정보시스템 감사 프로세스 - IS감사 & 통제 유형
정보시스템 감사 프로세스 개요
- 정보시스템(IS) 감사는 IS 감사인이 비지니스 혹은 정보시스템과 관련 프로세스를 계획, 수행, 평가 및 검토하는데 사용하는 기준, 원리, 방법, 가이드라인, 업무 관행과 기법들이다. IS감사인은 기업의 목표를 달성하고 조직의 자산을 보호하도록 설계된 감사 프로세스, IS프로세스, 비지니스 프로세스 통제를 충분히 이해하여야 한다.
IS 진단 항목
1. 정보시스템이 해당되는 법률, 규정, 계약 또는 산업 가이드 라인을 준수하여 운영된다.
2. 정보시스템과 이와 관련된 프로세스는 정부 기준과 연관되고 관련된 정책 및 절차를 준수한다.
3. 정보시스템의 데이터와 정보는 적절한 기준의 기밀성, 무결성, 가용성을 가지고 있다.
4. IS 운영은 목표를 충족하고 효과적이고 효율적으로 성취하고 있다.
● 감사는 조직이 효과적인 운영을 할 수 있도록 돕고, 다양한 규제를 준수한다고 확인하며 비지니스가 잘 운영되고 잠재적인 문제에 봉착하는 것에 대비한다는 것을 확실하게 보여줄 수 있다.
● 감사기능은 감사의 독립성과 역량을 유지하면서, 감사팀이 감사기능의 목적을 완수하게 될 다양한 업무를 수행하고 성취를 보장한다. (응용 시스템의 개발, 구입 및 구현 중에 적극적 참여는 감사인 독립성 손상 -> 조언 및 검토가능)
● 감사목적은 내부통제가 비지니스 위험을 최소화하고 내부통제가 기대한 기능대로 역활을 한다는 것을 확실히 하는 것에 주안점을 둔다.
● 감사헌장은 IS감사의 목적, 권한, 역활, 책임을 설정하며 문서화하고, 최고경영진의 승인이 필요하다.
● 감사계획은 전략을 구현하고 감사영역의 목록 정의 및 목적을 다룬다. 전반적인 감사전략과 구체적인 절차를 수립하기 위해 감사 프로세스 초반에 수행하며, 장기계획(조직의 사명과 목표파악, 중요사업전략 변경 고려), 단기계획(당해년 감사이슈 고려)로 구분된다.
| 감사계획 수립 단계 | |||||||
| 1 | 조직의 임무, 목표, 목적, 요구사항과 비지니스 프로세스 이해 | ||||||
| 2 | 감사 목적과 관련하여 기업의 거버넌스와 업무관행 이해 | ||||||
| 3 | 피감사인의 비지니스 환경의 변화를 이해 | ||||||
| 4 | 이전 감사조서 검토 | ||||||
| 5 | 정책, 기준 및 요구되는 지침, 절차 및 조직구조와 같은 내용을 파악 | ||||||
| 6 | 감사 범위와 감사 목적을 수립 | ||||||
| 7 | 감사 접근방식과 감사 전략 개발 | ||||||
| 8 | 감사인을 감사에 배정 | ||||||
| 9 | 검서 살향계획 수행 | ||||||
● 통제는 위험을 완화하려고 구현한 정책, 절차, 관행, 조직 구조 등으로 구성된다. 내부 통제는 조직의 비지니스 목적은 달성될 것이고, 위험 이벤트는 예방, 탐지, 교정될 것이라는 합리적인 보증을 경영진에게 제공하려고 개발된다.
| 통제유형 | ||||||||
| 종류 | 기능 | 예제 | ||||||
| 예방통제 | - 운영 및 입력 감시하여 문제가 발생하기 전 탐지 - 잠재적인 문제들을 발생전에 예방하고 교정 - 오류, 누락 또는 악의적 행위 발생 예방 |
- 승인받은 인력들만 민감한 파일에 접근하도록 접근통제 소프트웨어 사용 - 비인가된 데이터 유출을 방지하기 위해 암호화 소프트웨어 사용 - 직무순환, IPS |
||||||
| 적발통제 | - 오류, 누락 또는 악의적인 행위를 탐지하고 보고 | - 비인가된 접근시도를 적발하기 위한 활동로그 검토 - 변화에 따른 성과보고서 - 해쉬합계, 에코통제, 강제휴가, 감사증적, IDS |
||||||
| 교정통제 =보완통제 |
- 위협의 영향을 최소화 및 오류 수정 - 적발통제로 발견된 문제를 개선하고 문제 원인 파악 - 향후 문제발생을 최소화하기 위해 처리시스템 수정 - 대체 제어 수단 제공 |
- 직무 분리 - 운영의 비상계획 및 연속성 계획 확인 - 재난 복구계획, 사건 대응계획, 백업절차 - 시스템 파손/복구 서비스수준합의서 검토 |
||||||
| 중복통제 | - 한 작업을 두 사람이 수행 - 현재 시스템을 강화하기 위한 추가적인 통제 |
- 관찰, 재수행, 트랜잭션 로그 분석 기법으로 테스트 - 직무분리 확인 |
||||||
통제의 내재적 한계
1. 인적오류: 내부통제를 운용하는 것은 당연히 사람이기 때문에 해당 절차에 대한 이해가 부족하거나 단순한 실수가 발생한다.
