Shin, SooJung Based on Ron’s book Information Systems Control & Audit(1) Shin, SooJung Based on Ron’s book

Overview of Information Systems Auditing Chapter 1 Overview of Information Systems Auditing

(1) Need for Control & Audit of Computers Costs of computer abuse Cost of incorrect decision making Value of HW, SW, personnel High costs of computer error Organizational Costs of data Loss Maintenance of privacy Organization Controlled evolution of computer use Control & Audit of Computer-based Information Systems

(1) Need for Control & Audit of Computers 데이터 손실의 비용: 데이터는 조직의 Operation을 위해 중요한 자원임. 데이터는 조직의 이미지, 환경, 히스토리 및 미래를 표현함. 이러한 이미지가 부정확할 경우 근본적인 손실을 가져옴. 부정확한 의사결정: 정확한 의사결정은 정보시스템내에 있는 데이터의 질과 의사결정 rule의 질에 달려있음. 컴퓨터 남용의 비용: Abuse(hacking, viruses, illegal physical access, abuse of privileges)는 중요한 손실(자산의 파괴, 절도, 수정, privacy 침해, 운영의 방해, 불법적인 사용, 사람에게 물리적인 피해 등)을 가져옴. HW, SW, 인력의 가치: 손상을 받을 경우 기업에 큰 피해를 가져옴. 컴퓨터 에러의 높은 비용: 금융, 항공관제 등의 컴퓨터 에러 등은 상당한 피해를 가져옴. Privacy의 유지 컴퓨터 사용에 대한 controlled evolution: 컴퓨터의 신뢰성이 깨질 경우의 위험, 컴퓨터의 인력대치 문제 등 IT기술의 부적절한 사용에 대한 monitoring과 evaluating의 필요 대두

Improved safeguarding of assets (2) Information Systems Auditing Defined IS Auditing: the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. Information Systems Auditing Organization Improved safeguarding of assets Improved Data integrity Improved system effectiveness Improved system efficiency 4 objectives

(2) Information Systems Auditing Defined Asset safeguarding: Asset(HW, SW, 시설, 사람, 데이터 파일, 문서, 공급자 등)의 보호 Data Integrity: 데이터 손실시 경쟁적 위치가 손상됨. System effectiveness: 효과적인 정보시스템의 그것의 목표(objectives)를 성취하는 것임. 효과성 측정을 위해서는 사용자의 필요를 파악해야 함. System efficiency: 효율성이란 요구된 목표를 성취하기 위해 minimum resource를 사용하는 것임.

(3) Effects of computers on internal controls Computer-based Information Systems Traditional internal controls Delegation of Authority and responsibility Separation of duties Competent and trustworthy personnel Systems of authorizations Adequate documents and records Physical control over assets and records Physical control over assets and records Adequate management supervision Comparing recorded accountability with assets Independent checks on performance Adoption Adaption

(3) Effects of computers on internal controls Separation of duties: 컴퓨터 시스템에서는 임무에 따라 코드를 분리하기 어려움, 이에 따라 다른 형태의 임무의 분리가 필요함.(프로그램수행과 변경 등) Delegation of authority and responsibility: 컴퓨터 시스템에서는 자원이 여러사람들에 의해 공유되므로 책임할당이 어려운 경우가 많음.data owner 등의 도입 필요 Competent and trustworthy personnel: 정보시스템의 인력은 상당한 권한을 가지고 있음. 이에 따라 유능하고 신뢰성있는 인력이 필요하나 그러한 인력을 구하기 어려움. System of authorization: 컴퓨터 시스템에서는 할당된 허가가 프로그램안에 존재되어 있음. 인력의 작업내역 뿐 아니라 프로그램 프로세싱의 정확성을 검토해야 함. Adequate documents & records: 컴퓨터 시스템에서는 충분한 문서화 증거를 가지기 어려움. 시스템 설계를 잘 해야지만 충분한 audit trail존재, 과도한 기록도 문제 Physical control over assets and records: 시스템 한 곳에 모든 필요한 정보들 집중 Adequate management supervision: 전자적인 통신망을 통해 이루어지므로 관리층이 적절히 부하직원의 행동을 확인하기 어려움. Independent checks on performance: 컴퓨터 시스템에서는 실수등에 대한 독립적인 인력에 의한 점검이 어려움, 코드의 정확성 검증이 필요함 Comparing recorded accountability with assets: 컴퓨터 시스템에서는 프로그램이 정확성과 충분성에 대해서 검증함, 코드의 정확성 검증이 필요함.

