Axborot xavfsizligi xavflarni boshqarishga kirish fanidan
Axborot xavfsizligini boshqarish tizimlarining ichki auditlari va rahbariyat
Download 72.34 Kb.
|
Axborot xavfsizligi xavflarni boshqarishga kirish fanidan 5-must-fayllar.org
|
Axborot xavfsizligini boshqarish tizimlarining ichki auditlari va rahbariyat
javobgarligi Boshqaruv axborot tizimi - tashkilotlarni samarali boshqarish uchun zarur bo'lgan ma'lumotlarni taqdim qiluvchi tizim. Boshqaruv axborot tizimlari uchta asosiy resurslarni o'z ichiga oladi: texnologiya, axborot va odamlar. Shuni e'tirof etish kerakki, menejmentning axborot tizimlarini o'rganishda uchta manba ham asosiy komponentlar bo'lsa-da, eng muhim manba bu odamlardir. Boshqaruv axborot tizimlari biznesdagi umumiy ichki nazorat tartib-qoidalarining bir qismi sifatida qaraladi, ular mahsulot, xizmat yoki biznesning tannarxini hisoblash kabi biznes muammolarini hal qilish uchun boshqaruv hisobchilari tomonidan qo'llaniladigan odamlar, hujjatlar, texnologiyalar va protseduralarni qamrab oladi. keng strategiya. Boshqaruv axborot tizimlari oddiy axborot tizimlaridan farq qiladi, chunki ular tashkilotdagi operatsion faoliyatda qo'llaniladigan boshqa axborot tizimlarini tahlil qilish uchun ishlatiladi. II. ADABIYOTLARNI TUZISH VA METODOLOGIYA A. Ta'riflar Ichki nazoratning ko'plab ta'riflari mavjud, chunki u tashkilotning turli tarkibiy qismlariga turli yo'llar bilan va turli darajadagi yig'indiga ta'sir qiladi. Amerika Qo'shma Shtatlarida keng qo'llaniladigan COSO Internal Control-Integrated Framework dasturiga ko'ra, ichki nazorat keng ma'noda korxonaning direktorlar kengashi, rahbariyati va boshqa xodimlari tomonidan amalga oshiriladigan, erishilgan natijalarga asosli ishonchni ta'minlash uchun mo'ljallangan jarayon sifatida ta'riflanadi. maqsadlarning quyidagi toifalari bo'yicha: a) operatsiyalarning samaradorligi va samaradorligi; b) moliyaviy hisobotning ishonchliligi; va c) qonunlar va qoidalarga rioya qilish. COSO ichki nazoratni besh komponentdan iborat deb ta'riflaydi: 1. Boshqaruv muhiti - tashkilot uchun ohangni o'rnatadi, uning xodimlarining nazorat ongiga ta'sir qiladi. Bu ichki nazoratning barcha boshqa komponentlari uchun asosdir. 2. Risklarni baholash - maqsadlarga erishish uchun tegishli xavflarni aniqlash va tahlil qilish, xavflarni qanday boshqarish kerakligi uchun asos yaratish. odamlarga o'z majburiyatlarini bajarishga imkon beruvchi shakl va vaqt doirasi 4. Nazorat faoliyati - boshqaruv ko'rsatmalarining bajarilishini ta'minlashga yordam beradigan siyosat va tartiblar. 5. Vaqt o'tishi bilan ichki nazorat samaradorligini baholash uchun qo'llaniladigan monitoring jarayonlari. COSO ta'rifi ko'plab individual nazorat tartib-qoidalaridan iborat bo'lgan tashkilotning umumiy boshqaruv tizimiga tegishli. Diskret nazorat protseduralari yoki nazorati SEC tomonidan quyidagicha ta'riflanadi: "Maqsadga erishish uchun mo'ljallangan muayyan siyosatlar, protseduralar va faoliyatlar to'plami. Boshqarish jarayondagi belgilangan funktsiya yoki faoliyat doirasida mavjud bo'lishi mumkin. Nazoratning ta'siri sub'ekt bo'lishi mumkin. keng yoki hisob balansi, tranzaktsiyalar sinfi yoki qo'llanilishi uchun xosdir.Boshqaruvlar o'ziga xos xususiyatlarga ega - masalan, ular quyidagilar bo'lishi mumkin: avtomatlashtirilgan yoki qo'lda; solishtirishlar; vazifalarni ajratish; ko'rib chiqish va tasdiqlash uchun ruxsatlar; aktivlarni himoya qilish va javobgarlik; oldini olish yoki aniqlash xato yoki firibgarlik. Jarayon ichidagi nazorat moliyaviy hisobotlarni nazorat qilish va operatsion nazoratdan iborat bo'lishi mumkin." Umuman olganda, maqsadlar, byudjetlar, rejalar va boshqa taxminlarni belgilash nazorat mezonlarini belgilaydi. Nazoratning o'zi kutilgan, ruxsat etilgan yoki qabul qilingan ishlarning samaradorligini yoki holatini saqlab qolish uchun mavjud. Jarayon ichida qurilgan boshqaruv ichki xususiyatga ega. Bu xodimlarning xatti-harakatlariga ta'sir qiluvchi ijtimoiy muhit, nazorat qilish uchun zarur bo'lgan ma'lumotlar, siyosat va protseduralar kabi o'zaro bog'liq komponentlarning kombinatsiyasi bilan amalga oshiriladi. Korporativ boshqaruv kontseptsiyalari ham ichki nazorat zarurligiga tayanadi. Ichki nazorat jarayonlarning ishlab chiqilganidek ishlashini va risklarni boshqarishda xavfga javob choralarini (xavfni davolash) amalga oshirilishini ta'minlashga yordam beradi. Bundan tashqari, yuqorida aytib o'tilgan tartib- qoidalarning maqsadga muvofiq bajarilishini ta'minlaydigan shart-sharoitlar mavjud bo'lishi kerak: to'g'ri munosabat, halollik va malaka va menejerlar tomonidan monitoring. B. Ichki nazoratdagi rol va majburiyatlar. COSO asosiga ko'ra, tashkilotdagi har bir kishi ma'lum darajada ichki nazorat uchun javobgardir. Deyarli barcha xodimlar ichki nazorat tizimida foydalaniladigan ma'lumotlarni ishlab chiqaradi yoki nazoratga ta'sir qilish uchun zarur bo'lgan boshqa harakatlarni amalga oshiradi. Shuningdek, barcha xodimlar operatsiyalarda yuqoriga ko'tariladigan muammolar, xulq-atvor kodeksiga rioya qilmaslik yoki boshqa siyosat buzilishi yoki noqonuniy harakatlar uchun javobgar bo'lishi kerak. Korporativ boshqaruvdagi har bir yirik tashkilot alohida rol o'ynashi kerak: Boshqaruv: Tashkilotning bosh ijrochi direktori (top-menejer) samarali ichki nazoratni ishlab chiqish va amalga oshirish uchun umumiy javobgarlikka ega. Boshqa har qanday shaxsga qaraganda, bosh direktor yaxlitlik va axloq va ijobiy nazorat muhitining boshqa omillariga ta'sir qiluvchi "yuqorida ohang" ni belgilaydi. Katta kompaniyada bosh direktor bu vazifani yuqori darajali menejerlarga rahbarlik va ko'rsatmalar berish va ularning biznesni nazorat qilish usullarini ko'rib chiqish orqali bajaradi. Yuqori darajali menejerlar, o'z navbatida, bo'linma funktsiyalari uchun mas'ul bo'lgan xodimlarga aniqroq ichki nazorat siyosati va tartiblarini o'rnatish uchun javobgarlikni yuklaydilar. Kichikroq korxonada bosh direktorning, ko'pincha egasi-menejerning ta'siri odatda to'g'ridan- to'g'ri bo'ladi. Har qanday holatda ham, kaskadli mas'uliyatda menejer amalda o'z mas'uliyat sohasining bosh ijrochi direktori hisoblanadi. Nazorat faoliyati korxonaning operatsion va boshqa bo'linmalarini, shuningdek yuqoriga va pastga kesib o'tgan moliyaviy xodimlar va ularning xodimlari