본문 바로가기
자격증/CISA

[CISA 요약정리] Domain 1. IS 감사 프로세스 | 5장. IT 감사 & 6장. 감사 목적, 절차, 증거

by Goddoeun 2022. 5. 26.
728x90
반응형

5장. IT 감사 (For IS자산보호/데이터 무결성 유지&판단)

    (1) IT 감사의 유형

         1) IT 조직 감사 : 전략, 전술, 운영 수준에서 IT 조직의 구조, 실무, 운영

         2) IT 개발 및 구입 감사 : IT Application의 개발/구입/유지보수, IT 기반 구조의 구입

         3) IT 전달 및 운영 감사 : IT 기반구조의 운영, 유지보수

         4) IT 보안 감사 : IT 자산에 대한 물리적 및 논리적 보안

 

    (2) 중요성(Materiality) : 상대적이며 상황의존적, 따라서 전문가적 판단 필요

    (3) IT 감사인의 자격

         1) 독립성(Independence) : 감사 수용 시점에 고려하여야 함

             - 조직상의 독립성

             ① IT 감사 기능은 피감사 조직/분야의 통제를 받아서는 안 됨

             ② IT 감사 기능이 피감사 조직/분야를 통제해서도 안 됨

             - 직무상의 독립성

             ① 외관 : 타인의 주관적 판단으로 볼 때 독립성이 손상되어서는 안 됨 예) 친/인척 관계

             ② 태도 : 감사 의견에 따라 성과 평가나 보수가 달라져서는 안 됨

             ③ 접근성 : 감사 대상 및 관련 정보에 자유롭게 접근할 수 있어야 함

                 ** 감사 소프트웨어 설계는 독립성 위반사유가 아님

                 ** 단순 자문의견 제시는 독립성 위반사유가 아님

                 ** 운영적 책임이 없는 프로젝트 팀원 참여는 독립성 위반사유가 아님

           2) 감사위원회(Audit Committee) : 이사회(BOD) 산하의 기구/내부감사부서를 보호

           3) IT 감사 헌장(Audit Charter) : 내부감사부서의 권한/범위/책임을 기술 (감사부서 신설 시 최우선 구축)

               ** 감사부서의 충분한 위상과 독립성 확보가 이루어져야 함

                - 작성한 문서는 감사위원회의 최고 관리자로부터 서명을 받아야 함 -> 최종적으로 이사회 승인

                - 감사계획서와 구분 주의

            4) 감사 기능 내 직급 체계

                - 감사 부서장(Audit director) = 감사관리자 : 보고서를 검토하여 전문가적 기준에 따른 IT Audit Standard 준수 확인

                - 감사 팀장(Incharge)

                - 감사 인력(Audit staff)

             5) 전문가로서의 정당한 주의와 판단(Professional due care & judgment) -> 전문가적 독립성(실제적 조치 X)               

             6) 적격성(Competence): 업무 착수까지 적격성을 갖추어야 함 예) 직무교육 -> If not, 수임 X or 외부 전문가 활용

 

         (4) IT 감사 자원 배분

             1) 지속적 위험 분석 (For 한정된 감사자원을 전략적이고 효율적으로 활용 -> 위험수준 높은 부분에 우선 투입)

                 ** 전체 감사 영역(Audit universe) : 감사대상 목록, 매년 업데이트 필요, 위험수준 및 그에 따른 감사우선순위 결정

              2) CSA(Control Self-Assessment) : 촉진된 워크샵 = 구조적 워크샵 = 구조적 의사일정(Structured agenda)                    - 경영진 및 실무자(업무수행자/프로세스 소유자) : 스스로 내부 통제의 효과성을 평가하고 감시하는 데 참여, 보고서 작성의무

                     ** 통제 모니터링에 대해 프로세스 소유자가 일정부분 책임을 감당하여야 함

                  - 내부 IT 감사인 : CSA 과정을 주도하지 않으며, 독립성을 유지하면서 촉진자(Facilitator) 또는 참관자 역할만 수행

                     ** 위험 평가는 경영진 및 실무자가 하지만, 위험 평가에 대한 확인 주체는 IT 감사인임

                  - 워크샵 진행자(Meeting facilitator) : “U”자형 테이블에 앉아 위험과 관련 통제에 대한 토의 진행

                  - 장점 :

                  ① 일차적 목적: 업무에 대한 세부지식이 필요한 고위험 분야의 식별

                  ② 부수적 목적: 경영진 및 실무자들의 주인 정신을 향상하며 감사 영역 선정 근거를 더 잘 수용

                  - 결과: CSA 수행 결과 발견된 내부 통제의 취약점(고위험분야)은 연간 감사 계획에 반영

               3) 감사계획 수립 시 법규의 고려 4) 연간 감사계획(Annual audit plan)과 지속적 직무 교육

 

 

6장. 감사 목적, 절차, 증거

    (1) 감사 목적과 절차

        1) 감사 목적: 내부통제 책임은 경영진이지만, 합리적 보증을 제공할 책임은 감사인에게 존재

        2) 감사 절차(Audit procedures)의 기록

           - 감사 프로그램: 감사계획서

           - 감사 조서(Work paper): 모든 감사절차의 구체적 사항까지 기술을 요함

             ** 전자화된 형태의 감사 조서 활용 시 : 네트워크 접근 통제를 강화해야 함 예) 인증절차 등

           - 감사 의견(Opinion) : 회계감사와 달리 정형화된 감사의견은 없음

           - 권고 사항(Recommendation): 의무는 아님

           - 감사 보고서: 초안을 피감사부서장에게 미리 전달 후 검토의견도 반영하여 완성, 부정행위는 따로 보고를 요함           ** 감사조서와 감사보고서를 비교하는 문제가 자주 출제됨

              ** 일정내 중요한 시스템에 대해 보증을 할 수 없는 경우

                 : 감사조서에 해당 사실과 사후테스트를 위한 일정을 문서화하고, 감사보고서 발행

 

    (2) 감사 증거

         1) 질적 요건

             - 관련성(Relevance)

             - 신뢰성(Reliability) : 원천/객관성/제공자/수집시점

               ① 원천: 조직 내부보다는 외부에서 입수된 증거

               ② 객관성: 내용이 분명하여 판단이나 해석이 불필요한 증거

               ③ 제공자: 전문성/중립성/권위가 있는 제공자로부터 받은 증거

                   ** 외부 출처 조회확인서보다 외부 IS감사인에 의해 수행된 테스트가 더 신뢰성 있는 증거로 판단함(제공자의 전문성)

               ④ 수집 시점: 관련 행위의 발생 시기와 근접한 시기에 수집한 증거

               - 유용성(Usefulness) : 감사목적에 기여

                 ** ISO 9126(SW의 결과품질)의 사용성(Usability, 운용편리성)와 구별 주의할 것

             2) 양적 요건 ** If. 충분성 미확보 : 다른 테스트 방안 고안

                 - 충분성(Sufficiency) : IT 감사인은 증거가 충분한지 전문가적 판단을 해야 함(전문가라면 같은 결론을 내려야 함)

             3) 법적 고려 사항

                 - 합법적 수집

                 - 법원 제출 : 경영진 사전승인 필요

                 - 증거보존 : 포렌식 감사, 보관의 사슬

 

 

-끝-

 

 

 

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

 

Codes and Things

프로그래밍 학습 블로그

unvertige123.wordpress.com

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

 

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록

CISA, PMP, CISSP, CIA 자료를 공유합니다.

33cram.tistory.com

 
728x90
반응형

댓글