Businessman discussing strategy with female colleagues in office
Compliance6월 10, 2022

감사의 리스크 불확실성 감소

내부 감사, 정부 및 공공 회계 보증 직위의 감사자는 리스크 전문가로 간주됩니다. 이들 업무의 본질적인 부분은 재무, 규정 준수, 평판, IT, 사기, 기타 다양한 경제적 리스크 등에 상관없이 비즈니스 리스크를 식별하는 것입니다. 그런데 감사자가 올바른 리스크에 초점을 맞추고 있나요?

표준 리스크 모델을 표면적 수준의 브레인스토밍으로 채울 경우 대개 보안에 대해 잘못 인식하고 리스크를 간과하게 됩니다. 그리고 리스크 관리 제어는 설계, 이행 및 실효성 확인을 담당하는 사람만큼만 효과적이라는 것이 현실입니다.

두 부분으로 구성된 이 시리즈의 1부에서는 감사 환경에서 실제로 중요한 리스크로 범위를 좁혀 살펴보면서 감사자가 파악하고 처리해야 하는 정확한 사항을 명확히 다루겠습니다.

질문 및 경청

“auditor”, 즉 “감사자”라는 단어에 대해 생각해 보면 어원이 “auditory”로, 경청하는 것을 의미합니다. 따라서 감사자는 실제로 “경청하는 사람”입니다. 감사자가 업무를 처리하고 정보를 수집하며 경영진이 리스크를 적절하게 처리하는지 여부를 평가하는 주요 방법은 질문을 하고 답변을 경청하는 것입니다. 감사자가 이러한 과정을 수행할 수 있을 때 리스크-감사 관계가 하나로 결합됩니다.

동료인 다나 피어스(Dana Pearce)는 리스크-감사 관계를 다음과 같이 설명합니다. “리스크 관리는 조치를 취하거나 조치를 취하지 않아서, 예측하거나 예측하지 못해서, 계획했거나 계획하지 못해서 무엇을 얻거나 잃을 수 있는지 이해함으로써 가치를 구축하는 기술입니다.” 감사자로서 우리의 업무는 “무슨 문제가 있을 수 있나요? 어떤 기회를 놓치고 있나요?”라고 묻는 것입니다. 관리 관점에서 물었을 때 이러한 두 질문은 리스크 관리 이니셔티브의 출발점입니다.

핵심 규정 준수 및 통제 리스크 외에도 감사자는 “고객을 잃거나 현금 유동성이 낮아지거나 수익률이 악화되기 시작하면 어떻게 될까요? 소유자라면 어떤 초기 경고 신호에 주의를 기울여야 할까요?”라고 질문해야 합니다. 감사자는 리스크-감사 관계에 대해 더 광범위하게 바라봐야 합니다. 비즈니스 환경과 글로벌 팬데믹 이후 지난 몇 년 동안 변화한 상황을 다시 살펴보면 지금이 리스크 감사 관계를 더욱 강화하고 추진할 수 있는 좋은 시기라는 걸 알 수 있습니다.

알려진 리스크와 알려지지 않은 리스크 관리

비즈니스 환경이 더욱 복잡해짐에 따라 감사자는 새로운 수준의 다양한 리스크를 예상해야 합니다. 이러한 리스크를 예측할 수는 없더라도, 경영진이 리스크의 영향을 완화시키도록 모든 감사자가 취할 수 있는 조치가 있습니다.

기존 리스크

오늘날 감사자가 알고 있는 리스크인 기존 리스크는 두 계층으로 나눌 수 있습니다. 첫 번째 계층에는 재무, 규정 준수, 평판, 기술, 사기 리스크가 포함됩니다. 이 계층은 감사자가 일반적으로 매년, 6개월마다 또는 프로젝트별로 리스크 평가를 수행하는 리스크입니다. 그런데 운영, 공급망, 인프라, 지식 및 경쟁과 같은 두 번째 계층의 리스크를 리스크 평가에 포함하면 감사자가 사고의 폭을 확장하고 조금 더 넓게 접근하는 데 도움이 될 수 있습니다.

블랙 스완 리스크

블랙 스완 리스크는 정말 이례적인 사건입니다. 이는 세계적 팬데믹, 테러리즘, 정치적 불안정, 혁신적 기술 또는 자연재해와 같이 중요도와 영향력이 높으며 확률은 낮은 사건입니다. 또한 한두 시간 동안 시스템을 다운시키는 정도가 아니라 오랜 기간 동안 조직이 비즈니스를 운영하지 못하게 되는 기술의 완전한 실패일 수도 있습니다. 감사자가 블랙 스완 사건을 적절하게 고려하고 있나요? 팬데믹 상황에서 벗어났지만 그 시절의 교훈을 바탕으로 하면 비즈니스 리스크에 파악하고, 감사자가 사전에 잠재적인 블랙 스완 사건에 대해 어떻게 계획해야 하는지 파악하는 데 조금 더 많은 시간을 할애하는 것이 합리적입니다.

예상되는 리스크

예상되는 리스크는 기후 변화 및 해수면 상승과 같은 장래의 잠재적 리스크입니다. 이러한 리스크는 지금 당장은 관련이 없을 수 있지만, 리스크가 다가오고 있다는 리스크 신호나 관찰 가능한 징후가 있을 수 있으므로 감사자는 예상되는 리스크에 항상 주의를 기울여야 합니다.

