7장. 위험 기반 감사 접근법
(1) 감사 위험(Audit risk) 관리
1) 감사 위험의 의의 : 중요한 오류나 부정을 발견하지 못하여 부적절한 보증 의견을 표명할 위험 (주로 2종오류, 위음성 오류)
>> 감사위험 = 고유위험(IR) × 통제위험(CR) × 탐지위험(DR)
2) 감사 위험의 구성
- 고유 위험(Inherent risk)
- 통제 위험(Control risk) : 내부통제
- 적발 위험(Detection risk) : 감사절차 (IS 감사인이 영향을 가장 크게 미치는 위험)
3) 용인 가능 감사 위험(AARL: Acceptable Audit Risk Level)
(2) 위험 기반 감사 절차
1) 적발 위험의 조정 : IR과 CR 수준에 따라 DR을 조절하여 감사위험을 관리
2) 감사 위험을 고려한 감사절차
8장. 감사 세부 절차 및 기법 (프로젝트 관리 기법과 유사)
(1) 개별 감사 계획 수립 및 착수 회의 (감사계획: 감사위원회 or 이사회 승인, 경영진 승인 X -> 감사 영역에 대해 권고 가능)
1) 감사 목적 결정
2) 관련 업무 환경 이해 : 관련사안 및 전기문서를 검토 -> 비즈니스 프로세스 식별 -> 통제 목적과 활동
** 위험평가 전 비즈니스 프로세스를 식별하는 것에 유의
3) 위험 지표 확인 및 조사(위험평가의 개발)
** 위험 기반 감사 접근법을 활용하는 목적 : 감사 자원의 효율적 활용
4) 분석적 검토 절차(ARP: Analytical Review Procedure)
** For 감사가 중요한 사항을 다룰 것이라는 합리적 보증 제공
** 분석적 검토 절차는 감사절차 전 단계에서 사용
5) 위험 평가: 고유 위험 산정 -> 고 위험분야 식별 (감사계획 수립 단계에서 가장 중요한 결정 사항)
6) 감사 계획 수립 : 성격/범위/시기 결정
** 감사의 성/범/시는 위험평가 이후 결정
7) 감사 통지서(Audit engagement letter) 발송
8) 착수 회의(Entrance conference 또는 Kick-off meeting)
(2) 예비 조사(=통제 설계 평가)
1) 통제 평가 설문 및 면담 : 관련 법규 및 정책의 갱신여부 등 확인
2) 위험 통제 매트릭스(RCM) 검토
3) 관련 문서 검토 : 정책/절차서/조직도/직무기술서 등
4) Work-through 수행 후 흐름도 작성 : 비즈니스 프로세스 파악
5) 통제 목적과 활동을 파악
6) 1 차 통제 위험 평가
- 통제구조 설계의 적합성 평가 : 통제 약점 식별
- 통제 약점이 큰 경우 보완통제 여부 확인
- 보완통제 마저 미진하다면, TOC 생략 가능 -> 강한 실증절차
- 향후 감사방향 설정: 성/범/시 결정
7) 감사 프로그램(감사계획서) 작성
** 표준 감사 프로그램(Proforma Audit Program) 예) EMS, e-Audit : 감사 절차의 효과성, 효율, 품질 향상에 도움
(3) 준거성 테스트(= 통제 테스트, TOC) : 법규 및 규정의 준법성 여부
1) 분석적 검토 절차(ARP: Analytical Review Procedure)
2) 검사(Inspection), 관찰, 조사(Examination),
3) 질의(Inquiry) 및 재수행(Re-performance)
4) 추적(Tracing) : 거래처리순서의 역방향으로 진행
5) 코드 비교(Code comparison)
6) 속성 샘플링(Attribute sampling)
7) 2 차 통제 위험 평가 : 통제 위험이 크게 나타나면 입증 테스트 노력을 높이고, 낮으면 입증 테스트 노력을 낮춤
** 직무분리의 최상의 증거: 관찰 및 면담
(4) 입증 테스트 (= 실증 테스트 = 실증절차) 예) 채권 연령 분석
1) 분석적 검토 절차(ARP: Analytical Review Procedure)
2) 개괄적 검토(Scanning)
3) 재계산(Recalculation)
4) 조회(Confirmation)
5) 거래추적(Tracing) : 순방향 검토/역방향 검토
6) 코드 검토(Code review)
7) 변량 샘플링(Variable sampling)
** 미비사항 확인 시, 샘플테스트를 통해 추가적인 정보 및 사건빈도를 확인한 후 원인을 파악하여야 함
** 모든 발견사항은 발견사항의 원인에 대한 재검토 수행 후 보고 -> 필요하다면, Sample 수 확대
(5) 보고 및 후속 조치
1) 보고서 초안 전달 : 피감부서장 검토 후, 대응 내용 문서화 (교정하더라도, 모든 발견사항 감사보고서 포함해야 함)
2) 종료 회의(Exit conference) : 감사보고서 내용 피감부서 동의 요청 및 경영진 면담 -> 협의절차: 아직 감사결과 확정 X
** 감사위원회 보고 전 피감부서 면담의 이유 : 발견사항 확정 및 교정행동방침(권고사항)을 제안
** 감사위원회 보고 전 경영진 면담의 이유 : 감사증적의 정확성 및 권고사항에 동의나 대응할 기회를 제시
3) 감사위원회 보고 : 피감부서가 동의하지 않으면, 보고서에 피감부서의 의견과 근거를 포함
(6) 만족도 조사 : 향후 감사 품질 개선에 참고
(7) 후속 조치 : 피감부서 계획한 시정조치 이행여부 확인(For 교정조치가 의도한 결과를 성취하고 있음을 보증)
-끝-
참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)
참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com
Codes and Things
프로그래밍 학습 블로그
unvertige123.wordpress.com
- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4
'CISA/1. IS 감사 프로세스' 카테고리의 글 목록
CISA, PMP, CISSP, CIA 자료를 공유합니다.
33cram.tistory.com
댓글