IT감사

IT감사는 IT 시스템이 사업 목적에 맞게 개발 운영 관리되는지 감사한다. 또한 조직이 정보자산을 보호하고, 데이터 완전성을 잘 유지하는지 점검한다. 결론적으로 IT감사는 시스템이 보안, 프라이버시, 비용 등 중요한 사업요소에 위험을 주지 않으면서 조직의 사업 수요를 잘 충족시키는 지 확인하기 위하여 IT시스템과 IT통제에 대해 감사하는 것이다.

 

1.    정보시스템 감사 프로세스

감사	통제가 효과적이고 효율적인지 검증하여 개선을 권고하는 행위
감사계획	매년마다 경영환경이나 기술변화에 따라 정기적으로 변경 및 평가
단위 감사 계획	감사 프로그램 (감사 일정, 자원 계획, 감사인력과 역할 계획)
감사계획 절차	목표, 프로세스, 기술이해 -> 위험분석 -> 내부통제 -> 감사 범위 및 목적 수립 -> 감사 방법 및 전략 개발

2.    정보시스템 감사 개념

자산	보호해야하는 대상 (시설, 기술, 데이터, 시스템, 인력 등
위협	외부로부터 행위나 원인 (인재, 시스템 오류, 자연재해, H/W & S/W 결함, 조직 관리 위협, 절차 위협)
노출	의도하지 않게 발생한 결과나 현상 (적당한 수준까지의 노출단계로 관리하기 위해 가성비 고려
위험	의도하지 않게 발생할 가능성이나 확률 (위험 확률로 예방을 위한 규모 측정) 정보보호에서의 위험 : 주어진 위협 원천이 특정한 잠재적 취약점을 이용할 가능성과 그로 인한 악성 사건이 조직에 미칠 수 있는 영향의 함수
통제   ---------------- ※ 예방통제 ※ 탐지통제 ※ 교정통제	예방, 탐지, 교정 (통제를 통해 손실 비용 최소화) ---------------------------------------------------------------------------------------- 사전에하는 통제, 에러 발생 방지 (인증, 업무분장, 물리적 통제, S/W로 통제) 로그나장비, 솔루션 통해 오류 발견(IDS, 에코통제, 강제휴가 등) 백업이나 솔루션으로 문제, 오류 조치(IPS, 계획수립, 백업절차, 직무순환, 훈련)
우회	통제를 피해 위협

3.    위기평가 프로세스

정보자산 파악 -> 위협과 자산 취약성 파악 -> 취약성 분석 -> 통제, 보안 파악

※ 위험 대응 방법 : 회피(위험 제거), 이관(책임 이동), 완화(통제로 빈도나 위험정도 감소), 수용

 

4.    감사방법 순서

감사방법	감사방법 순서
1. 컴퓨터 내부감사  - 프로그램 로직 조사  - 상세하고 광범위 테스트 2. 컴퓨터 주변감사  - 입출력 자료 검사  - 비용 효과적 3. 검퓨터 활용감사  - 데이터 무결성과 일관성 확인	1. 감사 대상/목적 파악 2. 범위 파악 3. 계획수립 4. 절차 및 자료 수집 5. 테스트 또는 검토결과 평가 6. 감사보고서 준비

5.    위험기반 감사 접근법 절차

감사인 정보 수립 및 계획 -> 내부통제 이해 -> 준거성 테스트 -> 실증 테스트 -> 감사 종결

김사 위험	정보/회계 보고서가 오류 포함할 위험 및 감사인이 오류 적발 못할 위험입니다.
감사위험 종류	- 고유위험 : 중대 오류 존재할 위험, 현금성 - 통제위험 : 내부통제에 의해 예방, 탐지 안될 위험 - 적발(탐지 위험) : 감사인이 통제 가능한 위험, 감사자가 잘못 판단할 위험

6.    통제절차 준수여부 확인

- 재실행, 관찰, 면담, 검사, 질의, 현행 소스코드 통제 비교, 시스템 로그 비교, 프로그램 변경 인가 확인

- 내부통제 적절(준거 강화 실증 약화)

- 내부통제 부적절(준거 약화 실증 강화)

 

7.    감사증거의 요건

감사증거	감사인의 검토한 내용을 증거입니다.
감사요건	목적적합성, 신뢰성, 충분성, 유용성
방법	조직구조, 문서화, 표준, 관계 담당자 면담, 프로세스 관찰