2. 내부 감사의 전문적 성과를 위한 기준들

2. 내부 감사의 전문적 성과를 위한 기준들

- 기준은 자체로 속성, 성과, 실행 기준들로 재그룹 및 재정의 되어 왔음

1) ISACA 기준

- IS 감사 기준을 위한 프레임워크 : 다음과 같은 지침의 여러 수준들을 제공

가. 기준(standards) : IS 감사와 보고를 위한 의무적인(mandatory) 요구사항을 정의하며 다음 사항들을 알려줌

-

수 있는 성과의 최소한 수준에 대해 IS 감사자에게 알려줌

- 실무자들의 작업에 관한 전문직의 기대를 관리진과 다른 이해 당사자들에게 알려줌 - CISA(Certified Information Systems Auditor)의 소유자들에게 요구사항의 지정을 알려줌 -> 이러한 기준을 지키는데 실패는 ISACA 감독 위원회나 적합한 ISACA 위원회에 의해 CISA

소지자의 행위에 대한 조사를 가져올 것이고 궁극적으로 규율적 조치를 초래할 것임 나. 가이드라인(guidelines) : IS 감사 기준을 적용하는데 지침을 제공함

- IS 감사자는 기준의 실행을 달성하는 방법, 기준의 응용에서 전문적인 판단을 이용하는 방법, 어떤 출발을 정당화하는데 준비되는 방법을 결정하는데 기준들을 고려해야 함

- IS 감사 가이드라인의 목표 : IS 감사 기준을 따르는 방법에 대한 추가적인 정보를 제공하는 것

다. 도구와 기법(tools and techniques) : IS 감사자의 감사 수행 시 기준을 충족시킬 수 있는 구체적인 방법 예를 제시함

- 기준을 충족하는 방법에 대한 정보를 제공하지만 요구사항을 설정하지는 않음 - 목표 : IS 감사 기준을 따르는 방법에 대한 추가적인 정보를 제공하는 것

2. 내부 감사의 전문적 성과를 위한 기준들

1) ISACA 기준

- COBIT 자원은 베스트 프랙티스 지침의 원천으로 이용되어야 함

- COBIT은 IS 감사자뿐만 아니라 비즈니스와 IT 관리진에 의한 이용을 의도함

-> 그것의 이용은 비즈니스 목표, 베스트 프랙티스와 권고사항의 조합이 대략 공통적으로 이해되고 잘 존중된 표준 참고로 만드는 것이 가능하게 함

- COBIT은 2011년 IT 거버넌스의 개념을 포함한 버전 5.0으로 발표되었고 다음을 포함함

① 통제 목표 : 최소한의 적절한 통제의 높은 수준과 상세한 일반적 진술서

② 통제 프랙티스 : 통제 목표를 위한 실용적인 근거와 실행 가이드 방법

③ 감사 가이드라인 : 이해를 얻고, 각 통제를 평가하고, 준거성을 평가하고, 충족 되지 않는 통제의 위험을 구체화하는 방법에 대한 각 통제 영역을 위한 지침

④ 관리진 가이드라인 : 성숙도 모델, 메트릭스, 중요 성공요소를 이용하여 IT 프로세스 성과를 평가하고 개선하는 방법에 대한 지침

* IS 기준, 감사와 통제 전문인을 위한 가이드라인과 도구와 기법의 더 상세한 내용 : www.isaca.org 에서 확인 가능

2. 내부 감사의 전문적 성과를 위한 기준들

2) ISACA 윤리강령

- ISACA는 또한 구성원들, CISA와 CISM(Certified Information Security Manager)이 다음을 하게 될 것을 요구하는 자신의 윤리강령을 가지고 있음

