انجمن انفورماتیک ایران انجمن انفورماتیک ایران انجمن انفورماتیک ایران
گزارش کامپیوتر شماره 234, ویژه مرداد و شهریور ماه 96 منتشر شد. شنبه  ٢٧/٠٨/١٣٩٦ ساعت ١٥:١٢
 

گزارش خلاصه‌ای درباره مجمع جهانی جامعه اطلاعاتیارتقاء نظام حسابرسی و کنترل با استفاده از
حسابرسی فناوری اطلاعات بر مبنای ریسک

حمید علی حسینی نجم آبادی
کارشناس ارشد کامپیوتر، دبیر انجمن علمی حسابرسی فناوری اطلاعات ایران
پست الکترونیکی: h.najmabadi@gmail.com

 


 

مقدمه
در دنیای کسب و کار امروزی، مدیریت برای تصمیم‌گیری به شدت به اطلاعات لحظه‌ای متكی است و این مهم بدون سیستم‌های اطلاعاتی كارآمد و منسجم امكان‌پذیر نمی‌باشد. سیستم اطلاعاتی كارآمد و منسجم هم در دنیای امروز بدون كامپیوتر قابل تصور نیست. به عبارت بهتر، امروز كامپیوتر در همه امور مورد استفاده قرار دارد و سطح استفاده از این ابزار در امور مالی هم بارز به نظر می‌رسد. حرفه‌های حسابداری و حسابرسی نیز از این امر مستثنی نبوده و تحت تاثیر فناوری‌های نوین اطلاعاتی قرار گرفته‌اند.
امروزه عمده شواهد حسابرسی در سیستم‌های کامپیوتری ذخیره شده و به شواهد الکترونیکی تغییر شکل یافته‌اند. به‌کارگیری فنون و ابزار مختلف کامپیوتری علاوه بر کمک به ارتقاء اثربخشی و کارایی حسابرسان به چالشی برای آن‌ها تبدیل شده‌اند. اگر چه اهداف كنترلی در سیستم‌های سنتی و سیستم‌های كامپیوتری مبتنی بر فناوری‌های نوین اطلاعاتی مشابه‌اند، ماهیت كنترل‌های داخلی كه هر روز بر پیچیدگی پیاده‌سازی آن‌ها افزوده می‌شود متفاوت بوده و حسابرسان داخلی و مستقل را در ارزیابی كنترل‌های داخلی سیستم‌های اطلاعاتی كه مبنای شواهد حسابرسی آن‌ها می‌باشند دچار مشكل نموده است.
حسابرسی فناوری اطلاعات رویكردی است كه قریب نیم قرن است حرفه حسابرسی برای حفظ جایگاه و اثربخشی خود در محیط‌های مبتنی بر فناوری اطلاعات ناچار به بهره‌گیری از آن شده است. حسابرسی فناوری اطلاعات كه گاهی تحت عناوین دیگری نظیر حسابرسی سیستم‌های اطلاعاتی، حسابرسی سیستم‌های كامپیوتری و حسابرسی كامپیوتر نیز از آن نام برده می‌شود عبارتست از «بررسی و آزمایش مستقل رکوردهای اطلاعاتی و فعالیت‌ها به منظور ارزیابی کفایت کنترل‌های داخلی سیستم‌های کامپیوتری برای حصول اطمینان به رعایت سیاست‌ها، روش‌ها و رویه‌های عملیاتی ایجاد شده، و پیشنهاد تغییرات لازم برای افزایش اثربخشی و کارایی کنترل‌های داخلی»( 1998 Weber ).
با توجه  به پیشرو بودن بانک‌ها در زمینه بهره وری  از فناوری اطلاعات  و برخی الزامات جهانی در صنعت بانکداری، ضرورت بهره برداری از حسابرسی فناوری اطلاعات  در بانک‌ها در چند سال گذشته بیشتر مورد توجه قرار گرفته است. مقاله حاضر بیشتر سعی نموده است این موضوع را از این زاویه مورد توجه قرار دهد.  این پژوهش  حاصل بررسی و ارزیابی ایجاد دایره حسابرسی  فناوری اطلاعات در یکی از بانک‌های بزرگ کشور بوده است.

