본 문항들은 시나리오 분석 및 감사 상황에서의 판단 능력을 평가하는 데 중점을 둡니다.
📝 Part 1: 내부감사 기초 (Internal Audit Basics) - 22문항
I. 윤리 및 독립성 판단 (Ethics & Independence Judgement)
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 1-1 | [시나리오] CAE는 인사팀의 요청으로 최근 해고된 고위 경영진의 개인 이메일 아카이브를 감사하도록 지시받았습니다. 인사팀은 감사 전에 CAE에게 '불법 행위 증거'를 찾아야 한다고 압력을 넣었습니다. CAE가 객관성을 유지하며 취해야 할 가장 적절한 조치는? A. 이메일 아카이브를 감사한 후, 요청대로 불법 행위 증거만 보고한다. B. 감사위원회에 보고하지 않고 인사팀의 요청을 거절한다. C. 감사위원회에 이 상황을 보고하고, 감사 헌장 및 윤리 강령에 따라 객관성을 유지하며 감사를 수행하겠다고 명확히 선언한다. D. 감사팀원들에게 감사 목표를 숨기고 감사를 진행한다. |
C | 객관성 및 독립성 위협이 발생했을 때는 **감사위원회(이사회)**에 즉시 보고하여 위협을 완화하고 독립적 지위를 확인받는 것이 가장 적절합니다. |
| 1-2 | [상황 판단] 내부감사팀 리더가 감사 대상 부서의 관리자와 대학 동문이며 개인적으로 친분이 두텁습니다. 이 상황이 가장 크게 위협하는 것은 무엇이며, 완화 조치는? A. 위협: 전문성 부족 / 완화: 외부 전문가 초빙 B. 위협: 객관성 손상 / 완화: 팀 리더를 해당 감사에서 배제하고, 다른 CAE가 검토를 담당한다. C. 위협: 독립성 부족 / 완화: 감사 기간 동안 연락을 끊는다. D. 위협: 비밀 유지 위반 / 완화: 감사 범위를 축소한다. |
B | 친분은 **친분 위협(Familiarity Threat)**을 발생시켜 객관성을 손상시킬 수 있습니다. 가장 강력한 완화 조치는 해당 팀 리더를 감사 프로세스에서 배제하는 것입니다. |
| 1-3 | [시나리오] 한 내부감사인이 감사 중 발견한 중요한 부정행위 증거를 감사 종료 후 한 달이 지나서야 CAE에게 보고했습니다. 이 감사인이 위반했을 가능성이 가장 높은 윤리 강령의 원칙은? A. 정직성 B. 기밀 유지 C. 객관성 D. 전문적 역량 및 성실성(Due Care) |
D | 중요한 발견 사항을 시의적절하게(Timely) 보고하고 처리하는 것은 합리적인 주의(Due Care) 의무의 핵심 구성 요소입니다. 지연 보고는 성실성 의무 위반입니다. |
| 1-4 | [상황 판단] 경영진이 내부감사 헌장의 최종 버전에 CAE의 접근 권한을 '제한'하는 문구를 삽입하려고 합니다. CAE가 독립성을 지키기 위해 취해야 할 첫 번째 조치는? A. 경영진의 요청을 받아들이고 일단 헌장을 승인한다. B. 내부감사팀의 규모를 축소하겠다고 위협한다. C. 이사회(감사위원회)에 이 문제의 심각성을 보고하고 독립성 보장을 요청한다. D. 해당 문구를 임의로 삭제하고 자신의 서명을 추가한다. |
C | CAE의 권한 제한은 내부감사 활동의 독립성에 대한 직접적인 위협이므로, 이사회에 보고하여 해결해야 합니다. |
II. GRC 상황 분석 (GRC Scenario Analysis)
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 1-5 | [시나리오] 감사 대상 부서의 리스크 관리 프로세스가 공식화되어 있으나, 직원들이 실제 업무에서 리스크 관리를 무시하고 있습니다. 감사인이 가장 먼저 결론 내려야 할 통제 시스템의 약점은? A. 통제 활동의 미흡 B. 모니터링 활동의 부족 C. 통제 환경의 비효과성 D. 정보 및 커뮤니케이션의 부족 |
C | 공식적인 프로세스가 있어도 직원이 따르지 않는 것은 조직의 분위기, 윤리적 가치, 경영진의 지원 등 통제 환경이 제대로 확립되지 않았음을 시사합니다. |
