[CISA 이론 정리 - 3장] 11 응용 통제 감사 절차

1. 응용 시스템 이해

• 먼저 응용 시스템의 구성을 파악하고 중점적으로 검토할 영역과 감사 방법을 결정해야 한다.

• 이를 위해 다음과 같은 항목들을 고려하여 응용 시스템과 관련한 위험 평가를 수행한다.

☞ 경영진의 주된 관심사, 관련된 업무 프로세스의 중요성과 복잡성

☞ 처리하는 거래의 빈도/규모/민감성, 규제 및 감독 기관의 영향력

☞ 응용 시스템에 대한 사용자들의 태도, 이전 감사의 발견 사항 및 경과 기간 등

• 상기의 이해 및 위험 평가 결과에 근거하여 IS 감사 인력을 구성하고 필요한 기법을 선정한다.

2. 통제 식별 및 평가

• IS 감사 팀은 감사 대상 응용 시스템의 구성과 거래 처리 흐름을 상세히 파악한다.

• 다음과 같은 문서를 검토하여 응용 시스템에 내장된 응용 통제 절차를 파악한다.

☞ 거래 흐름도, 기능 설계 명세서, 사용자 매뉴얼, 기술적 참조 문서, 주요 변경 사항 등

• 필요하다면 내장된 보안 통제 절차의 효과성도 판단해 봅니다.

• 업무 매뉴얼을 검토하여 직무 분리가 적절한지도 평가한다.

☞ 사용 권한 부여 및 거래 승인/검토/보고 등을 검토한다.

• 설계된 응용 통제 및 보안 절차가 실제로 구현되었으며 효과적으로 작동하는지도 확인한다.

• 유효한 및 유효하지 않은 테스트 거래들을 처리해 보면서 편집과 확인 기능을 확인한다.

• 필요하다면 거래를 직접 처리해 보고 응용 통제가 효과적으로 작동하는지도 확인한다.

• 응용 통제가 심각하게 부실하다면 통제 테스트를 생략하고 데이터 무결성 테스트에 집중한다.

• 응용 통제가 부실하게 설계되었을 수록 더 많은 거래 데이터를 더 철저히 테스트해야 한다.

3. 통제 테스트 

• 응용 통제가 적절하게 설계되었다면 통제 테스트를 수행한다.

• 접근 권한 테이블을 검토하여 접근 권한이 부적절하게 부여된 사례가 있는지 시험한다.

• 각종 감사 로그를 검토하여 실패한 접근 및 승인 받지 활동들을 검토한다.

• 거래 승인, 입력 승인, 처리 결과 검토 등과 관련한 직무 규정 위반 사례를 찾아본다.

• 주기적인 경영진 검토 및 발견된 예외 사항에 대한 시기적절한 처리가 이루어지는지 확인한다.

• 표본 조사를 통해 산출한 위반율을 근거로 전체적인 통제 위반율을 추정한다.

• 이 비율이 높을수록 데이터 무결성 테스트의 범위와 정도가 커진다.

4. 실증 테스트

• 실제 처리한 거래들 전체 또는 일부를 상세하게 테스트한다.

• 먼저 거래 잔액이 정확하고 완전하며, 다른 거래 데이터와 논리적 일관성을 이루는지 평가한다.

• 필요하다면 특정 거래는 거래 처리 과정도 상세하게 추적하여 조사한다.

• 데이터 무결성은 크게 레코드 단위와 파일 단위에서 검토할 수 있다.

• 먼저 레코드 내 포함된 데이터 필드들이 도메인 무결성 조건에 부합하는지 파악한다.

• 그런 다음 참조 관계에 있는 레코드들 간 참조 무결성이 유지되는지도 검토한다.

예) 인사 레코드와 급여 레코드 간 주 키와 외래 키가 서로 일치하지 않는 경우