ورقة عمل مقدمة من الدكتور خلف الوردات بؤتمر التدقيق الداخلي 2014 دبي
تدقيق نظم المعلومات Information Systems
يقصد بالتدقيق الالكتروني "عملية تطبيق اي نوع من الانظمة بأستخدام تكنولوجيا المعلومات لمساعدة المدقق في التخطيط والرقابة وتوثيق اعمال التدقيق" . فالتدقيق في بيئة المعالجة المحوسبة للمعلومات والبيانات المالية, جمع وتقييم وتحديد فيما إذا كان استخدام الحاسوب ونظام المعالجة الآلية يساهم في حماية المنشأة ويؤكد سلامة المخرجات في هذا النظام وفي تحقيق الأهداف الموضوعة بفاعلية والتأكد بان الموارد المتوفرة في المنشأة تستخدم بكفاءة ومن هنا فان عملية التدقيق هي عملية منظمة للحصول على ادلة بصورة موضوعية من اجل التحقيق من مدى المطابقة ، ويجب على المدقق أن يبلغ كلاً من الإدارة العليا للمنشأة ومجلس إدارتها بأي مواطن ضعف جوهرية في نظم الرقابة الداخلية أثناء عمليات الفحص والتي لم يتم معالجتها ، أو تصحيحها ويفضل أن تتسم الاتصالات بين المدقق والمنشأة محل التدقيق في صورة تقرير مكتوب، حتى يمكن تفادي احتمال سوء الفهم.
إن تدقيق عمليـات وبيانات الحاسـب الآلي ونظام المعلومات المسـتخدم في المؤسـسـات يعتبر من المهام الأسـاسـية في التدقيق المـالي ، وفي تدقيق الإلتزام، وتدقيق العمليـات. وممـا يزيد من أهميـة وضرورة تدقيق عمليـات وبيانات الحاسـب الآلي ونظام المعلومات هو زيـادة إعتمـاد المؤسـسـات والشـركات على أنظمة المعلومـات الإلكترونيـة في أداء وتلبية حاجة أعمالهـا . إضـافة الى الدور الرئيسـي والأهم والذي تلعبه أنظمة المعلومات الإلكترونيـة في أداء المهام اليومية وفي إعداد التقـارير التي يعتمـد عليهـا المدراء في إتخاذ قراراتهم. أن الهدف من تدقيق نظم المعلومات "هو التحقق من امن وسلامة المعلومات لاعطاء التقارير المالية والتشغيلية في الوقت المناسب وصحيحة وكاملة ومفيدة".
او” هي عملية جمع وتقييم لتحديد ما إذا كان استخدام الكمبيوتر يساهم في حماية أصول المنشأة، ويؤيد سلامة بياناتها، ويحقق أهدافها بفعالية، ويستخدم مواردها بكفاءة " (1).
وبالرغم من تغير البيئة التي يعمل فيها المدقق من المعالجة اليدوية إلى المعالجة الالكترونية فإن أهداف التدقيق تبقى كما هي، ولكن أساليب التدقيق وإجراءاتها هي التي تحتاج إلى تعديلات أساسية وصولا الى تحقيق أهداف التدقيق .
حيث أن المدقق وفي ظل هذا النظام التشغيلي يجب أن يركز على فحص وتقييم نظام الرقابة الداخلية، على أساس أن هذه المهمة تحدد نطاق التدقيق التي تشمل العناصر التالية:<!--
- فحص وتدقيق نظام إدخال البيانات للحاسب الآلي؛
- فحص وتدقيق إعداد البيانات بالحاسوب؛
- فحص وتدقيق النتائج.
مدى الحاجة إلى تدقيق خاص للتطبيقات الالكترونية
على الرغم من الاتفاق في الأهداف بين التدقيق اليدوية والتدقيق الالكترونية إلا أنه يوجد العديد من الاختلافات بينهم، ولذلك فإن الأمر يتطلب وجود مراجعة خاصة للتطبيقات الالكترونية
وبالتالي سيتم الوقوف على أهم التغيرات التي تتخلل التدقيق في ظل بيئة المعالجة الالكترونية للبيانات كمايلي:
<!--تركيز العمليات
تعتمد النظم الاليكترونية – خاصة انظمة التبادل الإليكتروني للبيانات على الرقابة الاليكترونية ، والتقليل من الاعمال الانسانية بقدر الامكان ، وعادة ما تكون دورة العمل في مثل هذه الانظمة مضغوطة ، ويتم فيها تركيز اعمال الرقابة في يد افراد قلائل ، يتم التقليل من الاعتماد على مبدأ تقسيم العمل الذى هو اساس الضبط الداخلي ، فالوظائف التي كانت تؤدى يدويا بواسطة اقسام مختلفة داخل المنشأة وبواسطة افراد مختلفين ومستقلين اصبحت تُؤدى باستخدام الحاسب ، مما يعطى للعاملين به امكانية الاطلاع على كافة نواحي تسجيل وتشغيل وحفظ البيانات. وهذا يؤدى إلى زيادة احتمالات حدوث الاخطاء والغش ، حيث يمكن لشخص واحد داخل او خارج النظام ان ينشئ صفقة وهمية ، او يؤثر في بيانات صفقة فعلية بالتعديل فيها او حذفها دون ان يترك اثرا ملموسا يمكن من خلاله فحص واكتشاف هذه الاخطاء.
<!--فقدان الّتوثيق
في بعض انظمة التشغيل الإليكتروني للبيانات يقوم الموظف بادخال بيانات المبيعات مباشرة الى الحاسب الآلي دون الاعتماد على امر البيع التقليدي الذى يتم اعداده في النظم اليدوي وتظهر هذه المشكلة اكثر في نظم التبادل الإليكتروني للبيانات نتيجة لعدم وجود كثير من المستندات الورقية التي تدعيم وتؤيد العمليات التي يتم ادخالها للنظام مثل فواتير البيع ، اوامر الشراء ، اشعارات
تحصيل النقدية ، وغيرها وبالتالي فقدان دليل هام من ادلة التدقيق يمكن ان يستند اليه المدقق في القيام باعمال التدقيق .
<!--اختفاء مسار التدقيق
في ظل نظم المعلومات اليدوية عادة ما يكون مسار التدقيق في ممارسة عمله عكس مسار المحاسب . فالمدقق يبدأ بالاطلاع على القوائم والتقارير لدراسة ما بها من معلومات والقيام بفحصها والتحقق من صحتها ، ويقوم بناء على ذلك بالرجوع الى الدفاتر والسجلات لانتقاء عينة من العمليات المسجلة بها لكي يقوم بالتحقق منها ، من خلال الاطلاع على المستندات المؤيدة لها والمحفوظة لدى المنشأة الا ان هذا الوضع لا يتوافر عادة في النظم الاليكترونية .حيث لا تكون هناك دفاتر وسجلات تقليدية انما ملفات وسجلات محفوظة على وسائط تخزين اليكترونية لا يمكن الاطلاع عليها الا من خلال الحاسب . بل في كثير من الاحيان لا تتواجد المستندات الورقية التقليدية ، وهذا الامر لا يعنى عدم وجود المستندات نهائيا انما تكون هذه المستندات ايضا محفوظة في صورة نماذج اليكترونية. وهذا النوعية من النماذج والملفات تكون عرضة للتغيير والتبديل فيها دون ان يترك هذا التغيير اثرا ماديا ملموسا كما هو الحال في المستندات الورقية والدفاتر والسجلات التقليدية . الامر الذى يتعين على المدقق لمزاولة مهام عمله ان يكون على دراية بكيفية التعامل مع انظمة الحاسب الآلي بالشكل الذى يمكنه من الحصول على البيانات والمعلومات من وسائط ألتخزين المختلفة ، وان يستخدم الاساليب المناسبة التي تمكنه من الحكم على البيانات المسجلة فيها.
