استاندارد های عملکردی ITAF – راهنمای اجرای دقیق حسابرسی IT

استاندارد های عملکردی ITAF که در سری 1200 چارچوب حسابرسی فناوری اطلاعات ISACA گنجانده شده‌اند، اصول کلیدی نحوه برنامه‌ریزی، زمان‌بندی، اجرا، ارزیابی ریسک و مستندسازی تعاملات حسابرسی را مشخص می‌کنند. این استانداردها با هدف تضمین دقت، انسجام و پاسخ‌گویی در اجرای مأموریت‌های حسابرسی فناوری اطلاعات طراحی شده‌اند.

در این مقاله، به بررسی بندهای کلیدی از جمله ارزیابی ریسک، زمان‌بندی کوتاه‌مدت و بلندمدت، برنامه‌ریزی تعامل، نحوه نظارت و اجرای فرایند، مستندسازی شواهد، تعامل با کارشناسان بیرونی و نحوه برخورد با تخلفات می‌پردازیم. رعایت این استانداردها برای دستیابی به نتایج قابل‌اعتماد، مستند و مطابق با الزامات حرفه‌ای حسابرسی فناوری اطلاعات ضروری است.

خلاصه الزامات «استانداردهای عملکردی ITAF – سری 1200»

1201 ارزیابی ریسک در برنامه‌ریزی

1201.1 واحد حسابرسی و تضمین فناوری اطلاعات باید از رویکرد مناسب ارزیابی ریسک (یعنی مبتنی بر داده‌ها با عوامل کمی و کیفی) و روش‌شناسی پشتیبان برای تدوین برنامه کلی حسابرسی فناوری اطلاعات و تعیین اولویت‌ها جهت تخصیص مؤثر منابع حسابرسی فناوری اطلاعات استفاده کند.

1201.2 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید در هنگام برنامه‌ریزی تعاملات فردی، ریسک مرتبط با حوزه مورد بررسی را شناسایی و ارزیابی کنند.

1201.3 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید در برنامه‌ریزی تعاملات حسابرسی، ریسک موضوع مورد بررسی، ریسک حسابرسی و میزان مخاطره مرتبط برای سازمان را مد نظر قرار دهند.

1202 زمان‌بندی حسابرسی

1202.1 واحد حسابرسی و تضمین فناوری اطلاعات باید یک برنامه استراتژیک کلی تهیه کند که منجر به زمان‌بندی حسابرسی کوتاه‌مدت و بلندمدت شود. برنامه‌ریزی کوتاه‌مدت شامل حسابرسی‌هایی است که در طول سال انجام می‌شوند، در حالی که برنامه‌ریزی بلندمدت شامل حسابرسی‌هایی است که بر اساس مسائل مرتبط با ریسک در محیط فناوری اطلاعات و ارتباطات سازمان ممکن است در آینده انجام شوند.

1202.2 هر دو زمان‌بندی کوتاه‌مدت و بلندمدت باید با مسئولان حاکمیتی و نظارتی (مثلاً کمیته حسابرسی) توافق شده و در سازمان اطلاع‌رسانی شود.

1202.3 واحد حسابرسی و تضمین فناوری اطلاعات باید زمان‌بندی‌های کوتاه‌مدت و/یا بلندمدت خود را به‌منظور پاسخگویی به نیازهای سازمانی (مثلاً رویدادهای غیرمنتظره یا ابتکارات غیر برنامه‌ریزی شده) تعدیل کند. هر حسابرسی که به منظور جایگزینی حسابرسی مربوط به رویداد غیرمنتظره یا ابتکار غیرمنتظره به تعویق افتاده، باید به دوره آینده منتقل شود.

1203 برنامه‌ریزی تعامل

1203.1 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید برای هر تعامل حسابرسی و تضمین فناوری اطلاعات برنامه‌ریزی کنند تا ماهیت، زمان‌بندی و گستره اجرای روش‌های حسابرسی مشخص شود. برنامه باید شامل موارد زیر باشد:

• حوزه‌های مورد حسابرسی
• اهداف
• دامنه
• منابع (مانند پرسنل، ابزارها و بودجه) و تاریخ‌های برنامه‌ریزی شده
• جدول زمانی و نتایج قابل تحویل
• رعایت قوانین و مقررات قابل اجرا و استانداردهای حرفه‌ای حسابرسی
• استفاده از رویکرد مبتنی بر ریسک برای تعاملاتی که مربوط به رعایت قوانین یا مقررات نیستند
• مسائل خاص تعامل
• الزامات مستندسازی و گزارش‌دهی
• استفاده از فناوری‌های مرتبط و تکنیک‌های تحلیل داده
• در نظر گرفتن هزینه تعامل نسبت به منافع احتمالی
• پروتکل‌های ارتباطی و ارجاع برای شرایطی که ممکن است در حین انجام تعامل حسابرسی فناوری اطلاعات پیش آید (مثلاً محدودیت دامنه یا در دسترس نبودن پرسنل کلیدی)

در طول انجام کار میدانی، ممکن است نیاز باشد روش‌های حسابرسی تدوین‌شده در برنامه‌ریزی با پیشرفت تعامل تغییر یابند.

