새로운 국제내부감사표준(GIAS)™: 5가지 영역별 핵심 요약

2024년 1월부터 적용되는 새로운 국제내부감사표준(GIAS)™은 기존 기준을 대폭 개편하여 내부감사직무의 목적, 윤리 및 전문성, 거버넌스, 관리, 성과라는 5가지 핵심 영역으로 재구성했습니다. 이는 내부감사가 조직의 목표 달성과 이해관계자에게 독립적이고 객관적인 검증 및 컨설팅을 제공하는 역할을 더욱 효과적으로 수행할 수 있도록 지원합니다.

 

🌟 1. 영역 I: 내부감사직무의 목적 (Purpose of Internal Auditing)

이 영역은 내부감사직무의 근본적인 이유와 정의를 명확히 합니다.

• 핵심 원칙: 내부감사 활동의 통일된 목적을 규정하고 있습니다.
• 주요 내용:
  • 내부감사는 독립적이고 객관적인 검증 및 컨설팅을 제공하여 조직의 목표 달성을 돕는 활동임을 재확인합니다.
  • 조직의 지배구조(Governance), 리스크 관리(Risk Management), 내부 통제(Control) 프로세스가 효과적으로 설계되고 운영되는지를 평가하는 데 초점을 맞춥니다.

---

🛡️ 2. 영역 II: 윤리 및 전문성 (Ethics and Professionalism)

이 영역은 내부감사인과 내부감사 부서가 갖추어야 할 도덕적 기대치와 전문적 역량을 통합하여 제시합니다.

• 핵심 원칙: 윤리 강령과 함께 전문가로서의 정당한 주의를 포함한 실무자의 행동 기준을 다룹니다.
• 주요 내용:
  • 윤리적 기대에 일치하지 않는 행동에 대한 보고 의무가 강조됩니다.
  • 내부감사인은 직무에 적합한 지식, 기술 및 역량을 보유해야 하며, 정보 보호 및 비밀 유지의 중요성이 강화되었습니다.
  • 객관성을 유지하고 이해상충을 피하는 것이 중요하며, 전문가적 회의주의를 유지해야 합니다.

---

🏛️ 3. 영역 III: 내부감사부서의 거버넌스 (Governance)

이 영역은 내부감사 부서가 독립성을 유지하고, 이사회 등 최고 지배기구의 감독 하에 권한을 부여받는 방법에 대한 기준을 설정합니다.

• 핵심 원칙: 이사회의 권한, 독립성, 이사회의 감독의 3가지 원칙으로 구성됩니다.
• 주요 내용:
  • 내부감사 책임자는 이사회에 직접 보고하고 이사회의 감독을 받으며, 감사 계획, 예산, 결과 등에 대해 효과적으로 소통해야 합니다.
  • 내부감사직무의 독립성 확보와 객관성 유지를 위한 필수적인 요건들을 명시합니다.

---

📈 4. 영역 IV: 내부감사부서의 관리 (Managing the Internal Audit Function)

이 영역은 내부감사 부서를 효율적이고 효과적으로 운영하기 위한 실무적인 관리 요건들을 다룹니다.

• 핵심 원칙: 전략적 감사계획 수립, 감사자원 관리, 효과적인 커뮤니케이션, 감사품질의 향상을 다룹니다.
• 주요 내용:
  • 전략적 감사 계획은 조직의 목표 및 리스크와 일치해야 하며, 변화하는 환경에 기민하게 대응하도록 강조됩니다.
  • 내부감사 책임자는 **자원(인력 및 예산)**을 효과적으로 관리하고, 주요 이해관계자와의 커뮤니케이션 및 관계 구축을 강조합니다.
  • 품질보증 및 개선 프로그램(QAIP) 운영을 통해 감사 품질을 지속적으로 향상시켜야 합니다.

---

🎯 5. 영역 V: 감사 수행 (Performing Internal Audit Services)

이 영역은 실제 감사 업무를 수행하는 절차와 방법에 대한 기준을 제공하며, 검증(Assurance)과 컨설팅 서비스 모두를 포함합니다.

• 핵심 원칙: 감사업무의 계획, 수행, 커뮤니케이션, 결과 모니터링에 대한 단계별 요건을 제시합니다.
• 주요 내용:
  • 감사 목표 수립 시 중대한 오류, 부정, 미준수 발생 가능성을 필수적으로 고려해야 합니다.
  • 감사 결과를 도출하기 위한 정보의 분석 및 평가와 문서화 요건이 명확해졌습니다.
  • 감사 결과 보고서에는 만족할 만한 업무 성과에 대한 내용도 포함하도록 권장됩니다.
  • 감사 보고 후, 경영진의 조치 계획 모니터링이 중요하며, 그 이행 여부를 확인해야 합니다.

---

📑 도메인별 상세

1. 🌟 영역 I: 내부감사직무의 목적 (Purpose of Internal Auditing)

제목: 내부감사의 존재 이유: 새로운 표준이 정의하는 핵심 목적 (GIAS Domain I)

🎯 핵심 정의: 왜 내부감사가 필요한가?

새로운 국제내부감사표준(GIAS)™의 영역 I은 내부감사직무의 근본적인 목적을 명확히 합니다. 내부감사는 단순히 '잘못된 것을 찾아내는' 활동을 넘어, 조직이 목표를 달성하는 데 필수적인 독립적이고 객관적인 검증 및 컨설팅을 제공하는 전략적 기능입니다. 내부감사의 목적은 조직의 가치 창출, 보호, 그리고 지속 가능한 성공을 지원하는 데 있습니다.

⚖️ 독립성과 객관성의 강조

이 영역은 내부감사직무가 최고 경영진이나 특정 부서의 영향력으로부터 완전히 독립적이어야 함을 강조합니다.

• 독립성(Independence): 내부감사 조직이 감사 대상이 되는 활동으로부터 자유롭고, 조직 내에서 최고 지배기구(이사회/감사위원회)에 직접 보고할 수 있는 조직적 위치를 확보해야 합니다.
• 객관성(Objectivity): 내부감사인 개개인이 공정하고 편향되지 않은 태도를 가져야 하며, 어떠한 이해상충도 반드시 피해야 합니다. 객관적인 시각에서 수행된 검증만이 이사회와 경영진에게 신뢰할 수 있는 정보를 제공할 수 있습니다.

🛠️ 3가지 핵심 프로세스에 대한 기여

내부감사의 목적은 조직의 지배구조, 리스크 관리, 내부 통제라는 3가지 핵심 프로세스의 효과성을 평가하고 개선하는 데 집중합니다.

• 지배구조(Governance) 평가: 조직의 윤리적 가치, 의사결정 구조, 책임 분배 등이 효과적인지 평가합니다.
• 리스크 관리(Risk Management) 평가: 조직의 주요 리스크가 식별, 평가, 그리고 적절하게 대응되고 있는 프로세스를 검증합니다.
• 내부 통제(Control) 평가: 운영의 효율성, 재무 보고의 신뢰성, 법규 준수를 위한 통제 장치들이 잘 설계되고 작동하는지 확인합니다.

---

2. 🛡️ 영역 II: 윤리 및 전문성 (Ethics and Professionalism)

제목: 내부감사인의 행동 규범: 윤리와 전문성 (GIAS Domain II)

📜 윤리 강령의 준수와 책임

영역 II는 내부감사인(CIA)뿐만 아니라 내부감사 활동에 참여하는 모든 사람이 따라야 할 윤리적 행동 기준을 통합합니다. 이 도메인은 높은 수준의 도덕적 기대치를 요구합니다.

• 정직성(Integrity): 모든 업무 관계에서 신뢰를 구축하고 청렴하게 행동합니다.
• 객관성(Objectivity): 감사 업무 전반에 걸쳐 균형 잡힌 판단과 공정한 평가를 유지합니다.
• 비밀 유지(Confidentiality): 직무를 통해 얻은 정보를 보호하고 승인 없이는 외부에 누설하지 않습니다.
• 역량(Competency): 필요한 지식, 기술 및 경험을 보유하고 지속적으로 개발해야 합니다.