-> IS에 대한 적합한 기준, 절차, 통제의 실행을 지원하고 준거성을 촉진함

-> 전문적인 기준과 베스트 프랙티스와 일치하게 상당한 주의(due diligence)와 전문가적 주의를 가지고 그들의 직무를 수행함

-> 행위와 성격의 높은 기준을 유지하고 전문가로 비 신뢰적인 행위에 관여하지 않으며, 적법하고 정직한 방법으로 이해 관계자의 이익에 부합함

-> 법적인 권한에 의해 공개가 요구되지 않는다면 그들의 직무 과정에서 획득한 정보의 프라이버시와

기밀성을 유지함, 그런 정보는 개인적 편익을 위해 이용되지 않을 것이고 부적합한 당사자에게 공개되지 않을 것임

-> 그들 각각의 분야에서 역량을 유지하고 전문적인 역량을 가지고 완성하리라 합리적으로 기대할 수 있는 그런 활동들만 착수하는데 동의할 것임

-> 수행된 일의 결과물을 적합한 당사자에게 알려줌, 즉 그들에게 알려진 모든 중대한 사실들을 공표하게 됨 -> IS 보안과 통제에 대한 이해를 향상시키기 위한 이해관계자에 대한 전문적인 교육을 지원함

- 이러한 전문가 윤리강령(Code of Professional Ethics)을 따르는데 실패는 구성원 또는 자격 소지자의 행위에 대한 조사를 초래할 수 있고 궁극적으로 징계조치를 수반할 수 있음

* 전문적인 윤리강령의 더 상세한 사항은 www.isaca.org 에서 확인 가능

2. 내부 감사의 전문적 성과를 위한 기준들

3) COSO: 내부통제 기준

- 1992년에 미국 공인회계사 협회(AICPA), 내부감사자 협회, 미국 회계협회, 관리 회계사 협회, 재무 임원 협회는 함께 준비한 내부 통제-통합된 프레임워크(Internal Control-An Integrated Framework)로 이름 붙여진 연구를 발표

- 이 문서는 기업이나 정부 실체(entity)의 기본적인 목표를 확인함

-> 이것은 운영의 경제와 효율성, 자산의 보호, 요구된 결과물의 달성, 재무적 관리 보고서의 신뢰성, 법과 규제의 준거성을 포함

- 내부 통제 : 폭넓게 정의된 프로세스로, 사람들에 의해 유효화된, 모든 기업들이 다음과 같이 추구하는 세 가지 목표의 달성과 관련된 합리적인 보증을 제공하도록 설계되었고, COSO(Committee of Sponsoring Organizations)에 의해 정의되었음

-> 즉, ⅰ) 성과 목표의 달성과 상실에 대한 자산의 보호를 포함하는 운영의 경제성과 효율성

ⅱ) 신뢰할 수 있는 재무 데이터, 운영 데이터와 보고서

ⅲ) 법과 규제들에 대한 준거성

-> 이러한 목표를 달성하기 위해 COSO는 경영진을 지원할 다섯 가지 요소들을 정의함

-> 경영진을 지원할 다섯 가지 요소 : 건전한 통제 환경, 건전한 위험 평가 프로세스, 건전한 운영 통제활동, 건전한 정보와 소통 시스템, 효과적인 모니터링 (p. 92)

2. 내부 감사의 전문적 성과를 위한 기준들

4) BS 7799, ISO 17799, ISO 27001, ISO 27002 : IT 보안

- 영국 표준 7799, 국제 표준화 기구 17799 및 27002 : 전자 상거래가 도입될 때, 보안과 통제와

관련된 보증의 어느 정도가 거래하는 파트너들의 시스템 내 어느 끝단에서 실행되는가를 보장함으로써, 기업들을 지원하기 위해 개발됨

-> 이런 기준들은 IS 보안을 다음과 같은 10가지 주요 영역으로 나누게 됨 - 보안 정책 - 보안 조직 - 자산 분류와 통제 -인적 보안

- 물리적 환경적 보안 - 컴퓨터와 네트워크 관리 -시스템 접근 통제 - 시스템 개발과 유지보수 - 비즈니스 연속성 계획(BCP) - 준거성(compliance)

-> 이런 영역 각각 내에, 주요한 통제들은 명령적인 것으로 간주되고, 조직에 의해 유지될 수 있는 위험의 수준에 따라 추가적인 통제는 운영적인 것으로 간주됨

-> 상세한 기준은 안전한 조직을 제공하는데 필요한 것을 설명하지만, 최소한 그 기준들은 다음의 존재를 필요로 함

- 문서화된 IS 보안 정책 -정보 보안을 위한 책임의 할당 - 정보 보안 위험과 통제 상에 적합하게 훈련된 사용자들

- 보안 관련 문제들의 보고를 위한 피드백 메커니즘 - 완전히 테스트되고 유효한 비즈니스 연속성 계획

- 적합한 데이터 보호 입법화를 가진 준거성을 보장하기 위한 통제

- 법인의 법령에 근거한 요구사항과 부합하는 기록의 안전을 보장하는 통제 - 바이러스와 스파이웨어와 같은 악의적 소프트웨어를 예방하고 적발하는 통제 - 검토 절차

