Professional Paper: IT Internal Audit: Effective IT Risk Assessment and Internal Audit Planning

‫حسابرسی داخلی فناوری اطاعات‪:‬‬ ‫ارزیابی اثربخش ریسک فناوری اطاعات و برنامهریزی حسابرسی داخلی‬ ‫شاهرخ شهرابی‬ ‫مژده درخشان‬ ‫مقدمه‬ ‫در شرایطی که عملیات و جنبههای مختلف اغلب کسبوکارها میرود تا با فناوری اطاعات درهم تنیده شود‪ ،‬شناسایی و رهگیرری‬ ‫ریسک فناوری اطاعات به تنهایی تبدیل به یکی از مهمترین وظایف ذینفعان هر سازمانی شده است‪ .‬در حال حاضر‪ ،‬نگاه ویژه بره‬ ‫فناوری اطاعات برای کسب اطمینان از پیگیری سریع مشکات و واکنش به آنها در مرکز توجه هر سازمان پیشرو قرار دارد‪.‬‬ ‫چشمانداز نامطمئن اقتصاد که به واسطهی فناوریهای پیشرفتهای مانند رایانش ابری‪ ،‬شبکههای اجتماعی‪ ،‬و ابرزار هرای همرراه‬ ‫پیچیده تر نیز شده است‪ ،‬میتواند توانایی ایجاط اطمینان توسط برنامهی حسابرسی داخلی فنراوری اطاعرات بررای مردیرانی کره‬ ‫پیش از این به دلیل گسترش فشارهای کسب وکار ناشی از کاهش حاشیه سود تحت تاثیر قرار گرفتهاند را به چالش بکشد‪.‬‬ ‫به عاوه‪ ،‬مدنظر قرار دادن مدیریت تداوم فعالیت سازمان‪ ،‬امنیت اطاعات‪ ،‬رعایت قوانین مراجع قرانون گررار‪ ،‬و بره اجررا گرراردن‬ ‫برنامههای پیچیدهی کسبوکار می تواند منجر به کاهش شرفافیت و محردود کرردن توانرایی سرازمان بررای شناسرایی و رهگیرری‬ ‫ریسکها و در نهایت رشد آن شود‪ .‬بهرغم رویههای سختگیرانهی فرآیند ارزیابی ریسک‪ ،‬رهبران حرفه اغلب برا یرک سروالهرایی‬ ‫قدیمی روبهرو هستند‪« :‬ما چه چیزی را نادیده گرفتهایم؟ کدام یک از انواع حسابرسیها بهتر ریسکها را شناسایی میکنند؟ ما به‬ ‫چه سوالهای احتمالی مطرح شده توسط کمیتهی حسابرسی دربارهی این که چگونه یک ریسک خاص را رهگیری میکنریم بایرد‬ ‫پاسخ دهیم؟»‬ ‫برای کمک به بهبود شفافیت در شناسایی ریسکها‪ ،‬این مقاله که تلخیص و بررسی رهنمود حرفهای منتشر شده توسرط موسسره‬ ‫حسابرسی ارنست اند یانگ (‪ )3102‬با عنوانِ «حسابرسی داخلی فناوری اطاعرات‪ :‬ارزیرابی اثرربخش ریسرک فنراوری اطاعرات و‬ ‫برنامهریزی حسابرسی داخلی» است‪ ،‬عوامل کلیدی مرتبط با فناوری اطاعات در حسابرسی داخلی را مورد بررسی قررار مریدهرد‪.‬‬ ‫اطاع از این عوامل‪ ،‬طرح و به اشترا گراردن آن با مشرتریان خردمات حسابرسری داخلری و تردوین برنامرهی اسرتراتژیک بررای‬ ‫رهگیری تمامی ریسکها تا حدی ساده است‪ ،‬اما هنوز گامهای مهمی باید پیموده شود تا از صحت انجام حسابرسی داخلی فناوری‬ ‫اطاعات اطمینان معقولی به دست آید‪ .‬حسابرسان داخلی میتوانند از این عوامل در شناسرایی ریسرکهرای مترترب برر سرازوکار‬ ‫فناوری اطاعات مشتریان خود استفاده کرده و برنامهی استراتژیک خود برای پیگیری این ریسکها و در نهایرت‪ ،‬واکرنش مناسرب‬ ‫به آنها را به مشتریان ارائه کنند‪.‬‬ ‫افزایش کیفیت و اطمینان در ارزیابی ریسک حسابرسی فناوری اطاعات‬ ‫تحقیق اخیر موسسهی حسابرسی ارنست اند یانگ (‪ )3102‬با عنوان «تبدیل ریسکها به نتایج خروجی‪ :‬چگونه سازمانهای پیش‪-‬‬ ‫رو از مدیریت ریسک به عنوان عامل محر عملکرد بهتر استفاده میکنند؟‪ »0‬نشان داد که دستیابی سازمان به نتایج مرورد نظرر‬ ‫در نتیجهی مدیریت صحیح ریسکها به سه عامل بههم پیوسته مرتبط است‪:‬‬ ‫‪ .0‬برخی از سازمانها بر روی کاهش ریسک تمامی بخشهای تجاری خود تمرکز میکنند؛‬ ‫‪ .3‬برخی دیگر‪ ،‬تمرکز خود را به کارآیی‪ ،‬یعنی کاهش یکپارچهی هزینههای کنترل ریسک معطوف میکنند؛‬ ‫‪ .2‬گروه باقی مانده در جستوجوی ارزش آفرینی‪ ،‬اقدام بره اسرتفادهی ترکیبری از هرر دو روش کراهش ریسرک و کراهش‬ ‫هزینههای کنترل ریسک میکنند‪.‬‬ ‫‪1. Turning risk into results: How leading companies use risk management to fuel better performance‬‬ ‫‪1‬‬ ‫افزایش سطح اطمینان در فرآیند ارزیابی ریسک یکی از اساسیترین راههای تمرکز بر کاهش یکپارچه ریسک واحردهای تجراری و‬ ‫اندازهگیری میزان تاشها‪ ،‬منابع مورد نیاز‪ ،‬و شناسایی حوزههایی ریسکی اسرت کره ارزش افرزوده مریآفریننرد‪ .‬در یرک سرناریو‬ ‫بدبینانه‪ ،‬ریسکها میتوانند سریعتر از توان سازمان برای پوشش آنها گسترش یابند‪ .‬به دایل ذیل‪ ،‬سرازمانهرا نیازمنرد توانرایی‬ ‫شناسایی و رهگیری دقیق حوزههای ریسک و واکنش سریع به آن هستند‪:‬‬ ‫‪ .0‬در چرایی وقوع ریسک؛‬ ‫‪ .3‬روشهای متفاوت بررسی ریسکهایی که برای دستیابی سازمان به اهداف ماموریت خود باید مورد توجه قرار گیرد؛‬ ‫‪ .2‬ارزیابی اثربخش ریسک در مقابل شرایط کسبوکار و پاسخگویی به ذینفعان؛ و‬ ‫‪ .4‬تشریح اثربخشی سازوکار مدیریت ریسک برای سرمایهگراران‪ ،‬تحلیلگران‪ ،‬و نهادهای ناظر قانونی‪.‬‬ ‫از آنروی که بسیاری از سازمانها ماحظات خود را در فرآیندهای حسابرسری داخلری مریگنجاننرد‪ ،‬مردیران نیازمنرد در ایرن‬ ‫موضوع هستند که کدام یک از سازوکارهای فناوری اطاعات در برنامههای حسابرسی داخلری ضرروریشران در مرکرز توجره قررار‬ ‫گرفته است‪ .‬این سازوکارها شامل روشهای بهکارگرفته شده در ارزیابی ریسک فناوری اطاعرات در برابرر چرالشهرای پریشرویِ‬ ‫سازمان و دیگر ارزیابیهای مورد نیاز است‪.‬‬ ‫امنیت اطاعات‬ ‫مدلهای سنتی امنیت اطاعات بر حمات خارجی متمرکز است‪ .‬اما در حقیقت‪ ،‬به همان اندازهی تهدیدات بیرونری‪ ،‬تهدیرداتی از‬ ‫درون متوجه سازمان است‪ .‬فناوری ابزار های همراه‪ ،‬محاسبات ابری‪ ،‬رسانههای اجتماعی‪ ،‬و کارکنان خرابکرار تنهرا نمونرهای از‬ ‫تهدیدات بیشماری هستند که سازمان از درون با آنها روبهرو است‪ .‬متخصصان امنیت اطاعات اغلب ادعا میکنند که به اندازهای‬ ‫مشغول رفع نگرانیهای آنی هستند که فرصتی برای توجه به مشکات و ریسکهای در کمین ندارند‪ .‬برای دسرتیرابی بره امکران‬ ‫حفاظت از اطاعات‪ ،‬گروههای امنیت اطاعات و گروههای تجاری سازمان باید این موضوع را در کنند کره اطاعرات همرواره در‬ ‫داخل یا خارج سازمان ذخیره و نگهداری میشود‪ .‬شناخت این موضوع که سازمان چه چیزی را طبقهبندی میکند به مثابه مهرم‪-‬‬ ‫ترین اطاعاتی است که که در برنامهی حفاظت از اطاعات سازمان مشخص میکند کدام بخش در معرر آسریب بیشرتری قررار‬ ‫دارد‪.‬‬ ‫اگرچه سازمانها سالها است که با حمات سایبری روبهرو هستند‪ ،‬اما بسیاری در زمان حاضر خود را هردف تراشهرا و حمرات‬ ‫پیدرپی و پیچیده یافتهاند‪ .‬این حمات معموا بر یک هدف واحد متمرکز بوده و اغلب تا زمانی که هردف حملرهکننردگان محقرق‬ ‫نشود‪ ،‬ادامه مییابد‪ .‬این افراد اغلب از خود نشانههای بسیار کمی باقی میگرارند زیرا سازوکار خود را به گونهای سامان دادهاند کره‬ ‫برای دست یابی به اطاعات حساس و محرمانه مخفی بمانند‪ .‬بر طبق نتایج تحقیقات موسسهی حسابرسی ارنست اند یانگ‪ ،‬بزرگ‪-‬‬ ‫ترین ریسک این حوزه‪ ،‬بر اطاعات فشردهی سازمانها با داراییهای فکری در اقتصادهای نوظهور مترتب است‪.‬‬ ‫بیشتر سازمانها تا زمانی که در معر ریسک قرار نگرفتهاند‪ ،‬به فکر اتخاذ راهکارهای صحیح واکنش نمیافتند‪ .‬همانگونره کره در‬ ‫نگارهی شمارهی (‪ )0‬تشریح شده است‪ ،‬حسابرسی داخلی فناوری اطاعات مریتوانرد نقشری کلیرد در ارزیرابی اسرتراتژی امنیرت‬ ‫اطاعات سازمان‪ ،‬برنامهی پشتیبان‪ ،‬و همکاری برای بهبود سطح کنترلها داشته باشد‪.‬‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫ارزیابی برنامهی حفاظت از اطاعات‪ .‬ارزیابی برنامه حفاظرت‬ ‫* آیا برنامهی حفاظت از اطاعات جامع است؟‬ ‫* آیا حفاظت از اطاعات در سراسر سرازمان مرورد توجره قررار‬ ‫میگیرد یا این کار تنها وظیفهی واحد فناوری اطاعات است؟‬ ‫* سازمان تا چه انردازه تهدیردات را ارزیرابی کررده و در جهرت‬ ‫کاهش آنها اقدام میکند؟‬ ‫از اطاعات سازمان شاملِ استراتژی‪ ،‬آگراهیبخشری و آمروزش‪،‬‬ ‫ارزیابی سطوح آسیبپریری‪ ،‬مردلهرای پریشبینری تهدیردات‬ ‫احتمالی‪ ،‬نظارت‪ ،‬کشف و واکنش به ریسک‪ ،‬سرطح فنراوری در‬ ‫اختیار‪ ،‬و گزارشگری‪.‬‬ ‫ارزیابی برنامهی مدیریت تهدید و سطح آسیی پیذیری‪ * .‬آیا برنامهی مدیریت تهدید و آسیبپریری جامع است؟‬ ‫ل تهدیردات * آیا این برنامه در راستای استراتژی تجاری و اشتهای ریسرک‬ ‫برنامهی مدیریت تهدید و آسیبپریری سازمان شام ِ‬ ‫‪2‬‬ ‫هوشمند‪ ،‬تعریف آسیبپریری‪ ،‬اصاح‪ ،‬کشف‪ ،‬واکنش‪ ،‬و برنامه‪ -‬سازمان است؟‬ ‫* آیا اجزای برنامهی مدیریت تهدید و آسیبپرریری بره همران‬ ‫ریزیِ اقدام متقابل‪.‬‬ ‫خوبی هماهنگی با سایر وظایف فنراوری اطاعرات و امنیرت برا‬ ‫یکدیگر نیز تناسب دارند؟‬ ‫* آیا فرآیندهای موجود جهت کسرب اطمینران از شناسرایی و‬ ‫رهگیری مناسب مشکات و اصاح آنها به طور اثربخش انجرام‬ ‫میشود؟‬ ‫ارزیابی آسی پذیری‪ .‬ترتیرب اجررای یرک حملره و نفروذ و‬ ‫* چه سازوکارهایی برای رفع نگرانی سازمان نسبت به حمرات‬ ‫پیچیده وجود دارد؟‬ ‫* نقاط آسیبپریر کداماند و آیرا امکران سرو اسرتفاده از آنهرا‬ ‫شناسایی شده و مورد بررسی قرار گرفته است؟‬ ‫* چه مدت طول میکشد تا سازمان پس از شناسایی یک نفروذ‬ ‫به آن واکنش نشان دهد؟‬ ‫بررسی آن‪.‬‬ ‫این نفوذ ساختگی نباید تنها به بررسی سطح آسیبپریری اکتفا‬ ‫کند‪ .‬امروزه یک نفروذ مبتنری برر ریسرک و هردفمحرور بررای‬ ‫ارزیابی کفایت توان سازمان برای شناسایی و پاسخ به تهدیردات‬ ‫مورد توجه قرار گرفته است‪.‬‬ ‫برنامهی مدیریت تداوم کس وکار‬ ‫از زمانی که سازمانها از لحاظ اندازه و پیچیدگی فرآیندها رو به گسترش نهادند‪ ،‬تاثیر عدم دسترسی به منابع مورد نیراز بره طرور‬ ‫چشمگیری افزایش یافت‪ .‬رویدادها و باهای طبیعی و از بین رفتن زیرساختهای فناوری نیار به ایجراد و گسرترش یرک برنامرهی‬ ‫اثربخش برای تداوم فعالیت سازمان را بیش از پیش افزایش داده است‪ .‬رویدادهای هولنا مانند زلزله و سونامی سال ‪ 3100‬ژاپرن‬ ‫تغییرات بزرگی را در سازمانها به وجود آورده و آنها کوچکتر از گرشته‪ ،‬کم اثرتر در صحنهی رقابت و اغلب ناتوان کرده است؛ و‬ ‫این سوال را برای مدیران به وجود میآورد که آیا آنها میتوانند در مقابل چنین شرایطی واکرنش مناسرب نشران داده و سرازمان‬ ‫خود را دوباره بنا کنند؟ چنین مشکات بزرگی به همان اندازهی مشکات کوچکتر رهبران کسبوکارها را ترغیب کررده اسرت ترا‬ ‫برای دستیابی به بهترین نتیجه تاش کنند؛ اما در عین حال‪ ،‬انتظار بدترین رویدادها را نیز با توجه بره یرک برنامرهی «مردیریت‬ ‫تداوم کسبوکار‪ »0‬داشته باشند‪.‬‬ ‫برنامهی مدیریت تداوم کسبوکار اثربخش در نتیجهی میزان اهمیت آن برای سازمان حاصل میشود‪ .‬شررایط اقتصراد جهرانی بره‬ ‫گونهای است که هر اشتباهی منجر به کاهش حاشیه سود میشود‪ .‬سازمانهایی که قبا از بایای بزرگ جان سالم به در بردهاند یا‬ ‫تنها با اخال در فعالیتهای خود مواجه شدهاند‪ ،‬اکنون خود را در آستانهی رویدادهای مشابه میبیننرد‪ .‬مردیران دریافترهانرد کره‬ ‫برنامه مدیریت تداوم کسبوکار اثربخش شاید تنها مرز باریک میان پریرش اخالی کوچرک در کسربوکرار و ورشکسرتگی کامرل‬ ‫باشد‪.‬‬ ‫برنامهی مدیریت تداوم کسبوکار باید تاشی گسترده و یکپا رچه باشد‪ ،‬در حقیقت امرا ایرن فنراوری اطاعرات اسرت کره نیازمنرد‬ ‫برنامهریزی برای از سر گیری فعالیتهای حیاتی بوده و از سویی نیز به عنوان تسهیل کننردهی آن عمرل مریکنرد‪ .‬سیسرتمهرای‬ ‫فناوری اطاعات و رویههای بازیابی اطاعات پس از وقوع رویدادهای نامطلوب زیربنای یک نقشهی جامع مردیریت ترداوم فعالیرت‬ ‫است‪ .‬در نتیجه‪ ،‬حسابرسی داخلی فناوری اطاعات در جایگاه مناسبی برای ارزیابی گسترهی رویههای مدیریت ترداوم کسربوکرار‬ ‫قرار دارد‪.‬‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫یکپییاری ی برنامییهی تییداوم کسیی وکییار و راهبییری * آیا یک برنامهی جامع ترداوم کسربوکرار در سرازمان وجرود‬ ‫حسابرسی‪ .‬ارزیابی سراسری برنامهی تداوم کسبوکار سازمان دارد؟‬ ‫شامل برنامهی راهبری‪ ،‬سیاستها‪ ،‬ارزیابیهای ریسک‪ ،‬تجزیه و * این برنامه در مقایسه با رویههای نوین چگونه است؟‬ ‫)‪1. Business Continuity Management (BCM‬‬ ‫‪3‬‬ ‫تحلیل عوامل موثر بر کسبوکار‪ ،‬ارزیابی خرده فروشان‪/‬اشخاص * آیا این برنامه از قبل مورد آزمون واقع شده است؟‬ ‫ثالث‪ ،‬استراتژی‪/‬نقشهی راه‪ ،‬آزمون‪ ،‬نگهداری‪ ،‬تغییر در مدیریت‪،‬‬ ‫و آموزش‪/‬آگاهیبخشی‪.‬‬ ‫* آیا طرح بازیابی سیستمها متناسرب برا نقشرهی کلری ترداوم‬ ‫کسبوکار است؟‬ ‫حسابرسی توان بازیابی سیستمها پس از وقیو روییداد * آیا نتایج آزمون برنامهها اطمینانی از بازیابی موثر سیسرتمهرا‬ ‫نامطلوب‪ .‬ارزیابی توان فنراوری اطاعرات بررای بازیرابی مروثر به دست داده است؟‬ ‫* آیا تمامی سیستمهای حیاتی سازمان در ایرن طررح در نظرر‬ ‫سیستمها و بازگشت به عملکرد عادی در شرایط وقوع رویداد‪.‬‬ ‫گرفته شدهاند؟ آیرا سیسرتمهرای حیراتی بره خروبی تعریرف و‬ ‫شناسایی شدهاند؟‬ ‫حسابرسی مدیریت بحیران‪ .‬برازبینی برنامرههرای مردیریت‬ ‫* آیا برنامهی مدیریت بحران همراستا برا نقشرهی کلری ترداوم‬ ‫کسبوکار است؟‬ ‫* آیا برنامهی تهیه شده به قردر کرافی جرامع اسرت و وظرایف‬ ‫اصلی سازمان را به درستی در بر میگیرد؟‬ ‫* آیا این برنامه به خوبی در سرطح سرازمان بره اطراع همرهی‬ ‫کارکنان رسیده است؟‬ ‫بحران سازمان شامل اسرتراتژی‪/‬برنامهی سراسرری‪ ،‬حفاظرت از‬ ‫دارایرریهررا‪ ،‬امنیررت کارکنرران‪ ،‬روشهررای اطرراعرسررانی‪ ،‬روابرط‬ ‫عمومی‪ ،‬آزمرون‪ ،‬نگهرداری‪ ،‬تغییرر مردیریت‪ ،‬و آموزش‪/‬آگراهی‬ ‫بخشی‪.‬‬ ‫ابزارهای همراه‬ ‫ابزارهای محاسبهی قابل حمل مانند لپتاپ‪ ،‬تبلت‪ ،‬و گوشی های هوشمند که در اطراف ما به طور گسترده استفاده میشروند‪ ،‬بره‬ ‫افراد اجازه میدهند تا به اطاعات تجاری دسترسی داشته و آنها را از هر نقطره و در هرر زمرانی تبرادل کننرد‪ .‬برا رشرد ظرفیرت‬ ‫ابزارهای همراه و متعاقب آن سازگاری مصرفکنندگان با آنها‪ ،‬ایرن ابزارهرا بره بخشری جردایی ناپرریر از امکانرات انجرام وظرایف‬ ‫سازمانی تبدیل شده اند‪ .‬افزایش تقاضا برای استفاده از این ابزارها توسط نیروی کار منجر به تغییر سازوکار پشرتیبانی و حفاظرت از‬ ‫چرخهی اطاعات در سازمانها شده است‪ .‬با پیشرفت فناوری اطاعات‪ ،‬سازمانها با چالشهای جدید از جمله مروارد زیرر روبرهرو‬ ‫میشوند‪.‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫امکان بالقوهی از دستدادن یا خروج اطاعات بااهمیت تجاری؛‬ ‫چالشهای امنیتی طیف وسیعی از دستگاهها‪ ،‬سیستمهای عامل‪ ،‬محدودیتهای نرمافزاها‪ ،‬و آسیبپریر آنها؛‬ ‫گم شدن یا سرقت ابزارهای همراه کوچک؛‬ ‫رعایت قوانین حریم خصوصیِ دولتی و بینالمللی که در حوزههای گوناگون بسیار متفاوت هستند و ممکن است کارکنان‬ ‫در سفرهای خود به همراه این ابزارها با موانع قانونی مواجه شوند؛‬ ‫مشکات تعریف مرز معین پیرامون حفظ حریم خصوصی افراد و نظارت بر استفاده شخصی یا کاری از ابزارهای سازمان‪.‬‬ ‫حسابرسی داخلی فناوری اطاعات نیازمند کسب اطاعات صحیح از استراتژی استفاده از ابزارهای همراه‪ ،‬متناسب با سرعت رشد و‬ ‫جشمانداز آن است‪ .‬ارزیابی ریسک و مدنظر قرار دادن حسابرسیهای مطرح شده در نگارهی شرمارهی (‪ )2‬بره حسابرسری داخلری‬ ‫کمک خواهد کرد تا با مدیریت صحیح ریسکهای شناسایی شده‪ ،‬برای سازمان ارزش آفرینی کند‪.‬‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫* سازوکار استفاده از ابزارهای شخصی در سازمان چگونه است؟‬ ‫بررسی فنی ابزارهای همراه‪ .‬شناسایی ریسکهای مترتب برر‬ ‫* آیا استراتژی صحیحی دربارهی رویهها‪/‬ابزارها وجود داشرته و‬ ‫استفاده از ابزارهای همراه و آسیبپریری آنها‪.‬‬ ‫اجرا میشود؟‬ ‫حسابرسی باید شامل ارزیابی مشرتریان قابرل اعتمراد‪ ،‬معمراری‬ ‫* آیا ابزارهای همراه به حفظ ثبات رویه مدیریت میشوند؟‬ ‫‪4‬‬ ‫شبکهی مناسب‪ ،‬اجرای سیاستها‪ ،‬مدیریت ابزارهای همراه گرم * آیا ویژگیهای فنی ابزارهای مطابق با سیاسرتهرای سرازمان‬ ‫یا سرقت شده‪ ،‬و شناسایی سطح آسیبپرریری شربکه از منظرر است؟‬ ‫* ابزارهای گم یا سرقت شده چگونه مدیریت میشوند؟‬ ‫دسترسی و سیاستهای فنی باشد‪.‬‬ ‫* چه آسیبهایی از این منظر بر سازمان مترتب اسرت و آنهرا‬ ‫چگونه مدیریت میشوند؟‬ ‫ارزیابی جعبهی سییاه نیرمافزارهیای ابزارهیای همیراه‪.‬‬ ‫حسابرسی این مرحله شامل بررسی تقریبی استراتژیهرا اسرت‪ * .‬از وقوع چه آسیبهایی به طور موفقیت آمیز پیشگیری می‪-‬‬ ‫بررسی سیستمی سطح آسیبپریری ابزارهای مرورد اسرتفاده و شود؟‬ ‫* وقتی سازمان در معر نفوذ‪/‬حمله قرار میگیرد‪ ،‬چگونره بره‬ ‫تایید دستی نتایج به دست آمده‪.‬‬ ‫باید تاش شود تا آسیبپریری نرمافزارهای تحرت وب نیرز بره آسیبهای شناسایی شده واکنش نشان داده میشود؟‬ ‫خوبی بررسی شود‪.‬‬ ‫ارزیابی جعبهی خاکستری نرمافزاهای ابزارهیای همیراه‪.‬‬ ‫ترکیب بازبینی کدهای نرمافزار به صورت سنتی (برا اسرتفاده از * چه حجمی از کدنویسی نررمافزارهرای ابزاهرای همرراه مرورد‬ ‫آزمون جعبه) با روشهای آزمون تقریبی (جعبهی سیاه) حوزه‪ -‬استفاده در سازمان انجام شده است؟‬ ‫های حیاتی عملیاتی و عائم متداول رویههای کدنویسی ضعیف * این کدها در معر چه آسیبهایی قرار داند؟‬ ‫را شناسایی میکند‪.‬‬ ‫فناوری ابر و رایانش ابری‬ ‫سازمانهای زیادی امروزه به دنبال استفاده از فناوری رایانش ابری‪ 0‬برای افزایش اثربخشی و نوآوری در سازوکار فناوری اطاعرات‪،‬‬ ‫عملیاتهای درونسازمانی‪ ،‬انعطافپریری عملیاتی‪ ،‬و ایجاد مزیت رقابتی هسرتند‪ .‬اسرتفاده از ایرن فنراوری زمرانی آغراز شرد کره‬ ‫سازمانها دیگر تمایلی برای ساخت و نگهداری از امکانات پیچیدهی فناوری اطاعات نداشتند‪ .‬سرعت تکامل فناوری رایانش ابرری‬ ‫به سازمانها انتخاب های متعددی برای بازسازی سازوکار فناوری اطاعات خود داده است‪ .‬در هر صورت‪ ،‬به مانند بیشرتر تغییررات‬ ‫فناوری‪ ،‬رایانش ابری با چالشها و ریسکهایی مواجه است که اغلب نادیده گرفته شرده و یرا بره طرور کامرل در نمریشروند ترا‬ ‫سازمان بتواند به سرعت به آنها واکنش نشان دهد‪ .‬این ریسکها و چالشها عبارتاند از‪:‬‬ ‫‪‬‬ ‫‪‬‬ ‫فرآهم کنندگان خدمات رایانش ابری توافقنامههای سطح ارائه خدمت‪ 3‬را ارائه نمیکنند؛ در نتیجه معیار ساختار رایانش‬ ‫ابری و گسترش آن چالش برانگیز است؛‬ ‫استانداردهای در حال تکامل فناوری رایانش ابری ریسک عدم امکان کار سیستمهای سازمان با ارائه دهنردگان خردمات‬ ‫متفاوت را افزایش میدهد؛‬ ‫‪‬‬ ‫ریسک قانونی و مراجع تنظیم کنندهی مقررات دربارهی این که اطاعات چگونه در سازمان بهکار گرفته میشوند؛‬ ‫‪‬‬ ‫سازگاری با فناوری رایانش ابری و مدیریت تغییر در یک سازمان‪.‬‬ ‫‪‬‬ ‫ریسکهای امنیت اطاعات و حریم خصوصی پیرامون اطاعات محرمانه؛‬ ‫حسابرسی فناوری اطاعات نیازمند در چگونگی استفادهی سازمان از فناوری رایانش ابری و ریسرکهرایی اسرت کره بره دلیرل‬ ‫سازگاری با استراتژی استفاده از این فناوری در معر آن قرار دارد‪.‬‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫استراتژی فناوری رایانش ابیری و راهبیری حسابرسیی‪ * .‬آیا استراتژی معینری دربرارهی اسرتفاده از ترامین کننردگان‬ ‫ارزیابی استراتژی سازمان برای بهکارگیری فناوری رایانش ابری‪ .‬خدمات رایانش ابری وجود دارد؟‬ ‫‪1. Cloud Computing‬‬ ‫)‪2. Service Level Agreements (SLAs‬‬ ‫‪5‬‬ ‫* آیا رویهها و سیاسرتهرای مشخصری بررای پیگیرری مسرائل‬ ‫پیرامون فراهم کنندگان خدمات رایانش ابرری وجرود دارد؟ آیرا‬ ‫این سیاستها با قوانین‪ ،‬دستورالعملها‪ ،‬و خطمشیهای فناوری‬ ‫اطاعات سازمان همسویی دارد؟‬ ‫بررسی مناسب بودن سیاستها و کنترلهایی که برای توسعه و‬ ‫پشتیبانی از گسترش این استراتژی مورد استفاده قرار گرفتهاند‪.‬‬ ‫ارزیابی همراستایی ایرن اسرتراتژی برا اهرداف کران سرازمان و‬ ‫سطح آمادگی برای سازگاری ایرن فنراوری برا کرل فرآینردهای‬ ‫سازمان‪.‬‬ ‫بررسی امنیت فناوری رایانش ابیری و حیریم خصو‪.‬یی‪.‬‬ ‫* آیا تاثیر تجاری حرکت به سمت استفاده از خردمات رایرانش‬ ‫ابری مورد بررسی قرار گرفتهاند؟‬ ‫* آیا سازمان گواهیها و پروتکلهای امنری بررای برهکرارگیری‬ ‫فناوری رایانش ابری دارد؟‬ ‫* آیا قرارداد حفاظتی مناسبی با ارائهدهندگان خدمات رایرانش‬ ‫ابری منعقد شده است؟‬ ‫ارزیابی رویههای ترامین امنیرت اطاعرات و دسرتورالعملهرای‬ ‫تامین کنندگان خدمات رایانش ابری‪.‬‬ ‫این ارزیابی ممکن است شامل بررسی گزارشهرای سره گانرهی‬ ‫کنترل سرازمان خردمات دهنرده‪ 0‬در ایرن زمینره و حسابرسری‬ ‫امنیت توافقنامههای سرطح ارائرهی خردمت و‪/‬یرا فروشرندگان‬ ‫اینترنتی خدمات باشد‪.‬‬ ‫بررسی فراهمکننیدگان خیدمات راییانش ابیری‪ .‬ارزیرابی‬ ‫* آیا توافقنامههای سطح ارائهی خدمت‪ ،‬مردیریت اشرکاات‪ ،‬و‬ ‫ارائهی خدمات یکپارچه وجود دارد؟‬ ‫* ارائه دهندگان خدمات رایانش ابری چگونه به تعهردات خرود‬ ‫در قبال توافقنامههای سطح ارائهی خدمات عمل کرده یا از آن‬ ‫خودداری میکنند؟ در اینجا سازمان با چره مشرکات روبرهرو‬ ‫است؟‬ ‫* آیا سازمان از فراهم کنندگان خردمات رایرانش ابرری بررون‪-‬‬ ‫سازمانی که هم توسط واحد فناوری اطاعات داخرل سرازمان و‬ ‫هم توسط بخشهرای تجراری مرورد اسرتفاده قررار مریگیررد‪،‬‬ ‫خدمات دریافت میکند؟‬ ‫توانایی فراهمکنندگان خدمات رایانش ابری دربارهی رعایرت یرا‬ ‫قصور در توافقنامهی سطح ارائهی خردمات در قررارداد منعقرد‬ ‫شده‪ .‬حوزههای مورد نظر باید شرامل فنراوری‪ ،‬حقرود‪ ،‬دولرت‪،‬‬ ‫رعایت قوانین‪ ،‬امنیت اطاعات و حریم خصوصی باشد‪ .‬بهعراوه‪،‬‬ ‫حسابرسرری داخلرری بایررد برنامررهی موج رود مقابلرره بررا احتمررال‬ ‫شکست‪ ،‬اشکال در توافقنامهها‪ ،‬پشتیبانی گسترده‪ ،‬و دیگر اقام‬ ‫مندرج در قرارداد ارائه خردمت را بره همران خروبیِ بررسری در‬ ‫دسترس بودن خدمات‪ ،‬وقوع رویردادهای ناگهرانی‪ ،‬و ظرفیرت و‬ ‫گسترهی مدیریت خدمات مورد بررسی قرار دهد‪.‬‬ ‫مدیریت ریسک فناوری اطاعات‬ ‫از آنروی که ریسک فناوری اطاعات و تهدیدات مترتب بر این حوزه به سرعت تغییر کرده است‪ ،‬همگام برا افرزایش ایرن ریسرک‪،‬‬ ‫سازمانها نیازمند تغییر تفکر و رویکردهای خود نسبت به شناسایی و رهگیری ریسکهای فناوری اطاعات هستند‪ .‬امرروزه بیشرتر‬ ‫از هر زمان دیگری‪ ،‬مسائل فناوری اطاعات از جمله مهمترین دغدغههای مردیران ارشرد اجرایری‪ ،‬هیرات مردیرههرا‪ ،‬کمیترههرای‬ ‫حسابرسی‪ ،‬مشاوران عمومی‪ ،‬و مدیران ریسک در کنار رهبران حرفهی فناوری و امنیت اطاعات و نهادهای ناظر بر رعایرت حرریم‬ ‫خصوصی برای پیگیری و مدیریت ریسکهای مترتب بر سازمان جهت اتخاذ رویکری مناسب و آمادگی برای تدوین برنامهی جرامع‬ ‫مدیریت ریسک فناوری اطاعات مناسب و اثربخش در چرخهی مدیریت ریسکهای این حوزه است‪ .‬بسیار ضروری است تا عملکرد‬ ‫سازورکار فناوری اطاعات بهگونهای باشد که به طور موثر پاسخی برای سوالهای زیر فرآهم کند‪:‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫آیا می توان استراتژیهای شناسایی‪ ،‬کاهش و نظارت برر ریسرکهرای فنراوری اطاعرات را را بررای کمیتره حسابرسری‬ ‫برشمرد؟‬ ‫چگونه میتوان فهمید که تمامی ریسکهای فناوری اطاعراتی کره سرازمان را از دسرتیابی بره اسرتراتژیهرا‪ ،‬اهرداف و‬ ‫نوآوریها باز میدارد‪ ،‬شناسایی شده است؟‬ ‫چگونه میتوان از استمرار و مربوط بودن چارچوب ریسک سازمان برای شناسایی ریسکها به منظور حفاظت از سرازمان‬ ‫در برابر مشکات و خطرات اطمینان حاصل کرد؟‬ ‫‪1. Service Organization Control‬‬ ‫‪6‬‬ ‫کمیته بورس و اوراد بهادار‪ ،‬سایر قانونگراران و کمیتههای حسابرسی بهطور کلی تاکید خرود را برر مردیریت ریسرک سرازمانهرا‬ ‫افزایش دادهاند‪ .‬ذینفعان‪/‬سهامداران انتظار دارند سازمان بر فعالیتهای مردیریت ریسرک تمرکرز کررده و مصررف منرابع خرود را‬ ‫معطوف به حوزه هایی کنند که اثرگراری بیشتری دارد‪ .‬حسابرسی داخلی با بررسی فعالیتهای مدیریت ریسک فنراوری اطاعرات‬ ‫برای کمک به رشد و خلق ارزش در سازمان وضع شده است‪.‬‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫* ریسکهای فناوری اطاعرات ترا چره انردازه شناسرایی شرده‬ ‫است؟‬ ‫* چه اقداماتی در خصوص ریسک شناسیی شده صورت گرفتره‬ ‫است؟‬ ‫ارزیابی استراتژی میدیریت ریسیک فنیاوری اطاعیات‪.‬‬ ‫* آیا فرایند مدیریت ریسک فناوری اطاعات به صورت مسرتمر‬ ‫ارزیابی چارچوب و فرآیندهای وضع شده بره منظرور ارزیرابی و‬ ‫پیگیری میشود؟‬ ‫مدیریت ریسک‪ .‬ارزیابی اقدامات انجام شده برای کاهش ریسک‬ ‫* آیا برنامهی ریسک فناوری اطاعات کلیه مروارد دربرگیرنرده‬ ‫و ارزیابی سطح پاسخگویی درون فرآیند‪.‬‬ ‫فناوری اطاعات را پوشش می دهد؟‬ ‫* آیا مسوولیت پوشش ریسک بهخوبی تعریف شده است؟‬ ‫* ریسکهای فنراوری اطاعرات چگونره شناسرایی‪ ،‬اصراح یرا‬ ‫پریرفته شدهاند؟‬ ‫* آیا فرآیندهای فناوری اطاعات موجود رسمی هستند؟‬ ‫* برای افزایش قابلیت اعتماد کسربوکرار در راهبرری فنراوری‬ ‫حسابرسی راهبری فناوری اطاعات‪ .‬ارزیرابی فرآینرد هرای اطاعات چه اقداماتی میتواند انجام شود؟‬ ‫فناوری اطاعات که برای تصمیمات راهبری تخصیص سررمایه‪ * ،‬آیا فرآیندهای راهبری فناوری اطاعات مورد نظرر و الزامرات‬ ‫مصوبات پروژه و سایر تصمیمگیری های حیراتی برهکرار گرفتره آن در تمررامی سررازوکارها و بسررترهای فنرراوری اطاعررات قابررل‬ ‫اجراست؟‬ ‫میشود‪.‬‬ ‫* آیا منشور رسمی‪ ،‬دستورات و مسوولیتها توسط کمیتههرای‬ ‫راهبری مستند و پیگیری میشود؟‬ ‫ارزیابی ریسک فناوری اطاعات‪ .‬مشارکت در ارزیابی ریسک‬ ‫* آیا یک ارزیابی ریسک جامع برای شناسایی تمام ریسکهرای‬ ‫فناوری اطاعات انجام میشود؟‬ ‫* آیا فرآیند ارزیابی ریسک فناوری اطاعات اثربخش است؟‬ ‫* فرآیند چگونه میتواند بهبود یابد؟‬ ‫*آیا فرصتی برای هماهنگی ارزیابی ریسک حسابرسری داخلری‬ ‫فناوری اطاعات با ارزیرابی ریسرک فنراوری اطاعرات سرازمان‬ ‫وجود دارد؟‬ ‫فناوری اطاعات (در مقابل ارزیابی ریسرک حسابرسری داخلری‬ ‫مستقل فناوری اطاعات)‪.‬‬ ‫به عنوان یک حسابرسی مشاورهای ریسکهای شناسایی شده را‬ ‫ارزیابی می کند و بینشی در مورد ساختار فنراوری اطاعرات بره‬ ‫دست میدهد‪.‬‬ ‫توانمندسازی فناوری‪/‬انتخاب بسیته راهبیریر ریسیکر * چگونه نرم افزار ‪ GRC‬بهصورت اثر بخرش در سرازمان مرورد‬ ‫رعایت (‪ .1)GRC‬ارزیابی استفاده جاری سازمان از نررم افرزار استفاده قرار گیرد؟‬ ‫‪ GRC‬یا فرایند انتخاب نرم افزار ‪ .GRC‬این کار بینش برا ارزش * چگونه سازمان در استفاده از نرم افزار ‪ GRC‬موجود به تکامل‬ ‫میرسد؟‬ ‫افزوده از الزامات حیاتی کسبوکار فراهم میآورد‪.‬‬ ‫* آیا از تمامی قابلیتهای موجود و دردسترس سازمان استفاده‬ ‫میشود؟‬ ‫)‪1. Risk management, Governance, Compliance (GRC‬‬ ‫‪7‬‬ ‫* الزامات کلیدی کسبوکار در استفاده از ‪ GRC‬کداماند؟‬ ‫* چه تعداد از راه حلهرای فنراوری ‪ GRC‬در سراسرر سرازمان‬ ‫استفاده می شود؟ آیا فرصتی برای همگرایری راه حرلهرا وجرود‬ ‫دارد؟‬ ‫* سطح گزارشگرری ریسرک ارائره شرده بره ذینفعران بررای‬ ‫حمایت از تصمیمات ریسک فناوری اطاعات کدام است؟‬ ‫ریسک برنامه‬ ‫پیچیدگی برنامه با آهنگی سریعتر از توان انطباد سازمان با این پیچیدگی در حال افزایش است‪ .‬در حالی که در طرول چنرد سرال‬ ‫گرشته سازمانها در مورد سرمایه گراری در فناوری اطاعات محتاط شدهاند‪ ،‬پرتفویهای سرمایهگراری در حال حاضرر برا هردف‬ ‫همراستی با روند فناوری در حال ظهور گسترش مییابند‪ .‬با وجود اینکه سازمانها برای اتمام پروژههای عظریم فنراوری اطاعرات‬ ‫خود تاش میکنند‪ ،‬اکثر برنامهها طبق بودجه بندی پیش نمیروند؛ یا خیلی دیر به اتمام میرسند و‪/‬یا هرگز به اهداف خود دست‬ ‫نمییابند‪.‬‬ ‫با وجود این که سازمانها سرمایه گراریهای گستردهای در افزایش دانش و ظرفیتهای مردیریت برنامره و مردیریت پرروژه خرود‬ ‫کردهاند‪ ،‬اما این موضوع در میزان موفقیت آنها قابل مشاهده نیست‪ .‬عدم بهبود اغلب بهدلیل افرزایش پیچیردگی در فرآینردهرای‬ ‫کسبوکار و چشم انداز فناوریهای در حال ظهور است‪ .‬سازمانها هنوز هم در انطباد رویکردهای برنامرهی خرود برا ایرن افرزایش‬ ‫پیچیدگی ناموفق هستند‪ .‬تحقیقات وجود ارتباط قوی بین توانایی رشد و بلوغ برنامه‪ ،‬اجررای برنامره و رقابرت برازار را پریشبینری‬ ‫کردهاند‪ .‬حسابرسی داخلی میتواند نقشی موثر در تایید فرآیندهای اصلی که در برنامههرای مردیریت وجرود دارنرد و فرآینردهرا و‬ ‫کنترلهایی که به شکل مناسبی در حال اجرا هستند‪ ،‬ایفا کند‪.‬‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫* آیا فرآیندها برای آنکه پروژهها به موقع‪ ،‬با بودجره از پریش‬ ‫حسابرسی روش شناسی مدیریت پروژه‪ .‬ارزیرابی طراحری‬ ‫تعیین شده و منابع مشخص به اتمام برساند‪ ،‬مناسب هستند؟‬ ‫فرآیندها و کنترلها برای مدیریت پروژه به نسربت شریوههرای‬ ‫* آیا کنترلهایی برای اندازه گیری منرافع حاصرل بره نسربت‬ ‫پیشرو‪.‬‬ ‫منافع مورد نظر پس از تکمیل پروژه وجود دارد؟‬ ‫حسابرسی اجرای پروژه و برنامیه‪ .‬ارزیرابی حروزههرای پرر‬ ‫ریسک مشتر در برنامهها (مثا قررارداد شرخص ثالرث‪،‬تغییر‬ ‫کسبوکار‪ ،‬استراتژی آزمون‪ ،‬انتقال دادهها)‪ .‬خروجیهرای ایرن‬ ‫حسابرسی اطمینانی برای مدیریت فرآهم میکند که حوزههای‬ ‫پر ریسک مستقا بررسی شده و با شیوه پریشرو تاییرد شرده‬ ‫است‪.‬‬ ‫* آیا اصول مدیریت پروژه‪/‬برنامه به درستی بهکار گرفته مری‪-‬‬ ‫شود؟‬ ‫* در زمان اجرای پروژهها چه کارهایی صورت گرفته است؟‬ ‫* ریسک پروژه چگونه ارزیابی و مدیریت شده است؟‬ ‫بررسی ریسیک پرتفیوی‪ .‬بررسری اسرتراتژی‪ ،‬پرروژه هرا و * آیا فرآیند های راهبری که نشان دهد پروژهها و برنامههرا برا‬ ‫استراتژیهای سازمان همراستا هستند‪ ،‬وجود دارد؟‬ ‫برنامهها برای ارزیابی همراستایی آنها‪.‬‬ ‫این بررسی ارزیابی اولویتبندی پرتفوی پرروژه بررای افرزایش * در هنگام تغییر اهرداف سرازمان‪ ،‬پرتفروی چگونره مردیریت‬ ‫شده است؟‬ ‫ارزش و کاهش ریسک تغییرات پرتفو را نشان می دهد‪.‬‬ ‫مدیریت داراییهای نرم افزاری‪/‬فناوری اطاعات‬ ‫با افزایش تمرکز بر کاهش هزینهها در اقتصاد جهانی در حال بازیابی‪ ،‬مدیریت اثربخش دارایی های نرمافرزاری و مردیریت فنراوری‬ ‫اطاعات می تواند با مدیریت کارآتر موجودی داراییهای فناوری اطاعات تاثیر مثبت به سزایی در کاهش مخرارج مررتبط برا حرق‬ ‫‪8‬‬ ‫امتیازها داشته باشد‪ ،‬مدیریت خدمات فناوری اطاعات را بهبود بخشد‪ ،‬سرازوکار مردیریت ریسرک رعایرت را ارتقرا دهرد‪ ،‬و حتری‬ ‫کارآیی کلی عملیاتی را منجر شود‪.‬‬ ‫رهبران پیشرو فناوری اطاعات و مدیران ارشد اجرایی فناوری دریافتهاند مدیریت اثربخش داراییهای نرمافزاری مریتوانرد باعرث‬ ‫ایجاد مزیت رقابتی استراتژیک شود‪ .‬به عنوان مثال‪ ،‬مدیریت اثربخش داراییها‪:‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫با رعایت حق امتیازها و اجتناب از جرایم مرتبط‪ ،‬ریسک تعهدات را بهطور بالقوهای کاهش میدهد‪.‬‬ ‫با اجتناب از نقض سازوکار حقوقی حق امتیاز و خرید بیش از نیاز داراییهای فناوری اطاعات‪ ،‬هزینههای احتمالی را‬ ‫کاهش میدهد‪.‬‬ ‫به مدیریت بهتر استفاده از منابع و فرآیند پرکار اطمینان از رعایت مقررات کمک می کند‪.‬‬ ‫ریسکهای بالقوه مرتبط با نقض حق امتیاز یا تضاد منافع با فروشندگان را محدود میکند‪.‬‬ ‫حق امتیاز نرمافزارها در حال حاضر حدود ‪ 31‬درصد از هزینههای معمول فناوری اطاعات را در بر میگیررد و اسرتفاده فراگیرر از‬ ‫نرم افزارها همچنان رو به افزایش است‪ .‬همراستا با آن‪ ،‬بسیاری از مردیران فنراوری اطاعرات بره ایرن نکتره اشراره مریکننرد کره‬ ‫فروشندگان نرمافزارها در تاشاند تا از وفاداری مشتریان اطمینان حاصل کنند‪ .‬رهبران پیشرو فنراوری اطاعرات‪ ،‬مردیران ارشرد‬ ‫اجرایی و سهامداران بهطور فزاینده انتظار بیشتری از سرمایه گراری های متکی بر عملکرد فناوری اطاعات دارند‪ .‬این بسریار مهرم‬ ‫است که حسابرسان فناوری اطاعات از نرمافزار ها‪ ،‬فرآیند ها و کنترل های مدیریت داراییهای فناوری اطاعات در عمیقی داشته‬ ‫باشند‪ .‬این مساله فقط در مورد مدیریت هزینه نیست؛ فرآیندهای مدیریت دارایی فناوری اطاعات مستحکم برر ایرن مروارد تراثیر‬ ‫میگرارد‪:‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫مدیریت خدمات فناوری اطاعات‪ .‬مدیریت دارایی فناوری اطاعات برای مکانیابی‪ ،‬جایگزینی و کنارگراری دارایی هرای‬ ‫موجود ضروری است‪.‬‬ ‫امنیت اطاعات‪ .‬بدون داشتن تصویری شفاف از موجودی نرمافزارهرا و دارایریهرای فنراوری اطاعرات‪ ،‬اولویرتبنردی و‬ ‫ارزیابی ریسک امنیتی مرتبط با این داراییهای مشکل خواهد بود‪.‬‬ ‫مدیریت قرارداد فناوری اطاعات‪ .‬در صورت فقدان مدیریت موثر بر داراییهای فناوری اطاعرات سرازمان‪ ،‬قراردادهرای‬ ‫منعقد شده با فروشندگان قابل شناسایی نخواهد بود؛ خواه در مدیریت آن داراییها از رویرههرای مروثر مردیریت هزینره‬ ‫استفاده شده یا شرایط بهگونهای رقم بخورد که امکان وقوع هر نوع تخلف از قرار داد وجود داشته باشد‪.‬‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫حسابرسی فرآیند و کنترل مدیریت دارایی نرمافزاری و‬ ‫* آیا رویکرد جامعی برای مدیریت نرم افزار و دارایری فنراوری‬ ‫اطاعات وحود دارد؟‬ ‫* هزینههای حق امتیاز نرمافزار چگونه مدیریت میشود؟‬ ‫*آیا راهکار فناورانرهای بررای مردیریت دارایری نررم افرزاری و‬ ‫فناوری اطاعات در پشتیبانی این فرآیندها وجود دارد؟ اگر نه‪،‬‬ ‫آیا باید وجود داشته باشد؟‬ ‫فناوری اطاعات‪ .‬ارزیرابیِ طراحری و اثربخشری فرآینردهرا و‬ ‫کنترلهای فناوری اطاعاتی که در رابطه با مردیریت دارایری‪-‬‬ ‫های نرم افزاری و فناوری اطاعات استقرار یافته است‪.‬‬ ‫بررسی تاثیر ایرن فرآینردها برر فرآینردهای فنراوری اطاعرات‬ ‫مرررتبط بررا آن از قبیررل مرردیریت خرردمات فنرراوری اطاعررات‪،‬‬ ‫مدیریت قرارداد فناوری اطاعات و امنیت اطاعات‪.‬‬ ‫بازن ری حق امتیاز نرم افزار‪ .‬بررسی توافقنامه حرق امتیراز‬ ‫* با توجه به استفاده از نرم افزار به نسبت مفراد قرراردادهرایی‬ ‫که قبا در مورد آنها مراکره شده است‪ ،‬آیا فرصتهایی بررای‬ ‫مراکره مجدد درمورد توافقنامههای حق امتیاز وجود دارد؟‬ ‫*آیا سازمان قراردادهرای موجرود حرق امتیراز را نقرض کررده‬ ‫است؟‬ ‫نرم افزارهای مهم (نظیر نرم افزار برنامهریزی منابع سرازمانی‪)0‬‬ ‫و ارزیابی اثربخشی فرآیند مردیریت دارایری نررمافرزار فنراوری‬ ‫اطاعات در عمل (نرم افزاری که برای مدیریت زیر ساختهای‬ ‫فناوری اطاعات در سازمان بهکار گرفته میشود)‪.‬‬ ‫)‪1.Enterprise Resource Planning (ERP‬‬ ‫‪9‬‬ ‫ارزیابی فرصتهای کاهش هزینه در اثرر بهبرود مردیریت حرق‬ ‫امتیاز نرمافزارها‪.‬‬ ‫ارزیابی مدیریت قرارداد فناوری اطاعات‪ .‬ارزیابی توانرایی *آیا قرارداد نرمافزار و داراییهرای فنراوری اطاعرات بره نحرو‬ ‫ساختار فناوری اطاعات سرازمان بررای مردیریت قراردادهرا و اثربخشی برنامهریزی‪ ،‬اجرا‪ ،‬و مدیریت شده و تحرت و نظرارت‬ ‫چگونگی هماهنگی اثربخش فناوری اطاعات و زنجیرره ترامین قرار دارد؟‬ ‫*آیا سازوکار و چرارچوب انعقراد قررارداد در حروزهی فنراوری‬ ‫برای مدیریت هزینهها و مراکره موثر در مورد توافق نامهها‪.‬‬ ‫اطاعات در تمامی ابعاد سازمان رعایت میشود؟‬ ‫مدیریت ریسک رسانههای اجتماعی‬ ‫عناصر رسانههای اجتماعی که فرصتهایی متعددی را برای گسترش نام تجاری کسبوکارها فرآهم میکنند‪ ،‬اغلب همان عناصرری‬ ‫هستند که ریسک فناوری اطاعات را بهوجود میآورند‪ .‬همانند ماهیت بدون مرز رسرانههرای اجتمراعی‪ ،‬ریسرکهرای مختلرف در‬ ‫حیطه رسانه اجتماعی می تواند توسط عملکرد چندگانه واحدهای سازمانی در یک زمان ایجاد شود و آنها را برای در چگونگی‪،‬‬ ‫زمان و مکان بهکارگیری فناوری اطاعات یا پوشاندن شکافهای ریسک به چالش کشد‪ .‬روابط حقوقی‪ ،‬رعایتی‪ ،‬نظارتی‪ ،‬عملیاتی و‬ ‫عمومی در باای لیست ریسکهای رسانههای اجتماعی مرتبط با فناوری اطاعات هستند که در نهایت میتوانند منجر به فرسایش‬ ‫مشتریان‪ ،‬سهم بازار و درآمد شوند‪ .‬بهعنوان مثال‪ ،‬در بسیاری از سایت های محبوب (توییتر‪ ،‬فیسبو و لینکردین) کراربران قرادر‬ ‫هستند برای سازمان نمایه ایجاد کنند و به نمایندگی از سازمان از طریق کانال رسرانههرای اجتمراعی‪ ،‬ارتبراط برقررار کننرد‪ .‬ایرن‬ ‫موضوع به دلیل ارسال پیامهای متعدد به مخاطبان گسترده و ارائهی سیاستها و رویههای مختلف میتواند سبب ایجاد سردرگمی‬ ‫مشتریان شود‪ .‬از دیگر ریسکهای مترتب بر این حوزه میتوان به موارد زیر اشاره کرد‪:‬‬ ‫‪‬‬ ‫فاش شدن سهوی اطاعات حساس سازمان توسط کارمندان عضو رسانههای اجتماعی‪.‬‬ ‫‪‬‬ ‫سو استفاده کارکنان از برنامههای کاربردی اجتماعی در حین کار‪.‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫«مهندسی مجدد» اطاعات محرمانه توسط هکرها (مانند اطاعات ورود به سیستم و رمز عبور) بر اسراس اطاعرات بره‪-‬‬ ‫دست آمده از مطالب نوشته شده توسط کارمندان در رسانههای اجتماعی‪.‬‬ ‫هک شدن‪ ،‬جعلی بودن و‪/‬یا درمعر‬ ‫اشخاص‪.‬‬ ‫خطربودن صفحههای فیسبو‬ ‫و تویتر سازمان‪ ،‬مدیران اجرایی یرا حسراب فرردی‬ ‫تعدد سیستمهای عامل که دسترسی بیشتری برای ویروسها‪ ،‬بدافزارها‪ ،‬تزریق کردهای مخررب در صرفحات وب توسرط‬ ‫هکرها و سرقت اطاعات حساس فرآهم میکند‪.‬‬ ‫خدشه وارد کردن به نام تجاری یا اعتبار سازمان در اثر انتشار مطالرب منفری‪ ،‬شررمآور و در برخری مروارد‪ ،‬برا محتروای‬ ‫مجرمانه توسط کارمندان و مشتریان‪ ،‬حتی مطالبی که با اهداف ترویج کسبوکار نوشته شدهاند‪.‬‬ ‫عدم ذخیرهسازی کامل محتوای و سازگاری آن با فرآیند نگهداری سوابق اطاعات سازمانها که در رسانههای اجتمراعی‬ ‫به اشترا گراشته میشوند‪.‬‬ ‫فناوری اطاعات عمیقا وابسته به توانمندسازی استراتژیهای رسانهی اجتماعی برای هماهنگی با اسرتراتژیهرای بازاریرابی اسرت‪.‬‬ ‫بسیار مهم است که حسابرس داخلی در درستی از استراتژی رسانهی اجتماعی سازمان داشته باشد‪ .‬حسابرسی داخلری فنراوری‬ ‫اطاعات باید با ارائه شیوههای نوین حفاظت و تقویت‪ ،‬کاهش ریسکهای کلیدی را تضمین و ارزش افزوده خلق کند‪.‬‬ ‫‪10‬‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫ارزیابی ریسک رسانه های اجتمیاعی‪ .‬همکراری برا واحرد‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫فنرراوری اطاعررات سررازمان برره منظررور ارزیررابی فعالیررتهررای‬ ‫رسانه های اجتماعی که می تواند بااترین سطح ریسک را بررای‬ ‫* آیا سازمان از ریسکهای مرتبط با رسانههای اجتماعی آگراه‬ ‫سازمان ایجاد کند‪.‬‬ ‫ارزیابی تهدیدهای موجود ناشی از کارکرد رسانههای اجتمراعی است؟‬ ‫* ریسکهای شناسایی شده تا چه اندازه مدیریت شدهاند؟‬ ‫برای امنیت اطاعات سازمان‪.‬‬ ‫این حسابرسی ممکن است به منظور تطبیق سیاست هرای کره‬ ‫برای رسیدگی به بااترین ریسک هرای سرازمان طراحری شرده‬ ‫است با حسابرسی راهبری رسانههای اجتماعی ترکیب شود‪.‬‬ ‫حسابرسی فعالیتهای رسانههای اجتماعی‪ .‬حسابرسی *آیا فعالیتها در رسانههای اجتماعی در انطباد با سیاست‪-‬‬ ‫فعالیتهای سازمان و کارمندان آن در رسانههای اجتماعی با های سازمان است؟‬ ‫* در مورد فعالیتهای کنونی چه اقدامات اصاحی ازم است؟‬ ‫توجه به سیاستها و رویههای مربوطه‪.‬‬ ‫شناسایی ریسک های جدید و کمک بره توسرعه سیاسرت هرا و * فعالیتهای موجود چه تاثیری بر نام تجاری و شهرت‬ ‫سازمان دارد؟‬ ‫کنترلها برای رهگیری ریسکها‪.‬‬ ‫تفکیک وظایف‪/‬مدیریت دسترسی و تشخیص هویت‬ ‫از آن جایی که تفکیک وظایف به عنوان یک کنترل بنیادین شناخته میشود‪ ،‬پیچیدگیسیستمهرای شررکتهرای توسرعه دهنرده‬ ‫فرآیندها‪ ،‬بسیاری از سازمانها را با مشکل مواجه کرده است‪ .‬با افزایش پیچیردگی ابرزار هرای در دسرترس موسسرات حسابرسری‪،‬‬ ‫مسائل و چالشهای جدیدی در اجرای بسامان تفکیک وظایف مطرح شده است‪.‬‬ ‫تفکیک وظایف برای بسیاری از افراد حرفهای اولویت دارد؛ از مدیران رعایت گرفته تا کارمندان سطوح اجرایی‪ .‬افزایش توجه به‬ ‫تفکیک وظایف در بخش مقررات کنترلمحور در سراسر جهان بهعلت پاسخگویی سطح اجرایی برای پیادهسازی موفقیتآمیز آنها‬ ‫است‪ .‬با این حال‪ ،‬دلیل اساسی و مهمتر برای وجود این مقررات این است که هیچ فردی نباید دسترسی بیش از اندازه به سیستم‪-‬‬ ‫هایی که وی را قادر به انجام معامات در سراسر فرآیند کلی کسب کار بدون کنترل و نظارت میکند‪ ،‬داشته باشد‪ .‬اجازه این نوع‬ ‫دسترسی نمایانگر ریسکی جدی برای کسب وکار است و مدیریت موثر این ریسک در عمل دشوارتر از آن چیزی است که به نظر‬ ‫میرسد‪ .‬با وجود این که چنین مفهومی یک دیدگاه مشتر است‪ ،‬چرا بسیاری از سازمانها با رعایت اصل تفکیک وظایف مشکل‬ ‫دارند و چرا تفکیک وظایف بهطور مستمر بخشهای فناوری اطاعات‪ ،‬حسابرسی داخلی و مالی را با یکدیگر درگیر میکند؟‬ ‫بخش بزرگی از این مسئله ناشی از پیچیدگی و تنوع سیستمهایی است که فرآیند های کلیدی کسبوکار‪ ،‬مالکیت و پاسخگویی‬ ‫کنترل این فرآیندها را خودکار میسازد‪.‬‬ ‫عاوه بر این مشکل‪ ،‬عدم سرمایهگراری در مدیریت دسترسی شخص (‪ )IAM0‬و‪/‬یا ‪ GRC‬که اغلب نیازمند تامین بودجه ازم است‪،‬‬ ‫باعث میشود حسابرسی داخلی و واحد فناوری اطاعات این فرآیندهای پیچده را به صورت دستی کنترل کنند؛ عملی که بهشدت‬ ‫مستعد بروز خطا است‪ .‬کنترلهای دستی طراحی شده برای کاهش ریسکهای تفکیک وظایف میتواند زمانبر و پرهزینه باشد‪.‬‬ ‫کنترلهای خودکار تفکیک وظایف در محیطهای کنترلی بهینه‪ ،‬کارآتر و قابل اعتمادتر است‪ .‬بسیاری از بخشهای حسابرسی‬ ‫داخلی متکی بر بررسی گزارشهای دسترسی فناوری اطاعات برگرفته از سیستم برنامهریزی منابع سازمان است؛ با این وجود‪،‬‬ ‫واقعیت آن است که بسیاری از افراد حرفهای‪ ،‬دانش ازم برای در نقش سیستم برنامهریزی منابع سازمان برای آن چه که تایید‬ ‫میکنند را ندارند‪ .‬بنابراین بررسی جامع تفکیک وظایف‪ ،‬یک ماموریت حسابرسی است که باید در تمام برنامههای حسابرسی‬ ‫داخلی فناوری اطاعات به صورت دورهای وجود داشته باشد‪.‬‬ ‫)‪1 . Identity Access Management (IAM‬‬ ‫‪11‬‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫حسابرسی تفکیک بسامان وظیایف‪ .‬ارزیرابی فرآینرد هرا و‬ ‫کنترل های فناوری اطاعات برای مردیریت اثرربخش تفکیرک‬ ‫وظایف‪.‬‬ ‫انجام ارزیرابی برر روی نقراطی کره در آنهرا تفکیرک وظرایف‬ ‫متعار وجود دارد و تطبیق آن با تعار های شرناخته شرده‬ ‫مرتبط با فناوری اطاعات‪ .‬ارزیرابی کنتررلهرا بررای مردیریت‬ ‫ریسک تعار های موجود‪.‬‬ ‫حسابرسی طراحی نقش‪ .‬ارزیابی طراحری نقرشهرای درون‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫* واحد فنراوری اطاعرات چگونره بررای شناسرایی مشرکات‬ ‫کاربرد دوگانه تفکیک وظایف سازمان ایفای نفش میکند؟‬ ‫* آیا کارکنان از نقش سیستم برنامهریزی منابع سازمان بررای‬ ‫بررسی سطوح دسترسی کاربری آگاهی و در کافی دارند؟‬ ‫* از آن روی که کنترلهرای برهکارگرفتره شرده بررای کشرف‬ ‫تعار های تفکیک وظایف میتواند منجر بره کشرف تحریرف‪-‬‬ ‫های مالی شود‪ ،‬آیا این کنترلها به واقرع مریتواننرد تقلرب را‬ ‫کشف کنند؟‬ ‫سیستم برنامهریزی منابع سازمان و سایر برنامههرای کراربردی‬ ‫* آیا سازمان نقشها را با روشی کره بره صرورت ذاتری ایجراد‬ ‫برای تعیین این که آیا مشکات ذاتری تفکیرک وظرایف درون‬ ‫تعار میکنند طراحی کرده است؟‬ ‫نقشها وجود دارد یا نه‪.‬‬ ‫* آیا کاربران سطوح دسترسی تعیین شده برای نقشهایی که‬ ‫ارائهی طراحی نقشها‪ ،‬پایشگری نقشها و‪/‬یا کمک مشراورهای‬ ‫مالکیت آنها تعیین شده است را در کرده اند؟‬ ‫به طراحی مجدد نقشها و حسابرسیهای قبرل و بعرد از اجررا‬ ‫برای حل مشکات شناسایی شده ناشی از تفکیک وظایف‪.‬‬ ‫* آیا سازمان در راستای شناسایی تعار های تفکیک وظرایف‬ ‫حسابرسی ا‪.‬اح تفکییک وظیایف‪ .‬پیگیرری یافتره هرای اقدامات مناسبی انجام داده است؟‬ ‫حسابرسرریهررای داخلرری و مسررتقل در حرروزهی تعررار هررای *آیررا برررای جلرروگیری از مشررکات حسابرسرری پایرران سررال‪،‬‬ ‫تفکیک وظایف‪.‬‬ ‫مشکات تفکیک وظایف فعاانه رهگیری شده است؟‬ ‫* آیا شیوه استفاده کنونی از نررم افرزار ‪ IAM‬یرا ‪ GRC‬بررای‬ ‫ارزیابی فناوری ‪ .IAM/GRC‬به منظرور بهبرود فرآینردهرا و مدیریت ریسک تفکیک وظایف‪ ،‬اثر بخش است؟‬ ‫کنترلهای حاکم بر تفکیک وظایف‪ ،‬چگونگی اسرتفاده از نررم *چه نرم افزاری میتوانست برای بهبود سطح کنتررل تفکیرک‬ ‫افزار ‪ IAM‬یا ‪ GRC‬موجود یا چگرونگی امکران اسرتفاده از آن وظایف به کار گرفته شود؟ نیازمندیهای کسبوکرار سرازمان‬ ‫مورد ارزیابی قرار گیرد‪.‬‬ ‫کدام است؟‬ ‫از دست دادن دادهها و حفظ حریم خصو‪.‬ی‪ :‬پیشگیری‬ ‫درطول چند سال گرشته‪ ،‬سازمانها در سراسر جهان با از دست دادن دادهها‪ ،‬سرقت اطاعات حساس داخلی خود و‪/‬یا افشای آنها به بیرون‬ ‫از سازمان مواجه بودهاند‪ .‬از دست دادن دادهها هزینههای مستقیم و غیرمستقیم سنگینی بر سازمانها تحمیل کرده و آسیبهای شدیدی به‬ ‫نام تجاری و شهرت آنها وارد کرده است‪ .‬انواع زیادی از رویدادها شامل فروش جزئیات حساب مشتری به طرفهای برون سازمانی و مفقود‬ ‫شدن تعداد زیادی لپتاپ‪ ،‬درایوهای ‪ ،USB‬نوارهای حاوی نسخه پشتیبان و دستگاههای تلفن همراه اتفاد افتاده است‪ .‬اکثریت قریب به اتفاد‬ ‫این حوادث ناشی از اقدامات کاربران داخلی و اشخاص ثالث مورد اعتماد و اکثرا ناخواسته بوده است‪ .‬از آنجایی که احتماا دادهها یکی از‬ ‫باارزشترین داراییهای سازمان به شمار میروند‪ ،‬حفاظت از آنها و پیشگیری از عمومیسازی مالیکت آنها از اهمیت باایی برخوردار است‪.‬‬ ‫برای انجام این کار باید از کنترلهای پیشگیرانه‪ ،‬ترکیب استراتژی و ارزیابی عملیاتی و شیوههای مختلف دیگر استفاده شود‪ .‬با این وجود‪،‬‬ ‫قبل از آن که کنترلهای پیشگیرانه برای حفظ دادهها بتواند به شکل موثری مورد استفاده قرار گیرند‪ ،‬سازمان باید به سه سوال اساسی پاسخ‬ ‫دهد‪:‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫دادههای حساس کداماند؟‬ ‫دادههای حساس درونسازمانی و دادههای مرتبط با اشخاص ثالث کجا نگهداری میشوند؟‬ ‫دادهها در نهایت به کجا میروند؟‬ ‫‪12‬‬ ‫در نتیجه‪ ،‬مدیران اجرایی منابع مالی بیشتری برای حفظ حریم اطاعات شخصی و برای پاسخ به افزایش مداوم الزامات و مقررات دولتی برای‬ ‫پیشگیری از جریان افزاینده ریسک‪ ،‬سرمایه گراری میکنند‪ .‬اما آیا آنها این منابع را در مسیر درستی بهکار میگیرنرد؟ حسابرسری داخلری‬ ‫میتواند برای کمک به سازمان جهت رهگیری این سوال به خوبی ایفای نقش کند‪.‬‬ ‫ماحظات کلیدی حسابرسی داخلی فناوری اطاعات‬ ‫حسابرسیهایی که تاثیر گذارند‬ ‫* دادههای حساس کداماند؟‬ ‫حسابرسی راهبری و طبقهبنیدی داده‪ .‬ارزیرابی مردیریت‬ ‫* دادههای حساس درونسازمانی و دادههای مرتبط با اشخاص ثالث‬ ‫فرآیند طبقه بندی دادهها و برنامه های توسعه حفاظت از داده‪-‬‬ ‫کجا نگهداری میشوند؟‬ ‫ها بر مبنای طبقهبندی‪.‬‬ ‫* دادهها در نهایت به کجا میروند؟‬ ‫بررسییی کنتییرلِ سییازوکار حفییظ دادههییا‪ .‬حسابرسرری‬ ‫کنترل های مدیریت حفظ حریم شخصی و داده های جاری‪ ،‬در‬ ‫* برای حفاظت ازدادهها چه کنترلهایی وجود دارد؟‬ ‫حال استفاده و سایردادهها‪ .‬مد نظر قرراردادنِ‪ :‬امنیرت محریط‪،‬‬ ‫* این کنترلها چگونه عمل میکنند؟‬ ‫نظارت بر شبکه‪ ،‬استفاده از پیام دهی فوری‪ ،‬نظارت برر کراربر‪،‬‬ ‫* سازمان در چه نقاطی آسیب پریر است و برای مدیریت این‬ ‫پاایش دادهها‪ ،‬ویرایش دادهها‪ ،‬کنتررل صردور‪/‬ذخیررهسرازی‪،‬‬ ‫نقاط چه اقداماتی باید انجام شود؟‬ ‫امنیت نقطه پایانی‪،‬کنترل رسانههای فیزیکی‪ ،‬تخریب‪ ،‬نرابودی‬ ‫و حفاظت از دستگاه تلفن همراه‪.‬‬ ‫حسابرسی قوانین و مقیررات حیریم خصو‪.‬یی‪ .‬ارزیرابی‬ ‫قوانین و مقررات حریم خصوصی اثرگرار برر سرازمان‪ .‬ارزیرابی‬ ‫واکنش مدیریت بره ایرن قروانین و مقرررات از طریرق توسرعه‬ ‫سیاستها‪ ،‬رویههای کنترلی و آگاهیبخشی‪.‬‬ ‫* سازمان تا چه اندازه قوانین و مقررات حفظ حریم خصوصی‬ ‫که عملیات تجاری بینالمللی آن را تحت تاثیر قرار میدهد به‬ ‫خوبی در کرده است؟‬ ‫* آیا سازمان سیاستهای خود را بهصورت مستمر بهروز کرده‬ ‫و اطاعرسانی میکند؟‬ ‫* آیا کاربران‪ ،‬رویههای کنترلی را به منظور پیروی قوانین و‬ ‫مقررات دنبال میکنند؟‬ ‫نتیجه گیری‬ ‫در عمیق ریسکهایی که در این مقاله به اشترا گراشته شد و مورد بحث قررار گرفرت‪ ،‬و نقشرهی راه اسرتراتژیکی کره بررای‬ ‫حصول اطمینان از رهگیری تمامی آن ریسکها مطرح شد‪ ،‬تنها یک گام ضروری برای عملکرد موفرق حسابرسری داخلری فنراوری‬ ‫اطاعات بوده است‪ .‬دادههای مفید برای تصمیمگیری‪ ،‬فناوریهای نوین‪ ،‬رویرههرای برینالمللری‪ ،‬و ترکیبری قدرتمنرد از سرازوکار‬ ‫مدیریت ریسکهای مترتب بر سازمان‪ ،‬مدیران اجرایی مسوول حسابرسی داخلری فنراوری اطاعرات را قرادر مریسرازد ترا از ایرن‬ ‫فهرستهای تهیه شده برای ایجاد مزیت رقابتی در سازمانهای خود استفاده کنند‪.‬‬ ‫باید توجه شود که ریسکهای مترتب بر سازمان از ناحیهی فناوریهای نوین و پیشرفت سیستمهای اطاعاتی و ارتبراطی‪ ،‬همرواره‬ ‫در حال تغییر بوده و تحوات قانون گراری‪ ،‬برای نمونه آن چه که به تازگی در دعوای میران فیسربو و اتحادیره اروپرا روی داد و‬ ‫منجر به لغو قانونِ «انتقال اطاعات اینترنتی از اروپا به آمریکا» شد‪ ،‬باعث میشود مدیران ارشد فناوری و مدیران ارشد حسابرسری‬ ‫داخلی سازمانها تمرکز خود را معطوف حوزههای نوین موید ریسک فناوری اطاعات کنند‪ .‬در هر صورت‪ ،‬سیاستهای شناسایی و‬ ‫مدیریت ریسک این حوزه باید با اولیتهای بااتر و بازههای زمانی کوتاهتر از سایر حوزهها مورد بررسری و برازبینی قررار گیرنرد ترا‬ ‫سازمان از این ناحیه متحمل ضررهای جبران ناپریر نشود‪ .‬به عنوان نتیجهی نهایی و موکد‪ ،‬باید یاددآور شد که ریسکِ «تغییرر در‬ ‫قوانین و مقررات نظارتی» و «تغییر در فناوری و ابزارها انجام عملیات» دو محر اصلی ریسک فناوری اطاعات سازمانها هستند‪.‬‬ ‫‪13‬‬ :‫منابع‬ Earnst & Young. (2013). “Ten key IT considerations for internal audit: Effective IT risk assessment and audit planning”. Insights on governance, risk and compliance. Earnst & Young. (2013). “Turning risk into results: How leading companies use risk management to fuel better performance”. 14