IT/Audit / / 2023. 1. 28. 10:14

CISA Domain 1 감사 절차, 감사 오류/위험, 문서, 증거

반응형

 

감사절차

  • 연간 감사 계획(Annual Engagement Planning)
    • 중대한 변화(인수합병, 시장 상황 변화)가 있을 경우 반드시 갱신
    • 장/단기 이슈에 대한 분석은 적어도 1년에 한번씩 수행
    • 사업의 이해를 하는 단계이며 연도별 변경사항을 체크한다.
  • 개별 감사 계획(Individual Engagement Planning)
    • (상세) 사업의 내용, 프로세스, 규정, 자산에 대해 이해하는 단계
    • 위험기반감사(RBAA)시 고유 위험(IR)이 파악되는 단계
    • Do : 비즈니스 환경 분석, 설문조사, 예비/착수 회의
  • 개별 감사 수행(Individual Engagement Performing) = Field work
    • 통제 평가 (EoC, Evaluation of Control)
      • 통제 절차가 목적에 맞게 설계되었는지 통제 설계의 적합성 테스트
      • 통제 환경, 통제 목적에 대한 이해
      • 정부나 규제기관의 요구사항 확인(법, SOX, HIPPA)
      • 조직도, 직무 기술서, 관찰 및 면담을 통해 직무분리(SoD)의 적절성 평가
      • DO : 면담/질의, 흐름도, RCM, 문서검토
        • 흐름도 : 조직과 업무간 관계를 파악하고 업무 분리 적절한지 평가, 통제 약점 및 부정 발생 소지를 식별 가능
        • RCM(위험 통제 매트릭스) : 중요한 핵심 통제가 존재하는지 식별
    • 통제 테스트(준거성 테스트, ToC, Test of Control)
      • 통제 절차가 준수되는지 운영의 효과성 테스트
      • 순서 : 준거성 테스트 > 일반 통제 평가 > 속성 샘플링
      • Do : 추적조사(walkthrough), 재수행, 속성샘플링, 조사(소스코드-목적코드 비교)
    • 실증 테스트 (성과 품질, ST, Substantive Test)
      • 거래의 타당성과 무결성에 대한 테스트
      • 순서 : 상세테스트(ToD, Test of Detail) > 응용 통제 평가 > 변량 샘플링
      • Do : 변량 샘플링, 재계산, 전진법, 역진법, 검열, 조회
  • 개별 감사 소통(보고, Reporting) = Communication
    • 피감사인과 감사 결과에 대한 협의
    • 필요한 사람에게 감사보고서 배포(직접 싸인), 감사보고서 수정 시 배포된 인원에게 재배포
    • 위험 감수 여부 확인
      • 경영진이 위험 감수 할 시 문서화 하되 후속 조치 수행 책임은 없다.
      • 위험 감수 시 보고 순서
        • 감사 보조인(Staff) > 감사 감독자 > 감사 팀장(Manager) > 고위경영/감사위원회
  • 후속 조치 확인(Follow-Up)
    • 경영진이 취한 교정 조치가 목적을 달성했는지 검토

 

[감사 절차 요약]

단계 중점사항 감사 내용
연간 감사 계획 사업이해
연도별 중요 변경사항
관련 법률 검토		  
개별 감사 계획 (상세) 사업 이해
통제 환경 파악		 비즈니스 환경
설문조사
예비/착수 회의
개별 감사 수행(EoC) 통제 목적 설계, 정책, 업무분장 면담/질의
흐름도
RCM
문서 검토
개별 감사 수행(ToC) 통제 절차 효과 검토 속성 샘플링
조사, 질의
재수행, 추적조사
개별 감사 수행(ST) 발견사항 있으면 실질적 입증 변량 샘플링
검열, 재계산
조회
전진법/역진법
개별 감사 보고 발견사항에 대해 고객과 소통  
통제 개선 조치 이행 확인 권고사항에 대한 조치 계획 이행 여부  

 

 

 

위험기반 감사절차

  • 감사 계획
    • 개별 감사 계획(배경 정보 취득)
    • 비즈니스 특성, 자산 파악, 고유 위험 파악
  • 감사 수행
    • 설계의 적합성(내부통제 이해)
      • 통제 환경, 통제 절차, 통제 위험 파악, 적발 위험 진단
    • 운영의 효과성(준거성 테스트)
      • 핵심 통제 테스트, 정책, 절차 준수 테스트
    • 성과 품질(실증 테스트)
      • 절차 분석, 예외사항+상세 테스트
  • 소통
    • 감사 결과 소통(감사 보고 및 종료)
    • 발견(지적) 사항, 권고 내역, 이행 계획 합의
  • 이행 점검
    • 모니터링
    • 이행 점검 결과 후속 조치

 

분석적검토절차

  • 기대치와 정보를 비교함으로써 예외사항이나 비정상 거래를 식별
  • 기대하지 않았던 차이, 잠재적 오류, 부정행위, 비반복적 사건 파악
  • 감사 全단계에서 두루 사용
  • Do : 비율 분석, 추세 분석, 합리성 테스트, 전시간 비교
  • 상황적 증거만 제공하기 때문에 기준 자체가 합리적이지 못하면 잘못된 결론에 도달

 

감사 오류

1종 오류 : 업무 성공 / 감사 보증 불가

  • 오류 없는데도 감사 부적정 의견 제출
  • 대응 : 재감사, 외주, 감사인 변경

2종 오류 : 업무 실패 / 감사 보증 가능

  • 오류가 있는데도 적정 의견 제출(감사 실패)
  • ex) 받지 말아야할 사람을 채용

 

