[CISA] 정보시스템 감사 프로세스 - 내부통제 자체평가(CSA)

정보시스템 감사 프로세스 - 내부통제 자체평가(CSA)

 

○ 내부통제 자체평가(CSA)

- 내부통제 자체평가는 직원과 부서의 관리자, 또는 부서가 속한 직원과 관리자가 수행한 통제평가이다. 이것은 이해관계자, 고객 및 기타 기관들에게 조직의 내부통제 시스템이 신뢰할 수 있다고 확신하는 관리기법이다.

내부통제 자체평가의 목적

- 내부통제 자체평가의 가장 주요한 목적은 통제 모니터링 책임의 일부를 현업 부서로 이관함으로써 내부 감사기능을 최대한 끌어올리는 것이다. 즉, 내부통제 자체평가는 감사의 책임을 대체하는게 아니라 강화하는 것이다.

내부통제 자체평가에서 IS 감사인의 역할

- 내부통제 자체평가 프로그램이 수립되면, 감사인들은 내부통제 전문가 및 평가 촉진자(잔행자)가 된다. 감사자는 촉진적이고 혁신적인 역활을 효과적으로 하려면, 평가하려는 비지니스 프로세스를 반드시 이해하여야 한다. 

내부통제 자체평가의 특징
장점, 위험과 내부통제	단점
○ 위험의 조기탐지 ○ 효과적이며 개선된 내부통제 ○ 직원 참여를 통한 결속력 있는 팀을 창출 ○ 직워과 프로세스 소유자들에게 주인의식의 생성과 통제 개선 과제에 대한 저항을 감소 ○ 직원들의 조직의 목표, 위험과 내부통제의 지식의 중요성에 대한 증진된 의심 ○ 운영 경영진과 고위 경영진 간의 의사소통 향상 ○ 높은 동기의식을 가진 임원 ○ 감사등급 프로세스의 개성 ○ 통제비용 감소 ○ 이해관계자와 고객에게 제공된 보증 ○ 미국의 사베인즈-옥슬리법과 같은 다양한 규제기관과 법률에서 요구하는 내부통제의 적절성에 대한 최고경영진에게 주어진 필요한 보증	○ 감사기능의 대체로 오해 가능 ○ 부가적인 업무 부담으로 여겨질 수 있다. (예 경영진에게 제출하는 추가적인 보고) ○ 개선안에 대한 실행의 실패는 직원의 시기를 저해한다. ○ 결여된 동기부여는 약한 통제를 탐지하는데 효과성이 제한적일 수 있다.