دانلـود کاتالوگ

نظام حسابرسی فناوری اطلاعات در صنعت بانکی

مزیت اصلی پیاده سازی نظام حسابرسی مدیریت خدمات و راهبری فناوری اطلاعات، تبدیل مدل وظیفه ای به مدل فرآیندی در بخش های مربوط به ارائه و پشتیبانی خدمات IT، با توجه به هدف اصلی شرکت که تولید ارزش برای ذینفعان و مشتریان خود است، می باشد. در چارچوب نظام حسابرسی مدیریت فاوا، فرآیندهایی تعریف می شوند که از مجموعه ای از مکانیزم ها، رویه ها، متدها و سیاست هایی تشکیل شده اند که ورودی هایی را تبدیل به خروجی می‌کند به گونه‌ای که نتیجه آن تولید ارزش برای متقاضی فرآیند است. این در حالیست که فرآیندها در این چارچوب قابلیت تطابق (انعطاف پذیری) و قابلیت ارزیابی، کنترل خود را دارا می باشد. با توجه به ذینفعانی که برای این سیستم مطرح است، منافع حاصل از ارائه این نظام عبارت است از:

ساختاری شفاف تر و هم راستا تر با اهداف شرکت ایجاد می گردد.

کنترل بیشتری بر روی زیرساخت ها و خدمات و تغییرات خواهد داشت.

دسته بندی مناسب میان خدمات IT می توان به وجود آورد و همچنین گزارشات مناسب اثربخشی و کارائی را را برای یک سرویس فاوا محاسبه نمود.

برون سپاری خدمات ممکن می گردد.

برای سازمان IT ارتباطات منظم تر داخلی در شرکت به وجود می آورد.

از سوی دیگر روابط کاری بهتر بین مشتریان و سازمان فناوری اطلاعات تبیین و دسترس پذیری بالا، امنیت و قابلیت اطمینان خدمات به وجود خواهد آمد.

از منظر حسابرسان فناوری اطلاعات نیز مزایای متعددی از اجرای این پروژه در بانک قبل حصول است. حسابرسان فناوری اطلاعات، اغلب خود را در حال آموزش جامعه تجاری در این زمینه می‌بینند که کار آنان چگونه بر ارزش سازمان می‌افزاید. بخشهای حسابرسی داخلی به‌طور معمول دارای یک زیرگروه حسابرسی فناوری اطلاعات است که با چشم‌اندازی روشن از نقش خود در سازمان، به‌کار گمارده شده‌اند. اگرچه، طبق تجربه به‌دست آمده به‌عنوان حسابرس فناوری اطلاعات، هر چه جامعه تجاری گسترده‌تر باشد، برای دستیابی به حداکثر سود به شناخت بیشتر کارکرد حسابرسی فناوری اطلاعات نیازمند است. در معنای خاص، حسابرسی‌ فناوری اطلاعات ممکن است طیفی گسترده از زیرساخت‌های پردازش و ارتباطات فناوری اطلاعات مانند سیستم‌ها و شبکه‌های مشتری- خدمت‌رسان، سیستمهای عامل، سیستمهای امنیتی، نرم‌افزارهای کاربردی، خدمات شبکه جهانی، پایگاه‌های داده، زیرساخت‌های مخابراتی، روشهای مدیریت تغییر و برنامه‌ریزی برای رویارویی با حوادث غیرمترقبه را پوشش دهد.

توالی کار در یک حسابرسی استاندارد با شناسایی خطرها آغاز و سپس با ارزیابی ساختار کنترلها ادامه و با آزمون اثربخشی کنترلها پایان می‌یابد. حسابرسان با مهارت، می‌توانند در هر مرحله از حسابرسی موجب افزایش ارزش شوند.

بانک ها به‌طور معمول از کارکرد حسابرسی فناوری اطلاعات، برای فراهم ساختن اطمینان از کنترلهای فناوری و اطمینان از انطباق با الزامات خاص قانونی یا صنعت، استفاده می‌کنند. با رشد سرمایه‌گذاری‌ در فناوری اطلاعات، حسابرسی فناوری اطلاعات می‌تواند اطمینان دهد که خطرها کنترل می‌شود و احتمال زیان‌هایی بزرگ وجود ندارد. سازمان نیز ممکن است خود تشخیص دهد که خطر توقف، تهدید امنیتی یا آسیب‌پذیری بالاست. همچنین ممکن است الزاماتی برای رعایت مفاد قانون مانند قانون ساربینز- اکسلی یا الزامات خاص صنعت بانکی وجود داشته باشد.

