حسابرسان فناوری اطلاعات، اغلب خود را در حال آموزش جامعه تجاری در این زمینه میبینند که کار آنان چگونه بر ارزش سازمان میافزاید. بخشهای حسابرسی داخلی بهطور معمول دارای یک زیرگروه حسابرسی فناوری اطلاعات است که با چشماندازی روشن از نقش خود در سازمان، بهکار گمارده شدهاند. اگرچه، طبق تجربه بهدست آمده بهعنوان حسابرس فناوری اطلاعات، هر چه جامعه تجاری گستردهتر باشد، برای دستیابی به حداکثر سود به شناخت بیشتر کارکرد حسابرسی فناوری اطلاعات نیازمند است. در این نوشتار، منافع ویژه و ارزشافزوده حاصل از حسابرسی فناوری اطلاعات، بهطور مختصر بررسی شده است.
در معنای خاص، حسابرسی فناوری اطلاعات ممکن است طیفی گسترده از زیرساختهای پردازش و ارتباطات فناوری اطلاعات1 مانند سیستمها و شبکههای مشتری- خدمترسان2، سیستمهای عامل3، سیستمهای امنیتی4، نرمافزارهای کاربردی5، خدمات شبکه جهانی6، پایگاههای داده7، زیرساختهای مخابراتی8، روشهای مدیریت تغییر9 و برنامهریزی برای رویارویی با حوادث غیرمترقبه10 را پوشش دهد. توالی کار در یک حسابرسی استاندارد با شناسایی خطرها آغاز و سپس با ارزیابی ساختار کنترلها ادامه و با آزمون اثربخشی کنترلها پایان مییابد. حسابرسان بامهارت، میتوانند در هر مرحله از حسابرسی موجب افزایش ارزش شوند.
شرکتها بهطور معمول از کارکرد حسابرسی فناوری اطلاعات، برای فراهم ساختن اطمینان از کنترلهای فناوری و اطمینان از انطباق با الزامات خاص قانونی یا صنعت، استفاده میکنند. با رشد سرمایهگذاری در فناوری اطلاعات، حسابرسی فناوری اطلاعات میتواند اطمینان دهد که خطرها کنترل میشود و احتمال زیانهایی بزرگ وجود ندارد. سازمان نیز ممکن است خود تشخیص دهد که خطر توقف11، تهدید امنیتی12 یا آسیبپذیری13 بالاست. همچنین ممکن است الزاماتی برای رعایت مفاد قانون مانند قانون ساربینز- اکسلی14 یا الزامات خاص صنعت وجود داشته باشد. در ادامه در رابطه با پنج حوزه کلیدی بحث میشود که از طریق آنها، حسابرسان فناوری اطلاعات میتوانند به ارزش سازمان بیفزایند. البته، کیفیت و عمق حسابرسی فنی، پیشنیاز افزودن ارزش است. دامنه طرحریزیشده برای حسابرسی نیز در افزودن ارزش، مهم است. بدون یک تعهد روشن در مورد اینکه چه فرایندها و خطرهای تجاری، حسابرسی خواهد شد، اطمینان از دستیابی به موفقیت یا افزودن ارزش، دشوار است.
بنابر این، در اینجا پنج روش افزودن به ارزشهای سازمان از طریق حسابرسی فناوری اطلاعات، ارائه میشود: -1 کاهش خطر برنامهریزی و اجرای حسابرسی فناوری اطلاعات دربرگیرنده شناخت و براورد خطرها در سازمان است. حسابرسیهای فناوری اطلاعات بهطور معمول خطرهای مرتبط با اعتمادپذیری، یکپارچگی و دسترسپذیری زیرساختها و فرایندهای فناوری اطلاعات را پوشش میدهد. خطرهای دیگر شامل اثربخشی، کارایی و اتکاپذیری فناوری اطلاعات است. نخستین بار که خطر براورد شود، میتوان به چشماندازی روشن از این دست یافت که برای کاهش یا تخفیف خطر از طریق بهکارگیری کنترل، انتقال خطر از طریق بیمه، یا بهطور ساده پذیرفتن خطر بهعنوان بخشی از محیط عملیاتی، چه مسیری در نظر گرفته شود. یک فرض مهم در اینجا این است که خطر فناوری اطلاعات، خطر کسبوکار تجاری است. هر گونه تهدید یا آسیبپذیری عملیات اصلی فناوری اطلاعات، ممکن است اثری مستقیم بر کل سازمان داشته باشد. بهطور خلاصه، سازمان نیاز دارد بداند که خطرها در کجا هستند و سپس اقدام به انجام کاری در مورد آنها کند.