(4) Effects of computers on auditing Changes to evidence collection: 컴퓨터로 부터 증거의 확보필요. Changes to evidence evaluation: Auditor는 control이 신뢰성있게 또는 문제를 가지고 작동되는지 평가하고, 또한 control 강, 약점의 결과를 trace해야 함. 이러한 작업이 컴퓨터 시스템에서는 상당히 복잡함. 컴퓨터시스템의 error의 결과는 manual system에 비해 상당히 critical 함.

(5) Foundation of information system auditing Control philosophy Information System management Ways of development and implementation Traditional Auditing Information System Auditing Offering technology Computer science Behavioral science People problem

Conducting an Information Systems Audit Chapter 2 Conducting an Information Systems Audit

(1) The Nature of control A control is a system that prevents, detects, or corrects unlawful events. * System: comprises a set of interrelated components that function together to achieve some overall purpose.(요소들(사람, 컴퓨터, 통신, 자료 등)이 상호 유기적으로 연결되어 일사분란하게 내외부 환경에 대응해서 공통적인 목표를 달성하려는 체계) * Unlawful event : can arise if unauthorized, inaccurate, incomplete, redundant, ineffective or inefficient input enters the system. Ex) instructions are placed on a source document to prevent clerks from filling it out incorrectly Reduced the probability of unlawful events occurring Preventive control Ex) An input program identifies incorrect data entered into system via a terminal Detective Control Reduced the amount of losses that arise if the unlawful events occurs Ex) A program uses special code that enable it to correct data corrupted because of noise on a communications line Corrective Control

Undesirable(Unlawful) Events (1) The Nature of control Undesirable(Unlawful) Events -Access -Fraud -Errors -Mischief Preventive Preventive Preventive Control Exposure Detective Detective ASSETS Corrective Corrective Corrective

(2) Dealing with complexity Breaking a complex system up into subsystems(factoring) Assessing subsystem reliability Factoring의 원칙 The essence of a subsystem is the function it performs to accomplish the overall objectives Each subsystem should be relatively independent of other subsystems Each subsystem should be internally cohesive System Subsystem Subsystem Subsubsystem Subsubsystem Subsubsystem

(2) Dealing with complexity Managerial functions That must be performed to ensure that Development, implementation, operation, and maintenance of IS Proceed in planned and controlled manner Application functions That need to be undertaken to accomplish reliable information processing Information systems function Ex) sales, Payroll, Payment cycle Management systems cycles Ex) sales Cycle -order-entry, Billing, AR Application systems Application systems Management subsystems Top management IS management System Development management Programming management Data administration QA management Security management Operations management Application subsystems Boundary(interface) Input Communications Processing Database output

(2) Dealing with complexity Breaking a complex system up into subsystems(factoring) Assessing subsystem reliability Lowest level subsystem으로 부터 시작하여 서브시스템내에서 발생하는 모든 다른 type의 event를 identify함 발생하는 event는 lawful과 unlawful로 구분함. Reliability evaluation은 subsystem에서 upward로 management subsystem에서 발생하는 events의 정의의 기반: 각 subsystem이 수행하는 major functions에 초점을 맞춤. application subsystem에서 발생하는 events의 정의의 기반: 각 subsystem에 input을 주었을때 발생하는 transaction에 초점을 맞춤. Higher level에서는 새로운 control 존재 Error 1 Error 2 Error 3 Error 4 Control A H Control B M L H: High-effectiveness control

