چارچوب حسابرسی فناوری اطلاعات ITAF چیست؟ - استاندارد ISACA

چارچوب حسابرسی فناوری اطلاعات ITAF چیست؟ – استاندارد ISACA

چارچوب حسابرسی فناوری اطلاعات ISACA (با عنوان ITAF)، استانداردی جامع برای حسابرسی و تضمین IT است که راهنمای عملی و حرفه‌ای برای متخصصان ارائه می‌دهد.
  • مقالات

فهرست مطالب

بخش کلیدی توضیح کاربردی الزام / نکته مهم نتیجه برای سازمان
تعریف ITAF چارچوب جامع حسابرسی و تضمین فناوری اطلاعات منتشرشده توسط ISACA مرجع رسمی برای اجرای تعاملات حسابرسی IT ایجاد انسجام و استانداردسازی ممیزی IT
نسخه جاری نسخه چهارم (لازم‌الاجرا از اکتبر ۲۰۲۰) جایگزین نسخه ۲۰۱۳ هم‌راستایی با تحولات نوین حسابرسی
دامنه کاربرد حسابرسی IT، مشارکت در ممیزی مالی/انطباق/عملیاتی، خدمات تضمین استانداردها الزامی هستند افزایش قابلیت اتکا و دفاع‌پذیری گزارش
ساختار استانداردها سری 1000 (عمومی)، 1200 (عملکرد)، 1400 (گزارش‌دهی) تفکیک اصول پایه، اجرا و گزارش پوشش کامل چرخه حسابرسی
راهنماها (Guidelines) ارائه متدولوژی، تکنیک و ابزار تکمیلی غیرالزامی اما قابل استناد حرفه‌ای افزایش کیفیت اجرای تعامل
ابزارها و تکنیک‌ها برنامه‌های حسابرسی، نمونه‌گیری، قالب‌ها و مقالات تخصصی انتخاب مبتنی بر قضاوت حرفه‌ای عملیاتی‌سازی چارچوب
فرض‌های اساسی تعامل موضوع قابل حسابرسی، دامنه کافی، روش بی‌طرفانه، گزارش عینی انحراف از استاندارد باید توجیه و اصلاح شود جلوگیری از گزارش‌های گمراه‌کننده
صلاحیت تیم فرد یا تیم باید دانش و مهارت کافی داشته باشد آموزش و توسعه حرفه‌ای مستمر تضمین کیفیت نتایج
مخاطبان ITAF حسابرسان IT، کمیته حسابرسی، هیئت‌مدیره، مدیران ارشد قابل استفاده برای کاربران گزارش‌ها ارتقاء حاکمیت فناوری اطلاعات
کاربرد در مشاوره قابل استفاده در مأموریت‌های غیرحسابرسی (بدون صدور گزارش رسمی حسابرسی) حفظ استقلال و شفافیت نقش ارائه نظر حرفه‌ای بدون تعارض

چارچوب حسابرسی فناوری اطلاعات ISACA (با عنوان ITAF) چیست

چارچوب حسابرسی فناوری اطلاعات ISACA (با عنوان ITAF) یک چارچوب جامع برای حسابرسی فناوری اطلاعات است که:

  • استانداردهایی را تعیین می‌کند که به نقش‌ها و مسئولیت‌های متخصصان حسابرسی و تضمین در حوزه فناوری اطلاعات، اخلاق، رفتار حرفه‌ای مورد انتظار، و دانش و مهارت‌های مورد نیاز می‌پردازد
  • اصطلاحات و مفاهیم خاص مرتبط با حسابرسی و تضمین فناوری اطلاعات را تعریف می‌کند
  • راهنمایی‌ها و تکنیک‌هایی را برای برنامه‌ریزی، اجرا و گزارش‌دهی در پروژه‌های حسابرسی و تضمین فناوری اطلاعات ارائه می‌دهد

بر اساس منابع ISACA ، ITAF یک مرجع یکپارچه برای متخصصانی فراهم می‌کند که در حوزه حسابرسی و تضمین فناوری اطلاعات فعالیت می‌کنند، تا راهنمایی‌های لازم برای انجام حسابرسی‌ها و تهیه گزارش‌های مؤثر را در اختیار داشته باشند. نسخه سوم ITAF شامل استانداردها و راهنمایی‌های حسابرسی و تضمین فناوری اطلاعات است که از تاریخ ۱ نوامبر ۲۰۱۳ لازم‌الاجرا شدند.

پیش از انتشار نسخه چهارم ITAF، ISACA پیش‌نویسی را برای دریافت نظر عمومی منتشر کرد که بیش از ۶۵ نفر بازخورد خود را ارائه دادند. نسخه چهارم ITAF از اکتبر ۲۰۲۰ لازم‌الاجرا است.

