1.10.1 감사결과 소통

IS 감사인은 감사결과의 궁극적 책임이 고위 경영진과 감사위원회에 있다는 점을 알고 있어야 하며, 쟁점과 우려사항 등을 이들과 자유롭게 의사소통해야 한다. 고위 경영진보다 낮은 직급에 의한 접근을 거부하려는 시도는 감사의 신뢰성을 제한할 수 있다.
감사결과를 고위 경영진에게 보고하기 전에, IS 감사인은 피감사 조직의 경영진들과 발견사항을 토의해서 발견사항에 대한 동의를 얻고 교정조치의 과정에 대한 합의를 이끌어 낸다.

1.10.3 감사보고서의 구조 및 내용 처음
감사보고서는 IS 감사 작업의 최종 산출물이다. 보고서는 모든 심각한 감사 발견사항을 포함해야한다. 심각한 발견사항에 대한 소통을 하기 전에 보고서의 의도나 내용을 변경하며 안 된다.

1.10.4 감사 문서 처음
문서는 법과 규칙, 계약 협정사항과 직업적 기준에서 요구하는 감사정보를 포함하여야 한다.
감사 기록문서는 도달한 결론을 지지하는 증거가 필요하고 간결, 완전, 쉬운 검색과 충분히 포괄적이어야 한다. 감사 기록문서는 일반적으로 피감사인의 자산으로 특별하거나 일반적인 허락을 받은 승인된 사람만 접근 가능하여야 한다. 외부기관이 감사 기록조서에 접근하려고 할 때, IS 감사와 보증전문가는 고위 경영진과 법률 고문으로부터 사전에 적절한 승인을 획득하여야 한다.
하지만 사법기관의 요청이 있을 때 즉각적으로 그와 관련된 자료를 제출해야 한다.

1.11.1 내부통제 자체평가(CSA – 별표 10개) 처음
내부통제 자체평가는 직원과 부서의 관리자, 또는 부서가 속한 직원과 관리자가 수행한 통제평가이다. 이것은 이해관계자, 고객 및 기타 기관들에게 조직의 내부통제 시스템이 신뢰할 수 있다고 확신하는 관리기법이다. 이것은 또는 직원들이 비즈니스에 대한 위험을 인지하는 것이다.
정기적으로 선도적인 통제평가를 실시하도록 한다. 이는 공식적으로 비즈니스 위험, 문서화된 협업 프로세스를 관리하려고 설계한 비즈니스 목적과 내부통제를 성취하는데 포함된 핵심 비즈니스, 목적, 위험을 검토하는데 사용되는 방법론이다. IS 감사인은 비즈니스 프로세스에 대한 위험을 기반으로 비즈니스 프로세스 소유자들이 적정한 통제를 정의하고 접근하도록 돕고, 통제의 필요성을 이해하도록 하는 촉진자로서의 역할도 한다. 촉진자의 역할은 의사결정 과정을 지지하는 것이다.
촉진자는 참가자들이 자신의 경험이나 다른 사람의 경험을 살펴볼 수 있도록 돕고, 통제의 강점과 약점을 파악하며, 그들의 경험과 발상, 우려사항들을 서로 공유하는 것을 지지하는 환경을 만든다.
만약 적절하다면, 촉진자는 발상과 경험의 교환을 촉진하는데 덧붙여서 자신의 전문성도 제공

내부통제 자체평가의 목적
내부통제 자체평가의 가장 중요한 목적은 통제 모니터링 책임의 일부를 현업 부서로 이관함으로써 내부 감사기능을 최대한 끌어올리는 것이다. 즉 내부통제 자체평가는 감사의 책임을 대체하는 것이 아니라 강화하는 것이다. 그리고 경영진도 통제를 모니터링해야한 한다. 내부통제 자체평가 프로그램을 특히 고위험 분야에 집중해서, 통제의 설계와 모니터링을 경영진에게 교육해야 한다.

핵심적 성공요소(CSF)는 내부 통제시스템의 신뢰성을 결정하기 위해 사업부서의 주요 목적을 파악할 수 있도록, 적절하고 관련된 직원과 경영진이 포함된 사업부서 대표들과 회의를 진행하는 것이다. 또한 주요 목적을 달성할 가능성을 높이는 활동도 파악되어야 한다.

내부통제 자체평가의 혜택(장점)
● 위험의 조기탐지
● 보다 효과적이며 개선된 내부통제
● 직원 참여를 통한 결속력 있는 팀을 창출
● 직원과 프로세스 소유자들에게 주인의식의 생성과 통제 개선 과제에 대한 저항을 감소
● 직원들의 조직의 목표, 위험과 내부통제의 지식의 중요성에 대한 증진된 의식
● 운영 경영진과 고위 경영진 간의 의사소통 향상
● 높은 동기의식을 가진 직원
● 감사 등급 프로세스의 개선
● 통제비용 감소 및 이해관계자와 고객에게 제공된 보증
● 미국의 사베인즈-옥슬리 법과 같은 다양한 규제기관과 법률에서 요구하는 내부통제의 적절성에 대한 최고경영진에게 주어진 필요한 보증
● 
내부통제 자체평가의 단점(장단점 문제 나옴)
● 감사기능의 대체로 오해될 수 있다.
● 부가적인 업무 부담으로 여겨질 수 있다(예 경영진에게 제출하는 추가적인 보고)
● 개선안에 대한 실행의 실패는 직원의 시가를 저해할 수 있다.
● 결여된 동기부여는 약한 통제를 탐지하는데 효과성이 제한적일 수 있다.

내부통제 자체평가에서 IS 감사인의 역할
내부통제 자체평가 프로그램이 수립되면, 감사인들은 내부통제 전문가 및 평가 촉진자가 된다. 감사인이 촉진적이고 혁신적인 역할을 효과적으로 하려면 평가하려는 비즈니스 프로세스를 반드시 이해해야 한다.

1.11.2 통합 감사 처음
이런 유형의 통합감사는 운영, 프로세스 또는 기업을 아우르는 핵심 내부통제를 평가하는 것과 결합되어서, 위험에 중점을 두고 적절히 감사원칙을 수행하는 것으로 정의할 수 있다.

위험평가는 관련된 내부통제를 포함하여 기업과 기업환경에서 발생하는 위험을 이해하고 식볋하는데 목적이 있다.

● 감사영역에 대한 조직이 당면한 리스크를 식별 
● 관련된 핵심 통제에 대한 파악
● 핵심 통제의 설계를 검토 및 이해
● IT 시스템이 핵심통제를 지원하는지를 통제
● 관리통제가 효과적으로 수행되고 있는지를 통제
● 통제위험, 설계 및 취약점에 대한 결합된 보고서 또는 의견
통합감사는 비즈니스 위험에 중점을 두고 창의적인 통계 해결책을 추진할 것을 요구한다.

통합 감사: 운영 감사 + 재무감사 + IS감사