دسته بندی | کامپیوتر و IT |
فرمت فایل | doc |
حجم فایل | 182 کیلو بایت |
تعداد صفحات فایل | 5 |
مقدمه
امروزه کنترل و حسابرسی فناوری اطلاعات (1)(IT) تبدیل به یک مکانیسم حساس برای تضمین سیستم های اطلاعاتی یکپارچه (2)(IS) وهمچنین گزارشات مالی سازمانها جهت جلوگیری و ممانعت از وقوع شکست های سنگین مالی در آینده از قبیل آنچه در شرکت هایی مانند انرون (Enron) و ورلدکام WorldCom)) و یا بحران های مالی جهانی اتفاق افتاد ، شده اند.
اقتصاد جهانی بیشتر از هر زمان دیگر به همدیگر وابسته شده اند و خطرات ژئوپلیتیکی همه چیز را تحت تاثیرقرار داده است. زیرساخت های الکترونیکی و تجارت در فرآیندهای کسب و کار در سراسر جهان یکپارچه شده است و نیاز به کنترل و حسابرسی فناوری اطلاعات هرگز بیشتراز حال حاضر نبوده است.
در ابتدا ، حسابرسی فناوری اطلاعات (که پردازش الکترونیکی داده ها (3)(EDP) ، سیستم های اطلاعات کامپیوتری (کشورهای مستقل مشترک المنافع) (CIS)(4) ، و حسابرسی فناوری اطلاعات را در بر می گیرد) به عنوان توسعه و نسخه ی پیشرفته ای از حسابرسی سنتی به شمار می آمد. از مهمترین عواملی که منجر به لزوم انجام حسابرسی فناوری اطلاعات شدند بشرح زیر می باشند:
• حسابرسان متوجه تواناییهای نهفته در سیستم های کامپیوتری برای انجام عملکرد گواهی دادن(5) شدند.
• شرکتها پردازش و مدیریت اطلاعات را در سازمان خود به رسمیت شناختند بطوریکه رایانه ها منابع کلیدی برای رقابت در محیط کسب و کار، مشابه سایر منابع با ارزش کسب و کار در سازمان شدند و در نتیجه ، نیاز به کنترل و حسابرسی آنها حیاتی گردید .
• انجمن های حرفه ای و سازمان ها و نهادهای نظارتی دولتی نیاز به کنترل و حسابرسی فناوری اطلاعات را به رسمیت شناختند .
اجزای اولیه حسابرسی فناوری اطلاعات از شقوق مختلف بوجود آمده است. اول ، استفاده از روش های حسابرسی سنتی، روش های کنترل داخلی و کنکاش و تحلیل برروی فلسفه کنترل و دوم، مدیریت سیستم های اطلاعاتی می باشد ، که روش های لازم برای رسیدن به طراحی و اجرای موفقیت آمیز سیستم های فراهم می کند. زمینه های علوم رفتاری ، که سوالات و تجزیه و تحلیل های مناسب و به موقع را فراهم می کند به این معنا که چه وقت و چرا سیستم های اطلاعاتی به دلیل مشکلات انسانی ، به نظر شکست پذیر جلوه می نماید؟ در نهایت سوم ، زمینه علوم کامپیوتر و دانش لازم در مورد مفاهیم کنترل ، نظم و انضباط ، نظریه ها، مدل های رسمی که زمینه ی طراحی سخت افزار و نرم افزار ها را به عنوان پایه ای برای حفظ اعتبار داده ها ، قابلیت اطمینان ، و صداقت فراهم می کند.
بدینترتیب حسابرسی فناوری اطلاعات بخشی جدایی ناپذیر از تابع حسابرسی است ، زیرا پشتیبانی از قضاوت حسابرس در کیفیت پردازش اطلاعات توسط سیستم های کامپیوتری را بر عهده دارد. بطوریکه در ابتدا ، به عقیده حسابرسان ،مهارتهای حسابرسی فناوری اطلاعات به عنوان منابع تکنولوژیکی برای کارکنان حسابرسی به شمار می آمد. کارکنان حسابرسی اغلب به این منابع برای کمک های فنی نگاه میکرند.
در این مقاله به انواع مختلفی از نیازهای حسابرسی در حسابرسی فناوری اطلاعات اشاره خواهد شد ، از جمله حسابرسی فناوری اطلاعات سازماندهی شده (کنترل مدیریت بر فناوری اطلاعات) ، اصول و تکنیک های لازم برای حسابرسی فناوری اطلاعات (زیرساخت ها ، مراکز داده ، ارتباطات داده ها) ، نرم افزار حسابرسی فناوری اطلاعات (کسب و کار / مالی / عملیاتی) ، توسعه و اجرای حسابرسی فناوری اطلاعات (مشخصات / الزامات ، طراحی ، توسعه ، و مراحل بعد از اجرا) ، و انطباق آن با استانداردهای ملی یا بین المللی حسابرسی.
نقش حسابرسان فناوری اطلاعات
نقش حسابرسان فناوری اطلاعات برای ارائه تضمین کافی و مناسب کنترل ها در حال حاضر تکامل یافته است و البته ، مسئولیت حصول اطمینان از کفایت کنترل های داخلی توسط مدیریت هنوز در جای خود استوار است. اولین نقش حسابرسی به جز در زمینه های خدمات مشاوره مدیریت، اطمینان از این است که آیا کنترلهای داخلی در محل های مناسب و قابل اطمینان تعریف شده و اجرایی می باشند یا خیر و یا اینکه اجزای آنها دارای شیوه ای کارآمد و موثر ی می باشد. بنابراین ، در حالی که مدیریت نقش اطمینان بخش را دارد حسابرسان نقش بیمه کننده را دارا می باشند.
