الفصل الثالث
أثر تكنولوجيا المعلومات على تقدير المخاطر والرقابة الداخلية
تمهيد
المبحث الأول : أثر تكنولوجيا المعلومات على مهنة المحاسبة والمراجعة0
المبحث الثانى : أثر تكنولوجيا المعلومات على خطر المراجعة0
المبحث الثالث : أثر تكنولوجيا المعلومات على الرقابة الداخلية0
الفصل الثالث
أثر تكنولوجيا المعلومات على تقدير المخاطر والرقابة الداخلية
تمهيد :
تناول الباحث فى الفصلين السابقين كيفية تقدير مخاطر عملية المراجعة وفحص وتقييم نظم الرقابة الداخلية ، وسيتناول الباحث فى هذا الفصل أثر تكنولوجيا المعلومات على مهنة المحاسبة والمراجعة ، وعلى تقدير المخاطر والرقابة الداخلية .
لقد أدى التقدم التكنولوجى الكبير فى مجال الحاسبات والاتصالات الى التأثير على شكل وإدارة منشآت الأعمال لأنشطتها وكذلك على شكل وطريقة وتوقيت إفصاحها عن معلوماتها المالية، فظهور استخدام الإنترنت فى مجال تبادل المعلومات ،وكذلك ظهور وتطور الشبكة العنكبوتية العالمية (شبكة الويب) فتح المجال أمام منشآت الأعمال على اختلاف أنواعها لتنفيذ بعض أو كل ما يرتبط بعمليات شراء وبيع السلع والخدمات عن طريق الإنترنت .
ومما لاشك فيه أن التغيير الذى أحدثته تكنولوجيا المعلومات تجاه إدارة المنشآت لتعاملاتها وما يرتبط بذلك من تسجيل وتشغيل البيانات الخاصة بهذه المعاملات قد اوجد العديد من المخاطر المرتبطة ببيئة تكنولوجيا المعلومات([1])0
حيث أشارت إحدى الدراسات([2]) إلى أن بيئة تكنولوجيا المعلومات تتطلب معايير وإرشادات للمراجعة تواكب التطور التكنولوجى واحتياجات العملاء وهو ما فطنت إليه بعض مجالس معايير المراجعة، ففى عام 2003 عدل مجلس معايير المراجعة الكندية The Canadian Auditing Standards Board مسماه إلى مجلس معايير الخدمات التوكيدية Assurance Standards Board كما عدلت لجنة معايير المراجعة الدولية International Auditing Practice Committee إلى مجلس معايير المراجعة والخدمات التوكيدية الدولية International Auditing and Assurance Standards Board وكذلك تغيير مسمى مجلس معايير المراجعة الاسترالى Australian Auditing Standards Board إلى مجلس معايير المراجعة والخدمات التوكيدية الاسترالية Australian Auditing and Assurance Standards Board (A.A.S.B) .
و يتناول الباحث الدراسة فى هذا الفصل من خلال ثلاثة مباحث وهى :
المبحث الأول : أثر تكنولوجيا المعلومات على مهنة المحاسبة والمراجعة0
المبحث الثانى : أثر تكنولوجيا المعلومات على خطـــر المراجعــة0
المبحث الثالث : أثر تكنولوجيا المعلومات على الرقابـــة الداخليــة0
المبحث الأول
أثر تكنولوجيا المعلومات على مهنة المحاسبة والمراجعة
مقدمة :
على الرغم من أن تكنولوجيا المعلومات تتيح العديد من الفرص والامتيازات والمزايا فى مجال تشغيل البيانات والمعلومات المحاسبية فإنها تطرح العديد من التحديات الجديدة التى تفرض على المهنة إيجاد حلول ووسائل مناسبة لمواجهتها، حيث أن التطور الكبير فى مجال تكنولوجيا المعلومات قد فرض الكثير من التغيرات على العديد من المجالات، وبما أن مهنة المحاسبة والمراجعة ترتكز أساساً على إعداد البيانات المالية واختبار صحتها ودقتها وفقاً للمبادئ المحاسبية المتعارف عليها بغرض تحقيق الطمأنينة فى نفوس المستثمرين الحاليين واجتذاب أكبر عدد من المستثمرين المرتقبين، فقد كان من الطبيعى أن تتأثر المهنة بالتطورات المتلاحقة فى مجال تكنولوجيا المعلومات، حيث خلصت إحدى الدراسات إلى أن " أفضل ميزة لاستخدام المراجع لأساليب تكنولوجيا المعلومات ( برنامج تحليل البيانات ) هى القدرة على الوصول الى جميع البيانات وتحليلها ، فبدلاً من تقييم هيكل الرقابة الداخلية عن طريق الاعتماد على أسلوب العينات الإحصائية يمكن للمراجع فحص 100% من البيانات( إذن خطر المعاينة = صفر ) كما أن تكنولوجيا المعلومات سوف تؤثر فى مدخل الاختبارات الأساسية للمراجعة بحيث يتجه المراجع إلى الجمع بينها وبين اختبارات الرقابة فى آن واحد"([3])0
وعلى هذا تتناول الدراسة فى هذا المبحث ما يلى :
· أثر تكنولوجيا المعلومات على مهنة المحاسبة0
· أثر تكنولوجيا المعلومات على مهنة المراجعة0
أولاً : أثر تكنولوجيا المعلومات على مهنة المحاسبة :
إن استخدام تكنولوجيا المعلومات فى إتمام معاملات التجارة الإلكترونية والتى معها تلاشت الإقليمية وتدنى وقت وتكلفة إنجاز الأعمال وتقلص استخدام المستندات الورقية لإتمام تلك الأعمال إلى درجة العدم، إلا أن تلك المعلومات يصاحبها العديد من الأمور المستحدثة التى توجد مشاكل تجاه قياسها وتحديدها محاسبياً وهو ما ينعكس بالسلب على صحة ودقة بنود القوائم المالية فهناك العديد من الأمور المستحدثة والتى صحبتها مشاكل محاسبية من أهمها([4]):
· تكاليف إنشاء وتطوير وصيانة الموقع الإلكترونى للمنشأة : هل تعالج على إنها تكاليف استثمارية أم تعالج على إنها تكاليف جارية؟
· قياس إيرادات المبيعات للمنشآت التى تقوم ببيع منتجات الآخرين التى تنقل مباشرة من المنتج إلى العميل أو المستهلك، هل تسجل المنشأة الإيرادات بالقيمة الإجمالية للسلعة أم بما حققته من عائد والمتمثل فى الفرق بين ما دفعه المستهلك وبين سعر السلعة لدى الشركة المنتجة، ولاشك أن التسجيل بالإجمالى قد يكون له انطباعات مضللة للمستثمرين على الرغم من عدم التأثير على النتيجة النهائية من ربح أو خسارة للمنشأة0
· قياس الأصول الإلكترونية المستخدمة فى التجارة الإلكترونية، هل يتم تقويمها وفقاً للتكلفة التاريخية أم وفقاً للقيمة الجارية؟
· عملية الإعلان المتبادل بين شركات التجارة الإلكترونية على مواقعها، هل يتم تسجيل هذه العملية بالشركة كمصروف أو إيراد أم يسجل الفرق فقط ضمن المصروفات أو ضمن الإيرادات حسب الحالة؟
كما أن هناك من يرى أن تكنولوجيا المعلومات تتسبب فى إحداث تغيرات هامة فى النظم المحاسبية تتضمن ما يلى([5]):
1- عدم الاحتفاظ بالمستندات فـى شكل قابــل للقــراءة0
2- إن تشغيل ومعالجة المعاملات أصبحت أكثر ثباتاً واتساقاً0
3- الدمـــج بيـــن الواجبــــات0
4- إمكانية إنتاج التقارير بشكل أكثر سهولة0
وهناك من يرى([6]) وجود مشاكل خاصة بالإفصاح المحاسبى عن صفقات التجارة الإلكترونية نظراً لعدم وجود معايير وضوابط للإفصاح الإلكترونى من حيث مقدار ونوعية المعلومات وتوقيت نشرها وكيفية نشرها، فهناك عوائق مرتبطة بالإفصاح الإلكترونى للقوائم المالية والتقارير عبر الإنترنت منها :
- ازدياد تكلفة التقرير المالى الإلكترونى0
- عدم توافر ضوابط الأمن الكافية للبيانات والمعلومات المعروضة مما يعرضها للتلاعب والتحريف أو السطو على سريتها0
كما أن لتكنولوجيا المعلومات آثارا عديدة على "نظم المعلومات المحاسبية من حيث التأثير على الإجراءات الرقابية فى النظم المحاسبية، مدخلات النظام المحاسبى، وعملية تشغيل المعلومات المحاسبية والتأثير على مخرجات النظام المحاسبى والتأثير على الدورة المستندية وشكل المستند والتأثير على (عملية تداول النقدية ،و سلوك عناصر التكاليف ،والمجموعة الدفترية حيث يتم الاعتماد على قواعد البيانات ،و أمن وسلامة المعلومات) "([7])0
ثانياً : أثر تكنولوجيا المعلومات على مهنة المراجعة :
إن استخدام تكنولوجيا المعلومات فى كل أو بعض العمليات التجارية يصاحبه العديد من المخاطر التى تلقى بظلالها على مهنة المراجعة أو على القائمين بها فالبيئة اللاورقية المصاحبة لها وكذلك التسجيل والتشغيل وحفظ بيانات هذه العمليات والتى تتم بصورة إلكترونية كاملة وما تتعرض له من مخاطر التغيير والتحريف والسطو كل ذلك يلقى بظلاله على تأهيل المراجع وعلى أدلة الإثبات وعلى توقيت و إجراءات عملية المراجعة وكذلك على التقنيات والإجراءات المتبعة فى عملية المراجعة ذاتها كما يلى :-
أ- اثر تكنولوجيا المعلومات على تأهيل المراجع :
" تأهيل المراجع تعنى قدرة ومهارة المراجع فى اكتشاف مواطن الخطأ والغش والتلاعب بالقوائم المالية التى يقوم بمراجعتها والتى تتشكل من خلال التعليم والتدريب والخبرة حيث يعتبر التأهيل العلمى والتدريب العملى هو المعيار الأول (المعايير العامة) من معايير المراجعة الأساسية العشر الأمريكية المتعارف عليها الذى يلزم المراجع أن يجتاز برامج تأهيل وتدريب ذات طابع خاص، تركز على الإلمام بمفاهيم البرمجة وتنظيم وحفظ الملفات وتنظيم العمل وكيفية تجهيز وإدارة البيانات وتشغيلها على الحاسب ونشرها على شبكة الإنترنت وتحليل وتفسير النتائج"([8]) ، ومع ظهور العديد من المجالات الجديدة لنظم المعلومات التكنولوجية التى تتسم بالتعقيد فى أنظمتها وكثرة مشاكلها مع ضرورة امتداد عمل المراجع ليشمـل تلك المجـالات فقـد أصبح مطلب تأهيل المراجع أكثر إلحاحًا حيث وجد اتجاهان هما ([9] ) :-
الأول : يرى عدم ضرورة أن يكون المراجع ملماً بتكنولوجيا المعلومات والاتصالات بصورها المختلفة نظراً لتعقد هذه النظم ويمكنه الاستعانة بالخبراء فى هذا المجال0
الثانى : يرى أهمية تأهيل المراجع وتدريبه بصفة مستمرة ودورية خاصة عندما يمتد نطاق عمله ليشمل مجالات جديدة كتكنولوجيا التجارة الإلكترونية والتبادل الإلكترونى للبيانات، وفى ذات الوقت يمكنه الاستعانة ببعض المتخصصين فى تلك المجالات الجديدة0
ويؤيد الباحث الاتجاه الثانى، حيث أن المراجعة كمهنة من المهن الخدمية لابد وأن تتواكب مع التطورات والتغيرات الحادثة فى المجتمع ويجب على مزاوليها أن يستمروا فى تطوير وتأهيل أنفسهم حتى يكونوا دائماً على استعداد لمواجهة أى تحديات تفرضها متطلبات العصر وحتى لا تقل قيمتهم الاجتماعية داخل المجتمع ويفسحوا المجال لغير المتخصصين، مع الاستعانة ببعض المتخصصين ضمن فريق المراجعة أفضل من الرجوع إليهم كخبراء.
قد أوضحت إحدى الدراسات([10]) " أن وجود مراجعين مؤهلين فى مجال تكنولوجيا المعلومات يعتبر أمرا ضروريا لإتمام عملية المراجعة بكفاءة، إلا أن هناك قلة فى عدد المراجعين القادرين على التعامل مع أنظمتها وفهم طبيعتها، وأن العديد من المراجعين يشعرون بأنه ليس لديهم الخبرة والمهارة التى تمكنهم من فهم وفحص تلك الأنظمة بشكل كافى وهذا النقص العام فى كفاءة المراجعين يعكس حقيقة أن غالبية عمليات الاحتيال المتعلقة بتلك الأنظمة تم اكتشافها بطريق الصدفة وليس بواسطة المراجعين، كما أن ضعف المهارات المتاحة للمراجعين وضعف برامج تطويرها وعدم القدرة على الاحتفاظ بالمراجعين المهرة فى مجال تكنولوجيا المعلومات هى من الأسباب الأساسية لمشاكل استخدام تكنولوجيا المعلومات فى مهنة المراجعة وأن نجاح استخدامها يتطلب وسائل ملائمة كإتقان لغة البرمجة واللغة الإنجليزية "0
هذا ويرى البعض([11]) أن "بيئة تكنولوجيا المعلومات قد فرضت على المراجع ضرورة التسلح بالمعرفة والمهارة اللازمة للتعامل معها والتقنيات المساندة لها والتى تتميز بالتشابك والتزاوج مع إجراءات تنفيذها، وعلى المراجعين إما أن يملكوا العلم والخبرة اللازمة للتعامل مع تكنولوجيا المعلومات والتقنيات المساندة لها ويلاحقوا التغيرات السريعة التى تلاحقها وإما أن يعتمدوا على غيرهم ممن لديه المعرفة والخبرة والمهارة اللازمة للتعامل مع تلك التكنولوجيا والتقنيات المساندة لها، فابتعاد المراجعين عن المعرفة والخبرة اللازمة للتعامل مع تلك التكنولوجيا وملاحقتهم لكل ما يطرأ عليها من تغييرات قد يدعوا إلى القول بتعرضهم للتهديد والمنافسة من غير أصحاب المهنة وإلى انخفاض دورهم وتأثيرهم فى المجتمع0"
ومن هنا فقد اهتمت العديد من المنظمات المهنية بضرورة الاهتمام بالتأهيل العلمى والعملى للمراجع لمواجهة تحديات تكنولوجيا المعلومات، فقد جاء فى الفقرة 4 من معيار المراجعة رقم40 الصادر عن مجمع المحاسبين القانونيين لجنوب أفريقيا لسنة 1998([12]) "أنه على المراجع أن يمتلك المعرفة الكافية لنظم المعلومات المحاسبية الإلكترونية حتى يتمكن من التخطيط والإشراف والتوجيه والرقابة وفحص العمل المؤدى، وتعتمد المعرفة الكافية على طبيعة ومدى بيئة نظم المعلومات الإلكترونية، فيجب عليه أن يأخذ فى الاعتبار المهارات المتخصصة المطلوبة لتنفيذ عملية المراجعة".
كما أكد مجلس إدارة الهيئة السعودية للمحاسبة فى الفقرة 112 من معيار المراجعة فى المنشآت التى تستخدم الحاسب الإلكترونى على أن([13]): "يجب أن يؤهل المراجع تأهيلاً علمياً وعملياً حتى يتمتع بمهارات متخصصة تمكنه من تنفيذ عملية المراجعة فى بيئة نظم المعلومات الإلكترونية، ويستطيع المراجع الاستعانة بذوى الخبرة والمهارات من العاملين معه أو من غيرهم، وتكون المسئولية الواقعة عليه متساوية فى الحالتين"، وهذا ما جاء فى المعيار الدولى رقم 620 لسنة 2004 والمعيار الأمريكى رقم 73 لسنة 1998 حيث يستطيع المراجع الاستعانة بخبير يمتلك مهارات متخصصة، على أن يكون هذا الخبير من موظفى المراجع أو من الخارج، وفى الحالتين يجب على المراجع الحصول على الأدلة الكافية بأن العمل المؤدى بواسطة الخبير ملائم لأهداف المراجعة([14])0
ويمكن إعادة تأهيل المراجع لكى يكون قادرا على مراجعة تكنولوجيا المعلومات عن طريق مايلى([15]):-
- إعادة تشكيل محتوى مقررات المحاسبة والمراجعة بالجامعات بحيث يندمج تعليم المحاسبة والمراجعة مع التغيرات فى تكنولوجيا المعلومات فالمراجعة اليوم تغيرت من المراجعة التقليدية الورقية إلى مراجعة أمن وسلامة المعلومات فى البيئة اللاورقية0
- توسيع وتعميق التدريب التقنى للمراجع بحيث يشمل نظم التشغيل وإدارة وتشغيل قواعد البيانات،و تقنية الشبكات، و تكنولوجيا الاتصالات والتشغيل عبر الإنترنت وما يرتبط بالأمن والسرية للتعامل مع قواعد البيانات والشفرات والتوقيع الرقمى وأمن الويب0
- إصدار المنظمات والهيئات المهنية لنشرات وإرشادات المراجعة0
- اهتمام مكاتب المحاسبة والمراجعة بتدريب أعضائها على أحدث التطورات التكنولوجية، كما يجب أن يكون للتنظيمات المهنية دور فى عملية التقييم المستمر لتأهيل المراجع ومعاونيه وذلك عن طريق تنظيم اختبارات –دورية- تشمل ما يستجد من قضايا ومنها تكنولوجيا المعلومات بحيث يكون النجاح فى هذه الاختبارات شرطاً للاستمرار فى مزاولة المهنة .
ومما يذكر فى هذا الصدد أن الاتحاد الدولى للمحاسبين (IFAC) قام بإعداد وإصدار مجموعة برامج دراسية فى علوم تكنولوجيا المعلومات وقد تضمنت هذا البرامج ما يلى([16] ):-
- متطلبات التعليم العام اللازم لتكنولوجيا المعلومات .
