목차
오늘날의 디지털 시대에는 외부 규정 준수 감사 및 제 3 자 인증(예:2)이 구매 결정에 점점 더 중요 해지고 있습니다. 공급업체의 보안/규정 준수 상태에 대한 객관적인 제 3 자 검증을 제공할 뿐만 아니라 감사는 조직의 내부 통제 환경의 취약점 또는 약점에 대한 유용한 정보도 제공합니다. 즉,공식적인 감사 결과 위험을 줄이기 위한 조리법으로 사용할 수 있습니다.
공식적인 외부 감사는 자신의 자리를 가지고 있지만,그들은 조직의 보안 격차에 대한 학습의 유일한 수단으로 의존해서는 안된다. 오늘날 빠르게 진화하는 위험 환경에서 조직은 자신을 적절히 보호하기 위해 여러 가지 방법을 조합해야 합니다. 조직은 예정된 공식 감사 외에도 취약성을 식별하고 규정 준수 및 보안 상태를 이해하기 위해 내부 감사를 지속적으로 수행해야 합니다.
조직은 지속적으로 위험과 위협에 노출되어 있기 때문에 지속적으로 위험을 해결하지 않는 것은 위험한 관행입니다.
빠르게 진화하는 위험 환경과 함께,조직은 적절하게 자신을 보호하기 위해 방법의 조합이 필요합니다. 조직에서는 예정된 공식 감사 외에도 내부 감사를 실시하여 취약성을 식별하고 규정 준수 및 보안 상태를 지속적으로 이해할 수 있도록 해야 합니다.
글로벌스케이프와 포네몬 연구소가 실시한 설문조사에 따르면 컴플라이언스 심사를 자주 하는 기업들은 컴플라이언스 비용을 평균 286 만 달러 줄였습니다. 한편,설문 조사에 따르면 규정 준수 감사를 실시하지 않는 회사는 규정 준수 비용이 가장 높은 것으로 나타났습니다.
내부 감사를 실시하면 귀사는 내부 통제 환경의 격차/취약점을 파악할 수 있으므로 외부 감사원이 사무실에 나타나기 전에 이러한 격차를 해소하고 외부 감사를 통과할 것이라는 확신을 가질 수 있습니다.
이 기사에서는 내부 감사와 외부 감사 간의 중요한 차이점,내부 감사원의 역할,조직에서 수행 할 수있는 다양한 유형의 내부 감사 및 성공적인 내부 감사를 수행하기 위한 주요 단계에 대해 설명합니다.
내부 감사의 역할
회사 직원은 규정 준수 및 보안에 대한 전반적인 위험을 측정하고 회사가 내부 지침을 따르고 있는지 여부를 결정하기 위해 내부 감사를 수행합니다. 내부 감사는 일년 내내 이루어져야합니다. 관리 팀은 내부 감사에서 생성된 보고서를 사용하여 개선이 필요한 영역을 식별할 수 있습니다. 내부 감사는 생산량 및 전략적 위험에 대한 회사 목표를 측정합니다.
내부 감사와 외부 감사
내부 및 외부 감사는 서로 다른 목적을 가지고 있지만 궁극적으로 둘 다 동일한 목적을 수행합니다.
외부 감사는 독립적 인 제 3 자가 수행하는 공식 감사입니다. 외부 감사는 특정 시점에 조직의 프로세스와 통제를 외부 표준에 따라 측정합니다. 비즈니스 데이터 유출 또는 법적으로 필요한 표준을 준수하지 않는 다른 보안 이벤트가있는 경우 그러나 그들은 또한 필수가 될 수 있습니다.
한편,내부 감사는 조직 내의 숙련 된 직원이 수행합니다. 내부 감사의 범위는 상당히 좁거나 비교적 넓을 수 있습니다.
내부 감사인의 역할&책임
내부 감사인은 고유 한 역할을: 평가 중인 프로세스 및 팀에 대해 완전히 객관적이어야 하며 감사 중인 부서에 직접 연결할 수 없습니다. 내부 감사는 일반적으로 고위 경영진 또는 이사회 구성원에게 직접보고합니다. 그들의 임무는 부서 또는 비즈니스 기능을 객관적으로 평가하고 그들이 설정된 표준을 충족하는 방법을 평가하는 것입니다. 감사인의 임무는 궁극적으로 비즈니스를 돕는 것이며,그들의 피드백은 더 강력한 비즈니스를 구축하는 방법을 알려줍니다.