💡 전문가로서의 정당한 주의 (Due Professional Care)

전문성의 핵심은 전문가로서의 정당한 주의를 기울이는 것입니다. 이는 감사업무를 수행함에 있어 신중하고 철저하게 임해야 함을 의미합니다.

• 지속적인 역량 개발: 내부감사인은 변화하는 비즈니스 환경과 기술(예: AI, 사이버 보안)에 발맞춰 **지속적인 전문성 개발(CPE)**을 통해 역량을 유지하고 향상시켜야 합니다.
• 정보 보호 책임: 조직 운영의 민감한 정보에 접근하고 처리하는 만큼, 정보 보호 및 기밀 유지에 대한 책임이 강력하게 요구됩니다.

🧠 전문가적 회의주의(Professional Skepticism)

GIAS는 감사인이 단순히 경영진의 진술을 받아들이는 것을 넘어, 전문가적 회의주의를 유지할 것을 요구합니다.

• 비판적 평가: 감사 증거의 유효성과 신뢰성을 비판적으로 평가하고, 잠재적인 오류, 사기, 부정이 있을 수 있다는 열린 마음을 가져야 합니다.
• 증거 기반 판단: 모든 결론은 충분하고 적절하며 신뢰할 수 있는 증거에 기반해야 합니다.

---

3. 🏛️ 영역 III: 내부감사부서의 거버넌스 (Governance)

제목: 내부감사 활동의 권한과 독립성 확보: 거버넌스 프레임워크 (GIAS Domain III)

🤝 이사회와의 관계와 권한 부여

영역 III은 내부감사 활동이 조직 내에서 강력한 권한과 독립성을 확보하기 위한 거버넌스 구조를 다룹니다. 내부감사 활동의 성공은 최고 지배기구(이사회 또는 감사위원회)의 적극적인 지원과 감독에 달려 있습니다.

• 내부감사 헌장(Charter) 승인: 내부감사 책임자(CAE)는 이사회의 승인을 받아 내부감사 헌장을 제정해야 합니다. 이 헌장은 내부감사직무의 권한, 책임, 범위를 공식적으로 정의하는 최상위 문서입니다.
• 이사회의 역할: 이사회는 감사 계획, 리스크 평가, 감사 결과, 예산 및 인력 계획에 대해 정기적으로 검토하고 승인함으로써 내부감사 활동을 적극적으로 감독해야 합니다.

🛡️ 독립성 유지 및 외부와의 관계

GIAS는 독립성 유지를 위해 CAE의 위치와 보고 체계를 명확히 규정합니다.

• 최고 지배기구에 직접 보고: CAE는 행정적으로는 최고경영진에게 보고하지만, 기능적으로는 이사회에 직접 보고해야 합니다. 특히 CAE의 임명, 해고, 보상은 이사회의 승인을 받아야 합니다.
• 운영 활동 제외: 내부감사직무는 감사 대상이 되는 조직의 운영 활동이나 내부 통제의 설계 및 실행 책임을 지지 않아야 합니다. 이 원칙은 감사 보고의 객관성을 보장합니다.

📊 외부 품질 평가 (External Quality Assessment)

이 도메인은 내부감사 활동의 거버넌스가 표준을 준수하고 효과적으로 운영되는지 확인하기 위해 최소 5년에 한 번 독립적인 외부 기관에 의한 외부 품질 평가를 받도록 요구합니다. 이는 내부감사직무의 투명성과 신뢰성을 높이는 핵심 요소입니다.

---

4. 📈 영역 IV: 내부감사부서의 관리 (Managing the Internal Audit Function)

제목: 내부감사 부서의 효율적인 운영: 관리 및 리더십 (GIAS Domain IV)

🗺️ 리스크 기반의 전략적 감사 계획

이 도메인은 내부감사 책임자(CAE)가 내부감사 부서를 효율적이고 효과적으로 운영하기 위한 실무적인 관리 책임을 다룹니다.

