مسئولیت حسابرسی فناوری اطلاعات

مسئولیت حسابرسی فناوری اطلاعات

Alan Oliphnat C.

 

مسئولیت حسابرسی فناوری اطلا‌عات، سنگین و پرخطر است؛ به ویژه اگر در شرکتی جدید و یا واحدی نوبنیاد،  مطرح باشد. رهنمود مدونی برای وظایف حسابرسی فناوری اطلا‌عات وجود ندارد، اگر هم مطلبی وجود داشته باشد ممکن است برای محیط کاری مورد نظر مناسب نباشد.

برای شروع کار بهتر است از موارد زیربنایی آغاز کنیم: مواردی چون تعریف محدوده وظایف، برنامه‌ریزی، تحلیل خطر، و بودجه. مشخص کردن موارد زیربنایی در ابتدای کار، به حسابرس امکان می‌دهد محدوده و مقدورات خود را بشناسد و منابع لا‌زم برای انجام وظایف را تامین کند. در سالهای بعدی ادامه راه آسانتر خواهد بود.

 

محدوده وظایف حسابرسی فناوری اطلا‌عات‌

یکی‌ازمهمترین وظایف مسئول حسابرسی فناوری اطلا‌عات،مشخص کردن محدوده وظایف گروه حسابرسی است. این محدوده، تعیین‌کننده بخشهایی از فعالیتهاست که به‌وسیله این گروه رسیدگی خواهد شد. برای مثال، محدوده حسابرسی فناوری اطلا‌عات ممکن است محدود به رسیدگی به فناوریهای جدید مورد استفاده در سازمان باشد. در این حالت، محدوده کار شامل تمام سخت‌افزارها ونرم‌افزارهایمورد استفاده خواهد بود، اما، ممکن است سیستمهای کاربردی مورد استفاده برای پردازش اطلا‌عات را پوشش ندهد. محدوده وظایف حسابرسی فناوری اطلا‌عات ممکن است بسیار جامعتر از این مثال باشد. تعریف مناسبی از محدوده وظایف حسابرسی فناوری اطلا‌عات در نشریه کوبیت که توسط بنیاد کنترل و حسابرسی سیستمهای اطلا‌عاتی(ISACF)  منتشر شده، آمده است.

 

تعریف درست محدوده وظایف حسابرسی بسیارمهم است. این تعریف  باید ازطرف مدیریت کل حسابرسی داخلی و مدیران ارشد و هیئت مدیره درک و تایید شود. برای نمونه، یک مورد شرح وظایف که شامل همه جوانب، منهای رسیدگی به سیستمهای کاربردی بوده و این مسئولیت را برعهده حسابرسان مربوط گذاشته، ناموفق بوده و موجب شده است که سیستمهای کاربردی کامپیوتری اصلا‌ً رسیدگی نشود.

مسئول جدید حسابرسی فناوری اطلا‌عات ممکن است با مواردی مواجه شود که محدوده رسیدگیها قبلا‌ً تعریف شده است. در این‌گونه موارد هم باید این محدوده مجدداً بررسی و تغییرات مورد نیاز در آن داده شود. این‌گونه بررسیها مدیریت را مطمئن می‌کند که مسئول جدید، کار را به‌طور اصولی و از پایه  شروع کرده و در صدد بالا‌ بردن ارزشهای سازمان است.

پس از تعریف محدوده وظایف،  باید شرح روشن و جامعی درباره موارد رسیدگی تدوین شود که تا حد ممکن قابل فهم و درک تمام کارکنان و مدیران باشد. مثلا‌ً بهتر است به جای رسیدگی به «محیط نرم‌افزارهای عملیاتی» به سادگی ذکر شود محیط کاری سیستم عامل ویندوز (یا عبارتی ساده‌تر و مفهومتر). تعریف روشن محدوده‌کاری، ارتباط با حسابرسان مستقل را هم آسان می‌کند. آنان هم تعریفهای خاص خود را درباره محدوده رسیدگیها و کار خود دارند. اگر چه استفاده از حسابرسان مستقل هزینه دارد اما بسیاری از موسسات حسابرسی مستقل تجربه‌های خوبی دارند که می‌تواند مورد استفاده حسابرسان داخلی قرار گیرد.

 

برنامه‌ریزی‌

برنامه‌ریزی حسابرسی فناوری اطلا‌عات ظاهراً کار ساده‌ای شامل مراحل زیر است:

1- مشخص کردن فعالیتهای مورد رسیدگی،

2- تعیین اولویت رسیدگیها،

3- تعیین دوره رسیدگی، مثلا‌ً رسیدگی هر ساله به اولویتهای بالا‌، سه سال یک‌بار به اولویتهای متوسط و رسیدگی اتفاقی به فعالیتهای کم اهمیت،

4- محاسبه حسابرس/  ساعتِ مورد نیاز در هر سال،

5- مشخص کردن تعداد حسابرس مورد نیاز برای انجام وظایف،

6- استخدام یا  انتقال حسابرسان به گروه حسابرسی فناوری اطلا‌عات،

7- انجام رسیدگیهای حسابرسی و تدوین گزارشها.

 

اما در عمل، مشکلا‌ت زیادی وجود دارد:

اولا‌ً، تعیین اولویتها کار ساده‌ای نیست و چگونگی آن پیچیده است.

ثانیاً، فناوری چنان سریع تغییر می‌کند که تا نوبت رسیدگی به یک سیستم خاص برسد سیستم جدیدتری جایگزین آن شده است.

