3.1 © 2010 by Prentice Hall

정보시스템감사프로세스

11장. 감사계획프로세스정보시스템감사프로세스

11장. 감사계획프로세스

시스템감리론

- 감사계획의편익

- 감사요소들

- 감사계획의구조

- 감사의형태

3.2 © 2010 by Prentice Hall

1. 감사 계획의 편익

시스템감리론

- 계획 : 성공적인감사에기본, 가장기본적인관리기법의하나이고가장나쁘게실행된기법들중하나이기도함

- 나쁜(잘못된) 계획 : 불완전한감사를초래하는미식별된위험을가진범위에서불충분하거나자원의비효율적인사용을하고, 지나치게감사하는것이되는감사의수행뿐만아니라대개감사목표를달성하는데실패를초래

- 정보기술(IT) 감사자들에의해이루어진좀더공통적실수들중의하나 : 깊이생각한계획을가지지않고감사의실행을지속하는것

- 감사가효과적이기위해그것은명확히목표를달성해야함 : 감사를시작하기전에감사자가완전히이런목표를

이해하는것이중요

- 구조화된, 잘 문서화된 감사 계획 : 성공적인감사가측정해야할기준을식별하고설정함-> 그러한계획프로세스는감사의과정에서수행되어야할과업을확인함, 특정의감사자들에게 그런과업의

할당, 할당된감사자기반의각개별과업의지속기간에대한계량화, 과업이시작해야할때를결정하는것을수반

- 어떤 감사를 계획하는 일차적 단계 : 검토중인영역의비즈니스목표에대한분명한이해를획득하는것

-> 예를들어, 구매기능의전체적비즈니스목표는어떤것을사는것, 이것은비즈니스영역에대한통제목표의정의를이끎, 예로, 재화가적정한가격, 시점, 양, 품질로, 적절한장소에전달되도록획득되는것을보장

3.3 © 2010 by Prentice Hall

1. 감사 계획의 편익

시스템감리론

- 일단검토중인영역의통제목표가분명하고완전히이해된다면, 감사자는그러한통제목표가달성되는것을보장하도록, 사용자에의해의존된통제를식별하는것을계속할것임

-> 이러한통제의다수는예방적일것이고, 통제효율성과효과성의명확한감사증적을자체로남기지않을것임

-> 그결과, 감사자는그러한통제가어떤것이의도되었던것을달성하고있고, 그통제목표가실제달성되고있다는증거를위해, 그밖의것을찾아야할것임

- 통제목표의성취에관한증거의원천을일단감사자가확인하면, 적합한감사기법과감사도구가선택될수있음

- 만약이러한단계들이생략되고감사자가직접컴퓨터시스템에대한질의와컴퓨터지원감사기법

(CAATs)의운영으로나아가면, 어떤감사는감사가발생했을때목표와목적이알려져있지않기때문에,

목표와목적을달성하고있는것으로인식될수없는것을발생할것임, 주의깊은고려와계획을가져야만

성공적인감사가될수있음

3.4 © 2010 by Prentice Hall

2. 감사 요소들

시스템감리론

① 감사의 목표와 범위의 잠정적인 결정- 감사의범위내에포함되어야하는것과포함되지않을내용뿐만아니라피감사인과의상담에서감사의목표를결정하는것을포함

- 일단목표와범위가결정되고동의되면, 동의된범위와목표를구별하는 합의서(engagement letter)가클라이언트에게보내져야함-> 그래서감사될것과되지않을것에대한동의된것에대한오해가나중

