حسابرسی فناوری اطلاعات

پنج سوال کلیدی حسابرسان داخلی در مورد COBIT، بخش دوم

سوم: تفاوت بین COBIT 4.1 و COBIT 5 چیست؟

چارچوب COBIT توسط انجمن کنترل و حسابرسی سیستم های اطلاعاتی ارائه شده است. نسخه اولیه این چارچوب در سال 1996 میلادی عرضه شده است. آخرین نسخه آن نیز در سال 2012 میلادی تحت عنوان COBIT 5 انتشار یافته است.

عموما نسخه های COBIT 4.1 و COBIT 5 متداول بوده و به عنوان چارچوب های مطرح برای مدیریت و حاکمیت فناوری اطلاعات شناخته شده هستند. در اینجا این سوال مطرح می شود که این دو چارچوب چه تفاوت هایی با یکدیگر دارند. برای اینکه بتوان چارچوب مناسبی برای حسابرسی فناوری اطلاعات انتخاب نمود، باید تفاوت این دو چارچوب به خوبی درک گردد.

مهمترین تفاوت های چارچوب های فوق الذکر عبارتند از:
-چارچوب COBIT 5 موضوع حاکمیت فناوری اطلاعات را از مدیریت فناوری اطلاعات جدا نموده است. از این رو یک چارچوب مناسب برای اعمال راهبری و حاکمیت فناوری اطلاعات است.

– از لحاظ ساختاری، در چارچوب COBIT 4.1، اهداف کنترلی و اقدامات کنترلی تعریف شده اند. اهداف کنترلی و اقدامات کنترلی براساس رویکرد حسابرسی و کنترلی این چارچوب تعریف شده بودند. این اهداف و اقدامات برای حسابرسی فناوری اطلاعات بسیار کاربردی و قابل استفاده هستند. در COBIT 5، اهداف کنترلی و اقدامات کنترلی جای خود را به اقدامات مدیریتی و فعالیت ها داده اند. اقدامات مدیریتی و فعالیت ها در واقع مراحل و فعالیت های مورد نیاز برای اجرای فرآیندها هستند. COBIT 5 سعی نموده است مراحل اجرای فرآیندها را به صورت شفاف تر تبیین کند.

-در COBIT 4.1 فرآیندها به عنوان رکن کلیدی چارچوب مطرح هستند. لیکن در COBIT 5، توانمندسازها ارائه شده اند. که فرآیندها یکی از توانمندسازها می باشند.

-مدل ارزیابی فرآیندها در دو چارچوب متفاوت است. در چارچوب 4.1 با استفاده از مدل CMMI سطح بلوغ فرآیندها ارزیابی می شود. لیکن چارچوب 5 از استاندارد ISO1504 برای سنجش قابلیت های فرآیندها استفاده می کند.

– ساختار شکست فرآیندها در دو چارچوب با یکدیگر تفاوت هایی دارد.

– چارچوب COBIT 5 مدل فرآیندی کامل تری نسبت به چارچوب COBIT 4.1 ارائه نموده است. 34 فرآیند در چارچوب COBIT 4.1 به 38 فرآیند در چارچوب COBIT 5 افزایش یافته است.

چهارم: COBIT چگونه به حسابرسان در حسابرسی فناوری اطلاعات کمک می کند؟

چارچوب های COBIT 4.1 و COBIT 5 دو رویکرد متفاوت نسبت به حسابرسی فناوری اطلاعات ارائه نموده اند. COBIT 4.1 بر حاکمیت فناوری اطلاعات تمرکز نموده است. علاوه بر مستندات اصلی این چارچوب، ضمیمه ای برای حسابرسی فناوری اطلاعات برای این چارچوب ارائه شده است. ضمیمه مذکور روشی نظام مند برای طراحی و اجرای حسابرسی فناوری اطلاعات است که این روش در ادامه به اجمال معرفی شده است.

این چارچوب حسابرسی فناوری اطلاعات را در قالب سه مرحله اصلی برنامه ریزی، تعیین محدوده و اجرای حسابرسی مدیریت می کند.

در مرحله برنامه ریزی ابتدا فضای کلی حسابرسی فناوری اطلاعات در سازمان تعریف می شود. در COBIT 4.1 تعداد 34 فرآیند به عنوان ارکان اصلی برای توصیف فضای حسابرسی فناوری اطلاعات تعیین شده است. در ادامه با انجام تحلیل ریسک مشخص می شود که کدام یک از این فرآیندها در اولویت حسابرسی هستند. به عبارت دیگر فرآیندی برای حسابرسی انتخاب می شود که بیشترین مقدار ریسک را برای سازمان به همراه داشته باشد.

در مرحله برنامه ریزی همچنین با استفاده از چارچوب ارزیابی بلوغ فرآیندها، یک ارزیابی کلی نسبت به فرآیند انجام می گیرد. این ارزیابی شکاف بین وضعیت موجود و مطلوب فرآیند را مشخص نموده و می تواند در برنامه ریزی بهتر فعالیت های حسابرسی مورد استفاده قرار گیرد.

در مرحله تعیین محدوده، چارچوب COBIT 4.1 برای تعیین اهداف کنترلی و اقدامات کنترلی مورد استفاده قرار می گیرد. در این چارچوب ارتباط بین اهداف کسب و کار، اهداف فناوری اطلاعات، فرآیندهای فناوری اطلاعات، اهداف کنترلی و اقدامات کنترلی مشخص شده است. براساس تحلیل ریسک صورت گرفته در مرحله قبل که فرآیندهای حائز اهمیت برای حسابرسی را تعیین نموده است، در این مرحله اهداف و اقدامات کنترلی مشخص خواهد شد.

مهمترین فعالیت های مرحله اجرا، طراحی آزمون هایی برای ارزیابی کفایت و اثربخشی کنترل ها است. COBIT در طراحی آزمون های کنترل و آزمون های محتوا به حسابرسان کمک می کند. پس از طراحی و پیاده سازی آزمون ها، نتایج حاصله در خصوص ضعف های آنها مستندسازی می گردد.

چارچوب COBIT 4.1 به ازای هر فرآیند، کنترل ها، ریسک ها، آزمون ها را پیشنهاد نموده است. بنابراین حسابرس راهنمایی جامع برای طراحی و پیاده سازی آزمون ها و گزارش نتایج آنها در دسترس خواهد داشت.

در نگارش های بعدی رویکرد COBIT 5 برای حسابرسی فناوری اطلاعات توصیف خواهد شد.

نظر دهید