[CISA 이론 정리 - 1장] 1. 조직과 보증

1. 조직과 보증

1) 조직과 IT(정보 및 관련 기술)

(1) 조직(Organization)

조직은 일련의 목적을 달성하기 위해 활동하며 그러한 활동은 자원을 소비한다.

성공적인 조직은 철두철미 목적을 지향하며 목적에 맞추어 활동과 자원을 최적화한다.

 

(2) 비즈니스, 사업부(business unit), 기업(corporate, enterprise)

비즈니스란 조직이 본연의 목적을 추구하는 과정에서 수행하는 다양한 거래 활동을 통칭한다.

비즈니스라는 표현은 영리 조직은 물론 비영리 조직에서도 사용할 수 있다.

(3) 정보 및 관련 기술(IT: Information and related Technology)

비즈니스가 활발해지려면 재화(goods) 및 서비스, 금전, 정보의 흐름이 원활해야 한다.

일반적으로 금전은 재화/서비스와 반대 방향으로 흐르지만 정보는 매번 양방향으로 흐른다.

 

 

한 조직의 비즈니스 성과는 소속 사회의 물류, 결제, 정보/통신 시스템에 영향을 받는다.

또한, 해당 조직이 IT(정보 및 관련 기술)를 얼마나 효과적으로 활용하느냐에 의존한다.

 

2) 절대적 보증과 합리적 보증

(1) 보증(Assurance)과 독립성(independence)

보증이란 특정 대상에 대한 신뢰(confidence)와 확신(trust)은 높이고 불신(doubt)과 두려움(fear)은 낮추는 서비스이다.

보증 대상은 사람, 사물, 제품, 서비스, 업무 성과, 시스템, 재무제표, 정보 등 다양하다.

일반적으로 조직의 직무 성과에 대한 보증의 주체는 다음과 같다.

(2) 보증 오류

정확한 보증을 제공하려면 정보 수집이 정확하고 완전하며 정보 분석이 엄밀해야 한다.

보증 오류란 신뢰할 수 있는 대상을 보증하지 않거나 신뢰할 수 없는 대상을 보증하는 것이다.

이때 보증할 수 있는 대상을 보증하지 않는 오류를 1종 오류(type 1 error)라고 한다.

반대로 보증해서는 안 되는 대상을 보증하는 오류를 2종 오류(type 2 error)라고 한다.

감사의 경우 보증 오류로 인한 사회적 손실은 2종 오류가 더 크게 발생한다.

 

(3) 절대적(Absolute) 보증과 합리적(reasonable) 보증

절대적 보증 또는 보장(guarantee)이란 보증 오류의 가능성을 인정하지 않는 보증이다.

합리적 보증이란 보증 오류의 가능성을 어느 정도 인정하는 보증이다.

보장이 아닌 합리적 보증을 제공하는 이유는 허용된 시간과 자원의 한계 때문이다.

시간과 자원의 제약이 존재하는 상황에서 대부분의 보증은 합리적 보증이다.