[CISA 이론 정리 - 1장] 11. 부정 감사

1. 관련자 책임

(1) 경영진

• 건실한 내부 통제를 설계 및 운영한다.

• 부정 행위 억제에 대한 합리적 보증을 제공한다.

• 주기적으로 검토하고 적발 노력을 기울인다.

(2) IS 감사인

• 내부 통제의 적합성과 효율성을 평가한다.

• 내부 통제의 심각한 약점을 경고한다.

• 부정 행위의 징후를 숙지 및 인식한다.

2. 부정 수사 단계

(1) 징후 포착

• 분석적 검토 절차 및 위험 분석을 통해 중요한 위험 신호를 포착한다.

• 중요한 예외 및 비일상적인 사항들을 담당자에게 문의한다.

• 해명이 명쾌하지 않는 의심 사항을 감사 관리자에게 일차 보고한다.

• 상세한 조사를 수행해도 좋다는 경영진의 허가를 받는다.

(2) 상세 조사

• 부정 행위의 주체, 공모자, 수법, 피해액 등을 추정한다.

• 적절한 전문가들의 도움을 요청하고 공조한다.

• 부정이 실제로 발생했음을 입증하는 증거들을 수집한다.

• 법적으로 허용되지 않는 방법을 사용하지 않도록 주의한다.

• 혐의자를 심문할 때는 충분한 근거 자료를 확보하고 있어야 한다.

• 증거를 인멸하지 않도록 혐의자를 바로 업무에 복귀시키지 않는다.

(3) 결과 보고

• 조사 결과 및 증거는 감사 부서의 관리자에게 먼저 보고한다.

• 부정 감사 보고서를 작성하여 적절한 대상에게 배포한다.

• 감사 부서의 관리자를 통해 혐의자의 직속 상관에게 보고한다.

• 모방하지 않도록 사용 수법을 지나치게 상세 기술하지 않는다.

• 통제 약점을 개선하도록 권고하고 후속 조치한다.

• 외부 보고는 경영진 책임이므로 함부로 외부 기관에 보고하지 않는다.

• 단, 법적으로 외부 보고를 해야 하는 경우 먼저 법률 자문을 받는다.

3. 부정 억제를 위한 내부 통제 절차

(1) 판매 및 대금 회수

(2) 매입 및 대금 지급

(3) 인사 및 급여

4. 1종 오류와 2종 오류

(1) 일반 개념

① 1종 오류와 2종 오류의 개념은 여러 분야에서 두루 사용된다.

② 1종 오류: 과소 신뢰의 오류, 부당한 기각의 오류이다.

③ 2종 오류: 과대 신뢰의 오류, 부당한 채택의 오류이다.

(2) 감사 오류

① 감사 절차의 부적절성이나 판단상의 실수로 인해 잘못된 감사 의견을 제시한다.

② 1종 오류: 적정 의견을 올바른데 부적정 의견을 제시한다.

③ 2종 오류: 부적정 의견이 올바른데 적정 의견을 제시한다.

(3) 가설 검정 오류 (샘플링 오류)

① 샘플링 기법에 기반한 통계학적 가설 검정 결과가 잘못된 가설을 지지한다.

② 1종 오류: 기존 가설 또는 가정이 참인데 이를 기각한다.

③ 2종 오류: 기존 가설 또는 가정이 거짓인데 이를 지지한다.

(4) 인력 채용 오류

① 직무에 적합한 직원을 채용하지 않거나 부적합한 직원을 채용한다.

② 1종 오류: 특정 직무에 적합한 직원을 채용하지 않는다.

③ 2종 오류: 특정 직무에 부적합한 직원을 채용한다.

(5) 인증 오류(Authentication Error)

① 접근 통제 시스템이 사용자의 신분 검증 과정에서 오류를 범한다.

② 1종 오류(False Rejection Error): 승인 받은 사용자를 기각한다.

③ 2종 오류(False Acceptance Error): 승인 받지 않은 사용자를 승인한다.

(6) 침입 탐지 오류 (시약 테스트 오류)

① 침입/공격 탐지(의료 분야의 경우 질병 진단 시약 테스트) 과정에서 오류를 범한다.

② 1종 오류(False Positive Error): 침입/공격/질병이 없는데도 양성(+) 보고를 한다.

③ 2종 오류(False Negative Error): 침입/공격/질병이 있는데도 음성(-) 보고를 한다.