سایت تخصصی حسابداران خبره ایران

ارائه مطالب تخصصی حسابداری و حسابرسی و قوانین

سایت تخصصی حسابداران خبره ایران

ارائه مطالب تخصصی حسابداری و حسابرسی و قوانین

کلیدهای حسابرسی فناوری اطلاعات اثربخش



 کلیدهای حسابرسی فناوری اطلاعات اثربخش 

 



 ترجمه: نیوشا ابراهیمی

 

مقدمه
سیستمهای اطلاعات رایانه‌ای و فناوری اطلاعات به رکن اساسی تقریباً همه سازمانها تبدیل شده‌اند. در نتیجه، به حسابرسیهای فناوری اطلاعات برای ایجاد اطمینان از این موارد نیاز است که سیستم‌ها به اندازه کافی کنترل می‌شوند، به اندازه کافی ایمن هستند و آنگونه که مورد نظر است، عمل می‌کنند. اما اجرای یک راهبرد حسابرسی فناوری اطلاعات که از نظر هزینه توجیه‌پذیر باشد و موجب گسترش کاربرد اثربخش سیستم‌های اطلاعاتی شود، کاری چالش‌برانگیز است.
در حسابرسیهای فناوری اطلاعات، مدیریت ممکن است در خصوص خود رایانه‌ها به‌عنوان دارایی، یکپارچگی عملیاتی، اعتمادپذیری عناصر داده، داراییهای تحت کنترل نرم‌افزارهای رایانه‌ها یا هر ترکیبی از دو یا چند مورد از موضوعهای پیشگفته، توجه نشان دهد.
اما صرف‌نظر از این که شرایط چه باشد، در این نوشتار چند دیدگاه مهم درباره چگونگی اجرای یک راهبرد حسابرسی فناوری اطلاعات اثربخش برای هر سازمان، ارائه می‌شود.

با استقلال آغاز کنیم
پیش‌نیاز حسابرسی فناوری اطلاعات اثربخش، این است که کوشش برای انجام حسابرسی به‌گونه‌ای پایه‌ریزی شود که حسابرس در عمل و در ظاهر از واحد مورد رسیدگی مستقل باشد. جایگاه حسابرس فناوری اطلاعات از نظر تشکیلاتی، نبایستی زیر مجموعه واحد فناوری اطلاعات سازمان باشد.
انجام این کار با جذب حسابرسان سیستمهای اطلاعاتی دارای صلاحیت حرفه‌ای آغاز می‌شود. خدمات حسابرسی فناوری اطلاعات ممکن است از سوی کارکنان واحد حسابرسی داخلی یا مشاوران و شرکتهای برون‌سازمانی فراهم شود.
حسابرس فناوری اطلاعات بایستی دارای چه نوع تجربیاتی باشد؟ پاسخ این است که در حوزه تخصصی حسابرسی فناوری اطلاعات، هیچ سابقه‌ کاری مقتضی این نوع حسابرسی وجود ندارد. برخی از حسابرسان فناوری اطلاعات با عنوان حسابرسان مالی یا عملیاتی این کار را آغاز می‌کنند، در حالی که دیگران از سایر تخصصهای فناوری اطلاعات، به حسابرسی فناوری اطلاعات می‌آیند. در هر حال، انجمن حسابرسی و کنترل سیستمهای اطلاعاتی1 به حسابرسان فناوری اطلاعات، یک گواهی معتبر جهانی تحت عنوان گواهینامه حسابرس سیستمهای اطلاعاتیاعطا می‌کند. افراد حرفه‌ای با دریافت این عنوان در واقع نشان می‌دهند که مهارت لازم برای انجام کاری که از آنان انتظار می‌رود را با پشت سر گذاشتن یک آزمون سخت و کسب تجربه، آموزش و صلاحیتهای شخصیتی به‌دست آورده‌اند. همچنین از آنان انتظار می‌رود که از استانداردها و رهنمودهای حرفه‌ای پیروی نمایند. در حال حاضر به حسابرسان دارای گواهینامه سیستمهای اطلاعاتی نیازی مبرم است، چون سازمانها کوشش می‌کنند که در برابر الزامات قانون ساربینزـ اکسلی سال 2002 و دیگر موارد ابتکار عمل و قانونگذاری جدید در سطح جهانی پاسخگو باشند.

