5장. IT 감사 (For IS자산보호/데이터 무결성 유지&판단)
(1) IT 감사의 유형
1) IT 조직 감사 : 전략, 전술, 운영 수준에서 IT 조직의 구조, 실무, 운영
2) IT 개발 및 구입 감사 : IT Application의 개발/구입/유지보수, IT 기반 구조의 구입
3) IT 전달 및 운영 감사 : IT 기반구조의 운영, 유지보수
4) IT 보안 감사 : IT 자산에 대한 물리적 및 논리적 보안
(2) 중요성(Materiality) : 상대적이며 상황의존적, 따라서 전문가적 판단 필요
(3) IT 감사인의 자격
1) 독립성(Independence) : 감사 수용 시점에 고려하여야 함
- 조직상의 독립성
① IT 감사 기능은 피감사 조직/분야의 통제를 받아서는 안 됨
② IT 감사 기능이 피감사 조직/분야를 통제해서도 안 됨
- 직무상의 독립성
① 외관 : 타인의 주관적 판단으로 볼 때 독립성이 손상되어서는 안 됨 예) 친/인척 관계
② 태도 : 감사 의견에 따라 성과 평가나 보수가 달라져서는 안 됨
③ 접근성 : 감사 대상 및 관련 정보에 자유롭게 접근할 수 있어야 함
** 감사 소프트웨어 설계는 독립성 위반사유가 아님
** 단순 자문의견 제시는 독립성 위반사유가 아님
** 운영적 책임이 없는 프로젝트 팀원 참여는 독립성 위반사유가 아님
2) 감사위원회(Audit Committee) : 이사회(BOD) 산하의 기구/내부감사부서를 보호
3) IT 감사 헌장(Audit Charter) : 내부감사부서의 권한/범위/책임을 기술 (감사부서 신설 시 최우선 구축)
** 감사부서의 충분한 위상과 독립성 확보가 이루어져야 함
- 작성한 문서는 감사위원회의 최고 관리자로부터 서명을 받아야 함 -> 최종적으로 이사회 승인
- 감사계획서와 구분 주의
4) 감사 기능 내 직급 체계
- 감사 부서장(Audit director) = 감사관리자 : 보고서를 검토하여 전문가적 기준에 따른 IT Audit Standard 준수 확인
- 감사 팀장(Incharge)
- 감사 인력(Audit staff)
5) 전문가로서의 정당한 주의와 판단(Professional due care & judgment) -> 전문가적 독립성(실제적 조치 X)
6) 적격성(Competence): 업무 착수까지 적격성을 갖추어야 함 예) 직무교육 -> If not, 수임 X or 외부 전문가 활용
(4) IT 감사 자원 배분
1) 지속적 위험 분석 (For 한정된 감사자원을 전략적이고 효율적으로 활용 -> 위험수준 높은 부분에 우선 투입)
** 전체 감사 영역(Audit universe) : 감사대상 목록, 매년 업데이트 필요, 위험수준 및 그에 따른 감사우선순위 결정
2) CSA(Control Self-Assessment) : 촉진된 워크샵 = 구조적 워크샵 = 구조적 의사일정(Structured agenda) - 경영진 및 실무자(업무수행자/프로세스 소유자) : 스스로 내부 통제의 효과성을 평가하고 감시하는 데 참여, 보고서 작성의무
** 통제 모니터링에 대해 프로세스 소유자가 일정부분 책임을 감당하여야 함
- 내부 IT 감사인 : CSA 과정을 주도하지 않으며, 독립성을 유지하면서 촉진자(Facilitator) 또는 참관자 역할만 수행
** 위험 평가는 경영진 및 실무자가 하지만, 위험 평가에 대한 확인 주체는 IT 감사인임
- 워크샵 진행자(Meeting facilitator) : “U”자형 테이블에 앉아 위험과 관련 통제에 대한 토의 진행
- 장점 :
① 일차적 목적: 업무에 대한 세부지식이 필요한 고위험 분야의 식별
② 부수적 목적: 경영진 및 실무자들의 주인 정신을 향상하며 감사 영역 선정 근거를 더 잘 수용
- 결과: CSA 수행 결과 발견된 내부 통제의 취약점(고위험분야)은 연간 감사 계획에 반영
