کاهش سطوح تهدید برای سیستمهای اطلاعات حسابداری

کاهش سطوح تهدید برای سیستمهای اطلاعات حسابداری – ایران ترجمه – Irantarjomeh

مقالات ترجمه شده آماده گروه حسابداری

مقالات ترجمه شده آماده کل گروه های دانشگاهی

مقالات

کاهش سطوح تهدید برای سیستمهای اطلاعات حسابداری

در می ‌۲۰۰۷ – یکی از اولین مضامین کاری دپارتمان امنیت میهنی ایالات متحده (DHS) توسعه یک سیستم اخطار امنیتی با کد رنگی بوده است که هم اکنون بعنوان یک مقوله آشنا مطرح می‌باشد: رنگ قرمز معرف وجود یک خطر جدی یا حاد برای امنیت ملی می‌باشد و رنگهای پرتقالی، زرد، آبی و سبز بترتیب معرف سطح خطر بالا، افزایشی، احتیاط‌آمیز و پایین می‌باشند. با توجه به رسوائیهای اخیر در شرکتهایی همچون Enron، Arthur Andersen، WorldCom، Tyco و موارد دیگر می‌توان مضمون مشابهی، در خصوص سیستم هشدار امنیتی، برای خطرات مرتبط با سیستم گزارش گیری مالی، را در نظر گرفت.

دو سطح خطر امنیتی ممکن برای گزارشهای مالی در پیوستهای ۱ و ۲ ارائه گردیده‌اند. در ابتدا سطح هشدار امنیتی حاد یا کد قرمز را مدنظر قرار دهید. در این سطح هشدار، احتمال حملات جدی در مقابل سیستم گزارش دهی مالی، بازارهای مالی و اقتصاد ما وجود خواهد داشت. منابع نادری همچون زمان و پول در این حیطه مورد حیف و میل و اختلاس قرار می‌گیرند. در این خصوص با مشکل عدم اطمینان سرمایه‌گذار روبرو بوده و مدیریت نیز چشم‌اندازهای آتی را بدبینانه تلقی می‌نماید. بر این اساس، دولت با قواعد پرهزینه و اعمال نظارت بر مدیریت اجرایی و حرفه حسابداری عکسل‌العمل نشان خواهد داد. امنیت اطلاعات خطرات افزایش یافته حادی را تجربه می‌نماید.

هم اکنون، به سطح اخطار امنیتی احتیاطی که در سطح پایین‌تری قرار دارد و در پیوست ۲ بعنوان کد آبی مشخص شده است توجه کنید. سطح این خطر اهمیت حاکمیت شرکتی قدرتمند و امنیت اطلاعات در بکارگیری منابع نادر جهت افزایش ثروت سهام‌داران و حاصل نمودن اعتماد مجدد به مشارکت کنندگان در عرصه بازار را مورد شناسایی قرار می‌دهد. تصمیمات مالی بر مبنای اطلاعات دقیق، شفاف و به موقع استوار می‌باشند که در بر دارنده خصیصه‌های تناسب با موضوع و اطمینان‌پذیری خواهند بود. سرمایه‌گذاران، بستانکاران و دیگر کاربران می‌توانند بصورت مطمئن به گزارشات مالی اطمینان کنند تا آنکه راهگشای آنها در زمینه ارزیابی پارامترهای مختلف مربوط به مقدار، زمان و عدم قطعیت گردش وجوه آتی باشند و بر این مبنا قابلیت شناسایی منابع و طلب کردن آنها را داشته باشند و بتوانند عملکردهای خود را مورد ارزیابی قرار دهند. بر این اساس، می‌توان نسبت به تحصیل «یک وضعیت شایسته در سطح بالا» در ارتباط با مضامین تجاری و اخلاقی اقدام نمود. مدیریت،‌ کمیته‌های حسابرسی، حسابداران و ممیزین جهت ارتقای متوالی پارامترهای کنترل داخلی و تقویت امنیت اطلاعات با یکدیگر کار می‌کنند.

بطور قطعی دلیلی برای باور نمودن این موضوع وجود دارد که محیط تجاری تا کنون بسیاری از خطرات سازگار با کد قرمز را تجربه نموده است. بسیاری از این خطرات چالشهایی را برای حاکمیت شرکتی، حسابداران، حسابرسان و کادرهای آکادمیک بوجود آورده است. یکی از اهداف تجاری که خوشبختانه بعنوان یک پارامتر مشترک مدنظر است کاهش سطح خطر سیستم اطلاعات حسابداری به کد آبی می‌باشد.

کاهش سطوح تهدید برای سیستمهای اطلاعات حسابداری

خطرات امنیتی در مقابل تجارت اینترنتی و تکنولوژی مربوطه

رشد اینترنت با پتانسیل آن در زمینه انجام روال های تجاری همراه بود. اینترنت باعث شد تا موانع فیزیکی تجارت برداشته شود و بهره برداری از بازارهای غیراقتصادی قبلی رونق گیرد. قدرت اینترنت جهت تسهیل در انجام امور تجاری ممکن است به میزان زیادی تحت الشعاع دلنگرانی های کاربران در زمینه مسایل ایمنی نمود یابد. مشکلات وب سایتی که در مواقعی به وسیله فراهم آوردندگان بزرگ تجارت الکترونیک نظیر سایت های yahoo، eBay، E-Trade و Amazon.com تجربه می‌شوند شواهد کافی را در زمینه خطرات مرتبط با حملات اینترنتی فراهم آورده است.

استفاده از تکنولوژی های اینترنت به میزان اساسی باعث افزایش آسیب پذیری سیستم های اطلاعات شده است. یکی از سریع ترین خطرات رو به رشد در اینترنت خطر سرقت داده های حساس مالی می‌باشد. شکست در زمینه شامل نمودن امنیت اطلاعات بطور اساسی و ناخواسته باعث بوجود آمدن خطرات قابل توجه حرفه ای و شغلی می‌گردد. به طور مثال، بدون داشتن یک امنیت موثر، هکرها قابلیت دسترسی به پسوردها یا رمزهای ورود کاربران را خواهند داشت و بر این مبنا می‌توانند به آرایه ای از قابلیت های سیستمی‌‌و اطلاعات دسترسی یابند. چنین مضامینی ممکن است پیامدهای قانونی جدی را بوجود آورد و یا آنکه در طرف مقابل باعث افشای رمز و رازهای تجاری شوند که خود سبب از بین رفتن مزیت رقابتی و سودهای حاصل از آن خواهد شد.

کاهش سطوح تهدید برای سیستمهای اطلاعات حسابداری

خطرات پیش روی سیستم های اطلاعات حسابداری

خطرات سیستم های اطلاعات حسابداری از منابع مختلفی سرچشمه می‌گیرد. در صورتی که این خطرات را نادیده انگاریم، آنها می‌تواند باعث تخریب ارتباطات و قابلیت اعتماد به اطلاعات مالی شوند که خود باعث تصمیم گیری های ضعیف به وسیله سهام داران مختلف خواهد شد.

از نکته نظر مسایل مربوط به جمع آوری اطلاعات، این موضوع مهم خواهد بود تا نسبت به تأمین روالهای کنترل ایمنی اقدام نماییم که باعث می‌شوند تا این اطمینان حاصل آید که تراکنش ها یا داده های مربوط به رخدادهای مالی بصورت معتبر، کامل و عاری از هرگونه خطا باشند. دو مورد از فعالیت های هکرها که می‌توانند به میزان قابل توجهی بر روی روال جمع آوری معتبر داده ها تأثیر گذارند عبارتند از: Masquerading یا تغییر قیافه (که در آن هکرها خود را به عنوان کاربران دارای مجوز معرفی می‌کنند) و piggybacking به معنای برپشت یا شانه کسی سوار شدن (که به حالتی گفته می‌شود که از خطوط ارتباطاتی جهت اعمال رویه های غیرقانونی بهره گرفته می‌شود).

