※ CISA 시험공부 정리본으로 일부 중복된 내용이 확인될 수 있습니다.
* IS 감사 절차 순서
| 1. 연간 감사 계획 |
| 2. 개별 감사 계획 |
| 3. 현장 감사 |
| 4. 보고 |
| 5. 후속 조치 |
* IS 감사 절차 상세내용
1. 연간 감사 계획
2. 개별 감사 계획
3. 현장 감사
[통제평가] ---- 일반통제: [통제테스트, 준거성테스트] ---- 응용통제:[실증테스트]
| [통제평가] | - 설계의 적합성 - 통제환경에 맞게 설계가 잘되어있는가? 1. 통제, 통제의 목적을 파악하고 적합한지? 2. 통제가 없다면 대체하는게 뭔지? |
| 일반통제: - 통제테스트 - 준거성테스트 |
- 통제 테스트=준거성 테스트 (Test of control=Compliance test): 운영의 효과성 ○ 준거성 테스트 기법의 내용
○ 컴퓨터 이용 준거성 테스트 기법
○ 속성 샘플링(Attribute sampling)
|
| [응용통제] |
실증 테스트 : 성과 품질 |
| - CISA가 직접 수행해서 통제가 잘되어 있는지 입증한다.(회계장부가 올바른가?) - 잘 지켜지지 않고 있는 통제를 증명, -> 문서가 거짓은 없는지? 잘 기록되고 있는지? |
|
|
실증성 테스트 기법 ○ 기법 내용
○ 컴퓨터 이용 실증성 테스트 기법
변량 샘플링(Variable sampling)
|
4. 보고
| 피감사인과 협의 |
- 발견사항에 대한 이해와 교정 조치 협의 목적으로 수행 |
5. 후속조치
|
권고사항에 대해 경영진이 취한 교정 조치가 목적을 달성하였는지 검토. |
|
경영진이 위험을 감수하기로 한 경우 IS 감사인은 이를 문서화, 후속 조치를 수행할 책임은 없다. |
*감사인의 자격
| - 독립성 |
|
- 전문가로서의 정당한 주의 / 판단 |
|
- 적격성 : 지속적인 직무 교육(CPE) 등의 방법으로 적격성을 획득 |
| - 중요성 |
* 내부통제의 모형: COSO
|
COSO 통제목적 |
|
|
COSO 통제순서 |
|
* 감사위원회(이사 레벨의 사외이사 구성)
|
- 이사회 산하에 설립되며 경영에 참여하지 않는 사외 이사들로 구성. |
|
- 독립성 제공. |
|
- 경영자의 부정에 대한 감사기구로서 경영자의 재무보고과정 전체에 대한 감시기능을 이사회로부터 위임받은 기구 |
* 통제 종류
| 예방통제 |
문제 발생 전에 이를 예방하고 예측하여 조정하기 위한 통제. ex) 업무 기능 분리(업무 분리, 업무순환), 물리적 접근 통제, 거래 승인 절차 등 |
| 적발통제 | 이미 발생한 문제를 적발하고 보고하는 통제 ex) 해시 합계, 체크 포인트, 에코 체크, 감사, 접근 로그 |
| 교정통제 | 위협의 영향을 최소화하고, 문제의 원인을 식별하여 조치함으로써 오류를 사후적으로 정정하기 위한 통제 ex) 재해복구계획, 백업 및 복구 절차, 교정을 통한 위험 감소 |
|
보완통제(보충통제) |
- 기존의 통제 약점 혹은 잠재적인 통제 약점의 위험을 감소. ex) 자동화된 통제에 약점이 있어 추가로 수작업으로 검토하는 것. |
|
참고 |
일반통제 : IS 관련 활동 전반에 영향을 미치는 통제 응용통제 : 특정 응용 시스템에 대한 통제, 개별 거래 처리의 무결성을 확보하기 위한 통제 |
* COBIT 5.0 (IT내부통제 방법론 모델)
|
거버넌스 책임은 이사회 |
|
|
관리 책임은 최고경영자(CEO)와 임원 |
|
|
자체보증 또는 자기확신 : |
독립적보증 : 제3자에 의한 보중 |
| 절대적보증 : 비용을 고려하지 않고 제공되는 최고 수준의 보증 | |
| 합리적보증 : 비용이 효과를 초과하지 않는 수준 | |
| 적극적보증 : 보증 기준에 적절히 부합한다는 것까지 보증 | |
| 소극적보증 : 보증 기준에 부합하지 않다고 말할 수 없음만 보증 - IS 감사는 - 회계감사는 |
|
* 감사 계획 수립 절차
|
1. 환경 이해 및 문서 검토 |