2. 공모: 2명 이상이 공모한다면 내부통제는 무력해질 가능성이 있다.
3. 경영진의 내부통제 무시: 내부통제의 운영책임이 있는 임원 및 직원이 권한을 남용하거나 내부통제의 필요성을 간과하여 내부통제제도를 무시할 가능성이 있다.
4. 환경의 변화: 업무환경의 변화로 인해 통제절차가 부적합하게 되거나 통제절차의 준수가 약화될 가능성이 있다.
5. 합리적보증: 통제비용은 통제 효과를 초과할 수 없으므로, 모든 부정 및 오류를 제거할 수 없다.
| 고유한 위험 & 통제 위험 & 탐지 위험 | ||||||||
| 고유한위험 | 경영진이 구현한 통제를 고려하지 않고 감사할 프로세스 또는 엔티티의 위험 수준입니다. 감사와는 별도로 존재하며 비지니스 특성으로 인해 발생할 수 있습니다. | |||||||
| 통제위험 | 내부통제시스템에 의해 적시에 예방 또는 감지되지 않는 중대한 오류가 존재하는 위험 감사인의 입증 절차에 의해서 적발되지 못할 위험 |
|||||||
| 탐지위험 | 감사인이 재무제표에서 중요한 왜곡 표시를 탐지하지 못하는 위험 | |||||||
| 감사위험 | 정보 또는 재무 보고서에 중대한 오류가 포함될 수 있고 감사자가 발생한 오류를 감지하지 못할 가능성. 감사 접근 방식을 공식화하는 목적은 보안 영역의 감사 위험을 제한하여 전체 감사 위험이 검사 완료시 충분히 낮은 수준에 있도록 하는 것입니다. | |||||||
위험평가 - 조직과 관련해서 위험 수용 기준과 목적에 따라 위험을 식별하고 계량화하며, 우선순위를 매겨야 한다.
- 위험완화: 위험을 줄이기 윟 적절한 통제 적용
- 위험수용: 만약 위험이 위험수용기준과 조직의 정책을 명확히 충족시킨다면, 위험을 인지하고도 의도적으로 아무런 행동 취하지 않기(잠재적위험 <= 통제비용)
- 위험회피: 위험이 발생하는 원인을 제거해서 위험을 회피
- 위험공유(전가): 연관된 위험을 보험회사나 공급사 등 다른 당사자에게 전가
위험관리프로세스
- 정보수집/계획(고유위험)
- 비지니스 및 산업지식
- 규제 법령
- 이전 해의 감사결과
- 고유위험평가
- 최근 재무정보
- 내부통제 이해(적발/통제위험)
- 통제환경
- 통제 위험 평가
- 통제 절차
- 적발 위험 진단
- 총 위험향 산출방식
- 적발 위험 진단
- 준거성테스트(정책 및 절차)
- 테스트할 핵심 통제 식별
- 신뢰성, 위험예방. 조직정책 및 절차 준수에 해당 테스트 수행
- 실증테스트(분석적 절차)
- 절차분석
- 기타 실증 감사 절차
- 계정 잔액에 대한 상세 테스트
- 감사종결(보고서 작성)
- 권고 사항 작성
- 감사 보고서 작성
'자격증 > CISA' 카테고리의 다른 글
| [CISA] 정보시스템 감사 프로세스 - 컴퓨터 지원 감사기법(CAAT) (0) | 2021.04.04 |
|---|---|
| [CISA]정보시스템 감사 프로세스 - 감사증거 수집기법 (0) | 2021.04.03 |
| [CISA] 정보시스템 감사 프로세스 - 통제환경 샘플링 이해 (0) | 2021.04.02 |
| [CISA] 정보시스템 감사 프로세스 - 감사 및 평가유형 (0) | 2021.04.01 |
| CISA ? (0) | 2021.03.30 |