2. 내부 감사의 전문적 성과를 위한 기준들

5) NIST

- 2002년 연방 정보보안 관리법(FISMA; Federal Information Security Management Act)의 규정으로, 기관들이 명령적인 연방 정보처리 표준(FIPS)과 부합하는 것을 보장하는 법령이 제공됨

- 표준과 기술 국가협회(NIST; National Institute of Standards and Technology) : 기술 측정과 표준을 다루는 연방 기술기관

-> NIST의 한 분과인 컴퓨터 보안자원 센터(CSRC; Computer Security Resource Center)는 여러 개의 보안 표준뿐만 아니라 IT 보안에 대한 핸드북을 산출하여 지원해 왔음

-> NIST 핸드북은 BS 7799와 ISO 17799(27002)에 바로 유사한 근거를 포함하지만, 컴퓨터 보안 요소들, 역할과 책임, 공통의 위협들과 같은 주제에 대해 더욱 상세하게 다룸

<표 8-3> 통제의 유형

통제 내용

관리 통제

- 컴퓨터 보안 정책 - 컴퓨터 보안 프로그램 관리 - 컴퓨터 보안 위험 관리 - 보증(assurance)

- 컴퓨터 시스템 생명 주기에서 보안과 계획 운영 통제

- 인력/사용자 문제 - 비상상황과 재난을 위한 대비 - 컴퓨터 보안 인시던트(incident) 취급 - 인식, 훈련, 교육 - 컴퓨터 지원과 운영에서 보안 고려사항 - 물리적 환경적 보안 기술적 통제 - 식별과 인증 - 논리적 접근 통제

- 감사 증적 - 암호화

2. 내부 감사의 전문적 성과를 위한 기준들

5) NIST

- NIST 핸드북은 또한 컴퓨터 시스템 내 위험을 평가하고 완화하는 실제적 실행에 대한 부분을 포함함

- 또 다른 표준인연방 정보와 정보 시스템을 위한 최소한의 보안 요구사항(Minimum Security Requirements for Federal Information and Information Systems) : 17개 보안 관련 영역에서 연방 정보와 IS를 위한

최소한의 보안 요구사항들을 특정함 -> 연방 기관들은 그 안에 정의된 대로 최소한의 보안 요구사항들을 충족하도록 요구됨 -> 모든 그런 표준들은www.csrc.nist.gov에서 NIST로부터 이용가능

6) BSI Baselines

- 영국 표준기관(BSI; British Standards Institution) 정보보안을 위한 기저 통제(Baseline Controls for Information Security) : IS를 위한 중간수준 보호를 제공하기 위한 최소한의 통제 집합을 기술하고 다음

사항을 포함함

① IT 보안 관리 : IT 보안 프로세스, IT 보안 프로세스 내 책임과 권한부여

② 일반적 요소들을 위한 IT 기저 보호 : 조직, 기반시설, 사무실, 가정 작업실, 서버 기반 네트워크, 데이터 전달 시스템, 통신, 다른 IT 요소들

- 기준(표준)이 결정적이라고 판단되지 않아야 함

-> 시간에 따라 새로운 기준들이 만들어지고 오래된 것들은 갱신되며, IS 감사자는 국제적으로 인정된 기준에서 최신 개발사항에 뒤떨어지지 않도록 하는 것이 또한 일부 직업적 요구사항임

