نقش حسابرسان فناوری اطلاعات در مدیریت ریسک فناوری اطلاعات

نقش حسابرسان فناوری اطلاعات در مدیریت ریسک فناوری اطلاعات

نقش حسابرسان فناوری اطلاعات در مدیریت ریسک فناوری اطلاعات

نقش حسابرسان فناوری اطلاعات در مدیریت ریسک فناوری اطلاعات

مطابق تعریف جامع حسابرسی فناوری اطلاعات، یکی از وظایف حسابرسان فناوری اطلاعات  در راستای اطمینان بخشی در سه حوزه IT GRC  به مدیریت ارشد، دارای دو نقش است:

1-حسابرسی فرایند مدیریت ریسک فناوری اطلاعات

2- انجام حسابرسی مبتنی بر ریسک  شامل ارزیابی و آزمون کنترلها بر اساس ریسکهای فناوری اطلاعات

همچنین موسسه ISACA، رهنمودی تحت عنوان COBIT For Risk  منتشر نموده است که حسابرسان فناوری اطلاعات از آن جهت حسابرسی فرایند مدیریت ریسک فناوری اطلاعات و ارزیابی ریسکهای فناوری اطلاعات به منظور برنامه ریزی حسابرسی و ارزیابی و ازمون کنترلهای فرایندهای فناوری اطلاعات بهره بگیرند.

کنترلهای فناوری اطلاعات

کنترلهای فناوری اطلاعات، فعالیت و اقداماتی هستند به منظور کاهش تهدیدات و ریسکهای فناوری اطلاعات و تحقق اهداف فرایند توسط مدیریت به کار گرفته می شوند. کنترلهای فناوری اطلاعات شامل:

-سیاستها، خط مش ها و دستورالعمل حوزه فناوری اطلاعات

-تفکیک وظایف در فرایند

-مجوزدهی، تصویب و تائید

مطابق رهنمودهای بین المللی حسابرسی فناوری اطلاعات GTAG1  ارائه شده توسط IIA در خصوص کنترلهای فناوری اطلاعات کنترلهای مذکور را به 3حوزه تقسیم نموده است:

  • کنترلهای لایه حاکمیت، مدیریت و تکنیکی
  • کنترل های کاربری و عمومی
  • کنترل های پیشگیری کننده، کشف کننده، اصلاح کننده

کنترلهای لایه حاکمیت، مدیریت و تکنیکی

کنترلهای لایه حاکمیت: کنترلهایی هستند هیئت مدیره جهت استقرار نظام حاکمیت فناوری اطلاعات در بانک و اطمینان از صحت عملکرد آن به کار می برد، که چارچوب COBIT   در طریق اهداف و کنترلهای ارائه در 5 فرایند EDM این کنترل را پوشش می دهد.

کنترلهای لایه مدیریت: کنترلهای هستند که مدیریت فناوری اطلاعات  به منظور ارائه خدمات و پشتیبانی از تحقق اهداف کسب و کار به کار می برد به عنوان نمونه  ارائه دستورالعمل و بخشنامه ها، استقرار سیسم امنیت اطلاعات، استقرار میز خدمات و …..می باشد. که چارچوب COBIT  از طریق اهداف و کنترلهای فرایندهای حوزه مدیریت که شامل 32 فرایند برنامه ریزی، ساخت، اقدام و پشتیبانی تمامی این کنترل را پوشش می دهد.

کنترلهای تکنیکی: کنترلهای هستند که به صورت چارچوب اصلی کنترلهای مدیریت را تشکیل می دهند در صورت ضعف در این بخش کنترلهای مدیریت بی اثر می شوند، به عنوان مثال مانند رمز نگاری، سطوح دسترسی، دسترسی به پایگاه داده و …. می باشد. در این بخش می توان از کنترلهای فنی و تکنیکی موجود در سایر استانداردها و چارچوبها مانند ITIL , ISMS  به همراه چارچوب  COBIT استفاده نمود.

کنترلهای عمومی و کاربردی

کنترلهای کاربردی

روش‌های دستی یا خودکاری است که به منظور کنترل پردازش نرم‌افزارهای اجرایی طراحی می‌شود و به کمک آنها از کامل‌بودن و صحت پردازش، تصویب و اعتبار معاملات اطمینان حاصل می‌شود.

کنترلهای عمومی

خط‌مشی‌ها، رویه‌ها و اقداماتی هستند که به طور عمومی در اغلب سامانه‌های اطلاعاتی به کار گرفته می‌شود و به کمک آن‌ها از به‌کارگیری درست و مستمر این سامانه‌ها اطمینان حاصل می‌شود و کارکرد مؤثر کنترل‌های کاربردی را پشتیبانی می‌کند. این کنترل‌ها به طور معمول شامل کنترل‌های حاکم بر عملیات مرکز داده‌ها، تحصیل، تغییر و نگهداری نرم‌افزارها، کنترل‌های دسترسی، امنیتی و حفاظتی و ایجاد و نگهداری سیستم‌های کاربردی می‌باشند.

کنترلهای پیشگیری کننده، کشف کننده، اصلاح کننده

vکنترلهای پیشگیری کننده

کنترلهایی هستند که در لایه اول از وقوع تهدید، اسیب و عدم تحقق اهداف کنترلی پیشگیری می نماید مانند دیواره آتش، تهیه پشتیبان از اطلاعات و تعیین سطوح دسترسی کاربران

کنترلهای کشف کننده

کنترلهایی هستند که در لایه دوم  تهدید و اسیبهای وارد شده، ایرادات سیستمی و نقصهای فرایند را کشف می نماید مانند تست های نفوذپذیری

کنترلهای اصلاح کننده

کنترلهایی هستند که در لایه سوم اشتباهات و نقص ها را اصلاح می کنند که شامل اقدامات اصلاحی جهت رفع یک مشکل و یا نقص است مانند اصلاح اطلاعات ورودی، بازیابی اطلاعاتی

رضا صبری

رضا صبری

نویسنده، مدرس و صاحب نظر در خصوص کنترلهای داخلی، حسابرسی داخلی و نظارت نوین در سازمانها و بانکهای کشور

این آموزش را می توانید از طریق شبکه های اجتماعی زیر برای همکاران و دوستان خود ارسال نمایید .
به اشتراک گذاری بر روی facebook
Facebook
به اشتراک گذاری بر روی twitter
Twitter
به اشتراک گذاری بر روی linkedin
LinkedIn
به اشتراک گذاری بر روی telegram
Telegram
به اشتراک گذاری بر روی skype
Skype
به اشتراک گذاری بر روی whatsapp
WhatsApp
به اشتراک گذاری بر روی email
Email
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *