اذهب الي المحتوي

إطار العام لرقابة تقنية المعلومات


المشاركات الموصى بها

الإطار العام لرقابة تقنية المعلومات

مقدمة:

1/1 في السنوات الأخيرة تزايدت أهمية إستخدام تقنية المعلومات والإتصالات داخل الجهات الحكومية وبصفة خاصة عقب الإستخدام الموسع للإنترنت والانترانت داخل تلك الجهات والهيئات حيث عملت هذه التقنية على زيادة حجم البيانات والمعلومات التي يجري معالجتها ، كما أنها أثّرت بشكل عميق في مجالات الضوابط الرقابية. وتعتبر تقنية المعلومات والإتصالات هي المكون الرئيسي لإستراتيجيات عمل الجهات الحكومية والأنشطة الرئيسة في مجال معالجة البيانات، لذلك فقد إزدادت إدارة مخاطر تقنية المعلومات والإتصالات داخل تلك الجهات وأصبحت تشكل الآن جزءاً هاماً من الإشراف الحكومي . وبالتالي تعتبر الإدارة الفاعلة والمؤثرة لتقنية المعلومات والإتصالات حيوية لنجاح تلك الجهات في تحقيق أهدافها.

1/2 ومع تطور تقنية الحاسب الآلي فقد تزايد إعتماد الجهات الحكومية على أنظمة المعلومات التي تستخدم أجهزة الحاسب الآلي لأداء عملياتها التشغيلية وتقديم خدماتها ومعالجة البيانات الهامة وحفظها وإصدار التقارير بشأنها، كما اتسع أيضاً مجال اختراق أنظمة تقنية المعلومات والإتصالات وازدادت التهديدات التي يتعين مواجهتها بفاعلية وكفاءة. وبالنتيجة تعتبر سرية بيانات الحاسب الآلي وموضوعيتها وجاهزيتها ودرجة الاعتماد عليها وعلى الأجهزة التي يتم بها معالجة تلك البيانات وحفظها وإصدار التقارير بشأنها تعتبر من المخاوف الرئيسية التي ينبغي مراعاتها أثناء الرقابة، كما ويجب على مدققي تقنية المعلومات إجراء تقييم فعال وكفؤ للضوابط الرقابية لأنظمة المعلومات ولعملياتها ذات العلاقة للتأكد من أنها تعمل وفق ما هو مخطط لها.

رقابة تقنية المعلومات:

1/3 رقابة تقنية المعلومات هي " عملية تجميع وتقييم الأدلة لتحديد ما إذا كان نظام الحاسب الآلي مصمم لحفظ البيانات كاملة ولحماية الأصول بما يسمح بتحقيق أهداف الجهة بفاعلية وإستخدام الموارد بكفاءة. " ويؤدي نظام المعلومات الفاعل إلى أن تحقق الجهة أهدافها، فيما يكون نظام المعلومات الكفؤ هو الذي يستخدم الحد الأدنى من الموارد في سبيل تحقيق تلك الأهداف. وينبغي على مدققي تقنية المعلومات معرفة خصائص مستخدمي أنظمة المعلومات ومجالات إتخاذ القرار داخل الجهة الخاضعة للرقابة وذلك أثناء مرحلة تقييم فاعلية أي نظام لتقنية المعلومات.

1/4 وقد تسبب إستخدام أجهزة الحاسب ألآلي في إيجاد طرق مختلفة و بشكل جذري لتسجيل ومعالجة ومراقبة المعلومات ، كما عمل أيضا على توحيد العديد من المهام الوظيفية التي كانت منفصلة في السابق، ولذلك فقد تزايدت إحتمالات حدوث أخطاء مؤثرة ينتج عنها تكاليف فادحة للمنشأة . إذ أن الطبيعة المتكررة لعمليات الكثير من برامج الحاسب ألآلي قد تؤدي إلى حدوث خسائر فادحة.

مثلاً .. الخطأ في إحتساب ضريبة الرواتب المستحقة على الموظفين في النظام اليدوي لن يتكرر لدى كل موظف، ولكن عند إدخال بيانات بالخطأ في النظام الآلي فإن ذلك سوف يؤثر على كل الموظفين . وهنا يتحتم على المدقق أختبار العمليات الخفية في أنظمة المعلومات الآلية والتعرف على الثغرات التي يمكن من خلالها أن تزداد تكلفة الأخطاء والمخالفات التي حدثت.

1/5 وقد أضاف الإستخدام المتزايد لأجهزة الحاسب الآلي في معالجة بيانات الجهات أضاف مجالاً جديداً لمراجعة وتقييم الضوابط الرقابية الداخلية لأغراض الرقابة، وهي تعتبر ضوابط بالغة الأهمية في أنظمة تقنية المعلومات ، ومن المهم للمدقق التأكد ليس فقط من وجود وكفاية تلك الضوابط ولكن أيضاً أنها تعمل بفاعلية لضمان النتائج وتحقيق الأهداف . كما يجب أيضاً أن تكون الضوابط الرقابية الداخلية متكافئة مع المخاطر المرصودة بهدف تقليل أثر تلك المخاطر إلى المستويات المقبولة.

وينبغي على مراقبي تقنية المعلومات القيام بعمل تقييم لمدى كفاية الضوابط الداخلية لأنظمة الحاسب الآلي حتى يمكن التخفيف من مخاطر الخسائر الناجمة عن الأخطاء وحالات التلاعب والتصرفات الأخرى والكوارث و حوادث أنظمة تقنية المعلومات التي تتسبب في عدم جاهزية أنظمة الحاسبات الآلية .

