Ron Weber
전문가가' 수집 1985 년 일본 통산성 정보처리개발협회 정보시스템 감사위원회는 "정보시스템 감사란 감사 대상과는 별개인 정보시스템 감사관이 객관적인 입장에 서서 컴퓨터 중심의 정보시스템을 종합적으로 검사하고 평가하는 것" 이라고 정의해 11 년 뒤인 1996 년, 위원회는 정보 시스템 감사를 "정보 시스템의 안전, 신뢰성 및 효율성을 위해 감사 대상과는 별도로 정보 시스템 감사원, 제 3 자의 객관적인 입장에서 컴퓨터 중심 정보 시스템을 종합적으로 검사하고 평가한다. 정보 시스템 감사 대상의 최고 지도부에 질문과 건의를 제기하는 일련의 활동" 으로 재정의했다. 따라서 정보 시스템 감사의 관심사는 단순히 전자 데이터 처리뿐 아니라 재무 정보뿐 아니라 기업 전체의 정보 시스템의 신뢰성, 보안을 이해하고 평가하는 것입니다. 정보 시스템의 계획, 개발, 구현, 운영 및 유지 관리와 같은 일련의 활동을 검토 및 평가하여 정보 시스템 운영이 안전하고 안정적이며 효과적이며 정보 시스템에서 얻은 데이터가 신뢰할 수 있는지 여부를 확인하는 것입니다. < P > 정보시스템 감사 (ISA) 를 실시하는 사람을 정보시스템 감사원 (IS
Auditor) 이라고 하고, 우리나라는 IT 감사관이라고 부른다. ISACA (International Information System Audition and Control Association) 는 세계 각국에서 널리 인정받는 등록 정보 시스템 감사원 (CISA) 인증서를 받을 수 있는 국제 유일의 공인 정보 시스템 감사원 기관입니다. < P > 둘째, 정보 시스템 감사의 내용과 특징 < P > 국제 정보 시스템 감사 협회 (ISACA) 는 정보 시스템 감사의 주요 내용: 1. 정보 시스템 감사 절차를 규정하고 있습니다. 정보 시스템 감사 기준, 지침 및 모범 사례 등에 따라 정보 시스템 감사 서비스를 제공하여 조직이 정보 기술 및 운영 시스템을 보호하고 통제할 수 있도록 합니다. 2.
IT 거버넌스 (정보 기술 거버넌스). 조직이 기업 지배 구조의 IT
요구 사항을 충족하는 적절한 구조, 정책, 직무 책임, 운영 관리 메커니즘 및 감독 관행을 보유하고 있는지 확인합니다. 3. 시스템 및 인프라 수명주기 관리. 시스템 개발, 조달, 테스트, 구현 (제공), 유지 관리 및 (구성) 사용 및 기본 프레임워크를 통해 조직의 목표 달성을 보장합니다. 4. IT
서비스 제공 및 지원. IT 서비스 관리 관행은 조직의 목표를 충족하기 위해 필요한 수준과 범주의 서비스를 제공할 수 있도록 보장합니다. 5.
정보 자산 보호. 적절한 보안 시스템 (예: 보안 정책, 표준 및 통제) 을 통해 정보 자산의 기밀성, 무결성 및 효율성을 보장합니다. 6.
재해 복구 및 무중단 업무 운영 계획. 지속적인 업무가 (예상치 못한) 중단 (또는 고장) 되면 재해 복구 계획은 업무에 미치는 영향을 최소화하는 동시에 IT 서비스를 적시에 복구 (중단) 합니다. < P > 정보 시스템 감사의 위와 같은 정의와 내용에서 정보 시스템 감사의 몇 가지 특징을 대략적으로 요약합니다. 첫째, 독립성, 정보 시스템 감사의 공정성과 유효성을 보장하기 위해 정보 시스템 감사관은 제 3 자의 객관적인 입장에서 컴퓨터 중심 정보 시스템을 종합적으로 검사하고 평가해야 합니다. 둘째, 정보 시스템 감사에는 감사 정보 시스템이 운영하는 유형 시설뿐만 아니라 운영 환경 및 내부 통제도 포함됩니다. 셋째, 정보 시스템 감사는 정보 시스템의 보안, 신뢰성 및 유효성 평가를 통해 기업이 조직의 자원을 효율적으로 활용하고 조직의 목표를 효과적으로 달성할 수 있도록 하는 관리 기능입니다. < P > 셋째, 정보 시스템 감사와 기존 감사 간의 차이점과 연계 < P > 정보 시스템 감사는 기존 감사의 일부이며 기존 감사 이론에 기반을 두고 있으며, 둘 사이에는 밀접한 연관이 있으며 어느 정도 차이가 있습니다. 이 둘의 관계는 정보 시스템 감사가 전통적인 감사와 마찬가지로 전통적인 감사의 기본 이론과 방법을 계승한다는 것입니다. 