국제 내부 감사 직무 수행 기준 (11) - 실행 기준 (2300, 2400)

2400 – 결과의 전달 (Communicating Results)

내부 감사인은 업무 결과를 전달해야 한다. 

Internal auditors must communicate the results of engagements.

2410 – 의사소통의 기준 (Criteria for Communicating)

보고서에는 업무 목적 및 범위뿐만 아니라 해당되는 결론, 권고사항 및 향후 조치 계획도 포함시켜야 한다. 

2410.A1 – 최종 업무 결과 보고서에는, 적당한 위치에, 내부 감사인의 의견 또는 감사결론이 포함되어 있어야 한다. 발행할 때에는, 의견 또는 감사결론은 고위 경영진, 이사회 및 기타 이해관계자의 기대를 고려해야 하고, 충분하고, 신뢰할만하며, 연관된, 그리고 유용한 정보로 뒷받침되어야 한다. 

해설: 업무 수준에서 의견이란 등급, 결론, 또는 기타 업무 결과를 묘사할 것이다. 그러한 업무는 특정 프로세스, 위험, 또는 사업단위에 대한 통제와 관련될 것이다. 그러한 의견의 표현은 업무 결과와 그 중요성을 고려할 필요가 있다. 

2410.A2 – 내부 감사인은 감사 수행결과 보고서에 만족할만한 업무성과를 인정하는 내용도 포함하도록 권장된다 

2410.A3 – 조직 외부의 제3자에게 업무 결과를 공개할 때, 보고서에는 그 결과물의 배포 및 사용에 관한 제한을 두어야 한다. 

2410.C1 – 컨설팅 업무의 수행과정 및 결과에 대한 보고는 업무수행 내용 및 고객의 요구에 따라 내용과 형식 면에서 차이가 있을 수 있다. 

Communications must include the engagement’s objectives and scope as well as applicable conclusions, recommendations, and action plans.

2410.A1 - Final communication of engagement results must, where appropriate, contain the internal auditors’ opinion and/or conclusions. When issued, an opinion or conclusion must take account of the expectations of senior management, the board, and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information. 

Interpretation: Opinions at the engagement level may be ratings, conclusions, or other descriptions of the results. Such an engagement may be in relation to controls around a specific process, risk, or business unit. The formulation of such opinions requires consideration of the engagement results and their significance. 

2410.A2 – Internal auditors are encouraged to acknowledge satisfactory performance in engagement communications. 

2410.A3 – When releasing engagement results to parties outside the organization, the communication must include limitations on distribution and use of the results. 

2410.C1 – Communication of the progress and results of consulting engagements will vary in form and content depending upon the nature of the engagement and the needs of the client.

2420 – 의사소통의 품질 (Quality of Communications)

의사소통은 정확하고 객관적이며 명쾌하고 간결해야 하며, 또한 건설적이고 완벽해야만 하며 시기적절해야 한다. 

Communications must be accurate, objective, clear, concise, constructive, complete, and timely.

해설(Interpretation): 

정확한 보고는 오류, 왜곡이 없고 근간이 되는 사실에 충실한 것을 말한다. 객관적인 보고서는 공평하고 편향되지 않으며 모든 관련된 사실과 상황을 균형 있고 공평하게 평가한 결과이다. 명확한 보고서는 쉽게 이해되고 논리적이며 불필요한 기술적 언어를 피하고 모든 중요하고 연관된 정보를 제공한다. 간결한 정보는 핵심을 찌르고 불필요한 수식, 과도하게 세밀함, 중복, 그리고 장황함을 피한다. 건설적인 보고서는 감사고객 및 조직에 도움이 되며 필요한 경우 개선을 하게 한다. 완전한 보고서는 대상 고객에게 꼭 필요한 것을 놓치지 않으며 권고사항 및 결론을 지원하는 모든 중요하고 연관된 정보나 발견사항을 포함한다. 시기적절한 보고서는 사안의 중요성에 따라 시기가 적절하고 쓸모가 있어 경영진으로 하여금 적절한 시정 조치를 하게 한다. 

