حسابرسی داخلی در دوره همه‌گیری و فاصله‌گذاری اجتماعی

در اجرای وظایف اطمینان‌بخشی و مشاوره‌ای حسابرسی داخلی، حسابرسان داخلی می‌توانند و از آنها انتظار می‌رود خدمات مستقل و واقع‌بینانه‌ای دراین‌باره به سازمان متبوعشان ارائه دهند. براساس پاسخ‌های اولیه نظرسنجی سریع مرکز اجرایی حسابرسی، ۹۷ درصد از مشارکت‌کنندگان (مدیران حسابرسی داخلی عمدتا مستقر در آمریکای شمالی بودند) گزارش داده‌اند که سازمان‌هایشان ترتیب انجام کار از راه دور را برای کارکنان خود اجرا کرده‌اند. افزون بر این، ۶۰ درصد نیز گفتند که سازمان‌هایشان برای حمایت از دورکاری و امنیت داده‌های مربوطه فناوری جدیدی را اضافه کردند. داده‌های جهانی در مورد پاسخ کارفرمایان به بیماری همه‌گیر کمیاب است، اما نظرسنجی از کارگران مطلع قبل از شیوع توسط شرکت کنفرانس جهانی PGI نشان داد که ۷۹ درصد از آنها حداقل یک روز در هفته در منزل کار می‌کنند.

باید افزود هنگامی‌ که سازمان‌ها همه کارکنان خود را به خانه می‌فرستند، باید ملاحظات عملی اضافی و محدودیت‌های احتمالی را در نظر بگیرند. به‌عنوان‌مثال، هنگامی ‌که اکثریت نیروی کار آن خارج از فایروال شرکت فعالیت می‌کنند، آیا خطرات مربوط به امنیت سایبری می‌تواند دستخوش تغییر شود؟

زمینه دیگری که در چنین مواقعی ممکن است سازمان‌ها آماده و پذیرای آن نباشند، مدیریت مسائل مربوط به‌کارکنان در بیماری عالم‌گیر است. دستورالعمل‌ها و خط‌مشی‌های کارکنان به‌طورمعمول غیبت‌های کوتاه‌مدت و طولانی‌مدت مربوط به‌سلامتی را برطرف می‌کنند، اما در اغلب این دستورالعمل‌ها به نحوه مدیریت یک کارمند که دارای علائم ویروس کشنده است، پرداخته نشده است. نظرسنجی AEC نشان داد که ۵۶ درصد سازمان‌های مشارکت‌کننده در نظرسنجی دستورالعمل‌های جدیدی را در رابطه با بهداشت و ایمنی کارکنان به‌کار بسته‌اند.

ارزیابی دستورالعمل ارتباطات از راه دور (دورکاری)، راهبردها و زیرساخت‌های سازمان

موارد زیر چند پرسش کلی است که واحد‌های حسابرسی داخلی باید درباره آن با مدیریت ارشد گفت‌وگو کنند تا مشخص کنند سازمان آنها تا چه میزان توان و آمادگی گسترش (حتی به‌طور موقت) برقراری ارتباط از راه دور را دارد:

آیا سازمان دستورالعمل کار از راه دور را تدوین کرده است؟ اگر چنین است، آیا سازمان کارکنان خود را آموزش داده که چگونه از راه دور به شبکه، برنامه‌ها و پیام‌های آنها ازجمله پست صوتی دسترسی پیدا کنند؟

آیا سازمان از امکانات سخت‌افزاری کافی و مناسب (لپ‌تاپ، هدفون و سایر تجهیزات) برای کار کارمندان دورکار برخوردار است؟

آیا اتصال همزمان چند کاربر خارجی می‌تواند توسط شبکه پشتیبانی شود؟

آیا مرکز عملیات امنیتی داخلی و عرضه‌کنندگان امنیت خارجی می‌توانند ترافیک خارجی اضافی را ضبط، ذخیره و ارزیابی کنند؟

با افزایش تعداد کارکنان از راه دور، چه نقاط و نواحی می‌تواند با شکست مواجه شود؟ ارائه‌دهنده خدمات اینترنتی توسط یک شرکت، وی‌پی‌ان، سرور نشانه‌گذاری- امنیت داده‌ها (توکنیزاسیون) یا...

آیا سازمان برنامه‌ای برای استقرار اتصالات مجازی برای کلیه واحدهای سازمانی و عملکردهای مهم در جایی که لپ‌تاپ در دسترس نباشد، دارد؟ در چنین شرایطی آیا انجام کار از راه دور امکان‌پذیر است؟

همچنان که قرار است کارکنان دورکاری کنند، سازمان چگونه از اطلاعات شخصی و اطلاعات بهداشتی آنها محافظت می‌کند؟

با اکثر کارهایی که در خارج از فایروال انجام می‌شود، چه اقدامات احتیاطی برای حمایت از امنیت سایبری انجام می‌شود؟

چگونه واحد فناوری اطلاعات سازمان اطمینان می‌دهد که آنها فقط درگاه‌های فایروال مجاز را باز می‌کنند و به‌طور مداوم بر همه پورت‌های باز نظارت می‌کنند؟

چگونه واحد فناوری اطلاعات سازمان اطمینان می‌دهد که امضاها و پچ‌های ضدویروس در کلیه دستگاه‌ها (دستگاه رایانه‌ای) برای کارمندان شاغل که از راه دور کار می‌کنند به‌روز می‌شوند؟

 رویکردهای جایگزین سازمان در زمانی که اینترنت، تلفن یا خدمات تلفن همراه در زمان اوج بار عمل نمی‌کنند، چیست؟

ارزیابی دستورالعمل‌ها و رویه‌های مربوط به‌سلامت سازمان

در زیر پرسش‌های کلی وجود دارد که واحد حسابرسی داخلی می‌تواند برای ارزیابی خطرات مرتبط با دستورالعمل‌ها و رویه‌های کارکنان در هنگام بحران‌های مخربی نظیر کووید-۱۹، آنها را مدنظر قرار دهد:

سیاست‌ها و رویه‌های جاری سازمان درباره عدم حضور کارکنان یا ناتوانی احتمالی آنها در درازمدت چیست؟

غیبت طولانی‌مدت کارکنان اصلی یا تعداد قابل‌توجهی از کارمندان چگونه می‌تواند بر اهداف تجاری تاثیر بگذارد؟

آیا سازمان در مورد کارکنان دارای علائم ویروس بحث کرده است؟ آیا سازمان رویه‌های مربوط به برخورد با کارمندانی را که دارای علائم ویروس یا سایر بیماری‌های واگیردار هستند تنظیم و ابلاغ کرده است؟ آیا این موضوع به‌صورت دستورالعمل درآمده است؟

آیا سازمان رویه‌های مربوط به نظارت بر سلامت همکاران را درصورتی‌ که کارمند دارای علائم ویروس یا سایر بیماری‌های واگیردار باشد، موردبحث قرار داده است؟

آیا سازمان رویه‌های ضدعفونی کردن مناطق کار را مورد بحث قرار داده است؟ چه نظارت‌هایی بر ورودی‌ها انجام می‌شود؟

با توجه به طولانی‌مدت بودن دوران نهفتگی ویروس، سیاست‌های ارزیابی، شناسایی و قرنطینه کارکنان به‌منظور محدود کردن شیوع ویروس چگونه است؟

برنامه‌های سازمان برای محدود کردن تامین‌کننده کلیدی یا تعطیلی سازمان در زمان بحران‌های مرتبط چگونه است؟

سیاست‌های مرتبط با جایگزینی «کارکنان اصلی» خود و بهره‌گیری از مدیران ارشد قابل‌جایگزینی توسط سایر مدیران دیگری که در معرض کووید-۱۹ یا سایر بیماری‌های واگیر قرار دارند، چگونه است؟

آیا در مورد بازگشت به‌کار مجدد کارکنان بهبودیافته به محل کار سابق خود، بحث شده است؟ آیا دستورالعملی در این خصوص تدوین‌شده است؟

سیاست سازمان در مورد استفاده از حمل‌ونقل و جابه‌جایی انبوه در حین وقوع اختلال در سلامت چیست؟

برای کمک به‌کارکنان برای مقابله با چالش‌های عاطفی یا مالی چه نوع برنامه‌های کمکی ایجاد یا تقویت‌شده است؟

حقوق و مزایای کارکنان در دوره سپری کردن بیماری، قرنطینه چگونه است؟

ارزیابی کنترل‌های داخلی اصلی

نیک می‌دانیم کنترل‌های داخلی فرآیندهایی است که از طریق انسان (هیات‌مدیره، مدیران و کارکنان) برقرار می‌شود و با عنایت به آنکه بخش قابل‌توجهی از فرآیند توسط انسان انجام می‌شود، بنابراین هرگونه محدودیت مرتبط با فاصله‌گذاری اجتماعی، عدم امکان حضور کارکنان و... می‌تواند کنترل‌های داخلی را تحت الشعاع قرار دهد. باید افزود که طبیعتا با تمرکز بیش ‌از حد بر بحران در چنین دورانی، ممکن است تمرکز بر کنترل‌های داخلی را کم کرده و فرصت بروز اشتباه یا سوءاستفاده را تشدید کند، بنابراین در چنین دورانی باید بیش‌ازپیش بر کنترل‌های داخلی توجه و تاکید کرد. انتظار می‌رود سازمان‌هایی که اجازه ادامه کار دارند، بتوانند با برقراری بسترهای فناوری لازم امور خود را پیش ببرند، در زیر نمونه‌ای از پرسش‌ها برای ارزیابی کنترل‌های اساسی ارائه می‌شود:

آیا به‌صورت ویدئو کنفرانس عملکرد شرکت‌های فرعی پایش می‌شود؟ رویکرد نظارت بر SBU ها چگونه است؟

آیا سیاست‌ها و راهبردهای اصلی سازمان در این دوره بحرانی به کلیه واحدها و شرکت‌های فرعی ابلاغ‌شده و بر آن نظارت می‌شود؟

آیا کمیته‌های حسابرسی به‌طور منظم از طریق فناوری (اسکایپ و...) تشکیل و بر امور مربوطه نظارت می‌کند؟

آیا واحدهای حسابرسی داخلی حوزه‌های حساس را به‌دلیل قرنطینه و فاصله‌گذاری اجتماعی مورد پایش قرار می‌دهد؟ حوزه‌هایی که حسابرسی نمی‌شوند، کدامند؟

آیا امکان برقراری ارتباط میان حسابرسان (داخلی و مستقل) با کمیته حسابرسی وجود دارد؟ سازمان چه تمهیداتی در این خصوص اندیشیده است؟

کنترل‌هایی که در اثر محدودیت‌های بیماری (قرنطینه، بیماری کارکنان اصلی و...) اعمال نمی‌شود توسط چه کنترل‌هایی جایگزین شده‌اند و چگونه مورد نظارت و بازبینی قرار می‌گیرند؟

مسائل حساس که نیاز به‌فوریت دارند، در سازمان چگونه موردتوجه قرارگرفته‌اند؟

متاسفانه مشاهده می‌شود که چنین بحران‌هایی فرصت کم‌کاری، اهمال و سوءاستفاده را تشدید می‌کند. برنامه سازمان برای ارزیابی عملکرد واحدها (کارآیی، اثربخشی، صرفه اقتصادی و...) و تمییز دادن موارد ناکارآیی سیستماتیک ناشی از بحران بیماری با موارد ناشی از اهمال، سهل‌انگاری، عدم پیگیری و سوءمدیریت چیست؟

برنامه‌های شرکت برای تداوم فعالیت چیست؟

آیا قوانین و مقررات حاکم بر شرکت نظیر قوانین مرتبط با شرکت‌های بورسی (افشای اطلاعات بااهمیت) رعایت می‌شود؟