مفاهیم مرتبط با حسابرسی فناوری اطلاعات

مفاهیم مرتبط با حسابرسی فناوری اطلاعات

مفاهیم مرتبط با حسابرسی فناوری اطلاعات

حاکمیت  فناوری اطلاعات

چارچوب2019 COBIT ، تمایز واضحی بین مدیریت و حاکمیت قایل است. از آنجاییکه این دو، فعالیتهای متفاوتی انجام می دهند، نیازمند ساختارهای سازمانی متفاوتی هستند و اهداف متفاوتی را دنبال می کنند. مطابق چارچوب مذکور حاکمیت فناوری  و مدیریت فناوری اطلاعات عبارتست از :

حاکمیت: اطمینان حاصل می کند که نیازها، شرایط و انتخاب های ذینفعان جهت شناسایی اهداف سازمانی متعادل و مورد توافق ، ارزیابی می شوند : از طریق اولویت بندی و تصمیم گیری ، مسیریابی می کند، و عملکرد و تطابق با مسیر و اهداف مورد توافق را، مورد نظارت قرار می دهد. در بیشتر سازمان ها ، حاکمیت کلی ، مسئولیت هیات مدیران تحت رهبری رییس کمیته است. مخصوصاً در سازمان های بزرگتر و پیچیده تر ، مسئولیت های حاکمیتی خاص ، ممکن است به ساختارهای سازمانی خاص در سطحی مناسب ، واگذار شوند. که شامل 5 فرآیند حاکمیتی است: در هر فرآیند، روال های کار ارزیابی، هدایت و پایش (EDM ) تعریف شده اند.

مدیریت: فعالیتها را جهت دستیابی به اهداف سازمانی ، همسو با مسیر تنظیم شده توسط اعضای هیات مدیره، برنامه ریزی، ایجاد، اجرا و پایش می کند.در بیشتر سازمانها مدیریت به عهده مدیریت اجرایی تحت رهبری مدیر ارشد اجرایی CEO است. این پنج اصل در کنار هم به سازمان اجازه می دهد تا یک چارچوب مدیریت و حاکمیت اثر بخش ایجاد نماید که اطلاعات و سرمایه گذاری فناوری و کاربرد مزایای ذینفعان فناوری اطلاعات را بهینه نماید. شامل 4 دامنه است و هم راستا با حوزه های مسئولیتی برنامه ریزی، ایجاد، اجرا و پایش ( PBRM ) بوده و پوشش دهی IT را به طور کامل فراهم می کند..نام این دامنه ها در جهت معرفی نام ناحیه­ی اصلی انتخاب شده اند، اما شامل افعال بیشتری هستند که آنها را توصیف می کنند :

-همسو سازی، برنامه ریزی و سازمان دهی (APO)

-ایجاد،در اختیارگیری و پیاده سازی ( BAI)

-ارایه، خدمت رسانی و پشتیبانی (DSS)

-پایش،ارزیابی و ممیزی (MEA)

ریسک فناوری اطلاعات

ریسک فناوری اطلاعات، جزئی از ریسک کسب‌وکار است که به‌ویژه با استفاده، تملک، اجرا، مداخله، نفوذ و به کارگیری فناوری اطلاعات در بنگاه مرتبط است. این ریسک دربرگیرنده‌ی رویدادهای مرتبط با فناوری اطلاعات است که می‌توانند به طور بالقوه بر کسب‌وکار اثر گذارند. ریسک فناوری اطلاعات می‌تواند با هر دو فراوانی مبهم و بزرگی مبهم رخ دهد و چالش‌هایی را در تحقق اهداف راهبردی و مقاصد کسب‌وکار ایجاد کند.

ریسک فناوری اطلاعات در حقیقت جزئی از ریسک کلی بنگاه است. سایر ریسک‌هایی که بنگاه با آن‌ها رو به رو است عبارت‌اند از: ریسک راهبردی، ریسک محیطی، ریسک بازار، ریسک اعتباری، ریسک عملیاتی و ریسک رعایت. چون فناوری اطلاعات به وفور در تمام حوزه‌های بنگاه استفاده می‌شود، ریسک فناوری اطلاعات، یک ریسک تجاری است و جزئی از سایر ریسک‌ها است.

ریسک فناوری اطلاعات را می‌توان به روش‌های مختلف دسته‌بندی کرد:

  • ریسک توانمندساز ارزش/ منافع فناوری اطلاعات: با فرصت‌ها (ی از دست رفته) برای استفاده‌ی فناوری به منظور بهبود کارایی یا اثربخشی عملیات کسب‌وکار، یا به عنوان یک توان‌مندساز برای نوآوری‌ها و راه‌اندازی‌های کسب‌وکار مرتبط است.
  • ریسک تحول پروژه و برنامه‌ی فناوری اطلاعات: با مداخله‌ی فناوری اطلاعات در راه‌گزین‌ها و راه‌کارهای بهبودیافته‌ی کسب‌وکار، معمولا به شکل پروژه‌ها و برنامه‌ها در ارتباط است.
  • ریسک تحویل خدمات و عملیات فناوری اطلاعات: با همه‌ی جنبه‌های عملکردی سامانه‌ها و خدمات فناوری اطلاعات مرتبط است که می‌تواند در ارزش‌افزایی بنگاه اخلال ایجاد کند یا آن را کاهش دهد.
  • مدیریت ریسک فناوری اطلاعات
  • مدیریت ریسک را می توان شناسایی رویدادها، ارزیابی ریسک ها، تجزیه و تحلیل ریسکها و پاسخ مناسب به ریسکهای فناوری اطلاعات نامید، که بر همین اساس موسسه ISACA  طی رهنمود  چارچوب مدیریت ریسک فناوری اطلاعات IT Risk Mangment را منتشر نموده است که بر اساس آن مدیریت ریسک در سه حوزه طبقه بندی مطابق شکل ذیل شده است:

    -راهبری ریسک

    -ارزیابی ریسک

    -پاسخ به ریسک

  • به دلیل اهمیت ریسک فناوری اطلاعات برای کل کسب‌وکار، ریسک فناوری اطلاعات باید مانند دیگر ریسک‌های کلیدی کسب‌وکار همچون ریسک راهبردی، ریسک زیست محیطی، ریسک بازار و ریسک اعتباری و ریسک‌های عملیاتی و ریسک رعایتی رفتار شود. همه‌ی این ریسک‌ها زیر چتر ریسک قرار می‌گیرند: یعنی ناتوانی در دستیابی به اهداف راهبردی. درحالی که این سایر ریسک‌ها، برای مدت‌های زیادی است در فرایندهای تصمیم‌گیری در نظر گرفته می‌شوند، اما بسیاری از مدیران اجرایی تمایل به واگذاری ریسک فناوری اطلاعات به کارشناسان فنی خارج از اتاق هیات رئیسه دارند.

    چارچوب ریسک فناوری اطلاعات،  جهت مدیریت ریسک فناوری اطلاعات بوده و به استفاده کنندگان  این امکان را می‌دهد تا:

    • مدیریت ریسک فناوری اطلاعات را در مدیریت ریسک بنگاه وارد کنند و به بنگاه این امکان را می‌دهد تا تصمیمات آگاهانه با توجه به ریسک و بازده بگیرند؛
    • تصمیمات آگاهانه درباره‌ی میزان ریسک، اشتهای ریسک، و تحمل ریسک برای بنگاه بگیرند؛
    • چگونگی پاسخ به ریسک را درک کنند.
رضا صبری

رضا صبری

نویسنده، مدرس و صاحب نظر در خصوص کنترلهای داخلی، حسابرسی داخلی و نظارت نوین در سازمانها و بانکهای کشور

این آموزش را می توانید از طریق شبکه های اجتماعی زیر برای همکاران و دوستان خود ارسال نمایید .
به اشتراک گذاری بر روی facebook
Facebook
به اشتراک گذاری بر روی twitter
Twitter
به اشتراک گذاری بر روی linkedin
LinkedIn
به اشتراک گذاری بر روی telegram
Telegram
به اشتراک گذاری بر روی skype
Skype
به اشتراک گذاری بر روی whatsapp
WhatsApp
به اشتراک گذاری بر روی email
Email
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *