국제 내부 감사 직무 수행 기준 (8) - 실행 기준 (2100)

2100 – 업무의 성격 (Nature of Work)

내부 감사 부서는 조직적이고 훈련된 접근법을 통하여 거버넌스, 위험 관리 및 통제 프로세스를 평가하고 개선하는 데 기여해야 한다. 

The internal audit activity must evaluate and contribute to the improvement of governance, risk management, and control processes using a systematic and disciplined approach.

2110 - 거버넌스 (Governance)

내부 감사 부서는 다음 목적들이 달성되도록 거버넌스 프로세스의 개선에 관한 평가 및 적절한 권고를 해야 한다. 

• 조직 내에서 적절한 윤리 및 가치관의 장려 

• 효과적인 조직적 성과 관리 및 책임을 보증 

• 위험 및 통제 정보를 조직 내 적절한 영역까지 전파 

• 이사회, 내부 및 외부 감사 그리고 경영진 간의 활동 및 정보 전달을 조정 

2110.A1 - 내부 감사 부서는 조직의 윤리와 관련된 목적, 프로그램 및 활동의 설계, 적용 그리고 효과성에 대한 평가를 해야 한다. 

2110.A2 - 내부 감사 부서는 조직의 정보기술 거버넌스가 조직의 전략 및 목적을 지원하고 있는지 여부를 평가해야 한다. 

The internal audit activity must assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives: 

• Promoting appropriate ethics and values within the organization; 

• Ensuring effective organizational performance management and accountability; 

• Communicating risk and control information to appropriate areas of the organization; and 

• Coordinating the activities of and communicating information among the board, external and internal auditors, and management. 

2110.A1 – The internal audit activity must evaluate the design, implementation, and effectiveness of the organization’s ethics-related objectives, programs, and activities. 

2110.A2 – The internal audit activity must assess whether the information technology governance of the organization supports the organization’s strategies and objectives.

2120 – 위험 관리 (Risk Management)

내부 감사 부서는 위험 관리 프로세스의 효과성을 평가하고 개선하는 데 기여해야 한다. 

The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.

해설(Interpretation): 

위험 관리 프로세스가 효과적인지를 결정하는 것은 내부 감사인이 다음에 대한 평가를 통하여 한다. 

• 조직의 목적이 조직의 임무를 지원하고 일관성을 갖는지 

• 중대한 위험이 식별되고 측정되는지 

• 적절한 위험 대응책이 조직의 위험 선호 태도에 맞게 선택되는지 

• 직원, 경영진, 및 이사회 가 그들의 책임을 수행할 수 있도록 관련 위험정보가 수집되고 전사적으로 시기적절하게 의사소통되는지 

내부 감사 부서는 수많은 업무를 하는 동안 이러한 평가를 뒷받침 할 정보를 수집할 수 있다. 이러한 업무의 결과들을 함께 고려하면 조직의 위험 관리 프로세스와 그 효과성을 이해하는 데 도움이 된다. 

위험 관리 프로세스는 상시 관리 활동, 별도의 평가 또는 둘 다를 이용하여 감시된다. 

2120.A1 - 내부 감사 부서는 조직의 거버넌스, 업무, 정보시스템과 관련하여 다음 사항들이 위험에 노출되는 정도를 평가해야 한다. 

• 조직의 전략목적 달성 

• 재무 및 일반 업무 정보의 신뢰성과 무결성 

• 업무 및 프로그램의 효과성과 효율성 

• 자산의 보호 

• 법, 규정, 정책, 절차, 그리고 계약의 준수 

2120.A2 - 내부 감사 부서는 부정 발생의 잠재성과 그런 부정을 조직이 어떻게 관리하는지를 평가해야 한다. 

2120.C1 - 컨설팅 업무를 수행하는 과정에서 내부 감사인은 업무 목적과 관련된 위험에 관심을 기울여야 하며, 다른 심각한 위험의 존재에 대해서도 주의해야 한다. 

2120.C2 - 내부 감사인은 컨설팅 업무를 수행하는 과정에서 얻어진 위험에 관한 지식을 조직의 위험 관리 프로세스평가에 활용해야 한다. 

2120.C3 - 위험 관리 프로세스의 수립 또는 개선에 경영진을 지원할 경우, 내부 감사인은 실제로 위험을 관리하는 어떤 관리 책임도 맡아서는 안 된다. 

Determining whether risk management processes are effective is a judgment resulting from the internal auditor’s assessment that: 

• Organizational objectives support and align with the organization’s mission; 

• Significant risks are identified and assessed; 

• Appropriate risk responses are selected that align risks with the organization’s risk appetite; and 

• Relevant risk information is captured and communicated in a timely manner across the organization, enabling staff, management, and the board to carry out their responsibilities. 

The internal audit activity may gather the information to support this assessment during multiple engagements. The results of these engagements, when viewed together, provide an understanding of the organization’s risk management processes and their effectiveness.

2120.A1 – The internal audit activity must evaluate risk exposures relating to the organization’s governance, operations, and information systems regarding the: 

• Achievement of the organization’s strategic objectives; 

• Reliability and integrity of financial and operational information; 

• Effectiveness and efficiency of operations and programs; 

• Safeguarding of assets; and 

• Compliance with laws, regulations, policies, procedures, and contracts. 

2120.A2 – The internal audit activity must evaluate the potential for the occurrence of fraud and how the organization manages fraud risk. 

2120.C1 – During consulting engagements, internal auditors must address risk consistent with the engagement’s objectives and be alert to the existence of other significant risks. 

2120.C2 – Internal auditors must incorporate knowledge of risks gained from consulting engagements into their evaluation of the organization’s risk management processes. 

2120.C3 – When assisting management in establishing or improving risk management processes, internal auditors must refrain from assuming any management responsibility by actually managing risks.

2130 - 통제 (Control)

내부 감사 부서는 조직의 효과성과 효율성을 평가하고 지속적인 개선을 유도하여 효과적인 통제가 이루어지도록 조직에 도움을 주어야 한다. 

2130.A1 - 내부 감사 부서는 조직의 거버넌스, 업무 그리고 정보시스템 내에서 위험에 대응하는 통제의 적절성과 효과성을 다음과 관련하여 평가해야 한다. 

• 조직의 전략 목적 달성 

• 재무 및 일반 업무 정보의 신뢰성과 무결성 

• 업무 및 프로그램의 효과성과 효율성 

• 자산의 보호 

• 법, 규정, 정책, 절차, 그리고 계약의 준수 

2130.C1 - 내부 감사인은 컨설팅 업무를 수행하는 과정에서 얻어진 통제에 대한 지식을 조직의 통제 프로세스 평가에 활용해야 한다. 

The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement.

2130.A1 – The internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within the organization’s governance, operations, and information systems regarding the: 

• Achievement of the organization’s strategic objectives; 

• Reliability and integrity of financial and operational information; 

• Effectiveness and efficiency of operations and programs; 

• Safeguarding of assets; and 

• Compliance with laws, regulations, policies, procedures, and contracts. 

2130.C1 – Internal auditors must incorporate knowledge of controls gained from consulting engagements into evaluation of the organization’s control processes.