حسابرسی ریسکهای فناوری های لجام گسیخته
حسابرس داخلی در عصر دیجیتال
Auditing the risks of disruptive technologies
Internal Audit in the age of digitalization
ترجمه :دکتر حسین کثیری - سمیه کیقبادی
عصر دیجیتال
ما در میانه ی یک همگرایی هیجان انگیز قرار داریم. پیشرفت های فن آوری و روندهای آن در تحلیل پیشرفته، اتوماسیون ماشین های رباتیک (RPA)، و هوش شناختی (CI) به سرعت باعث شکل گیری شیوه های نوین کسب و کارها و بهبود تولید می شوند و سازمان ها را قادر می سازند به کمک نوآوری، تولیدات و خدمات را با مشتریان خود مرتبط کنند. بکارگیری گسترده ی این پیشرفت ها به عنوان صنعت 4.0 یا انقلاب صنعتی چهارم شناخته می شود .
این موضوع باعث لزوم ایجاد هماهنگی پیچیده ای می شود. همانطور که شرکت ها شروع به پذیرش فناوریهای نوظهور می کنند، حسابرس داخلی (IA)، می بایست ریسکهای جدید مرتبط با این فناوریها را ارزیابی کند. این کار ، حسابرس داخلی را قادر می سازد تا ارزیابی کند که آیا کنترل های مناسب برای جلوگیری و کشف ریسکهای جدید و نوظهور اجرا می شوند.
بسیاری از واحد های حسابرس داخلی در پرداختن به این اختلالات پیشرفت کرده اند. اگرچه ممکن است رویکردهای برخی از حسابرسان بالغ تر از بقیه باشد، بسیاری از واحد ها در فاز اولیه ی راه خود قدم بر می دارند. به علاوه، آن ها می خواهند که فناوریهای پیشرفته را برای مدرنیزه کردن و بهبود تاثیر برنامه هایشان مورد استفاده قراردهندتا از طریق مدیریت ریسک بهتری انجام دهند.
در حال حاضر، فناوریهای زیادی به سرعت در حال پیشرفت صنعت ویا انقلاب صنعتی 4.0 می باشد. این فناوریها شامل: شبکه های به هم متصل و قدرتمند (شبکه های عصبی)، محاسبه های با عملکرد بالا، و ایجاد ابزارهای دیجیتال نظیر تحلیل های داده ها، اتوماسیون ماشین های رباتیک RPA، و هوش شناختی CI هستند. به طور کلی، فناویهای جدید فوق به طور گسترده وعمیق در حال تغییر محیط کسب و کارها می باشند.
تمرکز این مقاله بر دیجیتالی شدن است. در صفحات زیر ما نگاهی دقیق تر به ریسکهای خاص مرتبط با فناوریهای دیجیتال لجام گسیخته خواهیم انداخت و برای کمک کردن به ارزیابی واحد های حسابرسی داخلی IA از این ریسکها، پیشنهاداتی ارائه خواهیم کرد.
کسب مهارت در حسابرسی ریسکهای دیجیتال
ارزیابی تاثیر فناوری های اتوماسیون ماشین های رباتیک RPA و هوش شناختی CI بر محیط کنترل های موجود، نظیر ریسکهای جدید، برای موفقیت به کار بردن این فناوری های جدید ضروری است. اما نیازی نیست که این چرخه ها را بازآفرینی کنیم. از طریق توسعه ی رویکردهای موجود برای مدیریت ریسکهای عملیاتی، می توان به این ریسکها پرداخت. هنگام ارزیابی این فناوری ها، حسابرسی داخلی IA می بایست بین مسئولیت هایش برای انجام وظیفه های زیر هماهنگی ایجاد کند:
وظیفه ی اطمینان دهی: فراهم کردن اطمینان دهی سنتی
وظیفه ی مشاوره : عمل کردن به عنوان یک مشاور قابل اعتماد
وظیفه ی پیش نگری: آماده شدن برای شناسایی ریسکهای نوظهور
این هماهنگی هم برسطح بلوغ سازمان و هم اهداف استراتژیک (راهبردی) واحد حسابرسی داخلیIA بستگی دارد.
وظیفه ی اطمینان دهی:
ریسکهایی که در چرخه ی توسعه ی حیات ربات ارائه می شوند (شکل 4)، لزوما جدید نیستند. آن ها عموماً توسعه یافته ی چارچوب مدیریت ریسکهای فناوری IT معمولی هستند. از آنجا که خطوط دوم و سوم دفاعی در مدل سه خط دفاعی، تلاش می کند تا رویکردش را برای انجام آزمون کنترل ها، با توجه به استفاده سازمان از فناوریهای جدید بروز نماید، بسیاری از سازمان ها به سمت مدل ترکیبی اطمینان دهی برای دستیابی به بهره وری بالاگام برمی دارند،. در این مورد ضروری است که حسابرسی داخلی IA، هر چه سریعتر دست به کار شود. این کار به IA حسابرسی داخلی کمک می کند که اطمینان دهی موثر و ارزشمند ایجاد کند که تکراری نیست.
چند ملاحظه ی عملی برای حسابرسی داخلی IA به منظور اضافه کردن ارزش در اطمینان دهی ،شامل موارد زیر است:
آزمون: واحد های های حسابرسی داخلی IA بایستی به مستندسازی سازوکارهای آزمون دسترسی داشته باشد و به طور مستقل آزمون های انجام شده توسط موارد مستندسازی شده ی نمونه، نتایج ایجاد شده، و مسائل مشاهده شده را بررسی کنند.
کنترل موارد استثناء ونظارت: برای نظارت بر ربات ها در آزمون و محیط های تولید و همچنین مسائل مربوط به تریاژ که امکان رخدادنشان وجود دارد، می بایست چارچوب و فرآیندی خاص طراحی شود. حسابرسی داخلی IA می تواند المان های و یا عوامل چارچوبی بشرح زیر را در نظر بگیرد، چرا که این چارچوب برای اطمینان دهی در طراحی عملکرد موثر ربات ها کارگشاست:
● شناسایی مسائل مربوط به ربات ها و راه حل: آیا ابزار و فرآیندهایی که ازدر کسب وکار شرکت برای نظارت بر کیفیت خروجی های ربات ها مورد استفاده قرار می گیرند، در مورد استثنائات بنحومناسب به اطلاع کارکنان میرسد و برنامه های از پیش تعریف شده ای برای حل و فصل موضو عات و بازنگهداری خدمات در هنگام عدم اجرای ربات ها وجود دارند؟
● مدیریت تغییر ربات ها : آیا فرآیند استانداردی برای انجام تغییرات به ربات های موجود نظیر اطلاع دادن به ذی نفعان، و به روزرسانی سازوکارها و پیکربندی ها وجود دارد؟
● مدیریت ریسک شخص ثالث: آیا فروشنده ی نرم افزار اتوماسیون مطابق با پروتوکل های موجود برای فروشندگان فناوری شخص ثالث قرارداد می بندند؟
● تداوم فعالیت کسب وکار : آیا برای تداوم فعالیت و برنامه احیا وبازسازی اطلاعات ناشی از بروز فاجعه نشی از تخریب ربات ها ویا سایر ضایعات فناوری IT شامل برداشتن گام های مقتضی برای ادامه دادن برنامه هایی که توسط نیروی کار دیجیتالی ربات محور انجام می شوند پیش بینی لازم شده است؟
● نظارت برربات وتطبیق : چگونه صاحبان ربات و پرسنل تطبیق که کارهای انجام شده توسط ربات را پیش بینی و برنامه ریزی می کردند، اطمینان حاصل می کنند که ربات ها به مقتضیات نظارتی و سیاست های شرکت پایبند می باشند؟
● فرآیند تمدید گواهی نامه: حسابرسی داخلی IA می بایست ذی نفعان کسب وکار و فناوری را برای انجام تمدید سالانه ی گواهی نامه طرح و اجرای فناوری های خودکار هوشمند اتوماسیون ماشین های رباتیک RPA و هوش شناختی CI تشویق کنند. در صورت لزوم، برای فراهم کردن اطمینان هدف از اینکه آیا آن ها به طور مقصود انجام می گیرند، فرآیند نیز می بایست آزموده شود.
ادامه مطلب را در فایل پیوست مشاهده بفرمایید