حسابرسی کامپیوتری یک فعالیت سیستماتیک و مستقل است که بهوسیله آن تمامی فرآیندها، کنترلها و نیز عملیاتهای مرتبط با سیستم اطلاعاتی یک سازمان مورد ارزیابی قرار میگیرند. هدف این حسابرسی، اطمینان از صحت اطلاعات است و سعی میشود با کمک آن از اطلاعات در برابر دسترسیهای غیرمجاز حفاظت گردد.
حسابرسی کامپیوتری چیست؟| روش های حسابرسی کامپیوتری
همانطور که بیان شد، هدف این فعالیت اطمینان از کامل بودن و صحت اطلاعات است. با کمک این فرآیند کامپیوتری عملکرد بهینه سیستمهای رایانهای تضمین میگردد. در این فرآیند دادهها و گزارشها مورد ارزیابی قرار میگیرند و علاوه بر آنها زیرساختهای سختافزاری و نرمافزاری نیز بررسی میشوند.
در این فرآیند هدفهای متعددی دنبال میشود که میتواند به حفاظت از اطلاعات، ارزیابی کنترلهای داخلی و بهبود کارایی منجر شود. از جمله مهمترین دلایل ایجاد این فرآیند، حفاظت از اطلاعات و جلوگیری از دسترسی غیرمجاز به دادهها و تضمین محرمانگی آنها است.
در حقیقت با این فرآیند نحوه و میزان نفوذ بررسی میشود و راهکار حل نیز بررسی میگردد. با حسابرسی کامپیوتری میتوان مشکلات نرمافزاری را بررسی نمود و متوجه خطاهای کاربری شد و برای آنها اقداماتی اندیشید. در جدیدترین بررسیها سعی میشود مقررات داخلی سازمان و استانداردهای بینالمللی مانند ISO 27001 نیز مورد ارزیابی قرار گیرد و توصیههایی برای بهبود عملکرد سیستم ارائه شود.
برای انجام این فرآیند لازم است مراحل برنامهریزی، جمعآوری شواهد، ارزیابی کنترلها، تحلیل و ارزیابی ریسک و در نهایت گزارشدهی را بگذرانید. در مرحله برنامهریزی اهداف و دامنه حسابرسی تعریف میگردند و داراییهای اطلاعاتی فهرست میشوند. برای این امر زمانبندی مشخصی تعیین میشود. در قسمت جمعآوری شواهد لازم است سیستمها و سرورها استخراج شوند و در صورت نیاز با تیمهای فنی مصاحبه گردد.
ارزیابی کنترلها نیز از دیگر فرآیندهای انجام این اقدام است. با کمک این مرحله احراز هویت بررسی میشود و کنترلهای دسترسی تست میگردد. انجام این مرحله ضامن عملکرد صحیح دیوارههای آتش و سیستمهای تشخیص نفوذ خواهد بود. در بخش تحلیل و ارزیابی ریسک سعی میشود نقاط قوت و ضعف شناسایی شوند و میزان احتمال وقوع ریسکها و تاثیرات آنها اولویتبندی گردند. با این اقدام میتوان ماتریس ریسک را ارائه داد.
در نهایت امر نیز گزارش ارائه میشود تا بیان کند یافتهها چه مواردی را بیان میکنند. در این گزارش اقدامات اصلاحی و نحوه بهبود فرآیند ذکر میگردند.
روشهای حسابرسی کامپیوتری
برای حسابرسی کامپیوتری میتوان از روشهای مختلفی همچون حسابرسی سیاه، حسابرسی سفید، حسابرسی خاکستری و حسابرسی مبتنی بر ریسک استفاده میشود. علاوه بر آن میتوان از حسابرسی پیوسته نیز کمک گرفت.
در حسابرسی کامپیوتری سیاه، حسابرس سعی میکند بدون اطلاعات داخلی از سیستم، عملکرد ورودی و خروجی را بررسی نماید. این نوع حسابرسی برای ارزیابی امنیت داخلی و تست نفوذ سیستم مناسب خواهد بود.