- معلومات أو معرفة المستخدم ومتطلبـات المهارة0
- المعلومات والمهارات المطلوبة للمصمم وللمدير وللمراجع0
كما أصدرت لجنة التعليم الدولية مسودة بعنوان تكنولوجيا المعلومات للمحاسبين الممتهنين Information Technology for Professional Accountants بغرض تنظيم التعليم المرتبط بتكنولوجيا المعلومات مع توضيح المهارات والقدرات المهنية التى يتعين على المحاسبين والمراجعين امتلاكها لمواجهة تحديات تكنولوجيا المعلومات وهى([17]):-
- المعرفة العامة بتكنولوجيا المعلومات0
- التعرف على وسائل الرقابة على تكنولوجيا المعلومات0
- القدرة على التحكم والرقابة على تكنولوجيا المعلومات0
- المحاسب والمراجع المستخدم لتكنولوجيا المعلومات0
- المحاسب كمديــر لنظــم المعلـومات0
- المحاسب كمصمم للنظم الإدارية .
- المحاسب والمراجع كمقيم لنظم المعلومات0
و يؤكد الباحث أن الاهتمام بالتأهيل المستمر للمراجع واستمرار تقييم هذا التأهيل بصفة دورية
وتعاون كافة الجهات المعنية فى ذلك، سوف يساهم فى مساعدة المراجعين على أداء دورهم فى مجال مراجعة تكنولوجيا المعلومات بكفاءة وفعالية والتغلب على المشاكل التى صاحبت استخدام تكنولوجيا المعلومات0
وهناك من يرى أن التأهيل المهنى الكافى والمستمر للمراجع يعتبر أحد أهم الأساليب فى تقييم جودة الأداء المهنى فى ظل توافر الآتى([18]):-
· إن التأهيل المهنى الكافى يعتبر شرطاً أساسياً لتنفيذ عملية المراجعة وفقاً لمعايير المراجعة لذلك يتعين على المراجع أن يقوم بتقييم تأهيله المهنى وتأهيل الجهاز الفنى العامل معه قبل التعاقد لإنجاز عملية المراجعة0
· إن التأهيل المهنى الكافى قد يختلف من منشأة إلى أخرى ومن فترة زمنية إلى أخرى وبالتالى :
- تعتبر مسئولية تقييم التأهيل المهنى للمراجع وللجهاز العامل معه مسئولية مستمرة0
- تقع مسئولية تقييم كفاية التأهيل المهنى على المراجع نفسه نظراً لكونه أكثر دراية من الآخرين بقدرته وقدرة الجهاز العامل معه0
· إن قصور التأهيل المهنى قبل التعاقد على إنجاز عملية المراجعة قد لا يكون عائقاً للتعاقد على إنجاز العملية، إذا كان فى إمكان المراجع قبل البدء فى تنفيذ عملية المراجعة إزالة القصور فى تأهيله عن طريق الدراسة أو حضور الدورات التدريبية الملائمة0
أما من حيث مستوى المعرفة والمهارة التى يجب أن يتمتع بها مراجعو القوائم المالية التكنولوجية فهو يختلف وفقاً لمدى تعقد أنشطة تكنولوجيا المعلومات فعندما يكون للنشاط أثر هام على عمل المنشأة فإن الحد الأدنى من المهارة والمعرفة التى يجب توافرها هو الذى يساعدهم على([19]):-
- فهم الأثر على القوائم المالية الناتج عن إستراتيجية ونشاط التجارة الإلكترونية بالمنشأة،وفهم التكنولوجيا المستخدمة لتسهيل ذلك النشاط والمخاطر المرافقة له ودور الإدارة فى التغلب على هذه المخاطر0
- تحديد طبيعة وقت ومدى إجراءات المراجعة وتقييم أدلة الإثبات0
ب- أثر تكنولوجيا المعلومات على أدلة الإثبات :
ففى بيئة تكنولوجيا المعلومات، الشكل التقليدى لنماذج أدلة الإثبات وكذلك الشكل التقليدى لاختبارات المراجعة قد لا يكون متاحاً، فالأدلة التى يعتمد عليها المراجع فى تدعيم رأيه الفنى المحايد تجاه القوائم المالية المعدة بواسطة أنظمة تكنولوجيا المعلومات تختلف عما هو متعارف عليه فى ظل الأنظمة التقليدية وذلك من حيث([20]):-
المصدر : يصعب التحقق منه والطريق الوحيد هو تقنيات الرقابة والسرية0
التغيير : سهل ويصعب اكتشافه0
التوثيق : التوثيق والتصديق عليها صعب ويتم فقط بالاختبار الإلكترونى لنظم الرقابة والسيطرة0
الاكتمال : البنود المرتبطة بالعملية توجد بملفات متنوعة0
الشكل : منفصـل عـن البيانـات ويمكــن تغييره0
التوقيع : يحتاج إلى تكنولوجيا خاصة للتوقيع الإلكترونـى ولمـراجعته0
ج- أثر تكنولوجيا المعلومات على توقيت المراجعة :
إن بيئة تكنولوجيا المعلومات اللاورقية والمخاطر المرتبطة بها من فقدان بعض العمليات أو إتمامها بصورة غير صحيحة مع صعوبة اكتشاف الأخطاء ووجود دليل المراجعة لفترة قصيرة وكذلك ضرورة نشر معلومات وبيانات عن الشركات فى الوقت المناسب لمستخدمى المعلومات كل ذلك لابد وأن ينعكس على توقيت عملية المراجعة0
حيث يرى البعض أنه من غير الممكن أن تبدأ عملية المراجعة بعد انتهاء السنة المالية فى بيئة تكنولوجيا المعلومات عن طريق فحص عينات من العمليات كما هو الحال فى المراجعة العادية وذلك لأن([21]):-
1- لا يمكن للمراجع الشعور بالثقة بشأن جودة المعلومات المالية الناتجة من هذه البيئة والتى يتلاشى فيها الشكل المادى لأدلة الإثبات التى يعتمد عليها المراجع فى إبداء رأيه الفنى المحايد0
2- أن الطبيعة الخاصة لأدلة الإثبات فى ظل تلك البيئة قد تدعو إلى الحاجة إلى أن تتزامن عملية المراجعة مع وقت وقوع الحدث أو بعد وقوعه بفترة قصيرة0
مما لاشك فيه أن تكنولوجيا المعلومات يكون لها تأثير بارز على شكل وطبيعة اختبارات المراجعة بحيث أصبح المراجعون يقومون بهذه الاختبارات بطريقة أكثر تعقيداً، "فأصبحوا يؤدون اختبارات الالتزام (الرقابة العامة و رقابة التطبيق) والاختبارات الجوهرية (اختبارات تفاصيل العمليات والأرصدة و اختبارات الفحص التحليلى) معاً فى وقت واحد0 فوفقاً لمعايير المراجعة يجب على المراجع أن يقوم أولاً باختبارات مدى الالتزام ثم يقوم ثانياً بأداء الاختبارات الجوهرية وفقاً لنتائج اختبارات مدى الالتزام ، وهو ما يعرف بالاختبارات ثنائية الهدف أى الاختبارات التى يقوم بها المراجع لتحديد مدى الالتزام بمقومات الرقابة الداخلية وأداء الاختبارات الجوهرية للتفاصيل فى نفس الوقت بهدف استخدام وقته بفعالية وكفاءة" .
ويقوم المراجع فى ظل بيئة تكنولوجيا المعلومات بتقييم إجراءات الرقابة العامة(هى الرقابة ذات الآثار الحافزة وتشمل خطة التنظيم وعملية نشاط التشغيل وإجراءات توثيق وفحص واختبار النظم والبرامج والموافقة عليها و رقابة الجهاز و الرقابة على حيازة الجهاز والملفات 000) حتى يقرر مدى اعتماده على إجراءات الرقابة التطبيقية (هى الرقابة المرتبطة بمهام محددة يؤديها الحاسب مثل تطبيقات الأجور و المخزون 000) ، فإذا كانت إجراءات الرقابة العامة غير فعالة يستلزم ذلك من المراجع بذل جهد أكبر فى فحص واختبار العمليات المختلفة خوفاً من وجود أخطاء فى الحسابات المختلفة،وأما إذا اتسمت تلك الإجراءات بالفعالية فإن ذلك يزيد من قدرة المراجع على الاعتماد على إجراءات الرقابة التطبيقية بحيث ينحصر مجهوده فى اختبار إجراءات الرقابة التطبيقية الخاصة بالكفاءة التشغيلية ومن ثم يعتمد بصورة جزئية على إجراءات الرقابة المطبقة بواسطة المنشأة ويقلل من حجم الاختبارات التحليلية مما يزيد بصورة كبيرة من كفاءة مهمة المراجعة0
كما أن أساليب المراجعة تختلف كثيراً باختلاف درجة اعتماد العميل على تكنولوجيا المعلومات ، ففى ظل استخدام تكنولوجيا المعلومات بصورة غير معقدة (تسجيل أوامر الشراء أو الشحن والتفريغ 000) فإن مهام المراجع لا تختلف كثيراً عنها فى ظل الأنظمة التقليدية ولذلك يطلق على هذه المراجعة ( المراجعة حول الحاسب Auditing Around the Computer) بينما يطلق على المراجعة فى ظل الأنظمة الأكثر اعتماداً على تكنولوجيا المعلومات (المراجعة خلال الحاسب Auditing Through the Computer ) لذلك فإنه فى ظل البيئة المعقدة لتكنولوجيا المعلومات قد يستخدم المراجع إحدى الثلاث استراتيجيات التالية :
أ-مدخل البيانات التجريبية Test DATA Approach .
ب-مدخل التشغيل الموازى والمماثل لبيانات العميل Parallel Simulation Approach .
جـ-مدخـل نمـوذج المراجعـة المتلازم Embedded Audit Module Approach0
خلاصة المبحث
تحدث الباحث عن اثر تكنولوجيا المعلومات على مهنة المحاسبة ،وكيفية إحداث تغيرات هامة فى النظم المحاسبية ،والتأثير على الإجراءات الرقابية لهذه النظم . ثم تناول الباحث اثر تكنولوجيا المعلومات على مهنة المراجعة وعلى القائمين عليها ، وعلى دليل الإثبات ، وعلى شكل وطبيعة اختبارات المراجعة ، وعلى توقيت وإجراءات المراجعة ، وكيفية إعادة تأهيل المراجع حتى يتمكن من أداء دوره فى مجال مراجعة تكنولوجيا المعلومات بكفاءة وفعالية والتغلب على المشاكل التى صاحبت استخدام تكنولوجيا المعلومات0
المبحث الثانى
أثر تكنولوجيا المعلومات على خطر المراجعة
مقدمة :
انتهى الباحث فى المبحث السابق الى بيان اثر تكنولوجيا المعلومات على مهنة المحاسبة والمراجعة ،وكيفية إعادة تأهيل المراجع ،وفى هذا المبحث يقوم الباحث باستعراض مفهــوم أمــن وسلامـة المعلومات ,مع تحديد وتصنيف مخاطر أمن المعلومات ، ثم بيان أثر تكنولوجيا المعلومات على تقدير مخاطر المراجعة0
تعتبر المعلومات الدقيقة والكاملة بمثابة العمود الفقري بالنسبة لأى وحدة اقتصادية ترغب فى البقاء والاستمرار والنمو ، وذلك لأنها تمثل الأساس الذى تبنى عليه الإدارة قراراتها فى مواجهة المشاكل والأزمات المختلفة، ومما لا شك فيه أن وجود نظام معلومات جيد وملائم يعتبر بمثابة أحد العوامل الأساسية المحددة لمدى نجاح أو فشل أى إدارة فى تحقيق المستهدف منها بكفاءة وفعالية0
كما أن التطور السريع فى تكنولوجيا المعلومات والانتشار الواسع للنظم والبرامج ورغبة المنشآت فى اقتناء وتطبيق أحدث النظم والبرامج الإلكترونية قد جعل من اليسير على تلك المنشآت استخدام الحاسب الإلكترونى ، ومكنها من أداء العديد من المهام والوظائف المحاسبية بصورة أسرع وأدق، ولكن على الجانب الآخر "فإن هذا التقدم الهائل يحمل فى طياته العديد من المخاطر الهامة المتعلقة بأمن وتكامل النظم المحاسبية الإلكترونية ونظراً لأن التطور فى الحاسبات وتكنولوجيا المعلومات لم يصاحبه تطور مماثل فى الممارسات والضوابط الرقابية، كما لم يواكب ذلك تطور مماثل فى معرفة وخبرات ووعى العاملين بكثير من المنشآت " ([23])0
" ووفقاً لتقديرات إدارة العدالة الأمريكية U.S. Department of Justice فإن تسعة من كل عشرة منشآت تتعرض لاختراق نظامها الأمنى ,كما اعتبرت اللجنة التكنولوجية التابعة للمعهد الأمريكى للمحاسبين القانونيين (عام 2001) AICPA Technology Committee موضوع أمن ورقابة المعلومات ضمن أهم عشر قضايا ذات تأثير كبير على مهنة المراجعة" ([24]) .
وتتناول الدراسة فى هذا المبحث ما يلى :
أولا : مفهــوم أمــن وسلامـة المعلومات0
ثانيا : تهديدات وأشكال مخاطر أمن المعلومات0
ثالثا : تصنيـف مخاطــر أمــن المعلومات0
رابعا: أثر تكنولوجيا المعلومات على تقدير خطر المراجعة0
أولاً : مفهوم أمن وسلامة المعلومات :-
يقصد بأمن وسلامة المعلومات :
أ- ضرورة توفير مجموعة من الوسائل والإجراءات التى تحقق الحماية من الأحداث المستقبلية غير المرغوب فيها والتى تعتبر بمثابة تهديدات لنظام المعلومات لأنها تؤدى إلى حدوث إخلال بالأمن Breach of Security وفقدان التكامل والدقة داخل النظام([25])0
ب- وجود مجموعة من الإجراءات والأساليب التى تهدف إلى تحقيق الحماية للنظام من أى أحداث مستقبلية تهدد النظام وتؤدى إلى فقد المعلومات أو عدم دقتها أو فقد سريتها([26])0
من خلال المفاهيم السابقة يمكن تعريف أمن المعلومات بأنها :-
"كافة الأبعاد المتعلقة بضرورة تحقيق قدر من السرية والسلامة للمعلومات التى تمتلكها المنشأة رغم إمكانية إتاحتها ومراجعتها والمساءلة المرتبطة بعملية سوء استخدامها وتوفيرها لإمكانية الاعتماد عليها لاتخاذ القرارات المناسبة فى الوقت المناسب"0
- سرية المعلومات Confidentiality :وتعنى عدم إتاحة المعلومات لمن ليس له تصريح للإطلاع عليها أو عدم حصول الأطراف غير المسموح لهم عليها0
- تكامل المعلومات Integrity :وتعنى الحفاظ على المعلومات من التغيير أو التدمير أو التحريف وذلك لضمان أن تكون دقيقة وصحيحة ومكتملة أثناء تخزينها وأثناء نقلها ، وأن يتم تشغيلها بطريقة صحيحة,وتتضمن خاصية السلامة إمكانية الاعتماد على المعلومات Reliability حيث لم يحدث أى تحريف أو تلاعب فى المعلومات لاتخاذ القرارات0
- الاتاحية Availability : أى إمكانية الوصول إلى المعلومات وتوافرها واستخدامها عند طلبها فى الوقت الملائم من قبل المستخدمين المصرح لهم وفى المكان المناسب0
- إمكانية المساءلة عن المعلومات Accountability :أو إمكانية مراجعة المعلومات ويشير ذلك إلى أن القيام بفحص معين يتضمن أن أفعال وعمليات وتصرفات منشأة معينة يمكن ردها إلى تلك المنشأة فقط دون أى لبس أو غموض0
- توثيق المعلومات :وتعنى التحقق من سلامة هوية الشخص أو الجهة التى يتم التعامل معها، والتأكد من أنه طرف مصرح له بالدخول إلى موقع أو نظام معلومات المنشأة والإطلاع على ما به من معلومات0
" ويترتب على عملية فقد التوثيق ظهور نوع من المخاطر يسمى "مخاطر إنكار الالتزامات Repudiation Risk" وهذا يعنى قيام أحد أطراف العملية بإنكار حدوثها كإنكار استلام أمر التوريد أو إنكار استلام البضاعة، مما يترتب عليه حدوث كثير من المشاكل والمنازعات نتيجة عدم استلام البضائع التى تم دفع قيمتها أو عدم استلام نقدية لسلع تم شحنها "([28])0
ثانيا: تهديدات وأشكال مخاطر أمن المعلومات :-
ترتب على استخدام النظم الالكترونية Computerized Systems نمو فى جرائم الحاسبات Computer Crimes، وقد أصبحت تلك الجرائم شائعة و متداولة خصوصاً فى الدول المتقدمة0
ويقصد بجرائم الحاسبات Computer Crimes "استخدام النظم الالكترونية بشكل مباشر من خلال القائمين على نظام المعلومات أو بشكل غير مباشر (عن بُعد) للقيام بأنشطة تتصف بعدم القانونية كالسرقة أو التخريب أو التلاعب مما قد يؤدى إلى تحقيق أضرار بالغة سواء بالنسبة لحائزى الحاسبات الالكترونية الشخصية (PC) أو بالنسبة للوحدات الاقتصادية المستخدمة للحاسبات والتأثير على إدارتها والعاملين بها، وقد تؤدى أيضاً إلى التأثير السلبى على مستوى الأمن القومى ككل، و قد ظهرت العديد من المحاولات الجادة لمحاولة تجريمها خصوصاً بعد أحداث 11 سبتمبر 2001 فى أمريكا سعياً نحو وضع حد لتلك الجرائم لما قد تنطوى عليه من مخاطر قد تصيب المجتمع ككل وتؤثر على نموه الاقتصادى " ([29])0
v مصادر تهديد أمن المعلومات :
يعرف التهديد Threat بأنه "حدث محتمل غير مرغوب قد يؤدى إلى خسارة أو أضرار"، وتتعدد مصادر التهديد ومنها :- ([30])
1- الكوارث الطبيعية : مثل الحريق والعواصف والزلازل والفيضان0
2- القابلية للتعرض للمخاطر Vulnerabilities : - وتعرف بأنها "نقاط الضعف فى النظم التى قد تستغل فى حدوث المخاطر([31])، وتنشأ القابلية للتعرض للمخاطر فى نظام أمن المعلومات من الضعف فى نظام التشغيل ومكوناته فتحويل الملفات من وإلى الحاسبات خلال الشبكة الخاصة قد تخلق مشاكل محتملة فمثلاً وفقاً للمعايير الحالية لبروتوكول تحويل الملف (FTP) File Transfer Protocol ترسل كلمة المرور Password للملفات الحساسة فى وضوح بدون تشفير مما يمكن لأى شخص اكتشافها واستغلالها0
3- تهديدات بشرية خارجية : أى التى تنشأ من أفراد خارج المنشأة وتتكون من :
أ- التهديدات من القراصنة Hackers : والقرصان هو فرد يهدف إلى الوصول غير المصرح به لنظام الحاسب للمنشأة عن طريق البحث عن نقاط ضعف فى إجراءات الأمن ،وفى الموقع الالكترونى للمنشأة ،ونظم الحاسب والاستفادة من نظام الإنترنت المفتوح وهو ما يطلق عليه الاقتحام أو الاختراق، ويطلق تعبير Cracker على قرصان ذو نية إجرامية حيث يكون هدفه تدمير النظام0
ب- التهديدات من المنافسين أو العملاء أو الموردين Outsiders : قد يتمكن المنافسون من اقتحام نظام المنشأة الأمنى والوصول إلى قوائم العملاء والإطلاع على تنبؤات المبيعات وعروض المناقصات والأسعار وقد تتعرض المنشأة لهذه التهديدات من العملاء أو الموردين, مما قد يؤدى إلى :-
- إمكانية سرقة معلومات هامة قد تكون على درجة من السرية ويمكن الاستفادة منها مالياً0
- إمكانية تحريف بيانات النظام وبالتالى يؤدى استخدامها إلى قرارات خاطئة0
- إمكانية إدخال فيروسات إلى نظام المعلومات تعمل على إتلاف وتدمير أو تخريب كل أو بعض البيانات أو الملفات وبالتالى تفريغ المحتوى المعلوماتى للنظام0
- إمكانية إعاقة عمل نظام المعلومات من خلال إغراقه بطلبات تبادل البيانات مما يؤدى الى إعاقة وصول المستخدمين الطبيعيين إلى النظام .
