دفتر ثبت ریسک فناوری اطلاعات: راهنمای جامع مدیریت ریسک IT
حسابرسی مبتنی بر ریسک (Risk-Based Audits)
دفتر ثبت ریسک فناوری اطلاعات یک ابزار کلیدی در حسابرسی مبتنی بر ریسک است. این نوع حسابرسیها از چارچوبهای صنعتی برای اطمینان از حمایت اهداف سازمانی و انطباق با پارامترهای خارجی استفاده میکنند. برخلاف حسابرسیهای مبتنی بر انطباق، این رویکرد اشتهای ریسک، تحمل ریسک و انتظارات انطباق سازمان را نیز در نظر میگیرد. اشتهای ریسک، سطحی از ریسک است که سازمان برای دستیابی به اهداف و مأموریت خود مایل به پذیرش آن است و میزان انحراف قابل تحمل را مشخص میکند.
برای اجرای این فرآیند:
- ابتدا، حسابرسان IT باید با مدیریت ارشد برای تعیین آستانههای ریسک مشورت کنند.
- سپس، حسابرسان باید متخصصان موضوعی را درگیر کنند تا از تفسیر و بهکارگیری صحیح کنترلهای فنی اطمینان حاصل شود.
- در سطح استراتژیک، حسابرسان باید عوامل ریسکی را که بر مأموریت، چشمانداز، استراتژی و اهداف سازمان تأثیر میگذارند، مورد بحث قرار دهند.
حسابرسی داخلی مبتنی بر ریسک بر اساس آخرین ارزیابیهای ریسک انجام میشود و ابتدا به تهدیدات اصلی و با فراوانی بسیار بیشتر پرداخته میشود. این رویکرد تضمین میکند که فعالیت حسابرسی داخلی تلاشهای خود را بر ارائه خدمات اطمینانبخشی و مشاورهای مرتبط با ریسکهای اصلی سازمان متمرکز میکند.
حسابرسی مبتنی بر انطباق (Compliance-Based Audits)
حسابرسیهای مبتنی بر انطباق، رعایت قوانین، مقررات و سیاستهای داخلی را ارزیابی میکنند. این حسابرسیها برای ایجاد سطح معقولی از اطمینان نسبت به انطباق یک سازمان با الزامات خارجی و فرآیندهای داخلی ضروری هستند. ریسک عدم انطباق، مانند جریمهها و مجازاتها، لزوم رعایت استانداردهای صنعتی و شیوههای شناختهشده را ایجاب میکند.
حسابرسیهای متمرکز بر انطباق از چارچوبهایی مانند موارد ایجاد شده توسط موسسه ملی استاندارد و فناوری ایالات متحده (NIST) و سازمان بینالمللی استانداردسازی (ISO) برای حمایت از اهداف سازمانی و انطباق با الزامات خارجی استفاده میکنند.
دفتر ثبت ریسک فناوری اطلاعات (IT Risk Register) چیست؟
دفتر ثبت ریسک سندی است که حاوی نتایج تحلیل کیفی ریسک، تحلیل کمی ریسک و برنامهریزی واکنش به ریسک است. این دفتر تمام ریسکهای شناساییشده، شامل توضیحات، دستهبندی، علت، احتمال وقوع، تأثیر بر اهداف، پاسخهای پیشنهادی، مالکان و وضعیت فعلی را به تفصیل بیان میکند. این سند معمولاً یک صفحه گسترده (spreadsheet) است که تمام بیانیههای ریسک شناساییشده برای پروژه را در بر میگیرد.
بر اساس برنامه حاکمیت، ریسک و انطباق فناوری اطلاعات EDUCAUSE، دفتر ثبت ریسک IT یک چکلیست قابل مرتبسازی است که ریسکهای استراتژیک رایج IT را شناسایی کرده و آنها را بر اساس انواع ریسک و حوزههای IT دستهبندی میکند. این سند همچنین منبعی برای کمک به مؤسسات در انجام ارزیابی کیفی ریسک برای موارد فهرستشده در دفتر است.
نمونهای از دفتر ثبت ریسک فناوری اطلاعات
| ردیف | بیانیه ریسک | علل ریسک | اثرات ریسک |
|---|---|---|---|
| 1 | عدم همسویی حاکمیت و اولویتهای IT با اولویتهای سازمانی | عدم درک استراتژی سازمانی توسط IT؛ عدم حمایت سازمانی از عملیات IT | حاکمیت ضعیف IT سازمانی؛ ناتوانی در استفاده استراتژیک از IT برای حمایت از مأموریت سازمانی؛ ناکارآمدی و تکرار تلاشها؛ شهرت ضعیف IT سازمانی |
| 2 | عدم تعیین رهبری برای نظارت سازمانی و جهتگیری استراتژیک برای عملیات IT | عدم حمایت سازمانی از عملیات IT | حاکمیت ضعیف IT؛ ناتوانی در حمایت از مأموریت سازمانی؛ ایجاد قلمروهای مستقل که منجر به ناکارآمدی و تکرار تلاشها میشود |
| 3 | عدم تعیین رهبری برای فعالیتهای امنیت اطلاعات | عدم حمایت سازمانی از عملیات IT و امنیت اطلاعات | حاکمیت ضعیف امنیت اطلاعات؛ نشت دادهها؛ عدم رعایت الزامات قانونی؛ جریمهها و هزینههای نظارتی |
| 4 | نبود برنامه جانشینپروری برای رهبران کلیدی IT (مانند CIO، CISO) | عدم حمایت سازمانی؛ عدم وجود کارکنان داخلی واجد شرایط برای جانشینپروری | خلاء رهبری در صورت جدایی یک رهبر کلیدی IT از سازمان |
| 5 | عدم مشارکت ذینفعان مرتبط در تصمیمگیریهای مهم سرمایهگذاری IT | عدم حمایت مدیریت ارشد؛ ناتوانی در شناسایی ذینفعان | تصمیمگیریهای سرمایهگذاری نامناسب؛ حاکمیت ضعیف IT؛ افزایش هزینه ارائه خدمات IT؛ شهرت ضعیف IT |
| 6 | عدم اولویتبندی داراییهای IT بر اساس طبقهبندی، اهمیت و ارزش سازمانی | عدم حمایت مدیریت ارشد؛ پیچیدگی فرآیندهای کسبوکار؛ کمبود بودجه و ابزار | وجود منابع اضافی متعدد (ناکارآمد و پرهزینه)؛ ناتوانی در اجرای طرحهای تداوم کسبوکار؛ زیانهای مالی |
| 7 | داراییها، سیستمها و خدمات IT منسوخ شده و از نیازهای سازمانی پشتیبانی نمیکنند | معماری IT سازمانی پیچیده و غیرقابل انعطاف؛ عدم پذیرش زیرساختهای جدید IT به موقع | حاکمیت ضعیف IT؛ ناتوانی در ارائه خدمات مورد نیاز کسبوکار، دانشگاهی و تحقیقاتی؛ افزایش هزینه ارائه خدمات IT |