تاریخچه

  •                شاید بتوان گفت شروع و تاریخچه حسابرسی كامپیوتری به سوء استفاده‌هایی كه در این زمینه به‌وجود آمده برمی‌گردد. در سال 1955 رسوایی مربوط به شركت Equity Funding Corporation موجب ظهور متخصصان حسابرسی كامپیوتری شد.
  • در سال 1967 یك گروه كوچك از افراد با مشاغل مشابه كنترل‌های حسابرسی در سیستم‌های كامپیوتری كه عملیات سازمان‌هایشان بشكل فزاینده‌ای فعال می‌شدند، با احساس نیاز به مركزیت دادن منبع اطلاعات و راهنمائی در این زمینه به بحث نشستند. در سال 1969 همكاری این گروه با عنوان انجمن حسابرسان سیستم‌های  الكترونیكی EDP Auditors شكل گرفت (1995 Wayne ).
  • در سال 1976 انجمن حسابرسان سیستم‌های الكترونیكی  به انجمن حسابرسی و کنترل سیستم‌های اطلاعاتی ( ISACA ) تبدیل شد تا نیاز منحصر به فرد، گوناگون و فناوری پیشرفته را در زمینه شكوفای فناوری اطلاعات، برآورده كند. انجمن حسابرسی و کنترل سیستم‌های اطلاعاتی با برخورداری از ارتباط با متخصصان بیش از 100 كشور جهان، از پیشروترین انجمن‌های حرفه‌ای جهان در این زمینه شمرده می‌شود. حسابرسان رسمی سیستم‌های اطلاعاتی ( CISA ) که توسط این انجمن معرفی می شوند تنها گروهی هستند كه دارای عنوان حرفه ای حسابرس رسمی سیستم‌های اطلاعاتی كامپیوتری می‌باشند.

اهمیت و ضرورت وجود
استفاده از كامپیوتر در هر یك از رشته‌های علمی، صنعتی و خدماتی دارای مزایای عمده‌ای است كه مهم‌ترین آن‌ها افزایش سرعت و دقت پردازش اطلاعات است. با این وجود تجربه نشان داده است كه اشتباهات عمدی یا سهوی تقلبات و جرم‌های كامپیوتری منجر به صدماتی در سخت افزار و برنامه‌ها یا پرونده‌های كامپیوتری شده است.
این تقلبات و جرم‌ها گاهی شامل سرقت اطلاعات یا ایجاد تغییرات غیر مجاز در داده‌ها یا برنامه‌ها نیز می‌شود، در نتیجه، نتایج استخراج شده از پرونده‌ها غیر واقعی بوده و ممکن است خسارات مالی قابل توجهی برای سازمان‌ها بهمراه داشته باشد. از طرف دیگر نیاز رسیدگی به سیستم‌های كامپیوتری و ارزیابی استقرار كنترل‌های لازم در محیط‌های كامپیوتری ایجاب می‌كند كه دامنه فعالیت حسابرسان گسترش یافته و ارزیابی سیستم‌های کنترل داخلی در محیط‌های مبتنی بر فناوری اطلاعات را نیز شامل گردد.
حسابرسی می‌تواند از كامپیوتر به‌عنوان موثرترین ابزار رسیدگی جهت كنترل دارائی‌ها، از نظر سرعت،‌ دقت و تمركز استفاده كند. حسابرسی می‌تواند از كامپیوتر در هر یك از مراحل ثبت كاربرگ‌ها، تهیه برنامه‌های حسابرسی، پرسشنامه‌ها، تائیدیه‌ها،‌ ثبت اطلاعات، نگهداری كاربرگ‌ها و حتی گزارش حسابرسی استفاده نماید و با توجه به حجم زیاد داده‌های شركت‌ها و موسسات و به ویژه بانک‌ها به نظر می‌رسد انجام این روش حسابرسی مطمئن‌تر و مقرون به صرفه‌تر باشد.
با توسعه كاربرد كامپیوتر در حسابداری هر روز بیشتر نیاز به استفاده از روش‌های خاصی جهت حسابرسی سیستم‌های كامپیوتری احساس می‌گردد. بخصوص همانطور كه گفته شد نقش كامپیوتر و تقلبات و اشتباهات (اعم از عمدی یا سهوی) كه توسط صنایع مختلف گزارش گردیده، مؤید این مسئله است و می‌توان به این واقعیت پی برد كه روش‌های سنتی حسابرسی به هیچ وجه جوابگوی سیستم‌های كامپیوتری نبوده و تنها می‌توانند منجر به پنهان ماندن مسائل و مشكلات و اشتباهات گردند.

