الضوابط...
TRANSCRIPT
1
الضوابط الرقابية والتدقيق الداخلي في بيئة تكنولوجيا المعلومات
إعداد
أ. عفاف اسحق أبوزر أ. د. نعيم دهمش
رية المؤتمر العلمي الدولي السنوي الخامس لكلية االقتصاد والعلوم االدا لجامعة الزيتونة األردنية
تحت شعار ) اقتصاد المعرفة والتنمية االقتصادية (
72-72 /4 /7002
عمان _ األردن
2
مقدمةيتميز عالمنا المعاصر بدرجة عالية من التعقيد والتشابك والتغير خاصة في األمور االقتصادية
المتسارعة والمتالحقة ةللتطورات التكنولوجي والمالية والمحاسبية وتدقيق الحسابات, وذلك نتيجةور في أساليب وأدوات اإلنتاج, وأساليب ووسائل االتصال ونظم المعلومات ونقلها,إضافة إلى ظه
مما زاد من حدة المنافسة وخطورتها ، والشركات المتعددة الجنسية،شكال التنظيمية الجديدةاألفس حتى تتمكن المنظمة من االستمرار في التنا، علةاألمر الذي يستلزم اتخاذ قرارات سريعة وفا
تساعد في اتخاذ ،مما يتطلب توفر معلومات حديثة ودقيقةوالحفاظ على ميزاتها في السوق، ن هذا األمر يتطلب بناء نظام معلومات يهدف إلى تحديد نوع االقتصادية الرشيدة. ا تالقرارا
وتدقيق ،ووجود الرقابة الفاعلة عليها ،يلهاوتحل اوكيفية جمعها ومعالجته ،وحجم البياناتمخرجاتها عندما تتحول البيانات الخام إلى معلومات مفيدة وموثوق بها التخاذ القرارات وتقييم
األداء. :طي الجوانب التاليةمات يجب أن تغوفي اعتقادنا أن الضوابط الرقابية بالنسبة لبيئة نظم المعلو
المنظمة. ط الرقابية فيميم من اجل نمو الضوابأ. التص . للضوابط الرقابية ب. االستعمال السلس . من أجل االستخدام األفضل للضوابط الرقابية ةج. األهلية التكنولوجي
غير مباشرة غير ضرورية , أو يتولد عنها تأثير تكاليف د. يجب أال يتولد عن الضوابط الرقابية ة.ظيفيالقدرة االستيعابية أو الو على األداء أو
ميم وتطبيق إطار رقابي يحدد طريقة الوصول المناسب للبيانات، على ان يتميز صويجب تإلى أي تغييرات تحدث في بيئة كما يجب أن يكون مصمما لالستجابة بسهولة إدارته وتدقيقه،
عمال .األ
ةمجاالت الخدمات التدقيقيفي مات( أحد أهم الصناعات الحديثة )صناعة المعلو القد أصبحت ثورة المعلومات والتكنولوجيمما أثار لشركات وتعطيها القوة واالستمرارية والمنافسة.الوقت الحاضر, فهي تقف وراء نجاح ا
ضوابط رقابية للحد من المخاطر الجديدة الناجمة عن التطورات الحديثة في بيئة إلىالحاجة ضوابط الرقابية, فال بد من تكامل من اجل نجاح عمليات التدقيق والتكنولوجيا المعلومات. و
المعلومات وذلك من خالل االخدمات التدقيقية والضوابط الرقابية في بيئة نظم وتكنولوجي المجاالت التالية :
المعلومات. ا. تدقيق تكنولوجي1
3
. التدقيق التشغيلي ) الشامل (. 2 . التدقيق المالي. 3 . تدقيق االلتزام. 4 المخاطر. . تقييم ) تقدير (5 . مراجعة الرقابة الداخلية .6 . رقابة التقدير الذاتي. 7 . مساعدة التدقيق الداخلي والخارجي. 8 . النظام المحاسبي. 9
. تقييم نظام المعلومات المحاسبية وتصميمه وتطبيقه.11
تدقيق تكنولوجيا المعلومات ل في األسواق العالمية عمايات األءا حساسا في معظم استراتجالمعلومات جز اتعتبر تكنولوجي
المعلومات والتي تضع اوهناك عوامل عديدة تشير إلى توسع في عالم تكنولوجي المنافسة،وان مثل هذا األمر يحتاج المعلومات، امطالب اكبر على بيئة الرقابة بخصوص تكنولوجي
،جيا المعلومات غير المتنبأ بهاإلى تخفيف المخاطر وتكاليف الرقابة المتعلقة بها في بيئة تكنولو ووجود الضوابط الرقابية الفاعلة على بيئة ،ومن هنا جاءت أهمية التأكيد على أفاق المعلومات
طراف العديدة ات تدقيق تكنولوجيا المعلومات لألويجب أن تصمم خدم .المعلومات اتكنولوجيب إن تسهل الضوابط الرقابية وتقدم . كما يجلمديرين والمدققين ومالك المشروعالتي تستخدمها وا
األمر الذي يتطلب مراجعة شاملة وا عادة ،الفرصة إلى إعادة هندسة تطبيق البيئة الرقابية القائمة تصميم للضوابط الرقابية.
نشاء قاعدة إونعتقد بان التكامل يجب أن يبنى مباشره في عمليات منظمة األعمال عن طريق وتطبيق إطار الموثوق بها وفي الوقت المناسب، الجة المعلوماتتكنولوجية مستقرة من اجل مع
نشاء وتطوير معايير منسقة والتي تضمن موثوقيه ل من اجل تعظيم مثل هذا التكامل،متكام وا البيانات وتوفرها .
متطابقة أو تتعرض لنفس المخاطر، ويمكن القول بأنه ال توجد منظمتين تتقاسمان أهداف رقابيةفان جميع مع المواضيع الرقابية. ومع ذلك، يتوفر نفس الموارد لهما للتعامل كما انه ال
لبيئة معقولةالكلفة الالمنظمات ترغب في وجود ضوابط رقابية فاعلة وبكلفة متدنية نسبيا ) الرقابة (. وهنا تقع مهمة التدقيق والضوابط الرقابية حيث ينصب التركيز على تفهم المتطلبات
طبيق آلية أالمان والرقابة والعمليات التدقيقية .والمخاطر وت
4
التدقيق التشغيلي يتضمن التدقيق التشغيلي ) الشامل ( مراجعة الطرق واإلجراءات التشغيلية للمنشاة من اجل تحديد كفاءتها وفاعليتها, وذلك من اجل تقديم التوصيات لتحسين اإلجراءات. والتدقيق التشغيلي
جعة السياسات في المجاالت التي يجب أن تعمل بكفاءة من اجل تلبية غالبا ما يتضمن مراأهداف الشركة ) الفاعلية ( وتحقيق األهداف في أحسن ما يمكن وبالطريقة األقل هدرا للموارد )
.الكفاءة ( وحيث يمكن للسياسة أو اإلجراء أن يكونا فاعلين وكفؤين , ولكن على مدار المدى الطويل يمكن
ن غير اقتصادية, لذا البد من األخذ بعين االعتبار ما إذا كانت المنافع المتعلقة بالسياسة أن تكو أو اإلجراء تزيد عن تكلفتها أم ال .
التدقيق المالي
المالي هو مساعدة المدققين الخارجيين عند قيامهم بالتدقيق المالي قن احد األهداف وراء التدقياات المالية التاريخية قد قيقات تقارير تظهر ما إذا كانت المعلومالتقليدي, وينتج عن هذه التد
طراف الخارجية مثل الدائنين وكذلك اإلدارة بعدالة. ويمكن أن تشمل خصائص عرضت لأل التدقيقات المالية االتي :
.أن يكون هدف التدقيق المالي إضافة المصداقية لتمثل اإلدارة في القوائم المالية مستقل عن أدارة المنشاة. ن المدقق شخصا
وذلك وفقا للمبادئ المحاسبية المتعارف رائهم على أساس العدالة الشاملةتكوين المدققين أل , .ذلك على أساس االختيار االختباريو ،عليها والمقبولة قبوال عاما للقوائم المالية
القوائم المالية ذا كانت في الوقت الذي يكون فيه المدققين غير متأكدين بشكل قطعي ما إ, فان التدقيق المالي يمكن أن يقدم تأكيدا معقوال بان القوائم المالية خالية من صحيحة
التحريف المادي .
تدقيق االلتزام ) التطابق (
ن خدمات تدقيق االلتزام تقيس مدى التزام التدقيق ومطابقته مع بعض المعايير الموضوعة اج فيها تحديد االلتزام والتي يمكن ان تكون بحاجة إلى التي تحتا تمسبقا. وبعض المجاال
: اآلتي تشمل، و مراجعة أو اإلجراءات الموضوعة مسبقا من قبل اإلدارة. ة* تحديد االلتزام بالسياس
* تحديد مدى االلتزام بالقوانين والتشريعات.
5
تقييم ) تقدير ( المخاطر وهناك بعض القوانين كما هو الحال في أمريكا . حساسة لإلدارة يعتبر تقدير المخاطر مسالة
شجع ذلك في كما أن المبادئ الجيدة لإلدارة ت تقدير سنوي للمخاطر لبعض البنوك،تتطلب قيق استراتجيات وأهداف منظمة األعمال هو مخاطر وأي تهديد لتحصناعات وقطاعات أخرى،
فإنه ال يمكن وابط الرقابية، مخاطر من خالل الض. وبينما يمكن تخفيض اللألعمال التجاريةوضوابط رقابية ولكن مع وجود عملية تقييم فاعلة للمخاطر ،استبعاد هذه المخاطر بشكل كامل
ن تحقق مدى مقبول للتعرض ن اإلدارة تستطيع أ، فإبخصوص المخاطر ذات محتوى اقتصاديال وذلك بسبب أن اإلدارة مستمرة لإلدارة، ةوتقييم المخاطر يعتبر مسالة مكملة ومسؤولي للخسارة،
وعملية تقييم المخاطر يجب أن ينظر إليها من ،هاقيتحقسهولة تستطيع وضع أهداف وتفترضو التقييم الذي يختبر وه ،منظور عالقتها بالنسبة للتغير والفرص واألهداف والضوابط الرقابية
ستراتيجيات المنظمة ولكن أيضا بالنسبة الليس فقط لألداء المالي والرقابة، -التهديدات والمخاطر هي صورة لمرآه الفرصة . ،وأهدافها
: بما يلي المخاطرويمكن تمييز -
وهي تلك المخاطر التي تتعلق بعمل األشياء الخطأ. المخاطر اإلستراتيجية :
وهي تلك المخاطر التي تتعلق بعمل األشياء الصحيحة بالطريقة المخاطر التشغيلية : الخطأ.
بفقدان الموارد المالية أو حدوث ر المالية: وهي تلك المخاطر التي تتعلقالمخاط التزامات غير مقبولة.
ات غير الصحيحة أو غير : وهي تلك المخاطر التي تتعلق بالمعلوممخاطر المعلومات ونظم ليست ذات مصداقية وتقارير غير صحيحة أو تقارير مضللة . المالئمة،
:ابية المساعدة في األمور التاليةبط الرقوعلى المدققين والضوا -
إنشاء إطار لمخاطر انه من الصعب وتشخيص المخاطر الرئيسية لألعمال: تحديدينظم ويعطي األولوية ويقدم لغة مشتركة للتفكير حول المخاطر ويقدم اإلعمال والذي
.مخاطر عملية مستمرةأيضا هيكال لجعل إدارة ال
الن بأثرهما المحتمل على تحقيق ثمت: أن بعدي المخاطر يطرتقييم اثر واحتمالية المخا األهداف واحتمالية حدوثها . وقياسها على األقل على أساس الخبرة الذاتية .
6
يمكن تجميع استراتجيات االستجابة في رف على أساس تقييم مخاطر األعمالالتص : وهي: ثالث مجموعات عريضة
.تمالية أعلى (اح * تجنيب المخاطر ) تأثير أعلى ، .تخفيف المخاطر من خالل األنشطة الرقابية والتامين*
.احتمالية أدنى ( * قبول المخاطر ) تأثير أدنى ، المراقبة ومقياس األداء : استخدام التكنولوجيا من اجل المساعدة في تسهيل عملية
نتاج تقارير ية،تزام بالضوابط الرقابية الذاتواالل ية،الرقاب طمخاطر التوثيق والضواب وا اإلدارة .
التحديات الجديدة لمخاطر التدقيقتفرض نظم معالجة البيانات الحديثة تحديات لمخاطر جديدة لعملية التدقيق, ولما كان من الممكن القيام بتدقيق القوائم المالية بواسطة تقييم ومراقبة الضوابط الرقابية على أساس العمليات
قية, فقد تحولت منشآت األعمال وبدرجة متزايدة نحو العمليات والنظم والنظم المحاسبية الور Statement of Audit) ( SAS 94) 94المحاسبية االلكترونية. وقد قدمت النشرة
Standards 94) إرشادا حول كيفية تجميع القرائن الثبوتية ( 94)نشرة معايير التدقيق رقم الكافية في بيئة العمليات االلكترونية.
إن المستندات المستخرجة من الحاسوب، واإلثباتات االلكترونية تختلف عن اإلثباتات الورقية: صعوبة التغيير والتبديل، وكفايتها إلثبات المصداقية، وكمال ) األسلوب التقليدي ( من حيث
المستندات، ودليل المصادقات، وسهولة االستعمال والوضوح. ة تتأثر بكل من مجلس إدارة المنشأة، واإلدارة، وغيرهم من الموظفين إن الضوابط الرقابية الداخلي
( عمليات تشغيلية 2( إبالغ مالي موثوق به )1من أجل تقديم تأكيد معقول لتحقيق ثالثة أهداف ) ( االلتزام والتوافق مع القوانين والتشريعات المطبقة سارية المفعول، وباإلضافة إلى3كفؤة وفاعلة )
ضوابط الرقابية الداخلية حول حماية األصول ضد االمتالك غير المصرح به ن الذلك، فإوالتخلص منها غالبا ما تشتمل على ضوابط رقابية تتعلق بأهداف اإلبالغ المالي هاواستخدام
. ةوالعمليات التشغيلي وتتكون الضوابط الرقابية من خمسة مكونات متداخلة وهي :
. رقابة االنشطة 3. تقييم المخاطر 2 . البيئة الرقابية 1 . المراقبة 5. المعلومات واالتصال 4
تدقيق نظم المعلومات
7
تتمثل وظيفة تدقيق نظم المعلومات بمراجعة الضوابط الرقابية لالدارة المطبقة على األمان وجيا المعلومات. وهناك خمسة أنواع مختلفة والصحة والموثوقية وفاعلية استخدام موارد تكنول
( عمليات الحاسوب 3( التطوير )2( التطبيق )1) :للتدقيق بواسطة تدقيق نظم المعلومات وهي ( التكنولوجيا. 5( االدارة )4) التطبيق : ( 1)
ط الرقابية موجودة لتقديم تأكيد إن الهدف من مراجعة التطبيق هو من أجل التأكيد بأن الضواببأن العمليات تامة وصحيحة ومسجلة بشكل صحيح وبالتوقيت المناسب. ومن أجل القيام عقولم
بذلك يقوم المدقق بمراجعة تطبيقات مدخالت الضوابط الرقابية, والضوابط الرقابية للمعالجة, والضوابط الرقابية للمخرجات, والضوابط الرقابية وحرية الوصول إلى المعلومات.
التطوير : ( 7)إن الهدف من مراجعة التطوير هو المساهمة في مشاريع قبل وخالل تنفيذها وذلك لضمان بأن
وأن االهتمامات قد تم التطرق إليها قبل اكتمال ضوابط رقابية وآمنة قد وضعت في النظام، النظام.
العمليات التشغيلية :( 3)مات والتي تتعلق بجميع التطبيقات. يتعلق تدقيق العمليات التشغيلية ببيئة عمليات نظم المعلو
ويتم ذلك من أجل تقييم البيئة الرقابية الشاملة, حيث أن وجود ضعف رقابي عام يمكن أن يؤثر على جميع التطبيقات.
االدارة: ( 4)يمكن أن تؤثر على التي و يركز التدقيق اإلداري على تنظيم نظم المعلومات وممارستها اإلدارية
ويتم هذا أيضا من أجل تقييم البيئة الرقابية الشاملة. ،جميع التطبيقات التكنولوجيا : ( 2)
إن الهدف من تدقيق التكنولوجيا هو مراجعة تكنولوجيا معينة تستخدم بواسطة نظم المعلومات والتي يمكن استخدامها في تطبيقات متعددة. وهذا االمر يساعد في تقييم البيئة الرقابية الشاملة
ت. للتطبيقا
مراجعة التدقيق الداخلي
8
ظمة األعمال يتكون التدقيق الداخلي من خطة التنظيم وجميع الطرق والمقاييس المتبناة داخل من, ة, وفحص دقة وموثوقية بياناتها المحاسبية وتعزيز الكفاءة التشغيليمن اجل حماية أصولها
. ويجب أن يأخذ أسلوب التدقيق بقالسياسات اإلدارية الموضوعة مسوالتقيد با قوتشجيع االلتصا أهمية نظم المعلومات والهياكل الرقابية .
رقابة التقدير الذاتي
األساسية للضوابط الرقابية المالية وااللتزام ينظر إليها على أنها تعود إلى المراقب ةأن المسؤوليمال مسؤولين عن عليين ويعتبر المديرين في بيئة األالمالي أو المدققين الخارجيين والداخ
قوم المديرين رقابة عليها. وفي اغلب الحاالت، ياالستخدام المناسب للموارد التي أوكلت إليهم والفهم يعرفون عملياتهم بشكل أفضل من أي شخص أخر بمراقبة عملياتهم على أساس يومي،
. اطر االلتزامفاعلة بما في ذلك مخويكونوا في وضع أفضل لتقييم المخاطر ومعالجتها بالكلفة ال
دارة تكنولوجي المعلومات في التدقيق اتطبيق وا المعلومات وما اشهدت السنوات األخيرة من هذا العصر تطورات هائلة ومهمة في عالم تكنولوجي
حتى أصبحت قواعد البيانات ،والتعامل معها ،نتج عنها من سهولة في تخزين المعلوماتائل من المعلومات والبيانات من خالل أجهزة االتصال مليئة بكم ه ةوالمكتبات االلكتروني
ن المتطورة, األمر الذي سهل عملية تبادل المعلومات وتوفرها في أي جزء من أجزاء العالم . وا دارة تكنولوجيا المعلومات في التدقيق تتمثل بما يلي: تطبيق وا
المعلومات. اتطبيق استخدام تكنولوجي المعلومات. اجيتحديد متطلبات وحلول تكنولو
المعلومات. اتطبيق االستخدام الفعلي لتكنولوجي
تزويد التدريب الفاعل. .1 تزويد الدعم الفاعل. .2
رسم الخطط لتخفيض مقاومة االبتكار. .3
المعلومات. اتحديد نجاح استخدام تكنولوجي اإلجراءات التصحيحية . .1 معايير القياس. .2
المعلومات . اإدارة استخدام تكنولوجي ج صحيحة .نتائ .1
9
رقابة المنافذ للمعلومات. .2
االستقاللية واألمان. .3
الكفاءة. .4
التعاون بين موظفي نظم المعلومات. .5
التدقيق. المعلومات للقيام بعملية االتخطيط من اجل استخدام تكنولوجي
للقيام بالتدقيق ةاألدوات واألساليب الفنية المحو سبمن اجل مراجعة التطبيق وبيانات نظم ةالمحو سب واألساليب الفنيةيمكن تلخيص األدوات
األعمال بما يلي : .استرجاع وتحليل البرامج .اختبار وفحص األساليب الفنية للعمليات
.تطبيقات فنية آخرى
لتطوير األساليب الفنية المحوسبة للتدقيق : ةوفيما يلي ملخصا للخطوات الالزم . تطوير أسلوب فني محوسب للتدقيق . تحديد الجدوى
.التخطيط
.التصميم
. الترميز والفحص
. التطبيق
.المتابعة
تتلخص اعتبارات التدقيق في النقاط األربع التالية : سالمة وأمان النظام . .1 المسؤولية والكفاءة والفاعلية . .2
اإلجراءات الرقابية بالنسبة للتغير في نظام البرمجيات . .3
رجاعالتخطيط للطوارئ .4 ألمور إلى طبيعتها.ا وا
المخاطر والضوابط الرقابية
10
من أجل تقييم الضوابط الرقابية الداخلية بشكل فاعل من أجل هدف تخفيض قرائن التدقيق فيما يلي المخططة، يجب على المدققين تفهم مفاهيم الرقابة الداخلية الرئيسية ورقابة المخاطر. و
البيانات المرتبطة بالمخاطر : ير فاعل .تصميم غ .تكرار للبيانات
. تصميم غير كفء
. عالقات تعريفات غير صحيحية
.بيانات غير متسقة
. نقص الوضوح أو التعريفات
سالمة وصحة البيانات نقص .
. نقص الملكية المناسبة
نها تتلخص بما يلي :ط الرقابية المرتبطة بالبيانات فإأما الضواب لبيانات والملفات .الضوابط الرقابية لقاعدة ا .قواعد التحرير واإلثبات
. ملكية البيانات والمسؤولية
. اختبارات األمانة والكمال
المخاطر المرتبطة بعملية قاعدة البيانات و فاعل . أداء غير كف أ . الفشل في رقابة التحديث المتزامن
. الفشل في المحافظة على األمانة المرجعية
به للبيانات . الدخول غير المصرح
. عدم القدرة على االستعادة
. نقص المسؤولية أو التتبع
الضوابط الرقابية وعملية قاعدة البيانات المرتبطة بها : . فصل الواجبات مان للدخول إلى المعلومات .ألا صور
. التغيير في اإلجراءات الرقابية
. نسخ ثنائية للبيانات
.اختبارات االعتمادية
ر األحداث.تتبع اث
11
. تصليح وا عادة تنظيم قاعدة البيانات
: األساليب الفنية للتدقيق وتتمثل بما يلي وتطبق في هذه الحالة .استخدام نظام إدارة قاعدة البيانات وأدوات التدقيق . تدقيق األساليب التقنية للبرمجيات
.مراجعة التحويل إلى امتيازات قاعدة البيانات
لمحتوى .التحقق من صحة ا
. مراجعة اإلجراءات التشغيلية لتدقيق قاعدة البيانات
.جراءات االستعادة مراجعة مخططات فشل قاعدة البيانات وا
.مراجعة منهج التطوير والصيانة
. مراجعة مالءمة الضوابط الرقابية الداخلية
ذا كانت حاجات المستخدم قد تمت تلبيتها .تحديد ما إ
ام بعملية تطوير النظم. فحص التطابق وااللتز
.فحص التطابق وااللتزام بمعايير النظم والبرمجة
. تقديم المشورة حول أساليب الرقابة
. تحديد المتطلبات لمعايير النظم والبرمجة
. تقييم عملية تطوير النظم الشاملة
.دراسة مدى ارتباط التدقيق الداخلي في تطوير النظم وصيانتها
بتحسين الرقابة الداخلية واالبالغ عنها النشرات المتعلقةلقد تزايد االهتمام المخصص للرقابة الداخلية من قبل المدققيين أو المديرين، والمحاسبين والمشرعين، وقد صدرت في الواليات االمريكية خمس وثائق حديثة كانت نتيجة الجهود المستمرة
البالغ عنها وهي : من أجل تعريف، وتقييم، وتحسين الرقابة الداخلية وا 1- The Information System Audit and Control Foundation's COBIT ( Control Objectives for Information Technology ) .
