بخشی از مقاله
قانون ساکس (SOX) و چارچوب کوبیت :(COBIT) سیر تحولی ممیزی فناوری اطلاعات
1 مقدمه
در این مقاله سعی شده تا ریشههای تاریخی و ضرورتهای ممیزی فناوری اطلاعات ارایه شود. هدف از این مقاله، چگونگی شکلگیری موضوع »ممیزی فناوری اطلاعات« و همچنین بررسی چارچوب کوبیت، به عنوان نقشهراهی برای پیادهسازی اصول راهبری و ممیزی فناوری اطلاعات است.
راهبری فناوری اطلاعات، اصولاً به نحوه استفاده از فناوری اطلاعات در پشتیبانی و حمایت از فرآیندهای کسبوکار سازمانها میپردازد. از آنجا کهاولاً موضوع راهبری فناوری اطلاعات با سایر هبردهایرا سازمان در تعامل بوده و ثانیاً، به دلیل تنوع و گستردگی استفاده، باعث تحول بنیادین در کسبوکار (از طریق ارایه راهکارها و سازوکارهای جدید) شده، مخاطبین این حوزه نوعاً مدیران ارشد و اجرایی سازمانها هستند.
برای استفاده بهینه از فناوری اطلاعات، مدیران نیاز دارند درک درستی از فرصتها و تهدیدهای ایجاد شده توسط فناوری اطلاعات داشته، زمینه بهرهگیری از فرصتها را فراهم آورده، مخاطرات مربوط به استفاده از فناوری اطلاعات را کاهش یا مهار کرده، و در نهایت، تاثیر استفاده از آن را بر کسبوکار ارزیابی کنند. بنابراین، فناوری اطلاعات و بهکارگیری آن باید مانند سایر عوامل سازمانی، »کنترل« شود.
2 تاریخچه اجمالی قانونگذاری کنترلهای داخلی
موضوع »کنترل« در سازمانها، ریشه در »کنترلهای مالی« یا به عبارت وسیعتر، »کنترلهای داخلی« سازمان دارد. از آن جا که بسیاری از سامانهای کنترل داخلی مستقیماً به پردازش تراکنشها (مالی) مرتبط است، حسابداران اولین مشارکت کنندگان اصلی در حصول اطمینان از مناسب بودن کنترلها بودهاند.
نیاز به ایجاد سامانههایی برای کنترل داخلی در سازمان، متاسفانه ریشه در رسواییهای مالی برخی شرکتهای بزرگ بینالمللی در دهههای گذشته داشته، که منجر به از دست دادن اعتماد مردم به بازار سرمایه و بنگاههای اقتصادی شد. مهمترین وقایعی که به لحاظ تاریخی در زمینه قانونگذاری در مباحث کنترل داخلی مطرح بوده، به شرح زیر است :[1]
· اولین شوک به بازار بورس در سال 1929 در ایالات متحده آمریکا وارد شد، که ماحصل یک تقلب مالی جهانی بود. پس از آن، دولت ایالات متحده دو قانون را با هدف بازگرداندن اعتماد مردم به بازار بورس تهیه و مصوب کرد. اولین قانون در سال 1933 (با نام »قانون اوراق بهادار(1« و دومی در سال 1934 با نام »)اوراق بهادار بورس یا (2«SEC به تصویب رسید. به تبع قانون دوم، استانداردهایی برای ممیزی تدوین شد. این قانون همچنین شرکتهای تجاری عام را مکلف به ممیزی توسط ممیزان مستقل می کند.
· قانون حقطبع:3 این قانون- که نسخ مختلفی هم داشت- نرمافزار و سایر داراییهای معنوی را به جمع مواردی در قوانین حفظ حقطبع، اضافه کرد.
· قانون رفتار فاسد خارجی :4(FCPA) این قانون که در سال 1979 مصوب شد، به دلیل افشای نقش مدیران در دادن رشوه و حقالسکوت به سازمانهای خارجی از محل منابع مالی سازمان بود. در این قانون شرکتهایی که تحت قانون SEC ثبت شده بودند، ملزم شدند که سوابق دربرگیرنده تراکنشها و جایگاه مالی سازمان را نگهداشته و سامانهای برای کنترلهای داخلی، با هدف ارایه اطمینان از تحقق اهداف سازمانی، ایجاد و نگهداری کنند.
