معرفی ۲۰ ریسک کلیدی در حسابرسی داخلی
ریسک شماره ۱: دیجیتالسازی، انقلاب چهارم صنعتی، و اینترنت اشیا
محرکها
فشار فزاینده برای افزایش کارآیی و رشد کیفیت پردازشهای عملیاتی، سازمانها را بهسوی دیجیتالسازی و خودکارسازی سوق داده است. افزایش سرمایهگذاری در صنعت روباتیک، یادگیری ماشینی، هوش مصنوعی، و تجزیهوتحلیلهای پیشرفته منجر به نوعی از دگرگونیهای تجاری شده که از آن با عنوانِ «انقلاب چهارم صنعتی» یاد میشود. محرکها و مزایای کلیدی دیجیتالسازی عبارت است از:
الف. افزایش میزان و سطح شفافیت اطلاعات بهواسطه دیجیتالسازی فرآیندها: این کار با ایجاد نسخهای مجازی از محصولات فیزیکی، زمینههای مساعد بیشتری برای تصمیمگیری مدیریت فراهم میآورد؛ ب. توانایی ماشینها و سیستمها برای برقراری ارتباطات و تبادل اطلاعات بدون دخالت انسان و پ. تمرکززدایی از تصمیمگیری با تفویض اختیار اتخاذ تصمیمهای ساده و تکرارشونده به روباتها و سیستمهای یادگیرنده ماشینی. در کنار مزایای چشمگیر، چالشهایی ذاتی بهدلیل وقوع پرسرعت تغییرات بهوجود خواهند آمد که برخی از آنها عبارت است از: الف. ضرورت کسب اطمینان از محافظت کافی از دادهها شامل داراییهای فکری و دانش محصول؛ ب. نگهداشت سطح کیفی محصولات با کاهش سرپرستی انسانی و پ. کمبود نیروی انسانی ماهر برای پیادهسازی و راهبری فرآیندهای بهغایت خودکار شده.
نقش حسابرسی داخلی
در این مسیر، حسابرسی داخلی چنین وظایفی برعهده دارد: الف. ارزیابی تحقق اهداف و برنامههای کسبوکار برای دگرگونی دیجیتالی و اطمینان از درک تمامی مزایای آن توسط سازمان؛ ب. کمک به سازمان در طراحی، پیادهسازی، و ارزیابی تناسب چارچوبهای راهبری و کنترل ناظر بر فرآیندها و سیستمهای دیجیتال؛ پ. بهکارگیری ریسکها و یافتههای مندرج در گزارش حسابرسی داخلی برای پیشبرد برنامههای دیجیتالسازی و انقلاب چهارم صنعتی و شکلدهی به فرصتهای خودکارسازی فرآیندها؛ ت. بهرهمندی از سهولت دسترسی به اطلاعات برای اجرای رویههای حسابرسی جهت ایجاد سطوح بالاتر اطمینان و فراهمآوری بینشهای عمیقتر.
الزامات حسابرسی داخلی
حسابرسان داخلی باید در مواجهه با ریسکهای مرتبط با حوزه دیجیتالسازی، انقلاب چهارم صنعتی، و اینترنت اشیا اقدامات زیر را مدنظر قرار دهند: الف. بهکارگیری افراد ماهر در حوزههای تخصصی مربوطه در جهت همراستایی با توسعههای صورتگرفته و آخرین فناوریهای مرتبط با دیجیتالسازی و خودکارسازی؛ ب. درک صحیح این فرآیند به جهت شناسایی، ارزیابی، و کاهش ریسکهای مرتبط با فرآیندهای دیجیتالسازی؛ پ. تخصص در مدیریت تغییر و دگرگونی؛ ت. تخصص عمومی در کنترلهای ناظر بر فناوری اطلاعات مانند دسترسی به دادهها، یکپارچهسازی، تغییر پروتکلها، و امنیت؛ و ث. تخصص در تجزیهوتحلیل دادهها شامل استخراج داده، پردازش داده، و تولید گزارشهای معنادار.
ریسک شماره ۲: یارانش ابری
محرکها
«رایانش ابری» به هر نوع خدمتی گفته میشود که دادهها، اپلیکیشنها، یا زیرساختهای آن خدمت بهصورت برخط ارائه یا انباشت شده و قابلیت دسترسی از راه دور را دارد. این خدمات میتوانند دربرگیرنده نرمافزار به مثابه خدمت (SaaS)، پلتفرم به مثابه خدمت (PaaS)، و زیرساخت به مثابه خدمت (laaS) باشند. مدلهای انعطافپذیر ارائه خدمات و شخصیسازی آنها باعث ایجاد سازگارپذیری گسترده خدمات یارانش ابری شده است. برخی از مزایای یارانش ابری عبارت است از: الف. قابلیت مقیاسپذیری: توانایی افزایش یا کاهش گسترده خدمات متناسب با نیازهای کسبوکار همراه با کاهش سرمایهگذاری در مخارج سرمایهای؛ ب. افزایش قابلیت جابهجایی سریع اطلاعات: دسترسی از راه دور به حجم وسیعی از دادهها مانند دسترسی به نرمافزار شرکتی خاص از طریق موبایل برای کارکنان؛ و پ. تداوم فعالیت: مرکز اخلالناپذیر و قابل اتکای ذخیرهسازی دادهها و دسترسی به ذینفعان مختلف.