در ادامه در رابطه با پنج حوزه کلیدی بحث می‌شود که از طریق آنها، حسابرسان فناوری اطلاعات می‌توانند به ارزش سازمان بیفزایند. البته، کیفیت و عمق حسابرسی فنی، پیش‌نیاز افزودن ارزش است. دامنه طرح‌ریزی‌شده برای حسابرسی نیز در افزودن ارزش، مهم است. بدون یک تعهد روشن در مورد اینکه چه فرایندها و خطرهای تجاری، حسابرسی خواهد شد، اطمینان از دستیابی به موفقیت یا افزودن ارزش، دشوار است. پنج منفعت اصلی ناشی از حسابرسی فناوری اطلاعات عبارتند از:

  • کاهش خطر

برنامه‌ریزی و اجرای حسابرسی فناوری اطلاعات دربرگیرنده شناخت و براورد خطرها در سازمان است. حسابرسی‌های فناوری اطلاعات به‌طور معمول خطرهای مرتبط با اعتمادپذیری، یکپارچگی و دسترس‌پذیری زیرساخت‌ها و فرایندهای فناوری اطلاعات را پوشش می‌دهد. خطرهای دیگر شامل اثربخشی، کارایی و اتکاپذیری فناوری اطلاعات است.

نخستین بار که خطر براورد ‌شود، می‌توان به چشم‌اندازی روشن از این دست یافت که برای کاهش یا تخفیف خطر از طریق به‌کارگیری کنترل، انتقال خطر از طریق بیمه، یا به‌طور ساده پذیرفتن خطر به‌عنوان بخشی از محیط عملیاتی، چه مسیری در نظر گرفته شود.

یک فرض مهم در اینجا این است که خطر فناوری اطلاعات، خطر کسب‌وکار تجاری است. هر گونه تهدید یا آسیب‌پذیری عملیات اصلی فناوری اطلاعات، ممکن است اثری مستقیم بر کل سازمان داشته باشد. به‌طور خلاصه‌، سازمان نیاز دارد بداند که خطرها در کجا هستند و سپس اقدام به انجام کاری در مورد آنها کند.

بهترین رویه‌های به‌کارگرفته شده در مورد خطر فناوری اطلاعات از سوی حسابرسان، چارچوب کوبیت طراحی شده توسط انجمن حسابرسی و کنترل سیستمهای اطلاعاتی، چارچوب خطر سیستم‌های اطلاعاتی و استاندارد اقدامات عملی مدیریت امنیت اطلاعات است.

  • تقویت کنترلها و بهبود امنیت

پس از برآورد خطرهای ذکر شده، می‌توان کنترلها را مشخص و ارزیابی کرد و کنترلهایی که طراحی ضعیف یا غیرموثر دارند را می‌توان دوباره طراحی و یا تقویت کرد. چارچوب کوبیت در رابطه با کنترلهای فناوری اطلاعات به‌ویژه در اینجا مفید است. این چارچوب کنترل سودمند در زمینه کاهش خطر را پوشش می‌دهد. چارچوب کوبیت همه جنبه‌های امنیت اطلاعات از جمله هدفهای کنترلها، شاخصهای کلیدی عملکرد، شاخصهای کلیدی هدف و عوامل مهم موفقیت را پوشش می‌دهد. حسابرس می‌تواند چارچوب کوبیت را برای ارزیابی کنترلها در یک سازمان به‌کار گیرد و پیشنهادهایی ارائه دهد که بر ارزش واقعی محیط فناوری اطلاعات و سازمان در کل، بیفزاید.

یکی دیگر از چارچوبهای کنترل، مدلهای کنترل داخلی کمیته سازمانهای حامی کمیسیون تردوی یا کوزو است. حسابرسان فناوری اطلاعات می‌توانند این چارچوب را برای اطمینان یافتن از:

  • اثربخشی و کارایی عملیات،
  • اتکاپذیری گزارشگری مالی و
  • رعایت قوانین و مقررات لازم‌الاجرا،

به‌کار گیرند. این چارچوب، دو عنصر از پنج عنصری که به‌طور مستقیم به کنترلها مربوطند یعنی محیط کنترلی و فعالیتهای کنترلی را در بر می‌گیرد.

  • رعایت مقررات

حسابرس فناوری وظیفه‌ای حیاتی دارد که اطمینان دهد الزامات خاص رعایت، خطرها براورد و کنترلها به‌کار گرفته شده است. قانون ساربینز- اکسلی (قانون پاسخگویی شرکت و جرائم تقلب) الزامات مورد نیاز برای تمام شرکتهای سهامی عام به‌منظور اطمینان یافتن از کفایت کنترلهای داخلی طبق تعریف ارائه شده در چارچوب کمیته سازمانهای حامی کمیسیون تردوی (کوزو) را در بر می‌گیرد. حسابرس فناوری اطلاعات است که اطمینان می‌دهد که چنین الزاماتی رعایت شده است.

