내부통제 프레임워크 가이드. scope-designer와 checklist-builder 에이전트가 감사 범위와 통제 항목을 설계할 때 참조. 'COSO', '내부통제', '통제 테스트' 요청 시 사용. 단, 외부 감사 대행이나 법적 의견서 작성은 범위 밖.
scope-designer / checklist-builder 에이전트의 감사 설계 역량 강화.
| 구성요소 | 설명 | 감사 포인트 |
|---|---|---|
| 통제 환경 | 조직 문화, 윤리, 역량 | 윤리 강령, 직무 분리, 교육 |
| 위험 평가 | 목표 달성 위험 식별/분석 | 위험 평가 프로세스, 문서화 |
| 통제 활동 | 위험 대응 정책/절차 | 승인, 검증, 물리적 통제 |
| 정보/소통 | 필요 정보의 적시 전달 | 보고 체계, IT 통제 |
| 모니터링 | 통제 효과 지속 평가 | 자체 점검, 내부 감사 |
| 유형 | 설명 | 예시 |
|---|---|---|
| 예방 통제 | 발생 전 차단 | 승인 절차, 접근 제한, 교육 |
| 탐지 통제 |
| 발생 후 발견 |
| 감사 로그, 대사, 이상 탐지 |
| 보정 통제 | 발견 후 교정 | 시정 조치, 롤백, 복구 |
| 방법 | 설명 | 적합 |
|---|---|---|
| 질의 (Inquiry) | 담당자 인터뷰 | 초기 이해, 프로세스 파악 |
| 관찰 (Observation) | 실제 수행 관찰 | 현장 통제 확인 |
| 검사 (Inspection) | 문서/기록 검토 | 증빙 확인, 승인 기록 |
| 재수행 (Reperformance) | 통제 절차 직접 수행 | 통제 효과 직접 검증 |
1. 감사 대상 프로세스 식별
2. 고유 위험 평가 (금액, 복잡도, 변경)
3. 통제 위험 평가 (통제 설계, 운영 효과)
4. 잔여 위험 = 고유 위험 × 통제 위험
5. 잔여 위험 높은 순으로 감사 우선순위
## 감사 범위
### 포함 (In-Scope)
- 기간: [YYYY-MM-DD ~ YYYY-MM-DD]
- 대상: [부서/프로세스/시스템]
- 기준: [규정/정책/법규]
### 제외 (Out-of-Scope)
- [제외 항목 및 사유]
### 감사 기준
| 기준 | 출처 |
|------|------|
| [기준 1] | [사내 규정/법규] |
| [기준 2] | [업계 표준] |
## 통제 항목: [ID]-[항목명]
- 카테고리: [COSO 구성요소]
- 유형: [예방/탐지/보정]
- 담당: [부서/역할]
- 빈도: [일/주/월/분기/연]
### 통제 기술
[구체적 통제 활동 설명]
### 테스트 절차
1. [테스트 단계 1]
2. [테스트 단계 2]
3. [확인 기준]
### 증빙 자료
- [필요 증빙 목록]
### 판정 기준
- 효과적: [기준]
- 부분 효과: [기준]
- 미효과: [기준]
| 항목 | 기준 |
|---|---|
| COSO 커버리지 | 5대 구성요소 검토 |
| 위험 기반 | 잔여 위험 기반 우선순위 |
| 통제 유형 | 예방/탐지/보정 균형 |
| 테스트 방법 | 항목당 2개 이상 |
| 증빙 | 테스트별 필요 증빙 명시 |
| 판정 기준 | 3단계 판정 기준 |