[CISA 이론 정리 - 1장] 5. IT 감사

1) 의의

(1) 내부 감사와 외부 감사

감사는 제3자의 관점에서 제공하는 독립적이고 객관적인 합리적 보증 서비스이다.

감사는 수행 주체에 따라 크게 내부 감사와 외부 감사로 구분할 수 있다.

내부 감사(Internal Audit)

∙ 내부 감사인에 의한 업무(operation) 감사

∙ 주로 규정 준수 및 운영 성과에 관심을 둠

외부 감사(External Audit)

∙ 외부 감사인(CPA)에 의한 회계 감사

∙ 재무제표 작성의 적정성에 관심을 둠

IT 감사는 기본적으로 업무 감사(operational audit)의 성격이 강하다.

IT 감사는 흔히 회계/운영/부정적발감사 등과 함께 수행되지만 독립 과제로 수행되기도 한다.

(2) IT 감사의 유형

CISA 리뷰 매뉴얼에 근거할 때 IT 감사는 다음과 같이 구분할 수 있다.

• IT 조직 감사 - 전략, 전술, 운영 수준에서 IT 조직의 구조, 실무, 운영 등을 감사함

• IT 개발 및 구입 감사 - IT 응용의 개발/구입/유지보수, IT 기반구조의 구입 등을 감사함

• IT 전달 및 운영 감사 - IT 기반구조의 운영, 유지보수 등을 감사함

• IT 보안 감사 - IT 자산에 대한 물리적 및 논리적 보안을 감사함

(3) 중요성(Materiality)

중요성이란 전사적 관점에서 특정 사안이 가지는 상대적 심각성 또는 중대성이다.

중요성은 특정 정보가 조직의 기능 수행에 미치는 영향을 근거로 결정한다.

중요성에 대한 판단은 상대적이며 상황의존적이다.

어떤 조직에서는 중요한 오류/하자가 다른 조직에서는 사소한 것일 수 있다.

IT 감사인은 감사 환경을 고려하여 중요성에 관한 전문가적인 판단을 내려야 한다.

IT 감사인은 중요성에 관한 판단을 근거로 감사 자원과 시간을 차등적으로 할당해야 한다.

2) IT 감사인의 자격

(1) 독립성(Independence)

독립성이란 자기 지배 또는 이해 상충과 부당한 영향으로부터의 자유를 의미한다.

IT 감사는 외부 감사 또는 내부 감사의 일환으로 수행될 수 있다.

IT 감사인은 크게 보아 조직상의 독립성과 직무상의 독립성을 유지해야 한다.

조직상의 독립성

∙ IT 감사 기능은 피감사 조직/분야의 통제를 받아서는 안 됨

∙ IT 감사 기능이 피감사 조직/분야를 통제해서도 안 됨

직무상의 독립성

∙ IT 감사인은 외관, 태도, 접근성에 있어 독립성을 유지해야 함

∙ 외관: 타인의 주관적 판단을 볼 때 독립성이 손상되어서는 안 됨

∙ 태도: 감사 의견에 따라 성과 평가나 보수가 달라져서는 안 됨

∙ 접근성: 감사 대상 및 관련 정보에 자유롭게 접근할 수 있어야 함

(2) 감사위원회(Audit Committee)

IT 감사 부서가 조직 내부에 존재할 경우 내부 감사 부서에 준한 독립성을 갖추어야 한다.

내부 감사 부서는 주로 운영 감사를 수행하며 독립성을 위해 감사위원회의 보호를 받는다.

감사위원회는 이사회(BOD) 산하의 기구로서 주로 사외 이사로 구성한다.

감사위원회는 재무 보고/회계, 내부 통제 및 감사, 위험 관리, 준법, 외부 감사인을 감독한다.

내부 감사 부서의 관리자는 CEO와 CXO(CFO, COO, CTO 등)에 직접 보고한다.

 

(3) IT 감사 헌장(Audit Charter)

IT 감사 헌장이란 IT 감사 부서(또는 내부 감사 부서)의 권한, 범위, 책임을 기술한 문서이다.

작성한 문서는 감사 위원회의 최고 관리자로부터 서명을 받아야 한다.

(4) 감사 기능 내 직급 체계

감사 부서의 직급 체계는 크게 세 단계로 구분한다.