(3) Audit Risks Audit Risk: the risk of an auditor failing to detect actual or potential material losses or account misstatements at the conclusion of the audit. DAR(desired audit risk)=IR(inherent risk)*CR(control risk)*DR(detection risk) - IR: 감사상에 loss의 존재가능성, 관련된 보완 통제가 없다고 가정할 경우, 감사중에 직면하는 여타오류와 결합되어 중대한 오류로 존재할 위험. 감사와 독립적으로 존재하며 사업의 특성에 의해 발생함. 무너져가는 회사는 안정된 회사보다 IR이 큼. (IR factor: Financial system, strategic system, critical operational system, technological advanced system) - CR: 내부통제가 loss를 방지하고, 발견하고, 수정하지 못할 likehood, 중요한 오류가 내부 통제 시스템에 의해 시기적절하게 예방되거나 탐지되지 않을 위험. 감사자는 내부통제 테스트를 통해 control risk의 레벨을 줄일 수 있음. (evaluating management controls -> application system control) - DR: 감사상의 감사절차가 loss를 발견하지 못할 위험, 부적절한 시험절차로 인해 사실상 중요한 오류가 존재하는데도 감사자가 그렇지 않다고 결론지을 위험. 감사자는 acceptable 한 detection risk의 level을 설정해야 함.

(4) Types of audit procedures Evidence를 수집하기 위한 Procedures Procedures to obtain an understanding of controls Tests of controls Substantive tests of details of transactions Substantive tests of details of account balances(원장대차대조 및 손익계산서에 초점) Analytical review procedures (상세한 감사작업이 필요한 영역을 정의하기 위해 데이터 항목간의 관계를 초점하는 테스트) 조직 Operation의 효과성과 효율성을 평가하기 위한 Procedures Procedures to obtain an understanding of controls(효과성, 효율성 달성을 위한 control) Tests of controls(administrative control의 설계와 효율적 운영에 초점) Substantive tests of details of transactions(예) response time) Substantive tests of overall results(예) average response time) Analytical review procedures (예) model을 설정하여 자원의 효과적 사용 평가)

(4) Types of audit procedures 준거성 테스트(Compliance Test, Test of Control) -조직의 통제절차 준수를 테스트하는 목적임 -통제가 경영 정책과 절차에 준거하는 방법으로 적용되고 있는지를 판정함. -예) 프로그램 라이브러리 통제 테스트: 원시코드와 목적코드의 동일성 판정을 위한 표본 선정 실증테스트(Substantive Test) -재무적인 기록의 양과 노출의 적정성을 평가하기 위함 -실제 처리상의 무결성을 실증함. -재무재표상의 잔액과 잔액을 지지하는 거래에 대한 유효성 및 적절성의 증거를 제공함. -예) 재고기록의 정확성 판단을 위한 재고조사

(5) Overview of steps in an audit Plan, reach an overall understanding of internal control Test : to evaluate if they are operating effectively Substantive test of details of transactions : to evaluate whether a material loss or account misstatement has occurred or might occur Substantive test of balances or overall results : to gather sufficient evidence to make a judgment on the size of losses or account misstatement has occurred or might occur. 5. Audit opinion: based on their evaluation of the evidence collected Substantive Test Start Planning Tests of Controls Review of Organization’s policies, practices & structure Perform Tests Of controls Perform substantive tests Review General control & Application control Evaluate test results Evaluate results & Issue Auditor’s Report Plan tests of controls & Substantive testing procedures Determine degree of Reliance on controls Audit Report

(6) Auditing around or through the computer Auditing around the computer Arriving at an audit opinion through examining and evaluating management controls and then input and output only for application systems.(computer:black box) Cost-effective when System is simple and batch oriented Cost-effective when an application systems uses a generalized package as its software platform When the focus is on the reliability of user controls rather than the reliability of computer control Auditing through the computer Auditors use computer to test (1) the processing logic and controls existing within the system and (2) the records produced by the system