نقش حسابرس در راهبری فناوری اطلاعات

Alex Woda

راهبری فناوری اطلاعات به‌تعریف متولی آن یعنی انجمن راهبری فناوری اطلاعات  کسب اطمینان از همسو‌ بودن استراتژی فناوری اطلاعات با استراتژی عمومی سازمان یا بنگاه اقتصادی، و مدیریت خطرهای مداوم ایجاد و اجرای سیستمهای فناوری اطلاعات است. این وظیفه، مسئولیتی وسیع و سطح بالاست و در جریان فرایندهای کاری و برای به‌کارگیری فناوری اطلاعات کارامد و کنترل‌شده، برعهده هیئت‌مدیره و مدیران اجرایی قرار دارد.
نقش حسابرس در این میان چیست؟ حسابرس همیشه درنقش پشتیبان و تسریع‌کننده، یاور مدیران در راهبری فناوری اطلاعات و مواردی از قبیل مدیریت مالی، رعایت تکالیف قانونی و مدیریت عملیات بوده است. به دلیل زیاد بودن سرعت تغییرات و میزان منابعی که سالانه صرف فناوری اطلاعات می‌شود، مدیریت آن مشابه قایقرانی در آبهای خروشان و یا رام‌ کردن اسب سرکش شده است. حفظ کنترل در یک محیط ناآرام و پویا نه‌فقط چالش، بلکه ماجراجویی است. اکنون بیش از همیشه لازم است که حسابرس برای حمایت و کمک به مدیران در استقرار سیستم راهبری برای فناوری اطلاعات و مدیریت آن تلاش کند.
بنابراین، باید بررسی شود که بهترین روش استقرار سیستم راهبری فناوری اطلاعات کدام است. بیان همسوسازی طرحهای استراتژیک فناوری اطلاعات با استراتژی کلی خیلی ساده‌تر از عملی کردن آن است. در دهة گذشته، بسیاری از انواع استراتژیهای جدید بازرگانی و فناوری اطلاعات به‌وجود آمده است که از پایه با روشهای قدیمی و انعطاف‌ناپذیر قبلی، تفاوت دارد. در این انواع جدید استراتژی، توجه اصلی بر استراتژیهای متنوعی است که پویاست و دائما" اندازه‌گیری و ارزیابی می‌شود. توسط این نوع استراتژیها، با استفاده از علامتها و مکانیزمهای بازخور بازار، در تصمیمگیری درباره بخشها و سمت و سوی امور و تولیدات به مدیران کمک می‌شود.
در سالهای اخیر، انواع جدیدی از سیستمهای بازخور و نظارت به‌وجود آمده است که از این نوع برنامه‌ریزی پشتیبانی می‌کند. برای مثال، در شرکتهای سرمایه‌گذار، که برای تجارت استراتژیک و تشکیل اولیه شرکتهای خاص بسیار مورد توجه است، برخی از شرکتها برای یاری جستن از مشتریان خود در مورد انتخاب بهترین استراتژی، روش بازخور مستقیم را به‌کار گرفته‌اند. البته این به‌مفهوم کنارنهادن سایر روشهای مدیریت نیست، بلکه مفهومش این است که مرکز توجه تغییر کرده است و شرکت با قبول تغییر و تحول، آزمون روشهای جدیدتر و اکتشافات نو را می‌پذیرد.
آیا به‌کارگیری روشهای جدید، منابع بیشتری به‌کار نمی‌گیرد و کیسه شرکت را خالی نمی‌کند؟ البته ممکن است جواب مثبت باشد، اما، باید توجه داشت که:
• با این کار از خطر ادامه یک استراتژی درازمدت بازنده که رضایت و انتظارات مشتریان را برنمی‌آورد، جلوگیری می‌شود.
• این کار به‌وسیله گروه مدیران پویایی، پشتیبانی می‌شود که به‌طور مداوم، استراتژی، برخوردها و جهت حرکت شرکت را تحت بررسی و ارزیابی قرار می‌دهند.
به‌کارگیری این روش، مشابه اعزام پیشگامان و دیده‌بانهای لشکر به خط مقدم جبهه برای گزارش وضعیت و شرایط جبهه و مواضع دشمن است. اما اثر این‌کار بر فرایند برنامه‌ریزی استراتژیک فناوری اطلاعات چیست؟ این بدان معنی است که فرایند، مهمتر از فرآورده نهایی است. محصول فرعی یا فرآورده یک طرح استراتژیک کلی، برنامه فناوری اطلاعات سازمان یا بنگاه اقتصادی است. برنامه مزبور شامل فهرست اولویتها، تخصیص منابع و شرح سیستمهای کاربردی و پروژه‌های زیرسازی برنامه‌ریزی شده برای سال بعد است. با به‌کارگیری روشهای نظارت استراتژیک جدید، این برنامه‌ها ممکن است برحسب شرایط جدید، در کوتاهمدت به‌میزان زیادی تغییر کند.
در مراحل ایجاد سیستمها و کاربردها نیز تغییرات زیادی به‌وجود آمده است. در لیست سیستمها و فناوریهای جدیدی که نیاز به‌بررسی و مهارشدن دارند می‌توان به خرید انواع بسته‌های نرم‌افزاری، نمونه‌سازی، تحویل سریع سیستمهای کاربردی سفارشی، همکاری درتولید نرم‌افزار، برنامه‌نویسی موضوع‌گرا و سیستمهای سفارشی مشتریان، اشاره کرد. نکته بسیار مهم این است که سازمان برای برنامه‌ریزی، تحلیل، طراحی، ایجاد، آزمایش و پیاده‌سازی سیستمها دارای ضوابط، اهداف و راهنماهایی باشد. پیگیری و نظارت بر کیفیت، برنامه‌ها و زمانبندی پروژه‌های ایجاد سیستمها از ضروریات اساسی راهبری فناوری اطلاعات است.
اخیراً تغییر دیگری هم در مدیریت روی داده و جای طرحهای استراتژیک انعطاف‌ناپذیر را، عبارات روشن در باره اهداف سازمان و طرز رفتار کارکنان گرفته است. در دهه گذشته، بتدریج، مسئولیتهای بیشتری به کارکنان و مدیران سطوح میانی واگذار شده است. به کارکنان اجازه داده می‌شود که در قالب مجموعه‌ای از ضوابط سازمان، به‌انجام وظایف خویش بپردازند؛ ضوابطی کلی از قبیل:
• با مشتریان و کارکنان با احترام رفتار شود،
• تولید ما کیفیت است،
• هدف ما بهتر کردن مداوم خدمات ماست.
منظور این است که جنبه‌های رفتاری این‌گونه ضوابط کلی، راهنمای رفتار و تصمیم‌گیریهای کارکنان باشد. برای مثال دیده شده است که ضوابط کلی از قبیل: “با تمام مشتریان یکسان رفتار شود”، “ما کیفیت تولید خود را تضمین می‌کنیم”، و “ما بیراهه نمی‌رویم” (یا ما مستقیم و از مسیرهای مجاز حرکت می‌کنیم) تاثیری بسیار بیش از پنجاه جلد آیین‌نامه و استانداردهای عملیات بر رفتار کارکنان دارند؛ متونی که حسابرس تنها هنگامی به آنها مراجعه می‌کند که درباره وجود آیین‌نامه‌ای مدون،تردید پیدا کرده باشد.
این روند جدید بدان مفهوم نیست که استاندارد و ضوابط نباید وجود داشته باشد بلکه بدین معناست که ضوابط و استانداردها باید راهنمای کارکنان برای رسیدن به اهداف سازمان باشد. این مفهوم درست نقطه مقابل روش دستوری به کارکنان برای پیروی از ضوابطی است که لزوماً همیشه در جهت اهداف سازمان نیست. به‌عبارت دیگر تاکید، بیشتر بر این است که چه‌کاری باید انجام شود تا این که کار، چگونه باید انجام گیرد.
سازمانهایی که برای ایجاد یک محیط خلاق و پویا از روش تعیین اهداف و طرز رفتار کارکنان بهره می‌گیرند، بیشتر توجه خود را در برنامه‌ریزی به مشخص‌کردن هدفها و نتایج معطوف می‌کنند. این هدفها و نتایج همراه با ارزشها و آیین رفتار کارکنان، چارچوب یا قالب لازم را برای برنامه‌ریزی، ایجاد، نظارت و کنترل عملیات جاری و پروژه‌های جدید سازمان، به‌وجود می‌آورد.
راهبری باید توجه خود را بیشتر معطوف به چگونگی رسیدن به هدفها کند و کمتر در فکر پیروی از یک فرایند خاص باشد. در گذشته برای کنترل مناسب شرکتها، از ضوابط عملیاتی استاندارد، استفاده می‌شد. در شرایط کار امروزی، به‌ویژه در مورد فناوری اطلاعات، تاکید بیشتر بر نتایج نهایی کار پروژه‌ها و تعیین استانداردهای اندازه‌گیری کیفیت آن است تا بر پیروی از یک روش انعطاف‌ناپذیر. این تاکید به‌مفهوم حذف استانداردها، روشها و آیین‌نامه‌های اجرایی نیست؛ چون تاکید بر یکی به‌معنای حذف دیگری نیست بلکه به میزان تاکید بر هر کدام، مربوط است و به‌مفهوم به‌کارگیری میزان کنترلهای مناسب در هر مورد، متناسب با میزان اهمیت و زیانهای ناشی از خطر آن است. نظریه برقراری کنترل به‌خاطر ایجاد کنترل باید کنار گذاشته شود و هر کنترل، با توجه به تعادل بین هزینه ایجاد و منافع حاصله از آن برقرار شود.
در هنگام تعیین میزان کنترل برای یک فرایند یا سیستم، برای به‌حداقل رساندن خطرها باید به میزان اهمیت خطرهای موجود توجه شود. برای اینکه کنترلها کارامد و موثر باشند باید میزان کنترل با میزان خطر متناسب باشد. به‌علاوه کنترل باید در محدوده ظرفیت، شکل و هدفهای فرایند باشد.
تغییر یک فرایند، با حذف مراحل مشخص و دادن اختیار به افراد در قالب چارچوبها، راهنماها و مشخصات تحویل کار، موجب کارامد شدن مراحل تولید می‌شود، و در بیشتر موارد، در میزان خطر تغییری به‌وجود نمی‌آید. باید راه‌حلی برای ایجاد تعادل پیدا کرد. یک راه‌حل این است که تاکید بیشتری بر کنترلها بشود ولی این نیز ممکن است بیش از ظرفیت فرایند باشد.
هدف کلی، هماهنگ کردن فرایند کارامد با کنترلهای کارامد و افراد کارامد است تا شاهین ترازو را در جهت مثبت بچرخاند و برتری نسبی رقابتی ایجاد کند. برای حرکت در این جهت، باید فرایندها و کنترلهای کارامدتری طراحی و مدیریت کارکنان بهتر شود. یک سیستم راهبری که بخوبی درک و بدرستی اجرا شود به کارامدی تشکیلات کمک خواهد کرد.

ایفای نقش متعادل سازی
در مدیریت جدید، نقش حسابرس چیست؟ نقش حسابرس بیشتر متمایل به نقش یک شریک است. هنوز هم حسابرس مسئول بررسی و اظهارنظر مستقل در مورد عملیات و کنترلهای شرکت است و باید این کار را در مجموعه برنامه‌های حسابرسی و در پی توافق با هیئت‌مدیره انجام دهد. اما، حسابرس می‌تواند در موارد زیر هم با مدیریت همکاری کند:
• تدوین و اجرای برنامه‌های ارتباطی و آگاه‌سازی،
• توصیه نکات کنترلی مناسب برای فرایندهای جدید کاری،
• تشخیص خطرها و نقاط ضعف در طرحها، سیستمهای دردست ایجاد و اجرای فناوری اطلاعات.
مدیران بخش فناوری اطلاعات همچون سایر رهبران شرکت، نگران ارتباطات و کنترلها هستند. کنترلهای مورد نظر عبارت است ازکنترلهای داخلی و فرایندهایی که برای مدیریت خطر، حصول اطمینان از رعایت مقررات قانونی و انجام امور به‌روشی که همسو با هدفها و ارزشهای شرکت باشد، برقرار می‌شود.
شش گام که می‌تواند در برقراری یک چارچوب راهبری برای بخش فناوری اطلاعات در سازمان یا بنگاه اقتصادی کمک‌رسان باشد، در زیر آمده است:
گام اول: حسابرس باید در تدوین برنامه‌های کار کلی شرکت کند و بر تغییرات برنامه‌ریزی‌های فناوری اطلاعات نظارت داشته باشد. با توجه به نوع جدید فرایند برنامه‌ریزی استراتژیک و تدوین برنامه‌های کاری، کاملا" لازم است که حسابرس بخشی از فرایند مزبور باشد و برنامه‌های کاری فناوری اطلاعات به او اطلاع داده شود.
گام دوم: حسابرس باید در پروژه‌های ایجاد سیستمهای کاربردی مشارکت کند و برای استقرار کنترلهای داخلی مناسب و کمینه‌سازی خطر، توصیه‌های لازم را بکند. مشارکت فعال حسابرس در گروه پروژه‌های ایجاد سیستمهای کاربردی برای فرایند راهبری فناوری اطلاعات بسیار مفید است. در صورت دادن کار به پیمانکار خارج از شرکت و داشتن مدیر پروژه، تعداد کارکنان شرکت در پروژه، بسیار کم خواهدبود. راهبران شرکت به گروه پروژه کمک می‌کنند تا هدفها را تامین کنند و سیستمهای با کیفیت مناسب مستقر سازند (البته بموقع بودن و تجاوز نکردن از بودجه پیش‌بینی شده هم بسیار مهم است). حسابرس به اطمینان یافتن از کیفیت تولیدات، استانداردها و تامین هدفهای راهبران کمک می‌کند. مشارکت حسابرس در پروژه‌های ایجاد سیستمهای کاربردی در نقش مشاور راهبران و کنترلهای داخلی شرکت است.
گام سوم: حسابرس باید فرایندهای بازرگانی فناوری اطلاعات را مورد رسیدگی قرار دهد تا مطمئن شود که فرایندهای مزبور:
• با ساختار و فرهنگ تشکیلات هماهنگ است،
• با خطرهای فناوری اطلاعات برخورد مناسبی دارد، و
• امکان تامین هدفهای بازرگانی را برای بخش فناوری اطلاعات ایجاد کرده است.
حسابرسی فرایند بازرگانی که مجموعه‌ای از بخشها و حیطه‌های مسئولیت مختلف را دربر می‌گیرد محیط باقی یا ماندگار حسابرسی است. در شرایطی که شرکتها سعی زیادی در هماهنگ‌کردن فرایندها و بهبود مدیریت خطر دارند، فرایند بازرگانی یکی از اساسی‌ترین ارکان عملیاتی و بخشی است که از آن راهبری شرکت، مستقر و تداوم می‌یابد. حسابرس، با ابزارهای مناسبی چون نشریات هدفهای کنترلی برای فناوری اطلاعات و رشته‌های پیوسته  و کسب مهارت در چاره‌سازی و تحلیل خطرها می‌تواند منبع مهمی برای شناسایی نقاط ضعف فرایندها و ارائه پیشنهادهای اصلاحی، برگرفته از بهترین روشهای معمول در آن رشته از کار باشد.
گام چهارم: حسابرس با مساعدت در آموزش و آگاهی‌دادن درباره مدیریت خطر، کنترلها و بهترین روشهای موجود، می‌تواند سهم خود را در راهبری فناوری اطلاعات، ایفا کند. نمونه‌های کنترلی مانند نشریات مذکور در گام قبلی و مطالعه بهترین روشهای ایمن‌سازی اطلاعات، از جمله ابزارهایی است که حسابرس می‌تواند از آن استفاده کند. همچنین، به‌کارگیری روشهایی چون ابزارهای خودآزمایی کنترلها و کارگاههای تحلیل خطر می‌تواند سطح مناسب کنترلهای داخلی و آگاهی از خطر را در تشکیلات برقرار کند.
گام پنجم: حسابرس باید با واحدهای ایمن‌سازی اطلاعات، منابع انسانی، حقوقی و مدیریت خطر برای هماهنگ‌کردن برنامه‌های حسابرسی همکاری کند تا بتواند برخوردی هماهنگ و نقشی حمایتی در ارزیابی خطرها، ایجاد طرح کنترلهای مناسب و فرایندهای آزمون رعایت کنترلها داشته باشد. شعار واحد حسابرسی باید به‌جای “بخشی از مسئله بودن”،“بخشی از راه‌حل بودن”، باشد. برای رساندن این پیام، مشارکت و همکاری با سایر متخصصان خطرها و کنترلها، روش موثری است.
گام ششم: حسابرس باید از تمام داراییهای مربوط به کاربرد فناوری اطلاعات در شرکت، صورت‌برداری کند و برای تشخیص اهمیت و خطرهای مربوط به هر یک از پروژه‌ها، سیستمهای کاربردی و زیرساختها و فرایندهای بازرگانی فناوری اطلاعات، همه آنها را بررسی، ارزیابی و درجه‌بندی کند. صورت داراییهای مزبور باید مرتبا" روزآمد شود و برای برنامه‌ریزی حسابرسی، تحلیل خطرها و ارزیابی رهبری فناوری اطلاعات مورد استفاده قرارگیرد. دانش مفید، در اختیار داشتن اطلاعات درست در موقع مناسب است. با افزایش سطح مسئولیت حسابرس در نظام جدید تجارت، توانایی حسابرس در تدوین و تلفیق اطلاعات و آگاهی از انواع جدید خطرها و کنترلها، اهمیت بیشتری پیدا کرده ‌است. اساس این تواناییهای جدید، روشهای برگزیده عملیاتی، تولیدات ویژه و مجموعه‌ای از عملیات است که در هنگام ایجاد سیستمهای کاربردی جدید یا ارزیابی کاربردهای بازرگانی موجود می‌تواند مورد استفاده قرار‌گیرد. یکی از ابزارهای با ارزش مدیریت خطر و حسابرسی در دسترس داشتن سیستم پشتیبانی است که بتواند وسایل و دانش لازم را در شرایط جدید، برای حسابرس تامین کند.

جمع بندی
گسترش نقش حسابرس در محیط فناوری اطلاعات ایجاب می‌کند که با نگرشی جدید به چالشها و مسائل مدیریت فناوری اطلاعات توجه شود. انتظارات زیادی که از بخش فناوری اطلاعات وجود دارد و سرعت زیاد تغییرات قراردادها با اشخاص ثالث و سیستمهای جدید ایجاب می‌کند که مدیریت فناوری اطلاعات برای تامین مهارتهای لازم، به درون تشکیلات توجه کند و با مدیران و گروههای مسئول پروژه‌ها در کاهش خطر و ایجاد سیستمهای کاربردی با کیفیت مناسب همکاری کند. برای ذکر نمونه و رهنما، بخش راهبری فناوری اطلاعات باید به‌گونه‌ای اختصاصی و هماهنگ با فرایندهای بازرگانی و فرهنگ شرکت تدوین و مستقر شود. کلید اصلی برای راه‌اندازی و استفاده از این فناوری، کارایی و موثر بودن فرایندهای بازرگانی فناوری اطلاعات است. حسابرس، با به‌کارگیری سیستمهای راهبری و پشتیبانی مدیریت خطرها، می‌تواند در ایجاد یک چارچوب کنترل و مدیریت خطر موثر و مناسب برای راهبری فناوری اطلاعات، کمک کند.

منبع :

1-  Information Systems Control Journal, Vol. 2, Information Systems Audit and Control Assocation (ISACA), 2002

پانوشت ها :

- IT Governanc Institute
 - Control Objectives for Information and Related Technology (COBIT)

منبع : فصلنامه حسابرس

بالای صفحه