Accurate communications are free from errors and distortions and are faithful to the underlying facts. Objective communications are fair, impartial, and unbiased and are the result of a fair-minded and balanced assessment of all relevant facts and circumstances. Clear communications are easily understood and logical, avoiding unnecessary technical language and providing all significant and relevant information. Concise communications are to the point and avoid unnecessary elaboration, superfluous detail, redundancy, and wordiness. Constructive communications are helpful to the engagement client and the organization and lead to improvements where needed. Complete communications lack nothing that is essential to the target audience and include all significant and relevant information and observations to support recommendations and conclusions. Timely communications are opportune and expedient, depending on the significance of the issue, allowing management to take appropriate corrective action.

2421 – 오류와 누락 (Errors and Omissions)

만약 최종 감사보고서에 중대한 오류와 누락이 있을 경우 CAE는 이전의 보고서를 수취한 모든 당사자에게 수정된 내용을 전달해야 한다. 

If a final communication contains a significant error or omission, the chief audit executive must communicate corrected information to all parties who received the original communication.

2430 – “국제 내부 감사 직무 수행 기준 준수” 문구의 사용 (Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing”)

내부 감사인은 그들의 업무가 '국제 내부 감사 직무 수행 기준을 준수하여 수행'되었다고 보고할 수 있다. 하지만 내부 감사인은 내부 감사 활동이 품질 보증 및 개선 프로그램의 결과가 이러한 문구를 증거할 경우에만 사용할 수 있다. 

Internal auditors may report that their engagements are “conducted in conformance with the International Standards for the Professional Practice of Internal Auditing”, only if the results of the quality assurance and improvement program support the statement.

2431 – 미준수의 공개 (Engagement Disclosure of Nonconformance)

내부 감사 직무의 저의, 윤리 강령 또는 국제 내부 감사 직무 수행 기준 미준수가 특정 업무에 영향을 줄 경우 업무 결과 보고서에 다음과 같은 내용을 밝혀야 한다. 

• 완전하게 준수되지 못한 윤리 강령의 원칙 또는 행동강령, 또는 직무 수행 기준 조항 

• 준수하지 못한 사유 

• 미준수가 업무 및 감사보고서에 미친 영향 

When nonconformance with the Definition of Internal Auditing, the Code of Ethics or the Standards impacts a specific engagement, communication of the results must disclose the: 

• Principle or rule of conduct of the Code of Ethics or Standard(s) with which full conformance was not achieved; 

• Reason(s) for nonconformance; and 

• Impact of nonconformance on the engagement and the communicated engagement results. 

2440 – 결과의 제출 (Disseminating Results)

CAE는 적절한 관련자들에게 업무 결과를 전달해야 한다. 

The chief audit executive must communicate results to the appropriate parties.

해설(Interpretation): 

최고 감사 책임자는 최종 작업 보고서를 발행하기 전에 검토하고 승인할 책임과 누구에게 그리고 어떻게 배포될 것인지를 결정할 책임을 진다. 최고 감사 책임자가 이러한 의무를 위임한 경우 위임 받은 자는 전반적인 책임을 진다.

2440.A1 – CAE는 작업 결과에 대한 적절한 조치가 취해지게 할 수 있는 당사자들에게 최종 결과 보고서를 전달할 책임이 있다. 

2440.A2 - 만약 법률 또는 규제요건에 제한이 없다면, CAE는 조직 외부의 당사자에게 그 결과물을 공개하기 전에 다음과 같은 조치를 해야 한다. 

• 조직에 미칠 잠재적 위험 측정 

• 고위 경영진 및 법률 고문과 적절한 상담 

• 결과물의 사용에 대한 제한조치를 하여 배포를 통제. 

2440.C1 – CAE는 컨설팅 내용에 대한 최종 결과를 컨설팅고객에게 전달할 책임이 있다. 

2440.C2 – 컨설팅 업무를 수행하는 과정에서 거버넌스, 위험 관리, 및 통제 관련 사안들을 파악하게 될 수 있다. 이러한 사안들이 조직에 심각한 영향을 주는 경우에는 항상 고위 경영진이나 이사회에 보고되어야 한다. 

The chief audit executive is responsible for reviewing and approving the final engagement communication before issuance and for deciding to whom and how it will be disseminated. When the chief audit executive delegates these duties, he or she retains overall responsibility.