 برنامه حسابرسی را براساس تحلیل ریسک پایه‌گذاری کنید کار حسابرسی فناوری اطلاعات برای سازمان بایستی براساس برنامه حسابرسی مبتنی بر ریسک انتخاب شود. آن دوران گذشته است که برنامه‌ریزی حسابرسی گردشی مناسب بود و حوزه‌ها با فواصل زمانی ثابت، حسابرسی می‌شد. کمیابی منابع حسابرسی به این معنا است که حسابرسیها باید به‌طور مستقیم به‌‌سوی حوزه‌هایی هدایت شوند که سازمان بیشترین منافع را از آنها دریافت خواهد کرد. فرد تهیه‌کننده برنامه که اغلب مدیر فنی حسابرسی است بایستی از منابع گوناگون مانند کارگروه حسابرسی، کار حسابرسی پیشین، مدیران اجرایی و سایر کارکنان مناسب، درونداد گرداوری کند. نوع حسابرسیهای احتمالی بایستی شناسایی شود و عناصر ریسک به گونه‌ای تعیین شوند که برای سازمان مناسب است.
عناصر ریسک اثربخش در برگیرنده موارد زیر است:
• اهمیت سیستم برای سازمان،
• فاصله زمانی با حسابرسی پیشین،
• حجم داراییهای موجود، و 
• جدید بودن سیستم.
حسابرسان فناوری همچنین بایستی سیستم حسابرسی در حال گسترش و کاربردهای فناوریهای جدیدی را مورد ملاحظه قرار دهند که از نظر سازمان دارای اهمیت هستند. حسابرسان بایستی منابع دسترس‌پذیر فناوری اطلاعات و حوزه‌های احتمالی برای حسابرسی را مدنظر قرار دهند، سپس برنامه حسابرسی فناوری اطلاعات را به کارگروه حسابرسی و دیگر مراجع دارای صلاحیت پیشنهاد کنند. چنانچه به نظر آید منابع حسابرسی فناوری اطلاعات برای کار مورد نیاز کافی نیست، حسابرسان بایستی پیشنهاد افزایش تعداد کارکنان حسابرسی یا به‌کارگیری افراد متخصص کمکی برون‌سازمانی را به سازمان مربوطه مدنظر قرار دهند.

اطلاعات را گرداوری کنید
هنگامی که برنامه حسابرسی تنظیم شد، می‌توان از عهده حسابرسیهای خاص برآمد. هر حسابرسی بایستی بر شناخت کلی از حوزه مورد رسیدگی متکی و دربرگیرنده اطلاعاتی مانند موارد زیر باشد:
• الزامات تجاری،
• ریسکها،
• نقشها و مسئولیتها،
• سیاستها و رویه‌ها،
• رعایت قوانین و مقررات، و 
• کنترلهای داخلی موجود.
حسابرسان می‌توانند این شناخت را از طریق مصاحبه با افراد کلیدی و بررسی اسناد سازمان به‌دست آورند(به نمایش 1 مراجعه شود).
در طول فرایند گرداوری این اطلاعات و ادامه کار حسابرسی، به نفع همه بخشهای سازمان است که به‌گونه‌ای مثبت و بدون مقابله با حسابرس برخورد کنند. هنگام مصاحبه با کارکنان واحد فناوری اطلاعات، حسابرسان بایستی کوشش کنند دیدگاههای درست و اطلاعات کافی را استخراج کنند تا آنان را قادر سازد به‌گونه‌ای درست تصمیم‌گیری کنند و گرایش ذاتی واحد مورد رسیدگی به حالت تدافعی داشتن در برابر حسابرسان را کاهش دهند.
براساس فرایند گرداوری اطلاعات، حسابرسان فناوری اطلاعات می‌توانند اهداف حسابرسی را شناسایی کنند که به نوبه خود به معنی وجود اطمینانی است که قرار است حسابرسی برای مدیریت و کارکنان حسابرسی فراهم آورد. پس از شناسایی اهداف حسابرسی، حسابرسان فناوری اطلاعات بایستی یک جلسه شروع به کار به‌منظور بحث و موافقت در خصوص موضوعهایی از جمله هدفهای حسابرسی، زمانبندی حسابرسی، توالی رویدادها و دسترس‌پذیری منابع را برنامه‌ریزی کنند. جلسه شروع به کار رسمی، چندین هدف را در پی دارد:
• سررسید قطعی تعیین می‌کند که پیش از آن، گروه حسابرسی باید گرداوری اطلاعات اولیه را تکمیل کند.
• اطمینان می‌دهد که مدیران فناوری اطلاعات به اندازه کافی از هدف حسابرسی آگاهند.
• فرصتی را برای هم‌اندیشی و مشارکت کارکنان واحد فناوری اطلاعات فراهم می‌نماید که در طول اجرای کار انتظار می‌رود.
• به اطمینان از این کمک می‌کند که حسابرسی طبق برنامه آغاز می‌شود.