منظمة الرقابة والتدقيق المتعلقة بنظام المعلومات )أهداف الرقابة وتكنولوجيا المعلومات( .
2- The Institute of Internal Auditors Research Foundation's Systems
Auditability and Control ( SAC ) . رقابة وتدقيق األنظمة الخاص بقسم األبحاث التابعة لمعهد المدققين الداخليين األمريكي.
12
3- The Committee of Sponsoring Organizations of the treadway
Commission's Internal Control – Integrated Framework ( COSO ) .
لجنة المنظمات الراعية إلطار الرقابة الداخلية المتكامل التابع للجنة تريدوي .
4- The American Institute of Certified Public Accountant's Consideration of the Internal Control Structure in a Financial Statement Audit ( SAS 55)
, as Amended by Consideration of Internal Control in a Financial Statement Audit : Amendment to SAS 55 ( SAS 78 ) .
دراسة هيكلة الرقابة الداخلية عند تدقيق القوائم المالية )المعهد األمريكي للمحاسبين القانونيين( ة الرقابة الداخلية عند تدقيق القوائم المالية كما هو معدل بدراسة هيكل 55معيار التدقيق رقم
( .78) 55تعديل المعيار
وفيما يلي عرض موجز لهذه النشرات:
COBITأوال: تقرير
( على أن السياسات، COSO( تعريفها للرقابة من الوثيقة )COBITلقد كيفت وثيقة )بأن أهداف منظمة قولمع دتأكي واالجراءات، والممارسات، والهياكل التنظيمية تصمم لتزويد
األعمال سوف تتحقق، وأن األهداف غير المرغوب فيها سوف تمنع أو تكتشف ومن ثم تصحح. مصادر تكنولوجيا المعلومات (COBITأما بالنسبة لمصادر تكنولوجيا المعلومات فقد صنفت )
يلية، واالشخاص. وقد عرفت التسه واإلمكانياتجيا، البيانات، وتطبيق النظم، والتكنولو على أنها على االعداد والمراجع والتواريخ ولكن أيضا فقط الواسع بأنها ال تحتويالبيانات في مفهومها
على االشياء مثل الرسوم البيانية والصوت. ومن أجل تحقيق أهداف المنظمة، تحتاج المعلومات أن تتطابق مع معايير معينة والتي ذكرتها
(COBITعلى أنها م ) تطلبات المنظمة من المعلومات، وهي الجودة ومسؤولية االئتمانج التقرير سبع مجموعات متداخلة للمعايير لغرض هذه المتطلبات الواسعة استخر واألمان. ومن
متطلبات المنظمة من المعلومات. وتتلخص لة مصادر تكنولوجيا المعلومات يتقييم مدى درجة تلبوالوجود، وااللتزام والتطابق، وموثوقية ،والكمالاءة، والسرية، والكف ة،هذه المعايير بالفاعلي
( 1كما صنفت الوثيقة عمليات تكنولوجيا المعلومات في اربعة مجاالت وهي ) المعلومات. ( المراقبة. 4( التسليم والمساندة )3والتنفيذ ) ( االمتالك2التخطيط والتنظيم )
13
من أهدف الرقابة الداخلية و تكنولوجيا تعاريف لكل على ( COBITوقد اشتملت وثيقة )بيان رقابي عالي المستوى لهذه 32المعلومات. وذلك ضمن أربعة مجاالت للعمليات، و
رشاداتثالثين، الهدف رقابي ذكر في هذه العمليات االثنين و 271العمليات، و تدقيق ربطت وا مع االهداف الرقابية.
SACتقرير ثانيا:
وابط ض( نظام الرقابة الداخلية ووصف مكوناته، وقدم عدة تصنيفات لل SAC) لقد عرف تقرير
كما وصف أهداف الرقابة والمخاطر، وعرف دور المدقق الداخلي. وقد قدم التقرير الرقابية،ثار وجيا المعلومات، كما ناقش أارشادا بالنسبة لالستخدام، والمعالجة، وحماية مصادر تكنول
مستخدم النهائي، واالتصاالت والتكنولوجيا الجديدة. وقد عرف التقرير نظام االحتساب من قبل الالرقابة الداخلية على أنه " مجموعة من العمليات والوظائف، واألنشطة، والنظم الفرعية،
الذين اجتمعوا معا أو تم فصلهم من أجل ضمان تحقيق االغراض واالهداف. وقد واألشخاصنظم المعلومات المحوسبة على نظام الضوابط الرقابية الداخلية. وقد ركز التقرير على دور وأثر
بعين االعتبار التكاليف والمنافع، وبناء ضوابط واألخذ كز على الحاجة الى تقييم المخاطر،ر ( النظم اليدوية 2( بيئة الرقابة )1رقابية في النظم بدال من إضافتها بعد التطبيق. وبموجب )
راءات الرقابية. وتشمل بيئة الرقابة على الهيكل التنظيمي، واطار الرقابة، ( االج3)والمؤتمتة والسياسات واالجراءات، والتأيرات الخارجية. وتتكون النظم المؤتمتة من نظم وتطبيقات
قابية الداخلية في ( ، وقد قدم التقرير خمس خطط تصنيفية للضوابط الر Software) البرمجيات( التطوعية 3( االختيارية وغير االختيارية )2مانعة والكاشفة والمصححة )( ال1: )نظم المعلومات( التطبيق والضوابط الرقابية العامة. تركز هذه الخطط 5( اليدوية والمؤتمتة و )4واالجبارية )
في البرمجيات. أما بالنسبة الهداف تخطي الرقابة ى تطبق الرقابة، وما اذا كان باإلمكانعلى متاالعمال، في التلمخاطر، فان المخاطر تشتمل على االحتيال واالخطاء واالختالالرقابة وا
الفاعل للموارد. فاالهداف الرقابية تخفض من هذه المخاطر وتضمن واالستخدام غير الكفء و وسالمة المعلومات والتزامها بالقوانين الرقابية بالنسبة للمدخالت والعمليات التشغيلية تماموتأكد
واألمور المتعلقة ت والبرمجيات. أما مقاييس األمان فتشمل الضوابط الرقابية للبيانات والمخرجاوالتطابق والتوافق مع القوانين والتشريعات، والمعايير المحاسبية ومعايير التدقيق، اللتزامبا
والسياسات واالجراءات الداخلية.
14
ان وتأكيد مالءمة نظام الرقابة لدور ومسؤوليات المدققين الداخليين فتشمل ضمأما بالنسبة الداخلية، ومصداقية البيانات، واالستخدام الكفؤ لموارد المنظمة. كما أن المدققين الداخليين مهتمين أيضا بمنع واكتشاف الغش واالحتيال، وتنسيق االنشطة مع المدقيين الخارجيين. ان
وجيا المعلومات على عملية التدقيق تكامل مهارات التدقيق ونظام المعلومات، وتفهم تأثير تكنولمسألة ضرورية بالنسبة للمدقيين الخارجيين. فهؤالء المهنيون يؤدون اآلن عمليات التدقيق المالي
والتشغيلي ونظم المعلومات.
( COSOتقرير ) ثالثا: لنظم ا التي يمكن تقييم( الرقابة الداخلية ووصف مكوناته وقدم المعايير COSOف تقرير ) عر
الرقابية على أساسها. وقد عرض التقرير ارشادا للتقرير العام عن الرقابة الداخلية، كما قدم المواد التي يمكن ان يستخدمها كل من االدارة والمدققين وغيرهم من أجل تقييم نظام الرقابة الداخلية.
( انشاء تعريف عام للرقابة الداخلية والذي يخدم العديد من 1لتقرير هما )وكان الهدفين الرئيسيين لتستطيع المنظمات تقييم نظمها الرقابية، وتحديد ( تقديم معيار والذي على اساسه 2االطراف و )
الكيفية التي يمكن بها تحسين هذه النظم. أثر من قبل أعضاء مجلس ( الرقابة الداخلية على أنها " عملية تت COSOوقد عرف تقرير )
بالنسبة لتحقيق تخدمين، مصممة لتزويد تأكيد معقول ادارة الشركة، واالدارة، وغيرهم من المس في المجاالت التالية : أهداف .كفاءة وفاعلية العمليات التشغيلية .موثوقية االبالغ المالي .االلتزام بالقوانين والتشريعات المطبقة
البعض يتكون من خمسة مكونات متداخلة مع بعضها إنهفلرقابة الداخلية أما بالنسبة لنظام ا( المعلومات واالتصاالت و 4( االنشطة الرقابية )3( تقييم المخاطر )2( بيئة الرقابة )1وهي : )
( المراقبة. 5)وتزود بيئة الرقابة االساس للمكونات االخرى، فهي تضم عوامل مثل فلسفة االدارة، واسلوب
امة الموظفين وقيمهم االخالقية، ات الموارد البشرية، وامانة واستقغيل، وسياسات وممارسالتشوالهيكل التنظيمي، واهتمام وتوجيه مجلس االدارة. فمثال، يمكن تقييم فلسفة االدارة واسلوب
رة، وتكرار تداخلها مع تشغيلها عن طريق فحص طبيعة مخاطر االعمال التي تقبلها االدا االبالغ المالي. تجاههم فوموق ن،المساعدي
15
ويتكون تقييم المخاطر من تشخيص المخاطر وتحليلها، حيث يتضمن تشخيص المخاطر فحص العوامل الخارجية مثل التطورات التكنولوجية، والمنافسة، والتغيرات االقتصادية، وعوامل داخلية
عملية معالجة نظام مثل نوعية وجودة المستخدمين، وطبيعة أنشطة المنشأة، وخصائص ، واألخذ بعين االعتبار كيفية وتقدير احتمالية حدوثهاالمعلومات. ويتضمن تحليل المخاطر
معالجة المخاطر. قيام الموظفين بتنفيذ توجيهات تضمن تتألف أنشطة الرقابة من السياسات واالجراءات التي
،ابط الرقابية لنظم المعلوماتاالدارة. وتتضمن انشطة الرقابة مراجعات نظام الرقابة، والضو . والضوابط الرقابية العامة هي تلك التي تغطي تصريح وتشتمل الضوابط الرقابية التطبيقية
الدخول، والبرمجيات، وتطوير النظام. والضوابط الرقابية التطبيقية هي التي تمنع دخول االخطاء في النظام، أو اكتشاف وتصحيح االخطاء الموجودة في النظام.
تقوم االدارة بمراقبة نظام الرقابةعن طريق مراجعة المخرجات المتولدة عن أنشطة الرقابة العادية، انات ية مقارنة االصول المادية مع البيوالقيام بتقييمات خاصة. وتشمل انشطة الرقابة العاد
ة ما يتم من قبل المدققين الداخليين والخارجيين، وعادالمسجلة، وورش التدريب، واالختبارات االبالغ عن العيوب وأوجه التقصير التي يتم اكتشافها خالل انشطة الرقابة العادية الى المشرف المسؤول، بينما العيوب واوجه التقصير التي يتم اكتشافها خالل التقييمات الخاصة عادة يتم
وجه العيوب وا( COSOفي المنظمة. وقد عرف تقرير )ايصالها الى مستويات ادارية أعلى التي تستحق االهتمام. و داخل نظام الرقابة الداخلية التي تكون التقصير على أنها " تلك الحاالت
( SASs 55 and 78 النشرات المتعلقة بمعايير التدقيق )رابعا:
( الرقابة الداخلية، ووضعتا مكوناتها، وقدمتا SASs 55 and 78 لقد عرفت كل من النشرات )
ير الضوابط الرقابية عند تخطيط واداء تدقيق القوائم المالية. وقد استبدلت النشرة )ارشادا حول تأث
SASs 78 ( تعريف هيكل الرقابة الداخلية المذكورة في النشرة )SASs 55 بذلك التعريف )على الموثوقية بالنسبة ( SASs 78) ها( ما عدا تركيز COSO للرقابة الداخلية الوارد في النشرة )
( قد عرفت الرقابة الداخلية على 78SASsالبالغ المالي بوضعه الحالي أوال. أي ان )لهدف ا المستخدمين، مصممة لتزويد تأكيدأنها " عملية تتأثر بمجلس ادارة الشركة، واالدارة، وغيرهم من
ية : لبخصوص تحقيق أهداف المجاالت التا معقول موثوقية االبالغ المالي. .1 يات التشغيلية. كفاءة وفاعلية العمل .2
16
االلتزام بالقوانين والتشريعات المطبقة. .3( باالهداف التشغيلية وااللتزام بالقوانين والتشريعات SASs 78وبالرغم من احتفاظ النشرة ) ركزت (SASs 55 and 78كل من النشرات ) إنلرقابة الداخلية، فلسارية المفعول في تعريفها
كما ان النشرة على فحص موثوقية االبالغ المالي للمنشأة. على الضوابط الرقابية التي تؤثر(SAS 78( استبدلت العناصر الثالثة لهيكل الرقابة الداخلية الموجودة في النشرة )SASs 55 )
وهي بيئة الرقابة، والنظام المحاسبي، واجراءات الرقابة بالخمسة مكونات لنظام الرقابة الداخلية هي : بيئة الرقابة، وتقييم المخاطر، وانشطة الرقابة، ( و COSOالمعروضة في نشرة )
واالتصاالت، والمراقبة. ،والمعلوماتمن المدقق الخارجي القيام بتأدية اجراءات من ( SASs 55 / 78)تتطلب كل من النشرتين
أجل الحصول على تفهم كاف لكل من المكونات الخمسة للتخطيط لعملية التدقيق. أي أنه يجب المدقق الخارجي تفهم تصميم سياسات واجراءات المنشأة، وما اذا كان هذا التصميم قد على
التنفيذ. ولما كان المدققون الخارجيون يقومون بتأدية خدمة عند تقديم رأيهم حول حيز وضع فير مهتمين في الضوابط الرقابية التي تؤث االقوائم المالية والتي تغطي فترة من الزمن، فأنهم يكونو
الخارجيين اإلبالغ في الحصول ومعالجة المعلومات المالية لكامل الفترة. ويجب على المدققين عن أية عيوب أو تقصير مهمة للرقابة الداخلية والتي يمكن أن تؤثر على االبالغ المالي للجنة
( . SASs 60, AICPA, 1988التدقيق )
كل من ) لية وتكنولوجيا المعلومات فيالنشرات المتعلقة بالرقابة الداخ المقارنة بينCOBIT, SAC, COSO and SASs 55 / 78 )
لقد عرفت كل من النشرات اعاله الرقابة الداخلية، ووصفت مكوناتها، وقدمت أدوات
التقييم. ( اقترحت كل من النشراتSAC , COSO and SASs 55 / 78 طرق لالبالغ )
عن مشاكل الرقابة الداخلية. اضاف( ة الى ذلك فقد قدمت النشرةCOBITإ ) طارا شامال يسهل تحليل وايصال
مواضيع الرقابة الداخلية. بالنسبة للتعاريف، فان الخمسة تعاريف للرقابة الداخلية تحتوي اساسا نفس المفاهيم أو
( تعتبر الرقابة COBITالمبادئ، ولكن التأكيد كان مختلفا بعض الشيء . حيث ان )
17
أنها العملية التي تتضمن السياسات، واالجراءات، والممارسات، ، والهياكل على ة الداخلي التنظيمية التي تساند أهداف وعمليات المنشأة التشغيلية.
( بينماSAC ركزت على ان الرقابة الداخلية هي نظام، أي ان الرقابة الداخلية هي ) وعالقاتهم المتداخلة. وأشخاصعبارة عن مجموعة وظائف، ونظم فرعية ) ثانوية(
( أماCOSO فقد اعتبرت الرقابة الداخلية على انها عملية، أي أن الرقابة الداخلية ) يجب ان تكون جزءا متكامال في انشطة اعمال المنشأة المستمرة.
يعتبر االشخاص جزءا ( من نظام الرقابة الداخلية. وقد صنفتCOBITالناس ) الوعي واالنتاجية للتخطيط، والتنظيم، واالمتالك، و ظفين، بتعريفها لهم كمهارات المو
على أنها احد المصادر ومراقبة نظم المعلومات والخدمات،والتسليم، والمساندة، االساسية التي تعالج وتدار بواسطة عمليات تكنولوجيا المعلومات.
( لقد شخصتSAC الناس بشكل واضح )الداخلية. على انهم جزءا مكمال لنظام الرقابةبأن الناس المتعاملين مع ( COSO and SASs 55 and 78) بينما اظهرت كل من
الرقابة الداخلية هم اعضاء مجلس االدارة، وغيرهم من مستخدمي المنشأة. وقد وافقت النشرات االربعة على ان االدارة هي الجهة المسؤولة عن تكوين ومراقبة نظام الرقابة
عليه. الداخلية والمحافظة
لقد أكدت النشرات االربعة على مفهوم التأكيد المعقول كما يتعلق بالرقابة الداخلية. وانالرقابة الداخلية تصمم من اجل تزويد االدارة بتأكيد معقول بخصوص تحقيق اهدافها. كما ان النشرات اعترفت ايضأ بأن هناك محددات مستأصلة )موروثة( بالنسبة للرقابة
سبب اعتبارات التكلفة / المنفعة، فأنه ليس من الممكن تطبيق جميع الداخلية، وب الضوابط الرقابية الممكنة.
لقد افترضت النشرات السابقة عند عرضها لتعريف الرقابة الداخلية بأن المنشأة قد وضعت ( مثال قد افترضت بان هذه االهداف COBITة )أهدافها بخصوص عملياتها التشغيلية. فنشر
ن هذه العمليات يتم مساندتها بالمعلومات من خالل بالعمليات التجارية. وبالتالي، فإساندتها يتم ماستخدام مصادر تكنولوجيا المعلومات، ويمكن تلبية متطلبات االعمال من هذه المعلومات فقط
( بان تحقيق اهداف المنشأة يجب ان يتم SACمن خالل مقاييس رقابية مناسبة. وبينت النشرة )فاعلية، واكدت على ان هذه االهداف يجب ترجمتها الى اهداف قابلة للقياس. كما ان النشرة ب(COSO قد صنفت االهداف على انها تشغيلية، وابالغ مالي، والتزام بالقوانين والتشريعات )
في الثالثة الواردة باألهداف( تهتمان COSO( و )SACالمظبقة. بينما نجد كل من النشرتين ) أساسياهتماماتها بشكل (SASs 55 and 78)ت، في الوقت الذي قيدت كل من مجموعا المالي. اإلبالغ بأهداف
18
نظم المعلومات واالتصاالت
( بالنسبة لتركيزهم COBIT, SAC, COSO, and SASs 55 / 78تختلف كل من النشرات )
ن على انشاء اطار ( كاCOBITوعمق معالجتهم لنظم المعلومات. حيث ان التركيز لنشرة )مرجعي لالمان والرقابة في تكنولوجيا المعلومات، وحددت الربط الواضح بين الضوابط الرقابية
موثوقة لكل عالميةلنظم المعلومات واهداف المنظمة. إضافة لذلك، قدمت النشرة أهداف رقابية المهتمة. كما زودت النشرة لجميع االطراف ا المعلومات والتي تعطي ارشادا رقابي عملية لتكنولوجيا
بخصوص الضوابط قينوسيلة لتسهيل االتصاالت بين االدارة، والمستخدمين للمعلومات، والمدق الرقابية لنظم المعلومات.
( فقد ركزت على نظم المعلومات المؤتمتة، وقد فحصت النشرة العالقات SACأما النشرة ) مجيات، ونظم التطبيق، والمستخدم األخير، ونظم المتداخلة بين الرقابة الداخلية، ونظم البر
األقسام.( كل من المعلومات واالتصاالت، وفي مناقشة المعلومات، راجعت ) COSOوناقشت النشرة )
COSO نظم وجود ( الحاجة الى الحصول على معلومات داخلية وخارجية ذات عالقة، وامكانية يانات. استراتيجية ومتكاملة، والحاجة الى جودة الب
( فكانت اكثر اختصارا من الوثائق األخرى، وقد SAS 78( كما الحق بها ) SAS 55أما ) ( . COSOوضعت أهداف النظام المحاسبي ولخصت المادة الواردة في نشرة )
تقييم المخاطر
مخاطر على انه احد المكونات الهامة ال ( تقييم COSO and SAS 78لقد شخصت النشرات )
عملية داخل بيئة تكنولوجيا المعلومات على أنها ال( COBITلرقابة الداخلية. كما شخصت )لابة قتقييما للمخاطر، وبالرغم من أن تقييم المخاطر لم يعتبر كأحد المكونات الواضحة لنظام الر
ن النشرة تتضمن مناقشات واسـعة، وقد صنفـت، فإ( SACالداخلية وفقـا لنظام النشرة ) (SASs 55 / 78( المخاطر الى مخاطر مستأصلة )موروثة) ومخاطر رقابة، ومخاطر ،
اكتشاف. ويتفهم المدققون الخارجيون ويفحصون ويقيمون الضوابط الرقابية المتعلقة بالتحريف المادي )الهام( في القوائم المالية، مثال ذلك، تلك المتصلة بمخاطر الفشل في تحقيق اهداف
االبالغ المالي.
19
( فقد تعرضت وبعمق للعديد من مكونات تقييم المخاطر في بيئة COBITوبالنسبة للنشرة )المعلومات، والتي تضمنت تقييم مخاطر االعمال، واسلوب تقييم المخاطر، وتشخيص تكنولوجيا
وتحديد المخاطر، وقياس المخاطر، وعمل خطة المخاطر، والمخاطر المقبولة، فهي تتعامل مخاطر تكنولوجيا المعلومات مثل التكنولوجيا، واالمان، ومخاطر االستمرارية مباشرة مع انواع
والتنظيمية. ( فهي متشابهة. وباالضافة الى الفشل في COSO( و )SACأما مفاهيم المخاطر المقدمة في )
مخاطر الفشل في إلى( COSO( و )SACتحقيق اهداف اإلبالغ المالي، فقد تعرضت كل من )( تحديد المخاطر COSOام، وعلى وجه الخصوص االهداف التشغيلية. وقد ناقشت )تحقيق االلتز
( أيضا COSOالداخلية والخارجية بالنسبة للمنشأة ككل وأيضا لألنشطة االفرادية. كما اعتبرت )وتقييم احتمالية حدوثها، واألخذ باالعتبار كيفية : تقييم أهمية المخاطر، تحليل االدارة للمخاطر
( فقد اختبرت المخاطر بالنسبة لنظام المعلومات المؤتمت، SACالمخاطر. أما النشرة )ادارة وقدمت تحليال تفصيليا لمخاطر نظم المعلومات، واستكشفت الكيفية التي يمكن بها تخفيف كل من
، على اعتبارات التكلفة / المنفعة (COSO( و )SACهذه المخاطر. كما أكدت كل من )عالقة متبادلة بين اهداف المنشأة والضوابط الرقابية، والطبيعة المستمرة امةإق إلىوالحاجة
لتشخيص وتقييم المخاطر، وقدرة االدارة على تعديل نظام الرقابة الداخلية للمنشأة. ( فقد ذكرت القليل حول المخاطر التشغيلية أو مخاطر SASs 55 / 78أما بالنسبة لكل من )
(، ومخاطر االكتشاف، ومخاطر خاطر مستأصلة )موروثةاطر الى مااللتزام. كما صنفت المخنهم يقوموا ير الضوابط الرقابية الداخلية، فإالرقابة. وبسبب ان المدققين الخارجيين ال يستطيعوا تغي
بشكل عكسي لتقييمهم لمخاطر الرقابة. بتعديل مخاطر االكتشاف المقبولة أداة للعمليات التجارية للمالك وذلك من أجل تحرير إطارا يقدم COBIT (1996) النشرة تعتبر
SAC( 1991) النشرة نظم المعلومات بكفاءة وفاعلية. كما انل بالنسبة مسؤولياتهم الرقابيةالداخليين بالنسبة لرقابة وتدقيق نظم وتكنولوجيا تعرض المساعدة للمدققين 1999والمعدلة عام توصيات لإلدارة عن كيفية تقييم وتحسين النظم COSO( 1992) أعطت النشرةالمعلومات. و
فقد قدمتا SAS 78( 1995و ) SAS 55( 1988) النشرتين أماعنها. الرقابية والتقرير الداخلية على تخطيط وأداء عملية رقابة ارشادات وتوجيهات للمدققين الخارجيين بخصوص تأثير ال
التدقيق على القوائم المالية للمنظمة. اجات االطراف المهتمة ام أطراف وجهات مختلفة بانشاء الوثائق المتعلقة بدراسة احتيوبسبب قين كل وثيقة ركزت على وجد بينهم. وبغض النظر عن ذلك، فإن بعض االختالفات قد تبهم، لذا فإ
الرقابة الداخلية لكل طرف. مثال ذلك، المدققين الداخليين واالدارة، والمدقيين الخارجيين، كما أنها قد خصصت وقتا وجهدا كبيرين نحو انشاء او تقييم الضوابط الرقابية الداخلية.
20
ن مقارنة مفاهيم الرقابة الداخلية المعروضة في هذه الوثائق ذات مصلحة ونتيجة لذلك، فإ ( . الخارجين والمدققين ) المدققون الداخليون، واإلدارة، لألطراف الثالثة
أن كل منها مبنية على اساس المساهمات المقدمة من الوثائق بمقارنة الوثائق الخمسة نجد( COSO( تحتوي كجزء من وثائقها المصدرية ما جاء في كل من )COBITالسابقة. فمثال، )
( وتعريفها الهداف الرقابة لتكنولوجيا المعلومات COSO. وأخذت تعريفها للرقابة من )(SACو )، و (SAS 55مفاهيم الرقابة الداخلية المكونة في )( تحتوي على SAC) ( . كما أنSACمن )
(COSO( تستخدم مفاهيم الرقابة الداخلية الموجودة في كل من )SAS 55 و )(SAC) كما ،( من أجل أن تعكس المساهمات لمفاهيم الرقابة SAS 55( جاءت ملحقا لـ )SAS 78أن )
( . COSOالداخلية من قبل )أدمجت المعروضة في الوثائق السابقة، حيثة بين المواضيع الرئيسية والجدول التالي يبين المقارن
. ها البعض( مع بعض SASs 55 / 78الوثائق )
SASs 55 /78 COSO SAC COBIT الموضوع
أصحاب العالقة االساسيين
المدققون الخارجيون
المدققون االدارة الداخليون
مدققو و ،االدارة، والمستخدمين نظم المعلومات
اعتبار الرقابة الداخلية على أنها:
مجموعة من عملية عمليةالعمليات،
والنظم الفرعية والناس
مجموعة من العمليات تشمل السياسات، واالجراءات، والممارسات، والهياكل
التنظيميةأهداف الرقابة
الداخلية مؤسسيا ابالغ مالي موثوق به،
االلتزام بالقوانين و والتشريعات
ت عملياتشغيلية كفؤة
وفاعلة، وابالغ مالي موثوق به،
ام االلتز و بالقوانين
والتشريعات
مليات عتشغيلية كفؤة
وفاعلة، وابالغ مالي موثوق به،
االلتزام و بالقوانين
والتشريعات
مليات تشغيلية كفؤة وفاعلة، ع االمانةو مسألة سرية، و
والسالمة ووجود المعلومات، ابالغ مالي موثوق به، و االلتزام بالقوانين والتشريعاتو
المكونات او المجال
المكونات : البيئة، و الرقابة،
المكونات : الرقابة،
المكونات : الرقابة،
والتنظيم، ،المجال : التخطيطالتسليم و واالمتالك والتطبيقات،
21
المخاطر، و االدارة،و
، واألنشطةالمعلومات و
واالتصاالت، المراقبةو
البيئة، و ،المخاطرو
، اإلدارة، واألنشطة
المعلومات واالتصاالت،
المراقبةو
النظم و بيئة، الو اليدوية،
واإلجراءات الرقابية
والمساندة، والمراقبة
المنشأة بشكل القوائم المالية التركيز كامل
تكنولوجيا المعلومات
تكنولوجيا المعلومات
فاعلية الرقابة الداخلية المقيمة
لفترة محدودة من زمنال
المسؤولية لنظام الرقابة االدارة االدارة الداخلية
صفحة في 63 الحجم وثيقتين
صفحة 353في اربعة مجلدات
صفحة 1193 12في
نموذج
صفحة في اربعة وثائق 187
خالصة الدراسة
تفرض نظم معالجة البيانات الحديثة تحديات مخاطر جديدة لعملية التدقيق. ولما كان مـن لممكــن القيــام بتـــدقيق القــوائم الماليـــة بواســطة تقيــيم ومراقبـــة الضــوابط الرقابيـــة علــى أســـاس ا
ــبية الورقيـــة, فقـــد تحولــــت منشـــآت األعمـــال وبدرجــــة متزايـــدة نحــــو العمليـــات والـــنظم المحاســ العمليات والنظم المحاسبية االلكترونية .
22
يجيات األعمــال فــي األســواقعتبـر تكنولوجيــا المعلومــات جــزءا حساســا فــي معظــم اســتراتوت، وهنــاك عوامــل عديــدة تشــير إلــى توســع فــي عــالم تكنولوجيــا المعلومـــات العالميــة المنافســة
. ان مثـل هــذا رقابـة بخصـوص تكنولوجيـا المعلومـاتوالتـي تضـع مطالـب اكبـر علـى بيئــة الــا ــ ــا فــــي بيئــــة تكنولوجيـ ــــة بهــ ــاليف الرقابــــة المتعلقـ األمــــر يحتــــاج إلــــى تخفيـــــف المخــــاطر وتكــ
تنبأ بها . مالمعلومات غير اللقــد حفـــزت الضــغوطات الداخليـــة والخارجيــة كـــل مــن مهنـــة المحاســبة واإلدارة علـــى عمليـــة االسـتمرار مــن أجــل تطــوير وتحديــد مفــاهيم أو مبـادئ الرقابــة الداخليــة . وقــد لخصــت هــذه
الدراسة وقارنت الوثائق الهامة الناتجة عن هذه الجهود وهي : (COBIT , SAC , COSO , and SASs 55 and 78 . الصادرة في أمريكا )
( تعتبــــرCOBIT ــا لألهــــداف الرقابيــــة والمنظمــــة فــــي العمليــــات ــا عالميــ ( تجميعــ والمجاالت وارتباطها بمتطلبات األعمال للمعلومات .
( ــا ــ ــــة SASأمـ ــــه المختلفــ ــــار األوجــ ــــول آثــ ــيلية حــ ــ ــــادات تفصـ ــــت إرشــ ــــد عرضــ ( فقــ على نظم الضوابط الرقابية الداخلية . لتكنولوجيا المعلومات
( وبالنســبةCOSO ــا للرقابـــة الداخليـــة وأكـــدت علـــى أن ( فقـــد قـــدمت تعريفـــا عامـبــالغ الضـوابط الرقابيـة تسـاعد المنظمـة لتحقيــق عمليـات تشـغيلية كفـؤة وفاعلـة، وا ة مـالي موثـوق بــه ويعتمـد عليــه، والتزامـا بــالقوانين والتشـريعات. كمــا قـدمت الوثيقــ
اإلرشاد حول تقييم نظم الرقابة ، وتقديم التقارير للجمهـور حـول الرقابـة الداخليـة، والقيام بتقييمات النظم الرقابية .
( فقـد تبنــت SAS 78( وكمـا اضـيف عليهــا بالوثيقـة ) SAS 55امـا بالنسـبة للوثيقـة ) لداخليــة للمنشـــأة ( للرقابـــة الداخليــة، وناقشـــت أثــر الرقابـــة ا COSOالمكونــات الخمســـة لـــ )
علـــى تخطــــيط وأداء تـــدقيق القــــوائم الماليــــة ، وتطرقـــت إلــــى العالقــــة بـــين الضــــوابط الرقابيــــة الداخلية ورقابة المخاطر .
تحتوي كل من الوثائق الخمسة على العديد من نفس المفـاهيم أو المبـادئ للرقابـة الداخليـة. لهـا ، وعـرض الوثيقـة، ومسـتوى بينما تختلف هذه الوثـائق بالنسـبة لألطـراف التـي تعرضـت
التفصيل لإلرشاد المقدم في كل منهـا. وبمـا أن هنـاك أطـراف أخـرى سـوف يجـدون كـل مـن ( قـــد وجهـــت إلـــى ثالثــة أطـــراف متميـــزين وهـــم اإلدارة COBITهــذه الوئـــاثق مفيـــدة، فــان )
والمستخدميـن ومدقـقي نظـم المعلومات . بينما قد تعـرضت
23
(SACأساسـا للمــدققين ) ( الخــارجيين و( COSO تعرضــت للمـديرين وأعضــاء مجلــس تعرضتا للمدققين الخارجيين . SAS's 55/ 78 ) اإلدارة . كما أن الوثيقتين )
( بشـكل شــامل للضـوابط الرقابيــة بالنسـبة لتكنولوجيــا المعلومــات COBITوقـد تعرضــت ) ى تكنولوجيـا المعلومـات ( عل SASلدعم أهداف منظمات األعمال . بينما أكدت الوثيقة )
( وجهـــة نظـــر عريضـــة حـــول مســـتوى المنشـــأة ، كمـــا ركـــزت كـــل مـــن COSO، وقـــدمت ) علـــى تـــدقيق القـــوائم الماليــة. وتعتبـــر كـــل مـــن ) SAS's 55/ 78 ) الــوثيقتين )
SAC&COSO وثـائق ذات محتـوى ذاتـي، فـي الوقـت الــذي تعتبـر فيـه كـل مـن الــوثيقتين ) ( ( SAS's 55/ 78 مجموعـة مـن المعـايير. ان الوثـائق األربعـة تكمـل وتـدعم كجـزء مـن
بعضها البعض . ( تعتبـر مفيـدة لألطـراف SAC , COSO , and SAS's 55/ 78حيـث ان كـل مـن )
األساسـية للوثـائق األخـرى، والمشـرعين، وأصــحاب المصـالح، وآخـرين مهتمـين فـي تفهــم أو تحسين الرقابة الداخلية .
المراجع :
American Institute of Certified Public Accountants ( AICPA ).
1983. Audit Risk and Materiality in Conducting Related
Matters Noted in an Audit ( SAS 60 ) .
………………………. 1988. Consideration of the Internal
Control Structure in a Financial Statement Audit ( SAS 55 ) .
………………………. 1990 ..Consideration of the Internal
Control Structure in a Financial Statement Audit (Audit Guide
for SAS 55 .
24
………………………. 1993 . Reporting an Entity Internal
Control over Financial Reporting ( Statement on Standards for Attestation Engagement 2 ) .
………………………… 1995 ."Consideration of Internal
Control in a Financial Statement Audit Audit : An Amendment to SAS 55 " ( SAS 78 ) .
Bailey, Andrew D., Gramling, Audney A. and Ramamoonti ,
Research Opportunities in Internal Auditing, The Institute of
Internal Auditors (IIA) , 2003.
Basle Committee on Barking Supervision:
- Framework for Internal Control System in Banking Organization . WWW. Bis.org,sep. 1998 .
- Internal Audit in Banks and Supervisions Relationship with Auditors, Aug. 2001 .
- Operational Risk, WWW.BIS.org, Jan 2001 . - Risk Management for Electronic Banking and Electronic
Money Activities, WWW.BIS.org, March 1998 . Beckwith, Stephen, Internal Audit-Principles and Practice,
Training Course, Euromoney Training Centre, London 27-31 Oct 1997 .
Brooks, Keith, Operational Risk Audit, Training Course Euromoney Training Centre , London 27-30 Aug. 2002 .
Committee of Sponsoring Organizations of the Treadway
Commission ( CSOTC ) 1992. Internal Control – Integrated Framework ( COSO Report ) .
COSO :
- Internal Control – Integrated Framework, Evaluation Tools, The Institute of Internal Auditors ( IIA ), July 1994 .
- Internal Control – Integrated Framework, Framework and
Reporting to External Parties, The Institute of Internal Auditors
( IIA ) , July 1994 .
Deloitte & Touche LLp , IT Control Objectives for Sarbanes –
Oxley. New Guidence on IT Control and Compliance, 2003 . Hoffman, Thomas. IT Auditors Seek Sarb – Ox Guidence.
Computerworld : 2004, Vol. 38 Issue 15, p.8 . 1p .
Hubband, Larry , Control Self Assessment : A Practical Guide,
The Institute of Internal Auditors, 2000 .
Information Systems Audit and Control Foundation ( ISACF ).
1995. COBIT : Control Objectives for Information and Related
Technology .
25
Institute of Internal Auditors Research foundation (IIARF) .
1991 , revised 1994, Systems Auditability and control .
Lanza, Richard, The Riskiest Parts of The Business,
WWW.TheIIA.org, May 2002 .
Mc Connell, Patric and Blacker, Keith, An Approaches to Modeling Operational Risk in Banks, Working Paper Series,
Henley Management College, Green Lands, Oxan RG9, Aug 2000. Ratcliffe, Thomas A., and Paul Munter. Information Technology ,
Internal Control , and Financial Statement Audits . The CPA Journal . 2002 .
Sawyer , Lawrence B., and Mortimer A. Dittehofer , Sayer's International Auditing . The Institute of Internal Auditors . 1996 .
The Institute of Internal Auditors UK And Ireland, The Role of Internal Auditors in Risk Management, WWW.iia.org.uk .
Wade, Keith and Wyme, Ardy, Control Self Assessment for Risk
Management and Other Practical Application, 1999 .
Wade, Keith, Risk Based Auditing, Training Course, The Institute
for International and Research ( IIR ), Amman, 14-16 Dec. 2002 .
Winters, A.J, and D.M . Guy. 1992 . Internal Control :Progress
and Perils, Proceeding of the 1992 Deloitte &Touché /
University of Kansas Symposium on Auditing problems , pp. 177-191.