정보시스템 감사 프로세스

9장. 내부통제(IC) 개념

정보시스템 감사 프로세스

9장. 내부통제(IC) 개념

- 기업 거버넌스 개념 소개

- 통제기준(COCO), 후원조직위원회(COSO), 사베인 옥슬리법, 최근 입법 - 통제의 구조화

- 통제 분류

- COBIT 에 주의를 둠

1. 내부 통제

-

- 통제 : 설정된 목표와 목적이 달성될 가능성을 향상시키기 위한 경영진에 의해 취해진 행동으로 정의될 수 있음

-> 경영진의 계획, 조직화, 지휘로부터 발생되고, 많은 변수들(예, 관리 통제, 내부 통제, 기타)이 일반적 조건 내에 구성될 수 있음

- 조직이 다음과 같이 진술된 목표를 향해 작동되도록 보장하기 위해 관리 통제가 의도됨 -> 기업의 목적과 목표는 기업 의도(시장 점유율이 이번 해에 10% 증가할 것이다)의 진술임 - >관리 목표는 기업 목표가 얼마나 충족될 것인가를 정의함(시장 점유율은 고객의 현재와 미래

필요와 욕구를 결정하기 위해, 데이터 저장소(warehouse) 내 정보를 레버리지하여 증가될 것임).

-> 내부 통제는 관리 목표를 보장하는 프로그램이 타당하게 기획되고 실행됨을 보장함(주기적인 점검이 데이터 저장소 내 포함된 데이터의 무결성에 대해 이루어질 것이고, 마케팅은 정보 필요를 충족하기 위해 데이터 마이닝 도구의 완전한 사용으로 훈련될 것임).

- 통제 책임은 분명히 경영진의 일이고 계획, 조직화, 지휘를 수반함

-> 계획(planning) : 자원을 활용하는 선호된 방법들을 선택하는 것뿐만 아니라 목적과 목표의 설정을 의미

-> 조직화(organizing) : 요구된 자원의 수집과 목적이 달성되는 방법으로 조정하는 것을 포함

-> 경영 프로세스를 지휘하는(directing) 것 : 주기적으로 계획된 성과와 실제를 비교하는 것뿐만 아니라 권한부여, 교육(instructing), 성과 모니터링을 포함

1. 내부 통제

- IS 관리 내에 통제 책임 : 시스템이 의도된 대로 기능하고 데이터 무결성이 유지되고, 기밀성이 유지되고, 시스템이 요구된 대로 요구 시점에 활용가능하고, 데이터 정확성과 완전성이 유지되고, 접근이 권한이 있는 경우에만 주어짐을 보장하는 것을 포함함

-> 경영 결정은 전략적, 전술적, 운영적인 것으로 분류되고, 어느 수준이든 모든 결정은 결정이 이루어지는 기반을 제공하도록 설계된 IS에 의해 영향을 받음

-> IS 감사 : 내부 통제라는 시스템이 의도된 대로, 효과적으로 기능하는 것을 보장해야 함 -> 필요한 통제의 수준은 전체 목표(objectives)에 의해 영향 받을 것임

- 기업 목표(corporate objectives)와 목적 : 기업 의도의 진술이고 대개 매우 광범위함

- 관리 목표(management objectives) :기업 목표가 어떻게 충족되어지는가를 정의하고 대개 훨씬 더 상세화 됨

-> 내부 통제는 관리 목표들을 보장하는 프로그램들이 타당하게 기획되고 실행되는 것을 보장하도록 설계됨

-> 운영 목표(operating objectives) : 일반적인 매일 매일 활동을 규정하는 동인들이고 자체적으로 충돌할 수 있고, 그들끼리의 충돌을 발견할 수 있음

* 예를 들어) 기밀성에 대한 필요와 데이터 활용가능성에 대한 필요, 데이터 처리의 효율성과 효과성 사이에 충돌이 있음

-> 운영 목표의 우선권이 통제의 개선을 지휘하고 통제의 최종 전체적인 시스템에 영향을 주게 될 것임 - 조직이 높은 보안 환경에서 운영되는 것을 가정하면, 통제 목표는 정보의 항구적인 상실이 정보의

누설보다 선호될 수 있음

- 더 낮은 보완 환경에서는 가용성이 주요한 관심이 될 것이고, 기밀성의 상실은 비교적 작은 문제일 수 있음

-> 내부 통제 구조의 본질과 방향을 정하는 것 : 이러한 위험 프로필의 평가이고 그래서 IS 감사가 작동함

1. 내부 통제

1) 비용/편익 고려사항

- 목표 : 목표를 달성하려고 시도하는 비용을 고려해야 함

-> ‘가능한 한 빨리’는 ‘에러 0’이 품질의 모든 측면들을 커버하는 강력한 내부 통제를 시사하는데 반해, 속도를 위해 다른 어떤 통제도 전무함을 함의

