متطلب الأمن السيبراني الموضوعي الصادر عن معهد المراجعين الداخليين (IIA): ما الذي يحتاج المراجعون الداخليون إلى معرفته؟

 


بقلم TeamMate   المقالة نشرت هنا - الترجمة آلية بواسطة الذكاء الصناعي
10 يونيو 2026


أصبح الأمن السيبراني أحد أبرز مخاطر الأعمال التي تواجه المؤسسات الحديثة. فكل مبادرة استراتيجية تقريبًا تعتمد اليوم على التكنولوجيا، والأنظمة المترابطة، ومزودي الخدمات السحابية، والعمليات الرقمية. إن الهجوم السيبراني ليس مشكلة تقنية معلومات فحسب، بل يُعد عادةً خطرًا على الأعمال وقضية مؤسسية تمتد عبر وظائف متعددة. فاختراق أمني ناجح يمكن أن يوقف العمليات، ويعطل التقارير المالية، ويضر بثقة العملاء، ويثير التدقيق التنظيمي، ويتسبب في أضرار طويلة الأمد على السمعة.

يتوقع قادة المؤسسات من المراجعين الداخليين تقديم تأكيدات ذات قيمة حول قدرة المؤسسة على إدارة المخاطر السيبرانية بفعالية. ولتلبية هذا التوقع بشكل مباشر، أصدر معهد المراجعين الداخليين (IIA) متطلب الأمن السيبراني الموضوعي (Cybersecurity Topical Requirement) باعتباره مكونًا إلزاميًا ضمن المعايير العالمية للمراجعة الداخلية (Global Internal Audit Standards).

يضع هذا المتطلب إطارًا أكثر تنظيمًا لتقييم حوكمة الأمن السيبراني، وإدارة المخاطر، والضوابط، والمرونة التشغيلية، والرقابة، مع تعزيز المبدأ القائل بأن الأمن السيبراني يجب أن يُعامل باعتباره قضية مخاطر مؤسسية وليس مجرد تخصص تقني ضيق.

وبالنسبة للعديد من فرق المراجعة الداخلية، سيفرض هذا المتطلب تحولًا مهمًا في طريقة التفكير. ففي السابق، كانت مراجعات الأمن السيبراني تركز غالبًا على ضوابط تقنية منفصلة مثل إعدادات كلمات المرور، أو مراجعة الجدران النارية، أو اختبار صلاحيات المستخدمين. وعلى الرغم من أهمية هذه الضوابط، فإنها تمثل جزءًا صغيرًا فقط من مشهد المخاطر السيبرانية الأوسع.

تعمل المؤسسات اليوم في بيئات يمكن فيها لهجمات برامج الفدية أن توقف التصنيع، وأن تتسبب أعطال الخدمات السحابية في تعطيل خدمة العملاء عالميًا، وأن يؤدي اختراق مورد خارجي واحد إلى كشف بيانات حساسة عبر آلاف العلاقات التجارية في الوقت نفسه.

ما هو المتطلب الموضوعي للأمن السيبراني؟

يُعد المتطلب الموضوعي للأمن السيبراني إطارًا رسميًا يوجّه المراجعين الداخليين عند تنفيذ مهام التأكيد المتعلقة بالأمن السيبراني. وهو يحدد مجموعة أساسية من المجالات التي ينبغي على المراجعين الداخليين تقييمها عند فحص برامج الأمن السيبراني والمخاطر المرتبطة به.

ومن المهم الإشارة إلى أنه لا يفرض قائمة تحقق جامدة يجب على جميع المؤسسات اتباعها بصورة متطابقة. بل يوفر هيكلًا متسقًا يمكن لوظائف المراجعة الداخلية تطبيقه وفقًا لحجم المؤسسة، والقطاع الذي تعمل فيه، ومستوى تعقيدها، ومدى تعرضها للمخاطر.

وقد ظهر هذا المتطلب لأن مراجعات الأمن السيبراني كانت تختلف تاريخيًا بشكل كبير بين المؤسسات. فبعض فرق المراجعة تجري مراجعات تقنية متعمقة دون ارتباط يُذكر بمخاطر الأعمال. بينما تركز فرق أخرى بشكل شبه كامل على وثائق الحوكمة دون التحقق مما إذا كانت الضوابط تعمل فعليًا في الواقع. كما تعتمد بعض المؤسسات بشكل كبير على الخبراء الخارجيين، في حين تبقى المراجعة الداخلية بعيدة إلى حد كبير عن الإشراف على الأمن السيبراني.

