3.1 © 2010 by Prentice Hall

정보시스템감사프로세스

14장. 감사보고후속조치정보시스템감사프로세스

14장. 감사보고후속조치

시스템감리론

1. 감사보고

2. 후속조치보고

3.2 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

- 감사보고와후속조치보고를다룸-> 감사보고서의형태와내용이설명되고, 다양한형태의의견에대해예정된수령자에게바람직한효과를위해지정되듯, 보고의목적, 구조, 내용, 스타일이고려됨

-> 권고사항을실행하기위해경영진의조치를결정하기위해후속조치를살펴봄

1. 감사 보고- 궁극적으로, 감사의가치는감사의결과로발생된비즈니스환경의향상에있음

-> 어떤향상도일어나지않는곳에서그런감사는시간과자원의낭비가될것임-> 유효한조치를하도록권한있고위임받은개인들이, 조치의일부형태가통제환경을향상시키기에적합하다고납득되는곳에서만향상이일어날것임

- 다양한개인들은다양한목적을위해감사보고서를이용함

-> 중역경영진 : 전형적으로주어진비즈니스영역내에서내부통제의전체상태에통찰력을얻고,

전체조직을위해감사보고서를이용할것임-> 운영관리자 : 감사보고서를특정성과와통제목표를달성할때특정의통제의정확성과효과성을

결정하기위해사용함-> 다른기관들 : 특정한운영의내부작동과비즈니스영역의산출물에부여될수있는신뢰의정도에

대해통찰력을얻기위해감사보고서를사용함-> 감사자 : 감사보고서를이용하여전체발견사항에대하여, 취해진조치를위한권고사항과함께

커뮤니케이션함- 보고서는유효한조치를취할위치에있거나교정적인조치가취해지도록보장하기위해개인들에게보내짐 -> 조직내최고의사결정자 : 보고서의복제본이나보고서의요약본을받음

- 감사의 결과 : 대개서면으로보고뿐만아니라임시보고서의형태와종료(closing) 컨퍼런스의형태로구두로보고됨

3.3 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

1) 임시 보고

- 감사가진행중인동안준비되고발표된보고

- 전형적으로확장된감사상의보고진전이나혹은즉시관심을보증하는발견사항에대해피감사인에게고지하는데사용됨

- 비록서면메모형태보고가발견물전달의유용한증명이될수있어도, 임시보고는서면이나구두가될수있음

- 주요한 이점 : 더높아진즉각적인조치가능성을가지도록피감사인에게시의적절한피드백을제공

-> 이것은결국적합한조치가취해지면더우호적인최종보고를가져올수있음, 임시보고는감사자체동안후속조치기회를유효하게제공함

2) 종료 컨퍼런스

- 최종감사보고가발표되기 전에, 종료컨퍼런스가일반적으로행해짐

-> 이것은감사목표와발견사항의전체검토를가능하게하고, 보고서발행이전에오해나빠진사항을검토하는최종의기회가됨

-> 이것은공정하고균형잡힌발표를보장하고피감사인이의견을표현하도록허용함

-> 감사가클라이언트의관점에서다루어졌다는중간피드백을감사자에게줌

3.4 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

3) 서면 보고서- 최소한의서면보고가감사의종료시에산출되어야함

- 보고서 : 대개정확하고, 객관적이고, 간결·명확하며, 완전하고, 건설적이고, 시의적절해야함

- 서면보고서 : 감사목적, 범위, 결과, 감사자의의견, 잠재적인개선을위한권고사항, 만족스러운성과에대한인정, 피감사인의감사자의견과권고사항에대한응답을포함해야함

- 발행된감사보고서는전체 IS 감사기능에대한역량과전문적이미지의반영이기때문에, 그것은발행이전에책임있는감사자에의해검토되고승인되어야함

- 많은관리자의경우감사보고서는 IS 감사가책임을완전히이행했다는것을목격하게될유일한입증임-> 이런인상은보고서의기술적역량뿐만아니라보고서서술의논조(tone), 스타일의명확성에기반이두어질것임

