2. 관리 - 관리 : 연속적인향상의과정이고변화해야함 (* Henri Fayol 의정의 ) 1) 관리프로세스 - 관리프로세스는조직의비즈니스에대한이해로시작 -> 이것이달성될때까지, 조직의필요를결정하려는시도는기껏해야오도될것이고최악의경우 재난이될것임 -> 일단비즈니스에대한전체적목표와환경이설정되면, 필요를설정하는것은비교적쉬운업무가됨 -> 조직의필요는효과적인성과가조직을만들거나해체할수있는핵심활동들을확인하고검토함으로써결정될것임 ( 핵심성과영역 ; Key Performance Areas; KPA) -> 이러한주요활동들은자체로모니터링되어야하고그러므로야심찬성과목표는계획프로세스에서초기에설정되어야함 ( 핵심성과지표 ; Key Performance Indicator; KPI-> 측정 ) -> 충족된다면효과성을줄이거나전체적으로목표를부정할일정범위의위협에모든성과목표는직면 -> 적합한기업의대처전략을결정하기위해공식적인위험평가로평가되어야함 -> 대처하거나통제하는전략은관리진에의해결정되어야하고적합한통제자체가선택되어야함 -> 실제의통제는실행되고모니터링되어야하고, 이것이발생한다고보장하는통제가거기에존재해야함, 일단실행되면통제는성과에서유효해야하고주기적으로관리진은성과를평가하고검토해야함 3.1 2010 by Prentice Hall
2. 중역경영진의책임과기업거버넌스 - 기업거버넌스 : 회사의방향과성과를결정하는데다양한참여자들사이에관계로정의됨 -> 주주, 경영진, 이사회, 종업원들을포함 -> 이정의하에, 기업의목표는사회적구조에서인간만족의달성을포함하는것으로추가정의됨 -> 효율성, 효과성, 유연성, 연속성이기업의목표를충족하는중요한부분을구성 - 관리 ( 경영 ) : 자본 ( 소유자와주주들 ) 과자본의이용자들 ( 운영이나기능적관리층 ) 사이에연계가됨 -> 재무적이고운영적인목표의검토와승인은대개중역들에의해수행 -> 중역 : 일반관리진에조언을제공하고, 이사회후보를추천하고, 내부통제의적합성에대한검토를제공 3.2 2010 by Prentice Hall
4. 감사역할 - 감사형태 -> 내부감사 : 내부통제에대한관리시스템의충분성과효과성을검토 -> 외부감사 : 감사된실체의재무적계정의표현에대한공정성을보장 -> 공공부문감사 : 서비스제공을보장하기위해관리프로세스의효과성과효율성을보장 -> IS 감사 : 그밖의영역의어떤것에활용 - 감사프로세스 : 통제전략평가, 통제충분성과효과성, 성과품질평가, 단위성과보고, 후속조치를활용 -> 전체적인감사성과에대한표준은대개 ISACA 기준에서설정된 ( 전문적인 ) 수준까지를의미 1) 개념적기반 : 구조화된리스크분석을실행함으로써제공됨 - 포함사항 : 잘못된감사의견을표현하는위험에대한평가를포함함 2) IS 감사기능내전문주의 - IS 감사책임 : 일반적으로받아들여진감사기준 (GAAS) 과적합하도록위험기반 IS 감사전략과목표의개발과실행을포함함 - IS 감사는특정한감사의계획을포함함 - IS 감사중요기능은주요관리자와이해관계자에게감사결과를소통하는것 - IS 감사라는전문주의 : ISACA 전문가윤리강령과 IS 감사기준양자의준수에의해입증됨 3.3 2010 by Prentice Hall
4. 감사역할 3) 외부감사자와내부 IS 감사의관계 - 외부감사자 : 조직과이해관계자모두에게주로책임을짐, 재무적문제에대한보고에법령상의 책임을가짐 - 내부감사자 : 그러한법령의책임을성취하는데주요한역할을담당함, 그런경우에, IS 감사가내부감사기능의주요한부분인반면에, 그것은또한독립적인외부감사자의일의실행내에통합된기능으로인식되어야함 4) 다른조직감사활동과 IS 감사의관계 - IS 감사와다른조직감사활동사이관계의이해는 IS 감사의본질을완전히이해하기위해필요 - IS 감사자는외부컨설턴트의역할을하거나내부역할을하지만, IS 감사기능에대해독립적인 IS 감사기능의주요한부분으로인식될수있음 - 전체적으로, 감사기능의역할과책임은전형적으로감사헌장 (audit charter) 에서찾을수있음 3.4 2010 by Prentice Hall