المبادئ الأساسية:

  • لا تحقق ضوابط الأمن السيبراني قيمة حقيقية إلا عندما تدعم مرونة الأعمال واستمرارية العمليات.
  • لا يتمثل الهدف في التحقق من وجود الضابط الأمني فقط، بل في تحديد ما إذا كانت المخاطر السيبرانية تُدار بطريقة تحمي قدرة المؤسسة على العمل.
  • يشجع المتطلب الموضوعي المراجعين الداخليين على التفكير بما يتجاوز الامتثال التقني نحو تقديم تأكيدات استراتيجية.

وفي جوهره، يعزز هذا المتطلب مبدأً أساسيًا من مبادئ المراجعة الداخلية الحديثة القائمة على المخاطر، وهو أن ترتبط أعمال المراجعة بأهداف المؤسسة ومخاطرها.

فالمراجعة الفعالة للأمن السيبراني لا تبدأ بالجدران النارية أو أدوات الحماية، بل تبدأ بفهم ما تحاول المؤسسة تحقيقه، وتحديد الأنظمة والبيانات والعمليات التي تدعم تلك الأهداف. وبعد تحديد الأصول الحيوية، يمكن للمراجعة الداخلية تقييم التهديدات التي قد تؤثر عليها، والمخاطر الناتجة عن تلك التهديدات، ومدى فعالية الضوابط المصممة للتخفيف منها.

لماذا تكتسب المتطلبات الموضوعية هذه الأهمية الآن؟

إن توقيت إصدار المتطلب الموضوعي للأمن السيبراني ليس مصادفة. فالمؤسسات تعمل في بيئة تتزايد فيها التهديدات السيبرانية من حيث التكرار والتعقيد والتأثير.

يستهدف المهاجمون المؤسسات من خلال حملات برامج الفدية المدعومة بالذكاء الاصطناعي، وهجمات التصيد الاحتيالي، واختراقات سلاسل التوريد، وسوء إعداد البيئات السحابية، وسرقة بيانات الاعتماد، بوتيرة تجد العديد من المؤسسات صعوبة في مواكبتها.

وفي الوقت نفسه، تطالب مجالس الإدارات والجهات التنظيمية بمزيد من الشفافية فيما يتعلق بحوكمة الأمن السيبراني ومرونته التشغيلية. ويُتوقع بشكل متزايد من فرق الإدارة إثبات ليس فقط وجود الضوابط الأمنية، بل أيضًا أن المخاطر السيبرانية تُراقب وتُرتب حسب الأولوية وتُدار بفعالية.

وتشغل المراجعة الداخلية موقعًا فريدًا في هذه البيئة. فبعكس فرق الأمن السيبراني التشغيلية التي تقوم بتصميم وتشغيل الضوابط، تقدم المراجعة الداخلية تأكيدًا مستقلاً بشأن ما إذا كانت تلك الضوابط مصممة بشكل مناسب وتعمل بفعالية.

وتمنح هذه الاستقلالية مجالس الإدارات والإدارة التنفيذية منظورًا قيّمًا للغاية حول جاهزية الأمن السيبراني، وهو منظور لا تستطيع الفرق التشغيلية توفيره بنفسها.

ومن أهم جوانب المتطلب الموضوعي تركيزه على الحوكمة. فكثير من حالات فشل الأمن السيبراني لا تنشأ فقط بسبب نقاط ضعف تقنية، بل نتيجة إخفاق المؤسسات في تحديد المسؤوليات بوضوح، أو ترتيب المخاطر بالشكل المناسب، أو التواصل بفعالية، أو تخصيص الموارد الكافية.

فقد تمتلك المؤسسة تقنيات أمنية متطورة للغاية، ومع ذلك تعاني من ضعف في حوكمة الأمن السيبراني يتمثل في ضعف تصعيد الحوادث، وعدم اتساق التقارير المقدمة للإدارة العليا، وتشتت ملكية المخاطر، وعمل المبادرات الأمنية بمعزل عن إدارة المخاطر المؤسسية.

المجالات الرئيسية التي يعالجها المتطلب الموضوعي للأمن السيبراني

يحدد المتطلب الموضوعي للأمن السيبراني عددًا من المجالات الرئيسية التي ينبغي للمراجعين الداخليين أخذها في الاعتبار أثناء تنفيذ مهام التأكيد. وتشكل هذه المجالات معًا الأساس لبرنامج أمن سيبراني ناضج.

