الضوابط الرقابية والتدقيق الداخلي في بيئة تكنولوجيا المعلومات( الجزء الثانى )


النشرات المتعلقة بتحسين الرقابة الداخلية والابلاغ عنها
لقد تزايد الاهتمام المخصص للرقابة الداخلية من قبل المدققيين أو المديرين، والمحاسبين والمشرعين، وقد صدرت في الولايات الامريكية خمس وثائق حديثة كانت نتيجة الجهود المستمرة من أجل تعريف، وتقييم، وتحسين الرقابة الداخلية والابلاغ عنها وهي :


1- The Information System Audit and Control Foundation's COBIT
( Control Objectives for Information Technology ) .
منظمة الرقابة والتدقيق المتعلقة بنظام المعلومات (أهداف الرقابة وتكنولوجيا المعلومات) .




2- The Institute of Internal Auditors Research Foundation's Systems Auditability and Control ( SAC ) .
رقابة وتدقيق الأنظمة الخاص بقسم الأبحاث التابعة لمعهد المدققين الداخليين الأمريكي.


3- The Committee of Sponsoring Organizations of the treadway Commission's Internal Control – Integrated Framework ( COSO ) .
لجنة المنظمات الراعية لإطار الرقابة الداخلية المتكامل التابع للجنة تريدوي .


4- The American Institute of Certified Public Accountant's Consideration of the Internal Control Structure in a Financial Statement Audit ( SAS 55) , as Amended by Consideration of Internal Control in a Financial Statement Audit : Amendment to SAS 55 ( SAS 78 ) .
دراسة هيكلة الرقابة الداخلية عند تدقيق القوائم المالية (المعهد الأمريكي للمحاسبين القانونيين) معيار التدقيق رقم 55 كما هو معدل بدراسة هيكلة الرقابة الداخلية عند تدقيق القوائم المالية تعديل المعيار 55 ( 78) .


وفيما يلي عرض موجز لهذه النشرات:


أولاً: تقرير COBIT


لقد كيفت وثيقة (COBIT) تعريفها للرقابة من الوثيقة (COSO) على أن السياسات، والاجراءات، والممارسات، والهياكل التنظيمية تُصمم لتزويد تأكيد معقول بأن أهداف منظمة الأعمال سوف تتحقق، وأن الأهداف غير المرغوب فيها سوف تمنع أو تكتشف ومن ثمّ تصحح.
أما بالنسبة لمصادر تكنولوجيا المعلومات فقد صنفت (COBIT) مصادر تكنولوجيا المعلومات على أنها البيانات، وتطبيق النظم، والتكنولوجيا، والإمكانيات التسهيلية، والاشخاص. وقد عرفت البيانات في مفهومها الواسع بأنها لا تحتوي فقط على الاعداد والمراجع والتواريخ ولكن أيضاً على الاشياء مثل الرسوم البيانية والصوت.
ومن أجل تحقيق أهداف المنظمة، تحتاج المعلومات أن تتطابق مع معايير معينة والتي ذكرتها (COBIT) على أنها متطلبات المنظمة من المعلومات، وهي الجودة ومسؤولية الائتمان والأمان. ومن هذه المتطلبات الواسعة استخرج التقرير سبع مجموعات متداخلة للمعايير لغرض تقييم مدى درجة تلبية مصادر تكنولوجيا المعلومات لمتطلبات المنظمة من المعلومات. وتتلخص هذه المعايير بالفاعلية، والكفاءة، والسرية، والكمال، والوجود، والالتزام والتطابق، وموثوقية المعلومات. كما صنفت الوثيقة عمليات تكنولوجيا المعلومات في اربعة مجالات وهي (1) التخطيط والتنظيم (2) الامتلاك والتنفيذ (3) التسليم والمساندة (4) المراقبة.
وقد اشتملت وثيقة (COBIT) على تعاريف لكل من أهدف الرقابة الداخلية و تكنولوجيا المعلومات. وذلك ضمن أربعة مجالات للعمليات، و 32 بيان رقابي عالي المستوى لهذه العمليات، و 271 هدف رقابي ذكر في هذه العمليات الاثنين والثلاثين، وإرشادات تدقيق ربطت مع الاهداف الرقابية.


