IT/Audit / / 2023. 1. 28. 11:04

CISA Domain 1 감사 방법, 샘플링, 테스트, 통제

반응형

 

감사계획

  • 환경 이해 및 문서 검토
    • 업무 현장 실사
    • 전기 감사 보고서(조서) 검토
  • 분석적 검토 절차

통제 테스트

  • 재수행(통제 테스트만의 절차)
    • 규정 숙지/교육 적정 확인
  • 추적 조사(Workthrough)
    • 거래 발생 시점부터 재무제표 반영까지 과정을 추적
    • 프로세스 이해 및 통제 유무 확인 가능
  • 속성 샘플링 : 일반통제
    • 모집단에 포함된 특별한 속성에 대해 그 발생 빈도를 추정하기 위해 적용되는 통계적 표본 추출 방법
    • 종류
      • 단속적 샘플링(Stop-or-Go)
        • 기대 오류가 매우 낮을 때, 비교적 작은 크기의 샘플로 감사인의 기대 오류 수준을 검증
        • 기대 부합되는 샘플링 결과가 나오면 추가적인 샘플링을 하지 않지만, 그렇지 않으면 속성 샘플링을 위한 샘플의 크기에 이를 때 까지 계속 샘플 추출
      • 색출 샘플링(Discovery)
        • 감사인의 이탈사항의 수가 아주 적거나 거의 없을 때 적용
        • 조직내의 부정행위, 사기 등 적발

 

실증테스트

  • 재계산
    • 시스템이 처리한 걸 감사인이 직접 계산(CAATs 활용)
  • 변량 샘플링
    • 보고서에 포함된 정보의 허위 정도를 가늠
    • 종류
      • 단위 당 평균 추정
      • 차이 추정
      • 비율 추정
  • 추적 방법
    • 전진법(Tracing) : 증빙내역부터 장부의 기록까지 순추적(데이터의 완전성 검증)
      • 부채 추적(과소 계상이 많기 때문)
    • 역진법(Vouching) : 장부 기록부터 증빙까지 역추적(거래의 실재성 검증)
      • 자산 추적(과대 계상이 많기 때문)

 

개별감사소통

  • 고객과의 면담
    • 감사 후 발견사항의 조사, 보고서 초안을 제공하여 의견을 소통
    • 대응시간을 주어 교정 조치 계획 수립 지원
  • 종료 회의
    • 고위 경영진에게 보고내용을 발표 및 설명
    • 위험 감수 여부 공식 답변
    • 이견에 대해 객관적 증거 제시, 끝까지 이견 차이가 좁혀지지 않는다면 양측 의견에 대해 근거를 병기

 


 

감사 샘플링

  • 샘플링은 감사 시간과 비용을 줄이는데 도움
  • 표본 설계에 앞서 반드시 모집단의 완전성을 검토해야한다.
  • 종류
    • 통계적 샘플링 : 모집단에 대해 결론을 도출하기 위해 확률 이론을 적용할 수 있도록 표본 추출하는 방법
      • 임의 샘플링(Random) : 난수 발생프로그램을 통해 표본 추출, 모든 표본의 선택확률이 같다.
      • 체계적 샘플링(Systematic) : 첫번째 샘플은 무작위 추출, 이후 부터는 일정 추출 구간만큼 일련번호 증가시키며 추출
        • 추출 구간 = 모집단의 크기 / 샘플 크기
    • 비통계적 샘플링 : 표본의 크기를 결정하거나 표본을 선택하는 과정에서 확률이론을 적용하지 않고 주관적인 판단에 의해 결정하는 방법론
      • 자의적 샘플링 : 감사인이 특정한 구조적 기법을 사용하지 않고 편의대로 표본을 추출하는 방법, 의도적인 편의성이나 예측 가능성을 피하고 모집단 내의 모든 항목이 동일한 추출 기회를 갖도록 해야한다.
      • 판단 샘플링 : 감사목적에 부합되는 대상을 선정하여 감사인 판단에 따라 조사 대상과 크기를 주관적으로 결정한다.
  • 샘플링 용어
    • 층화(Stratification, 변량 샘플링에서 적용)
      • 모집단을 특정한 기준에 따라 소집단으로 나누고 각각의 빈도에 따라 적절한 수의 표본을 무작위로 추출하는 방법, 대표성을 높임
      • 즉, 모집단을 중복되지 않도록 층을 나눈 뒤 표본 추출
      • ex) 1학년, 2학년, 3학년 층 구분 -> 각 층마다 10명씩 랜덤 추출
    • 정도(Precision, 오차의 정도)
      • 참 값과 추정 값 간의 '허용 오차의 한계'
      • 200 +- 50 = 150~250 이라고 할 때 +-50가 정도(Precision)
      • 통제 테스트와 실증 테스트 모두에서 사용
    • 허용 가능 오류(통제 테스트에서 적용)
      • 감사인이 수용할 수 있고 목적이 달성되었다고 말할 수 있는 모집단의 최대한의 오류
    • 기대 오류(Expected Error Rate, 통제 테스트에서 적용)
      • 사전감사에서 식별된 오류 수준, 내부 통제 시스템 평가 또는 분석적 검토 절차로 부터 얻은 가용 증거 등을 통해 모집단에 포함되어 있을 것으로 기대하는 오류
    • 신뢰 계수/수준(confidence coefficient/confidence level)
      • 샘플 표본이 모집단의 특성을 적절히 반영하고 말할 수 있는 확률
      • 신뢰구간의 넓이를 결정하는데 사용되며 신뢰수준에 비례하는 값(95%, 99% 등)
      • 감사인이 내부통제가 강력하다는것을 안다면 신뢰 계수는 낮아진다.

샘플 크기 정도

  • 비례관계
    • 모집단의 크기
    • 모집단의 다양성
    • 기대 오류
    • 신뢰 계수(수준)
  • 반비례 관계
    • 정도
    • 위험 수준
    • 층화(모집단의 다양성 감소)
표본크기 증가 감소
공통 모집단 크기 증가
신뢰 계수 증가
정도 감소
샘플링 위험 수준 감소
모집단 크기 감소
신뢰 계수 감소
정도 증가
샘플링 위험 수준 증가
속성 샘플링 기대 오류 증가
허용 가능 오류율 감소
기대 오류 감소
허용 가능 오류율 증가
변량 샘플링 모집단 분산 증가
허용 오차 금액 감소
층화 미시행
모집단 분산 감소
허용 오차 금액 증가
층화 시행

 


 

테스트

  • 화이트 박스 테스트(처리의 무결성 검증)
    • 스냅샷 : 입력 데이터 값이 연산 과정을 거치면서 변하는 과정을 포착(응용 프로그램의 무결성 검토)
    • EAM(Embedded Audit Module, 내장 감사 모듈) : 복잡하지만 고객 업무에 영향이 없다.
    • Mapping : 분석 프로그램을 활용하여 명령어 적용 순서 분석
    • Tagging / Tracing : Mapping과 동일하나 응용프로그램 자체 Tagging/Tracing 기능 활용
  • 블랙 박스 테스트(처리의 결과 검증)
    • 테스트 데이터 법 : 테스트 데이터를 생성하여 테스트계에서 검증
      • 테스트 하기 전 IT관리자의 승인 및 운영자의 일정 및 지원 필요
      • 테스트 데이터 법은 운영자에게 테스트 일정이 노출되는 약점
    • 통합 테스트 설비(ITF, Integrated Test Facility) : 테스트 데이터를 운영계에서 검증
      • 테스트 데이터 법과 기본적으로 동일하지만 IT 운영자의 도움 받을 필요가 없다.
      • 가상 거래처(Dummy) DB에 포함시킨 후 주기적으로 가상 거래를 운영계에서 처리
      • 가상 거래처와 실제 거래처 사이의 실제 거래가 처리되는 일이 없도록 유의
      • 상시적 감사 가능
    • 병행 운영 : 기존 프로그램과의 비교
    • 병행 시뮬레이션 : 감사인의 개발 프로그램으로 비교
      • GAS를 사용한 감사
      • 병행 테스트와는 다른 것이므로 주의
    • 기본 사례 시스템 평가(BCSE, Base Case System Evaluation) : 표준 테스트 데이터 사용
      • 테스트 데이터법과 유사하지만 테스트용 표준 거래 데이터 반복 사용
      • 테스트를 수행할 때마다 테스트 거래 데이터를 생성할 필요 없음

 


통제 자가 평가(CSA, Control Self-Assessment)

  • 전통적 감사 접근법 + 위험 분석 + 자가 평가
    • 활용 : 업무에 대한 세부지식이 필요한 고위험 분야를 식별함을 목적
  • 설문조사부터 촉진된 워크샵까지 다양한 방법 사용 가능, 일반적으로는 담당자들에게 질의를 통해 수집
  • 촉진된 워크샵
    • 업무 프로세스 소유자가 주도적인 역할을 맡아서 수행
    • 감사인은 내부통제전문가 및 평가 촉진자 역할 수행
  • 조직 내부통제시스템에 대한 신뢰를 보증(감사의 대체는 아님)
  • 통제 모니터링의 책임 일부를 현업 부서로 이관함으로써 내부감사 기능을 최대로 확장/활용

감사 도구

  • CATTs, Computer Assisted Audit Techniques
    • 서류없는 환경에서 지속적인 온라인 감사기법을 통해 감사의 효율성을 향상 시킴
    • 컴퓨터 활용 모든 감사 기법을 통칭 -> 감사 증거의 신뢰성에 가장 큰 영향
    • 활용 사례 : 데이터 추출/분석, 자동화된 감사 문서화, 시스템 검토, 부정 적발
      • CATTs의 상세 설명은 감사 보고서에 개요 정도 내용만 기술
  • SAS(Specialized Audit Software, 전용 감사 소프트웨어)
    • 소스코드비교 SW : IS직원 도움 없이 TSET 가능 -> 객관/독립성
  • GAS(Generalized Audit Software, 범용 감사 소프트웨어)
    • 다양한 형태 계산, 샘플링, 데이터 분석에 사용되는 감사 소프트웨어
    • 샘플링 기능을 지원하지만 기존에 샘플링 기법으로 접근하던 감사 절차를 전수 검사 방식을 테스트로 진행할 수 있도록 해주며, 때문에 샘플링 위험으로 인한 적발 위험 뿐만 아니라 감사 위험까지 줄여줌
    • 프로그램 : IDEA, Excel, ACL 등
    • 활용 사례 : 급여파일과 실제 급여, 퇴사자 급여지급 여부,. 연령 분석, 이중 지급 여부, 세금 계산서 등

 


 

통제

  • 예방 통제(Preventive Control)
    • 문제(오류, 누락, 부정행위)가 발생하기 전에 이를 예측하고 예방 및 조정하기 위한 통제
    • ex) 신입 사원 채용 절차, 직무 분리, 물리적 접근 통제, 문서 서식 설계, 거래 승인 절차, 편집 및 확인 통제
  • 적발 통제(Detective Control)
    • 이미 발생한 문제를 적발하고 보고하는 통제
    • ex) 해시 합계, 체크 포인트(N/W, H/W, S/W), 에코 체크
  • 교정통제(Corrective Control)
    • 위헙의 영향을 최소화하고 문제의 원인을 식별하여 조치함, 오류를 사후적으로 정정하기 위한 통제
    • ex) 재해 복구 계획, 데이터 백업 절차, 체크포인트(DB), 재실행
  • 보완 통제(Compensating Control)
    • 현존하는 또는 잠재적인 통제 약점으로 인한 위험을 감소시키기 위한 통제
    • 약한 통제와 강한 통제, 수작업 통제와 자동화된 통제 간의 균형을 이루는것을 말함
  • 중복 통제(Overlapping Control)
    • 기존 통제를 강화하기 위해 구현된 추가 통제
    • ex) 경비원에 의해 보호되는 DT센터내부를 감시 카메라를 중복하여 감시

 

일반 통제 : ITGC / GITC (IT General Control, General IT Controls)

  • IS 환경에 전반으로 영향을 미치는 통제 활동
  • IT 운영, 정보보안, 변경관리, 개발(SDLC)
  • 정보시스템의 구입/구현/유지보수 과정에 관련된 내용의 통제 활동
    • ex) 문서화 통제, 접근 통제 절차, 직무 분리
  • 영역
    • 정보보안 및 접근 통제 : 사용자 권한, 인증 절차, 접근 설정, 슈퍼 유저, 직무 분리 등
    • 프로그램 개발 : 개발 방법론의 준수 및 문서화 여부, SDLC 단계별 문서화(승인 포함), 버전관리, 테스트 및 검증, 프로그램 적용 및 이관 승인, 교육
    • 프로그램 변경 : 변경 요청, 심사, 확인, 개발, 테스트, 이관 전 승인, 이관, 반영 및 종료 문서화 등
    • 컴퓨터 운영 : 배치 관리, 백업 관리, 장애 관리, 재해 복구 절차 관리

응용 통제 : ITAC(IT Application Controls)

  • 개별 시스템의 입력/처리/출력과정에 대한 통제하는 내부 통제
  • 개별 거래처리의 무결성을 확보하기 위한 통제
  • 특정 업무에 영향을 미치는 거래 처리에 대한 통제
    • ex) 배치 통제 합계, 월별 자료 대사 작업, 입/출력 값에 대한 검증
  • 테스트 방법
    • 화이트 박스 테스트 : 소스코드 확인하여 전체 확인 : 전체가 참이면 참
    • 블랙 박스 테스트 : 입력값과 출력값만 정하고 test data 확인 : 귀납적 확인, 참인 전제가 많을수록 참일 가능성이 높다
  • 영역
    • 입력 통제 : 정보가 완전하고 정확하게 입력되도록 하는 통제
    • 처리 통제 : Application의 처리 로직과 처리 과저이 원래 목적대로 수행되고 있는지 통제
    • 출력 통제 : 처리된 결과물이 승인된 자에게만 의도된 대로 정확하게 작성 및 보고되도록 하는 통제

 

COBIT에 따른 통제 활동 분류

파급 통제

  • 계획 수립 및 조직화 (P/O)
  • 모니터링 및 평가(M/E)

상세 통제

  • 도입 및 구축(A/I)
  • 운영 및 지원(D/S)

 

반응형
  • 네이버 블로그 공유
  • 네이버 밴드 공유
  • 페이스북 공유
  • 카카오스토리 공유