سلسلة األدلة المشتركة )6( دليل التدقيق على تقنية املعلومات لألجهزة العليا للرقابة واحملاسبة لدول جملس التعاون لدول اخلليج العربية

ملفّات مشابهة
الرقابة الداخلية والرقابة الخارجية

جمعية زمزم للخدمات الصحية التطوعية بإشراف وزارة الشؤون االجتماعية تصريح رقم )411( نظام إدارة الجودة Quality Management System إجراءات الئحة تقنية املع

المواصفات الاوربية لإدارة الابتكار كخارطة طريق لتعزيز الابتكار في الدول العربية

الخطة الاستراتيجية ( 2015 – 2020 )

Microsoft Word - Q2_2003 .DOC

PowerPoint Presentation

التقريرالسنوي لمالكي الوحدات البيت 52 الفترة من يناير 2017 إلى ديسمبر 2017 تقارير الصندوق متاحة عند الطلب وبدون مقابل

الــــــرقم الــــقياسي لتكاليف اإلنــــشاءات مــشاريع األبـــــــراج ﺍﻟـــﺮﺑــﻊ ﺍﻟﺮﺍﺑﻊ 2017 )سنة األساس (2013 ﺗﺎﺭﻳﺦ ﺍﻹﺻﺪﺍﺭ : ﻣﺎﺭﺱ 2018 الـرقم الــــق

Microsoft PowerPoint - Session 7 - LIBYA - MOH.pptx

الــــــرقم الــــقياسي لتكاليف اإلنــــشاءات مــشاريع األبـــــــراج ﺍﻟـــﺮﺑــﻊ ﺍﻟﺜﺎﻟﺚ 2017 )سنة األساس (2013 ﺗﺎﺭﻳﺦ ﺍﻹﺻﺪﺍﺭ : ﺩﻳﺴﻤﺒﺮ 2017 الـرقم الـــ

الالئحة التنفيذية لنظام رسوم األراضي البيضاء الفصل األول تعريفات المادة األولى: ألغراض هذه الالئحة يكون للكلمات و العبارات اآلتية أينما وردت فيها المع

حقيبة الدورة التدريبية التخزين السحابي Google Drive حقيبة المتدربة إعداد املدربة : عزة علي آل كباس Twitter 1438 ه

دبلوم متوسط برمجة تطبيقات الهواتف الذكية

Morgan & Banks Presentation V

Our Landing Page

رسالة كلية التمريض: تلتزم كلية التمريض - جامعة دمنهور بتقديم سلسلة متصلة من البرامج التعليمية الشاملة إلعداد كوادر تمريضية ذوى كفاءة عالية فى مهارات ا

الدليل التدريبي لطلب شهادة مطابقة إرسالية )للمنتجات المستوردة( البوابة االلكترونية للمطابقة )سابر( الدليل التدريبي لطلب شهادة مطابقة إرسالية )للمنتجات

المملكة العربية السعودية م ق س ..../1998

حالة عملية : إعادة هيكلة املوارد البشرية بالشركة املصرية لالتصاالت 3002 خالل الفرتة من 8991 إىل مادة ادارة املوارد البشرية الفرقة الرابعة شعبة نظم امل

Our Landing Page

Our Landing Page

اإلصدار الثاني محرم 1436 ه الكلية: القسم األكاديمي: البرنامج: المقرر: منسق المقرر: منسق البرنامج: تاريخ اعتماد التوصيف: العلوم والدراسات اإلنسانية رما

1

صندوق استثمارات اجلامعة ومواردها الذاتية ( استثمارات اجلامعة الذاتية ) مركز مركز استثمارات الطاقة املتجددة االستثمارات مركز اإلمام للمالية واملصرفية ا

PowerPoint Presentation

) NSB-AppStudio برمجة تطبيقات األجهزة الذكية باستخدام برنامج ( ) برمجة تطبيقات األجهزة الذكية باستخدام برنامج ( NSB-AppStudio الدرس األول ) 1 ( الدرس

Microsoft Word - 55

منح مقد مة من مبادرة ألبرت أينشتاين األكاديمية األلمانية لالجئين إلى النازحين السوريين في لبنان يعرف باسم "دافي (DAFI) العام األكاديمي الجامعي 4102/41

دليل المستخدم لبوابة اتحاد المالك التفاعلية

هيئة السوق املالية التعليمات املنظمة لتمل ك املستثمرين االسرتاتيجيني األجانب حصصا اسرتاتيجية يف الشركات املدرجة الصادرة عن جملس هيئة السوق املالية مبو

