راهنمای جامع حسابرسی زیرساخت محاسباتی و عملیات IT (GTAG)

خلاصه اجرایی

حسابرسی زیرساخت محاسباتی و عملیات فناوری اطلاعات (IT)، دارایی‌ها و خدمات فناوری بنیادینی هستند که سازمان‌ها در سراسر جهان برای انجام عملیات روزمره خود به آن‌ها نیاز دارند. زیرساخت محاسباتی شامل سخت‌افزار، نرم‌افزار و دستگاه‌های شبکه است. عملیات IT بر کمک به اطمینان از اجرای قابل اعتماد و مؤثر زیرساخت‌ها متمرکز است. این دو با هم، شالوده فناوری را تشکیل می‌دهند که سازمان‌ها برای انجام عملیات تجاری و دستیابی به اهداف عملیاتی خود به آن تکیه می‌کنند.

مدیریت IT باید به طور مداوم امنیت زیرساخت محاسباتی و عملیات IT سازمان را نظارت و ارزیابی کند، از جمله اطمینان از وصله‌گذاری به موقع، محدود کردن منطقی و فیزیکی دسترسی، و اسکن برای تهدیدها. پروتکل‌های مؤثر پشتیبان‌گیری و بازیابی داده‌ها نیز باید به عنوان بخشی از برنامه بازیابی از فاجعه و واکنش سازمان وجود داشته باشد.

مأموریت‌های حسابرسی داخلی برای ارزیابی زیرساخت محاسباتی و عملیات IT باید ریسک‌ها و کنترل‌های مربوط به محیط سازمان را شناسایی کرده و تعیین کنند که آیا کنترل‌ها به اندازه کافی طراحی شده و به طور مؤثر برای به حداقل رساندن زمان از کار افتادگی و محدود کردن کاربران غیرمجاز پیاده‌سازی شده‌اند یا خیر. در خدمات اطمینان‌بخش و مشاوره‌ای خود، واحد حسابرسی داخلی می‌تواند با گنجاندن راهنمایی‌های کنترلی از چارچوب‌های پرکاربرد در یک ارزیابی سیستماتیک از سیاست‌ها و رویه‌های سازمان، بینش‌های ارزشمندی را برای همه ذینفعان فراهم کند. برای اطلاعات بیشتر در این زمینه، می‌توانید مقاله ما در مورد توسعه برنامه حسابرسی داخلی مبتنی بر ریسک را مطالعه کنید.

مقدمه

زیرساخت محاسباتی و عملیات IT منابع بنیادینی را فراهم می‌کنند که سازمان‌ها در بیشتر جنبه‌های فرآیندها و فعالیت‌های روزمره خود از آن‌ها استفاده می‌کنند. به طور خاص، زیرساخت محاسباتی مجموعه‌ای از فناوری است که خدمات IT را پشتیبانی می‌کند. این شامل سخت‌افزار، نرم‌افزار، ذخیره‌سازی داده‌ها و عناصر شبکه‌ای است که از مدیریت اطلاعات، داده‌ها و پردازش سازمان پشتیبانی می‌کند. نیازهای زیرساخت محاسباتی سازمانی ممکن است با استفاده از دارایی‌های داخلی، ارائه‌دهندگان خدمات خارجی یا یک رویکرد ترکیبی برآورده شود. بسیاری از سازمان‌ها همچنین از منابع زیرساخت محاسباتی مبتنی بر ابر استفاده می‌کنند.

عملیات IT شامل فعالیت‌های مربوط به مدیریت، نگهداری و ارائه خدماتی است که از جنبه‌های فناورانه زیرساخت محاسباتی سازمان پشتیبانی کرده و انجام وظایف روزمره تجاری را ممکن می‌سازد. زیرساخت محاسباتی و عملیات IT یک سازمان باید از دستیابی به اهداف عملیاتی، از جمله محرمانگی، یکپارچگی و در دسترس بودن داده‌ها و اطلاعات، پشتیبانی کند و در عین حال با اهداف استراتژیک همسو باشد.

اهداف این راهنما

این راهنمای جهانی حسابرسی فناوری (GTAG) رویکردی سیستماتیک ارائه می‌دهد که می‌تواند توسط حسابرسان داخلی با هر پیش‌زمینه‌ای اتخاذ و با سازمان‌هایشان تطبیق داده شود. این راهنما به خواننده کمک می‌کند تا:

• اهمیت زیرساخت محاسباتی و عملیات IT را در دستیابی به اهداف سازمانی و درک ریسک‌هایی که دستیابی به آن اهداف را تهدید می‌کنند، توصیف کند.
• اجزای معمول فرآیندهای زیرساخت محاسباتی و عملیات IT، از جمله ریسک‌ها و کنترل‌های رایج را شناسایی کند.
• فرآیندهای کنترلی مرتبط چارچوب‌های خارجی را برای تحقیق بیشتر در مورد بهترین شیوه‌ها شناسایی کند.
• خدمات اطمینان‌بخش و مشاوره‌ای بر روی زیرساخت محاسباتی و عملیات IT را برنامه‌ریزی و اجرا کند.

چرا حسابرسی زیرساخت محاسباتی و حاکمیت IT حیاتی است؟

همانطور که در مدل سه خطی IIA توضیح داده شده است، هیئت حاکمه مسئول اطمینان از همسویی فعالیت‌های سازمانی با منافع اولویت‌بندی شده ذینفعان است. جنبه مهمی از حاکمیت، نظارت بر اقدامات مدیریت برای دستیابی به اهداف استراتژیک، از جمله تخصیص منابع است. منابع فناوری اطلاعات برای سازمان‌ها حیاتی هستند: تراکنش‌های روزانه از طریق زیرساخت محاسباتی مستقر و با پشتیبانی عملیات IT انجام می‌شود. بنابراین، مهم است که فرآیند حاکمیت شامل نظارت بر این باشد که منابع IT از اهداف و استراتژی‌های سازمان پشتیبانی می‌کنند.

ارجاع به چارچوب‌های کنترلی IT-IS

این راهنما به چهار چارچوب کنترلی خارجی IT-IS از استانداردها، راهنمایی‌ها و بهترین شیوه‌ها ارجاع می‌دهد، در حالی که اذعان دارد که بسیاری دیگر در سراسر جهان استفاده می‌شوند. پرسنل IT-IS اغلب کنترل‌های عملیاتی و امنیتی را با یک یا چند مورد از این چارچوب‌ها محک می‌زنند. حسابرسان داخلی تشویق می‌شوند تا چارچوب‌های مورد استفاده سازمان خود را شناسایی کرده و سایر راهنمایی‌های کنترلی IT-IS را برای کمک به شناسایی و درک ریسک‌ها و کنترل‌های رایج بررسی کنند.

چهار چارچوب مرجع عبارتند از:

• چارچوب COBIT 2019: اهداف حاکمیتی و مدیریتی از ISACA.
• NIST Special Publication (SP) 800-53, Revision 5: کنترل‌های امنیتی و حریم خصوصی برای سیستم‌ها و سازمان‌های اطلاعاتی.
• NIST Framework for Improving Critical Infrastructure Cybersecurity Version 2.0.
• CIS Controls Version 8.1 از مرکز امنیت اینترنت.

گنجاندن بررسی راهنمایی‌های خارجی در برنامه‌ریزی و اجرای تعامل به حسابرس داخلی کمک می‌کند تا اصول ۳ و ۴ استانداردهای جهانی حسابرسی داخلی را نشان دهد. برای آشنایی بیشتر با جنبه‌های امنیتی، می‌توانید مطلب ما را در مورد حسابرسی عملیات امنیت سایبری مطالعه نمایید.

منبع: The Institute of Internal Auditors (theiia.org) – Global Technology Audit Guide: Auditing Computing Infrastructure and IT Operations