국제 내부 감사 직무 수행 기준 (9) - 실행 기준 (2200)

2200 – 업무 계획 수립 (Engagement Planning)

내부 감사인은 업무의 목적, 범위, 시기, 자원 배분을 포함하여 각 업무에 대한 계획을 수립하고 문서화해야 한다. 

Internal auditors must develop and document a plan for each engagement, including the engagement’s objectives, scope, timing, and resource allocations.

2201 – 계획 수립 시 고려사항 (Planning Considerations)

업무 계획 수립에 있어 내부 감사인은 다음과 같은 사항을 고려해야 한다. 

• 검토 대상 활동의 목적 및 그 활동이 업무 수행을 통제하는 수단 

• 활동, 그의 목적, 자원 및 업무수행에 수반되는 중대한 위험 그리고 그 위험의 잠재적인 영향력을 수용 가능한 수준으로 유지하기 위해 취한 조치 

• 관련 방안이나 모델과 비교하여 검토대상 활동의 거버넌스, 위험 관리, 및 통제 프로세스에 관한 적정성 및 효과성 

• 검토 대상 활동의 거버넌스, 위험 관리 및 통제 프로세스를 실질적으로 개선할 수 있는 기회 

2201.A1 - 조직 외부의 당사자를 위한 업무 계획을 세울 때는 내부 감사인은 그들과 업무 결과의 배포 제한 및 업무 기록에 대한 접근을 포함하여 목적, 범위, 각각의 책임 그리고 기타 기대치에 대한 약정을 문서화해야 한다. 

2201.C1 - 내부 감사인은 컨설팅 업무 고객과 컨설팅의 목적과 범위, 각각의 책임 그리고 기타 고객의 기대사항에 대해서 상호 약정을 해야 한다. 중요한 컨설팅 업무에 있어서는 이러한 약정은 문서화되어야 한다. 

The objectives of the activity being reviewed and the means by which the activity controls its performance; 

• The significant risks to the activity, its objectives, resources, and operations and the means by which the potential impact of risk is kept to an acceptable level; 

• The adequacy and effectiveness of the activity’s governance, risk management, and control processes compared to a relevant framework or model; and 

• The opportunities for making significant improvements to the activity’s governance, risk management, and control processes. 

2201.A1 – When planning an engagement for parties outside the organization, internal auditors must establish a written understanding with them about objectives, scope, respective responsibilities, and other expectations, including restrictions on distribution of the results of the engagement and access to engagement records. 

2201.C1 – Internal auditors must establish an understanding with consulting engagement clients about objectives, scope, respective responsibilities, and other client expectations. For significant engagements, this understanding must be documented.

2210 – 업무의 목적 (Engagement Objectives)

업무의 목적은 각 업무에 맞게 수립되어야 한다. 

2210.A1 - 업무를 계획할 때 내부 감사인은 검토 대상 활동과 연관되는 위험을 사전 평가해야 한다. 업무의 목적은 이러한 평가의 결과를 반영하여야 한다. 

2210.A2 - 내부 감사인은 업무 목적 수립단계에서 중대한 오류, 부정, 규정 미준수 그리고 노출된 다른 문제점의 발생 가능성을 고려해야 한다. 

2210.A3 - 거버넌스, 위험 관리 및 통제를 평가하기 위해서는 적절한 기준이 필요하다. 내부 감사인은 경영진 및 이사회가 설정한 방향과 목적이 달성되었는지 여부를 판단하기 위한 적절한 기준을 설정하였는지 확인해야 한다. 만일 그 기준이 적절하다면 내부 감사인은 그들의 평가에 그러한 기준을 사용하여야 한다. 부적절할 경우 내부 감사인은 경영진 및 이사회와 협의해서 적절한 평가기준을 마련하여야 한다. 

2210.C1 - 컨설팅 수행의 목적은 컨설팅 고객과 합의된 범위 내에서의 거버넌스, 위험 관리, 통제 프로세스에 초점을 맞추어야 한다. 

2210.C2 – 컨설팅 업무의 목적은 조직의 가치관, 전략 및 목적과 일관성을 가져야 한다. 

Objectives must be established for each engagement.

2210.A1 – Internal auditors must conduct a preliminary assessment of the risks relevant to the activity under review. Engagement objectives must reflect the results of this assessment. 

2210.A2 – Internal auditors must consider the probability of significant errors, fraud, noncompliance, and other exposures when developing the engagement objectives. 

2210.A3 – Adequate criteria are needed to evaluate governance, risk management, and controls. Internal auditors must ascertain the extent to which management and/or the board has established adequate criteria to determine whether objectives and goals have been accomplished. If adequate, internal auditors must use such criteria in their evaluation. If inadequate, internal auditors must work with management and/or the board to develop appropriate evaluation criteria. 

2210.C1 – Consulting engagement objectives must address governance, risk management, and control processes to the extent agreed upon with the client. 

2210.C2 – Consulting engagement objectives must be consistent with the organization's values, strategies, and objectives.

2220 – 업무 범위 (Engagement Scope)

업무 범위는 업무의 목적을 달성하도록 충분하게 설정하여야 한다. 

2220.A1 - 업무의 범위 설정에 있어 제 3자의 통제하에 있는 것을 포함하여, 관련 시스템, 기록, 인적 자원, 실물 자산을 고려대상에 포함해야 한다. 

2220.A2 - 만약 보증 업무 도중에 중요한 컨설팅의 기회가 생긴다면 컨설팅의 목적, 범위, 각각의 책임 그리고 기타 기대사항들에 관한 특정의 문서화된 약정이 작성되어야 하고, 컨설팅 업무의 결과는 컨설팅 기준에 따라 보고되어야 한다. 

2220.C1 - 컨설팅 업무를 수행함에 있어, 내부 감사인은 업무 범위가 합의된 목적을 달성하기에 충분한지를 확인해야 한다. 만약 내부 감사인이 임무 수행 중에 감사범위가 제한된 것을 알게 된다면, 해당 임무를 지속할 것인지 판단하기 위해 이런 제한은 고객과 논의되어야 한다. 

2220.C2 – 컨설팅 업무를 하는 동안, 내부 감사인은 조직의 목적과 일관성을 갖는 통제에 주목해야 하고 중요한 통제 사안에 관심을 가져야 한다. 

The established scope must be sufficient to achieve the objectives of the engagement.

2220.A1 – The scope of the engagement must include consideration of relevant systems, records, personnel, and physical properties, including those under the control of third parties. 

2220.A2 – If significant consulting opportunities arise during an assurance engagement, a specific written understanding as to the objectives, scope, respective responsibilities, and other expectations should be reached and the results of the consulting engagement communicated in accordance with consulting standards. 

2220.C1 – In performing consulting engagements, internal auditors must ensure that the scope of the engagement is sufficient to address the agreed-upon objectives. If internal auditors develop reservations about the scope during the engagement, these reservations must be discussed with the client to determine whether to continue with the engagement. 

2220.C2 – During consulting engagements, internal auditors must address controls consistent with the engagement’s objectives and be alert to significant control issues.

2230 – 업무 자원 할당 (Engagement Resource Allocation)

내부 감사인은 주어진 업무 목적을 완수하기 위해 적절하고 충분한 자원을 결정해야 한다. 인원 배정은 해당 업무의 성격과 복잡성, 시간 제약 그리고 가용 자원에 대한 평가에 기초를 두고 이루어져야 한다. 

Internal auditors must determine appropriate and sufficient resources to achieve engagement objectives based on an evaluation of the nature and complexity of each engagement, time constraints, and available resources.

2240 – 업무 수행 프로그램 (Engagement Work Program) 

내부 감사인은 업무 목적을 완수하기 위해 업무 수행 프로그램을 개발하고 문서화해야 한다. 

2240.A1 – 작업 프로그램은 업무수행 중에 정보를 식별, 분석, 평가 및 문서화하는 절차를 수립해야 한다. 이 작업 프로그램은 그것을 실행하기 전에 승인을 받아야 하며 어떤 변경사항이 있을 경우에도 신속히 변경승인을 받아야 한다. 

2240.C1 – 컨설팅 업무를 위한 업무수행프로그램은 업무의 성격에 따라 형식과 내용면에서 차이가 있을 수 있다. 

Internal auditors must develop and document work programs that achieve the engagement objectives.

2240.A1 – Work programs must include the procedures for identifying, analyzing, evaluating, and documenting information during the engagement. The work program must be approved prior to its implementation, and any adjustments approved promptly.

 

2240.C1 – Work programs for consulting engagements may vary in form and content depending upon the nature of the engagement.