· کمیته سازمانهای حامی:5 این کمیته پس از رسوایی شرکت S&L، در دهه 1980 شکل گرفت. این کمیته با نام COSO شناخته میشود. این کمیته به دلیل شناسایی نیاز به ایجاد کنترلهای سختگیرانه داخلی، تصمیم گرفت مدلی اثربخش
برای کنترلهای داخلی (از دیدگاه مدیریت) ایجاد کند. خروجی این کمیته مدلی با نام COSO بود.
بحث تقلبهای مالی تا اوایل دهه 2000 هم ادامه داشت. در نتیجه چندین رسوایی بزرگ مالی چندین شرکت بزرگ (مانند WorldCom و (Enron، و تحمیل خسارات زیاد به سهامداران، فشار زیادی بر کنگره آمریکا با هدف محافظت از عامه مردم در قبال اینگونه رویدادها و اتفاقات، وارد شد. این فشار منجر به تصویب قانونی در سال 2002 شد که توسط دو سناتور با نامهای ساربنس6 (سناتور دمکرات از ایالت مریلند) و آکسلی7 (سناتور جمهوریخواه از ایالت اوهایو) تدوین و در 30 ژوئیه 2002 پس ار تصویب سنا، به امضای جورج دبلیو بوش، رئیس جمهور آمریکا رسید. این قانون که هماکنون با نام تهیهکنندگان، آن به ساکس (SOX) معروف است، از تلاشها برای جلب اعتماد عمومی به بازارهای سرمایه حمایت و پشتیبانی میکند. علاوه بر آن، در این قانون روشهایی برای راهبری شرکتی (سازمانی)، کنترلهای داخلی و کیفیت ممیزی نیز طرح شده است. به طور ویژه، این قانون از شرکتهای عمومی درخواست میکند که سامانهای مناسب برای مدیریت و پایش کنترلهای داخلی بتعریف شده ر روی فرآیند تهیه گزارشهای مالی، پیادهسازی و نگهداری کنند.
3 قانون ساکس
این قانون دارای بخشهای متعددی است که به نقش مدیریت سازمان برای ایجاد و مراقبت از کنترلهای داخلی میپردازد. دو بخش از این قانون، منشا ایدههایی است که بعداً در مدلها و چارچوبهای مربوط به ممیزی فناوری اطلاعات بهکار گرفته شد. این دو بخش در ادامه به اجمال بیان شده است .[3-2]-
1-3 بخش 404
بخش 404 از قانون ساکس، با عنوان »ارزشیابی مدیران از کنترلهای داخلی«، مدیریت شرکتهای عمومی را ملزم میکند که اثربخشی کنترلهای داخلی خود را ارزیابی و در گزارش سالانه خود موارد زیر را مد نظر قرار دهند:
· درک گردش کار تراکنشها، شامل ابعاد فناوری اطلاعات
· ارزیابی اثربخشی طراحی و اجرای کنترلهای منتخب داخلی، با رویکردی مبتنی بر مخاطره
· ارزیابی تقلبهای بالقوه در سامانهها و ارزیابی کنترلهایی که برای پیشگیری یا کشف آن طراحی شده
· ارزیابی و جمعبندی کفایت کنترلها بر روی فرآیند گزارشدهی صورتهای مالی
· ارزیابی کنترلهایی در گستره سازمان که متناظر اجزای چارچوب COSO است.
طبق این بخش، مدیریت شرکت، مدیران اجرایی و مالی باید فعالیتهای زیر را انجام دهند:
· ارایه اظهارنامهای مبتنی بر تعهد مدیریت برای تعریف و نگهداشت کنترلهای داخلی قابل قبول بر روی گزارش دهی مالی هر سازمان
· ارایه اظهارنامه که چارچوب مورد استفاده مدیریت برای انجام ارزیابیهای مورد نیاز در مورد اثربخشی کنترلهای داخلی تعریف شده برگزارشدهی مالی را معرفی کند.
· ارزیابی اثربخشی کنترلهای داخلی تعریف شده بر روی گزارشدهی مالی، در سال مالی اخیر، به همراه یک اظهارنامه صریح دال بر اثربخش بودن این کنترلها
· ارایه اظهارنامهدر خصوص ارزیابی مدیریتِ کنترل داخلی تعریف شده بر روی گزارشدهی مالی که توسط یک موسسه ثبتشده حسابرسی عمومی تایید شده باشد، این موسسه باید جزء موسساتی باشد که ممیزی اظهارنامههای مالی که در گزارشهای سالانه منتشر میشوند را برعهده دارند.