| 1-6 | [리스크 유형] 새로운 IT 시스템을 도입한 후, 시스템 운영 담당자가 변경 사항에 대한 교육을 제대로 받지 못해 중요한 데이터를 실수로 삭제할 리스크는 어떤 유형의 리스크입니까? A. 내재적 리스크 B. 통제 리스크 C. 탐지 리스크 D. 잔여 리스크 |
B | 시스템 운영 담당자가 교육을 받지 못한 것은 **내부 통제(교육 통제)**가 미흡하여 발생하는 리스크이므로 통제 리스크에 해당합니다. |
| 1-7 | [통제 분류] 회사가 고객으로부터 받은 대량의 데이터 입력 시, 시스템이 입력된 데이터의 합계가 사전에 정의된 총합과 일치하는지 자동으로 확인하는 통제는 무엇입니까? A. 예방 통제(Preventive) B. 탐지 통제(Detective) C. 교정 통제(Corrective) D. 보상 통제(Compensating) |
B | 오류 발생 후에 데이터의 정확성 여부를 확인하는 통제는 탐지 통제입니다. |
| 1-8 | [리스크 분석] 감사인이 특정 비즈니스 프로세스에서 내재적 리스크를 매우 높음으로 평가했습니다. 경영진이 이 리스크를 **수용(Accept)**하기로 결정했습니다. 감사인이 다음으로 취해야 할 조치는? A. 감사를 중단하고 다른 부서를 감사한다. B. 경영진의 결정을 비판하는 의견을 감사 보고서에 강하게 제시한다. C. 리스크 수용 결정이 조직의 리스크 성향(Risk Appetite) 내에서 이루어졌는지 평가한다. D. 이사회에 즉시 경영진을 해임할 것을 요청한다. |
C | 경영진의 리스크 수용 결정이 적절한지 판단하는 기준은 해당 리스크가 조직의 공식적인 리스크 성향을 초과하는지 여부입니다. |
| 1-9 | [부정행위 분석] 직원이 자신의 상사가 휴가를 간 동안 승인 통제를 우회하여 회사 자금을 횡령했습니다. 이는 부정행위 삼각형(Fraud Triangle)의 세 가지 요소 중 무엇을 가장 잘 보여줍니까? A. 압력/동기(Pressure) B. 합리화(Rationalization) C. 기회(Opportunity) D. 탐지 부족(Lack of Detection) |
C | 상사의 휴가로 인해 **승인 통제(Authorization Control)**가 제 기능을 하지 못한 것은 부정행위를 저지를 수 있는 기회를 제공한 것입니다. |
III. IPPF 및 기타 사항
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 1-10 | [IPPF 적용] 내부감사인이 감사 중 얻은 정보를 사용하여 개인적인 재정적 이익을 취했다면, 이는 IIA의 어떤 유형의 기준을 위반한 것입니까? A. 성과 기준(Performance Standards) B. 속성 기준(Attribute Standards) C. 전문적 개발 기준(Professional Development Standards) D. 자문 기준(Consulting Standards) |
B | 사적 이익 추구 금지는 윤리 및 객관성과 관련된 사항으로, 이는 내부감사인의 자격과 태도를 다루는 속성 기준에 속합니다. |
| 1-11 | [통제 한계] 내부 통제의 내재적 한계(Inherent Limitation)로 인해 발생하는 리스크에 대해 감사인이 취해야 할 최선의 접근법은? A. 모든 내재적 한계를 제거하기 위한 통제를 설계한다. B. 해당 한계가 있는 영역은 감사 범위에서 제외한다. C. 내재적 한계가 존재함을 인정하고, 그럼에도 불구하고 리스크를 허용 가능한 수준으로 낮추기 위한 통제를 평가한다. D. 내재적 한계를 이유로 감사를 거부한다. |
C | 내재적 한계는 제거할 수 없으므로, 감사인은 이를 인정하고 통제가 잔여 리스크를 조직의 리스크 성향 내에서 관리하는지 평가해야 합니다. |
