من المتوقع أن يفهم مرشحوا شهادة CISA الجوانب التالية من تخطيط التدقيق القائم على المخاطر:
- ما هي المخاطر؟
- نقاط الضعف والتهديدات
- المخاطر الكامنة والمخاطر المتبقية
- مزايا تخطيط
- التدقيق
- مخاطر التدقيق خطوات نهج التدقيق القائم على المخاطر
- خطوات تقييم المخاطر
- المنهجيات الأربع لمعالجة المخاطر
ما هي المخاطر؟
دعونا نلقي نظرة على بعض التعريفات المقبولة على نطاق واسع للمخاطر.
تتم صياغة معظم أسئلة CISA حول المخاطر. يجب أن يكون لدى المرشحين CISA فهم شامل لمصطلح المخاطر. تتوفر تعريفات / صيغ متعددة للمخاطر. إذا نظرت بعناية ، فإن كل تعريف يتحدث إما بشكل مباشر أو غير مباشر عن مصطلحين: الاحتمال والتأثير.
يتم تقديم بعض التعريفات الأكثر شيوعًا للمخاطر هنا:
- تعرف ERM-COSO المخاطر على أنها “الأحداث المحتملة التي قد تؤثر على أهداف الكيان”.
- يُعرِّف قاموس أكسفورد الإنجليزي المخاطر على أنها “احتمالية حدوث شيء ما مضروبة في التكلفة أو المنفعة الناتجة إذا حدث ذلك.”
- يعرّف موقع Business Dictionary.com المخاطر على أنها “احتمال أو تهديد بضرر أو إصابة أو مسؤولية أو خسارة أو أي حدث سلبي آخر ناتج عن نقاط ضعف خارجية أو داخلية ، والتي يمكن تجنبها من خلال الإجراءات الوقائية.”
- تُعرّف ISO 31000 المخاطر بأنها “تأثير عدم اليقين على الأهداف”.
بكلمات بسيطة ، “الخطر” هو نتاج الاحتمال والتأثير:
الاحتمالية والتأثير مهمان بنفس القدر عند تحديد المخاطر. على سبيل المثال ، لنفترض أن احتمال أو احتمالية تعرض المنتج للتلف مرتفع جدًا ، بقيمة “1” ؛ ومع ذلك ، قل أن المنتج لا يكلف بالكاد أي شيء وبالتالي فإن التأثير يكون “0” حتى في حالة تلف المنتج.
لذلك ، سيتم حساب المخاطر في هذا السيناريو على النحو التالي:
المخاطرة = P * I
المخاطرة = 1 * 0 = 0
فهم الضعف والتهديد
طريقة أخرى لفهم المخاطر من خلال فهم فكرة الضعف والتهديد. بعبارات بسيطة ، الثغرة هي نقطة ضعف وتهديد و هو شيء يمكن أن يستغل الضعف المذكور. مرة أخرى ، يجب أن يكون كلا العنصرين (V و T) موجودًا لتشكيل خطر.
لا يوجد تهديد لنظام عديم الفائدة ، حتى لو كان شديد الضعف. على هذا النحو ، فإن المخاطر التي يتعرض لها هذا النظام ستكون معدومة على الرغم من الضعف الشديد:
الضعف | خطر |
ضعف في النظام.بشكل عام ، يمكن أن تسيطرعليه المنظمة. | عنصر يستغل نقطة الضعف.بشكل عام ، التهديد ليس تحت سيطرة المنظمة. |
نقاط الضعف هي في الغالب عناصر داخلية. | التهديدات هي في الغالب عناصر خارجية. |
ومن الأمثلة على ذلك ضعف الترميز ، وفقدان برنامج مكافحة الفيروسات ، وضعف التحكم في الوصول ، وغيرها. | تشمل الأمثلة المتسللين والبرامج الضارة والمجرمين والكوارث الطبيعية وما إلى ذلك. |
هناك تعريفات وصيغ مختلفة للمخاطر. ومع ذلك ، بالنسبة لشهادة CISA ، يرجى تذكر الصيغتين التاليتين فقط:
المخاطرة = الاحتمال * التأثير = A * V * T
في الصيغة الثانية ، تمثل A و V و T قيمة الأصول ونقاط ضعفها والتهديدات التي تتعرض لها ، على التوالى.
فهم المخاطر الكامنة والمخاطر المتبقية
يجب على مرشح CISA أن يفهم الفرق بين المخاطر الكامنة والمخاطر المتبقية: المخاطر الكامنة المخاطر
المتبقية | الخطر |
الذي يمثله النشاط ، باستثناء أي ضوابط أو عوامل | مخففة.المخاطر المتبقية بعد أخذ الضوابط في الاعتبار |
إجمالي المخاطر – التي هي ، المخاطر قبل تطبيق الضوابط | صافي المخاطر – أي ، المخاطر بعد تطبيق الضوابط ، |
فيما يلي معادلة المخاطر المتبقية:
المخاطر المتبقية = المخاطر المتأصلة – التحكم
مزايا تخطيط التدقيق القائم على المخاطر
التخطيط المبني على المخاطر ضروري لتحديد نطاق التدقيق (المجالات / العمليات / الأصول التي سيتم تدقيقها) بشكل فعال. يساعد على نشر موارد التدقيق في المناطق داخل المنظمة التي هي عرضة لأكبر المخاطر.
فيما يلي مزايا تخطيط التدقيق القائم على المخاطر:
- يقلل من مخاطر التدقيق التي تنشأ أثناء عملية التدقيق.
- هو نهج استباقي يساعد في تحديد المشكلات في مرحلة مبكرة.
- يساعد المؤسسة على تحديد أي انحراف كبير عن المتطلبات التعاقدية والقانونية. هذا يحسن وعي الامتثال في جميع أنحاء المنظمة.
- يعزز الضوابط الوقائية و التدابير التفاعلية.
- يساعد في مواءمة أنشطة التدقيق الداخلي مع ممارسات إدارة المخاطر في المؤسسة.
مخاطر التدقيق
تشير مخاطر التدقيق إلى مخاطر عدم تمكن المدقق من اكتشاف الأخطاء الجوهرية أثناء عملية التدقيق. تتأثر مخاطر التدقيق بالمخاطر الكامنة ومخاطر الرقابة ومخاطر الكشف. تصف القائمة التالية كل من هذه المخاطر:
- المخاطر الكامنة: تشير إلى المخاطر الموجودة قبل تطبيق عنصر التحكم.
- مخاطر التحكم: يشير هذا إلى مخاطر فشل الضوابط الداخلية في منعها أو اكتشافها.
- مخاطر الكشف: يشير هذا إلى المخاطر التي يفشل التدقيق الداخلي في منعها أو اكتشافها.
يوضح الشكل التالي العلاقة بين جميع المخاطر الثلاثة:
فيما يلي الصيغ لحساب مخاطر التدقيق:
مخاطر التدقيق = المخاطر المتأصلة X مخاطر التحكم x مخاطر الكشف
يجب أن يكون لدى مدقق نظم المعلومات معرفة جيدة بمخاطر التدقيق عند التخطيط لأنشطة التدقيق. يتم سرد بعض الطرق لتقليل مخاطر التدقيق هنا:
- إجراء تخطيط للمراجعة على أساس المخاطر
- مراجعة نظام الرقابة الداخلية
- اختيار العينات الإحصائية المناسبة
- تقييم الأهمية النسبية للعمليات / الأنظمة في نطاق التدقيق
إن خبرة المدقق هي التي تقلل من مخاطر التدقيق. ومع ذلك ، تجدر الإشارة إلى أن المدقق هو مجرد رقيب بشري.
نهج التدقيق القائم على المخاطر
من المهم فهم الخطوات التي يجب أن يقوم بها مدقق نظم المعلومات. سيساعد النهج المنظم التالي على تقليل مخاطر التدقيق إلى الحد الأدنى وتوفير ضمانات بشأن حالة عمل المؤسسة الخاضعة للرقابة:
- الخطوة 1 – اكتساب متطلبات ما قبل التدقيق:
- معرفة بالمتطلبات الصناعية والتنظيمية
- معرفة بالمخاطر المطبقة على الأعمال المعنية
- نتائج التدقيق السابقة
- الخطوة 2 – الحصول على معلومات حول الضوابط الداخلية:
- الحصول على المعرفة حول البيئة والإجراءات
- فهم مخاطر الرقابة
- فهم مخاطر الاكتشاف
- الخطوة 3 – إجراء اختبار الامتثال:
- تحديد الضوابط المراد اختبارها
- تحديد فعالية الضوابط
- الخطوة 4 – إجراء اختبار جوهري:
- تحديد عملية الاختبار الموضوعي
- انظر أن الاختبار الموضوعي يتضمن إجراءات تحليلية ، واختبارات تفصيلية لأرصدة الحسابات ، وإجراءات أخرى
تقييمات المخاطر
يتضمن تقييم المخاطر الخطوات التالية:
يجب إجراء تقييمات المخاطر على فترات منتظمة لمراعاة التغيرات في عوامل الخطر . عملية تقييم المخاطر لها دورة حياة متكررة. يجب إجراء تقييمات المخاطر بشكل منهجي ويجب أن تكون المخرجات قابلة للمقارنة وقابلة للتكرار.
أيضًا ، من المهم تحديد مدى قابلية المنظمة للمخاطرة. يساعد تقبل المخاطر على تحديد أولويات المخاطر المختلفة للتخفيف من حدتها.
منهجية الاستجابة للمخاطر
الاستجابة للمخاطر هي عملية التعامل مع المخاطر لتقليل تأثيرها. إنها خطوة مهمة للغاية في عملية إدارة المخاطر. فيما يلي أربع منهجيات رئيسية الاستجابة للمخاطر:
- تخفيف المخاطر / تقليل المخاطر: اتخاذ بعض الإجراءات لتخفيف / تقليل المخاطر.
- تجنب المخاطر: قم بتغيير الاستراتيجية أو عملية الأعمال لتجنب المخاطر.
- قبول المخاطر: قرر قبول المخاطرة.
- تحويل المخاطر: نقل المخاطر إلى طرف ثالث. التأمين هو أفضل مثال.
تحدد ثقافة المخاطر والرغبة في المخاطرة في المؤسسة المعنية طريقة الاستجابة للمخاطر. من بين الاستجابات السابقة ، فإن الاستجابة الأكثر استخدامًا هي تخفيف المخاطر من خلال تنفيذ مستوى معين من الضوابط.
دعونا نفهم منهجيات الاستجابة للمخاطر السابقة بمثال عملي. لنفترض أن قسم الأرصاد الجوية قد توقع هطول أمطار غزيرة خلال النهار وعلينا حضور محاضرات CISA. يمكن التعامل مع مخاطر المطر بالطريقة التالية:
- سيحاول غالبية المرشحين التخفيف من مخاطر هطول الأمطار من خلال ترتيب مظلة / معطف واق من المطر لحمايتهم من المطر المحتمل (التخفيف من المخاطر).
- لن يقلق بعض المرشحين الشجعان بشأن حمل مظلة / معطف واق من المطر (قبول المخاطر).
- بعض المرشحين مثلي لن يحضروا الدروس (تجنب المخاطر).
ليس من الممكن دائمًا التخفيف من جميع المخاطر على المستوى التنظيمي. المشروع الخالي من المخاطر هو مجرد وهم.
لا يمكنك إدارة الأعمال دون المخاطرة. إدارة المخاطر هي عملية تحديد ما إذا كان مقدار المخاطر التي تتعرض لها المنظمة يتوافق مع قدرات واحتياجات المنظمة.
نهج من أعلى إلى أسفل ومن أسفل إلى أعلى لتطوير السياسات
دعونا نفهم الفرق بين النهج التنازلي والتصاعدي لتطوير السياسات.
النهج من أعلى إلى أسفل
في النهج من أعلى إلى أسفل ، يتم تطوير السياسة وتصميمها من منظور الإدارة العليا. في نهج من أعلى إلى أسفل ، يتم تطوير السياسات ومواءمتها مع أهداف العمل. إن إشراك الإدارة العليا في تصميم سيناريو المخاطر له أهمية قصوى. تتمثل إحدى ميزات النهج التنازلي لتطوير السياسات التنظيمية في أنه يضمن الاتساق عبر المؤسسة.
النهج التصاعدي
في النهج التصاعدي ، يتم تصميم السياسات وتطويرها من منظور مالك العملية / الموظف. يبدأ النهج التصاعدي بتحديد المتطلبات والسياسات على المستوى التشغيلي. يُشتق النهج التصاعدي من نتائج تقييمات المخاطر ويتم تنفيذه على أساس.
أفضل نهج
يجب أن تستفيد المنظمة من كل من النهج التنازلي والنهج التصاعدي عند تطوير السياسات التنظيمية. إنها مكملة لبعضها البعض ويجب استخدامها في وقت واحد. في نهج من أعلى إلى أسفل ، تتم معالجة المخاطر الرئيسية على أهداف العمل ، بينما في النهج التصاعدي ، تتم معالجة المخاطر على مستوى العملية.
الجوانب الرئيسية من منظور اختبار CISA
يغطي الجدول التالي الجوانب المهمة من منظور امتحان
: أسئلة CISA | الإجابات المحتملة |
أهم خطوة في تقييم المخاطر هي تحديد | التهديدات ونقاط الضعف |
في تخطيط التدقيق القائم على المخاطر ، الخطوة الأولى لمدقق نظم المعلومات هي لتحديد ماذا؟ | المناطق عالية الخطورة |
بمجرد تحديد التهديدات ونقاط الضعف ، ما هي الخطوة التالية؟ | تحديد وتقييم الضوابط الحالية |
ما هي ميزة تخطيط التدقيق القائم على المخاطر؟ | يمكن استخدام الموارد المناطق عالية الخطورة |
على ماذا يعتمد مستوى حماية أصول المعلومات؟ | أهمية الأصول |
ما هي المخاطر التي تتأثر بتصرفات المدقق المعروف؟ | مخاطر الكشف |
ما هي مخاطر التدقيق؟ | مخاطر التدقيق هي مجموع المخاطر الكامنة ومخاطر الرقابة ومخاطر الكشف. |
ما هي مكونات المخاطر ؟ | الاحتمالية والأثر |
ما هي نتائج عمليات إدارة المخاطر ؟ | تصميم الرقابة كأحد الإستجابات |
تقع مسؤولية إدارة المخاطر على؟ | الإدارة العليا |
ما هو عدم وجود إجراءات أمنية مناسبة يعرف باسم؟ | الضعف |
ما هي ميزة النهج التصاعدي لتطوير السياسات التنظيمية؟ | يتم إنشاء السياسات على أساس تحليل المخاطر |
ما هي المخاطر قبل تطبيق الضوابط المعروفة؟ | المخاطر المتأصلة / المخاطر الإجمالية (بعد تطبيق الضوابط ، تُعرف بالمخاطر المتبقية / المخاطر الصافية) |