내부감사인연구소는 내부감사인을 위한 가장 크고 가장 널리 인정받는 협회입니다. 내부감사의 다양한 영역에서 인증을 제공하고,표준&지침–국제 전문 실무 프레임워크를 개발하여 내부감사인의 역할과 사명에 대한 필수 및 권장 지침을 제공합니다.
감사인이 수행하는 활동의 유형은 그들이 수행하는 감사의 종류에 따라 다소 달라질 수 있습니다. 그럼에도 불구하고 모든 유형의 내부 감사에 중요한 활동이 있습니다.감사는 회계 부서의 연말 재무 프로세스 또는 마케팅 부서의 규제 준수 여부를 평가하든,위험을 완화하고 바람직하지 않은 사고를 방지하기 위한 통제를 검토하고 평가할 것입니다. 거의 모든 비즈니스 프로세스는 모서리를 잘라 또는 문제를 만들 수있는 기회가되지 않도록 장소에 제어 및 책임의 몇 가지 유형을 가질 필요가있다. 감사자는 문서화 된 컨트롤과 실제로 구현되는 컨트롤을 모두 확인하여 의도 한대로 실행되고 작동하는지 확인합니다.
위험 평가
모든 수준의 경영진은 팀과 더 큰 조직에 대한 위험을 식별하기 위해 고유 한 지식을 사용해야하지만,이러한 위험을 평가하고,이러한 위험을 가진 미래의 문제를 예상하고,조직에 대한 위험을 통제하거나 제거 할 수있는 방법을 찾는 것이 감사인의 임무입니다.
운영 분석
내부 감사인은 조직의 전략적 목표와 전술적 수준에서 사물이 어떻게 작동하는지 이해해야합니다. 그들은 낮은 수준의 관리자와 함께 작업 작업을 분석하고,그 작업이 회사의 전략적 목표에 맞는지 여부를 결정합니다.
다른 보증 제공자와 협력
내부 감사원은 리스크 관리 전문가,컴플라이언스 임원 및 다른 사람들과 협력하여 회사의 임원이 리스크가 효과적이고 효율적으로 관리되도록 보장합니다. 다른 많은 보증 제공자 역할이 프로세스를 구현하고 위험을 완화하기 위해 컨트롤을 개발하는 동안 내부 감사자는 이러한 제어 및 프로세스를 평가하여 내부 또는 외부에서 설정되는지 여부에 관계없이 작동 중인지 확인하고 필요한 표준을 충족합니다.
5 내부 감사 유형
내부 감사에는 몇 가지 유형이 있으며 각각 가치를 제공합니다. 당신이 당신의 내부 감사 기능을 개발하는 것을 다만 시작하는 경우에,당신은 이 모두를 즉시 실행으로 뛰어오를 필요가 없다. 그러나,그것은 결국 이러한 유형의 내부 감사 수행에 귀하의 명소를 설정 하는 것이 좋습니다 그들은 각각 귀하의 비즈니스 운영의 다른 부분을 최적화할 수 있기 때문에.데이터 보안 관행을 검토하여 회사가 데이터 보안 및 개인 정보 보호와 관련하여 직면할 수 있는 필수 또는 선택된 데이터 보안 프레임워크 및 표준 및 법적 요구 사항을 준수하는지 여부를 확인합니다. 내부 감사를 테스트 실행으로 사용하여 해당 비즈니스가 공식적인 외부 감사에서 어떻게 처리되는지 확인할 수 있습니다. 컴플라이언스에서 떨어지는 결과는 회사에 비용이 많이들 수 있기 때문에 컴플라이언스 감사를 자주 수행해야합니다. 위험이 낮고 덜 복잡한 프로세스는 매년 한두 번 감사 할 수 있지만 더 복잡하고 위험이 높은 프로세스는 더 자주(예:매주)감사해야합니다.
이 기능은 규정 준수 감사와 일부 중복되지만 규정 준수 감사에 포함되지 않은 일부 기능도 평가해야 합니다. 또한 내부 감사에서는 프로세스 및 자산(하드웨어 및 소프트웨어)이 효율적으로 운영되고 있는지 여부를 검토합니다. 규정 준수 감사와 달리 이 프로세스는 감사에서 외부 표준과 비교되지 않습니다. 대신,감사 여부 그들은 그들의 목적을 제공 하 고 그것의 목표를 달성 하는 회사를 돕는 보인다.