감사 위험

  • 고유 위험(Internal Risk)
    • 위험감사 기반의 계획 단계에서 파악
    • 회사가 보유한 특수성, 비즈니스 특성에 의해 발생하는 위험(인터넷 뱅킹, 노후화된 시스템)
    • 고유 위험은 장/단기적으로 통제할 수 없다.
    • 다른 오류와 함께 결합하여 매우 중대한 오류 존재 가능
    • 평가 방법 : 사전 인터뷰, 기업 정보 분석 등
  • 통제 위험(Control Risk)
    • 통제 평가(EoC)에서 파악
    • 조직의 내부 통제 시스템에 의해 적절히 예방/적발/교정되지 않을 위험
    • 단기적으로는 통제가 어려우나 장기적으로 기여 가능
    • 통제의 설계 적합성, 운영의 효과성으로 구분됨
  • 적발 위험(Detection Risk)
    • 감사인의 감사 절차 잘못 / 업무 실패 / 허위 주장 등으로 적발 못할 가능성
    • 감사인은 위험 관리 수준(ALR, Acceptable Level of Risk)을 맞추기 위해 실증 테스트 범위 결정에 있어 IR, CR 수준을 고려해야 한다.
    • 종류
      • 샘플링 위험 : 샘플이 모집단을 대표하지 못함
      • 비샘플링 위험 : 감사인의 판단 미숙, 부적절한 감사 절차
    • 단기적으로 통제 가능

 

 

감사문서

  • 감사 헌장(Audit Charter)
    • 감사 기능의 역할과 책임을 명시(모든 감사 과제에 공통 적용)
    • 제-개정 시 반드시 이사회와 감사 위원회의 승인 필요
    • 포함 내용
      • 책임 : 사명, 독립성, 외부 감사와의 관계, 핵심 성과 지표
      • 권한 : 감사 기능의 감사 범위, 주기 및 권한
      • 해명 의무(Accountability, 책임) : 보고 체계, 실적 평가, 독립적 품질 검토 절차
  • 감사 수임용역 약정서(Audit Engagement Letter)
    • 개별 감사에 있어 감사인의 책임, 권한 및 해명 의무
  • 감사 프로그램(Audit Program)
    • 개별 감사를 위한 절차, 방법론, 도구, 일정, 자원 투입 계획 등 기술한 감사 수행 계획서
    • 감사 수행 이전에 작성 완료하여 승인
    • 수정은 감사 수행 중에 관계없이 중간 보고에 의해 수정 가능하나 시급성과 중요성에 근거한다.
  • 감사 작업 조서(Audit working paper)
    • 감사 수행 조서 중에 활용한 절차, 수집한 증거, 증거 분석 결과, 중간의견 등 기술한 문서
    • 소유권 : 감사 조직
    • 감사 최종 보고서의 근거가 되는 문서
    • 전자 감사 조서는 접근 권한 보안(물리적/논리적) 필요
  • 감사 보고서(Audit report)
    • 감사 최종 산출물, 감사 목적, 범위, 결과 공식적 문서
    • 감사인이 독립적으로 각기 내용 포함여부를 결정

 

감사증거

  • 충분성 : 다른 감사인도 동일하게 인정하며 설득력이 있어야 한다.
  • 신뢰성 : 확인한 사실이 근거가 있고 객관적으로 뒷받침되어야 한다.
    • 독립성/외부 원천 : 증거가 제 3자일 경우
    • 객관성 : 증거 의미가 해석이 필요 없음
    • 증거 제공자의 자격
    • 가용 시점 : 증거 수집 시점과 거래 시점과 인접
  • 관련성 : 감사 목적과의 연결
  • 유용성 : 감사 증거가 감사 목적 달성에 도움

 

 

 

부정적발 단계

  • Detection 단계
    • 이상징후 감지
    • 1차 수사 진행 후 적절한 직급에 1차 수사결과 보고
  • Investigation 단계
    • 부정행위 입증을 위해 증거 수집
    • 범행자, 범위, 수법 및 원인 확인
  • Reporting 단계
    • 결과에 대해 감사 부서의 장에게 보고
    • 직속 상관 > 이사회 > 감사 위원회 순 별도 보고서로 제출
    • 수사기관/감독기관 보고하더라도 먼저 감사관리자/법률자문 협의 후 결정

 

 

빅데이터 - 4V

  • Volume (대용량)
  • Variety (다양성)
  • Velocity (생성 속도)
  • Veracity (진실/정확도)
  • (추가) Value (가치)
반응형
저작자표시

'IT > Audit' 카테고리의 다른 글

CISA Domain 2 품질관리, 성과 최적화, 대체 사이트  (0) 2023.02.01
CISA Domain 2 Val IT, 위험 관리, 인적 자원 관리  (0) 2023.01.31
CISA Domain 2 거버넌스, 위원회, 전략 기획  (0) 2023.01.30
CISA Domain 1 SOX, COBIT, COSO  (0) 2023.01.28
CISA Domain 1 감사 방법, 샘플링, 테스트, 통제  (0) 2023.01.28
  • 네이버 블로그 공유
  • 네이버 밴드 공유
  • 페이스북 공유
  • 카카오스토리 공유
IT/Audit 관련 글
글 더보기

티스토리툴바