الحاجة إلى رقابة تقنية المعلومات:

1/6 إن الإدارة التي تقوم بتوظيف أنظمة تقنية المعلومات لديها أهداف وتوقعات لما تنوي تحقيقه من وراء إنفاق إستثمارات باهظة على تلك التقنية . منها الرغبة في زيادة الربحية عن طريق تخفيض التكاليف و زيادة الفاعلية و تحسين الكفاءة وزيادة معدلات تقديم الخدمات. ومقابل هذه الأهداف ينبغي على مراقبي تقنية المعلومات تقديم تقاريرهم التي تؤكد ذلك. وعادة ما تتضمن أهداف ومرامي الإدارة من الإستفادة من تلك التقنية لدعم عمليات التشغيل ما يلي:

• السرية .

• التكاملية.

• الجاهزية.

• الأعتمادية.

• الإلتزام بالمتطلبات القانونية والتنظيمية.

وتدعيماً لتلك الأهداف والمرامي تنشأ الحاجة إلى توفير تقنية المعلومات والضوابط الرقابية الداعمة لها لمساعدة الجهة على تحقيق أهداف نشاطها (الفاعلية) بالإستخدام المناسب لمواردها (الكفاءة).

السرية:

1/7 تهتم السرية بالمحافظة على البيانات الحساسة وحمايتها من الإنكشاف غير المصرح به، ويجب أن يؤخذ في الإعتبار مستوى الحساسية فهي التي تحدد درجة التشديد في الضوابط الرقابية التي تحول أو تمنع الوصول إلى تلك المعلومات.

وتحتاج الإدارة إلى التأكد من قدرة الجهة في المحافظة على سرية المعلومات لأن إنتهاك هذه السرية يمكن أن يلحق ضرر بليغ بسمعة الجهة أمام كافة الأطراف وخاصة عندما تتعلق تلك البيانات بمعلومات حساسة عن العملاء.

الإعتمادية:

1/8 تشير الإعتمادية إلى " دقة وإكتمال وصحة المعلومات وفقاً لقواعد وتوقعات الجهة" وهذا هدف هام للرقابة لأن الحصول على تأكيد بذلك يطمئن كل من الإدارة والمستخدمين الخارجيين بأن المعلومات المستخرجة من أنظمة معلومات الجهة إنما هي معلومات يمكن الإعتماد عليها والوثوق بها لإتخاذ القرارات المتعلقة بالعمل.

الجاهزية :

1/9 تتعلق الجاهزية مدى توافر البيانات كما ونوعا عند إحتياج العمليات التشغيلية لها عاجلا أم آجلا. كما تهتم الجاهزية أيضاً بحماية الموارد الضرورية والإمكانيات المصاحبة لها وبالنظر لطبيعة تخزين البيانات الهامة في أنظمة الحاسب الآلي التي تتصف بمخاطر مرتفعة فإنه من المهم أن تتأكد الجهة من جاهزية البيانات التي تحتاج إليها لإتخاذ القرارات وذلك عند طلبها . وهذا يعني ضمنياً التأكد بأن لدى الجهة إجراءات إحتياطية موضوعة لضمان إستمرارية العمل وإستعادة البيانات في الوقت المناسب عند حدوث كارثة فقدان بيانات بحيث تكون البيانات جاهزة لمستخدميها وقتما وحيثما يطلبوها.

التكاملية:

1/10 تشير التكاملية إلى مستوى تناغم أحد الأنظمة أو قدرة النظام أو مكوناته على أداء الوظائف المطلوبة منه وفق شروط معينة موضوعة. وتعتبر التكاملية أحد أهداف الرقابة الهامة التي يجب التحقق منها حتى يمكن إيجاد تأكيد بأن النظام يعمل بطريقة متناغمة ويقوم بأداء وظائفه الموضوعة كما هو متوقع منه.

الإلتزام بالمتطلبات القانونية والتنظيمية :

1/11 ويعني إلتزام الجهة بالقوانين واللوائح والعقود التي تخضع لها العمليات التشغيلية، أي أن الإلتزام عبارة عن معايير خارجية مفروضة على أنشطة الجهة وتحتاج الإدارة والمساهمين الرئيسيين إلى تأكيدات بأن إجراءات الإلتزام الضرورية إنما هي مطبقة بالفعل نظراً لوجود مخاطر محتملة بأن تتعرض الجهة لغرامات وجزاءات في حالة ما إذا لم تكن هناك إجراءات قانونية وتنظيمية مطبقة بها.

معايير رقابة تقنية المعلومات:

1/12 من المتعارف عليه بشكل واسع أن الطبيعة المتخصصة لرقابة تقنية المعلومات والخبرات اللازمة لأدائها إنما تتطلب معايير تنطبق تحديداً على تلك العمليات الرقابية. وإستجابة لهذه المتطلبات فقد قامت العديد من الهيئات المهنية والحكومية بتطوير وتطبيق معايير وإرشادات ُتستخدم في رقابة تقنية المعلومات.