نمایش1- نمونه یادداشت برنامه‌ریزی 

 

یادداشت برنامه‌ریزی کنترلهای داخلی

به: مدیر فناوری اطلاعات
بخش: مکان سازمان تجاری
از طرف: حسابرس ارشد فناوری اطلاعات
عطف به: بررسی رویه‌های مدیریت کاربران

این موسسه طبق برنامه حسابرسی سالیانه، بررسی رویه‌های مدیریت کاربران در سازمان تجاری را برنامه‌ریزی کرده است. در جریان بررسی، این موسسه یک بررسی مقدماتی از طرحهای مدیریت کاربران برای سیستم در حال گسترش و یک بررسی نهایی از اقدامات مدیریت کاربران برای سیستم در حال اجرای عملیات، اجرا خواهد کرد.
چنانچه آن سازمان هرگونه رویه‌های مکتوب پیرامون فرایندهای مدیریت کاربران یا گردش کار مربوط به عملیات یا نمودارهای سازمانی در اختیار دارد، خواهشمند است تصاویری از آنها را برای استفاده حسابرس و به‌عنوان کاربرگ حسابرسی برای این موسسه تهیه نماید.
آزمونی که این موسسه انجام خواهد داد در برگیرنده بررسی مستندسازی، رویه‌ها، راهنمای خط‌مستقیم بررسی خودکار از پیکربندی سیستمها و تولید گزارشهای مربوط به سیستم می‌باشد. افزون بر این، ما نیازمند مشاهده کارکنان با مسئولیتهای مرتبط با سیستم در هنگام انجام وظایف کاری معمول آنان هستیم.
انتظار می‌رود این بررسی در تاریخ 6 ماه مه آغاز شود. خواهشمند است چنانچه هرگونه پرسش یا ابهامی دارید با این موسسه تماس بگیرید (شماره تماس).

 

 منبع: گام نهادن به حسابرسی سیستمهای اطلاعاتی، چاپ دوم، (Bayuk J. L., 2004)



هدفهای کنترل را تعیین کنید هنگامی که حسابرسان، حوزه هدف را درک کردند، آنها بایستی بتوانند هدفهای کنترل فناوری اطلاعات را گسترش دهند. هدف کنترلی فناوری اطلاعات عبارت است از "ارائه یک بیانیه از نتیجه یا هدفی مورد انتظار که با اجرای رویه‌های کنترل در یک فعالیت فناوری خاص به‌دست می‌آید." به عبارت دیگر، کنترلی است که حسابرس و مدیر تمایل دارند آنرا به‌کارگیرند تا اطمینان یابند یک جنبه از فعالیت فناوری اطلاعات به‌درستی کنترل می‌شود. نمونه‌ای از هدف کنترلی فناوری اطلاعات این است که سازمانها بایستی کیفیت را مدیریت کنند. انجمن راهبری فناوری اطلاعات3 چارچوبی بین‌المللی به نام هدفهای کنترل اطلاعات و فناوری مرتبط4 را فهرست می‌کند که پوشش دهنده کل دامنه حسابرسی فناوری اطلاعات هم در سطح بالا و هم تفصیلی است. هدفهای کنترل اطلاعات و فناوری مرتبط، مرجعی با اطلاعات گسترده است که به حسابرسان در تعیین این که در جستجوی چه باشند و به مدیریت درباره مسئولیتهای رو به رشد برای مدیریت درست فناوری اطلاعات، کمک می‌کند. اهداف کنترل اطلاعات و فناوری مرتبط، به طور دوره‌ای برای انعکاس تغییرات در فناوری، حسابرسی فناوری اطلاعات و بهترین شیوه‌های نظارت بر فناوری اطلاعات، بهنگام می‌شود.

