بخشی از مقاله
بررسی کامپیوتری و نقش بازرسان کامپیوتری
) مقدمه :
1 . 1 ) هدف :
هدف از این نوشته ها بررسی فعالیتهای اصلی بررسی کامپیوتری و نقش بازرسان کامپیوتری است. آنها برای کمک به کسانی نوشته شدند که مصاحبات یک موقعیت را در بازرسی کامپیوتری برنامه ریزی می کنند اما دانش محدودی از موضوع دارند. برای آنها یا یک بازرس، تجارت یا تکنولوژی اطلاعات (IT) به دنبال حرکت در بررسی کامپیوتری است و این نکات زمینه ای مفید به آنها می دهند.
در حالیکه هر سازمان موافق با مصاحبات از یک کاندیدا که تجزیه بررسی کامیپوترهای محدودی دارد، مطابق با آن قضاوت می کند، حوزۀ جایگزینی برای کاندیدا در بهبود شانشان با تعیین تحقیقات انجام داده و جایگزینی با اصول مبنا وجود دارد. بعلاوه، وقتی مشکلات تشخیص بین حوزه های IT در تجارت در حال افزایش است، بسیاری از سازمانها نیاز دارند تمام بازرسان تجاری از بازرسی کامپیوتری آگاهی داشته باشند. بنابراین، این نکات باید به بازرسان تجاری در به دست
آمدن درک بیشتر بازرسی کامپیوتری کمک کنند. با تعیین انواع IT ، در اسناد این نوشته، دسته بندی بازرسی کامپیواری در بخش های خاص یا در ارتباط با سخت افزار یا نرم افزار خاص ممکن نیست. اصول مبنای بازرسی کامپیوتری باید برای تمام بخش ها و انواع سخت افزار و نرم افزار مشترک باشد.
2 . 1 ) تعریف :
یکی از مهمترین عوامل و در نظر گرفتن اینکه بازرسی کامپیوتری چه موقع بیان شود، این است که عبارت بازرسی کامپیوتری یعنی چیزهای بسیار متفاوت برای افراد مختلف. آنچه به عنوان بازرسی کامپیوتری در یک سازمان مورد توجه توسط بازرسین تجاری در سازمان مشابه دیگری درک می شود. برای مثال، بازرسی کامپیوتری را می توان به نرم افزار سیستم های بازرسی در یک سازمان محدود کرد. در حالیکه حوزه هایی مثل سیستم بازرسی تحت توسعه می توانند
مسئول بازرسی تجاری باشند. مشابهاً در بعضی سازمان ها برای نقش بازرسی کامپیوتری، بررسی رشهای کاری و تولید پیچیدگی ها بر مبنای برنامه های کار بازرسی متداول نسبت و سیستم های وسیعتری می سازد.
قوانین سخت و سریعی برای بازرسی کامپیوتری وجود ندارد. اغلب سازمانهای هم اندازه در بخش یکسان از روش های مختلف در بازرسی کامپیوتری استفاده می کنند – حتّی وقتی در حوزه های بازرسی موارد مسترک وجود دارد، تنوع زیادی در عمق درک بازرسی دیده می شود. بازرسی یک سیستم کاربردی در یک سازمان نیاز به بین 5 و 10 نفر در روز دارد، در حالیکه در دیگری همان سیستم کاربردی آزمایش جزئی تری را تا چند ماه طول می دهد.
3 . 1 ) منشأ بازرسی کامپیوتری :
غیاب تعریف مشترکی از بازرسی کامپیوتری باعث جدید بودن نسبی آن است. تاریخچۀ بازرسی سنتی یا بررسی آن به صدها سال می رسد. در مقابل، بازرسی کامپوتری یک کار نسبتاً جدید است. و به دهۀ 1970 برمی گردد که سازمانهای اصلی در UK ظرفیت بازرسی کامپیوتری را برای اولین بار بنا کردند. استفاده از IT در تجارت نیز کاری نسبتاً جدید است. پدر کامپیوتر مدرن چالز بابیج است که ماشین حساب متفاوت خود را در 1833 ساخت. این پس از شکست در جنگ جهانی دوم و توسعۀ تکتولوژی سوپاپ ها بود که کامپیوتر نسل اول بکار رفت. حتی پس از آن، سالها بعد کامپیوتر در تجارت متداول شد.