단계에서발생하지않을것임

- 이단계에서, 감사자는통제목표뿐만아니라검토되는영역의전반적인비즈니스목표를결정하려고애쓸것임, 감사되는영역에대한배경정보가수집되어야만함

-> 이것은전체적그림을얻기위해서운영절차매뉴얼의읽기와운영관리진과의대화를포함

-> 이러한논리는비즈니스에대한그들의이해를평가하고감사자의이해를확인하기위해, 사용자스태프를인터뷰하는것을포함하는더욱실용적인접근과결합될것임

-> 특정한비즈니스기능들의운영을관찰하기위한사이트방문이또한도움이될것임

-> 추가적인정보와확인이, 통제에대한현행이해와이전검토동안확인되고운영된것들과비교함으로써도출될수있음

- 비즈니스목표를충족하는데포함된핵심적인활동인주요상품과서비스들이확인되어야함

-> 이것은그들자신의핵심성과영역(KPA)에대한경영진의이해의수준을결정하는것을수반할것임

3.5 © 2010 by Prentice Hall

2. 감사 요소들

시스템감리론

② 각 KPA에 대해 성과 목표의 설정

- 이것은달성할수있고동시에확장할수있는핵심적인활동목표를찾는것을포함

- 성과가적합하게측정될수있는것을가능하게할핵심성과지표(KPI)가식별되어야함

- 미달성, 낮은성취, 또는심지어실패를이끌수있는위험과위협이평가되어야함

- 외부와내부위협양자가고려되어야함-> 내부위협 : 경영진이제조사의선택과같은완전한통제를가지는것

-> 외부위협 : 경영진이직접통제할수없는것이지만, 그럼에도환율변동이나경쟁자에의한행동과같은것에대응하는전략을개발해야함

③ 특정한 감사의 전반적 의향

- 충분성을위한내부통제시스템의설계를검토, 설계된통제시스템에준거성의테스트, 그러한통제시스템의실행의효과성에대한평가로분류될것임

3.6 © 2010 by Prentice Hall

2. 감사 요소들

시스템감리론

④ 감사 팀의 선택

- 많은경우에감사는규율의혼합물을포함하게될감사자들의팀에의해수행될것임

-> 각팀은전형적으로수행할여러기능들을가지고, 대개그팀의다양한멤버들에의해수행됨

-> 이것은목표와범위의결정, 팀구성원을임명하는것을포함하는일을조정함, 그프로젝트를동시에부서내에서진행되는다른일과조정함, 감사프로세스에대한모든문서화를검토하는것을포함할것임

-> 이러한행정적인기능들에추가하여, 확장된감사테스트의수행은개별적인팀구성원들에의해수행될것임

- 많은더작은감사에서또는 IT 감사가적은부서에서, 전형적으로단일감사자가모든그런기능들을수행하도록결합됨

- 일단팀이선택된다면, 감사의완전한시간범위가결정될것임-> 소요된시간은개별팀구성원들의기술과경험에달려있을것이기때문

⑤ 피 감사인들과 감사에 포함된 다른 사람들과의 최초 소통

- 실행의좋은비즈니스와공손함은, 감사자가감사의개시이전에피감사인과선택된다른사람들에게고지해야하는것을가리킴-> 이것은피감사인들이필요한준비를하도록하고기록물, 종업원, 시설에의접근을조정하도록함

-> 이지점에서감사팀리더가수행할감사에속하는정보를요약하는합의서를기안하는것이적합함

-> 이문서는피감사인들과의 토의, 목표와범위에도달한합의를확인시킴

-> 분명히그와같은예비소통이똑같은방법으로실행되지않는, 예를들면사기감사의경우가있음

3.7 © 2010 by Prentice Hall

2. 감사 요소들

시스템감리론

⑥ 예비적인 감사 프로그램의 준비

- 계획프로세스에서가장중요한영역중의하나 : 감사프로그램을설정하는것

-> 이프로그램은감사의진행동안수행되는분석적단계들의상세한리스트임

-> 이프로그램의준비는전체적감사내개별업무들에개별감사자들의할당을가능하게함-> 이것은개별적인감사자들이동일한비율로일하지않기때문에, 시간관리에서필수적임

-> 감사자생산성은검토중인영역에대한개별감사자의경험과지식에상당히달려있을것임

-> 감사프로그램은순수하게예비적이고새로운정보가드러남에따라차후감사운영의과정동안수정될것이라는것이강조되어야함

-> 그런경우에, 이단계에서시간추정은추정된값임

- 예비적인감사프로그램을준비하는데가장공통적인실수중의하나는요청될질문을단지목록화하는것-> 이것이감사프로그램의부분인반면에, 중요한요소는어떤증거가검토될것인가와그런질문에대답하기위해어떻게검토될것인가의결정임

