Shin, SooJung Based on Ron’s book

Slides:



Advertisements
Similar presentations
2016 년도 1 학기 정보보호관리체계 (ISMS) 인증 이 강 신
Advertisements

1 Lect. 2 : Introduction II Are you ready to begin?
Product Lifecycle Management © 2003 IBM Corporation PLM Definition Product Lifecycle Management.
Certified Management Accountant [ 국제공인 관리회계사 ] ( 토 ) ~ ( 토 ) 년 제 6 기.
항공 예약 시스템 1 조 ( 김민철, 김영주, 이혜림, 장유정, 조윤주, 문하늘 ). 목차 차세대 전산시스템 도입의 필요성 현재 항공 시스템 ( 대한항공 ) 항공 시스템의 변화 미래항공 시스템.
목 차 ○ 변화의 필요성 – 기업생존 ○ 설비 보수 기술 선진화의 필요성 ○ 설비 보수 기술 선진화 추진방법.
마이크로소프트 프리미어 지원 라이선스 (소개자료).
목차 국가 R&D 기획ㆍ조정ㆍ평가 체계 국가 R&D 사업의 조사ㆍ분석 국가 R&D 예산 조정ㆍ배분 국가 R&D사업의 평가
Capstone Design - Concept & Management
Chapter 9. 컴퓨터설계기초 9-1 머리말 9-2 데이터 처리장치 (Datapath)
Chapter 2 정보시스템 아키텍처 (IS Architecture)
DICOM Security 디지털정보융합학과 심영복.
National Computerization Agency
HR Strategy의 전체상 3. 인적자원관리 전략과 기능 1) 인적자원관리 전략과 정책 Unchangeable
3장 조직 정보시스템과 영향 정보시스템을 분류하는 용어와 개념 © Gabriele Piccoli.
Introduction to Computers
원가절감을 위한 구매전략 July 구매기획팀.
전자정부 서비스 운영을 위한 SLA 적용 방안 남기찬 교수 서강대학교 아웃소싱연구센터 (
4. ITIL 개요 * ICT : Information & Communication Technology
Operating Systems Overview
5. 위험평가 신수정.
ISO / KS A 9001:2000 전환을 위한 지침.
Internet Computing KUT Youn-Hee Han
1. 정보보호 관리체계(ISMS) 이해.
한국 IBM Tivoli 사업부 박형근 과장 (CISA, CISSP)
12. 데이터베이스 설계.
ISO 실무교육 교재.
증시 '3월 퇴출 공포'…. 증시 '3월 퇴출 공포'… 제1절 경영진의 책임과 감사인의 책임 Ι. 경영진의 재무제표 작성 책임 ΙΙ. 감사인의 감사의견 표명 책임 재무보고체계에 따라 재무제표를 작성하고 공정하게 표시할 책임 왜곡표시가 없는 재무제표를 작성하기 위한.
Shin, SooJung Based on Ron’s book
우수제조시설 개론-GMP.
A system is a set of related components that work together in a particular environment to perform whatever functions are required to achieve the system’s.
(Software Process Improvement & Case)
ISO 9001:2000 프로세스 접근방법의 이해와 적용 베스트경영컨설팅(BMC).
Program Management - Program and Project Definition -
S18/S49 The VISUAL Quality System
- Make Processes Manageable -
품질경영(ISO/FDIS 9001:2008) 개정규격 핵심내용 설명
Machine Vision의 이해
CM 제도 및 활용 방안 이 유 섭 (Ph.D. 수석연구원) 한 국 건 설 기 술 연 구 원.
제 2 장 기업경영이란.
Cognitive radio Either a network or a wireless node changes its transmission or reception parameters to communicate efficiently avoiding interference with.
KMS 구현 및 활용사례 경쟁력 강화를 위한 2002년 5월 28일(화) 김 연 홍 상무 / 기술사
프로젝트 관리 Project Management
제 1 장 소 개 시스템 분석 및 설계 허철회 2006학년도 2학기 상주대학교 컴퓨터공학과.
제8장 BSC와 지식경영.
Technology Strategy : An Evolutionary Process Perspective
제 10 장 의사결정이란 의사결정은 선택이다.
ERP 시스템의 구축 ERP 시스템의 구축 기업이 ERP 시스템의 도입을 검토하는 단계에서부터 실제 업무에 적용하고 사후관리에 들어가는 단계에 이르기까지 시스템을 효과적으로 사용하기 위해 필요한 모든 활동.
Introduction to Computers
9장 아웃소싱 보안구조 신수정.
시스템 분석 및 설계 글로컬 IT 학과 김정기.
시스템 분석 및 설계 글로컬 IT 학과 김정기.
소프트웨어 형상관리: 목차 변경 및 형상관리의 기초 개념 형상항목 확인 및 버전관리 변경관리 감사 및 감사보고 99_11
13.1 정보시스템의 개요 13.2 정보시스템의 개발 13.3 시스템 검사 13.4 시스템 문서화
경영정보시스템(MIS) management information system.
기업과 경영 제 8 장 생산운영관리.
회계감사 박 한 순.
제1장 인적자원관리의 의의 노무관리, 인사관리, 인적자원관리란? 전략적 인적자원관리란? 인적자원관리의 발전 추이는?
Chapter 1 개요.
1. 관계 데이터 모델 (1) 관계 데이터 모델 정의 ① 논리적인 데이터 모델에서 데이터간의 관계를 기본키(primary key) 와 이를 참조하는 외래키(foreign key)로 표현하는 데이터 모델 ② 개체 집합에 대한 속성 관계를 표현하기 위해 개체를 테이블(table)
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
(Wed) Hyun Woong Nam.
멀티미디어시스템 제 4 장. 멀티미디어 데이터베이스 정보환경 IT응용시스템공학과 김 형 진 교수.
멀티미디어시스템 제 5 장. 멀티미디어 데이터베이스 개념 IT응용시스템공학과 김 형 진 교수.
The general form of 0-1 programming problem based on DNA computing
1. 데이터베이스 환경.
6장 정보분류 신수정.
기술경영학 박사과정 곽규태 사회학과 석사과정 권애정
목 표 관 리.
우수제조시설 개론-GMP.
Presentation transcript:

