[CISA 이론 정리 - 1장] 10. 컴퓨터 지원 감사 도구 및 기법

1. 의의

(1) CAATs(Computer Assisted Audit Techniques)

① CAATs란 컴퓨터를 활용하여 감사의 효과와 효율을 향상하는 모든 기법을 통칭한다.

② CAATs는 준거성 테스트와 입증 테스트는 물론 전체 감사 절차에 두루 사용할 수 있다.

③ 데이터 추출/분석, 자동화된 감사 문서화, 시스템 검토, 부정 적발 등을 지원한다.

(2) GAS(Generalized Audit Software, 범용 감사 소프트웨어)

① 다양한 IT 환경에서 다양한 감사 절차를 지원하기 위해 개발되어 시중에 판매되는 스프레드시트 형식의 프로그램이다.

② ACL이나 IDEA와 같은 제품이 GAS의 대표적인 사례이다.

③ GAS의 핵심 기능은 다양한 응용 프로그램이 생성한 데이터 파일에 접근(access)하여 데이터를 추출하고 이를 분석하는 것이다.

④ GAS의 그 밖의 기능은 다음과 같다.

파일 작업

• 다양한 형식의 데이터 파일에서 필드들을 추출(extract)

• 지정한 조건에 맞는 필드들만 선별(filter)하여 추출

• 동일한 필드를 포함하는 서로 다른 파일을 병합(merge)

• 추출한 데이터를 다른 이름과 형식의 파일로 저장(export)

레코드 정리

• 레코드를 특정 키 필드를 기준으로 오름/내림 차순 정렬(sort)

• 서로 다른 파일에서 키 필드 값이 같은 레코드들을 결합(join)

필드 연산

• 필드에 다양한 수식 및 함수(function) 기능을 적용하여 계산

• 세로 합계(Foot), 가로 합계(extend), 총합(grand total) 계산

통계 처리

• 잔액(Balance) 계산, 특정 항목의 수량 및 개수를 계수(count)

• 각종 통계 값 계산(statistics), 샘플링, 층화(stratify) 

• 연령 분석(Age), 회귀 분석(regression), 요약(summarize)

(3) SAS(Specialized Audit Software, 전용 감사 소프트웨어)

① GAS와는 달리 특정한 IT 환경에서 특정한 감사 절차만을 지원하기 위해 개발된 감사 소프트웨어로서 IS 감사인이 직접 또는 전문가에 의뢰하여 개발/사용한다.

예) UNIX 환경에서의 통제 테스트, 외환 거래를 수행하는 응용 프로그램이 야간에 처리한 거래의 조사, 부실 자산을 적발하기 위한 테스트 등

② GAS 이외의 여러 기법들을 통칭하지만 보통 문서화 기능은 SAS에 포함하지 않는다.

2. 응용 처리의 무결성 검증

(1) 스냅샷(Snapshot)

① 입력 데이터 값이 연산 과정을 거치면서 어떻게 변하는지 포착하여(snapshot) 보여 준다.

② 데이터 연산 과정에 오류나 부정이 존재할 가능성을 추정하는 데 도움을 준다.

③ 개별 거래의 처리 결과가 아니라 거래의 처리 과정을 분석하여 역으로 응용 프로그램의 무결성을 검토하는 것이 목적이다. 

④ 연산 과정에 오류나 부정이 있음을 보여주는 단서를 발견하면 해당 응용 프로그램의 로직을 세밀하게 검토해야 한다.

(2) 매핑(Mapping)

① 분석용 프로그램을 사용하여 거래 처리 과정에 사용된 명령어 및 적용 순서를 분석한다.

예) COBOL로 개발된 프로그램을 분석해 주는 Analyzer 프로그램

② 특정한 응용 프로그램의 소스 코드 중에서 거래 처리 과정에서 전혀 사용되지 않거나 부정한 목적으로 삽입된 것으로 의심되는 부분을 찾아내는 데 도움을 준다.

③ 매핑 기법 자체가 특정한 감사 결론을 바로 제시하지는 않는다.

④ 최종 결론을 내리려면 감사인의 전문가적 판단과 응용 프로그램 소스 코드에 대한 추가 조사가 필요하다.

(3) 태깅 및 추적(Tagging and tracing)

① 매핑과 마찬가지로 거래를 처리할 때 적용되는 명령어 및 적용 적용 순서를 분석한다.

② 다만, 매핑과는 달리 응용 프로그램을 개발할 때부터 태깅 및 추적 기능을 내장해야 한다.

③ 태깅(Tagging): 추적하려는 거래에 일정한 표식을 붙이는 것을 의미한다.

④ 추적(Tracing): 매핑처럼 거래의 처리 과정을 따라 가며 관찰한다.

3. 응용 처리 결과의 검증

(1) 병행 시뮬레이션(Parallel Simulation)

① IS 감사인이 조사 대상 거래를 직접 계산한 다음 그 결과를 실제 처리 결과와 비교해 본다.