عناوين حلقة بحث

مـــــن: نضال طعمة

PowerPoint Presentation

نشرة توعوية يصدرها معهد الدراسات المصرفية دولة الكويت - ابريل 2015 السلسلة السابعة- العدد 9 كفاءة سوق األوراق املالية Efficiency of the Securities Mar

نموذج السيرة الذاتية

WATER POLICY REFORM IN SULTANATE OF OMAN

PowerPoint Presentation

Microsoft Word - ?????? ??? ? ??? ??????? ?? ?????? ??????? ??????? ????????

Allomani Warehouse User Guide

بسم الله الرحمن الرحيم الخطة الدراسية لدرجة الماجستير في قانون الملكية الفكرية ( مسار الشامل ) 022 ش 5 رقم الخطة أوال : أحكام وشروط عامة : ثانيا : ثال

اململكة العربية السعودية وزارة التعليم العالي جامعة اجملمعة عماده خدمه اجملتمع كليه الرتبية بالزلفي دبلوم التوجيه واالرشاد الطالبي ملخص منوذج توصيف مق

مؤتمر: " التأجير التمويلي األول " طريق جديد لالستثمار لدعم وتنمية المشروعات القومية والشركات الصغيرة والمتوسطة تحت رعاية : و ازرة االستثمار و ازرة اال

الشركة الفلسطينية للتوزيع والخدمات اللوجستية المساهمة العامة المحدودة القوائم المالية المرحلية الموحدة المختصرة )غير المدققة( 03 أيلول 3300

مرسوم رقم )82( لسنة 8102 بشأن حوكمة المجالس واللجان التابعة لحكومة دبي نحن محمد بن ارشد آل مكتوم حاكم دبي 3003 بعد االطالع على القانون رقم )3( لسنة بش

دليل ضريبة القيمة المضافة التأجير التمويلي

استنادا الى احكام البند )ثالثا ( من المادة )08( من الدستور واحكام البند )2( من المادة )4( من امر سلطة االئتالؾ المؤقته )المنحلة( رقم )65( لسنة 2884 )ق

عمليات التقييم - تقييم خارجي مستقل لوظيفة التقييم في منظمة العمل الدولية

السؤال الأول: ‏

صندوق استثمارات اجلامعة ومواردها الذاتية ( مركز تنمية أوقاف اجلامعة ) إدارة األصول واملصارف الوقفية إدارة االستثمارات الوقفية إدارة إدارة األحباث وامل

اسم المدرس: رقم المكتب: الساعات المكتبية: موعد المحاضرة: جامعة الزرقاء الكمية: الحقوق عدد الساعات: 3 ساعات معتمدة نوع المتطمب: تخصص اختياري عنوان المق

بسم هللا الرحمن الرحيم المادة: مقدمة في بحوث العمليات )100 بحث ) الفصل الدراسي األول للعام الدراسي 1439/1438 ه االختبار الفصلي الثاني اسم الطالب: الرق

استمارة تحويل طالب يتعلم في الصف العادي لجنة التنسيب إلى )التقرير التربوي( استمارة لتركيز المعلومات حول العالج المسبق الذي حصل علية الطالب\ة الذي يتعل

برنامج المساعدات المادية الذكي خطوات التقديم للمساعدة المادية...2 خطوات رفع المستندات المرفوضة...10 خطوات التاكد من حالة الطلب

SP-1101W/SP-2101W eciug niitallatini kciuq 1.0v /

Student Presentation

جامعة حضرموت

المحاضرة العاشرة الجديده لالساليب الكميه في االداره الفصل الثاني لعام 1439 ه للدكتور ملفي الرشيدي يجب الرجوع للمحاضره المسجله لفهم الماده وامثلتها تحل

Diapositive 1

التعريفة المتميزة لمشروعات الطاقة المتجددة في مصر

16 أبريل 2019 االطالق الرسمي للجائزة

untitled

دائرة التسجيل والقبول فتح باب تقديم طلبات االلتحاق للفصل األول 2018/2017 " درجة البكالوريوس" من العام الدراسي جامعة بيرزيت تعلن 2018/2017 يعادلها ابتد

عرض تقديمي في PowerPoint

Certified Facility Management Professional WHO SHOULD ATTEND? As a Certified Facility Management Professional course, Muhtarif is the ideal next step