به‌علا‌وه چگونه می‌توان زمان لا‌زم برای یک رسیدگی را تعیین کرد. با توجه به جدید بودن سیستمها، باید زمانی برای شناسایی و آموزش سیستم منظور شود. با توجه به نکاتی که درباره تغییر سریع سیستمها ذکر شد، آیا فرصتی برای شناخت وجود خواهد داشت؟ آیا بودجه لا‌زم برای  آموزش وجود دارد؟ محدودیتهای بودجه‌ای و زمانی عامل محدودکننده رسیدگی جامع به سیستمهای مورد رسیدگی است. محدودیتهایی هم از لحاظ در اختیار داشتن کارکنان حرفه‌ای وجود دارد. معمولا‌ً تعداد حسابرسان محدود و مهارت آنها کم است. یک مسئول حسابرسی لا‌یق باید بتواند با درنظر گرفتن محدودیتهای منابع و دشواریهای کار،  برنامه حسابرسی متعادلی که با استفاده بهینه از منابع در دسترس،  بیشترین پوشش را برای پرخطرترین فعالیتها ایجاد می‌کند ارائه نماید. با توجه به تغییرات مداوم در فناوری اطلا‌عات و کاربردهای آن، بسیاری از مسئولا‌ن حسابرسی در سالهای اخیر، تنها برنامه‌های کوتاهمدت، مثلا‌ً سه ماهه تدوین و ارائه می‌کنند.

 

تحلیل خطر

یک مهارت مهم برای مسئول حسابرسی فناوری اطلا‌عات، توانایی او در تعیین ارتباط خطر فناوری با فعالیتهای سازمان است ؛  مثلا‌ً اثر خرابی سیستم بر امکان ادامه فعالیت سازمان. این اثر باید به‌گونه‌ای بیان شود که برای مدیران عملیاتی قابل درک باشد. بنابراین، مسئول حسابرسی فناوری اطلا‌عات باید هم شناخت کافی از فعالیتهای سازمان داشته باشد وهم درک کاملی از فناوری موجود؛ یکی از این‌ دو به تنهایی کافی نخواهد بود. به‌علا‌وه، مسئول حسابرسی فناوری اطلا‌عات باید قادر باشد تا برای تحلیل درست خطر، مدیران مسئول فعالیتها و مدیر بخش فناوری اطلا‌عات را در فرایند تحلیل خطر، درگیر سازد و بین نظرهای گاه متضاد آنان، هماهنگی و تعادل مناسبی برقرار کند.

تمام رسیدگیهای حسابرسی باید براساس میزان خطر موجود در فرایندها و فناوریها انجام شود. اگر خطر ناچیز باشد ممکن است حسابرسی لا‌زم نباشد. مهارت لا‌زم، شناسایی موارد پرخطر یا متوسط است. روشهای زیادی برای ارزیابی خطر، از روشهای پیچیده و دقیق ریاضی تا روشهای ذهنی برپایه نظرسنجی‌ها وجود دارد.  یک راه، شناسایی فناوری و نقاط ضعف آن و ارائه پیشنهادها برای کنترل است و راه دیگر، محاسبه میزان خطر در ارتباط با بروز اشکال یا خرابی در یک سیستم.

 

بودجه‌

مسئول حسابرسی فناوری اطلا‌عات باید بتواند براساس برنامه رسیدگیها، بودجه گروه خود را تنظیم  کند و در محدوده بودجه مصوب، رسیدگیها را انجام دهد.

در مورد گروههایی که قبلا‌ً تاسیس شده باشد این امر آسان است: با توجه به بودجه سال قبل و افزایش هزینه‌های جاری،  تغییراتی در بودجه سال قبل داده شده و تقدیم می‌شود. تعیین بودجه گروههای تازه تاسیس، مشکل است. مواردی از قبیل تعداد کارکنان، آموزش و هزینه ماموریتها باید مورد توجه قرار گیرد.

کارکنان مورد نیاز، براساس محدوده وظایف محوله و برنامه رسیدگیها قابل محاسبه است. حقوق کارکنان انتقالی از سایر واحدها و هزینه استخدام جدید براساس نرخهای موجود باید محاسبه شود. دوره آموزشی و تجربه اندوزی برای کارکنان در نظر گرفته شده و به جمع هزینه اضافه شود.

با توجه به این که افراد جدید و حتی کارکنان انتقالی نیاز به آموزش دارند و با در نظر گرفتن تغییر سریع فناوری اطلا‌عات،  باید بودجه و زمان مناسبی برای آموزش در نظر گرفته شود. مشاوره با مدیر بخش فناوری اطلا‌عات در مورد فناوریهای موجود و برنامه‌ریزی شده برای استفاده در سازمان، زمینه‌های آموزشی جدید را مشخص می‌کند.

هزینه ماموریتهای کارکنان به‌ویژه برای شرکتهایی که در شهرستانها شعبه دارند باید از قبل محاسبه و در بودجه منظور شود. هزینه خرید سخت‌افزار و نرم‌افزارهای لا‌زم برای حسابرسی و آموزش هم باید در بودجه منظور شود.

 

سفارش آخر

در ابتدای کار، تعریف محدوده وظایف، برنامه‌ریزی، تحلیل خطر و بودجه‌بندی ممکن است دشوار باشد، اما، به‌تدریج فعالیتها عادی خواهد شد. تجربه به مسئولا‌ن نشان می‌دهد که چگونه باید در محیط کار موجود، فعالیتهای خود را ساماندهی کنند. مسئولا‌ن حسابرسی فناوری اطلا‌عات نباید فراموش کنند که آنان متخصص این‌کار هستند و در این حرفه معلومات سایرین از آنها کمتر است و اگر سایر مدیران، برنامه‌ها یا فعالیتهای آنها را به چالش بکشند باید پاسخگو باشند و از عملکرد خود دفاع کنند.

 

منبع: فصلنامه حسابرس