معرفی 20 ریسک کلیدی در حسابرسی داخلی

معرفی ۲۰ ریسک کلیدی در حسابرسی داخلی

شاهرخ شهرابی/ دانشجوی دکترای حسابداری دانشگاه تربیت مدرس محمد غواصی کناری/ دانشجوی دکترای حسابداری دانشگاه تهران در قسمت سوم، پیرامون ریسک‌های ناشی از تصویب «قانون حفاظت از داده‌های عمومی اتحادیه اروپا» و نقش حسابرسان داخلی در کمک به سازمان‌ها برای هم راستایی با ضوابط آن در کنار تشریح محرک‌های ریسک «امنیت سایبری» مطالبی مطرح شد. در ادامه، دو بخشِ نقش و الزامات حسابرسی داخلی در کمک به مدیریت ریسک امنیت سایبری تشریح شده و ریسک شماره ۵ یعنی، «تداوم فعالیت کسب وکار و واکنش به بحران» مورد بررسی قرار گرفته است.

ریسک شماره ۴: امنیت سایبری

نقش حسابرسی داخلی

در راستای پیاده‌سازی فرآیندهای موثر بر مدیریت اثربخش چنین ریسک هایی، این موارد باید به‌طور خاص مدنظر حسابرسان داخلی قرار گیرد: الف) انجام ارزیابی ریسک فرآیندهای مرتبط با امنیت سایبری سازمان با توجه به بهترین رویه‌های عملی و استانداردهای صنعت و ارائه توصیه‌هایی برای بهبود فرآیندها، ب) اجرای تست نفوذ روی برخی از دارایی‌های مبتنی بر فناوری، پ) بررسی وجود فرآیندهایی برای ارزیابی مورد توجه قرار گرفتن تهدیدهای کلیدی محیط دائما در حال تغییر فناوری اطلاعات توسط مدیریت سازمان، ت) ارزیابی پیاده‌سازی مدل‌های امنیت سایبری بازبینی شده مانند سازوکارهای دفاع چندلایه، کشف‌کننده‌های رخنه‌های امنیتی بهبودیافته و مدل‌های رمزگذاری داده ها، ث) ارزیابی توانایی شخص ثالثِ عهده دار مسوولیت تامین امنیت از منظر کفایت رهگیری ریسک‌های نوظهور امنیت سایبری.

الزامات حسابرسی داخلی

حسابرسان داخلی باید به منظور انجام رضایت بخش ماموریت‌های خود، شایستگی‌های زیر را کسب کنند:

الف) تخصص در حسابرسی سیستم‌های مبتنی بر فناوری اطلاعات از چشم انداز امنیتی شامل امنیت داده‌ها، امنیت شبکه، مدیریت دسترسی و ...، ب) درک صحیح وابستگی‌ها و تخصص فناوری اطلاعات شخص ثالث و بررسی ارائه دهندگانِ امنیت سایبری سازمان شامل بازبینی موافقت نامه‌های سطح خدمات، رویه‌های تدارکات و به کارگیری هرگونه سیستم کنترلی اضافه بر تامین‌کنندگان برون‌سازمانی و پ) توانایی اجرایی تست نفوذ روی سیستم‌های کلیدی برای شناسایی نقاط ضعف بالقوه کنترلی حوزه فناوری اطلاعات.

ریسک شماره ۵: تداوم فعالیت کسب وکار و واکنش به بحران

محرک ها

بسیاری از سازمان‌ها، رویه‌های «تداوم فعالیت کسب وکار» و «برنامه از سرگیری فعالیت‌ها پس از پایان وقوع رویدادهای فاجعه بار» را ایجاد کرده و توسعه داده‌اند، در حالی که هرگز آنها را در شرایط بحرانی واقعی، در بوته آزمون نگذاشته‌اند. با فرگشت پرسرعت محیطِ کسب وکار، ماهیت بحران‌هایی که سازمان‌ها به‌طور سنتی برای مدیریت آنها برنامه ریزی می‌کرده‌اند نیز تغییر یافته است. برای نمونه، در سال‌های اخیر، قرارگیری در معرض این موارد افزایش یافته است: الف) بحران‌های سایبری، شامل وقوع حملات جهت آسیب رسانی به امنیت سایبری، از رده خارج شدن سیستم‌های فناوری اطلاعات یا دسترسی و نفوذ به داده‌ها به واسطه وابستگی و اتکای بیشتر به سیستم‌های مبتنی بر فناوری اطلاعات؛ ب) بحران‌های فیزیکی شامل بلایای طبیعی، شیوع بیماری‌های خاص، و خشونت در محل کار به خصوص در مورد شرکت‌های چند ملیتی که در بازاری جهانی فعالیت می‌کنند، پ) بحران سوء شهرت به واسطه رسانه‌های دیجیتال و شبکه‌های اجتماعی که سرعت، ماهیت و تاثیر انتشار اطلاعات را افزایش داده اند؛ و ت) بحران‌های مالی به واسطه افزایش وابستگی متقابل اقتصاد جهانی و نوسان‌پذیری آن. با توجه به دلایل پیش گفته، سازمان‌ها نیازمند آن هستند که برنامه‌ریزی مناسبی برای پاسخ بلادرنگ، تصمیم‌گیری صحیح، بازیابی اثربخش و ارتباطات موثر را انجام داده و برنامه‌های تداوم فعالیت خود را متناسب با سناریوهای مختلف تدوین کنند.

نقش حسابرسی داخلی

حسابرسی داخلی می‌تواند در این موارد، سازمان را در مدیریت بهینه ریسک‌های مرتبط یاری کند: الف) بررسی مستقلی را درخصوص کلیت سیستم مدیریت بحران شامل راهبری، فرآیندها و ریسک‌ها و ارزیابی کیفیت و بسترهای ضروری برای پوشش بحران‌های متنوع انجام دهند؛ ب) آمادگی رهبران سازمان در مواجهه با شرایط بحرانی را از طریق انجام تحقیقات پرسش نامه‌ای جهت تعیین سطح ورزیدگی در مواجهه با شرایط بحرانی ارزیابی کنند؛ پ) اثربخشی و دانش سازمانی درخصوص برنامه‌های واکنش به بحران را از طریق شبیه‌سازی فعالیت‌های مرتبط با بحران و واکنش کسب وکار نسبت به آن را ارزیابی کنند؛ ت) با استفاده از رویدادهای متاخر در فضای رسانه‌ای، کسب دانش درخصوص ریسک‌های نوظهور، و درک عمیق کسب‌وکار، برگزاری کارگاه‌های مبتنی بر تکنیک توفان فکری را برای مدیران ارشد درخصوص سناریوهای احتمالی تسهیل کند.

الزامات حسابرسی داخلی

برای انجام ارزیابی اثربخش برنامه‌های تدوین شده، حسابرسان داخلی باید: الف) در تبیین فرآیندهای بهینه تداوم فعالیت کسب وکار و مدیریت اثربخش بحران، توانمند باشند؛ ب) درباره ریسک‌های بالقوه و نوظهور و بحران‌هایی که سازمان یا صنعتی خاص را تحت تاثیر قرار می‌دهد، اطلاعات کافی داشته باشند؛ پ) تجربیات مرتبطی در برگزاری کارگاه‌ها برای مدیران ارشد جهت شناسایی ریسک‌ها یا تمرین سناریوهای محتمل بحران داشته باشند؛ و ت) توانایی تجزیه و تحلیل انتقادی برنامه‌های مدیریت بحران و تداوم فعالیت را داشته و اثربخشی آنها را به چالش بکشند.

اخبار مرتبط