| 1-12 | [CAE의 책임] CAE가 매년 리스크 기반 감사 계획을 수립한 후, 이 계획을 이사회에 제출하여 승인을 받아야 하는 주된 이유는? A. 이사회가 감사팀의 예산을 결정하기 위해 B. 이사회의 업무 부담을 늘리기 위해 C. 이사회(감사위원회)가 조직의 주요 리스크가 적절히 다루어지고 있다는 확신을 얻기 위해 D. 감사팀의 독립성을 입증하기 위해 |
C | 이사회는 조직의 리스크 감독(Oversight) 역할을 수행하므로, 감사 계획 승인을 통해 주요 리스크가 내부감사 범위 내에서 다루어지고 있음을 확인합니다. |
📊 Part 2: 내부감사 업무 (Internal Audit Practice) - 17문항
I. 감사 계획 및 증거 확보 시나리오 (Planning & Evidence)
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 2-1 | [감사 계획] CAE가 연간 감사 계획을 수립할 때, 최근 3년간 감사 경험이 없더라도 리스크 평가 결과 매우 높은 리스크로 식별된 영역에 가장 많은 자원을 할당해야 하는 이유는? A. 감사팀이 새로운 기술을 습득하도록 장려하기 위해 B. 리스크 기반 접근법(Risk-Based Approach)에 따라 조직의 목표 달성에 가장 큰 위협이 되는 영역에 집중해야 하기 때문에 C. 외부 감사인의 요청에 응하기 위해 D. 모든 부서에 대한 감사를 3년에 한 번씩 수행해야 하는 규정 때문에 |
B | 리스크 기반 접근법은 CIA 시험 Part 2의 핵심이며, 리스크 수준이 높은 영역에 자원을 집중하는 것이 최우선 원칙입니다. |
| 2-2 | [증거 확보] 내부감사팀이 재고 자산의 존재 여부를 확인하기 위해 직접 창고에 가서 재고를 세는 행위는 어떤 유형의 증거 확보 절차에 해당하며, 그 신뢰성은? A. 절차: 인터뷰 / 신뢰성: 낮음 B. 절차: 문서 검토 / 신뢰성: 보통 C. 절차: 관찰 및 실사 / 신뢰성: 매우 높음 D. 절차: 재계산 / 신뢰성: 높음 |
C | 내부감사인이 직접 수행하는 절차(실사, 관찰)는 독립성이 가장 높아 신뢰성이 매우 높은 증거에 해당합니다. |
| 2-3 | [분석적 검토] 감사인이 전년 대비 특정 계정의 지출이 300% 증가한 것을 확인했습니다. 감사인이 다음으로 취해야 할 조치는? A. 해당 계정이 정상적이라고 결론짓고 넘긴다. B. 증가 원인을 찾는 데 시간 낭비하지 않고 다른 감사 절차를 수행한다. C. 증가 원인과 정당성을 조사하고, 경영진의 설명과 일치하지 않을 경우 통제 테스트를 강화한다. D. 증가액에 대한 경영진의 구두 진술을 즉시 보고서에 포함한다. |
C | 분석적 검토를 통해 비정상적인 변동이 확인되면, 그 원인을 철저히 조사하고 추가적인 통제 테스트를 수행하여 리스크를 평가해야 합니다. |
| 2-4 | [표본 추출] 감사팀이 특정 거래 500건 중 랜덤 샘플 50건을 추출하여 통제 테스트를 수행했습니다. 샘플에서 3건의 오류가 발견되었습니다. 감사팀이 다음으로 할 일은? A. 모집단 전체의 통제가 실패했다고 보고한다. B. 모집단에서 추가로 50건을 더 추출하여 오류가 없는지 확인한다. C. 샘플 결과를 모집단 전체로 외삽(Extrapolate)하여 오류율이 중요성(Materiality) 수준을 초과하는지 판단한다. D. 오류가 3건에 불과하므로 통제가 효과적이라고 결론 내린다. |
C | 표본 추출 후 발견된 오류율은 모집단 전체에 외삽하여, 그 오류가 전체 감사 의견에 영향을 미칠 만큼 중요한지(중요성 수준 초과 여부)를 판단해야 합니다. |
| 2-5 | [감사 문서화] 감사팀이 감사 중 **"통제상의 약점이 없다"**는 결론을 내린 경우에도, 작업 문서를 작성해야 하는 주된 목적은? A. 감사 대상 부서에 감사가 수행되었음을 증명하기 위해 B. 감사팀의 업무 시간을 기록하기 위해 C. 감사 목표가 달성되었고, 결론이 충분한 증거에 의해 뒷받침됨을 입증하기 위해 D. 향후 법적 분쟁에 대비하기 위해 |