برنامه حسابرسی را بسط دهید و اجرا کنید هنگامی که هدفهای کنترل شناسایی شد، حسابرسان بایستی کار حسابرسی تفصیلی مورد نیاز را با تبدیل آن به شکل یک برنامه حسابرسی طراحی کنند(به نمایش 2 مراجعه شود).
یک منبع مرجع در دسترس برای بسط برنامه‌های حسابرسی، هدفهای کنترل اطلاعات و فناوری مرتبط است. این مرجع در برگیرنده رهنمودهای حسابرسی خاصی است که پیشنهاد می‌دهد با چه افرادی مصاحبه شود، چه اسنادی دریافت شود، چه موضوعهایی مورد ملاحظه قرار گیرد، چه آزمونهایی انجام شود و به چه نتایجی باید دست یافت. یک نمونه از رهنمود حسابرسی هدفهای کنترل اطلاعات و فناوری مرتبط درباره هدف کنترلی مدیریت کیفیت که پیش از این به آن اشاره شد، این است که برای نظارت بر بسط، کسب، اجرا و حفاظت از سیستم‌های اطلاعاتی بایستی از روش‌شناسی چرخه حیات سیستم استفاده شود. رهنمودهای حسابرسی هدفهای کنترل اطلاعات و فناوری مرتبط، جامع هستند و می‌توانند برای بازتاب اندازه، ساختار و دامنه فعالیتهای سازمانی که حسابرسی می‌شود، تعدیل شوند.
برنامه حسابرسی در طول کار حسابرسی اجرا می‌شود. یکی از چالشهای پیش‌روی حسابرسان فناوری اطلاعات، حرکت دشوار در لابه‌لای اصطلاحات فناوری اطلاعات موجود در مسیر آنان است. حسابرسان بایستی مصاحبه‌شوندگان را ترغیب کنند تا موضوعهای فنی را به‌گونه‌ای ارائه کنند که برای افرادی که در حوزه مورد حسابرسی دانش کافی ندارند، درک‌پذیر باشد.
حسابرسان فناوری اطلاعات مسئول بازنگری گستره وسیعی از حوزه‌ها هستند و بنابراین، نبایستی از آنان انتظار رود که از نظر فنی با افرادی برابر باشند که در حوزه‌ای خاص تخصص دارند و آموزش دیده‌اند.
مدیریت بایستی فرصتی برای به بحث گذاشتن و احتمالاً نپذیرفتن پیشنهادهای ارائه شده در طول حسابرسی فناوری اطلاعات داشته باشد. یک پیشنهاد خوب حسابرسی بایستی دربر گیرنده عناصر زیر به‌گونه‌ای که از سوی انجمن حسابرسان داخلی5 پیشنهاد شده است، باشد:
• شرایط6: وضعیتی که حسابرس نسبت به آن استثنا قائل می‌شود،
• معیار7: آن چیزی است که حسابرس شرایط را نسبت به آن مقایسه می‌کند،
• دلیل8: شرایط چگونه به‌وجود آمد،
• اثر9: تأثیر شرایط بر سازمان، و
• پیشنهاد10: آنچه باید برای حل‌وفصل وضعیت انجام شود.
حسابرسان فناوری اطلاعات و مدیریت بایستی در طول دوره حسابرسی در حین اینکه موضوعها و مسائل مورد شناسایی قرار می‌گیرند، به‌طور مرتب با شالوده کار در تماس باشند. در گزارشهای حسابرسی که به مدیریت ارائه می‌شود، نبایستی موضوعهای ناآشنا وجود داشته باشد. حسابرسان باید در پایان کار حسابرسی به منظور بحث در مورد یافته‌ها و پیشنهادها، یک جلسه رسمی برگزار نمایند.
پیشنهادهای حسابرسی بایستی به‌شکل یک گزارش حسابرسی درآید که موضوعها را به روشنی ارائه می‌کند.
یکی از چالشهای اصلی حسابرسان فناوری اطلاعات، همگام شدن با سرعت سریع فناوری نوپدید است.
سودمندی حسابرس فناوری اطلاعات، به گزارش حسابرسی و پیگیری متعاقب آن است. ارائه پاسخهای مدیریت به پیشنهادهای مطرح شده در گزارش حسابرسی، هنگام صدور نسخه نهایی آن، مفید است. پاسخهای مدیریت بایستی دربرگیرنده اقدامات خاصی که انجام می‌شود، اینکه چه کسی این اقدامات را انجام خواهد داد و یک تاریخ قطعی برای انجام آنها باشد. حسابرس بایستی کوشش کند گزارش حسابرسی را بلافاصله پس از تکمیل کار حسابرسی صادر نماید، تأثیر آن را به بالاترین سطح برساند و اجرای پیشنهادها را هر چه سریعتر شروع کند.
حسابرسان بایستی اجرای پیشنهادهای خود را پیگیری کنند و همچنین کارگروه حسابرسی را نسبت به اقدامات معوقه یا ناکافی آگاه سازند.
مدیریت بایستی تأیید اینکه واحد حسابرسی از استانداردهای حسابرسی حرفه‌ای پیروی می‌کند را از طریق کسب نظرات همپیشگان از سازمانهایی مانند انجمن حسابرسان داخلی یا انجمن ملی حسابرسان دولتی محلی11، مورد ملاحظه قرار دهند.

