أهمية تدقيق أنظمة المعلومات - الكاتب رشيد يحيى الحداد

 أهمية تدقيق أنظمة المعلومات

رشيد يحيى الحداد (CISA)
صادرة من المدقق الداخلي مجلة متخصصة صادرة عن جمعية المراجعين الداخليين اليمنية العدد الثاني


كثير من الناس يسأل ما الذي أقوم به كمدقق نظم معلومات؟ للجواب على ذلك ما يلي:
أهمية أمن المعلومات
شركات كثيرة، بغض النظر عن حجمها أو نشاطها، قد أدركت أهمية استخدام أنظمة المعلومات لتواكب التطور التكنولوجي العالمي، ولإدراكها الفوائد العديدة التي قد تعود به هذه الأنظمة على نشاطها، لذا قامت هذه الشركات بالاستثمار في مجال أنظمة المعلومات لتكون جزء من أدواتها الإدارية في تنظيم وإدارة أعمالها، الأمر الذي يحتم على إدارة تلك الشركات الأخذ بعين الاعتبار حاجتها للتأكد من مدى الثقة والأمان لهذه الأنظمة وأنها غير معرضة للاختراق أو التلاعب.
تكمن أهمية أمن المعلومات في ثلاث مكونات رئيسية هي: سرية البيانات وسلامتها وتوفرها. سرية البيانات تعني حمايتها من أن تقع في أيدي أطراف غير مخولين بالاطلاع عليها، حيث إن بيانات ككشوفات الحسابات البنكية، المعاملات السرية، بيانات الموظفين وغيرها ينبغي أن تكون خاصة وسرية، وحماية مثل هذه البيانات يعد من المهام الأساسية لأمن المعلومات.
تشير سلامة البيانات إلى حمايتها من أن يتم تعديلها أو التلاعب بها من قبل أطراف غير مصرح لهم بذلك، فالمعلومات تعتبر ذات قيمة فقط في حال لم يتم التلاعب بها، حيث أن كلفة المعلومات التي تم التلاعب بها قد تكون كبيرة جداً، ويتجلى ذلك بشكل كبير إذا قمت بعمل حركة مالية بقيمة 10,000 دولار أمريكي وقام شخص آخر بتعديلها إلى 100,000 دولار أمريكي. لذلك فإن حماية البيانات من العبث بها يعتبر من الإجراءات المهمة في أمن المعلومات.
تشير توافر المعلومات إلى التأكد من إمكانية ومقدرة الأشخاص المصرح لهم من الوصول إلى البيانات في أي وقت وعند الحاجة، ولهذا تتيح بعض الشركات لمستخدميها الوصول إلى البيانات في أي وقت عن طريق شبكة الإنترنت، وفي ظل اتباع ذلك الأسلوب فإن عدم تمكن المستخدمين من الوصول إلى تلك البيانات يعد من الأنواع الشائعة للهجوم الإلكتروني المعروف بالحرمان من الخدمة (Denial-of-service “DoS”).
إضافة إلى ذلك، هناك عدة أسباب أخرى قد لا تمكن المستخدمين من الوصول إلى البيانات، منها على سبيل المثال الكوارث الطبيعية مثل الفيضانات والزلازل، والحوادث مثل: انقطاع التيار الكهربائي أو الحريق أو غيرها. وعليه، فإن من أساسيات ضمان توافر البيانات، القيام بإعداد خطط بديلة للطوارئ، وعمل نسخ احتياطية، حيث ينبغي من الناحية المثالية تخزين البيانات احتياطياً في مكان بعيد نسبياً لضمان سلامتها، مع الأخذ بعين الاعتبار عند تحديد المسافة الوقت الذي قد تستغرقه عملية استرداد تلك البيانات.