· ارایه مستند نتیجهگیری درباره اثربخش بودن کنترلهای داخلی تعریف شده بر روی گزارشدهی مالی به صورت کتبی.
· متعهد شدن مدیریت به رفع نقاط ضعف گزارش شده بر اساس ممیزی تا پایان سال مالی بعدی ( در صورتیکه نقطه ضعفی در زمینه کنترلهای داخلی بر اساس ممیزی در سازمان مشخص شود مدیریت علاوه بر تعهد به رفع آن اجازه اعلام فرآیند کنترل داخلی را به عنوان یک فرآیند تاثیرگذار ندارد.).
این بخش همچنین اشاره میکند که: تهیهکنندگان گزارشهای مالی ملزم به انتشار اطلاعات مربوط به محدوده و کفایت ساختار کنترل داخلی و رویهها برای گزارشدهی مالی در گزارشهای سالانه خود هستند. این اطلاعات باید همچنین اثربخشی این گونه کنترلها و رویهها را ارزشیابی کند.
4 بخش 302
طبق بخش 302 قانون ساکس، با عنوان »مسوولیت شرکتی برای گزارشهای مالی«، مدیریت سازمان با مشارکت مدیران اصلی اجرایی و مالی:
· تایید می کنند که مدیران، مسوول ایجاد و نگهداری کنترلهای داخلی بر روی گزارشهای مالی هستند.
· تایید می کنند که مدیران اینگونه کنترلها بر روی گزارشهای مالی را طراحی کرده یا طراحی با نظارت آنها انجام میشود. هدف این کنترلها، حصول اطمینان از تضمین معقول نسبت به قابلیت اطمینان گزارشهای مالی و تهیه صورتهای مالی برای مصارف خارجی، طبق اصول پذیرفته شده حسابداری، است.
· هر تغییر در کنترل داخلی سازمان مرتبط با گزارشگیری مالی، که در مقطع مالی قبلی رخ داد و بر این کنترلها اثرگذار بوده (یا احتمال آن وجود دارد که اثرگذار باشد) باید افشا شود.
· هنگامی که علت یک تغییر در کنترل داخلی گزارش دهی مالی، اصلاح یک منطقه ضعف مهم و تعیینکننده است، مدیریت مسوولیت دارد که تعیین کند آیا علت تغییر و مقتضیات پیرامونی آن آنقدر حیاتی بوده که ضرورت داشته باشد در مورد اینکه تغییر گمراه کننده نیست، روشنگری شود.
بخش 302 همچنین اشاره می کند که: مدیر ارشد اجرایی (CEO) و مدیر ارشد مالی (CFO) تصدیق می کنند که صورتهای مالی واقعی، کامل و دقیق بوده و کنترلهای کافی برای گزارشدهی مالی و افشا (ی غیرمجاز) وجود دارد.
این فعالیتها در ارزیابی فصلی و سالانه انجام میشود
1-4 استاندارد AS 5
در سال 2003، هیات نظارت بر حسابداری شرکتهای سهامی عام 8(PCAOB) استاندارد کلیدی AS 2 را منتشر کرد که پیشران اصلی برای ممیزی اثربخشی قانون ساکس بود. این استاندارد در سال 2007 با استاندارد AS 5 جایگزین شد.
استاندارد AS 5 نیازمندیهای ممیزی را ساده کرده و یک دیدگاه بالا به پایین مبتنی بر مخاطرات را برای طراحی و اجرای ممیزی کنترلهای داخلی ارایه می کند. تمرکز این استاندارد بر روی آزمودن اثربخشی کنترلهای سازمانی است که گرایش به مخاطرات ذاتی سازمان دارند [.2]
5 چارچوب کوبیت
هدف بسیاری از سازمانها بهبود رشد و توسعه مزیتهای رقابتی، هم زمان با استفاده از فناوری اطلاعات بهمنظور افزایش راندمان، انعطافپذیری و نوآوری است. پیشنیاز این گونه راهبردها، درک یک مفهوم »کیفی« از فناوری اطلاعات و تعریف اهداف کنترلی به منظور تضمین این مفهوم کیفی است.
