[CISA 요약정리] Domain 1. IS 감사 프로세스 | 9장. 감사 샘플링 & 10장. 컴퓨터 지원 감사 도구 및 기법 & 11장. 부정 감사 - Domain 1 끝-

9장. 감사 샘플링

    (1) 감사 샘플링의 기본 개념

        1) 신뢰 구간(Confidence Interval) : 클수록 샘플 수 감소

        2) 정도(Precision) : 클수록 샘플 수 감소

        3) 신뢰 수준(Confidence Level) : 클수록 샘플 수 증가 [수]

        4) 신뢰 계수(Confidence Coefficient) : 클수록 샘플 수 증가 [수]

 

    (2) 표본의 추출 방법

        1) 통계적 샘플링(Statistical Sampling) : 감사증거 충분성의 계량적 측정 및 객관적 샘플링/모집단 추정 가능

            - 무작위 샘플링(Random Sampling, = 임의 샘플링)

            - 체계적 샘플링(Systematic Sampling) : 추출 간격 = 모집단의 크기 ÷ 표본의 크기

        2) 비통계적 샘플링

           - 무계획 샘플링 (Haphazard Sampling, 자의적 샘플링)

           - 판단 샘플링(Judgmental Sampling)

           - 블록 샘플링(Block Sampling) : 특정 구간에 포함되는 연속 항목 추출

 

    (3) 준거성 테스트에서의 샘플링 : 속성 샘플링(Attribute Sampling)

         ** 기대오류 개념을 사용

         1) 속성 샘플링(Attribute Sampling)

         2) 단속적 샘플링(Stop-or-Go Sampling)=Pilot Sampling : 기대위반율이 낮을 때 사용

         3) 색출 샘플링(Discovery Sampling) : 요구되는 위반율이 극단적으로 낮을 때 사용

   

    (4) 입증 테스트에서의 샘플링: 변량 샘플링(Variable Sampling)

         ** 표준편차 개념은 변량 샘플링에서만 등장(속성 샘플링에서는 표준편차 개념이 사용되지 않음)

         1) 고전적 샘플링(Classical Sampling)

         2) 화폐 단위 샘플링(Monetary unit Sampling) : 정규분포가정 X, IF 0 or (-) -> 추출 X

            - PPS(Probability-proportionate-so-size) 샘플링: 거래의 금액에 비례하여 추출 확률이 증가

            - 과대 계상(Over statement)될 경향이 있는 자산 계정을 감사할 때 사용

            - 추출 간격 = 모집단 총 금액 ÷ 표본의 크기

        ** 층화(Stratification) : 모집단을 동질성이 높은 몇 개의 계층(Stratum) 또는 하위 모집단으로 분할하는 것으로서 주로 변량 샘플링에서 적용되는 개념 -> 모집단의 다양성을 완화시키기 때문에 샘플 수가 감소함 예) 일정금액 이상만 Sampling, 특정사용자 수행 거래 Sampling

 

    (5) 샘플링 절차와 위험

        1) 샘플링 절차

           - 목적 결정

           - 모집단 확정

           - 샘플링 방법 결정

           - 표본 추출

           - 표본 평가

        2) 감사 샘플링 위험(Audit Sampling Risk) : 샘플링 위험을 낮추기 위한 IS감사인의 전문가적 판단과 적절한 주의 필요

           - 샘플링 위험(Sampling Risk) : 샘플링 결과가 전수 검사 결과와 다를 확률

           - 표본 구성이 잘못될 수 있는 확률을 완전히 제거할 수 없음

           - 준거성 테스트와 입증 테스트에서 발생하는 샘플링 위험의 의미

 

10장. 컴퓨터 지원 감사 도구 및 기법

    (1) 컴퓨터지원 감사도구

        ** 감사증거 : 관련성/신뢰성/유용성/충분성

        1) CAATs(Computer Assisted Audit Techniques) : 컴퓨터 활용 모든 감사기법 통칭 -> 감사증거의 “신뢰성”에 가장 큰 영향

            ** CAATs의 상세설명은 감사보고서에 개요 정도의 내용만 기술

        2) GAS(Generalized Audit Software, 범용 감사 소프트웨어) : IDEA, Exel, ACL 등

        3) SAS(Specialized Audit Software, 전용 감사 소프트웨어) cf. 소스코드비교SW: IS직원 도움없이 Test 가능 -> 객관/독립성

            ** 데이터 마이닝과 감사소프트웨어 도구의 가장 우선적 요구사항 -> 감사대상 조직의 시스템에서 효과적으로 동작 : 운영의 문제없이, 시스템에서 정확한 데이터 획득하여, 데이터의 무결성과 소스 데이터가 적절하게 접근통제됨을 확인