ولأهمية أمن المعلومات، فإن وظيفة تدقيق أنظمة المعلومات تقوم بعملية جمع وتقييم الأدلة لتحديد ما إذا كانت أنظمة المعلومات المستخدمة، والموارد ذات الصلة، تساهم على نحو كافٍ في حماية أصول المنشأة والحفاظ على سرية وسلامة وتوفر البيانات واستمرارية عمل النظام بما يضمن تحقيق أهداف المنشأة بفعالية، والاستخدام الكفء للموارد. بالإضافة إلى التأكد من أن تلك الأنظمة تشتمل على ضوابط الرقابة الداخلية الضرورية لتوفير ضمانات معقولة بأن أهداف المنشأة التجارية والتشغيلية والرقابية سيتم تحقيقها، وأن هذه الضوابط بإمكانها منع أي أحداث غير مرغوب فيها من الحدوث، أو اكتشافها وتصحيحها في الوقت المناسب. وعلاوة على ذلك التأكد من مدى الامتثال للمتطلبات القانونية والتنظيمية والمعايير ذات الصلة بأنظمة المعلومات.
ومن المفيد جداً عند تصميم وتطبيق الأنظمة أن يشترك مدققو أنظمة المعلومات منذ مرحلة التصميم والتركيب الأولي للنظام وذلك لضمان الالتزام بمكونات أمن المعلومات الرئيسة (السرية والسلامة والتوفر). وبالتالي يمكن تلخيص دور مدقق أنظمة المعلومات على أنه المشاركة في اختيار وتطوير أنظمة معلومات للتأكد من أن الضوابط الرقابية المناسبة قد تم تطبيقها، وتدقيق أنظمة المعلومات القائمة، وتوفير الدعم الفني للمدققين الآخرين، وتوفير الخدمات الاستشارية الخاصة بمخاطر أنظمة المعلومات.
تعد مشاركة مدقق نظم المعلومات في مرحلة اختيار الأنظمة ذات فائدة كبيرة قد تساعد في بناء وتعزيز الثقة والسمعة العامة لأي شركة ترغب في التوسع أو الدخول في أسواق جديدة. فإذا افترضنا دخول شركة في سوق جديد، وقررت إدارة الشركة أن خفض التكاليف هي الأولوية، وبناءً عليه قام مدير الشركة باختيار أرخص أنظمة المعلومات المتوفرة ليتم تطبيقها، مع عدم الأخذ بعين الاعتبار جوانب الضعف في هذه الأنظمة والتي قد لا يكون على علم بها. فعند تطبيق هذا النظام قد لا يتم مراعاة ضوابط أنظمة المعلومات المختلفة، مما قد ينتج عنه تطبيق نظام قابل للتلاعب وفي حال حصول أي حادثة وتم نشر هذه الحادثة في الأخبار، قد تتعرض هذه الشركة إلى مخاطر خسارة سمعتها أو أيً من عملائها، ومن المعروف أن كلفة التعامل مع الحوادث الأمنية السلبية في الأخبار هو أكثر بكثير من كلفة منع حدوثها في المقام الأول، وقد تعني خسارة سمعة الشركة أن المنافسين قد كسبوا أكبر قاعدة من العملاء وأكبر هامش من الربح.
عملية تدقيق أنظمة المعلومات:
تنقسم عمليات تدقيق أنظمة المعلومات بحسب الغرض من التدقيق إلى ثلاثة أنواع رئيسة:
- التدقيق بغرض دعم تدقيق البيانات المالية.
- التدقيق بغرض تقييم مدى الامتثال للقوانين المعمول بها والسياسات والمعايير المرتبطة بأنظمة المعلومات.
- أخيراً يمكن لتدقيق أنظمة المعلومات أيضاً أن يكون بغرض تقييم الأداء (أو ما يعرف العائد من الاستثمار) حيث يتم التدقيق بغرض طمأنة الأطراف ذات العلاقة أن أنظمة المعلومات المطبقة تشكل قيمة للأموال المستثمرة فيها.
