دراسة مقارنة لبعض معايير المراجعة ذات الصلة بتكنولوجيا المعلومات
تمهيد :
"أدى النمو المتزايد فى قدرات تكنولوجيا المعلومات ورغبة منشآت الأعمال بكافة أحجامها فى الحصول على ميزة تنافسية إلى زيادة استخدام تكنولوجيا المعلومات فى تشغيل وتخزين وتوصيل المعلومات إلى مستخدميها، كما أن العاملين على كافة المستويات يستخدمون أنظمة تكنولوجيا المعلومات فى أنشطتهم اليومية وإحلال السجلات الإلكترونية محل المستندات الورقية التقليدية وهو ما يفسر الزيادة المضطردة فى الإنفاق على تكنولوجيا المعلومات" ([1])، حيث أصبح استخدام تكنولوجيا المعلومات من الأدوات الهامة لمساعدة الإدارة فى اتخاذ القرارات المناسبة فى الوقت المناسب كما أصبحت هذه التكنولوجيا وسيلة لاستمرار المنشآت ولزيادة قدرتها التنافسية0
وعلى الرغم من أن تكنولوجيا المعلومات تتيح العديد من الفرص والامتيازات والمزايا فى مجال تشغيل البيانات والمعلومات المحاسبية إلا أنها طرحت العديد من التحديات والمخاطر التى لم تكن معروفة من قبل ومشاكل يصعب حلها فرضت على مهنة المراجعة وعلى العاملين بها والقائمين على إدارتها والمنظمات المهنية التى تنظم العمل بها وواضعى المعايير ضرورة إيجاد حلول ووسائل مبتكرة لمواجهة المشاكل والمخاطر التى صاحبت تكنولوجيا المعلومات فى عملية المراجعة.
و يؤكد إحدى الباحثين على "أن استخدام نظم المعلومات المحاسبية الإلكترونية أدى إلى التأثير على معيار دراسة وتقييم الرقابة الداخلية وبالتبعية التأثير على المخاطر المرتبطة بهيكل الرقابة الداخلية، نتيجة تعقد نظام المعلومات المحاسبى الإلكترونى وتعقد هيكل الرقابة الداخلية المتعلق به"([2])، وعلى ذلك اتجهت العديد من المنظمات المهنية إلى إصدار معايير وإيضاحات إضافية غرضها مساعدة المراجعين على تقدير خطر المراجعة وتقييم نظم الرقابة الداخلية عن طريق وصف بيئة تكنولوجيا المعلومات ووصف آثارها على النظام المحاسبى ونظم الرقابة الداخلية ذات الصلة وعلى إجراءات المراجعة0
وعلى ضوء ما تقدم يقوم الباحث بعرض تحليلى لكل من معايير المراجعة وإيضاحاتها المرتبطة بإيضاح وتفسير بيئة تكنولوجيا المعلومات لمساعدة المراجعين على تقدير مخاطر هذه البيئة وتقييم نظام رقابتها وذلك من خلال المباحث التالية :-
المبحث الأول :- الاتحاد الدولى للمحاسبين ومعايير تكنولوجيا المعلومات .
المبحث الثانى :- مجلس معايير المراجعة الاسترالى ومعايير تكنولوجيا المعلومات . المبحث الثالث :- بيئة المراجعة المصرية ومعايير تكنولوجيا المعلومات .
المبحث الأول
الاتحاد الدولى للمحاسبين ومعايير تكنولوجيا المعلومات .
أصدر الاتحاد الدولى للمحاسبين مجموعة من المعايير والإيضاحات لمساعدة المراجع على حل مشاكل تكنولوجيا المعلومات ، وتوضيح أثر هذه التكنولوجيا على الإجراءات المتبعة للحصول على الفهم الكافى للنظام المحاسبى ، وعلى فهم بيئة تكنولوجيا المعلومات ولسهولة التعامل مع أنظمتها المحاسبية والحد من مخاطرها وأثرها على هيكل الرقابة الداخلية والأنظمة المرتبطة به، ويمكن تقسيم هذه المعايير الى قسمين هما :-
القسم الأول :- معايير خاصة ببيئة تكنولوجيا المعلومات
أ- المعيار رقم 401 المراجعة فى بيئة معلومات الحاسب الإلكترونى :-
وهدفه توفير إرشادات عن الإجراءات التى يتعين إتباعها عندما يتم أداء عملية المراجعة فى ظل بيئة تكنولوجيا المعلومات الخاصة بالحاسب الالكترونى .