الحوكمة والمسؤولية

يُتوقع من المراجعين الداخليين تقييم ما إذا كانت مسؤوليات الأمن السيبراني محددة بوضوح بين القيادة والإدارة والفرق التشغيلية.

كما ينبغي أن تتلقى مجالس الإدارات معلومات ذات قيمة حول المخاطر السيبرانية واتجاهات الحوادث وفعالية الضوابط. ويجب أن تُظهر الإدارة التنفيذية ملكية فعلية لأولويات الأمن السيبراني، وألا تفوض المسؤولية بالكامل للفرق التقنية.

إدارة المخاطر والارتباط بالأعمال

تقوم برامج الأمن السيبراني الفعالة بتحديد المخاطر باستمرار، وتقييم تأثيراتها المحتملة، وترتيب أولويات معالجتها، ودمج الأمن السيبراني ضمن إطار إدارة المخاطر المؤسسية الأوسع.

ومن المهم أن يقيّم المراجعون الداخليون مدى ارتباط المخاطر السيبرانية بأهداف الأعمال المحددة.

فالمستشفى يعطي الأولوية لتوافر الأنظمة وحماية بيانات المرضى لأن أي تعطل يؤثر مباشرة على الرعاية الصحية.

أما المؤسسة المالية فتركز على سلامة المعاملات ومنع الاحتيال والامتثال التنظيمي.

بينما يركز المصنع على مرونة تقنيات التشغيل واستمرارية سلسلة التوريد.

وهذا المنظور المرتبط بالسياق هو ما يميز التأكيدات السيبرانية ذات القيمة عن مراجعات الامتثال العامة القائمة على قوائم التحقق.

تقييم الضوابط

يجب أن تعمل الضوابط الوقائية والكاشفة والتصحيحية جميعها بفعالية.

ويشمل ذلك:

  • إدارة الهوية والصلاحيات.
  • ضوابط الوصول المميز.
  • إدارة الثغرات الأمنية.
  • التحديثات الأمنية.
  • المراقبة الأمنية.
  • اكتشاف الحوادث.
  • تسجيل الأحداث.
  • التشفير.
  • إدارة النسخ الاحتياطية.
  • أمن الشبكات.

ولا يقتصر دور المراجع على التحقق من وجود الضابط، بل يتمثل في تقديم تأكيد مستقل بأن الضوابط مصممة ومطبقة وتعمل بفعالية، وأنها مرجح أن تستمر في العمل بفعالية مستقبلاً.

المرونة السيبرانية والاستجابة للحوادث

لم تعد المؤسسات تُقيَّم فقط بناءً على قدرتها على منع الهجمات.

فالإدارة أصبحت تدرك بشكل متزايد أن الحوادث ستقع حتى مع وجود ضوابط قوية.

لذلك يُتوقع من المراجعين الداخليين تقييم:

  • وجود خطط للاستجابة للحوادث.
  • وضوح المسؤوليات.
  • تنفيذ اختبارات وتمارين دورية.
  • قدرة إجراءات التعافي على دعم استمرارية العمليات.

وتُقاس المرونة بمدى سرعة وفعالية تعافي المؤسسة، وليس فقط بمدى نجاح المهاجم في تنفيذ الهجوم.

إدارة مخاطر الأمن السيبراني للأطراف الثالثة

تعتمد المؤسسات الحديثة بشكل كبير على الموردين، ومزودي البرمجيات كخدمة (SaaS)، والمتعاقدين، والخدمات السحابية، وشركاء الأعمال المترابطين، وكل منهم يزيد من مساحة الهجوم المحتملة للمؤسسة.

ويُتوقع من المراجعين الداخليين تقييم ما إذا كانت المؤسسة:

  • تجري فحصًا نافيًا للجهالة ذا معنى للموردين.
  • تفرض متطلبات أمنية تعاقدية مناسبة.
  • تقيم الضمانات القانونية والتعاقدية.
  • تراقب مخاطر الأطراف الثالثة بشكل مستمر.
  • تتحقق من فعالية تنفيذ الضوابط.
  • تراجع عمليات إنهاء العلاقة والتخارج.
  • تستجيب بسرعة وفعالية للمشكلات المتعلقة بالموردين.

المراقبة والتقارير

لا تستطيع الإدارة إدارة المخاطر السيبرانية بفعالية دون معلومات موثوقة.

