[CISA 이론 정리 - 1장] 12. ISACA 직무 윤리 규정 및 기준

1. ISACA 직무 윤리 규정

① ISACA는 협회 회원 및 자격증 소지자의 직무 및 개인 행위에 관한 지침을 제시하고자 본 직무 윤리 규정을 제정한다.

② ISACA 회원 및 자격증 소지자는 다음 규정을 준수해야 한다.

1) 기업의 정보 시스템과 기술에 대한 효과적인 거버넌스와 관리 그리고 감사, 통제, 보안, 위험 관리 등에 적용되는 적절한 기준과 절차의 구현을 지원하고 준수를 촉진해야 한다

2) 직무 기준에 따라 객관성, 정당한 근면성, 전문가적 주의로 임무를 수행해야 한다

3) 높은 행위 기준과 품격을 유지하고, 자신의 직업 또는 협회의 신뢰를 떨어뜨리지 않으며, 합법적인 방법으로 이해관계자들에 이익에 기여한다.

4) 사법 당국이 공개를 요구하는 경우가 아니라면 업무 수행 중에 습득한 정보의 프라이버시와 기밀을 유지해야 한다. 해당 정보를 사적 목적으로 사용하거나 부적절한 대상에게 제공해서는 안 된다.

5) 자신의 전문 분야에서 숙련성을 유지하고 필요한 기술, 지식 및 능력을 사용하여 업무를 완수할 수 있을 때만 해당 업무 수행을 동의해야 한다.

6) 공개하지 않을 경우 결과 보고를 왜곡할 수 있는 모든 중요 사실을 공개하고 수행 작업의 결과를 적절한 대상에게 전달해야 한다.

7) 기업의 정보 시스템과 기술의 거버넌스와 관리 그리고 감사, 통제, 보안, 위험 관리 등에 관한 이해관계자들의 이해를 증진함으로 그들의 직무 교육을 지원한다.

③ 본 직무 윤리 규정을 위반할 경우 해당 회원 및 자격증 소지자의 행위에 대한 조사는 물론 결과적으로 징계 조치가 취해질 수 있다.

2. 직무 기준

(1) 일반 기준(General Standards)

1001 감사 헌장(Audit Charter)

1001.1

IS 감사/보증 부서는 감사 부서의 목적, 책임, 권한, 책임 추적성을 명시하는 감사 헌장을 적절히 문서화해야 한다.

1001.2

IS 감사/보증 부서는 조직 내 적절한 직급으로부터 감사 헌장에 대한 동의와 승인을 받아야 한다.

1002 조직상 독립성(Organizational Independence)

1002.1

IS 감사/보증 부서는 객관적인 감사/보증 업무(engagement)를 수행할 수 있도록 검토 중인 분야 또는 업무로부터 독립적이어야 한다.

1003 직무상 독립성(Professional Independence)

1003.1

IS 감사/보증 전문가는 감사/보증 업무와 관련된 모든 사안에 있어 태도와 외관이 독립적이고 객관적이어야 한다.

1004 합리적 기대(Reasonable Expectation)

1004.1

IS 감사/보증 전문가는 ISACA의 IS 감사/보증 기준과 필요하다면 다른 직무 기준이나 산업 표준 및 관련 규정에 의거하여 업무를 완수하고 전문가적 의견 또는 결론을 산출할 수 있다는 합리적 기대를 할 수 있어야 한다.

1004.2

IS 감사/보증 전문가는 업무의 범위가 해당 주제 사안에 관한 결론을 내릴 수 있고 모든 제한을 해소한다는 합리적 기대를 할 수 있어야 한다.

1004.3

IS 감사/보증 전문가는 업무 수행에 필요한 적정하고, 관련 있고, 시기적절한 정보를 제공해 줄 경영진의 의무와 책임을 경영진이 이해하고 있다는 합리적 기대를 할 수 있어야 한다.

1005 정당한 직무상의 주의(Due Professional Care)

1005.1

IS 감사/보증 전문가는 업무의 계획 수립, 수행, 결과 보고 시 해당 전문 감사 기준을 준수하는 등 정당한 직무상의 주의를 기울여야 한다.

1006 숙련성(Proficiency)

1006.1

IS 감사/보증 전문가는 IS 감사/보증 업무 수행 시 (과제를 함께 수행하는 팀원들과 상호 보완하여) 적합한 기술과 숙련성을 보유해야 하고 필요한 작업을 수행할 수 있도록 직무상 능숙해야 한다.