اهداف کنترلی برای اطلاعات و فناوریهای وابسته، که به اختصار 9COBIT نامیده میشود، چارچوبی است که توسط موسسه ایساکا 10(ISACA) برای راهبری و مدیریت فناوری اطلاعات در سازمان ها ارایه شده است. این چارچوب در واقع به مدیران ارشد سازمانها کمک میکند تا خلاء بین الزامات کنترلی، موضوعات فنی، و مخاطرات کسبوکاری را پر کنند. علاوه بر آن، راهبری فناوری اطلاعات را از طریق همسو کردن اهداف کسبوکاری با اهداف و فرآیندهای فناوری پشتیبانی میکند.
چارچوب کوبیت توسط موسسه راهبری فناوری اطلاعات 11(ITGI) که ارتباط نزدیکی با ایساکا دارد، تهیه و منتشر میشود. در حالی که ایساکا بیشتر درگیر هدایت موضوع ممیزی فناوری اطلاعات است، این موسسه بر روی تحقیق و توسعه قواعد متمرکز است. ایساکا همچنین ارایهدهنده مدرک ICSA12 (ممیز تایید صلاحیت شده سامانههای اطلاعاتی) به متخصصین است.
سوالاتی که در ذهن مدیریت ارشد سازمان در حوزه فناوری اطلاعات وجود داشته که این چارچوب در صدد پاسخ گویی به آن ها است، عبارت است از:
· آیا سازمان فناوری اطلاعات کارهای مفیدی انجام می دهد؟
· آیا کارها به طریق درست انجام میشود؟
· آیا کارها به طریق درست به پایان میرسد؟
· آیا سازمان از این کارها بهرهمند میشود؟
بر این اساس، چارچوب کوبیت تلاش کرده تا استانداردها و بهروشهای صنعت را در حوزههای زیر بهکار گرفته و یکپارچه کند (شکل شماره :[4 ] (1
· همسویی راهبردی فناوری اطلاعات با اهداف کسبو کاری
· خلق ارزش از محصولات و خدمات جدید
· مدیریت مخاطره
· مدیریت منابع
• مدیریت کارایی
بهطور مشخص، این چارچوب از استانداردهایی مانند ISO/IEC 27002 و ISO/IEC 27001 و چارچوبهایی دیگری مانند ITIL و PMBOK استفاده می کند.
این چارچوب راهنمایی را برای مدیریت اجرایی، با هدف راهبری فناوری اطلاعات در سازمان، ارایه میدهد:
· استفاده از ابزارهای موثرتر فناوری اطلاعات برای پشتیبانی اهداف کسبو کاری
· ایجاد شفافیت بیشتر و قابلیت بهتر پیشبینی برای هزینههای کلی چرخه عمر فناوری اطلاعات
· کسب اطلاعات زمانمندتر و با قابلیت اطمینان بیشتر از فناوری اطلاعات
· خدمات با کیفیتتر فناوری اطلاعات و پروژههای موفق بیشتر
· مدیریت اثربخشتر مخاطرات مربوط به فناوری اطلاعات
خلق ارزش هم×سویی
راهبردی
COBIT
مدیریت اندازه×گیری
مخاطره کارایی
مدیریت منابع
شکل :1 ابعاد چارچوب کوبیت
این چارچوب، فرآیندها، اهداف و همچنین متریکهای مربوط را تعریف و نقشها و مسوولیت ها را نیز در قبال فعالیتهای پیشبینی شده، ارایه داده و تشریح میکند. اصول اولیه این چارچوب، در شکل شماره 2 نشان داده شده است .[4]
1-5 سیر تحولی چارچوب
سیر کلی تحول این چارچوب، از زمان ارایه اولیه آن در سال 1996، به شرح زیر است:
· سال :1996 ارایه ویرایش 1
· سال :1998 ارایه ویرایش 2 با اضافه کردن کلمه »کنترل«
· سال :2000 ارایه ویرایش 3 با عنوان »راهنمای مدیریت«
· سال :2003 ارایه یک ویرایش برخط
· سال :2005 ارایه ویرایش 4
· سال :2007 ارایه ویرایش 4/1
· سال 2012 (ژوئن): ارایه ویرایش 5
· سال 2012 (دسامبر): ارایه سند تکمیلی چارچوب کوبیت برای امنیت اطلاعات
· سال :2013 ارایه سند تکمیلی، چارچوب کوبیت برای تضمین
2-5 اجزای چارچوب
این چارچوب دارای اجزای زیر است:
· چارچوب: سازماندهی اهداف راهبری فناوری اطلاعات و تجارب برتر، به تفکیک دامنهها و فرآیندهای فناوری اطلاعات، و برقراری ارتباط آن با الزامات کسبوکار
· توصیف فرآیندی: ارایه یک مدل فرآیندی مرجع و یک زبان مشترک برای تمامی افراد در سازمان؛ این فرآیندها به حوزههای مسوولیتی طرحریزی، ساخت، اجرا و پایش نگاشت میشود.