چالشهای فناوری برای حسابرسان فناوری اطلاعاتیکی از چالشهای اصلی حسابرسان فناوری اطلاعات، همگام شدن با سرعت سریع فناوری نوپدید است. چرخه فعالیتها در حسابرسی، به‌طور معمول شامل کوشش برای یادگیری کنترلهای مناسب همزمان با پیشرفتهای فناوری است. هنگامی که با اجرای اقدامات کنترلی، فروشندگان محصولاتی جدید به بازار معرفی می‌کنند، کنترلهای داخلی مناسبی اجرا و ارزیابی شده است که بهترین شیوه عمل شده‌اند.
انجمن حسابداران رسمی امریکا12 سالیانه به هدایت گردآوری اطلاعات برای شناسایی موضوع مرتبط با فناوریهایی می‌پردازد که از درجه اهمیت بیشتری برخوردارند. موضوعهای جاری مورد بحث روز که حسابرسان و مدیران فناوری اطلاعات باید از عهده آن برآیند، در برگیرنده مواردی است که در پی می‌آید:
1- امنیت اطلاعات13: این مقوله یکی از موضوعهایی است که برای مدتهای طولانی بحث روز بوده است، اما تغییرات مربوط به فناوری، تهدیدهای مهارتی و اتکای سازمانها بر سیستم‌های رایانه‌ای آن را در بالاترین سطح نگه می‌دارند.
2- مدیریت اسناد الکترونیک14: کاراییهای حاصل از به‌کارگیری اسناد بدون کاغذ ارزشمند است، اما حفظ زنجیره‌های عطف حسابرسی مناسب و نگهداری از عناصر داده‌ها مهم است.
3- یکپارچگی عناصر داده15: توانایی به‌روزرسانی یک قطعه اطلاعاتی و داشتن یک مقدار جدید برای همزمانی با پایگاههای داده چندگانه و حرکت دادن آن با استفاده از یک روش مناسب به سایر برنامه‌های کاربردی و پایگاهها، مهم است.
4- نامه‌های ناخواسته16: کاهش زیان بهره‌وری، به هدر رفتن منابع و دردسرهای ناخواسته و پی‌درپی حمله نامه‌های الکترونیک، یک مزیت است.
5- مشکل بهبود سیستم17: برنامه‌ریزی احتمالی برای بهبود روش جاری و فعالیتهای تجاری دشوار، لازم است.
6- فناوری بی‌سیم18: در حالی که دنیا به‌سوی به‌کارگیری سیستم بی‌سیم پیش می‌رود، اما با به‌کارگیری فناوری، امنیت سیستم عقب مانده است. ضعفها شامل نبود کنترل فیزیکی در کل شبکه و قصور از اجرای معیارهای امنیت بنیادی است.
7- فناوری هویت‌شناسی19: سخت‌افزار، نرم‌افزار، فرایندها و رویه‌هایی که از حریم خصوصی و هویت افراد نسبت به تهدیدها حمایت می‌کنند، دارای اهمیت می‌باشند.
انجمن حسابداران رسمی امریکا نیز فناوریهای در حال تکوین نیازمند توجه را مورد شناسایی قرار داده است. یکی از آنها سیستم شناسایی از طریق فرکانس رادیویی است، که برای ردیابی کالا (به جای بارکد) با تعبیه ریزتراشه‌های رایانه‌های همراه با یک آنتن، سروکار دارد. این پیشرفت توان این را دارد که تجارت را به شدت دگرگون کند.
خوشبختانه، منابع پیشرفت حرفه‌ای بیشماری از جمله کتابها، مجله‌ها، فعالیتهای انجمنهای حرفه‌ای، سمینارها، کنفرانسها، آموزش از راه دور و سایر فرصتهای آموزشی برای حسابرسان فناوری اطلاعات در دسترس است. مدیریت بایستی اطمینان یابد وجوه کافی برای پشتیبانی از مدارک حرفه‌ای و مهارتهای فنی حسابرسان فناوری اطلاعات فراهم است.