-> 보고서는분명하고, 모호하지않은방법으로감사자의메시지를소통시켜야함

4) 기록 기법

- 감사소통의목표가알리고, 설득하고, 영향을주는것이라는것을고려할때, 보고서의저자는가능한한효과적으로메시지를도달시키기위해분명한기록기법을활용해야함

- 일상적인, 인간적인소통의방법 : 소통의다른공식적방법에비해더욱더유지되게하는경향이있는대화적스타일을이용함

-> 인간의매일의대화는무엇이든진술, 질문, 대답의형태를취함

- 서면소통 : 감사자는읽는사람의마음에서서면진술이일으키는질문에대답할수없음-> 그런경우에, 서면소통은제기된문제를기대하고, 보고서내에질문에대한답을포함해야함

3.5 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

4) 기록 기법(계속)

- 설득적이기위해요점이전달되는것이보장되고, 감사보고서의수령인에적대적인것을피하도록함- 개선은실행된권고사항의결과로발생하고, 권고사항은책임있는사람이감사보고서에부정적으로반응한다면쉽게실행되지않을것

- 통제결함이보고되는곳에서, 개인적참조를피하기위해주의가이루어져야하고, 감사보고서는개인보다는오히려뒤떨어지는관행(practices)을비판해야한다.

- 감사자의목적 : 적합한조치가취해지는것을보장하고, 조치는먼저보고서가읽혀지는것을요구함

-> 더많은단어들이있을수록그보고서는설득적이지못할것이라는대략적인경험칙이있음-> 매우빈약한내용을가진과다한두꺼운보고서에관리자가직면할때, 가장가능한시나리오는보고서가쓰레기통으로들어가거나책상한곳에두어질것이라는점

-> 간단하고높은영향의보고서를쓰는것은길고두서없는에세이를쓰는것보다훨씬더어려움-> 요구된결과를얻기위해, 감사보고서는마음에영향력을품고서작성되어야함

-> 문장 : 하나의기본적아이디어를가지고간단하며, 적절한단어수를유지해야함-> 긴문장은모호하고, 재미없고지루한경향이있음

-> 감사자가한문장내모든단어수를계산하고긴문장들을인공적으로두개로나누라는것을의미하지않음-> 일반적으로, 활발한목소리동사가문장을더가독성있게함, 대개그런것들이더짧고, 살아있고, 대화적이기때문

-> 수동형동사 : 재미없고, 불명확하고덜감정적인경향이있음-> 그것은또한서술스타일에서지나치게공식적인느낌을줌

-> 일부감사보고서는그보고서의공정하고비사인적본질을강조하기위해대단히공식적이고구조화되도록공들여작성되는데, 그런환경에서수동형동사는상당히적합한것이될수있음

-> 이것의예) 사기(fraud) 감사보고서인데, 표현된의견이수집된증거에기초하고개인적의견이아닌전문가적판단이라는것을보여주도록정교한노력이요구됨

3.6 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

4) 기록 기법(계속)

- 저자는의도된메시지가전달되도록하기위해분명하고친숙한단어들을사용해야함

- 더적은단어가더영향을가질수있지만, 감사자는간단함을위해분명함을결코희생하지않아야함-> 다섯단어가모호하게되기보다는오히려 10개단어가특정적이라는 것을요한다면 10개단어를선택해야함

- 일부감사보고서는너무비밀스러워독자가감사자의의미를추측해야함-> 특히 IS 감사는다양한배경의보고서수령자를포함, 컴퓨팅전문용어를이해하거나하지못하는수령자포함

-> 가능한전문용어가회피되어야하지만피할수없는곳-> 비기술적인(technical) 것으로설명되어야함-> 소통의책임 : 독자가아니라감사자에게있음

- 흰여백과표제의사용 : 긴섹션들의단조로움을해소할수있고특정한정보의위치찾기촉진가능-> 보고서를탐색하며관심있는키워드를찾고속독하는것은실제로문제가되지않을수있음-> 독자가어떤부분만을제외하고완전한보고서를읽을필요가없는곳에서, 감사자가그와같은부분들로직접주의를끌수있다면유용함 -> 실질적으로읽기프로세스에속도를붙일수있고만약

그렇지않으면무시될수있는보고서의부분이읽혀지도록유도할수있음

- 일부감사자는보고서가작성된다는것은모든독자들이완전히읽어야한다고느낌-> 택일적대안 : 그보고서가전혀읽혀지지않을수있다는것

- 문장을간단히하는것과같은방법으로, 문단을 간결하게 하는것 : 보고서를더욱독자친화적으로만듦가능

- 보고서의가독성보장지원의다른기법 : 강조, 여백, 큰점(장/절단락명시용), 그래픽, 색깔의사용을포함 + 동시에이런기법들은보고서를부풀리게하거나지나치게기묘하게보이게만드는데활용되지

않아야함

-> 보고서의 목표 : 예술작품을창조하도록감사자의능력을돋보이게하는것이아닌소통/설득하는것

3.7 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

5) 작성 준비

- 감사의시작부터감사자는이미보고서의그림을마음속에가지게될것

- 범위와목표가승인되는때에, 기대된청중이알려지고순차적으로모든감사작업이마음속에감사보고서와함께수행되어야함-> 감사의실제결과가이단계에서알려지지않을지라도주제문제, 범위와목표가알려지며, 보고서에포함될가능한영역이예비조사의말미에분명하게있어야함

- 감사보고서를작성하는것은시간이흐르고필드작업이끝나고나서감사의말미에오게되는데,

종종감사보고서가급히만들어지고낮은품질이되는결과를초래함

-> 높은품질의소통적인감사보고서의생성을허용하도록충분한시간이시작부터계획되어야함-> 대부분의감사자는감사보고서를작성하는데가장어려운부분이실제로시작하는것이라는데동의

6) 기본적인 감사 보고

- 대부분의감사보고서의내용물 : 단순한패턴을따르고다음사항을포함√ 배경, 범위, 목표 √ 주요발견사항의요약 √ 감사의견√ 상세한발견사항과권고사항 √ 만족스런성과의인정 √ 기술적인상세첨부사항

- 시작부터전문적인톤을설정하기때문에거의항상커버가있는것이바람직함-> 그것은보고서표제, 피감사인이름과위치, 감사커버리지의날짜를포함해야함

- 정식절차(formalities) 부분 : 대개도입부를구성하며 1~3 페이지분량-> 그것은보고서의날짜, 수신인, 감사의배경, 범위, 목표를포함-> 응답기대사항, 서명과함께간단한감사의견과발견사항의일반적인본질이요구됨-> 참가하는감사자의이름, 배포리스트, 보고서의몸체내용물이또한정식절차섹션의일반적부분임

3.8 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

7) 중역 요약서

- 대부분의감사보고는전체비즈니스관점에서가장중요한문제와발견사항을다루는중역요약서를

포함

-> 이것은전체보고서에예비적관점을제공하고, 조직에위험과통제약점의특정한효과에초점을둠-> 그것은읽히는모든것이될지모르고, 많은경우에그런요약서가최고중역에게가는곳에서그것은읽혀야하는모든것이됨

- 중역청중의본질에달려있는, 두가지접근법이요약서에서가능

1) 지식이있는중역의경우에, 압축되고 소거된(eliminate) 접근이이용될것

-> 이것은중역에게중요하고보고서의몸체에교차참조되도록하기위해, 주요한감사발견사항에대해요약된설명을포함함

2) 알리고, 조언하고, 해석하는 브리핑 접근

-> 중역들이발견사항의함의에완전히정통하지못하는영역인전문화된감사에더적합할것

3.9 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

8) 상세한 발견사항

- 상세한발견사항은대개보고서의몸체를구성함

- 감사발견은네가지독특한부분으로이루어짐

-> 상황 : 감사자에의해발견된기록들(예, 증거가보여준것)

-> 기준 : 통제고려사항의견지에서발생했어야하는것을가리킴-> 원인 : 상황(condition)이내부통제의부재나그것의실패와어떤것에의해원인되었는지를가리킴-> 효과 : 상황의원인에대한비즈니스상영향을가리킴

- 많은감사자들은얼마나상세한것이보고서의몸체에포함되어야하는지를결정하려고애씀-> 상세한발견사항 : 독자가그발견사항의본질, 발견사항의관련중요성, 발견사항에대해행해질필요가

있는것을이해하도록하는충분한정보를포함해야함

-> 그것이소통하고있는청중의지식수준과경험에달려있기때문에상세한발견사항에대한명확한법칙은있을수없음

- 감사의과정동안, 감사자는최종보고서안에얼마나상세한것이요구될지를평가해야함

- 최종보고서가읽힐수있고나타내는것을보장하기위해서, 보고서의몸체안에그정보를두는것이지나치게길이가길어지거나읽힐수없도록된다면대개첨부물이부록에붙음

- 모든그래픽, 표, 사진, 재무표는둘이나세곳에서참조되는경우에보고서내명확히라벨이붙어야함-> 부록이사용되는곳에서, 그것은보고서에상호참조되어야함

3.10 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

8) 상세한 발견사항(계속)

- 경영진의공통의요구사항중의하나는 감사 의견의표현

-> 이것은대개내부통제구조의충분성과효과성에대한의견의형태를취함-> 감사자는충분성에대한의견이통제구조가경영진의요구된통제수준을달성하거나그렇지못한지표라는것을기억해야함

-> 많은감사자는통제구조가충분성에대한그들자신의정의를충족하는지여부에대한의견을표현함

- 감사의견 : 보고서의나머지부분에전체적인관점을제공하고감사자가스스로관련되도록함-> 그러나본질적으로감사결과는대개혼합되어있기때문에, 보고서의중요한부분들이무시되도록

만드는경영진의지나친반응을유발할수있음

- 발견사항과권고사항에대한피감사인의반응은대개최종보고서안에포함됨

-> 이것은균형잡힌보고서의제공을지원하고보고서에신뢰성을줄수있음

-> 그런주석(comment)이포함되는곳에서발견사항과권고사항은피감사인에의해검토되고동의되어야함-> 그러나이것이피감사인이감사자의발견사항과권고사항모두에동의해야한다는것을의미하지는않음-> 일부경우에, 두당사자는관리결정이이루어질수있기위해, 보고서내에표현된양의견에일치하지못하는데동의해야함

- 만약관리자가보고서내표현된위험을받아들이기로결정하고어떤조치도취하지않는다면, 그리고그런결정이권한의그들영역내에있다면, 그감사자는그런위험을경영진의주의로이끄는데최선을다해왔다면 -> 더이상의어떤감사노력이이영역에서요구되지않음

3.11 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

9) 보고서 정제

- 감사보고서가전체 IS 감사기능의전문주의와역량에대한반영이기때문에, 보고서는 가능한

전문적으로 나타나야 함

- 보고서를정제하는것은발행이전에엄격한검토를수반함

-> 이것은보고서의가독성과이해력을보장하기위해체크리스트를사용하거나동료집단(peer group)을사용함으로써실행될수있음

-> 동료집단은가정들이도전될수도있도록하기위해, 특정한감사영역에대한어떤지식도가지고있지않은감사자를대개포함함

- 궁극적으로보고서는책임있는감사자나지명된대리인에의해 서명될것

- 주요한피감사인불만들중의하나 : 주요문제를포함하는보고서가늦게발행되고, 그래서즉각적인효과를가진권고사항을실행하도록기대된다는점

-> 감사자가보고서발행에지연을가하지않는것이중요

- 공통적으로감사보고서는몇몇저자노력의조정을수반 : 그런경우에보고서를크게읽어서개별공헌자가변화하는차이를인식하게하는것이바람직할수있을것임

3.12 © 2010 by Prentice Hall

1. 감사 보고

시스템감리론

10) 보고서 배포

- 감사보고서는대개다양한관리진수준에배포됨

- 보고서는적합한조치를취할수있는최초의권한수준으로방향잡혀야함

- 완전한배포리스트 : 대개감사프로세스에서일찍알려짐-> 그러나피감사인의명령사슬이내부정치적세분화를유발할수있음

-일반적으로, 배달 방법이수령인의원격성뿐만아니라보고된정보의기밀성양자를고려해야함

-> 급송이나수작업전달 : 선호되지만비실용적임

-> 전자메일사용 : 전달된메시지의기밀성과완전성을보장하기위해충분한암호화기법이실행되어야함(* 많은 IS 감사보고서가전자메일로수령인들에게보내짐)

- 감사보고내용이상당히비밀사항이라면, 누설이발생하면개별복제물이추적되도록적발통제가실행될수있음

-> 이기법의가장명확한것은복제번호부여이지만, 중요한영역의고의적인오철자나말바꿈이또한이용될수있음