در هر صورت، بدون وجود آموزشهای مناسب و معیارهای سنجش امنیت، شاید اهمیت تمامی منافع رایانش ابری مورد توجه و استفاده قرار نگرفته و در نتیجه منجر به قرارگیری سازمان در معرض ریسکهای مالی، عملیاتی، و عدم همراستایی با قوانین شود. نمونههایی از این ریسکها عبارت است از: الف. ریسک امنیت دادهها و عدم همراستایی با قوانین: دادههایی که در محلی عمومی نگهداری میشود، در اختیار دولت یا کنترل اشخاص ثالث قرار گیرد؛ ب. ریسک عملیاتی: یکپارچهسازی خدمات خصوصی مورد استفاده در فرآیند جاری با خدمات مبتنی بر رایانش ابری میتواند هزینهبر و زمانبر باشد.
بهعلاوه، سرویسهای رایانش ابری مشترک اغلب قابلیت شخصیسازی کمتری داشته و ریسکهای یکپارچهسازی بااهمیتتری بههمراه دارند؛ پ. ریسک مالی: استفاده از خدمات خصوصی مبتنی بر رایانش ابری نیاز به سرمایهگذاری اولیه بالایی دارد. این در حالی است که خدمات اشتراکی مبتنی بر رایانش ابری بسته به برنامهریزی ضعیف و تغییر در نیازهای کسبوکار، هزینههای متفاوتی به سازمان تحمیل میکنند؛ ت. ریسک تامینکننده: آسیبپذیری تامینکننده خدماتِ رایانش ابری در برابر ریسکهایی مانند عدم رعایت مقررات، بازیابی اطلاعات و فرآیندهای عملیاتی-اجرایی پس از رویدادهای نامطلوب، سوءشهرت، و آسیبپذیری مالی.
نقش حسابرسی داخلی
وظیفه حسابرسی داخلی در مدیریت چنین ریسکهایی عبارت است از: الف. انجام ارزیابی مستقل درخصوص چارچوب راهبری موجود برای استفاده از پلتفرمهای رایانش ابری؛ ب. کمک به سازمان برای شناسایی و تعریف گواهینامههای معتبر ناظر بر حسن استفاده از رایانش ابری یا اعمال نظارت و ارائه پیشنهاد برای ایجاد و پیادهسازی چارچوب راهبری متناسب با هدف کسبوکار درخصوص بهکارگیری این فناوری مانند گواهینامه ایزو ۲۷۰۰۱؛ پ. ارزیابی مستقل اشخاص ثالث تامینکننده خدمات به نمایندگی از سازمان جهت شناسایی ریسکهای مترتب بر دادهها؛ ت. ارزیابی سطح شمول و شفافیت تعریف مسوولیتها بین سازمان و تامینکننده خدمات؛ برای مثال، وظایف، نقشها، و مسوولیتهای طرفین در مدیریت بحران؛ ث. بررسی قراردادهای منعقده سطح ارائه خدمات (SLAs) با اشخاص ثالث و ارزیابی رعایت مفاد این قراردادها؛ ج. انجام بررسی مستقل درخصوص استقرار فناوری رایانش ابری در راستای رعایت قوانین و مقررات داخلی و خارجی.
الزامات حسابرسی داخلی
ضروریاتی که حسابرسان داخلی باید در این حوزه به آن توجه ویژه داشته باشند، شامل موارد زیر است: الف. وجود دانش عمیق در زمینه حسابرسی فناوری اطلاعات و حوزههایی مانند بررسی و رهگیری آثار بهجامانده از فعالیتها، ساختارها و سازوکارهای شبکه، مدیریت داده، حفاظت از داراییهای مرتبط با فناوری، ارزیابی میزان آسیبپذیری، و کنترل دسترسی؛ ب. دانش تخصصی و موضوعمحور درخصوص راهکارهای رایانشی شامل تفاوتهای فنی و ریسکهای منحصربهفرد هر راهکار؛ پ. برخورداری از تجربه در حوزههای ایجاد و توسعه کنترلهای ناظر بر کاهش ریسکِ مرتبط با استفاده از یارانش ابری؛ ت. تخصص در مدیریت ریسک و کنترلهای خاص برای حفاظت از دادهها و رعایت الزامات حریم خصوصی در زمان بهکارگیری فناوری رایانش ابری؛ و ث. تخصص در استانداردها و رهنمودهای عملی استفاده از یارانش ابری. در قسمت بعد، دو ریسک «قوانین حفاظت از دادهها» و «امنیت سایبری» مورد بحث قرار خواهد گرفت.
ارسال نظر