نمایش 2- برنامه حسابرسی نمونه

 

این برنامه پیرامون بررسی حفاظت از اطلاعات است که به امنیت داده‌های سازمان و دستیابی به امتیازات موجود در تطابق با الزامات قانونی و مقررات اشاره دارد.
این هدفها سطح بالای کنترلیاینگونه مشخص می‌شوند:و از طریق اجرای مراحل حسابرسی، آشکار خواهند شد.شواهدقبول/رد

 از امنیت سیستمها اطمینان به‌دست آورید، به این معنی که، اطلاعات در برابر استفاده غیرمجاز، افشا یا دستکاری، خسارت یا صدمه مصون هستند.

 

امنیت فناوری اطلاعات بایستی به‌گونه‌ای مدیریت شود که تدابیر امنیتی در راستای الزامات تجاری باشد. این موارد در پی می‌آیند:
• برگرداندن ارزیابی ریسک اطلاعات به برنامه‌های امنیت فناوری،
• اجرای برنامه امنیت فناوری اطلاعات،
• بهنگام‌سازی برنامه امنیت فناوری اطلاعات برای بازتاب تغییرات پیکربندی فناوری اطلاعات،
• ارزیابی تأثیر درخواستهای تغییرات پیرامون امنیت فناوری اطلاعات،
• نظارت بر ارزیابی برنامه امنیت فناوری اطلاعات،
• تطبیق رویه‌های امنیت فناوری اطلاعات با سایر سیاستها و رویه‌ها. 

تصویری از فناوری اطلاعات و/ یا سیاست و رویه‌های موجود در سطح سازمان، مرتبط با امنیت و دسترسی به سیستم اطلاعاتی را به‌دست آورید.

 

 

تصویری از سیاست‌ها و رویه‌های مرتبط و الزامات امنیتی سیستم‌های اطلاعاتی مرجع تنظیم مقررات (مانند قوانین، مقررات، رهنمودها و استانداردهای صنعت) را به‌دست آورید.

 

 

با مقام ارشد فناوری اطلاعات و مدیریت امنیت، مدیر پایگاه داده‌ ، مدیر امنیت و مدیریت توسعه برنامه‌های کاربردی، مصاحبه کنید.

 

 

 

 

 

 

 

 

 

 

 

دسترسی منطقی به منابع محاسباتی فناوری اطلاعات و استفاده از آن باید به کمک سازوکارهای شناسایی، هویت‌شناسی و مجوز کافی، و پیوند دادن استفاده‌کنندگان به منابع از طریق قواعد دسترسی محدود شود.

از منابع محاسباتی فناوری اطلاعات، که حاوی اطلاعات محافظت شده است، موجودی بگیرید.