5. 감사헌장 - 헌장 : 개별헌장이설계되는조직을위한고유한욕구를충족시키기위해수정되더라도공통적인접근경향이있음 - 최고중역, IS 감사의수장, 라인관리자들사이에존재해야하는관계와책임을정의하기위해, 중역이헌장의기안에밀접한관심을가지는것이상당히바람직한것으로인식됨 -> 많은감사기능들이독자적헌장을작성하고최고중역과감사위원회로부터재가를구함 -> 최고경영진에게그조직내내부통제의신뢰성과품질에관한보증의수준에대한측정을제공함, 그것은또한감사기능의구조, 계획, 보고서가검토될때참조의지점으로작용함 - 조직의운영관리자들 : 컴퓨터와매뉴얼시스템에대한내부통제에대한시스템각각을 검토할때, 감사기능에위임된것으로작용하는권한의수준을헌장이지정함 -> 그들은그문서의본체내제약사항을알기를기대할것이고, 제약사항은의사결정자로서그들자신의권리 (rights) 를보유하게됨 헌장내용 - 헌장의형태, 내용, 문구는대개감사기능자체에의해선택됨 -> 전형적으로 IS 감사기준 (standard) 에의해영향받을것이고적합한전문적몸체에의해정의되는것처럼, 최고모범사례 ( 전문적 best practice) 를촉진해야함 -> 독립적인발행물또는공식적으로구성된 IS 감사기능의경우에는 IS 감사헌장의부분이될수있음 - 문서는대개최고중역과감사위원회의장양자에의해서명됨, 문서자체는전형적으로다음과같이구성됨 (1 조직내에 IS 감사의공식적정의와그것의주요한목표, 2 사람, 소유권, 자산, 기록물에접근권한뿐만아니라보고의라인을포함하는 IS 감사의수장이행하는권한 3 IS 감사의역할과작동하는목표를상세한수준으로기술하는참조의조항 ) 3.5 2010 by Prentice Hall
6. IS 감사활동의아웃소싱 - 많은조직들은 IS 감사기능을아웃소싱하도록결정 -> 어떤경우에, 이결정은내부감사기능안에전문기술의부족때문에이루어짐 -> 또다른경우에 IS 감사기능을최신으로유효하도록유지하는데필요한기술과규율을내부적으로조직이유지하는것이비용효과적이지않음 - 기능이아웃소싱된모든경우에, 기능의통제가전문적인수준으로유지되고있다는보장을경영진은요구함 -> 이것을달성하는방법 : 마치그기능이전문적인관행을위해국제적으로받아 들여진기준과순응하는내부적이었던것과동일함 -> 그런기준과준거성을보장하는것은감사위원회역할의부분이고, IS 감사기능상에수행되도록하기위해대개품질보증검토의위임에의해이루어짐 3.6 2010 by Prentice Hall
7. 규제, 통제, 표준 - 점차적으로, IT 서비스의인가와감사는충분한보안과통제가존재함을보장하기위해내부나제 3 자에의해제공되어야만함 - 충분성 (adequacy) 을결정하는데이용될수있는몇가지평가방법 -> COBIT(Control Objectives for Information and Related Technology) 5.0 -> ISO 27002 -> ITIL(IT Infrastructure Library) -> COSO 내부통제 - 통합된프레임워크와 COSO 전사적위험관리 - 통합된프레임워크 -> 기타이와같은표준들을이용하는 ITSEC(Information Technology Security Evaluation Criteria; 정보기술보안평가기준 ), TCSEC(Trusted Computer System Evaluation Criteria; 신뢰된컴퓨터시스템평가기준 ), ISO 9000 평가를포함 (* p. 73 각주참고 ) 3.7 2010 by Prentice Hall
