الضوابط الرقابية والتدقيق الداخلي في بيئة تكنولوجيا المعلومات

[زين العابدين]

انا : زين العابدين

مقدمة
يتميز عالمنا المعاصر بدرجة عالية من التعقيد والتشابك والتغير خاصة في الأمور الاقتصادية والمالية والمحاسبية وتدقيق الحسابات, وذلك نتيجة للتطورات التكنولوجية المتسارعة والمتلاحقة في أساليب وأدوات الإنتاج, وأساليب ووسائل الاتصال ونظم المعلومات ونقلها,إضافة إلى ظهور الأشكال التنظيمية الجديدة، والشركات المتعددة الجنسية، مما زاد من حدة المنافسة وخطورتها الأمر الذي يستلزم اتخاذ قرارات سريعة وفاعلة، حتى تتمكن المنظمة من الاستمرار في التنافس والحفاظ على ميزاتها في السوق، مما يتطلب توفر معلومات حديثة ودقيقة، تساعد في اتخاذ القرارات الاقتصادية الرشيدة. ان هذا الأمر يتطلب بناء نظام معلومات يهدف إلى تحديد نوع وحجم البيانات، وكيفية جمعها ومعالجتها وتحليلها، ووجود الرقابة الفاعلة عليها، وتدقيق مخرجاتها عندما تتحول البيانات الخام إلى معلومات مفيدة وموثوق بها لاتخاذ القرارات وتقييم الأداء.
وفي اعتقادنا أن الضوابط الرقابية بالنسبة لبيئة نظم المعلومات يجب أن تغطي الجوانب التالية:
أ. التصميم من اجل نمو الضوابط الرقابية في المنظمة.
ب. الاستعمال السلس للضوابط الرقابية.
ج. الأهلية التكنولوجية من أجل الاستخدام الأفضل للضوابط الرقابية.
د. يجب ألا يتولد عن الضوابط الرقابية تكاليف غير مباشرة غير ضرورية , أو يتولد عنها تأثير على الأداء أو القدرة الاستيعابية أو الوظيفية.
ويجب تصميم وتطبيق إطار رقابي يحدد طريقة الوصول المناسب للبيانات، على ان يتميز بسهولة إدارته وتدقيقه، كما يجب أن يكون مصمما للاستجابة إلى أي تغييرات تحدث في بيئة الأعمال .


مجالات الخدمات التدقيقية
لقد أصبحت ثورة المعلومات والتكنولوجيا (صناعة المعلومات) أحد أهم الصناعات الحديثة في الوقت الحاضر, فهي تقف وراء نجاح الشركات وتعطيها القوة والاستمرارية والمنافسة. مما أثار الحاجة إلى ضوابط رقابية للحد من المخاطر الجديدة الناجمة عن التطورات الحديثة في بيئة تكنولوجيا المعلومات. ومن اجل نجاح عمليات التدقيق والضوابط الرقابية, فلا بد من تكامل الخدمات التدقيقية والضوابط الرقابية في بيئة نظم وتكنولوجيا المعلومات وذلك من خلال المجالات التالية :
1. تدقيق تكنولوجيا المعلومات.
2. التدقيق التشغيلي ( الشامل ).
3. التدقيق المالي.
4. تدقيق الالتزام.
5. تقييم ( تقدير )المخاطر.
6. مراجعة الرقابة الداخلية .
7. رقابة التقدير الذاتي.
8. مساعدة التدقيق الداخلي والخارجي.
9. النظام المحاسبي.
10. تقييم نظام المعلومات المحاسبية وتصميمه وتطبيقه.


تدقيق تكنولوجيا المعلومات
تعتبر تكنولوجيا المعلومات جزءا حساسا في معظم استراتجيات الأعمال في الأسواق العالمية المنافسة، وهناك عوامل عديدة تشير إلى توسع في عالم تكنولوجيا المعلومات والتي تضع مطالب اكبر على بيئة الرقابة بخصوص تكنولوجيا المعلومات، وان مثل هذا الأمر يحتاج إلى تخفيف المخاطر وتكاليف الرقابة المتعلقة بها في بيئة تكنولوجيا المعلومات غير المتنبأ بها، ومن هنا جاءت أهمية التأكيد على أفاق المعلومات، ووجود الضوابط الرقابية الفاعلة على بيئة تكنولوجيا المعلومات. ويجب أن تصمم خدمات تدقيق تكنولوجيا المعلومات للأطراف العديدة التي تستخدمها والمديرين والمدققين وملاك المشروع. كما يجب إن تسهل الضوابط الرقابية وتقدم الفرصة إلى إعادة هندسة تطبيق البيئة الرقابية القائمة، الأمر الذي يتطلب مراجعة شاملة وإعادة تصميم للضوابط الرقابية.
ونعتقد بان التكامل يجب أن يبنى مباشره في عمليات منظمة الأعمال عن طريق إنشاء قاعدة تكنولوجية مستقرة من اجل معالجة المعلومات الموثوق بها وفي الوقت المناسب، وتطبيق إطار متكامل من اجل تعظيم مثل هذا التكامل، وإنشاء وتطوير معايير منسقة والتي تضمن موثوقيه البيانات وتوفرها .
ويمكن القول بأنه لا توجد منظمتين تتقاسمان أهداف رقابية متطابقة أو تتعرض لنفس المخاطر، كما انه لا يتوفر نفس الموارد لهما للتعامل مع المواضيع الرقابية. ومع ذلك، فان جميع المنظمات ترغب في وجود ضوابط رقابية فاعلة وبكلفة متدنية نسبيا ( الكلفة المعقولة لبيئة الرقابة ). وهنا تقع مهمة التدقيق والضوابط الرقابية حيث ينصب التركيز على تفهم المتطلبات والمخاطر وتطبيق آلية ألامان والرقابة والعمليات التدقيقية .


