حسابرسی فناوری اطلاعات

انواع کنترل ها در سیستم های اطلاعاتی

بخش عمده ای از کنترل های سازمانی از طریق کنترل های سیستم های اطلاعاتی اعمال می شوند. کنترل ها با هدف کاهش تاثیرات نامطلوب ریسک ها پیاده سازی می شوند. کنترل ها به صورت عمومی سه دسته کنترل های پیشگیرانه، کنترل های شناسایی کننده و کنترل های اصلاح کننده تقسیم بندی می شوند. این کنترل ها می توانند در هریک از ابعاد سازمانی در محیط کنترلی موضوعیت یابند. در برخی از منابع کنترل های جبرانی نیز به این طبقه بندی اضافه شده اند.

کنترل های پیشگیرانه از بروز ریسک جلوگیری می کنند. این کنترل ها شرایط را به نحوی سازماندهی می کنند تا احتمال تحقق ریسک کاهش یابد.
کنترل های شناسایی کننده، شرایط نامطلوب که منجر به بروز ریسک می شوند را با شناسایی و تعیین می کنند. این کنترل ها در واقع همانند حسگرهایی هستند که شرایط نامطلوب را هشدار می دهند.
کنترل های اصلاح کننده می توانند شرایطی را که منجر به بروز ریسک شده رفع کرده و احتمال بروز ریسک را کاهش دهند.

این سه گروه کنترل در حوزه سیستم های اطلاعاتی نیز کاربرد دارند. سیستم های اطلاعاتی با پیاده سازی این کنترل ها، امکان بروز یا تاثیرات نامطلوب ریسک های فناوری اطلاعات را کاهش می دهند. انجمن بین المللی حسابرسان داخلی، کنترل های سیستم های اطلاعاتی را در سه گروه مذکور طبقه بندی نموده و برای هر گروه مجموعه ای از کنترل ها را توصیف کرده است.

البته انجمن بین المللی حسابرسان داخلی، طبقه بندی دیگری نیز برای کنترل های سیستم های اطلاعاتی ارائه نموده است. در این طبقه بندی کنترل ها در پنج گروه ذیل سازماندهی می شوند:

• کنترل های ورودی
• کنترل های پردازش ها
• کنترل های خروجی
• کنترل های مدیریتی
• کنترل های ردپای حسابرسی (audit trail)

آشنایی با این کنترل ها در زمان شناسایی آنها و ارزیابی اثربخشی آنها برای کاهش ریسک ها مفید می باشد.

نظر دهید