<!--اعداد التقارير بصورة الية
لا يتطلب اعداد التقارير جهدا كبيرا في النظم الاليكترونية ، فالتقارير عادة ما تنتج بصورة الية كاحد كائنات النظام .فعادة ما يتم تصميم هذه النظم بحيث ترتبط نماذج ادخال البيانات بملفات النظام بتقاريره مباشرة بحيث يتم بمجرد ادخال البيانات عبر النماذج انتاج التقارير مباشرة . فعلى سبيل المثال في نظم الرقابة على المخزون يتم بمجرد ادخال بيانات حركة الاصناف من وارد او منصرف يتم بصورة الية انتاج تقرير يوضح ارصدة الاصناف عقب كل عملية صرف او توريد ، بجانب اعداد تقرير فوري يوضح الاصناف التي وصلت الى نقطة اعادة الطلب . ومن ثم فانه اذا كانت هناك اخطاء في عملية ادخال البيانات او في برنامج تشغيلها ،
فإن المعلومات الواردة بالتقرير سوف تكون خاطئة . أن هذا الامر يتطلب من احكام الرقابة على مصادر البيانات بهدف التحقق من صحتها ويتطلب ان تكون هناك رقابة على المخرجات بحيث يتم فحصها والتحقق من صحتها قبل استخدامها في اتخاذ القرارات.
وظيفة المدقق في ظل نظم المعلومات المحوسبة
وظيفة استشارية لمساعدة الإدارة في تخطيط وتنظيم ورقابة وظائفها، حيث يهتم المدقق بدراسة وفحص نظم المعلومات المحوسبة للتأكد من فعاليتها وتطوير طرق وأساليب الرقابة التي تستخدمها واكتشاف نقاط الضعف بها للعمل على تحسينها.
وظيفة التدقيق في ظل نظم المعلومات المحوسبة
تتضمن وظيفة المدقق في ظل نظم المعلومات الالكترونية فحص كافة مكونات نظام المعلومات الالكتروني، وهي:
<!--العاملون.
<!--الأجهزة.
<!--البرامج.
<!--قاعدة البيانات.
وتتكامل هذه المكونات مع بعضها البعض من أجل تحقيق أهداف التدقيق.
<!--الرقابة على العاملين وتتناول بالأخص:
<!--الفصل بين الوظائف.
<!--الإصرار على منح أجازة الموظف السنوية.
<!--التحقق من ضوابط الوصول باستعمال كلمات السر، وبرمجيات متخصصة لرقابة الوصول للمستعملين المرخصين فقط، وذلك من أجل منع:
<!--الوصول غير المرخص إلى الأجهزة والبرامج وقاعدة البيانات.
<!--إدخال معاملات غير مرخصة.
<!--تغييرات غير مرخصة لملفات المعلومات.
<!--استعمال برامج الحواسيب التطبيقية من قبل موظغين غير مرخصين.
<!--استعمال برامج الحواسيب التي لم تتم المصادقة عليها.
<!--الرقابة على الأجهزة وتتضمن :
<!--اختيار موقع آمن للأجهزة.
<!--تحديد الموظفين المسموح لهم بالاتصال بالكمبيوتر.
<!--الاحتفاظ بنسخ إحتياطية للملفات، وللسجلات الهامة، والاحتفاظ بها في مكان أمين.
<!--التأمين على أجهزة الكمبيوتر.
<!--الرقابة على البرمجيات :
<!--التحقق من إجراءات اعتماد البرامج.
<!--التحقق من إختبارات المجاميع الرقابية للبرامج نفسها.
<!--إجراء التدقيق الفجائية للبرامج خلال وقت استخدامها.
<!--الاستخدام المفاجئ للبرامج المعتمدة خلال وقت الإعداد لمعالجة البيانات.
<!--الرقابة على قاعدة البيانات: يجب التأكد من حماية قواعد البيانات في المنشأة وذلك للأسباب التالية:
<!--إن ملفات الكمبيوتر غير قابلة للقراءة من قبل الانسان، لذلك لابد من وجود أساليب رقابية لضمان إمكانية قراءة الملفات عند الحاجة.
<!--احتواءها على كم هائل من البيانات، وإن أي إنقطاع مفاجئ في التيار الكهربائي أو تذبذب فيه يمكن أن يؤدي إلى ضياع البيانات.
<!--إحتواءها على البيانات الأساسية والسرية للمنشأة، ولذلك يجب حمايتها من سوء الاستخدام، خاصة وأن تكلفة إعادة إنشاء قواعد البيانات تكون مرتفعة جداً.
<!--تعتبر قواعد البيانات أحد أصول المنشأة لذلك يجب إتباع نفس أساليب حماية باقي الأصول.
<!--[endif]-->