은행의 IT검사기법 연구(1)에 이어 이번 파트에서는 준거성/실증테스트와 검사보고서 작성 및 사후관리에 대하여 기술하고자 한다.
준거성테스트는 IS통제의 운영 적합성(Adequancy of Operation)을 평가하는 것으로서 내부의 경영정책과 절차가 규정대로 준수되는지를 검사하는 활동을 말한다. 그리고, 이러한 준거성테스트를 통하여, 기존에 수립한 내부통제시스템이 실제로 작동하는지를 테스트하고, 통제위험을 평가하여 실증테스트의 강도를 결정하게 된다. 준거성테스트의 대표적인 사례로는 프로그램 변경관리 프로세스 중 코드비교(소스코드와 오브젝트코드의 버전의 동일성 여부 등) 수행 또는 직무분리가 내부통제의 절차에 의거 제대로 수행되고 있는지를 관찰하거나, 담당자와 면담하는 것 등이 해당된다.
실증테스트는 처리상의 무결성(Integrity)을 체크하는 검사활동으로서 위험영역을 발견하기 위하여 수행하는 분석적 검토절차와 계정잔액 및 트랜잭션(Transaction)거래 처리의 무결성 검사 등 크게 두 가지 유형으로 분류 할 수 있다.
기존 또는 잠재적인 위험을 실증(Substantiate)하거나, 자산보호 및 데이터 무결성의 손상을 찾기 위하여 전산오류 및 누락 등을 적발하고, 내부통제절차를 고의적으로 위반하는 등의 부정 행위가 존재하는지를 검사하는 활동 등을 실증테스트라 할 수 있다. 실증테스트는 IT자산(서버, 테이프 등)에 대한 전수조사와 통계적인 표본조사(Sampling Test)등을 수행할 수 있으며, 계정잔액(B/S, P/L등) 및 거래(Transaction)처리의 무결성을 검사하는 상세테스트(TOD:Test of Detail)는 주로 회계검사에서 수행하는 검사방법이다.
준거성테스트와 실증테스트관계에서 준거성테스트 결과, 통제위험이 높은 것으로 평가되었다면, 실증테스트는 강화되어야 하며, 반대로 통제위험이 낮은 것으로 평가된 경우에는 실증테스트의 수행강도를 낮추어야 한다.
준거성 및 실증테스트절차가 마무리 되면 IS검사의 최종 산출물인 검사보고서가 작성되어야 하고, 지적된 사항에 대하여 사후관리를 하여야 한다.
검사보고서의 정형화된 형식은 없지만, 대부분 각 조직의 검사정책과 절차에 따라 보고서 형식은 사전에 결정되어 있으며, 검사보고서의 구성은 서론에서 검사의 목적과 범위, 대상기간, 정보시스템 환경 등에 대한 일반적인 사항을 기술하고, 조직에 따라 KPI와 연계할 있는 통제5요소(통제환경, 위험평가, 모니터링 등)및 평점을 포함시킬 수 있다.
본론부분은 경영유의, 개선, 주의 및 시정 등의 발견사항(Findings) 과 검사인의 종합적인 평가와 의견이 포함된 결론(Conclusion)부분으로 구성 할 수 있다.
또한, 검사수행의 말미에는 검사결과에 대한 요약(Executive Summary)자료와 필요 할경우 시연자료(OHP필름,P/P,컴퓨터그래픽 등)를 준비하여 감사종료회의(Exit Interview 또는 Closing Meeting)를 실시, 발견사항 및 권고사항을 경영진(CIO) 및 담당자와 논의할 수 있는 수단을 제공하여야 한다.
종합적으로 검사보고서는 검사수행 중 발견된 부정적인 사항뿐만이 아니라 업무 프로세스 및 통제절차의 향상, 기존에 수립된 효과적인 통제 등 긍정적인 사항 등이 포함된 균형있는 검사보고서가 되여야 한다. 그리고, 검사결과에 대한 사후관리는 체계적인 관리를 위하여 시스템으로 구축하는 것이 바람직하며, 이행여부 등을 내부에 조직된 커뮤티케이션 활동 등을 통하여 주기적으로 모니터링되고, 관리되어야 한다.