• 전략적 계획(Strategic Planning): 감사 계획은 단년도 계획을 넘어 조직의 장기적인 전략, 주요 목표, 그리고 주요 리스크와 긴밀하게 연계되어야 합니다. CAE는 변화하는 **글로벌 환경과 새로운 리스크(Hyper-VUCA)**에 대응하여 기민하게 감사 계획을 조정해야 합니다.
• 자원 관리: CAE는 감사 활동의 범위와 복잡성을 고려하여, 필요한 적절한 수와 역량을 갖춘 인력(기술, 전문 지식)을 확보하고 관리해야 합니다.

🗣️ 효과적인 커뮤니케이션과 성과 관리

효율적인 관리는 조직 내에서의 효과적인 소통을 포함합니다.

• 주요 이해관계자와의 소통: CAE는 이사회 및 고위 경영진에게 감사 계획의 진행 상황, 유의미한 감사 결과, 자원 제약 등 감사 활동에 영향을 미치는 모든 중요한 사안을 시의적절하게 소통해야 합니다.
• 성과 측정: 내부감사 부서는 설정된 **목표 및 측정 방법론(KPIs)**을 통해 자체적인 성과를 정기적으로 평가하고 관리해야 합니다.

💎 품질 보증 및 개선 프로그램 (QAIP)

GIAS는 내부감사 부서가 지속적인 품질 향상을 위해 **품질 보증 및 개선 프로그램(QAIP)**을 수립하고 실행할 것을 의무화합니다.

• 내부 평가: 일상적인 감독, 자기 평가, 주기적인 동료 검토 등을 통해 지속적으로 품질을 모니터링합니다.
• 문서화: QAIP의 결과와 이에 따른 개선 계획을 문서화하고, 그 결과를 이사회에 보고함으로써 투명성을 확보합니다.

---

5. 🎯 영역 V: 감사 수행 (Performing Internal Audit Services)

제목: 감사의 실제 과정: 계획, 수행, 보고의 표준 (GIAS Domain V)

📝 감사업무의 체계적 계획 및 범위 설정

영역 V는 실제 개별 감사 업무를 수행하는 절차를 구체적으로 다룹니다. 이는 검증(Assurance)과 컨설팅 서비스 모두에 적용됩니다.

• 감사 목표 설정: 감사 목표는 감사 대상 활동의 리스크 및 통제와 관련하여 명확하게 수립되어야 합니다. 특히, 중대한 오류, 부정(Fraud), 법규 미준수의 가능성을 초기 계획 단계에서 반드시 고려해야 합니다.
• 감사 기준 정의: 지배구조, 리스크 관리, 통제를 평가하기 위해서는 적절한 기준이 필요합니다. (예: 조직의 내부 정책, 외부 법규, 산업 선도적 실무 지침 등)

🔍 증거 수집, 분석 및 문서화

감사 결론과 권고사항을 도출하기 위해서는 충분하고 신뢰성 있는 정보가 필요합니다.

• 증거 요건: 수집된 정보는 충분성, 신뢰성, 관련성, 유용성을 갖추어야 합니다.
• 분석 및 평가: 내부감사인은 적절한 분석 및 평가 기법(데이터 분석, 인터뷰, 문서 검토 등)을 사용하여 수집된 정보를 근간으로 결론을 도출해야 합니다.
• 문서화: 감사 수행 결과, 증거, 분석, 결론 등을 상세하고 체계적으로 문서화해야 하며, 이는 감사 의견의 근거가 됩니다.

📢 결과 보고 및 사후 모니터링

감사 결과를 효과적으로 전달하고 개선을 이끌어내는 과정도 GIAS의 중요한 부분입니다.

• 보고서 작성: 감사 보고서는 정확하고 명확하게 작성되어야 하며, 권장 사항뿐만 아니라 조직의 긍정적인 성과나 강점도 포함하여 균형 잡힌 시각을 제공할 수 있도록 권장됩니다.
• 조치 계획 모니터링: 내부감사직무는 감사 결과에 따른 경영진의 **시정 조치 계획(Action Plan)**이 적절한 시기에 효과적으로 이행되고 있는지 후속 점검(Follow-up)을 통해 모니터링해야 합니다.