اهمیت و ضرورت حسابرسی فناوری اطلاعات از دیدگاه چارچوب كنترلی بال نیز مورد تاکید قرار گرفته است. فعالیت بانک‌ها و مؤسسات مالی در حوزه‌های اعطای تسهیلات، سرمایه‌گذاری، صدور انواع اوراق قرضه، صدور انواع گواهی سپرده، صدور ضمانت نامه‏ها و گشایش انواع اعتبارات اسنادی و یا به عبارت دیگر، اقدام به ایفای نقش  در بازارهای پول و سرمایه، آن‌ها را در معرض مخاطرات و ریسک‌های خاص این‌گونه فعالیت‌ها قرار داده است.
به دو دلیل در سال‌های اخیر، توجه زیادی به ریسک‌های عملیاتی در بانك‌ها و موسسات مالی شده است. اول رشد نمایی استفاده از فناوری اطلاعات و دوم افزایش ارتباطات میان بازیگران بازارهای سرمایه. با وجود این‌که فناوری اطلاعات سبب سهولت انجام بسیاری از کارها دربانك‌ها و موسسات مالی و مهمتر از آن رشد بهره‏وری سازمانی شده است، اما رشد فناوری مسائل و مشکلات جدیدی را نیز با خود به همراه آورده است. ریسک عملیاتی اصولاً مفهوم جدیدی نمی‌باشد، علت مطرح شدن این بحث در سالیان اخیر، به اهمیت روزافزون آن مربوط می‌شود، به‌طوری‌که اجتناب از رویارویی با ریسک‌های عملیاتی در سازمان‌ها را برای بسیاری از مؤسسات مالی غیر ممکن ساخته است.
یکی از جامع‌ترین راه‌حل‌ها برای این رویارویی، چارچوب کنترلی بال در نظام بانکداری است. اجزاء پایه‌ای این چارچوب کنترلی عبارتند از تعریف ریسک عملیاتی، مجموعه‌ای (کیفیتی) از نیازمندی‌های مدیریتی ریسک عملیاتی بر مبنای لیستی از روش‌های كنترلی بهینه، و نیازمندی‌های سرمایه‌ای حداقلی (کمیتی) ریسک عملیاتی. مصوبه كمیته بال تعیین می‌كند كه چه روشی می‌تواند و بایستی در كدام موقعیت مورد استفاده قرار گرفته و چه زمانی/چگونه می‌تواند با روش‌های دیگر تركیب شود. اجرای این اصول و روش‌ها مبتنی بر سیستم‌های اطلاعاتی بوده و از این رو كنترل‌های داخلی در حوزه فناوری اطلاعات نیز از ملاحظات اصلی می‌باشند. با توجه به موارد اشاره شده، به‌كارگیری فنون و ابزار حسابرسی در حوزه سیستم‌های کامپیوتری، كه یكی از توصیه‌های مصوبه بال 2 است، از روش‌های ارتقاء اثربخشی و كارایی نظام كنترل و حسابرسی داخلی بانك‌ها و موسسات مالی محسوب می‌شود.