감사 부서장(Audit director)

∙ IT 감사 부서의 최고 책임자로서 감사 품질을 책임짐

∙ 모든 감사 프로그램, 조서 및 보고서를 검토하고 결제함

감사 팀장(Incharge)

∙ 실무적 책임을 가지고 특정한 IT 감사를 현장에서 수행함

∙ 감사 의견을 표명하며 감사 부서장과 함께 보고서에 서명함

감사 인력(Audit staff)

∙ 감사 팀장의 지휘 아래 현장에서 보조적 업무를 수행하는 직원

∙ 감사 의견을 표명하거나 보고서에 서명하지 않음

(5) 전문가로서의 정당한 주의와 판단(Professional due care & judgment)

IT 감사인은 해당 분야 종사자들이 일반적으로 나타내는 수준의 신중함을 나타내야 한다.

감사 목적을 달성하기 위해 어떠한 감사 절차를 수행해야 하는지 판단할 수 있어야 한다.

감사 절차 중에 수집/분석한 증거의 중요성 및 의미를 평가하고 판단할 수 있어야 한다.

이러한 주의와 판단은 특출한(extraordinary) 수준을 요구하는 것은 아니다.

IT 감사는 정당한 주의 나타내더라도, 모든 오류와 누락 및 부정을 적발하지는 못한다.

중요한 오류/누락/부정만 적발하는 것이며 중요한 위험 실증에 대한 합리적 보증만을 제공한다.

(6) 적격성(Competence)

IT 감사인은 배정된 업무를 수행할 수 있는 전문적 지식, 능력, 경험이 있어야 한다.

모든 팀원들이 해당 업무와 관련한 지식, 능력, 경험을 똑같이 갖추어야 하는 것은 아니다.

하나의 팀으로서 복합적으로 보았을 때 요구되는 수준의 적격성을 갖추면 된다.

특정 시점

∙ IT 감사인은 적격성을 갖추지 못한 업무를 수행해서는 안 됨

∙ 이 경우 해당 업무 수행을 거절하거나 다른 전문가를 활용해야 함

특정 기간

∙ 당장은 적격성이 없는 업무라도 직무 교육을 받고 수행할 수 있음

∙ 업무 착수 시까지 적격성을 갖출 수 있다면 업무를 수락할 수 있음

3) IT 감사 자원 배분

(1) 지속적 위험 분석

IT 감사 기능의 책임자는 한정된 감사 자원을 전략적이고 효율적으로 활용해야 한다.

이를 위해 주기적으로 위험을 평가하여 연간 감사 우선 순위와 연간 감사 계획을 결정한다.

연간 감사 계획에는 위험 수준이 높은 부서, 자산, 업무가 반드시 포함되어야 한다.

경제, 산업, 법규, 사회 등 조직의 환경 변화를 적절히 반영하여야 한다.

(참고) 전체 감사 영역(Audit universe)

전체 감사 영역이란 감사 대상이 될 여지가 있는 영역을 빠짐 없이 열거한 목록이다.

IT 감사 기능의 책임자는 매년 전체 감사 영역에 대한 위험 평가를 해야 한다.

그런 다음 각 영역의 위험 수준과 감사 우선 순위를 결정해야 한다.

(2) CSA(Control Self Assessment)

∙ 경영진 및 실무자들이 스스로 내부 통제의 효과성을 평가하고 감시하는 데 참여한다.

∙ 내부 IT 감사인은 CSA 과정을 주도하지 않으며 촉진자(facilitator) 또는 참관자 역할만 한다.

∙ CSA는 경영진 및 실무자들의 주인 정신을 향상하며 감사 영역 선정 근거를 더 잘 수용한다.

∙ CSA 수행 결과 발견된 내부 통제의 취약점은 연간 감사 계획에 반영한다.

(3) 감사 계획 수립 시 법규의 고려

IS/IT 관련 법규가 강화되고 증가하면서 준법 위험(compliance risk)이 증가하고 있다.

따라서 연간 및 개별 감사 계획을 수립할 때는 관련 법규를 잘 파악해야 한다.

그런 다음 해당 법규가 감사 대상 영역과 감사 절차에 반영되는지 확인해야 한다.

(4) 연간 감사 계획(Annual audit plan)과 지속적 직무 교육

연간 위험 분석에 근거한 연간 감사 계획은 IT 감사 부서의 업무 계획에 중요한 기준이 된다.

IT 감사 기능의 책임자는 연감 감사 계획에 의거하여 IT 감사 인력을 배정한다

IT 감사 부서장은 연간 계획에 근거하여 직원들이 필요한 지속적 직무 교육을 받게 한다.

추후 위험평가 결과에 영향을 미치는 중요한 변화가 생기면 이를 반영해야 한다.