امروزه حسابرسی فناوری اطلاعات حرفه ای با روش ها ، اهداف ، و کیفیت هایی است که توسط استانداردهای حرفه ای در سراسر جهان ، بصورت مجموعه ای از قواعد اخلاقی (منشور اخلاقی انجمن حسابرسی و کنترل سیستمهای اطلاعاتی (6)(ISACA) ، و یک برنامه حرفه ای صدور گواهینامه (گواهی حسابرس رسمی سیستمهای اطلاعاتی (7)[CISA]) تدوین می شوند و انجام حسابرسی مذکور نیازمند دانش تخصصی و توانایی عملی می باشد ،بطوریکه اغلب نیازمند یک سری آماده سازی های علمی طولانی و فشرده می باشد. و گاهاً، جایی که برنامه های آکادمیک در دسترس نیست ، آموزش در خانه و توسعه حرفه ای می باید توسط کارفرما برای کارکنان صورت پذیرد.
بیشتر حسابداران ، حسابرسان ، و جوامع حرفه ای بر این باورند که بهبود در زمینه تحقیقات و آموزش و پرورش قطعا منتج به تربیت و آموزش حسابرسان فناوری اطلاعات بهترو با دانش بیشتر نظری و عملی خواهد شد.
وسعت و عمق دانش لازم برای حسابرسی سیستم های فناوری گسترده هستند. به عنوان مثال ، حسابرسی فناوری اطلاعات شامل :
• استفاده از روش های حسابرسی خطر گرا (8)
• استفاده از ابزار و فنون حسابرسی به کمک کامپیوتر
• استفاده از استاندارد (ملی یا بین المللی) از قبیل ایزو(7)(ISO)3/9000 و ایزو 17799 به منظور بهبود و اجرای سیستم های کیفیت در توسعه نرم افزار و استانداردهای امنیت
• درک نقش کسب و کار و انتظارات در حسابرسی از سیستم های در حال توسعه و همچنین خرید بسته های نرم افزاری و مدیریت پروژه
• ارزیابی امنیت اطلاعات و مسائل مربوط به حریم خصوصی که می تواند سازمان را در معرض خطر قرار داده است
• آزمون و تایید انطباق سازمان با هر گونه مسائل حقوقی مربوط به فناوری اطلاعات که ممکن استاین سازمان را در معرض خطر قرار دهد.
• بررسی سیستم های پیچیده چرخه عمر توسعه (9)(SDLC) و یا تکنیک های جدید توسعه ، به عنوان مثال ، نمونه سازی ، سیستم های پرسرعت ، یا برنامه توسعه
• گزارش به مدیریت و انجام پیگیری برای اطمینان از بررسی اقدامات صورت گرفته در محل کار
حسابرسی فن آوری های پیچیده و پروتکل های ارتباطی، شامل : اینترنت ، اینترانت ، اکسترانت ، تبادل الکترونیکی داده ها ، سرویس دهنده مشتری ، شبکه های محلی یا مناطق گسترده ، ارتباطات داده ها ، مخابرات ، فن آوری بی سیم ، و سیستم های یکپارچه انتقال صدا/اطلاعات/ویدئو و... می گردد.
فناوری اطلاعات امروز و فردا
پردازش اطلاعات با بیشترین سرعت ممکن به ضروریترین و اجتناب ناپذیرترین فعالیت های یک سازمان تبدیل شده است. به عنوان مثال ، کنترل اطلاعات و فناوری های مرتبط (10)(CoBiT) بر این نکته تاکیددارند و نیاز به تحقیق ، توسعه ، انتشار ، ترویج و فعالیت به روز(11) قابل قبول در سطح بین المللی فناوری اطلاعات را تائید و اثبات می کنند. تاکید اصلی کنترل اطلاعات و فناوری های مرتبط (CoBiT) این است تا اطمینان حاصل شود که اطلاعات مورد نیاز کسب و کار، توسط تکنولوژی ارائه شده است و ویژگی های مورد نیاز اطمینان از اطلاعات را دارا می باشد. نسخه چهارم کنترل اطلاعات و فناوری های مرتبط (CoBiT) ، راه ها و روش هایی برای مرتبط ساختن و ترکیب عناصر اساسی در مدیریت استراتژیک ، تحویل ارزش ، مدیریت منابع ، مدیریت ریسک و مدیریت عملکرد را استنتاج کرده و بهبود بخشیده است.
از یک دیدگاه در سراسر جهان ، نیاز است تا فرایندهای فناوری اطلاعات کنترل شود. از نقطه نظر تاریخی نیز در این مورد بسیار سخن گفته شده است و در مورد نیاز به کنترل فرآیند های فناوری اطلاعات به منظور توسعه مهارت در این زمینه مطالب زیادی منتشر شده است. در سال 1992 در مقاله ای تحت عنوان: "حداقل سطح مهارت در فناوری اطلاعات برای حسابداران حرفه ای ،" ودر سال 1993 در گزارش ، "تاثیر تکنولوژی اطلاعات بر حرفه حسابداری ،" فدراسیون بین المللی حسابداران (12)(IFAC) جهت پیشگیری و آمادگی برای رویارویی مسائل ونگرانی های رو به رشدکنترل فناوری اطلاعات نسبت نیازمندی به دانشگاههای مناسب در دوران آموزش اذعان نموند. از این رو موسسه حسابرسان داخلی (13)(-IIA 1992) "برنامه درسی مدلی برای حسابرسی سیستم های اطلاعاتی" را برای تعریف دانش و مهارت های مورد نیاز توسط حسابرسان داخلی به مهارت در عصر اطلاعات از 1990 وبعد از آن توسعه داده است.