لذلك ينبغي على المراجعين الداخليين تقييم ما إذا كانت المؤسسة تحتفظ بمؤشرات ذات معنى، وآليات تصعيد، وقدرات مراقبة، وهياكل تقارير تسمح للإدارة بتحديد المشكلات قبل أن تتحول إلى إخفاقات تشغيلية أكبر.

الامتثال للأمن السيبراني: ما الذي تقيمه المراجعة الداخلية فعليًا؟

من أكثر المفاهيم الخاطئة شيوعًا حول المتطلب الموضوعي الاعتقاد بأنه ينشئ تنظيمًا جديدًا للأمن السيبراني.

في الواقع، فإنه يحدد بشكل أساسي توقعات تتعلق بأنشطة التأكيد التي تنفذها المراجعة الداخلية، لكنه لا يُعد متطلبًا تنظيميًا مستقلاً.

وستظل المؤسسات خاضعة لالتزامات امتثال متعددة تتعلق بالأمن السيبراني بحسب القطاع والموقع الجغرافي وطبيعة العمليات، مثل:

  • متطلبات خصوصية البيانات.
  • لوائح الإبلاغ عن الاختراقات.
  • المتطلبات السيبرانية الخاصة بالقطاعات.
  • المتطلبات الأمنية التعاقدية.
  • متطلبات التقارير المالية المرتبطة بحوكمة الأمن السيبراني.

ولا يقتصر دور المراجعة الداخلية على التحقق من وجود تلك المتطلبات، بل يتوقع منها تقييم ما إذا كانت المؤسسة:

  • تحدد الالتزامات ذات الصلة بشكل مناسب.
  • تعين المسؤوليات بوضوح.
  • تطبق الضوابط الداعمة بفعالية.
  • تراقب الامتثال بصورة مستمرة.

ويجب على المراجعين البحث عن القدرات الأساسية الفعالة في الأمن السيبراني، مثل:

  • الحوكمة والمسؤولية — ملكية واضحة، وإجراءات تصعيد، وصلاحيات اتخاذ القرار.
  • إدارة الوصول — إنشاء المستخدمين، والمصادقة، والوصول المميز، والمراجعات الدورية للصلاحيات.
  • إدارة الثغرات الأمنية — تحديد الثغرات وترتيب أولوياتها ومعالجتها قبل استغلالها.
  • المراقبة الأمنية — اكتشاف الأنشطة المشبوهة عبر الأنظمة والشبكات والتطبيقات.
  • حماية البيانات — التشفير، والتصنيف، وسياسات الاحتفاظ، والنسخ الاحتياطية، والتخلص الآمن من البيانات.
  • التوعية الأمنية — الحد من المخاطر البشرية الناتجة عن التصيد والهندسة الاجتماعية.
  • الجاهزية للاستجابة للحوادث — الاحتواء، والتعافي، والتواصل، وتقليل التعطيل.

كما تلعب المراقبة المستمرة دورًا رئيسيًا في تلبية توقعات الامتثال، لأن بيئات الأمن السيبراني تتغير بسرعة، وتظهر ثغرات جديدة باستمرار، ويتكيف المهاجمون بشكل متواصل.

لذلك لا يمكن للمؤسسات الاعتماد على تقييمات الامتثال السنوية وحدها، بل تحتاج إلى مراقبة وإعادة تقييم وتعديل مستمر مع تطور المخاطر.

الدور المتنامي للمراجعة الداخلية في الأمن السيبراني

يعزز المتطلب الموضوعي للأمن السيبراني في نهاية المطاف الدور المتوسع للمراجعة الداخلية داخل المؤسسات الحديثة.

فوظائف المراجعة الداخلية مطالبة بشكل متزايد بسد الفجوة بين عمليات الأمن السيبراني التقنية وحوكمة الأعمال الأوسع، ويتطلب ذلك أكثر من مجرد المعرفة التقنية.

يجب أن يفهم مراجعو الأمن السيبراني الفعالون:

  • أهداف المؤسسة.
  • الاعتماديات التشغيلية.
  • المتطلبات التنظيمية.
  • هياكل الحوكمة.
  • ممارسات إدارة المخاطر المؤسسية.

وترتبط أفضل مراجعات الأمن السيبراني مباشرةً بالأثر المؤسسي.

فغياب تحديث أمني مهم يصبح قضية جوهرية لأنه قد يعطل عمليات حيوية.

وضعف ضوابط الوصول المميز يصبح مهمًا لأنه قد يعرّض الأنظمة المالية الحساسة للخطر.