1006.2

IS 감사/보증 전문가는 (과제를 함께 수행하는 팀원들과 상호 보완하여) 주제 사안에 대한 적합한 지식을 보유해야 한다.

1006.3

IS 감사/보증 전문가는 적정한 지속적 직무 교육과 훈련을 통해 직무 능력을 유지해야 한다.

1007 주장(Assertions)

1007.1

IS 감사/보증 전문가는 주제 사안을 평가할 때 평가 대상이 될 주장을 검토하여 해당 주장이 감사 가능하며, 충분하고, 유효하며, 적절한지를 판단해야 한다.

1008 준거 기준(Criteria)

1008.1

IS 감사/보증 전문가는 주제 사안을 평가할 때 평가 기준이 될 객관적이고, 완전하며, 적절하고, 측정 가능하고, 이해 가능하며, 인지도 높고, 권위 있으며, 보고서의 모든 독자 및 사용자가 이해 및 이용할 수 있는 준거 기준을 선택해야 한다.

1008.2

IS 감사/보증 전문가는 인지도가 낮은 준거 기준을 채택하기 전에 준거 기준의 출처를 고려하고 권위 있는 기구에서 발행한 준거 기준에 중점을 두어야 한다.

(2) 수행 기준(Performance Standards)

1201 업무 계획(Engagement Planning)

1201.1

IS 감사/보증 전문가는 각 IS 감사/보증 업무를 계획할 때 다음을 고려해야 한다.

•  목적, 범위, 일정, 산출물

•  관련 법률 및 전문 감사 기준의 준수

•  위험 기반의 접근 방식 사용(적절하다면)

•  업무 관련 쟁점

•  문서화 및 보고 요건

1201.2

IS 감사/보증 전문가는 다음에 관해 설명하는 IS 감사/보증 업무 프로젝트 계획서를 작성하고 문서화해야 한다.

•  업무 성격, 목적, 일정, 자원 요건

•  업무 완수에 필요한 감사 절차의 시기(timing) 및 범위(extent)

1202 계획 시 위험 평가(Risk Assessment in Planning)

1202.1

IS 감사/보증 부서는 적절한 위험 평가 접근법 및 지원 방법론을 사용하여 전반적인 IS 감사 계획을 수립하고 우선 순위를 결정하여 IS 감사 자원을 효과적으로 할당해야 한다.

1202.2

IS 감사/보증 전문가는 개별 업무를 계획할 때 검토 대상 분야와 관련된 위험을 식별하고 평가해야 한다.

1202.3

IS 감사/보증 전문가는 주제 사안 위험, 감사 위험, 기업 관련 노출을 고려해야 한다.

1203 수행 및 감독(Performance and Supervision)

1203.1

IS 감사/보증 전문가는 승인된 IS 감사 계획에 따라 작업을 수행하여 합의된 일정 내에 식별된 위험을 다루어야 한다.

1203.2

IS 감사/보증 전문가는 감독 책임이 있는 IS 감사 직원들을 감독하여 감사 목표를 달성하고 해당 전문 감사 기준을 만족해야 한다.

1203.3

IS 감사/보증 전문가는 (1) 기존의 지식과 기술로 업무 수행할 수 있거나 (2) 업무를 수행하는 기간 동안 기술을 습득하거나 감독자의 지시에 따라 작업을 완수할 수 있다는 합리적 기대가 있는 작업만을 수락해야 한다.

1203.4

IS 감사/보증 전문가는 감사 목표를 달성하기에 충분하고 적합한 증거를 확보해야 한다. 감사 결과와 결론은 해당 증거에 대한 적절한 분석과 해석으로 뒷받침되어야 한다.

1203.5

IS 감사/보증 전문가는 수행한 감사 작업 그리고 발견 사항 및 결론을 뒷받침하는 감사 증거를 설명하고 감사 프로세스를 문서화해야 한다.

1203.6

IS 감사/보증 전문가는 발견 사항을 식별하고 이에 대한 결론을 내려야 한다.

1204 중요성(Materiality)

1204.1

IS 감사/보증 전문가는 업무를 계획할 때 통제의 잠재적 약점이나 부재가 있는지 여부 그리고 해당 통제의 약점이나 부재가 심각한 결함이나 중요한 약점으로 이어질 수 있는 여지를 고려해야 한다.

