[Domain 1] IS감사-정보시스템 감사 프로세스
1. 감사목적: 내부통제가 비즈니스 위험 최소화 및 기대역할 충족
정보 및 IS 기밀성, 무결성, 신뢰성, 가용성, 법률/규제 요구사항 충족
2 . 감사를 함으로써 이해관계자들이 조직의 재무, 운영, 윤리에 대한 확실성 가질 수 있음
- 감사는 비즈니스가 경쟁적 우위를 가지는데 바탕을 두고 관련 시스템에 우선순위를 두어야 함
- IS감사는 공식적으로 진단하고 테스트
· 정보시스템(법률, 규정, 계약, 산업가이드) 준수
· 정부기준 및 정책 절차 준수, 정보시스템(무결, 가용, 기밀) 확보
3. 인터넷망 트랜젝션의 기밀성, 진정성, 무결성 확보 → 적절한 암호화
4. IT감사인은 비즈니스 프로세스 이해 및 평가할 수 있어야 함
- 위험기반 감사 일정 계획 수립 목적 → 감사자원 효율적 사용
5. 감사헌장 : IS감사기능에 대한 경영진의 책임, 목적, 감사인의 권한 위임을 기술
경영진(이사회) + 감사위원회 승인필요
5-1. 감사부서의 보고라인은 감사위원회
6. 전자상거래 위험: 기무가인강
기밀성, 무결성, 가용성, 인증과 부인방지, 강화된 고객능력
4. 위험기반 감사프로세스
| 계획 | 1) 감사대상 선정 | ||
| 2) 감사목표 수립 |
|||
| 3) 감사인 지정 |
|||
| 4) 감사일정 예상수립 |
|||
| 5) 사전조사 |
|||
| 6) 감사일정 수립(EWS) |
|||
| 7) 감사프로그램 작성(EWP) |
|||
| 수행 |
통제검증 | 통제환경, 통제 위험평가 통제절차, 적발위험진당 |
통제시스템 정당 설계 평가 |
| 준거성 테스트 (약점통제 운영) |
핵심 통제 테스트 | 정책, 절차, 준수 테스트 |
|
| 실증 테스트 (중대약점 탐지) |
절차, 무결성 실증 | 절차분석, 실증감사, 잔액, 상세테스트 + 예외상황 |
|
| 9) 감사수행 | |||
| 10) 감사보고서 작성 | |||
| 11) 시정조치(모니터링) | |||
| 12 Lessons learned | |||
| 소통 | 감사보고 및 종료 | 지적 및 권고 | 이행계획 합의(보고서) |
| 점검 | 이행 점검 | 이행점검 결과 | 후속조치 |
4-0 감사계획 수립단계
- 조직의 임무, 목표, 목적과 프로세스 이해
- 감사목적 관련, 기업의 거버넌스와 업무관행 이해
- 피감사인의 비즈니스 환경변화 이해
- 감사조서 검토, 정책기준 및 지침, 절차 및 조직구조 파악
4-1 준거성 테스트(통제테스트)
일반통제 테스트(평가), 통제의 위험 예방, 정책 및 절차 준수,
실증테스트 깊이/강도 결정에 활용
4-2 실증테스트
응용통제 테스트(평가), 실제 처리상의 무결성 실증, 실증 감사, 계정 잔액
5. 샘플링
| - 모집단의 완전성 확인 필수 | |
| - 통계적 샘플링(확율) & 비통계적 샘플링 ( 감사인의 주관적 판단) | |
| - 비통계적 샘플링 ( 감사인의 주관적 판단, 판단/자의적 샘플링) | |
| - 속성샘플링 (준거성테스트) | - 변량샘플링 (실증테스트) |
| - 단속적 샘플링 | - 모집단 오류가 없다고 예상 |
| - 층화 샘플링 | 그룹으로나눔, 전체적 작은 샘플, 대표성 높임, 분산영향 완화 |
| - 색출 샘플링 | 위험성 높은 부정이나 사기 발견 |
* 전수조사 적절 : 모집단이 소수항목으로 구성, 고유/통제위험이 높고, 반복처리 환경
* 기대오류율 (▲) → 표본크기 (▲), 신뢰계수(▲) → 표본크기 (▲)
* 정도(▼) → 표본크기 (▲)
* 표준편차와 표본크기는 상관없음
6. 감사의견
| 적정 | 회계기준에 일치, 불확실한 사실 없는 경우 |
| 한정 | 회계기준 어긋나는 케이스가 일부 존재하나, 이를 제외해고 정정하게 표시 |
| 부적정 | 회계기준에 위배되어 기업경영 상태가 심각하게 왜곡 된 경우 |
| 의견거절 | 감사의견 형성 위한 합리적 증거물을 얻지 못한 경우 |
7.1 위험기반 감사계획
위험기반 감사접근법: 단순히 위험에만 의존, 기업이나 비즈니스에 대한 지식,
내부 및 운영 통제 등에도 의존 => 통제비용 효익분석 및 현실적 선택 가능
7.2 감사위험
| 고유위험 | 비즈니스 고유 특성 때문에 발생 | 장기적, 단기적으로 통제 불가 |
| 보완통제로 해결 불가능 | ||
| 통제위험 | 예방되거나 적발되지 않는 위험 | 장기적으로 통제 개선 가능 |
| 적발위험 | 오류 존재하나, 감사인 탐지 못하는 위험 | 단기적으로 통제 개선 가능 |
| 샐플링 위험 (모집단 대표 못함) | 미샘플링 위험(미숙, 실수) |
* 감사인의 의사결정 행위는 적발위험에 큰 영향 미침
* 감사위험(감사과정 미적발) ◀▶ 통계적 표본위험(선택된 표본으로부터 모집단 특성 잘못 추정)
7-2 감사 증적
- 감사 증적은 부정 거래나 활동, 비인가 접근시도 등 기록 보증
- 감사 증적 자체접근 통제와 보안
- 증적 이유: 처리된 거래 대한 책임소재 부여
8. 위험대응
| 위험완화 | 위험을 줄이기 위한 적절한 통제 적용 |
| 위험수용 | 위험수용기준과 조직의 정책을 충족시킨다면, 의도적으로 수용 |
| 위험회피 | 위험 발생 원인을 제거하여 위험회피 |
| 위험공유(전가) | 보험회사나 공급자에게 전가 |
9. 기타중간보고
심각한 사한이나 중요한 변경이 발생해야 하는경우 기타 중간보고를 활용한다.