alohida ahamiyatga ega. Direktorlar kengashi: Boshqaruv boshqaruv, yo'l-yo'riq va nazoratni ta'minlaydigan direktorlar kengashiga hisobot beradi. Kengashning samarali aʼzolari xolis, qobiliyatli va izlanuvchan boʻladi. Ular, shuningdek, korxona faoliyati va atrof- muhit haqida ma'lumotga ega bo'lib, boshqaruv kengashi mas'uliyatini bajarish uchun zarur bo'lgan vaqtni ajratadilar. Rahbariyat nazoratni bekor qilishi va bo'ysunuvchilarning aloqalarini e'tiborsiz qoldirishi yoki bo'g'ishi mumkin, bu esa natijalarni ataylab noto'g'ri ko'rsatuvchi insofsiz boshqaruvga o'z izlarini yopishga imkon beradi. Kuchli, faol boshqaruv kengashi, ayniqsa yuqoriga ko'tariladigan samarali aloqa kanallari va qobiliyatli moliyaviy, huquqiy va ichki audit funktsiyalari bilan birlashganda, ko'pincha bunday muammoni aniqlash va tuzatishga qodir. Auditorlar: Tashkilotning ichki auditorlari va tashqi auditorlari ham o'zlarining sa'y-harakatlari bilan ichki nazorat samaradorligini o'lchaydilar. Ular nazorat vositalarining to'g'ri ishlab chiqilganligi, amalga oshirilganligi va samarali ishlashini baholaydi va ichki nazoratni yaxshilash bo'yicha tavsiyalar beradi. Shuningdek, ular tashkilotning AT tizimlariga tegishli axborot texnologiyalari boshqaruvini ko'rib chiqishi mumkin. Bir qator yurisdiktsiyalarda moliyaviy hisobot bilan bog'liq ichki nazorat bo'yicha qonunlar va qoidalar mavjud. AQShda bu qoidalar Sarbanes-Oksli qonunining 404 va 302-bo'limlari bilan maxsus o'rnatilgan. Ushbu nazoratni tekshirish bo'yicha ko'rsatmalar PCAOB audit standarti № 5 va SEC yo'riqnomasida ko'rsatilgan bo'lib, keyinchalik SOX 404 yuqoridan pastga xavfni baholashda muhokama qilinadi. Moliyaviy hisobot jarayonida ishtirok etayotgan ichki nazoratning samarali ekanligiga asosli ishonchni ta'minlash uchun ular tashqi auditor tomonidan sinovdan o'tkaziladi, ular kompaniyaning ichki nazorati va moliyaviy hisobotining ishonchliligi to'g'risida fikr bildirishi kerak. III. CHEKLAMALAR Ichki nazorat tashkilotning maqsadlariga erishish uchun mutlaq emas, balki oqilona kafolatni berishi mumkin. Oqilona ishonch tushunchasi qo'shimcha nazorat tartib-qoidalarini o'rnatish xarajatlari va foydalari bilan chegaralangan yuqori darajadagi ishonchni nazarda tutadi. Samarali ichki nazorat tashkilotning ishonchli moliyaviy hisobotni yaratishi va unga nisbatan qo'llaniladigan qonunlar va qoidalarga sezilarli darajada mos kelishini anglatadi. Biroq, tashkilot operatsion va strategik maqsadlarga erishadimi yoki yo'qmi, raqobat yoki texnologik innovatsiyalar kabi korxonadan tashqaridagi omillarga bog'liq bo'lishi mumkin. Bu omillar ichki nazorat doirasidan tashqarida; shuning uchun samarali ichki nazorat faqat operativ va strategik maqsadlarga erishish yo'lidagi taraqqiyot haqida o'z vaqtida ma'lumot yoki fikr- mulohazalarni taqdim etadi, lekin ularga erishishni kafolatlay olmaydi. IV. ICHKI NAZORATNING TA’SIFI. Ichki nazoratni quyidagilar bilan tavsiflash mumkin: a) ularga tegishli maqsad; va b) nazorat faoliyatining o'ziga xos xususiyati. A. Maqsadlarni tasniflash Ichki nazorat faoliyati muayyan maqsadlarga erishilganligi yoki tegishli taraqqiyot tushunilganligi haqida oqilona ishonchni ta'minlash uchun mo'ljallangan. Boshqarishning samarali ishlashini aniqlash uchun foydalaniladigan aniq maqsad boshqaruv maqsadi deb ataladi. Nazorat maqsadlari bir nechta batafsil toifalarga bo'linadi; moliyaviy auditda ular moliyaviy hisobotning ma'lum tasdiqlariga taalluqlidir, biroq kengroq doiralar operatsion va muvofiqlik jihatlarini ham qamrab olishda yordam beradi: 1. Mavjudligi (Validity): Faqat haqiqiy yoki ruxsat etilgan tranzaktsiyalar qayta ishlanadi (ya'ni, haqiqiy bo'lmagan tranzaktsiyalar yo'q). 2. Hodisa (kesish): tranzaktsiyalar to'g'ri davrda sodir bo'lgan yoki o'z vaqtida qayta ishlangan. 3. To'liqlik: Barcha tranzaktsiyalar bo'lishi kerak bo'lgan ishlov beriladi (ya'ni, kamchiliklarsiz). 4. To'liqlik: Barcha tranzaktsiyalar bo'lishi kerak bo'lgan ishlov beriladi (ya'ni, kamchiliklarsiz). Iyun soni 78ISSN 2229 5208ning 59-sahifasi Kompyuter axborot tizimlari xalqaro jurnali, jild. 2, № 6, 2011 5. To'liqlik: Barcha operatsiyalar bo'lishi kerak bo'lgan ishlov beriladi (ya'ni, hech qanday kamchiliksiz). 6. Taqdim etish va oshkor qilish (tasniflash): Moliyaviy hisobotning tarkibiy qismlari (yoki boshqa hisobotlar) tegishli tarzda tasniflangan (turi yoki hisobi bo'yicha) va tavsiflangan. 7. Reasonableness - tranzaktsiyalar yoki natijalar boshqa ma'lumotlar yoki tendentsiyalarga nisbatan oqilona ko'rinadi. Masalan, kreditorlik qarzi funksiyasini nazorat qilish maqsadi quyidagicha ifodalanishi mumkin: “To‘lovlar faqat ruxsat etilgan mahsulotlar va olingan xizmatlar uchun amalga oshiriladi”. Bu haqiqiylik maqsadi. Ushbu maqsadga erishish uchun mo'ljallangan odatiy nazorat protsedurasi: "To'lovga ruxsat berishdan oldin kreditorlik qarzlari tizimi xarid buyurtmasini, qabul qilish yozuvini va sotuvchining hisob-fakturasini taqqoslaydi." O'rtacha darajadagi ishonch bilan berilgan nazorat maqsadiga erishish uchun bir nechta nazorat vositalari qo'llanilishi mumkin. Rahbariyat o'z mas'uliyat sohalaridagi operatsiyalarga taalluqli tegishli nazoratni amalga oshirish uchun javobgardir. Ichki auditorlar nazoratning tegishli maqsadlarga erishish uchun samarali ishlab chiqilganligi va amalga oshirilganligini baholash uchun o'z auditlarini amalga oshiradilar. B. Faoliyatning turkumlanishi Nazorat faoliyatini faoliyat turi yoki xususiyati bilan ham izohlash mumkin. Bularga quyidagilar kiradi: • Vazifalarni ajratish - bir shaxs tomonidan firibgarlik yoki xatolikka yo'l qo'ymaslik uchun ruxsat berish, saqlash va yozuvlarni yuritish rollarini ajratish. • Tranzaktsiyalarni avtorizatsiya qilish - muayyan operatsiyalarni tegishli shaxs tomonidan ko'rib chiqish. • Yozuvlarni saqlash – operatsiyalarni asoslash uchun hujjatlarni yuritish. • Operatsiyalarni nazorat qilish yoki monitoring qilish - davom etayotgan operativ faoliyatni kuzatish yoki ko'rib chiqish. • Jismoniy himoya vositalari - tovarlar inventarizatsiyasi kabi mulkni himoya qilish uchun kameralar, qulflar, jismoniy to'siqlar va boshqalardan foydalanish. Yuqori darajadagi sharhlar - haqiqiy natijalarning tashkilot maqsadlari yoki rejalari, davriy va muntazam operatsion tekshiruvlari, ko'rsatkichlari