خصائص الرقابة الداخلية فى بيئة معلومات الحاسب الالكترونى :
تناولت الفقرة (7) من المعيار رقم 401 خصائص الرقابة الداخلية فى ظل هذه البيئة وهى :
· نقص فى مسار العملية المالية ونقص الفصل بين الواجبات وتشغيل نمطى للمعاملات0
· احتمال وجود أخطاء أو مخالفات : حيث أن احتمال تغيير البيانات بدون دليل مرئى قد يكون أكبر فى ظل نظم تكنولوجيا المعلومات ، بالإضافة إلى تخفيض العنصر البشرى فى ظل هذه النظم يمكن أن يؤدى إلى تخفيض احتمال ملاحظة الأخطاء والمخالفات0
· الاعتماد على النظم الرقابية الأخرى من خلال تشغيل الحاسب حيث أن الفعالية ،والتشغيل المتسق للنظم الرقابية على تشغيل ومعالجة المعاملات يعتمد غالباً على فعالية النظم الرقابية العامة على نظم المعلومات الإلكترونية0
· أهمية الإشراف الإدارى المتزايد وأهمية استخدام أساليب المراجعة بمساعدة الحاسب0
مخاطر المراجعة فى بيئة معلومات الحاسب الالكترونى :
تناولت الفقرتان (9&10) من المعيار رقم 401 أنه عندما تنشأ تكنولوجيا جديدة لنظم المعلومات الإلكترونية غالباً ما يتم استخدامها عن طريق عملاء لبناء نظم الكترونية معقدة بشكل متزايد، تلك النظم تزيد من درجة التعقيد الشاملة لنظم المعلومات الإلكترونية ونتيجة لذلك فإنها تزيد من المخاطر الكلية للمراجعة ومن ثم تتطلب دراسة إضافية0
كما قد يكون لكل من المخاطر الحتمية ،ومخاطر الرقابة فى ظل تلك البيئة أثر عام منتشر وأثر محدد بحساب معين على احتمال حدوث تحريف جوهرى على النحو التالى :
· قد تنتج المخاطر من قصور فى أنشطة تشغيل نظم المعلومات الإلكترونية مثل تطوير وصيانة النظام، دعم برامج النظم، أمن نظام المعلومات 000 ،ويكون لهذه القصور أثر منتشر عام على كافة نظم التطبيقات التى يتم معالجتها0
· قد تزيد المخاطر من احتمال وجود أخطاء أو أنشطة بها تضليل فى تطبيقات محددة وفى قواعد بيانات محددة أو فى ملفات رئيسية، حيث أن الأخطاء غالباً لا تكون شائعة فى ظل النظم التى تؤدى عمليات حسابية معقدة0
ب- المعيار رقم 1001 "بيئة نظم المعلومات الإلكترونية فى ظل استخدام الحاسبات الصغيرة"
لقـد أشـارت الفقرتـان (13&14) بعنـوان Internal Control in Microcomputer Environments إلى أن بيئة تشغيل نظم المعلومات الإلكترونية التى تستخدم الحاسبات الصغيرة أقل هيكلية مقارنة ببيئة نظم المعلومات التى يتم التحكم فيها مركزياً، وفى بيئة تشغيل الحاسبات الصغيرة قد يكون التمييز بين نظم الرقابة العامة على نظم المعلومات الإلكترونية ونظم الرقابة على التطبيقات لا يمكن تحقيقه بسهولة0
جج
كما أشارت الفقرات (32-15) إلى إجراءات الأمن والرقابة التى يمكن أن تساعد على تحسين المستوى الشامل للرقابة الداخلية، ففى الفقرة 17 تحدد إجراءات الأمن المادى للحاسبات كاستخدام نظام إنذار عند تحريك الحاسب من موضعه، والفقرات (20-18) عن الأمن المادى على وسائط قابلة للنقل (الحمل) أو غير قابلة للنقل، والفقرات (27-21) عن أمن البرامج والبيانات ،والفقرتان(33&34) بعنوان The Effect of Microcomputers on the Accounting System and Related Internal Controls عن أثر الحاسبات الصغيرة على النظام المحاسبى والرقابة الداخلية ذات الصلة والتى سوف تعتمد بصفة عامة على ما يلى :-
· نطاق درجة استخدام تلك الحاسبات فى معالجة التطبيقات المحاسبية0
· نوع وجوهرية المعامــلات المالية محل التشغيل0
· طبيعة الملفات والبرامج المستخدمة فى التطبيقات0
ج- المعيار رقم 1002 "بيئة نظم المعلومات الإلكترونية فى ظل نظم الحاسبات الإلكترونية المباشرة" " CIS Environments – Online Computer Systems ([6])
يهدف المعيار الى وصف آثار نظم الحاسبات الإلكترونية المباشرة على النظام المحاسبى ونظم الرقابة الداخلية ذات الصلة وإجراءات المراجعة0
توضح الفقرتان (18&19) بعنوان Internal Control in on-line Computer System
1- نظم الرقابة العامة (G.C) وتتمثل تلك النظم فى :
- نظم الرقابة على الوصول Access Controls هى إجراءات مصممة لتقييد عملية الوصول إلى البرامج والبيانات0
- نظم الرقابة على كلمة السر Control Over Passwords هى إجراءات لتحديد وصيانة كلمة السر لتقييد الوصول على المستخدمين المرخص لهم بذلك0
- نظم الرقابة على تطوير وصيانة النظام System Development and Maintenance Control
- نظم الرقابة على البرمجة Programming Controls هى إجراءات مصممة لمنع أو اكتشاف التغيرات الهامة على البرامج والتى يتم الوصول إليها من خلال أجهزة طرفية مباشرة0
2- نظم الرقابة على التطبيقات (Application Controls) وتتضمن ما يلى :
- ترخيص مسبق للتشغيل والمعالجة Pre-Processing Authorization0
- إجراءات انقطاع واستقلال الفترات المالية Cut-Off Procedures0
- نظم الرقابة على الملف File Controls0
- نظم الرقابة على الملف الرئيسى Master File Controls0
- التوازن Balancing وهى عملية تحديد الإجماليات الرقابية على البيانات التى تم تقديمها للتشغيل والمعالجة من خلال أجهزة طرفية مباشرة ومقارنتها أثناء وبعد التشغيل لضمان تحويلها بشكل كامل ودقيق0
وتوضح الفقرة (23) بعنوان The Effect of On-Line Computer Systems on Accounting System and Related Internal Controls تأثير النظم الإلكترونية المباشرة على نظم الرقابة الداخلية حيث أن خصائص تلك النظم يمكن أن يكون لها تأثير على فعالية الرقابة الداخلية من خلال التأثير على ما يلى :
· قد لا يكون هناك مستندات أصلية لكل عملية مدخلات0
· قد يتم تلخيص نتائج التشغيل لحد كبير، على سبيل المثال يمكن تتبع الإجماليات الناتجة فقط من أجهزة إدخال البيانات الفورية إلى التشغيل اللاحق0
· قد لا يتم تصميم النظام الإلكترونى المباشر لتوفير تقارير مطبوعة0
مخاطر المراجعة فى ظل بيئة نظم الحاسبات الإلكترونية المباشرة :
حددت الفقرتان (21&22) الظروف والأسباب التى قد تؤدى إلى انخفاض مخاطر الغش والخطأ والتلاعب فى ظل هذه النظم أهمها :
- إذا ما تم إدخال البيانات مباشرة عند النقطة التى تبدأ عندها العمليات المالية .
- إذا ما تم تصحيح العمليات غير الشرعية وإعادة إدخالها على الفور0
- إذا تم إدخال البيانات مباشرة عن طريق أفراد يفهمون طبيعة تلك العمليات المالية المباشرة0
- إذا ما تم تشغيل العمليات فوراً على أساس مباشر 0
و تزيد مخاطر المراجعة للأسباب التالية :
- إذا تم وضع الأجهزة الطرفية المباشرة فى كافة أرجاء المنشأة، حيث تتزايد احتمالات الاستخدام غير المصرح به وإدخال عمليات غير مصرح بها0
- قد توفر الأجهزة الطرفية المباشرة فرصاً للاستخدام غير المصرح به فى تعديل العمليات والأرصدة، وتعديل البرامج،و الوصول إلى البيانات من مواقع بعيدة0
- الوصول المباشر والفورى للبيانات والبرامج من خلال الاتصالات السلكية قد يوفر احتمالا كبيرا للوصول إليها عن طريق الاختراق غير المصرح به0
- إذا حدث خطأ أو مقاطعة الاتصال اللاسلكي قد يكون هناك احتمال كبير بأن العمليات قد تتعرض للضياع أو إن استرجاعها قد لايتم بدقة أو بشكل كامل0
د- المعيار رقم 1003 "بيئة نظم المعلومات الإلكترونية واستخدام نظم قواعد البيانات"
الرقابة الداخلية فى ظل نظم قواعد البيانات : توضح الفقرات (21-15) الرقابة الداخلية فى بيئة قاعدة البيانات حيث تعتمد فعالية الرقابة الداخلية
على طبيعة إدارة قاعدة البيانات بالإضافة إلى كيفية أدائها ،ويمكن تصنيف نظم الرقابة على التشغيل الإلكترونى للبيانات الخاصة ببيئة قاعدة البيانات إلى المجموعات التالية :
· مدخل معيارى للتطوير والحفاظ على برامج التطبيقات (الفقرة 17)0
· ملكية البيانات (فقرة 18) 0
· الفصل بين الواجبات ( فقرة 21 ) .
· الاقتراب من قاعدة البيانات (فقرة 19) 0
مخاطر المراجعة فى ظل نظم قواعد البيانات:
أوضحت الفقرتان (24&23) أن نظم قاعدة البيانات توفر فرصة لمصداقية أكبر للبيانات مقارنة بالنظم غير المعتمدة على قاعدة البيانات، وهذا يمكن أن يؤدى إلى مخاطر أقل فى الغش أو الأخطاء فى النظام المحاسبى وذلك فى ظل النظم الرقابية الكافية التى تساهم فى تلك المصداقية المحسنة وبشكل مناقض فإن مخاطر الغش أو الخطأ يمكن أن تتزايد إذا ما تم استخدام نظم قاعدة البيانات بدون نظم رقابية كافية فى ظل بيئة غير معتمدة على قاعدة بيانات نمطية فإن نظم الرقابة التى يتم ممارستها عن طريق أى مستخدمين يمكن أن تعوض مظهر الضعف فى نظم الرقابة العامة لنظم المعلومات الإلكترونية ومع ذلك يظل ذلك غير ممكن فى ظل استخدام قاعدة البيانات حيث لا يمكن للمسئولين عن حسابات المدينين أن يقوموا بالرقابة بشكل فعال على هذه الحسابات إذا لم يتم عمل قيود على قيام الأفراد الآخرين بتعديل أرصدة حسابات المدينين0
هـ-المعيار 1008 "خصائص واعتبارات تقييم المخاطر والرقابة الداخلية لنظم المعلومات الإلكترونية"
أوضح المعيار فقرة رقم (1) أنه يجب على المراجع أن يدرس خصائص ظروف التشغيل الإلكترونى للمعلومات لما لها من تأثير على تصميم النظام المحاسبى ونظم الرقابة الداخلية المتعلقة به ويؤثر أيضاً على اختبارات أنظمة الرقابة الداخلية التى يمكن الاعتماد عليها وعلى طبيعة وتوقيت ومدى الإجراءات التى سيطبقها وتتلخص هذه الخصائص فى :
1- الهيكل التنظيمى (Parag 2) Organizational Structure0
2- الهيكل التشغيل Structure of Processing (Parag 3)0
3- جوانب التصميم والإجراءات Deign and Procedural Aspects (Parag 4)0
Internal Controls in A CIS Environment. (Parag 5-8).