 

 

تأیید کنید که رویه‌های کنترل دسترسی و مجوز کاربران در مورد سیستمهای شناخته شده، با سیاست‌ها تطابق دارد.

 

 

رویه‌های مرتبط با مجوزهای کاربران را مشاهده کنید.

 

 

_______

 

 

 

 

 

 

____________

 

 

 

خدمات مربوط به شخص ثالث را مدیریت  کنید، به این معنی که اطمینان یابید که نقش‌ها و مسئولیتهایی که بر عهده شخص ثالث گذاشته شده است، به روشنی تعریف شده باشد و به پیروی از الزامات، و رعایت آن ادامه می‌دهد.

مدیریت باید اطمینان یابد که همه اشخاص ثالث ارائه دهنده خدمات، به‌گونه‌ای درست شناسایی می‌شوند و وجوه مشترک فنی و سازمانی با عرضه کنندگان مستند می‌شود.

اطمینان یابید که سیاست فناوری اطلاعات موجود مرتبط با ارتباطات شخص ثالث، با سایر سیاستهای سازمانی سازگار است و به‌‌نیاز برای قراردادها، تعریف مفاد قراردادها، مالک یا مدیر روابط اشاره دارد که مسئول حصول اطمینان ازاین است که قراردادها منعقد گردیده باشد، در شرایط مطلوب جریان داشته باشد، نظارت شود و در صورت لزوم به‌طور مجدد مورد مذاکره قرار گیرد.

 

 

اطمینان یابید که وجوه مشترک برای کارگزاران مستقل که درگیر اجرای پروژه هستند و طرف دیگر مانند پیمانکار دست دوم تعریف شده است.

 

 

________

 

 

 

اطمینان یابید که مفاد قرارداد، دست‌کم دربرگیرنده موارد زیر است:

 

 

منبع: گام نهادن به حسابرسی سیستم‌های اطلاعاتی، چاپ دوم، (Bayuk J. L., 2004 )

 