3) 감사계획 수립 시 법규의 고려 4) 연간 감사계획(Annual audit plan)과 지속적 직무 교육
6장. 감사 목적, 절차, 증거
(1) 감사 목적과 절차
1) 감사 목적: 내부통제 책임은 경영진이지만, 합리적 보증을 제공할 책임은 감사인에게 존재
2) 감사 절차(Audit procedures)의 기록
- 감사 프로그램: 감사계획서
- 감사 조서(Work paper): 모든 감사절차의 구체적 사항까지 기술을 요함
** 전자화된 형태의 감사 조서 활용 시 : 네트워크 접근 통제를 강화해야 함 예) 인증절차 등
- 감사 의견(Opinion) : 회계감사와 달리 정형화된 감사의견은 없음
- 권고 사항(Recommendation): 의무는 아님
- 감사 보고서: 초안을 피감사부서장에게 미리 전달 후 검토의견도 반영하여 완성, 부정행위는 따로 보고를 요함 ** 감사조서와 감사보고서를 비교하는 문제가 자주 출제됨
** 일정내 중요한 시스템에 대해 보증을 할 수 없는 경우
: 감사조서에 해당 사실과 사후테스트를 위한 일정을 문서화하고, 감사보고서 발행
(2) 감사 증거
1) 질적 요건
- 관련성(Relevance)
- 신뢰성(Reliability) : 원천/객관성/제공자/수집시점
① 원천: 조직 내부보다는 외부에서 입수된 증거
② 객관성: 내용이 분명하여 판단이나 해석이 불필요한 증거
③ 제공자: 전문성/중립성/권위가 있는 제공자로부터 받은 증거
** 외부 출처 조회확인서보다 외부 IS감사인에 의해 수행된 테스트가 더 신뢰성 있는 증거로 판단함(제공자의 전문성)
④ 수집 시점: 관련 행위의 발생 시기와 근접한 시기에 수집한 증거
- 유용성(Usefulness) : 감사목적에 기여
** ISO 9126(SW의 결과품질)의 사용성(Usability, 운용편리성)와 구별 주의할 것
2) 양적 요건 ** If. 충분성 미확보 : 다른 테스트 방안 고안
- 충분성(Sufficiency) : IT 감사인은 증거가 충분한지 전문가적 판단을 해야 함(전문가라면 같은 결론을 내려야 함)
3) 법적 고려 사항
- 합법적 수집
- 법원 제출 : 경영진 사전승인 필요
- 증거보존 : 포렌식 감사, 보관의 사슬
-끝-
참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)
참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com
Codes and Things
프로그래밍 학습 블로그
unvertige123.wordpress.com
- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4
'CISA/1. IS 감사 프로세스' 카테고리의 글 목록
CISA, PMP, CISSP, CIA 자료를 공유합니다.
33cram.tistory.com
'자격증 > CISA' 카테고리의 다른 글
| [CISA 요약정리] Domain 1. IS 감사 프로세스 | 9장. 감사 샘플링 & 10장. 컴퓨터 지원 감사 도구 및 기법 & 11장. 부정 감사 - Domain 1 끝- (0) | 2022.05.26 |
|---|---|
| [CISA 요약정리] Domain 1. IS 감사 프로세스 | 7장. 위험 기반 감사 접근법 & 8장. 감사 세부 절차 및 기법 (0) | 2022.05.26 |
| [CISA 요약정리] Domain 1. IS 감사 프로세스 | 3장. 통제모형 & 4장. 위험관리 (0) | 2022.05.21 |
| [CISA 요약정리] Domain 1. IS 감사 프로세스 | 1장. 조직과 보증 & 2장. 통제 목적과 통제 절차 (0) | 2022.05.20 |
| [CISA] CISA 소개 및 (요약)자료 업로드 계획 (0) | 2022.05.20 |
댓글