|
| 2. 분석적 검토 절차 (ARP, Analytical Review Procedure) |
|
| 3. 설문조사 | |
|
4. 착수 회의, 예비 회의 |
* 감사 테스트
|
통제 테스트 |
통제 절차가 “사전에 규정된 통제 절차”와 일치하며 준수하는지? |
통제 운영환경이 효과적인지 테스트. 통제 테스트
|
|
| 속성 샘플링 : 모집단에서 표본을 추출한 후, 표본의 규정 위반율을 근거로 모집단의 규정 위반율을 추정 | |
| 실증 테스트 (Substantive test) | 실제 테스트의 무결성을 확증. 재고실사를 위한 통계적 샘플링. 물리적인 조사 |
|
1. 검열 : 감사인의 경험과 식견으로 식별 2. 재계산 : GAS를 사용하여 감사인이 재계산하여 시스템이 처리한 결과를 검증 3. 조회 : 거래의 유무를 서신으로 검증 4. 변량 샘플링 : 보고서에 포함된 정보의 허위 정도를 가늠하기 위해 수행. 5. 추적방법 : Vouching(역 추적, 실재성 검증), Tracing(순 추적, 완전성 검증) |
* 감사 샘플링
|
샘플링 순서 |
1. 추출 2. 관찰 그리고 관찰 결과로부터 모집단의 특성을
|
| 샘플링 종류 | |
| 통계적 샘플링 | 오류의 확률을 객관적으로 계량화 가능. 목표 신뢰수준을 충족시킬 수 있는 표본의 크기를 객관적으로 결정가능. 충분한 감사 증거에 대한 객관적인 기준을 가짐 |
| 임의 샘플링 (Random sampling) |
난수를 이용하여 표본 추출. 모든 표본단위의 선택확률이 동일하므로 전체 모집단을 대표할 가능성이 제일 높다. |
| 체계적 샘플링 (Systematic sampling) |
첫번째 샘플은 무작위 추출. 이후부터는 일정한 추출 구간만큼 일련번호를 증가시키면서 추출 ex) 모집단의 크기: 10,000, 표본의 크기: 200, 표본 항목에 일련번호를 붙인 후, 난수 생성 결과: 5 4번째 추출되는 표본 항목의 일련번호는? 샘플링구간: 10,000/200= 50 즉, 50씩 증가시키면서 표본추출. 난수 생성 결과 5이므로 최초로 추출된 항목의 일련번호는 5, 55, 105, 155 즉 4번째는 155.1 |
| 비통계적 샘플링 | 확률이론을 적용하지 않고 주관적인 판단에 의한 표본추출방법 - 우발 샘플링=자의적 샘플링 : 그냥 막 우발적으로 추출하는것. - 판단 샘플링 : 감사 목적에 부합되는 대상을 선정하여 감사인의 판단에 따라 주관적으로 결정 |
속성 샘플링 |
범위 : 통제테스트, 준거성테스트, 일반통제 |
|
- 단속적 샘플링 (Stop or Go) :
|
|
|
- 색출 샘플링 (Discovery) : 부정이나 사기 발견을 위한 샘플링. 아주 적거나 없을 것이라 기대하는 경우에 적용. |
|
| 변량 샘플링 (Variable sampling) |
응용통제, 실증(입증)테스트 |
|
- 재무 보고서에 있는 구라가 용인 가능한 수준인지 판단 |
|
| 층화 샘플링 |
모집단을 특정한 기준에 따라 나눔. 추출 대상 모집단이 한정되므로 샘플의 크기도 작아진다. |
| x화폐 단위 샘플링 |
과대계산된 표본 항목일수록 추출될 확률↑ |
* 샘플 크기의 결정
| 모집단의 크기 | 크면 샘플의 크기도 ↑ |
| 신뢰수준 | 크면 샘플의 크기도 ↑ |
| 모집단의 다양성(=분산) | 크면 샘플의 크기도 ↑ |
| 정도(허용가능한 오류) | 허용오차의 한계 - 정도가 커지면 허용되는 오차의 범위가 ↑, 샘플크기↓ - (오차가 큰데(신뢰도 낮은 샘플인디) 굳이 샘플크기가 클 필요가 없음) - 통제테스트에서만 적용됨 |
| 기대오류 | 클수록 오류가 크므로, 샘플크기↑ - 감사인이 기대하는 오류가 클테니, 샘플을 크게 잡아서 찾아보기 - 통제테스트(준거성테스트, 일반통제)에서만 적용됨 |
| 표준편차 | 크면 샘플이 모집단을 대표하기가 힘드므로 샘플크기↑ - 변량 샘플링에서만 고려됨(응용통제) |
