[CISA 이론 정리 - 1장] 6. 감사 목적, 절차, 증거 (2/2)

2) 감사 증거

(1) 존재 형식에 따른 구분

감사 절차는 사실상 감사 의견을 형성하는 데 필요한 증거를 수집하는 과정이다.

물리적(Physical) 증거

∙ 특정 대상의 존재함을 객관적으로 증명하는 증거

∙ 감사인이 직접 관찰했거나 입회하여 확인한 것일 수 있음

∙ 사진/비디오 촬영, 샘플확보, 매체확보 등을 통해 수집함

∙ 예) 현장 사진, 매체 파괴를 녹화한 비디오, 저장 매체 재고 확인

문서적(Documentary) 증거

∙ 특정 업무 또는 거래 활동에 관한 정보를 담고 있는 영구적 기록

∙ 하드 카피 형태에 국한되지 않음

∙ 하드 또는 소프트 카피 형태의 사본이나 원본을 확보하여 수집함

∙ 예) 변경요청문서, 수표사본, 청구서, 거래 로그, 접근 로그

진술적(Testimonial) 증거

∙ 피감사인 등이 서면이나 구두로 제출한 설명, 주장, 답변

∙ 구두로는 물론 서면(글이나 그림)으로 진술할 수도 있음

∙ 녹화, 녹음, 녹취, 서면 제출 등의 형식으로 수집함

∙ 예) 녹취록, 답변서, 조직도, 직무기술서, 시스템 흐름도, 회의록

분석적(Analytic) 증거

∙ 감사인이 데이터 항목간 상호 관계를 고찰하여 알게 된 사실

∙ 특정한 상관 관계가 존재하거나 부재하다는 것을 발견할 수 있음

∙ 일반적으로 존재하는 상호 관계와의 비교를 통해 수집함

∙ 예) 공수 대비 비용, 벤치마킹 결과, 사용자 만족도 추이 변화

(2) 감사 의견의 형성 능력에 따른 구분

직접 증거는 객관적인 감사 의견의 형성 능력이 크지만 간접 증거도 의견 형성에 도움이 된다.

직접 증거

∙ 별도의 추론이나 판단 없이 감사 의견을 형성할 수 있는 증거

∙ 상당수의 물리적 증거나 문서적 증거는 직접적 증거인 경우가 많음

∙ 예) CCTV에 기록된 범죄 행위, 승인 받은 변경 요청서의 존재

간접 증거

∙ 추론이나 판단에 근거하며 잠정적 의견만 형성하는 증거

∙ 대부분의 분석적 증거는 간접적 증거인 경우가 많음

∙ 예) 사용자 만족도의 저하, 투입 인력 감소에도 높아진 인건비

(3) 질적 요건

관련성(Relevance)

∙ 감사 증거가 감사 목적과 논리적으로 관련 있음

∙ 따라서 발견 사항이나 결론을 뒷받침할 수 있음

∙ 관련성 없는 증거를 위해 불필요한 자원과 시간을 투입해서는 안 됨

신뢰성(Reliability)

∙ 감사 증거가 확인되고, 사실에 근거하며, 객관적이고, 뒷받침됨

∙ 다음과 같은 조건을 만족할수록 증거의 신뢰성이 높아짐

☞ (원천) 조직 내부보다는 외부에서 입수된 증거

☞ (객관성) 내용이 분명하여 판단이나 해석이 불필요한 증거

☞ (제공자) 전문성/중립성/권위가 있는 제공자로부터 받은 증거

☞ (수집 시점) 관련 행위의 발생 시기와 근접한 시기에 수집한 증거

유용성(Usefulness)

∙ 감사 증거는 감사 목적 달성에 기여해야 함

∙ 감사 목적에 기여하지 않는 증거는 수집할 가치가 없을 것임

(4) 양적 요건

충분성(Sufficiency)

∙ 감사 증거가 양적으로 완전하고 적합하고 설득력이 있음

∙ 따라서 적절한 조심성/판단력을 갖춘 전문가라면 같은 결론에 이름

∙ IT 감사인은 증거가 충분한지 전문가적 판단을 해야 함

(5) 법적 고려 사항

합법적 수집

∙ 증거는 합법적인 방법으로만 수집해야 하며 위법성이 없어야 함

∙ 불법 수집 증거를 법적 소송에 사용하면 법정에서 기각될 수 있음

∙ 소송에 사용될 수 있는 증거는 수집 전에 법률 자문을 받도록 함

∙ 예) 강압, 감금, 협박, 무단 침입, 불법 도청, 자산 훼손 등

법원 제출

∙ 감사인이 수집한 증거는 종종 법적 증거로 사용될 수 있음

∙ 법원에 제출하는 증거가 불필요하게 민감한 내용을 포함해선 안 됨

∙ 감사 증거를 법원에 제출할 경우 경영진의 사전 승인을 받아야 함

∙ 조직이 법률 자문을 받은 내용 등은 제출 의무에서 면제되기도 함