va boshqa asosiy ishlash ko'rsatkichlari (KPI) bilan taqqoslaganda tahlili. • IT xavfsizligi - ruxsat berilgan xodimlar uchun cheklangan kirishni ta'minlash uchun parollar, kirish jurnallari va boshqalardan foydalanish. • Yuqori darajadagi sharhlar - Haqiqiy samaradorlikni rejalar, maqsadlar va belgilangan maqsadlar bilan taqqoslaydigan hisobotlarni boshqaruv tekshiruvi. • Axborotni qayta ishlash ustidan nazorat qilish-axborotni qayta ishlashda turli nazorat tadbirlaridan foydalaniladi. Masalan, kiritilgan ma'lumotlarni tahrirlash tekshiruvi, raqamli ketma-ketlikdagi operatsiyalarni hisobga olish, fayllar yig'indisini nazorat hisoblari bilan taqqoslash, ma'lumotlar, fayllar va dasturlarga kirishni nazorat qilish. V. NAZORAT ANIQLIGI Nazorat aniqligi ma'lum bir nazorat protsedurasi va ma'lum nazorat maqsadi yoki xavf o'rtasidagi moslashish yoki bog'liqlikni tavsiflaydi. Maqsadga erishishga bevosita ta'sir ko'rsatadigan nazorat maqsad yoki xavfga bilvosita ta'sir ko'rsatadigandan ko'ra aniqroq deyiladi. Aniqlik etarlilikdan farq qiladi; ya'ni, nazorat maqsadiga erishish yoki xavfni yumshatishda turli darajadagi aniqlikka ega bo'lgan bir nechta boshqaruv vositalari ishtirok etishi mumkin. Aniqlik SOX 404 yuqoridan pastga xavfni baholashda muhim omil hisoblanadi. Muayyan moliyaviy hisobotdagi jiddiy noto'g'ri tavakkalchiliklarni aniqlagandan so'ng, rahbariyat va tashqi auditorlar xavflarni kamaytiradigan nazorat vositalarini aniqlashlari va sinab ko'rishlari kerak. Bu xavflarni kamaytirish uchun zarur bo'lgan nazorat vositalarining aniqligi va etarliligi to'g'risida qaror qabul qilishni o'z ichiga oladi. Xatarlar va nazoratlar PCAOB ko'rsatmalariga muvofiq tashkilot darajasida yoki tasdiqlash darajasida bo'lishi mumkin. Korxona darajasidagi risklarni bartaraf etish uchun tashkilot darajasidagi nazoratlar aniqlanadi. Biroq, tasdiqlash darajasidagi risklarni bartaraf etish uchun odatda tashkilot darajasidagi va tasdiqlash darajasidagi boshqaruv vositalarining kombinatsiyasi aniqlanadi. PCAOB ob'ektlar darajasidagi boshqaruv vositalarining aniqligini hisobga olish uchun uch darajali ierarxiyani belgilab berdi. Keyinchalik PCAOB tomonidan kichik davlat firmalariga oid ko'rsatmalar aniqlikni baholashda e'tiborga olinishi kerak bo'lgan bir nechta omillarni taqdim etdi. VI. FIRIB VA ICHKI NAZORAT Firibgarlikning oldini olish va aniqlashda ichki nazorat muhim rol o‘ynaydi. Sarbanes-Oxley qonuniga ko'ra, kompaniyalar firibgarlik xavfini baholash va tegishli nazoratni baholashlari kerak. Bu, odatda, o'g'irlik yoki yo'qotish sodir bo'lishi mumkin bo'lgan stsenariylarni aniqlashni va mavjud nazorat tartib-qoidalari xavfni maqbul darajaga qadar samarali boshqarishini aniqlashni o'z ichiga oladi. Yuqori rahbariyat moliyaviy hisobotlarni manipulyatsiya qilish uchun muhim moliyaviy nazoratni bekor qilishi xavfi ham firibgarlik xavfini baholashda asosiy e'tibor sohasidir. AICPA, IIA va ACFE, shuningdek, 2008 yilda nashr etilgan, tashkilotlarga firibgarlik xavfini boshqarishda yordam berish uchun asosni o'z ichiga olgan qo'llanmaga homiylik qildi. Download 72.34 Kb. Do'stlaringiz bilan baham: 
|