국제 내부 감사 직무 수행 기준 (7) - 실행 기준 (2000)

2000 – 내부 감사 부서의 관리 (Managing the Internal Audit Activity)

CAE는 조직의 가치를 증가시킬 수 있도록 효과적으로 내부 감사 부서를 관리해야 한다. 

The chief audit executive must effectively manage the internal audit activity to ensure it adds value to the organization.

해설(Interpretation): 

내부 감사 부서는 다음과 같은 경우 효과적으로 관리된다. 

• 내부 감사 활동의 결과가 내부 감사 헌장에 포함된 목적 및 책임을 완수하는 경우 

• 내부 감사 활동이 내부 감사 직무의 정의 및 국제 내부 감사 직무 수행 기준과 일치할 때 

• 내부 감사 활동을 하는 각 개인들이 윤리 강령과 국제 내부 감사 직무 수행 기준을 준수하고 있음을 증명할 때 

내부 감사 부서는 객관적이고 관련성 있는 보증을 제공하고, 거버넌스, 위험 관리, 그리고 통제 프로세스의 효과성 및 효율성에 기여할 때 조직(그리고 그 이해관계자)의 가치를 증가시킨다. 

The internal audit activity is effectively managed when: 

• The results of the internal audit activity’s work achieve the purpose and responsibility included in the internal audit charter; 

• The internal audit activity conforms with the Definition of Internal Auditing and the Standards; and 

• The individuals who are part of the internal audit activity demonstrate conformance with the Code of Ethics and the Standards. 

The internal audit activity adds value to the organization (and its stakeholders) when it provides objective and relevant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes.

2010 – 계획 수립 (Planning)

최고 감사 책임자는 조직 목적과 일관되도록 내부 감사 활동의 우선순위를 정하기 위해 위험에 기반을 둔 감사 계획을 수립해야 한다. 

The chief audit executive must establish a risk-based plan to determine the priorities of the internal audit activity, consistent with the organization’s goals.

해설(Interpretation): 

최고 감사 책임자는 위험기반 감사 계획을 개발할 책임이 있다. 최고 감사 책임자는 조직의 다양한 활동과 부서에 따라 경영진이 결정한 위험 수용 수준에 따라 조직의 위험 관리 체계를 설계한다. 만약 그러한 체계가 없다면 최고 감사 책임자는 고위 경영진과 이사회의 의견을 고려한 후에 위험에 대한 그의 판단력을 이용한다. 최고 감사 책임자는 조직의 사업, 위험, 운영, 프로그램, 시스템 및 통제의 변화에 대응하여 검토하고 필요한 경우에는 조정을 해야 한다.

2010.A1 - 내부 감사 부서의 업무 계획은 문서화된 위험 평가에 근간을 두어야 하며, 최소한 1년에 한 번씩 수립되어야 한다. 고위 경영진과 이사회의 의견이 계획수립 시 고려되어야 한다. 

2010.A2 – 최고 감사 책임자는 내부 감사 의견 및 결론에 관하여 고위 경영진, 이사회, 기타 이해관계자의 기대를 파악하고 고려해야 한다. 

2010.C1 - CAE는 제안 받은 컨설팅 업무를 수용할 것인지 여부를 조직의 위험 관리 능력 향상, 가치증대 및 업무능력 향상 등을 고려하여 검토해야 한다. 수용된 그런 컨설팅 업무들은 계획에 포함되어야 한다. 

The chief audit executive is responsible for developing a risk-based plan. The chief audit executive takes into account the organization’s risk management framework, including using risk appetite levels set by management for the different activities or parts of the organization. If a framework does not exist, the chief audit executive uses his/her own judgment of risks after consideration of input from senior management and the board. The chief audit executive must review and adjust the plan, as necessary, in response to changes in the organization’s business, risks, operations, programs, systems, and controls.

2010.A1 – The internal audit activity’s plan of engagements must be based on a documented risk assessment, undertaken at least annually. The input of senior management and the board must be considered in this process. 

2010.A2 – The chief audit executive must identify and consider the expectations of senior management, the board, and other stakeholders for internal audit opinions and other conclusions. 

2010.C1 – The chief audit executive should consider accepting proposed consulting engagements based on the engagement’s potential to improve management of risks, add value, and improve the organization’s operations. Accepted engagements must be included in the plan.