كنترل‌های داخلی سیستم‌های كامپیوتری
حسابرسی فناوری اطلاعات معمولاً با ارزیابی و شناخت كلی از ساختار كنترل‌های داخلی شروع می‌گردد و در نهایت با حصول اطمینانی معقول از استقرار كنترل‌های مناسب،‌ موضوع استفاده از كامپیوتر به‌عنوان یك ابزار حسابرسی مورد نظر قرار می‌گیرد و این موضوع به لحاظ ماهیت حسابرسی است كه كار خود را از ارزیابی كنترل‌های داخلی شروع می‌نماید.
در سیستم‌های اطلاعاتی مبتنی بر فناوری های اطلاعاتی، كنترل‌های داخلی به دو گروه مهم تقسیم می‌شوند:
الف) كنترل‌های عمومی : مجموعه كنترل‌هایی كه به كل محیط پردازش اطلاعات مربوط شده و بستری را برای اجرای سیستم‌های اطلاعاتی فراهم می‌کند. كنترل‌های عمومی عموماً مربوط به مدیریت و جنبه‌های عمومی كار پردازش كامپیوتری در محیط می‌باشد. این كنترل‌ها را می‌توان به كنترل‌های پنجگانه زیر طبقه بندی نمود:

  • كنترل‌های مدیریتی و سازمانی
  • كنترل‌های ایجاد، توسعه، تغییر، پشتیبانی و مستند سازی سیستم‌های كاربردی
  • كنترل‌های سخت افزار و نرم افزار كامپیوتری
  • كنترل‌های دسترسی به كامپیوترها، پرونده‌ها و برنامه‌های كامپیوتری
  • كنترل‌های اطلاعات و روش‌های اجرایی

ب) كنترل‌های كاربردی : مجموعه كنترل‌هایی است كه مربوط به یک کاربرد خاص می باشند. با این مفهوم كه هر سیستم كاربردی دارای كنترل‌های كاربردی ویژه‌ای است، ولی بین كنترل‌های كاربردی كاربردهای مختلف، موارد تشابه زیادی ملاحظه می‌شود. در بیشتر موارد كنترل‌های كاربردی به سه گروه كنترل‌های اطلاعات ورودی، كنترل‌های پردازش، كنترل‌های اطلاعات و گزارش‌های خروجی تقسیم می‌شوند. ارزیابی كنترل‌های كاربردی معمولا پس از ارزیابی كنترل‌های عمومی و در صورتی انجام می‌گیرد كه كنترل‌های عمومی از سطح قابل قبولی برخوردار باشند.
بررسی های تطبیقی در حوزه حسابرسی و كنترل فناوری اطلاعات
به منظور بررسی جایگاه سازمانی و حرفه‌ای حسابرسی و كنترل فناوری اطلاعات، حوزه فعالیت حسابرسی داخلی نمونه‌ای از بانك‌ها در كشورهای دیگر مورد مطالعه قرار گرفته است. تاكنون تحقیقات متعددی در زمینه بررسی جایگاه و اثربخشی حسابرسی فناوری اطلاعات در نظام بانكی صورت گرفته است ( به‌عنوان نمونه می‌توان به Lovaas et al 2009 ؛2010 Malkawi et al ؛ 2000 Nogueira  &  Reinhard ؛ 2009 Streff et al ؛ 2008 Tsamis  &  koutoupis ؛ و 2008 Buchanan  & Forbes اشاره نمود).
بهره‌گیری گسترده از سیستم‌های اطلاعاتی و ارائه خدمات نوین بانکی مبتنی بر فناوری‌های اطلاعاتی از ویژگی‌های عمومی بانک‌های امروزی می‌باشد و همان‌گونه که انتظار می‌رود مطالعه اولیه صورت گرفته نشان می‌دهد که حسابرسی و کنترل سیستم‌های اطلاعاتی و خدمات مبتنی بر فناوری اطلاعات از حوزه‌های اصلی فعالیت حسابرسی داخلی اغلب بانک‌ها می‌باشد. در بررسی انجام شده بر روی بانک‌های کشور مشاهده گردید که لزوم گسترش دامنه فعالیت حسابرسی داخلی به ارزیابی کنترل‌های داخلی سیستم‌های اطلاعاتی و خدمات نوین بانکی مورد قبول مسئولان حسابرسی داخلی می باشد اما تاکنون اقدام عملی برای ارائه خدمات حسابرسی فناوری اطلاعات صورت نگرفته است.
نیازمندی‌های سازمانی و حرفه‌ای برای یک حسابرسی فناوری اطلاعات کارا و اثربخش

