19

برگزاری نخستین همایش حسابرسی IT در بانک‌ها و موسسات مالی توسط شرکت پدیدپرداز پردیس در پژوهشکده پولی و بانکی بانک مرکزی

برگزاری نخستین همایش حسابرسی IT در بانک‌ها و موسسات مالی توسط شرکت پدیدپرداز پردیس در پژوهشکده پولی و بانکی بانک مرکزی

در این همایش

- کارگاه حاکمیت شرکتی و حاکمیت IT،

- کارگاه استاندارد COBIT5 و حاکمیت IT،

- کارگاه حسابرسی IT مبتنی بر ریسک،

و میزگرد پرسش و پاسخ با محوریت، حسابرسی IT در بانک‌های ایران و بومی‌سازی حسابرسی، چالش‌ها و مشکلات موجود در حسابرسی IT در کشور توسط اعضای هیات علمی شرکت مهندسی پدیدپرداز پردیس با حضور مدیران و کارشناسان IT بانک‌های کشور ارایه شد.

دکتر سید محسن هاشمی، دبیر علمی همایش در ابتدا به سخنرانی درباره اهداف برگزاری این همایش پرداختند. وی با اشاره به اینکه IT دغدغه اصلی سازمان‌های مالی بخصوص بانکهای کشور است گفت: امروزه به اندازه‌ خدماتی که یک کسب و کار ارایه می‌دهد، از IT استفاده می‌شود. یک تقابل بین این دو وجود دارد که باعث می‌شود هر چه بیشتر به IT پرداخته شود تا انجام کارهایIT صحیح رخ بدهد و این کارهای صحیح پیرو برنامه‌های کلان سازمان و دنباله‌رو استراتژی‌های آن سازمان باشد و این بحثی است، که امروزه همه ما دچار آن هستیم.

وی افزود: چون عنوان همایش "حسابرسی IT در بانک‌ها" است، سوالی که مطرح می‌شود این است که" چند درصد حجم قراردادهای یک بانک مرتبط با IT است؟" جواب این سوال اهمیت توجه به حسابرسی IT را پاسخ می‌دهد. به جرات می‌توان گفت بالای هفتاد درصد قراردادهای یک سازمان مالی از جمله بانک‌ها کشور مرتبط با موضوع فناوری اطلاعات است و ما باید متخصصین IT را در بالای این هرم ارزیابی، ممیزی یا حسابرسی یا هر کلمه دیگری که برای واژه Audit مدنظر است، قرار دهیم. شرکت مهندسی پدیدپرداز پردیس از ابتدای فعالیتش در سال 81 در پاسخ به دوره‌های آموزشی در بانک‌ها ایجاد شد و اکنون بومی‌سازی دانش COBIT را به مدت سه سال با حمایت بانک‌ها بر عهده دارد. این استاندارد به زبان غیر فارسی است و فارسی شدن آن مشکلات و مسایل مدیریتی و فنی خاص خود را دارد، ما در سه سال گذشته توانسته‌ایم به نحو احسن این استاندارد را بومی کنیم. در این دوره‌ها، بخشی از استاندارد COBIT5 با توجه به تغییر نگرش اساسی آن نسبت به 1.COBIT4، ارتباط حاکمیت شرکتی با حاکمیت IT و این که حاکمیت IT زیر ساخت حاکمیت شرکتی است و به عبارت دیگر حاکمیت سازمان IT و همچنین حسابرسی IT مبتنی بر ریسک ارایه خواهد شد.

اگر ارتباط بین ریسک ‌عملیاتی و ریسک‌های IT در یک سازمان مانند بانک درک شود، مساله حل شده است و میزان توجه به حسابرسی IT درک می‌شود. به عبارت دیگر، IT دیگر پشتیبانی برای چند فرایند Well Defined در بانک‌ها نیست. پس IT چیست؟ IT بخشی از همین سازمان است، بخشی از فرایندها است. اگر ما این رویکرد را عوض کردیم، همه چیز درست می‌شود. IT پشتیبان فرایندهای  اصلی بانکها نیست، IT خود سازمان است، خود فرایند است، بخش‌هایی از فرآیند اصلی است، این تم تمام همایش خواهد بود.

کارگاه حاکمیت شرکتی و حاکمیت IT

این دوره توسط دکتر مریم معرفتی، مدیر بخش آموزش شرکت با محوریت حاکمیت و مدیریت در یک سازمان، تعریف حاکمیت و مدیریت در یک سازمان و تفاوت آنها، تعریف حاکمیت سازمانی، حاکمیتی شرکتی و حاکمیت کسب‌وکار وIT، ضرورت حاکمیت IT برای یک سازمان و اهداف حاکمیت IT، استانداردهای حاکمیت IT و یکسری استاندارد‌هایی که برای مدیریت IT در یک سازمان استفاده می‌شود و در نهایت بخشی از استاندارد COBIT5  ارایه گردید. حاکمیت در یک سازمان یعنی اطمینان‌بخشی از اینکه آیا فعالیت‌هایی که در یک سازمان انجام می‌شود به طور صحیح و اثربخش انجام می‌شوند؟ یعنی ما می‌خواهیم بدانیم آیا افرادی که در یک سازمان کار می‌کنند وظیفه خود را به صورت درست انجام می‌دهند یا خیر؟ یکی از مسایل مهم این است که ما بین حاکمیت و مدیریت تفاوت قایل شویم. حاکمیت از تصمیم‌گیری‌های روزانه یک سازمان جدا است، یعنی اصولا حاکمیت بر روی تصمیم‌گیری‌های اساسی یک سازمان و نقش‌ها و مسوولیت‌ها تمرکز دارد. بنابراین فرآیند مدیریت در یک سازمان، خروجی فرآیند حاکمیت در آن سازمان است.