10. 감사증거
충분성(양), 적격성(질), 신뢰성(질), 관련성(질), 유용성(질), 객관성, 적시성
11.고객면담
피감사인에게 대응시간을 주어 , 적절한 교정 조치 계획 수립 지원
12.감사보고서 배부
- 필요하고 한정된 관련자 들에게만 감사보고서 배부
- 부정행위 감사결과 포함 시 별도 보고서 보고
1* 분석적 검토 절차
- 데이터 전체 존재하는 상관관계 분석, 이상징후(예외) 발견에 유용
- 감사노력 어디에 집중할지 방향 제시
13. 컴퓨터지원감사기법(CAATs)
- 컴퓨터 활용 점보시스템 통제 및 데이터 무결성 감사 기법
- 온라인 감사기법을 활용하여 감사의 효율성 향상
- GAS(범용감사소프트웨어) : 계산, 샘플링, 데이터분석 등 기능 재공
14. 내부통제 자체평가(CSA-Control Self Assessment)
- 직원과 관리자가 내부적으로 수행하는 통제 평가
- 방법: 설문조사, 촉진된 워크샵(업무 소유자 주도역할)
- IS감사인은 촉진자로서의 역할 수행
- (장점) 업무에 대한 세부지식이 필요한 고위험 분야 식별 가능
- (장점) 위험 조기탐지, 개선된 내부통제, 결속력 높임
- (장점) 주인의식+저항감소, 의사소통 향상, 통제비용감소
- (장점) 감사등금 프로세스 개선, 제공된 보증
15.1 통제목적
☞ 통제의 목적은 기업의 전략적 목표완수
15.2. 통제환경 평가
☞ IS 감사인은 통제의 약점을 보고하기 전에 보완통제를 항상 검토 해야 함
15.3 통제
| 예방통제 | 문제 발생 전 탐지, 운영 및 입력 모두 감시 잠재적 무제 발생전 예방 및 교정, 오류/누락 악의적인 행위 발생 예방 |
| 채용자격, 직무분리, 물리시설 접근통제 , 오류예방 설계문서, 트랜젝션 승인절차, 프로그램 편집점검, 접근통제SW, 암호화SW |
|
| 적발통제 | 오류누락, 악위적 행위 탐지 및 보고 |
| 해시합계, 체크포인트, 통신 반향통제, 오류메시지, 계산결과 중복점검, 변화에 따른 성과보고서, 지급기일 경과 계정보고서, 내부감사, 활동로그, 안전코드 ,품질보증, 샘플링 | |
| 교정통제 | 위협 최소화, 적발통제 발견 문제 개선, 문제원인 파악, 문제 발생 오류교정, 문제발생 최소화 위한 처리시스템 수정 |
| 비즈니스 연속성(BCP), 재난복구(DRP), 사건대응(IRP), 백업, 복구서비스 |
| 보완통제 | 현존/잠재 약점에 의한 위험 감소 위한 통제 (없다면 고유위험 존재) |
| 중복통제 | 기존의 통제를 강화시키기 위해 구현된 추가 통제 |
16. IS감사인 내부통제 확실하다고 판단
☞ 준거성 테스트를 수행하고, 실증테스트를 약화한다
17. 컴퓨터 부정적발(Computer Forensic), 포렌식 법정감사(Forensic audit)
Computer / Digital / Cyber Forensic 법정감사
☞ 증거채택성, 연계보관성, 무결성 검증
18. IS톻제
- COSO(ERM)
| 목 적 | |||
| (E)전략달성 | 운영의 효율성 | 대내외 고시/공시 의무 | 규정 및 법률 준수 |
| 형태 | |||
| (E) 전사수준 | 각 사업단위 | 사업장 단위 | 부서단위 |
| 관리 체계 | |||||||
| 내부환경 | (E)목표설정 | (E)사건인식 | 위험평가 | (E)위험대응 | 통제활동 | 정의/ 의사소통 | 모니터링 |
- Cobit
| 업무 요구사항 | ||||||
| 효과성 | 효율성 | 기밀성 | 무결성 | 가용성 | 준거성 | 신뢰성 |
| IT 프로세스 | |||
| (파급)계획 및 조직 | (상세)도입 및 구축 | (상세)운영 및 지원 | (파금)모니터 및 감시 |
| IT 자원 | |||
| 정보(Data) | 응용(App) | 인프라(Infra) | 사람(People) |
'CISA' 카테고리의 다른 글
| [CISA_Domain 2] IT거버넌스 및 관리 (0) | 2023.02.18 |
|---|---|
| [CISA_Domain 3] 정보시스템 구입 개발 운영 (0) | 2023.02.15 |
| [CISA_Domain 4] 정보시스템 운영 및 비즈니스 리질리언스 (0) | 2023.02.12 |
| [CISA-정보자산보호] 서명 기반 침입탐지 시스템 IDS (1) | 2023.02.05 |
| [CISA] Certified Information System Auditor 자격증 알아보기 (1) | 2023.02.04 |
