[CISA_Domain 1] IT 감사 프로세스1
-
CISA 감사 관련 문서 종류
-
CISA 감사 단계별 관련 문서
-
후속검토
-
감사의견
-
감사 증거
-
증거의 유형
-
위험종류
-
위험관리 프로세스의 순서
-
위험 분석 기법
-
내부통제
-
위험관리
※ CISA 시험공부 정리본으로 일부 중복된 내용이 확인될 수 있습니다.
* CISA 감사 관련 문서 종류
| IS 감사헌장 (포괄적 명시) |
1. 감사 기능의 역할과 책임에 대해 포괄적으로 정의한 문서 |
| IS 감사 수임 용역 약정서 (개별적인 감사 과제) |
- 감사를 계획하고 수행하는 과정을 기록하는 문서 - 감사인의 책임, 권한 및 해명의무 등의 내용이 기술 (암행어사 마패) |
| IS 감사 프로그램 (감사 수행계획서) |
- 감사를 계획하고 수행하는 과정을 기록하는 문서 |
| IS 감사 작업 조서 (Working Paper) |
1. 감사 수행 중에서 적용한 모든 감사 절차와 기법, |
| 2. 전자 감사조서는 접근권한 보안 중요! | |
3. 감사조서가 문서화 되어야 하는 상황
|
|
| 4. 의사 소통한 대상자와 내용 | |
| 5. 수집한 증거 및 발견사항 | |
| 6. 분석 결과 | |
| 7. 감사 조서는 감사 보고서의 내용을 뒷받침해야 한다. | |
| IS 감사 보고서 |
1. IS 감사 결과를 전달하는 공식적인 수단. |
* CISA 감사 단계별 관련 문서
| 감사 단계 | 관련 문서 |
| 개별 감사 계획 | 감사프로그램 |
| 현장 감사 (통제평가 / 통제(준거) / 실증테스트) |
감사조서 |
| 보고 | 감사보고서 |
| 후속조치 | 후속조치보고서 |
* 후속검토
| IS 감사인이 제시한 발견사항 및 권고사항에 대응하여, 경영진이 조치한 교정 조치가 적절하였는지를 검증 |
* 감사의견
| 적정 (Unqualified) |
감사가 독립적이고 적정하게 수행. |
| 한정 (Qualified) |
감사인과 피감사 조직의 경영진 사이에 의견 불일치가 있거나 독립적 감사 수행이 상당히 방해받았지만 부정적 의견이나 의견 거절을 할 정도는 아님 ☞ 일반적으로 한정된 케이스가 많음 |
| 부적정 (Adverse) |
감사인과 피감사 조직의 경영진 사이에 심각한 의견 불일치 |
| 의견거절 (Disclaimer) |
독립적인 감사 수행이 상당한 방해를 받아 충분한 감사 증거와 판단 근거를 확보하지 못함 |
* 감사 증거
| 관련성 | 감사와 관련있는 증거여야 함 |
| 신뢰성 | 1. 원천( 독립성, 조직내부보다는 외부(제3자)의 증거 ), |
| 2. 객관성(내용이 분명하고 판단이나 해석이 불필요한 증거), | |
| 3. 증거제공자의 자격( 전문성, 중립성, 권위가 있는 제공자로부터 받은 증거 ), | |
| 4. 수집 시점(관련 사건의 발생 시기와 근접한 시기에 수집한 증거) | |
| 유용성 | 감사 목적 달성에 기여해야 하는 증거. 아니면 가치가 없다. |
| 충분성 | 다른 감사인도 동일한 감사 결론을 형성하게 할 만큼 완전하고, 적합하며, 설득력 있어야 한다. |
* 증거의 유형
| 물리적 증거 |
- 제일 확실한 증거 - 현장 사진, 재고자산 실사, 감사인의 검사, 참관 등 - 감사인의 직접적 관찰 및 검사 |
| 문서 증거 |
- 일반적인 증거 - 일상 업무의 거래처리에서 발생되는 산출물 - 거래 기록, 프로그램 목록, 활동 로그 등 |
| 진술 |
- 질의 또는 질문에 대해 제시한 서면 또는 문서의 설명. |
| 분석 | - 데이터간 상호관계에 대한 파악을 통해 얻어지는 유의미한 자료 ex) 법인카드 사용내역과 적절하지않은 장소에서 사용했구나? |
|
|
* 위험종류
| 고유 위험(IR) | - 원천적으로 존재하는 위험 - 보완통제를 통해 감소(감사인이 통제하기 힘듬) |
| 통제 위험(CR) | - 내부 통제 시스템에 의해 적절히 예 - 적발 및 교정되지 않을 가능성 - 감사인이 단기적으로 통제할 수 없으나, 권고를 통해 장기적으로는 개선에 일정 부분 기여 가능. |
