본문 바로가기
자격증/CISA

[CISA 요약정리] Domain 1. IS 감사 프로세스 | 7장. 위험 기반 감사 접근법 & 8장. 감사 세부 절차 및 기법

by Goddoeun 2022. 5. 26.
728x90
반응형

7장. 위험 기반 감사 접근법

    (1) 감사 위험(Audit risk) 관리

        1) 감사 위험의 의의 : 중요한 오류나 부정을 발견하지 못하여 부적절한 보증 의견을 표명할 위험 (주로 2종오류, 위음성 오류)

           >> 감사위험 = 고유위험(IR) × 통제위험(CR) × 탐지위험(DR)

         2) 감사 위험의 구성

             - 고유 위험(Inherent risk)

             - 통제 위험(Control risk) : 내부통제

             - 적발 위험(Detection risk) : 감사절차 (IS 감사인이 영향을 가장 크게 미치는 위험)

         3) 용인 가능 감사 위험(AARL: Acceptable Audit Risk Level)

    (2) 위험 기반 감사 절차

         1) 적발 위험의 조정 : IR과 CR 수준에 따라 DR을 조절하여 감사위험을 관리

         2) 감사 위험을 고려한 감사절차

 

 

 

8장. 감사 세부 절차 및 기법 (프로젝트 관리 기법과 유사)

    (1) 개별 감사 계획 수립 및 착수 회의 (감사계획: 감사위원회 or 이사회 승인, 경영진 승인 X -> 감사 영역에 대해 권고 가능)

         1) 감사 목적 결정

         2) 관련 업무 환경 이해 : 관련사안 및 전기문서를 검토 -> 비즈니스 프로세스 식별 -> 통제 목적과 활동

            ** 위험평가 전 비즈니스 프로세스를 식별하는 것에 유의

         3) 위험 지표 확인 및 조사(위험평가의 개발)

            ** 위험 기반 감사 접근법을 활용하는 목적 : 감사 자원의 효율적 활용

         4) 분석적 검토 절차(ARP: Analytical Review Procedure)

            ** For 감사가 중요한 사항을 다룰 것이라는 합리적 보증 제공

            ** 분석적 검토 절차는 감사절차 전 단계에서 사용 

         5) 위험 평가: 고유 위험 산정 -> 고 위험분야 식별 (감사계획 수립 단계에서 가장 중요한 결정 사항)

         6) 감사 계획 수립 : 성격/범위/시기 결정

             ** 감사의 성/범/시는 위험평가 이후 결정

         7) 감사 통지서(Audit engagement letter) 발송

         8) 착수 회의(Entrance conference 또는 Kick-off meeting)

 

    (2) 예비 조사(=통제 설계 평가)

        1) 통제 평가 설문 및 면담 : 관련 법규 및 정책의 갱신여부 등 확인

        2) 위험 통제 매트릭스(RCM) 검토

        3) 관련 문서 검토 : 정책/절차서/조직도/직무기술서 등

        4) Work-through 수행 후 흐름도 작성 : 비즈니스 프로세스 파악

        5) 통제 목적과 활동을 파악

        6) 1 차 통제 위험 평가

           - 통제구조 설계의 적합성 평가 : 통제 약점 식별

           - 통제 약점이 큰 경우 보완통제 여부 확인

           - 보완통제 마저 미진하다면, TOC 생략 가능 -> 강한 실증절차

           - 향후 감사방향 설정: 성/범/시 결정

        7) 감사 프로그램(감사계획서) 작성

            ** 표준 감사 프로그램(Proforma Audit Program) 예) EMS, e-Audit : 감사 절차의 효과성, 효율, 품질 향상에 도움

 

    (3) 준거성 테스트(= 통제 테스트, TOC) : 법규 및 규정의 준법성 여부

         1) 분석적 검토 절차(ARP: Analytical Review Procedure)

         2) 검사(Inspection), 관찰, 조사(Examination),

         3) 질의(Inquiry) 및 재수행(Re-performance)

         4) 추적(Tracing) : 거래처리순서의 역방향으로 진행

         5) 코드 비교(Code comparison)

         6) 속성 샘플링(Attribute sampling)

         7) 2 차 통제 위험 평가 : 통제 위험이 크게 나타나면 입증 테스트 노력을 높이고, 낮으면 입증 테스트 노력을 낮춤         

            ** 직무분리의 최상의 증거: 관찰 및 면담

 

    (4) 입증 테스트 (= 실증 테스트 = 실증절차) 예) 채권 연령 분석

        1) 분석적 검토 절차(ARP: Analytical Review Procedure)

        2) 개괄적 검토(Scanning)

        3) 재계산(Recalculation)

        4) 조회(Confirmation)

        5) 거래추적(Tracing) : 순방향 검토/역방향 검토

        6) 코드 검토(Code review)

        7) 변량 샘플링(Variable sampling)

            ** 미비사항 확인 시, 샘플테스트를 통해 추가적인 정보 및 사건빈도를 확인한 후 원인을 파악하여야 함

            ** 모든 발견사항은 발견사항의 원인에 대한 재검토 수행 후 보고 -> 필요하다면, Sample 수 확대

    (5) 보고 및 후속 조치

        1) 보고서 초안 전달 : 피감부서장 검토 후, 대응 내용 문서화 (교정하더라도, 모든 발견사항 감사보고서 포함해야 함)

        2) 종료 회의(Exit conference) : 감사보고서 내용 피감부서 동의 요청 및 경영진 면담 -> 협의절차: 아직 감사결과 확정 X

           ** 감사위원회 보고 전 피감부서 면담의 이유 : 발견사항 확정 및 교정행동방침(권고사항)을 제안

           ** 감사위원회 보고 전 경영진 면담의 이유 : 감사증적의 정확성 및 권고사항에 동의나 대응할 기회를 제시

        3) 감사위원회 보고 : 피감부서가 동의하지 않으면, 보고서에 피감부서의 의견과 근거를 포함

 

    (6) 만족도 조사 : 향후 감사 품질 개선에 참고

 

    (7) 후속 조치 : 피감부서 계획한 시정조치 이행여부 확인(For 교정조치가 의도한 결과를 성취하고 있음을 보증) 

 

-끝-

 

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

 

Codes and Things

프로그래밍 학습 블로그

unvertige123.wordpress.com

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

 

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록

CISA, PMP, CISSP, CIA 자료를 공유합니다.

33cram.tistory.com

728x90
반응형

댓글