작동 방식

DORA는 금융 부문의 디지털 탄력성을 보장하기 위해 네 가지 기둥을 설정합니다: ICT 위험 관리, 보고, 테스트, 타사 관리. 감사인이 중점을 두어야 할 부분은 경영진이 이 네 기둥을 식별하고 문서화했는지 여부입니다.
ISA 315.32는 감사인이 정보 기술 환경을 이해하도록 요구합니다. DORA의 맥락에서 이는 단순히 기업이 "IT를 사용한다"는 사실을 확인하는 것이 아니라, 경영진이 ICT 운영 위험을 구조적으로 식별, 평가, 통제했는지를 검증하는 것입니다. ISA 315.13(a)에 따라 감사인은 내부통제 환경의 일부로서 이 위험 평가 프로세스를 평가합니다. DORA 규정은 경영진이 이 평가를 어떤 범위와 깊이까지 수행해야 하는지를 명시합니다.
피감사회사가 DORA 적용 대상이 아닌 경우에도 핵심 정보 시스템 장애(예: ERP 시스템 다운타임, 사이버 사건)는 ISA 315와 ISA 240의 부정행위 위험 식별 단계에서 고려해야 합니다. 감사인이 이를 간과하면 IT 환경 변화로 인한 왜곡표시를 놓칠 수 있습니다.

산출 예시: Bergmann Finanzvertrieb AG

고객사: 독일 재무 상담 회사, 2024년 회계연도, 매출 €8.5M, IFRS 보고자, 10명 직원
Bergmann은 소규모 금융 지원 회사로, 디지털 기반 고객 문서 관리 시스템을 운영합니다. 피감사회사는 DORA 규정 직접 대상은 아니지만(2025년 1월 이후 금융기관이 주요 대상), 금융 데이터 보관과 고객 거래 기록이 모두 클라우드 기반 회계 소프트웨어(QuickBooks Online)에 저장되어 있습니다.
1단계: 정보 기술 환경 식별
감사팀이 계획 단계에서 "회계 소프트웨어가 있나요?"라는 일반적 질문을 했고, 경영진은 "QuickBooks Online을 사용합니다"라고 답했습니다.
문서화 노트: ISA 315 체크리스트가 "IT 환경" 섹션을 "QuickBooks ✓"로 표시하고 끝남.
2단계: ISA 315.32에 따른 심화 평가 (DORA 관점 추가)
감사팀이 ISA 315.32를 다시 읽고, DORA 규정이 정의한 ICT 위험 관리 요소를 확인했습니다. 경영진에게 다음을 질문했습니다:
문서화 노트: 피감사회사는 "IT 담당자가 있지만 정책이 없습니다"라고 답했습니다. 감사팀은 ISA 315 평가 워크페이퍼에 이를 통제 결함으로 기록했습니다: "사용자 접근 관리 정책 미흡. 종료된 직원의 계정이 비활성화되지 않았을 가능성."
3단계: 왜곡표시 위험 평가
ISA 315.32 평가 결과 다음을 식별했습니다:
이 두 위험은 실질적 절차(ISA 500)를 트리거했습니다:
문서화 노트: ISA 500 절차 확장이 ISA 315 평가 결과로 인해 필요했다고 기재했습니다.
결론: DORA 규정이 직접 적용되지 않아도 ISA 315.32는 경영진의 IT 환경 관리 수준에 대한 구체적 평가를 요구합니다. 이 평가가 부족하면 감사인은 IT 통제 결함을 놓칠 수 있고, 결과적으로 금액 왜곡표시나 공시 오류를 놓칠 위험이 높아집니다.

  • QuickBooks 인스턴스에 대한 접근 통제는 누가 관리하나? (역할 기반 접근 제어가 설정되어 있나?)
  • 사용자 계정 관리(추가, 삭제, 권한 변경)는 어떤 프로세스로 진행되나?
  • 데이터 백업은 얼마나 자주, 어디에 저장되나? 복구 테스트를 한 적이 있나?
  • 사이버 사건이나 시스템 장애가 발생하면 누가 대응하나? 문서화된 대응 계획이 있나?
  • 접근 통제 미흡으로 인한 금액 입력 오류 위험: 중간
  • 백업/복구 계획 부재로 인한 데이터 손실 위험: 중간
  • 월별 거래 입력 정확성에 대한 분석적 절차를 강화했습니다.
  • 분기말 거래 거의가 사용자별로 추적되는지, 적절한 승인을 받았는지 테스트했습니다.