Shin, SooJung Based on Ron’s book Information Systems Control & Audit(1) Shin, SooJung Based on Ron’s book

Overview of Information Systems Auditing Chapter 1 Overview of Information Systems Auditing

(1) Need for Control & Audit of Computers Costs of computer abuse Cost of incorrect decision making Value of HW, SW, personnel High costs of computer error Organizational Costs of data Loss Maintenance of privacy Organization Controlled evolution of computer use Control & Audit of Computer-based Information Systems

(1) Need for Control & Audit of Computers 데이터 손실의 비용: 데이터는 조직의 Operation을 위해 중요한 자원임. 데이터는 조직의 이미지, 환경, 히스토리 및 미래를 표현함. 이러한 이미지가 부정확할 경우 근본적인 손실을 가져옴. 부정확한 의사결정: 정확한 의사결정은 정보시스템내에 있는 데이터의 질과 의사결정 rule의 질에 달려있음. 컴퓨터 남용의 비용: Abuse(hacking, viruses, illegal physical access, abuse of privileges)는 중요한 손실(자산의 파괴, 절도, 수정, privacy 침해, 운영의 방해, 불법적인 사용, 사람에게 물리적인 피해 등)을 가져옴. HW, SW, 인력의 가치: 손상을 받을 경우 기업에 큰 피해를 가져옴. 컴퓨터 에러의 높은 비용: 금융, 항공관제 등의 컴퓨터 에러 등은 상당한 피해를 가져옴. Privacy의 유지 컴퓨터 사용에 대한 controlled evolution: 컴퓨터의 신뢰성이 깨질 경우의 위험, 컴퓨터의 인력대치 문제 등 IT기술의 부적절한 사용에 대한 monitoring과 evaluating의 필요 대두

Improved safeguarding of assets (2) Information Systems Auditing Defined IS Auditing: the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. Information Systems Auditing Organization Improved safeguarding of assets Improved Data integrity Improved system effectiveness Improved system efficiency 4 objectives

(2) Information Systems Auditing Defined Asset safeguarding: Asset(HW, SW, 시설, 사람, 데이터 파일, 문서, 공급자 등)의 보호 Data Integrity: 데이터 손실시 경쟁적 위치가 손상됨. System effectiveness: 효과적인 정보시스템의 그것의 목표(objectives)를 성취하는 것임. 효과성 측정을 위해서는 사용자의 필요를 파악해야 함. System efficiency: 효율성이란 요구된 목표를 성취하기 위해 minimum resource를 사용하는 것임.