وسوء التخطيط للاستجابة للحوادث يمثل خطرًا لأن تأخر التعافي التشغيلي قد يضر بعلاقات العملاء والإيرادات.

كما يحتاج مراجعو الأمن السيبراني الفعالون إلى التدريب المستمر والتطوير المهني.

فالمراجعات السيبرانية الحديثة تتطلب مزيجًا من الفهم التقني، والفطنة التجارية، والخبرة في إدارة المخاطر، وهي مجالات لم تكن برامج تدريب المراجعة التقليدية تركز عليها تاريخيًا بالشكل الكافي.

وينبغي للمراجعين تطوير معرفة أساسية في:

  • أمن الحوسبة السحابية.
  • إدارة الهوية والصلاحيات.
  • الاستجابة للحوادث.
  • إدارة الثغرات الأمنية.
  • أطر الأمن السيبراني.
  • إدارة مخاطر الأطراف الثالثة.

وبنفس القدر من الأهمية، يجب أن يتعلم المراجعون كيفية تحويل القضايا التقنية إلى مناقشات تتعلق بمخاطر الأعمال يمكن للإدارة التنفيذية ومجالس الإدارات فهمها.

وتساعد الشهادات المهنية، وورش العمل التطبيقية، وتمارين المحاكاة، والمراجعات المشتركة، والتعاون مع فرق الأمن السيبراني، المراجعين الداخليين على بناء الخبرة العملية اللازمة لتقييم المخاطر السيبرانية بفعالية مع الحفاظ على منظور التأكيد المستقل الذي تتطلبه المهنة.

إن تطوير منظور يركز على الأعمال هو ما يجعل المراجعة الداخلية ذات قيمة فريدة، وهو ما صُممت المتطلبات الموضوعية لدعمه.

كيف يمكن للمراجعين الداخليين مواجهة تحديات الأمن السيبراني؟

في الختام، يمثل المتطلب الموضوعي للأمن السيبراني تطورًا مهمًا في الطريقة التي تتعامل بها المراجعة الداخلية مع مهام التأكيد المتعلقة بالأمن السيبراني.

فبدلاً من التركيز الضيق على الضوابط التقنية، يشجع المراجعين الداخليين على تقييم الأمن السيبراني باعتباره تخصصًا لإدارة مخاطر الأعمال يرتبط مباشرة بأهداف المؤسسة ومرونتها طويلة الأجل.

وتعتمد المؤسسات بشكل متزايد على الأنظمة الرقمية لتسيير أعمالها. وأصبحت إخفاقات الأمن السيبراني تؤدي إلى آثار تشغيلية ومالية واستراتيجية وسمعية تتجاوز بكثير نطاق البيئة التقنية.

ويتوقع مجالس الإدارات والإدارة التنفيذية تأكيدات أقوى وأكثر اتساقًا بشأن ما إذا كانت المخاطر السيبرانية تُحدد وتُرتب حسب الأولوية وتُدار وتُراقب باستمرار، وليس مجرد التأكد من وجود الضوابط في نقطة زمنية معينة.

وستكون وظائف المراجعة الداخلية التي تستثمر الآن في المعرفة بالأمن السيبراني، ومنهجيات التأكيد القائمة على المخاطر، وتعزيز الارتباط باستراتيجية الأعمال، في وضع أفضل بكثير لتقديم التأكيد المستقل الذي تتزايد مطالبة مجالس الإدارات والإدارة التنفيذية به.

أما المؤسسات التي ستنجح خلال العقد القادم فلن تكون تلك التي تكتفي بتطبيق المزيد من أدوات الأمن، بل تلك التي تدمج الأمن السيبراني في الحوكمة والعمليات وصنع القرار على جميع المستويات، ويجب أن تكون المراجعة الداخلية مستعدة لقيادة هذا التحول من خلال تقديم تأكيدات هادفة ومركزة على المخاطر.

تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

لا تخلط بين الاستقلالية والموضوعية

  لا تخلط بين الاستقلالية والموضوعية ريتشارد تشامبرز صادرة من المدقق الداخلي مجلة متخصصة صادرة عن جمعية المراجعين الداخليين اليمنية العدد الثاني حضرت مؤخراً مؤتمراً للتدقيق الداخلي خارج أمريكا الشمالية، حيث قدم فيه أحد المتحدثين الرئيسين عرضاً عما كان يعتقد أنه موضوعاً استفزازياً. وكان الافتراض الذي أراد إثباته هو أن المدققين الداخليين غير مستقلين وبذلك (أكدّ) أن تعريف التدقيق الداخلي بحد ذاته يشوبه بعض النقص. لقد كان المتحدث يعلم بأني أحد الحاضرين وكنت على يقين بأنه ينتظر معارضتي لوجهة نظره كونها غير صحيحة. وفي حقيقة الأمر، افتراضه بأن المدققين الداخليين غير مستقلين ليس استفزازياً على الإطلاق. إذ لا تؤكد المعايير الدولية لممارسة مهنة التدقيق الداخلي (المعايير) استقلالية المدققين الداخليين. وكثير ما يخلط الناس بين الصفة التنظيمية "للاستقلالية" والصفة الفردية "للموضوعية"، التي يتوقع من المدققين الداخليين الحفاظ عليها. لقد مضى ما يقارب العشر سنوات منذ أن شغلت منصب عضو مجلس معايير التدقيق الداخلي (IASB) بالمعهد الأمريكي للمدققين الداخليين. وقد تم تكليفنا بالقيام بأكثر ...
قراءة المزيد

نشأة وتطور وظيفة التدقيق الداخلي - الكاتب اكرم الوشلي

  نشأة وتطور وظيفة التدقيق الداخلي د/ أكرم الوشلي صادرة من المدقق الداخلي مجلة متخصصة صادرة عن جمعية المراجعين الداخليين اليمنية العدد الاول. بدأ الاهتمام بالتدقيق الداخلي منذ اربعينيات القرن الماضي مع نشوء المعهد الآمريكي للمراجعين الداخليين، وهى حديثة العهد مقارنة بالمراجعة الخارجية، إلا أنها لاقت قبولاً كبيراً فى الدول المتقدمة، خاصة في العقد الاخير من القرن الماضي، نتيجة لما شهدت بيئة الاعمال العالمية من كوارث مالية وأنهيارات لعدد من كبار الشركات في العالم. وقد مر تطور التدقيق الداخلي بعدة مراحل ارتبطت بنطاق المراجعة ومدخل المراجعة المراجعة السائد في تلك المرحلة. - مدخل المراقب المالي (منذ الاربعينيات حتى 1957) في بداية ظهورها بدأت وظيفة التدقيق الداخلي داخل المنظمة تركز في المقام الأول على الحماية الاصول والنقدية من السرقة والاختلاس، ثم امتد نطاقها فيما بعد ليشمل التحقق من كل المعاملات المالية تقريبا، ثم انتقلت ولا تزال تدريجياً من "التدقيق للإدارة" إلى التركيز على "مراجعة الإدارة". وكانت النظرة التقليدية للمراجعين الداخليين في تلك المرحلة بأنهم "كرجال ا...
قراءة المزيد

دليل وزارة المالية وخطوط الدفاع الثلاثة و منظمة COSO

 دليل وزارة المالية وخطوط الدفاع الثلاثة و منظمة COSO للكاتب الدكتور محمد محمد ال عباس - جريدة الاقتصادية  من خلال موقعها على وسائل التواصل الاجتماعي، نشرت وزارة المالية، خلال الأسبوع الماضي، الدليل الاسترشادي لإدارة المخاطر، وهو مشروع مهم جدا في هذه المرحلة، كما أن الدليل جاء متقنا من عدة جوانب، ويتماشى تماما مع تصاعد الاهتمام بهذا الموضوع الذي يجد صدى واسعا في العالم، وهو - في نظري - يمثل قمة العمل الرقابي، ودونه لا يمكن القول بوجود حوكمة أو مراجعة داخلية أو حتى خارجية. نعم لا يمكن لهذه القضايا أن توجد ما لم توجد إدارة المخاطر، بل لا يمكن أن يكون هناك وجود يذكر لما يسمى الرقابة على الجودة إذا لم توجد إدارة للمخاطر، فهي أساس الرقابة من أبوابها كافة. ومع كامل شكري وتقديري للجهود الكبيرة التي بذلتها وزارة المالية في إنتاج هذا الدليل الاسترشادي، فإنني لا أخفي استغرابي لصدوره من جانبها. لقد كنت أرجو أن يصدر هذا الدليل من جهات أقرب للرقابة والحوكمة أو تلك التي يرتبط عملها أساسا بمثل هذا الدليل، كالديوان العام للمحاسبة، أو هيئة الرقابة ومكافحة الفساد أو الجمعية السعودية للمراجعين ا...
قراءة المزيد