재무 감사
재무 감사는 재무 활동이 올바르게 기록되고 올바른 회계 관행이 사용되는지 확인하기 위해 기업의 재정을 조사합니다. 감사의이 유형은 공정하고 사업의 회계 및 재무 기능에서 분리 된 사람에 의해 수행되는 것이 필수적이다;그들은 불법 또는 사기 뭔가를 발견하면,그들은 즉시 자신의 우려와 관리에 갈 수 있어야합니다.
운영 감사
운영 감사는 부서 또는 비즈니스 기능의 수행에 중점을 둡니다. 감사는 부서의 프로세스와 출력을보고 회사의 주요 목표에 기여하는 방법을 평가합니다. 감사인은 직원,부서의 자산 관리,산출물,생산성 및 조직 구조를 고려할 것입니다.
조사 감사
조사 감사는 회사 내의 직원 또는 팀의 의심스러운 행동에 대한 보고서 또는 불만 사항에 대한 응답으로 발생합니다. 이 경우 감사에는 직원 또는 부서의 출력이 포함됩니다. 그런 다음 보고서가 신뢰할 수 있다면 손실의 정도를 평가하고 어떤 약점이 발생할 수 있는지 결정하고 미래에 다시 발생하지 않도록해야 할 일에 대한 권장 사항을 작성합니다.
내부 감사의 수행 방법
모든 비즈니스가 다르고 감사 유형에 따라 다양한 단계와 고려 사항이 필요하기 때문에 모든 회사의 모든 감사에 대해 작동하는 단일 감사 프로세스가 없습니다. 그러나,당신은 당신이 필요한 모든 정보를 수집하고 효과적으로 배운 것을 활용하기 위해 감사에 대한 기본 공식을 따를 수 있습니다. 다음은 모든 성공적인 내부 감사의 네 단계입니다:
계획
감사를 시작하기 전에 내부 감사 팀은 감사의 범위와 목적을 정의해야합니다. 명확하게 정의 된 목표없이 감사에 접근하면 범위 크리프,이는 프로젝트의 범위가 팀에서 발생하는 추가 문제 또는 프로세스를 포함하도록 계속 증가 할 때입니다. 시작하기 전에 감사 범위 내에 무엇이 있고 그렇지 않은지 결정하면 팀이 효율적으로 작업하고 쉽게 포함 할 항목을 결정할 수 있습니다.
이 단계에서는 이해 관계자가 누구인지,어떤 프로세스 소유자가 감사에 참여할지 결정하고,타임라인을 설정하고,이전 감사(있는 경우)를 확인하여 발생할 수 있는 문제가 있는지 확인합니다. 당신은 감사를 실행에서 당신을 인도할 문서화한 감사 계획에 이 계획 단계에서 멀리 와야 한다.
일반적으로 견고한 감사 계획을 작성하려면 몇 가지 요소를 고려해야합니다:
- 기존 규정: 감사가 될 지역의 규제 요구 사항을 이해하는 것은 효과적인 감사를 수행하는 데 중요합니다.
- 직원 우려 사항:직원이 이전에 특정 프로세스에 대해 우려를 표명 한 경우 감사 계획에 질문을 통합하여 문제를 조사해야합니다.
- 컨트롤 테스트에 필요한 증거:감사 범위 내에서 컨트롤을 테스트하기 위해 수집해야 할 증거 유형을 생각해야 합니다.
현장 조사(일명”증거 수집 및 테스트”)
현장 조사에는 일반적으로 프로세스 소유자와의 인터뷰가 포함되어있어 프로세스 및 컨트롤을 이해하고 프로세스 문서를 검토하며 현재 프로세스에 대한 컨트롤을 테스트하고 결과 및 권장 사항을 문서화 할 수 있습니다.
이 단계에서는 감사에서 프로세스에 대한 사용 가능한 모든 데이터를 검토해야 합니다. 감사 전에 생성 된 데이터는 프로세스가 어떻게 작동하는지,그리고 인터뷰 대상자가 말하는 것과 현실 사이의 불일치가 있는지 필터링되지 않은 모습을 제공해야합니다. 그것은 또한 잠재적으로 제공 합니다 백업 권장 사항에 대 한 상위 관리 해야 생각 하는 변경 내용을 제시 하는 경우.
