بخشی از مقاله
چکیده
کتابخانه زیرساخت فناوری اطلاعات1، رویکرد توسعهیافته ای را برای بررسی تمام جنبههای زیرساختهای فناوری اطلاعات فراهم کرده است. ITIL یک چارچوب راهنما برای مدیران فناوری اطلاعات میباشد تا بتوانند زیرساختهای فناوری اطلاعات را در سازمان خود مدیریت و بهینهسازی نمایند. در واقع ITIL فرایند تحویل خدمات را تسهیل مینماید، فرایندها و رویهها سادهسازی میشوند و اطمینان حاصل میشود که خدماتی با کارآیی بالا تحویل مشتری گردد. اگرچه هریک از فرآیندهای ITIL میتواند تا حدی مستقل عمل کند اما همه این فرآیندها با یکدیگر مرتبط بوده و خروجی یک فرآیند ورودی برای فرآیند بعدی محسوب میشود.
یک حسابرس فناوری اطلاعات که کنترلهای مربوط به هر فرآیند را بررسی میکند، باید به ارتباط بین این فرآیندها نیز توجه کند. فعالیت اصلی حسابرسی فناوری اطلاعات، شناسایی و ارزیابی ریسکهای بالفعل و بالقوه در جهت اتخاذ برنامهریزیهای لازم و کاهش سطح تأثیرگذاری آنها بر فرآیندهای سازمان است. چرخه عمر مدیریت ارائه خدمات ITIL از یک سری فرآیندهای مرتبط به هم تشکیل شده که از مدیریت زیرساخت فناوری اطلاعات سازمان حمایت و پشتیبانی میکنند. برنامههای کاربردی فناوری اطلاعات در مرکز این چرخه قرار دارند و حوزه اصلی مورد توجه حسابرسان فناوری اطلاعات برای بررسی کنترلهای داخلی هستند.
در واقع حسابرسان فناوری اطلاعات باید توجه ویژهای به زیرساختهای فناوری اطلاعات داشته باشند. اندازه و دامنه حوزههایی که مورد حسابرسی قرار میگیرد و همچنین حوزه عملیات واحد فناوری اطلاعات باید به دقت مورد توجه قرار بگیرد. بهعلاوه حسابرسان فناوری اطلاعات باید در مورد کفایت و تناسب کنترلهای فناوری اطلاعات و چگونگی استفاده از آنها در برنامههای کاربردی و همچنین کنترلهای مربوط به زیرساختهای فناوری اطلاعات دانش و آگاهی داشته باشند. در واقع آنچه اهمیت دارد این است که حسابرسان فناوری اطلاعات در شناخت، تحلیل و ارائه نتایج مرتبط با ریسکها و کنترلها مهارت داشته باشند. در این مقاله، پس از بررسی فرآیندهای مدیریت ارائه خدمات ITIL، نقش حسابرسان فناوری اطلاعات در این فرآیندها بررسی و تشریح میشود.
کلمات کلیدی: کتابخانه زیرساخت فناوری اطلاعات، حسابرسی فناوری اطلاعات، شناسایی و ارزیابی ریسک
1. مقدمه
مدیریت فناوری اطلاعات، دانشنسبتاً نوپایی است که بهترین روشها را برای پیادهسازی و انجام فعالیتهای فناوری اطلاعات، ارائه میدهد. روند تغییرات گسترده در حوزه فناوری باعثشده که نگرش به مقوله فناوری اطلاعات و انتظار از آن، از یک نگاه سادهصرفاً سخت افزاری، در شرکت ها به جایگاه رفیعی دست یابد. کتابخانه زیرساخت فناوری اطلاعات - ITIL - یک چارچوب راهنما برای مدیران فناوری اطلاعات میباشد تا بتوانند زیرساختهای فناوری اطلاعات را در سازمان خود مدیریت و بهینهسازی نمایند. ITIL به مدیران این امکان را میدهد تا از سطح خدمات ارائهشده در سازمان اطمینان حاصل نموده و بتوانند زیرساختهای مورد نیاز را بر طبق یک برنامه از پیش تعیینشده تهیه نمایند.
حسابرسی فناوری اطلاعات، فرآیند سیستماتیک جمعآوری و ارزیابی بیطرفانه شواهد پشتوانه یک یا چند ادعا از سیستم-های اطلاعاتی، شیوهها و عملیات سازمان است. ارزیابی شواهد به دست آمده در این حسابرسی نشان میدهد که اگر سیستمهای اطلاعاتی ایمن باشد، دادههای نگهداری شده صحیح و عملیات شرکت به طور موثر و کارا هدفهای سازمانی را تحقق میبخشد. برنامهریزی حسابرسی فناوری اطلاعات شامل دو مرحله اساسی است. گام اول شامل "جمعآوری اطلاعات" و انجام برنامهریزیهای لازم بوده و گام دوم در پی به دست آوردن درکی درست از ساختار کنترلهای داخلی موجود میباشد.
فعالیت اصلی حسابرسی فناوری اطلاعات شناسایی ریسکهای بالقوه در اتخاذ برنامهریزیهای لازم و کاهش سطح تأثیرگذاری آن بر فرآیندهای سازمان است. با توجه به این موضوع که سیستمهای اطلاعاتی روز به روز گستردهتر میگردند به نحوی که نیازمند استقرار کنترلهای امنیتی به روز هستند. در واقع امنیت سیستمهای اطلاعاتی و اتخاذ کنترلهای مناسب و کافی توسط حسابرسان موجب کاهش خطر نفوذ به سیستمهای اطلاعاتی و دستکاری اطلاعات میشود.تاکید اساسی حسابرسان در گذشته بر تفکیک وظایف بین کسانی که برنامههای کامپیوتری را می نوشتند و کسانی که با این برنامهها کار میکردند، بود، اما در حال حاضر آنچه اهمیت بیشتری دارد کفایت و تناسب کنترلهای فناوری اطلاعات و چگونگی استفاده از آنها در برنامههای کاربردی و همچنین کنترلهای مربوط به زیرساختهای فناوری اطلاعات دانش و آگاهی میباشد.
زیرساختهای فناوری اطلاعات یک حوزه بسیار مهم در بحث کنترلهای داخلی به شمار میروند. همان-طور که در گذشته حسابرسان فناوری اطلاعات و حسابرسان داخلی بر کنترلهای برنامههای کاربردی و کنترلهای عمومی فناوری اطلاعات تاکید می کردند اما در دنیای امروز با پیچیده شدن فرآیندهای پشتیبانیکننده از زیرساختهای فناوری اطلاعات، فرآیندهای ITIL، حوزههای بسیار عالی را به حسابرسان فناوری اطلاعات معرفی می کنند. یک حسابرس فناوری اطلاعات کارآمد و موثر به هنگام بازبینی کنترلهای داخلی برای هر سازمانی که از فناوری اطلاعات به صورت گسترده و یا اندک در عملیات خود استفاده میکند، باید بر بررسی کنترلهای مربوط به فرآیند های زیرساختی کلیدی فناوری اطلاعات جهت شناسایی و ارزیابی ریسکهای بالفعل و بالقوه تمرکز کند.
2. حسابرسی فناوری اطلاعات
فناوری اطلاعات، عوامل ریسک خاصی را برای حسابداری، حسابرسی و سامانهها به همراه دارد؛ به این معنی که خود فناوری اطلاعات در ارتباط با سامانهها، فرایندهای کسب و کار تجاری و پردازش مالی، برای واحد تجاری ریسک به همراه می آورد. این ریسک، مختص فناوری اطلاعات است؛ به این معنی که بدون وجود فناوری اطلاعات دستکم در این سطح، این ریسک نیز به وجود نمیآید. برای این کار، نیاز است تا فردی حرفهای همچون حسابرس فناوری اطلاعات، ریسکهای مرتبط با فناوری اطلاعات را شناسایی و ارزیابی کند. عوامل ریسک دربرگیرنده موضوعهای مرتبط با سامانهها مانند ایجاد سامانهها، مدیریت تغییرات، آسیب پذیریها و دیگر عوامل خاص فناوری است.
بدون بهکار گماردن متخصصان حرفهای فناوری اطلاعات، چنین ریسکی ممکن است از نظر دور بماند و موجب ایجاد ضرر برای واحد تجاری شود - ابراهیمی، . - 1394 در واقع حسابرسان فناوری اطلاعات باید فهم مناسبی از فرآیندها و کنترلهای IT داشته باشند - تیلور2، . - 2010 حسابرسی اطلاعات یک رویکرد جامع در شناسایی و ارزیابی منابع اطلاعات و جریان اطلاعاتی سازمان است. به بیان دیگر حسابرسی اطلاعات یک استراتژی را برای سازمان به وجود میآورد که یک ساختار ارزشمند اطلاعات به وجود آید. حسابرسی فناوری اطلاعات، فرآیند سیستماتیک جمعآوری و ارزیابی بیطرفانه شواهد پشتوانه یک یا چند ادعا از سیستمهای اطلاعاتی، شیوهها و عملیات سازمان است.
ارزیابی شواهد به دست آمده در این حسابرسی نشان میدهد که اگر سیستمهای اطلاعاتی ایمن باشد، دادههای نگهداری شده صحیح و عملیات شرکت به طور موثر و کارا هدفهای سازمانی را تحقق میبخشد. فعالیت اصلی حسابرسی فناوری اطلاعات شناسایی ریسکهای بالقوه در اتخاذ برنامهریزیهای لازم و کاهش سطح تأثیر گذاری آن بر فرآیندهای سازمان است. امروزه سازمانها در حال حرکت به سمت یک رویکرد حسابرسی مبتنی بر ریسک هستند که به ارزیابی ریسک می پردازد و به حسابرسان فناوری اطلاعات در فرایند تصمیمگیری کمک میکند. در رویکرد مبتنی بر ریسک، حسابرسان فناوری اطلاعات با تکیه بر کنترلهای داخلی و عملیاتی و همچنین آگاهی از شرایط سازمان و کسب وکار اقدام به ارزیابی ریسک مینمایند.
این نوع از ارزیابی ریسک میتواند به تحلیل هزینه و منفعت کنترلهای اعمالشده بر ریسکها ارتباط داده شود. دلیل استفاده از حسابرسی در صنعت فناوری اطلاعات در مفهوم جامعتری به نام حاکمیت فناوری اطلاعات نهفته است؛ با تغییر نقش فناوری اطلاعات از حالت صرفاً حمایتی به استراتژیک در سازمانها و لزوم همراستایی بین اهداف استراتژیک سازمان و فناوری اطلاعات آن، نیازمند ساختار حاکمیتی و تقویت کنترلهای داخلی در جهت مدیریت ریسکهای موجود میباشد که بتواند به این همراستایی کمک نماید - مولر3، . - 2010 همچنین برای حسابرسان فناوری اطلاعات، شناسایی دلایل عدم رعایت قواعد و مقررات نسبت به رعایت آنها، از اهمیت بیشتری برخوردار است. عدم رعایت قواعد و مقررات، ممکن است نشانهای از مشکل بزرگتر مرتبط با عوامل ریسک باشد و اغلب نیز همین گونه است. بنابراین، برای حسابرس فناوری اطلاعات، بحث عدم رعایت قواعد و مقررات در نهایت از منظر ریسک اهمیت دارد، نه از جنبه الزامی بودن آن قواعد و مقررات - تیلور، . - 2010
