مقالات و تازه ها صفحه اول

یک شنبه, 17 آذر 98 | Sunday, December 8, 2019





 

چالش های پیش روی کارکردهای حسابرسی داخلی IT

تهیه کننده :زهراکثیری

زمان انتشار مطلب : چهار شنبه, 22 آبان 98

تکنولوژی و تاثیر آشفتگی بر بخش خدمات مالی به سرعت به اولوت اصلی سازمان ها در کنار رعایت مقررات تبدیل شده است. موسسات مالی تهدیدات روز افزون حملات سایبری، نیاز به نوآوری برای همگام شدن با تکنولوژی مالی تکامل یافته بهمراه افزایش تمرکز قانون گذاران بر مدیریت ،ITانعطاف پذیری داده و عملیاتی سیستم های مالی، را احساس می کنند. در نتیجه، بروی کارکردهای حسابرسی داخلی ITاین فشار وجود دارد تا نسبت به پوشش مطمئن کافی و مناسب چشم انداز ریسک ITبه قطعیت رسیده و به منظور تاثیرگذاری از چشم انداز اطمینان دهی و ورودی ارزش افزوده به مدیریت بعنوان یک شریک تجاری، سازگاری کافی پیدا کنند.

چالش های پیش روی کارکردهای حسابرسی داخلی IT
چالش های پیش روی کارکردهای حسابرسی داخلی IT
منبع:Deloitte 
1. امنیت سایبری
برای چهارمین سال متوالیست که امنیت سایبری در نقطه برتر بررسی ما قرار می گیرد. با توجه به تکامل
محیط تهدیدات سایبری و عمومیتی که حوادث سایبری دارند، این اتفاق عجیبی نیست. با این وجود
پاسخگویان ما تغییر در تمرکز سازمان شان از دفاع سایبری به انعطاف پذیری سایبری را بیان کرده اند؛
یعنی توانایی واکنش کارآمد پس از یک حادثه سایبری. این نشان می دهد که سازمان های خدمات مالی
پذیرفته اند که حالا سوال «چه زمانی» بجای «اگر» حادثه سایبری اتفاق بیوفتد مطرح است و در نتیجه
دیگر تنها تمرکز بروی معیارهای پیشگیرانه نمی باشد؛ توانایی شناسایی و بازیابی حادثه سایبری شاید امری
مهم تر باشد.
نقض های سطح بالا مثل 20میلیون دزدی از بانک مرکزی بنگلادش با استفاده از شبکه SWIFTو افزایش
نفوذ حملات باج افزارها به این معنی است که این موضوع هرگز از اولویت، توجه قانون گذاران و دستورکار
هیئت ها خارج نمی شود. در نتیجه افزایش آگاهی تهدیدات سایبری، تمرکز ارتقاء یافته ای بروی گزارش
ریسک سایبری در سطح هیئت دیده می شود. در سال %22 ،2102گزارشات سالانه FTSE100ریسک
سایبری را بعنوان ریسک اصلی بیان کرده است، با این وجود تنها %2اعضاء هیئت دارای تخصص سایبری
بوده اند. انتظار داریم که هیئت ها از نظر تخصص سایبری و ITعملی تحت نظارت و بررسی بیشتری قرار
بگیرند و به توانایی برسند تا بر چالش استراتژی سایبری پیش روی مدیریت نظارت و کنترل خوبی داشته
باشند.
چه تاثیری ایجاد می شود؟
الزامات مفصلی از سوی ناظرین ملی پیش بینی شده، درحالیکه شرکت های زیرساخت بازار مالی و بانک ها
(FMIs)بخصوص باید انتظار افزایش بررسی را داشته باشند. بعنوان مثال می توان به الزام جدید پیرامون
امنیت سایبری از دپارتمان خدمات مالی نیویورک اشاره کرد (23 NYCRR 500)که در مارس سال 2102
اجرایی شد. این قوانین شامل الزامات سختگیرانه ای برای موسسات مالی می باشند تا برنامه های امنیت
سایبری ارتقاء یافته ای داشته، روندها و سیاست های امنیت سایبری مکذوب را بپذیرند، و رویدادهای
سایبری را گزارش نمایند.
واکنش حسابرسی داخلی چیست؟
حسابرسی داخلی نقش بسزایی در کمک به سازمان ها برای مقابله با این خطرات و مدیریت تهدیدات
سایبری دارد که از طریق ارائه ارزیابی مستقل کنترل های کنونی و مورد نیاز، و کمک به کمیته های ریسک
و حسابرسی هیئت جهت درک و رسیدگی به ریسک های گوناگون دنیای دیجیتالی محقق می شود.
کارکردهای حسابرسی داخلی باید اطمینان دهند که دسترسی به منابع سایبری با تجربه و ماهر برای
مشارکت دادن ذینفعان و درک کامل چالش های ریسک سایبری پیش روی سازمان را دارند. حسابرسی
داخلی باید درک و آمادگی خود را برای مقابله با ریسک های سراسر تکنولوژی های جدید ارتقاء دهد؛
تکنولوژی هایی که معماری آینده را تشکیل می دهند، مثل سیستم های توانمند شده توسط زنجیره بلوکی
و مبتنی بر ابر.
برنامه حسابرسی داخلی برای اطمینان دهی در مقابل ریسک های سایبری نباید به تنهایی انجام گیرد؛
اصلاحاتی باید بر اساس ظهور ریسک های جدید، تغییرات در شدت نسبی و اهمیت تهدیدات موجود، و
سایر توسعه های کلیدی سازمانی، در نظر گرفته شود.
2.تغییر استراتژیک
چه چیزی تغییر کرده است؟
سرعت تغییرات تجاری و تکنولوژی بسیار بالاست و باعث شتاب گرفتن خدمات تکنولوژی مال( FinTech)
تحت پشتیبانی تکنولوژی های در هم گسیخته شده است. سازمان ها باید در رفع نیازهای هوش تکنولوژی و
مشتریان تازه کار دیجیتالی ثابت قدم باشند، یا به آینده ای که در پیش دارند توجه کنند. بیش از هر
موفقیت یا شکست اقدامات تغییر استراتژیک که پتانسیل ساخت یا انحلال سازمان ها را داشته، و شکست از
طریق تغییرات جدی ممکن است تاثیر منفی بر درک ارزش و مشارکت کارکنان داشته باشد. بطور برابر،
تغییرات باید مرتبط بوده و راه حل های اشتباهی که ممکن است ریسک بیشتری بر بازار داشته باشد، را
دنبال کنند.
چه تاثیری ایجاد می شود؟
با توجه به بازار سریعاً در حال تکامل، چشم انداز تکنولوژی و سیاسی، سازمان های بسیاری به سازماندهی
مجدد عملیات های تجاری خود نیاز دارند. بهمراه نیاز به مدل های جدید مشارکت مشتری، بروزرسانی های
محیط های ITمیراثی پس از سال های ترمیم های تاکتیکی، و فشار پیش رو برای کاهش هزینه های
عملیاتی، زمان تغییر سبد استراتژیک فرا رسیده تا تعادلی میان تحولات و ثبات بوجود آورد. تحول در این
مقیاس ذاتاً ریسک بیشتری پیش روی استراتژی تجاری قرار می دهد، و اهمیت کنترل های موثر و کارآمد
نهادینه سازی شده بعنوان بخشی از هرگونه اقدام تغییر، نباید دست کم گرفته شود.
واکنش حسابرسی داخلی چیست؟
کارکردهای حسابرسی داخلی توسط مدیریت و کمیته حسابرسی به چالش کشیده می شوند تا دیدگاه هایی
در مورد ریسک پیش از وقوع آن ارائه کنند تا اینکه بخواهند پس از گزارش حقایق با ریسک مواجه گردند.
بطور گسترده تر، افزایش تمرکز بروی ارائه دیدگاه نسبت به ظرفیت و توانمندی مدیریت در اجرای دستور
کار تغییر، اهرم این سه خط دفاعی برای نظارت بر چالش ریسک اجرایی وجود دارد.