입장에서, 정보 시스템 감사관은 독립된 입장에 서서 특정 감사 대상을 선택하여 문의, 검사, 분석, 시뮬레이션, 테스트 등의 방법으로 객관적인 감사 증거를 얻어서 정해진 기준에 부합되는 정도를 판단할 것을 요구한다. 절차상 정보 시스템 감사는 일반적으로 감사 계획, 준수 테스트 및 실질적인 테스트, 감사 보고서 등의 주요 단계를 거쳐 감사 작업을 수행하여 감사 목표를 달성해야 합니다. 두 가지의 차이점도 뚜렷하다. 우선, 정보 시스템의 감사 대상은 기존 감사의 재무 분야와는 달리 인프라, 하드웨어 및 소프트웨어 관리, 정보 보안, 네트워크 관리 통신 등을 포함한 정보 시스템이다. 둘째, 정보 시스템 감사는 기존 감사에서 볼 수 없는 더 많은 감사법과 감사 절차를 제시했습니다. 예를 들어, 소프트웨어를 감사할 때는 기술 함량이 상당히 높은 테스트를 사용해야 합니다. 네트워크 보안 감사를 할 때는 관통성 테스트를 사용해야 합니다 (해커로 시뮬레이션하여 다양한 공격을 실시하여 보안을 검증해야 함). 셋째, 정보 시스템 감사는 사후 감사뿐만 아니라 시스템의 운영 현황에 초점을 맞추고 있으며, 경우에 따라 프로젝트의 개발 또는 변경 프로세스에 직접 참여하여 적절한 통제가 원활하게 이루어지도록 합니다. 마지막으로, 정보 시스템 감사의 컨설팅 가치는 더 높고, 정보화의 위험은 매우 높습니다. 정보 시스템 감사관은 전문 지식과 실무 경험을 바탕으로 감사 대상 기관의 관리자 또는 그 업무 인력에게 의뢰하거나 적극적으로 서비스를 제공할 수 있습니다. 기업 정보화 과정에서 기업이 건전한 내부 통제 제도를 구축하고 시스템 진단을 수행하고, 기업 요구에 따라 정보화의 목표와 내용을 결정하고, 적절한 정보 시스템을 선택할 수 있도록 지원합니다. < P > 4. 가능한 한 빨리 우리나라의 실제에 부합하는 정보시스템 감사체계 < P > 우리나라는 정보시스템 감사 방면에서 아직 완전한 체계를 형성하지 못했다. 그러나 최근 몇 년 동안 해외 관련 정보 시스템 감사 경험을 바탕으로 감사국은 컴퓨터 정보 시스템을 이용한 감사 작업에서 어느 정도 성과를 거두었습니다. (1) 회계 전자 데이터 및 업무 관리 전자 데이터를 포함한 전자 데이터 감사를 전면적으로 실시했습니다. 취해진 구체적인 방법은 다음과 같습니다. 1. 정확한 검토. 컴퓨터를 사용하여 다양한 데이터를 정확하게 검토하고, 전체 관할 및 테이블 기관의 회계 보고서 및 요약 보고서를 포괄적으로 검토하고, 회계 흐름표에서 총계정 원장으로 단계적으로 확인할 수 있으며, 업무 관리 데이터 및 회계 보고 데이터를 검토할 수 있습니다. 2. 보조 계산을 위한 컴퓨터 프로그램을 준비합니다. 컴퓨터 프로그램을 편성하여 비례 관계가 있는 항목을 계산한 다음 실제 레코드와 비교하여 차이를 발생시킨 레코드를 찾을 수 있습니다. 3. 일부 이상 회계 기록과 거래를 선별하고 조회하며 감사인에게 감사 추적을 제공합니다. 주로 특정 특징을 기준으로 필터링 분석을 수행하고 의심스러운 문제 단서를 다양한 각도에서 분석합니다. (b) 감사 대상 단위의 정보 시스템의 신뢰성과 내부 통제에 대한 예비 평가를 실시한다. 주요 내용은 다음과 같습니다. 1.
정보 시스템의 사용 범위, 네트워크 보안 및 데이터 백업 등을 조사하여 정보 시스템 재무 데이터의 안전하고 완전성을 보장합니다. 2. 권한 관리, 매개변수 테이블 설정, 수정 제어 등이 유효한지, 정보 시스템 사용자와 시스템 개발자가 분리되어 있는지, 감사기관이 거래 입력의 원시 데이터를 적절히 통제하는지, 정보 시스템의 데이터 흐름과 업무 프로세스가 일치하는지 여부에 초점을 맞춘 정보 시스템의 내부 통제 상황에 대한 예비 조사 및 평가를 수행합니다. 3. 시스템 로그와 같은 파일을 통해 주요 사건의 원인을 분석하고 전체 정보 시스템에 미치는 영향을 분석합니다. 그러나 우리나라는 정보 시스템 감사를 전면적으로 전개하는 데 있어서 아직 탐색 단계에 있다. 감사기관에 더 가치 있는 감사 건의를 제기할 수 있도록, 더 잘 서비스할 수 있도록, 정보 시스템이 기업 (단위) 의 목표를 효과적으로 실현할 수 있도록, 우리나라에서도 가능한 한 빨리 우리나라의 실제 정보 시스템 감사 체계를 세워야 한다.