* CAATs (Computer Assisted Audit Techniques)
| 감사 자동화 진단 SW ! | |
| GAS (General Audit Software) |
|
| SAS (Special Audit Software) | 특정 목적으로 사용되는 감사 소프트웨어 |
|
- 화이트박스(소스 측면) |
snapshot EAM (Embeded Audit Module, 내장 감사 모듈) Tracing and mapping 트레이싱 매핑 Tagging 태깅 |
|
- 블랙박스(기능 UI 측면) |
- Test Data - ITF 통합설비테스트 - 병행 시뮬레이션 기존감사와 신규 감사와 비교 - 병행 테스트 기존(OLD) /신규(NEW) 비교 |
* CSA (Control Self Assessment)
| 자가통제평가. 자체감사를 의미함 |
| 1. 내부직원의 실무지식으로 고위험 분야를 식별 |
| 2. 현업관리자들이 CSA프로세스의 주체임. |
| 3. 해당 부서 직원이니깐 검토 대상 분야를 잘 알고 있으며 통제 수행에 필수적인 사람들(=프로젝트 소유자)을 모아 워크샵 형태로 진행 |
| 4. 감사인은 촉진자 역할을 한다. |
| 5. 평가 수행자는 실무진에게 넘김. |
| 6. 워크샵 진행 과정에서 업무의 약점을 알고 통제를 인식하고 직원들의 동기 부여 |
| 7. 경영진은 내부직원들의 피드백 받고, 위험분야 식별 |
* IS 직무윤리 규정
| ① ISACA는 협회 회원 및 자격증 소지자의 직무 및 개인 행위에 관한 지침을 제시하고자 본 직무 윤리 규정을 제정한다. |
| ② ISACA 회원 및 자격증 소지자는 다음 규정을 준수해야 한다. |
| 1) 기업의 정보 시스템과 기술에 대한 효과적인 거버넌스와 관리 그리고 감사, 통제, 보안, 위험 관리 등에 적용되는 적절한 기준과 절차의 구현을 지원하고 준수를 촉진해야 한다 2) 직무 기준에 따라 객관성, 정당한 근면성, 전문가적 주의로 임무를 수행해야 한다 3) 높은 행위 기준과 품격을 유지하고, 자신의 직업 또는 협회의 신뢰를 떨어뜨리지 않으며, 합법적인 방법으로 이해관계자들에 이익에 기여한다. 4) 사법 당국이 공개를 요구하는 경우가 아니라면 업무 수행 중에 습득한 정보의 프라이버시와 기밀을 유지해야 한다. 해당 정보를 사적 목적으로 사용하거나 부적절한 대상에게 제공해서는 안 된다. 5) 자신의 전문 분야에서 숙련성을 유지하고 필요한 기술, 지식 및 능력을 사용하여 업무를 완수할 수 있을 때만 해당 업무 수행을 동의해야 한다. 6) 공개하지 않을 경우 결과 보고를 왜곡할 수 있는 모든 중요 사실을 공개하고 수행 작업의 결과를 적절한 대상에게 전달(감사받은 부서로 전달, 타 부서 전달 NO! )해야 한다. 7) 기업의 정보 시스템과 기술의 거버넌스와 관리 그리고 감사, 통제, 보안, 위험 관리 등에 관한 이해관계자들의 이해를 증진함으로 그들의 직무 교육을 지원한다. |
| ③ 본 직무 윤리 규정을 위반할 경우 해당 회원 및 자격증 소지자의 행위에 대한 조사는 물론 결과적으로 징계 조치가 취해질 수 있다. |
* 기타 추가정리
|
IT정책 및 절차 - 정보보호정책
|
- 보안서약서 AUP - 기업의 새로운 구성원에서 정보시스템 접근 전에 서약서에 서명 - 위반시 제재 조치를 명확히 알림 - AUP 예시 - 인터넷 사용정책 |
|
[파급통제] |
|
|
PO 계획 조직 ㅇ x Plan Organize ME 모니터 평가 ㅇ ㅇ Monitor Assets |
|
|
[상세통제] |
|
|
DS 운영 지원 ㅇ x Delivery Service |
|
|
위험관리 프로세스 식별
|
cobit5 EDM eval direct monitor 평가 지휘 모니터링 -> 거버넌스 영역 : 이사회 경영진 책임 |
| 기획 구축 운영 모니터 평가 -> 관리 영역 : CIO 책임 |
|
|
거버넌스란?
