یک تیم حسابرسی عملیاتی موفق ، تیمی نیست که فقط الزامات قانونی (برای مثال مقررات مثال sox) را برآورد سازد، بلکه تیم حسابرسی عملیاتی می تواند خود به عنوان یک شریک کسب و کار، از طریق شناسایی حوزه های کلیدی مستعد بهبود ، به کارایی عملیات کمک نماید، حسابرسان عملیاتی معمولا شناسایی حوزه های کلیدی را با تدوین یک طرح حسابرسی آغاز می کنند . یک برنامه ریزی و طرح خوب چرخشی حسابرسی عملیاتی ، ضمن آنکه دامنه ی گسترده ای از ریسکهای واحد اقتصادی را پوشش می دهد ، بلکه در تعیین پروژه های حسابرسی که منجر به بهبود عملکرد عملیات در سراسر واحدها می شوند موثر است این حوزه ها به طور مختصر در 5 موضوع مهم زیر می بایست در تدوین یک برنامه سالانه حسابرسی عملیاتی موفق ، مورد توجه قرار گیرد.
5 زمینه ی مهم حسابرسی عملیاتی در یک طرح چرخشی حسابرسی موفق
(موضوعات مورد توجه کمیته حسابرسی KPMG)
تهیه کننده : زهرا کثیری
یک تیم حسابرسی عملیاتی موفق ، تیمی نیست که فقط الزامات قانونی (برای مثال مقررات مثال sox) را برآورد سازد، بلکه تیم حسابرسی عملیاتی می تواند خود به عنوان یک شریک کسب و کار، از طریق شناسایی حوزه های کلیدی مستعد بهبود ، به کارایی عملیات کمک نماید، حسابرسان عملیاتی معمولا شناسایی حوزه های کلیدی را با تدوین یک طرح حسابرسی آغاز می کنند . یک برنامه ریزی و طرح خوب چرخشی حسابرسی عملیاتی ، ضمن آنکه دامنه ی گسترده ای از ریسکهای واحد اقتصادی را پوشش می دهد ، بلکه در تعیین پروژه های حسابرسی که منجر به بهبود عملکرد عملیات در سراسر واحدها می شوند موثر است این حوزه ها به طور مختصر در 5 موضوع مهم زیر می بایست در تدوین یک برنامه سالانه حسابرسی عملیاتی موفق ، مورد توجه قرار گیرد.
1-حوزه ی امنیت سایبری
تداوم حملات سایبری، شدت خسارات ناشی از جرائم سایبری را در مدت زمان کوتاهی افزایش داده است . حسابرسی داخلی می تواند از طریق انجام حسابرسی عملیاتی و ارزیابی معیارهای که از جملات سایبری پیشگیری می نماید ،ریسک وقوع حوادث ناشی ازآنرا کاهش دهد. براساس آماری که گزارش verizonDBIR منتشر کرده است ، جرائم سایبری در سال 2019 به شرح زیر گزلرش شده است
_ حدود 87 درصد حملات سایبری در ظرف چند دقیقه و کمتر اتفاق افتاده است در حالی که ،کشف آنها ماهها به طول انجامیده است .
_ پیش بینی می شود میزان خسارات وارده ناشی از جرائم سایبری تا سال 2021 ، پیش از 6 تریلیون دلار باشد.
_56 درصد سازمانها خساراتی ناشی از نقض تعهدات فروشندگان و شرکت کنندگان در مناقصات را تجربه کرده اند.
پیشنهاد پروژه های حسابرسی عملیاتی در حوزه امنیت سایبری
1-1 ) رمز گذاری داده ها : از سیاستهای مرتبط با طبقه بندی داده ها اطمینان حاصل کنید . برای شناسایی و طبقه بندی مناسب داده ها ، بایستی داده های محرمانه ، جدا سازی و طبقه بندی شده و به عنوان داده های حساس یا محرمانه ، رمزگذاری و جهت انتقال یا بایگانی مشخص گردد.
2-1) سیاستها و کنترلهای مدیریت در دسترسی به داده ها : سیاستها و کنترلهای مدیریت در مورد حقوق دسترسی افراد به داده ها را مورد بررسی قرار دهید . حق دسترسی به داده ها می بایست بر اساس سیاستهای خاص کسب و کار تعریف و اعطا شود. بررسی ضرورت و ارزیابی حقوق دسترسی به داده ها ، بویژه زمانی که کارکنان شرکت را ترک می کنند، حایز اهمیت است.
3-1) انجام تست نفوذ داده های مرتبط با فروشندگان: اجرای تست نفوذ ،از امنیت داده های مرتبط با فروشندگان ، پیمانکاران و سایر اشخاص ثالث طرف قرارداد با شرکت ،حفاظت می کند. اجرای سیاست های امنیتی لازم جهت کنترل دسترسی به این داده ها با توجه به نیازهای داخلی به شدت ضروری است.
4-1)طرح احیا و تداوم فعالیت واحد (BCP) :حسابرسی طرح احیای کلی واحد (در زمان وقوع حوادث غیر مترقبه) ، برای حصول اطمینان از وجود ملاحظات مناسب برای حفظ کارکردهای اصلی کسب و کار بسیار ضروری است . وقوع حوادث غیر مترقبه و خرابی زیر ساخت ها، بروز حوادث مرتبط با امنیت سایبری، بلاهای طبیعی، وجود یک طرح احیا و تداوم فعالیت در شرکت را ضروری می سازد. در این طرح، انجام تمرینات به طور منظم، برای کلیه ی حوزه های ذیربط و توزیع دستور العمل های لازم ، بویژه هنگام وقوع حوادث غیر مترقبه اجتناب ناپذیر است.
5-1) بررسی بسته های سیاستی مدیریتی: بررسی بسته های مدیریتی که شامل گامهای یک سیستم مدیریتی ،از جمله وجود نرم افزار هایی شامل ،تحصیل ،آزمون ،نصب و استقرار اپلیکیشنهای کاربردی ضروری است.برای اطمینان از اینکه بسته های سیاستی مدیریتی (بویژه هنگام آسیب پذیری) به موقع اجرا می شود، بایستی آموزش های لازم داده شود و انتقال اطلاعات بدرستی صورت پذیرد .
6-1)ارزیابی آموزش امنیت اطلاعات کارکنان :بررسی مواد آموزشی مرتبط با امنیت اطلاعات برای کارکنان و اثر بخشی برنامه های آموزشی امنیت اطلاعات هر یک از کارکنان سازمان ،از اهمیت بالایی برخوردار است. کارکنان باید آموزش امنیت اطلاعات را دریافت کنند . همچنین مواد آموزشی وخط مشی های آموزشی امنیت اطلاعات، باید به طور منظم (حداقل سالانه ) به روز شود.
2- فرهنگ و اخلاق
امروزه شرکتها بیش از گذشته با فرهنگ پاسخگویی مواجه اند همچنین شرکتها با ریسکها ی غیر قابل پیش بینی و بی سابقه ی مخدوش شدن شهرت روبرو می باشند ، این ریسکها بر اعتماد سرمایه گذاران سایه افکنده است. بویژه این ریسکها موجب پاسخ جامعه به صورت حرکت جمعی در مواردی که این ریسکها، حوزه اطلاعات خصوصی و جنسیتی افراد اثر می گذارد به همراه داشته است . حسابرسی داخلی نقش قابل ملاحظه ای در کاهش ریسکهایی که شهرت آتی شرکت را بویژه در حوزه اخلاقی و ارزشها خدشه دار می کنند ، دارند .
پروژه های حسابرسی عملیاتی پیشنهادی در حوزه فرهنگ و اخلاق
1-2)اخلاق دیجیتالی: ارزیابی کنید که اطلاعات مربوط به مشتریان چگونه در سراسر سازمان از جمله در بخشهایی همانند بازاریابی و فروش مدیریت می شود. شناسایی کنید که آیا اهداف اخلاقی ، به عنوان بخشی از ماتریکس عملکرد شرکت ، در بررسی های عملکرد سالانه گنجانده شده است.
2-2) برنامه ریزی برای جانشین پروری: روش شناسی برنامه ریزی برای جانشین پروری، با هدف اینکه آیا شرکت روشهای حفظ یا سیاستهای تشویقی مرتبط با سرمایه انسانی خود را، با استفاده آموزشهای متقابل و همکاریهای استخدامی بکارگرفته است یا خیر، را ارزیابی کنید.
3-2) عدم تبعیضات جنسیت و نژادی:روشهای استخدام،پرداخت و ارتقاء را در سراسر قسمت های سازمان ارزیابی کنید در این خصوص بویژه ، نقاط تماس مشتری با کارکنان را مورد توجه قرار دهید و با اخذ بازخورداز مشتریان ، آنرا با رفتار کارکنان خود مقایسه کنید .در این مورد با توجه به اطلاعات جمع آوری شده ، گروههای قابل مقایسه انحرافات ناشی از اعمال تبعیضات ایجاد شده را شناسایی کنید .
3-اطلاعات و داده های شخصی
عدم توجه به حریم اطلاعات و داده های خصوصی مشتریان شرکت ،ریسکهای قابل توجهی را به لحاظ امنیت ملی و ریسک بزرگی برای شهرت شرکت ها ایجاد می کند برای مثال ، جریمه و خسارت 57 میلیون دلاری وارده به شرکت فیس بوک در خصوص تحلیل ارائه شده در مورد مقررات عمومی حمایت از داده ها ( GDPR) تصریح را به عنوان نمونه ای می توان نام برد. در این مورد سازمانها و صنایع در اندازه های مختلف ، تجربه های تلخی در خصوص شکست توافقنامه های مربوط به داده های مشتریان از جنبه های عمومی، بویژه در خصوص برند شرکت تجربه کرده اند و آسیب دیده اند .حسابرسان داخلی باید شناسایی کنندکه اطلاعات و داده های شخصی مشتریان، چگونه ذخیره می شود و اطمینان حاصل کنند که کنترلهای امنیتی لازم در مورداین داده ها برقرار شده است.
پروژه های حسابرسی عملیاتی پیشنهادی در خصوص اطلاعات و داده های شخصی
1-3)بررسی اجرای مقررات عمومی حمایت از داده ها (GDPR): اگر سازمانی جزو اتحادیه اروپا باشد، بایستی از مقررات عمومی شهروندی این اتحادیه تبعیت نماید . در این مورد حسابرس باید رعایت مقررات GDPR را برنامه ریزی کند و فعالیتهای شرکت را از جمله نحوه ذخیره اطلاعات و یا اطلاعاتی که توسط اشخاص ثالث کنترل می شود را ، هدف تشخیص اینکه آیا روشهای موجود برای رعایت مقررات GDPR مناسب است و حصول اطمینان از اینکه این مقررات توسط شرکتهای خارجی سازمان همکار مناسب بوده و آمادگی لازم را برای اجرای آن وجود دارد بکار گرفته میشود.
2-3)بررسی رضایت مشتریان: حسابرس باید میزان انطباق شرکت مورد رسیدگی را با مقررات حفظ حریم خصوصی مشتریان حسابرسی نمایند . همچنین با بررسی کنترل های حوزه های حریم خصوصی ،،از میزان رعایت سیاستها مرتبط با رضایتبخشی مشتریان بویژه استفاده از شناسه های رمزگذاری شده، به منظور حفاظت از اطلاعات مربوط به آنها اطمینان حاصل نمایید.
4-راهبری داده ها
برعکس داده های مربوط به مشتریان ،داده های بزرگ (BIG DATA) به داده های کل سازمان که ساختار نیافته اند و در سیلوهای مختلف داده ها قرار می گیرند اشاره دارد.شناسایی و ترکیب داده های بزرگ در بکارگیری تصمیمات شغلی و چالشها و خطرات جدید، یعنی ریسک داده ها را بوجود می آورد . در این مورد، بررسی های حسابرسی داخلی می تواند به اطمینان از وجود پاسخگویی و حمایت مدیریت و اعمال کنترلها و سیاست های مدیریتی مناسب برای مدیریت این ریسک ها کمک نماید.
پروژه های حسابرسی عملیاتی پیشنهادی در مورد راهبری داده ها:
1-4)بررسی کیفیت داده ها: در این مورد، نواحی و زمینه هایی که باید مورد حسابرسی قرار گیرد شامل ،سیاستها و روشها مربوط به انتقال داده ها و روشهای مدیریت داده ها هنگام تحصیل داده ها، بویژه رعایت استانداردهای مربوط به کیفیت داده ها میباشد.
2-4)تجزیه و تحلیل داده ها: زمینه حسابرسی در این مورد شامل سیاستها و روشها و وظایف تحلیل داده ها ،ذخیره سازی صحیح داده ها و اعمال کنترلهای مالکانه پیرامون مسئولیت های داده ها و کنترلهای مربوط به مخزن و پلتفرم خود سرویس داده ها و کنترل های سطح دسترسی داده ها می باشد.
5-ریسکهای مرتبط با اشخاص ثالث
وجود انگیزه های بیرونی ، از جمله مراکز داده ها،و پیمانکاران برون سازمانی که مسئولیت نگهداری داده های شرکت را بر عهده دارند، به ارتقای بهره وری و کارایی این فرایند کمک می کند ،لیکن در این مورد باید به هزینه های تحمل شده و پیچیدگی ریسکهای اشخاص ثالث نیز توجه نمود
بیش از دو سوم از سازمانهایی که از خدمات پیمانکاران برون سازمانی ، در خصوص نگهداری داده ها استفاده می کنند ، در این مورد مواجه با تحمل جرائم سنگین و درآمدهای از دست رفته شده و آنرا گزارش کرده اند. با توجه به تحمل خسارت و جرائم ناشی از نقص تعهدات شخاص ثالث بشرح فوق ،حسابرسان داخلی می توانند نقاط ضعف کنترلی این فرایند (برون سپاری مسئولیت نگهداری داده های اشخاص ثالث )را شناسایی و راه حلهایی جهت کنترل و مدیریت ریسک ناشی ازنقص تعهدات اشخاص ثالث را شناسایی نماید.
پروژه های پیشنهادی حسابرسی عملیاتی برای مدیریت ریسک اشخاص ثالث
1-5)بررسی سوابق و پیشینه پیمانکاران :یکی از اساسی ترین و موثرترین کنترلها ، برای حصول اطمینان از این است که پیمانکاران شخص ثالث کنترلهای لازم را بویژه در زمینه تطبیق با مقررات داخلی سازمان از جمله رعایت الزامات قبل از تاریخ انعقاد قرارداد را انجام می دهند.
2-5)بررسی مدیریت ریسک اشخاص ثالث : حسابرس باید چارچوب مدیریت ریسک اشخاص ثالث طرف قرارداد با سازمان را از ابتدا تا انتها بررسی کند و اطمینان حاصل کند که ریسک فروشندگان ارزیابی می شود و زمینه های مشاغل و ارزیابی ریسک فعالیتها جهت کاهش ایجاد ریسک به طور روزمره انجام میگیرد.
3-5)مدیریت قراردادها : حسابرس باید فرآیند انعقاد مدیریت قراردادها با اشخاص ثالث را ارزیابی کند همچنین از وجود فرآیندهای مورد استفاده برای ردیابی فروشندگان اطمینان حاصل نماید همچنین روابط با فروشندگان باید به طور مرتب ارزیابی شده و بویژه از اجرای بند های لازم الاجرا قراردادها اطمینان حاصل شود .
4-5)پایش ، نظارت و تطبیق :فرآیند پایش،نظارت را مشخص و ارزیابی کنید و از استقرار ،توسعه و انجام نظارت و پایش پیرامون سیستم بویژه ،از وجود یک سیستم تطبیق هماهنگ اطمینان حاصل کنید .وجود استاندارهای لازم در خصوص امنیت اطلاعات شرکت به مدیریت حسابرسی عملیاتی کمک می کند تا پروژه های حسابرسی داخلی را با توجه به درخواستهای پروژه های حسابرسی مربوط مدیریت نماید.