· اهداف کنترلی: ارایه مجموعه کاملی از الزامات سطح بالا برای لحاظ کردن توسط مدیریت با هدف کنترل اثربخش هر فرآیند فناوری اطلاعات
· راهنماهای مدیریتی: کمک به تفویض مسوولیتها، توافق بر روی اهداف، اندازه گیری کارایی، و نمایش ارتباطات درونی با سایر فرآیندها
· مدلهای بلوغ: ارزشیابی بلوغ و قابلیت به ازای هر فرآیند با هدف کمک به رفع خلاءها
3-5 سطوح پایش و ارزیابی
چارچوب کوبیت، ابزاری را برای پایش13 و ارزیابی14، با هدف دسترسی به اهداف سازمان، فراهم کرده و بر این اساس، سطوح زیر را تعریف میکند :[5]
· سطح :0 عدم وجود
· سطح :1 پایش و ارزیابی کارایی فناوری اطلاعات
· سطح :2 پایش و ارزیابی کنترل های داخلی
· سطح :3 حصول اطمینان از تطابق با مقررات
· سطح :4 ارایه راهبری فناوری اطلاعات
در زمان ارزیابی خدمات فناوری اطلاعات (سطح (1 موارد زیر باید مدنظر قرار گیرد:
· در چه گسترهای، فرآیندهای کسبوکار توسط تمهیدات فناوری اطلاعات پشتیبانی میشود؟
· خدمات فناوری اطلاعات چه کمکی به تحقق اهداف راهبردی کسبوکار سازمان میکند؟
· آیا خدمات ارایه شده توسط فناوری اطلاعات، سازگاری و انطباق با قوانین سازمان دارد؟
در سطح 2، یکی از حوزههای مهم پایش (استفاده از ابزارهای مناسب برای) اندازهگیری و میزان انحراف از کنترلهای داخلی و گزارش آن به مدیریت هدف است. ویژگیهای اصلی پایش عبارت است از:
· تطابق با قوانین و مقررات
· کارایی فرآیندهای فناوری اطلاعات
· امنیت اطلاعات
· تبعیت از نقاط کنترلی برای مدیریت تغییر
· تبعیت از توافق سطح خدمت (SLA)
سطح 3نوعاً یک فرآیند مستقل بازنگری، اطمینان سازگاری و تطابق با قوانین و مقررات را بدست می دهد. این کار از طریق ایجاد یک منشور ممیزی و درگیر کردن یک ممیز مستقل انجام می شود.
هدف سطح 4 کنترل تهیه گزارشهایی است که به شکل شفاف نشان میدهد که آیا طرحهای فناوری اطلاعات پیادهسازی شده یا خیر، و نحوه پیادهسازی را تشریح میکند.
6 چارچوب کوبیت 5
انجمن کنترل و ممیزی سیستمهای اطلاعاتی15 که وظیفهی طراحی و پایش چارچوب شناخته شده کوبیت را بهعهده دارد، با جمعآوری پیشنهادهای حاصل از اجرای چارچوب کوبیت 4 توسط متخصصین فاوا به ارزیابی، پایش و بهبود این چارچوب اقدام و نسخه جدید این چارچوب را تحت عنوان چارچوب کوبیت 5 ارایه کرد. این نسخه بر اساس ترکیب قابلیتهای نسخه چهارم با
قابلیتهای چارچوب ارزش فناوری اطلاعات16 و چارچوب مخاطره فناوری اطلاعات17 تدوین شده است. جزئیات فرآیندها و فازهای
کلیدی چارچوب کوبیت 5 در جدول شماره 1 ارایه شده است .[6]
