[Domain 1] IS 감사 프로세스

※ CISA 시험 공부하면서 요약 정리한 것으로 일부 중복된 내용 또는 오류가 있을 수 있습니다.

---

1. 위험, 위험 관리, 그리고 통제

■ 위험(Risk)

• 특정 “위협”이 특정 “자산”의 “취약점”을 악용하여 해당 자산에 “손실이나 피해”를 일으킬 “잠재성”
• 조직 목적 달성에 영향을 주는 사건이 발생할 가능성

■ 위험 관리(Risk management)

• 잔여위험을 용인 가능한 수준으로 유지하는 과정
• 위험관리 구성 : 위험평가 (Risk Assenssment) → 위험식별, 위험평가, 위험완화 (Risk Mitigation), 위험 재평가 (Risk Reevaluation)

■ 통제(Control)

• 조직의 목적이 달성될 것이며 / 바람직하지 않은 사건들이 예방, 적발, 교정될 것이라는 합리적 보증을 제공하기 위해 고안된 정책, 절차, 실무 및 조직 구조

■ 보증(Assurance)의 개념과 종류들

• 보증 대상에 대한 신뢰심 (Confidence)을 높이고 불안감 (doubt)을 낮추기 위한 정보 수집 및 검증 서비스

■ 절대적 보증, 보장 vs 합리적 보증

■ 통제의 내재적 한계 5가지

• 합리적 보증(중요성 개념)
• 사람의 판단 오류
• 공모
• 관리자 우회
• 환경의 변화

■ 통제의 유형 (시점에 따른 구분)

분류	기능	예
예방	- 문제 발생 전에 이를 탐지한다. - 운영 및 입력을 감시한다. - 잠재적 문제를 예측 및 조정한다. - 오류, 누락, 혹은 악의적인 행위의 발생   을 예방한다.	- 신입 사원 채용 절차 - 업무분리 - 승인절차 - 물리적 접근 통제 - 문서의 서식설계 - 편집 및 확인 통제
적발	- 이미 발생한 오류, 누락 또는 악의적   행위를 탐지하고 보고한다.	- Hash Total - Echo Check - 감사 (Audit)
교정	- 향후 문제의 발생을 최소화할 수 있도   록 처리 시스템을 교체 또는 수정 한다.	- 재해복구계획 - 데이터 백업 절차

■ 세부통제 대책의 의미 구분

• 예) anti-virus software

■ 특정 통제가 반드시 예방/적발/교정 하나의 목적만으로 설계되는 것은 아니다. 주된 목적(1차적 성격)을 지니더라도 부차적 목적(2차적 성격)의 성격을 지닐 수 있다. 예) 재해복구 계획

2. IS 통제

■ 정보시스템(IS) 통제의 유형 분류

• 일반통제 (General controls)
• 정보시스템의 구입/구현/유지보수 과정 관련 통제
• 정보 처리 환경에 대한 통제
• 응용통제(Application cintrols)
• 개별 거래 처리의 무결성 (integrity) = 정확성 + 완전성을 확보하기 위한 통제
• 입력/처리/출력 과정에 대한 통제
• 체크하는 2가지 방법. 특징 비교

■ 응용통제

• 입력 통제
• 처리 통제
• 출력 통제

■ 일반통제

영역별 구별) IT운영, 정보보안, 변경관리, 개발

• 각종 정책과 절차 / 직무분리, 업무 연속성 계획 / 데이터 백업
• 시스템 구입 및 개발 통제, 변경 관리, 문서화 및 형상관리
• 하드웨어 통제 / 바이러스 통제, (물리적 / 논리적) 접근 통제, 환경통제
• 프로젝트 관리 / 품질관리 / 독립적 감사

3.보증 서비스 (assurance)

■ 의의

• 보증 대상에 대하여 신뢰성 (confidence)을 높이고 불안감 (doubt)을 낮추기 위한 정보 수집 및 검증 서비스

■ 보증의 유형 구분

보증 주체에 따른 구분
- 자체 보증 또는 자기 확신 (Self Assurance):업무 수행자 (또는 책임자) 스스로에 의한 보증
- 독립적 보증 (Independent Assurance):업무 수행 책임으로부터 자유로운 제 3자에 의한 보증

보증 수준에 따른 구분
- 절대적 보증 (Absolute Assurance):비용을 고려하지 않고 제공되는 최고 수준의 보증 → 보장(guarantee)
- 합리적 보증 (Reasonable Assurance):비용이 효과를 초과하지 않는 수준에서 제공되는 보증

보증 정도에 따른 구분
- 적극적 보증 (Positive Assurance):보증 대상이 보증 기준에 적절히 부합한다는 것까지 보증
- 소극적 보증 (Negative Assurance):보증 대상이 보증 기준에 부합하지 않다고 말할 수 없음만 보증

※ IS 감사는 일반적으로 (1)독립적 (2) 합리적 (3) 소극적 보증인 경우가 많다. 반면 회계감사는 (1) 독립적 (2) 합리적 (3) 적극적 보증인 경우가 많다.

■ 보증 순서

• 통제 평가 (Evaluation of controls) → Adequacy of design (설계의 적절성)
• 통제 테스트 (Test of controls) → Effectiveness of operation (운영의 효율성)
• 실증 테스트 (Substantive test) → Quality of performance (성능의 품질)

4. IS 감사

■ 의의

• IS 통제가 (1) 적절하게 설계되었는지 평가하고, (2) 원래의 의도대로 작동하고 있는지 테스트 하며, (3) 통제목적이 달성되지 않을 위험을 실증하는 과정 및 절차

■ IS 감사 관련 용어

중요성 (Materiality)

• IS 감사는 중요한 오류와 누락 및 부정만을 적발하는 것이며, 중요한 위험의 실증에 대하여 합리적 보증만을 제공한다
• 비용이 효익을 초과하지 않는 수준에서 보증을 제공한다

독립성 (Independence)

• 자기 지배. 이해 상충과 부당한 영향으로부터의 자유로워야 함
• 직무상 독립성 : (1) 외관 (2) 태도
• 조직상의 관계에서의 독립성 : 피감사 조직을 통제하거나 그 조직에 의해 통제받는 관계여서는 안 된다.

■ 전문 직업인으로서의 정당한 주의 및 적격성

• 전문 직업인으로서의 정당한 주의 (Professional Due Care)
• 전문 직업인으로서의 판단 능력 (Professional Judgment)
• 적격성 (Compertence)
• IS 감사인이 요구받는 적격성 수준 구분
• 생소한 분야에 대한 감사 의뢰가 들어오면 대응방안

5. 감사 실패 위험

■ 의의

• 중요한 실패 사례나 허위 주장을 감사인이 적발하지 못할 가능성으로 보통은 2종 오류를 의미함
• 1종 오류 vs 2종 오류

감사 성과		감사 의견
		보증	보증 불가
업무 성과	성공	감사 성공	감사 실패 (1종오류)
	실패	감사 실패 (2종 오류)	감사 성공

• 감사 위험(AR, Audit risk) = 고유 위험 (IR, Inherent risk) X 통제 위험 (CR, Control risk) X 적발 위험 (DR, Detection risk)
• 적발 위험 (DR, Detection risk) = 샘플링 위험 (SR, Sampling risk) + 비샘플링 위험 (NSR, Non-sampling risk)

6. 감사 위험 (Audit Risk)

■ 고유 위험 (IR, Inherent risk)

• 조직이 사용하는 시스템의 특수성 혹은 운영하는 상업 특수성에 의해 발생할 위험
• (보완 통제가 존재하지 않을 경우) 업무가 실패나 허위 주장으로 흐르는 성향(susceptibility)을 보임
• 감사인이 장기적으로는 물론 단기적으로 통제할 수 없다.
• 분석적 기법, 기업 및 산업에 대한 가용 정보 및 감사 분야에 대한 전반적 지식을 기반으로 평가될 수 있다.

■ 통제 위험 (CR, Control risk)

• 업무 실패 또는 허위 주장이 내부 통제 시스템에 의해 적절히 예방, 적발 및 교정되지 않을 가능성
• 통제 위험은 감사인이 단기적으로 통제할 수 없으나, 권고를 통해 장기적으로는 개선에 기여할 수 있다 → 단, 영향은 제한적
• 이는 통제의 설계 적합성 (adequacy of design)과 운영 효과성 (effectiveness of operation)에 의존한다.

■ 적발 위험(DR, Detection risk)

• 감사인의 감사 절차가 효과적이지 못하여 업무 실패나 허위 주장을 적발하지 못할 가능성
• 심플링 위험 (SR, Sampling risk : 샘플이 모집단을 적절히 대표하지 못할 위험)과 비샘플링 위험 (NSR, Non-sampling risk : 감사인의 판단 미숙이나 부적절한 감사 절차로 인하여 적발 실패가 발생할 위험)으로 구성된다.
• 적절한 교육과 훈련, 감사의 강도 조절을 통하여 관여가 가능하다.

7. 위험 기반 감사 절차

■ 위험기반 감사접근법 (Risk Based Audit Approach)

■ 연간 감사 기획 (Annual Planning)

• 조직에 대한 위험 평가, 법규 현황 및 환경 변화에 대한 검토
• 연간 감사 과제를 도출하고 일정을 수립한다

■ 개별 감사 기획(Planning) → 감사 프로그램 (Audit Program)

• 감사 대상의 업무 프로세스를 우선 이해하고 관련 위험을 평가한다

■ 현장 감사(Field Work) → 감사 조서 (Audit Working Paper)

• 통제 평가 (Evaluation of Controls) : 통제설계의 적합성을 평가한다
• 통제 테스트 (Test of Controls) : 의도한 대로 작동하는지 테스트한다
• 실증 테스트 (Substantive Test) : 업무 실패 사례를 구체적으로 실증한다
  • 분석적 검토절차 (Analytical Review Procecures)
  • 상세 테스트 (Test of Details) of (1) 계정 (Balance) and (2) 거래 (Transaction)

■ 보고 (Reporting) → 감사 보고서 (Audit Report)

• 고객(피감사인)의 동의 획득
• 종료 회의 : 위험감수여부에 대한 공식적인 답변
• 보고서 배부

■ 후속 조치(Follow-up)

• IS 감사인의 권고사항에 대해 경영진이 취한 교정 조치가 목적을 달성하는지 여부를 추가적으로 검토한다.
• 단, 경영진이 위험을 감수 (assumption)하기로 한 경우 IS 감사인은 이를 문서화하되, 후속 조치를 수행할 책임은 없다.

8. 감사 정보와 법적 증거

■ 증거 형태별 분류

• 물리적 증거 (물증, Physical Evidence) : 사람, 자산 또는 활동에 대한 감사인의 직접적 관찰 및 검사
• 진술 (Representation) : 질의 또는 질문에 대한 서면 또는 문서의 설명
• 문서 증거 (Documentary Evidence) : 영구적인 형태로 존재하는 거래 관련 기록
• 분석 (Analysis) : 데이터 간 상호관계에 대한 파악을 통해 얻을 수 있는 자료

■ 법적 증거

• 일반감사 vs 법정감사 (Forensic Audit)
• 법정에서 **증거로서 채택 가능성 (admissibility)**을 확보해야 한다

■ 감사 증거의 요건(양적, 질적 요건)

• 충분성 (Sufficiency) : 다른 신중한 감사인들도 동일한 결론에 이를 만큼 완전하고 적합하며 설득력이 있다.
• 신뢰성 (Reliability) : 확인되고, 사실에 근거하며, 객관적이고, 뒷받침된다 → (1) 독립성(=외부원천) (2) 객관성 (3) 증거 제공자의 자격 (4) 가용 시점등에 의해 영향을 받음
• 관련성 (Relevance) : 감사 목적과 논리적으로 연결되며, 발견사항 / 결론 및 권고사항을 뒷받침한다.
• 유용성 (Usefulness) : 감사 증거가 조직의 목적 달성에 건설적으로 기여한다.

9. 계획 수립 절차

■ 환경 이해 및 문서 검토

• 업무 현장을 미리 실사한다.
• 전기 감사 보고서(조서) 및 최근 법규 현황에 대한 보고서를 검토한다.

■ 분석적 검토 결과

• 기대치와 정보를 비교함으로써 예외사항 (Exceptions)이나 비정상적인 거래 (Abnormal Transaction)를 식별한다.
• 분석적 검토 절차는 감사 전(全) 단계에서 두루 사용되는데, 특히 다음과 같은 사항들을 식별하는데 유용하다.
  • 기대하지 않았던 차이, 기대되는 차이의 부재, 잠재적 오류
  • 잠재적 부정행위 또는 위법 행위
  • 기타 비일상적이거나 비반복적인 거래 또는 사건
• 사용 기법
  • 비율, 추세 및 회귀 분석
  • 합리성 테스트
  • 기간-대-기간 비교
  • 예산, 추정치 및 경제적 여건 등과의 비교

■ (통제 평가) 설문

• 고객 스스로 통제를 평가할 수 있게 해 준다.
• 고객의 답변에 대해서는 타 정보로 검증해야 한다.
• 타 방법들보다 시간이 많이 소요됨

■ 착수 회의 (kick-off meeting)

10. 통제평가 절차

■ 면담 및 질의

• 업무 수행자에게 구두로 또는 문서로 통제절차를 문의한다.

■ 문서 검토

• 조직도, 직무 기술서, 관찰 및 면담 등을 검토하여 직무 분리의 적정성을 평가할 수 있다.
• Compliance Audit 수행하는 경우 조직의 정책 및 절차서를 검토하여, 통제 규정이 관련 법규를 포괄적으로 반영하였으며 적합하게 설계되었는지 우선 평가해야 한다.
• Compliance Audit (준거성 감사) vs Test of Control (준거성 테스트)

■ 흐름도 작성 (flow chart)

• 조직과 업무 간의 관계를 파악하고 업무 분리가 적절한지 평가할 수 있다.
• 업무단위의 흐름도 정리
• 그려보면서 통제 약점 및 부정 발생 소지를 도식적으로 식별할 수 있다.

■ 위험 통제 매트릭스 (RCM)

• 존재할 수 있는 잠재적 위험과 이를 통제하기 위한 통제 대책이 매트릭스 형태로 매핑해서 보여준다.
• 매트릭스를 통해서 중요한 핵심 통제가 존재하는지 여부를 손쉽게 판단할 수 있게 해 준다.

11. 통제 테스트 절차

■ 조사 (Examination)

• 내부 감사인의 직접적인 경험에 의존하므로 신뢰성이 높아진다.
• 조사는 특정 시점에서의 존재성 또는 점유 (existence or possession)에 대해서만 증명하므로 유용성에 제약이 따른다.
• 검사 (Inspection) : 물리적 자산(예. 기계류)의 존재 / 활용 여부에 대한 조사이다.
• 관찰 (Observation) : 주로 활동(예. 통제 절차의 수행)에 대한 조사이다.

■ 재수행 (Reperformance)

• 업무를 규정에 따라 다시 수행시켜 본다.
• 직원들이 규정을 숙지하고 있는지 그리고 정책이나 절차의 배포와 교육이 적정했는지를 판단할 수 있다.

■ 추적조사 (walkthrough)

■ 속성 샘플링 (Attribute Sampling)

• 모집단에서 표본을 추출한 후, 표본의 규정 위반율을 근거로 모집단의 규정 위반율을 추정한다.
• 추정한 규정 위반율이 허용 가능한 최대 위반율을 넘지 않는다면 통제 위험이 높지 않은 것으로 평가한다.

12. 실증 테스트 절차

■ 검열(Scanning)

• 확연하게 드러나는 오류는 신속하게 식별할 수 있다.

■ 재계산 (Re-computing or Re-calcuation)

• 시스템이 처리한 결과를 감사인이 다시 계산하여 결과값을 검증한다.
• CAATs를 활용

■ 조회 (Confiramtion)

• 거래처에 채권/채무 잔액 또는 거래의 유무를 서신으로 검증
• 소극적 조회 (negative confirmation : 다수의 소액 거래)와 적극적 조회 (Positive confirmation : 소수의 거액 거래)가 있다.

■ 변량 샘플링 (Variable Sampling)

• 보고서에 포함된 정보의 허위 정도를 가늠하기 위하여 수행된다.
• 샘플링은 상세 테스트 대상 거래를 추출하는 것이며, 조사 대상 거래를 추출한 후에는 이를 검증 데이터와 대조해 보아야 한다.

■ 추적 (Tracing or Vouching)

• Tracing : 증빙에서 장부 기록까지 순추적한다. 완전성 검증
• Vouching : 장부 기록에서 증빙까지 역추적한다. 실재성 검증

13. 자가 통제 평가 (CSA : Contral Self Assessment)

■ 의의

• CSA = 전통적 감사 접근법 + 위험 평가 + 자가 진단
• 업무에 대한 세부지식이 필요한 고위험 분야를 식별하고자 할 때 활용됨

구분	진행	코치
전통적 감사	감사인 (Audior)	감사인 (Audior)
CAS	협업, 실무진	감사인 (Audior)

■ 수행 접근법

• 촉진된 워크숍 : 가장 널리 사용되는 방법
• 경영진의 의한 분석, 설문조사 방법도 보조적으로 활용 가능함
• 촉진된 워크샵 (Faciltated workshop)
  • 업무 프로세스 소유자들이 주도적으로 참여한다.
  • 구조적 의사일정(agenda)을 필요로 한다.
  • 감사인이 수행하는 역할은 통제 전문가 및 평가촉진자 (Facilitatior)이다.

■ 역할 별 책임 구분

책임	전통적 접근법	CAS  접근법
경영 목적의 수립	경영진	경영진
위험 및 통제의 평가	감사인	실무진
위험 및 통제 평가의 확인	감사인	감사인
사용 목적	감사	경영 관리

 

14. 감사 샘플링

■ 통계적 심플링 (Statistical sampling) - 모집단에 대한 추정을 객관적 방법으로 검증, 신뢰 수준이 계량화된다.

• 임의 샘플링 (Random sampling) : 난수를 생성하여 조사 대상 데이터를 추출하여 뽑힐 확률이 모두 동일해짐
• 체계적 샘플링 (Systematic sampling) : 최초 추출은 난수를, 나머지는 추출 구간을 사용한다.
• 추출 구간 = 모집단 사이즈 ÷ 샘플 사이즈
• 단계별 감사활동과 속성/변량 샘플링 연계 정리

■ 속성 샘플링 (Attribute sampling)

• 단속적 샘플링 (Stop-or-go 또는 Stop-and-go sampling) : 기대 오류가 매우 낮을 때 사용하며, 샘플 사이즈가 작다.
• 색출 샘플링 (Discovery sampling) : 부정이나 사기행위 적발을 주요 목적으로 둔다.

■ 변량 샘플링 (Variable sampling)

• 단위당 평균 추정 (Mean per unit estimation)
• 차이 추정 (Difference estimation)
• 비율 추정 (Ratio estimation)

■ 샘플 크기에 영향을 주는 요소들(감사인의 판단/단순히 공식 적용)

• 모집단의 크기 : 비례 관계
• 신뢰 수준 (Confidence Level) : 비례 관계
  • Cf. 신뢰 계수 (Significance coefficient) 역시 비례 관계
• 위험 수준(= 1- 신뢰 수준) : 반비례
• 모집단의 다양성(=분산) : 비례 관계
  • 속성 샘플링에서는 모집단의 분산을 고려하지 않는다.
• 정보(Precision) : 반비례 관계
  • 허용 오차의 한계로 이해할 수 있다.
  • 정도가 커지면 샘플의 크기는 감소한다.
• 허용 가능 위반율 (Tolerable Deviation Rate)
  • 감사인이 잠정 추산한 통제 위반 비율이다.
  • 단 변량 샘플링에서는 기대 오류를 고려하지 않는다.