| 적발 위험(DR) | - 감사인은 적발위험_비샘플링위험을 낮춰야함 - 감사인의 감사 절차상의 약점과 샘플링 위험으로 구성 - 샘플링 위험 → 샘플이 모집단을 적절히 대표하지 못할 위험 - 비샘플링 위험 → 감사인의 판단 미숙 ☞ 적절한 교육과 훈련, 감사의 강도를 통해 조절이 가능함 |
| 감사 위험(AR) | - 감사인이 적발하지 못한 채 보고서를 발행할 위험 - 주로 2종 오류가 발생할 가능성 - 감사위험 = 고유위험 x 통제위험 x 적발위험 ☞ 감사인은 적발위험(비샘플링)을 낮춰 감사위험을 낮춰야 한다. |
| 사업 위험 |
- AAR(Acceptable Audit Risk) 용인 가능한 감사 위험 ☞ 목표 감사 위험 수준. 고유위험과 통제위험을 평가한다. |
| *감사위험(AR)이 AAR보다 낮아질 수 있는 수준까지 실증테스트를 수행한다. - AR = IR(고유위험) x CR(통제위험) x DR(적발위험) <= AAR - ALR(Acceptable Level of Risk) 과 혼동노노. 수용가능한 리스크 레벨 |
|
*위험관리 프로세스의 순서
IT프로세스(activity’s)에 영향을 미치는 업무정황에 대해서
| 1. 위험식별 | = 자산식별 |
| 2. 위험 평가/분석 | = 위협/취약성에 관한 |
| 3. 위험대응 통제의 적용(조치)(= 위험통제) |
= 통제의 적용(조치) = 위험통제 - 통제조치 시, 기존의 통제평가 확인이 필요 |
| 4. 지속적 모니터링 | - 통제후 제거되지 않은 것은? 잔여위험 - CISA 권고로 감소시킬 수 있는 위험영역은? 잔여위험 - ALR 용인 가능한 리스크는 경영진이 결정해야함 |
| 5. 주기적 보고 | - CISA가 영업부 매출을 영업지원시스템으로 쓰는데 관련 위험분석을 했는가? 1. 위험식별 (과거답) 2. 자산재고 조사 (현재답) ☞ IT자산재고 리스트가 최신화되어있는지 보자 |
* 위험 분석 기법
| 1. 위험 분석 주기 (상시적 = 중대한 변화가 있을때마다) |
1. 조직 변화 |
| 2. 위험 분석 방법 | 정성적 (주관)
|
정량적 (객관)
|
|
| 참고용 |
|
| RBAA 위험기반 감사 진행 (Risk Based Audit Approach) |
|
|
|
* 내부통제
| 1. 기업 자체의 모든 통제의 포괄적인 표현 | |
| 2. 내부통제는 IS통제를 포함 | (내부통제[IS통제]) |
| 3. 내부통제 구성요소 관점( 암기: 관우네 집~) |
|
* 위험관리
| 효과적인 위험 관리 | 위험에 대한 조직의 성향을 명확히 이해(appetite for risk, 위험성향파악) |
| 위험관리 전략 |
1. 위험성향을 정의 (이 부서의 성향, 영업부면 돈을 잘만지는 곳이구나?) |
| 위험대응방안 5가지 (=통제 대책 5종) |
해당 위험이 비즈니스에 미치는 중요성에 따라 B level이 선택함 |
|
|
|
|
|
|
|
|
|
:: CISA 카테고리 바로가기
tbvjrornfl.tistory.com/category/%EC%8A%88%EA%B0%9C%27s%20IT/CISA
'슈개's IT/CISA' 카테고리의 글 목록
경제적 자유를 꿈꾸는 IT직장인 슈개
tbvjrornfl.tistory.com
'슈개's IT > CISA' 카테고리의 다른 글
| [CISA_Domain 2] IT 거버넌스 및 관리2 (0) | 2020.12.21 |
|---|---|
| [CISA_Domain 2] IT 거버넌스 및 관리1 (0) | 2020.12.21 |
| [CISA_Domain 1] IT 감사 프로세스2 (0) | 2020.12.21 |
| [CISA] 자격요건 및 시험출제영역 (0) | 2020.12.21 |
| [CISA] 2020년도 CISA 합격후기 (시험 출제 키워드 포함 / + 내용추가 2020.11.17) (0) | 2020.12.21 |