ثانياً: تقرير SAC


لقد عرف تقرير ( SAC ) نظام الرقابة الداخلية ووصف مكوناته، وقدم عدة تصنيفات للضوابط الرقابية، كما وصف أهداف الرقابة والمخاطر، وعرف دور المدقق الداخلي. وقد قدم التقرير ارشاداً بالنسبة للاستخدام، والمعالجة، وحماية مصادر تكنولوجيا المعلومات، كما ناقش أثار الاحتساب من قبل المستخدم النهائي، والاتصالات والتكنولوجيا الجديدة. وقد عرف التقرير نظام الرقابة الداخلية على أنه " مجموعة من العمليات والوظائف، والأنشطة، والنظم الفرعية، والأشخاص الذين اجتمعوا معاً أو تم فصلهم من أجل ضمان تحقيق الاغراض والاهداف. وقد ركز التقرير على دور وأثر نظم المعلومات المحوسبة على نظام الضوابط الرقابية الداخلية. وقد ركز على الحاجة الى تقييم المخاطر، والأخذ بعين الاعتبار التكاليف والمنافع، وبناء ضوابط رقابية في النظم بدلاً من إضافتها بعد التطبيق. وبموجب (1) بيئة الرقابة (2) النظم اليدوية والمؤتمتة (3) الاجراءات الرقابية. وتشمل بيئة الرقابة على الهيكل التنظيمي، واطار الرقابة، والسياسات والاجراءات، والتأيرات الخارجية. وتتكون النظم المؤتمتة من نظم وتطبيقات البرمجيات (Software) ، وقد قدم التقرير خمس خطط تصنيفية للضوابط الرقابية الداخلية في نظم المعلومات: (1) المانعة والكاشفة والمصححة (2) الاختيارية وغير الاختيارية (3) التطوعية والاجبارية (4) اليدوية والمؤتمتة و (5) التطبيق والضوابط الرقابية العامة. تركز هذه الخطط على متى تطبق الرقابة، وما اذا كان بالإمكان تخطي الرقابة في البرمجيات. أما بالنسبة لاهداف الرقابة والمخاطر، فان المخاطر تشتمل على الاحتيال والاخطاء والاختلالات في الاعمال، والاستخدام غير الكفء والفاعل للموارد. فالاهداف الرقابية تخفض من هذه المخاطر وتضمن وتأكد تمام وسلامة المعلومات والتزامها بالقوانين الرقابية بالنسبة للمدخلات والعمليات التشغيلية والمخرجات والبرمجيات. أما مقاييس الأمان فتشمل الضوابط الرقابية للبيانات والأمور المتعلقة بالالتزام والتطابق والتوافق مع القوانين والتشريعات، والمعايير المحاسبية ومعايير التدقيق، والسياسات والاجراءات الداخلية.
أما بالنسبة لدور ومسؤوليات المدققين الداخليين فتشمل ضمان وتأكيد ملاءمة نظام الرقابة الداخلية، ومصداقية البيانات، والاستخدام الكفؤ لموارد المنظمة. كما أن المدققين الداخليين مهتمين أيضاً بمنع واكتشاف الغش والاحتيال، وتنسيق الانشطة مع المدقيين الخارجيين. ان تكامل مهارات التدقيق ونظام المعلومات، وتفهم تأثير تكنولوجيا المعلومات على عملية التدقيق مسألة ضرورية بالنسبة للمدقيين الخارجيين. فهؤلاء المهنيون يؤدون الآن عمليات التدقيق المالي والتشغيلي ونظم المعلومات.


ثالثاً: تقرير ( COSO )


عرّف تقرير ( COSO ) الرقابة الداخلية ووصف مكوناته وقدم المعايير التي يمكن تقييم النظم الرقابية على أساسها. وقد عرض التقرير ارشاداً للتقرير العام عن الرقابة الداخلية، كما قدم المواد التي يمكن ان يستخدمها كل من الادارة والمدققين وغيرهم من أجل تقييم نظام الرقابة الداخلية. وكان الهدفين الرئيسيين للتقرير هما (1) انشاء تعريف عام للرقابة الداخلية والذي يخدم العديد من الاطراف و (2) تقديم معيار والذي على اساسه تستطيع المنظمات تقييم نظمها الرقابية، وتحديد الكيفية التي يمكن بها تحسين هذه النظم.
وقد عرّف تقرير ( COSO ) الرقابة الداخلية على أنها " عملية تتأثر من قبل أعضاء مجلس ادارة الشركة، والادارة، وغيرهم من المستخدمين، مصممة لتزويد تأكيد معقول بالنسبة لتحقيق أهداف في المجالات التالية :
 كفاءة وفاعلية العمليات التشغيلية.
 موثوقية الابلاغ المالي.
 الالتزام بالقوانين والتشريعات المطبقة.
أما بالنسبة لنظام الرقابة الداخلية فإنه يتكون من خمسة مكونات متداخلة مع بعضها البعض وهي : (1) بيئة الرقابة (2) تقييم المخاطر (3) الانشطة الرقابية (4) المعلومات والاتصالات و (5) المراقبة.
وتزود بيئة الرقابة الاساس للمكونات الاخرى، فهي تضم عوامل مثل فلسفة الادارة، واسلوب التشغيل، وسياسات وممارسات الموارد البشرية، وامانة واستقامة الموظفين وقيمهم الاخلاقية، والهيكل التنظيمي، واهتمام وتوجيه مجلس الادارة. فمثلاً، يمكن تقييم فلسفة الادارة واسلوب تشغيلها عن طريق فحص طبيعة مخاطر الاعمال التي تقبلها الادارة، وتكرار تداخلها مع المساعدين، وموقفهم تجاه الابلاغ المالي.
ويتكون تقييم المخاطر من تشخيص المخاطر وتحليلها، حيث يتضمن تشخيص المخاطر فحص العوامل الخارجية مثل التطورات التكنولوجية، والمنافسة، والتغيرات الاقتصادية، وعوامل داخلية مثل نوعية وجودة المستخدمين، وطبيعة أنشطة المنشأة، وخصائص عملية معالجة نظام المعلومات. ويتضمن تحليل المخاطروتقدير احتمالية حدوثها، والأخذ بعين الاعتبار كيفية معالجة المخاطر.
تتألف أنشطة الرقابة من السياسات والاجراءات التي تضمن قيام الموظفين بتنفيذ توجيهات الادارة. وتتضمن انشطة الرقابة مراجعات نظام الرقابة، والضوابط الرقابية لنظم المعلومات، وتشتمل الضوابط الرقابية التطبيقية. والضوابط الرقابية العامة هي تلك التي تغطي تصريح الدخول، والبرمجيات، وتطوير النظام. والضوابط الرقابية التطبيقية هي التي تمنع دخول الاخطاء في النظام، أو اكتشاف وتصحيح الاخطاء الموجودة في النظام.
تقوم الادارة بمراقبة نظام الرقابةعن طريق مراجعة المخرجات المتولدة عن أنشطة الرقابة العادية، والقيام بتقييمات خاصة. وتشمل انشطة الرقابة العادية مقارنة الاصول المادية مع البيانات المسجلة، وورش التدريب، والاختبارات من قبل المدققين الداخليين والخارجيين، وعادة ما يتم الابلاغ عن العيوب وأوجه التقصير التي يتم اكتشافها خلال انشطة الرقابة العادية الى المشرف المسؤول، بينما العيوب واوجه التقصير التي يتم اكتشافها خلال التقييمات الخاصة عادة يتم ايصالها الى مستويات ادارية أعلى في المنظمة. وقد عرف تقرير (COSO) العيوب واوجه التقصير على أنها " تلك الحالات التي تكون داخل نظام الرقابة الداخلية والتي تستحق الاهتمام.


رابعاً: النشرات المتعلقة بمعايير التدقيق ( SASs 55 and 78 )


لقد عرفت كل من النشرات ( SASs 55 and 78) الرقابة الداخلية، ووضعتا مكوناتها، وقدمتا ارشاداً حول تأثير الضوابط الرقابية عند تخطيط واداء تدقيق القوائم المالية. وقد استبدلت النشرة ( SASs 78 ) تعريف هيكل الرقابة الداخلية المذكورة في النشرة (SASs 55 ) بذلك التعريف للرقابة الداخلية الوارد في النشرة ( COSO) ما عدا تركيزها (SASs 78) على الموثوقية بالنسبة لهدف الابلاغ المالي بوضعه الحالي أولاً. أي ان (78SASs) قد عرفت الرقابة الداخلية على أنها " عملية تتأثر بمجلس ادارة الشركة، والادارة، وغيرهم من المستخدمين، مصممة لتزويد تأكيد معقول بخصوص تحقيق أهداف المجالات التالية :
1. موثوقية الابلاغ المالي.
2. كفاءة وفاعلية العمليات التشغيلية.
3. الالتزام بالقوانين والتشريعات المطبقة.
وبالرغم من احتفاظ النشرة ( SASs 78 ) بالاهداف التشغيلية والالتزام بالقوانين والتشريعات سارية المفعول في تعريفها للرقابة الداخلية، فإن كل من النشرات (SASs 55 and 78) ركزت على الضوابط الرقابية التي تؤثر على فحص موثوقية الابلاغ المالي للمنشأة. كما ان النشرة (SAS 78) استبدلت العناصر الثلاثة لهيكل الرقابة الداخلية الموجودة في النشرة (SASs 55) وهي بيئة الرقابة، والنظام المحاسبي، واجراءات الرقابة بالخمسة مكونات لنظام الرقابة الداخلية المعروضة في نشرة (COSO) وهي : بيئة الرقابة، وتقييم المخاطر، وانشطة الرقابة، والمعلومات، والاتصالات، والمراقبة.
تتطلب كل من النشرتين (SASs 55 / 78 ) من المدقق الخارجي القيام بتأدية اجراءات من أجل الحصول على تفهم كافٍ لكلِ من المكونات الخمسة للتخطيط لعملية التدقيق. أي أنه يجب على المدقق الخارجي تفهم تصميم سياسات واجراءات المنشأة، وما اذا كان هذا التصميم قد وضع في حيز التنفيذ. ولما كان المدققون الخارجيون يقومون بتأدية خدمة عند تقديم رأيهم حول القوائم المالية والتي تغطي فترة من الزمن، فأنهم يكونوا مهتمين في الضوابط الرقابية التي تؤثر في الحصول ومعالجة المعلومات المالية لكامل الفترة. ويجب على المدققين الخارجيين الإبلاغ عن أية عيوب أو تقصير مهمة للرقابة الداخلية والتي يمكن أن تؤثر على الابلاغ المالي للجنة التدقيق ( SASs 60, AICPA, 1988 ) .


المقارنة بين النشرات المتعلقة بالرقابة الداخلية وتكنولوجيا المعلومات في كل من ( COBIT, SAC, COSO and SASs 55 / 78 )


 لقد عرفت كل من النشرات اعلاه الرقابة الداخلية، ووصفت مكوناتها، وقدمت أدوات التقييم.
 اقترحت كل من النشرات ( SAC , COSO and SASs 55 / 78 ) طرق للابلاغ عن مشاكل الرقابة الداخلية.
 اضافة الى ذلك فقد قدمت النشرة (COBIT) إطاراً شاملاً يسهل تحليل وايصال مواضيع الرقابة الداخلية.
 بالنسبة للتعاريف، فان الخمسة تعاريف للرقابة الداخلية تحتوي اساساً نفس المفاهيم أو المبادئ، ولكن التأكيد كان مختلفاً بعض الشيء . حيث ان (COBIT) تعتبر الرقابة الداخلية على أنها العملية التي تتضمن السياسات، والاجراءات، والممارسات، ، والهياكل التنظيمية التي تساند أهداف وعمليات المنشأة التشغيلية.
 بينما (SAC) ركزت على ان الرقابة الداخلية هي نظام، أي ان الرقابة الداخلية هي عبارة عن مجموعة وظائف، ونظم فرعية ( ثانوية) وأشخاص وعلاقاتهم المتداخلة.
 أما (COSO) فقد اعتبرت الرقابة الداخلية على انها عملية، أي أن الرقابة الداخلية يجب ان تكون جزءاً متكاملاً في انشطة اعمال المنشأة المستمرة.
 يعتبر الاشخاص جزءاً من نظام الرقابة الداخلية. وقد صنفت (COBIT) الناس بتعريفها لهم كمهارات الموظفين، والوعي والانتاجية للتخطيط، والتنظيم، والامتلاك، والتسليم، والمساندة، ومراقبة نظم المعلومات والخدمات، على أنها احد المصادر الاساسية التي تعالج وتدار بواسطة عمليات تكنولوجيا المعلومات.
 لقد شخصت (SAC) الناس بشكل واضح على انهم جزءاً مكملاً لنظام الرقابة الداخلية. بينما اظهرت كل من ( COSO and SASs 55 and 78 ) بأن الناس المتعاملين مع الرقابة الداخلية هم اعضاء مجلس الادارة، وغيرهم من مستخدمي المنشأة. وقد وافقت النشرات الاربعة على ان الادارة هي الجهة المسؤولة عن تكوين ومراقبة نظام الرقابة الداخلية والمحافظة عليه.
 لقد أكدت النشرات الاربعة على مفهوم التأكيد المعقول كما يتعلق بالرقابة الداخلية. وان الرقابة الداخلية تصمم من اجل تزويد الادارة بتأكيد معقول بخصوص تحقيق اهدافها. كما ان النشرات اعترفت ايضأ بأن هناك محددات مستأصلة (موروثة) بالنسبة للرقابة الداخلية، وبسبب اعتبارات التكلفة / المنفعة، فأنه ليس من الممكن تطبيق جميع الضوابط الرقابية الممكنة.
لقد افترضت النشرات السابقة عند عرضها لتعريف الرقابة الداخلية بأن المنشأة قد وضعت أهدافها بخصوص عملياتها التشغيلية. فنشرة (COBIT ) مثلاً قد افترضت بان هذه الاهداف يتم مساندتها بالعمليات التجارية. وبالتالي، فإن هذه العمليات يتم مساندتها بالمعلومات من خلال استخدام مصادر تكنولوجيا المعلومات، ويمكن تلبية متطلبات الاعمال من هذه المعلومات فقط من خلال مقاييس رقابية مناسبة. وبينت النشرة (SAC) بان تحقيق اهداف المنشأة يجب ان يتم بفاعلية، واكدت على ان هذه الاهداف يجب ترجمتها الى اهداف قابلة للقياس. كما ان النشرة (COSO) قد صنفت الاهداف على انها تشغيلية، وابلاغ مالي، والتزام بالقوانين والتشريعات المظبقة. بينما نجد كل من النشرتين (SAC) و (COSO) تهتمان بالأهداف الواردة في الثلاثة مجموعات، في الوقت الذي قيدت كل من (SASs 55 and 78) اهتماماتها بشكل أساسي بأهداف الإبلاغ المالي.


نظم المعلومات والاتصالات


تختلف كل من النشرات ( COBIT, SAC, COSO, and SASs 55 / 78 ) بالنسبة لتركيزهم وعمق معالجتهم لنظم المعلومات. حيث ان التركيز لنشرة (COBIT) كان على انشاء اطار مرجعي للامان والرقابة في تكنولوجيا المعلومات، وحددت الربط الواضح بين الضوابط الرقابية لنظم المعلومات واهداف المنظمة. إضافة لذلك، قدمت النشرة أهداف رقابية عالمية موثوقة لكل عملية لتكنولوجيا المعلومات والتي تعطي ارشادا رقابياً لجميع الاطراف المهتمة. كما زودت النشرة وسيلة لتسهيل الاتصالات بين الادارة، والمستخدمين للمعلومات، والمدققين بخصوص الضوابط الرقابية لنظم المعلومات.
أما النشرة ( SAC ) فقد ركزت على نظم المعلومات المؤتمتة، وقد فحصت النشرة العلاقات المتداخلة بين الرقابة الداخلية، ونظم البرمجيات، ونظم التطبيق، والمستخدم الأخير، ونظم الأقسام.
وناقشت النشرة ( COSO ) كل من المعلومات والاتصالات، وفي مناقشة المعلومات، راجعت ( COSO ) الحاجة الى الحصول على معلومات داخلية وخارجية ذات علاقة، وامكانية وجود نظم استراتيجية ومتكاملة، والحاجة الى جودة البيانات.
أما ( SAS 55 ) كما الحق بها ( SAS 78 ) فكانت اكثر اختصاراً من الوثائق الأخرى، وقد وضعت أهداف النظام المحاسبي ولخصت المادة الواردة في نشرة ( COSO ) .


تقييم المخاطر


لقد شخصت النشرات ( COSO and SAS 78 ) تقييم المخاطر على انه احد المكونات الهامة للرقابة الداخلية. كما شخصت (COBIT) العملية داخل بيئة تكنولوجيا المعلومات على أنها تقييماً للمخاطر، وبالرغم من أن تقييم المخاطر لم يعتبر كأحد المكونات الواضحة لنظام الرقابة الداخلية وفقـاً لنظام النشرة ( SAC )، فإن النشرة تتضمن مناقشات واسـعة، وقد صنفـت
(SASs 55 / 78) المخاطر الى مخاطر مستأصلة (موروثة)، ومخاطر رقابة، ومخاطر اكتشاف. ويتفهم المدققون الخارجيون ويفحصون ويقيمون الضوابط الرقابية المتعلقة بالتحريف المادي (الهام) في القوائم المالية، مثال ذلك، تلك المتصلة بمخاطر الفشل في تحقيق اهداف الابلاغ المالي.
وبالنسبة للنشرة (COBIT) فقد تعرضت وبعمق للعديد من مكونات تقييم المخاطر في بيئة تكنولوجيا المعلومات، والتي تضمنت تقييم مخاطر الاعمال، واسلوب تقييم المخاطر، وتشخيص وتحديد المخاطر، وقياس المخاطر، وعمل خطة المخاطر، والمخاطر المقبولة، فهي تتعامل مباشرة مع انواع مخاطر تكنولوجيا المعلومات مثل التكنولوجيا، والامان، ومخاطر الاستمرارية والتنظيمية.
أما مفاهيم المخاطر المقدمة في (SAC) و (COSO) فهي متشابهة. وبالاضافة الى الفشل في تحقيق اهداف الإبلاغ المالي، فقد تعرضت كل من (SAC) و (COSO) إلى مخاطر الفشل في تحقيق الالتزام، وعلى وجه الخصوص الاهداف التشغيلية. وقد ناقشت (COSO) تحديد المخاطر الداخلية والخارجية بالنسبة للمنشأة ككل وأيضاً للأنشطة الافرادية. كما اعتبرت (COSO) أيضاً تحليل الادارة للمخاطر: تقييم أهمية المخاطر، وتقييم احتمالية حدوثها، والأخذ بالاعتبار كيفية ادارة المخاطر. أما النشرة (SAC) فقد اختبرت المخاطر بالنسبة لنظام المعلومات المؤتمت، وقدمت تحليلاً تفصيلياً لمخاطر نظم المعلومات، واستكشفت الكيفية التي يمكن بها تخفيف كل من هذه المخاطر. كما أكدت كل من (SAC) و (COSO) على اعتبارات التكلفة / المنفعة، والحاجة إلى إقامة علاقة متبادلة بين اهداف المنشأة والضوابط الرقابية، والطبيعة المستمرة لتشخيص وتقييم المخاطر، وقدرة الادارة على تعديل نظام الرقابة الداخلية للمنشأة.
أما بالنسبة لكل من (SASs 55 / 78) فقد ذكرت القليل حول المخاطر التشغيلية أو مخاطر الالتزام. كما صنفت المخاطر الى مخاطر مستأصلة (موروثة)، ومخاطر الاكتشاف، ومخاطر الرقابة. وبسبب ان المدققين الخارجيين لا يستطيعوا تغيير الضوابط الرقابية الداخلية، فإنهم يقوموا بتعديل مخاطر الاكتشاف المقبولة بشكل عكسي لتقييمهم لمخاطر الرقابة.
تعتبر النشرة COBIT (1996) إطاراً يقدم أداة للعمليات التجارية للملاك وذلك من أجل تحرير مسؤولياتهم الرقابية بالنسبة لنظم المعلومات بكفاءة وفاعلية. كما ان النشرة (1991) SAC والمعدلة عام 1999 تعرض المساعدة للمدققين الداخليين بالنسبة لرقابة وتدقيق نظم وتكنولوجيا المعلومات. وأعطت النشرة (1992) COSO توصيات للإدارة عن كيفية تقييم وتحسين النظم الرقابية والتقريرعنها. أما النشرتين ( 1988 ) SAS 55 و (1995 ) SAS 78 فقد قدمتا ارشادات وتوجيهات للمدققين الخارجيين بخصوص تأثير الرقابة الداخلية على تخطيط وأداء عملية التدقيق على القوائم المالية للمنظمة.
وبسبب قيام أطراف وجهات مختلفة بانشاء الوثائق المتعلقة بدراسة احتياجات الاطراف المهتمة بهم، لذا فإن بعض الاختلافات قد توجد بينهم. وبغض النظر عن ذلك، فإن كل وثيقة ركزت على الرقابة الداخلية لكل طرف. مثال ذلك، المدققين الداخليين والادارة، والمدقيين الخارجيين، كما أنها قد خصصت وقتاً وجهداً كبيرين نحو انشاء او تقييم الضوابط الرقابية الداخلية.
ونتيجة لذلك، فإن مقارنة مفاهيم الرقابة الداخلية المعروضة في هذه الوثائق ذات مصلحة للأطراف الثلاثة ( المدققون الداخليون، والإدارة، والمدققين الخارجين ) .
بمقارنة الوثائق الخمسة نجد أن كل منها مبنية على اساس المساهمات المقدمة من الوثائق السابقة. فمثلاً، (COBIT) تحتوي كجزء من وثائقها المصدرية ما جاء في كل من (COSO) و (SAC). وأخذت تعريفها للرقابة من (COSO) وتعريفها لاهداف الرقابة لتكنولوجيا المعلومات من (SAC) . كما أن (SAC) تحتوي على مفاهيم الرقابة الداخلية المكونة في (SAS 55)، و (COSO) تستخدم مفاهيم الرقابة الداخلية الموجودة في كل من (SAS 55) و (SAC)، كما أن (SAS 78) جاءت ملحقاً لـ (SAS 55) من أجل أن تعكس المساهمات لمفاهيم الرقابة الداخلية من قبل (COSO) .
والجدول التالي يبين المقارنة بين المواضيع الرئيسية المعروضة في الوثائق السابقة، حيث أدمجت الوثائق ( SASs 55 / 78 ) مع بعضها البعض .