بهترین رویههای بهکارگرفته شده در مورد خطر فناوری اطلاعات از سوی حسابرسان، چارچوب کوبیت15 (COBIT) طراحی شده توسط انجمن حسابرسی و کنترل سیستمهای اطلاعاتی16 و چارچوپ خطر سیستمهای اطلاعاتی17 و استاندارد اقدامات عملی مدیریت امنیت اطلاعات18 است. -2 تقویت کنترلها (و بهبود امنیت) پس از براورد خطرهای پیشگفته، سپس میتوان کنترلها را مشخص و ارزیابی کرد و کنترلهایی که طراحی ضعیف یا غیرموثر دارند را میتوان دوباره طراحی و / یا تقویت کرد. چارچوب کوبیت در رابطه با کنترلهای فناوری اطلاعات بهویژه در اینجا مفید است. این چارچوب شامل چهار قلمرو سطح بالا است که 32 فرایند کنترل سودمند در زمینه کاهش خطر را پوشش میدهد. چارچوب کوبیت همه جنبههای امنیت اطلاعات از جمله هدفهای کنترلها، شاخصهای کلیدی عملکرد، شاخصهای کلیدی هدف و عوامل مهم موفقیت را پوشش میدهد. حسابرس میتواند چارچوب کوبیت را برای ارزیابی کنترلها در یک سازمان بهکار گیرد و پیشنهادهایی ارائه دهد که بر ارزش واقعی محیط فناوری اطلاعات و سازمان در کل، بیفزاید. یکی دیگر از چارچوبهای کنترل، مدلهای کنترل داخلی کمیته سازمانهای حامی کمیسیون تردوی یا کوزو19 (COSO) است. حسابرسان فناوری اطلاعات میتوانند این چارچوب را برای اطمینان یافتن از 1) اثربخشی و کارایی عملیات، 2) اتکاپذیری گزارشگری مالی و 3) رعایت قوانین و مقررات لازمالاجرا، بهکار گیرند. این چارچوب، دو عنصر از پنج عنصری که بهطور مستقیم به کنترلها مربوطند یعنی محیط کنترلی و فعالیتهای کنترلی را در بر میگیرد.
3 رعایت مقررات مقررات گسترده در سطح دولت مرکزی و ایالتی، الزامات خاصی را برای امنیت اطلاعات در بر میگیرد. حسابرس فناوری وظیفهای حیاتی دارد که اطمینان دهد الزامات خاص رعایت، خطرها براورد و کنترلها بهکار گرفته شده است. قانون ساربینز- اکسلی (قانون پاسخگویی شرکت و جرائم تقلب) الزامات مورد نیاز برای تمام شرکتهای سهامی عام بهمنظور اطمینان یافتن از کفایت کنترلهای داخلی طبق تعریف ارائه شده در چارچوب کمیته سازمانهای حامی کمیسیون تردوی (کوزو) را در بر میگیرد. حسابرس فناوری اطلاعات است که اطمینان میدهد که چنین الزاماتی رعایت شده است. قانون پاسخگویی و انتقالپذیری بیمه بهداشتی20 دارای سه حوزه الزامات فناوری اطلاعات شامل اداری، فنی و عینی میباشد. حسابرس فناوری اطلاعات است که در اطمینان یافتن از رعایت این الزامات، نقشی کلیدی دارد. صنایع گوناگون الزامات دیگری دارند از جمله، استاندارد امنیت دادهها در صنعت کارت پرداخت21 در صنعت کارتهای اعتباری، مانند ویزا (Visa) و مسترکارت (Master Card). در تمام حوزههای رعایت قانون و مقررات، حسابرس فناوری اطلاعات نقشی محوری بازی میکند. سازمان نیاز دارد اطمینان یابد که همه الزامات رعایت شده است.