C | 작업 문서는 감사 결론의 정당성과 충분한 증거 확보를 입증하는 핵심 근거입니다. |
II. 감사 보고 및 후속 조치 상황
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 2-6 | [중간 보고] 감사인이 시스템 접근 통제에서 심각한 보안 취약점을 발견하여 즉시 외부 침입의 우려가 있다고 판단했습니다. 감사팀이 취해야 할 가장 시의적절한 조치는? A. 보안 취약점에 대한 증거를 더 모을 때까지 경영진에게 보고하지 않는다. B. 최종 보고서가 완성될 때까지 기다린다. C. 즉시 구두 또는 서면으로 중간 보고(Interim Communication)하여 경영진이 즉각적인 조치를 취하도록 권고한다. D. IT 부서 직원들에게 직접 통제 시스템을 수정하도록 지시한다. |
C | 중대한 리스크 발견 시, 즉각적인 중간 보고를 통해 조직의 손실을 방지해야 합니다. |
| 2-7 | [권고 사항] 감사 보고서에 포함된 권고 사항이 **실행 불가능(Impractical)**하다고 경영진이 거부했습니다. 이 권고 사항이 효과적이지 못한 가장 큰 이유는? A. 권고가 너무 비쌌기 때문에 B. 권고가 근본 원인이 아닌 증상만 다루었기 때문에 C. 권고가 경영진의 현실적인 운영 환경과 자원 제약을 고려하지 못했기 때문에 D. 경영진이 권고 사항에 대한 소유의식이 없었기 때문에 |
C | 효과적인 권고 사항은 근본 원인 해결은 물론, **경영진의 현실적 환경(실행 가능성)**을 고려해야 합니다. |
| 2-8 | [감사 소견 5C] 감사 보고서에 "직원 교육이 부족하여 수동 입력 오류가 자주 발생한다"고 명시했습니다. 여기서 **'직원 교육 부족'**에 해당하는 감사 소견의 요소는? A. 조건(Condition) B. 기준(Criteria) C. 영향(Consequence) D. 원인(Cause) |
D | 원인은 문제가 발생한 근본적인 이유를 설명하는 요소입니다. (조건: 오류 발생, 영향: 재무 손실/지연) |
| 2-9 | [후속 조치] CAE가 후속 조치 감사(Follow-up Audit)를 수행할 때, 경영진이 시정 조치를 완료했다고 통보해 왔습니다. CAE가 확인해야 할 가장 중요한 사항은? A. 경영진이 조치에 지출한 금액 B. 조치가 완료되었다는 경영진의 서명 C. 취해진 조치가 실제로 통제 약점의 근본 원인을 해결했는지, 그리고 효과적으로 작동하는지 D. 외부 감사인이 조치에 동의했는지 여부 |
C | 후속 조치의 목표는 조치 완료 여부가 아닌, 조치의 효과성을 검증하는 것입니다. |
| 2-10 | [감사 의견] 감사인이 감사 대상 영역의 리스크 관리와 통제가 **'미흡함'**이라고 결론 내렸습니다. 최종 감사 보고서에 이 내용을 포함하여 이사회에 보고하기 전에 CAE가 해야 할 가장 중요한 조치는? A. 긍정적인 내용도 함께 포함하여 보고서의 균형을 맞춘다. B. 리스크가 미흡해지도록 경영진에게 압력을 가한다. C. 감사 대상 경영진과 보고서의 사실적 내용 및 감사 의견에 대해 논의하고, 경영진의 의견을 보고서에 포함한다. D. 외부 감사인에게 보고서 전체를 검토해 달라고 요청한다. |
C | 최종 보고 전에 경영진과 논의하여 사실 확인 및 경영진의 대응을 보고서에 포함하는 것은 필수적인 절차입니다. |
III. 자문 서비스 및 IT 감사
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 2-11 | [자문 서비스] 내부감사팀이 새로운 리스크 관리 시스템 도입 프로젝트에 자문 서비스를 제공하고 있습니다. 이들이 해서는 안 되는 행위는? A. 리스크 관리 시스템의 설계에 대한 권고 및 조언 제공 B. 시스템 도입 중 발생할 수 있는 리스크 식별 C. 리스크 관리 시스템의 최종 사용자 승인 테스트(UAT)를 수행하고 시스템 도입에 대한 최종 승인을 제공 D. 시스템 도입 후 리스크 관리 통제의 효과성을 평가하기 위한 감사 계획 수립 |