2020 – 의사소통 및 승인 (Communication and Approval)

CAE는 내부 감사 부서의 감사 계획과 자원 요구사항(중간에 변경된 주요 사항 포함)을 고위 경영진 및 이사회에 전달하여 검토 및 승인을 받도록 한다. CAE는 또한 감사 자원의 한계에 따른 영향에 대해서도 보고해야 한다. 

The chief audit executive must communicate the internal audit activity’s plans and resource requirements, including significant interim changes, to senior management and the board for review and approval. The chief audit executive must also communicate the impact of resource limitations.

2030 – 자원 관리 (Resource Management)

CAE는 내부 감사 자원이 승인된 감사 계획을 완수할 수 있도록 적절한지, 충분한지 또한 효과적으로 사용되는지 확인해야 한다. 

The chief audit executive must ensure that internal audit resources are appropriate, sufficient, and effectively deployed to achieve the approved plan.

해설(Interpretation): 

‘적절한’이란 계획을 수행하는 데 필요한 지식, 기술, 및 기타 능력의 혼합을 의미한다. ‘충분한’이란 계획을 수행하기 위해 필요한 자원의 양을 의미한다. 자원은 효과적으로 승인된 계획의 달성을 최적화하도록 사용될 때 효과적으로 배분된다. 

Appropriate refers to the mix of knowledge, skills, and other competencies needed to perform the plan. Sufficient refers to the quantity of resources needed to accomplish the plan. Resources are effectively deployed when they are used in a way that optimizes the achievement of the approved plan.

2040 – 정책 및 절차 (Policies and Procedures)

CAE는 내부 감사 부서의 지침이 되는 정책 및 절차를 제정해야 한다. 

The chief audit executive must establish policies and procedures to guide the internal audit activity.

해설(Interpretation): 

정책 및 절차의 형식과 내용은 내부 감사 부서의 규모 및 구조에 따라, 또한 그 업무의 복잡성에 따라 결정된다.

The form and content of policies and procedures are dependent upon the size and structure of the internal audit activity and the complexity of its work.

2050 – 업무 조정 (Coordination)

CAE는 감사 영역의 적절한 배분을 통한 업무 중복을 최소화하기 위해 다른 내, 외부의 보증 및 컨설팅 서비스 제공자와 정보의 공유 및 업무 조정을 하여야 한다. 

The chief audit executive should share information and coordinate activities with other internal and external providers of assurance and consulting services to ensure proper coverage and minimize duplication of efforts.

2060 – 고위 경영진 및 이사회 보고 (Reporting to Senior Management and the Board)

CAE는 내부 감사 부서의 목적, 권한, 책임 그리고 감사 계획 대비 실적을 고위 경영진 및 이사회에 주기적으로 보고해야 한다. 보고서에는 부정 위험, 중요한 위험 노출, 통제문제, 거버넌스 관련 쟁점들 그리고 고위 경영진 및 이사회가 요청하거나 필요로 하는 문제나 사안을 포함해야 한다. 

The chief audit executive must report periodically to senior management and the board on the internal audit activity’s purpose, authority, responsibility, and performance relative to its plan. Reporting must also include significant risk exposures and control issues, including fraud risks, governance issues, and other matters needed or requested by senior management and the board.

해설(Interpretation): 

보고의 빈도 및 내용은 고위 경영진 및 이사회와 논의하여 결정되며, 보고되어야 하는 정보의 중요성, 고위 경영진 및 이사회가 해야 할 관련 행동의 긴급 정도에 따라 결정된다. 

The frequency and content of reporting are determined in discussion with senior management and the board and depend on the importance of the information to be communicated and the urgency of the related actions to be taken by senior management or the board.

2070 - 내부 감사 직무에 대한 외부 서비스 제공자 및 조직의 책임 (External Service Provider and Organizational Responsibility for Internal Auditing)

외부 서비스 제공자가 내부 감사 부서로서 일할 때, 서비스 제공자는 효과적인 내부 감사 부서를 유지하게 하는 책임이 조직에 있다는 것을 그 조직에게 알려야 한다.

When an external service provider serves as the internal audit activity, the provider must make the organization aware that the organization has the responsibility for maintaining an effective internal audit activity.

해설(Interpretation):

이러한 책임은 내부 감사 직무의 정의, 윤리 강령 및 국제 내부 감사 직무 수행 기준의 준수에 대한 평가인 품질 평가 및 개선 프로그램을 통하여 증명된다. 

This responsibility is demonstrated through the quality assurance and improvement program which assesses conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.