[CISA]정보시스템 감사 프로세스 - 감사증거 수집기법

정보시스템 감사 프로세스 - 감사증거 수집기법

 

증거란 감사 대상 조직이나 데이터가 수립된 감사기준이나 목적을 따르고, 감사결론을 지지하는지 판단하는데 IS감사인이 사용하는 모든 정보를 말한다.

감사증거 항목

• 감사인의 관찰(경영진에게 제출)
• 인터뷰(면담)에서 기록한 메모
• IS감사인이 다른 이해당사자에게서 흭득한 독립적인 조회확인 결과
• 서신이나 내부문서 혹은 외부 협력사의 계약서에서 추출한 자료
• 감사테스트 절차 결과

감사증거의 신뢰성 평가 결정 요소

• 증거 제공자의 독립성: 외부원천으로부터 입수한 증거는 조직내부에서 입수한 것보다 신뢰성이 높다.
  * 서명한 계약서 또는 외부협력사의 협정서는 신뢰성이 있는 것으로 간주할 수 있다.
• 정보/증거를 제공한 개인의 자격요건: 정보/증거의 제공자가 조직의 내부나 외부에 있다면, IS 감사인은 정보를 제공한 개인의 자격요건과 기능적 책임성을 고려하여야 한다.
  * 예를 들면 IS감사인이 검토대상 기술영역을 잘 이해하지 못한다면, 테스트 절차로부터 얻은 정보를 신뢰할 수 없을 것이고, 특히 IS 감사인이 테스트 자체를 완전하게 이해를 못한다면 더욱 그러하다.
• 증거의 객관성: 객관적인 증거는 상당한 판단과 해석이 필요한 증거에 비해서 신뢰성이 높다.
• 증거의 적시성: IS감사인은 실증테스트가 가능할 경우 준거성 테스트의 특성, 시간, 범위를 결정하면서 어던 정보가 있거나 사용가능한지 고려하여야 한다.
  * 예를 들면, 스프레드시트처럼 동적인 시스템으로 증거를 처리하는 것은 파일 변경 통제가 이루어지지 않거나 백업되지 않으면 일정기간이 지나면 조회를 못할 수도 있다.

감사증거 기법

• IS 조직구조 검토: 직무가 적절하게 나눠지고 분리되어 있는 조직구조는 IS환경에서 핵심적인 일반통제이다.
• IS 정책과 절차 검토: IS감사인은 적절한 정책과 절차가 존재하는지 검토하여야 하고, 직원들이 구현된 정책과 절차를 이해하고 있는지 판단하여야하며, 이들을 준수되고 있는지 확인하여야 한다.
  * 경영진이 일반적인 목표와 방향을 다루는 정책을 구성, 개발, 문서화 공표, 통제에 전적인 책임을 지고 있는지 검증하고, 정책과 절차에 적절성에 대한 주기적 검토가 필요하다.
• IS기준검토: IS 감사인은 조직내에 수립되어 있는 기존 기준들을 먼저 이해하여야 한다.
• IS문서화 검토: 정보시스템의 문서화에 대한 검토의 첫 번째 단꼐는 조직내에서 사용하고 있는 현존하는 문서화를 이해하는 것이다.이런 문서는 출력된 형태이거나 전자적으로 저장되어 있을 수 있다.(무결성)
• 적절한 인력과의 면담: 면담은 명확한 목적의 소통과 함께 사전에 조직화되고, 정해진 의제를 따르고, 면담노트를 통해 문서화되어야 한다.
  * 장점: 실제기능, 실제 프로세스/절차, 보안인식, 보고관계 확인 / 단점: 관찰자가 관찰환경에 방해받을 수 있다.
• 프로세스와 직원의 업무관찰: IS감사인은 관찰하는 동안 업무에 방해가 되어서는 안되고, 필요하다면 나중에 감사증거로써 제시할 수 있도록 모든 것을 충분히 자세하게 문서화해야한다.
• 재수행: 재수행 프로세스는 질의, 관찰 및 증거 조사 등의 작업을 복합적으로 사용하더라도 통제가 효과적으로 운영된다는 충분히 보증을 제공하지 못할 때 사용한다.
• 워크쓰루: 워크쓰루는 구성원이 통제를 이해하고 있는지 확인하는 감사 기법이다.