경영진이 리스크 관리를 담당하지만 감사는 중요한 지원 역할을 합니다. 그리고 감사자의 예상과 업무 수행 간의 단절을 피하는 것이 우리의 신뢰성에 매우 중요합니다. 감사 리스크 관리 프로세스와 감사자의 일상적인 활동은 매일 모든 프로젝트에서 완벽하게 부합되도록 조정되어야 합니다.
1부에서는 감사 환경에서 리스크를 식별하는 방법을 살펴보았습니다. 또한 감사자가 리스크 관리 이니셔티브 진행 중에 자문해야 할 다음과 같은 두 질문을 확인했습니다.
- 무슨 문제가 있을 수 있나요?
- 어떤 기회를 놓치고 있나요?
시리즈의 2부에서는 리스크 매트릭스 및 내부 통제 모델을 비롯하여 감사 기반 리스크 평가 및 솔루션을 통해 측정 가능한 가치를 추가하는 방법을 알아보겠습니다.
리스크 매트릭스로 리스크 우선순위 지정
감사자가 조직의 리스크를 식별한 후에 이러한 리스크를 어떻게 문서화하고 평가해야 하나요? 리스크 평가 매트릭스는 리스크 관리 활동을 지원하는 일반적이고 매우 유용한 문서 프레임워크입니다. 리스크 관리 활동에는 다음이 포함됩니다.
- 리스크 식별
- 가능성 및 중요성 평가
- 리스크 신호
- 예방 통제
- 탐지 통제
- 통제 효과 평가
- 잔여 리스크
- 리스크 대응
그러나 발생하는 리스크의 가능성 및 중요성을 평가하는 것은 매우 주관적인 프로세스입니다. 경영진과 감사자는 금전적 중요성뿐만 아니라 조직의 보고, 운영, 평판, 법률 및 규정 준수 영향에 대한 중요성도 고려해야 합니다.
리스크 매트릭스는 상황 인식을 보여 주고 필요한 경우 시정 조치를 촉진하는 툴로, 적극적으로 활용되어야 합니다. 리스크 매트릭스는 대개 매우 복잡한 문서이지만, 반드시 그래야 하는 것은 아닙니다. 개연성, 잠재성, 가능성, 원격 분류와 같은 주관적이고 “직감적인” 척도를 사용하여 리스크 사건의 가능성을 평가하는 리스크 매트릭스를 개발하면 효과적일 수 있습니다. 이와 같은 광범위한 측정으로도 지금 당장 조치가 필요한 부분을 신속하게 제시할 수 있습니다.
한 걸음 물러서서 사용 중인 리스크 매트릭스 툴을 검토하고 “너무 복잡한가?”라고 자문해 보는 것이 좋습니다. 대답이 “예”라면 아마도 변경해야 할 것입니다.
