[CISA 이론 정리 - 1장] 6. 감사 목적, 절차, 증거 (1/2)

1) 감사 목적과 절차

(1) 감사 목적

감사 목적은 통제 및 위험 관리 절차가 목적을 달성하고 있음을 합리적으로 보증하는 것이다.

내부 통제의 중요한 오류와 부정을 예방/적발/교정할 책임은 경영진에게 있다.

중요한 오류와 부정이 존재하지 않는다는 합리적 보증 책임은 감사인에게 있다.

감사 목적은 입증하려는 사안의 수준에 따라 상위, 중위, 하위 수준으로 구분할 수 있다.

(2) 감사 절차(Audit procedures)

감사 절차는 감사 목적을 달성하기 위해 적용하는 모든 활동, 기법, 수단 등의 결합체이다.

감사인은 감사 목적을 달성할 수 있는 적격한 감사 절차를 설계, 선택, 수행할 수 있어야 한다.

감사 절차 또는 절차 수행 결과는 다음의 문서에 기록된다.

감사 프로그램

∙ 일종의 감사 계획서로서 현장(field) 감사 절차를 기술함

∙ 표준 감사 프로그램을 조정하여 사용하면 많은 장점이 있음

감사 조서(work paper)

∙ 수행한 모든 감사 절차, 발견 사항, 중간 의견 등을 정리함

∙ 소속 조직의 자산이지만 IT 감사 부서에 보관과 관리가 위임됨

※ 상기 문서는 추후 감사 품질 검토에 사용될 수 있으므로 신중하게 문서화 및 보관해야 한다.

(3) 감사 의견(opinion) 및 권고 사항(recommendation)

감사 의견은 IT 감사인이 감사 절차를 모두 마치고 최종 표명하는 보증 여부에 관한 견해이다.

감사 의견은 최대한 객관적이어야 하지만, 일정 부분 주관성을 가질 수 밖에 없다.

회계 감사와는 달리 IT 감사는 정형화된 감사 의견이 없으므로 필요에 맞게 의견을 표명한다.

IT 감사인은 IT 통제를 개선할 수 있는 방안을 권고할 수도 있으나 의무는 아니다.

(4) 감사 보고서

IT 감사 보고서에는 감사 의견과 제반 근거가 포함되어 있어야 한다.

총평 또는 전체적 의견을 먼저 제시하고 그 다음으로 분야별 상세 의견을 기술하는 것이 좋다.

감사 보고서는 초안을 피감사 부서의 장에게 미리 전달하고 검토 의견도 반영하여 완성한다.