حسابرسی فناوری اطلاعات

کنترل های سیستم های اطلاعاتی، تاییدهای مدیریتی

طی انجام تراکنش های کسب و کاری خصوصاً تراکنش های مالی ضروری است تا برخی از تصمیمات توسط مدیریت در سطوح مختلف مورد ارزیابی قرار گرفته و تایید شود. به عنوان مثال صورتحساب های صادره توسط تامین کنندگان در مبالغ خاص نیازمند تایید مدیریت است. به صورت معمول بازه های مختلفی را تعریف نموده و در هر بازه مشخص می گردد تا تراکنش توسط چه سطحی از مدیریت کنترل و تایید گردد. این بازه ها براساس مبالغ مالی تراکنش ها تعیین می شود. به عنوان مثال صورتحساب هایی تا مبلغ 100 میلیون ریال توسط مدیریت مالی، صورتحساب هایی تا مبلغ 1000 میلیون ریال توسط معاونت مالی و صورتحساب هایی با مبالغ بالاتر توسط مدیریت ارشد ارزیابی و تایید می گردد. چنین روندی برای انواع تراکنش ها از جمله محاسبه و پرداخت اضافه کاری، تعیین سطح اعتباری مشتریان، پرداخت صورتحساب های تامین کنندگان، تعیین تنخواه و غیره انجام می شود. تاییدهای مدیریتی کنترلی کلیدی برای چنین تراکنش هایی است.

انتظار می رود تا سیستم های اطلاعاتی قابلیت لازم برای تاییدهای مدیریتی در قالب به گردش درآوردن اسناد مربوط به تراکنش ها و دریافت تاییده های مربوطه را داشته باشند. به صورت معمول به ازای هر تراکنش براساس پارامترهای مشخص، گردش کاری جهت ارزیابی و تایید تعریف می شود. طی این گردش کار اسناد تراکنش از سطوح عملیاتی تا سطوح مدیریتی به گردش درآمده و در هر سطح تاییده لازم صادر می گردد. این ارزیابی ها و تاییده ها باید به صورت کامل در نرم افزار انجام شده و وجود عملیات دستی و نرم افزاری به صورت ترکیبی خود می تواند ریسکی برای بروز عدم یکپارچگی، تقلب و دستکاری در مستندات و تراکنش ها گردد. به عنوان مثال در بسیاری از موارد مشاهده می شود که اسناد مربوطه از سیستم پرینت شده، در قالب کارتابل اداری در اختیار مدیریت مربوطه قرار گرفته، مدیریت اسناد را تایید یا تعدیل می کند. اپراتور نیز نتیجه تایید یا تعدیل مربوطه را در نرم افزار ثبت می کند. چنین فرآیندی می تواند فرصت دستکاری در تصمیمات مدیریتی را فراهم آورد. برای رفع این مشکل ضروری است تا تمام فرآیند و گردش کار به صورت نرم افزاری پشتیبانی گردد.

نرم افزار همچنین باید در بخش تاییدهای مدیریتی ، قابلیت لازم برای تعیین سطوح کنترل و تایید به صورت پارامتریک و براساس قواعد کسب و کار را داشته باشد. بدین صورت که بتوان براساس یک جدول تصمیم گیری مشخص، تعیین نمود که هر تراکنش در چه سطح مدیریتی باید مورد ارزیابی و تایید قرار گیرد. این پارامترها باید توسط کاربران مجاز یا مدیران نرم افزار اعمال تغییر بوده و برای تغییر آنها نیازی به برنامه نویسی مجدد نباشد.

نظر دهید