(3) Effects of computers on internal controls Computer-based Information Systems Traditional internal controls Delegation of Authority and responsibility Separation of duties Competent and trustworthy personnel Systems of authorizations Adequate documents and records Physical control over assets and records Physical control over assets and records Adequate management supervision Comparing recorded accountability with assets Independent checks on performance Adoption Adaption

(3) Effects of computers on internal controls Separation of duties: 컴퓨터 시스템에서는 임무에 따라 코드를 분리하기 어려움, 이에 따라 다른 형태의 임무의 분리가 필요함.(프로그램수행과 변경 등) Delegation of authority and responsibility: 컴퓨터 시스템에서는 자원이 여러사람들에 의해 공유되므로 책임할당이 어려운 경우가 많음.data owner 등의 도입 필요 Competent and trustworthy personnel: 정보시스템의 인력은 상당한 권한을 가지고 있음. 이에 따라 유능하고 신뢰성있는 인력이 필요하나 그러한 인력을 구하기 어려움. System of authorization: 컴퓨터 시스템에서는 할당된 허가가 프로그램안에 존재되어 있음. 인력의 작업내역 뿐 아니라 프로그램 프로세싱의 정확성을 검토해야 함. Adequate documents & records: 컴퓨터 시스템에서는 충분한 문서화 증거를 가지기 어려움. 시스템 설계를 잘 해야지만 충분한 audit trail존재, 과도한 기록도 문제 Physical control over assets and records: 시스템 한 곳에 모든 필요한 정보들 집중 Adequate management supervision: 전자적인 통신망을 통해 이루어지므로 관리층이 적절히 부하직원의 행동을 확인하기 어려움. Independent checks on performance: 컴퓨터 시스템에서는 실수등에 대한 독립적인 인력에 의한 점검이 어려움, 코드의 정확성 검증이 필요함 Comparing recorded accountability with assets: 컴퓨터 시스템에서는 프로그램이 정확성과 충분성에 대해서 검증함, 코드의 정확성 검증이 필요함.

(4) Effects of computers on auditing Changes to evidence collection: 컴퓨터로 부터 증거의 확보필요. Changes to evidence evaluation: Auditor는 control이 신뢰성있게 또는 문제를 가지고 작동되는지 평가하고, 또한 control 강, 약점의 결과를 trace해야 함. 이러한 작업이 컴퓨터 시스템에서는 상당히 복잡함. 컴퓨터시스템의 error의 결과는 manual system에 비해 상당히 critical 함.

(5) Foundation of information system auditing Control philosophy Information System management Ways of development and implementation Traditional Auditing Information System Auditing Offering technology Computer science Behavioral science People problem

Conducting an Information Systems Audit Chapter 2 Conducting an Information Systems Audit

(1) The Nature of control A control is a system that prevents, detects, or corrects unlawful events. * System: comprises a set of interrelated components that function together to achieve some overall purpose.(요소들(사람, 컴퓨터, 통신, 자료 등)이 상호 유기적으로 연결되어 일사분란하게 내외부 환경에 대응해서 공통적인 목표를 달성하려는 체계) * Unlawful event : can arise if unauthorized, inaccurate, incomplete, redundant, ineffective or inefficient input enters the system. Ex) instructions are placed on a source document to prevent clerks from filling it out incorrectly Reduced the probability of unlawful events occurring Preventive control Ex) An input program identifies incorrect data entered into system via a terminal Detective Control Reduced the amount of losses that arise if the unlawful events occurs Ex) A program uses special code that enable it to correct data corrupted because of noise on a communications line Corrective Control

Undesirable(Unlawful) Events (1) The Nature of control Undesirable(Unlawful) Events -Access -Fraud -Errors -Mischief Preventive Preventive Preventive Control Exposure Detective Detective ASSETS Corrective Corrective Corrective

(2) Dealing with complexity Breaking a complex system up into subsystems(factoring) Assessing subsystem reliability Factoring의 원칙 The essence of a subsystem is the function it performs to accomplish the overall objectives Each subsystem should be relatively independent of other subsystems Each subsystem should be internally cohesive System Subsystem Subsystem Subsubsystem Subsubsystem Subsubsystem

(2) Dealing with complexity Managerial functions That must be performed to ensure that Development, implementation, operation, and maintenance of IS Proceed in planned and controlled manner Application functions That need to be undertaken to accomplish reliable information processing Information systems function Ex) sales, Payroll, Payment cycle Management systems cycles Ex) sales Cycle -order-entry, Billing, AR Application systems Application systems Management subsystems Top management IS management System Development management Programming management Data administration QA management Security management Operations management Application subsystems Boundary(interface) Input Communications Processing Database output

(2) Dealing with complexity Breaking a complex system up into subsystems(factoring) Assessing subsystem reliability Lowest level subsystem으로 부터 시작하여 서브시스템내에서 발생하는 모든 다른 type의 event를 identify함 발생하는 event는 lawful과 unlawful로 구분함. Reliability evaluation은 subsystem에서 upward로 management subsystem에서 발생하는 events의 정의의 기반: 각 subsystem이 수행하는 major functions에 초점을 맞춤. application subsystem에서 발생하는 events의 정의의 기반: 각 subsystem에 input을 주었을때 발생하는 transaction에 초점을 맞춤. Higher level에서는 새로운 control 존재 Error 1 Error 2 Error 3 Error 4 Control A H Control B M L H: High-effectiveness control

(3) Audit Risks Audit Risk: the risk of an auditor failing to detect actual or potential material losses or account misstatements at the conclusion of the audit. DAR(desired audit risk)=IR(inherent risk)*CR(control risk)*DR(detection risk) - IR: 감사상에 loss의 존재가능성, 관련된 보완 통제가 없다고 가정할 경우, 감사중에 직면하는 여타오류와 결합되어 중대한 오류로 존재할 위험. 감사와 독립적으로 존재하며 사업의 특성에 의해 발생함. 무너져가는 회사는 안정된 회사보다 IR이 큼. (IR factor: Financial system, strategic system, critical operational system, technological advanced system) - CR: 내부통제가 loss를 방지하고, 발견하고, 수정하지 못할 likehood, 중요한 오류가 내부 통제 시스템에 의해 시기적절하게 예방되거나 탐지되지 않을 위험. 감사자는 내부통제 테스트를 통해 control risk의 레벨을 줄일 수 있음. (evaluating management controls -> application system control) - DR: 감사상의 감사절차가 loss를 발견하지 못할 위험, 부적절한 시험절차로 인해 사실상 중요한 오류가 존재하는데도 감사자가 그렇지 않다고 결론지을 위험. 감사자는 acceptable 한 detection risk의 level을 설정해야 함.

(4) Types of audit procedures Evidence를 수집하기 위한 Procedures Procedures to obtain an understanding of controls Tests of controls Substantive tests of details of transactions Substantive tests of details of account balances(원장대차대조 및 손익계산서에 초점) Analytical review procedures (상세한 감사작업이 필요한 영역을 정의하기 위해 데이터 항목간의 관계를 초점하는 테스트) 조직 Operation의 효과성과 효율성을 평가하기 위한 Procedures Procedures to obtain an understanding of controls(효과성, 효율성 달성을 위한 control) Tests of controls(administrative control의 설계와 효율적 운영에 초점) Substantive tests of details of transactions(예) response time) Substantive tests of overall results(예) average response time) Analytical review procedures (예) model을 설정하여 자원의 효과적 사용 평가)

(4) Types of audit procedures 준거성 테스트(Compliance Test, Test of Control) -조직의 통제절차 준수를 테스트하는 목적임 -통제가 경영 정책과 절차에 준거하는 방법으로 적용되고 있는지를 판정함. -예) 프로그램 라이브러리 통제 테스트: 원시코드와 목적코드의 동일성 판정을 위한 표본 선정 실증테스트(Substantive Test) -재무적인 기록의 양과 노출의 적정성을 평가하기 위함 -실제 처리상의 무결성을 실증함. -재무재표상의 잔액과 잔액을 지지하는 거래에 대한 유효성 및 적절성의 증거를 제공함. -예) 재고기록의 정확성 판단을 위한 재고조사

(5) Overview of steps in an audit Plan, reach an overall understanding of internal control Test : to evaluate if they are operating effectively Substantive test of details of transactions : to evaluate whether a material loss or account misstatement has occurred or might occur Substantive test of balances or overall results : to gather sufficient evidence to make a judgment on the size of losses or account misstatement has occurred or might occur. 5. Audit opinion: based on their evaluation of the evidence collected Substantive Test Start Planning Tests of Controls Review of Organization’s policies, practices & structure Perform Tests Of controls Perform substantive tests Review General control & Application control Evaluate test results Evaluate results & Issue Auditor’s Report Plan tests of controls & Substantive testing procedures Determine degree of Reliance on controls Audit Report

(6) Auditing around or through the computer Auditing around the computer Arriving at an audit opinion through examining and evaluating management controls and then input and output only for application systems.(computer:black box) Cost-effective when System is simple and batch oriented Cost-effective when an application systems uses a generalized package as its software platform When the focus is on the reliability of user controls rather than the reliability of computer control Auditing through the computer Auditors use computer to test (1) the processing logic and controls existing within the system and (2) the records produced by the system