خطرات پیش روی سیستم های اطلاعات حسابداری ممکن است به هنگامی‌رخ دهند که در طی فاز پردازش داده ها می‌باشیم. بوجود آوردن برنامه های غیرقانونی، دسترسی به فایل ها یا پاک نمودن آنها، تخریب یا صدمه زدن به لاجیک یا منطق برنامه بوسیله ویروس ها، و یا جایگزین نمودن منطق یک برنامه به منظور آنکه برنامه کاربردی خاص داده ها را به صورتی نادرست معرفی نماید، همگی جزء نشانه های خطرات مرتبط با سیستم اطلاعات حسابداری می‌باشند. خطرات وابسته به مدیریت بانک اطلاعات ممکن است شامل دسترسی بدون مجوز به داده ها جهت تغییر، حذف، صدمه زدن، فاسد کردن یا سرقت داده ها باشد. شکست در حفظ فایل های backup یا نسخه های پشتیبان یا تکنیک های فراخوانی داده های دیگر معرف پتانسیل از دست رفتن فاجعه آمیز داده ها می‌باشد. خطرات مربوط به فازهای تولید یا پردازش اطلاعات و گزارش دهی را نیز باید مدنظر قرار داد. به طور مثال، سرقت، تغییر مسیر داده ها یا سوء استعمال خروجی یک رایانه می‌تواند باعث صدمه زدن به مزیت رقابتی یا شهرت سازمانی شود.

کاهش سطوح تهدید برای سیستمهای اطلاعات حسابداری

ضروریات مدیریتی

با گسترش تکنولوژی رایانه، فرآیندهای تجاری سنتی تغییر یافته و تکنیک های کنترل داخلی منحصر به فرد جهت مخاطب قرار دادن مضامین مرتبط با خطرات بسیار پیش روی بوجود آمده‌اند. مسئولیت تأمین و نگهداری یک سیستم موثر کنترل داخلی به عهده مدیریت شرکت خواهد بود. مسئولیت های مدیریتی شامل مستندسازی، تست و ارزیابی کنترل های داخلی، مشتمل بر کنترل های کلی تکنولوژی اطلاعات و موارد مرتبط (نظیر توسعه برنامه، تغییرات برنامه ای، عملیات رایانه ای و دسترسی به برنامه ها و داده ها) و همچنین کنترل های سطح کاربردی بصورتی متناسب می‌باشد و بدین منظور طراحی شده‌اند تا اطمینان حاصل آید که داده های مالی تولید شده از طریق سیستم اطلاعات سازمانی از اطمینان منطقی شایسته ای برخوردار ‌باشند.

قانون فساد خارجی سال ۱۹۷۷ و قانون Sarbanes-Oxley  به سال ۲۰۰۲ (SOX) مسئولیت های قانونی قابل توجهی را به مدیریت تخصیص داده است. مدیریت و پرسنل مختلف می‌بایست در ارتباط با قابلیت اطمینان و اعتبار گزارشات مالی و همچنین مهیا سازی صورت های مالی برای اهداف خارجی منطبق با GAAP، اطمینان مکفی را به صورت سالیانه فراهم آورند. مدیریت می‌بایست نسبت به تأمین، ارزیابی، نظارت و فراهم سازی ارزیابی های نوشتاری در زمینه کنترل های داخلی که شامل سیاست ها و رویه های ذیل می‌باشد اقدام نماید:

• حفظ سوابق با توجه به جزئیات دقیق منطقی آنها که باید بازتاب دهنده متناسب تراکنش ها و وضعیت و صورت بندی دارایی ها باشد.

• فراهم آوردن اطمینان منطقی در این زمینه که تراکنش ها با توجه به الزام کافی ثبت گردیده اند تا آنکه قابلیت مهیا سازی صورت حساب های مالی در انطباق با اصول کلی پذیرفته شده حسابداری مهیا شود و آنکه موارد وصولی و هزینه های ثبات منطبق با مجوز مدیریت و رهنمودهای ثبات انجام شده باشد و

• فراهم آوردن اطمینان کافی در زمینه ممانعت یا تشخیص به موقع هر گونه از موارد اکتساب یا خرید بدون مجوز، استفاده، یا تنظیم و صورت بندی دارایی های ثبات که می‌تواند دارای تأثیر مادی بر روی صورت حساب های مالی باشد.

بخش ۴۰۴ SOX معرف تعهد مدیریتی برای تأمین و حفظ کنترل های داخلی در زمینه گزارشات مالی و ارزیابی موثر بودن رویه های کنترلی داخلی می‌باشد، مشتمل بر: کنترلهای ممانعتی، که شامل تکنیک های طراحی شده جهت کاهش توالی عملکردهای نامطلوب یا مخرب است؛ کنترل های تشخیصی، که شامل ادوات، تکنیک ها و رویه های مرتبطی است که برای مشخص سازی عملکردهای نامطلوب و مخربی طراحی شده اند و سبب اجتناب از کنترل های ممانعتی می‌گردند و در نهایت کنترل های اصلاحی که شامل عملکردهایی جهت معکوس ساختن تأثیرات عملکردهای نامطلوب یا بالقوه مخرب است.

کاهش سطوح تهدید برای سیستمهای اطلاعات حسابداری

ضروریاتی در ارتباط با حسابداران و حسابرسان

حسابداران ـ بعنوان کاربران، مدیران، طراحان و ارزیابان سیستم‌های اطلاعاتی می‌بایست از دانش مکفی در زمینه خطرات امنیتی و تکنیک‌های کنترلی مناسب برخوردار باشند تا آنکه بتوانند سیستم‌های اطلاعات خود را محافظت نموده و قابلیت ارائه مشورت تجاری در زمینه خطرات امنیتی را داشته باشند. استفاده یک شرکت از تکنولوژی اطلاعات و امنیت سیستم اطلاعاتی حسابداری بر روی کنترل داخلی شرکتی در زمینه گزارش دهی مالی تاثیرگذار خواهد بود. فرآیندهای سیستمی‌و ورودیهای تولید شده ـ سیستم برای تراکنش‌ها و رخدادهای معتبر بعنوان جزء لاینفکی از گزارش دهی مالی بشمار می‌آیند. از زمان شروع سیستم‌های کامپیوتری که نسبت به حاصل آوردن، تصدیق، ذخیره‌سازی و گزارش دهی داده‌های مورد استفاده در گزارشات مالی اقدام می‌کنند، مسائل امنیتی جدید که در این تکنولوژی لحاظ شده است نیز توسعه یافته‌اند.

ضروریات مرتبط با محیط‌های آکادمیک

آیا اساتید دانشگاهی به دانشجویان خود چارچوب لازم در زمینه درک نیاز امنیت تکنولوژی اطلاعات و کار با یکدیگر جهت توسعه خط‌مشی‌ها، فرآیندها و تکنولوژی جهت مخاطب قرار دادن خطرات مربوطه را گوشزد نموده‌اند؟ آیا متخصصین حسابداری آتی فرصت فراگیری امنیت اطلاعات، برنامه‌های کاربردی مطمئن و منطبق، برنامه‌ریزی مستمر تجاری، کنترل و نظارت بر تکنولوژی اطلاعات، مدیریت حریم خصوصی، هویت دیجیتال و تکنولوژی‌های تصدیق صحت و اعتبار، جامعیت داده‌ها و برنامه‌های کاربردی،‌ تکنولوژی‌های جدید بدون سیم و بدون کاغذ و تشخیص و حذف برنامه‌هایی که بطور مخفی اقدام به گردآوری اطلاعات می‌کنند (spyware) را خواهند داشت؟ آیا رشته‌های حسابداری خاصی جهت بهره‌گیری از مواردی همچون دانش، مهارت‌ها و علوم اخلاقی مورد نیاز خواهد بود تا آنکه قابلیت درک محیط‌های تجاری بوجود آمده و بتوان نسبت به ارزیابی ریسک و کنترل داخلی اقدام نمود و برآوردهای امنیتی موثر و کارا را اجرا کرد؟

اساتید دانشگاهی، مخصوصا استادان حسابداری، MIS، IT و رشته‌های تجاری مربوطه، می‌بایست با یکدیگر تعامل نموده تا آنکه اطمینان حاصل شود که متخصصین آتی دارای دانش، مهارت‌ها و قابلیت‌های تخصصی، بعنوان مدیران، حسابداران یا حسابرسان جهت مخاطب قرار دادن خطرات متوالی، خواهند بود. جستجوی جامعیت موضوعات امنیتی و تکنیک‌های وابسته به معیارهای حسابداری بعنوان یک مقوله مهم مدنظر می‌باشد و بدینسان کارکردهای منظم و منطبق با اسلوب‌های این رشته حیاتی خواهد بود. شناسایی و پاداش به فعالیت‌های دانشگاهی و تکمیل روالهای درسی بین رشته‌ای، رشد تخصصی و خدمات حرفه‌ای از طریق بهره‌گیری از راهبردهای ترویجی و تصمیمات متصدیان امور می‌تواند بعنوان یک مضمون کارگشا و مهم مطرح باشد.

کاهش سطوح تهدید برای سیستمهای اطلاعات حسابداری

درک نیاز به مسائل ایمنی و امنیتی: یک مخرج مشترک

امنیت اطلاعات الکترونیکی بعنوان یک مبحث حیاتی مدنظر می‌باشد. بر این مبنا،‌ کادر دانشگاهی، مدیران، حسابداران و حسابرسان می‌بایست از خطران نوظهور آگاهی داشته باشند و درک مناسبی از برآوردهای امنیتی را به دست آورند که در حفظ ایمنی سیستم‌های اطلاعات حسابداری موثر خواهند بود.

حفظ و نگهداری داده‌های خصوصی و اطمینان از جامعیت مولفه‌های وابسته به سیستم اطلاعات حسابداری در محیط دیجیتالی امروزه چالشهای بسیاری را بوجود می‌آورد. پیاده سازی ضروریات یک سیستم اطلاعات موثر می‌بایست بگونه‌ای انجام شود تا اطمینان منطقی حاصل آید که سیستم اطلاعات حسابداری می‌تواند اطلاعات مرتبط و مطمئنی را تولید نماید که بر مبنای نیازهای گزارشات داخلی و خارجی می‌باشد.

با یا بدون SOX، مسئله کنترل را باید بعنوان یک اولویت اصلی مدنظر قرار داد. خط‌مشی‌ها و رویه‌ها می‌بایست در جهت حفظ سوابق و جزئیات دقیق تراکنشها، عملیات مالی و دارایی‌ها  به خوبی عمل نمایند و اطمینان منطقی قابل توجهی را بوجود آورند که تراکنش‌ها به درستی ثبت شده‌اند و موارد دریافتی و هزینه‌ها در انطباق با این مبحث با مجوز متناسب اعمال گردیدند و همچنین باید اطمینان کافی در زمینه ممانعت از اعمال رویه‌های غیر مجاز  مرتبط با تراکنشهای مالی یا تشخیص به موقع آنها بوجود آید که خود می‌تواند تاثیر قابل توجهی بر روی صورت حسابهای مالی داشته باشد.

شناسایی، پیاده‌سازی و نظارت بر برخی از ضروریات سیستم‌های اصلی و ارائه راه حلهای پایدار برای چالشهای عمومی‌یا خاص مرتبط با مسائل امنیتی که ممکن است در یک محیط بدون حد و مرز الکترونیکی، با بهره‌گیری از ادوات غنی تکنولوژیکی، بوجود آید، خود از جمله ضروریات کاری مدنظر می‌باشد. چنین مواردی عبارتند از: ارائه خط‌مشی‌ها و رویه‌های مرتبط با رمزهای ایمیل و کاربرد آنها،‌ راه حلهای وابسته به ضد ویروس، ضد تجسس افراد، فایروالها، دسترسی بدون مجوز، شناسایی، تفکیک وظایف، حریم خصوصی، به رمز در آورندن، امضاء و گواهی دیجیتال، عدم رد داده یا اطلاعات، جامعیت داده، ذخیره‌سازی، بک‌آپ فایلها و نوارها و دیگر خطرات نوظهور و تکنولوژی‌های وابسته به تکنولوژی اطلاعات.  در نهایت، بهره‌گیری از یک وضعیت مطلوب و شایسته با توجه به مسائل مرتبط با حریم خصوصی و امنیتی، همراه با استخدام مراقبین و استفاده از کارمندانی که از اخلاق حرفه‌ای بهره می‌برند، جزء ضروریات کاری می‌باشد تا اطمینان حاصل شود که سیستم اطلاعات ما در برابر خطرات پیش روی در امان خواهد بود.