위험 기반 감사

1) 위험 기반 감사의 본질 (RBA)

• 확률과 영향력의 조합이 최대 인 우선 순위.
• 고유 한 위험 (제어 없음) 및 잔여 위험 (제어 포함) 의 평가.
• 위험 환경 변화 (제품, 시장, 규제, 사건) 에 따른 평가의 지속적인 개정.

2) 이용 약관

감사 세계-잠재적으로 감사 대상이되는 프로세스, 시스템, 위치, 공급 업체 및 규제 책임 카탈로그.
위험의 히트맵 - 우선 순위에 따른 그라데이션으로 "확률 × 영향" 시각화.
위험 식욕/관용-회사가 지정된 한도 내에서 위험을 감수하려는 의지를 표명했습니다.
통제 수준-예방/탐정/시정; 설계 및 운영 효율성.
보호 라인 - 1 위 (비즈니스 및 운영), 2 위 (위험/준수), 3 위 (내부 감사).

3) 감사 세계 구축

• 프로세스: 결제, KYC/KYB, AML 모니터링, 사고 관리, DSAR, 보존.
• 시스템: 트랜잭션 코어, DWH/datalake, IAM, CI/CD, 클라우드, DLP/EDRM.
• 법률 및 라이센스, 주요 공급 업체 및 아웃소싱 업체.
• KPI/KRI, 사건/위반 이력, 외부 조사 결과/제재.
• 통화 및 평판 효과, 규제 기관에 대한 중요 (GDPR/PCI/AML/SOC 2).

4) 위험 평가 방법론

1. 고유 위험 (IR): 프로세스 복잡성, 데이터 볼륨, 현금 흐름, 외부 종속성.
2. 제어 설계 (CD): 가용성, 적용 범위, 코드 정책 성숙도, 자동화.
3. 운영 효율 (OE): 실행 안정성, MTTD/MTTR 메트릭, 드리프트 레벨.
4. 잔여 위험 (RR): 'RR = f (IR, CD, OE)' -규모에 따라 정규화 (예: 1-5).
5. 수정자 요인: 규제 변경, 최근 사건, 과거 감사 결과, 직원 교체.

영향 척도의 예: 재정적 피해, 규제 벌금, SLA 다운 타임, 데이터 손실, 평판 결과.
확률 척도의 예: 이벤트 빈도, 노출, 공격/남용의 복잡성, 역사적 추세.

5) 우선 순위 및 연간 감사 계획

감사 단위를 잔여 위험과 전략적 중요성으로 정렬하십시오.
할당 빈도: 모니터링/주제 (낮음) 를 통해 매년 (높음), 2 년마다 한 번 (중간).
주제 점검 포함 (예: 데이터 삭제 및 익명 화, 직무 분리 (SoD), PCI 세그먼트).
계획 자원: 기술, 독립, 이해 상충을 피하십시오.

6) RACI 및 역할

(R - 책임; A - 책임; C-컨설팅)

7) 테스트 컨트롤에 대한 접근

연습: "엔드 투 엔드 트랜잭션 "/데이터의 흐름을 추적합니다.
설계 효과: 정책/제어의 존재 및 적절성을 확인합니다.
운영 효과-일정 기간 동안 실행을 선택적으로 점검합니다.
재 성능: CaC 규칙에 따른 계산/신호 재생산.
CAAT/DA (컴퓨터 지원 감사 기술/데이터 분석): SQL/파이썬 스크립트, 준수 쇼케이스에 대한 제어 요청, 실제 구성 요소 비교.
지속적인 감사-이벤트 버스 (스트림/배치) 에 제어 테스트를 포함합니다.

8) 샘플링

통계: 무작위/계층화, 신뢰 수준과 허용되는 오류에 따라 크기를 결정하십시오.
목표 (판단): 고 가치/고 위험, 최근 변경, 예외 (면제).
비정상: 분석 (특이 치), 미스 사건, "최고 위반자" 의 결론.
엔드 투 엔드 (100%): 가능한 경우 전체 배열의 자동 검증을 사용하십시오 (예: SoD, TTL, 제재 심사).

9) 분석 및 증거 출처 (증거)

액세스 로그 (IAM), 변경 추적 (Git/CI/CD), 인프라 구성 (Terraform/K8), DLP/EDRM 보고서.
"준수" 쇼케이스, Legal Hold 저널, DSAR 레지스트리, AML (SAR/STR) 보고서.
대시 보드 스냅 샷, 상영, 해시 고정 및 WORM/불변성.
인터뷰 프로토콜, 체크리스트, 발권/에스컬레이션 아티팩트.

10) 감사: SOP

1. 예비 평가: 목표, 기준, 경계, 소유자 명확화.
2. 데이터 요청: 업로드, 액세스, 구성 요소, 샘플링 기간 목록.
3. 현장 작업: 연습, 제어 테스트, 분석, 인터뷰.
4. 결론의 보정: 규정 및 정책과 함께 Risk Appetite와 비교하십시오.
5. 결과 형성: 사실 → 기준 → 영향 → 이유 → 권장 사항 → 소유자 → 항입니다.
6. 폐회 회의 - 사실, 지위 및 치료 계획의 조정.
7. 보고 및 후속 조치: 릴리스, 등급, 마감일, 재확인.