4- تهديدات بشرية داخلية :أى تنشأ من قبل أفراد داخل المنشأة وتتكون من :
أ- الموظفين Employees : سواء كانوا من الموظفين السابقين الذين فقدوا وظائفهم أو الموظفين الحاليين مستخدمين لما لديهم من سلطات أو معلومات بهدف تحقيق مصالح شخصية خاصة بهم أو لأقاربهم وبصرف النظر عن دوافعهم ،ويمثل الموظفون تهديدا حقيقيا لأن لديهم القدرة على الوصول إلى معلومات المنشأة.
ويؤدى عدم كفاءة المستخدمين الداخليين عادة إلى إدخال بيانات غير صحيحة أو حذف بيانات بطريق الخطأ، ويعتبر هذا النوع من التهديد مصدرا هاما للخسائر المالية المرتبطة بنظام المعلومات.
ب- شركاء التجارة : أوضحت إحدى الدراسات([32]) أن 90% من اختراقات الأمن تأتى من داخل المنشأة بسبب أن أفراداً يتم اعتبارهم خارجيين وهم داخلون مثل شركاء التجارة الذين لديهم إمكانية الوصول إلى النظم الداخلية لبعضهم البعض0
وأن حدوث أى من التهديدات والأخطار السابق ذكرها يمكن أن يؤدى إلى الآثار التالية:- ([33])
1- تحمل المنشأة تكاليف مباشرة لإصلاح الأضرار الناتجة عن حدوث هذه التهديدات والأخطار بالإضافة إلى خسائر مالية نتيجة سرقة أموالها من البنوك0
2- توقف نظام المعلومات لبعض الوقت، مما يؤدى إلى احتمال فقد بعض الإيرادات متى كانت تعمل فى مجال التجارة الإلكترونية0
3- خسائر نتيجة إفشاء بعض المعلومات الهامة للمنافسين ، مما يمكنهم من التعرف على خطط التشغيل المزمع تنفيذها، أو المنتجات الجديدة ومواصفتها ومنافذ توزيعها 000 الخ، وغيرها من المعلومات الهامة كطبيعة العقود وشروطها0
4- توقف نظام المعلومات لأى منشأة لبعض الوقت قد يؤدى إلى إحداث خلل أو تعطيل فى أنظمة معلومات بعض عملائها مما قد يفقدهم الثقة بها وتجنب التعامل معها مستقبلاً الأمر الذى قد يؤدى إلى حدوث خسائر مالية ضخمة لدرجة يصعب تخيلها
** أشكال مخاطر امن المعلومات :
يؤكد البعض على أن "نظام المعلومات الإلكترونية يتعرض لكثير من المخاطر والتهديدات ومنها التلاعب فى البيانات بقصد تدميرها سواء بالحذف أو التغيير أو الدمج غير الصحيح لبعضها أو بخلطها ببيانات أخرى غير حقيقية أو تبويبها بشكل خاطئ تفقد معها مدلولها ومعناها "([34])، وأن هذا التلاعب يمكن أن يحدث فى أجزاء مختلفة من نظام المعلومات المحاسبى المستخدم كحساب التكاليف أو المخزون أو النقدية 000 الخ، "وقد يكون تدمير البيانات ناتجاً عن تغيير (تعديل) فى البيانات (Modification) Data change بشكل لا يجعلها تعبر عن الحقائق التى نتجت عنها أصلاً مثل التلاعب فى حسابات المدينين والدائنين بقصد الغش، وقد يحدث هذا التلاعب فى مراحل مختلفة من النظام مثل المدخلات أو التشغيل أو التخزين أو المخرجات، ويمكن أن يكون تدمير البيانات جزئياً أو كلياً وفى الحالة الأخيرة قد يصعب تصحيح البيانات أو استعادتها مما يشكل خسارة كبيرة لنظام المعلومات وما ينتجه من مخرجات ،وقد يهدف التلاعب فى النظام إلى الإطلاع على بيانات سرية Disclosure of Confidential Data مثل بيانات تخطيط الربحية أو بيانات الأفراد (الرواتب والترقيات والعلاوات) ويمكن للمتلاعب فى هذه الحالة ليس فقط الإطلاع على البيانات وإساءة استخدامها بل أيضاً سرقة بعضها أو كلها، ذلك كله قد ينتج عنه خسائر للمنشآت تكون كبيرة فى بعض الحالات "([35])0
وعلى هذا يمكن للباحث أن يعرف مخاطر تكنولوجيا المعلومات بأنها :-
"إمكانية حدوث خسارة أو تدمير للبيانات أو استخدام البيانات أو البرامج بطريقة تضر بطرف آخر أو إمكانية حدوث أضرار بالأجهزة أو النظام سواء كانت تلك الخسارة ناتجة من الداخل أو الخارج بغرض تحقيق مصلحة شخصية أو بغرض اللعب أو العبث"0
والجدير بالذكر أن إحدى الدراسات([36]) فى مجال أمن نظم المعلومات قد أوجدت نوعا من عدم التمييز الواضح بين مخاطر أمن نظم المعلومات Security Threats وبين عدم كفاية الضوابط الرقابية لأمن تلك النظم Inadequacy of Security Controls فقد اعتبرت تلك الدراسة ضعف أو عدم كفاية بعض الأدوات والضوابط الرقابية المتعلقة بأمن نظم المعلومات على أنها تهديدات أو مخاطر لأمن تلك النظم ، و على سبيل المثال :-
1- ضعف الرقابة على وسائل الاتصال Media (الشرائط والأقراص الممغنطة)0
2- ضعف الرقابة على المناولة اليدوية لمدخلات ومخرجات الحاسب0
3- عدم وجود نسخ إضافية من البيانات وعدم وجود رقابة على قراءة وتحديث وتعديل البيانات0
4- عدم الفصل الجيد بين الوظائف المحاسبية وكذلك بين وظائف ومهام نظم المعلومات0
5- عدم كفاية الرقابة على وسائل حفظ وتخزين المعلومات مع عدم وجود نظام جيد للمراجعة والفحص0
وقد أشارت الدراسة صراحة إلى أن بعض البنود التى اشتملت عليها لا يمكن اعتبارها من مخاطر أمن نظم المعلومات بالمعنى الحرفى ، ولكن قد وضعها الباحث فى الدراسة لاعتقاده بأهمية تلك البنود لإدارة تكنولوجيا المعلومات وتحسين الممارسات الموجودة0
ثالثاً : تصنيف مخاطر أمن المعلومات :
يمكن تصنيف وتبويب مخاطر أمن المعلومات من وجهات نظر مختلفة كالآتى :
ý وفقاً لمصدرها :
يمكن تبويب مخاطر أمن نظم المعلومات وفقاً لمصدرها إلى عنصرين أساسيين هما :
- مخاطر داخلية Internal Risk :ويمثل موظفى الشركة المصدر الرئيسى لتلك المخاطر0
- مخاطر خارجية External Risk :ويمثل المغامرون والقراصنة (Hackers) والكوارث الطبيعية Natural Disasters المصدر الرئيسى لتلك المخاطر0
وتشير إحدى الدراسات([37]) إلى خطورة المخاطر والتهديدات الداخلية وما ينتج عنها من خسائر مقارنة بالمخاطر الخارجية، نظراً لأن موظفى المنشأة غير الأمناء يكون لديهم صلاحيات الدخول إلى النظام والوصول إلى البيانات مما يعطيهم القدرة على تدمير أو تخريب أو تعديل تلك البيانات ، وأضف إلى ذلك درايتهم ومعرفتهم بنقاط الضعف ونواحى القصور فى نظام الرقابة المستخدم داخل المنشأة، أما المخاطر الخارجية فلا تقل أهمية عن المخاطر الداخلية نظراً لأن قراصنة المعلومات عادة ما يستغلون مهارتهم فى استخدام تكنولوجيا المعلومات (IT) فى الدخول غير القانونى (غير مصرح به) إلى النظام المستخدم بهدف التلاعب فى البيانات أو بهدف السرقة أو الاختلاس أو التربح المالى عن طريق إعلام المنافسين (Competitors) بالمعلومات السرية مثل بيانات التكاليف (Cost Data) والربحية وخطط المنشأة المستقبلية0
ý وفقاً للمتسبب فيها The Perpetrator :
أ- مخاطر ناتجة عن العنصر البشرى Human Threats : - تحتل هذه النوعية من المخاطر المكانة الأولى نظراً لأنه بكفاءة وفعالية العنصر البشرى فى ظل نظم متوسطة الكفاءة يمكن أن تنجح المنشأة وبالعكس تفشل أنجح الأنظمة مع إهمال وسوء أدائها وتنقسم إلى :-
1- سوء أداء الموارد البشرية Malfunctions : أى وقوع أخطار نتيجة لسوء الأداء الذى تقدمه الموارد البشرية والبرامج والأجهزة ويكون الإهمال أو القصور فى الكفاية بصفة عامة سواء كان بحسن نية أو متعمداً فالنتيجة فى النهاية واحدة، وبالتالى فإن خطأ العنصر البشرى البسيط قد يؤدى إلى خسائر كبيرة تفوق الخسائر التى يمكن أن تحققها المخاطر الأخرى مجتمعة0
2- مخاطر ناتجة عن الغش الإلكترونى Electronic Fraud Risk : أى تعرض نظم المعلومات الإلكترونية لمخاطر الغش والتلاعب والاقتراب غير المصرح به عن طريق انتحال شخصية مستخدم حقيقى للنظام وتصميم أساليب للتلاعب وذلك بهدف الحصول على أموال غير مشروعة أو أصول0
ب- مخاطر ناتجة عن العنصر غير البشرى Non Human :
وهى المخاطر التى ليس للإنسان دخل فيها والتى تكون نتيجة ظروف قهرية مثل : الزلازل والبراكين والأعاصير وغيرها من الكوارث الطبيعية0
ý وفقاً لتعمدها Intention :
يمكن تبويب تلك المخاطر على أساس تعمدها إلى مخاطر ناتجة عن([39]):
أ- تصرفات متعمدة أو مقصودة Intentional مثل الإدخال المتعمد لبيانات غير صحيحة أو التدمير المتعمد للبيانات وهنا يجب التأكيد على أن التصرفات المتعمدة عادة يكون بقصد ارتكاب بعض جرائم الحاسب وتدمير بعض أو كل الملفات الهامة أو بعض مكوناتها بهدف التربح من ورائها وعادة تأخذ تلك التصرفات شكل الإلغاء Deleting أو تعديل وتحريف Alternating أو خلق معلومات مضللة وغير صحيحة0
ب- تصرفات غير مقصودة أو غير متعمدة Accidental، مثل الإدخال أو التدمير غير المتعمد للبيانات نتيجة السهو أو الخطأ، وعلى الرغم من أن غالبية تلك التصرفات تكون مكلفة فى بعض الأحيان إلا إنها يمكن تصحيحها Corrected أو تفاديها Avoided بمزيد من التدريب للموظفين وحسن الإشراف عليهم0
ý بناءً على الآثار الناتجة عنها Consequences :
يمكن تصنيف تلك المخاطر وفقاً للآثار الناتجة عنها إلى([40]):
أ- مخاطر ينتج عنها أضرار مادية Physical Damage للنظام وأجهزة الحاسب الالكترونى أو التدمير المادى لوسائل تخزين البيانات مثل الشرائط والأقراص الممغنطة والتى قد تنتج من بعض الظواهر الطبيعية كالفيضانات أو انقطاع التيار الكهربائى أو من سقوط النظم أو الشبكات لفترات طويلة0
ب- مخاطر فنية ومنطقية Technical or Logical والتى قد تصيب البيانات الموجودة بالحاسب أو على الشرائط الممغنطة، وقد يكون ذلك بتحريف البرامج وإدخال جراثيم للكمبيوتر والتى قد تؤثر سلباً على إتاحة البيانات Availability عند الحاجة إليها، وذلك بحجبها عن الأشخاص المخول لهم الإطلاع عليها أو استخدامها Denial of Use أو الإفصاح عن البيانات السرية لأشخاص غير مخول لهم الإطلاع عليها Confidentiality والتى قد تؤثر على الموقف التنافسى للمنشأة أو التأثير على تكامل Integrity البيانات والبرامج داخل النظام0
ý وفقاً لعلاقتها بمراحل النظام التكنولوجى المستخدم :
يمكن تصنيف مخاطر أمن المعلومات على أساس علاقتها بمراحل النظام إلى([41]):
أ- مخاطر المدخلات Input Risk وتتمثل تلك المخاطر فى :
1- إدخال بيانات غير سليمة :ويكون ذلك بخلق بيانات زائفة وغير صحيحة ولكن باستخدام نماذج ومستندات سليمة وإدخالها خلسة داخل رزم العمليات بدون أن يتم اكتشافها مثل إدخال أمر بيع مباشر مع قيود المبيعات مما يصعب على المراجع اكتشاف ذلك خاصة فى حالة عدم وجود مستندات ورقية للعمليات وقد يكون ذلك الغش والتلاعب فى البيانات الدائمة Standing Data مثل إدخال أسماء وهمية ضمن كشوف المرتبات مما يترتب عليه صرف مرتبات شهرية لموظفين وهميين، وقد يكون التلاعب فى بيانات العمليات Transactions Data مثل إدخال فاتورة وهمية باسم أحد الموردين0
2- تعديل أو تغيير فى بيانات المدخلات :ويكون ذلك بالتلاعب فى المستندات والمدخلات الأصلية بعد اعتمادها من الشخص المسئول وقبل إدخالها إلى الحاسب وقد يحدث ذلك بزيادة رقم المصروف الفعلى الموجود بالمستندات أو تغيير اسم أو عنوان مقدم طلب القرض أو تغيير معدل الفائدة على بعض العمليات0
3- حذف بعض المدخلات :ويكون ذلك بحذف بعض المستندات كلية أو استبعاد بعض البيانات قبل إدخالها إلى الحاسب الالكترونى وذلك بحذف المستندات من رزمة السجلات أو حتى حذف الرزمة بالكامل، فعلى سبيل المثال قد اعتاد الموظف المسئول عن المرتبات فى منشأة ما على تدمير مذكرات إنهاء خدمة (تعاقد) الموظفين بالمنشأة وتعديل تفصيلات حساب البنك بحيث يدفع المرتب فى حساب خاص بالموظف الذى قام بالتلاعب فى الحسابات0
4-إدخال البيانات أكثر من مرة :ويكون ذلك باختيار بعض المستندات وإدخال بياناتها أكثر من مرة إلى النظام مثل أوامر الدفع أو أوامر تسليم المخزون وذلك لتشغيلها أكثر من مرة لصالح القائم بعملية الاختلاس أو التلاعب ويكون ذلك إما بعمل نسخ إضافية من مستندات المدخلات الأصلية وتقديم كل من الأصل والصورة لإدخالها للحاسب الالكترونى 0
وهنا يؤكد الباحث أن " التلاعب فى البيانات الدائمة يكون من الصعب اكتشافه لأن مصدر التلاعب هو عملية واحدة وحدث غير متكرر بعكس بيانات العمليات المتكررة .