التدقيق التشغيلي
يتضمن التدقيق التشغيلي ( الشامل ) مراجعة الطرق والإجراءات التشغيلية للمنشاة من اجل تحديد كفاءتها وفاعليتها, وذلك من اجل تقديم التوصيات لتحسين الإجراءات. والتدقيق التشغيلي غالبا ما يتضمن مراجعة السياسات في المجالات التي يجب أن تعمل بكفاءة من اجل تلبية أهداف الشركة ( الفاعلية ) وتحقيق الأهداف في أحسن ما يمكن وبالطريقة الأقل هدراً للموارد ( الكفاءة ) .
وحيث يمكن للسياسة أو الإجراء أن يكونا فاعلين وكفؤين , ولكن على مدار المدى الطويل يمكن أن تكون غير اقتصادية, لذا لابد من الأخذ بعين الاعتبار ما إذا كانت المنافع المتعلقة بالسياسة أو الإجراء تزيد عن تكلفتها أم لا .


التدقيق المالي
ان احد الأهداف وراء التدقيق المالي هو مساعدة المدققين الخارجيين عند قيامهم بالتدقيق المالي التقليدي, وينتج عن هذه التدقيقات تقارير تظهر ما إذا كانت المعلومات المالية التاريخية قد عرضت للأطراف الخارجية مثل الدائنين وكذلك الإدارة بعدالة. ويمكن أن تشمل خصائص التدقيقات المالية الاتي :
• أن يكون هدف التدقيق المالي إضافة المصداقية لتمثل الإدارة في القوائم المالية.
• ان المدقق شخص مستقل عن أدارة المنشاة.
• تكوين المدققين لأرائهم على أساس العدالة الشاملة, وذلك وفقا للمبادئ المحاسبية المتعارف عليها والمقبولة قبولا عاما للقوائم المالية، وذلك على أساس الاختيار الاختباري.
• في الوقت الذي يكون فيه المدققين غير متأكدين بشكل قطعي ما إذا كانت القوائم المالية صحيحة, فان التدقيق المالي يمكن أن يقدم تأكيداً معقولا بان القوائم المالية خالية من التحريف المادي .


تدقيق الالتزام ( التطابق )
ان خدمات تدقيق الالتزام تقيس مدى التزام التدقيق ومطابقته مع بعض المعايير الموضوعة مسبقا. وبعض المجالات التي تحتاج فيها تحديد الالتزام والتي يمكن ان تكون بحاجة إلى مراجعة، وتشمل الآتي :
* تحديد الالتزام بالسياسة أو الإجراءات الموضوعة مسبقا من قبل الإدارة.
* تحديد مدى الالتزام بالقوانين والتشريعات.


تقييم ( تقدير ) المخاطر
يعتبر تقدير المخاطر مسالة حساسة للإدارة. وهناك بعض القوانين كما هو الحال في أمريكا تتطلب تقدير سنوي للمخاطر لبعض البنوك، كما أن المبادئ الجيدة للإدارة تشجع ذلك في صناعات وقطاعات أخرى، وأي تهديد لتحقيق استراتجيات وأهداف منظمة الأعمال هو مخاطر للأعمال التجارية. وبينما يمكن تخفيض المخاطر من خلال الضوابط الرقابية، فإنه لا يمكن استبعاد هذه المخاطر بشكل كامل، ولكن مع وجود عملية تقييم فاعلة للمخاطر وضوابط رقابية ذات محتوى اقتصادي بخصوص المخاطر، فإن الإدارة تستطيع أن تحقق مدى مقبول للتعرض للخسارة، وتقييم المخاطر يعتبر مسالة مكملة ومسؤولية مستمرة للإدارة، وذلك بسبب أن الإدارة لا تستطيع وضع أهداف وتفترض سهولة تحقيقها، وعملية تقييم المخاطر يجب أن ينظر إليها من منظور علاقتها بالنسبة للتغير والفرص والأهداف والضوابط الرقابية، وهو التقييم الذي يختبر التهديدات - ليس فقط للأداء المالي والرقابة، ولكن أيضا بالنسبة لاستراتيجيات المنظمة وأهدافها، والمخاطر هي صورة لمرآه الفرصة .


- ويمكن تمييز المخاطر بما يلي:
• المخاطر الإستراتيجية: وهي تلك المخاطر التي تتعلق بعمل الأشياء الخطأ.
• المخاطر التشغيلية: وهي تلك المخاطر التي تتعلق بعمل الأشياء الصحيحة بالطريقة الخطأ.
• المخاطر المالية: وهي تلك المخاطر التي تتعلق بفقدان الموارد المالية أو حدوث التزامات غير مقبولة.
• مخاطر المعلومات: وهي تلك المخاطر التي تتعلق بالمعلومات غير الصحيحة أو غير الملائمة، ونظم ليست ذات مصداقية وتقارير غير صحيحة أو تقارير مضللة .


- وعلى المدققين والضوابط الرقابية المساعدة في الأمور التالية:
• تحديد وتشخيص المخاطر الرئيسية للأعمال: انه من الصعب إنشاء إطار لمخاطر الإعمال والذي ينظم ويعطي الأولوية ويقدم لغة مشتركة للتفكير حول المخاطر ويقدم أيضا هيكلا لجعل إدارة المخاطر عملية مستمرة.
• تقييم اثر واحتمالية المخاطر: أن بعدي المخاطر يتمثلان بأثرهما المحتمل على تحقيق الأهداف واحتمالية حدوثها . وقياسها على الأقل على أساس الخبرة الذاتية .
• التصرف على أساس تقييم مخاطر الأعمال: يمكن تجميع استراتجيات الاستجابة في ثلاث مجموعات عريضة وهي:
* تجنيب المخاطر ( تأثير أعلى ، احتمالية أعلى ).
* تخفيف المخاطر من خلال الأنشطة الرقابية والتامين.
* قبول المخاطر ( تأثير أدنى ، احتمالية أدنى ).
• المراقبة ومقياس الأداء : استخدام التكنولوجيا من اجل المساعدة في تسهيل عملية مخاطر التوثيق والضوابط الرقابية، والالتزام بالضوابط الرقابية الذاتية، وإنتاج تقارير الإدارة .