سایر چالشهاسخت‌افزار و نرم‌افزارهای فرسوده لزوماً از دست نرفته نیستند و بایستی از طرف حسابرسان و مدیریت فناوری اطلاعات برای میزان ریسکی که به سازمان وارد می‌کنند، مورد توجه قرار گیرند. آیا می‌توان تجهیزات فرسوده را به‌طور ثابت مورد استفاده قرار داد یا می‌توان آنها را جایگزین کرد؟ آیا هنوز فردی برای برنامه‌نویسی به زبان قدیمی کوبل در دسترس است؟ (کوبل یکی از قدیمی‌ترین زبانهای برنامه‌نویسی است).
حوزه مورد علاقه در واحدهای حسابرسی فناوری اطلاعات، استفاده از کاربرگهای خودکار به‌منظور افزایش بازدهی است. واحدهای حسابرسی با تعداد کارکنان اندک، ممکن است به سختی از این فناوری بهره‌مند شوند، اما واحدهای با تعداد کارکنان بیشتر، احتمال دارد زمان لازم برای اجرای حسابرسیها و گسترش نتیجه کار را کاهش دهند.
یک ابزار ارزشمند مدیریتی برای استفاده در ارزیابی اثربخشی فناوری اطلاعات، سیستم جامع سنجش عملکرد فناوری اطلاعات است.
یک حوزه مورد علاقه برای کل سازمان، حوزه نظارت فناوری اطلاعات است که انجمن نظارت بر فناوری اطلاعات، آن را به این صورت تعریف می‌کند:"ساختار روابط و فرایندهای هدایت و کنترل (واحد تجاری) به‌منظور دستیابی به هدفهای واحد تجاری با اهمیت دادن به این موضوع است که عدم توازن مرتبط با ریسک، به کل فناوری اطلاعات و فرایندهای مربوط به آن باز‌می‌گردد." سازمانی که نظارت فناوری اطلاعات را می‌پذیرد و این نوع حسابرسی را برای دستیابی به اجرای نظارت خود، به صورت ادواری پیگیری می‌کند، احتمال دارد سیستم‌‌های کنترل شده و نتایج تجاری بهتری داشته باشد.
اجرای برنامه نظارت فناوری اطلاعات به کسب اطمینان از این کمک می‌کند که فناوری اطلاعات، از اهداف تجاری پشتیبانی می‌کند، سرمایه‌گذاری تجاری در این فناوری را به بالاترین سطح می‌رساند و ریسکهای مرتبط با آن را به‌گونه‌ای مناسب مدیریت می‌کند. نظارت فناوری اطلاعات همچنین به اطمینان از دستیابی به عناصر موفقیت مهم از طریق گسترش امنیت، اتکاپذیری اطلاعات و فناوری مورد استفاده به‌گونه‌ای اثربخش و کارا کمک می‌کند.
سیستم جامع سنجش عملکرد فناوری اطلاعات ابزار ارزشمند مدیریت برای استفاده در ارزیابی اثربخشی فناوری اطلاعات است.
به‌کارگیری سیستمهای جامع سنجش عملکرد روشی ارزشمند برای ارزیابی کارکردها و فرایندهای فناوری اطلاعات است که ارزیابی مالی سنتی از فناوری اطلاعات را با دربر گرفتن موارد زیر تکمیل می‌کند:
• رضایت مشتری،
• فرایندهای عملیاتی،
• توانایی در ایجاد نوآوری، و
• مدیریت مالی.
سیستم‌های جامع سنجش عملکرد، راهبردی عملی برای دستیابی به هدفها را معنا می‌بخشند. آنها به سنجش روابط و داراییهای دانش‌محور کمک می‌کنند که برای ادامه فعالیت موفقیت‌آمیز در محیط تجاری کنونی لازم است.
برای کاربست مفاهیم مرتبط با سیستم جامع سنجش عملکرد در کارکردهای فناوری اطلاعات، حسابرسان به درک 4 دیدگاه نیازمندند که اغلب تعریف‌شده هستند. یک سیستم جامع سنجش عملکرد فناوری اطلاعات می‌تواند با در نظر قرار دادن پرسشهای زیر، گسترش یابد:
• کمک بخشهای تجاری: مدیران اجرایی در بخش تجاری چگونه به بخش فناوری اطلاعات می‌نگرند؟
• گرایش کاربران: کاربران چگونه به بخش فناوری اطلاعات می‌نگرند؟
• برتری عملیاتی: اثربخشی و کارایی فعالیتهای فناوری اطلاعات چگونه است؟
• گرایش آینده: فناوری اطلاعات برای رویارویی با نیازهای آینده چگونه جایگاهی دارد؟

پشتیبانی از حسابرسی فناوری اطلاعاتمدیریت کارامد به حسابرسی فناوری اطلاعات به‌عنوان ابزاری موثر می‌نگرد تا نسبت به اینکه سازمان با به‌کارگیری فناوری اطلاعات به‌گونه‌ای اثربخش کنترل شده است، اطمینان یابد.
منابعی که در اختیار حسابرس فناوری اطلاعات قرار می‌گیرد بایستی کافی باشد و پشتیبانی و همکاری مستحکمی به حسابرس فناوری اطلاعات داده شود تا بتواند سودمندی خود را به بالاترین سطح ممکن برساند. از این گذشته مدیریت بایستی نگاهی ورای نقش سنتی به حسابرسی فناوری اطلاعات داشته باشد و مهارت خود را در ارزیابی اثربخشی نظارت فناوری اطلاعات به‌کار گیرد.


پانوشت:1- Information Systems Audit and Control Association (ISACA)
2- Certified Information Systems Auditor (CISA)
3- Information Technology Governance Institute (ITGI)
4- Control Objective for Information and related Technology (CobiT)
5- Institute of Internal Auditors (IIA) 
6- Condition
7- Criterion
8- Cause
9- Effect
10- Recommendation
11- National Association of Local Government Auditor (NALGA)
12- American Institute of Certified Public Accountants (AICPA)
13- Information Security
14- Electronic Document Management
15- Data Integration
16- Spam
17-Disaster Recovery
18- Wireless Technology
19- Authentication Technologies

منبع:• Petterson, Mark, The Keys to Effective IT Auditing, Wiley Periodicals, Inc., [on line], available at: www.interscience, Wiley.com, January 2005

 

 

 

نظرات 0 + ارسال نظر
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد