حسابرسی مبتنی بر ریسک

1) ماهیت حسابرسی مبتنی بر ریسک (RBA)

حسابرسی مبتنی بر ریسک رویکردی است که در آن برنامه ریزی و اجرای حسابرسی ها در زمینه هایی با بیشترین خطر برای اهداف تجاری و انطباق متمرکز است. ایده های کلیدی:

اولویتی که ترکیبی از احتمال و نفوذ حداکثر است.
ارزیابی ریسک ذاتی (بدون کنترل) و ریسک باقیمانده (شامل کنترلها).
بازنگری مداوم ارزیابی به عنوان تغییرات چشم انداز ریسک (محصول، بازار، نظارتی، حوادث).

2) شرایط و چارچوب

Heatmap of risks - تجسم «احتمال × تاثیر» با درجه بندی توسط اولویت ها

جهان حسابرسی - یک کاتالوگ از فرآیندها، سیستم ها، مکان ها، تامین کنندگان و مسئولیت های قانونی که به طور بالقوه در معرض حسابرسی قرار دارند.
Risk Appetite/Tolerance - تمایل اعلام شده شرکت برای پذیرش ریسک در محدوده مشخص شده.
سطوح کنترل - پیشگیرانه/کارآگاهی/اصلاحی ؛ طراحی و بهره وری عملیاتی.
خطوط حفاظت - 1 (کسب و کار و عملیات)، 2 (ریسک/انطباق)، 3 (حسابرسی داخلی).

3) ایجاد یک جهان حسابرسی

ثبت واحدهای حسابرسی با ویژگیهای کلیدی:

فرآیندها: پرداخت، KYC/KYB، نظارت AML، مدیریت حادثه، DSAR، نگهداری.
سیستم ها: هسته معامله، DWH/datalake، IAM، CI/CD، ابرها، DLP/EDRM.
حوزه های قضایی و مجوزها، فروشندگان کلیدی و برون سپاری.
KPI/KRI، تاریخ حادثه/تخلف، یافته های خارجی/تحریم ها.
اثر پولی و اعتباری، بحرانی برای تنظیم کننده ها (GDPR/PCI/AML/SOC 2).

4) روش ارزیابی ریسک

1. ریسک ذاتی (IR): پیچیدگی فرآیند، حجم داده ها، جریان های نقدی، وابستگی های خارجی.
2. طراحی کنترل (CD): در دسترس بودن، پوشش، بلوغ سیاست به عنوان کد، اتوماسیون.
3. بهره وری عملیاتی (OE): ثبات اجرا، معیارهای MTTD/MTTR، سطح رانش.
4. خطر باقی مانده (RR): 'RR = f (IR، CD، OE)' - عادی در مقیاس (به عنوان مثال،. 1-5).
5. عوامل اصلاح کننده: تغییرات نظارتی، حوادث اخیر، نتایج ممیزی های گذشته، چرخش کارکنان.

مثال مقیاس نفوذ: آسیب مالی، جریمه های قانونی، خرابی SLA، از دست دادن داده ها، عواقب شهرت.
نمونه ای از مقیاس احتمال: فرکانس رویداد، قرار گرفتن در معرض، پیچیدگی حملات/سوء استفاده، روند تاریخی.

5) اولویت بندی و برنامه حسابرسی سالانه

واحدهای حسابرسی را بر اساس ریسک باقیمانده و اهمیت استراتژیک مرتب کنید.
اختصاص فرکانس: سالانه (بالا)، یک بار در هر 2 سال (متوسط)، با نظارت/موضوعات (کم).
شامل بررسی های موضوعی (به عنوان مثال،. حذف داده ها و ناشناس، تفکیک وظایف (SoD)، تقسیم بندی PCI).
برنامه ریزی منابع: مهارت ها، استقلال، جلوگیری از درگیری های مورد علاقه.

6) RACI و نقش ها

نقش ها	مسئولیت پذیری
کمیته حسابرسی/هیئت مدیره (A)	تصویب طرح، کنترل استقلال
حسابرسی داخلی (A/R)	روش شناسی، اولویت بندی، گزارش دهی
حسابرسان داخلی (R)	کار میدانی، آزمایش، نمونه برداری، تجزیه و تحلیل
ریسک/انطباق (C)	ارزیابی ریسک یکپارچه، رابط نظارتی
فرآیند/صاحبان سیستم (C)	دسترسی به داده ها، برنامه اصلاح
حقوقی/DPO (C)	تفسیر نورم، حفظ حریم خصوصی و حفظ داده ها
SecOps/پلت فرم داده/IAM (R/C)	تخلیه سیاهههای مربوط، پیکربندی، داشبورد شواهد

ج - مسئولیت پذیری ؛ الف - مسئولیت پذیری ؛ ج - مشاوره)

7) روش برای تست کنترل

پیاده روی: ردیابی جریان «پایان به پایان معامله «/داده ها.
اثربخشی طراحی: بررسی حضور و مناسب بودن سیاست ها/کنترل ها.
اثربخشی عملیاتی - بررسی انتخابی اعدام برای یک دوره.
عملکرد مجدد: بازتولید محاسبات/سیگنال ها توسط قوانین CaC.
CAATs/DA (تکنیک های حسابرسی کامپیوتری/تجزیه و تحلیل داده ها): اسکریپت های SQL/python، درخواست های کنترل به ویترین های پذیرش، مقایسه IaC ↔ پیکربندی های واقعی.
حسابرسی مداوم - تعبیه تست های کنترل در اتوبوس رویداد (جریان/دسته ای).

8) نمونه برداری

آماری: تصادفی/طبقه بندی شده، اندازه را با سطح اعتماد به نفس و خطای مجاز تعیین کنید.
هدف (قضاوتی): ارزش بالا/ریسک بالا، تغییرات اخیر، استثنائات (چشم پوشی).
غیر طبیعی: نتیجه گیری از تجزیه و تحلیل (outliers)، حوادث نزدیک به دست، «متخلفان برتر».
End-to-End (100٪): در صورت امکان، از تأیید خودکار کل آرایه استفاده کنید (به عنوان مثال SoD, TTL, غربالگری تحریم).

9) تجزیه و تحلیل و منابع شواهد (شواهد)

سیاهههای مربوط به دسترسی (IAM)، ردیابی تغییر (Git/CI/CD)، پیکربندی زیرساخت (Terraform/K8s)، گزارش DLP/EDRM.
«انطباق» ویترین، مجلات حقوقی نگه دارید، رجیستری DSAR، AML (SAR/STR) گزارش.
عکس های فوری داشبورد، صادرات CSV/PDF، تثبیت هش و WORM/غیر قابل تغییر.
پروتکل های مصاحبه، چک لیست ها، مصنوعات بلیط/تشدید.

10) حسابرسی: SOP

1. ارزیابی مقدماتی: اهداف، معیارها، مرزها، صاحبان را روشن کنید.
2. درخواست داده: لیست آپلود ها، دسترسی ها، پیکربندی ها، دوره نمونه برداری.
3. کار میدانی: پیاده روی، تست های کنترل، تجزیه و تحلیل، مصاحبه ها.
4. کالیبراسیون نتیجه گیری: مقایسه با ریسک پذیری، با مقررات و سیاست ها.
5. شکل گیری یافته ها: واقعیت → معیار → نفوذ → دلیل → توصیه → اصطلاح مالک.
6. جلسه بسته شدن - آشتی حقایق، وضعیت و برنامه های اصلاح.
7. گزارش و پیگیری: انتشار، رتبه بندی، تاریخ بسته شدن، تأیید مجدد.

11) طبقه بندی یافته ها و رتبه بندی ریسک

شدت: بحرانی/بالا/متوسط/پایین (لینک به تاثیر بر امنیت، انطباق، امور مالی، عملیات، شهرت).
احتمال: مکرر/ممکن/نادر.
نمره ریسک: ماتریس یا تابع عددی (به عنوان مثال، 1-25).
تم برچسب ها: IAM، حریم خصوصی داده ها، AML، PCI، DevSecOps، DR/BCP.

12) معیارها و KRI/KPI برای حسابرسی ریسک

پوشش: سهم جهان حسابرسی تحت پوشش در سال.
در زمان بازسازی:٪ رفع در زمان (با شدت).

تکرار یافته ها: نسبت تکرار در 12 ماه

یافته های MTTR: زمان متوسط تا بسته شدن.
روند اثربخشی کنترل: درصد آزمون های گذشت/شکست خورده توسط دوره.
زمان آمادگی حسابرسی: زمان جمع آوری شواهد.
شاخص کاهش ریسک: ∆ نرخ ریسک کل پس از اصلاح.

13) داشبورد (حداقل مجموعه)

Heatmap ریسک: فرآیندهای × احتمال/تاثیر × خطر باقی مانده.
یافته های خط لوله: وضعیت (باز/در حال انجام/عقب افتاده/بسته) صاحبان ×.
موضوعات برتر: دسته بندی نقض مکرر (IAM/Privacy/PCI/AML/DevSecOps).
پیری و SLA: بزهکاری و نزدیک شدن به مهلت.
مسائل تکرار: تکرار توسط فرمان/سیستم.
نتایج آزمون کنترل: نرخ عبور، روند، FPR/TPR برای قوانین کارآگاه.

14) الگوهای مصنوعی

دامنه حسابرسی

اهداف و معیارها (استانداردها/سیاست ها)

محدوده: سیستم ها/دوره/مکان/تامین کنندگان

روش ها: نمونه برداری، تجزیه و تحلیل، مصاحبه، پیاده روی.

محدودیت ها و استثنائات (در صورت وجود)

پیدا کردن کارت

ریسک و تاثیر (کسب و کار/نظارتی/ایمنی)

توصیه و برنامه عمل

مالک و تاریخ مقرر

ID/موضوع/شدت/احتمال/نمره.
توصیف واقعیت و معیار عدم انطباق.
شواهد (لینک ها/هش ها/آرشیو).

گزارش حسابرسی (ساختار)

1. خلاصه اجرایی

2. زمینه و محدوده.
3. روش شناسی و منابع داده ها.

4. نتیجهگیری و ارزیابی کنترلها

5. یافته ها و اولویت ها

6. برنامه بازسازی و پیگیری

15) ارتباط با نظارت مستمر (CCM) و انطباق به عنوان کد

از نتایج CCM به عنوان ورودی برای ارزیابی ریسک و برنامه ریزی حسابرسی استفاده کنید.
سیاست ها به عنوان کد اجازه می دهد که آزمون ها توسط حسابرسان دوباره اجرا شوند و تکرارپذیری را افزایش دهند.
پیاده سازی حسابرسی مداوم برای مناطق پر خطر با تله متری موجود.

16) ضد گلوله

روش ارزیابی ریسک مبهم

نادیده گرفتن ارائه دهندگان و زنجیره خدمات

حسابرسی بدون ریسک «یکنواخت» → از دست دادن تمرکز و منابع.
گزارش بدون توصیه های قابل اندازه گیری و صاحبان.
بدون پیگیری - مشکلات بازگشت.

17) مدل بلوغ RBA (M0-M4)

M0 مستند: چک های یک بار، نمونه برداری دستی.
کاتالوگ M1: جهان حسابرسی و نقشه گرما پایه.
سیاست ها و آزمون های M2: چک لیست های استاندارد و درخواست های پیگیری.
M3 یکپارچه: ارتباط با داده های CCM، SIEM/IGA/DLP، جمع آوری شواهد نیمه اتوماتیک.
M4 مداوم: حسابرسی مداوم، اولویت بندی در زمان واقعی، تنظیمات خودکار.

18) توصیه های عملی

مقیاس ریسک شامل کسب و کار و انطباق - یک «ارز» ریسک است.
حفظ شفافیت: روش سند و وزن، نگه داشتن تاریخ تغییر.
تراز کردن برنامه حسابرسی با استراتژی و ریسک پذیری.
جاسازی آموزش مالک فرایند - حسابرسی به عنوان صرفه جویی در حوادث آینده است.
کاهش «سر و صدا» با تجزیه و تحلیل: طبقه بندی، قوانین محرومیت، اولویت بندی توسط آسیب.

19) مقالات ویکی مرتبط

نظارت بر انطباق مداوم (CCM)

اتوماسیون انطباق و گزارش دهی

نگهداری قانونی و انجماد داده ها

نگهداری داده ها و برنامه های حذف

DSAR: درخواست کاربر برای داده ها

PCI DSS/SOC 2 کنترل و صدور گواهینامه

برنامه تداوم کسب و کار (BCP) و DRP

نتیجه گیری

ممیزی های مبتنی بر ریسک بر مهمترین تهدیدات تمرکز می کنند، اثربخشی کنترل ها را اندازه گیری می کنند و اقدامات اصلاحی را تسریع می کنند. قدرت آن در داده ها و روش شفاف است: هنگامی که اولویت بندی درک می شود، آزمایش ها قابل تکرار هستند و توصیه ها قابل اندازه گیری و به موقع بسته می شوند.