반응형
샤베인-옥슬리 법 SOX, 2002
- 상장회사의 회계 개선과 투자자 보호법으로 불리는 미국의 회계 개혁에 관한 연방 법률
- 월드컴, 엔론의 분식회계로 인해 제정됨
- 주요 내용
- 감사위원회 이사는 사외이사
- 정확하고 투명한 기업공개(투자자 보호)
- 기업 거버넌스로 감사제도 개혁
- 내부통제 의무화, 내부 고발자 보호 제도
COBIT(Control Objectives for Information related Technology)
- 효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위해 ISACA에서 1996년부터 발표해온 Best practice 기반 프레임워크로 5.0이 최신버전
- COBIT 5.0은 IT 목표 및 성공요인(enabler) 목표와 연결
- IT 거버넌스를 위한 통제 프레임워크가 가져야할 요건
- 경영 요구사항 연계
- 성과 투명성 확보
- 다양한 IT 활동을 널리 인정받고 있는 프로세스 모델로 조직화
- 중요 자원의 식별
- 고려해야 할 관리 통제 목적의 정의
- 프로세스
| 거버넌스 |
|
| 관리 |
|
|
|
|
|
|
프로세스 성숙도 평가
COBIT 5.0은 BSC(Balanced Score Card) 개념을 통해 성공 요인의 성숙도를 측정
COSO (내부 통제 모형, Committee of sponsoring Organizations of the Treadway Commision)
- 1992년 COSO보고서로 알려진 내부통제-통합프레임워크에 실린 통제 모형
- 영리와 비영리 조직 모두에게 활용가능하며 전사적인 관점에서 내부통제에 대한 가이드라인을 제시
| 구성요소 | 관련 요소 | 설명 |
| 통제 환경 (Control Environment) |
상벌 체계 인력 운용 |
구성원의 적합성 도덕적 가치 |
| 위험 평가 (Risk Assessment) |
위험 식별 대응방안수립 |
목적, 이익에 영향 있는 위험식별/평가 |
| 통제 활동 (Control Activities) |
승인 업무분장 문서화 제한적 접근 내부 검증 |
업무 수행 지침 따른 절차, 통제 활동 |
| 정보 및 의사소통 (Info. & Comm.) |
정보생성,보고 의사소통체계 |
기업/구성원간 효율적 의사소통 내역 |
| 모니터링 (Monitoring) |
자체 평가 (소유자, 내부 감사인에 의한 감시) 사후 관리 |
효율적 관리/개선 위한 평가/모니터링 |
COSO ERM모형
- 2004년 기존 COSO 모델을 수정하여 5가지 요소에 3가지 구성요소를 추가하는 등 위험관리프로세스를 보완하여 ERM(Enterprise Risk Management, 전사적 위험관리 프레임워크)로 구체화
- 추가된 요소
- Object Setting, 목표 수립 : 목표가 조직의 사명과 위험에 대한 성향과 일관성을 이룸
- Event Identification, 사건 인식 : 조직에 영향을 주는 내부 및 외부 사건 = 리스크
- Risk response, 위험 대응 : 조직의 위험 허용 한도 및 성향을 일관성을 이룸
반응형
'IT > Audit' 카테고리의 다른 글
| CISA Domain 2 품질관리, 성과 최적화, 대체 사이트 (0) | 2023.02.01 |
|---|---|
| CISA Domain 2 Val IT, 위험 관리, 인적 자원 관리 (0) | 2023.01.31 |
| CISA Domain 2 거버넌스, 위원회, 전략 기획 (0) | 2023.01.30 |
| CISA Domain 1 감사 방법, 샘플링, 테스트, 통제 (0) | 2023.01.28 |
| CISA Domain 1 감사 절차, 감사 오류/위험, 문서, 증거 (0) | 2023.01.28 |