■ 화폐 단위 샘플링(Monetary Unit Sampling)

• 거래의 화폐 가치에 비례하여 추출 확률이 증가하는 샘플링으로서 보통은 과대 계상된 거래가 추출될 가능성이 더 높아진다.
• CMU (Cumulative Monetary Uint) sampling, PPS (Probability Proportionate to Size) sampling

15. CAATs vs BEASTs

■ 의의

• 정보시스템 통제 테스트 및 데이터 무결성 검증을 위하여 컴퓨터를 활용한다.
• CAATs (Computer Assistend Audit Techniques) 또는 BEASTs (Beneficiary Electronic Audit Support Tools)

■ 소프트웨어 구분

• GAS (Generalized Audit Software) : 다양한 형태의 계산, 샘플링 및 데이터 분석에 사용되는 감사 소프트웨어
• SAS (Special Audit Software) : 복잡한 계산이나 매우 독특한 목적으로 사용되는 전용 감사 소프트웨어

■ 대표적 기법들 구분 (white box vs black box)

■ 범용 감사 소프트웨어

• 다양한 현식의 데이터 파일에 접근하여 대량 데이터를 다양한 방법으로 분석, 평가 및 검증할 수 있게 해 주는 감사용 스프레드시트 (spreadsheet) 프로그램이다.
• 전수 검사를 지원할 수 있기 때문에 적발위험뿐만 아니라 감사위험을 준다.
• 제공 기능
  • 파일 접근 : 다양한 형식 및 구조의 파일 판독
  • 파일 재구성 : Indexing, Sorting & Merging & Linking
  • 데이터 추출 : Filtratoin condition & selection criteria
  • 연산 기능 : 각종 연산 기능 및 연산자 제공

16. 부정행위 수사

■ 경영진 책임

• 부정행위 (fraud) 예방의 주요 수간은 내부통제 시스템이고 합리적인 비용으로 효과적인 통제 시스템을 구축하고 유지할 책임은 경영진에게 있다.

■ IS 감사 부서의 책임

• IS 감사인은 IS 통제 시스템의 적합성과 효과성을 조사하고 평가하여 부정행위의 억제를 지원할 책임을 가진다.
• IS 감사인은 (1) 부정행위 식별에 필요한 충분한 관련 지식을 갖추어야 하고, (2) 부정행위가 발생 위험을 증가시키는 통제 약점에 주의를 기울여야 한다.
• 수사 (Invesitigation)가 필요할 정도로 부정행위의 징후가 큰 경우에는 회사 내 적절한 직급에 보고해야 한다.
• 부정행위 수사의 주된 책임은 일반적으로 보안 직원, 법무담당 직원에게 있다. 감사인은 그들 및 기타 전문가들과 공조해야 한다.

■ 부정적발 단계

• Detection 단계
  • 부정행위의 이상징후가 감지되고 이를 의심하게 되는 단계
  • 1차 수사를 하고, 적절한 직급에 1차 수사 결과를 보고한다.
• Investigation 단계
  • 부정행위를 입증하기 위한 충분한 정보를 수집한다.
  • 범행자, 범행의 범위, 수법 및 원인을 파악한다.
• Reporting 단계
  • 수사 과정 및 결과에 대한 시기적절하게 보고해야 한다.
  • 입증된 결과는 감사 부서의 장을 통해 (1) 직속상관, (2) 이사회 (3) 감사 위원회에 별도 보고서로 보고한다.
  • 수사기관이나 감독기관에 보고 필요성이 있을 때에도, 먼저 감사관리자 및 법률자문과 협의한 후 결정한다.

 

감사 프로세스

위험기반 감사 접근법

샘플링 단계