감사팀장의 보고서 작성: 도식화2

숲과 나무

다음은 수습 기간의 성과 및 향후 계획에 관한 내용을 도식화해보자.

다음은 수습 기간의 성과 및 향후 계획입니다.

감사팀이 현재까지 수행한 50건의 감사 결과를 검토하여, 리스크를 식별하고 평가하였습니다.

먼저 리스크의 정의를 ‘목표 달성을 저해하는 모든 요인'이라고 정의하였습니다.

이후, 발생했던 이슈별로 리스크 이름을 만들고, 각 리스크에 대한 설명까지 정리하였습니다.

그리고 영향도와 발생가능성을 3단계로 구분하여 각 리스크별로 평가하였습니다.

그 결과 총 40건의 리스크를 식별하였고 중요도에 따라, 중점관리, 고위험군, 중위험군, 저위험군으로 리스크들을 포지셔닝 할 수 있었습니다.

이렇게 리스크를 식별하고 평가한 이유는

위험도에 따른 감사 우선 순위를 선정하기 위함입니다.

한정적인 감사 자원을 효율적으로 사용하기 위함입니다.

리스크 기반 내부 감사 체계는 크게 4가지 유형으로 진행 될 수 있습니다.

1번 유형은

리스크가 특정 조직에만 해당되는 경우입니다.

예를 들면

00비용 집행 프로세스(비용 유용 리스크)는 A팀이 통제하고 있습니다.

이런 경우 A팀만 감사하게 되는 유형입니다.

단가 변경 프로세스(단가 임의 변경 리스크)는 B팀에만 해당되는 리스크입니다. 이처럼 1번 유형은 특정 조직 & 특정 리스크인 경우에 해당합니다.

2번 유형은

특정 리스크가 조직 전반에 걸쳐서 발생할 수 있는 경우입니다.

예를 들면 개인 정보 유출 리스크(개인정보보호 프로세스 개선)는 모든 조직에서 발생할 수 있으므로 특정팀만 감사하지 않고, 연관된 모두 부서를 동시에 검토하고 있습니다.

3번 유형은

특정 사업 또는 자회사 등에 대해 개발, 생산, 영업, 물류, 인사, 회계 등 전반적인 검토가 필요한 경우입니다.

마지막으로 4번 유형은

리스크를 신규로 식별하고 검토하는 방식입니다.

감사 결과를 토대로 이미 40개의 리스크를 식별하였지만,

이 외에도 리스크는 존재합니다. 이를 계속 발굴하고 점검하는 것도 중요한 업무입니다.

성과와 향후계획을 요약하자면

리스크를 식별하고 평가하여 문제를 정확하게 인지하고자 했습니다.

이후, 이를 토대로 1번 ~ 4번 유형으로 감사를 진행하여

전체 조직에 대한 촘촘한 감사를 수행하고자 합니다.

마찬가지로 도식화를 위해, 핵심 요소를 파악하고 패턴을 인식한다. 패턴에 적합한 최적의 도식으로 표현한다.

1) 핵심 요소 파악하기

우선 리스크 DB 구축 및 분석과 관련해서는 [40건의 리스크] [영향도] [발생가능성] [위험도]라는 핵심 요소가 도출된다. 리스크 기반 내부감사 체계에서는 [리스크]와 [조직]의 조합에 따른 [감사 유형]이 핵심 요소이다. 마지막으로 성과 및 향후 계획은 각 [감사 유형]에 해당하는 세부 [감사 내용]이 핵심 요소이다.

2) 패턴 인식 하기

[40건의 리스크]는 [영향도]와 [발생가능성]으로 매칭이 가능하다. 오른쪽 상단(발생 가능성 높음, 영향도 높음)으로 갈수록 가장 시급하게 관리해야 할 고위험군으로 분류하고, 왼쪽 하단(발생 가능성 낮음, 영향도 낮음)으로 갈수록 저위험군으로 구분되는 패턴이 존재한다. [리스크]와 [조직]은 4가지 유형으로 분류되는 패턴이 존재한다.

3) 최적의 도식 선택하기

리스크 DB 구축 및 분석은 위험 히트맵으로 구현하여 위험도가 높은 수록 진한 색으로 표현하여 직관적으로 이해 할 수 있도록 도식화하였다.

리스크 기반 내부감사의 유형은 리스크와 조직의 조합에 따라 4가지인 점을 강조하고자 매트릭스로 도식화하였고, 각 유형별로 번호를 부여하고, 세부 내용은 우측에서 확인 할 수 있도록 구성하였다. 이런 방식은 숲과 나무를 동시에 전달하기에 매우 효과적인 방식이다.

다음처럼 한장으로 표현할 수 있다.