국제 내부 감사 직무 수행 기준 (5) - 일반 기준 (1200)

1200 – 숙련성과 전문가로서의 정당한 주의 (Proficiency and Due Professional Care)

감사 업무는 숙련성과 전문가로서의 정당한 주의를 가지고 수행해야 한다. 

Engagements must be performed with proficiency and due professional care.

1210 – 숙련성 (Proficiency)

내부 감사인은 그들 각자의 책임을 수행하기 위해 필요한 지식, 기술 그리고 그 밖의 능력을 지녀야 한다. 내부 감사 부서는 부서의 책임 완수를 위해 필요한 지식, 기술 그리고 그 외의 능력을 총체적으로 소유 또는 취득해야 한다. 

Internal auditors must possess the knowledge, skills, and other competencies needed to perform their individual responsibilities. The internal audit activity collectively must possess or obtain the knowledge, skills, and other competencies needed to perform its responsibilities.

해설(Interpretation):

지식, 기술, 그리고 기타의 능력은 총체적인 의미를 가지며 내부 감사인이 전문가적인 책임을 효과적으로 수행하기 위해 요구되는 전문가적인 숙련성을 의미한다. 내부 감사인들은 적절한 전문 자격증 등을 취득하여 그들의 전문성을 확인시킬 수 있도록 권유된다. 이러한 자격증으로는 공인내부 감사사 자격증 및 국제 내부 감사인 협회에서 주관하는 그 외의 자격증들과 그 외의 관련 전문기관들이 제공하는 자격증을 들 수 있다. 

1210.A1 - CAE는 감사인들이 감사의 전부 또는 일부를 수행함에 있어 필요한 지식, 기술 그리고 그 밖의 능력이 결여되어 있을 경우 마땅한 조언이나 지원을 구해야 한다. 

1210.A2 - 내부 감사인은 부정위험과 그 부정이 조직 내에서 어떻게 관리되고 있는지를 평가할 수 있는 충분한 지식을 갖춰야 한다. 그렇다고 해서 사고의 조사 및 적발이 주된 책임인 사람 정도의 전문능력을 지닐 것을 요구하지는 않는다. 

1210.A3 - 내부 감사인은 핵심 정보기술 위험 및 통제에 관한 지식과 주어진 임무를 달성하기 위해 필요한 기술기반 감사 테크닉을 충분히 갖춰야 한다. 하지만 모든 내부 감사인들이 정보기술 감사 업무에 우선적 책임이 있는 내부 감사인의 전문성을 갖출 것으로 기대되는 것은 아니다. 

1210.C1 - 감사인들이 그들의 업무의 전부 또는 일부를 수행함에 있어 지식, 기술, 기타 능력이 결여되어 있는 부문에 대한 컨설팅 업무를 요청 받을 경우 CAE는 해당 업무를 거절하거나 마땅한 조언이나 지원을 구해야 한다. 

Knowledge, skills, and other competencies is a collective term that refers to the professional proficiency required of internal auditors to effectively carry out their professional responsibilities. Internal auditors are encouraged to demonstrate their proficiency by obtaining appropriate professional certifications and qualifications, such as the Certified Internal Auditor designation and other designations offered by The Institute of Internal Auditors and other appropriate professional organizations.

1210.A1 – The chief audit executive must obtain competent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.

1210.A2 – Internal auditors must have sufficient knowledge to evaluate the risk of fraud and the manner in which it is managed by the organization, but are not expected to have the expertise of a person whose primary responsibility is detecting and investigating fraud. 

1210.A3 – Internal auditors must have sufficient knowledge of key information technology risks and controls and available technology-based audit techniques to perform their assigned work. However, not all internal auditors are expected to have the expertise of an internal auditor whose primary responsibility is information technology auditing. 

1210.C1 – The chief audit executive must decline the consulting engagement or obtain competent advice and assistance if the internal auditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.

1220 – 전문가로서의 정당한 주의 (Due Professional Care)

모든 내부 감사인은 합리적인 신중함과 감사 능력을 지니고 있는 내부 감사인에게 요구되는 주의와 기술을 적용하여야 한다. 전문가로서의 정당한 주의가 결함이 전혀 없음을 의미하지는 않는다. 

1220.A1 - 내부 감사인은 다음과 같은 사항들을 고려하면서 전문가로서의 정당한 주의를 다하여 임무를 수행해야 한다. 

• 감사 업무 목표를 완수하는 데 필요한 업무 범위 

• 검증절차가 적용되는 문제의 상대적 복잡성, 중요성 또는 심각성의 의미 

• 거버넌스, 위험 관리, 및 통제의 적절성 및 효과성 

• 중요한 오류, 부정행위 또는 규정위반의 가능성 

• 잠재적 효익에 대비한 검증 비용 

1220.A2 – 전문가로서의 정당한 주의를 다하여 감사 업무를 수행할 때 내부 감사인은 기술기반 감사 및 기타 데이터분석 기법을 사용할 것을 고려해야 한다. 

1220.A3 - 내부 감사인은 목표, 업무 또는 자원에 영향을 줄 수 있는 중요한 위험에 대해 경계를 해야 한다. 그러나 검증절차가 비록 상당한 직무상 주의를 다했다 하더라도 모든 위험이 밝혀질 것이라는 보장을 하지는 않는다. 

1220.C1 - 내부 감사인은 컨설팅 업무를 수행하는 동안 다음과 같은 사항을 고려하여 전문가로서의 정당한 주의를 다해야 한다. 

• 업무 성격, 시기 그리고 업무 결과의 보고를 포함하는 컨설팅 업무 고객의 요구와 기대치 

• 업무 목표를 달성하기에 필요한 임무 수행의 상대적 복잡성과 범위 

• 잠재적 효익에 대비한 컨설팅 서비스 비용 

Internal auditors must apply the care and skill expected of a reasonably prudent and competent internal auditor. Due professional care does not imply infallibility.

1220.A1 – Internal auditors must exercise due professional care by considering the: 

• Extent of work needed to achieve the engagement’s objectives; 

• Relative complexity, materiality, or significance of matters to which assurance procedures are applied; 

• Adequacy and effectiveness of governance, risk management, and control processes; 

• Probability of significant errors, fraud, or noncompliance; and 

• Cost of assurance in relation to potential benefits. 

1220.A2 – In exercising due professional care internal auditors must consider the use of technology-based audit and other data analysis techniques. 

1220.A3 – Internal auditors must be alert to the significant risks that might affect objectives, operations, or resources. However, assurance procedures alone, even when performed with due professional care, do not guarantee that all significant risks will be identified. 

1220.C1 – Internal auditors must exercise due professional care during a consulting engagement by considering the: 

• Needs and expectations of clients, including the nature, timing, and communication of engagement results; 

• Relative complexity and extent of work needed to achieve the engagement’s objectives; and 

• Cost of the consulting engagement in relation to potential benefits.