4 تسهیل ارتباط بین مدیریت کسبوکار تجاری و مدیریت فناوری حسابرسی میتواند در گشایش کانالهای ارتباطی میان مدیریت کسبوکار و مدیریت فناوری سازمان، تاثیر مثبت داشته باشد. حسابرسان از آنچه در واقعیت و در عمل روی میدهد، مصاحبه، مشاهده و آزمون بهعمل میآورند. نتیجه نهایی حسابرسی، اطلاعاتی ارزشمند بهشکل گزارشهای کتبی و شفاهی است. مدیریت ارشد میتواند درباره چگونگی کارکرد سازمان خود، بازخورد مستقیم دریافت کند. کارشناسان حرفهای فناوری در سازمان همچنین نیازمندند که انتظارات و هدفهای مدیریت ارشد را بدانند. حسابرسان از طریق شرکت در نشستهایی با مدیریت فناوری و از طریق بررسی نحوه کنونی اجرای سیاستها، استانداردها و رهنمودها به این نوع ارتباط از بالا به پایین، کمک میکنند. درک این موضوع مهم است که حسابرسی فناوری اطلاعات یک عنصر کلیدی در نظارت مدیریت بر فناوری است. فناوری سازمان به این دلیل وجود دارد که از راهبرد، کارکردها و عملیات کسبوکار پشتیبانی کند. همسویی کسبوکار با فناوری پشتیبان آن، بسیار مهم است. حسابرسی فناوری اطلاعات، این همسویی را حفظ میکند. -5 بهبود نظام راهبری فناوری اطلاعات
موسسه حسابرسی جهانی فناوری اطلاعات22 تعاریف زیر را منتشر کرده است: “مسئولیت نظام راهبری فناوری اطلاعات، بر عهده مدیران اجرایی و هیئتمدیره است و دربرگیرنده راهبری، ساختارها و فرایندهای سازمانی است تا اطمینان دهد که فناوری اطلاعات سازمان، راهبردها و هدفهای سازمان را حفظ کرده و گسترش میدهد.” در تعریف یادشده از راهبری، ساختارها و فرایندهای سازمانی، همهجا به حسابرسان فناوری اطلاعات بهعنوان بازیگران کلیدی اشاره شده است. موضوع محوری در حسابرسی فناوری اطلاعات و در کل، مدیریت فناوری اطلاعات، شناخت قوی ارزشها، خطرها و کنترلهای پیرامون محیط فناوری سازمان میباشد. بهگونهای دقیقتر، حسابرسان فناوری اطلاعات، ارزشها، خطرها و کنترلها در هر یک از اجزای اصلی فناوری مانند برنامههای کاربردی، اطلاعات، زیرساختها و اشخاص را بررسی میکنند.
نگرشی دیگر درباره نظام راهبری فناوری اطلاعات متشکل از چارچوبی در بر گیرنده چهار هدف کلیدی است که در مستندات موسسه حسابرسی فناوری اطلاعات مورد بحث قرار گرفته است: • فناوری اطلاعات با کسبوکار همسو است، • فناوری اطلاعات، کسبوکار را توانمند میسازد و سود را به حداکثر میرساند، • منابع فناوری اطلاعات بهگونهای مسئولانه بهکار گرفته میشود، و • خطرهای فناوری اطلاعات بهگونهای مناسب مدیریت میشود. حسابرسان فناوری اطلاعات اطمینان فراهم میکنند که هر یک از این هدفها، تحقق یافته است. هر هدف برای سازمان مهم است و بنابراین، در عملیات حسابرسی فناوری اطلاعات اهمیت دارد. در نتیجه، حسابرسی فناوری اطلاعات از طریق کاهش خطرها، بهبود امنیت، رعایت قوانین و مقررات و تسهیل ارتباط بین فناوری و مدیریت کسبوکار، به ارزش سازمان میافزاید. در نهایت، حسابرسی فناوری اطلاعات، نظام راهبری فناوری اطلاعات را بهبود میبخشد و آن را در سراسر سازمان تقویت میکند.