펌'd by http://lounge.webhard.co.kr
준거성테스트는 IS통제의 운영 적합성(Adequancy of Operation)을 평가하는 것으로서 내부의 경영정책과 절차가 규정대로 준수되는지를 검사하는 활동을 말한다. 그리고, 이러한 준거성테스트를 통하여, 기존에 수립한 내부통제시스템이 실제로 작동하는지를 테스트하고, 통제위험을 평가하여 실증테스트의 강도를 결정하게 된다. 준거성테스트의 대표적인 사례로는 프로그램 변경관리 프로세스 중 코드비교(소스코드와 오브젝트코드의 버전의 동일성 여부 등) 수행 또는 직무분리가 내부통제의 절차에 의거 제대로 수행되고 있는지를 관찰하거나, 담당자와 면담하는 것 등이 해당된다.
실증테스트는 처리상의 무결성(Integrity)을 체크하는 검사활동으로서 위험영역을 발견하기 위하여 수행하는 분석적 검토절차와 계정잔액 및 트랜잭션(Transaction)거래 처리의 무결성 검사 등 크게 두 가지 유형으로 분류 할 수 있다.
기존 또는 잠재적인 위험을 실증(Substantiate)하거나, 자산보호 및 데이터 무결성의 손상을 찾기 위하여 전산오류 및 누락 등을 적발하고, 내부통제절차를 고의적으로 위반하는 등의 부정 행위가 존재하는지를 검사하는 활동 등을 실증테스트라 할 수 있다. 실증테스트는 IT자산(서버, 테이프 등)에 대한 전수조사와 통계적인 표본조사(Sampling Test)등을 수행할 수 있으며, 계정잔액(B/S, P/L등) 및 거래(Transaction)처리의 무결성을 검사하는 상세테스트(TOD:Test of Detail)는 주로 회계검사에서 수행하는 검사방법이다.
준거성테스트와 실증테스트관계에서 준거성테스트 결과, 통제위험이 높은 것으로 평가되었다면, 실증테스트는 강화되어야 하며, 반대로 통제위험이 낮은 것으로 평가된 경우에는 실증테스트의 수행강도를 낮추어야 한다.
준거성 및 실증테스트절차가 마무리 되면 IS검사의 최종 산출물인 검사보고서가 작성되어야 하고, 지적된 사항에 대하여 사후관리를 하여야 한다.
검사보고서의 정형화된 형식은 없지만, 대부분 각 조직의 검사정책과 절차에 따라 보고서 형식은 사전에 결정되어 있으며, 검사보고서의 구성은 서론에서 검사의 목적과 범위, 대상기간, 정보시스템 환경 등에 대한 일반적인 사항을 기술하고, 조직에 따라 KPI와 연계할 있는 통제5요소(통제환경, 위험평가, 모니터링 등)및 평점을 포함시킬 수 있다.
본론부분은 경영유의, 개선, 주의 및 시정 등의 발견사항(Findings) 과 검사인의 종합적인 평가와 의견이 포함된 결론(Conclusion)부분으로 구성 할 수 있다.
또한, 검사수행의 말미에는 검사결과에 대한 요약(Executive Summary)자료와 필요 할경우 시연자료(OHP필름,P/P,컴퓨터그래픽 등)를 준비하여 감사종료회의(Exit Interview 또는 Closing Meeting)를 실시, 발견사항 및 권고사항을 경영진(CIO) 및 담당자와 논의할 수 있는 수단을 제공하여야 한다.
종합적으로 검사보고서는 검사수행 중 발견된 부정적인 사항뿐만이 아니라 업무 프로세스 및 통제절차의 향상, 기존에 수립된 효과적인 통제 등 긍정적인 사항 등이 포함된 균형있는 검사보고서가 되여야 한다. 그리고, 검사결과에 대한 사후관리는 체계적인 관리를 위하여 시스템으로 구축하는 것이 바람직하며, 이행여부 등을 내부에 조직된 커뮤티케이션 활동 등을 통하여 주기적으로 모니터링되고, 관리되어야 한다.
펌'd by http://lounge.webhard.co.kr