راهنمای عمومی ۲۰۰۱ استاندارد ITAF برای منشور ممیزی فناوری اطلاعات

راهنمای عمومی ۲۰۰۱ استاندارد ITAF یکی از پایه‌ای‌ترین اجزای چارچوب حسابرسی فناوری اطلاعات است که به تدوین منشور ممیزی می‌پردازد. این منشور، سندی رسمی است که استقلال، اختیارات، وظایف، مسئولیت‌ها و ساختارهای کلیدی عملکرد حسابرسی را مشخص می‌کند.

در این مقاله، به الزامات دقیق محتوای منشور ممیزی طبق راهنمای عمومی ۲۰۰۱ پرداخته‌ایم؛ از ارتباط با نهادهای حاکمیتی و استفاده از کارشناسان گرفته تا نحوه گزارش‌دهی و پایش اثربخشی عملکرد حسابرسی در چارچوب استانداردهای ISACA. این راهنما برای حسابرسان، مدیران فناوری اطلاعات و ناظران سازمانی منبعی کاربردی محسوب می‌شود.

خلاصه الزامات «راهنمای عمومی ۲۰۰۱ ITAF» برای منشور ممیزی فناوری اطلاعات

راهنمای عمومی 2001: منشور ممیزی

2001.1 متخصصان باید اختیار روشنی برای انجام وظیفه ممیزی داشته باشند. این اختیار معمولاً در قالب یک منشور ممیزی مستند می‌شود که باید به‌طور رسمی به تأیید مسئولان حاکمیتی (مانند هیئت‌مدیره و/یا کمیته حسابرسی) برسد. در صورتی که منشور ممیزی برای کل واحد ممیزی وجود داشته باشد، وظیفه واحد حسابرسی و تضمین فناوری اطلاعات نیز باید در آن گنجانده شود.

2001.2  محتوای منشور ممیزی

2001.2.1 منشور ممیزی باید عملکرد واحد حسابرسی و تضمین فناوری اطلاعات را مستندسازی کند، از جمله موارد زیر:

• استقلال، کد اخلاق حرفه‌ای و استانداردها
• هدف، مسئولیت، اختیار و پاسخگویی
• پروتکل‌هایی که کارشناس ممیزی و تضمین فناوری اطلاعات در اجرای مأموریت‌ها دنبال خواهد کرد، از جمله اما نه محدود به ارتباطات و فرآیندهای تصعید
• نقش‌ها و مسئولیت‌های واحد ممیزی‌شونده در طول اجرای ممیزی یا مأموریت تضمین فناوری اطلاعات
• نقش عملکرد واحد حسابرسی و تضمین فناوری اطلاعات در گزارش‌دهی تخلفات و اقدامات غیرقانونی

2001.2.2 منشور ممیزی باید به‌طور شفاف هدف، مسئولیت، اختیار و پاسخ‌گویی عملکرد حسابرسی را مشخص کند (رجوع شود به بند ۲۰۰۱.۲.۱). این چهار جنبه در بخش‌های بعدی تشریح شده‌اند.

2001.2.3 هدف از عملکرد حسابرسی، تضمین و آزمون طراحی و اجرای کنترل‌هایی است که توسط مدیریت پیاده‌سازی شده‌اند. منشور ممیزی باید شامل بخش‌هایی باشد که عملکرد حسابرسی را در دستیابی به این هدف پشتیبانی می‌کنند، از جمله:

• اهداف و مقاصد عملکرد حسابرسی که چارچوبی عملیاتی و سازمانی برای فعالیت حسابرسی فراهم می‌سازد.
• مقاصد عملکرد حسابرسی و بیانیه مأموریت آن (در صورت وجود) که رویکردی ساخت‌یافته برای ارزیابی و بهبود طراحی و اثربخشی عملیاتی فرایندهای مدیریت ریسک، سیستم کنترل داخلی و عملیات/حاکمیت سامانه‌های اطلاعاتی ارائه می‌دهد.
• دامنه عملکرد حسابرسی که می‌تواند کل سازمان یا بخشی خاص از آن را دربرگیرد.
• فعالیت‌های انجام‌شده توسط واحد حسابرسی که ممکن است شامل ممیزی سامانه‌های اطلاعاتی، ممیزی انطباق، ممیزی مالی، ممیزی عملیاتی، ممیزی یکپارچه، ممیزی اداری، ممیزی‌های تخصصی (مانند ممیزی خدمات شخص ثالث، ممیزی تقلب یا ممیزی‌های قضایی)، ممیزی‌های جرم‌شناختی رایانه‌ای و ممیزی‌های عملکردی باشد. همچنین ممکن است شامل خدمات غیرممیزی مانند مشاوره در پروژه‌ها نیز باشد.

2001.2.4 مسئولیت عملکرد حسابرسی، ایجاد ارزش برای سازمان است؛ به‌گونه‌ای که دیدگاه‌های سازمانی مانند استراتژی، مأموریت و الزامات قانونی/انطباقی در فعالیت‌های آن ادغام شود و نیز پایبندی به انتظارات حرفه‌ای (مانند اخلاق حرفه‌ای و توسعه حرفه‌ای) رعایت گردد. منشور ممیزی باید شامل بخش‌های زیر برای تسهیل عملکرد حسابرسی باشد:

• استقلال : نحوه اجرای الزامات استقلال برای عملکرد حسابرسی و حسابرسان را طبق استانداردهای 1002 (استقلال سازمانی) و 1003 (بی‌طرفی حسابرس) تشریح می‌کند. واحد حسابرسی و تضمین فناوری اطلاعات باید با موارد زیر استقلال خود را تضمین کند:
  • ارزیابی دوره‌ای استقلال، حداقل به‌صورت سالانه
  • ایجاد و حفظ پروتکلی رسمی برای شناسایی و گزارش‌دهی ضعف‌های احتمالی در استقلال
    نتایج ارزیابی استقلال و پروتکل ضعف استقلال باید به مسئولان حاکمیتی و نظارتی عملکرد حسابرسی (مانند هیئت‌مدیره یا کمیته حسابرسی) گزارش شود.
• ارتباط با مؤسسات حسابرسی بیرونی : راهبرد تکیه واحد داخلی حسابرسی و تضمین فناوری اطلاعات بر حسابرسان بیرونی را مشخص می‌کند، از جمله:
  • برگزاری جلساتی با حسابرسان بیرونی برای هماهنگی و جلوگیری از تکرار تلاش‌ها
  • ارائه دسترسی به مستندات، مدارک و اوراق کاری حسابرسان داخلی
  • در نظر گرفتن برنامه کاری حسابرسان بیرونی در هنگام تدوین برنامه حسابرسی دوره بعد
• انتظارات حسابرسی‌شونده: خدمات و خروجی‌هایی که حسابرسی‌شونده می‌تواند از واحد حسابرسی و حسابرسان انتظار داشته باشد، از جمله:
  • توصیف مشکلات شناسایی‌شده، پیامدها و راه‌حل‌های ممکن مرتبط با حوزه مسئولیت حسابرسی‌شونده
  • امکان گنجاندن پاسخ مدیریت و اقدامات اصلاحی انجام‌شده در گزارش حسابرسی، شامل ارجاع به توافق‌نامه‌های سطح خدمت (SLA) در زمینه‌هایی مانند تحویل گزارش‌ها، پاسخ به شکایات، کیفیت خدمات، بازبینی عملکرد، فرایند گزارش‌دهی و توافق بر یافته‌ها
• الزامات حسابرسی‌شونده: مسئولیت‌های حسابرسی‌شونده را مشخص می‌کند؛ از جمله اینکه تمامی حسابرسی‌شونده‌ها باید در دسترس باشند و با واحد حسابرسی برای انجام مسئولیت‌ها همکاری کنند. این الزامات همچنین وضوح لازم درباره مسئولیت‌های مدیریت و واحد حسابرسی را فراهم می‌سازد.
• پایبندی به استانداردهای حرفه‌ای که توسط نهاد حرفه‌ای حسابرس یا هر نهاد استانداردگذار که حسابرس عضو آن است، تعیین شده است.
• انطباق با استانداردها که الزامات تبعیت عملکرد حسابرسی و حسابرسان از آن‌ها را تشریح می‌کند؛ برای مثال، عملکرد حسابرسی و حسابرسان باید از کلیه استانداردها و دستورالعمل‌های حسابرسی و تضمین ITAF ایزاکا پیروی و بر اساس آن‌ها عمل کنند.

2001.2.5 اختیارات عملکرد حسابرسی باید شامل بخش‌های زیر باشد:

• حق دسترسی به اطلاعات، سامانه‌ها (مانند لاگ‌ها، فعالیت‌ها و کنترل‌های تعبیه‌شده در سامانه‌ها)، کارکنان و محل‌ها برای حسابرسان درگیر در مأموریت حسابرسی. عملکرد حسابرسی که توسط حسابرسان فناوری اطلاعات نمایندگی می‌شود:
  • دارای دسترسی مجاز به تمامی سوابق، مستندات، سامانه‌ها و مکان‌هایی است که برای انجام مأموریت حسابرسی لازم است، و می‌تواند برای کسب این دسترسی از مدیریت ارشد درخواست همکاری کند
  • اختیار دارد در طول انجام مأموریت حسابرسی، اطلاعات موردنیاز را از هر کارمند، مشاور یا پیمانکار درخواست کند
• محدودیت‌های اختیارات عملکرد حسابرسی و حسابرسان، در صورت وجود
• فرایندهایی که عملکرد حسابرسی مجاز به حسابرسی آن‌هاست—برای مثال، عملکرد حسابرسی آزاد است فرایندهایی را که براساس برنامه حسابرسی مبتنی بر ریسک تعیین شده‌اند، انتخاب و ممیزی کند.

2001.2.6 پاسخگویی عملکرد حسابرسی و تضمین شامل موارد زیر (و نه محدود به آن‌ها) می‌شود:

• ارسال مکاتبات مکتوب (مانند گزارش‌های حسابرسی و یادداشت‌های مأموریت‌های غیرحسابرسی) به ذی‌نفعان مربوطه و مسئولان حاکمیت و نظارت بر عملکرد حسابرسی و تضمین فناوری اطلاعات و ارتباطات (مانند هیئت‌مدیره و/یا کمیته حسابرسی)
• پایش و گزارش‌گیری از پیشرفت مدیریت در اجرای اقدامات اصلاحی مورد توافق در پاسخ به توصیه‌های حسابرسی
• گزارش‌دهی در مورد شاخص‌های عملکردی عملکرد حسابرسی و تضمین (مانند عملکرد نسبت به برنامه و بودجه حسابرسی) به مسئولان حاکمیت و نظارت (مانند هیئت‌مدیره و/یا کمیته حسابرسی)
• گزارش‌دهی به مسئولان حاکمیت و نظارت درباره استقلال عملکرد حسابرسی و تضمین، هرگونه اختلال بالقوه در استقلال و چهار مؤلفه هدف، مسئولیت، اختیار و پاسخگویی
• فرایند تضمین کیفیت (مانند مصاحبه‌ها، نظرسنجی‌های رضایت مشتریان، نظرسنجی‌های عملکرد مأموریت) برای ایجاد درک از نیازها و انتظارات حسابرسی‌شونده‌ها نسبت به عملکرد حسابرسی. این نیازها باید در برابر منشور حسابرسی ارزیابی شوند تا در صورت نیاز، خدمات یا نحوه ارائه خدمات یا خود منشور حسابرسی بهبود یابد یا تغییر کند.
• قوانین مربوط به تخصیص منابع انسانی برای مأموریت‌های حسابرسی، که می‌تواند شامل موارد زیر باشد:
  • اتکا به منشور حسابرسی که به حسابرسان اجازه می‌دهد در ارائه خدمات غیرحسابرسی (مانند خدمات مشاوره‌ای) مشارکت داشته باشند، و تعیین ماهیت، زمان‌بندی و دامنه کلی چنین خدماتی به‌گونه‌ای که استقلال و بی‌طرفی مختل نشود. این موضوع می‌تواند نیاز به دریافت مجوز خاص برای هر خدمت غیرحسابرسی را از بین ببرد یا کاهش دهد
  • تعیین یک بازه زمانی حداقلی که باید پیش از مشارکت حسابرسان در مأموریت‌های حسابرسی در حوزه‌هایی که پیش‌تر خدمات غیرحسابرسی ارائه داده‌اند، سپری شود تا استقلال حفظ شود.
  • توافق بر اقدامات مربوط به رفتار عملکرد حسابرسی و حسابرسان، مانند مجازات‌ها در صورت قصور هر یک از طرفین در انجام وظایف خود.
  • تعیین جزئیات نحوه ارتباط با حسابرسی‌شونده‌ها شامل دفعات و کانال‌های ارتباطی مورد استفاده برای تعامل با آن‌ها.