1204.2

IS 감사/보증 전문가는 감사 절차의 성격(nature), 시점(timing), 범위(extent)를 결정할 때 중요성 그리고 중요성과 감사 위험과의 관계를 고려해야 한다.

1204.3

IS 감사/보증 전문가는 사소한 통제 결함 또는 약점의 누적 효과 그리고 통제의 부재가 심각한 결함이나 중요한 약점으로 이어질 수 있는 여지를 고려해야 한다.

1204.4

IS 감사/보증 전문가는 보고서에 다음 내용을 공개해야 한다.

•  통제의 부재 또는 비효과적 통제

•  통제 결함의 심각성

•  해당 약점이 심각한 결함이나 중요한 약점으로 이어질 가능성

1205 증거(Evidence)

1205.1

IS 감사/보증 전문가는 업무 결과의 기초가 되는 합리적인 결론을 도출할 수 있도록 충분하고 적절한 증거를 수집해야 한다.

1205.2

IS 감사/보증 전문가는 결론을 뒷받침하고 업무 목표를 달성하기 위해 획득한 증거의 충분성을 평가해야 한다.

1206 다른 전문가의 작업 결과의 사용(Suing the Work of Other Experts)

1206.1

IS 감사/보증 전문가는 필요하다면 업무를 위해 다른 전문가의 작업 결과를 사용하는 것을 고려해야 한다.

1206.2

IS 감사/보증 전문가는 업무 전에 다른 전문가의 전문가로서의 자격, 능력, 관련 경험, 자원, 독립성, 품질 통제 프로세스를 평가하고 승인해야 한다.

1206.3

IS 감사/보증 전문가는 업무의 일환으로서 다른 전문가의 작업 결과를 평가, 검토, 평가하고 해당 작업 결과의 사용 및 의존 정도에 대한 결론을 문서화해야 한다.

1206.4

IS 감사/보증 전문가는 업무 팀에 속하지 않은 다른 전문가의 작업 결과가 해당 업무 목적과 관련하여 적절/완전한지 결론을 내리고 이를 명확하게 문서화해야 한다.

1206.5

IS 감사/보증 전문가는 다른 전문가의 작업 결과에 의존할 것인지 그리고 해당 작업 결과를 보고서에 통합할지 아니면 별도 언급할지를 결정해야 한다.

1206.6

IS 감사/보증 전문가는 다른 전문가가 충분하고 적절한 증거를 제공하지 못하는 경우에 충분하고 적절한 증거를 얻을 수 있는 추가 테스트 절차를 적용해야 한다.

1206.7

IS 감사/보증 전문가는 적절한 감사 의견 또는 결론을 제공하고, 필요한 정보를 추가 테스트 절차를 통해 획득하지 못해서 발생한 모든 범위 제약을 포함해야 한다.

1207 부정 및 불법 행위(Irregularity and Illegal Acts)

1207.1

IS 감사/보증 전문가는 업무 중에 부정 및 불법 행위를 고려해야 한다.

1207.2

IS 감사/보증 전문가는 업무 중에 전문가로서의 비판적 태도(attitude of professional skepticism)를 유지해야 한다.

1207.3

IS 감사/보증 전문가는 일체의 중요한 부정 또는 불법 행위를 문서화하고 적절한 당사자에게 시기적절하게 전달해야 한다.

(3) 보고 기준(Reporting Standards)

1401 보고(Reporting)

1401.1

IS 감사/보증 전문가는 업무 완료 시 다음 내용이 포함하여 결과를 전달하는 보고서를 제공해야 한다.

•  해당 기업의 식별 정보, 의도된 보고서 수령자, 내용 및 배포상의 제한 사항

•  범위 / 업무 목표 / 수행된 작업의 대상 기간, 성격, 시점, 범위

•  발견 사항, 결론, 권고 사항

•  해당 과제와 관련하여 IS 감사/보증 전문가에게 존재하는 유보 사항 및 범위 제약

•  감사 헌장 또는 감사 통지서의 관련 조항에 따른 서명, 날짜, 배포

1401.2

IS 감사/보증 전문가는 감사 보고서의 발견 사항이 충분하고 적합한 증거에 의해 뒷받침되는지 확인해야 한다.

1402 사후 활동(Follow-up Activities)

1402.1

IS 감사/보증 전문가는 적절한 정보를 감시하여 경영진이 보고서의 감사 발견 사항 및 권고를 다루기 위한 적절하고 적시성 있는 조치를 계획하고 이행했는지 결론을 내려야 한다.