برنامه حسابرسی داخلی فناوری اطلاعات ۲۰۲۵: راهنمای جامع KPMG

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

برنامه‌ریزی حسابرسی داخلی فناوری اطلاعات برای سال ۲۰۲۵

ملاحظات و موضوعات کلیدی برای تدوین برنامه حسابرسی داخلی فناوری اطلاعات

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

مقدمه

همزمان با برنامه‌ریزی تیم‌های حسابرسی فناوری اطلاعات برای سال ۲۰۲۵، درک استراتژی فناوری اطلاعات سازمان و همسوسازی برنامه حسابرسی با جهت‌گیری استراتژیک شرکت برای آن‌ها بسیار حائز اهمیت است. با وجود تغییرات فراوان، مانند تکامل مستمر چشم‌انداز ابر، هوش مصنوعی (AI)، افزایش بدهی فنی و تمرکز روزافزون نهادهای نظارتی بر مسائل فناوری اطلاعات، سازمان‌ها باید بتوانند همسویی برنامه خود را با ریسک‌های سازمان به‌روشنی تبیین کنند.

با این درک، باید یک برنامه حسابرسی فناوری جامع و تأثیرگذار تدوین شود که با استراتژی‌های رشد در سطح شرکت و عوامل ریسک مرتبط همسو باشد تا در سراسر سازمان ارزش‌آفرینی کند. استفاده از اهداف استراتژیک شرکت و عوامل خارجی (مانند فناوری‌های نوین و تغییرات مقررات) و همچنین هماهنگی با تیم ریسک سازمانی برای تدوین برنامه، می‌تواند همسویی بین حسابرسی داخلی و واحدهای کسب‌وکار (مانند مدیریت ریسک سازمانی (ERM)، امنیت اطلاعات، و حقوقی) را با استفاده از چارچوب‌های معتبر مانند COBIT تقویت کند. این امر به‌طور بالقوه توانایی سازمان را برای کاهش ریسک‌ها افزایش می‌دهد و زمینه را برای ابتکارات ارزش‌آفرینی فراهم می‌کند که به رشد و کسب مزایا در سراسر سازمان می‌انجامند.

پس از شناسایی حسابرسی‌های کلیدی، لازم است در مورد نحوه تعیین دامنه و رویکرد هر یک به‌دقت برنامه‌ریزی شود تا اطمینان حاصل گردد که برنامه بر اهداف ریسک شناسایی‌شده و ارزش بالقوه برای سازمان متمرکز است. در این گزارش، نکات کلیدی برگرفته از مشاهدات خود در بازار را برجسته کرده و موضوعات مهمی را برای لحاظ کردن در برنامه حسابرسی سال ۲۰۲۵ شما ارائه می‌دههیم تا به ایجاد ارزش در سراسر برنامه‌تان کمک کنیم.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

تیم‌های حسابرسی داخلی فناوری اطلاعات باید در مورد سؤالات زیر تأمل کنند تا ارزیابی کنند که آیا چشم‌انداز ریسک فعلی را به‌طور کامل درک کرده و برنامه خود را با استراتژی کلی کسب‌وکار و چشم‌انداز ریسک کنونی همسو ساخته‌اند.

پرسش‌های کلیدی برای خلق ارزش کدامند؟

برای مواجهه با ریسک‌های متعدد و جدید مرتبط با فناوری، تیم‌های حسابرسی داخلی فناوری اطلاعات باید ارتباط تنگاتنگی با واحدهای کسب‌وکار و ریسک داشته باشند تا ضمن ایجاد اعتبار و تقویت روابط، درک کنند که کدام فناوری‌ها و فرآیندها برای دستیابی سازمان به اهداف استراتژیک خود، باید به‌درستی عمل کنند.

نیکول لاور
رهبر حسابرسی داخلی فناوری اطلاعات در قاره آمریکا
KPMG در ایالات متحده

آیا ما از داده‌های معنادار در ارزیابی ریسک خود بهره می‌بریم؟ 1	آیا ما به‌طور مداوم چشم‌انداز ریسک را ارزیابی کرده و برنامه حسابرسی را بر اساس آن به‌روزرسانی می‌کنیم؟ 2	آیا ما مجموعه مهارت‌های مناسب برای ارائه خدمات حسابرسی داخلی فناوری اطلاعات ارزش‌آفرین را در اختیار داریم؟ 3
ارزیابی ریسک داده‌محور، با ارائه بینش‌های ارزشمند در مورد چشم‌انداز ریسک سازمان و شناسایی ریسک‌ها و روندهای نوظهوری که ممکن است ناشناخته باشند، نقشی محوری در تدوین یک برنامه حسابرسی سالانه مؤثر ایفا می‌کند. داده‌هایی که می‌توان در طول فرآیند ارزیابی ریسک استفاده کرد، شامل داده‌های داخلی مانند کل هزینه‌ها، پروژه‌ها، حوادث، و همچنین داده‌های خارجی بازار و صنعت است. حسابرسی داخلی با در دست داشتن خروجی‌های ارزیابی ریسک، می‌تواند برنامه‌های حسابرسی را برای تمرکز بر حوزه‌های حیاتی تنظیم کند و اطمینان حاصل نماید که حسابرسی‌ها به شیوه‌ای هدفمند و تأثیرگذار انجام می‌شوند.	ارزیابی مستمر چشم‌انداز ریسک سازمان، حسابرسی داخلی را قادر می‌سازد تا مجدداً ارزیابی کند که آیا بر موضوعات درست متمرکز است یا خیر و سطح بالاتری از اطمینان را به ذی‌نفعان ارائه می‌دهد که ریسک‌ها به‌طور فعال نظارت و مدیریت می‌شوند. ارزیابی مستمر ریسک، تعهد واحد حسابرسی داخلی به رویه‌های مدیریت ریسک قوی و چابک را نشان می‌دهد و محیط کنترل کلی را تقویت می‌کند، که می‌تواند اعتماد ذی‌نفعان را به عملیات سازمان افزایش دهد. ارزیابی مستمر ریسک همچنین می‌تواند شامل گفتگو با رهبران سازمان برای درک اولویت‌های آن‌ها و اطمینان از همسویی برنامه شما با دستور کار استراتژیکشان باشد.	در یک محیط پویا و در حال تغییر، سازمان‌ها با ریسک‌های در حال تحول، پیشرفت‌های فناوری و الزامات انطباقی و نظارتی جدید مواجه هستند. بهترین برنامه نیز بدون وجود قابلیت‌های مناسب در تیم، نمی‌تواند به‌طور مؤثر اجرا شود. داشتن مهارت‌ها و منابع لازم برای پاسخ به محیط‌های متغیر، تیم حسابرسی داخلی را قادر می‌سازد تا به‌طور فعال ریسک‌ها را شناسایی و مدیریت کند، از گنجاندن موضوعات مناسب در برنامه اطمینان یابد، و برای موضوعات لحاظ‌شده، دامنه‌ای متناسب با ارزیابی ریسک‌های شناسایی‌شده تعیین نماید. در دستور کار مدیر ارشد حسابرسی – ۲۰۲۴: تمرکز ویژه‌ای بر تغییر کلی در شایستگی‌ها و مهارت‌های مورد نیاز منابع حسابرسی داخلی، همراه با نیاز به ارتقاء مهارت منابع در موضوعات فناوری اطلاعات و فناوری سازمانی وجود دارد.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

موضوعاتی برای گنجاندن در برنامه‌ریزی ۲۰۲۵ شما

• ۰۱. نوسازی برنامه‌های کاربردی و ریسک فناوری موروثی: مدیریت فناوری موروثی ریسک‌های قابل‌توجهی برای سازمان‌ها ایجاد می‌کند؛ از جمله آسیب‌پذیری‌های امنیتی و افزایش مواجهه با حملات سایبری که به‌دلیل منسوخ بودن سیستم‌ها و پشتیبانی محدود فروشندگان، به اختلالات عملیاتی و تهدیدات امنیتی بالقوه منجر می‌شود.
• ۰۲. استراتژی ابر: استفاده گسترده از رایانش ابری بدون اقدامات حاکمیتی مناسب می‌تواند منجر به ریسک‌های امنیتی، هزینه‌های غیرضروری ناشی از استفاده ناکافی و پرداخت بیش از حد برای خدمات، و همچنین چالش‌هایی در مدیریت چندین ارائه‌دهنده ابر و بهینه‌سازی هزینه‌ها شود.
• ۰۳. هوش مصنوعی (AI): ظهور هوش مصنوعی، با ایجاد نیاز به تغییر در نگرش‌ها، ریسک‌های عملیاتی و استراتژیک جدید، و چالش در کمی‌سازی و کاهش ریسک‌ها، اختلالات و خطرات قابل‌توجهی به همراه دارد.
• ۰۴. فناوری عملیاتی (OT) / اینترنت اشیاء (IoT): پیچیدگی روزافزون حملات سایبری تهدیدی برای زیرساخت‌های حیاتی و پایداری کلی سازمان به شمار می‌رود و نیازمند همسویی بین کسب‌وکار و فناوری اطلاعات برای دستیابی به کارایی عملیاتی و کاهش ریسک‌ها در چشم‌انداز پیچیده سیستم‌های IT، OT و IoT است.
• ۰۵. تاب‌آوری فناوری: اطمینان از تاب‌آوری عملیاتی و فناوری برای جلوگیری از وقفه‌های کسب‌وکار که می‌تواند بر اهداف سازمانی تأثیر بگذارد، حیاتی است و نیازمند سرمایه‌گذاری در راه‌حل‌ها و فرآیندهای فناوری برای بازیابی از حملات سایبری، خرابی سیستم و خطاهای انسانی است.
• ۰۶. مدیریت دارایی‌های فناوری اطلاعات: مدیریت مؤثر دارایی‌های فناوری اطلاعات برای ایجاد حاکمیت قوی فناوری اطلاعات ضروری است، زیرا شفافیت در چرخه عمر دارایی، بهینه‌سازی هزینه، تخصیص منابع و شناسایی فرصت‌های یکپارچه‌سازی یا استانداردسازی را امکان‌پذیر می‌سازد.
• ۰۷. نوسازی و تحول کسب‌وکار: اجرای طرح‌های نوسازی کسب‌وکار، چه از طریق فناوری‌ها یا فرآیندهای جدید، نیازمند یک رویکرد جامع برای مدیریت ریسک‌ها در حوزه‌هایی چون کنترل‌های عملیاتی، مدیریت تغییر و امنیت است تا اختلالات در عملیات کسب‌وکار به حداقل برسد.
• ۰۸. انطباق با مقررات: تغییرات نظارتی تعهدات جدیدی را بر کسب‌وکارها تحمیل می‌کند و سازمان‌های فناوری اطلاعات باید از این تغییرات مطلع بمانند و تأثیر آن‌ها را بر سیستم‌ها و فرآیندها ارزیابی کنند تا از انطباق اطمینان حاصل کرده و از جریمه‌ها، مسائل حقوقی و آسیب به شهرت جلوگیری نمایند.
• ۰۹. ریسک شخص ثالث: ارزیابی ریسک‌های مرتبط با وابستگی به اشخاص ثالث برای سازمان‌ها حیاتی است، زیرا اختلالات یا ناکامی‌ها از سوی چنین ارائه‌دهندگانی مستقیماً بر عملیات فناوری اطلاعات، سیستم‌ها، خدمات و اهداف کلی سازمان تأثیر می‌گذارد.
• ۱۰. حاکمیت داده: داده‌ها زیربنای تمام فعالیت‌های یک سازمان هستند و حاکمیت داده یکی از مهم‌ترین حوزه‌هایی است که باید مورد حسابرسی قرار گیرد.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۱. نوسازی برنامه‌های کاربردی و ریسک فناوری موروثی

مدیریت فناوری‌های موروثی یکی از دغدغه‌های اصلی است، زیرا سیستم‌های منسوخ، آسیب‌پذیری‌های امنیتی، ناکارآمدی‌های عملیاتی، افزایش هزینه‌ها و عدم انطباق با مقررات را به همراه دارند. عدم پشتیبانی و به‌روزرسانی برای سیستم‌های موروثی، آن‌ها را به اهداف آسانی برای حملات سایبری تبدیل می‌کند و داده‌های حساس و سیستم‌های حیاتی را به خطر می‌اندازد. این امر، ضرورتِ مدیریت جامع، ارزیابی دقیق و تدوین استراتژی‌های کاهش ریسک را برای به حداقل رساندن خطر اختلال، زیان مالی و تهدیدات امنیتی برجسته می‌کند.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• در چشم‌انداز دیجیتال که همواره در حال تحول است، مدیریت فناوری موروثی به یک دغدغه مهم برای بسیاری از سازمان‌ها تبدیل شده است. سیستم‌های منسوخ و فاقد پشتیبانی، چالش‌های حیاتی مانند آسیب‌پذیری‌های امنیتی، ناکارآمدی‌های عملیاتی، هزینه‌های فزاینده و مسائل مربوط به انطباق با مقررات را به وجود می‌آورند. علاوه بر این، با پیشرفت فناوری، فروشندگان اغلب پشتیبانی از سیستم‌های قدیمی را متوقف یا به‌تدریج حذف می‌کنند و آخرین به‌روزرسانی‌ها و وصله‌های امنیتی را ارائه نمی‌دهند. حملات سایبری معمولاً سیستم‌های منسوخ را هدف قرار داده و با سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده، داده‌های حساس و سیستم‌های حیاتی را در معرض خطر قرار می‌دهند.
• به‌طور خاص، بدون مدیریت جامع فناوری‌های موروثی، ارزیابی‌های ناکافی از سیستم‌های در پایان عمر و استراتژی‌های محدود کاهش ریسک، خطر اختلال عملیاتی، زیان‌های مالی و تهدیدات امنیتی افزایش می‌یابد.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

برای سازمان‌ها حیاتی است که در مورد رویه‌های مدیریت چرخه عمر فناوری خود به‌شیوه‌ای فعالانه همسو شوند تا از بدهی فنی فزاینده و عدم تحقق مزایایی مانند کنترل‌های پایدار، کارایی هزینه و چابکی کلی جلوگیری کنند. به‌عنوان بخشی از این رویه‌ها، باید فرآیندهای روشنی برای شناسایی، ارزیابی و واکنش به ریسک‌های ناشی از فناوری موروثی ایجاد شود. این فرایند نباید موردی باشد، بلکه باید به‌صورت دوره‌ای و مستمر اجرا شود. هنگام تهیه برنامه حسابرسی فناوری ۲۰۲۵، در نظر داشته باشید که یک حسابرسی مجزا برای مدیریت چرخه عمر فناوری یا حاکمیت فناوری اطلاعات داشته باشید و فعالیت‌های مشخصی مانند موارد زیر را شامل شوید:

• ارزیابی رویه‌های مدیریت چرخه عمر فناوری سازمان برای تعیین اینکه آیا آن‌ها به‌طور فعال به ریسکی که حفظ فناوری موروثی یا منسوخ برای کسب‌وکار ایجاد می‌کند، رسیدگی می‌کنند یا خیر. برای انجام این کار، واحدها می‌توانند یک فرآیند روشن برای شناسایی، ارزیابی و رسیدگی به ریسک فناوری موروثی ایجاد کنند. این فرآیند باید شامل بازبینی‌های دوره‌ای فناوری موروثی باشد و نتایج آن به همه ذی‌نفعان اطلاع‌رسانی شود تا اطمینان حاصل گردد که طرف‌های مربوطه آگاه شده و در قبال اقدامات حاصل از این بازبینی، پاسخگو هستند. بررسی کنید که سازمان شما از چه ابزارهایی برای ارائه بینش در مورد چشم‌انداز فناوری خود، مانند ابزارهای مدیریت خدمات فناوری اطلاعات (ITSM) با داده‌های حوادث و پایگاه داده مدیریت پیکربندی (CMDB)، استفاده می‌کند.
• شناسایی نحوه اولویت‌بندی طرح‌های فناوری اطلاعات و چگونگی نوسازی فناوری فعلی توسط آن طرح‌ها. اطمینان حاصل کنید که فرآیندهای حاکمیتی موجود در این طرح‌ها شامل عوامل مرتبطی مانند تحلیل هزینه-فایده، درک تأثیر(های) عملیاتی از جمله تأثیر بر ریسک (مانند کاهش ریسک سایبری)، و همسویی با اهداف استراتژیک بلندمدت باشد.

مشارکت حسابرسی داخلی در ارزیابی و مدیریت این ریسک‌های فناوری موروثی برای اطمینان از شناسایی و رسیدگی به ضعف‌های بالقوه و حفظ حاکمیت کلی فناوری اطلاعات، حیاتی است. با بهره‌گیری از تخصص حسابرسی داخلی، سازمان‌ها می‌توانند به‌طور فعال ریسک‌های فناوری موروثی را کاهش دهند، از دارایی‌های ارزشمند محافظت کنند و چالش‌های نوسازی زیرساخت فناوری اطلاعات خود را مدیریت نمایند.

مایکل ا. اسمیت
رهبر راهکارهای حسابرسی داخلی ایالات متحده
KPMG در ایالات متحده

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۲. استراتژی ابر

گسترش سریع رایانش ابری بدون اقدامات حاکمیتی مناسب می‌تواند منجر به ریسک‌های امنیتی و هزینه‌های غیرضروری برای سازمان‌ها شود. مسائلی مانند استفاده ناکافی، تأمین بیش از حد منابع، و عدم شفافیت و کنترل بر مصرف منابع و هزینه‌ها ممکن است به وجود آید. مدیریت چندین ارائه‌دهنده ابر، تلاش‌ها برای بهینه‌سازی هزینه‌ها را به دلیل نظارت و کنترل محدود بر استفاده از منابع در سراسر زیرساخت ابری سازمان، پیچیده‌تر می‌کند. در روزهای اولیه، این تصور وجود داشت که ابر می‌تواند باعث صرفه‌جویی در هزینه‌ها شود، اما واقعیت بسیار متفاوت است؛ سازمان‌ها اکنون هزینه‌ها و ارزش آن را زیر سؤال برده و خواستار حاکمیت سخت‌گیرانه‌تری هستند تا از کارایی استراتژی ابر خود از منظر عملیاتی، مالی و مدیریت ریسک اطمینان یابند.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• در سال‌های اخیر، سازمان‌ها برای بهره‌مندی از مزایای مقیاس‌پذیری، انعطاف‌پذیری و کارایی هزینه، به رایانش ابری روی آورده‌اند. با این حال، استفاده شتاب‌زده از خدمات ابری بدون اقدامات حاکمیتی کافی می‌تواند منجر به ریسک‌های امنیتی و همچنین هزینه‌های غیرضروری به دلیل استفاده ناکافی، عدم شفافیت در مورد خدمات مورد استفاده (و پرداخت بیش از حد برای نیازهای واقعی)، تأمین بیش از حد منابع، یا عدم از کار انداختن منابع ابری استفاده‌نشده شود.
• به‌طور خاص، ما شاهد آن هستیم که بسیاری از مشتریان به دلیل مسائل ذکر شده، که با استفاده از چندین ارائه‌دهنده پیچیده‌تر می‌شود، در مدیریت هزینه‌های مرتبط با استفاده از ابر با چالش مواجه شده‌اند. مدیریت چندین ارائه‌دهنده ابر می‌تواند منجر به نظارت و کنترل محدود بر مصرف منابع و هزینه‌های مرتبط شود. ردیابی مصرف، شناسایی منابع استفاده‌نشده یا کم‌استفاده، و بهینه‌سازی هزینه‌ها به دلیل ماهیت توزیع‌شده زیرساخت ابری سازمان، چالش‌برانگیزتر می‌شود.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

حسابرسی‌های داخلی سنتی می‌توانند بر کنترل‌ها و فرآیندهای امنیتی ابر تمرکز کنند. در حالی که این موضوع همچنان اهمیت دارد و باید در برنامه شما لحاظ شود، با پذیرش مداوم خدمات ابری متعدد و افزایش هزینه‌های ابری که بسیاری از سازمان‌ها تجربه می‌کنند، مهم است که در نظر بگیریم چگونه حسابرسی داخلی می‌تواند به مدیریت در تقویت حاکمیت ابر، از جمله مدیریت مصرف و نظارت بر هزینه‌ها، کمک کند. فعالیت‌های زیر را در برنامه حسابرسی فناوری ۲۰۲۵ خود در نظر بگیرید:

• ارزیابی نحوه استفاده سازمان از منابع ابری و شناسایی فرصت‌ها برای بهینه‌سازی. این شامل بازبینی استراتژی، ارزیابی کنترل‌های مربوط به مدیریت مالی، تحلیل الگوهای مصرف و شناسایی موارد استفاده ناکافی است.
• ارزیابی و اعتبارسنجی هرگونه سازوکار نظارتی که سازمان برای ردیابی عملکرد ابر، پایبندی به کنترل‌های حاکمیتی، و انطباق با سیاست‌ها و مقررات در اختیار دارد. گزارش‌دهی منظم به مدیریت و ذی‌نفعان به تضمین شفافیت و پاسخگویی کمک می‌کند.

بینش KPMG: یک معماری امنیتی قوی و شناخت فناوری و مجموعه امنیتی ارائه‌دهنده ابر شما، کلید تقویت وضعیت امنیتی یک کسب‌وکار است.

منبع: قدرت‌بخشی مجدد به حسابرسی فناوری، KPMG

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۳. هوش مصنوعی/فناوری‌های نوظهور

هوش مصنوعی پتانسیل ایجاد تحول در حرفه حسابرسی داخلی را دارد، به شیوه‌ای که هیچ فناوری دیگری تاکنون نداشته است، و ریسک‌های عملیاتی و استراتژیک جدیدی را در سراسر سازمان به همراه می‌آورد. در حالی که هوش مصنوعی و سایر فناوری‌های نوظهور فرصت‌های بی‌سابقه‌ای را ارائه می‌دهند، ریسک‌هایی مانند سوگیری، مسئولیت‌پذیری و نگرانی‌های مربوط به حریم خصوصی را نیز معرفی می‌کنند که کمی‌سازی آن‌ها می‌تواند چالش‌برانگیز باشد. استفاده روزافزون از هوش مصنوعی در تمام واحدهای کسب‌وکار، سرعت ریسک را افزایش می‌دهد، به‌ویژه زمانی که مدل‌های شخص ثالث بدون توجه کافی به حاکمیت داده مورد استفاده قرار می‌گیرند و ریسک از دست رفتن داده‌ها و تأثیر کیفیت پایین داده‌ها بر نتایج را افزایش می‌دهند. سازمان‌ها باید اهمیت استراتژیک هوش مصنوعی را در برابر حفاظت از داده‌های خود بسنجند و تصمیمات آگاهانه‌ای در مورد هزینه‌ها و ریسک‌های مرتبط اتخاذ کنند.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• هوش مصنوعی شاید تحول‌آفرین‌ترین فناوری تاریخ باشد. ما هنوز گستره کامل تأثیر آن را درک نکرده‌ایم، اما انتظار می‌رود که این فناوری حرفه حسابرسی داخلی را به شیوه‌ای متحول کند که هیچ فناوری دیگری پیش از این نکرده است. هوش مصنوعی نحوه تفکر و رفتار حسابرسان داخلی را تغییر خواهد داد و ریسک‌های عملیاتی و استراتژیک جدیدی را در سراسر سازمان ایجاد خواهد کرد. هوش مصنوعی و سایر فناوری‌های نوظهور فرصت‌های بی‌سابقه‌ای را برای کسب‌وکار فراهم می‌کنند، اما ریسک‌های جدیدی (مانند سوگیری و مسئولیت‌پذیری) را به همراه دارند که کمی‌سازی آن‌ها دشوار است؛ و همزمان، با بهره‌برداری از آسیب‌پذیری‌های موجود در حوزه‌هایی چون حریم خصوصی، مسائل حقوقی و حاکمیت داده، ریسک‌های دیگر را تشدید می‌کنند.
• به‌طور خاص، ما شاهد آن هستیم که کل سازمان در حال به‌کارگیری هوش مصنوعی در تمام واحدهای کسب‌وکار خود است که سرعت ریسک را به سطوح جدیدی افزایش می‌دهد. با استفاده از مدل‌های زبان بزرگ جدید و تغذیه آن‌ها با داده‌های سازمانی برای آموزش، بدون توجه کافی به حاکمیت آن داده‌ها، ریسک از دست رفتن داده‌ها و/یا استفاده از داده‌های بی‌کیفیت برای دستیابی به نتایج افزایش می‌یابد. سازمان باید بین اهمیت استراتژیک هوش مصنوعی و حفاظت از داده‌های خود تعادل برقرار کند.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

چه سازمان شما به‌تازگی استفاده از مدل‌های هوش مصنوعی مولد عمومی را آغاز کرده باشد و چه در حال استقرار مدل‌های اختصاصی خود باشد، هوش مصنوعی باید در برنامه حسابرسی فناوری سال ۲۰۲۵ شما گنجانده شود. فعالیت‌های مشخص زیر را در نظر بگیرید:

• بازبینی فرآیندهای حاکمیتی منتخب در زمینه پذیرش و پیاده‌سازی راه‌حل‌های هوش مصنوعی (یا سایر فناوری‌های نوظهور) در محیط سازمان. این می‌تواند شامل بازبینی چارچوب‌ها و سیاست‌هایی باشد که نحوه راهبری فناوری‌های نوظهور را مشخص می‌کنند، بازبینی نقش‌ها و مسئولیت‌ها در میان گروه‌های ذی‌نفع، و بازبینی برنامه‌های آموزشی تدوین‌شده.
• استفاده از خدمات مشاوره‌ای حسابرسی داخلی برای کمک به طراحی و ارزیابی مدل‌های حاکمیتی و کنترلی مناسب که سازمان می‌تواند برای مدیریت ریسک‌های مرتبط با هوش مصنوعی اتخاذ کند. انجام ارزیابی‌ها بر اساس چارچوب‌های صنعتی (مانند چارچوب مدیریت ریسک هوش مصنوعی NIST) برای سنجش سطح پذیرش فعلی و اطمینان از مدیریت مناسب تمام ریسک‌ها.
• به چالش کشیدن کسب‌وکار در مورد فرآیندهای زیربنایی یک برنامه موفق هوش مصنوعی، مانند حاکمیت داده، مدیریت دسترسی و مدیریت تغییر، تا اطمینان حاصل شود که ضعف‌های سطح فرآیند پیش از آنکه با به‌کارگیری هوش مصنوعی تشدید شوند، برطرف گردند.

هوش مصنوعی به‌سرعت در سیستم‌ها و فرآیندها گنجانده خواهد شد—این بدان معناست که نه تنها حسابرسی فناوری باید به‌سرعت یک استراتژی برای اطمینان‌بخشی از ریسک مرتبط با هوش مصنوعی تدوین کند، بلکه همه حسابرسان داخلی نیز باید ذهنیت خود را برای رویکرد به حسابرسی‌های عملیاتی تغییر دهند. ریسک‌های جدیدی باید در طول برنامه‌ریزی و اجرا در نظر گرفته شوند و حسابرسان داخلی برای حسابرسی مدل‌های هوش مصنوعی به مهارت‌ها و تکنیک‌های جدیدی نیاز خواهند داشت. این حرفه باید برای تکامل آماده باشد.

ریچارد نایت
رهبر راه‌حل‌های حسابرسی داخلی فناوری در ایالات متحده
KPMG در ایالات متحده

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۴. OT/IoT (فناوری عملیاتی/اینترنت اشیاء)

حملات سایبری اخیر که دستگاه‌های اینترنت اشیاء (IoT) را هدف قرار داده‌اند، سازمان‌ها را در معرض ریسک‌های امنیت سایبری قابل‌توجهی قرار داده و تهدیداتی را برای زیرساخت‌های حیاتی و پایداری کلی ایجاد کرده‌اند. پیچیدگی و به‌هم‌پیوستگی سیستم‌های فناوری اطلاعات (IT)، فناوری عملیاتی (OT) و اینترنت اشیاء (IoT) چالش‌های منحصر به فردی را ایجاد می‌کند که نیازمند همسویی بین کسب‌وکار و فناوری اطلاعات برای دستیابی به کارایی عملیاتی و کاهش زمان از کار افتادگی است. تفکیک محیط‌های OT و IT و کنترل‌های مناسب برای شناسایی و پاسخ مؤثر به حوادث سایبری در محیط OT ضروری است.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• حملات سایبری اخیر که دستگاه‌های متصل به اینترنت یا IoT را هدف قرار داده‌اند، سازمان‌ها را در معرض ریسک‌های امنیت سایبری قابل‌توجه و اختلالات بالقوه در کسب‌وکار قرار داده‌اند. شیوع و پیچیدگی روزافزون این حملات، تهدیدی جدی برای زیرساخت‌های حیاتی، فرآیندهای صنعتی و ثبات کلی سازمان‌ها محسوب می‌شود.
• پیچیدگی و ماهیت به‌هم‌پیوسته سیستم‌های IT، OT و IoT چالش‌های منحصربه‌فردی را برای سازمان‌ها ایجاد می‌کند. با یکپارچه‌سازی روزافزون سیستم‌های IT و OT، نیاز به همسویی بین کسب‌وکار و فناوری اطلاعات برای دستیابی به کارایی عملیاتی، بهبود بهره‌وری و کاهش زمان از کار افتادگی وجود دارد.
• به‌طور خاص، ما شاهد آن بوده‌ایم که مشتریان در تفکیک محیط‌های OT و IT خود و اطمینان از وجود کنترل‌های کافی برای شناسایی و پاسخ به یک حادثه سایبری در محیط OT با چالش‌هایی مواجه بوده‌اند.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

اول از همه: آیا سازمان شما می‌داند که تمام دستگاه‌های OT و IoT در کجای تأسیسات شما استفاده می‌شوند؟ حتی اگر یک شرکت تولیدی نباشید، دستگاه‌های IoT حضور رو به رشدی در سراسر فضای اداری شما دارند. می‌توان به‌جای اتکای صرف به گزارش‌ها، با بازدید از تأسیسات مختلف سازمان، کاربرد واقعی راه‌حل‌های OT و IoT را از نزدیک بررسی کرد. همزمان، ارزیابی‌های ریسک، بینش‌های کلیدی در مورد چالش‌های موجود و شکاف‌های کنترلی بالقوه در چشم‌انداز OT و IoT شما ارائه می‌دهند. فعالیت‌های زیر را در برنامه حسابرسی فناوری سال ۲۰۲۵ خود در نظر بگیرید:

• استفاده از داده‌ها و تحلیل‌های سازمانی مرتبط، مانند تعداد دستگاه‌های متصل در هر سایت، برای انتخاب یک نمونه معرف از تأسیسات سازمان جهت بازدید و ارزیابی فرآیندها و فناوری‌های مورد استفاده مرتبط با OT و IoT.
• انجام ارزیابی‌هایی بر روی چشم‌انداز ریسک محیط OT و IoT سازمان برای درک ریسک‌های فعلی و شکاف‌های کنترلی.
• در هر دو فعالیت، حوزه‌های کلیدی مورد بررسی می‌تواند شامل مدیریت دارایی، دسترسی از راه دور و فیزیکی، تفکیک شبکه، پاسخ به حادثه و بازیابی، و نظارت امنیتی باشد.
• ارزیابی زنجیره تأمین دستگاه‌های OT را در نظر بگیرید؛ اتکای قابل‌توجه به اشخاص ثالث برای مدیریت محیط OT ممکن است سازمان را در معرض آسیب‌پذیری‌های بالقوه قرار دهد.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۵. تاب‌آوری فناوری

سرمایه‌گذاری در راه‌حل‌ها و فرآیندهای فناوری برای تاب‌آوری عملیاتی و فناوری به منظور جلوگیری از وقفه‌های قابل‌توجه در کسب‌وکار حیاتی است. بازیابی از حملات سایبری، خرابی‌های سیستم و خطاهای انسانی برای حفظ شهرت و اعتماد مشتریان، سرمایه‌گذاران و ذی‌نفعان ضروری است. سازمان‌ها باید فناوری‌های حیاتی برای عملیات خود را شناسایی و مستند کنند، در دسترس بودن داده‌های حیاتی کسب‌وکار را تضمین نمایند و استراتژی‌های تاب‌آوری را هم برای سیستم‌های ابری و هم برای سیستم‌های محلی (On-premise) در نظر بگیرند.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• تاب‌آوری فناوری عملیاتی برای جلوگیری از وقفه‌های قابل‌توجه در کسب‌وکار که تأثیر مستقیمی بر اهداف سازمان دارند، حیاتی است. یک ملاحظه کلیدی برای امکان‌پذیر ساختن تاب‌آوری، سرمایه‌گذاری در راه‌حل‌ها و فرآیندهایی است که توانایی بازیابی از حملات سایبری، خرابی‌های سیستم و خطاهای انسانی را فراهم می‌کند. اختلالات فناوری می‌تواند تأثیر قابل‌توجهی بر شهرت و تصویر برند یک سازمان داشته باشد. اگر سازمانی نتواند به‌سرعت بازیابی کند یا به‌طور مناسب به حوادث مرتبط با فناوری پاسخ دهد، ممکن است مشتریان، سرمایه‌گذاران و ذی‌نفعان اعتماد خود را از دست بدهند.
• به‌طور خاص، ممکن است سازمان‌ها هنوز فاقد فرآیندهای مناسب برای شناسایی و مستندسازی فناوری‌های حیاتی برای عملیات کسب‌وکار خود باشند که می‌تواند منجر به عدم دسترسی به داده‌های حیاتی کسب‌وکار در صورت وقوع یک حادثه شود. علاوه بر این، تعامل بین سیستم‌های ابری و محلی و اطمینان از اینکه استراتژی‌های تاب‌آوری، صرف‌نظر از محل میزبانی، باید تمام فناوری‌های شما را در بر بگیرد، حائز اهمیت است.

بینش KPMG: در حین یک حادثه سایبری، سازمان‌ها به پاسخی نیاز دارند که بر حسب دقیقه و ساعت سنجیده شود، نه روز و هفته. تاب‌آوری سایبری برای حفظ قابلیت‌های عملیاتی کسب‌وکار، حفاظت از اعتماد مشتری و کاهش تأثیر حملات آینده حیاتی است.

منبع: چشم‌انداز ملاحظات امنیت سایبری برای سال ۲۰۲۴، KPMG

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

مؤثرترین رویکرد برای انجام حسابرسی تاب‌آوری فناوری با بازبینی دقیق فرآیند سازمان شما برای شناسایی سیستم‌های حیاتی آغاز می‌شود. با کسب درک جامع از این سیستم‌های حیاتی، حسابرسان می‌توانند رویکردهای دقیق‌تری را برای اعتبارسنجی توسعه و پیاده‌سازی آن‌ها تدوین کنند. فعالیت‌های زیر را در برنامه حسابرسی فناوری سال ۲۰۲۵ خود در نظر بگیرید:

• بازبینی رویه‌های مدیریت بحران، تمرین‌های دور میزی (Tabletop) یا سایر سناریوهای برنامه‌ریزی‌شده برای مشخص کردن اینکه آیا برنامه‌ها به‌طور مناسب به تهدیدات بالقوه رسیدگی می‌کنند و آیا می‌توانند در حین یک رویداد شبیه‌سازی‌شده با موفقیت اجرا شوند.
• ارزیابی قابلیت سازمان برای بازیابی از اختلالات فناوری. این شامل بازبینی اهداف زمان بازیابی (RTOs) و اهداف نقطه بازیابی (RPOs) برای ارزیابی همسویی آن‌ها با الزامات کسب‌وکار، اطمینان از وجود برنامه‌های اقدام مناسب در صورت وقوع اختلال، و اطلاع‌رسانی نتایج به ذی‌نفعان مربوطه در سراسر سازمان است.
• بازبینی سیستم‌های منتخب حیاتی کسب‌وکار برای تأیید اینکه فرآیندهای پشتیبان‌گیری و بازیابی مطابق با سیاست‌های سازمانی دنبال می‌شوند.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۶. مدیریت دارایی فناوری اطلاعات

مدیریت مؤثر دارایی فناوری اطلاعات برای حاکمیت مؤثر فناوری اطلاعات، امری بنیادین است و سازمان‌ها را قادر می‌سازد تا با حذف دارایی‌های غیرضروری یا کم‌استفاده، تخصیص صحیح منابع و شناسایی فرصت‌ها برای یکپارچه‌سازی یا استانداردسازی، هزینه‌ها را بهینه کنند. این امر همچنین نقش حیاتی در امنیت سایبری و مدیریت ریسک ایفا می‌کند و به مدیران ارشد اطلاعات/مدیران ارشد امنیت اطلاعات (CIO/CISO) اجازه می‌دهد تا دارایی‌ها را ردیابی و نظارت کنند، آسیب‌پذیری‌ها را شناسایی نمایند، دسترسی را مدیریت کنند، وصله‌های امنیتی را اعمال نمایند و از داده‌های حساس محافظت کنند. با این حال، بسیاری از سازمان‌ها هنوز فاقد فهرست جامعی از دارایی‌های خود هستند و توانایی درک کامل ارتباطات و نگاشت خدمات بین آن‌ها را ندارند.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• مدیریت مؤثر دارایی فناوری اطلاعات، زیربنای حاکمیت مؤثر فناوری اطلاعات را تشکیل می‌دهد؛ زیرا نمی‌توان چیزی را که از وجودش در محیط خود بی‌خبرید، راهبری کرد. با کسب دید نسبت به چرخه عمر دارایی، می‌توان با حذف دارایی‌های غیرضروری یا کم‌استفاده، اطمینان از تخصیص صحیح منابع و شناسایی فرصت‌ها برای یکپارچه‌سازی یا استانداردسازی، هزینه‌ها را بهینه کرد.
• شیوه‌های مناسب مدیریت دارایی فناوری اطلاعات برای تلاش‌های امنیت سایبری و مدیریت ریسک حیاتی هستند. مدیران ارشد اطلاعات/مدیران ارشد امنیت اطلاعات می‌توانند دارایی‌ها را برای شناسایی آسیب‌پذیری‌ها ردیابی و نظارت کنند، از اعمال به‌موقع وصله‌ها و به‌روزرسانی‌های امنیتی اطمینان حاصل نمایند، مدیریت دسترسی کارآمد را با شناسایی دقیق کاربران غیرمجاز امکان‌پذیر سازند، و از وجود سازوکارهای مناسب برای حفاظت از داده‌های حساس اطمینان حاصل کنند.
• به‌طور خاص، ما همچنان شاهد مشتریانی هستیم که فاقد فهرست جامع از دارایی‌های خود و توانایی برقراری ارتباط بین اتصالات و نگاشت خدمات در میان دارایی‌ها هستند.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

بازبینی‌های مؤثر حسابرسی داخلی در زمینه مدیریت دارایی فناوری اطلاعات نیازمند بررسی هر مرحله از چرخه عمر یک دارایی است—از تملک اولیه تا بازنشستگی نهایی. این امر مستلزم بررسی دقیق فرآیندهای تدارکات، استقرار، بهره‌برداری، نگهداری و اسقاط است و بینش‌هایی در مورد چگونگی مدیریت مؤثر دارایی‌ها ارائه می‌دهد. این یک موضوع بنیادی است که بر بسیاری از فرآیندهای دیگر فناوری اطلاعات تأثیر می‌گذارد؛ بنابراین، فعالیت‌های زیر را در برنامه حسابرسی فناوری سال ۲۰۲۵ خود در نظر بگیرید:

• ارزیابی فرآیندهای سازمان برای مدیریت دارایی‌ها در طول چرخه عمرشان، از تملک تا بازنشستگی. این شامل بازبینی فرآیندهای تدارکات، استقرار، بهره‌برداری، نگهداری و اسقاط دارایی است.
• انجام ارزیابی از قابلیت‌های ابزارهای مدیریت دارایی سازمان. به‌عنوان مثال، ارزیابی استفاده فعلی از ابزارهای استاندارد مانند پایگاه داده مدیریت پیکربندی (CMDB) برای ردیابی و ذخیره روابط و وابستگی‌های دارایی‌ها.
• در کنار ابزارهای مورد استفاده، بازبینی فهرست دارایی‌های سازمان برای اطمینان از صحت و کامل بودن آن. اگر از ابزاری استفاده نمی‌شود، فهرست‌های آفلاین را بازبینی نمایید.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۷. نوسازی و تحول کسب‌وکار

اجرای طرح‌های نوسازی کسب‌وکار، چه از طریق فناوری‌های جدید و چه فرآیندهای جدید، نیازمند در نظر گرفتن ریسک‌ها در حوزه‌های متعدد برای اطمینان از انتقال روان و به حداقل رساندن اختلال در عملیات کسب‌وکار است. اتخاذ یک رویکرد مبتنی بر مدیریت ریسک هنگام استقرار سیستم‌ها و برنامه‌های کاربردی جدید، با یک متدولوژی به وضوح تعریف‌شده برای توسعه نرم‌افزار و مدیریت پروژه، حیاتی است. بدون مدیریت ریسک مناسب، ریسک‌هایی از قبیل عدم تحقق مزایا، افزایش هزینه‌ها، ضعف کنترل‌های داخلی، مسائل امنیت سایبری، عدم انطباق با مقررات و نیاز به تلاش‌های پرهزینه برای اصلاح وجود خواهد داشت.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• اجرای طرح‌های نوسازی کسب‌وکار، چه فناوری‌های جدید (استفاده روزافزون از هوش مصنوعی، مهاجرت‌های ابری، سیستم‌های ERP جدید و غیره) و چه فرآیندهای جدید، اغلب نیازمند تغییر در روش‌های کاری است. مهم است که ریسک‌ها در حوزه‌های متعدد (کنترل‌های عملیاتی، مدیریت تغییر، امنیت و غیره) در نظر گرفته شوند تا اطمینان حاصل شود که ریسک‌های ناشی از تغییرات مدیریت شده و اختلال محدودی در عملیات کسب‌وکار وجود دارد.
• به‌طور خاص، ما اغلب شاهد فقدان یک رویکرد مبتنی بر مدیریت ریسک برای استقرار سیستم‌ها و برنامه‌های کاربردی جدید هستیم. بدون یک متدولوژی به وضوح تعریف‌شده برای توسعه نرم‌افزار و مدیریت پروژه، ریسک قابل‌توجهی وجود دارد که مزایا محقق نشوند، هزینه‌ها از کنترل خارج شوند و سیستم‌ها با ساختارهای کنترل داخلی ضعیف پیاده‌سازی شوند. این امر به نوبه خود می‌تواند منجر به مسائل امنیت سایبری، عدم انطباق با مقررات مهم و بسیاری چالش‌های دیگر شود که به فعالیت اصلاحی پرهزینه و زمان‌بر منجر می‌شود.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

حسابرسی داخلی باید در حیاتی‌ترین طرح‌های نوسازی و تحول کسب‌وکار نقش کلیدی ایفا کند. این امر به تضمین همکاری با تیم پروژه کمک می‌کند و این امکان را فراهم می‌آورد که همگام با تغییرات زمان‌بندی و تحقق نقاط عطف کلیدی، واکنش به‌موقعی داشته باشد. از طریق این رویکرد یکپارچه، حسابرسی داخلی می‌تواند به‌صورت پویا سازگار شود، به‌طور مناسب به تغییر پاسخ دهد و به کسب‌وکار در اصلاح مسیر کمک کند. علاوه بر این، با همسو کردن رویه‌های حسابرسی با فعالیت‌های کلیدی پروژه، حسابرسی داخلی می‌تواند گزارش‌های پس از اقدام ارائه دهد که بینش‌هایی ارزشمند در مورد طرح‌های سازمان شما ارائه می‌دهد. نتیجه، یک فرآیند حسابرسی درگیرتر و سازگارتر است که بینش‌های جامع و به‌موقعی را برای سازمان شما فراهم می‌کند. دامنه دقیق به طرح نوسازی و تحول سازمان شما بستگی خواهد داشت؛ با این حال، رویکردهای زیر را در نظر بگیرید:

• گنجاندن رویه‌های حسابرسی داخلی در پروژه‌های پرریسک/حیاتی با حضور در جلسات هفتگی وضعیت پروژه و افزودن حوزه‌های ریسک شناسایی‌شده به گزارش ریسک پروژه. این رویکرد به حسابرسی داخلی اجازه می‌دهد تا با تغییر زمان‌بندی پروژه و تحقق نقاط عطف کلیدی، مستقیماً با تیم پروژه همکاری کند و نه تنها به تیم پروژه بلکه به ذی‌نفعان در سطح اجرایی و هیئت مدیره نیز اطمینان‌بخشی ارائه دهد.
• حسابرسی داخلی می‌تواند رویه‌های خود را با فعالیت‌های کلیدی پروژه همسو کرده و پس از انجام این فعالیت‌ها گزارش دهد. به‌عنوان مثال، حسابرسی داخلی می‌تواند رویه‌های دقیقی را برای پشتیبانی از مدیریت فروشندگان در طول پیاده‌سازی انجام دهد یا با اعتبارسنجی اینکه داده‌ها قبل از راه‌اندازی نهایی (go-live) به‌طور کامل و دقیق منتقل شده‌اند، از تیم پروژه در تصمیم‌گیری‌های مرحله‌ای (stage gates) برای ادامه یا توقف پروژه (go/no-go) پشتیبانی کند.

بینش KPMG: اکثر سازمان‌های موفق با گنجاندن جریان‌های حسابرسی داخلی و کنترل داخلی از تحول ERP بهره‌برداری کرده‌اند. پاسخ‌های نظرسنجی ما نشان می‌دهد که تنها ۲۶ درصد از تیم‌های حسابرسی داخلی در تمام مراحل سفرهای تغییر سازمانی درگیر هستند.

منبع: پیشگام در مرزهای دیجیتال: چشم‌انداز جهانی حسابرسی داخلی فناوری اطلاعات KPMG

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۸. انطباق با مقررات

تغییرات نظارتی و قانونی، سازمان‌های فناوری اطلاعات را ملزم می‌کند که به‌روز بمانند و تأثیر این تغییرات را بر سیستم‌ها و فرآیندهای خود ارزیابی کنند تا از انطباق اطمینان حاصل نمایند. نهادهای نظارتی تمرکز بیشتری بر فناوری دارند و مقرراتی مرتبط با هوش مصنوعی، حریم خصوصی، امنیت سایبری و تاب‌آوری عملیاتی وضع می‌کنند. این تمرکز فزاینده نهادهای نظارتی بر فناوری اطلاعات، پیچیدگی بیشتری را بر عملکردهای داخلی ریسک و انطباق تحمیل می‌کند و منجر به افزایش پروژه‌های کنترلی و اصلاحی در بازار می‌شود.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• تغییرات نظارتی و قانونی اغلب الزامات و تعهدات جدیدی را برای کسب‌وکارها به همراه دارد. سازمان فناوری اطلاعات باید از این تغییرات مطلع بماند و تأثیر آن‌ها را بر سیستم‌ها و فرآیندهای فناوری اطلاعات ارزیابی کند. مدیران ارشد فناوری اطلاعات (CIOs) با درک به‌روزرسانی‌های نظارتی می‌توانند اطمینان حاصل کنند که زیرساخت‌ها و عملیات فناوری اطلاعات سازمانشان با قوانین و مقررات در حال تغییر مطابقت دارد و از جریمه‌های عدم انطباق، مسائل حقوقی و آسیب به اعتبار سازمان جلوگیری می‌کنند.
• نهادهای نظارتی همچنان بر فناوری در حوزه اختیارات نظارتی خود تمرکز دارند. چه مقررات نوظهور پیرامون استفاده از هوش مصنوعی باشد، چه تمرکز فزاینده بر حریم خصوصی، انتظار از سازمان‌ها برای تشدید حاکمیت امنیت سایبری به منظور حفاظت از مصرف‌کنندگان، یا تمرکز بر تاب‌آوری و تداوم عملیات، نهادهای نظارتی انتظارات بیشتری از کسب‌وکارها دارند. یکی از مقرراتی که اخیراً برای شرکت‌های سهامی عام اجرا شده، گزارش‌دهی حوادث سایبری برای شرکت‌های ثبت‌شده در کمیسیون بورس و اوراق بهادار (SEC) است. این مقررات شامل قوانین افشا و گزارش‌دهی حوادث سایبری و همچنین تمرکز بر فرآیندهای واکنش به حوادث است.
• به‌طور خاص، ما همچنان شاهد تمرکز بیشتر نهادهای نظارتی بر فناوری اطلاعات و افزایش پیچیدگی برای عملکردهای داخلی ریسک و انطباق در همگام ماندن با این تمرکز هستیم، که این امر در افزایش حجم و پیچیدگی پروژه‌های کنترلی و اصلاحی برنامه‌ریزی‌شده در بازار مشهود است.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

حسابرسی داخلی می‌تواند برنامه‌های انطباق با مقررات سازمان و مدل‌های عملیاتی مرتبط با آن را نقد کند تا به شما در آگاهی از مقررات موجود و نوظهور کمک نماید. همچنین، حسابرسی داخلی می‌تواند به کسب‌وکار در مورد نحوه پاسخگویی به الزامات نظارتی از طریق طراحی و پیاده‌سازی، نظارت مستمر و اصلاح (در صورت لزوم) کنترل‌ها مشاوره دهد. در نظر داشته باشید که فعالیت‌های زیر را در برنامه حسابرسی فناوری خود برای سال ۲۰۲۵ بگنجانید:

• بازبینی فرآیندهای ایجاد شده برای نظارت مستمر و به‌روزرسانی تغییرات نظارتی در حوزه فناوری اطلاعات. این امر شامل مطلع ماندن از تحولات نظارتی جاری، ارزیابی تأثیر آن‌ها بر سازمان و اطمینان از به‌روز بودن تلاش‌های مربوط به انطباق است.
• همکاری با بخش فناوری اطلاعات و کسب‌وکار (مانند مدیریت ریسک سازمانی (ERM)، بخش حقوقی و انطباق، و عملیات) برای شناسایی مقررات با اولویت بالا. پیش از آنکه سازمان وضعیت انطباق خود را به نهادهای نظارتی ارائه دهد، هرگونه خودارزیابی یا اقدامات اصلاحی داخلی را که برای ارزیابی بلوغ فعلی در برابر الزامات نظارتی استفاده شده، بازبینی و اعتبارسنجی کنید.
• برای شرکت‌های سهامی عام، در حسابرسی‌های آتی از فرآیندهای واکنش به حوادث امنیتی، بخشی را مشخصاً به بررسی الزامات افشای سایبری کمیسیون بورس و اوراق بهادار (SEC) اختصاص دهید و به‌ویژه توانایی سازمان در واکنش به حوادث امنیت سایبری مطابق با الزامات SEC را مورد آزمایش قرار دهید.

بینش KPMG: ۴۲ درصد از مدیران ارشد ریسک (CROs) معتقدند که تغییرات نظارتی و قانونی بزرگترین چالش سازمانشان طی ۲ تا ۵ سال آینده خواهد بود.

منبع: نظرسنجی مدیران ارشد ریسک ۲۰۲۴، KPMG

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۰۹. ریسک شخص ثالث

سازمان‌ها برای خدمات فناوری مختلف وابستگی شدیدی به ارائه‌دهندگان شخص ثالث دارند، امری که ارزیابی ریسک‌های مرتبط را برای مدیران ارشد فناوری اطلاعات ضروری می‌سازد. هرگونه اختلال یا شکست از سوی یک ارائه‌دهنده شخص ثالث می‌تواند مستقیماً بر عملیات و خدمات فناوری اطلاعات و همچنین اهداف سازمان تأثیر بگذارد. مدیران ارشد فناوری اطلاعات باید شیوه‌ها و پروتکل‌های امنیتی فروشندگان شخص ثالث را ارزیابی کنند تا از داده‌های حساس در برابر نقض داده و دسترسی غیرمجاز محافظت نمایند. درک و کاهش ریسک‌های مرتبط با وابستگی‌های شخص ثالث، با توجه به رویدادهای اخیر، اهمیت روزافزونی یافته است.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• تقریباً تمام سازمان‌ها برای خدمات و راه‌حل‌های فناوری مختلف، از جمله خدمات ابری، خدمات مدیریت‌شده فناوری اطلاعات، توسعه نرم‌افزار یا نگهداری سخت‌افزار، به ارائه‌دهندگان شخص ثالث متکی هستند. مدیران ارشد فناوری اطلاعات باید ریسک‌های مرتبط با این وابستگی‌ها را ارزیابی کنند، زیرا هرگونه اختلال یا شکست از سوی یک ارائه‌دهنده شخص ثالث می‌تواند مستقیماً بر عملیات، سیستم‌ها و خدمات فناوری اطلاعات سازمان و در نهایت بر اهداف سازمان تأثیر بگذارد.
• فروشندگان شخص ثالث اغلب به داده‌های حساس یا زیرساخت‌های حیاتی فناوری اطلاعات دسترسی دارند. اگر یک فروشنده شخص ثالث دچار نقض داده، توقف عملیات یا اقدامات امنیتی ناکافی شود، این امر می‌تواند منجر به از دست رفتن، سرقت یا دسترسی غیرمجاز به داده‌های سازمان شود. مدیران ارشد فناوری اطلاعات باید شیوه‌ها و پروتکل‌های امنیتی فروشندگان شخص ثالث را ارزیابی کنند تا اطمینان حاصل نمایند که این فروشندگان استانداردهای امنیتی سازمان را برآورده کرده و از داده‌ها در برابر نقض‌های احتمالی محافظت می‌کنند.
• به‌طور خاص، هم در رویدادهای عمومی اخیر و هم در نمونه‌های مشخص مشتریان، اهمیت درک میزان آسیب‌پذیری سازمان در برابر استفاده از اشخاص ثالث و چگونگی کاهش و نظارت بر آن ریسک، بیش از پیش مهم شده است.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

اگرچه ریسک شخص ثالث موضوع جدیدی نیست، اما مشکلات و حوادث مرتبط با اشخاص ثالث همچنان رایج‌تر می‌شوند. این ریسک در حال افزایش است و سرعت وقوع رویدادها بیشتر می‌شود. برای حسابرسی داخلی مهم است که خدمات شخص ثالث را به صورت جامع بازبینی و ارزیابی کند، که می‌تواند شامل فعالیت‌های نمونه زیر باشد:

• ارزیابی برنامه مدیریت ریسک فروشندگان و کفایت اقدامات کاهش ریسک پیاده‌سازی‌شده برای فروشندگان پرریسک، مانند بندهای قراردادی، نظارت بر عملکرد فروشنده و برنامه‌های واکنش به حوادث.
• اطمینان از اینکه سازمان فرآیندی برای بازبینی سیستماتیک معیارهای کلیدی مانند توافق‌نامه‌های سطح خدمات (SLAs)، شاخص‌های کلیدی ریسک (KRIs) و شاخص‌های کلیدی عملکرد (KPIs) دارد تا تضمین شود که این شرکا استانداردهای مورد انتظار را برآورده کرده و نتایج مطلوب حاصل می‌شود.
• درک هرگونه ریسک شخص چهارم و بازبینی قرارداد اولیه فروشنده برای اطمینان از وجود حق حسابرسی، و گنجاندن مدیریت ریسک در قرارداد برای بازبینی و اطمینان از اینکه کنترل‌ها، سازمان‌های خدماتی زیرمجموعه (subservice organizations) را نیز پوشش می‌دهند.
• کمک به کمیته‌های مدیریت یا سایر ذی‌نفعان کلیدی برای آمادگی در برابر حوادث احتمالی فروشندگان، مانند نقض داده یا توقف عملیات، از طریق ارزیابی وجود کنترل‌های امنیت سایبری و شیوه‌های مدیریت ریسک کافی برای فروشندگان.

بینش KPMG: ایجاد یک استراتژی مدیریت ریسک مستمر و در سطح کل سازمان که تضمین کند فروشندگان شخص ثالث ارزش سرمایه‌گذاری را دارند، برای سازمان حیاتی است.

منبع: نظرسنجی مدیران ارشد ریسک ۲۰۲۴، KPMG

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

۱۰. حاکمیت داده

حاکمیت داده یک حوزه ضروری برای حسابرسی است، زیرا داده‌ها هدایتگر عملیات سازمان هستند. با ظهور فناوری‌های نوظهور مانند هوش مصنوعی، حاکمیت داده مؤثر اهمیت بیشتری می‌یابد و به کارکنان این اطمینان را می‌دهد که از اتوماسیون و نوآوری بهره ببرند. این امر عملیات سریع‌تر، توسعه محصولات و خدمات جدید و تولید گزارش‌های مالی و غیرمالی قابل اعتماد را امکان‌پذیر می‌سازد، که به‌ویژه در صنایع با نظارت شدید ارزشمند است.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

زمینه اصلی ریسک:

• در چشم‌انداز تجاری پویای امروز، داده‌ها نقشی محوری در هدایت عملیات سازمانی ایفا می‌کنند و این امر حاکمیت داده را به یک حوزه حیاتی برای حسابرسی تبدیل می‌کند. اهمیت داده‌ها را نمی‌توان نادیده گرفت، زیرا زیربنای هر فعالیتی در یک سازمان است.
• با رشد مداوم فناوری‌های نوظهور مانند هوش مصنوعی، حاکمیت داده مؤثر اهمیت بیشتری می‌یابد. این امر به کارکنان اطمینان می‌دهد تا از هوش مصنوعی و اتوماسیون پیشرفته استفاده کنند و عملیات سریع‌تر، نوآوری در محصولات و خدمات جدید و تولید گزارش‌های مالی و غیرمالی قوی را که می‌توانند در برابر بررسی‌های دقیق، به‌ویژه در صنایع با نظارت شدید، مقاومت کنند، تسهیل می‌کند.

حسابرسی داخلی فناوری اطلاعات چگونه می‌تواند تأثیرگذار باشد؟

عملکردهای حسابرسی داخلی می‌توانند به عنوان یک کاتالیزور برای بهبود شیوه‌های حاکمیت داده در سازمان‌ها عمل کنند و به افزایش کیفیت داده، حریم خصوصی داده و قابلیت‌های کلی مدیریت داده کمک نمایند. موضوعات زیر را برای برنامه حسابرسی فناوری خود در سال ۲۰۲۵ در نظر بگیرید:

• بهره‌گیری از تخصص اصلی حسابرسی داخلی برای حمایت از سازمان در نگاشت جریان‌های داده، که کسب‌وکار را قادر می‌سازد ریسک‌های کلیدی داده را شناسایی کرده و متعاقباً کنترل‌های مؤثری را ایجاد کند.
• ارزیابی اثربخشی مکانیسم‌های حاکمیت داده‌ای که سازمان در اختیار دارد، مانند کنترل‌های کیفیت داده، طبقه‌بندی داده، کنترل‌های دسترسی به داده و اقدامات مربوط به حریم خصوصی داده.
• بازبینی فرآیندهای ایجاد شده برای نظارت مستمر و به‌روزرسانی تغییرات نظارتی. نمونه‌هایی از این تغییرات می‌تواند قانون حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA) و/یا مقررات عمومی حفاظت از داده‌ها (GDPR) باشد. هر دوی این مقررات، سازمان‌ها را تحت فشار قرار داده‌اند تا داده‌های شخصی را با دقت و توجه مدیریت کنند.

کیفیت داده زیربنای همه چیز است و با افزایش استفاده از مدل‌های هوش مصنوعی، مشکلات مربوط به حاکمیت داده بیشتر آشکار خواهد شد و تأثیر آن معنادارتر خواهد بود. حاکمیت داده یک رشته حیاتی است که کسب‌وکار باید آن را به‌درستی اجرا کند و حسابرسی داخلی فناوری اطلاعات باید از آن پشتیبانی نماید. یک رویکرد قوی به حاکمیت داده برای سازمان‌ها مهم است تا بتوانند تصمیمات تجاری بهتری بگیرند، ریسک‌های امنیت سایبری را کاهش دهند و اعتماد ذی‌نفعان خارجی را تقویت کنند. حسابرسی داخلی می‌تواند به سازمان‌ها کمک کند تا این کار را به‌درستی انجام دهند.

جیمز بوکانن
رئیس حسابرسی داخلی فناوری اطلاعات آسیا-اقیانوسیه
KPMG استرالیا

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

با تدوین یک برنامه حسابرسی فناوری قوی و سنجیده برای سال ۲۰۲۵، می‌توانید نقش حسابرسی داخلی را به عنوان یک شریک استراتژیک برای رهبران کسب‌وکار، همزمان با تکامل و تطبیق مداوم سازمان، تقویت کنید. ایجاد همسویی بین حسابرسی داخلی و تیم‌های رهبری ارشد، توانایی سازمان را برای کاهش ریسک‌ها افزایش می‌دهد و ایجاد ابتکارات ارزش‌آفرینی را که باعث رشد و ارائه مزایا در سراسر سازمان می‌شود، تسهیل می‌کند. برای تدوین این برنامه، ملاحظات کلیدی زیر را در نظر داشته باشید:

• بازبینی و تنظیم دوره‌ای ریسک‌های اصلی شرکت.
• همسو کردن اهداف حسابرسی با استراتژی‌های رشد در سطح شرکت و در عین حال در نظر گرفتن عوامل ریسک خارجی برای ایجاد ارزش در کل سازمان.
• اطمینان از اینکه تیم حسابرسی داخلی شما آموزش و مهارت‌های لازم برای شناسایی و اجرای حسابرسی‌های مشخص‌شده را دارد و برای کسب‌وکار ارزش افزوده ایجاد می‌کند.

در نهایت، همسو کردن برنامه حسابرسی با دستور کار ریسک سازمان بسیار حیاتی است. این امر نیازمند درک عمیقی از استراتژی فناوری اطلاعات سازمانی شما و ارزیابی دقیقی از فعالیت‌های اصلی است که برای موفقیت شما ضروری هستند. با شناسایی این حوزه‌های کلیدی، می‌توانید یک برنامه حسابرسی فناوری متناسب با نیازها و پروفایل ریسک خاص سازمان خود تهیه کنید. این رویکرد هدفمند کمک می‌کند تا اطمینان حاصل شود که برنامه حسابرسی با استراتژی‌های رشد در سطح شرکت شما همسو است و به فوری‌ترین ریسک‌ها و چالش‌هایی که ممکن است با آن‌ها روبرو شوید، رسیدگی می‌کند. با انتخاب موضوعات مناسب، می‌توانید در سراسر سازمان خود ارزش‌آفرینی کنید و پایه‌های موفقیت آینده را در چشم‌انداز فناوری که به‌سرعت در حال تحول است، بنا نهید.

نکات پایانی: KPMG چگونه می‌تواند کمک کند؟

با توجه به اینکه KPMG با بسیاری از سازمان‌های پیشرو در جهان همکاری نزدیکی دارد، ما بینش‌های عمیقی بر اساس تجربه گسترده صنعتی داریم که به ما کمک می‌کند تا بفهمیم یک کسب‌وکار برای تحقق اهدافش چه چیزی را باید به درستی انجام دهد. محدودیت منابع نباید مانع تدوین یک برنامه حسابرسی جامع شود. گستردگی خدماتی که ما ارائه می‌دهیم به ما این امکان را می‌دهد که دانش و تجربه تخصصی را در بسیاری از موضوعات حسابرسی به کار گیریم، که این امر نه تنها می‌تواند برای عملکرد حسابرسی داخلی شما اعتبار به ارمغان آورد، بلکه می‌تواند برای سازمان نیز ارزش‌آفرین باشد. بر اساس ریسک موجود در سازمان شما و تقاضا برای حسابرسی، ما می‌توانیم به شما کمک کنیم تا مدل تأمین منابع خود را متناسب با نیازتان تنظیم کنید تا بتوانید به‌طور مؤثر برنامه خود را توسعه داده و اجرا نمایید.

---

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A

مقاله تکمیلی ما را بخوانید

پیشگام در مرزهای دیجیتال: چشم‌انداز جهانی حسابرسی داخلی فناوری اطلاعات
کشف کنید که چگونه پیشرفت‌های فناورانه در حال تغییر چشم‌انداز حسابرسی هستند و سازمان‌ها برای همگام شدن با این تغییرات باید بر چه چیزی تمرکز کنند.
از اینجا بخوانید.

برای اطلاعات بیشتر در مورد اینکه KPMG چگونه می‌تواند به تیم حسابرسی داخلی شما کمک کرده و آن را بهبود بخشد، لطفاً از وب‌سایت ما بازدید کنید یا با یکی از افراد زیر تماس بگیرید:

ریچارد نایت
مدیر اصلی، حسابرسی داخلی و کنترل‌ها
تلفن: ۸۳۹۳-۲۸۶-۷۰۳
ایمیل: raknight@kpmg.com

برایان دبلیو. کربس
مدیر، حسابرسی داخلی و کنترل‌ها
تلفن: ۲۷۹۴-۹۴۹-۴۱۰
ایمیل: bkrebs@kpmg.com

مت توبی
مدیر اصلی، امنیت سایبری و ریسک فناوری
تلفن: ۳۶۰۱-۴۵۹-۴۸۰
ایمیل: mtobey@kpmg.com

با ما در ارتباط باشید
درباره ما بیاموزید: kpmg.com

اطلاعات مندرج در این متن ماهیت کلی دارد و برای پرداختن به شرایط هیچ فرد یا نهاد خاصی در نظر گرفته نشده است. اگرچه ما در تلاش برای ارائه اطلاعات دقیق و به‌موقع هستیم، اما هیچ تضمینی وجود ندارد که این اطلاعات در تاریخ دریافت آن دقیق باشد یا در آینده نیز دقیق باقی بماند. هیچ‌کس نباید بدون دریافت مشاوره حرفه‌ای مناسب پس از بررسی کامل یک موقعیت خاص، بر اساس این اطلاعات اقدام کند.

© 2024 KPMG LLP، یک شرکت تضامنی محدود دلاور و شرکت عضو سازمان جهانی KPMG متشکل از شرکت‌های عضو مستقل وابسته به KPMG International Limited، یک شرکت خصوصی انگلیسی با مسئولیت محدود بر اساس ضمانت. کلیه حقوق محفوظ است. USCS022440-1A
نام و لوگوی KPMG علائم تجاری هستند که تحت لیسانس شرکت‌های عضو مستقل سازمان جهانی KPMG استفاده می‌شوند.
ارائه برخی یا تمام خدمات توصیف شده در اینجا ممکن است برای مشتریان حسابرسی KPMG و شرکت‌های وابسته یا نهادهای مرتبط با آن‌ها مجاز نباشد.