  • فعالیت‌های اطمینان بخشی و مشاوره ای حسابرسی داخلی سازمان‌ها در حوزه سیستم‌های اطلاعاتی در گام اول نیازمند تدوین و تائید یک منشور سازمانی جامع و کارا می‌باشد که مطابق با تغییر شرایط به‌روز گردد. این منشور سازمانی مطابق با استانداردها و رهنمودهای حرفه‌ای هدف، مسئولیت‌ها، اختیارات و دامنه پاسخگویی حسابرسی فناوری اطلاعات را ارائه می‌کند. حسابرسی فناوری اطلاعات می‌بایستی به نحوی سازماندهی گردد که علاوه بر حفظ استقلال حرفه‌ای، توانایی رسیدگی جامع به کلیه بسترهای نرم افزاری، سخت افزاری و سیستم‌های کاربردی بانکی را داشته باشد. از این‌رو می‌بایستی در ساختار سازمانی حسابرسی داخلی تعریف گردیده و شامل سمت‌های سازمانی باشد که به این گروه توانایی رسیدگی به کلیه فعالیت‌های مربوط به ایجاد، راه‌اندازی و نگهداری از بسترهای نرم افزاری، سخت افزاری، سیستم‌های کاربردی و خدمات نوین بانکی را بدهد. علاوه بر موارد اشاره شده دسترسی به برنامه‌ها و پرسشنامه‌های کنترلی مناسب که بر مبنای چارچوب‌های کنترلی استاندارد و نیز مطابق با ویژگی‌های بانک تدوین شده‌اند برای اجرای فعالیت‌های حسابرسی فناوری اطلاعات ضروری است. تدوین منشور سازمانی برای دایره حسابرسی فناوری اطلاعات، تدوین ساختار سازمانی و شرح وظایف سمت‌های سازمانی و تهیه مجموعه ای جامع از پرسشنامه‌های کنترلی برای رسیدگی به مراکز داده، سیستم‌های عامل، پایگاه‌های داده، شبکه‌های کامپیوتری و برنامه استمرار فعالیت‌های خدمات فناوری اطلاعات و بازیابی از بلای طبیعی و/یا خطای کاری از جمله نیازهای دایره حسابرسی فناوری  اطلاعات می‌باشد. 
مراجع

Buchanan, S. & Forbes G. (2008). The information audit: Theory versus practice. International Journal of Information Management, 28, 150–160.
Lovaas, P., Streff K., & Podhradsky, A. (2009). A Comprehensive Information Technology Audit Framework for Small- and Medium-Sized Financial Institutions. Hawaii International Conference on Business, June 12-15, Honolulu, Hawaii
Malkawi N.M.M.A., Alraja, M.N. & Alkhayer, T. (2010). Information Systems Auditing Applied Study at Banks Listed in the Damascus Stock Exchange Syria. European Journal of Economics, Finance and Administrative Sciences, ISSN 1450-2275 Issue 21

Nogueira A.R.R. & Reinhard, N. (2000). Strategic IT Management in Brazilian Banks. IEEE, Proceedings of the 33rd Hawaii International Conference on System Sciences, 0-7695-0493-0/00

Streff, K., Lovaas, P. & Podhradsky, A. (2009). A Progressive Information Security Management Model for Small- and Medium-Sized Financial Institutions. Hawaii International Conference on Business, June 12-15, Honolulu, Hawaii

Tsamis, A. & koutoupis A.G. (2008). Risk based internal auditing within Greek banks: a case study approach, Springer Science+Business Media, LLC., Published Online
Wayne S.T. (1995). EDP Auditing in North America: how its development brings insights to contemporary issues. The University of Mississippi.
Weber R. (1998). Information systems control and audit. Prentice Hall, October.