C | 내부감사인은 자문 서비스에서 경영진의 역할을 대신하거나 의사결정을 해서는 안 됩니다. (자체 검토 위협 발생) |
| 2-12 | [IT 통제] IT 시스템에서 특정 거래가 임계값($10,000)을 초과할 경우 자동으로 경고 메시지를 생성하고 거래를 보류시키는 통제는 무엇입니까? A. 물리적 통제 B. 애플리케이션 통제(Application Control) C. 일반 통제(General Control) D. 보상 통제 |
B | 애플리케이션 통제는 특정 소프트웨어 기능(예: 입력 유효성 검사, 임계값 확인) 내에서 작동하는 통제입니다. |
| 2-13 | [IT 거버넌스] 내부감사인이 IT 거버넌스 감사를 수행할 때, 가장 중요하게 평가해야 할 사항은? A. 모든 IT 부서 직원의 기술적 능력 B. IT 부서의 예산 집행 효율성 C. IT 전략과 투자 결정이 조직의 전반적인 비즈니스 목표 및 리스크 성향과 일치하는지 여부 D. IT 하드웨어의 최신성 |
C | IT 거버넌스의 핵심은 IT 자원과 리스크 관리가 조직의 전략적 목표 달성에 기여하도록 보장하는 것입니다. |
| 2-14 | [데이터 분석] 감사팀이 3년치 거래 데이터를 분석하여 특정 기간에만 비정상적으로 높은 환율이 적용된 거래를 식별했습니다. 이 기법은 무엇을 탐지하는 데 유용합니까? A. 통제 환경의 약점 B. 부정행위 또는 통제 우회 가능성 C. 이사회 감독의 비효과성 D. 감사팀의 비전문성 |
B | **데이터 분석(Data Analytics)**을 통해 **이상 거래(Anomalies)**를 식별하는 것은 부정행위나 통제 우회 패턴을 탐지하는 데 가장 강력한 방법입니다. |
| 2-15 | [자원 관리] CAE가 감사 계획을 수행할 충분한 기술 역량을 확보하기 위한 최선의 방법은? A. 모든 팀원을 CIA로 자격증 취득하도록 강제한다. B. 팀원들의 지속적인 교육(CPE) 및 특정 기술(IT 감사, 데이터 분석) 전문 지식 확보를 지원한다. C. 감사팀의 규모를 무조건 두 배로 늘린다. D. 외부 감사인에게 모든 IT 감사를 위탁한다. |
B | **지속적인 교육(CPE)**과 전문 기술 습득 지원은 CAE가 조직의 리스크 변화에 맞춰 팀의 역량을 유지하고 강화하는 핵심 수단입니다. |
| 2-16 | [감사 범위 제한] 감사 대상 부서장이 중요한 문서 제출을 거부하여 감사 목표 달성이 불가능해졌습니다. CAE가 취해야 할 다음 단계는? A. 문서 없이 감사 보고서를 작성한다. B. 부서장에게 개인적인 징계를 요청한다. C. 범위 제한(Scope Limitation) 상황과 그 영향을 이사회(감사위원회)에 즉시 보고한다. D. 감사를 취소하고 다른 부서를 감사한다. |
C | 감사 범위 제한은 독립성과 권한에 대한 중대한 위협이므로, 이사회에 보고하여 해결해야 합니다. |
| 2-17 | [전문적 역량] 한 내부감사인이 IT 감사 분야의 전문성이 부족함에도 불구하고, 자신의 전문 지식을 과장하여 IT 감사에 참여했습니다. 이는 IIA 윤리 강령의 어떤 원칙을 위반한 것입니까? A. 정직성 B. 객관성 C. 기밀 유지 D. 전문적 역량 및 성실성(Professional Competence) |
D | 전문적 역량 원칙은 감사인이 자신이 수행할 능력이 있는 업무만을 수락하고 수행해야 함을 명시합니다. |
📈 Part 3: 내부감사 기능 및 비즈니스 지식 (Internal Audit Function and Business Knowledge) - 12문항
I. QAIP 및 감사 기능 운영 상황
