결정하기 위해 이 단계에서 문서들이 검토됨
3. 감사 계획의 구조
2) 내부 통제 기술과 분석
- 예비 조사로부터 감사는 비즈니스에 대한 바른 이해와 검토 중인 영역의 통제 목표를 가져야만 함 - 이 단계는 검토 중인 영역과 관련된 피 감사인의 내부 통제에 대한 상세한 설명의 준비를 가능하게 함
-> 그런 통제의 제한된 테스팅은 요구된 차후 테스팅의 규모를 결정하기 위해 이 단계에서 수행될 것임 - 이러한 정보에 기반을 두고 감사자는 그 자리의 통제 구조가 유효하다면 요구된 통제 수준을 이끌 수
있을지를 결정하기 위해, 내부 통제 시스템을 평가할 것임
- 이 지점에서 목표에서 어떤 변화를 위한 필요, 감사의 규모와 확장된 감사 테스트가 결론이 유도될 수 있기 전에 얼마나 요구되는지를 결정하기 위해, 위험 재평가가 수행될 수 있다.
3) 확장된 테스트 통제 시스템
- 내부 통제 구조가 유효한지 어떤지를 결정하기 위해, 어느 정도의 확장된 감사 테스팅이 요구될 것임 -> 이러한 테스트는 예비 감사 프로그램에 추가로 최종 감사 프로그램 내 포함될 테스트임
-> 이러한 테스팅은 레코드와 문서들의 검토, 피 감사인 관리진과 다른 인력과의 인터뷰, 운영에 대한 관찰, 자산에 대한 검토, 컴퓨터 파일에 대한 조사, 감사결과와 피 감사인 보고서의 비교, 내부 통제 시스템의 유효성을 테스트하기 위해 설계된 다른 절차들을 포함할 것임
-> 감사자는 그들 나름대로 이전에 토의된 모든 수단과 기법들을 이용할 것임
3. 감사 계획의 구조
4) 발견사항과 권고사항
- 수행된 일에 기반을 두고, 감사자는 발견사항을 진전시키고 내부 통제를 향상시키기 위해 무슨 변화가 필요 한지를 결정할 것임
- 발견사항 : 네 가지 독특한 부분들로 이루어짐
-> 기준(criteria) : 관찰된 조건들이 측정되어질 표준들
-> 상황(conditions) : 감사 테스팅 과정 동안 실제로 관찰된 것을 일컬음 -> 효과(effect) : 관찰된 문제들과 관련된 비즈니스 상에 영향을 일컬음
-> 문제의 원인(cause) : 내부 통제의 실패나 내부 통제 구조 내 약점을 제시함 - 이러한 발견사항에 기초를 두고 감사자는 권고를 선택
-> 이것은 전형적으로네 가지 형태를 취함
① 통제 시스템에 어떤 변화도 없음 : 통제가 주어진 수준의 위험에 충분하고 위험을 통제하는데 효과적인 것으로 간주되고, 현재 통제 시스템이 비용 효과적인 것으로 간주되는 곳
② 현재의 통제를 수정함으로써 또는 새로운 통제를 추가함으로써, 통제를 향상시키고 위험을 줄임
③ 위험이 수락할 수 있는 수준이 아니지만 통제가 비실용적이거나 실행하기에 비용 효과적이지 않은 영역에 대해, 감사자는 보험이나 아웃소싱에 의해 위험의 전가를 권고할 것임
3. 감사 계획의 구조
5) 보고서 생성
- 감사의 보고하는 단계는 문서화와 최종 결과를 소통하는 것을 포함, 이것은 ‘최종 생성물’이 아님 - 감사의 전체 목표 : 조직 내 통제를 향상시키기 위해 경영진을 지원하는 것
-> 감사 보고서를 통한 그러한 소통은 중요한 요소임
- 경영진이 효과적인 조치를 하도록 설득하거나 역으로 경영진을 설득할 수 없는 것도 바로 감사 보고서임 - 감사 기능의 명성은 주로 감사 보고서에 기반을 둠(이 보고서가 감사자의 전문적인 역량의 공식적 표시를
표현하기 때문)
- 대부분의 감사 보고서에서 어떤 제시된 권고사항에 피 감사인의 주석(comments)을 포함하는 것이 유익한 것으로 인식됨
-> 이것은 피 감사인이 감사자의 관찰에 공식적으로 동의하지 않는 것을 허용함으로써 최종 보고서의 객관성을 보장함
-> 피 감사인 주석을 포함하는데 실패 : 감사 보고서, 감사 프로세스, 감사인 자체에 대한 피 감사인이 불일치를 표현하는 다른 방법을 발견하도록 초래할 것임
- 감사 보고서 자체는 시의 적절한 방법으로 생성되어야 하고, 보증되지 않은 어떤 지연도 그 프로세스 내에서 일어나도록 허용하지 않아야 함
-> 대개 24시간에서 48시간 생성 스케줄이 목표로 되어야 함
3. 감사 계획의 구조
6) 후속조치
- 경영진이 어떤 추가 조치를 취하지 않을 위험을 받아들였는지, 통제 약점을 해결하기 위해 적합한 교정적 단계를 취했는지, 어떤 조치를 취하지 않았는지, 약점을 수락할 수 없는 위험으로 남겨두었는지를 결정하기 위해, 감사 보고서 내 만들어진 어떤 권고사항이 후속조치가 되어야 하는 것이 중요함
-> 이러한 후속조치는 모든 두드러진 문제가 이제 해결되었다고 희망적으로 언급하게 될 보고서(비록 짧은 보고서라도)의 생성을 자체 결과로 가져올 것임
7) 감사 평가
- 감사의 마지막 단계는 그들 자신의 감사자들에 의해 이루어진 평가와 관련됨 - 어떤 감사도 완전한 감사 프로세스가 실행되기까지 완전하지 않음
- 각 감사 프로젝트의 말미에 자기 평가가 실행되는 것이 감사 기능 자체 내 본질적인 통제임
- 감사 프로세스의 말미에 그것이 오 듯, 그 단계는 종종 생략되어 미래 감사 성과의 손실로 이어지게 됨