1/13 توفر المعايير المهنية إطاراً لعمليات الرقابة وللمدققين ، كما وتحدد المتطلبات الإلزامية للرقابة ، وهي تبين بشكل عام مسئوليات المدققين لضمان أن تتوافر لديهم الكفاءة والنزاهه والموضوعية والإستقلالية عند قيامهم بتخطيط وأداء أعمالهم وإعداد تقاريرهم. وتقوم الإرشادات المؤيدة للمعايير المهنية بمساعدة المدققين على تطبيق المعايير وتوفر لهم الأمثلة التي يتبعها مدققو تقنية المعلومات لإستيفاء تلك المعايير.

1/14 وبالإضافة إلى معايير رقابة تقنية المعلومات فإنه يتعين على المدققين أن يكونوا على علم بالقوانين واللوائح والمصادر القانونية الأخرى التي قد تؤثر على أدائهم لعمليات الرقابة . مثلاً .. القوانين واللوائح المحلية يتعين أخذها بالإعتبار عند تخطيط وأداء عمليات رقابة تقنية المعلومات.

1/15 عند تحديد الجوانب التي ينبغي تناولها عند مراجعة أية ضوابط رقابية لتقنية المعلومات فإنه يجب على المدقق دراسة الموضوعات المتعلقة بسرية البيانات الآلية وتكاملها وجاهزيتها ودرجة الاعتماد عليها، ويجب أن تسترشد أعمال الرقابة التي تقوم بها الأجهزة الرقابية العليا بالمعايير الدولية وبمعايير رقابة تقنية المعلومات المحلية والإقليمية وهذه تشمل معايير الرقابة الصادرة عن الانتوساي وتلك الصادرة عن الإتحاد الدولي للمحاسبين وكذلك المعايير الدولية الصادرة عن الهيئات المهنية لرقابة تقنية المعلومات مثل هيئة المحاسبة والمراجعة لدول مجلس التعاون لدول الخليج العربية وجمعية تدقيق ورقابة أنظمة المعلومات ومعهد المدققين الداخليين وأيضاً معايير الرقابة المحلية الصادرة عن أجهزة الرقابة العليا للدول الأعضاء. كما وينبغي على مدققي تقنية المعلومات أن يكونوا ملمين بتلك المعايير قبل بدء عمليات الرقابة.

1/16 يمكن الرجوع إلى بعض المعايير الهامة لرقابة تقنية المعلومات بالمرفق 1.1 .

أهداف رقابة تقنية المعلومات:

1/17 الهدف من رقابة تقنية المعلومات هو فحص و تقييم أنظمة المعلومات التي تستخدم الحاسب الآلي لدى الجهة للتحقق من أن تلك الأنظمة تقوم باستخراج مختلف التقارير المطلوبة كاملة وفي الوقت المحدد وبدقة وأنها تقارير يمكن الاعتماد عليها وأيضاً ضمان سرية تلك البيانات وتكاملها وجاهزيتها وإعتماديتها والتزامها بالمتطلبات القانونية والتنظيمية. وتتباين أهداف الرقابة طبقاً لطبيعتها إذ تختلف رقابة القوائم المالية عن رقابة الأداء. مثال ذلك لو كانت عملية الرقابة تقوم بالتركيز على الجوانب المالية لأصبح الهدف الرئيسي هو إبداء الرأي حول ما إذا كانت تلك القوائم المالية تعكس صورة صادقة وعادلة عن المركز المالي للجهة.

1/18 وتتضمن أهداف رقابة تقنية المعلومات باعتبارها أحد عناصر رقابة القوائم المالية:

• استيعاب مدى رشد الإدارة في الإنفاق على استخدام تقنية المعلومات لتحسين عملياتها التشغيلية الرئيسية.

• استيعاب آثار انتشار تقنية المعلومات على الأنشطة الرئيسية للجهة بما في ذلك تطوير طرق إعداد القوائم الماليـة و المخاطر الملازمة للتشغيل.

• التعرف على الضوابط الرقابية التي تستخدمها الإدارة واستيعابها بهدف تقييم عمليات تقنية المعلومات وكيفية إدارتها ورقابتها.

• إبداء الرأي حول مدى كفاءة الضوابط الرقابية المطبقة في عمليات تقنية المعلومات والتي لها تأثير مباشر وهام على معالجة البيانات المالية.

1/19 عندما تكون رقابة تقنية المعلومات جزءا من رقابة الأداء ففي هذه الحالة تتحدد أهداف رقابة الأداء - بدرجة أكبر – بالدور الذي تلعبه تقنية المعلومات في الجهة.

• لو ركزت رقابة الأداء على تقنية المعلومات، فإن الهدف سيكون التأكد من أن كافة جوانب أنظمة تقنية المعلومات مطبقة بكفاءة وفاعلية بما في ذلك الضوابط الرقابية اللازمة.

• وبشكل آخر يمكن لرقابة الأداء أن تفحص فاعلية و كفاءة عمليات التشغيل و البرامج الحكومية وبالتالي فان رقابة تقنية المعلومات مرتبطة برقابة الأداء بسبب إعتماد الخدمات التي تقدمها الجهة على تقنية المعلومات حيث أن الهدف من رقابة تقنية المعلومات هو التأكد من أن أنظمتها يمكن الاعتماد عليها في تحقيق تلك الفاعلية .ويتم ذلك هنا من خلال قياس قدرة الجهة من منظور غير تقني على تقديم تلك الخدمات بكفاءة وفاعلية.