정보시스템감사프로세스 7 장. 정보시스템위험과기본적감사개념 - 중대성 (materiality) 개념 : 계약중대성 - 증거의품질과종류 - 증거를찾는데포함된위험 - 사기적발과예방을위한감사자의책임 3.8 2010 by Prentice Hall
1. 컴퓨터위험과노출 - ' 통제 : 조직의목표성취에서함께합쳐지고사람들을지원하는어떤조직의 ( 조직의자원, 시스템, 프로세스, 문화, 구조와과업을포함하는 ) 모든요소들을포함 -> 통제는그조직이목표를신뢰성있게달성할것이라는합리적인보증을제공하는정도 에따라 ' 유효하다 -> 리더십은불확실성에직면하여선택하는것을포함 -> ' 위험 ' 은한 ( 명 ) 또는그이상의사람들이나조직들이그와같은선택으로부터역의결과를경험할가능성, 위험은기회의거울이미지 -> 모든실체 (entities) 는크기, 구조, 본질, 또는산업에상관없이위험과직면 -> 모든비즈니스결정들은금융, 상품라인이나원천 (source), 공급의방법과같은요소를포함하는위험요소를가지고있음 -> 모든사업, 상품, 프로세스는어느정도의위험을포함 - 위험관리 : 다음에의해상품, 프로세스, 또는사업을평가하는것을포함함 -> 프로세스를확인함, 각프로세스와연관된위험의형태를확인함, 각프로세스와관련된통제를확인함, 위험을완화할때통제에대한시스템의충분성 (adequacy) 을평가함, 각프로세스와연관된주요통제들을결정함, 주요통제들의효과성을결정함 - 세가지위험형태가위험기반감사접근법을이용할때대개고려됨 -> 고유위험 (inherent risk), 통제위험 (control risk), 감사위험 (audit risk) 3.9 2010 by Prentice Hall
1. 컴퓨터위험과노출 1 고유위험 - 어떤위험을줄이는요소들을고려하기전에발생하는중대한상실의가능성 - 감사대상영역에통제가전혀없다고가정할때, 중대한오류가존재할확률을의미 - 고유위험을평가할때, 감사자는무슨요소들이어떤위험이존재한다고가리키는것뿐만아니라위험의형태와본질이무엇인지를고려해야함 -> 이것을달성하기위해감사자는실체가운영하는환경과친숙해야만함 2 통제위험 - 고유위험을제한하거나관리하도록설정된통제프로세스들이유효하지않을가능성을측정함 -> 즉, 감사대상조직의 ( 내부 ) 통제가감사대상영역에발생된오류나부정을적시에발견하여수정하지못할가능성을의미 - 내부감사가통제들을타당하게평가하는것을보장하기위해, 감사자는어떤통제들이유효한지를측정하는방법을이해해야함 -> 비즈니스내에위험을최소화하기위해보증의가장최대정도를제공하는통제를확인하는것을포함할것임 - 통제유효성 : 과업의품질과통제감독에의해상당히영향받게됨 - 사업운영에서통제 : 고유위험에대한방어의주요라인을제공함 - 일반적으로, 감사자는더강력한통제들이위험의양을줄인다고가정할것임 But, 어느지점에서고객만족뿐만아니라금전적 / 스태프인력자원양자의견지에서통제비용이제한되게될것임 3.10 2010 by Prentice Hall
1. 컴퓨터위험과노출 3 감사위험 - 감사커버리지가중대한비즈니스노출을해결하지못하게될위험 -> 즉, 감사인이감사대상영역에중대한오류가존재함에도불구하고적정감사보고서를발행함으로써발생하는위험을의미 - 감사수행시감사인은목표감사위험을설정해야함 - 형식상의감사프로그램은감사위험을줄이기위해개발될것임, 이것은주요한통제들이위험을해결하기위해존재해야되는것과관련가이드를제공하고, 수행되는추천된준거성 (compliance) 과실질적인테스트단계들을제공함 -> 이러한프로그램들은주의해서이용되고현행비즈니스위험프로파일을반영하도록수정되어야함 * 우리나라의정보시스템감리기준에서 IS 감사수행후검토의견총평 -> 적정, 보통, 미흡, 부적정중하나를제시함 3.11 2010 by Prentice Hall