11) 결과 분류 및 위험 등급

심각도: Critical/High/Medium/Low (보안, 규정 준수, 재무, 운영, 평판에 미치는 영향에 대한 링크).
가능성: 빈번한/가능한/희귀.
위험 점수: 행렬 또는 숫자 함수 (예: 1-25).
테마 태그: IAM, 데이터 프라이버시, AML, PCI, DevSecOps, DR/BCP.

12) 위험 감사를위한 지표 및 KRI/KPI

적용 범위: 연도에 적용되는 감사 세계의 점유율.
정시 치료: 시간에 따른 수정의% (심각도 별).

결과 반복: 12 개월 동안 반복 비율

MTTR 결과: 평균 폐쇄 시간.
제어 효과 동향: 기간 별 통과/실패 테스트의 백분율.
감사 준비 시간: 증거를 수집 할 시간.

위험 감소 지수: 치료 후 총 위험률의

13) 대시 보드 (최소 세트)

위험 히트맵: × 확률/충격 × 잔류 위험을 처리합니다.
결과 파이프 라인: 상태 (공개/진행 중/종료/폐쇄) × 소유자.
상위 테마: 빈번한 위반 범주 (IAM/Privacy/PCI/AML/DevSecOps).
노화 및 SLA: 연체 및 마감일 접근.
반복 문제: 명령/시스템에 의한 반복성.
제어 테스트 결과: 탐정 규칙에 대한 합격률, 추세, FPR/TPR.

14) 아티팩트 패턴

감사 범위

목적 및 기준 (표준/정책).

범위: 시스템/기간/위치/공급 업체

방법: 샘플링, 분석, 인터뷰, 연습.
예외 및 제한 (있는 경우).

카드 찾기

ID/주제/심각성/가능성/점수.
부적합의 사실과 기준에 대한 설명.
위험 및 영향 (비즈니스/규제/안전).
추천 및 행동 계획.
소유자 및 마감일.
증거 (링크/해시/아카이브).

감사 보고서 (구조)

1. 행정 요약.
2. 상황과 범위.
3. 방법론 및 데이터 소스.
4. 컨트롤의 결론 및 평가.
5. 결과 및 우선 순위.
6. 개선 계획 및 후속 조치.

15) 지속적인 모니터링 (CCM) 및 코드 준수를 통한 커뮤니케이션

위험 평가 및 감사 계획을위한 입력으로 CCM 결과를 사용하십시오.
코드 별 정책을 통해 감사인이 테스트를 다시 실행할 수있어 재현성이 향상됩니다.
원격 측정이 가능한 고위험 지역에 대한 지속적인 감사를 구현하십시오.

16) 안티 패턴

공급자 및 서비스 체인을 무시합니

"균일 한" 무위험 감사 → 집중 및 자원 손실.
측정 가능한 권장 사항 및 소유자가없는보고.
불투명 위험 등급 방법론.

후속 조치가 없습니다-문제가 발생합니다

17) RBA 성숙도 모델 (M0-M4)

M0 다큐멘터리: 일회성 점검, 수동 샘플링.
M1 카탈로그: 감사 유니버스 및 기본 히트 맵.
M2 정책 및 테스트: 표준화 된 체크리스트 및 후속 요청.
M3 통합: CCM, SIEM/IGA/DLP 데이터와의 통신, 반자동 증거 수집.
M4 연속: 지속적인 감사, 실시간 우선 순위 지정, 자동화 된 수행.

18) 실용적인 조언

비즈니스 및 규정 준수와 관련된 교정 위험 척도 - 단일 "통화" 위험.
투명성 유지: 문서 방법 및 무게, 변경 기록 유지.
감사 계획을 전략 및 위험 식욕에 맞추십시오.
프로세스 소유자 교육 포함-향후 사고를 절약하는 것으로 감사.
계층화, 제외 규칙, 손상에 의한 우선 순위 분석과 같은 분석으로 "잡음" 을 줄입니다.

19) 관련 위키 기사

연속 준수 모니터링 (CCM)

준수 및보고 자동화

법적 보류 및 데이터 동결

데이터 유지 및 삭제 일정

DSAR: 데이터 사용자 요청

PCI DSS/SOC 2 제어 및 인증

비즈니스 연속성 계획 (BCP) 및 DRP

결과

위험 기반 감사는 가장 중요한 위협에 중점을두고 통제의 효과를 측정하며 시정 조치를 가속화합니다. 그 강점은 데이터와 투명한 방법론에 있습니다. 우선 순위를 이해하면 테스트를 재현 할 수 있으며 권장 사항은 제 시간에 측정 가능하고 닫힙니다.