4 . 1 ) تغییر :
یک ویژگی کلیدی بسیاری از سازمانها، امروزه تغییر است. اگرچه تغییر ضرورت ندارد، IT جزئی مهم در آن جوره و بیشتر تغییرات بدون IT ممکن نمی باشند. IT اثری اصلی 57 عوامل اجتماعی، اقتصادی و سیاسی در دنیا دارد. نه تنها باعث خلق حرفه های جدید شده و بلکه انقلابی در کارهای اداری مثل ترکیب باربانها و صنایع ساخت و ساز ایجاد کرده است.
بازرسی کامپیوتری وضعیتی ثابت با تغییر سریع است. بازرسان کامپیوتر اغلب با سیستم های سریعتر، کوچکتر و ارزان تر IT بروبرو هستند. یک مقیاس بکار رفته در بیان رشد سریع IT این است که آیا با یک سرعت ساخته می شود : IT یک حوزۀ دینامیک است که در آن نیاز به ساختار کنترل دینامیک در انعطاف پذیر وجود دارد. رشد سریع IT شاید به خوبی با غیاب نسبی قوانین خاص IT نشان داده شود که در انگلستان و والز بر مبنای تأسیس در طول چندین سال می باشد. تنها قانون خاص IT در UK در حال حاضر حمایت داده ها در 1984 و سوء استفادۀ کامپیوتری در 1990 است که هر دو توسط دادگاه در نظر گرفته شدند. هر دو بخش قانون مربوط به کنترل و اهمیت می باشند.
5 . 1 ) ماهیت بازرسی کامپیوتری :
اگرچه یک سیستم IT به نتایج نهایی یکسان بعنوان سیستم راهنما می رسد، راهی که در آن انجام می شود و سطح عینی و کنترل لازم آن تفاوت قابل ملاحظه ای دارد. ریسک های مهمی در ارتباط با پردازش سیستم های IT وجود دارد. بنابراین استانداردهای بالای ایمنی و کنترل در به حداقل رساندن اثر بالقوه روی سازمانها مهم است.
کلاهبرداری کامپیوتری یک اثر مشخص در یک سازمان است. بررسی های دوره ای توسط سازمانهایی مثل NCC (مرکز کامپیوتر ملی) و کمیسیون بازرسی انجام شده و موارد مشترک زیر را در کلاهبرداری کامپیوتری نشان داده اند :
• آشکار سازی بررسی نشدۀ اطلاعات تأیید شده؛
• در دسترس نبودن سیستم های کلیدی IT ؛
• اصلاح/ خرابی بازرسی نشدۀ نرم افزار؛
• دزدی سخت افزاری و نرم افزاری IT؛
• استفاده از تسهیلات IT برای تجارب شخصی؛
با درنظر گرفتن بازرسی کامپیوتری می توان گفت هدف کنترلی اصلی و اصول آن تغییر نمی کند. روشی که در آن این اهداف به دست آیند، اگرچه بطور اساسی تغییر می کند. نیاز به جلوگیری بزرگتر برای کنترل بجای اتکا به مکانیزمهای کنترل اصلاحی وجود دارد که معمولاً در سیستم های راهنما یافت می شود. ایجاد سیستم های آنلاین در زمان واقعی با پردازشی که میلیونها پوند انتقال را در یک سیستم انتقال سرمایه نتیجه می دهد، نیاز به سطح ایمنی شدیدی دارد.
6 . 1 ) بازرسان کامپیوتری :
تا دهۀ 1970 بیشتر سازمانها در UK ظرفیت بازرسی کامپیوتری ایجاد کردند. این برای نیاز به بازرسی تجاری با داده های مستقل از سیستم IT بود. و تا بررسی وسیعتر کاربردهای IT و فراساختارهای آن پیشرفت کرد تا بیمه ای برای سرمایه های سازمانها و محاظفت از آنها به روش مناسب و با مکانیزمهای کنترل ایجاد کرد. سطح بالای دانش فنی نیاز به تولد بازرس کامپیوتری داشت.
وقتی بازرسی کامپیوتری درنظر گرفته شد، بخش کامل بازرسی کلی مهم شناخته شد. این معمولاً جدا از مباحث ایمنی و کنترل است که با استفادۀ مؤثرتر و بهتر کارکنان متخصص سروکار دارد. بازرسی کامپیوتری، بنابراین روشی برای اتمام بجای خود اتمام شد. سیستم های کاربردی با کاربردهای IT روابط تجاری سازمان را نادیده می گیرند. ریسک مبنای بازرسی کامپیوتری بعنوان ریسک خاص وقتی ضروری است که بازرسی کامپیوتری برای ارزش افزودۀ سازمان و تحویل سرویس کارآتر توسط مدیریت ارشد باشد.
در طول سالها، نقش بازرسان کامپیوتری برای ارزش افزوده و جمعی بیشتر تغییر کرد. وقتی یک سیستم جدید ساخته شده برای بازرسی و ایجاد سیستم اجرا شد، کم هزینه تر شد و ایمنی پیشرفته و ویژگی های کنترل آسان تر و ارزانتر انجام شدند. مشابهاً، اگرچه بازرسان کامپیوتری بازرسی را کنترل دستیابی
منطقی می نامند، حوزۀ قابل توجهی برای آنها در درگیر شدن در طراحی آن اجزاء وجود دارد. مبحثی مستقل وجود دارد، وقتی بازرسان کامپیوتری در طراحی و بازرسی بعدی آن سیستم درگیر می شوند. اگرچه معمولاً مشخص شده که هزینه های بدست نیامدن آنقدر بزرگ است که یم گزینه نیست. برای مثال مدیریت ارشد از دریافت گزارش بازرسی پس از پایان عمر سیستم جدید IT خوشحال می شود که ایمنی و کنترل کامل سیستم را بطور جزئی شرح می دهد. نقش
بازرسین کامپیوتری ادامۀ بلوغ و توسعه است. این وقتی ضروری است که بازرسی کامپیوتری سرویس ارزش افزوده را برای تجارت در مواجهه با تکنولوژی در حال افزایش ارائه کند. چالش کلیدی بازرسان کامپیوتری حفظ تاریخ با توسعۀ ثابت و سریع در IT است. آموزش و توسعۀ پیوسته ضروری است. بازرسی کامپیوری موفق بر مبنای فونداسیون خوب بودن فنی می باشد. بدون آن، بازرسین کامپیوتری به توانایی بازرسی مؤثر و ایجاد یک سرویس ارزشمند به سازمان محدود می شوند. همچنین باید توجه داشت که نقش بازرسین کامپیوتری در بعضی حوزه ها، عملکرد کامپیوتر است که گاهی سردرگمی می آورد. تعریف مسئولیتها
ضروری است و نسخه برداری غیر ضروری باید اجتناب شود. ضرورتاً نقش بخش ایمنی کامپیوتری کمک به کاربردها در ایجاد راه حل مطمئن و به مجریان در مبنای روزانه می باشد. نقش بازرسین کامپیوتری ارائۀ یک مدیریت ارشد با بیمۀ موضوعی و مستقل در سطح محیط IT می باشد. بعنوان یک بخش کامل از فرآیند بازرسی، بازرسان کامپیوتری نیز توصیه هایی دارند و این حوزه بوجود می آید.
7 . 1 ) حوزه :
بخشهای زیر از این نکات، حوزه های بازرسی کامپیوتری را بیان می کنند :
* سیستم های تحت توسعه * کاربردهای زندگی * فراساختار IT * اتوماسیون بازرسی
گسترش این حوزه ها بررسی شده و عمق امتحان آنها با فرق می کند. کلید عملکرد بازرسی ریسکی جامع بر مبنای ارزیابی و تعیین مقدار منابع لازم بازرسی و کمک در تعیین ارزیابی سطح قابل قبول ایمنی و کنترل است. یک راهنمای خلاصه از اجرای آن برای هر حوزه وجود دارد. هدف از آن مشخص کردن نکات بازرسی بجای ارائۀ لیست می باشد. به خوانندگان توصیه می شود به کتبهای خاص برای اطلاعات بیشتر مراجعه کنند بخصوص کتاب بازرسی کامپیوتری از یان داگلاس و راهنمای بازرسی کامپیوتری CIPFA از CIPFA.
جدا از این نکات هر شکل با روشی بدون اجازه تکثیر یا انتشار نمی شود.
2 ) سیستم های تحت توسعه :
1 . 2 ) زمینه :
«چیزی سخت تر از طراحی و باتر دیدتر از موفقیت و خطرناکتر از مدیریت در خلق یک سیستم جدید وجود ندارد.» ماکیاولی
توسعۀ یک سیستم جدید کامپیوتری حوزه ای از خطرات بالقوه را در یک سازمان نشان می دهد. سیستم های جدید کامپیوتری برای رفع نیازهای مختلف تجاری ساخته شده اند که در آن نیازهای جدید قانونی رفع شده و سوددهی بدست آمده یا بیشتر می شد و کارایی بیشترو هزینه ها کاهش می یافت. نقص یک سیستم جدید اثر اصلی روی حیات سازمان و خوب بودن آن می باشد.
یک بررسی از وضعیت مالی سازمان معمولاً نشان می دهد با انتظارات متوسط، ساخت سیستم های IT نیز یکی از حوزه های اصلی سرمایه گذاری سازمان می باشد.
منابع بالقوۀ یک کاربرد جدید IT زیاد و متفاوت هستند. تعدادی از عوامل مثل هزینه، ساختار زمانی و دسترسی یک منبع ماهر تعیین می کنند کدام منبع برای سازمانی خاص ویژه تر است. این نکات عبارتند از :
* یک توسعۀ بیان شده توسط تیم خانگی IT * یک پکیج راه حال از نرم افزار
* یک توسعۀ بیان شده توسط نرم افزار * یک توسعۀ بیان شده توسط نرم افزاد و تیم خانگی IT
* ساخت کاربر نهایی :
بازرسی کامپیوتری در سیستم های تحت توسعه روی در حوزۀ اصلی متمرکز است :
• روشی که در آن کاربرد جدید IT ساخته می شود.
• سازگاری کنترل و ایمنی در یک کاربرد IT
2 . 2 ) ساخت کاربرد جدید IT :
مهم است که اطمینان داشته باشیم که کاربردهای جدید IT به روشی کنترل شده ساخته شده اند و تنها کارهایی را انجام می دهند که کاربر می خواهد و سیستم ایمنی و کنترل مناسبی دارند. روشی که در آن سیستم جدید IT ساخته می شود تحت دو اصل اساسی در نظر گرفته می شود :
* مدیریت پروژه * چرخۀ عمر توسعۀ سیستم
1 . 2 . 2 ) مدیریت پروژه :
مدیریت پروژه با تحویل به موقع راه حل طبق بودجه و سطح کیفی خاص درنظر گرفته می شود. مدیریت پروژه بعنولن یک فعالیت برای IT نیست و بسیاری از اصول مبنا در منابع دیگر و بخصوص ساختمان سازی می باشند/. اصول مبنای مدیریت پروژۀ خوب عبارتند از :
* مسئولیت مدیریتی تعریف شده * حوزه و موضوعات شفاف
* برنامه ریزی و کنترل مؤثر * خطوط حسابرسی شفاف
انواع مدیریت پروژه مثل میز کار مدیر پروزه (PMW) و –MS پروژه حمایت می شود. نیازهای دقیق متداولترین مدیریت پروژه متفاوت است و نیازهای خاص یک سازمان را رفع می کند : علیرغم دسترسی وسیع چنین متدها و ابزاری، تحقیقات نشان داده که پروژه های اصلی IT به موقع طبق بودجه و سطح خاص کیفی اجرا نمی شوند.
اجزای واقعی در متد مدیریت عبارتند از:
سازمان:
این نشان می دهد مدئیریت ارشد با پروژه همکاری می کند و قادر به بحث زروی راه حل ها می باشد. یک قالب استاندارد برای راهنمایی و مدیریت پروژه باید ایجاد شود. که شامل کمیته هایی مثل کمیته استرینگ و پرسنل خاص مثل مدیر پروژه یا اسپانسر پروژه می باشد.
برنامه ریزی:
این نشان می دهد که کار در سطح خاص جزئیات مشخص شده و نیازها در سیک تعیین و ارزیابی می شوند. برنامه ریزی کلی کلیدی برای موفقیت مدیریت پروژه و ایجاد مبنای کنترل آن می باشد. عملاً یک پروژه به چند زیر پروژه که هریک تعداد مراحل خاصی دارند.
کنترل:
این نشان می دهد مسائل بالقوه را می توان مشخص کرد و حیات پیوسته پروژه را می توان مشان داد. کنترل پروژه شامل کنترل مالی مثل بودجه و کنترل زمان مثل نقاط عطف است که وضعیت پروژه ده را می سنجد. غالباًٌ دستور العمللی از کنترل موضوعات نیز مثل بررسی ها ی بقیه کیفی و داخلی ایجاد شده و در صورت لزوم با بررسی خارجی توسط کارشناسان سازمان حمایت می شود.
درگیری بازرسی کامپیوتری در مدیریت پروژه:
بازرسان کامپیوتری باید با مدیریت پروژه درگیر باشند. هدف از این درگیری ایجاد یک نظر عینی در کدیریت پروژه و بررسی مستقل مددیریت حسابرسی می باشد. بخش های کلیدی بازرسی عبارتند از: یک تیم موثر پروژه برای تعریف واضح مسئولیتها تنظیم شود و مدیریت ارشد با آن دیگر شده و مباحث ایجاد شوند.
طرحهای جزئی کافی و کامل با ارزیابی حوزه ای قابل دسترس ایجاد شوند.
مکانیزمهای موثر برای پوسته پیشرفت پروژه ایجاد شوند تا اطمینان حاصل شود که مدیریت ارشد با اطلاعات کافی حاصل شده و تفاوت از وطرح ها بررسی شده .
2 . 2 . 2 ) چرخه عمر ساخت سیستم:
چرخه عمر ساخت سیستم با ساخت رسمی کاربرد IT در نظر گرفته می شود تا مطمئن شوند که راه حل جدید IT عبارتند از:
* توسعه به روش کنترل شده * مستند سازی مناسب *دسترسی در آینده
*توسعه موثر و مطمئن *رفع نیازهای کاربر
کاربرد های IT در یک محیط کامپیوتری و به زبان برنامه ریزی سطح پایین مثل اسمبلو یا برنامه ریزی سطح بالا مثل کوبول توسط برنامه ریزان متخصص در طراحی و ارزیابی سیسنم اجرا می شود. پلیج های راه حل نیز برای کاربردهای متفاوت مثل پی رول به کار می روند. با مدئیریت پروژه، انواع متدهای در کمک به این فرآیند ساخته می شود. که شاید SSAPM شناخته ترین آن باشد. تعریف دقیق مراحل در چرخه عمر ساخت سیستم مطابق فرآیند ساخت و متد بکار رفته متفاوت است. در بسیاری موارد این چرخه متناسب با اصول مبنای TQM استو مراحل عملی عبارتند از :
خلق پروژه / تحقیق روی عملی بودن آن
هدف از این مرحله پیشرفت یک ایده اولیه در تعریف رسمی پروژه است. پس از تعریف، عملی شدن این طرح و مزایای هزینه ای تعیین می شوند.