تتضمن الرقابة الداخلية على التشغيل الإلكترونى للمعلومات التى تساعد على تحقيق الأهداف العامة للرقابة الداخلية إجراءات رقابة يدوية وإجراءات مصممة فى برامج الحاسب وتشمل هذه الإجراءات ( إجراءات الرقابة العامة و الرقابة الخاصة على التطبيقات المحاسبية ) ما يلى :
· الرقابة العامة على نظم التشغيل الإلكترونى للمعلومات General CIS Controls :
الغرض منها وضع إطار من الرقابة العامة على أنشطة التشغيل الإلكترونى وتوفير الاطمئنان بأن الأهداف العامة للرقابة الداخلية قد تحققت وتتضمن إجراءات الرقابة العامة ما يلى :
- الرقابة على التنظيم والإدارة Organization and Management Controls :
وتتضمن السياسات والإجراءات المتعلقة بوظائف الرقابة والفصل المناسب بين الوظائف المتعارضة0
- رقابة على تطوير النظم وحفظها Applications Systems Development and Maintenance Controls : مصممة خصيصاً لوضع رقابة على اختبار وتنفيذ النظم الجديدة أو المعدلة و الحصول على نظم التطبيقات المحاسبية من الغير و التغيرات فى نظم التطبيقات المحاسبية0
- الرقابة على تشغيل الحاسب Computer Operation Controls : مصممة لتوفير الاطمئنان بأن النظم والبرامج المستخدمة تم استخدمها فى الأغراض المعتمدة فقط وأن أخطاء التشغيل يتم اكتشافها وتصحيحها والوصول إلى عمليات التشغيل يقتصر فقط على الأفراد المصرح لهم بذلك0
- الرقابة على برامج النظم Systems Software Controls :
وتشمل اعتماد واختبار وتنفيذ برامج النظم الجديدة وتعديلات البرامج الحالية0
- إدخال البيانات ورقابة البرامج Data Entry and Program Controls :
مصممة لتوفير الاطمئنان على وجود نظام لاعتماد العمليات التى يتم إدخالها وقصر الدخول إلى البيانات على الأفراد المصرح لهم بذلك0
· الرقابة على التطبيقات المحاسبية فى ظل التشغيل الإلكترونى CIS Application Controls :
غرضها وضع إجراءات رقابية محددة على التطبيقات المحاسبية لتوفير الاطمئنان الكافى للعمليات التى يتم اعتمادها وتسجيلها وتتضمن هذه الرقابة ما يلى :
- الرقابة على المدخلات Control Over Input :
مصممة لتوفير الاطمئنان بأن العمليات يتم اعتمادها على النحو الصحيح قبل معالجتها إلكترونياً وأن العمليات غير الصحيحة يتم رفضها وتصحيحها وإعادة تقديمها إذا لزم الأمر فى الوقت المناسب0
- الرقابة على التشغيل ملفات بيانات الحاسب Control Over Processing and Computer Data Files مصممة لتوفير الاطمئنان بأن العمليات يتم تشغيلها على نحو صحيح وأخطاء التشغيل يتم تحديدها وتصحيحها فى الوقت المناسب0
- الرقابة على المخرجات Control Over Output :
مصممة لتوفير الاطمئنان بأن نتائج التشغيل صحيحة والوصول إلى المخرجات قاصر على المصرح لهم بذلك مع تقديمها للمختصين فى الوقت المناسب0
وتضمنت الفقرتان (10 &9) فحص كلاً من الرقابة العامة ورقابة التطبيق على التشغيل الإلكترونى للبيانات ، وأن الرقابة على التطبيقات التى يرغب المراجع فى الاعتماد عليها تشمل :
- رقابة يدوية يمارسها المستخدم Manual Controls Exercised by the User0
- الرقابة على مخرجات النظام Controls Over System Output0
- إجراءات الرقابة المبرمجة Programmed Control Procedures0
و- المعيار رقم 1009 "أساليب المراجعة بمساعدة الحاسب الإلكترونى" :
و يهدف المعيار إلى توفير الإرشادات الخاصة باستخدام طرق المراجعة بمساعدة الحاسب ويصف هذا المعيار نوعين من أكثر الأنواع الشائعة لطرق المراجعة بمساعدة الحاسب هما :
· برامج الحاسب الخاصة بالمراجعة Audit Software وتشتمل على :
- مجموعة البرامج المتكاملة Package Programs0
- البرامج المعدة لأغراض محددة Purpose-Written Programs0
- البرامج المساعدة Utility Programs0
· بيانات الاختبار Test Data :- وتستخدم فى تنفيذ إجراءات المراجعة من خلال البيانات فى نظام الحاسب للمنشأة ومقارنة النتائج التى يتم الحصول عليها بنتائج محددة مسبقاً مثل بيانات الاختبار المستخدمة لاختبار ضوابط محددة مثل مفتاح الاتصال المباشر والوحدات الخاصة بمعالجة البيانات0
vالعوامل المؤثرة (الاعتبارات) على استخدام طرق المعالجة بمساعدة الحاسب :-
حددت الفقرة (8) بعنوان Considerations in the Use of CAATS أنه يجب على المراجع عندما يخطط لعملية المراجعة أن يأخذ فى اعتباره مجموعة مناسبة من الطرق اليدوية وطرق المراجعة بمساعدة الحاسب وعليه أن يأخذ فى اعتباره عندما يقرر استخدام طرق المراجعة بمساعدة الحاسب مايلى:
· معرفة وخبرة المراجع بالحاسب الالكترونى0
· مدى توفر طرق المراجعة بمساعدة الحاسب0
· عدم الجدوى العملية للاختبارات اليدويــة0
· الفعاليــة والكفــاءة والتـوقــــيت .
القسم الثانى :- معايير خاصة بتأمين بيئة تكنولوجيا المعلومات
لقد أدى التطور فى مجال تكنولوجيا المعلومات إلى زيادة مخاطرها وعدم الثقة فى معلوماتها نظراً لسهولة الوصول إليها وتعديلها أو تغييرها دون ترك أى أثر أو معرفة من الفاعل أو البيانات التى أصابها التعديل أو التغيير وعليه تسعى كافة الوحدات الاقتصادية نحو تأكيد الثقة والمصداقية فيما توفره من معلومات مالية ومحاسبية للأطراف الخارجية وخاصة التى تتعلق بقياس كل من نتيجة النشاط والمركز المالى، مما أدى الى ضرورة الاهتمام بأمن وسلامة المعلومات ، وضرورة وجود مجموعة من الضوابط والإجراءات التى توفر الثقة فى المعلومات الإلكترونية المنشورة على مواقع تلك الشركات ومن هنا تقوم العديد من المنظمات والهيئات الدولية بتقييم مدى التزام الشركات بتلك الضوابط والإجراءات قبل منحها ترخيص مزاولة نشاطها التجارى ، وقد أصدرت تلك المنظمات مجموعة من المعايير والشهادات الخاصة بأمن وسلامة المعلومات وأهمها ما يلى :
أ – شهادة الثقة فى الموقع Web trust :-
تعتبر شهادة Web trust بمثابة خدمة إضفاء الثقة والمصداقية على التعاملات الإلكترونية التى تتم عبر شبكة الإنترنت حيث يتم تقييم موقع الشركة وفقاً لمعايير محددة، وإذا اجتاز الموقع تلك المعايير يمنح ختم Web trust Seal ويتم عرضه على الموقع ليتمكن الزوار من الإطلاع على بياناته وتقرير المحاسب القانونى حول مصداقيته .
1- الخصوصيـــة Privacy0 2-الأمـن (الأمان) Security0
3- ممارسة الأعمال وسلامة العمليات Business Practices and Transition Integrity
4- توفر المعلومات وإتاحتها(التوافر) Availability0
5-السريـة Confidentiality0
6-عدم إنكار الالتزام (الاعتراف) Non-Repudiation0
7 - الإفصاح التفصيلى Customized Disclosures0
كما حددت تلك الشهادة معايير تفصيلية تبين كيفية التحقق من استيفاء الموقع لمتطلبات كل مبدأ من المبادئ السابقة وقد تم تقسيم كل معيار من المعايير السابقة الى 4 مجموعات رئيسية وهى :
- معايير خاصة بالإفصاح Disclosures 0
- معايير خاصة بالسياسات Policies0
- معايير خاصة بالإجراءات Procedures0
- معايير خاصة بالمراقبة Monitoring0
وعلى الرغم من أن شهادة Web trust تتعلق بالمراجع الخارجى إلا أنه يمكن للشركة من خلالها التعرف على أدوات وأساليب الرقابة الداخلية التى يمكن تطبيقها لتحقيق أمن وسلامة المعلومات0
ب - شهادة الثقة فى النظام Sys trust :
تعتبر شهادة Systrust بمثابة تأكيد للثقة فى نظام معلومات المحاسبة الفورية بالوحدات الاقتصادية بما يضمن سلامة وأمن إجراءات الرقابة الداخلية لنظام المعلومات حيث يتم تقييم مدى إمكانية الاعتماد على النظام System Reliability ويصدر المراجع تقريره يبين فيه مدى إمكانية الاعتماد على هذا النظام فى ضوء أربعة مبادئ رئيسية هى([13]):
1- الإتاحة(الاتاحية) Availability 0
2 - الأمن(الأمان) Security0
3- السلامة(الاكتمال) Integrity0
4- القابلية للصيانة Maintainability0
ولكل مبدأ من المبادئ السابقة توجد المعايير التى تساعد المراجع فى تحديد مدى نجاح المنشأة فى تحقيق هذه المبادئ وتنقسم هذة المعايير إلى ثلاثة مجموعات :-
الأولى : الاتصال . Communication
الثانية :الإجراءات Procedures .
الثالثة : الرقابة Monitoring .
ويمكن أن يستفيد من تلك الشهادة العديد من الإطراف مثل المراجعين الداخليين و مالكى النظام لتطوير وتنفيذ أنظمة معلومات يمكن الاعتماد عليها وخفض التكاليف وتجنب إعادة أو تكرار العمل، كما يساعد على منع فقد الشركة لسمعتها وحصتها السوقية بسبب وجود أنظمة معلومات لا يمكن الاعتماد عليها.
والصادر عن مؤسسة مراجعة ورقابة أنظمة المعلومات Information systems Audit and Control Foundation (ISACF)، ويتمثل الهدف من هذا المعيار فى الرغبة فى وضع معايير دولية للأساليب والوسائل الجيدة فى مجال الرقابة على تكنولوجيا المعلومات تكون قابلة للتطبيق العام ومقبولة قبولاً عاماً، ولا يركز معيار CoBiT على أمن وسلامة تكنولوجيا المعلومات فقط إنما يركز أيضاً على كافة العمليات المتعلقة بتكنولوجيا المعلومات بما فيها العمليات المتعلقة بأمن تكنولوجيا المعلومات0
ويتكون معيار CoBiT من 32 هدف رقابى، حيث يختص كل هدف منها بعملية معينة من العمليات ال 32 المتعلقة بتكنولوجيا المعلومات وقد تم تبويب عمليات تكنولوجيا المعلومات ال 32 إلى أربعة مجالات أساسية هى:
- التخطيط والتنظيم Planning and Organization0
- الاستحواذ Acquisition 0
- التوصيل والدعم Delivery and support0
- المراقبة والمتابعة Monitoring0
· يوفر لمستخدمى تكنولوجيا المعلومات مستوى معقولا من التأكيد أن هناك قدراً معقولاً من الرقابة والأمن، و ضمان تدفق المعلومات ودقتها .
· يحتم على المراجعين ضرورة فحص نظم الرقابة الداخلية وإبداء الرأى فيها وإبداء النصح للإدارة فى أى مشاكل تتعلق بالأمن والرقابة 0
يعتبر عدم كفاية البنية الأساسية المرتبطة بأمن وسلامة المعلومات واحدة من أكبر المشاكل التى تعوق الجهود المبذولة فى أمن المعلومات ، والبنية الأساسية تتكون من السياسات والإجراءات وقوائم المسئوليات والجوانب المتعلقة بها والتى يتم تجاهلها بشكل كبير من جانب المتخصصين فى أمن المعلومات، وتلقى الشهادة الصادرة من منظمة المعايير الدولية (Iso 9000) اهتماماً كبيرا من معظم الشركات لأنها تساعد على إدارة العمليات التى تستهلك الوقت والتكلفة، ويتطلب الالتزام بمعيار (Iso 9000 ) مراجعة كافة المستندات المؤيدة للعمليات الداخلية ، وتتمثل مزايا هذه الشهادة فى :
- إنشاء هيكل تنظيمى قوى تحدد فيه المسئوليات بدقة0
- تحسين جودة الاتصالات والمعلومات الداخليـــة0
- تحديد المشاكل الإداريــة وإجــراءات حلهـا0
- الصيانة الدورية لتنظيم التوثيق0
- وضع معايير تـدريب العاملين0
وأول إجراءات الحصول على( 9000 Iso )هى توصيف المستندات، حيث يتضمن هذا المعيار 20 قسما لتوضيح المتطلبات التى يجب أن تلتزم بها المنشآت،وتعتبر أكثر الأقسام ارتباطاً بأمن وسلامة المعلومات هى :
* مسئولية الإدارة0 * الرقابة المستنديـة0
* الرقابة الإجرائية0 * الشك والاختبارات0
* مراجعة جودة الرقابة الداخلية0 * التدريب0
* أدوات القياس الإحصائية0
ومن ناحية أخرى يوفر المعيار بيئة منطقية ومنظمة لتطوير النظم التى تم توزيعها على الأقسام بشكل عشوائى كما يتضمن الفلسفة اللازمة لتقييم الحاجات أو تقييم المخاطر لأمن وسلامة المعلومات والتى يجب مواجهتها بجعل نظام المعلومات كفئا وفعالا وفى هذا الصدد يعتبر الأيزو 9000 مدخلا فعالا لتطوير نظم المعلومات وتحقيق أمن وسلامة المعلومات0
-Hand Book of International Auditing, IAPS No. 401, "Auditing in A Computer Information System Environment" ,IFAC ,Ethics Pronouncements, 2004.
- د/ طارق عبد العال حماد، موسوعة معايير المراجعة ،الجزء الثانى ، الدار لجامعية ،2004، ص196 , 198 ,203,201.
- د/أحمد حلمى جمعة- د/ عطاالله خليل، معايير التدقيق وتكنولوجيا المعلومات، التطورات الحالية، مجلة آفاق جديدة، كلية التجارة -جامعة المنوفية، السنة 14، العدد (1، 2)، 2002، ص278 0
- د/عارف عبد الله عبد الكريم، تقدير المراجع لأخطار الرقابة 000، مرجع سبق ذكره ، ص88 : 89 0
- د/ أمين السيد أحمد لطفى ، مراجعة وتدقيق نظم المعلومات، مرجع سبق ذكره، ص83 : 84 0
- أ/ محمود مصطفى منصور الشريف، مرجع سبق ذكره ، ص39 0
- د/ محمد مصطفى أحمد الحبالى، مرجع سبق ذكره، ص311 0
- د/ محمد مصطفى أحمد الجبالى، مرجع سبق ذكره ، ص311 0
- د/ أمين السيد أحمد لطفى، مراجعة وتدقيق نظم المعلومات .....، مرجع سبق ذكره ، ص106 : 111 0
- أ/ محمود مصطفى منصور الشريف، مرجع سبق ذكره ، ص38 0
- د/ عارف عبد الله عبد الكريم، تقدير المراجع لأخطار الرقابة ....، مرجع سبق ذكره، ص88 : 89 0
- Hand Book of International Auditing, IAPS,NO1003, "CIS Environments-Database Systems", IFAC, Ethics Pronouncements, 2004.
- أ / أمل عبد الفضيل عطية ، مرجع سبق ذكره ، ص 119 .
- د/ أمين السيد أحمد لطفى، مراجعة وتدقيق نظم المعلومات ........، مرجع سبق ذكره، ص60 : 63 0
- أ/ محمود مصطفى منصور الشريف ، مرجع سبق ذكره، ص19 0
- د/ عارف عبد الله عبد الكريم، تقدير المراجع لأخطار الرقابة.......، مرجع سبق ذكره، ص89 0
- Hand Book of International Auditing, "IAPS No.1009, "Computer Assisted Audit Techniques", IFAC, Ethics Pronouncements, 2004.
- د/أمين السيد أحمد لطفى، مراجعة وتدقيق نظم المعلومات ....، مرجع سبق ذكره ، ص 78.
- د/محمد مصطفى احمد الجبالى ، مرجع سبق ذكره ,ص 311.
- Jone M. Mancino. and Charles, "Anew Look at the Attestation Standards", Journal of Accountancy, Vol. 192, No 1, July. 2001, PP 6-7. (www. Aicpa. Org/ pubs/ jafa/ July 2001/ Anew. Htm).
-د/سهير الطنملى,الفحص الضريبى لصفقات التجارة الالكترونية وضوابط المراجعة الالكترونية لعملياتها,المجلة العلمية للاقتصاد والتجارة ,كلية التجارة - جامعة عين شمس,العدد الثالث,يولية2004,ص 283-285.
- Jone M. Mancino. and Charles ,op cit, PP.7-8.
- د/سهير الطنملى , مرجع سبق ذكره ,ص 282-283.
- د/ ماجدة حسين إبراهيم، مرجع سبق ذكره، ص233 : 238 0
- أ/ خديجة محمد رمضان، مرجع سبق ذكره ، ص141 : 142 .
- د/ أمين السيد أحمد لطفى ، المعايير الدولية لتكنولوجيا المعلومات، مجلة الدراسات المالية والتجارية، كلية التجارة ببنى سويف
- جامعة القاهرة، العدد الأول، مارس 2001، ص1 : 2 0
- د/عارف عبد الله عبد الكريم، تقدير المراجع لأخطار الرقابة.......، مرجع سبق ذكره ، ص75 0
ليست هناك تعليقات:
إرسال تعليق
ملحوظة: يمكن لأعضاء المدونة فقط إرسال تعليق.