- 통제 : 실용적이고, 유용하고, 운영과 통제 목적 양자와 호환할 수 있어야 하고, 비용과 편익 사이에 늘 상충관계가 있음

-> 자금, 인력, 컴퓨팅 파워, 시간의 견지에서 모든 통제가 자원을 소모하기 때문에, 통제는 늘 비용과 편익 사이에 상충관계를 함의함(1백만 원의 가능한 상실을 예방하기 위해 2백만 원을 소비-> 가치 있다고 할 수는 없음)

2) 내부 통제 목표

☞ 상세한 수준에서 개괄적인 내부 통제 목표들은 다음 사항을 수반

- 정보의 신뢰성과 무결성 : 만약 경영진이 IS 내에 보유되고 처리된 정보의 신뢰성과 무결성을 신뢰할 수 없다면, 모든 정보는 의심스러운 것으로 간주되어야 하고 어떤 경우에 이것은 IS의 상실 보다 조직에 더욱 해가될 수 있음

- 정책, 계획, 절차, 법, 규제들의 준거성 : 법과 규제는 외부적으로 부과되고 지켜져야 함, 불충분한 IS는 조직이 국가의 법을 부주의하게 어기도록 하여 벌금, 형벌, 사무원의 구속이라는 상실의 결과 초래 가능 -> 조직의 내부 정책, 계획, 절차들은 계획적, 체계적, 질서 있는 운영을 보장하도록 설계됨

-> 때때로 관리자는 그런 정책, 계획, 절차의 충분성(adequacy)을 평가하도록 요구될 수 있음

(비즈니스의 본질이 변화되거나 위험이 재평가되어야 하거나 통제 목표의 우선순위가 다시 매겨져야 하기 때문)

1. 내부 통제

2) 내부 통제 목표

- 자산의 보호 : 자산의 상실은 전형적으로 조직이 직면할 수 있는 가장 시각적인 위험들 중의 하나이고 대개 이런 것들은 문 잠금, 금고, 보안 요원과 같은 가장 시각적인 통제들의 실행을 이끎 -> IS 의존적인 조직에서 자산 통제는 이중 관리(dual custody), 직무의 분리, 컴퓨터 인증 기법과 같은

비가시적인 것들을 또한 포함

-> 일부 조직은 보유한 정보를 대차대조표 상에 기업 자산으로 선언하는 위치에 있을 것임, 그럼에도 불구하고, 기업 정보 저장소는 적합하게 레버리지 되면 조직이 요구할 수 있는 가장 큰 자산일 수 있음 -> 많은 조직의 경우에, 컴퓨터 시스템들 내에 보유된 재무 기록들은 예를 들어, 재고의 총 가치가 컴퓨터

시스템이 재고 가치가 뭐라고 얘기하든지 공통적으로 취해진다는 점에서 정말로 실제 자산임, 유사하게, 채권자와 채무자 평가는 적합한 컴퓨터 시스템 내에 보유된 정보에 대개 기반을 둠 - 운영의 효과성과 효율성 : 효과성 : 설정된 목표의 달성을 포함하고 모든 운영과 통제들의 궁극적인

초점이어야 함, 최초 설계 시점에서, 많은 IS는 기업 목표를 달성하는데 초점이 맞춰짐 -> 시간에 따라 이러한 목표는 변화하고 IS는 그런 목표를 달성하는데 생산적이지 못하게 됨

-> 컴퓨터 시스템은 그러므로 기업의 전략적 방향과 의도와 일치하도록 계속적인 모니터링을 요구함

-> 효율성 :‘부족한 자원’ 활용의 최적화 도구로 분류되고, 낮은 자원 활용의 축소뿐만 아니라 낭비의

감소를 포함, 많은 조직에서 IS는 격언 ‘닭 잡는데 소 잡는 칼을 쓰는’ 것이 되어 왔고, 사무 자동화의 경우에만 본다면, 효율성을 향상시키는 대신에 그것을 감소하는데 사용되어왔음 - 위와 같은 통제 목표들을 명심하고, 경영진은 위의 모든 목표들을 달성할 가능성을 향상시키도록 내부

통제라는 시스템을 구조화할 수 있음