در بستر تغییر استراتژیک، این مستلزم پذیرش روش های چابک، تحلیل بلادرنگ و روش مستمر برای
اطمینان بخشی از سوی حسابرسی می باشد؛ شامل تبیین اقدامات استراتژیک کلیدی و ارائه چالش های
مرتبط و منظم به مدیریت با مسیر مستقیم بسوی مسائل گزارشگری برای تصمیم گیرندگان.
3. مدیریت داده و حاکمیت داده
چه چیزی تغییر کرده است؟
مدیریت داده و حاکمیت داده برای دومین سال متوالی در رتبه سوم قرار گرفته است. استمرار ارتباط این
موضوع جای تعجب ندارد، زیرا سازمان ها نسبت به چالش رعایت 22 GDPRمی ،2102بنوعی بیدار شده
اند. نه تنها مقررات جدید حقوق مشتری بیشتری بهمراه می آورد، شامل حقوق مشتری، بلکه نیازی پیش
روی سازمان برای اثبات جایگاه قابل دفاع می باشد؛ بعبارتی توانایی اثبات رعایت مقررات جدید به مقامات
نظارتی مربوطه )در مورد بریتانیا، دفتر کمیسیون اطلاعاتی- .( ICOبدین ترتیب، شعار قدیمی «هیچ کسی
برای می 2102آماده نخواهد بود» دیگر معنایی ندارد. اگر سازمان نمی تواند جایگاه قابل دفاع خود را نشان
دهد، باید از نگاه ICOبه سازمان پرداخته شود.
چه تاثیری ایجاد می شود؟
درحالیکه خیلی ها GDPRرا بعنوان توسعه قانون حفاظت داده ای (DPA)می بینند، سازمان ها تشخیص
داده اند که شاید DPRرا رعایت نمی کنند، و در نتیجه به منظور رعایت آن بیش از حد باید تلاش به خرج
دهند.
نقطه آغاز برای توانایی تشریح رعایت قانون برای سازمان ها این است تا اطمینان دهند که موجودی داده ای
همه اطلاعات فردی و شخصی را در اختیار دارند. با این وجود، این کار چالشی بدنبال دارد: یعنی داده فردی
چیست؟ در هر قانون، داده فردی «اطلاعات مرتبط با فرد حقیقی شناسایی شده یا قابل شناسایی می
باشد»؛ پس چالش «قابل شناسایی» بودن است.
حتی اگر فرد را نتوان به تنهایی از یک قطعه داده ای شناسایی کرد (مثلاً شماره پرسنل کارکنان)، اگر بتوان
آن را در کنار سایر داده ها برای شناسایی فرد بکار گرفت، پس آن را داده فردی دسته بندی می کنیم. بدین
ترتیب سازمان ها مقیاس کارهای پیش روی خود را بهتر درک می کنند.
یافتن زمان برای انجام همه کارهای فوق چالش آمیز است؛ اکثر سازمان ها دریافتند که این کار را نمی
توانند بعنوان یک فعالیت جانبی انجام دهند و نیاز به منابع و زمان زیادی دارند. علاوه بر این، این چالشی
نیست که بتوان جدا از سایر مسائل بدان پرداخت. این چالش نیاز به زمان و تلاش کل سازمان دارد؛ هر
کسی بهترین فرد آگاه نسبت به داده هایی که در واحدهای سازمانی خود استفاده می کند، می باشد. با این
وجود خیلی مواقع سازمان ها بودجه مناسبی برای وقت خود در نظر نمی گیرند.
واکنش حسابرسی داخلی چیست؟
حسابرسی داخلی معمولاً به دو طریق با GDPR ارتباط دارد؛ بررسی محدوده و پیشرفت برنامه آمادگی
سازمان برای مقررات جدید، یا ارزیابی توانمندی سازمان در ارائه جایگاه قابل دفاع خود. علاوه بر این
کارکردهای حسابرسی داخلی در بررسی ما برای اطمینان دهی از چارچوب و استراتژی های حاکمیت داده
ای گسترده تر سازمان بوده است. این می تواند شامل بررسی روش های سازمان در جمع آوری داده و
استفاده از «داده بزرگ» بعنوان ابزاری برای هدفگذاری مشتریان با محصولات مرتبط، ارائه خدمات،
هدفگذاری مبتنی بر ویژگی های جمعیتی و مکانی، باشد.
4. بازیابی حادثه ITو انعطاف پذیری
چه چیزی تغییر کرده است؟
بازیابی حادثه ITو انعطاف پذیری در بررسی امسال یک رتبه صعود داشته که نشان دهنده تمرکز مستمر
سازمان ها بر نیاز برای اطمینان دهی انعطاف پذیری تجارت خود در محیط توانمندسازی شده توسط
تکنولوژی هستند. این تمرکز روز افزون قانون گذاران نسبت به این موضوع می باشد، و بدین ترتیب در رتبه
های بالای دستور کار بخش خدمات مالی قرار دارد.
چه تاثیری ایجاد می شود؟
تکنولوژی نوآور و جدید برای رسیدن به مزیت رقابتی در بسیاری از سازمان ها مورد استفاده قرار می گیرد.
آن می تواند بینش داده کاوی برای بیمه نامه ها، توانمندسازی شرکت های بیمه برای ارائه صرف رقابتی، یا
سیستم های با قابلیت استفاده و سطح عملکرد بالا در سازمان های بازار سرمایه باشند که به آن ها اجازه
می دهد تا نسبت به سایر رقبا از مزیت رقابتی و نقدینگی در بازار بهره مند شوند و زمان واکنش سریع و
دسترسی به داده برای کسب سودآوری را داشته باشند. در این موارد، تکنولوژی فراتر از تشکیل دهنده شیوه
مزیت رقابتی جویی سازمان عمل می کند. با کارکرد تکنولوژی می توان این مزیت را حفظ کرد و در کنار آ«
بروی توانایی سازمان ها در بازیابی حوادث سایبری تمرکز کرد؛ یعنی نیاز به حفظ انعطاف پذیری در دستور
کار سازمان ها.
واکنش حسابرسی داخلی چیست؟
در حالیکه کارکردهای حسابرسی داخلی همچنان مستلزم بررسی های یک به یک برنامه های بازیابی حادثه
هستند، اما تمرکز بروی ارزیابی انعطاف پذیری پیوسته سازمان است. این می تواند آمادگی سازمان در مقابله
با برنامه های بازیابی حادثه باشد، اما انعطاف پذیری کلی سیستم ها برای جلوگیری از حادثه باید در راس
سناریوی بازیابی از حادثه باشد. این چالشی پیش روی کارکردهای حسابرسی داخلی ITبرای توسعه
مجموعه مهارت های صحیح جهت ارزیابی جنبه های تکنیکی برنامه ریزی انعطاف پذیری عملیاتی را ارائه
می کند.
5. مدیریت ریسک اطلاعات/ امنیت اطلاعات
چه چیزی تغییر کرده است؟
مثل سال های گذشته شاهد استمرار روند سازمان ها در تفکیک موضوعات امنیت اطلاعاتی و امنیت
سایبری هستیم. در حالیکه برخی از این اصطلاحات بعنوان جایگزین هم استفاده می کنند، اما دیده شده که
امنیت اطلاعاتی با کنترل های اعمال شده برای پشتیبانی از مدیریت کارآمد فرآیندهای تجاری ارتباط
داشته مثل مدیریت دسترسی و هویت و امنیت بکارگیری، درحالیکه امنیت سایبری بروی توانایی سازمان در
کشف، واکنش به و بازیابی از تلاش های داخلی و خارجی که با هدف آسیب رساندن با سازمان یا مشتریان
آن بوده اند، تمرکز می کند.
چه تاثیری ایجاد می شود؟
بسیاری از سازمان ها وادار می شوند تا اثربخشی عوامل برنامه های امنیت اطلاعاتی خود در راستای الزامات
مقررات در حال ظهور، با تمرکز خاص بر مدیریت دسترسی و هویت، بازنگری نمایند. این نگرانی وجود دارد
که ظهور و برجستگی امنیت سایبری باعث شود تا مدیریت بیش از اندازه بر آخرین اقدامات سایبری متمرکز
شده و ترمیم مبنای امنیت اطلاعاتی (حوزه ای که بسیاری از سازمان ها با آن مشکل دارند) مثل مدیریت
دسترسی کاربر که زیربنای اثربخشی این اقدامات است را نادیده بگیرند.
علاوه بر این ظهور اتوماسیون فرآیند روبوتیک (RPA)بدین معناست که سازمان ها باید توجه داشته باشند
که آیا دسترسی به روبوتیک باید مثل دسترسی انسانی مدیریت شوند؛ بعنوان مثال، آیا مفهوم تفکیک
وظایف ارتباطی با اپراتور روبوتیک دارد؟
واکنش حسابرسی داخلی چیست؟
حسابرسی داخلی باید مطمئن شوند که علاوه بر تامین اطمینان نسبت به ریسک های نوظهور، مدیریت نگاه
خود نسبت به اهمیت کنترل های امنیت اطلاعاتی سنتی را از دست نمی دهد و یکپارچگی برنامه
حسابرسی را بصورت بررسی اختصاصی یا بخشی از برنامه حسابرسی های یکپارچه شده، استمرار می بخشد.
حسابرسی داخلی باید مدیریت را به چالش بکشد تا بروی ترمیم اصول و مبنا و در عین حال واکنش به
چشم انداز تهدید همواره در حال تغییر تهدید واکنش نشان دهد.
6. مدیریت اشخاص ثالث
چه چیزی تغییر کرده است؟
مدیریت اشخاص ثالث در بررسی سال جاری ما به دو بخش تقسیم می شود. این کار اساساً به سبب تمرکز
سازمانی بروی رعایت مقررات نوظهور مثل GDPRدر مقابله با کاهش درک اهمیت مدیریت موثر ریسک
اشخاص ثالث است.
چه تاثیری ایجاد می شود؟
در محیط تجاری امروزه، سازمان ها با فشاری برای یافتن راه های تشکیل مزیت رقابتی و کارایی عملیاتی
مواجه هستند. اکوسیستم های اشخاص ثالث، که بعنوان سازمان توسعه یافته معروف است، به منبع برجسته
ای از مزیت استراتژیک برای سازمان تبدیل شده، و اخیراً مدیریت ریسک اشخاص ثالث دیلویت گزارش
نموده که اهرم اکوسیستم اشخاص ثالث به سازمان در نوآوری، انعطاف پذیری، چابکی و صرفه جویی در
هزینه کمک می کند. با این وجود، ناسازگاری در رویکرد و کنترل ضعیف پیرامون مدیریت ریسک اشخاص
ثالث منجر به آسیب معنی دار مالی، شهرتی یا تنظیمی گردیده است. در جایی که قانون اشخاص ثالث
بعنوان پردازشگر داده های فردی عمل می کند، GDPRسازمان ها را ملزم می کند تا در موضوعات داده ای
مشخص کنند که کدام اشخاص ثالث مشغول پردازش داده های فردی هستند. همچنین سازمان مسئولیت
دارد تا به مقامات نظارتی و قانونی مرتبط راجع به هرگونه نقض اطلاعاتی بدون اتلاف وقت اطلاع دهد، حتی
اگر نقض اطلاعاتی مسئولیت پردازشگر داده اشخاص ثالث بوده باشد.
واکنش حسابرسی داخلی چیست؟
سازمان ها ممکن است تکیه بر گزارشات اطمینان بخشی اشخاص ثالث مثل SOC1یا ISAE3402را
اولویت بدانند، اما این اغلب سطح اطمینان بخشی محدودی را به سازمان می دهد. در عوض، دپارتمان های
حسابرسی داخلی به راه هایی می اندیشند تا بتوانند نقش بیشتری در تامین اطمینان بخشی نسبت به
اشخاص ثالث داشته باشند، و حسابرسی اشخاص ثالث را از جانب سازمان ها انجام دهند، یا بصورت سنتی
تری بروی کنترل های سازمان تمرکز کنند، مثلاً بررسی رویکرد کلی مدیریت ریسک اشخاص ثالث نسبت
به الزامات قانونی و شیوه های مناسب. کارکردهای حسابرسی داخلی ITهمچنین نقشی در آموزشی دادن به
کسب و کارها نسبت به مالکیت کنترل الزامات و اشخاص ثالث برای تشریح محیط کنترل کارآمد صرفنظر از
مالک کنترل، ارائه می کنند.