تشتمل الخطوات العامة المتبعة خلال عملية تدقيق أنظمة المعلومات على تحديد أهداف ونطاق التدقيق، ووضع خطة التدقيق لتحقيق تلك الأهداف، وجمع وتقييم المعلومات الخاصة بضوابط الرقابة الداخلية ذات الصلة بأنظمة المعلومات، وإجراء الفحوصات اللازمة، وأخيراً إصدار التقرير النهائي والذي يشمل الملاحظات التي تم التوصل إليها، والتوصيات المقترحة لمعالجتها. بالإضافة إلى ذلك، قد تكون هناك مرحلة المتابعة وذلك لمعرفة ما إذا تم تنفيذ أياً من توصيات فريق التدقيق وكذلك لمعالجة أي قضايا جديدة.
عند القيام بعملية التدقيق، يعتمد مدقق أنظمة المعلومات على بعض الأدوات العامة والأدلة الفنية وغيرها من الموارد التي أوصت بها (جمعية ضبط وتدقيق نظم المعلومات – الآيزاكا) أو أي هيئة أخرى معتمدة. ولهذا فإن العديد من شركات التدقيق تشجع موظفيها وتساعدهم في الحصول على الشهادات ذات الصلة مثل شهادة مدقق نظم معلومات معتمد (CISA) التي يتم منحها من قبل جمعية الآيزاكا.
نظراً لاتساع نطاق تدقيق أنظمة المعلومات يمكننا تلخيص أهم المجالات التي ينبغي أن يشملها تدقيق أنظمة المعلومات إلى ما يلي: سياسات ومعايير المنشأة، هيكلية وإدارة مرافق أنظمة المعلومات، البيئة الافتراضية وأماكن وجود الأجهزة الرئيسة التي تعمل في إطارها أجهزة الحاسوب، خطط الطوارئ، أمن المعلومات، عمليات البرامج والأنظمة، عمليات تطوير الأنظمة والتطبيقات، مراجعة تطبيقات وصلاحيات الوصول للمستخدم النهائي، وغيرها.
التعاون مع مدققي أنظمة المعلومات:
منذ فترة طويلة يتم النظر للمدققين (بشكل عام) على أنهم أشخاص مهمتهم فقط العثور على الأخطاء التي ارتكبها الموظفون، وهي نفس النظرة إلى حدٍ ما بالنسبة لمدققي أنظمة المعلومات، ولهذا ليس غريباً أن يواجه المدقق بعض الموظفين غير المتعاونين، وهذا أمر مؤسف جداً، لأن مدققي أنظمة المعلومات (مثل أي مدققين آخرين) مهمتهم ليست تصيد الأخطاء أو أن يجعل من تنفيذ الأعمال أكثر تعقيداً، ولكن تكمن مهمتهم في الاستماع، والمراقبة، وتحديد أي جوانب قد تكون معرضة للخطر من أجل تطويرها وتحسينها مما يجعل تنفيذ الأعمال أسهل للجميع بعد ذلك.
ولهذا يجب تشجيع مديري أنظمة المعلومات وغيرهم من الموظفين على التعاون مع مدققي أنظمة المعلومات وأن يتم النظر إلى عملية التدقيق كفرصة لتطوير أمن وموثوقية أنظمة المعلومات. بالإضافة إلى ذلك، ينبغي اعتبار توصيات فريق التدقيق كنصائح استشارية، فوظيفة المدقق تعد بمثابة وظيفة استشارية، وعليه فإن الإدارة مسؤولة عن وضع السياسات الأمنية المناسبة وتنفيذ التوصيات الصادرة عن مدقق أنظمة المعلومات، وعليها أن تأخذ في عين الاعتبار أن التدقيق وسيلة لتحسين الأداء، وليست للعقاب.
وبناءً على ما سبق نخلص إلى أن عملية تدقيق أنظمة المعلومات تعد ذات أهمية كبيرة، لأنها تعطي تأكيدات أن أنظمة المعلومات محمية بشكل كاف، توفر معلومات موثوقة للمستخدمين تدار بشكل صحيح لتحقق المنافع المرجوة منها، كما أنها تقلل من مخاطر العبث بالبيانات، فقدانها أو تسريبها، توقف الخدمة، وسوء إدارة أنظمة تكنولوجيا المعلومات.
المراجع:
- نظم المعلومات المحاسبية – د. عبد الملك حجر

تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

دليل وزارة المالية وخطوط الدفاع الثلاثة و منظمة COSO

 دليل وزارة المالية وخطوط الدفاع الثلاثة و منظمة COSO للكاتب الدكتور محمد محمد ال عباس - جريدة الاقتصادية  من خلال موقعها على وسائل التواصل الاجتماعي، نشرت وزارة المالية، خلال الأسبوع الماضي، الدليل الاسترشادي لإدارة المخاطر، وهو مشروع مهم جدا في هذه المرحلة، كما أن الدليل جاء متقنا من عدة جوانب، ويتماشى تماما مع تصاعد الاهتمام بهذا الموضوع الذي يجد صدى واسعا في العالم، وهو - في نظري - يمثل قمة العمل الرقابي، ودونه لا يمكن القول بوجود حوكمة أو مراجعة داخلية أو حتى خارجية. نعم لا يمكن لهذه القضايا أن توجد ما لم توجد إدارة المخاطر، بل لا يمكن أن يكون هناك وجود يذكر لما يسمى الرقابة على الجودة إذا لم توجد إدارة للمخاطر، فهي أساس الرقابة من أبوابها كافة. ومع كامل شكري وتقديري للجهود الكبيرة التي بذلتها وزارة المالية في إنتاج هذا الدليل الاسترشادي، فإنني لا أخفي استغرابي لصدوره من جانبها. لقد كنت أرجو أن يصدر هذا الدليل من جهات أقرب للرقابة والحوكمة أو تلك التي يرتبط عملها أساسا بمثل هذا الدليل، كالديوان العام للمحاسبة، أو هيئة الرقابة ومكافحة الفساد أو الجمعية السعودية للمراجعين ا...
قراءة المزيد

نشأة وتطور وظيفة التدقيق الداخلي - الكاتب اكرم الوشلي

  نشأة وتطور وظيفة التدقيق الداخلي د/ أكرم الوشلي صادرة من المدقق الداخلي مجلة متخصصة صادرة عن جمعية المراجعين الداخليين اليمنية العدد الاول. بدأ الاهتمام بالتدقيق الداخلي منذ اربعينيات القرن الماضي مع نشوء المعهد الآمريكي للمراجعين الداخليين، وهى حديثة العهد مقارنة بالمراجعة الخارجية، إلا أنها لاقت قبولاً كبيراً فى الدول المتقدمة، خاصة في العقد الاخير من القرن الماضي، نتيجة لما شهدت بيئة الاعمال العالمية من كوارث مالية وأنهيارات لعدد من كبار الشركات في العالم. وقد مر تطور التدقيق الداخلي بعدة مراحل ارتبطت بنطاق المراجعة ومدخل المراجعة المراجعة السائد في تلك المرحلة. - مدخل المراقب المالي (منذ الاربعينيات حتى 1957) في بداية ظهورها بدأت وظيفة التدقيق الداخلي داخل المنظمة تركز في المقام الأول على الحماية الاصول والنقدية من السرقة والاختلاس، ثم امتد نطاقها فيما بعد ليشمل التحقق من كل المعاملات المالية تقريبا، ثم انتقلت ولا تزال تدريجياً من "التدقيق للإدارة" إلى التركيز على "مراجعة الإدارة". وكانت النظرة التقليدية للمراجعين الداخليين في تلك المرحلة بأنهم "كرجال ا...
قراءة المزيد

لا تخلط بين الاستقلالية والموضوعية

  لا تخلط بين الاستقلالية والموضوعية ريتشارد تشامبرز صادرة من المدقق الداخلي مجلة متخصصة صادرة عن جمعية المراجعين الداخليين اليمنية العدد الثاني حضرت مؤخراً مؤتمراً للتدقيق الداخلي خارج أمريكا الشمالية، حيث قدم فيه أحد المتحدثين الرئيسين عرضاً عما كان يعتقد أنه موضوعاً استفزازياً. وكان الافتراض الذي أراد إثباته هو أن المدققين الداخليين غير مستقلين وبذلك (أكدّ) أن تعريف التدقيق الداخلي بحد ذاته يشوبه بعض النقص. لقد كان المتحدث يعلم بأني أحد الحاضرين وكنت على يقين بأنه ينتظر معارضتي لوجهة نظره كونها غير صحيحة. وفي حقيقة الأمر، افتراضه بأن المدققين الداخليين غير مستقلين ليس استفزازياً على الإطلاق. إذ لا تؤكد المعايير الدولية لممارسة مهنة التدقيق الداخلي (المعايير) استقلالية المدققين الداخليين. وكثير ما يخلط الناس بين الصفة التنظيمية "للاستقلالية" والصفة الفردية "للموضوعية"، التي يتوقع من المدققين الداخليين الحفاظ عليها. لقد مضى ما يقارب العشر سنوات منذ أن شغلت منصب عضو مجلس معايير التدقيق الداخلي (IASB) بالمعهد الأمريكي للمدققين الداخليين. وقد تم تكليفنا بالقيام بأكثر ...
قراءة المزيد