إن التحول في طريقة تسيير المؤسسات و اعتمادها المتزايد على أنظمة المعلومات و الإعلام الألي في إدارة مختلف مصالحها و نشاطاتها أدى إلى ظهور نوع جديد من التدقيق في الشركات و هو التدقيق الإلكتروني لنظم الإعلام الألي الذي يهدف إلى حماية المؤسسة من المخاطر و الأخطاء الناتجة عن استخدام تكنولوجيا المعلومات في التسيير.
هذا النوع من عمليات التدقيق يخضع لعدة معايير ومقاييس مهنية متعارف عليها دوليا صادرة عن هيئات و منظمات مهنية دولية، الهدف منها إعطاء نوعية و جودة لمهمة التدقيق و المدقق نفسه.
و لهذا ارتأينا طرح هذا الموضوع حول التدقيق الإلكتروني و اهم المعايير الدولية والتوصيات الخاصة بتدقيق امن أنظمة الإعلام الألي.
معيار التدقيق الإلكتروني الدولي ISA 401 و التوصيات التدقيق:
من اهم المعايير التي يجب أن يخضع لها التدقيق الإلكتروني هو المعيار ISA 401 و الذي نوضحه فيما يلي:
المعيار ISA 401 التدقيق في ظل بيئة نظم المعلومات الإلكترونية:
المعيار ISA 401 التدقيق في ظل بيئة نظم المعلومات الإلكترونية:
يعتبر المعيار ISA 401 معيارا مرتبط بتكنولوجيا المعلومات و أنظمة الإعلام الألي بشكل رئسي، حيث يهدف هذا المعيار إلى توفير الإجراءات التي يجب اتباعها خلال تنفيذ مهمة التدقيق على المؤسسة و التي تعتمد على استخدام تكنولوجية الإعلام الألى في مختلف بياناتها خاصة المالية منها.
الكفاءات و المهارات المطلوبة في المدقق:
يجب على المدقق أن يكون على معرفة كافية وبالحاسبات و نظم الإعلام الألي حتى يتسنى له القيام بعملية التخطيط و الإدارة و الإشراف و الفحص خلال مهمته، كما يجب على المدقق أن يكون متمكنا من استخدام الحاسوب للقيام بإجراءات المراجعة.
يمكن للمدقق الاستعانة بخبرة خارجية ذات معرفة افضل في مجال البرمجات و التكنولوجيا في حالة كانت هناك ضرورة لذلك.
في بعض الأحيان يكون من الضروري الاستعانة بخبرات خارجية بسبب التعقيدات التي تتميز بها أنظمة الإعلام الألي، و الخطر الذي يمكن أن يحث أثناء عملية التدقيق.
يمكن للمدقق الاستعانة بخبرة خارجية ذات معرفة افضل في مجال البرمجات و التكنولوجيا في حالة كانت هناك ضرورة لذلك.
في بعض الأحيان يكون من الضروري الاستعانة بخبرات خارجية بسبب التعقيدات التي تتميز بها أنظمة الإعلام الألي، و الخطر الذي يمكن أن يحث أثناء عملية التدقيق.