التحديات الجديدة لمخاطر التدقيق
تفرض نظم معالجة البيانات الحديثة تحديات لمخاطر جديدة لعملية التدقيق, ولما كان من الممكن القيام بتدقيق القوائم المالية بواسطة تقييم ومراقبة الضوابط الرقابية على أساس العمليات والنظم المحاسبية الورقية, فقد تحولت منشآت الأعمال وبدرجة متزايدة نحو العمليات والنظم المحاسبية الالكترونية. وقد قدمت النشرة 94 (SAS 94 ) (Statement of Audit Standards 94) (نشرة معايير التدقيق رقم 94) إرشادا حول كيفية تجميع القرائن الثبوتية الكافية في بيئة العمليات الالكترونية.
إن المستندات المستخرجة من الحاسوب، والإثباتات الالكترونية تختلف عن الإثباتات الورقية
( الأسلوب التقليدي ) من حيث: صعوبة التغيير والتبديل، وكفايتها لإثبات المصداقية، وكمال المستندات، ودليل المصادقات، وسهولة الاستعمال والوضوح.
إن الضوابط الرقابية الداخلية تتأثر بكل من مجلس إدارة المنشأة، والإدارة، وغيرهم من الموظفين من أجل تقديم تأكيد معقول لتحقيق ثلاثة أهداف (1) إبلاغ مالي موثوق به (2) عمليات تشغيلية كفؤة وفاعلة (3) الالتزام والتوافق مع القوانين والتشريعات المطبقة سارية المفعول، وبالإضافة إلى ذلك، فإن الضوابط الرقابية الداخلية حول حماية الأصول ضد الامتلاك غير المصرح به واستخدامها والتخلص منها غالباً ما تشتمل على ضوابط رقابية تتعلق بأهداف الإبلاغ المالي والعمليات التشغيلية.
وتتكون الضوابط الرقابية من خمسة مكونات متداخلة وهي :
1. البيئة الرقابية 2. تقييم المخاطر 3. رقابة الانشطة
4. المعلومات والاتصال 5. المراقبة


تدقيق نظم المعلومات
تتمثل وظيفة تدقيق نظم المعلومات بمراجعة الضوابط الرقابية للادارة المطبقة على الأمان والصحة والموثوقية وفاعلية استخدام موارد تكنولوجيا المعلومات. وهناك خمسة أنواع مختلفة للتدقيق بواسطة تدقيق نظم المعلومات وهي: (1) التطبيق (2) التطوير (3) عمليات الحاسوب (4) الادارة (5) التكنولوجيا.


(1) التطبيق :
إن الهدف من مراجعة التطبيق هو من أجل التأكيد بأن الضوابط الرقابية موجودة لتقديم تأكيد معقول بأن العمليات تامة وصحيحة ومسجلة بشكل صحيح وبالتوقيت المناسب. ومن أجل القيام بذلك يقوم المدقق بمراجعة تطبيقات مدخلات الضوابط الرقابية, والضوابط الرقابية للمعالجة, والضوابط الرقابية للمخرجات, والضوابط الرقابية وحرية الوصول إلى المعلومات.
(2) التطوير :
إن الهدف من مراجعة التطوير هو المساهمة في مشاريع قبل وخلال تنفيذها وذلك لضمان بأن ضوابط رقابية وآمنة قد وضعت في النظام، وأن الاهتمامات قد تم التطرق إليها قبل اكتمال النظام.
(3) العمليات التشغيلية :
يتعلق تدقيق العمليات التشغيلية ببيئة عمليات نظم المعلومات والتي تتعلق بجميع التطبيقات. ويتم ذلك من أجل تقييم البيئة الرقابية الشاملة, حيث أن وجود ضعف رقابي عام يمكن أن يؤثر على جميع التطبيقات.
(4) الادارة:
يركز التدقيق الإداري على تنظيم نظم المعلومات وممارستها الإدارية والتي يمكن أن تؤثر على جميع التطبيقات، ويتم هذا أيضا من أجل تقييم البيئة الرقابية الشاملة.
(5) التكنولوجيا :
إن الهدف من تدقيق التكنولوجيا هو مراجعة تكنولوجيا معينة تستخدم بواسطة نظم المعلومات والتي يمكن استخدامها في تطبيقات متعددة. وهذا الامر يساعد في تقييم البيئة الرقابية الشاملة للتطبيقات.


مراجعة التدقيق الداخلي


يتكون التدقيق الداخلي من خطة التنظيم وجميع الطرق والمقاييس المتبناة داخل منظمة الأعمال من اجل حماية أصولها, وفحص دقة وموثوقية بياناتها المحاسبية وتعزيز الكفاءة التشغيلية, وتشجيع الالتصاق والتقيد بالسياسات الإدارية الموضوعة مسبقا. ويجب أن يأخذ أسلوب التدقيق أهمية نظم المعلومات والهياكل الرقابية .


رقابة التقدير الذاتي
أن المسؤولية الأساسية للضوابط الرقابية المالية والالتزام ينظر إليها على أنها تعود إلى المراقب المالي أو المدققين الخارجيين والداخليين ويعتبر المديرين في بيئة الأعمال مسؤولين عن الاستخدام المناسب للموارد التي أوكلت إليهم والرقابة عليها. وفي اغلب الحالات، يقوم المديرين بمراقبة عملياتهم على أساس يومي، فهم يعرفون عملياتهم بشكل أفضل من أي شخص أخر ويكونوا في وضع أفضل لتقييم المخاطر ومعالجتها بالكلفة الفاعلة بما في ذلك مخاطر الالتزام.


تطبيق وإدارة تكنولوجيا المعلومات في التدقيق
شهدت السنوات الأخيرة من هذا العصر تطورات هائلة ومهمة في عالم تكنولوجيا المعلومات وما نتج عنها من سهولة في تخزين المعلومات، والتعامل معها، حتى أصبحت قواعد البيانات والمكتبات الالكترونية مليئة بكم هائل من المعلومات والبيانات من خلال أجهزة الاتصال المتطورة, الأمر الذي سهل عملية تبادل المعلومات وتوفرها في أي جزء من أجزاء العالم. وإن تطبيق وإدارة تكنولوجيا المعلومات في التدقيق تتمثل بما يلي:
• تطبيق استخدام تكنولوجيا المعلومات.
• تحديد متطلبات وحلول تكنولوجيا المعلومات.
• تطبيق الاستخدام الفعلي لتكنولوجيا المعلومات.
1. تزويد التدريب الفاعل.
2. تزويد الدعم الفاعل.
3. رسم الخطط لتخفيض مقاومة الابتكار.
• تحديد نجاح استخدام تكنولوجيا المعلومات.
1. الإجراءات التصحيحية .
2. معايير القياس.
• إدارة استخدام تكنولوجيا المعلومات .
1. نتائج صحيحة .
2. رقابة المنافذ للمعلومات.
3. الاستقلالية والأمان.
4. الكفاءة.
5. التعاون بين موظفي نظم المعلومات.
• التخطيط من اجل استخدام تكنولوجيا المعلومات للقيام بعملية التدقيق.


الأدوات والأساليب الفنية المحو سبة للقيام بالتدقيق
يمكن تلخيص الأدوات والأساليب الفنية المحو سبة من اجل مراجعة التطبيق وبيانات نظم الأعمال بما يلي :
• استرجاع وتحليل البرامج.
• اختبار وفحص الأساليب الفنية للعمليات.
• تطبيقات فنية آخرى.
 وفيما يلي ملخصا للخطوات اللازمة لتطوير الأساليب الفنية المحوسبة للتدقيق :
• تطوير أسلوب فني محوسب للتدقيق .
• تحديد الجدوى .
• التخطيط.
• التصميم.
• الترميز والفحص .
• التطبيق .
• المتابعة.
 تتلخص اعتبارات التدقيق في النقاط الأربع التالية :
1. سلامة وأمان النظام .
2. المسؤولية والكفاءة والفاعلية .
3. الإجراءات الرقابية بالنسبة للتغير في نظام البرمجيات .
4. التخطيط للطوارئ وإرجاع الأمور إلى طبيعتها.




المخاطر والضوابط الرقابية
من أجل تقييم الضوابط الرقابية الداخلية بشكل فاعل من أجل هدف تخفيض قرائن التدقيق المخططة، يجب على المدققين تفهم مفاهيم الرقابة الداخلية الرئيسية ورقابة المخاطر. وفيما يلي البيانات المرتبطة بالمخاطر :
• تصميم غير فاعل .
• تكرار للبيانات.
• تصميم غير كفء .
• علاقات تعريفات غير صحيحية .
• بيانات غير متسقة.
• نقص الوضوح أو التعريفات .
• نقص سلامة وصحة البيانات .
• نقص الملكية المناسبة .
 أما الضوابط الرقابية المرتبطة بالبيانات فإنها تتلخص بما يلي :
• الضوابط الرقابية لقاعدة البيانات والملفات .
• قواعد التحرير والإثبات.
• ملكية البيانات والمسؤولية .
• اختبارات الأمانة والكمال .
 المخاطر المرتبطة بعملية قاعدة البيانات
• أداء غير كف أو فاعل .
• الفشل في رقابة التحديث المتزامن .
• الفشل في المحافظة على الأمانة المرجعية .
• الدخول غير المصرح به للبيانات .
• عدم القدرة على الاستعادة .
• نقص المسؤولية أو التتبع .
 الضوابط الرقابية وعملية قاعدة البيانات المرتبطة بها :
• فصل الواجبات .
• صور الأمان للدخول إلى المعلومات .
• التغيير في الإجراءات الرقابية .
• نسخ ثنائية للبيانات .
• اختبارات الاعتمادية.
• تتبع اثر الأحداث.
• تصليح وإعادة تنظيم قاعدة البيانات .
 وتطبق في هذه الحالة الأساليب الفنية للتدقيق وتتمثل بما يلي :
• استخدام نظام إدارة قاعدة البيانات وأدوات التدقيق.
• تدقيق الأساليب التقنية للبرمجيات .
• مراجعة التحويل إلى امتيازات قاعدة البيانات.
• التحقق من صحة المحتوى .
• مراجعة الإجراءات التشغيلية لتدقيق قاعدة البيانات .
• مراجعة مخططات فشل قاعدة البيانات وإجراءات الاستعادة.
• مراجعة منهج التطوير والصيانة.
• مراجعة ملاءمة الضوابط الرقابية الداخلية .
• تحديد ما إذا كانت حاجات المستخدم قد تمت تلبيتها .
• فحص التطابق والالتزام بعملية تطوير النظم.
• فحص التطابق والالتزام بمعايير النظم والبرمجة.
• تقديم المشورة حول أساليب الرقابة .
• تحديد المتطلبات لمعايير النظم والبرمجة .
• تقييم عملية تطوير النظم الشاملة .
• دراسة مدى ارتباط التدقيق الداخلي في تطوير النظم وصيانتها.



النشرات المتعلقة بتحسين الرقابة الداخلية والابلاغ عنها
لقد تزايد الاهتمام المخصص للرقابة الداخلية من قبل المدققيين أو المديرين، والمحاسبين والمشرعين، وقد صدرت في الولايات الامريكية خمس وثائق حديثة كانت نتيجة الجهود المستمرة من أجل تعريف، وتقييم، وتحسين الرقابة الداخلية والابلاغ عنها وهي :


1- The Information System Audit and Control Foundation's COBIT
( Control Objectives for Information Technology ) .
منظمة الرقابة والتدقيق المتعلقة بنظام المعلومات (أهداف الرقابة وتكنولوجيا المعلومات) .




2- The Institute of Internal Auditors Research Foundation's Systems Auditability and Control ( SAC ) .
رقابة وتدقيق الأنظمة الخاص بقسم الأبحاث التابعة لمعهد المدققين الداخليين الأمريكي.


3- The Committee of Sponsoring Organizations of the treadway Commission's Internal Control – Integrated Framework ( COSO ) .
لجنة المنظمات الراعية لإطار الرقابة الداخلية المتكامل التابع للجنة تريدوي .


4- The American Institute of Certified Public Accountant's Consideration of the Internal Control Structure in a Financial Statement Audit ( SAS 55) , as Amended by Consideration of Internal Control in a Financial Statement Audit : Amendment to SAS 55 ( SAS 78 ) .
دراسة هيكلة الرقابة الداخلية عند تدقيق القوائم المالية (المعهد الأمريكي للمحاسبين القانونيين) معيار التدقيق رقم 55 كما هو معدل بدراسة هيكلة الرقابة الداخلية عند تدقيق القوائم المالية تعديل المعيار 55 ( 78) .


وفيما يلي عرض موجز لهذه النشرات:


أولاً: تقرير COBIT


لقد كيفت وثيقة (COBIT) تعريفها للرقابة من الوثيقة (COSO) على أن السياسات، والاجراءات، والممارسات، والهياكل التنظيمية تُصمم لتزويد تأكيد معقول بأن أهداف منظمة الأعمال سوف تتحقق، وأن الأهداف غير المرغوب فيها سوف تمنع أو تكتشف ومن ثمّ تصحح.
أما بالنسبة لمصادر تكنولوجيا المعلومات فقد صنفت (COBIT) مصادر تكنولوجيا المعلومات على أنها البيانات، وتطبيق النظم، والتكنولوجيا، والإمكانيات التسهيلية، والاشخاص. وقد عرفت البيانات في مفهومها الواسع بأنها لا تحتوي فقط على الاعداد والمراجع والتواريخ ولكن أيضاً على الاشياء مثل الرسوم البيانية والصوت.
ومن أجل تحقيق أهداف المنظمة، تحتاج المعلومات أن تتطابق مع معايير معينة والتي ذكرتها (COBIT) على أنها متطلبات المنظمة من المعلومات، وهي الجودة ومسؤولية الائتمان والأمان. ومن هذه المتطلبات الواسعة استخرج التقرير سبع مجموعات متداخلة للمعايير لغرض تقييم مدى درجة تلبية مصادر تكنولوجيا المعلومات لمتطلبات المنظمة من المعلومات. وتتلخص هذه المعايير بالفاعلية، والكفاءة، والسرية، والكمال، والوجود، والالتزام والتطابق، وموثوقية المعلومات. كما صنفت الوثيقة عمليات تكنولوجيا المعلومات في اربعة مجالات وهي (1) التخطيط والتنظيم (2) الامتلاك والتنفيذ (3) التسليم والمساندة (4) المراقبة.
وقد اشتملت وثيقة (COBIT) على تعاريف لكل من أهدف الرقابة الداخلية و تكنولوجيا المعلومات. وذلك ضمن أربعة مجالات للعمليات، و 32 بيان رقابي عالي المستوى لهذه العمليات، و 271 هدف رقابي ذكر في هذه العمليات الاثنين والثلاثين، وإرشادات تدقيق ربطت مع الاهداف الرقابية.


ثانياً: تقرير SAC


لقد عرف تقرير ( SAC ) نظام الرقابة الداخلية ووصف مكوناته، وقدم عدة تصنيفات للضوابط الرقابية، كما وصف أهداف الرقابة والمخاطر، وعرف دور المدقق الداخلي. وقد قدم التقرير ارشاداً بالنسبة للاستخدام، والمعالجة، وحماية مصادر تكنولوجيا المعلومات، كما ناقش أثار الاحتساب من قبل المستخدم النهائي، والاتصالات والتكنولوجيا الجديدة. وقد عرف التقرير نظام الرقابة الداخلية على أنه " مجموعة من العمليات والوظائف، والأنشطة، والنظم الفرعية، والأشخاص الذين اجتمعوا معاً أو تم فصلهم من أجل ضمان تحقيق الاغراض والاهداف. وقد ركز التقرير على دور وأثر نظم المعلومات المحوسبة على نظام الضوابط الرقابية الداخلية. وقد ركز على الحاجة الى تقييم المخاطر، والأخذ بعين الاعتبار التكاليف والمنافع، وبناء ضوابط رقابية في النظم بدلاً من إضافتها بعد التطبيق. وبموجب (1) بيئة الرقابة (2) النظم اليدوية والمؤتمتة (3) الاجراءات الرقابية. وتشمل بيئة الرقابة على الهيكل التنظيمي، واطار الرقابة، والسياسات والاجراءات، والتأيرات الخارجية. وتتكون النظم المؤتمتة من نظم وتطبيقات البرمجيات (Software) ، وقد قدم التقرير خمس خطط تصنيفية للضوابط الرقابية الداخلية في نظم المعلومات: (1) المانعة والكاشفة والمصححة (2) الاختيارية وغير الاختيارية (3) التطوعية والاجبارية (4) اليدوية والمؤتمتة و (5) التطبيق والضوابط الرقابية العامة. تركز هذه الخطط على متى تطبق الرقابة، وما اذا كان بالإمكان تخطي الرقابة في البرمجيات. أما بالنسبة لاهداف الرقابة والمخاطر، فان المخاطر تشتمل على الاحتيال والاخطاء والاختلالات في الاعمال، والاستخدام غير الكفء والفاعل للموارد. فالاهداف الرقابية تخفض من هذه المخاطر وتضمن وتأكد تمام وسلامة المعلومات والتزامها بالقوانين الرقابية بالنسبة للمدخلات والعمليات التشغيلية والمخرجات والبرمجيات. أما مقاييس الأمان فتشمل الضوابط الرقابية للبيانات والأمور المتعلقة بالالتزام والتطابق والتوافق مع القوانين والتشريعات، والمعايير المحاسبية ومعايير التدقيق، والسياسات والاجراءات الداخلية.
أما بالنسبة لدور ومسؤوليات المدققين الداخليين فتشمل ضمان وتأكيد ملاءمة نظام الرقابة الداخلية، ومصداقية البيانات، والاستخدام الكفؤ لموارد المنظمة. كما أن المدققين الداخليين مهتمين أيضاً بمنع واكتشاف الغش والاحتيال، وتنسيق الانشطة مع المدقيين الخارجيين. ان تكامل مهارات التدقيق ونظام المعلومات، وتفهم تأثير تكنولوجيا المعلومات على عملية التدقيق مسألة ضرورية بالنسبة للمدقيين الخارجيين. فهؤلاء المهنيون يؤدون الآن عمليات التدقيق المالي والتشغيلي ونظم المعلومات.


ثالثاً: تقرير ( COSO )


عرّف تقرير ( COSO ) الرقابة الداخلية ووصف مكوناته وقدم المعايير التي يمكن تقييم النظم الرقابية على أساسها. وقد عرض التقرير ارشاداً للتقرير العام عن الرقابة الداخلية، كما قدم المواد التي يمكن ان يستخدمها كل من الادارة والمدققين وغيرهم من أجل تقييم نظام الرقابة الداخلية. وكان الهدفين الرئيسيين للتقرير هما (1) انشاء تعريف عام للرقابة الداخلية والذي يخدم العديد من الاطراف و (2) تقديم معيار والذي على اساسه تستطيع المنظمات تقييم نظمها الرقابية، وتحديد الكيفية التي يمكن بها تحسين هذه النظم.
وقد عرّف تقرير ( COSO ) الرقابة الداخلية على أنها " عملية تتأثر من قبل أعضاء مجلس ادارة الشركة، والادارة، وغيرهم من المستخدمين، مصممة لتزويد تأكيد معقول بالنسبة لتحقيق أهداف في المجالات التالية :
 كفاءة وفاعلية العمليات التشغيلية.
 موثوقية الابلاغ المالي.
 الالتزام بالقوانين والتشريعات المطبقة.
أما بالنسبة لنظام الرقابة الداخلية فإنه يتكون من خمسة مكونات متداخلة مع بعضها البعض وهي : (1) بيئة الرقابة (2) تقييم المخاطر (3) الانشطة الرقابية (4) المعلومات والاتصالات و (5) المراقبة.
وتزود بيئة الرقابة الاساس للمكونات الاخرى، فهي تضم عوامل مثل فلسفة الادارة، واسلوب التشغيل، وسياسات وممارسات الموارد البشرية، وامانة واستقامة الموظفين وقيمهم الاخلاقية، والهيكل التنظيمي، واهتمام وتوجيه مجلس الادارة. فمثلاً، يمكن تقييم فلسفة الادارة واسلوب تشغيلها عن طريق فحص طبيعة مخاطر الاعمال التي تقبلها الادارة، وتكرار تداخلها مع المساعدين، وموقفهم تجاه الابلاغ المالي.
ويتكون تقييم المخاطر من تشخيص المخاطر وتحليلها، حيث يتضمن تشخيص المخاطر فحص العوامل الخارجية مثل التطورات التكنولوجية، والمنافسة، والتغيرات الاقتصادية، وعوامل داخلية مثل نوعية وجودة المستخدمين، وطبيعة أنشطة المنشأة، وخصائص عملية معالجة نظام المعلومات. ويتضمن تحليل المخاطروتقدير احتمالية حدوثها، والأخذ بعين الاعتبار كيفية معالجة المخاطر.
تتألف أنشطة الرقابة من السياسات والاجراءات التي تضمن قيام الموظفين بتنفيذ توجيهات الادارة. وتتضمن انشطة الرقابة مراجعات نظام الرقابة، والضوابط الرقابية لنظم المعلومات، وتشتمل الضوابط الرقابية التطبيقية. والضوابط الرقابية العامة هي تلك التي تغطي تصريح الدخول، والبرمجيات، وتطوير النظام. والضوابط الرقابية التطبيقية هي التي تمنع دخول الاخطاء في النظام، أو اكتشاف وتصحيح الاخطاء الموجودة في النظام.
تقوم الادارة بمراقبة نظام الرقابةعن طريق مراجعة المخرجات المتولدة عن أنشطة الرقابة العادية، والقيام بتقييمات خاصة. وتشمل انشطة الرقابة العادية مقارنة الاصول المادية مع البيانات المسجلة، وورش التدريب، والاختبارات من قبل المدققين الداخليين والخارجيين، وعادة ما يتم الابلاغ عن العيوب وأوجه التقصير التي يتم اكتشافها خلال انشطة الرقابة العادية الى المشرف المسؤول، بينما العيوب واوجه التقصير التي يتم اكتشافها خلال التقييمات الخاصة عادة يتم ايصالها الى مستويات ادارية أعلى في المنظمة. وقد عرف تقرير (COSO) العيوب واوجه التقصير على أنها " تلك الحالات التي تكون داخل نظام الرقابة الداخلية والتي تستحق الاهتمام.


رابعاً: النشرات المتعلقة بمعايير التدقيق ( SASs 55 and 78 )


لقد عرفت كل من النشرات ( SASs 55 and 78) الرقابة الداخلية، ووضعتا مكوناتها، وقدمتا ارشاداً حول تأثير الضوابط الرقابية عند تخطيط واداء تدقيق القوائم المالية. وقد استبدلت النشرة ( SASs 78 ) تعريف هيكل الرقابة الداخلية المذكورة في النشرة (SASs 55 ) بذلك التعريف للرقابة الداخلية الوارد في النشرة ( COSO) ما عدا تركيزها (SASs 78) على الموثوقية بالنسبة لهدف الابلاغ المالي بوضعه الحالي أولاً. أي ان (78SASs) قد عرفت الرقابة الداخلية على أنها " عملية تتأثر بمجلس ادارة الشركة، والادارة، وغيرهم من المستخدمين، مصممة لتزويد تأكيد معقول بخصوص تحقيق أهداف المجالات التالية :
1. موثوقية الابلاغ المالي.
2. كفاءة وفاعلية العمليات التشغيلية.
3. الالتزام بالقوانين والتشريعات المطبقة.
وبالرغم من احتفاظ النشرة ( SASs 78 ) بالاهداف التشغيلية والالتزام بالقوانين والتشريعات سارية المفعول في تعريفها للرقابة الداخلية، فإن كل من النشرات (SASs 55 and 78) ركزت على الضوابط الرقابية التي تؤثر على فحص موثوقية الابلاغ المالي للمنشأة. كما ان النشرة (SAS 78) استبدلت العناصر الثلاثة لهيكل الرقابة الداخلية الموجودة في النشرة (SASs 55) وهي بيئة الرقابة، والنظام المحاسبي، واجراءات الرقابة بالخمسة مكونات لنظام الرقابة الداخلية المعروضة في نشرة (COSO) وهي : بيئة الرقابة، وتقييم المخاطر، وانشطة الرقابة، والمعلومات، والاتصالات، والمراقبة.
تتطلب كل من النشرتين (SASs 55 / 78 ) من المدقق الخارجي القيام بتأدية اجراءات من أجل الحصول على تفهم كافٍ لكلِ من المكونات الخمسة للتخطيط لعملية التدقيق. أي أنه يجب على المدقق الخارجي تفهم تصميم سياسات واجراءات المنشأة، وما اذا كان هذا التصميم قد وضع في حيز التنفيذ. ولما كان المدققون الخارجيون يقومون بتأدية خدمة عند تقديم رأيهم حول القوائم المالية والتي تغطي فترة من الزمن، فأنهم يكونوا مهتمين في الضوابط الرقابية التي تؤثر في الحصول ومعالجة المعلومات المالية لكامل الفترة. ويجب على المدققين الخارجيين الإبلاغ عن أية عيوب أو تقصير مهمة للرقابة الداخلية والتي يمكن أن تؤثر على الابلاغ المالي للجنة التدقيق ( SASs 60, AICPA, 1988 ) .


المقارنة بين النشرات المتعلقة بالرقابة الداخلية وتكنولوجيا المعلومات في كل من ( COBIT, SAC, COSO and SASs 55 / 78 )


 لقد عرفت كل من النشرات اعلاه الرقابة الداخلية، ووصفت مكوناتها، وقدمت أدوات التقييم.
 اقترحت كل من النشرات ( SAC , COSO and SASs 55 / 78 ) طرق للابلاغ عن مشاكل الرقابة الداخلية.
 اضافة الى ذلك فقد قدمت النشرة (COBIT) إطاراً شاملاً يسهل تحليل وايصال مواضيع الرقابة الداخلية.
 بالنسبة للتعاريف، فان الخمسة تعاريف للرقابة الداخلية تحتوي اساساً نفس المفاهيم أو المبادئ، ولكن التأكيد كان مختلفاً بعض الشيء . حيث ان (COBIT) تعتبر الرقابة الداخلية على أنها العملية التي تتضمن السياسات، والاجراءات، والممارسات، ، والهياكل التنظيمية التي تساند أهداف وعمليات المنشأة التشغيلية.
 بينما (SAC) ركزت على ان الرقابة الداخلية هي نظام، أي ان الرقابة الداخلية هي عبارة عن مجموعة وظائف، ونظم فرعية ( ثانوية) وأشخاص وعلاقاتهم المتداخلة.
 أما (COSO) فقد اعتبرت الرقابة الداخلية على انها عملية، أي أن الرقابة الداخلية يجب ان تكون جزءاً متكاملاً في انشطة اعمال المنشأة المستمرة.
 يعتبر الاشخاص جزءاً من نظام الرقابة الداخلية. وقد صنفت (COBIT) الناس بتعريفها لهم كمهارات الموظفين، والوعي والانتاجية للتخطيط، والتنظيم، والامتلاك، والتسليم، والمساندة، ومراقبة نظم المعلومات والخدمات، على أنها احد المصادر الاساسية التي تعالج وتدار بواسطة عمليات تكنولوجيا المعلومات.
 لقد شخصت (SAC) الناس بشكل واضح على انهم جزءاً مكملاً لنظام الرقابة الداخلية. بينما اظهرت كل من ( COSO and SASs 55 and 78 ) بأن الناس المتعاملين مع الرقابة الداخلية هم اعضاء مجلس الادارة، وغيرهم من مستخدمي المنشأة. وقد وافقت النشرات الاربعة على ان الادارة هي الجهة المسؤولة عن تكوين ومراقبة نظام الرقابة الداخلية والمحافظة عليه.
 لقد أكدت النشرات الاربعة على مفهوم التأكيد المعقول كما يتعلق بالرقابة الداخلية. وان الرقابة الداخلية تصمم من اجل تزويد الادارة بتأكيد معقول بخصوص تحقيق اهدافها. كما ان النشرات اعترفت ايضأ بأن هناك محددات مستأصلة (موروثة) بالنسبة للرقابة الداخلية، وبسبب اعتبارات التكلفة / المنفعة، فأنه ليس من الممكن تطبيق جميع الضوابط الرقابية الممكنة.
لقد افترضت النشرات السابقة عند عرضها لتعريف الرقابة الداخلية بأن المنشأة قد وضعت أهدافها بخصوص عملياتها التشغيلية. فنشرة (COBIT ) مثلاً قد افترضت بان هذه الاهداف يتم مساندتها بالعمليات التجارية. وبالتالي، فإن هذه العمليات يتم مساندتها بالمعلومات من خلال استخدام مصادر تكنولوجيا المعلومات، ويمكن تلبية متطلبات الاعمال من هذه المعلومات فقط من خلال مقاييس رقابية مناسبة. وبينت النشرة (SAC) بان تحقيق اهداف المنشأة يجب ان يتم بفاعلية، واكدت على ان هذه الاهداف يجب ترجمتها الى اهداف قابلة للقياس. كما ان النشرة (COSO) قد صنفت الاهداف على انها تشغيلية، وابلاغ مالي، والتزام بالقوانين والتشريعات المظبقة. بينما نجد كل من النشرتين (SAC) و (COSO) تهتمان بالأهداف الواردة في الثلاثة مجموعات، في الوقت الذي قيدت كل من (SASs 55 and 78) اهتماماتها بشكل أساسي بأهداف الإبلاغ المالي.


نظم المعلومات والاتصالات


تختلف كل من النشرات ( COBIT, SAC, COSO, and SASs 55 / 78 ) بالنسبة لتركيزهم وعمق معالجتهم لنظم المعلومات. حيث ان التركيز لنشرة (COBIT) كان على انشاء اطار مرجعي للامان والرقابة في تكنولوجيا المعلومات، وحددت الربط الواضح بين الضوابط الرقابية لنظم المعلومات واهداف المنظمة. إضافة لذلك، قدمت النشرة أهداف رقابية عالمية موثوقة لكل عملية لتكنولوجيا المعلومات والتي تعطي ارشادا رقابياً لجميع الاطراف المهتمة. كما زودت النشرة وسيلة لتسهيل الاتصالات بين الادارة، والمستخدمين للمعلومات، والمدققين بخصوص الضوابط الرقابية لنظم المعلومات.
أما النشرة ( SAC ) فقد ركزت على نظم المعلومات المؤتمتة، وقد فحصت النشرة العلاقات المتداخلة بين الرقابة الداخلية، ونظم البرمجيات، ونظم التطبيق، والمستخدم الأخير، ونظم الأقسام.
وناقشت النشرة ( COSO ) كل من المعلومات والاتصالات، وفي مناقشة المعلومات، راجعت ( COSO ) الحاجة الى الحصول على معلومات داخلية وخارجية ذات علاقة، وامكانية وجود نظم استراتيجية ومتكاملة، والحاجة الى جودة البيانات.
أما ( SAS 55 ) كما الحق بها ( SAS 78 ) فكانت اكثر اختصاراً من الوثائق الأخرى، وقد وضعت أهداف النظام المحاسبي ولخصت المادة الواردة في نشرة ( COSO ) .


تقييم المخاطر


لقد شخصت النشرات ( COSO and SAS 78 ) تقييم المخاطر على انه احد المكونات الهامة للرقابة الداخلية. كما شخصت (COBIT) العملية داخل بيئة تكنولوجيا المعلومات على أنها تقييماً للمخاطر، وبالرغم من أن تقييم المخاطر لم يعتبر كأحد المكونات الواضحة لنظام الرقابة الداخلية وفقـاً لنظام النشرة ( SAC )، فإن النشرة تتضمن مناقشات واسـعة، وقد صنفـت
(SASs 55 / 78) المخاطر الى مخاطر مستأصلة (موروثة)، ومخاطر رقابة، ومخاطر اكتشاف. ويتفهم المدققون الخارجيون ويفحصون ويقيمون الضوابط الرقابية المتعلقة بالتحريف المادي (الهام) في القوائم المالية، مثال ذلك، تلك المتصلة بمخاطر الفشل في تحقيق اهداف الابلاغ المالي.
وبالنسبة للنشرة (COBIT) فقد تعرضت وبعمق للعديد من مكونات تقييم المخاطر في بيئة تكنولوجيا المعلومات، والتي تضمنت تقييم مخاطر الاعمال، واسلوب تقييم المخاطر، وتشخيص وتحديد المخاطر، وقياس المخاطر، وعمل خطة المخاطر، والمخاطر المقبولة، فهي تتعامل مباشرة مع انواع مخاطر تكنولوجيا المعلومات مثل التكنولوجيا، والامان، ومخاطر الاستمرارية والتنظيمية.
أما مفاهيم المخاطر المقدمة في (SAC) و (COSO) فهي متشابهة. وبالاضافة الى الفشل في تحقيق اهداف الإبلاغ المالي، فقد تعرضت كل من (SAC) و (COSO) إلى مخاطر الفشل في تحقيق الالتزام، وعلى وجه الخصوص الاهداف التشغيلية. وقد ناقشت (COSO) تحديد المخاطر الداخلية والخارجية بالنسبة للمنشأة ككل وأيضاً للأنشطة الافرادية. كما اعتبرت (COSO) أيضاً تحليل الادارة للمخاطر: تقييم أهمية المخاطر، وتقييم احتمالية حدوثها، والأخذ بالاعتبار كيفية ادارة المخاطر. أما النشرة (SAC) فقد اختبرت المخاطر بالنسبة لنظام المعلومات المؤتمت، وقدمت تحليلاً تفصيلياً لمخاطر نظم المعلومات، واستكشفت الكيفية التي يمكن بها تخفيف كل من هذه المخاطر. كما أكدت كل من (SAC) و (COSO) على اعتبارات التكلفة / المنفعة، والحاجة إلى إقامة علاقة متبادلة بين اهداف المنشأة والضوابط الرقابية، والطبيعة المستمرة لتشخيص وتقييم المخاطر، وقدرة الادارة على تعديل نظام الرقابة الداخلية للمنشأة.
أما بالنسبة لكل من (SASs 55 / 78) فقد ذكرت القليل حول المخاطر التشغيلية أو مخاطر الالتزام. كما صنفت المخاطر الى مخاطر مستأصلة (موروثة)، ومخاطر الاكتشاف، ومخاطر الرقابة. وبسبب ان المدققين الخارجيين لا يستطيعوا تغيير الضوابط الرقابية الداخلية، فإنهم يقوموا بتعديل مخاطر الاكتشاف المقبولة بشكل عكسي لتقييمهم لمخاطر الرقابة.
تعتبر النشرة COBIT (1996) إطاراً يقدم أداة للعمليات التجارية للملاك وذلك من أجل تحرير مسؤولياتهم الرقابية بالنسبة لنظم المعلومات بكفاءة وفاعلية. كما ان النشرة (1991) SAC والمعدلة عام 1999 تعرض المساعدة للمدققين الداخليين بالنسبة لرقابة وتدقيق نظم وتكنولوجيا المعلومات. وأعطت النشرة (1992) COSO توصيات للإدارة عن كيفية تقييم وتحسين النظم الرقابية والتقريرعنها. أما النشرتين ( 1988 ) SAS 55 و (1995 ) SAS 78 فقد قدمتا ارشادات وتوجيهات للمدققين الخارجيين بخصوص تأثير الرقابة الداخلية على تخطيط وأداء عملية التدقيق على القوائم المالية للمنظمة.
وبسبب قيام أطراف وجهات مختلفة بانشاء الوثائق المتعلقة بدراسة احتياجات الاطراف المهتمة بهم، لذا فإن بعض الاختلافات قد توجد بينهم. وبغض النظر عن ذلك، فإن كل وثيقة ركزت على الرقابة الداخلية لكل طرف. مثال ذلك، المدققين الداخليين والادارة، والمدقيين الخارجيين، كما أنها قد خصصت وقتاً وجهداً كبيرين نحو انشاء او تقييم الضوابط الرقابية الداخلية.
ونتيجة لذلك، فإن مقارنة مفاهيم الرقابة الداخلية المعروضة في هذه الوثائق ذات مصلحة للأطراف الثلاثة ( المدققون الداخليون، والإدارة، والمدققين الخارجين ) .
بمقارنة الوثائق الخمسة نجد أن كل منها مبنية على اساس المساهمات المقدمة من الوثائق السابقة. فمثلاً، (COBIT) تحتوي كجزء من وثائقها المصدرية ما جاء في كل من (COSO) و (SAC). وأخذت تعريفها للرقابة من (COSO) وتعريفها لاهداف الرقابة لتكنولوجيا المعلومات من (SAC) . كما أن (SAC) تحتوي على مفاهيم الرقابة الداخلية المكونة في (SAS 55)، و (COSO) تستخدم مفاهيم الرقابة الداخلية الموجودة في كل من (SAS 55) و (SAC)، كما أن (SAS 78) جاءت ملحقاً لـ (SAS 55) من أجل أن تعكس المساهمات لمفاهيم الرقابة الداخلية من قبل (COSO) .
والجدول التالي يبين المقارنة بين المواضيع الرئيسية المعروضة في الوثائق السابقة، حيث أدمجت الوثائق ( SASs 55 / 78 ) مع بعضها البعض .

ساعد في نشر والارتقاء بنا عبر مشاركة رأيك في الفيس بوك