در این نوع حسابرسی حسابرس به کد منبع، طراحی و ساختار داخلی سیستم دسترسی خواهد داشت. با این امر امکان بررسی دقیق کنترلهای داخلی وجود دار و نقاط ضعف کد مشخص میشود.
این نوع حسابرسی با ترکیبی از حسابرسی سیاه و سفید میکوشد اطلاعات محدودی را در اختیار حسابرس قرار دهد و سبب شود میزان نقصهای داخلی و خارجی بهصورت همزمان مشخص گردند.
این نوع حسابرسی روی بخشهای از سیستم که بیشترین ریسک را به سازمان تحمیل میکنند، تمرکز خواهد داشت. در این نوع حسابرسی منابع به ریسکهای پرخطر اختصاص خواهند یافت.
در حسابرسی پیوسته میتوان از ابزارهای خودکار بهره برد و همواره روی تراکنشها و رویدادها نظارت داشت. با این اقدام مشکلات در سریعترین زمان شناسایی شده و زود کشف خواهند شد.
برای انجام حسابرسی میتوان از ابزارهای زیادی استفاده کرد. برای این منظور میتوان لاگها را استخراج و تحلیل کرد، تست نفوذ انجام داد و پیکربندی را بررسی نمود. عموما از ابزارهایی چون Splunk و ELK برای جمعآوری و آنالیز لاگ استفاده میشود. علاوه بر این ابزارها میتوان از تحلیل دادههای بزرگ نیز بهره برد و قسمت زیادی از دادهها را پردازش کرد. در سالهای اخیر وجود نرمافزارهای حسابرسی خودکار همچون ACL و IDEA سبب شدند این فرآیند راحتتر و سریعتر صورت بگیرد.
آشنایی با انواع روشهای حسابرسی کامپیوتری
بهطور کلی حسابرسیها به سه دسته حسابداری داخلی، خارجی و مالیاتی دستهبندی میشوند. هرکدام از این حسابرسیها روی دادههای خاصی تمرکز میکنند. در حسابرسی داخلی تیم حسابرسی داخلی سازمان روی کنترلهای داخلی و فرآیندهای عملیاتی تمرکز میکند. در حسابرسی خارجی حسابرسان مستقل سعی میکنند گزارشهای تحلیلی خود را به سهامداران ارائه دهند و در نوع آخر حسابرسی گزارشهای مالی با مقررات مالیاتی منطبق میشوند و تمرکز روی تراکنشهای مالی و مستندات مالیاتی قرار میگیرد.
با وجود اهمیت این فرآیند، حسابرسی کامپیوتریمیتواند با چالشهای نیز روبرو شود. این فرآیند پیچیدگی خاص خود را دارد که لازم است برای انجام آن از افراد متخصص شبکه کمک گرفت. علاوه بر آن دادهها حجم زیادی دارند و تحلیل آنها دشوار خواهد بود. در این فرآیند لازم است دانش و ابزارها در برابر حملات جدید بهروز نگه داشته شوند و قوانین حفاظت از داده همچون GDPR و مقررات داخلی کشور رعایت شوند.
حسابرسی کامپیوتری از جمله فرآیندهای مفیدی است که با کمک آن میتوان کل اطلاعات موجود در یک سازمان را مورد ارزیابی قرار داد. با انجام این امر مشخص میشود سازمان با چه ریسکهایی مواجه خواهد شد و چگونه باید با آنها روبرو شود. این فرآیند میتواند به روشهای مختلفی از جمله حسابرسی سیاه، سفید، خاکستری و ... انجام شود و برای پیادهسازی آن از ابزارهای مختلفی همچون Hadoop و Spark بهره برده شود. اضافه کنیم این اقدام با ریسکهایی همچون حجم زیاد داده، نیاز به وجود افراد متخصص و ... روبرو خواهد بود که لازم است در نظر گرفته شوند.
