الضوابط الرقابية والتدقيق الداخلي في بيئة تكنولوجيا المعلومات( الجزء الاول )
مقدمة
يتميز عالمنا المعاصر بدرجة عالية من التعقيد والتشابك والتغير خاصة في الأمور الاقتصادية والمالية والمحاسبية وتدقيق الحسابات, وذلك نتيجة للتطورات التكنولوجية المتسارعة والمتلاحقة في أساليب وأدوات الإنتاج, وأساليب ووسائل الاتصال ونظم المعلومات ونقلها,إضافة إلى ظهور الأشكال التنظيمية الجديدة، والشركات المتعددة الجنسية، مما زاد من حدة المنافسة وخطورتها الأمر الذي يستلزم اتخاذ قرارات سريعة وفاعلة، حتى تتمكن المنظمة من الاستمرار في التنافس والحفاظ على ميزاتها في السوق، مما يتطلب توفر معلومات حديثة ودقيقة، تساعد في اتخاذ القرارات الاقتصادية الرشيدة. ان هذا الأمر يتطلب بناء نظام معلومات يهدف إلى تحديد نوع وحجم البيانات، وكيفية جمعها ومعالجتها وتحليلها، ووجود الرقابة الفاعلة عليها، وتدقيق مخرجاتها عندما تتحول البيانات الخام إلى معلومات مفيدة وموثوق بها لاتخاذ القرارات وتقييم الأداء.
وفي اعتقادنا أن الضوابط الرقابية بالنسبة لبيئة نظم المعلومات يجب أن تغطي الجوانب التالية:
أ. التصميم من اجل نمو الضوابط الرقابية في المنظمة.
ب. الاستعمال السلس للضوابط الرقابية.
ج. الأهلية التكنولوجية من أجل الاستخدام الأفضل للضوابط الرقابية.
د. يجب ألا يتولد عن الضوابط الرقابية تكاليف غير مباشرة غير ضرورية , أو يتولد عنها تأثير على الأداء أو القدرة الاستيعابية أو الوظيفية.
ويجب تصميم وتطبيق إطار رقابي يحدد طريقة الوصول المناسب للبيانات، على ان يتميز بسهولة إدارته وتدقيقه، كما يجب أن يكون مصمما للاستجابة إلى أي تغييرات تحدث في بيئة الأعمال .


مجالات الخدمات التدقيقية
لقد أصبحت ثورة المعلومات والتكنولوجيا (صناعة المعلومات) أحد أهم الصناعات الحديثة في الوقت الحاضر, فهي تقف وراء نجاح الشركات وتعطيها القوة والاستمرارية والمنافسة. مما أثار الحاجة إلى ضوابط رقابية للحد من المخاطر الجديدة الناجمة عن التطورات الحديثة في بيئة تكنولوجيا المعلومات. ومن اجل نجاح عمليات التدقيق والضوابط الرقابية, فلا بد من تكامل الخدمات التدقيقية والضوابط الرقابية في بيئة نظم وتكنولوجيا المعلومات وذلك من خلال المجالات التالية :
1. تدقيق تكنولوجيا المعلومات.
2. التدقيق التشغيلي ( الشامل ).
3. التدقيق المالي.
4. تدقيق الالتزام.
5. تقييم ( تقدير )المخاطر.
6. مراجعة الرقابة الداخلية .
7. رقابة التقدير الذاتي.
8. مساعدة التدقيق الداخلي والخارجي.
9. النظام المحاسبي.
10. تقييم نظام المعلومات المحاسبية وتصميمه وتطبيقه.


تدقيق تكنولوجيا المعلومات
تعتبر تكنولوجيا المعلومات جزءا حساسا في معظم استراتجيات الأعمال في الأسواق العالمية المنافسة، وهناك عوامل عديدة تشير إلى توسع في عالم تكنولوجيا المعلومات والتي تضع مطالب اكبر على بيئة الرقابة بخصوص تكنولوجيا المعلومات، وان مثل هذا الأمر يحتاج إلى تخفيف المخاطر وتكاليف الرقابة المتعلقة بها في بيئة تكنولوجيا المعلومات غير المتنبأ بها، ومن هنا جاءت أهمية التأكيد على أفاق المعلومات، ووجود الضوابط الرقابية الفاعلة على بيئة تكنولوجيا المعلومات. ويجب أن تصمم خدمات تدقيق تكنولوجيا المعلومات للأطراف العديدة التي تستخدمها والمديرين والمدققين وملاك المشروع. كما يجب إن تسهل الضوابط الرقابية وتقدم الفرصة إلى إعادة هندسة تطبيق البيئة الرقابية القائمة، الأمر الذي يتطلب مراجعة شاملة وإعادة تصميم للضوابط الرقابية.
ونعتقد بان التكامل يجب أن يبنى مباشره في عمليات منظمة الأعمال عن طريق إنشاء قاعدة تكنولوجية مستقرة من اجل معالجة المعلومات الموثوق بها وفي الوقت المناسب، وتطبيق إطار متكامل من اجل تعظيم مثل هذا التكامل، وإنشاء وتطوير معايير منسقة والتي تضمن موثوقيه البيانات وتوفرها .
ويمكن القول بأنه لا توجد منظمتين تتقاسمان أهداف رقابية متطابقة أو تتعرض لنفس المخاطر، كما انه لا يتوفر نفس الموارد لهما للتعامل مع المواضيع الرقابية. ومع ذلك، فان جميع المنظمات ترغب في وجود ضوابط رقابية فاعلة وبكلفة متدنية نسبيا ( الكلفة المعقولة لبيئة الرقابة ). وهنا تقع مهمة التدقيق والضوابط الرقابية حيث ينصب التركيز على تفهم المتطلبات والمخاطر وتطبيق آلية ألامان والرقابة والعمليات التدقيقية .


التدقيق التشغيلي
يتضمن التدقيق التشغيلي ( الشامل ) مراجعة الطرق والإجراءات التشغيلية للمنشاة من اجل تحديد كفاءتها وفاعليتها, وذلك من اجل تقديم التوصيات لتحسين الإجراءات. والتدقيق التشغيلي غالبا ما يتضمن مراجعة السياسات في المجالات التي يجب أن تعمل بكفاءة من اجل تلبية أهداف الشركة ( الفاعلية ) وتحقيق الأهداف في أحسن ما يمكن وبالطريقة الأقل هدراً للموارد ( الكفاءة ) .
وحيث يمكن للسياسة أو الإجراء أن يكونا فاعلين وكفؤين , ولكن على مدار المدى الطويل يمكن أن تكون غير اقتصادية, لذا لابد من الأخذ بعين الاعتبار ما إذا كانت المنافع المتعلقة بالسياسة أو الإجراء تزيد عن تكلفتها أم لا .


التدقيق المالي
ان احد الأهداف وراء التدقيق المالي هو مساعدة المدققين الخارجيين عند قيامهم بالتدقيق المالي التقليدي, وينتج عن هذه التدقيقات تقارير تظهر ما إذا كانت المعلومات المالية التاريخية قد عرضت للأطراف الخارجية مثل الدائنين وكذلك الإدارة بعدالة. ويمكن أن تشمل خصائص التدقيقات المالية الاتي :
• أن يكون هدف التدقيق المالي إضافة المصداقية لتمثل الإدارة في القوائم المالية.
• ان المدقق شخص مستقل عن أدارة المنشاة.
• تكوين المدققين لأرائهم على أساس العدالة الشاملة, وذلك وفقا للمبادئ المحاسبية المتعارف عليها والمقبولة قبولا عاما للقوائم المالية، وذلك على أساس الاختيار الاختباري.
• في الوقت الذي يكون فيه المدققين غير متأكدين بشكل قطعي ما إذا كانت القوائم المالية صحيحة, فان التدقيق المالي يمكن أن يقدم تأكيداً معقولا بان القوائم المالية خالية من التحريف المادي .


تدقيق الالتزام ( التطابق )
ان خدمات تدقيق الالتزام تقيس مدى التزام التدقيق ومطابقته مع بعض المعايير الموضوعة مسبقا. وبعض المجالات التي تحتاج فيها تحديد الالتزام والتي يمكن ان تكون بحاجة إلى مراجعة، وتشمل الآتي :
* تحديد الالتزام بالسياسة أو الإجراءات الموضوعة مسبقا من قبل الإدارة.
* تحديد مدى الالتزام بالقوانين والتشريعات.


تقييم ( تقدير ) المخاطر
يعتبر تقدير المخاطر مسالة حساسة للإدارة. وهناك بعض القوانين كما هو الحال في أمريكا تتطلب تقدير سنوي للمخاطر لبعض البنوك، كما أن المبادئ الجيدة للإدارة تشجع ذلك في صناعات وقطاعات أخرى، وأي تهديد لتحقيق استراتجيات وأهداف منظمة الأعمال هو مخاطر للأعمال التجارية. وبينما يمكن تخفيض المخاطر من خلال الضوابط الرقابية، فإنه لا يمكن استبعاد هذه المخاطر بشكل كامل، ولكن مع وجود عملية تقييم فاعلة للمخاطر وضوابط رقابية ذات محتوى اقتصادي بخصوص المخاطر، فإن الإدارة تستطيع أن تحقق مدى مقبول للتعرض للخسارة، وتقييم المخاطر يعتبر مسالة مكملة ومسؤولية مستمرة للإدارة، وذلك بسبب أن الإدارة لا تستطيع وضع أهداف وتفترض سهولة تحقيقها، وعملية تقييم المخاطر يجب أن ينظر إليها من منظور علاقتها بالنسبة للتغير والفرص والأهداف والضوابط الرقابية، وهو التقييم الذي يختبر التهديدات - ليس فقط للأداء المالي والرقابة، ولكن أيضا بالنسبة لاستراتيجيات المنظمة وأهدافها، والمخاطر هي صورة لمرآه الفرصة .


- ويمكن تمييز المخاطر بما يلي:
• المخاطر الإستراتيجية: وهي تلك المخاطر التي تتعلق بعمل الأشياء الخطأ.
• المخاطر التشغيلية: وهي تلك المخاطر التي تتعلق بعمل الأشياء الصحيحة بالطريقة الخطأ.
• المخاطر المالية: وهي تلك المخاطر التي تتعلق بفقدان الموارد المالية أو حدوث التزامات غير مقبولة.
• مخاطر المعلومات: وهي تلك المخاطر التي تتعلق بالمعلومات غير الصحيحة أو غير الملائمة، ونظم ليست ذات مصداقية وتقارير غير صحيحة أو تقارير مضللة .


- وعلى المدققين والضوابط الرقابية المساعدة في الأمور التالية:
• تحديد وتشخيص المخاطر الرئيسية للأعمال: انه من الصعب إنشاء إطار لمخاطر الإعمال والذي ينظم ويعطي الأولوية ويقدم لغة مشتركة للتفكير حول المخاطر ويقدم أيضا هيكلا لجعل إدارة المخاطر عملية مستمرة.
• تقييم اثر واحتمالية المخاطر: أن بعدي المخاطر يتمثلان بأثرهما المحتمل على تحقيق الأهداف واحتمالية حدوثها . وقياسها على الأقل على أساس الخبرة الذاتية .
• التصرف على أساس تقييم مخاطر الأعمال: يمكن تجميع استراتجيات الاستجابة في ثلاث مجموعات عريضة وهي:
* تجنيب المخاطر ( تأثير أعلى ، احتمالية أعلى ).
* تخفيف المخاطر من خلال الأنشطة الرقابية والتامين.
* قبول المخاطر ( تأثير أدنى ، احتمالية أدنى ).
• المراقبة ومقياس الأداء : استخدام التكنولوجيا من اجل المساعدة في تسهيل عملية مخاطر التوثيق والضوابط الرقابية، والالتزام بالضوابط الرقابية الذاتية، وإنتاج تقارير الإدارة .


التحديات الجديدة لمخاطر التدقيق
تفرض نظم معالجة البيانات الحديثة تحديات لمخاطر جديدة لعملية التدقيق, ولما كان من الممكن القيام بتدقيق القوائم المالية بواسطة تقييم ومراقبة الضوابط الرقابية على أساس العمليات والنظم المحاسبية الورقية, فقد تحولت منشآت الأعمال وبدرجة متزايدة نحو العمليات والنظم المحاسبية الالكترونية. وقد قدمت النشرة 94 (SAS 94 ) (Statement of Audit Standards 94) (نشرة معايير التدقيق رقم 94) إرشادا حول كيفية تجميع القرائن الثبوتية الكافية في بيئة العمليات الالكترونية.
إن المستندات المستخرجة من الحاسوب، والإثباتات الالكترونية تختلف عن الإثباتات الورقية
( الأسلوب التقليدي ) من حيث: صعوبة التغيير والتبديل، وكفايتها لإثبات المصداقية، وكمال المستندات، ودليل المصادقات، وسهولة الاستعمال والوضوح.
إن الضوابط الرقابية الداخلية تتأثر بكل من مجلس إدارة المنشأة، والإدارة، وغيرهم من الموظفين من أجل تقديم تأكيد معقول لتحقيق ثلاثة أهداف (1) إبلاغ مالي موثوق به (2) عمليات تشغيلية كفؤة وفاعلة (3) الالتزام والتوافق مع القوانين والتشريعات المطبقة سارية المفعول، وبالإضافة إلى ذلك، فإن الضوابط الرقابية الداخلية حول حماية الأصول ضد الامتلاك غير المصرح به واستخدامها والتخلص منها غالباً ما تشتمل على ضوابط رقابية تتعلق بأهداف الإبلاغ المالي والعمليات التشغيلية.
وتتكون الضوابط الرقابية من خمسة مكونات متداخلة وهي :
1. البيئة الرقابية 2. تقييم المخاطر 3. رقابة الانشطة
4. المعلومات والاتصال 5. المراقبة


تدقيق نظم المعلومات
تتمثل وظيفة تدقيق نظم المعلومات بمراجعة الضوابط الرقابية للادارة المطبقة على الأمان والصحة والموثوقية وفاعلية استخدام موارد تكنولوجيا المعلومات. وهناك خمسة أنواع مختلفة للتدقيق بواسطة تدقيق نظم المعلومات وهي: (1) التطبيق (2) التطوير (3) عمليات الحاسوب (4) الادارة (5) التكنولوجيا.


(1) التطبيق :
إن الهدف من مراجعة التطبيق هو من أجل التأكيد بأن الضوابط الرقابية موجودة لتقديم تأكيد معقول بأن العمليات تامة وصحيحة ومسجلة بشكل صحيح وبالتوقيت المناسب. ومن أجل القيام بذلك يقوم المدقق بمراجعة تطبيقات مدخلات الضوابط الرقابية, والضوابط الرقابية للمعالجة, والضوابط الرقابية للمخرجات, والضوابط الرقابية وحرية الوصول إلى المعلومات.
(2) التطوير :
إن الهدف من مراجعة التطوير هو المساهمة في مشاريع قبل وخلال تنفيذها وذلك لضمان بأن ضوابط رقابية وآمنة قد وضعت في النظام، وأن الاهتمامات قد تم التطرق إليها قبل اكتمال النظام.
(3) العمليات التشغيلية :
يتعلق تدقيق العمليات التشغيلية ببيئة عمليات نظم المعلومات والتي تتعلق بجميع التطبيقات. ويتم ذلك من أجل تقييم البيئة الرقابية الشاملة, حيث أن وجود ضعف رقابي عام يمكن أن يؤثر على جميع التطبيقات.
(4) الادارة:
يركز التدقيق الإداري على تنظيم نظم المعلومات وممارستها الإدارية والتي يمكن أن تؤثر على جميع التطبيقات، ويتم هذا أيضا من أجل تقييم البيئة الرقابية الشاملة.
(5) التكنولوجيا :
إن الهدف من تدقيق التكنولوجيا هو مراجعة تكنولوجيا معينة تستخدم بواسطة نظم المعلومات والتي يمكن استخدامها في تطبيقات متعددة. وهذا الامر يساعد في تقييم البيئة الرقابية الشاملة للتطبيقات.


مراجعة التدقيق الداخلي


يتكون التدقيق الداخلي من خطة التنظيم وجميع الطرق والمقاييس المتبناة داخل منظمة الأعمال من اجل حماية أصولها, وفحص دقة وموثوقية بياناتها المحاسبية وتعزيز الكفاءة التشغيلية, وتشجيع الالتصاق والتقيد بالسياسات الإدارية الموضوعة مسبقا. ويجب أن يأخذ أسلوب التدقيق أهمية نظم المعلومات والهياكل الرقابية .


رقابة التقدير الذاتي
أن المسؤولية الأساسية للضوابط الرقابية المالية والالتزام ينظر إليها على أنها تعود إلى المراقب المالي أو المدققين الخارجيين والداخليين ويعتبر المديرين في بيئة الأعمال مسؤولين عن الاستخدام المناسب للموارد التي أوكلت إليهم والرقابة عليها. وفي اغلب الحالات، يقوم المديرين بمراقبة عملياتهم على أساس يومي، فهم يعرفون عملياتهم بشكل أفضل من أي شخص أخر ويكونوا في وضع أفضل لتقييم المخاطر ومعالجتها بالكلفة الفاعلة بما في ذلك مخاطر الالتزام.


تطبيق وإدارة تكنولوجيا المعلومات في التدقيق
شهدت السنوات الأخيرة من هذا العصر تطورات هائلة ومهمة في عالم تكنولوجيا المعلومات وما نتج عنها من سهولة في تخزين المعلومات، والتعامل معها، حتى أصبحت قواعد البيانات والمكتبات الالكترونية مليئة بكم هائل من المعلومات والبيانات من خلال أجهزة الاتصال المتطورة, الأمر الذي سهل عملية تبادل المعلومات وتوفرها في أي جزء من أجزاء العالم. وإن تطبيق وإدارة تكنولوجيا المعلومات في التدقيق تتمثل بما يلي:
• تطبيق استخدام تكنولوجيا المعلومات.
• تحديد متطلبات وحلول تكنولوجيا المعلومات.
• تطبيق الاستخدام الفعلي لتكنولوجيا المعلومات.
1. تزويد التدريب الفاعل.
2. تزويد الدعم الفاعل.
3. رسم الخطط لتخفيض مقاومة الابتكار.
• تحديد نجاح استخدام تكنولوجيا المعلومات.
1. الإجراءات التصحيحية .
2. معايير القياس.
• إدارة استخدام تكنولوجيا المعلومات .
1. نتائج صحيحة .
2. رقابة المنافذ للمعلومات.
3. الاستقلالية والأمان.
4. الكفاءة.
5. التعاون بين موظفي نظم المعلومات.
• التخطيط من اجل استخدام تكنولوجيا المعلومات للقيام بعملية التدقيق.


الأدوات والأساليب الفنية المحو سبة للقيام بالتدقيق
يمكن تلخيص الأدوات والأساليب الفنية المحو سبة من اجل مراجعة التطبيق وبيانات نظم الأعمال بما يلي :
• استرجاع وتحليل البرامج.
• اختبار وفحص الأساليب الفنية للعمليات.
• تطبيقات فنية آخرى.
 وفيما يلي ملخصا للخطوات اللازمة لتطوير الأساليب الفنية المحوسبة للتدقيق :
• تطوير أسلوب فني محوسب للتدقيق .
• تحديد الجدوى .
• التخطيط.
• التصميم.
• الترميز والفحص .
• التطبيق .
• المتابعة.
 تتلخص اعتبارات التدقيق في النقاط الأربع التالية :
1. سلامة وأمان النظام .
2. المسؤولية والكفاءة والفاعلية .
3. الإجراءات الرقابية بالنسبة للتغير في نظام البرمجيات .
4. التخطيط للطوارئ وإرجاع الأمور إلى طبيعتها.




المخاطر والضوابط الرقابية
من أجل تقييم الضوابط الرقابية الداخلية بشكل فاعل من أجل هدف تخفيض قرائن التدقيق المخططة، يجب على المدققين تفهم مفاهيم الرقابة الداخلية الرئيسية ورقابة المخاطر. وفيما يلي البيانات المرتبطة بالمخاطر :
• تصميم غير فاعل .
• تكرار للبيانات.
• تصميم غير كفء .
• علاقات تعريفات غير صحيحية .
• بيانات غير متسقة.
• نقص الوضوح أو التعريفات .
• نقص سلامة وصحة البيانات .
• نقص الملكية المناسبة .
 أما الضوابط الرقابية المرتبطة بالبيانات فإنها تتلخص بما يلي :
• الضوابط الرقابية لقاعدة البيانات والملفات .
• قواعد التحرير والإثبات.
• ملكية البيانات والمسؤولية .
• اختبارات الأمانة والكمال .
 المخاطر المرتبطة بعملية قاعدة البيانات
• أداء غير كف أو فاعل .
• الفشل في رقابة التحديث المتزامن .
• الفشل في المحافظة على الأمانة المرجعية .
• الدخول غير المصرح به للبيانات .
• عدم القدرة على الاستعادة .
• نقص المسؤولية أو التتبع .
 الضوابط الرقابية وعملية قاعدة البيانات المرتبطة بها :
• فصل الواجبات .
• صور الأمان للدخول إلى المعلومات .
• التغيير في الإجراءات الرقابية .
• نسخ ثنائية للبيانات .
• اختبارات الاعتمادية.
• تتبع اثر الأحداث.
• تصليح وإعادة تنظيم قاعدة البيانات .
 وتطبق في هذه الحالة الأساليب الفنية للتدقيق وتتمثل بما يلي :
• استخدام نظام إدارة قاعدة البيانات وأدوات التدقيق.
• تدقيق الأساليب التقنية للبرمجيات .
• مراجعة التحويل إلى امتيازات قاعدة البيانات.
• التحقق من صحة المحتوى .
• مراجعة الإجراءات التشغيلية لتدقيق قاعدة البيانات .
• مراجعة مخططات فشل قاعدة البيانات وإجراءات الاستعادة.
• مراجعة منهج التطوير والصيانة.
• مراجعة ملاءمة الضوابط الرقابية الداخلية .
• تحديد ما إذا كانت حاجات المستخدم قد تمت تلبيتها .
• فحص التطابق والالتزام بعملية تطوير النظم.
• فحص التطابق والالتزام بمعايير النظم والبرمجة.
• تقديم المشورة حول أساليب الرقابة .
• تحديد المتطلبات لمعايير النظم والبرمجة .
• تقييم عملية تطوير النظم الشاملة .
• دراسة مدى ارتباط التدقيق الداخلي في تطوير النظم وصيانتها.