7. مدیریت ریسک ITو حاکمیت IT
چه چیزی تغییر کرده است؟
مدیریت ریسک ITو حاکمیت ITدر رتبه بندی سال گذشته ما یک رتبه نزول کرده است. با این وجود با
توجه به سرعت تغییر تکنولوژیکی و افزایش تمرکز قانونی بروی مدیریت ریسک ITو حاکمیت ،ITهیئت ها
بدنبال به چالش کشیدن مدیریت هستند تا از خود ساختارهای حاکمیتی ITکارآمدی را نشان دهند،
ساختارهایی که اطمینان می دهند عملکرد بصورت کارآمد تحت مدیریت بوده و ارزشی به پول می دهد.
علاوه بر این کار ها باید اطمینان ایجاد شود که فرآیندهای مدیریت ریسک ITبه شکلی کارآمد تضمین می
کند که قرار گرفتن در معرض ریسک ITهمسو با وضعیت ریسک سازمان بخوبی تحت مدیریت می باشد.
چه تاثیری ایجاد می شود؟
درحالیکه سازمان ها نیاز به تکامل استراتژی ITخود را فهمیده اند، این نیاز اغلب فرآیندهای مدیریت
ریسک ITو حاکمیت ITرا توسعه نمی دهد. فرآیندهای مدیریت ریسک ITو حاکمیت ITناکارآمد باعث
می شود تا مدیریت دید کافی نسبت به عملکرد و ارزش ارائه شده توسط ITو همچنین دید نسبت به
ریسک های نوظهور در محیط ITرا نداشته باشد. این امر نهایتاً باعث می شود تا تصمیمات استراتژیک بدون
درک کامل از تاثیر پروفایل ریسک سازمان و همترازی با ریسک اتخاذ شوند.
واکنش حسابرسی داخلی چیست؟
حسابرسی داخلی باید ارزیابی های مدیریت ریسک ITو حاکمیت ITرا با بررسی های موضوعی ITیکپارچه
نموده و چالش مستقیمی پیرامون توانمندی کارکردهای اول و دوم در شناسایی و گزارشگری ریسک ITاز
طریق انجمن های مناسب برای تصمیم گیرندگان ارائه کند. کارکردهای حسابرسی داخلی ITهمچنین نقش
مهمی بعنوان حامی مدیریت روزانه و همترازی بین تکنولوژی، کارکردهای ریسک عملیاتی و ریسک IT
دارند که بعنوان توانمندساز تصمیم گیری هوشمند از منظر طیف کاملی از ریسک های مرتبط عمل می
کنند.
8. رایانش ابری
چه چیزی تغییر کرده است؟
سازمان ها پذیرش رایانش ابری را با انتقال سیستم های غیرمحوری یا محیط های غیرتولیدی به محیط ابر
آغاز می کنند. سازمان ها بصورت روز افزون به انتقال محیط های تولید و پردازش محوری بسوی محیط ابر
توجه می کنند. پذیرش استراتژی « ITابتدا ابری» باعث تغییر پرسش «آیا این می تواند در محیط ابری
خوبی باشد؟» به سوال «چرا این نمی تواند در محیط ابری باشد؟» تغییر یافته است. این که آیا این محیط
ابری خصوصی، عمومی یا ترکیبی است، در هر صورت سازمان ها بدنبال درک مزیت های مدل های هزینه
قابل پیش بینی و با مقیاس پذیری سریعی که راه حل های ابری ارائه می کنند، می باشند. مزیت دیگر
حرکت بسوی راه حل ابری، پتانسیل کاهش سریع نسبت سیستم های منسوخ رایج در سازمان ها بهمراه
حالت میراثی پیچیده و انتقال فشار حفظ زیرساخت های اجرایی و تازه شدن برای ارائه کنندگان ابری است.
