[CISA 이론 정리 - 1장] 7. 위험 기반 감사 접근법

1) 감사 위험(Audit risk) 관리

(1) 감사 위험의 의의

감사 위험이란 중요한 오류나 부정을 발견하지 못하여 부적절한 보증 의견을 표명할 위험이다.

따라서 감사 위험은 보증 오류 중 주로 2종 오류이다.

다음과 같은 감사 위험 모형이 감사 위험 관리에 도움을 준다.

감사위험 = 고유위험 × 통제위험 × 탐지위험

(2) 감사 위험의 구성

고유 위험(Inherent risk)

∙ IT 프로세스가 IT 프로세스의 목적을 달성하지 못할 위험

∙ 보완 통제가 없을 때 중요한 오류가 존재할 가능성

∙ 업무 특성, 자산 구성, 외부 환경 요인 등에 의존함

∙ 감사인은 장기적으로는 물론 단기적으로도 통제할 수 없음

∙ 분석적 기법, 기업/산업 동향 분석, 관련 문서 검토 등으로 평가함

통제 위험(Control risk)

∙ IT 통제 절차가 IT 통제 목적을 달성하지 못할 위험

∙ 효과적인 통제 절차가 없다면 통제 위험이 매우 높다고 평가함

∙ 효과적인 통제 규정이 있더라도 이를 위반하면 통제 위험이 높아짐

∙ 단기에는 영향을 줄 수 없지만 권고를 통해 장기적으로 개선 가능함

∙ 통제 평가(예비 감사) 및 준거성 테스트 절차를 통해 평가함

적발 위험(Detection risk)

∙ IT 감사 절차가 IT 감사 목적을 달성하지 못할 위험

∙ 감사인이 감사 절차를 통해 중요한 오류를 탐지하지 못할 위험

∙ 감사인의 적격성 부족, 감사 절차의 한계, 샘플링 오류 등에 기인함

∙ 입증 테스트 노력의 정도에 따라 높아지고 낮아짐

∙ 고유 위험 및 통제 위험이 낮으면 입증 노력을 완화할 수 있음

(3) 용인 가능 감사 위험(AARL: Acceptable Audit Risk Level)

용인 가능 감사 위험 수준이란 감사 과제의 중요성에 비추어 감내할 수 있는 위험 수준이다.

IT 감사인은 감사 위험을 AARL에 맞추어 유지하기 위한 적절한 주의를 기울여야 한다.

IT 감사인이 변화시킬 수 있는 것은 입증 테스트의 범위, 성격, 시점을 조정하는 것이다.

2) 위험 기반 감사 절차

(1) 적발 위험의 조정

IT 감사인이 단기적으로 영향을 줄 수 있는 위험은 적발 위험뿐이다.

따라서 고유 위험과 통제 위험의 수준에 따라 적발 위험을 조절하여 감사 위험을 관리한다.

일반적으로 적발 위험은 입증 노력을 더 많이 기울일수록 낮아진다.

 

(2) 감사 위험을 고려한 기본 감사 절차

일반적인 감사 절차는 다음과 같이 감사 위험을 염두에 두고 진행하게 된다.

 

 

(3) 감사 단계별 수행 활동 및 관련 문서