برنامه هاي حسابرسي COBIT

دیدگاه‌ خود را بنویسید / حاکمیت فناوری اطلاعات

COBIT for Assurance  روش و چارچوبي كلي براي حسابرسي فناوري اطلاعات ارائه نموده است. به دليل وجود موضوعات متنوع و مختلف در حوزه فناوري اطلاعات، حسابرسي هريك از اين موضوعات نيازمندي بهره گيري از راهنماهاي تخصصي است. از اين رو يكي از مستنداتي كه توسط ISACA  ارائه شده، برنامه هاي حسابرسي و اطمينان بخشي (Audit/Assurance Programs)  است. اين برنامه ها به ازاي موضوعات تخصصي فناوري اطلاعات (Subject Matters) ارائه شده است. حسابرسان فناوري اطلاعات و حسابرسان داخلي براي انجام وظايف حسابرسي خود مي توانند از اين برنامه هاي حسابرسي و اطمينان بخشي استفاده كنند. اين برنامه ها به نحوي طراحي شده اند كه با چارچوب كلي COBIT for Assurance تطابق داشته باشند.

بخشي از اين برنامه ها به ازاي حوزه هاي اصلي فرآيندي به شرح زير تعريف شده است:

  • Evaluate, Direct and Monitor (EDM)
  • Align, Plan and Organize (APO)
  • Build, Acquire and Implement (BAI)
  • Deliver, Service and Support (DSS)
  • Monitor, Evaluate and Access (MEA)

 

بخشي از برنامه‌ هاي حسابرسي و اطمينان بخشي نيز بر فناوري هاي كليدي از جمله سيستم هاي ERP، فناوري هاي همراه و رايانش ابري، سيستم عامل ويندوز و ساير فناوري‌هاي سازماني مايكروسافت و فناوري هاي امنيتي تمركز يافته اند. حسابرسان فناوري اطلاعات مي توانند از اين برنامه ها براي انجام اقدامات برنامه هاي حسابرسي خود استفاده كرده و يا اينكه با بهره گيري از متخصصان فناوري اطلاعات برنامه هاي مشابهي را توسعه دهند.

تمامي اين برنامه ها از يك فرآيند ثابت و مشخص براي تعريف اقدامات حسابرسي بهره مي گيرند. اولين قدم در تهيه يك برنامه حسابرسي (Audit Program)  برنامه ريزي است. براي برنامه ريزي بايد 5 مرحله كليدي زير انجام شود:

  1. تعيين موضوع حسابرسي: تعيين محدوده اي كه بايد مورد رسيدگي قرار گيرد. به عنوان مثال محدوده ممكن است يك يا چند سيستم اطلاعاتي، يك فرآيند مشخص كسب و كار يا فرآيند فناوري اطلاعات يا بخشي از زيرساخت و سيستم هاي زيرساختي مانند شبكه، امنيت و ذخيره سازي باشد.
  2. تعريف اهداف حسابرسي: حسابرسي فناوري اطلاعات مي تواند با مقاصد مختلفي از جمله اهداف عملياتي يا رعايتي صورت گيرد. مثلاً ممكن است هدف از حسابرسي فناوري اطلاعات بررسي انطباق نرم‌افزار توليد شده با دستورالعمل‌هاي امنيتي باشد.
  3. تعيين محدوده حسابرسي: محدوده حسابرسي براساس موضوع حسابرسي مشخص مي‌گردد. به عنوان مثال ممكن است موضوع حسابرسي بررسي امنيت اطلاعات در نرم افزارهاي سازماني باشد. در تعيين محدوده مشخص مي گردد دقيقا چه نرم افزارهايي بايد مورد ارزيابي قرار گيرند.
  4. انجام برنامه‌ريزي قبل از حسابرسي: حسابرسي فناوري اطلاعات مبتني بر ريسك انجام مي شود. از اين رو در اين مرحله ضروري است تا تحليل ريسك اوليه صورت گيرد. تحليل ريسك به حسابرسان كمك مي كند تا محدوده را كاملا دقيق نموده و منابع حسابرسي را به موضوعات كليدي حائز اهميت تخصيص دهند. طي اين برنامه ريزي ممكن است نظرات ذينفعان نيز دريافت شده تا بتوان براساس نظرات آنها، محدوده را دقيق تر شناسايي نمود.
  5. تعيين مراحل لازم براي گردآوري داده ها: در اين مرحله تيم حسابرسي بايد شناختي دقيق در خصوص موضوع كسب نموده تا بتواند رويكرد و استراتژي مناسبي را حسابرسي انتخاب كند. برخي از فعاليت هاي مشخص در اين مرحله عبارتند از:
    • شناسايي و گردآوري سياست ها، استانداردها و دستورالعمل هاي سازماني
    • شناسايي الزامات قانوني مرتبط
    • شناسايي ليستي از افراد براي برگزاري مصاحبه
    • شناسايي ابزارهاي مورد نياز براي انجام حسابرسي
    • توسعه ابزارها و روش هاي حسابرسي براي آزمون و تاييد كنترل ها
    • توسعه دستورالعمل و سناريوي آزمون ها
    • شناسايي معيارهاي ارزيابي آزمون ها
    • تعريف روشي براي ارزيابي آزمون ها و تاييد نتايج آنها

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Scroll to Top