چه تاثیری ایجاد می شود؟
مدیریت باید تضمین کند که توانمندی مدیریت ریسک مربوط به پذیرش تکنولوژی های ابری را دارند.
بعنوان مثال باید مطمئن شوند که فرآیندهای انتخاب فروشنده آن ها به اندازه کافی دقیق است تا بتواند
ملاحظات سنتی ارائه شده بر حسب نوع توافقات را لحاظ کند و اینکه توانمندی در سازمان باید برای نظارت
کارآمد عملکرد ارائه دهندگان ابر بصورت عملیاتی و از چشم انداز مدیریت ریسک وجود داشته باشد.
واکنش حسابرسی داخلی چیست؟
همانند سایر اقدامات تغییر استراتژیک، کارکردهای حسابرسی داخلی ITباید اطمینان بدهد که سازمان
برای تحقق مزیت های مطرح شده در مورد تجاری اصلی آماده شده است و اینکه آیا سازمان به ریسک های
مرتبط حرکت بسوی محیط ابری توجه داشته است. FCAاخیراً FG16/5را منتشر کرده است: راهنمایی
برای برونسپاری شرکت ها بسوی ابر و سایر خدمات ITاشخاص ثالث که نقطه ارجاع انتظارات قانون گذار در
مورد ریسک برای کارکردهای حسابرسی داخلی ITمی باشد. در عین حال موضع FCAرا تکرار می کند که
طبق آن پردازش را می توان برونسپاری کرد اما مدیریت ریسک را نمی توان. کارکردهای حسابرسی داخلی
ITنقش مهمی در طول انتقال خدمات به محیط ابر ایفا کرده و نقش مشاور را در طول مسیر پروژه های
پذیرش ابر یا از طریق بررسی های پس از پیاده سازی مزیت های ارائه شده و عملیات های کنترل کلیدی
پیاده سازی شده جهت نظارت بر ارائه کننده خدمات و مدیریت ریسک های مرتبط، دارد.
9.  ریسک موبایلی و دیجیتالی
چه چیزی تغییر کرده است؟
ریسک موبایلی و دیجیتالی به فهرست ده موضوع برتر صعود داشته است. این به سبب ماهیت فراگیر
پلتفورم های موبایلی و دیجیتالی، بالیدگی پیشنهادات عرضه شده تنها از طریق موبایل، انتظارات مشتری
نسبت به دسترسی به خدما محرک ضرورت استراتژی برای سازمان ها جهت مشارکت مشتریان از طریق این
کانال ها بوده است. طبق بررسی اخیر مشتریان موبایلی جهانی، %22از افراد 22-22سال امروزه دسترسی
به گوشی هوشمند دارند. پذیرش گوشی هوشمند محدود به نسل های جوان نیست و در حقیقت افراد -22
22ساله جزء سریع ترین پذیرندگان در پنج سال گذشته این گروه سنی بودند که به گوشی هوشمند
دسترسی پیدا کردند.
چه تاثیری ایجاد می شود؟
با افزایش تمرکز بر دسترس پذیری خدمات و تجربه کاربر، محرکی برای تسریع مسیر به بازار برای
کاربردهای جدید و یا ارتقاء برای محصولات کنونی وجود دارد. برای واکنش به این امر، بسیاری از
کارکردهای ITاز روش توسعه نرم افزار چابک برای بهبود تجربه کاربر نهایی استفاده می کنند و دیگر بروی
چرخه های انتشار بزرگتر و کندتر تمرکز نمی کنند. این درک وجود دارد که حرکت بسوی روش توسعه نرم
افزاری چابک منجر به کنترل ضعیف تری می گردد؛ این امر با اعمال اصول چابک رخ نمی دهد، با این وجود
پیاده سازی کنترل ها ممکن است خیلی متفاوت از آن ها در هنگام استفاده از روش توسعه نرم افزاری
آبشاری سنتی باشد.