1203.2 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید یک برنامه حسابرسی تعامل تدوین و مستند کنند که روش‌ها و دستورالعمل‌های گام به گام لازم برای تکمیل حسابرسی را توصیف نماید.

 1204 اجرا و نظارت

1204.1 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید کار را مطابق برنامه حسابرسی تأییدشده انجام دهند تا ریسک‌های شناسایی‌شده پوشش داده شده و در چارچوب زمان‌بندی توافق‌شده باشد.

1204.2 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید نظارت لازم را بر پرسنل حسابرسی فناوری اطلاعات که تحت نظارت آنها هستند اعمال کنند تا اهداف حسابرسی تحقق یافته و استانداردهای حرفه‌ای حسابرسی رعایت شود.

1204.3 حسابرسان و کارشناسان تضمین فناوری اطلاعات تنها باید وظایفی را بپذیرند که در حیطه دانش و مهارت آن‌ها باشد یا انتظار معقول داشته باشند که در طول تعامل مهارت‌های لازم را کسب کنند یا تحت نظارت آن کار را به انجام برسانند.
1204.4 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید شواهد کافی و مناسب برای دستیابی به اهداف حسابرسی به دست آورده و حفظ کنند.

1204.5 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید فرآیند حسابرسی را مستند کرده و کار حسابرسی و شواهد حسابرسی که از یافته‌ها و نتایج پشتیبانی می‌کند را توصیف نمایند.

1204.6 یافته‌ها و نتایج حسابرسان و کارشناسان تضمین فناوری اطلاعات باید با تحلیل علت اصلی و تفسیر این شواهد پشتیبانی شود.
1204.7 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید نظر یا نتیجه حسابرسی مناسب ارائه داده و هرگونه محدودیت دامنه را در صورت به دست نیامدن شواهد لازم از طریق روش‌های آزمون اضافی ذکر کنند.

1205 شواهد

1205.1 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید شواهد کافی و مناسب برای رسیدن به نتایج معقول کسب کنند.

1205.2 با به‌کارگیری شک حرفه‌ای، حسابرسان و کارشناسان تضمین فناوری اطلاعات باید کفایت شواهد به دست آمده برای پشتیبانی از نتایج و دستیابی به اهداف تعامل را ارزیابی کنند.

1205.3 همراه با سایر اسناد کاری، حسابرسان و کارشناسان تضمین فناوری اطلاعات باید شواهد را برای مدت زمانی که با دوره‌های نگهداری رسمی تعریف‌شده و تصویب‌شده هماهنگ باشد، حفظ کنند.

1206 استفاده از کار کارشناسان دیگر

1206.1 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید در صورت لزوم، استفاده از کار کارشناسان دیگر را در تعامل مد نظر قرار دهند.

1206.2 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید پیش از شروع تعامل، صلاحیت‌های حرفه‌ای، شایستگی‌ها، تجربه مرتبط، منابع، استقلال و فرآیندهای کنترل کیفیت کارشناسان دیگر را ارزیابی و تایید کنند.

1206.3 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید کار کارشناسان دیگر را در جریان تعامل ارزیابی و بررسی کرده و نتیجه‌گیری خود درباره میزان استفاده و اتکا به کار آن‌ها را مستند کنند.

1206.4 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید تعیین کنند که آیا کار کارشناسان دیگر که عضو تیم تعامل نیستند، برای نتیجه‌گیری در اهداف تعامل کنونی کافی و کامل است یا خیر و این نتیجه‌گیری را به‌وضوح مستند کنند.

1206.5 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید تعیین کنند که آیا کار کارشناسان دیگر مستقیماً مورد استفاده قرار می‌گیرد و در گزارش گنجانده می‌شود یا به طور جداگانه به آن ارجاع داده می‌شود.

1206.6 در شرایطی که کار کارشناسان دیگر شواهد کافی و مناسب فراهم نکند، حسابرسان و کارشناسان تضمین فناوری اطلاعات باید روش‌های آزمون اضافی را برای کسب شواهد کافی و مناسب به کار گیرند.

1206.7 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید نظر یا نتیجه حسابرسی را ارائه کرده و هرگونه محدودیت دامنه را در صورت عدم کسب شواهد لازم از طریق روش‌های آزمون اضافی ذکر کنند.

1207 تخلفات و اقدامات غیرقانونی

1207.1 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید در طول تعامل، ریسک تخلفات و اقدامات غیرقانونی را مد نظر قرار دهند.

1207.2 حسابرسان و کارشناسان تضمین فناوری اطلاعات باید تخلفات یا اقدامات غیرقانونی را به‌موقع مستندسازی و به طرف مناسب گزارش دهند. توجه داشته باشید که برخی ارتباطات (مثلاً با نهادهای نظارتی) ممکن است محدود باشند؛ در نتیجه، این نوع گزارش‌دهی ممکن است نیازمند بحث با مسئولان حاکمیتی و نظارتی بر عملکرد حسابرسی (مانند هیئت‌مدیره و/یا کمیته حسابرسی) باشد.