تكنولوجيا المعلومات: إنتاج عمليات تدقيق وتقارير أكثر فعالية

بقلم مارتين روبيون ، رئيس إدارة تدقيق تكنولوجيا المعلومات ، المؤسسة العليا لمراجعة الحسابات في الأرجنتين

غالبًا ما تكون عمليات تدقيق تكنولوجيا المعلومات معقدة ، وتميل نتائج التدقيق إلى إصدار تقارير فنية مكتوبة بلغة فنية. كما هو مذكور في المعايير الدولية للأجهزة العليا للرقابة المالية والمحاسبة (ISSAI) 5300 ، فإن قلة قليلة من الناس يجدون مثل هذه الوثائق الطويلة والمعقدة جذابة أو مفهومة.

أجرت مؤسسة التدقيق العليا (SAI) في الأرجنتين عمليات تدقيق لتكنولوجيا المعلومات لأكثر من اثني عشر عامًا واتخذت خطوات لتغيير هذا الواقع.

الجهاز الأعلى للرقابة والمحاسبة في الأرجنتين ليس محكمة محاسبية ؛ إنه مكتب تدقيق. في حين أن الجهاز الأعلى للرقابة المالية والمحاسبة يمكنه تقديم توصيات ، فإنه لا يمكنه تنفيذها. لهذا السبب ، يمكن أن يكون إقناع الكيانات الخاضعة للتدقيق لتحسين إدارة تكنولوجيا المعلومات بناءً على نتائج التدقيق معقدًا ومتنوعًا وغالبًا ما يتضمن آراء أصحاب المصلحة (الذين يجب أن يفهموا التقرير).

وجهت رؤية SAI Argentina – المساهمة في تحسين الإدارة العامة – الرحلة نحو إنشاء المزيد من عمليات تدقيق تكنولوجيا المعلومات الفعالة وتقارير أكثر قابلية للفهم لجميع أصحاب المصلحة. إلقاء الضوء على هذه الفكرة وتبسيطها على ثلاثة إجراءات رئيسية: تغيير نهج التخطيط السنوي ، ومراجعة نطاق وطبيعة عمليات تدقيق تكنولوجيا المعلومات ، واكتشاف طرق جديدة للتواصل.

تحويل نهج تخطيط تكنولوجيا المعلومات
بدأ مجال تدقيق تكنولوجيا المعلومات في SAI Argentina في تنظيم عملية التخطيط السنوية من خلال (1) تحديد المؤسسات العامة الخاضعة لضوابط تكنولوجيا المعلومات و (2) اختيار مجموعة من المتغيرات المتوافقة مع طبيعة عمليات تدقيق تكنولوجيا المعلومات ، والتي ثبت أنها تنطوي على مشاكل ، حيث تتطلب العملية قياس و ترتيب كل منظمة على أساس المخاطر.

تشمل الدروس المستفادة من التحول إلى هذه العملية السنوية المنظمة ما يلي:

• لا ينبغي أن يكون مجتمع “المؤسسة العامة” المحدد في الأصل هو الجانب الوحيد الذي يؤخذ في الاعتبار عند اختيار أفضل عمليات تدقيق مستقبلية لأداءها – توجد أبعاد أخرى محتملة للتحليل ، بما في ذلك برامج التطبيقات ؛ و
• من المهم النظر في العوامل التي تهم أصحاب المصلحة ، والتي يمكن أن تختلف في كل منطقة ومنطقة.

يساعد تغيير نهج التخطيط في مواءمة أعمال التدقيق مع الرؤية المؤسسية ، كما يفسح المجال لتقارير تدقيق تقنية المعلومات الأكثر إثارة وفعالية ، لا سيما عن طريق قياس وتحليل الأبعاد الاجتماعية.

مراجعة نطاق وطبيعة عمليات تدقيق تكنولوجيا المعلومات
يمتلك مدققو تكنولوجيا المعلومات معرفة ومهارات خاصة – الأجهزة والبرامج والاتصالات والأمن – تميل نطاقات التدقيق الخاصة بهم إلى التركيز على البنية التحتية لتكنولوجيا المعلومات والعمليات.

تعتبر عمليات تدقيق تكنولوجيا المعلومات المستقلة ذات قيمة ؛ ومع ذلك ، فإنها تكتسب قيمة أكبر عند توسيع نطاقها. يمكن أن تؤدي مراجعة نطاق وطبيعة تدقيق تكنولوجيا المعلومات لتشمل كامل عملية نظام المعلومات (IS) إلى عمليات تدقيق أكثر فعالية لتكنولوجيا المعلومات.

تتضمن عملية IS العديد من الأشخاص وكميات هائلة من البرامج والبنية التحتية لتكنولوجيا المعلومات وقواعد البيانات والإجراءات اليدوية. يبدأ بتنسيق الميزانية للحصول على الموارد المناسبة بالطريقة الصحيحة والقيام بذلك لتوليد معلومات موثوقة وفي الوقت المناسب لصانعي القرار.

بينما قد يتجاوز تدقيق عملية نظم المعلومات النطاق التقليدي ، فإنه يثبت أنه أكثر فائدة ، حيث أن عمليات التدقيق التي تركز على جانب معين (مثل تطبيق برمجي) دون النظر في خطوات عملية نظم المعلومات ، يمكن أن تؤدي إلى نتائج حيث يكون نظام المعلومات (ككل) غير موثوق به.

تتضمن بعض التحديات التي تواجه الأجهزة العليا للرقابة في توسيع نطاق وطبيعة تدقيق تقنية المعلومات التنوع الكبير في الهياكل التنظيمية والسياقات المختلفة التي تعمل فيها. أيضًا ، في حين أن الفرق متعددة التخصصات تجعل عمليات تدقيق تكنولوجيا المعلومات ممكنة ، فإن كل مدقق لديه مجموعة مهارات وتخصص معين. وبالتالي ، فإن نشر المدققين بين فرق تدقيق الأداء قد لا يضيف نفس القيمة التي تجعلهم يتشاركون في مساحة مشتركة. هناك حاجة إلى مزيد من التحليل المتعمق في هذا المجال.

اكتشاف طرق جديدة للتواصل
من الصعب حمل الناس على قراءة كتاب جيد ، فكيف نقنعهم بقراءة تقرير تدقيق؟ كان توصيل تقارير التدقيق ، وتقارير تدقيق تكنولوجيا المعلومات على وجه الخصوص ، يمثل صراعًا لسنوات عديدة ، حيث تميل تقارير تدقيق تكنولوجيا المعلومات إلى أن تكون طويلة ومليئة بالمصطلحات الفنية.

طلب العديد من المديرين والسلطات اختصار تقارير تدقيق تكنولوجيا المعلومات ، كما أن نداءات المدققين لاستخدام لغة أكثر عملية آخذة في الازدياد.

يشير SAI Argentina باستمرار إلى القياس المتعلق بالطقس لمساعدة مدققيه على فهم الفجوة اللغوية الفنية / العملية بشكل أفضل: قد يكون علم الأرصاد الجوية أصعب من الحوسبة ، لأنه يعتمد على نظريات الفوضى. ومع ذلك ، تصر “Accuweather” على أن يعرض علينا (غير المتخصصين الذين لا يفهمون شيئًا تقريبًا عن الأيزوبار والتساوي الحرارة) صور السحب والشمس والمظلات.

أدى انتشار الشبكات الاجتماعية ، التي تضع المعلومات بسهولة أكبر في أيدي أصحاب المصلحة ، إلى زيادة الحاجة إلى سد فجوة اللغة التقنية والقيام بذلك بطرق جديدة باستخدام عدد أقل من الكلمات ، مثل الفيديو والرسوم البيانية.

واستجابة لهذه الحاجة ، أنشأت SAI Argentina إنتاج فيديو متاح هنا (باللغة الإسبانية) يعرض تفاصيل نتائج تدقيق تكنولوجيا المعلومات الذي تم إجراؤه على أنظمة معلومات التحكم في صناعة الصيد (FIC).

يعكس تدقيق FIC بشكل كامل الإجراءات الثلاثة الرئيسية التي وجدها SAI Argentina مفيدة في إنشاء المزيد من عمليات تدقيق تكنولوجيا المعلومات الفعالة وتقارير تدقيق تكنولوجيا المعلومات أكثر قابلية للفهم:

• تحويل نهج تخطيط تكنولوجيا المعلومات: لم يكن التدقيق مهمًا إذا ركز الجهاز الأعلى للرقابة المالية والمحاسبة في الأرجنتين فقط على تصنيف الكيانات العامة ؛
• مراجعة نطاق وطبيعة عمليات تدقيق تكنولوجيا المعلومات: قام الجهاز الأعلى للرقابة المالية والمحاسبة في الأرجنتين بتوسيع نطاق التدقيق ليشمل عملية نظم المعلومات ككل ؛ و
• اكتشاف طرق جديدة للتواصل: للمساعدة في شرح التدقيق بشكل أفضل لجميع أصحاب المصلحة ، تمت ترجمته بشكل مرئي إلى مقطع فيديو.