وی خاطر نشان کرد: حاکمیت سازمانی یک بحث انتزاعی است، یعنی حاکمیت در تمام سطوح یک سازمان باید وجود داشته باشد. حاکمیت سازمانی مجموعه‌ای از حاکمیت و مدیریت، مسوولیت‌ها و روال‌های کاری است که توسط هیات مدیره و مدیران اجرایی در جهت اهداف استراتژیک مشخص می‌شود. در حاکمیت موثر برای سازمان دو سوال اصلی مطرح است. چه کسانی، چه تصمیماتی باید اتخاذ کنند و این تصمیمات و اجرای این تصمیمات به چه صورتی باید کنترل و ارزیابی شود. حاکمیت در یک سازمان وقتی تعریف می‌شود که صاحبان یا مالکان از اداره‌کنندگان آن سازمان متفاوت باشند. صاحبان سهام می‌خواهند مطمئن شوند که مدیران از آن منابعی که در اختیار آنها قرار گرفته، ارزش مناسبی را تولید می‌کنند یا خیر؟ برای جواب به این پرسش یکسری فرآیندهای حاکمیتی تعریف می‌شود؛ بنابراین در این نوع سازمان‌ها بحث حاکمیت مطرح می‌شود و حاکمیت مشخص می‌کند که آیا با اهدافی که سازمان دارد نیازمندی‌های سازمان تحقق پیدا کرده است؟

کارگاه استاندارد COBIT5 و حاکمیت IT

در این کارگاه مختصری از استاندارد COBIT5 (استاندارد پذیرفته شده و بین‌المللی سازمان ISACA)، توانمندسازها، نحوه پیاده‌سازی COBIT5 و در نهایت مدل بلوغ COBIT5 توسط دکتر هاشمی- دبیر علمی همایش و مدیر عامل شرکت مهندسی پدیدپرداز پردیس- ارایه شد. وی افزود: حاکمیت IT، زیرساخت تحقق حاکمیت شرکتی است و اگر حاکمیت IT پیاده‌سازی نشود، محقق نشود، حسابرسی نشود، ممیزی نشود، قطعا صحبت از حاکمیت شرکتی، شعاری بیش نخواهد بود. پس اگر بخواهیم حاکمیت شرکتی در سازمان‌ها محقق شود، قطعا باید به حاکمیت IT پرداخته شود. عبارت صحیح‌تر در COBIT5، حاکمیت سازمان IT مطرح می‌شود. وی افزود: این دوره‌ها، دوره‌های سه روزه‌ای است که ما در بانک‌ها و موسسات مالی برگزار می‌کنیم و بسیار سخت است که یک دوره یک روزه را در یک ساعت خلاصه کنیم. به طور قطع پیاده‌سازی این استاندارد نه تنها در ایران بلکه در منطقه واجب خواهد شد چراکه هم‌اکنون 100 هزار سازمان در بیش از 160 کشور جهان از این استاندارد استفاده می‌کنند.

عضو حرفه‌ای سازمان ISACA، خاطر نشان کرد که COBIT5 در بانک‌‌ها و سازمان‌های بسیاری به کار گرفته شده است، فواید بکارگیری COBIT5 در کشورهای مختلف باعث شده که دیگر سازمان‌های پیرامون بانک‌ها مانند External Stakeholderها، بخش‌های دولتی و دیگر بانک‌ها نیز خواستار پیاده‌سازی این استاندارد در بدنه سازمان خود باشند. اگر یک استاندارد پیاده‌سازی شود، همه یک زبان مشترک در تعامل، درخواست، پاسخگویی و بحث‌های حاکمیتی و مدیریتیIT پیدا می‌کنند. در بررسی انجام شده از نیاز بانک‌های ایرانی توسط شرکت مهندسی پدیدپرداز پردیس، مهمترین مقوله‌های شناسایی شده از دید مدیران ارشد IT، اطمینان از ایجاد سود و منافع، اطمینان از بهینه سازی ریسک و شفافیت برای ذینفعان و داشتن یک چارچوب IT است.

دکتر هاشمی افزود: COBIT5، استانداردی یکپارچه است که تمام جنبه‌های مورد نیاز IT، مدیریت و حاکمیت آن را شامل می‌شود و در تمام بخش‌های یک Enterprise توانمند است. استاندارد
COBIT5 دارای 5 محور اصلی پاسخ به نیاز ذینفعان، پوشش تمام سازمان، پیاده‌سازی یک چارچوب یکپارچه برای IT، ایجاد رویکرد جامع و جداسازی مدیریت از حاکمیت است. برای رسیدن به بلوغ این استاندارد، بیش پانزده سال تلاش شده است. COBIT5 مجموعه‌ای از مولفه‌های Risk IT،BMIS ، Val IT و استانداردهای حاکمیتی IT به همراه مفاهیم
COBIT4.1 است. جایی که COBIT5 وجود دارد، استفاده از COBIT4 ما را از توجه به این مقوله‌ها غافل خواهد کرد.آنها مقوله‌هایی هستند که باعث تغییرات بنیادی در نسخه جدید
COBIT شده‌اند. وقتی که ورژن 4 به 5 تغییر می‌کند یعنی نگرش COBIT5 نسبت به نگرش COBIT4 عوض شده است. تغییر نگرش COBIT5 نسبت به COBIT4 خود را
Maturity Model این نسخه نشان می‌دهد. تا نسخه 4،
Maturity Model این استاندارد به CMMI وابسته بود اما اکنون به استاندارد ISO15504 وابسته شده است که نتیجه آن ارزیابی سطح بلوغ تک تک فرآیندهای مدیریت و حاکمیت IT است.

کارگاه حسابرسی IT مبتنی بر ریسک

سخنران سوم دکتر احرام صفری عضو هیات علمی همایش با بیان اینکه حاکمیت یکی از مباحثی است که در سازمان‌ها، بخصوص سازمان‌هایی که صاحبان آنها جز مدیران آن سازمان نیستند بیشتر معنا دارد. همیشه صاحبان اصلی شرکت‌ها که سرمایه‌گذاران آن شرکت‌ها هستند، این دغدغه را دارند که آیا منابعی که در اختیار مدیران سازمان قرار داده‌اند، درست مصرف می‌شوند؟ آیا هدر رفت منابع دارد؟ برای اینکه ما بتوانیم این دغدغه را برطرف کنیم بحث حسابرسی پیش می‌آید. حسابرسی به صاحبان سهام اطمینان می‌دهد که سرمایه‌گذاری انجام شده به صورت بهینه استفاده می‌شود. یکی دیگر از دغدغه‌های صاحبان سهام کاهش اثرات ریسک است. بنابراین حسابرسی اطمینان می‌دهد که آیا منابع درست مصرف می‌شوند؟ آیا فرایندها درست کار می‌کنند؟ افراد متصدی امور، آیا شایسته هستند؟ نرم‌افزارها، زیرساخت‌ها و سرمایه‌گذاری‌های بخش IT درست انجام می‌شود؟

وی افزود: در این دوره کلیاتی در ارتباط با مدیریت ریسک و کنترل‌های داخلی، تعریف حسابرسی، وظایف حسابرس، اهداف حسابرسی و در نهایت متدولوژی حسابرسی(ISRUP) ارایه خواهد شد. ریسک هر اتفاقی است که وقوع آن غیر قطعی و احتمالی است و در صورت وقوع، حداقل بر روی یکی از اهداف سازمان اثر مثبت یا منفی خواهد داشت. مدیریت ریسک به هیات مدیره سازمانها و بانکها این اطمینان را می‌دهد که ریسک‌های آن سازمان یا بانک به صورت اثربخش مدیریت می‌شوند و یا اثر آنها کاهش یافته و یا حذف می‌شوند. کنترل‌های داخلی، مکانیزم‌هایی هستند که اجرای صحیح فرایندهای داخلی یک شرکت را تضمین می‌کنند و اثرات ریسک‌های داخلی را کاهش می‌دهند. حسابرسی IT همواره به فکر بهبود فرایندها است. ابتدا حسابرس باید ریسک‌های تاثیرگذار بر اهداف را شناسایی کند و سپس اطمینان حاصل کند که کنترل‌های مورد نیاز برای مقابله با ریسک‌ها شناسایی شده‌ است. تفاوت حسابرسی IT با مدیریت IT در این است که حسابرسی IT معمولا به صاحبان سهام این اطمینان را می‌دهد که فرایندها درست کار می‌کنند اما مدیریت IT به مدیرعامل این اطمینان را می‌دهد که ریسک‌ها به صورت بهینه مدیریت می‌شوند. حسابرسی به صورت دوره‌ای انجام می‌شود در حالیکه مدیریت IT همواره در سازمان وجود دارد. مدیریت بهینه ریسک، افزایش کارایی و اثربخشی در استفاده از منابع،کسب اطمینان از برآورده شدن نیازهایی ذینفعان، همسویی سرمایه‌گذاری‌های IT با کسب‌وکار سازمان از اهداف حسابرسی IT هستند.


تعداد مشاهده خبر: (1065)
کد خبر: 6
تمامی کالاها و خدمات این فروشگاه، حسب مورد دارای مجوزهای لازم از مراجع مربوطه می باشند و فعالیت های این سایت تابع قوانین و مقررات جمهوری اسلامی ایران است.