- 나쁜감사프로그램의예 : ‘모든 구매주문이적합하게사인되어졌나를결정하는’ 단계를포함할것임

- 더나은단계 : '구매주문들의통계적으로유의한샘플을취해모든구매주문들이적합하게사인되어졌는지를결정하기위해그서명을권한있는서명과비교하는‘ 것이될것임

3.8 © 2010 by Prentice Hall

2. 감사 요소들

시스템감리론

⑦ 감사 보고서의 계획- 경영진이통제절차에변화가필수적이라고설득되도록하기위해, 감사자는객관적이지만설득력있고,

분명하고, 간결하고, 건설적이고, 시의적절한보고서를산출해야함

- 감사보고서는조직의피감사인들과다른사람들에게감사의결과를소통시킴

- 감사보고서를위한계획은감사프로세스의준비단계에서시작함-> 궁극적으로, 모든감사업무는최종감사보고서를기대하며수행됨

- 많은감사자들이감사보고서를주로비생산적인일로간주하고감사의말미에가능하면빨리곧해치워야할일로간주함-> 이단계가급히진행되면질낮은보고서가산출될것임 -> 많은경우에그것은관리자의책상위에읽히지않고두어질것이고, 전체적으로조직상에거의영향을미치지못할것임

- 잘작성된감사보고서 : 내부에포함된문제들을해결하기위해, 전형적으로적합한관리수준으로부터빠른반응을초래할것임

- 최종보고서의내용은계획단계에서명확히알려져있지않은데, 대부분의감사부서는표준화된보고서레이아웃을사용하기때문 -> 최종보고서는실제내용이알려져있지않을때조차도보고서의구조와외관을

감사자가상상하는것이가능해야함

⑧ 감사 접근을 위한 승인

- 감사팀에의한실제적인일의착수이전에감사프로그램을검토/승인하는것은주관하는감사자의책임-> 이검토는감사목표와범위가요구된대로이고, 그감사프로그램내포함되는특정의감사절차가그와같은감사목표가성취되도록이끌것인지를결정하는것을포함

3.9 © 2010 by Prentice Hall

3. 감사 계획의 구조

시스템감리론

- 계획의 구조 : 일반적으로감사프로세스의구조를따름

-> 포함사항 : 운영에대한예비적조사, 내부통제기술과분석, 확장된테스트통제시스템, 발견사항과권고사항, 보고서생성, 후속조치, 감사평가

1) 예비 조사

- 예비조사의 목표 : 피감사인의운영에대한최초의이해를얻고추가적인감사계획을위한예비적인증거를모으는것

-> 과거에그영역이감사되어진곳에서, 예비조사는감사자의이해의확인의형태를취할것임

- 조사자체는관리진과의감사할당을요약하고감사활동을피감사인운영과조정하기위해, 감사팀과피감사인관리진의구성원들사이에전형적으로개시(opening) 컨퍼런스를포함함

- 자산에대한현장투어가감사자를운영의본질과포함된인력에친숙하게하도록함-> 이러한투어는감사자가내부통제의전반적인기준에대한최초의평가를하도록함

- 이단계에서감사프로세스를미성숙하게시작하지않도록주의가필요

- 선택된문서에대한추가연구가피감사인의운영에대한문서화된설명을위한기초를제공할것임

- 직무기술서, 조직도, 정책매뉴얼, 중요운영문서와같은문서들이존재하는가와그러한것들이어떻게유지되는지, 적합하게보호되는지, 이용되고있는지를결정하기위해이단계에서문서들이검토됨

-> 감사자에의해준비된피감사인의운영에대한서면기술서는, 감사자의이해를명확하게할수있고피감사인관리진에직접확인할수있음

3.10 © 2010 by Prentice Hall

3. 감사 계획의 구조

시스템감리론

2) 내부 통제 기술과 분석- 예비조사로부터감사는비즈니스에대한바른이해와검토중인영역의통제목표를가져야만함

- 이단계는검토중인영역과관련된피감사인의내부통제에대한상세한설명의준비를가능하게함

-> 그런통제의제한된테스팅은요구된차후테스팅의규모를결정하기위해이단계에서수행될것임

- 이러한정보에기반을두고감사자는그자리의통제구조가유효하다면요구된통제수준을이끌수있을지를결정하기위해, 내부통제시스템을평가할것임

- 이지점에서목표에서어떤변화를위한필요, 감사의규모와확장된감사테스트가결론이유도될수있기전에얼마나요구되는지를결정하기위해, 위험재평가가수행될수있다.

