مستند سازی ریسک ها و طبقه بندی های ریسک
مستند سازی ریسک ها و طبقه بندی های ریسک:
مستند سازی ریسک ها و طبقه بندی های ریسک هر واحد کسب و کار یا عملکردی در سازمان می تواند روش متفاوتی برای بررسی و اندازه گیری اهداف،فرایندها و ریسک های کسب و کار داشته باشند.
طبقه بندی ریسک،معرف قابلیت اطمینان و ثبات رویه در سراسر سازمان به هنگام شناسایی،اطلاع رسانی و تجزیه و تحلیل ریسک ها و فرایند مدیریت ریسک،است.
ممکن است چاچوب ها،رویکرد ها و صنایع خاص،بکارگیری طبقه بندی خاصی را برای ریسک،توصیه یا الزام کننده.
اگر سازمان از چارچوب مدیریت ریسک خاصی استفاده می کند،فعالیت حسابرسی داخلی باید طبقه بندی خود را آن چارچوب ها،همسو کند.
اگر چارچوب یا طبقه بندی ریسک موجود نباشد،حسابرسان داخلی می توانند به همراه مدیریت،جلسات طوفان فکری درباره ریسک های مربوط به سازمان را برگزار کنند.
آن ها می توانند از طبقه بندی های متداول ریسک که در اکثر سازمان ها مورد استفاده قرار می گیرد،مانند ریسک های راهبردی،عملیاتی،رعایتی و مالی،آغاز کنند.
ریسک های داخلی،خارجی و راهبردی:
در گسترده هر طبقه،حسابرسان داخلی منابع و عوامل داخلی و خارجی ریسک را که حاوی فهرستی طولانی است،در نظر می گیرند.
ریسک های راهبردی،اگر به طور مناسبی مدیریت نشوند،بیشترین اثر بالقوه(اثر منفی )را بر توانایی سازمان در دستیابی به اهدافش دارند.
ریسک های فناوری اطلاعات:
برنامه جامع حسابرسی داخلی،شامل فناوری اطلاعات نیز می شود،بدین معنا که ریسک های فناوری اطلاعات باید ارزیابی کلی ریسک سازمان مدنظر قرار گیرند.
ریسک های فناوری اطلاعات را می توان به این زیر شاخه ها طبقه بندی کرد:زیربنایی،عملیاتی و کاربردی که همیشه مرتبط با فرایند منحصر به فرد یک کسب و کار تجاری نیستند.
عملا هر فعالیت کسب و کار،تاحدی متکی برفناوری است.
فناوری فرایندها کسب و کار را پشتیبانی می کند و اغلب،با فرایندهای کنترلی یکپارچه است.
ضعف های موجود در فناوری های پشتیبانی می کند و اغلب،با فرایندهای کنترلی پارچه است.
ضعف های موجود در فناوری های پشتیبان با افزایش اتوماسیون فرایندهای کنترل داخلی،به طور قابل توجهی بر عملیات و دستیابی به اهداف کسب و کار،اثر منفی می گذارد.
طبق استاندارد2110.A2،فعالیت حسابرسی داخلی باید به ارزیابی این موضوع بپردازید،که آیا راهبری فناوری اطلاعات،متشکل از راهبردهای سازمان پشتیبانی می کند یا خیر؟شناخت برنامه راهبردی فناوری اطلاعات باید حسابرسان داخلی کمک نماید تا دریابند،چگونه این فناوری ها از جاری سازی راهبردها و دستیابی به اهداف سازمان،حمایت می کند.
فعالیت حسابرسی داخلی،باید انعطاف پذیری راهبردهای فناوری اطلاعات را در مواردی نظیر توانایی آن ها در پشتیبانی از رشد سازمان در آینده و پاسخگویی مدیریت به ریسک فناوری اطلاعات و فرایند کنترلی برای پیشکیری،شناسایی و پاسخ دهی به تهدیدهای سایبری،ارزیابی کند.