مبادئ المعيار:
- يجب على المدقق أن يحدد نظم المعلومات الإلكترونية في مهمة التدقيق؛
- يجب على المدقق لن يكون له معرفة تامة بنظم المعلومات و ذلك للتخطيط و تنفيذ مهمته؛
- يجب على المدقق أن يحدد إمكانية الاستعانة بخبرة خارجية في مجال تكنولوجيا المعلومات و الأنظمة؛
- يجب الحصول الأدلة الكافية و الملائمة المقدمة من طرف الخبير الخارجي؛
- الفهم الكامل لأنظمة المعلومات و التأكد من توفر البيانات اللازمة لعملية التدقيق؛
- الفهم الكامل لبيئة نظم المعلومات الإلكترونية و التحقق من تأثيرها على تقييم المدقق؛
التوصيات الخاصة بالتدقيق الإلكتروني:
نتيجة التوسع الكبير في استخدام تكنولوجيا المعلومات و أنظمة الإعلام الألي و تأثيرها على عمليات التدقيق خصوصا البيانات المالية للشركات، فقد اصدر مجلس المعايير الدولية عدة توصيات تخص مهمة التدقيق الإلكتروني و من أهمها التوصيات :
- بيان ممارسة التدقيق الدولي 1001؛
- بيان ممارسة التدقيق الدولي 1002؛
- بيان ممارسة التدقيق الدولي 1009؛
- بيان ممارسة التدقيق الدولي 1013؛
البيان الدولي لمهنة التدقيق 1001 (بيئة نظم المعلومات الإلكترونية في ظل استخدام الحاسبات الشخصية):
تم نشر هذا البيان في أكتوبر 1987، من طرف اللجنة الدولية لمهنة التدقيق، وهو يشكل جزءا من سلسلة الغرض منها مساعدة المدقق في مهمته هذا البيان يصف أنظمة الحاسوب الشخصي المستعمل بشكل مستقل كمحطة تشغيل، كما يصف البيان تأثير الحاسوب الشخصي على النظام المحاسبي.ماهي أنظمة الحاسوب الشخصي؟:
هي الحاسبات الصغيرة هي الأجهزة مشغل ذاكرة ووحدة عرض ووحدة تخزين بالإضافة الى أجهزة ادخال البيانات مثل لوحة المفاتيح، حيث يمكن استخدام هذه الحواسيب لمعالجة البيانات مثل البيانات المالية و المحاسبة و استخراج التقارير.قد يشكل الحاسوب الشخصي كامل النظام المعلوماتي او جزاءا منه فقط.
يمكن تشغيل الحاسوب الشخصي كمحطة تشغيل مستقلة، او تشغيله ضمن شبكة للحواسيب، كما يمكن تشغيله متصل بالحاسوب الرئيسي.
خصائص نظم الحاسبات الصغيرة (الشخصية):
تتميز ب:- صغر الحجم مع قدرة حسابية كبيرة؛
- نسبيا رخيصة الثمن ويمكن استعمالها مباشرة؛
- تتطلب مهارات أساسية فقط من المستخدمين لها؛
- تعتمد على برامج وتطبيقات برمجية جاهزة مثل برامج المحاسبة أو الأجور؛
- إمكانية تخزين واسترجاع البيانات بعدة طرق مختلفة مثل الأقراص الصلبة أو المتحركة.
الرقابة الداخلية لنظم الحاسبات الشخصية:
هناك بعض الضوابط يجب الالتزام بها :- تفويض الإدارة بتشغيل لبحاسوب و هذا يتم بوضع تراخيص للوصول إلى الأجهزة و وضع سياسة لتشغيل الأجهزة و تحميل المسؤوليات و الفصل بين المهام بين المستخدمين؛
- توفير الحماية للحواسب لتفادي السرقة أو الإتلاف أو فقدان المعلومات؛
- التخزين الدوري للمعلومات على و سائل تخزين متحركة و غير متحركة؛
- وضع تقنيات للتأكد من أن البيانات تم معالجتها حسب تفويض كل مستخدم؛
البيان الدولي لمهنة التدقيق 1002 (بيئة نظم المعلومات الإلكترونية في ظل استخدام الحاسبات الإلكترونية المباشرة):
لقد تمت المصادقة عليه من قبل اللجنة الدولية لمهنة التدقيق في جانفي 1987 وتم نشره في أكتوبر 1987 ، حيث يدخل ضمن سلسلة الغرض منها مساعدة المدقق على تطبيق المعايير الدولية للتدقيق و ينص في الأساس على ما يلي:
ما هي أنظمة الحاسبات المباشرة؟:
هي الحاسبات التي يصل إليها المستخدم مباشرة عن طريق أجهزة فرعية، و تسمح له باجراء أعماله المختلفة بشكل مباشر مثل إدخال البيانات مثل البيع أو الشراء و بيانات الزبائن.قد يتم استعمال عدة أنواع مختلفة من الأجهزة الفرعية مثل لوحة المفاتيح الشاشة أو أجهزة الحواسيب الشخصية، او أجهزة نقطة البيع و الأت النقد الذاتية.
أنواع أنظمة الحواسيب المباشرة:
و تصنف إلى ما يلي:نظام مباشر (المعالجة الأنية): يتم إدخال البيانات من خلال الأجهزة الفرعية مباشرة و تدقق و توكد في حينها لصبح متاحة فورا للمستخدم مثل عمليات البيع.
نظام مباشر ( المعالجة للدفعات) : يتم إدخال البيانات مباشرة من الأجهزة الفرعية لكن معالجتها تكون على دفعات مثل قيود اليومية التي تعالج شهريا.
نظام مباشر ( تحديث الذاكرة): يتم إدخال المعلومات و تحدث من خلال ملف رئسي مثل تسديد زبون لفاتورة ما حيث يحدث ملفه لإعطاء الرصيد الجديد الخاص بالزبون، بالنسبة للمستخدم يبدو مثل المعالجة الأنية.
خصائص نظم الحاسبات: هناك عدة خصائص في نظم الحاسبات المباشرة وأهمها:
إدخال البيانات مباشرة مع التأكد من صحتها فورا، حيث يتم قبولها او رفضها و الطلب من المستخدم تغييرها؛إمكانية تسجيل البيانات دون مستندات ثبوتية مثلا طلبية عبر الهاتف؛
السماح بإجراء كافة أنواع التغييرات على البيانات و البرامج، أو وضع تراخيص و قيود على المعلومات و الوظائف (مثلا إدخال بيانات فقط أو قراءة فقط).
الرقابة الداخلية لنظم الحاسبات المباشرة:
هناك بعض الضوابط العامة لها أهمية كبيرة في نظم المعلومات تتضمن ما يلي:
- ضوابط الوصول مثل إدخال معاملات غير صحيحة أو تغييرات غير صحيحة، استعمال برامج دون ترخيص؛
- استعمال كلمة سر من طرف كل مستخدم و على كل الأنظمة؛
- الحفاظ على كلمات السر مع تقييد الوصل إليها للمستخدمين فقط؛
- ضوابط الصيانة للأنظمة،
- سجل المعاملات لحديد كل معاملة مثل اسم المستخدم و الجهاز الذي عمل عليه؛
البيان الدولي لمهنة التدقيق 1009 (طرق التدقيق بمساعدة الحاسوب):
تمت المصادقة على هذا البيان من قبل اللجنة الدولية لمهنة التدقيق في أكتوبر 1984، و الغرض منه توفير إرشادات عن كيفية استعمال الحاسوب في عملية التدقيق.يصف هذا البيان نوعين من التدقيق بواسطة الحاسوب الأكثر شيوعا.
- برمجية التدقيق؛
- بيانات اختبارية.
بالنسبة لبرمجية التدقيق و تتضمن برامج الرزم و البرامج المكتوبة لغرض و البرامج النفعية.
برامج الرزم هي البرامج العامة و المصممة لمعالجة مختلف البيانات و الوظائف في الحاسوب .
برامج المكتوبة لغرض هي البرامج المصممة خصيصا لاجراء عملية التدقيق سواء كتن تصميمها من طرف الشركة أو مبرمج خارجي و المدقق نفسه.
البرامج النفعية و هي البرامج المصممة من طرف الشركة غير متعلقة بمهمة التدقيق و لكن تستعملها المنشأة لمعالجة بياناتها.
بالنسبة للبيانات الاختبارية و هي بيانات تستعمل من طرف المدقق و الغرض منها مقارنة نتائجها مع النتائج السابقة كمثال على ذلك
اختبار كلمات السر و الوصولات المتحصل عليها.
ماهي استعمالات الحاسوب:
- اختبار الأرصدة والمعاملات؛
- اجراء معاينة تحليله؛
- اختبار الالتزام بالضوابط العامة لأنظمة المعلومات؛
شروط الواجب توفرها عند استعمال الحاسوب في التدقيق:
- المعرفة بالحاسوب والخبرة لدى المدقق؛
- توفر طرق المساعدة عند استعمال الحاسوب في التدقيق؛
- الفعالية والكفاءة إجراءات التدقيق؛
- التوقيت المناسب لإجراء التدقيق؛
البيان الدولي لمهنة التدقيق 1013 (التجارة الإلكترونية):
أصدر هذا البيان في مارس 2002 من طرف الاتحاد الدولي للمحاسبين القانونيين IFAC حيث يهدف الى مساعدة المدققين وتعزيز ممارستهم الجيدة وذلك عند قيامهم بفحص النشاط الذي تقوم به المؤسسة عن طريق شبكة الأنترنت، حيث أكد هذا البيان على ضرورة دراسة بيئة الرقابة الداخلية والإلمام بالأنظمة والقوانين، وسياسات امن المعلومات وسلامة التوقيع والتسجيل الإلكتروني.مخاطر المتعلقة بالتجارة الإلكترونية:
- مخاطر خسارة سلامة تكامل العملية والتي يمكن مضاعفتها من خلال فقدان مسار التدقيق؛
- مخاطر أمنية للاختراق التجارة الإلكترونية؛
- مخاطر عدم الالتزام بالمتطلبات الضريبة والقانونية؛
- أخطاء في السياسات المحاسبية المرتبطة بالتجارة الإلكترونية.
الأمور التكنولوجية الواجب على المدقق فهمها:
- المخاطر المحتملة على المؤسسة محل المراجعة، و بيان مدى كفاءة نظام الرقابة الداخلية المعتمد و إمكانية مراقبة هذه المخاطر.
- التعرف على مدى تأثير المعلومات على استقلالية المؤسسة محل المراجعة، و مدى استمراريتها في تأدية نشاطها.
- إمكانية التعرف على إجراءات المراجعة في ظل البيئة التكنولوجية، وتقييم أدلة الإثبات فيها
- بيان ضرورة دراسة المدقق لبيئة الرقابة الداخلية.
- ضرورة إلمام المدقق بأنظمة والقوانين وسياسات إصدار المعلومات والضوابط الأمنية المطلوبة عند تأدية مهامه (التأكد من التسجيل الإلكتروني، إرسال المصادقات، سلامة التوقيع...)
متطلبات المراجعة في بيئة التجارة الالكترونية:
1. معرفة طبيعة عمل المؤسسة؛2. ضرورة توفر مهارات خاصة لدى المدقق؛
3. الاستعانة بخبير خارجي ذو كفاءة؛
4. تقييم المخاطر والرقابة الداخلية؛
5. أدلة الإثبات في مهمة التدقيق؛
6. إجراءات المراجعة التحليلية؛
7. مراجعة نظام المعلومات المحاسبية للأنشطة التجارة الإلكترونية؛
معايير الجودة iso و معايير coso:
معايير الجودة ISO:
تعريف الايزو:
هي منظمة دولية للتوحيد القياسي تاسست في سنة 1947، و هي شبكة تصدر مواصفات او معايير دواية في العديد من المجالات، تضم هذه المنظمة اكثر من 110 دولة، يوجد مقرها في جينيف بسويسرا و مهمتها التنسيق بين الهيئات الأعضاء في المنظمة.كلمة ايزو iso مشتقة من الكلم ة اليونانية isos و معنها التساوي.
المعيار ايزو 9000 iso:
يعتبر المعيار ايزو 9000 اهم معايير الجودة في جميع المجالات، وترتكز نظم إدارة الجودة على عدة مبادئ أساسية قام بوضعها مجموعة من الخبراء من عدة دول مختلفة، حيث تم تحديد مواصفات نظم الجودة التي يحب ان تتبناها المؤسسة لتحسين أدائها.المعيار ايزو 27000 (مواصفات نظم إدارة امن المعلومات):
يقدم هذا المعيار لمحة عامة عن أنظمة امن المعلومات، إضافة الى تحديد المصطلحات ذات الصلة وتوضيح استخدامها للتعبير عن احتياجات المؤسسة، ويتكون المعيار 27000 من 06 معايير فرعية وهي:- 27001 الأسس المفردات؛
- 27002 قواعد الممارسة العملية لأنظمة إدارة امن المعلومات؛
- 27003 دليل تنفيذ إدارة امن المعلومات؛
- 27004 قياس فعالية نظم إدارة امن المعلومات؛
- 27005 إدارة مخاطر امن المعلومات؛
- 27006 دليل لعملية المصادقة على نظام المعلومات.
يعتبر المعيار 27001 اهم معيار في السلسلة حيث يوضح كيفية وضع نظام إدارة أمن المعلومات بشكل معتمد وتطبيقه والحفاظ عليه وتحسينه باستمرار، ضمن أطر عملية مما يسمح بالحفاظ على البيانات الحساسة والسرية بشكل آمن والتقليل من احتمال الوصول إليها بشكلٍ غير قانوني أو بدون إذن كما يسمح بإدارة المخاطر الأمنية واسترداد المعلومات وتقليل الخروقات الأمنية.
معايير الجودة coso (معايير الرقابة الداخلية):
تعريف معيار coso:
اختصار لـ:”committee of sponsoring organizations”، وهو اسم اللجنة التي انبثق عنها هذا المفهوم وإطاره العام تأسست في العام 1985 من خمس مؤسسات مالية أميركية تعد الأكبر في الولايات المتحدة الأميركية وهي:- معهد المديرين الماليين،
- معهد المحاسبين القانونيين الأميركيين،
- معهد المدققين الداخليين،
- جمعية المحاسبين الأميركيين ومعهد المحاسبين الإداريين.
وقد جاء في تعريف هذه المنظمات الخمس للرقابة الداخلية وفق مفهوم “كوزو” بأنها: “عمليات داخلية تتأثر بمجلس إدارة المؤسسة والإدارة والأفراد الآخرين في المؤسسة يتم تصميمها لتعطي تأكيدا معقولا حول تحقيق المؤسسة أهدافها والمتعلقة بالعمليات التشغيلية وإعداد التقارير والامتثال”، وما أراد أن يوصله من هذا التعريف بأن الرقابة الداخلية لا تتوقف فقط على التقارير المالية والمحاسبية، بل تشترك فيها الأطراف كافة في المؤسسة ومن المستويات الداخلة كافة في الهرم الوظيفي من الموظفين والإدارة ومجلس الإدارة، وتتمثل القواعد الرئيسية لمفهوم الرقابة حسب مفهوم “coso” بثلاث قواعد هي:
- الرقابة الداخلية.
- الرقابة الداخلية وتأثرها بالأفراد، الأعضاء في مجلس الإدارة، الإدارة العليا، الموظفين.
- العلاقة مع مجلس الإدارة والإدارة العليا لكونهما طرفا في الرقابة الداخلية حسب فلسفة لجنة “كوزو” وتأكيد عدم تقديم أو الجزم بتحقيق المنظمة أو المؤسسة كامل أهدافها لأسباب قد تكون غير محسوبة أو مفاجئة أثناء الأداء أو في إطار الرقابة الداخلية.
المكونات الأساسية لهيكل الرقابة الداخلية وفق نموذج coso:
اعطي نموذج كوزو 05 هياكل أساسية وهي:1. بيئة الرقابة: هي السياسات ة الإجراءات التي تعكس الاتجاه العام للإدارة في المؤسسة؛
2. تقييم المخاطر: الإدارة تقوم بتقييم المخاطر كجزء من عملها مهما كتن حجمها؛
3. أنشطة الرقابة: هي السياسات التي تحقق أهداف المؤسسة والتعرف على المخاطر؛
4. المعلومات والاتصالات: مجموعة من الطرق لجمع المعلومات الملائمة والمحددة ثم تبوبها وتحليلها
5. المراقبة: هي أنشطة مستمرة أو في فترات معينة التأكد من جودة أداء الرقابة الداخلية.
خطوات تقييم نظام الرقابة الداخلية:
الرقابة الداخلية تهدف إلى معرفة سلامة الإجراءات المتبعة في المؤسسة، و توجيهها في حالة وجود أي انحراف عن المسار السليم لتنفيذ الأعمال، و تقديم اقتراحات للرفع من كفاءة الأداء، و يمكن للمدقق أن يفهم نظام الرقابة الداخلية بالقيام بالخطوات التالية:1. فهم هيكل نظام الرقابة الداخلية:
2. تحديد مخاطر الرقابة:
3. تنفيذ اختبارات الالتزام:
يمكنكم الاطلاع موضوع حول التدقيق المحاسبي من هذا الرابط.
نتمنى أن يكون الموضوع مفيدا ،إذا كان هناك أي تصحيح أو اقتراح لا تتردد في إرساله أو وضعه في التعليقات و شكرا.