3) 확장된 테스트 통제 시스템

- 내부통제구조가유효한지어떤지를결정하기위해, 어느정도의확장된감사테스팅이요구될것임

-> 이러한테스트는예비감사프로그램에추가로최종감사프로그램내포함될테스트임

-> 이러한테스팅은레코드와문서들의검토, 피감사인관리진과다른인력과의인터뷰, 운영에대한관찰,

자산에대한검토, 컴퓨터파일에대한조사, 감사결과와피감사인보고서의비교, 내부통제시스템의유효성을테스트하기위해설계된다른절차들을포함할것임

-> 감사자는그들나름대로이전에토의된모든수단과기법들을이용할것임

3.11 © 2010 by Prentice Hall

3. 감사 계획의 구조

시스템감리론

4) 발견사항과 권고사항- 수행된일에기반을두고, 감사자는발견사항을진전시키고내부통제를향상시키기위해무슨변화가필요한지를결정할것임

- 발견사항 : 네가지독특한부분들로이루어짐

-> 기준(criteria) : 관찰된조건들이측정되어질표준들

-> 상황(conditions) : 감사테스팅과정동안실제로관찰된것을일컬음

-> 효과(effect) : 관찰된문제들과관련된비즈니스상에영향을일컬음

-> 문제의원인(cause) : 내부통제의실패나내부통제구조내약점을제시함

- 이러한발견사항에기초를두고감사자는 권고를선택

-> 이것은전형적으로네가지형태를취함

①통제시스템에어떤변화도없음 : 통제가주어진수준의위험에충분하고위험을통제하는데효과적인것으로간주되고, 현재통제시스템이비용효과적인것으로간주되는곳

②현재의통제를수정함으로써또는새로운통제를추가함으로써, 통제를향상시키고위험을줄임

③위험이수락할수있는수준이아니지만통제가비실용적이거나실행하기에비용효과적이지않은영역에대해, 감사자는보험이나아웃소싱에의해위험의전가를권고할것임

④내부통제시스템에의해커버되지않은위험의요소가남아있지만그럼에도수락할수없는수준으로되어있다면, 감사자는위험의그런수준을수락하기위해수익을향상시킬변화를권고할수있을것임

3.12 © 2010 by Prentice Hall

3. 감사 계획의 구조

시스템감리론

5) 보고서 생성

- 감사의보고하는단계는문서화와최종결과를소통하는것을포함, 이것은 ‘최종생성물’이아님

- 감사의전체목표 : 조직내통제를향상시키기위해경영진을지원하는것-> 감사보고서를통한그러한소통은중요한요소임

- 경영진이효과적인조치를하도록설득하거나역으로경영진을설득할수없는것도바로감사보고서임

- 감사기능의명성은주로감사보고서에기반을둠(이보고서가감사자의전문적인역량의공식적표시를표현하기때문)

- 대부분의감사보고서에서어떤제시된권고사항에피감사인의 주석(comments)을포함하는것이유익한것으로인식됨

-> 이것은피감사인이감사자의관찰에공식적으로동의하지않는것을허용함으로써최종보고서의객관성을보장함

-> 피감사인주석을포함하는데실패 : 감사보고서, 감사프로세스, 감사인자체에대한피감사인이불일치를표현하는다른방법을발견하도록초래할것임

- 감사보고서자체는시의적절한방법으로생성되어야하고, 보증되지않은어떤지연도그프로세스내에서일어나도록허용하지않아야함

-> 대개 24시간에서 48시간생성스케줄이목표로되어야함

3.13 © 2010 by Prentice Hall

3. 감사 계획의 구조

시스템감리론

6) 후속조치

- 경영진이어떤추가조치를취하지않을위험을받아들였는지, 통제약점을해결하기위해적합한교정적단계를취했는지, 어떤조치를취하지않았는지, 약점을수락할수없는위험으로남겨두었는지를결정하기

위해, 감사보고서내만들어진어떤권고사항이후속조치가되어야하는것이중요함

-> 이러한후속조치는모든두드러진문제가이제해결되었다고희망적으로언급하게될보고서(비록짧은보고서라도)의생성을자체결과로가져올것임

7) 감사 평가

- 감사의마지막단계는그들자신의감사자들에의해이루어진평가와관련됨

- 어떤감사도완전한감사프로세스가실행되기까지완전하지않음

- 각감사프로젝트의말미에자기평가가실행되는것이감사기능자체내본질적인통제임

- 감사프로세스의말미에그것이오듯, 그단계는종종생략되어미래감사성과의손실로이어지게됨