ب- مخاطر تشغيل البيانات : وينصب تأثير تلك المخاطر بصفة أساسية على البيانات المخزنة فى ذاكرة الحاسب والبرامج التى تقوم بتشغيل تلك البيانات وتتمثل تلك المخاطر فى :
- تعديل وتحريف البرامج أو عمل نسخ غير قانونية منها0
- استخدام البرامج بطريقة غير مصرح أو مرخص بهـا0
- إدخال القنابل الموقوتة والجراثيم Viruses إلى أجهزة الحاسب الالكترونى 0
- تعديل وتحريف البرامج باستخدام حصان طروادة أو أسلوب سلامى أو غيرها من الأساليب التى تحتاج إلى خبرات متخصصة فى الحاسب والبرمجة0
ج - مخاطر مخرجات الحاسب :
إن مخاطر مخرجات الحاسب تتمثل فى سرقة تلك المخرجات Stetting أو إساءة استخدامها أو توجيهها إلى أشخاص غير مصرح لهم باستلامها أو الإطلاع عليها نظراً لسريتها أو لأنهم غير مخول لهم صلاحيات الإطلاع عليها أو أن هؤلاء الأشخاص لا تتوافر فيهم المقومات الأمنية .
ý مخاطر ناتجة من استخدام الشبكات NETWORK RISKSوهى:-
نظراً لسرعة وسهولة إرسال الرسائل بواسطة البريد الإلكترونى جعل كثيراً من المنشآت تعتمد عليه فى إنهاء بعض صفقاتها الأمر الذى قد يسهل حدوث بعض أنواع الاحتيال، فقد تكون رسائل البريد الإلكترونى متضمنة مجموعة من الفيروسات تهدف إلى ضياع البيانات والمعلومات الموجودة داخل النظام، لذلك يجب الحذر من فتح الملفات الملحقة بالرسائل الإلكترونية لأنها أكثر وسائل الاختراق من قبل قراصنة ومحترفي شبكة الإنترنت، ولذلك فإنه يجب عدم فتح الملفات المرفقة إذا كانت من أحد الأنواع التى تنتهى بالاختصارات التالية([43]):
1- (Executable Files) EXE يعنى وجود ملف تنفيذى، وهذا خطير جداً لأنه ينفذ الأمر المطلوب منه بطريقة آلية 0
2- (Batch Files) BAT يعنى وجود أمر معين موجه لأحد ملفات التشغيل فى الجهاز0
3- (Application Files) APP يعنى وجود ملف به برنامج تطبيقى وهو خطير لأنه ممكن أن يكون به معلومات لا يجوز للغير الإطلاع عليها0
ب- الخطر الأمنى الناتج من الفيروسات :
الفيروس هو شفرة أو كود أو برنامج يقوم بنسخ وتكرار وإلحاق نفسه ضمن برنامج أو ملفات الحاسب عند التنفيذ ويعمل تلقائياً، محدثاً تأثيرات غير مرغوبة دون علم أو رغبة المستخدم الفعلى للحاسب([44])، وتسبب تلك الفيروسات أمورا غير متوقعة وأشياء غير مرغوبة،وأن كثيرا من هذه الفيروسات تحاول الهرب من اكتشافها إما بطريقة ترميزها أو تغير من نفسها بعض الشئ فى كل مرة تتزايد فيها، ويمكن تقسيم الفيروسات إلى ثلاثة أنواع رئيسية هى([45]):
1- فيروسات ملفات التلويث File Infector Viruses0
2- الفيروسات التى تصيب التشغيل System أو بدء العمل Boot-record0
3- الفيروسات الصغيرة Macro Viruses0
والفيروسات الصغيرة هى أغلب الفيروسات الشائعة فى مصر وأقلها ضرراً ،وفى أحدث التقارير الصادرة عام 2008 من الشركات الأمريكية المتخصصة فى أمن المعلومات أظهرت انه يتم تدمير موقع على الانترنت كل 5 ثوانى بسبب الفيروسات ونسبة التدمير الأكبر فى أمريكا 42%تليها الصين 31%ثم أوروبا 15% "، وهناك خطر آخر يطلق عليه دودة الحاسب([46]) Computer Worm و ديدان الحاسب يمكنها أن تكرر نفسها عن طريق اكتشاف نقاط الضعف فى نظم التشغيل، ولذا فدودة الحاسب مشابهة للفيروس فيما عدا أن الدودة لا تحتاج إلى أن ترفق ببرنامج آخر لتنتشر .
ج- مخاطر تعرض موقع المنشأة للغش والاحتيال :
يحاول الدخلاء “Outsiders” إخفاء هويتهم والتخفى كشخص آخر ويطلق على ذلك الخداع spoofing ويعمل المخادع على إعادة توجيه اتصال الموقع إلى موقع مختلف عن المستهدف، وعلى الرغم من أن هذه الطريقة لا تدمر الملفات إلا أنها تهدد سلامة الموقع وتهدد عمليات التوثيق ،وتجعل من الصعوبة التحقق من المرسل الحقيقى للرسالة، حيث يمكنهم سرقة بيانات بطاقات الائتمان وكلمات المرور للعملاء ومن هذه المعلومات يمكنهم انتحال هوية هؤلاء العملاء([47])0
د- مخاطر قانونية وتشريعية([48]): "تنشأ هذه المخاطر فى حالة انتهاك القوانين أو القواعد أو الضوابط المقررة خاصة تلك الخاصة بحماية المستهلكين فى بعض الدول أو لعدم المعرفة القانونية لبعض الاتفاقيات المبرمجة باستخدام وسائل الكترونية، وتتمثل فى مخاطر اختراق حقوق التأليف والاختراع والإعلان المضلل ومخاطر فشل الإلزام بالعقود التى لا يوجد إلا دليل الكترونى عليها هذا بالإضافة إلى مخاطر حماية حقوق الملكية الفكرية وممارسة بيع أو توزيع منتجات ممنوعة " .
هـ- خطر تعطيل الشبكة ([49]):- بمعنى أن تتوقف الشبكة عن العمل نتيجة عطل الأجهزة أو فقد البيانات أو البرامج بسبب حادث أو غيره وما يترتب على ذلك من تكاليف ،لذلك لابد من العمل على ضرورة استخدام شبكات وأنظمة مساعدة للشبكات على مستوى عالى من الجودة 0
و- خطر(ربوت الشبكات) ([50]) Botnets:
هو نوع من مخاطر غزو الشبكات حيث يجد لصوص الانترنت طريقة سرية لاقتحام الشبكات عن طريق استخدام Bots التى تمكن المهاجم (اللص) من السيطرة على الحاسب من بعد، حيث يتم توجيه أجهزة النظام من بعد بواسطة اختراق الشبكة من نقاط ضعيفة بها دون علم المشرف عليها ، بهدف سرقة كلمة السر، أو معرفه أسماء المستثمرين أو أرقـام الحسابات بالبنوك أو أرقام بطاقات الائتمان أو الحصول على أموال، ويعتبر العديد من خبراء أمن المعلومات أن Bots تعد التخوف الأمنى الأول بسبب انتشار استعمالها المستمر من جانب اللصوص وأن عددا متزايدا من المنظمات يقع ضحية Botnets دون معرفتهم، وأفضل طريقة لمحاربة Botnets هى عمل استراتيجيات تسمح بإصلاح الحاسب بأحدث الأنظمة ضد الفيروسات واستعمال الحوائط النارية وعزل الحاسبات التى كانت خارج المكتب ،وتغيير كلمة السر للشبكة المصابة وللمستخدمين ،وتطبيق سياسات لفرض عقوبات على المستخدمين لمن يقوم منهم بتشغيل برامج غير معروفة على الأجهزة .
0
مسئولية المراجع عن سلامة أمن المعلومات من التهديدات والمخاطر السابقة :
تعتبر إدارة المنشأة هى المسئولة عن أنظمتها التكنولوجية وسلامة أمن معلوماتها ومحتوياتها من المعلومات المالية وغير المالية ويعتبر المراجع مسئولاً عن تقييم نظام الرقابة الداخلية والتى يتطلب منه بالضرورة تطوير أساليب المراجعة للتأكد من أن أنظمة الرقابة الداخلية كافية لمنع واكتشاف حالات الغش المالى وإبداء رأيه فى نظم الرقابة الداخلية التى تتبعها المنشأة وكذلك توجيه النصح للإدارة فى المشاكل التى تتعلق بالأمن والرقابة بشكل ديناميكى مستمر0ويجب أن يتحقق المراجع من كفاية سياسات ووسائل الحماية المطبقة بالشركة مثل جدران الحماية 000 الخ ونظم التشغيل ووسائل الحماية الأخرى الملائمة0
" ويعتبر المراجع غير مسئول فى حالة تأسيس مواقع مزيفة بغرض الغش التجارى الإلكترونى، وفى حالة اختراق موقع الشركة للعبث بمحتوياته وتخريبه، وفى حالة تشويه عرض القوائم المالية باستخدام الوسائل المتعددة التى يوفرها الإنترنت ، وفى حالة نشر معلومات جزئية لم يتم مراجعتها عن الأداء المالى والتشغيلى للشركة "([51])0 والمراجع لا يعد مسئولاً عن الفيروسات التى تصيب الحاسبات الموجودة بالمنشأة التى يراجع حساباتها إلا أنه يجب عليه التأكد من([52]):
1- أن إدارة الحاسب بالمنشأة تراعى بدقة إتباع الوسائل الكفيلة بتجنب الإصابة بفيروسات الحاسب0
2- أن إدارة الحاسب بالمنشأة تراعى استخدام نسخ أصلية من البرامج والتطبيقات0
3- أن إدارة الحاسب بالمنشأة تراعى استخدام برامج مقاومة الفيروسات وتواظب على تحديثها بصفة مستمرة0
4- الحصول على تأكيد مكتوب من الإدارة يفيد بأنها اتخذت الإجراءات والوسائل الكفيلة لتجنب أضرار الفيروسات0
5- إضافة فقرة إضافية توضيحية فى تقرير المراجعة فى حال إذا ما تأكد المراجع من عدم قدرة الإدارة على مواجهة آثار تلك الفيروسات0
رابعاً : أثر تكنولوجيا المعلومات على تقدير خطر المراجعة :
مع تطور تكنولوجيا المعلومات والاتصال واعتماد المشروعات على الوسائل التكنولوجية الحديثة فى إتمام معاملاتها، زادت احتمالات وجود تلاعب وغش فى تلك المعاملات، ومن ثم زادت معها مخاطر المراجعة حيث تزداد معدلات التلاعب فى الشركات التى تتميز بالاعتماد على مستوى عالى من تكنولوجيا المعلومات([53])0
وحيث أن أغلب الأنشطة التجارية تعتمد فى إتمامها على مستوى عال ومتقدم من تكنولوجيا المعلومات تتسم بتعقد أنظمتها، فان اكتشاف الأخطاء والغش يعد أكثر صعوبة مما يترتب عليه زيادة مخاطر المراجعة بصفة عامة مما يتطلب ضرورة تقديرها ورقابتها ومحاولة السيطرة عليها0
ويرى البعض أن طبيعة تكنولوجيا المعلومات سوف تؤثر على خطة المراجعة ومخاطرها والأهمية النسبية للبنود محل الفحص والمراجعة([54])، ويمكن توضح هذه الآثار فيما يلى :-
أ- الأثر على تقدير المخاطر الحتمية :
ترتبط المخاطر الحتمية بطبيعة نشاط المشروع وظروف التشغيل به، كذلك طبيعة رصيد الحساب أو نوع العمليات، ويعد تقدير تلك المخاطر أمراً هاماً جداً لأنه يأتى فى مرحلة قبول أو رفض المراجع لعمليات المراجعة، وهناك العديد من العوامل التى يجب أخذها فى الاعتبار عند تقدير المخاطر الحتمية لمراجعة أنشطة تكنولوجيا المعلومات منها([55]):
1- الأنظمة التى تمارس من خلالها أنشطة إتمام الصفقات الإلكترونية0
2- حجم الصفقات الإلكترونية ومدى تنوع مكوناتها ودورة إتمامها وكيفية التوجيه المحاسبى لها0
3- كيفية إدارة الموقع الإلكترونى للمشروع على شبكة الانترنت0
4- اتجاهات الإدارة، ومدى كفاءة العاملين بالمشروع0
ويجب أن يكون المراجع لديه الإلمام الجيد بالعوامل السابقة، حيث أن ذلك يساعده على التقدير السليم لتلك المخاطر، وتقدير تلك المخاطر يشتمل على نوعين :
- تقدير كمى : حيث يتم تقدير المخاطر الحتمية بصورة كمية بحيث تتراوح بين( صفر، 1) أى عدم وجود مخاطر حتمية أو وجود مخاطر حتمية عالية جداً0
- تقدير نوعى : ويتم فيه تقسيم المخاطر الحتمية إلى ثلاثة مستويات منخفضة، متوسطة، مرتفعة0
وعلى هذا فان ممارسات الأعمال فى ظل تكنولوجيا المعلومات متمثلة فى التجارة الإلكترونية ستؤثر بالضرورة على تخطيط أعمال المراجعة، كما سيكون لها تأثير على نموذج خطر المراجعة حيث سيزداد مستوى الخطر المتلازم بسبب([56]):
1- التداخل الكبير بين معاملات المنشأة حيث تساعد التجارة الإلكترونية على تزايد اقتراب العلاقات التجارية وتكامل الأعمال عملياً مما قد يؤثر على الخطر المتلازم لأن تلاعب أحد الأطراف قد يؤثر عكسياً على الشركاء والعملاء الآخرين0
2- اعتماد نظم المعلومات المحاسبية الفرعية على بعضها البعض بدرجة كبيرة حيث أن أى خطأ أو تلاعب فى نظام معلومات فرعى سيؤدى إلى آثار سيئة على النظام ككل على سبيل المثال : خطأ غير مكتشف فى تطبيقات نظام المدفوعات النقدية قد يؤثر عكسياً على التدفقات النقدية للشركة وثقة عملائها ومورديها فى نظام معلوماتها0
3- زيادة احتمال فقد المستندات الإلكترونية والاعتماد على طرف ثالث فى إتمام الكثير من الصفقات والمعاملات للمنشأة0
4- صعوبة الثقة فى سلامة المعلومات فى ظل اختفاء الدليل الورقى والاعتماد على الدليل الإلكترونى الذى يصعب على المراجع استرجاعه بسهولة، كما أنه عرضة للتغيير من قبل إدارة الشركة0
ب- الأثر على تقدير مخاطر الرقابة :
تزايدت أهمية تقدير مخاطر الرقابة خاصة فى ظل التغيرات التكنولوجية الحديثة حيث يرى البعض([57]) "أن تقدير أخطار الرقابة أصبح خطوة هامة فى عملية المراجعة فى ضوء واجب المراجع فى كشف الأخطاء والتلاعب الهام نسبياً طبقاً لمعايير المراجعة، حيث يجب أن ينظر إلى نتائج فحص الرقابة الداخلية وتقدير أخطارها باعتبارها أدلة إثبات فى حد ذاتها عن صحة القوائم المالية وليست مجرد وسيلة لتقدير مقدار أدلة الإثبات الواجب جمعها"0
ويتفق الباحث مع وجهة النظر هذه وخاصة فى ظل غياب واختفاء أدلة الإثبات الورقية لتحل محلها أدلة الإثبات الإلكترونية، حيث يمكن أن تعتبر نتيجة فحص وتقدير مخاطر الرقابة أحد الوسائل الهامة لتعويض غياب أدلة الإثبات الورقية وبمثابة أحد أهم العناصر التى يستند إليها المراجع لتكوين رأيه0
وهناك العديد من الأسباب والعوامل التى أدت إلى تزايد مخاطر الرقابة فى المشروعات التى تستخدم تكنولوجيا المعلومات فى أنشطتها التجارية منها ([58]):
1- تزايد عدد النظم الفرعية التى تقوم بتنفيذ وخدمة النشاط0
2- كثير من الشركات لا تدرك أهمية أمن نظم المعلومات وتقدر مخاطر الرقابة عند مستوياتها الدنيا ولا تدرك هذه الشركات أن أمن البيانات والمعلومات أصبح أحد المتطلبات الهامة لاستمرارها0
3- اتساع نطاق أهداف الرقابة الداخلية ليشمل أيضاً سلامة وأمن المعلومات وضمان سلامة توثيق معاملات التجارة الإلكترونية0
4- ضرورة اهتمام أدوات وسياسات الرقابة الداخلية بحماية موقع الشركة على الانترنت وضرورة أداء الرقابة العامة ورقابة التطبيق والرقابة الفورية معاً.
5- العمل على حماية أمن البرامج الجاهزة وحماية المستندات الإلكترونية والعمل دائماً على ممارسة الرقابة المانعة.
ج- الأثر على تقدير مخاطر عدم الاكتشاف :
ترتبط مخاطر عدم الاكتشاف ارتباطاً وثيقاً بإجراءات المراجعة التى يؤديها المراجع، حيث يمكن للمراجع التحكم فيها، وإن كانت بعض مخاطر الاكتشاف ستظل موجودة حتى لو أدى المراجع الاختبارات بصورة تفصيلية، وعند مراجعة أنشطة تكنولوجيا المعلومات –التى تتسم بتعقد أنظمتها- فإن المراجع لا يكون مستعداً لقبول مخاطر فشل فى اكتشاف أى أخطاء أو أى غش بها، وخاصة أن اكتشاف الغش فى تلك الأنظمة يكون أصعب لأن مرتكبيه غالباً ما يكونون على دراية كبيرة بأساليب تكنولوجيا المعلومات، ولديهم القدرة على إخفاء هذا الغش. ويرى البعض أن هناك ثلاثة مخاطر من عدم الاكتشاف يجب أن يهتم بها المراجع عند تقديره للمخاطر المرتبطة بمراجعة أنشطة تكنولوجيا المعلومات وهى:- ([59])
1-خطر الإذعان :
وهو الخطر الناتج من عدم القياس السليم للبيانات أو التقرير عنها بما يتفق مع المعايير المقبولة ويعد الإذعان هو الفكرة المحورية فى التوصيات 40الصادرة عن FATF حيث يمهد الإذعان الخارجى External Complianceالطريق للاذعان الداخلى أى الإذعان للسياسات والإجراءات والأنظمة (أنشطة الرقابة الحرجة Critical Control Activities) كما يعد الإذعان عاملا حاسما فى نجاح المنظمات التى تعمل فى إطار عدة أنظمة و اطر قانونية و تشريعية على مستوى العالم .
2-خطر الإفصاح الكاذب Risk Reputation :
وهو الخطر الناتج من كون مستوى النشاط الذى تم الإفصاح عنه كاذباً أو محرفاً أو مشوهاً للحقائق سوء كان ذلك بإهمال أو غير ذلك وهناك سببان أساسيان يمكن أن يكون لهما تأثير مدمر على سمعة المنظمة هما :-
- فشل الإذعان أو وجود خلل رقابى جوهرى (إذعان أو خطر تشغيلى ) ينتج عنه نتائج فحص سيئة أو ينتج عنه إجبار جهات تطبيق القانون بتصرف معين يكون له ملاحظات سيئة أمام الرأى العام .
- وجود فضيحة scandalمباشرة تتصل مثلا بغسيل أموال ينتج عنه الدخول فى نزاع قضائى مع جهات تطبيق القانون و الإساءة الى السمعة أمام الرأى العام على المدى الطويل .
3-خطر التلاعب : -
وهو الخطر الناتج من حدوث تلاعب سواء على المستوى الداخلى أو الخارجى، فالمستوى الداخلى يتعلق بالتعديل أو التغير فى الملفات أو السجلات أو قاعدة البيانات، أما المستوى الخارجى فيتعلق بتعرض الموقع الإلكترونى لأنشطة كثيرة من قبل المستخدمين الخارجيين الأمر الذى قد يؤدى للقيام ببعض التجاوزات0
كما أن المنشآت فى ظل استخدام تكنولوجيا المعلومات سوف تواجه مخاطر جديدة لا توجد فى ظل الأنظمة غير التكنولوجية منها ([60]):
- خطر حماية البنية التحتية للمعلومات من سوء استخدام الغير0
- خطر الدخول الضار على موقع المنشأة وتعرض هذا الموقع للحوادث والتخريب0
- خطر الاعتماد على برامـج جـاهــزة غــير سليمــة0
- خطر التشغيل الخاطئ للبيانـات وكذلك خطر احتمال فقدها0
- خطر صعوبة فصل تكنولوجيا المعلومات عن أعمال الشركة0
كما أنه فى ظل تبادل البيانات الكترونياً سيواجه المراجع العديد من المخاطر التى صاحبت استخدام تكنولوجيا المعلومات أهمها([61]):-
1- فقد الثقة فى المعلومات المحاسبية بسبب سهولة الوصول إليها وتحريفها مثل المعلومات الخاصة بالعملاء أو الأسعار-000 الخ0
2- فقد مسار المراجعة، وزيادة التعرض للغش بسبب عدم الفصل بين الواجبات وقلة عدد الأفراد العاملين فى النظام مما يؤدى إلى زيادة المخاطر المتمثلة فى حدوث صفقات غير مصرح بها بسبب قطع خطوط الاتصال فى النظام الإلكترونى0
3- التحريف فى تطبيقات نظام تبادل البيانات إلكترونياً سواء عن عمد أو بدون عمد لأى من الصفقات التى تجريها المنشأة، مما يؤثر سلباً على الثقة فى المعاملات0
ومن المتفق عليه أن المراجع يجب أن يعدل مدخل المراجعة لمواجهة المخاطر الجديدة فى بيئة الأعمال الإلكترونية، حيث يمكن تجميع هذه المخاطر فى نوعين([62] ):
الأول : مخاطر صاحبت التكنولوجيــا المعقــــدة0
الثانى : مخاطر صاحبت نظم المعلومات عالية التداخل0
ويؤكد معهد حوكمة تكنولوجيا المعلومات أنه عند صياغة إستراتيجية تكنولوجيا المعلومات يجب على المنشأة أن تأخذ فى الاعتبار([63]) :-
أ- أهداف المنشأة و البيئة التنافسية والتقنيات الحالية و المستقبلية و تكاليفها و المخاطر التى تجلبها والمنافع التى يمكن تحقيقها .
ب- قدرة تكنولوجيا المعلومات على الإمداد بمستويات الخدمة الحالية والمستقبلية للمنشأة ودرجة التغيير والاستثمار التى يمكن أن تحدثها تكنولوجيا المعلومات للمنشأة ككل .
ج- تكلفة تكنولوجيا المعلومات الحالية وما إذا كانت تفى بالمتطلبات الحالية والمستقبلية للمنشأة، والدروس المستفادة من تجارب النجاح والفشل السابقة .
ويرى البعض أن مخاطر تكنولوجيا المعلومات وأمن نظم المعلومات هى جزء من المخاطر التشغيلية Operational والنظامية Systemic وأن مجلس الإدارة يمكنه حسن إدارة مخاطر تكنولوجيا المعلومات من خلال([64]) :-
1) التأكد من وجود الإفصاح والشفافية الكافية بما يختص بالمخاطر الهامة فى المنشأة وتوضيح السياسات المتعلقة بإدارة المخاطر أو تجنبها فى المنشأة0
2) أن يكون على وعى تام بأن المسئولية النهائية عن إدارة تكنولوجيا المعلومات هى مسئولية مجلس الإدارة حتى فى حال تفويض بعض الصلاحيات للإدارة التنفيذية ، فانه يجب التأكد من أن عملية التفويض واضحة ومفهومة من قبل الإدارة التنفيذية .
3) التأكد من أن نظام الرقابة الداخلية يضع إدارة المخاطر محل التطبيق لتحقيق فعالية التكلفة 0
4) التأكد من أن إدارة المخاطر يتم تطبيقها فعليا فى المنشأة ،وأن هناك استجابة سريعة للتغيير فى درجات المخاطر وأنه يتم التقرير الفورى عن ذلك للمستويات الإدارية المختصة وأنه يتم اتخاذ القرارات المناسبة فى هذا الشأن0
5) التأكد من أن منهج الشفافية وإدارة المخاطر يمكن أن يحقق مزايا تنافسية للمنشأة .
6) تحديد إستراتيجية تكنولوجيا المعلومات وموقف المنشأة وموقعها من تكنولوجيا المعلومات فهل هى من المنشآت الرائدة Pioneer أم السباقة Early Adopter أم تابعة Follower والمقلدة للغير أم من المنشآت المتخاذلة Laggard فى اقتناء تكنولوجيا المعلومات الحديثة0
ويؤكد البعض على " ضرورة وجود معايير لإدارة مخاطر أمن المعلومات لتجنب المنشآت تكلفة حوادث الأمن التى تقدر بمليارات الدولارات ، ولكى يتمكن مديرو المخاطر من مواكبة الطلب المتزايد على المعلومات ومحاولة تخفيض مخاطرها ، ولكن مشكلة إدارة المخاطر تكمن فى تكلفة الإدارة ومهارات ومستوى العاملين بها " ([65]).
ويرى الباحث أن التأثيرات السابق الإشارة إليها من شأنها أن تزيد مستوى الخطر المتلازم من ناحية وخطر الأعمال من ناحية أخرى، الأمر الذى يؤدى إلى زيادة مستوى خطر المراجعة الكلى مما يفرض على المراجع ضرورة البحث عن آليات جديدة لتخفيض مستوى خطر الاكتشاف المخطط للوصول بمستوى خطر المراجعة الكلى المقبول إلى أدنى مستوى له، ومن ثم يصبح مدخل الأهمية النسبية وخطر المراجعة غير مجدى فى ظل الاستخدام المتزايد لتكنولوجيا المعلومات ،
خلاصة المبحث
عرف الباحث أمن المعلومات ، محددا أهم التهديدات الأمنية فى ظل استخدام تكنولوجيا المعلومات ، وتعريف مخاطر تكنولوجيا المعلومات وتصنيفها ( تبويبها ) ، مع بيان أثرها على المكونات الثلاثة لخطر المراجعة .
المبحث الثالث
أثر تكنولوجيا المعلومات على الرقابة الداخلية
مقدمة :
تناول الباحث فى المبحث السابق بيان أثر تكنولوجيا المعلومات على المكونات الثلاثة لخطر المراجعة ،محددا بعض المخاطر الجديدة التى لا توجد فى ظل الأنظمة غير التكنولوجية ،وفى هذا المبحث يقوم الباحث بعرض أثر تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية.
على الرغم من أن استخدام المنشآت لتكنولوجيا المعلومات حقق بعض المزايا خاصة تلك المتمثلة فى زيادة بعض جوانب الرقابة الداخلية وزيادة الإنتاجية، إلا أن استخدامها عرض البيانات المحاسبية والمراجعين الذين يتعاملون مع هذه البيانات لمشاكل ومخاطر جديدة، كان لها أثرها على أساليب الرقابة المطبقة وأدوات وإجراءات الرقابة المستخدمة، حيث أكدت إحدى الدراسات([66]) "أنه من الممكن تغيير صياغة ملف كامل بمجرد أن يتاح للمستفيد الدخول إلى النظام التكنولوجى المستخدم والذى يوجد عليه البيانات، فإنه يستطيع بمهارة متواضعة تغيير الملفات بدقة دون ترك أى أثر أو معرفة الفاعل أو الملف الذى أصابه التغيير"0 وهناك من يؤكد على أن " تكنولوجيا المعلومات قد غيرت من طريقة أداء الأعمال وأتاحت للمنشآت فرصة العمل فى الأسواق الدولية والوصول إلى مستهلكين جدد وأصبح الاعتماد عليها من حقائق دنيا الأعمال بل وأصبحت من المقومات الأساسية لقدرة المنشأة على المنافسة والاستمرار ، كما أصبحت أداة تساعد الإدارة على إدارة المنشأة واتخاذ القرارات " ([67])0
وهنا تحاول كل المنشآت أن تؤمن بيئة تكنولوجيا المعلومات الخاصة بها حيث لم يعد موضوع أمن وسلامة المعلومات موضوعاً محلياً بل يؤثر أيضاً على الأطراف الخارجية، فقد يشكل خطراً على المنشأة إذ أشار شركاؤها الحاليين أو المحتملين إلى أن هذه المنشأة غير آمنة فيما يتعلق بحماية المعلومات وهو ما يطلق عليه مخاطر السمعة ، وهو ما أدى إلى الاهتمام بمشاكل الرقابة الداخلية فى ظل استخدام تكنولوجيا المعلومات0
وفى ضوء ما تقدم تتعرض الدراسة فى هذا المبحث الى ما يلى :
أولاً : مزايا ومخاطر استخدام تكنولوجيا المعلومات فى الرقابة الداخلية0
ثانياً : أدوات وإجراءات الرقابة الداخلية على أمن وسلامة المعلومـات0
ثالثاً : أثر استخدام تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية0
أولاً : مزايا ومخاطر استخدام تكنولوجيا المعلومات فى الرقابة الداخلية :
أ- المزايا : هناك العديد من المنافع والمزايا التى يطرحها استخدام تكنولوجيا المعلومات وذلك لتحقيق مزيد من الفعالية والكفاءة للرقابة الداخلية لتوفير معلومات آمنة ودقيقة لمستخدمى القوائم المالية وأهمها([68]) :
· تحسين الوقتية0أى توفير المعلومات فى الوقت المناسب وزيادة الدقة فى المعلومات وتخفيض الخطر الذى يحيط بإجراءات الرقابة وتحسين إمكانية الفصل المناسب بين المهام 0
· القدرة على تحسين وتطوير أساليب الرقابة الداخلية عن طريق الاستفادة من الإمكانيات التى يتيحها الحاسب الالكترونى للرقابة الذاتية على عمليات التشغيل اليومية0
· القدرة على تشغيل حجم كبير من العمليات المعقدة فى وقت محدود وبتكلفة صغيرة علاوة على انعدام الأخطاء التشغيلية والحسابية تقريباً وانخفاض درجة الاعتماد على العنصر البشرى0
· الاستفادة من الإمكانيات الضخمة لتخزين المعلومات فى صورة ملفات إلكترونية وسرعة استرجاعها0
· ارتفاع جودة قرارات الإدارة العليا كنتيجة طبيعية لارتفاع جودة المعلومات التى يقدمها النظام المستخدم بعد تشغيلها بصورة دقيقة0
ب- المخاطر : هناك العديد من المخاطر الناتجة من استخدام تكنولوجيا المعلومات فى الرقابة الداخلية وهى ما أوضحها معيار المراجعة الأمريكى رقم SAS 94 لسنة 2001 تحت عنوان "تأثير تكنولوجيا المعلومات على اعتبارات المراجع عن نظام الرقابة الداخلية عند مراجعة القوائم المالية"([69])، حيث جاء فى الفقرة رقم (19) أن استخدام تكنولوجيا المعلومات يجعل الرقابة الداخلية أمام العديد من المخاطر وهى :
· الاعتماد على نظم أو برامج تقوم بمعالجة البيانات بشكل غير دقيق أو تعالج ببيانات غير دقيقة أو الاثنين معاً0
· دخول أشخاص غير مصرح لهم، لتدمير البيانات أو تغييرها أو تسجيل معاملات غير موجودة أو غير دقيقة أو غير مصرح بها0
· تغيير فى البيانات الرئيسية وفى النظام أو البرامج لغير المصرح لهم0
· الفشل فى إجراء تغيرات جوهرية فى النظام أو البرامج0
· الفقد المحتمل للبيانات0
ويمكن تصنيف مخاطر استخدام تكنولوجيا المعلومات فى الرقابة الداخلية إلى :
أ - مخاطر تسجيل وتشغيل العمليات الإلكترونية :
وتتمثل تلك المخاطر فى المشاكل التى تواجه هيكل الرقابة الداخلية نتيجة التشغيل الإلكترونى للبيانات (EDP) وهى([70]) :
1- مخاطر تتعلق باختفاء الدليل المادى الملموس والتحول إلى استخدام الملفات الإلكترونية
ففى ظل استخدام تكنولوجيا المعلومات أصبحت البيانات المحاسبية غير مرئية وغير قابلة للقراءة ويصاحب ذلك مخاطر تتمثل فى سهولة ارتكاب الغش والتلاعب بل وصعوبة اكتشافها0
2- مخاطر تتعلق بسند المراجعة Audit Trail Risk :سند المراجعة هو الذى يمكن المراجع من تتبع العملية من مصدرها حتى نتائجها النهائية وتشتمل تلك المخاطر على :
- عدم وجود دفاتر يومية حيث يتم الإدخال مباشرة لدفاتر الأستاذ0
-عدم وجود المستندات الأصلية بعد الإدخال المبدئى 0
- لا يمكن ملاحظة التتابع والتشغيل حيث أنه يتم داخل الحاسب0
3- مخاطر تتعلق بارتكاب الغش وسهولة التلاعب :
حيث أن التلاعب والغش فى ظل تكنولوجيا المعلومات أصبح يتسم بخصائص تختلف عن تلك المتعارف عليها فى ظل النظم اليدوية وهذا ما يجب أن يراعيه المراجع.
4- مخاطر تتعلق بفيروسات الحاسب0
5- مخاطر متعلقة بالعاملين بنظم المعلومات القائمة على استخدام الحاسبات الإلكترونية:
حيث أن زيادة خبرة ودراية العاملين فى النظام بمرور الوقت يساعدهم على تخطى نقاط الرقابة الموضوعة للنظام مما يسهل عملية الغش وسهولة التلاعب0
6- مخاطر الفصل غير الملائم بين المهام والوظائف Improper Segregation of Duties:
حيث أن ما يقرب من نصف عمليات الغش والاحتيال فى أنظمة التشغيل الإلكترونى للبيانات ترجع إلى عدم وجود فصل ملائم بين المهام كما أن الفصل الملائم بين المهام يعتبر من العناصر المكونة لنظام الرقابة الداخلية الجيد، ويأخذ الأهمية الثانية بعد ضرورة وجود سياسات محكمة للتصريح بنشأة العمليات والموافقة عليها .
7- تعقيد وصعوبة فهم أنشطة الحاسبات الإلكترونية لغير المتخصصين وشدة إغراء العائد من الغش باستخدام الحاسب للمتخصصين وصعوبة اكتشافه وتتبعه0
ب - مخاطر مرتبطة بتطبيق إجراءات الرقابة الداخلية :
هناك مجموعة من المخاطر التى يجب على المراجع أخذها فى الاعتبار عند اختيار وتطبيق إجراءات الرقابة الداخلية على تنفيذ العمليات الإلكترونية وتتمثل فى([71]) :
1- مخاطر الاعتماد الكلى على أنظمة الحاسب :- نظراً للسرعة الكبيرة التى تتم بها عملية تشغيل ونقل وتداول البيانات واعتمادها على الحاسب الإلكترونى مما يترتب عليه انخفاض فرصة التصحيح والترشيد لأخطاء الإدخال والتشغيل ومن ثم تزداد الحاجة إلى استخدام أنظمة الرقابة الالكترونية التى تركز على أنظمة الرقابة المانعة وانخفاض الاعتماد على أنظمة الرقابة الاكتشافية التى تتم بعد الحدث0
2- مخاطر الاختراق المتعمد :- والتقاط أرقام بطاقات الائتمان للعملاء المتعاملين ونهب أموالهم، وحصول أطراف خارجية ليس لها علاقة بعمليات المنشأة على البيانات الموجودة بالنظام المحاسبى وإطلاع المنافسين عليها0
3- مخاطر فشل الإرسال :- حيث أن عملية نقل وتداول البيانات الإلكترونية تتم عبر شبكة الانترنت و تمر بمراحل عديدة (إرسال و ترجمة و تخزين و استلام) فقد تتعرض هذه المعاملات خلال تلك المراحل إلى بعض المخاطر مثل فقدان بعض البيانات أو التحريف أو التعديل أو عدم إرسال الرسالة من الأصل0
4- مخاطر فقدان التوثيق Authentication Risks : تنشأ نتيجة فقدان الدليل المادى الذى يمكن من خلاله إثبات الحقوق والالتزامات (المستندات الورقية) والاعتماد على التبادل الإلكترونى وعدم وضوح هوية المتعاملين فى التجارة الإلكترونية ،ويترتب على فقدان التوثيق ظهور نوع جديد من المخاطر يسمى مخاطر إنكار الالتزامات كإنكار استلام البضاعة أو إنكار استلام النقدية المحمولة إلكترونياً أو إنكار استلام أمر التوريد0
5- مخاطر تركيز الرقابة : حيث أن التبادل الإلكترونى أصبح يعتمد على الرقابة الإلكترونية و تدنية الأعمال البشرية بقدر الإمكان و ضغوط دورة العمل الإلكترونى مما يترتب عليه أن أصبحت أعمال الرقابة فى أيدى أفراد قلائل وأصبح تجميع عدد من المهام تحت مسئولية شخص واحد مثل مشغل الحاسب مما يزيد من مخاطر سهولة ارتكاب الغش والأخطاء0
6- مخاطر التكامل والعلاقات مع الأطراف الأخرى : إن وجود تغيرات فى النظام الإلكترونى لأى من الصفقات الإلكترونية يؤثر بالضرورة تأثيراً سلبياً على الطرف الأخر للصفقة فوجود أخطاء فى نظام المخزون للعميل يؤثر بالسلب على نظام مبيعات المورد ،فوجود أشخاص غير أمناء فى شبكة القيمة المضافة (VAN) قد يؤدى إلى فقدان سرية وخصوصية البيانات0
ثانياً : أدوات وإجراءات الرقابة الداخلية على أمن وسلامة المعلومات :
تتطلب عملية تصميم نظام لأمن المعلومات ضرورة تحديد مفهوم الوقاية من المخاطر والتهديدات، حيث أن الوقاية الكاملة من المخاطر والتهديدات يصعب تنفيذها فى الواقع العملى لأنها تتطلب مجهودا وتكاليف واحتياجات يصعب توفيرها فى ظل تحليل المنافع والتكاليف حيث أن أى نظام لابد وأن تكون منافعه أكثر من تكاليفه، ولكن يمكن تصميم نظام يساعد على تخفيض احتمالات حدوث تهديدات أو أخطار لنظم المعلومات إلى أدنى حد ممكن، ويتناول الباحث فى هذا الجزء ما يلى :-
أ – مواصفات نظام الرقابة الداخلية على أمن وسلامة المعلومات :- يجب أن يتصف تصميم نظام الرقابة الداخلية على أمن وسلامة المعلومات بالقدرة على([72]):
- معرفة كل محاولات الدخول الفاشلة للنظام والكشف عن أسبابها ومصادرها أى الحماية ضد الدخول غير المسرح به0
- اتخاذ كافة الإجراءات اللازمة لسرعة استعادة أى أجزاء مفقودة منه من خلال استخدام النسخ الاحتياطية0
- اكتشاف نقاط الضعف فيه وتصحيحها بصفة مستمرة0
- أن يتصف بالمرونة بمعنى أنه عند فشل إجراءات الأمن فى القضاء على تهديد معين فإنه يجب إعادة تصميم إجراءات أمنية جديدة تمنع مثل هذا التهديد0
- يجب أن يتضمن نظام الأمن على القدرة فى تحقيق الأمن للمكونات المادية الرئيسية الملموسة للحاسب الالكترونى والتى تتكون من Secondary Memory CPU, Primary Memory والمعدات الأخرى الملحقة بالحاسب وحمايتها من التخريب المتعمد أو الكوارث أو الحرائق0
ب – الخطوات الرئيسية لتصميم نظام الرقابة الداخلية على أمن وسلامة المعلومات :- افترضت إحدى الدراسات أربع خطوات رئيسية لتصميم النظام الجيد لأمن وسلامة المعلومات وهى ([73]) :
· عدم الانتظار والبدء فوراً فى تصميم نظام لأمن المعلومات0
· إشراك مستخدمى النظام وتوعيتهم للحصول على تأييدهم وموافقتهم على أهمية تصميم نظام الأمن0
· التعرف على نقاط الضعف فى النظام ومصادر اختراقه وكيفية مواجهتها0
· التعرف على الثغرات التى تهدد أمن وسلامة النظام والعمل على معالجتها0
وقد حددت بعض الدراسات أسوأ ثمانى ممارسات متعلقة بنظام الرقابة الداخلية فى الشركات متوسطة وصغيرة الحجم والتى تستخدم تكنولوجيا المعلومات فى معاملتها المالية وذلك حتى يمكن للشركات الأخرى الاستفادة من تلك الممارسات والتعلم منها وتتمثل هذه الممارسات فى([74]) : -
1- عدم إعداد نسخ احتياطية للبيانات Back Ups أو إعداد نسخ احتياطية وتخزينها فى أماكن غير ملائمة Off- Sit0
2- عدم الاختيار الدورى لخطة استمرارية الأعمال Business Continuity Plan وهى الخطة التى يتم من خلالها استعادة أو استرجاع Recovery نظام المعلومات إلى وضعه الأصلى وذلك عند فقد أو تدمير أى بيانات نتيجة اختراقه0
3- عدم وجود أى رقابة لنشاط تكنولوجيا المعلومات0
4- عدم استخدام أو تحميل التعديلات الأمنية Security Patches والتى يتم إعدادها بواسطة منتجو البرامج وذلك لمعالجة الثغرات الأمنية التى تظهر فى البرامج التى ينتجونها0
5- عدم متابعة الدوريات والمواقع الخاصة بأمن وسلامة المعلومات والتى تعرض الثغرات الأمنية التى تتعرض لها الشركات الأخرى .
6- منح الموظفين employees صلاحيات أكثر من اللازم فيما يتعلق بالوصول إلى البيانات والمعلومات، حيث يجب قصر هذه الصلاحيات على ما يحتاجه كل موظف لأداء أعماله وفقاً لمسئولياته0
7- عدم الاختيار المناسب والملائم لبرامج وأنشطة التشغيل وعدم اختبارها قبل تشغيلها مما قد ينتج عنه أخطاء فى التشغيل والتى يصعب إصلاحها بعد ذلك0
8- عدم تدريب العاملين تدريباً جيداً على كيفية تشغيل النظام0
ج - الإجراءات اللازمة لتحقيق الرقابة الداخلية فى ظل أمن وسلامة المعلومات:
هناك مجموعة من الأبعاد والجوانب المتعلقة بأمن المعلومات والواردة بالمعيار 17799 الصادر عن منظمة المعايير الدولية عام 2000 والمأخوذ عن المعيار البريطانى 7799 الذى صدر عام1995 - والذى يتضمن إرشادات وتوصيات تتعلق بالممارسات الجيدة فى مجال إدارة أمن المعلومات وهى مستمدة من أفضل ممارسات وإجراءات الرقابة الداخلية على أمن وسلامة المعلومات فى العديد من الشركات العالمية وهى([75]) :
1- وجود سياسة واضحة لأمن وسلامة المعلومات Security Policy تؤكد على دعم الإدارة والتزامها بتحقيق أمن وسلامة المعلومات0
2- تنظيم الأمن Security Organization0 أى توفير المناخ الإدارى الملائم الذى يضمن تطبيق سياسات وإجراءات تحقيق الأمن وتحديد الأفراد المسموح لهم بالإطلاع على البيانات0
3- تبويب ورقابة الأصول Asset Classification and Control أى توفير حماية ملائمة لأصول نظم المعلومات بمختلف مكوناتها وتحديد المسئولين عنها والعمل على تبويب المعلومات حسب أهميتها ودرجة حساسيتها ودرجة سريتها والاعتماد عليها0
4- أمن الأفراد Personal Security ويهدف إلى تخفيض الأخطار المرتبطة بالخطأ البشرى، وإعداد برامج مستمرة لتوعية الموظفين وتعريفهم بالتهديدات والأخطار المختلفة0
5- الأمن المادى و البيئى Physical and Environmental Security ويشمل ذلك تأمين مكان نظام المعلومات وتأمين مصادر الطاقة والحماية من انقطاع الكهرباء وتحديد من لهم حق الوصول إليه0
6- إدارة الاتصال والعمليات Communications and Operations Management وتعمل على وضع إجراءات تفصيلية موثقة توضح كيفية أداء كل مهمة من المهام الخاصة بأنظمة المعلومات وتعمل على ضرورة الفصل بين المهام والاهتمام باستعمال برامج الكشف عن الفيروسات وتحديدها وإعادة النظام إلى وضعه الأصلى فى حالة وقوع أى حدث أمنى0
7- التحكم فى الوصول إلى النظام System Access Control ووجود رقابة على الدخول إلى معلومات النظام بحيث يتم تحديد المعلومات التى يصرح لكل مستخدم الوصول إليها حسب الأنشطة المكلف بأدائها والأعمال المكلف بإنجازها دون الوصول إلى المعلومات الأخرى التى لا تخص عمله0
8- تطوير وصيانة النظام System Development and Maintenance بصفة مستمرة حيث يلزم عند تطوير النظام تحديد متطلبات الأعمال ومنها يتم التوصل إلى متطلبات الأمن الواجب توافرها فى هذا النظام والتى على أساسها يتم تحديد ضوابط وإجراءات أمن المعلومات التى يجب الاستعانة بها لضمان الاستمرار الكفء للنظام بعد تطويره وصيانته0
9- التخطيط لاستمرارية الشركة (الأعمال) Business Continuity Plan أى التخطيط لاستمرار أنشطة الشركة وتهدف إلى منع أو تخفيف حدة التعطيل أو الإضرار التى تصيب أنشطة وعمليات المنشأة عند وقوع إحدى الكوارث أو الأحداث الأمنية الكبرى التى تضر بأمن أنظمة المعلومات، وتقوم على إعداد خطط استمرارية الأعمال (B. C. P) أو خطط الاستعادة من الكوارث0
10- الالتزام Compliance أى الالتزام بالمتطلبات والقيود القانونية والتنظيمية والتعاقدية بهدف تجنب خرق المنشأة لأى متطلبات ناتجة عن أى من القيود السابقة مع مراعاة تشريعات وقوانين الدول المختلفة عند تبادل البيانات0
د - الوسائل التى تستخدم لتحقيق الرقابة الداخلية على أمن وسلامة المعلومات :-
هناك العديد من الوسائل والإجراءات التى يمكن استخدامها لتحقيق الرقابة على أمن وسلامة المعلومات فى ظل بيئة تكنولوجيا المعلومات منها([76]) :
1- التشفير Encryption :
يمثل التشفير أهم الطرق المستخدمة للحفاظ على سرية وسلامة البيانات التى يتم تداولها بين الأطراف المختلفة، وذلك لضمان عدم إطلاع أطراف غير مصرح لها على تلك البيانات، وفيها يتم تحويل البيانات من الصيغة العادية المفهومة إلى صيغة مشفرة لا يمكن قراءتها أو فهمها ثم يتم إرسالها إلى المرسل إليه الذى يستخدم مفتاح لفك الشفرة Decryption لإعادة البيانات من الصيغة المشفرة إلى صيغتها العادية مرة أخرى ويمكن استخدام إحدى الطرق التالية فى عملية التشفير0
أ- التشفير باستخدام المفتاح المتماثل Symmetric Key Cryptography0
ب- التشفير باستخدام المفتاح غير المتماثل Symmetric Key Encryption0
وتواجه الشركات مشكلة فى حالة استخدام الطريقة الأولى وهى كيفية إرسال المفتاح إلى المرسل إليه بطريقة آمنة لتفادى وقوعه إلى شخص غير مصرح له بالإطلاع عليه، أما الطريقة الثانية فهى أكثر أماناً حيث يوجد مفتاحان لكل شركة الأول مفتاح خاص Private Key والثانى مفتاح عام Public Key يكون مفتاح للعامة والمفتاحان يرتبطان معاً بطريقة رياضية معينة لا يمكن استنتاج أحدهما من الآخر0
2-الحماية من الفيروسات Virus Protection :
أشهر طرق الوقاية من الفيروسات هى استخدام البرامج المضادة للفيروسات Antae Virus والتى تقوم بعمل فحص دورى للنظام التكنولوجى المستخدم بحثاً عن أشهر أنواع الفيروسات باستخدام ما يعرف بتوقيع الفيروس Virus Signature أو عن طريق مراقبة السلوك غير المألوف للبرامج Virus Behavior Uncommon علاوة على عدم فتح أى ملف إلا بعد التأكد من مصدره وتقليل الدخول إلى الانترنت ونقل الملفات File Transfer واستخدام البريد الإلكترونى E. Mail .
3-إعداد نسخ احتياطية Bock Ups :
وفيها يتم إعداد نسخ احتياطية من البيانات أو البرامج لمواجهة فقد أو ضياع أو تحريف البيانات أو البرامج نتيجة أخطاء التشغيل أو تدمير نظام المعلومات عن طريق الاختراق الخارجى0
4-الحوائط النارية Fire Walls :
وهى أدوات تقع على طرف شبكة الانترنت الخاصة بالشركة هدفها تأمين الإدخال للشركة وتنقية وفلترة البيانات الداخلة والخارجة طبقاً لقواعد ومعايير معدة سلفاً وتعريف المستخدمين والتحقق من هويتهم وتحديد البيانات التى يمكن لكل مستخدم الوصول إليها وفقاً لطبيعة عمله ومسئولياته داخل الشركة وتوجد عدة أنواع من الجدران النارية منها :
- جدران الحماية بالفلترة Ket Filtering Fire Walls0
- جدران الحماية لتطبيقات الاستخدامات Application Fire Walls0
- جدران الحماية التى تقوم بالفحص State Full Packet Inspection Fire Walls0
- الشبكات الافتراضية المخصوصة Virtual Private Net Work0
أى أن الجدران النارية تقوم بالمهام الآتية :
أ- تأمين الإدخال إلى الشبكة والرقابة على كل الروابط والتدفقات من وإلى الشبكة0
ب- تنقية وفلترة البيانات الداخلة والخارجة طبقاً لقــواعـد معــدة مـن قبــل0
ج- تعريف المستخدم والتحقق من هويته ومراقبة أنشطة الشبكة وإبلاغ المسئولين عند حدوث أى أحداث طارئة وغير مرغوبة والتأكد من أن التطبيقات التى يحملها محتوى الرسائل المتبادلة مسموح بها0
5- استخدام وسائل تعريف المستخدم User Authentication :
ويتم استخدام وسائل تعريف المستخدم لحماية النظام من أخطار التدخل غير الشرعى بانتحال صفة شخص مصرح له باستخدام النظام Impersonation وتستخدم للحماية من هذه الأخطار وسائل متعددة منها :-
· كلمة السر Pass Word :
إن استخدام كلمة المرور ما زالت أكثر الطرق انتشاراً واستخداماً فى أنظمة معلومات الشركات على الرغم من وجود طرق حديثة للتعرف على هوية مستخدمى المعلومات مثل طريقة بصمات الصوت / الأصابع لذلك عادة تستخدم الشركات إجراءات رقابية هدفها تأمين كلمات المرور الخاصة بالمستخدمين ومنع القراصنة من الاستيلاء عليها مثل إجبار المستخدم على تغيير كلمة المرور الخاصة به بصورة دورية (كل شهر مثلاً) وتوعية المستخدم بضرورة الاحتفاظ بكلمة المرور الخاصة به وعدم إطلاع أى شخص عليها أو كتابتها فى مكان يمكن الوصول إليه ومنع المستخدم من تكرار كلمة السر000 إلخ0
· التعريف باستخدام الخصائص البيولوجية Biometrics Authentication :
وذلك بالاعتماد على الصفات البيولوجية لشخص المستخدم مثل الطول أو بصمة الإصبع أو بصمة الصوت وتعتبر هذه الوسيلة من الوسائل الجيدة للتعريف لأن هناك استحالة فى قهرها وهناك طريقتان للتعريف :
- طريقة التعريف مرة واحدة .
- طريقة تعريف الرسالة مع استخدام التوقيعات الرقمية .
· التوقيعات الرقمية والإلكترونية Digital and Electronic Signatures :
تستخدم التوقيعات الرقمية الإلكترونية مفاتيح الشفرة Encryption Keys لعمل توقيعات سرية لا يمكن إنكارها وقد أصدر الكونجرس الأمريكى عام 2000 قانون التوقيعات الإلكترونية الذى يعطى هذه التوقيعات نفس الموقع القانونى للتوقيعات العادية0
6- مراجعة الأمن Security Audit :
من الأدوات الهامة فى تحقيق أمن المعلومات القيام بمراجعة دورية لنظم الرقابة الداخلية على أمن المعلومات الذى تطبقه الشركة بغرض الكشف عن نقاط القوة ونقاط الضعف والعمل على تلافيها وعلاجها، وغالباً ما تتضمن تلك المراجعة قيام فرق من الخبراء بمحاولة اختراق الشبكات الخاصة بالشركة عن طريق محاكاة القراصنة وهو ما يعرف بالقرصنة الأخلاقية Ethical Hacking وتتم هذه المراجعة وفقاً لخطة محددة مسبقاً ومصممة خصيصاً للشركة محل المراجعة، وهذه المراجعة قد يقوم بها أفراد من إدارة المراجعة الداخلية بالشركة أو مراجعون مهنيون من خارجها ممن لديهم خبرة فى مجال أمن وسلامة المعلومات0 وبعد انتهاء عملية المراجعة يجب أن يقدم فريق المراجعة تقريراً فنياً مفصلاً عن حالة نظام الأمن الخاص بالشركة0
ثالثاً : أثر استخدام تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية :
يرى البعض "أن التطور الحادث فى نظام تكنولوجيا المعلومات والاتصالات وانتشار تطبيقاتها بشكل مكثف قد أحدث تطوراً هائلاً فى المفاهيم والإجراءات الأساسية عند تقييم هيكل الرقابة الداخلية، فقد أدى هذا التطور إلى اتساع نطاق تطبيق أساليب المراجعة، وبالتالى إضافة أعباءً جديدة على المراجع المكلف بتقييم هيكل الرقابة الداخلية" ([77])، كما خلصت إحدى الدراسات إلى أن "الرقابات الثلاث المعروفة فى ظل بيئة التشغيل الإلكترونى للبيانات وهى الرقابة العامة و رقابة التطبيق و الرقابة الفورية ستظل ملائمة، ولكن يلزم توجيه مزيد من الاهتمام برقابات أخرى أهمها : رقابة الأمان على انتقال المستندات الإلكترونية، الرقابة الهادفة للحفاظ على سندات المعاملات، ورقابة الأمان على التوقيعات الإلكترونية ورقابة الأمان على برامج التطبيق والبرامج الجاهزة،ورقابة الأمان على مقدمى خدمات الإنترنت وأخيراً نقاط الرقابة المانعة المبكرة"([78])0
كما يرى البعض أن "التعريف الذى وضعته لجنة Coso للرقابة الداخلية يعد هو الأنسب للمشروعات التى تستخدم تكنولوجيا المعلومات فى إتمام معاملاتها التجارية، حيث عرفت لجنة Coso الرقابة الداخلية بأنها عملية وبالتالى فهى تعتبر ديناميكية أى مستمرة الأمر الذى يتناسب مع طبيعة البيئة التى تمارس من خلالها تلك المشروعات أنشطتها"([79])0
كما أن الهدف الأساسى للمراجعة لن يتغير فى ظل بيئة تكنولوجيا المعلومات ولكن إجراءات المراجعة هى التى تتغير بسبب اختفاء مسار المراجعة،ويرى بعض الباحثين " أن أهداف الرقابة الداخلية فى ظل بيئة تكنولوجيا المعلومات لا تختلف عن الأهداف التقليدية لأنظمة الرقابة الداخلية0 إلا أنه إزاء المخاطر التى يتعرض لها النظام فى ظل هذه البيئة ، خاصة فى ظل ممارسة التجارة الالكترونية التى تتم عبر شبكة المعلومات فإن هناك هدفا إضافيا ينبغى أن تعمل أنظمة الرقابة الداخلية على تحقيقه وهو توفير الثقة للمتعاملين فى مزاولة أنشطة التجارة الإلكترونية وأيضاً الثقة فى الموقع الذى يتم من خلاله مزاولة تلك التجارة"([80])0
- الهدف الأول للرقابة الداخلية هو كفاءة وفعالية العمليات .
- الهدف الثانى للرقابة الداخلية هو"إمكانية الثقة فى التقارير المالية".
و لتحقيق هذه الأهداف يجب أن تتحقق أولاً الأهداف الفرعية التالية :
أ- أمن المعلومات (المرسلة أو المخزنة أو المنشورة ) ،وأمن المعاملات عبر شبكة المعلومات "متضمنا التوثيق والتصريح وعدم الإنكار وإمكانية المساءلة والسرية والنزاهة و الاتاحية 0
ب- أمن الخصوصية : أى أمن المعلومات الخاصة بالعملاء المتعاملين مع المنشأة0
ويمكن توضيح أثر استخدام تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية كما يلى :-
§ الأثر على بيئة الرقابة :
تؤكد إحدى الدراسات([82]) "أنه فى ظل الاستخدام المتزايد لتكنولوجيا المعلومات فى إتمام المعاملات المالية سيظل انتهاك الإدارة لنظم الرقابة الداخلية من المشاكل الهامة التى تواجه نظم الرقابة الداخلية كما أكدت أيضاً أن معدلات حدوث التلاعب Fraud فى البيانات سوف تكون أقل من معدلات حدوث الأخطاء Errors إلا أنها سترتبط غالباً بانتهاك الإدارة لنظم الرقابة المعمول بها وكذلك بسبب سوء تطبيق الفصل بين الواجبات وعدم تدريب العاملين على أساليب تكنولوجيا المعلومات والاتصالات وعدم وجود تفويض سليم للسلطات" .
كما أن موظفى المنشأة قد يشكلون مصدر تهديد كبير على المنشأة سواء عن طريق الإهمال أو التصرف المتعمد الذى قد يصل إلى حد تحقيق مكاسب مادية من وراء بيع معلومات المنشأة مما يتطلب إعطاء أهمية كبيرة لعناصر بيئة الرقابة كما يلى((3):-
- وجود إجراءات رقابية لحسن اختيار الموظفين من حيث الكفاءة الأخلاقية والمهنية0
- وجود سياسات لأمن وخصوصية المعلومات وإتباعها من كل موظفى المنشأة وعلى كل المستويات0
- وجود برامج تعليم وتوعية وتدريب مستمرة على أمن المعلومات وتنمية روح المشاركة بين الموظفين لتحسين ثقافتهم وسلوكهم وجعلهم خط دفاع حقيقى عن أمن معلومات ومعاملات المنشأة0
كما أن بيئة الرقابة فى ظل تكنولوجيا المعلومات يجب أن تتكون من إطار أشمل بكثير من العناصر السابق الإشارة إليها، بالإضافة إلى أن هذه العناصر يجب أن يحملها إطار شامل متناسق يشتمل على مجموعة من العناصر التالية التى يمكن وضعها فى ثلاثة مجموعات رئيسية وهى([83]):
الأولى : أساليب تكنولوجيا المعلومات Information Technology Practices :
وهى مستوى التكنولوجيا الذى تستخدمه المنشأة فى إدارة نشاطها0
الثانية : أساليب إدارة المعلومات Information Management Practices :
وتتعلق بكيفية إدارة تدفق المعلومات داخل النظام التكنولوجى المستخدم ويشمل- القدرة على إدارة المعلومات و استشعار المعلومات و جمع المعلومات و تنظيم المعلومات و التشغيل و الاحتفاظ بالمعلومات وصياغتها0
الثالثة : سلوكيات وقيم المعلومات Information Behaviors and Values :
وتعبر عن السلوك والقيم المرغوبة فى إدارة تكنولوجيا المعلومات وتشمل ألقدره- النزاهة- الشفافية والتطلع للمستقبل و الاستخدام المشترك للمعلومات0 وعلى هذا فإن تكنولوجيا المعلومات قد أوردت عناصر جديدة، لها أثر هام على بيئة الرقابة أهمها التأكيد على أهمية المعايير والقيم الأخلاقية الواجب توافرها فى بيئة تكنولوجيا المعلومات0
§ الأثر على تقدير المخاطر :
يرى البعض بـأن الفرض القائل "أن التشغيل الإلكترونى للبيانات المحاسبية سوف يؤدى إلى تخفيض أخطار الرقابة لأنه سيقضى على أى محاولة لسرقة الأصول من جانب العاملين، كما أنه سيؤدى إلى تحسين الدقة والكفاية فى نظم الرقابة بما يوفره من تغذية عكسية مرتدة فورية غير صحيح ، حيث لازالت مسألة نزاهة ودقة البيانات المحاسبية تمثل تحدياً هاماً أمام نظم التشغيل الإلكترونى للبيانات وبالتالى تزداد مخاطر الرقابة المترتبة عليها كلما زادت درجة التقدم التكنولوجى فى تشغيل البيانات0"([84]) ، كما أن تقدير الخطر من قبل إدارة المشروع يعد أمراً أكثر أهمية فى المشروعات التى تمارس الأنشطة الإلكترونية فى إتمام معاملاتها المالية نظراً للأساليب غير التقليدية التى تعتمد عليها فى إتمام صفقاتها ونظراً للمخاطر العديدة الكامنة من جراء إتمام تلك الصفقات سواء من جانب الدخلاء أو قراصنة الكمبيوتر"([85])0 لذلك يجب على المراجع التأكد من قيام إدارة المنشأة بتلك الوظيفة الهامة واتخاذها لكافة الوسائل الهامة اللازمة لمواجهة تلك المخاطر لتحقيق أهداف المنشأة والسيطرة على مخاطرها0
هذا ويرى البعض ضرورة إضافة مكون الاستجابة للمخاطر إلى مكونات الرقابة الداخلية فى ظل استخدام تكنولوجيا المعلومات لإتمام المعاملات التجارية حيث أن مخاطرها المتعددة تتطلب ضرورة الاهتمام بعمل تقييم لمستويات الخطر التى تتعرض له الأصول والمعلومات المختلفة حيث بدون تقييم الخطر لا يمكن وضع طرق لسرعة منعه أو الحد من هذه المخاطر وهو ما يطلق عليه الاستجابة مع ضرورة تبنى المنشأة لاستراتيجيات تمكن من سرعة الاستجابة للمخاطر0([86] ) وتؤكد دراسة Coso الجديدة بعنوان “Enterprise Risk Management Frame Work ([87]) على ضرورة إضافة عنصر الاستجابة للمخاطر إلى مكونات هيكل الرقابة الداخلية وهذه الدراسة حددت استجابات المخاطر فى أربع مجموعات وهى :
1- التجنب Avoidance : وهو التصرف الذى يتخذ لاستبعاد الأنشطة التى تسبب المخاطر فتجنب المخاطر قد يتطلب إيقاف خط إنتاج أو إلغاء التوسع فى السوق0
2- التخفيض Reduction : وهو التصرف المتخذ لتخفيض احتمال التعرض للخطر أو لتخفيض تأثيره أو الاثنين معاً0
3- المشاركة Charging : وهو التصرف المتخذ لتخفيض احتمال التعرض للمخاطر أو تأثيرها بالتحويل أو مشاركة المخاطر المألوفة منها عن طريق التأمين0
4- القبول Acceptance : أى عدم عمل أى تصرف للتخفيض من احتمالية أو تأثير المخاطر بمعنى القبول بالأمر الواقع0
§ الأثر على أنشطة الرقابة :
أنشطة الرقابة هى الأنشطة التى يتم أداؤها لإلغاء المخاطر أو تخفيضها إلى مستوى مقبول، ولكن فى ظل استخدام تكنولوجيا المعلومات سوف تزداد أهمية أنشطة الرقابة بنوعيها (الرقابة المانعة و الكاشفة) وسوف تهتم أكثر بالرقابة الآلية واستخدام برامج التقييم الذاتى للرقابة0 "لأن العديد من نظم الرقابة المحاسبية والمالية التى يعتمد عليها المراجع يجب أن يتضمنها برنامج الحاسب فإن المراجع فى ظل استخدام تكنولوجيا المعلومات يجب أن يهتم كثيراً بالمراحل المبكرة لتصميم النظام حيث غالباً ما يتم تشغيل قسم الحاسبات والمعلومات بواسطة موظفين ذوى معرفة متخصصة مما حتم على المراجع أن يكون كف ًوفعالاً فى مراجعة عمليات تشغيل البيانات التى يقوم بها هؤلاء المتخصصون كما أن الصعوبات والمشاكل التى يواجهها المراجع فى ظل التشغيل الإلكترونى للبيانات غالباً ما تتناسب عكسياً مع حجم الحاسب المستخدم، لأنه من الصعب تحقيق الفصل بين المهام فى ظل الحاسبات الصغيرة بسبب نقص الأفراد المتخصصين"([88])0
وأوضح معيار المراجعة الأمريكى (SAS No 94) أن هناك تأثيرا كبيرا لتكنولوجيا المعلومات على أنشطة وأساليب الرقابة المتبعة، حيث أن تكنولوجيا المعلومات غالباً ما تُحْدث تغييرات جوهرية فى عمليات إدخال، وتسجيل وتشغيل، والتقرير عن الصفقات فى ظل العدد الضخم للصفقات المبرمة فى بيئة تكنولوجيا المعلومات([89])0
ويجب على المراجع القيام بفحص مبدائى لأنشطة الرقابة المتبعة فى المشروعات الإلكترونية سواء كانت أنشطة الرقابة العامة General Control Activities والتى تتعلق بكيفية الفصل فى الواجبات وحماية أصول المشروع وخاصة التجهيزات التكنولوجية وكذلك حماية الشبكة الخاصة بالمشروع والمتصلة بشبكة الإنترنت العامة، كما يجب فحص أنشطة الرقابة على التطبيقات Application Control Activities وتشغيل البيانات سواءً كانت أنشطة رقابية على المدخلات أو التشغيل أو المخرجات وكذلك تداول البيانات إلكترونيا عبر شبكة المعلومات وكذلك أنشطة الرقابة المتبعة فى إدارة الموقع الإلكترونى للمشروع على الشبكة([90])0
ونظراً لأهمية فحص ودراسة أنشطة الرقابة المتبعة فى المشروعات التى تستخدم تكنولوجيا المعلومات فى إتمام معاملاتها التجارية فقد أوجب قانون Sarbanes- Oxley الصادر فى أمريكا USA)) عام 2002 ([91]) على المراجع أن يقوم بفحص أنشطة وأساليب الرقابة المتبعة فى المشروعات وإظهار نتيجة فحصه فى تقرير المراجعة، حيث يجب أن يحتوى التقرير على ما إذا كانت الأساليب والأنشطة المتبعة تحقق المحافظة على السجلات التى تعكس بعدالة ودقة صفقات المشروع وتأكيد معقول بأن الصفقات يتم تسجيلها وفقاً لمعايير المحاسبة المتعارف عليها GAAP، كما يجب أن يحتوى التقرير على وصف لأى أوجه ضعف أو عدم اكتمال جوهرية فى الأنشطة والأساليب الرقابية0
وهناك من يرى أن أنشطة الرقابة الداخلية المتعارف عليها والموجودة فى تقرير لجنة Coso لم تعد كافية وملائمة لخصائص نظم تكنولوجيا المعلومات وما تتعرض له من مخاطر متعددة مما يتطلب تصميم أنشطة رقابة داخلية تتلاءم مع أنشطة تكنولوجيا المعلومات ولضمان توثيق ونزاهة معلومات ومعاملات التبادل الإلكترونى للبيانات نظراً للأسباب التالية([92]) :
1- يمكن أن تتعرض هذه النظم المفتوحة لوصول العملاء أو القراصنة أو غيرهم0
2- إتاحية موقع المنشآت ونظامها فى أداء العمل على مدار 24 ساعة لإنجاز المعاملات الإلكترونية وعدم توقفها، يتطلب أهمية وجود إجراءات رقابية للاحتفاظ بخطط لاستمرارية نظم وموقع المنشأة0
3- الاعتماد الكبير على الإجراءات الالكترونية فى التسجيل والمعالجة والتقرير عن المعلومات وما يترتب عليه من عدم وجود مستندات ورقية مما يتطلب الاعتماد على الرقابة الالكترونية مثل التصريح بالوصول والمعاملات، ودقة إدخال البيانات وسرعة اكتشاف الأخطاء وتصحيحها0
4- وجود إجراءات رقابية للفصل المادى بين مهام المسئولين عن إعداد وتشغيل وصيانة نظم وموقع المنشأة بالإضافة إلى الحماية المادية للأجهزة والبرامج .
5- تشكل تكنولوجيا التجارة الإلكترونية خطراً كبيراً على المعلومات وخاصة السرية والخصوصية مما يستدعى توفير طرق لرقابة وتأمين قواعد البيانات وحماية المعلومات .
§ الأثر على المعلومات والاتصالات :
يعد نظام المعلومات من أهم العناصر المكونة للهيكل المتكامل للرقابة الداخلية، "بما يوفره من معلومات مفيدة لأطراف عديدة عن طريق قنوات مفتوحة للاتصال تسمح بتدفق تلك المعلومات وإعداد التقارير" ([93])، و" تعتمد نظم المعلومات للمشروعات التى تستخدم تكنولوجيا المعلومات فى إدارة معاملاتها التجارية على نظم تكنولوجية عالية الالكترونية حيث تستخدم الإجراءات الالكترونية لإنشاء وتسجيل ومعالجة والتقرير عن المعاملات فى تقارير إلكترونية، كما يتولد عن الإجراءات الالكترونية مسار مراجعة إلكترونى والاعتماد بدرجة كبيرة على الرقابة الالكترونية المبرمجة المبنية داخل النظم والتى تطبق على كل المعاملات "([94])0 وتتطلب معاملات التجارة الإلكترونية ضرورة وجود قنوات اتصال بين المنشأة وموظفيها لإعلامهم بسياسة الأمن ونزاهة معالجة المعاملات وتذكيرهم بمسئوليتهم0
وهناك من يرى" أن نظام الاتصال فى ظل المعاملات التجارية الإلكترونية يجب أن يتسم بالتغذية العكسية وتوصيل المشاكل واختراقات الأمن للإدارة ومسئولى إدارة الأمن كما يجب نشر السياسات الأمنية على موقع المنشأة لإعلام العملاء بكيفية التعامل مع المنشأة فيما يتعلق بمعاملات التجارة الإلكترونية "([95])0
ويتميز نظام المعلومات فى المشروعات التى تستخدم تكنولوجيا المعلومات فى معاملاتها بـ([96]) :-
1- توفير المعلومات بشكل فورى مستمر من خلال التشغيل الفورى للبيانات0
2- التركيز على وجود نسخ احتياطية بديلة للملفات والبرامـج0
3- توفير الأمـن للمعلومــات المنتجــة مـن خلالـــه0
4- التوصيل الجيد للمعلومات لكافة أطراف المستويات الإدارية0
§ الأثر على المراقبة :
يتطلب أمن المعلومات Information Security ومعاملات تكنولوجيا المعلومات متابعة وفحص وتقييم مستمر لكل من سياسات الأمن وأداء الأفراد وأداء التشغيل حيث تتميز هذه الأنظمة بالتتابع المستمر فى عملياتها والتشغيل الفورى لبياناتها الأمر الذى يتطلب ضرورة وجود نظام للمراقبة والمتابعة المستمرة داخل المشروع يتم من خلاله([97]) " التقييم المستمر Continuous Evaluation لأنشطة المنشأة واتخاذ الإجراءات المصححة فى الوقت المناسب، الاكتشاف المبكر لأى تلاعب أو غش أو تحريف فى الحسابات أو العمليات "0وحيث أن اختراقات وحوادث الأمن والأخطاء المختلفة من الممكن أن تؤدى إلى انهيار وتوقف النظام التكنولوجى المستخدم مما يتطلب ضرورة وجود متابعة مستمرة لفحص كفاءة وفعالية الأنشطة الرقابية وضرورة وجود متابعة مستمرة لسياسات أمن المعلومات ولوائحها المنظمة لذلك يرى الباحث أن المتابعة المستمرة والتقييم مكون جوهرى للرقابة الداخلية لأنشطة تكنولوجيا المعلومات .
1- متابعة الالتزام :
ويقصد بها متابعة الالتزام بسياسات أمن المعلومات وتوافقها مع ما يستجد من متطلبات وقوانين مع ضرورة تعديلها وتحديثها بما يتلاءم مع التهديدات والتغيرات الجديدة بالإضافة إلى متابعة عقود واتفاقيات مقدمى الخدمة بالإضافة إلى متابعة أفراد المنشأة بالحفاظ على متطلبات الأمن وربط ذلك ببرنامج الحوافز والجزاءات للمساعدة على تحسين التزامهم ويقوم بهذه المهام المستشار القانونى لفريق متابعة الالتزام ومسئولى الأمن ومسئولى الموارد البشرية0
2- متابعة الرقابة :
ويقصد بها متابعة وتقييم الرقابة والعمليات بحيث يمكن عمل تحديد فورى للمشكلات واحتوائها والإسراع بالتغطية لتخفيض حجم الخسارة والتدمير وإعداد تقارير عن المشكلات المرتبطة بالأمن ووضع اقتراحات للحلول ويقوم بذلك مسئولو الأمن ومتخصص تكنولوجيا المعلومات0
ويتفق الباحث مع من يرى أنة: "يتعين على المراجع أن يعيد النظر فى تصميم برنامج المراجعة التقليدى عند فحصه لحسابات المشروعات التى تستخدم الوسائل الالكترونية المحاسبية ويعدل من طريقة تنفيذه بما يتلاءم مع الظروف الآلية الجديدة وتطوير الأنظمة التى يتبعها فى مراجعة المستندات والسجلات الجديدة([99])"،كما أن اختفاء الدليل المادى الملموس للإثبات قد أثر على الأداء المهنى للمراجع وعدم مقدرته على تقديم معلومات دقيقة عن نظم الرقابة الداخلية لتحديد مدى إمكانية الاعتماد عليها فى المراجعة، "ففى ظل استخدام تكنولوجيا المعلومات أصبح بالإمكان بث برامج محكمة الإعداد ذات أهداف معينة يتم بواسطتها اختراق نظام الرقابة الداخلية لتحقيق أهداف غير مشروعة مما أدى إلى أن المراجع أصبح يعمل فى ظل ظروف عدم التأكد، وليس لديه ما يؤكد بالدليل أو القرينة أنها ذات التعليمات التى يتم تنفيذها فعلاً خلال الفترة المحاسبية وبالتالى افتقار القوائم المالية إلى المصداقية"([100])0
ويرى الباحث أنه من أجل تقييم نظام الرقابة الداخلية فى ظل تكنولوجيا المعلومات يجب على المراجع أن يكون ملماً بالأمور التالية:
1- معرفة سياسات أمن المعلومات ومفهوم دورة حياة النظام والأساليب الرقابية على إعداد برنامج التطبيق0
2- معرفة أساليب التصريح والوصول وطرق المعالجة الآمنة وأساليب حماية البيانات0
كما يجب أن يكون لديه مهارة القدرة على تحليل وتقييم سياسات الأمن وإجراءاته وتقييم وسائل حماية البيانات كالتشفير والحماية من الفيروسات والقدرة على إجراء المتابعة المستمرة .
خلاصة المبحث
تناول الباحث مزايا ومخاطر استخدام تكنولوجيا المعلومات فى الرقابة الداخلية ،مع تصنيف هذه المخاطر ، وتحديد أهم أدوات وإجراءات الرقابة الداخلية على أمن وسلامة المعلومـات ، والوسائل التى تستخدم لتحقيق أمن وسلامة المعلومـات ، مع بيان أثر استخدام تكنولوجيا المعلومات على المكونات الخمس لهيكل الرقابة الداخلية . خلاصة الفصل الثالث
تعرض الباحث فى هذا الفصل لأثر تكنولوجيا المعلومات على مهنة المحاسبة والمراجعة وعلى تقدير المخاطر والرقابة الداخلية 0
فى المبحث الأول تعرض الباحث لأثر تكنولوجيا المعلومات على مهنة المحاسبة والمراجعة، حيث أن استخدام تكنولوجيا المعلومات فى إتمام المعاملات التجارية قد أدى إلى تدنى وقت وتكلفة إنجاز الأعمال وتقلص استخدام المستندات الورقية إلى درجة العدم، مما ترتب عليه وجود مجموعة من المشاكل التى يصعب قياسها وتحديدها محاسبياً ،وهو ما ينعكس بالسلب على صحة بنود القوائم المالية، فالبيئة اللاورقية المصاحبة لتكنولوجيا المعلومات وكذلك حفظ وتشغيل وتسجيل عمليات تلك البيئة التى تتم بصورة إلكترونية كاملة وما تتعرض له من مخاطر التغيير والتحريف والسطو يلقى بظلاله على تأهيل القائمين على مهنة المراجعة وعلى توقيتها وعلى إجراءاتها وعلى التقنيات المستخدمة فيها والمهارات المطلوبة لمراجعة عملياتها0
ومن خلال المبحث الثانى عرف الباحث أمن وسلامة المعلومات بأنها " كافة الأبعاد المتعلقة بضرورة تحقيق قدر من السرية والسلامة للمعلومات التى تمتلكها المنشأة رغم إمكانية إتاحتها ومراجعتها والمساءلة المرتبطة بعملية سوء استخدامها وتوفيرها لإمكانية الاعتماد عليها لاتخاذ القرارات المناسبة فى الوقت المناسب،وتحديد أهم التهديدات التى يمكن أن يتعرض لها أى نظام معلوماتى فى ظل استخدام تكنولوجيا المعلومات ،وتعريف مخاطر تكنولوجيا المعلومات والأشكال المختلفة لتلك المخاطر ، مع عرض وجهات النظر المختلفة لتبويبها وتصنيفها (وفقاً لمصدرها أو المتسبب فيها أو وفقاً لتعمدها أو بناء على الآثار الناتجة عنها أو وفقاً لعلاقتها بمراحل النظام أو ومخاطر ناتجة من استخدام Net Works)، وأخيراً أوضح الباحث أثر تكنولوجيا المعلومات على تقدير مخاطر المراجعة (الأثر على تقدير المخاطر الحتمية وخطر الرقابة وخطر الاكتشاف) بالإضافة إلى المخاطر التى صاحبت استخدام تلك التكنولوجيا0
حيث أن استخدام تكنولوجيا المعلومات جعل الأنظمة المحاسبية المستخدمة أكثر تعقيداً كما جعل عملية اكتشاف الغش والأخطاء أكثر صعوبة الأمر الذى يؤدى إلى زيادة مخاطر عملية المراجعة : لذلك فإن مخاطر المراجعة سوف تزداد عند ممارسة أنشطة تكنولوجيا المعلومات مما يستلزم من المراجع بذل مزيد من الجهد حتى يتمكن من رقابة الأنشطة التكنولوجية ،وجمع الأدلة المؤيدة لرأيه للوصول إلى مستوى المخاطر المقبولة ،وتحقيق أهداف عملية المراجعة0فكلما زاد استخدام التكنولوجيا الأكثر تعقيداً كلما زادت حالات الغش والتلاعب والأخطاء ومن ثم أصبح اكتشافها أكثر صعوبة ،كلما زاد تقدير المراجع لمستوى المخاطر المرتبطة والمتلازمة لتلك التكنولوجيا0 حيث يأخذ هذا التأثير شكل علاقة طردية بين استخدام تكنولوجيا المعلومات وبين تقدير المراجعين لمخاطر المراجعة فى ظل هذه التكنولوجيا0
وفى المبحث الثالث تعرض الباحث للرقابة الداخلية على أمن وسلامة المعلومات حيث تحاول كافة المنشآت تأمين بيئة تكنولوجيا المعلومات الخاصة بها فموضوع أمن وسلامة المعلومات قد يشكل خطراً على المنشأة وعلى سمعتها (مخاطر السمعة) ، وقد أوضح الباحث مزايا ومخاطر استخدام تكنولوجيا المعلومات فى الرقابة الداخلية ،وذلك لتحقيق مزيد من الكفاءة والفعالية للرقابة الداخلية لتوفير معلومات آمنة ودقيقة وموثوق فيها لمستخدمى القوائم المالية ، مع تحديد أهم أدوات وإجراءات الرقابة الداخلية على أمن وسلامة المعلومات وفقاً لأحد أحدث الإصدارات الدولية (معيار المراجعة الدولى 17799 لسنة 2000) ،وعرض أهم الوسائل المستخدمة لتحقيق الرقابة الداخلية على أمن وسلامة المعلومات (التشفير والحماية من الفيروسات والحوائط النارية 000الخ)0
و فى نهاية المبحث تعرض الباحث لأثر تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية وكيف أعطت تكنولوجيا المعلومات أهمية كبيرة لبيئة الرقابة والتى زادت أهميتها فى ظل أنشطة تكنولوجيا المعلومات مما فرض ضرورة وجود إجراءات رقابية لحسن اختيار الموظفين ووجود سياسات لأمن وخصوصية المعلومات وكيف أثرت على تقييم المخاطر ودرجة الاستجابة لها والأنشطة الرقابية التى يتم أداؤها لإلغاء أو تخفيض تلك المخاطر مما تطلب الاعتماد بشكل كبير على الرقابة الالكترونية (مثل التصريح بالوصول) وإضافة قنوات جديدة للاتصال الجيد بين موظفى المنشأة وإدارتها وضرورة وجود متابعة وفحص مستمرين لكفاءة وفعالية الأنشطة الرقابية فى ظل وجود حوادث الأمن والاختراقات والأخطاء المختلفة التى من الممكن أن تؤدى إلى انهيار وتوقف النظام0
حيث أصبحت مكونات وعناصر هيكل الرقابة الداخلية المتعارف عليها والموجودة فى تقرير Coso غير كافية لرقابة أنشطة تكنولوجيا المعلومات مما يتطلب ضرورة تعديل فى مكونات وعناصر وإجراءات الرقابة الداخلية الموجودة فى تقرير Coso لتتلاءم مع أنشطة وخصائص تكنولوجيا المعلومات كإضافة عنصر الاستجابة للمخاطر من خلال التدريب على كيفية التصرف فى منع واكتشاف الأخطاء والمشاكل ،وكيفية التقرير عنها وتبليغها إلى فريق أمن المعلومات وإضافة عنصر التوافق والتكامل بين النواحى الإدارية، والتكنولوجيا ،والقانونية وموقع المنشأة على الإنترنت لتكوين إطار أمن متوافق ومتماسك0
- د/ عارف عبد الله عبد الكريم ، تقدير المراجع لأخطار الرقابة 000، مرجع سبق ذكره ، ص115 0
- أ/أمل عبد الفصيل عطية ، مرجع سبق ذكره ، ص81 0
-Hand Book of International Auditing, IAPS, No.620, “Using the Work of An Expert”, IFAC, Ethics Pronouncements, 2004, (Parag 2,3).
-AICPA Professional Standards, SAS, No.73, “Using the Work of A specialist” Au Section 336, December 1998, Parag 8.
- أ/ محمود مصطفى الشريف، اطار مقترح لمراجعة نظم المعلومات المحاسبية الالكترونية ، رسالة ماجستير – غير منشورة ، كلية التجارة – جامعة بنها ، 2006 ، ص66 : 69 0
- د/ أحمد عبد القادر أحمد، مرجع سبق ذكره ، ص71 : 73 0
- Arens, Alvin and James Laeboke, "Auditing : An Integrated Approach", 8th Edition, Prentice Hall, New Jersey , 2002, PP.331 : 334.
- د/ عبد الوهاب نصر على-د/شحاتة السيد شحاتة،مراجعة لحسابات فى بيئة الخصخصة ...،مرجع سبق ذكره،ص37: 38.
- Ryan S.D. Bardalai, "Evaluating Security Threats in Mainframe and Client / Server Environments", The CPA Journal, Vol. 30, 1997, 137-142. (www .nyss cpa /cpa Journal/1997)
- Coe, Kathleen, “Employees : The First Line of Defense”, IT Audit, the Institute of Internal Auditors, USA , Vol. 6, Jan 2003, P.1-2. (www. Theiia.org/it audit /………)
- د/ أحمد عبد السلام أبو موسى ، مرجع سبق ذكره ,ص 6-7.
- د/ محمد عبد الفتاح محمد، إطار مقترح لمراجعة نظم معلومات التجارة الإلكترونية، مجلة الفكر المحاسبى، كلية التجارة – جامعة عين شمس ، العدد الأول، السنة السابعة، 2003، ص209 : 210 0
- أ/ مصطفى السيد عمار,دودة تطارد كلمة السر فى حاسوبك,11يوليو2002.
(on line; www.c4arab.com/showac.php?acid=48)
([51]) د/ عادل عبد الرحمن أحمد، دراسة تحليلية لأثر النشر الإلكترونى للبيانات والتجارة الإلكترونية على طبيعة عملية المراجعة ومسئولية المراجع مع دراسة اختبارية للنشر الإلكترونى للبيانات فى السعودية، مجلة الدراسات و البحوث التجارية، كلية التجارة – جامعة الزقازيق فرع بنها، العدد الثانى، 2003، ص145 : 146 0
- د/ عبد الوهاب نصر على ، دراسة الآثار الحتمية للتجارة الإلكترونية .........، مرجع سبق ذكره ، ص35 : 36 0
- د/عاصم أحمد سرور ، أدلة الإثبات فى ظل أنشطة التجارة الإلكترونية – دراسة تحليلية ميدانية ،مجلة كلية التجارة للبحوث العلمية ،كلية التجارة - جامعة الإسكندرية ، العدد الأول ، مارس 2005، ص232 0
- د/ عارف عبد الله عبد الكريم ، المرجع السابق، ص73 0
- د/ عبد الوهاب نصر على ، دراسة الآثار الحتمية للتجارة الالكترونية .....، مرجع سبق ذكره ، ص36 .
- د/ أحمد حلمى جمعة ، مرجع سبق ذكره ، ص 21-22.
- أ / أمل عبد الفضيل عطية ، مرجع سبق ذكره ، ص 100-101 .
(1) ACL White Paper, "Auditing E. Business : Challenges and Opportunities", E. Commerce White Paper, 2001, P.2. (online : www.acl.com).
- د/ عبد الوهاب نصر على- د/ شحاته السيد، الرقابة والمراجعة الحديثة فى بيئة تكنولوجيا المعلومات وعولمة أسواق المال (الواقع والمستقبل)، مرجع سبق ذكره, ص248 : 249 0
- د/ عادل نعمة الله وآخرون، دراسات فى المراجعة المتقدمة، الدار الجامعية، 2003، ص356 : 357 0
- د/ محمد مصطفى أحمد الجبالى، مرجع سبق ذكره ، ص275 : 276 0
- د/ حسن عبد الحميد العطار، نموذج مقترح لتقييم مخاطر بيئة التشغيل الإلكترونى مدخل لتدعيم دور مراقب الحسابات فى ظل التحديات المعاصرة، مجلة البحوث التجارية ، كلية التجارة- جامعة الزقازيق، العدد الأول، يناير 2000، ص65 : 68 0
- د/ فاروق جمعة عبد العال ، مرجع سبق ذكره ، ص277 0
- د/ عادل عبد الرحمن أحمد، مرجع سبق ذكره ، ص136 : 137 0
- د/ السيد عبد المقصود دبيان، د/ وليد السيد كشك، الاتجاهات الحديثة فى الرقابة الداخلية على أمن نظم المعلومات فى ظل التجارة الإلكترونية ودور المعايير الدولية، مؤتمر التجارة الإلكترونية : الأفاق والتحديات، كلية التجارة - جامعة الإسكندرية، يوليو 2002 (25- 27) ص513-514 0
- د/ عارف عبد الله عبد الكريم، إجراءات مراجعة المبيعات فى شركات التجارة الإلكترونية، مرجع سبق ذكره ، ص468 0
-International Audit Services, 2004, “A Risk Management Approach to Audit and Implementing Internal Controls”, Internal Audit Management.(www. Clydesdale. Com, Audit- Management.htm).
-Eloff. M. M and Salms, SH, “Information Security Management, Apierarchical From Work For Varialls Approaches”, Computer & Security, Vol 19, 2000, pp 243- 256.
-د/ عبد الوهاب نصر، د/ شحاته السيد، الرقابة والمراجعة الداخلية الحديثة 000، مرجع سبق ذكره، ص264 : 267 0
- د/ فاروق جمعة عبد العال، مرجع سبق ذكره، ص279 0
- Mahadevan,c. “E- Commerce Security- Components Which Make it Safe”, Information Systems Control Journal, 2001, pp2 : 5 (www. Is aca. Org/ art 20. Htm).
- Lin, L, “Internet Security”, information Systems Control Journal, 2001,pp1:3. (on line : www. Is aca. Org/ art 20. Htm ).
- د/ محمد السعيد خشبة، تكنولوجيا التجارة الإلكترونية، المطبعة الحديثة، 2003 ص95 : 98 0
- د/ عبد العزيز السيد مصطفى، السياسات الرقابية على نظم التبادل الإلكترونى للبيانات وانعكاساتها على أساليب الفحص الضريبى لصفقات التجارة الإلكترونية، مؤتمر التجارة الإلكترونية : الأفاق والتحديات، كلية التجارة، جامعة الإسكندرية، يوليو، 2002، (25 : 27) ص412: 417 0
- أ/ مصطفى السيد عمار, الفيروسات والبرامج المضادة لها ,17يوليو2002.
- أ/ أمانى حسين كامل خليل، مرجع سبق ذكره ,ص106 : 117 0
- أ/ أمانى حسين كامل خليل، مرجع سبق ذكره ، ص98 : 99 0
- د/ عارف عبد الله عبد الكريم ، تقدير المراجع لأخطار الرقابة ..........،مرجع سبق ذكره ، ص،60-61 .
(3) أ/ أمانى حسين كامل خليل، مرجع سبق ذكره ، ص 100 .
(2) The Committee of Sponsoring Organizations of The Treadway Commission (Coso), “Enterprise Risk Management Frame Work”, 2003, pp 2- 4. (On Line : www. Erm. Coso. Org).
ليست هناك تعليقات:
إرسال تعليق
ملحوظة: يمكن لأعضاء المدونة فقط إرسال تعليق.