경영진의 성실성

감사자는 감사 역할에서 그 어느 때보다 더 많은 리스크를 고려해야 합니다. 더욱 복잡한 감사 환경에서는 경영진의 성실성을 고려하는 것이 매우 중요합니다. 여기에는 해당 연도의 목표를 달성하기 위해 노력하는 고위 경영진, 중간 관리자, 감독자가 포함됩니다. 사람들이 극심한 압박을 받고 있기 때문에 경영진의 성실성 수준이 떨어질 가능성이 있나요? 이것은 감사자가 파악해야 할 사항입니다.

회계 시스템 및 정보의 신뢰성

회계 시스템이나 정보의 신뢰성이 떨어지면 어떻게 될까요? 경쟁으로 인한 압력, 현금 흐름의 압력 또는 성장 압력으로 인해 시스템을 적절하게 유지 관리할 수 없다면 어떻게 될까요? 감사자가 이러한 상황의 발생 가능성이 낮다고 생각할 수 있지만, 리스크는 여전히 남아 있으며 고려할 가치가 있습니다.

리스크 및 신뢰 서클

이른바 “신뢰 서클”과 관련하여 세 가지 리스크 근원이 있습니다. 신뢰 서클을 조직 전체의 운영으로 시각화해 보세요. 멀리서 보면 서클에 세 위치가 있음을 알 수 있습니다.

첫째, 대중, 고객 및 클라이언트, 학교의 학생, 정부가 서비스를 제공하는 납세자와 같이 신뢰 서클 밖에 있는 사람들이 있습니다. 조직은 이 첫 번째 위치에 있는 사람들과 상호 작용하지만, 액세스 및 트랜잭션 제어 기능을 구축하여 시스템에 대한 액세스를 제한합니다. 이 그룹은 외부 리스크를 구성합니다.

신뢰 서클의 두 번째 위치는 한 발은 안에, 한 발은 밖에 걸쳐 있습니다. 이 그룹에는 계약업체 및 컨설턴트, 비즈니스 파트너, 정기 공급업체가 포함되며, 이러한 모든 사람과 조직은 귀사 조직에 대한 절반의 진입만 허용됩니다. 두 번째 그룹이 자사/자신의 비즈니스 요구 사항과 목표를 가지고 있고 자사/자신의 이익을 창출하려고 노력하고 있음을 염두에 두면서 이 그룹에 대해서는 신뢰 서클의 절반의 진입만 허용해야 합니다. 귀사에 서비스를 제공해야 하는 두 번째 그룹의 수탁 책임은 때로 자사/자신의 이익 또는 투자 수익을 극대화하려는 욕망과 충돌할 수 있습니다.

세 번째 리스크는 신뢰 서클 내에 있는 사람들, 즉 직원들로 구성됩니다. 놀랄 수도 있지만, 직원이 실은 조직에 가장 높은 수준의 리스크를 초래합니다. 그 이유는 무엇일까요? 통제와 관련이 있습니다. 경영진은 주로 외부 리스크 또는 조직에서 절반만 허용한 사람들에 대해 보호 통제를 구축합니다. 이러한 사람들은 이미 신뢰 서클 내에 있는 직원과 달리 시스템에 아주 깊숙이 침투할 수 없습니다.

의미 있는 감사 조치의 기반으로서 “비즈니스 리스크”가 의미하는 바가 무엇인지 더욱 적절히 이해하게 되었으므로 이제 리스크 매트릭스를 포함한 리스크 허용한계 측정 툴이 어떻게 감사 부서를 돕고 방해할 수 있는지 자세히 살펴보겠습니다. 2부를 보려면 여기를 클릭하세요.

문의하기
First, there are the people located outside the circle of trust, such as the public, our customers and clients, the students in our schools and taxpayers our government serves. The organization interacts with people in this first position, but we build in access and transaction controls to limit their access to our systems. This group makes up the outside risk.

The second position on the circle of trust is one foot in and one foot out. This group includes contractors and consultants, business partners, and recurring vendors – all of those people and organizations that are allowed into your organization only halfway. You let them into your circle of trust with one foot while remembering that they have their own business needs and objectives and are trying to generate their own profit. And sometimes, their fiduciary responsibility to serve you may conflict with their desire to maximize their profits or return on investment.

The third risk is made up of the people inside the circle of trust – the employees. It might be surprising, but they bring the highest level of risk to your organization. Why? Your internal employees are the controls. Management builds protective controls primarily against outside risk or those who we only let in halfway. These people aren’t allowed to go too deep into our systems, unlike the employees already inside the circle of trust.

Now that you better understand what is intended by “business risk” as a foundation for meaningful audit action, we’ll take a closer look at how the tools for risk tolerance measurement, including risk matrices, can help and hinder the audit function. Click here for part two.
John Hall Headshot
대통령, Hall Consulting, Inc.
John J. Hall, CPA는 Hall Consulting, Inc.의 창립자이자 사장입니다. John은 연사, 감사인, 컨설턴트 및 사업주로서 40년 이상의 경험을 가지고 있습니다.
Back To Top