 

     (2) 응용 프로그램 처리의 무결성 검증

         1) 스냅샷(Snapshot) : 연산과정(거래처리과정 분석)->응용프로그램 무결성 검토

         2) 매핑(Mapping) : 분석프로그램을 활용한 명령어 적용 순서 분석

         3) 태깅 및 추적(Tagging and tracing) : 매핑과 동일하나, 응용프로그램 자체 태깅/추적기능을 활용

 

    (3) 응용 프로그램 처리의 결과 검증

         1) 병행 시뮬레이션(Parallel Simulation) : 감사인 개발프로그램과 비교

         2) 병행 운영(Parallel Operation, =병행테스트) : 기존프로그램과 비교

         3) 테스트 데이터 법 또는 테스트 데크 법 : 테스트 데이터를 생성하여 테스트계에서 검증

            - 테스트를 하기 전에 IT 관리자의 승낙과 운영자의 일정 합의 및 지원이 필요

            - 테스트 데이터 법은 운영자에게 테스트 일정이 노출되는 약점 존재

         4) 기본 사례 시스템 평가(BCSE: Base Case System Evaluation) : 표준 테스트 데이터를 사용

            - 테스트 데이터 법과 유사하지만 테스트용 표준 거래 데이터를 반복 사용

            - 테스트를 수행할 때마다 테스트 거래 데이터를 생성할 필요가 없음

         5) 통합 테스트 설비(ITF: Integrated Test Facility) : 테스트 데이터를 운영계에서 검증

            - 테스트 데이터 법과 기본적으로 동일하지만 IT 운영자의 도움을 받을 필요가 없음

            - 가상 거래처(Dummy entity) DB에 포함시킨 후 주기적으로 가상 거래를 운영계에서 처리

            - 가상 거래처와 실제 거래처 사이에 실제 거래가 처리되는 일이 없도록 유의해야 함 (ITF의 가장 큰 위험)

 

    (4) 조사 대상 거래의 추출

        1) 내장 감사 모듈(EAM: Embedded Audit Module) 또는 감사 후크(Audit Hook) : 자체프로그램 예) SCARF or SARF

        2) 감사 데이터 수집(Audit Data Collection) : 별도프로그램

        3) 확장 레코드(Extended Records) - 특정 응용 시스템에 의해 영향을 받은 모든 데이터를 수집/저장 - 조사 대상 거래의 모집단을 확정하고 상세한 감사 증적을 제공하는 데 도움

        4) CIS(Continuous and Intermittent Simulation) : 시뮬레이터(모듈의 일종)가 지속적/간헐적 검토

        5) 온라인 감사 접근법 : 실제 거래를 적시성 있게 추출 및 검사 가능

        6) 추세/차이 탐지도구 : 감사증적 분석 기능 (EAM은 분석 불가, 샘플링과 시스템 통계 산출만 가능) -> 이상현상 발견

           ** 대규모 거래 업체에서 발생한 최근발생 위험을 처리하기 위해선 “지속적인 감사 관리(CAM)” 필요 (실시간 교정활동 가능)

              예) 자동화된 감사 솔루션 ** 적발통제, 그 자체로 교정을 제공하지 않음

 

 

11장. 부정 감사

    (1) 징후 포착

        1) 분석적 검토/위험분석을 통해 위험신호 포착

        2) 중요한 예외 및 비일상적 사항 담당자에게 문의 : 소명기회를 필수적으로 부여하여야 함

        3) 소명이 미진한 경우 감사관리자에게 일차보고

        4) 경영진 허가를 득한 후 상세 조사 수행

 

    (2) 상세 조사 : 증거 보존 필요(포렌식 감사, 증거의 보관사슬)

        1) 합법적 증거수집

        2) 증거보존 필요

            - 포렌식 감사(증거의 보관사슬) : 증거를 체계적으로 수집/분석

           ① 증거 훼손 없이 시스템을 종료하고 접근 방지책 강구

           ② 네트워크 연결 해제

           ③ 하드디스크에 대란 이미지 백업 수행

           - 혐의자 업무 복귀 제지

 

    (3) 결과 보고

        1) 감사관리자에게 우선 보고

        2) 감사관리자를 통해 혐의자의 직속상관에게 보고

        3) 직속상관 보고 후 이사회 및 감사위원회 보고

        4) 감사보고서와 별개인 부정 감사 보고서를 작성하여 적절한 대상에게 배포 -> 지나친 상세기술 X

           ** 문서는 일반적으로 배포범위가 제한됨을 유의

        5) 개선 권고 및 후속조치검토

        6) 법적의무 존재 시 외부기관 보고

 

 

 

-끝-

-Domain 1끝-

 

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

Codes and Things

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록