|
관리 유기적으로 소통, 거버넌스 방향이 관리를 리드함 |
|
기업목적달성에 도움주자 - IT연계해서 기업목적달성에 도움주자 - 정보보호 연계해서 |
|
|
정보보호거버넌스(기업 정보의 전체적인 면을 다룸) > 정보시스템 정보보호 |
|
|
cisa가 거버넌스 검토를 한다면?
|
-> 거버넌스 활동내역을 보아야함 |
|
-> 거버넌스는 b level 이사회 친구들이 리더십을 잘 이끌어서 효과적으로 수행하자 (기업전략목적 달성에 잘도움을 주었는가? 예산부분 잘검토했니? 승인 잘했니?) |
|
|
-> b level 활동 증적으로는 회의록을 검토하자 |
|
* 거버넌스 추가 정리
| 기업거버넌스 |
- 기업전략목적 달성을 위해 활동되는 부분을 통제하자. - 기업전략목적 달성을 위해 활동(activity’s)되는 부분을 통제하는 체제 |
| 정보보호거버넌스: 통합(프로세스 보증) |
전반적인 보호, 운영효율성 개선 |
|
IT거버넌스 |
|
| 전략적연계 | BSP > ISP |
| 가치제공 | - cost/benefit 기반의 가치제공(이익제공> 거버넌스 목적) - IT가 전략상 약속한 이익 제공(비용 최적화) |
| 성과측정 | BSC로 IT성과 측정 (조직전략을 공유하기 위해 수단(구체)화 > BSC) |
| 자원관리 | Human / application / Infra / data & information |
| 리스크관리 | - Ent. RM > IT. RM - 고위경영진의 위험 인식 - 조직의 위험 성향의 이해 - 위험관리책임은 조직에게 |
| 컴플라이언스 관리 | - |
* IT거버넌스 감사의 역할
| 감사 주요 역할 | 1. 컴플라이언스/법/규정을 모니터하는 주체 2. 수행된 IT거버넌스 추진과제의 품질, 효과성을 개선을 위해 3. 선도적인 사례를 경영진에게 추천 4. IT_Governance과제의 결과 도출에 있어 관련 정책을 준수 하도록 도움 5.이를 위한 정성적인 평가에서 독립적 / 균형적인 시각이 필요 |
| 추구하는 목적 | 자원 효율적 활용, 자원 보호, IT전략 수행 |
| 경영전략-IT전략 연계 | IT전략 및 운영이 잘되고있는가? |
| 기업전략목적 달성에 있어서 IT를 연계해서 도움을 주자 | 조직구조, 리더십, 프로세스 |
| 효과적인 IT거버넌스 | 1. IT전략으로 기업사업전략에 잘 연계되도록 리더십을 발휘해서 보증 |
| 2. 조직구조를 잘짜서 보증 | |
| 3. 프로세스(activity's)가 잘수행되게끔 보증되도록 제공, 지원해주기 -> IT(아우)가 조직(형님)의 전략과 목적을 지지하고 확장하도록 도와줌 -> 1차적인 최종책임자는? 이사회 BOD -> 이사회 BOD 명령을 잘 수행(거버넌스를 구현)하는 역할임? CEO 고위경영자 |
* [전사적] 프로젝트 운영위원회
| 전사 사업 단계 관여 |
* IS운영위원회
|
조정 업무 |
1. 프로젝트 우선순위 2. 프로젝트 일정 3.프로젝트 비용 (전사 사업이 아닌 프로젝트 단계급 위원회임) 4. 보안팀 vs. 사용자부서팀 의견 충돌 중재 |
* 정보보호거버넌스
|
정보보호 거버넌스의 효과 이익? |
1. 거래 파트너와 신뢰성 제공 2. 고객 관계 신뢰성 제공 3. 기업의 평판 보호 4. 전자 거래처리에 더 좋은 방법 제공 틀린예시) 기업사고 발생 / 신뢰성 안줌 / 기업 평판 낮음 |
'슈개's IT > CISA' 카테고리의 다른 글
| [CISA_Domain 2] IT 거버넌스 및 관리2 (0) | 2020.12.21 |
|---|---|
| [CISA_Domain 2] IT 거버넌스 및 관리1 (0) | 2020.12.21 |
| [CISA_Domain 1] IT 감사 프로세스1 (0) | 2020.12.21 |
| [CISA] 자격요건 및 시험출제영역 (0) | 2020.12.21 |
| [CISA] 2020년도 CISA 합격후기 (시험 출제 키워드 포함 / + 내용추가 2020.11.17) (0) | 2020.12.21 |