2440.A1 – The chief audit executive is responsible for communicating the final results to parties who can ensure that the results are given due consideration. 

2440.A2 – If not otherwise mandated by legal, statutory, or regulatory requirements, prior to releasing results to parties outside the organization the chief audit executive must: 

• Assess the potential risk to the organization; 

• Consult with senior management and/or legal counsel as appropriate; and 

• Control dissemination by restricting the use of the results. 

2440.C1 – The chief audit executive is responsible for communicating the final results of consulting engagements to clients. 

2440.C2 – During consulting engagements, governance, risk management, and control issues may be identified. Whenever these issues are significant to the organization, they must be communicated to senior management and the board.

2450 – 종합 의견 (Overall Opinions)

종합 의견을 표명할 때는 고위 경영진, 이사회 및 기타 이해관계자의 기대를 고려하고 충분하고, 신뢰할만하며, 관련성 있고, 유용한 정보로 뒷받침해야 한다. 

When an overall opinion is issued, it must take into account the expectations of senior management, the board, and other stakeholders and must be supported by sufficient, reliable, relevant, and useful information.

해설(Interpretation): 

보고서는 다음 사항을 밝힐 것이다. 

• 의견이 관련된 기간을 포함한 범위; 

• 범위의 제약; 

• 다른 보증제공자에 대한 신뢰성을 포함하여 모든 관련된 프로젝트를 고려함; 

• 위험 또는 통제체계 또는 종합의견의 기초로 사용된 기타 기준; 

• 종합의견, 판단, 또는 도달한 결론. 

호의적이지 않은 종합의견을 표명할 경우 그 이유도 밝혀야 한다. 

The communication will identify: 

• The scope, including the time period to which the opinion pertains; 

• Scope limitations; 

• Consideration of all related projects including the reliance on other assurance providers; 

• The risk or control framework or other criteria used as a basis for the overall opinion; and 

• The overall opinion, judgment, or conclusion reached. 

The reasons for an unfavorable overall opinion must be stated.

2500 – 사후 감시 (Monitoring Progress)

CAE는 경영진에게 전달된 업무 결과가 어떻게 다루어지는지 점검할 수 있는 사후 관리 시스템을 수립하고 유지해야 한다. 

2500.A1 – CAE는 경영진이 수립한 조치가 효과적으로 실행됐는지 또는 고위 경영진이 위험을 수용하였는지를 검토하고 확인하기 위한 사후 관리 절차를 마련하여야 한다. 

2500.C1 – 내부 감사 부서는 고객과 약정한 범위 내에서 컨설팅 결과의 사후처리를 감시해야 한다. 

The chief audit executive must establish and maintain a system to monitor the disposition of results communicated to management. 

2500.A1 – The chief audit executive must establish a follow-up process to monitor and ensure that management actions have been effectively implemented or that senior management has accepted the risk of not taking action. 

2500.C1 – The internal audit activity must monitor the disposition of results of consulting engagements to the extent agreed upon with the client.

2600 – 위험 수용에 대한 전달 (Communicating the Acceptance of Risks)

최고 감사 책임자(CAE)는 경영진이 조직이 감당 못할 수도 있는 위험을 수용하는 결정을 한 경우 이 문제를 고위 경영진과 상의해야 한다. 만약 최고 감사 책임자가 그 문제가 해결되지 않았다고 판단하면, 최고 감사 책임자는 이사회에 그 사안을 보고해야 한다.

When the chief audit executive concludes that management has accepted a level of risk that may be unacceptable to the organization, the chief audit executive must discuss the matter with senior management. If the chief audit executive determines that the matter has not been resolved, the chief audit executive must communicate the matter to the board.

해설(Interpretation): 

경영진에 의해 수용된 위험은 보증 업무 또는 컨설팅 업무, 이전 업무 결과에 대한 경영진의 조치에 대한 사후 관리 과정 또는 기타 수단을 통해 파악될 수 있다. 그 위험을 해결하는 것은 최고 감사 책임자의 책임이 아니다.

The identification of risk accepted by management may be observed through an assurance or consulting engagement, monitoring progress on actions taken by management as a result of prior engagements, or other means. It is not the responsibility of the chief audit executive to resolve the risk.