감시자와 실무가들이 놓치는 부분

  • 국제 감시 표준: ISA 315(2019년 개정) 감사 결과에 따르면, 감사인이 정보 기술 통제를 문서화하지 않거나 일반적 진술("IT가 존재함")에만 의존하는 것이 가장 흔한 발견입니다. DORA 규정 시행 이후 이 발견이 더욱 두드러질 것으로 예상됩니다. 감시자는 피감사회사가 DORA 대상이 아니더라도, 감사인이 ISA 315.32에 따라 IT 환경을 충분히 평가했는지 검토합니다.
  • 실무 오류: 비금융기관을 감사하는 팀은 DORA를 "금융 규정"으로 분류하고 평가에 포함시키지 않습니다. 그러나 피감사회사가 금융 데이터를 디지털로 관리한다면(거의 모든 기업의 경우), ISA 315.32의 정보 기술 환경 평가는 계획 단계에서 필수입니다. DORA를 "우리 고객에게 적용되지 않으니 무시한다"고 가정하는 것은 ISA 315의 핵심 요구사항을 외면하는 것입니다.
  • 문서화 미흡: 감사팀이 IT 환경 평가를 수행했더라도 워크페이퍼에 기록하지 않는 경우가 많습니다. 특히 "통제가 있다" 또는 "통제가 없다"는 결론 없이 "QuickBooks 사용함"이라는 사실만 기재합니다. ISA 315.32는 통제 환경 평가를 요구하므로, "통제가 없으므로 왜곡표시 위험이 증가했다"는 결론까지 문서화해야 합니다.

관련 용어

  • ISA 315: 감사 위험을 식별하고 평가하기 위해 피감사회사와 그 환경을 이해하는 과정. DORA 규정은 이 과정의 "정보 기술 환경" 단계에 구체적 내용을 추가합니다.
  • 내부통제 환경: 경영진과 감사위원회가 수립한 통제 기조. IT 보안과 사이버 사건 대응은 내부통제 환경의 일부입니다.
  • 사이버 위험: 해킹, 데이터 유출, 시스템 장애 등 정보 기술 사건으로 인한 위험. ISA 240의 부정행위 위험 식별에서도 고려됩니다.
  • ISA 240: 부정행위와 오류를 탐지하기 위한 감사인의 책임. 사이버 사건이나 시스템 조작은 부정행위 위험 요인으로 평가될 수 있습니다.
  • ICT 운영 위험: 정보 기술 장애, 보안 침해, 데이터 손실로 인한 재무적 또는 운영적 손실.
  • 제3자 서비스 제공자: 클라우드 회계 소프트웨어, ERP 호스팅 회사 등 기업의 핵심 디지털 기능을 제공하는 외부 업체. DORA 규정은 기업이 이들을 관리하는 방식을 정의합니다.

관련된 ciferi 도구

ciferi의 ISA 315 위험 식별 도구를 사용하여 정보 기술 환경 평가를 체계적으로 문서화하고, DORA 규정이 정의한 ICT 운영 위험 요소를 포함시킬 수 있습니다.
---

UI 라벨

  • pageTitle: DORA
  • breadcrumb1: 용어집
  • breadcrumb2: DORA
  • relatedTermsLabel: 관련 용어
  • relatedToolsLabel: 관련 도구
  • definitionLabel: 정의
  • keyTakeawaysLabel: 핵심 내용
  • howItWorksLabel: 작동 방식
  • workedExampleLabel: 산출 예시
  • whatReviewersGetWrongLabel: 감시자와 실무가들이 놓치는 부분
  • relatedTermsHeading: 관련 용어

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.