ترجمه‌های این استانداردها در نشانی زیر در دسترس هستند:
https://www.isaca.org/bookstore/audit-control-and-security-essentials/witaf4

سؤالات متداول

  • ITAF برای چه کسانی است؟
    ITAF مربوط به افرادی است که در نقش حسابرس و ارائه‌دهنده خدمات ضمانت در حوزه فناوری اطلاعات فعالیت می‌کنند و در زمینه ارائه ضمانت نسبت به فرایندهای فناوری اطلاعات، اجزای کاربردها، سامانه‌ها و زیرساخت‌های فناوری اطلاعات درگیر هستند. با این حال، در طراحی این استانداردها، راهنماها و تکنیک‌های حسابرسی دقت شده تا به‌گونه‌ای باشند که برای مخاطبان وسیع‌تری از جمله کاربران گزارش‌های حسابرسی و تضمین فناوری اطلاعات نیز مفید باشند.
  • چه زمانی باید از ITAF استفاده شود؟
    به‌کارگیری این چارچوب، پیش‌نیاز انجام فعالیت‌های حسابرسی و تضمین در حوزه فناوری اطلاعات است. استانداردها الزامی هستند. راهنماها، ابزارها و تکنیک‌ها به‌گونه‌ای طراحی شده‌اند که کمک‌های غیرالزامی برای اجرای فعالیت‌های تضمین ارائه دهند.
  • در چه شرایطی باید از استانداردهای حسابرسی و تضمین ITAF و راهنمایی‌های مرتبط استفاده شود؟
    طراحی ITAF با این درک صورت گرفته که متخصصان حسابرسی و تضمین فناوری اطلاعات با الزامات و انواع مختلفی از مأموریت‌ها روبه‌رو هستند، از رهبری یک حسابرسی متمرکز بر فناوری اطلاعات گرفته تا مشارکت در حسابرسی‌های مالی، انطباق یا عملیاتی. بنابراین، ITAF  برای هر نوع حسابرسی یا تضمین مرتبط با فناوری اطلاعات قابل‌استفاده است.
  • آیا ITAF به الزامات کارهای مشاوره‌ای و مشورت‌محور نیز می‌پردازد؟
    علاوه بر انجام حسابرسی‌ها، متخصصان حسابرسی و تضمین فناوری اطلاعات ممکن است به انجام مأموریت‌های غیرحسابرسی برای کارفرمایان خود یا به نمایندگی از مشتریان بپردازند. این مأموریت‌های مشاوره‌ای و مشورت‌محور معمولاً شامل بازبینی یک حوزه خاص هستند. به دلایلی از جمله ماهیت کار (به‌ویژه میزان آزمون‌پذیری و دامنه مأموریت)، معمولاً گزارشی رسمی از نوع حسابرسی صادر نمی‌شود. در عوض، این فعالیت‌های مشاوره‌ای و مشورت‌محور اغلب با ارائه نظر (که ممکن است به‌صورت یادداشت بیان شود) درباره عملکرد فعلی و پیشنهادهایی برای بهبود پایان می‌یابند.
  • چه زمانی نسخه چهارم ITAF در دسترس است؟
    چارچوب بازبینی‌شده حسابرسی فناوری اطلاعات از اکتبر ۲۰۲۰ در دسترس است.

سازمان

استانداردهای ITAF به سه دسته تقسیم می‌شوند:

استانداردهای عمومی (سری 1000)

اصول هدایت‌کننده حرفه تضمین فناوری اطلاعات را تشریح می‌کنند. این اصول شامل همه امور مربوط به حرفه است، از جمله اخلاق، استقلال، بی‌طرفی و دقت لازم برای حسابرسان و کارشناسان تضمین فناوری اطلاعات، همچنین دانش، شایستگی و مهارت آنان.

استانداردهای عملکرد (دسته ۱۲۰۰)

به نحوه انجام تعامل می‌پردازند، مانند برنامه‌ریزی و نظارت، تعیین دامنه، ارزیابی ریسک، بسیج منابع، مدیریت تعامل، شواهد حسابرسی و تضمین و به‌کارگیری قضاوت حرفه‌ای و دقت لازم.

استانداردهای گزارش‌دهی (دسته ۱۴۰۰)

به انواع گزارش‌ها، شیوه‌های ارتباط، و اطلاعات منتقل‌شده می‌پردازند.

راهنماهای ITAF اطلاعات و جهت‌گیری لازم را در زمینه تعاملات حسابرسی یا تضمین فناوری اطلاعات در اختیار حسابرسان و کارشناسان این حوزه قرار می‌دهند. مطابق با سه دسته استاندارد ذکرشده، این راهنماها بر رویکردهای مختلف حسابرسی، متدولوژی‌ها و مطالب مرتبط تمرکز دارند تا در برنامه‌ریزی، اجرا، ارزیابی، آزمون و گزارش‌دهی در مورد فرایندها، کنترل‌ها و ابتکارات مربوط به حسابرسی یا تضمین فناوری اطلاعات کمک‌کننده باشند.

این راهنماها همچنین به روشن شدن روابط میان فعالیت‌ها و ابتکارات سازمان و آن‌هایی که توسط واحد فناوری اطلاعات انجام می‌شود کمک می‌کنند. راهنماهای کاربردی تابع استانداردهای مرتبط هستند.