보고
현장 조사를 마친 후에는 조사 결과와 권장 사항을 감사 보고서로 수집합니다. 감사 보고서는 감사 계획을 요약하고 결과를 설명하며,특히 내부 표준 또는 외부 요구 사항에 부합하지 않는 것으로 밝혀진 내용을 설명하고 권장 사항을 논의합니다.
내부 감사의 목표는 문제를 파악하고 프로세스 또는 기능을 개선하기위한 계획을 마련하는 것임을 기억하십시오. 감사 보고서는 비난을 할당하거나 손가락을 가리키는 것이 아니라 프로세스가 작동하지 않는 곳,결과가 무엇인지,그리고 이러한 문제를 해결할 수있는 방법을 식별하는 것입니다. 확인 된 문제를 심각 하 게 하 고 하지 최소화 하거나 멀리 설명 해야 합니다. 감사 보고서는 궁극적으로 회사의 강점과 감사에서 확인 된 문제를 해결할 수있는 방법을 보여 주어야합니다.
후속 조치
감사의 마지막 단계는 구현 및 문제 해결 방법을 보장하기 위한 권장 사항에 대한 후속 조치입니다. 이 후속 조치는 향후 감사 중에 고려해야 할 나머지 감사 정보와 함께 기록되어야합니다.
내부감사가 하지 말아야 할 것
내부감사는 조직 내에 설치된 정책,절차,프로세스 및 기술 구성 요소 등 통제를 설계하거나 실행해서는 안 된다. 그들의 임무는 운영 팀(예:엔지니어링,영업,인사,재무 등)을 객관적으로 평가하는 것입니다.)는 통제 디자인이 통제의 예정한 목적을 위해 적당하다는 것을,통제가 효과적으로 실행되었다는 것을 그리고 통제가 일관되게 운영했다는 것을 결정하기 위하여 그 자리에 뒀습니다.
하이퍼 방지는 내부&외부 감사를 보다 효율적으로 만듭니다
하이퍼 방지는 일반적인 감사 프로세스에서 관리 오버헤드의 양을 줄입니다. 사실,이 응용 프로그램은 내부 감사 및 규정 준수 전문가가 검토해야 할 규정 준수 증거를 수집하고 관리하여 현재 프로세스가 얼마나 잘 작동하고 작동하지 않는지 이해하고 확인할 수 있도록 특별히 제작되었습니다.
하이퍼 방지는 조직의 모든 규정 준수 요구 사항,위험 평가,제어(설명,소유자)및 증거에 대한 중앙 저장소 역할을 할 수 있습니다. 하이퍼 방지의 경우 내부 감사원이 조직 전체의 운영자 및 비즈니스 프로세스 소유자를 제어하여 테스트해야 하는 증거를 제출하도록 요청하는 것이 쉽습니다. 컨트롤 소유자는 하이퍼 방지에 직접 와서 자신이 담당하는 컨트롤에 대한 증거를 제공 할 수 있으며 해당 정보는 감사 계획의 특정 요청에 연결됩니다.
동료에게 이메일 및 수동 캘린더 초대를 전송하여 증거를 검토하거나 새로운 증거를 제출하도록 상기시키는 대신 내부 감사자는 과다방지를 사용하여 기한 및 미리 알림이있는 작업을 발행 할 수 있습니다. 그런 다음 제어 운영자는 새로운 증거를 검토하고 제출해야 할 때 자동으로 알림을 받습니다.
또한 내부 감사자는 여러 비즈니스 앱 및 개발자 도구(예:풀 요청 및 승인)에서 특정 컨트롤의 효율성 증명을 자동으로 추출하도록 하이퍼프루션을 구성할 수 있습니다. 이러한 방식으로 내부 감사자는 데이터를 수집하는 데 많은 시간을 소비하는 대신 증거를 테스트하는 데 집중할 수 있습니다.
사업부의 동료들도 감사 요청에 자주 응답할 필요가 없다는 점을 기쁘게 생각합니다. 내부 감사 또는 컴플라이언스 팀이 외부 감사를 준비했다고 느끼면 외부 감사원과 직접”작업을 공유”할 수 있으며 공유하려는 정보 만 노출 할 수 있습니다. 하이퍼 방지에 대해 자세히 알아보거나 모든 기능에 대한 데모를 보려면 다음을 방문하십시오 Hyperproof.io 오늘.