قانون پاسخگویی و انتقال‌پذیری بیمه دارای سه حوزه الزامات فناوری اطلاعات شامل اداری، فنی و عینی می‌باشد. حسابرس فناوری اطلاعات است که در اطمینان یافتن از رعایت این الزامات، نقشی کلیدی دارد. در صنعت بانکداری، استاندارد امنیت داده‌ها درکارت پرداخت و در کارتهای اعتباری، نیز حسابرس فناوری اطلاعات نقشی محوری بازی می‌کند.

  • تسهیل ارتباط بین مدیریت کسب‌وکار تجاری و مدیریت فناوری

حسابرسی می‌تواند در گشایش کانالهای ارتباطی میان مدیریت کسب‌وکار و مدیریت فناوری سازمان، تاثیر مثبت داشته باشد. حسابرسان از آنچه در واقعیت و در عمل روی می‌دهد، مصاحبه، مشاهده و آزمون به‌عمل می‌آورند. نتیجه نهایی حسابرسی، اطلاعاتی ارزشمند به‌ شکل گزارشهای کتبی و شفاهی است. مدیریت ارشد می‌تواند درباره چگونگی کارکرد سازمان خود، بازخورد مستقیم دریافت کند. کارشناسان حرفه‌ای فناوری در سازمان همچنین نیازمندند که انتظارات و هدفهای مدیریت ارشد را بدانند. حسابرسان از طریق شرکت در نشستهایی با مدیریت فناوری و از طریق بررسی نحوه کنونی اجرای سیاستها، استانداردها و رهنمودها به این نوع ارتباط از بالا به پایین، کمک می‌کنند. درک این موضوع مهم است که حسابرسی فناوری اطلاعات یک عنصر کلیدی در نظارت مدیریت بر فناوری است. فناوری سازمان به این دلیل وجود دارد که از راهبرد، کارکردها و عملیات کسب‌وکار پشتیبانی کند. همسویی کسب‌وکار با فناوری پشتیبان آن، بسیار مهم است. حسابرسی فناوری اطلاعات، این همسویی را حفظ می‌کند.

  • بهبود نظام راهبری فناوری اطلاعات

بر اساس تعریف موسسه حسابرسی جهانی فناوری اطلاعات مسئولیت نظام راهبری فناوری اطلاعات، بر عهده مدیران اجرایی و هیئت‌مدیره است و دربرگیرنده راهبری، ساختارها و فرایندهای سازمانی است تا اطمینان ‌دهد که فناوری اطلاعات سازمان، راهبردها و هدفهای سازمان را حفظ کرده و گسترش می‌دهد. در تعریف یاد شده از راهبری، ساختارها و فرایندهای سازمانی، همه‌جا به حسابرسان فناوری اطلاعات به‌عنوان بازیگران کلیدی اشاره شده است. موضوع محوری در حسابرسی فناوری اطلاعات و در کل، مدیریت فناوری اطلاعات، شناخت قوی ارزشها، خطرها و کنترلهای پیرامون محیط فناوری سازمان می‌باشد. به‌گونه‌ای دقیق‌تر، حسابرسان فناوری اطلاعات، ارزشها، خطرها و کنترلها در هر یک از اجزای اصلی فناوری مانند برنامه‌های کاربردی، اطلاعات، زیرساختها و اشخاص را بررسی می‌کنند. نگرشی دیگر درباره نظام راهبری فناوری اطلاعات متشکل از چارچوبی در بر گیرنده چهار هدف کلیدی است:

  • فناوری اطلاعات با کسب‌وکار همسو است
  • فناوری اطلاعات، کسب‌وکار را توانمند می‌سازد و سود را به حداکثر می‌رساند
  • منابع فناوری اطلاعات به‌گونه‌ای مسئولانه به‌کار گرفته می‌شود
  • خطرهای فناوری اطلاعات به‌گونه‌ای مناسب مدیریت می‌شود

حسابرسان فناوری اطلاعات اطمینان فراهم می‌کنند که هر یک از این هدفها، تحقق یافته است. هر هدف برای سازمان مهم است و بنابراین، در عملیات حسابرسی فناوری اطلاعات اهمیت دارد در نتیجه، حسابرسی فناوری اطلاعات از طریق کاهش خطرها، بهبود امنیت، رعایت قوانین و مقررات و تسهیل ارتباط بین فناوری و مدیریت کسب‌وکار، به ارزش سازمان می‌افزاید. در نهایت، حسابرسی فناوری اطلاعات، نظام راهبری فناوری اطلاعات را بهبود می‌بخشد و آن را در سراسر سازمان تقویت می‌کند.