وب‌سایت ISACA اطلاعات مشخصی در مورد روش‌ها، ابزارها و قالب‌های مختلف ارائه می‌دهد و راهنمایی‌هایی درباره کاربرد و استفاده از آن‌ها برای عملیاتی‌سازی مطالب مندرج در دستورالعمل‌ها فراهم می‌کند.

نمونه‌ای از آن، تدوین راهنمای عملکرد ۲۲۰۸ با عنوان ((نمونه‌گیری در حسابرسی فناوری اطلاعات)) از سوی ISACA است که مکمل چارچوب ITAF محسوب می‌شود. این راهنماها از استفاده حسابرسان و کارشناسان تضمین فناوری اطلاعات از نمونه‌گیری در مواردی که نتیجه‌گیری درباره کل جامعه آماری از طریق اعمال روش‌های حسابرسی بر کمتر از ۱۰۰ درصد آن صورت می‌گیرد، حمایت می‌کنند.

ابزارها و تکنیک‌های تکمیلی، شامل مقالات تخصصی، برنامه‌های حسابرسی و کتاب‌ها نیز در نشانی زیر در دسترس هستند:
www.isaca.org/resources/insights-and-expertise/audit-programs-and-tools

استفاده از  ITAF

فرایند حسابرسی یا تضمین فناوری اطلاعات شامل اجرای رویه‌های مشخصی است که با هدف ارائه اطمینان معقول نسبت به موضوع مورد بررسی انجام می‌شود. حسابرسان و کارشناسان تضمین فناوری اطلاعات وظایفی را بر عهده می‌گیرند که برای ارائه اطمینان در سطوح مختلف، از بازبینی تا تصدیق یا بررسی طراحی شده‌اند.

هر وظیفه حسابرسی یا تضمین فناوری اطلاعات باید با استانداردهای تعیین‌شده مطابقت داشته باشد؛ از جمله اینکه آیا افراد صلاحیت انجام کار را دارند، چگونه کار انجام می‌شود، چه کاری انجام می‌شود و یافته‌ها چگونه بر اساس ویژگی‌های مختلف تعامل و ماهیت نتایج حاصل گزارش می‌شوند.

اگر تعامل توسط یک فرد انجام شود، آن فرد باید مهارت و دانش لازم برای انجام تعامل را داشته باشد. اگر بیش از یک نفر این تعامل را انجام دهند، تیم جمعی باید مهارت و دانش لازم برای انجام کار را داشته باشد.

در هر تعامل حسابرسی یا تضمین فناوری اطلاعات، چند فرض حیاتی وجود دارد، از جمله موارد زیر:

  • موضوع مورد بررسی قابل شناسایی و حسابرسی‌پذیر باشد.
  • احتمال موفقیت پروژه بالا باشد.
  • رویکرد و روش‌شناسی عاری از سوگیری باشند.
  • پروژه از دامنه کافی برای دستیابی به اهداف حسابرسی یا تضمین برخوردار باشد.
  • پروژه منجر به گزارشی شود که عینی بوده و خواننده را گمراه نکند.

رعایت استانداردها در همه موارد الزامی است. واژه «باید» به معنای الزام کامل است. هرگونه انحراف از استانداردها باید پیش از اتمام تعامل حسابرسی یا تضمین فناوری اطلاعات بررسی و رفع شود.

راهنماها ممکن است در همه شرایط قابل اجرا نباشند، اما همواره باید مورد توجه قرار گیرند. این راهنماها تا حدی به حسابرسان و کارشناسان تضمین فناوری اطلاعات انعطاف‌پذیری می‌دهند. بنابراین هنگام بررسی راهنماها برای تعیین میزان کاربرد، متخصصان باید از قضاوت حرفه‌ای استفاده کنند، آماده توجیه هرگونه انحراف قابل توجه از راهنماها یا حذف بخش‌های مرتبط باشند و در صورت لزوم، راهنمایی‌های بیشتری دریافت کنند.

منابعی برای دریافت راهنمایی‌های بیشتر ممکن است شامل موارد زیر باشند:

  • همکاران داخل و/یا خارج از سازمان (مانند انجمن‌های حرفه‌ای یا گروه‌های شبکه‌سازی حرفه‌ای)
  • مدیریت
  • نهادهای حاکمیتی سازمان (مانند کمیته حسابرسی)
  • منابع راهنمایی حرفه‌ای (مانند کتاب‌ها، مقالات، سایر راهنماها)

ابزارها و تکنیک‌ها به‌عنوان مطالب و اطلاعات مکمل، از راهنماها پشتیبانی می‌کنند. در برخی موارد، تکنیک‌ها گزینه‌های جایگزین یا حتی مجموعه‌ای از روش‌ها را ارائه می‌دهند که بسیاری از آن‌ها ممکن است قابل‌استفاده باشند. حسابرس یا کارشناس تضمین فناوری اطلاعات باید تنها تکنیک‌هایی را انتخاب کند که اطلاعات مرتبط، عینی و بی‌طرفانه تولید کنند.

در راستای تکامل مستمر ITAF، شماره‌گذاری بخش‌ها به‌صورت هدفمند دارای فاصله‌هایی برای افزودن راهنماهای آینده است.

اشتراک گذاری:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *