بخشی از مقاله
چکیده
پس از وقوع رسوایی هاي مالی متعدد در سراسر جهان، اهمیت مسائل مرتبط از جمله کنترل داخلی و امنیت اطلاعات تا حد زیادي افزایش یافته است. این مطالعه یک چارچوب کنترل داخلی ایجاد می کند که قابل اعمال در سیستم برنامه ریزي منابع سازمانی - ERP - است. در ابتدا بررسی منابع انجام شده تا فرم هاي لازم کنترل داخلی در سیستم هاي فناوري اطلاعات - IT - بررسی شوند.
سپس معیارهاي کنترل براي ایجاد چارچوب کنترل داخلی ساخته شده است. مطالعه موردي انجام شده تا امکان سنجی چارچوب تولید شده بررسی شود. این مطالعه یک چارچوب 12 بعدي با 37 مورد کنترل با هدف کمک به حسابرسان در انجام حسابرسی موثر با بررسی نقاط کنترل داخلی و ضروري در سیستم هاي ERP پیشنهاد می کند. چارچوب پیشنهادي به شرکت ها اجازه می دهد تا بهره وري حسابرسی IT را افزایش و خطر کنترل را کاهش دهند. علاوه بر این، شرکت هایی که به این چارچوب مراجعه کنند و محدودیت هاي مدیریت IT خاص خود را در نظر گیرند می توانند مکانیزم مدیریت IT قوي تر ایجاد کنند.
.1 مقدمه
محبوبیت کاربرد فن آوري اطلاعات - IT - ، اتکا بر کامپیوترها را براي پردازش معاملات تجاري افزایش داده است.
شرکت ها سیستم هاي IT را به کار می گیرند تا عملیات خود را بهبود دهند. نظرسنجی ها بر عملیات مشترك سیستم هاي IT که توسط موسسه مشاوره و اطلاعات بازار انجام شده نشان می دهد که سیستم برنامه ریزي منابع سازمانی - ERP - مورد استفاده ترین سیستم IT در میان شرکت هاي بزرگ است. - در ایران نیز به این سمت در حال حرکت هستیم. -
با توجه به این که ERP یک سیستم اطلاعات محبوب و همه جانبه است که مورد استفاده بسیاري از سازمان ها است و به دلیل ملاحظه فزاینده خطرات مرتبط با IT، امنیت سیستم اطلاعات و کنترل داخلی مربوط به سیستم هاي اطلاعاتی تا حد زیادي افزایش یافته است. کمیته سازمانهاي حامی کمیسیون تریدوي - - COSOکنترل داخلی را به منظور فراهم کردن اطمینان ناظر بر دستیابی به اهداف از قبیل اثر بخشی و کارایی عملیات، قابلیت اطمینان گزارش هاي مالی و انطباق با مقررات طراحی کرده است. کنترل داخلی مربوط به سیستم هاي اطلاعات معمولا کنترل IT است و مرکب از کنترل ها - یعنی سیاست ها و روش ها - بر سیستم ها و زیرساخت هاي ITسازمان است.
کنترل IT شامل کنترل هاي عمومی و کاربردي است. کنترل هاي عمومی اشاره به کنترل هاي مرتبط طراحی شده دارد تا اطمینان حاصل شود که محیط کنترل سازمانی به خوبی مدیریت شده و بر هر سیستمی با هر اندازه اي با دامنه بین سیستم هاي پردازنده مرکزي بزرگ تا سیستم هاي کلاینت/سرور و سیستم هاي کامپیوتري دسکتاپ و/یا لپ تاپ اعمال شده است.
کنترل هاي کاربردي عبارتند از ورودي، پردازش و کنترل خروجی بر اساس جریان پردازش داده ها. به عبارت دیگر، کنترل هاي کاربردي بر دقت، کامل بودن، اعتبار، و مجوز داده هاي گرفته شده، وارد شده در سیستم، پردازش شده، ذخیره شده، انتقال یافته به سایر سیستم ها و گزارش شده تمرکز می کند. علاوه بر این، کنترل هاي عمومی قابل استفاده براي حمایت از کنترل هاي کاربردي هستند و، از این رو، عملیات آسان سیستم اطلاعات را ممکن می سازند. با توجه به این که گزارش مالی در بسیاري سازمان ها براساس سیستم هاي اطلاعاتی مانند سیستم هاي ERP است، کنترل هاي IT به سازمان ها کمک می کند تا به هدف کنترل داخلی دست یابند. مشابه با امنیت اطلاعات، کنترل هاي IT نیز قادر به مدیریت و محافظت از اطلاعات و سیستم هاي اطلاعاتی در برابر دسترسی، استفاده، افشاء، اختلال، اصلاح یا تخریب هستند.
عدم امنیت اطلاعات به طور کلی منجر به سرقت اطلاعات محرمانه، تقلب مالی، وب سرور هاي ضعیف و داده هاي عملیاتی از بین رفته می شود، که همگی بر دقت و قابلیت اطمینان داده هاي مالی حاصل از سیستم اطلاعات تاثیر می گذارند. اگر سازمان ها موفق به ایجاد امنیت اطلاعات مناسب نباشند نمی توانند صحت و قابلیت اطمینان اطلاعات مالی خود را تضمین کنند. ویژگی هاي کنترل ساخت داخلی ERP ممکن است اثر مثبتی بر کارآمدي کنترل هاي داخلی گزارشگري مالی داشته باشد. با این حال، ERP لزوماً در برابر بعضی دستکاري هاي عمدي سیستم ایمن نیست. پس از گزارش چند رسوایی کسب و کار، سرمایه گذاران شروع به زیر سوال بردن دقت و صحت گزارش هاي مالی کردند، از جمله گزارش هاي مالی ایجاد شده توسط شرکت هاي بزرگ در سراسر جهان.
در حقیقت، اعتماد سرمایه گذار به صحت گزارش هاي مالی و موقعیت هاي مشترك شرکت هاي بزرگ در طی سالهاي اخیر از بین رفته است. دورفی تاکید می کند که اعلام نقطه ضعف مادي در سیستم کنترل داخلی ممکن است منجر به افت قیمت سهام، افزایش حجم سهم، و از بین رفتن موقعیت هاي مالی عمده گردد. گوئل و شاوکی نیز نشان می دهند که ابلاغ نقض امنیت سهم بازاري شرکت ها را کاهش خواهد داد.