② 일종의 재계산 기법으로서 GAS에 포함된 수식 및 함수 기능을 사용하여 간단한 프로그래밍을 하여 재계산할 수도 있다.

③ 프로그래머에게 의뢰하여 재계산용 모듈을 별도 제작하여 재계산할 수도 있다.

(2) 병행 운영(Parallel Operation)

① 기능이 동일한 신규 시스템과 기존 시스템이 동시에 존재할 때 사용할 수 있는 기법이다.

② 새로 개발된 시스템으로 처리한 결과를 이미 검증된 기존의 시스템으로도 처리해 보고 두 가지 결과를 서로 비교한다.

③ 병행 시뮬레이션과 비슷하지만 재계산용 프로그램을 별도로 제작하지는 않는다.

④ 응용 프로그램에 대한 테스트 기법 중에서 병행 테스트와 사실상 동일한 방법이다.

(3) 테스트 데이터 또는 테스트 데크

① 테스트 데이터(Test Data): 특정 정보시스템에 내장된 연산 절차와 자동화된 통제를 테스트하는 데 사용하는 가상의 거래 데이터로서 테스크 데크(test deck)라고도 한다.

② 테스트 데이터(또는 데스트 데크)를 사용하여 응용 프로그램으로 처리한 다음 그 결과를 예상 결과와 비교하여 응용 프로그램의 무결성을 검증한다.

③ 테스트를 하기 전에 IT 관리자의 승낙과 운영자의 일정 합의 및 지원이 필요하다.

④ 테스트 데이터 법은 운영자에게 테스트 일정이 노출되는 약점이 있다.

(4) 기본 사례 시스템 평가(BCSE: Base Case System Evaluation)

① 테스트 데이터 법과 유사하지만 테스트용 표준 거래 데이터를 반복 사용한다.

② 테스트를 수행할 때마다 테스트 거래 데이터를 생성할 필요가 없다.

③ 반복적으로 사용하는 테스트용 거래 데이터는 모든 거래 유형을 포함해야 한다.

(5) 통합 테스트 설비(ITF: Integrated Test Facility)

① 테스트 데이터 법과 기본적으로 동일하지만 IT 운영자의 도움을 받을 필요가 없다.

② 가상 거래처(Dummy entity) DB에 포함시킨 후 주기적으로 가상 거래를 처리해 본다.

③ 가상 거래처와 실제 거래처 사이에 실제 거래가 처리되는 일이 없도록 유의해야 한다.

4. 조사 대상 거래의 추출

(1) 내장 감사 모듈(EAM: Embedded Audit Module) 또는 감사 후크(Audit Hook)

① 특정 응용 시스템에 의해 처리되는 거래들 중 일부를 추출하여 IS 감사 부서 또는 담당 부서에서 추후에 검사할 수 있도록 파일(SARF 또는 SCARF)에 저장하는 기능이다. 

② SARF(System Audit Review File, 시스템 감사 검토 파일): 특별한 기준을 사용하지 않고

   무작위로 추출한 거래들을 저장한다.

③ SCARF(System Control Audit Review File, 시스템 통제 감사 검토 파일): 특정 기준에

    부합하는 거래들을 추출하여 저장한다.

④ 거래 추출 기능이 응용 시스템 자체에 내장되어 있다는 것이 특징이다.

(2) 감사 데이터 수집(Audit Data Collection)

① 조사해야 할 거래를 추출하여 수집하는 기능을 가진 프로그램 또는 거래 추출 프로그램(transaction selection program)을 사용한다.

② 내장 감사 모듈(EAM) 또는 감사 갈고리(audit hook)처럼 자동화된 도구로 감사 대상 거래를 선별하지만 응용 프로그램에 내장된 기능은 아니다.

(3) 확장 레코드(Extended Records)

① 특정 응용 시스템에 의해 영향을 받은 모든 데이터를 수집/저장한다.

② 조사 대상 거래의 모집단을 확정하고 상세한 감사 증적을 제공하는 데 도움을 준다.

(4) CIS(Continuous and Intermittent Simulation)

① CIS는 특정 응용 시스템이 거래를 올바로 처리하는지 간헐적으로 검토한다.

② 시뮬레이터(Simulator)라고 불리는 모듈이 응용 시스템에 의해 처리되는 각각의 거래가 사전에 정의된 기준에 부합하는지 지속적으로 비교한다.

③ 특정 거래가 일정 기준에 부합할 경우 시뮬레이터는 해당 거래를 독자적으로 처리한 다음 그 결과를 실제 처리 결과와 비교하여 차이가 있다면 해당 거래를 상세 조사한다.

(5) 온라인 감사 접근법

① 감사 대상 응용 시스템과 온라인으로 연결하여 운영을 방해하지 않으면서도 시기적절하게 실제 거래를 추출 및 검사할 수 있게 해 주므로 감사의 효율성을 향상한다.

② 온라인 감사 도구로 활용할 수 있는 것은 스냅샷, ITF, EAM, CIS, Audit hook 등이 있다.