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 3-1 | [QAIP] CAE가 내부감사 활동의 내부 품질 평가를 수행한 결과, 감사팀의 감사 절차 문서화 수준이 IIA 기준에 미치지 못함을 확인했습니다. CAE가 취해야 할 가장 적절한 조치는? A. 외부 품질 평가가 시행될 때까지 기다린다. B. 이사회에 보고하지 않고 문서화 기준을 무시한다. C. 문서화 기준을 재정립하고, 모든 감사팀원에 대한 교육 및 감독을 강화하여 시정 조치를 시행한다. D. 해당 감사팀원들을 해고한다. |
C | QAIP는 지속적인 개선을 목표로 하므로, 미흡 사항이 발견되면 시정 조치 계획을 수립하고 이행해야 합니다. |
| 3-2 | [후속 조치 판단] CAE가 감사 후 6개월이 지난 시점에서 후속 조치를 위해 통제 약점을 재검토했습니다. 경영진이 시정 조치를 시작했지만 아직 완료되지 않았습니다. CAE가 보고해야 할 최종 결론은? A. 리스크가 완전히 해결되었다. B. 경영진이 조치를 시작했으므로 후속 조치를 종료한다. C. 통제 약점은 부분적으로 해결되었으며, 잔여 리스크에 대한 추가 조치 계획과 기한을 보고한다. D. 경영진의 의지를 신뢰하므로 별도 보고가 필요 없다. |
C | 후속 조치는 조치의 효과를 평가합니다. 완료되지 않았거나 부분적인 경우, 그 사실과 함께 잔여 리스크 및 향후 계획을 이사회에 보고해야 합니다. |
| 3-3 | [외부 평가] CAE가 임명된 지 3년이 지났고, 내부감사 활동은 5년 전에 외부 품질 평가를 받았습니다. 다음 외부 품질 평가는 언제까지 완료되어야 합니까? A. 임명된 지 5년째 되는 해 B. 7년째 되는 해 (5년 주기) C. 다음 해 (총 4년마다) D. 10년째 되는 해 |
B | 외부 품질 평가는 5년 주기로 이루어져야 합니다. (5년 전 평가 + 5년 = 총 10년이 아닌, 평가일로부터 5년 이내) 즉, 마지막 평가로부터 5년이 되는 해입니다. |
| 3-4 | [자원 확보] 감사 대상 부서의 신기술 도입으로 인해 감사팀의 기술적 지식이 부족한 상황입니다. CAE가 취할 수 있는 가장 실용적인 자원 확보 방법은? A. 해당 분야 감사를 무기한 연기한다. B. 감사팀 전원을 해고하고 신규 IT 전문가를 채용한다. C. 해당 분야의 외부 전문가(Expert)를 계약하여 공동 감사(Co-sourcing)를 수행하거나 자문한다. D. 내부감사팀의 리스크 성향을 높인다. |
C | **코소싱(Co-sourcing)**은 내부감사팀이 부족한 전문 지식(특히 IT, 법률)을 단기적으로 보완하는 가장 효율적인 방법입니다. |
II. 비즈니스 지식 및 IT 거버넌스
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 3-5 | [IT 거버넌스] 내부감사인이 조직의 IT 전략과 비즈니스 목표가 상충될 위험을 발견했습니다. 감사인이 권고해야 할 주된 개선 사항은? A. IT 부서의 예산을 삭감한다. B. IT 거버넌스 위원회를 강화하여 IT 의사결정이 비즈니스 전략과 연계되도록 한다. C. 모든 IT 관련 의사결정을 감사팀이 승인한다. D. IT 시스템의 백업 빈도를 늘린다. |
B | IT 거버넌스의 핵심은 IT 전략과 비즈니스 전략 간의 연계이므로, 위원회 강화가 주된 권고 사항이 됩니다. |
| 3-6 | [지속적 모니터링] 조직이 **지속적 감사(Continuous Auditing)**를 위해 핵심 통제에 대한 모니터링 시스템을 구축했습니다. 내부감사 활동에 대한 가장 큰 영향은? A. 내부감사 활동이 완전히 필요 없어진다. B. 감사팀의 업무 부담이 줄어들어 감사가 덜 자주 수행된다. C. 감사팀이 통제 테스트보다 리스크 평가 및 심층 분석에 더 많은 시간을 할애할 수 있게 된다. D. 감사팀이 모니터링 시스템의 유지보수 담당자가 된다. |
C | 지속적 감사는 일상적인 통제 테스트를 자동화하여, 감사팀이 전략적 리스크 분석 및 조언에 집중할 수 있도록 해줍니다. |