بيئة تقنية المعلومات:

1/20 من الضروري للمدقق أن يستوعب بشكل كامل بيئة تقنية المعلومات التي تعمل فيها أنظمة الاتصالات والمعلومات حتى يكون قادراً على إبداء رأي فني حول مدى كفاءة تلك الأنظمة ومن ثم توفير ضمان معقول للإدارة بشأن تحقق أهدافها، وهذا يحدد في النهاية طبيعة ونطاق الرقابة المطلوب القيام بها، كما يضمن أيضاً تركيز المدقق على إعمال تلك الأنظمة في مختلف جوانبها ليكون أساساً يستطيع بموجبة إجراء تقيمه النهائي لبيئة تقنية المعلومات.

1/21 وبالنظر إلى التعقيدات الموجودة في الأنظمة العملاقة للمعلومات والمهام الضخمة لفحص وتقييم كافة عمليات معالجة البيانات فإنه من المناسب فحص أنظمة الاتصالات والمعلومات من وجهات نظر مختلفة مما يعمل على تضييق نطاق الرقابة وبالتالي يسمح للمدقق بالتركيز على الجوانب المختلفة من النظام التي تفرض مخاطر كبيرة تؤثر على أهداف الإدارة بسبب تشغيل تلك الإنظمة . ويبين الشكل التالي منظومة بيئة رقابة تقنية المعلومات والتفاعل بين مختلف عناصرها.

بيئــة رقابـــة تقنيــــــة المعلـــــومات

ت

الضوابط الرقابية لتقنية المعلومات:

1/22 يستخدم مجلس إدارة الجهة والإدارة التنفيذية وبقية المختصين ضوابط تقنية المعلومات لتوفر تأكيد معقول بشأن إنجاز أهداف الجهة ,وهي ضوابط مصممة وفقاً للفئات التالية:

• فاعلية وكفاءة العمليات التشغيلية.

• إعتمادية التقارير المالية.

• الالتزام بالقوانين واللوائح السارية.

1/23 تتضمن ضوابط تقنية المعلومات كافة الوسائل اليدوية والآلية والسياسات والإجراءات التي تضمن حماية أصول الجهة ودقة وإعتمادية سجلاتها وإلتزام العمليات التشغيلية بالمبادئ الإدارية.

1/24 وتعتمد منهجية رقابة تقنية المعلومات لدى الأسوساي على مسار تنازلي لرصد المخاطر عند تقييم الضوابط وتبين الخطوات التالية فكرة عامة عن المهام المتعلقة برقابة ضوابط تقنية المعلومات.

المرحلة البيان

التخطيط وتعمل هذه المرحلة على تسهيل (عمل مدقق تقنية المعلومات في إستيعابه لماهية الجهة وهيكلها التنظيمي وعملياتها التشغيلية، كما يستوعب المدقق في هذه المرحلة عمليات الحاسب الآلي بالجهة من منظور مخاطر تقنية المعلومات. ومن هذا الاستيعاب يستطيع المدقق إجراء تقييم عام لبيئة الضوابط الرقابية لتقنية المعلومات وتقييم مدى المخاطر، وسوف تبين نتائج هذا التقييم مدى الحاجة إلى توسعة إجراءات الرقابة التي تطبق في المراحل اللاحقة.

التحقق والاختبار

أثناء هذه المرحلة من الرقابة يحصل المدقق على معلومات تفصيلية حول السياسات الرقابية والإجراءات والأهداف , ويقوم بعمل اختبارات للأنشطة الرقابية وهي اختبارات تهدف إلى تحديد ما إذا كانت تلك الضوابط تعمل بفاعلية أم غير ذلك. كما ويجب أن تكون الضوابط العامة وتلك التطبيقية فاعلة لضمان سرية وتكامل وجاهزية وإعتمادية البيانات الحساسة التي جرت معالجتها بإستخدم الحاسب الآلي.

مرحلة إعداد التقرير وفي هذه وفي هذه المرحلة يستخلص المدقق النتائج ويقوم بتوثيقها وإعداد التقرير النهائي الذي يتناول أهداف الرقابة التي قام بها ونطاقها والمنهجية التي اتبعها وملاحظاته والنتائج والتوصيات.

1/25 مكونات الضوابط الرقابية الموجودة في الأنظمة اليدوية مازال يتعين وجودها في بيئة أنظمة الاتصالات والمعلومات. ومع ذلك فإن استخدام أجهزة الحاسب الآلي يؤثر على تطبيق تلك المكونات من عدة جوانب. وُتستخدم ضوابط تقنية المعلومات لتخفيف أثر المخاطر الملازمة لبيئة تقنية المعلومات ولأنظمة البرامج ، كما تعتبر تلك الضوابط جزءاً من مجمل عملية الرقابة الداخلية لأي جهة . وهي ضوابط يتم تصنيفها بشكل عام إلى الفئات الثلاث التالية:

• ضوابط عامة.

• ضوابط البرامج .

• ضوابط خاصة.

الضوابط العامة:

1/26 وتتضمن ضوابط على العمليات التشغيلية لمراكز البيانات وشراء وتطوير وصيانة برامج الأنظمة وأمن الوصول للبيانات وهي ضوابط تعمل على إنشاء بيئة تعمل فيها الأنظمة وضوابط التشغيل، مثال ذلك سياسات تقنية المعلومات ومعايير وإرشادات أمن تقنية المعلومات وحماية البيانات و تطوير البرامج و تغيير الضوابط و الفصل بين المهام الوظيفية و خطط إستمرارية الأنشطة وإدارة مشروعات تقنية المعلومات...إلخ.

1/27 تهتم الضوابط العامة لتقنية المعلومات بالبنية الأساسية لتلك التقنية داخل الجهة بما في ذلك أية سياسات واجراءات وممارسات متعلقة بها. وهي ليست ضوابط مخصصة تحديداً لأنسياب معاملات فردية أو مجموعة محاسبية معينة أو برامج مالية محددة. وفي معظم الحالات فإن عناصر الضوابط العامة لعمليات رقابة تقنية المعلومات تقوم بالتركيز على دائرة تقنية المعلومات أو ما يماثلها داخل الجهات. وتشمل فئات الضوابط العامة:

• التنظيم والإدارة (سياسات ومعايير تقنية المعلومات).

• ضوابط تشغيل تقنية المعلومات.

• الضوابط الفعلية لبيئة التشغيل و الوصول للبيانات.

• ضوابط الوصول المنطقي.

• ضوابط شراء وتغيير البرامج.

• ضوابط استمرارية العمل واستعادة البيانات بعد الكوارث.

ضوابط البرامج:

1/28 تتعلق تلك الضوابط ببرامج خاصة بالحاسب الآلي حيث تساعد على ضمان التصريح الملائم للموظفين بالوصول إلى قواعد البيانات أو إجراء المعاملات وإكتمال ودقة وصحة المعاملات، كما تساعد أيضا على ضمان حفظ أنواع أخرى من البيانات المدخلة. ومثال على تلك الضوابط قوائم خيارات لا يمكن تغييرها بمعرفة المستخدمين وذلك للحيلولة دون تعديل البيانات الصحيحة ، ومنها أيضًا ضوابط حاسبات آلية تُجبر المستخدمين على إتباع إجراءات معينة موصوفة بأنظمة الحاسب الآلي بالجهة وذلك لمنع المستخدمين من القيام بمعاملات ليست جزءاً من مهامهم الوظيفية الاعتيادية، هذا فضلاً عن إخراج تقارير تفصيلية ومجاميع رقيبة للمعاملات بحيث يمكن لمختلف الوحدات بالجهة أن تطابق تلك التقارير مع بياناتها المصدرية للتأكد من ترحيل جميع المعاملات بالكامل وبدقة.

1/29 وتتفرد ضوابط البرامج بإن لكل برنامج ضوابطه الخاصة به وبالتالي فإن لها تأثير مباشر على معالجة مختلف أنواع المعاملات. وُتستخدم هذه الضوابط أساساً للإدارة للتأكد من صحة واكتمال كافة المعاملات وإنه تم التصريح بها وتسجيلها.

1/30 لكي يحصل المدقق على تأكيد بشأن دقة رصيد أحد الحسابات فإنه يلجأ إلى إختبار تلك الضوابط , نظراً لإرتباطها بشكل وثيق بالمعاملات المستقلة. مثلاً : إختبار ضوابط برنامج الرواتب يوفر تأكيداً عن رقم الرواتب المدفوعة بحسابات الجهة. ومن الواضح أن اختبار الضوابط العامة لتقنية المعلومات بالجهة مثل تغيير إجراءات الضوابط لن يوفر مستوى مماثل من التأكيد لنفس رصيد حساب الرواتب.

1/31 ونظرا لإرتباط ضوابط البرامج بتدفق المعاملات فإنها تشمل عادة :

• ضوابط إدخال المعاملات

• ضوابط المعالجة

• ضوابط المخرجات

• ضوابط البيانات القائمة والملفات الرئيسية

1/32 إن الكثير من ضوابط البرامج هي ببساطة نسخة آلية عن الضوابط اليدوية. مثال ذلك : التصريح الآلي لأحد المشرفين لاستخدام رقم سري بدلاً من التوقيع التقليدي.

الضوابط الخاصة:

1/33 وهي ضوابط خاصة بالجوانب التالية :

• ضوابط الشبكات والإنترنت والمخاطر المصاحبة لهما.

• ضوابط مستخدمي أجهزة الحاسب الآلي والمخاطر المصاحبة لها.

• الحكومة الالكترونية.

• السياسات الأمنية لتقنية المعلومات.

• سياسات الإستعانة بالاطراف الخارجية.

تنفيذ رقابة تقنية المعلومات:

1/34 تعتبر رقابة تقنية المعلومات أحد أنواع الرقابة ولذلك فإنه من المهم فهم مختلف أنواع رقابة تقنية المعلومات التي يمكن ممارستها، وهو فهم ضروري لتطوير برامج و إجراءات الرقابة بشكل مناسب و تطبيقها بما يحقق في النهاية الأهداف الخاصة بالرقابة . وهذا يعني تجميع وتحليل الأدلة في بيئة تقنية المعلومات لاستخلاص النتائج ومقارنتها بأهداف الرقابة المحددة مسبقاً.

1/35 ويمكن تطبيق رقابة تقنية المعلومات عند القيام بالرقابة المالية التقليدية، ورقابة الأداء ورقابة تطوير أنظمة المعلومات.

الرقابة المالية:

مقدمة:

1/36 إن الغرض من الرقابة المالية هو إبداء الرأي حول القوائم المالية لوحدات القطاع العام، كما إن الهدف العام لعنصر تقنية المعلومات في الرقابة المالية هو تقييم ضوابط تقنية المعلومات التي تدعم معالجة السجلات المالية لتعزيز مبدأ الاعتمادية إعتمادية.

التخطيط:

1/37 عند القيام بإحدى عمليات رقابة تقنية المعلومات باعتبارها جزء من عملية رقابة مالية، فإن طريقة الرقابة يجب أن تعمل على كشف المخاطر. وتوجد أربعة إجراءات يجب التخطيط لها عند تطوير أساليب الرقابة حتى يمكن إبداء الرأي حول فاعلية ضوابط عمليات تقنية المعلومات ذات الأثر المباشر على معالجة البيانات المالية:

• تحديد نطاق التحليل لعمليات تقنية المعلومات وذلك بالتعرف على كيفية دعمها للأنشطة الهامة بالجهة ولمعالجة البيانات المالية.

• الحصول على معلومات عن بيئة تقنية المعلومات لدى الجهة بما في ذلك معلومات عن عمليات التشغيل الهامة والبرامج الداعمة لها والمنصات التي تعمل بها والشبكات المرتبطة بها.

• الإستيعاب التفصيلي لعمليات تقنية المعلومات ذات الأثر المباشر والهام على معالجة البيانات المالية لتعزيز فهمنا حول تصميم تلك العمليات وضوابطها.

• بناءً على فهمنا لعمليات تقنية المعلومات يتم تقييم فاعلية تصميم كل عملية وضوابط الرقابة الداخلية المرتبطة بها. وإذا لم يتم ذلك التقييم على مستوى تشغيلي أعلى فانه يتعين فهم تلك العمليات على مستوى تشغيلي أدنى وتقييم فاعلية تصميم تلك العمليات الفرعية. أما عمليات تقنية المعلومات التي ليس لها أثر مباشر وهام على معالجة البيانات – إن وجدت- فانه يتم اتخاذ قرار بشأن الإجراءات الإضافية التي يتعين القيام بها.

التبليغ :

1/38 إن الالتزام بتبليغ القوائم المالية يعتمد وبشكل كبير على المتطلبات الخاصة لكل جهاز رقابي وفقاً للقوانين والمعايير المطبقة في كل دولة.

1/39 ومع تباين الإجراءات بين مختلف الأجهزة الرقابية ، فان الأشكال الشائعة لتقارير الرقابة هي كما يلي:

الغــــرض نوع التقرير

تقرير إلى إدارة الجهة الخاضعة للرقابة للاستفسار ( حول موضوعات معينة أثيرت أثناء الرقابة) مع ذكر الملاحظات التفصيلية حول الرقابة الداخلية والتوصيات عليها. كتاب للإدارة

تقرير إلى إدارة الجهة الخاضعة للرقابة للحصول على تأكيد منها على التقرير وهو يلخص ملاحظات فحص الضوابط الرقابية ويقوم بتعريف الإدارة لجوانب التحسين الممكنة. تقرير الرقابة

ويصدر إلى أعلى سلطة مثل البرلمان و الملك و الرئيس ... الخ حسب ما تنص عليه قوانين الأجهزة الرقابية ، وهو ملخص لأهم الملاحظات التي أسفر عنها رقابة الجهات الخاضعة ونتائجها. التقرير السنوي

مخاطر الرقابة:

1/40 ينبغي على مدققي تقنية المعلومات – عند قيامهم بإحدى عمليات رقابة تقنية المعلومات لأغراض الرقابة المالية – الانتباه الى عدد من المخاطر التي تواجهها الجهة إذ عند إتباع المدققين لطريقة كشف المخاطر فان عليهم التركيز على النواحي التي تعرض الجهة لأكبر المخاطر وهي عدم عرض القوائم المالية بصورة عادلة وصادقة.

1/41 ينبغي على مدققي تقنية المعلومات الانتباه إلى النواحي الشائعة التالية والتي تشكل مخاطر محتملة في بيئة الحاسب الآلي:

• قيام الجهة بتطوير وتشغيل برامجها ألآلية الخاصة بها بدلاً من لجوئها لبرامج من الخارج واستخدامها لمجموعات برامج مختصصة في الأغراض الصناعية والمالية.

• قد تؤثر الجوانب المتعلقة بنشاط الجهة أو بيئتها الداخلية على تطوير وتطبيق ضوابطها الداخلية . مثلاً .. قد يؤدي ضغط المنافسة لإدخال تبادل البيانات آليا بالجهة إلى أن تقوم بإستخدام نظام للإتصالات والمعلومات تكون الرقابة عليه غير كافية أو لا يعمل وفقاً للمواصفات.

• لدى المستخدمين صلاحيات أو يمكنهم منح صلاحيات للحصول إلى وظائف تشغيل آلية أو بيانات محددة بعينها.

• قد تؤثر ضوابط أنظمة الإتصالات والمعلومات المنتشرة على إعتماد كافة برامج الأنظمة التي يتم تشغيلها على أجهزة الحاسب الآلي( مثل تطوير النظم وصيانة البرامج والرقابة على وصول المستخدمين إلى الوظائف الحساسة بالحاسب ألآلي) . ويتوقف تأثير تلك الضوابط على مدى تطبيقها لبرامج معينة ومدى ملائمة جودة الضوابط لمستوى المخاطر المصاحبة لتلك البرامج.

• مدى ملائمة طبيعة وكمية المستندات المتعلقة بأنظمة الاتصالات والمعلومات على ضوء تعقيدات تلك الأنظمة والمخاطر المصاحبة بها.

• عوامل تؤثر على جودة أدلة الرقابة المتوافرة مثل البيئة الآلية والتي قد تَزيد من احتمالات عدم اكتمال أدلة الرقابة وعدم الوثوق بها وصعوبة الحصول عليها.

• تحديد المخاطر التي تلازم بعض بيئات أنظمة تقنية المعلومات مثل .. أنظمة تحويل الأموال آليا حيث تزداد فيها مخاطر الانحرافات.

• إستخراج معلومات مالية بغرض التلاعب بها من قبل المستخدمين الممنوح لهم صلاحية الدخول لتلك البيانات.

• افتقاد المستخدمين للوقت والانضباط و الدراية لمراقبة نتائج التشغيل بكفاءة.

رقابة الأداء :

مقدمة :

1/42 الغرض من رقابة الأداء هو تقييم جدوى وكفاءة وفاعلية الإدارة في وحدات القطاع العام، كما أنها تعزز المسؤولية العامة وتساعد على إحكام الأشراف الحكومي.

1/43 يمكن لرقابة تقنية المعلومات أن تلعب دوراً من أثنين عند القيام برقابة الأداء. ففي الدور الأول، حيث تكون تقنية المعلومات هي المحور الرئيسي للرقابة، تتضمن أهداف الرقابة فحص نظام تقنية المعلومات وأداء الجهة ومقارنة ذلك بمستويات قياسية اختبارية. أما في الدور الثاني, وبإعتبار أن رقابة تقنية المعلومات هي عنصر من عناصر رقابة الأداء، فانه يمكنها البحث لدعم أعمال رقابة الأداء الذي يركز بدوره على فعالية وكفاءة أنشطة الجهة والبرامج الحكومية. وتلعب تقنية المعلومات دوراً هاماً في عمليات الرقابة تلك حيث يُعتمد عادة على أنظمة تقنية المعلومات للمساعدة في تقديم الخدمات المتعلقة بالفحص أثناء القيام بأعمال الرقابة. ولذلك يتعين على مدقق تقنية المعلومات تقييم أثر تلك التقنية على الأنشطة والخدمات والبرامج الحكومية.

الأهداف:

1/44 بشكل عام يعتبر الهدف من رقابة الأداء هو تحسين إدارة وحدات القطاع العام وتوكيد جودة إدارة الموارد العامة. لذلك فان رقابة الأداء تؤدي إلى إشراف أفضل و تحسين الجدوى الاقتصادية و الحصول على الموارد بأقل تكلفة ممكنة وتحسين كفاءة إنجاز أهداف برامج القطاع العام بفاعلية و تقديم الخدمات بجودة عالية وتحسين خطط الإدارة والرقابة عليها.

التخطيط:

1/45 يتم عادة إختيار موضوعات الرقابة على أساسين : الأول التركيز على عمليات الرقابة المتوقع منها أن تضيف أقصى قيمة من حيث تحسين الإشراف والجدوى والفعالية والكفاءة , والثاني ضمان أن تتناول الرقابة بشكل مناسب أنشطة البرامج في حدود مصادر الرقابة المتاحة.

1/46 يؤدي تحليل مخاطر الأداء الضعيف – أو بتعبير أخر مخاطر عدم كفاية الجدوى والفاعلية والكفاءة – إلى قائمة بموضوعات الرقابة المتوقعة, وهي قائمة قد تفيد في ترتيب تلك الموضوعات حسب أولياتها وفق المعايير التالية:

• الأثر التقديري العام للرقابة .

• الأهمية المالية.

• مخاطر الوصول لإدارة جيدة.

• أهمية التحليل لبرامج أنشطة الجهة الخاضعة.

• إنعكاس السياسة والبعد الوطني على جدوى البرامج والانشطة.

• عدد مرات عمليات الفحص الداخلي والخارجي.

1/47 بعد إختيار موضوع الرقابة فإنه يجب التخطيط لها بفاعلية لضمان تحقيق أهدافها. لذلك ينبغي على مدقق تقنية المعلومات أن يأخذ في اعتباره الجوانب الهامة التالية عند التخطيط لأعمال الرقابة:

• أن يكون على دراية كافية بالنشاط حتى يتمكن من تحديد واستيعاب الأحداث و المعاملات والممارسات التي – في تقدير المدقق- قد يكون لها تأثير كبير على الأداء والمعلومات و سير ألاعمال والتقرير.

• تحديد أو تقييم أهداف الرقابة.

• تحديد أو تقييم نطاق الرقابة.

• تحديد المعايير المناسبة حتى يتمكن المدقق من تقييم الموضوعات قيد الرقابة.

• إعداد وتوثيق خطة الفحص مبيناً فيها النطاق المتوقع والتنفيذ ,إذ أن خطة الرقابة توضح طبيعة وتوقيت ومدى إجراءات الرقابة المخططة والمطلوبة لتنفيذ خطة الفحص.

• تقييم مدى كفاية خبرات و تأهيل ودراية المدققين، وما إذا كان ضرورياً توافر خبرات متخصصة في جوانب رقابة معينة’ وتكليف خبراء أو الاستعانة بأخصائيين ضمن أفراد فريق الرقابة.

التقرير:

1/48 يجب ان تصدر تقارير رقابة الأداء في أوقاتها المحددة وان تكون نتائجها موضوعية، كما يتم فيه إبداء الرأي بوضوح حول تلك النتائج أخذاً في الاعتبار الملابسات المحيطة بها، وعند تناول نتائج هامة فانه يجب شرحها بشكل منطقي. ولزيادة الآثار الايجابية لتقارير الرقابة حول تحسين إدارة وحدات القطاع العام فانه يجب الانتباه إلى دقة التقارير واكتمالها وسهوله فهمها وإعتدالها والقدرة على تفنيد أية ردود قد تأتي عليها.

1/49 يجب إظهار النتائج الهامة والتوصيات عليها في ملخص التقرير’ كما ينبغي أن يقوم المدقق بمراجعة وتقييم النتائج المستخلصة من أدلة الرقابة التي حصل عليها والتي تمثل أساس إعداد التقرير.

1/50 تتباين تقارير رقابة الأداء طبقاً لاختلاف قوانين الرقابة في مختلف الدول ونطاق ودرجة تعقيد عملية الرقابة والملاحظات الناتجة عنها. وعادة ما تحدد قوانين رقابة الأداء – سواء الموضوعة تشريعياً أو الصادر بها توجيهات خاصة من الجهة الحاكمة – عادة ما تحدد الحد الأدنى من متطلبات الرقابة والتقرير لرقابة الأداء.

1/51 عندما تكون رقابة تقنية المعلومات جزءاً من رقابة الأداء فقد يتعين على المدقق أن يقدم تقرير داخلي إلى فريق رقابة الأداء حول مدى إعتماد الفريق على أنظمة تقنية المعلومات لبقية جوانب الرقابة الأخرى. بالإضافة إلى ذلك فإن مدقق تنقية المعلومات قد يكون مسئولا عن الجزء المتعلق بتقنية المعلومات رغم عدم مسئوليته عن التقرير النهائي.

مخاطر الرقابة:

1/52 عند القيام برقابة الأداء فان المخاطر الكبيرة تتمركز على متانة عملية التخطيط. إذ ينبغي على المدقق أن يستوعب بشكل كامل برنامج الفحص أو الموضوع الذي يجب رقابته للتأكد من أن الرقابة تتم بطريقة فاعلة وكفؤة.

كما ينبغي على المدقق أن يحدد معايير رقابة ذات صلة حتى يمكن تقييم الموضوعات الخاضعة للرقابة.

1/53 إن دراسة المدقق لطبيعة الجهة يعتبر جزءا متواصلا من عملية الرقابة. وعادة ما يبدأ المدقق باستيعاب خطة الفحص بشكل عام، ومن ثم يقوم بتطوير وتعزيز هذا الاستيعاب أثناء تصميم خطة الفحص وعمل أية دراسات أولية وميدانية.

1/54 عند تخطيط إحدى عمليات الرقابة فإنه ينبغي وضع معايير رقابة تكون مقبولة ويمكن القيام بها وتقييم أنشطة الرقابة بالمقارنة مع تلك المعايير. ولأجل التأكد من التوصل إلى نتائج مناسبة حول العمليات التشغيلية بالوحدة فانه ينبغي ان تكون تلك المعايير ذات صلة بموضوعات الرقابة وتتلائم مع الظروف المحيطة .

لذلك من الضروري مناقشة معايير الرقابة والاتفاق بشأنها مع الجهة قبل بدء الفحص حتى لا تكون الملاحظات خارج نطاق الرقابة. وتعكس معايير الرقابة النموذج الرقابي المرغوب ، وهى معايير تعتبر ممارسة جيدة وتوقع لما ينبغي أن يكون.

رقابة تطوير أنظمة المعلومات:

1/55 إن الرقابة على عمليات تطوير أنظمة المعلومات هو لتأكيد رقابة كافية على تلك العمليات بدءاً من الأفكار أو الاقتراحات الأولية و وصولاً إلى قبول نظام تشغيلي كامل وُمرضي .

1/56 ورغم أن مدقق تقنية المعلومات قد لا يكون مبرمج في تقنية المعلومات أو فني في هذا المجال إلا أن إسهام المدقق يضمن بشكل عام ما يلي :

• تحديد وتطوير الضوابط في النظام الجديد.

• توافر ضوابط إدارة مشروعات تطوير تقنية المعلومات وِإتسام قراراتها بالشفافية.

• وضع معايير محددة مسبقاً وإتباعها.

• منطقية وجدوى مواصفات التطوير.

• أخذ التطورات التقنية المستقبلية بعين الاعتبار.

• متانة وإعتمادية الأنظمة وتحصينها ضد التداخل غير المرغوب فيه وقابليتها للرقابة.

• أهداف التطوير واضحة ويمكن تحقيقها.

1/57 وتعتبر كفاءة الأنظمة من الأمور الهامة لإمكانيات أي نظام بما يؤدي إلى إستخدام الموارد بفاعلية, والعامل الرئيس لتحقيق ذلك هو وضع نظام رقابي للحيلولة دون زيادة التكاليف وعدم توقف الأنظمة عن أداء وظائفها كما ينبغي.

1/58 ويستحسن أن يقوم المدقق عند أدائه لرقابة تقنية المعلومات بإستيعاب الخطوات المفصّلة في الإرشادات المعتمدة من منظمة الاسوساي .

رابط هذا التعليق
شارك على مواقع اخرى

انشئ حساب جديد او قم بتسجيل دخولك لتتمكن من اضافه تعليق جديد

يجب ان تكون عضوا لدينا لتتمكن من التعليق

انشئ حساب جديد

سجل حسابك الجديد لدينا في الموقع بمنتهي السهوله .

سجل حساب جديد

تسجيل دخول

هل تمتلك حساب بالفعل ؟ سجل دخولك من هنا.

سجل دخولك الان
×
×
  • اضف...