واکنش حسابرسی داخلی چیست؟
کارکردهای حسابرسی داخلی ITباید برای پذیرش سبکی جهت همراه شدن با شیوه های جدید کارکرد
آماده شوند، و نباید تمرکز خود را بروی اهداف کنترل و جستجوی اطمینان بخشی در طول زمان از دست
بدهند. در محیط چابک، این مستلزم توانایی درک زبان و تعاریف مورد استفاده تیم های چابک و داشتن
توانایی شناسایی نقاط کنترل قابل کاربرد در شیوه های جدید کاری می باشد. معمولاً این امر منجر به
کاربرد ابزارهای خودکار و تحلیل ها برای بررسی عملیات این کنترل ها بصورت تاریخی و بلادرنگ می باشد.
حسابرسی داخلی باید مراقب موقعیت هایی باشد که طی آن ها اصول چابکی بصورت سازگار در چرخه
حیات توسعه نرم افزاری اعمال نمی شود. بطور کلی، استفاده از ترکیب فرآیندهای آبشاری سنتی و چابک
قابل قبول است (روش ترکیبی.) با این وجود این را نباید بهانه ای برای فعالیت کردن در محیط هایی که
مستندسازی و پایبندی به کنترل جزئی دارند، بدانیم.
10. معماری تکنولوژی سازمانی
چه چیزی تغییر کرده است؟
درحالیکه معماری تکنولوژی سازمانی دو رتبه نزول داشته، اما جزء ده موضوع برتر سازمان های خدمات
مالی می باشد. این سازمان ها معمولاً با تکنولوژی های پیچیده و گرانی مواجه هستند که نتیجه دوره های
طولانی رشد از طریق ادغام و یکپارچگی می باشد.
چه تاثیری ایجاد می شود؟
سازمان هایی که با تهدید روز افزون رقبای چابک مواجه هستند، بدنبال فرصت هایی جهت ساده سازی
حالت خود بصورت بخشی از محرک افزایش توانایی برای همگام شده با نیازهای درحال تکامل بازار هستند.
در عین سازده سازی تکنولوژی، هدف منطقی کاهش سربارهای عملیاتی، تلاش برای ساده سازی فشارهای
کارکردهای توسعه یافته ITبرای تضمین حفظ وضعیت عملیاتی سیستم های میراثی می باشد. هزینه منابع
اضافی برای توقف این فشار باید بر اساس هزینه شکست در پذیرش و نیازهای مدیریت مناسب سنجیده
شود. بطور برابر، روش تغییر باید انعکاس دهنده روند ریسک سازمان باشد؛ تغییرات تدریجی ریسک کمتری
را برای فرآیندهای BAUو انتشار هزینه در دوره طولانی تر بهمراه دارند، اما ممکن است مزیت های سریع
را به شکلی با دوام ارائه نکنند. بطور عکس، پروژه های تغییر در مقیاس بزرگ، ریسک از هم گسسیختگی
BAUو هزینه کوتاه مدت بالاتر را بهمراه داشته، اما ممکن است مزیت ها را سریعاً ارائه کند.
واکنش حسابرسی داخلی چیست؟
درحالیکه انتظار می رود کارکردهای حسابرسی داخلی ITاطمینانی نسبت به امنیت و انعطاف پذیری حالت
میراثی ارائه کند، تعادل این امر و اطمینان از این که کارکردهای حسابرسی داخلی ITبعنوان عامل ارزش
آفرین فهمیده می شود و صرفاً یک مسئله تکراری شناخته شده نیست، بسیار اهمیت دارد. در این باب،
بسیاری از کارکردهای حسابرسی داخلی ITبروی برنامه های تغییر متمرکز هستند که با چالش های حالت
میراثی از طریق بررسی حاکمیت پیرامون تصمیمات استراتژی و همچنین ارائه اطمینان بخشی پیشرونده در
طول دوره برنامه های تغییر در مقیاس بزرگ، مقابله کنند. کارکردهای حسابرسی داخلی ITهمچنین
اثربخشی مدیریت ریسک ITرا بررسی می کند تا اطمینان دهد که تصمیم گیرندگان اطلاعات مناسب
ریسک در اختیار دارند و می توانند تصمیم گیری های استراتژیک آگاهنه ای اتخاذ کنند

مجموعه آموزش های کوتاه ویدئویی

قسمت اول : شناخت و ارزیابی سیستم کنترل های داخلی در سطح سازمان