| 3-7 | [사이버 보안] 내부감사인이 회사의 민감한 고객 데이터가 암호화되지 않은 채 저장되고 있음을 발견했습니다. 이 통제 약점은 어떤 리스크와 가장 직접적으로 관련이 있습니까? A. 재무 보고 리스크 B. 운영 효율성 리스크 C. 정보 보안 및 규정 준수 리스크 D. 인적 자원 관리 리스크 |
C | 데이터 암호화 부재는 정보의 **기밀성(Confidentiality)**을 직접적으로 위협하며, 이는 정보 보안 및 GDPR 등 규정 준수 리스크와 직결됩니다. |
| 3-8 | [운영 효율성] 감사인이 회사의 구매 프로세스를 감사했습니다. 여러 부서가 동일한 공급업체와 소액 거래를 반복하여 대량 구매 할인 기회를 놓치고 있음을 발견했습니다. 감사인이 권고해야 할 주된 개선 사항은? A. 모든 소액 거래를 금지한다. B. 구매 프로세스의 중앙 집중화 또는 통합 구매 정책 수립을 권고한다. C. 각 부서에 더 많은 예산을 할당한다. D. 감사팀이 직접 공급업체와 협상한다. |
B | 이는 운영 효율성 감사의 전형적인 사례로, 분산된 구매 관행을 중앙 집중화하여 비용 절감(대량 할인) 기회를 확보하도록 권고해야 합니다. |
III. 계산 및 정량적 분석 (Quantitative Analysis)
| 문제 번호 | 문제 내용 | 정답 | 해설 |
| 3-9 | [계산] 한 거래 프로세스의 **내재적 리스크(Inherent Risk)**는 90%이고, 현재 통제 시스템의 **통제 리스크(Control Risk)**는 50%입니다. 이 거래의 **잔여 리스크(Residual Risk)**는 얼마입니까? (단, 잔여 리스크는 $IR \times CR$로 계산) A. 40% B. 45% C. 50% D. 140% |
B | **잔여 리스크($RR$)**는 내재적 리스크($IR$)가 통제 리스크($CR$)를 통과할 확률이므로, $RR = 0.90 \times 0.50 = 0.45$, 즉 **45%입니다. |
| 3-10 | [계산] 감사팀이 특정 계정의 1,000건 거래 중 100건을 추출하여 검토했습니다. 샘플에서 5건의 오류를 발견했습니다. 감사팀이 외삽할 수 있는 모집단의 예상 오류 건수는? A. 50건 B. 100건 C. 50건 D. 10건 |
C | 샘플 오류율: $5/100 = 5\%$. 모집단 예상 오류 건수: $1,000 \times 0.05 = **50$건입니다. |
| 3-11 | [정량 분석] 내부감사팀이 새로운 통제(A)의 도입을 권고했습니다. 통제 A의 예상 구현 비용은 $50,000이고, 이 통제가 방지할 수 있는 연간 예상 손실액은 $150,000입니다. 이 통제에 대한 감사인의 결론은? A. 비용이 너무 높아 도입해서는 안 된다. B. 통제의 기대 이익($150,000)이 비용($50,000)보다 높으므로 도입을 강력히 권고한다. C. 예상 손실액을 절반으로 낮추어야 한다. D. 예상 손실액이 비용보다 낮으므로 권고하지 않는다. |
B | **비용 대비 효익(Cost-Benefit Analysis)**은 통제 권고의 중요한 기준입니다. 이익이 비용보다 크므로 도입을 권고하는 것이 합리적입니다. |
| 3-12 | [리스크 성향] A 프로젝트의 잔여 리스크는 15%입니다. 조직의 리스크 성향(Risk Appetite)은 10%입니다. 감사팀이 이사회에 보고해야 할 주된 내용은? A. 프로젝트의 잔여 리스크가 낮으므로 긍정적으로 보고한다. B. 잔여 리스크가 리스크 성향을 초과하지 않으므로 보고하지 않는다. C. 잔여 리스크(15%)가 리스크 성향(10%)을 초과하므로, 리스크 수용 재평가 또는 추가 통제 조치를 권고한다. D. 리스크 성향을 15%로 즉시 상향 조정할 것을 권고한다. |
C | 잔여 리스크가 조직의 리스크 성향을 초과하는 것은 이사회에 보고해야 할 심각한 상황이며, 초과분을 줄이기 위한 추가 조치나 성향 재평가를 요구해야 합니다. |