بجسكو بأعين الصحافة

المعهد الدولي للتدريب واالستشارات االردن يهديكم أحر التحيات واطيب االمنيات ويسره دعوتكم للمشاركة او ترشيح من ترونه مناسبا بالبرامج التدريبية التالية ا

تأثير اتفاقيتي الشراكة عبر المحيط الهادئ والشراكة في التجارة والاستثمار عبر الأطلسي على الدول العربية

The Global Language of Business دليل ارشادي الستخدام صفحة خدمات الشركات األعضاء Members Area 1

الدليل التدريبي لتسجيل منتج البوابة االلكترونية للمطابقة )سابر( الدليل التدريبي لتسجيل منتج 0

عرض تقديمي في PowerPoint

نتائج تخصيص طالب وطالبات السنة األولى المشتركة بنهاية الفصل الدراسي الثاني 1438/1437 ه يسر عمادة شؤون القبول والتسجيل بجامعة الملك سعود أن تعلن نتائج

WHAT’S NEW

. رصد حضور المرأة في وسائل اإلعالم المحلية 2017

حساب ختام موازنة السلطة المركز ة للسنة المال ة 2013 م قسم) 21 (:وزارة التعل م العال والبحث العلم فرع ( 3 ) :مستشف الكو ت الجامع

الشريحة 1

لقانون العام للمساواة في المعاملة - 10 أسئلة وأجوبة

مكثف الثالثة الوحدة البوابات املنطقية 1 هاتف : مدارس األكاد م ة العرب ة الحد ثة إعداد المعلم أحمد الصالح

حساب ختام موازنة السلطة المركز ة للسنة المال ة 2013 م قسم) 23 (:وزارة الصحة العامة والسكان فرع ( 02 ) :المعهد العال للعلوم الصح ة صنعاء

Slide 1

السياسات البيئية السياسات البيئية 1

بنك بوبيان ش.م.ك.ع وشركاته التابعة المعلومات المالية المرحلية المكثفة المجمعة وتقرير م ارجعة م ارقبي الحسابات المستقلين للفترة من 1 يناير 2015 إلى 31

عرض تقديمي في PowerPoint

الجلسة الأولى: الابتكار والملكية الفكرية

عطاء رقم )2019/13( اعداد االست ارتيجية الوطنية للصحة الجنسية واإلنجابية لألعوام ) ) الشروط المرجعية 1

دولة فلسطين و ازرة التربية والتعليم العالي المبحث: تكنولوجيا المعلومات / النظري بسم هللا الرحمن الرحيم مدة االمتحان : ساعتان نموذج تجريبي مجموع العالم

مشروع قانون المحكمة الدستورية التقرير العليا الرابع والسبعون مشروع قانون مقدم من الحكومة تقرير لجنة الفصل التشريعى األول دور

1 مراجعة ليلة امتحان الصف السابع في الدراسات اإلجتماعية. ********************************************************************************* األول السؤا

الوحدة األولى المالمح البشرية للوطن العربي عنوان الدرس : سكان الوطن العربي أوال :أكمل الجدول التالي: 392 مليون نسمة %5.3 %39.9 %60.1 عدد سكان الوطن ال

السيرة الذاتية للدكتور محمد شلال العاني

PowerPoint Presentation

االسم الكامل: معيد. الوظيفة: رمي بنت سليمان بن أمحد امللحم. المعلومات الشخصية الجنسية سعودية. تاريخ الميالد 1407/4/19 ه القسم الدراسات اإلسالمية. البر

نموذج )1( الحد الأدنى لمحتوى )الوكالات( الصفحة الرئيسية تحتوي الصفحة الرئيسية العناصر الأكثر أهمية لزائر موقع الوكالة وتوضع فيها الإعلانات والاخبار ال

مقدمة عن الاوناش

وزارة التعليم العالي والبـحث العلمي

مخطط المادة الدراسية

<4D F736F F D20E1C7C6CDC920DAE1C7E3C920C7E1CCE6CFC92E646F63>

Microsoft Word - إعلانات توظيف لسنة 2017

نظرية الملاحظة

1

النسخ:

سلسلة األدلة المشتركة )6( دليل التدقيق على تقنية املعلومات لألجهزة العليا للرقابة واحملاسبة لدول جملس التعاون لدول اخلليج العربية 2013-1-

أ ت / أ ب 4 د ت مجلس التعاون لدول الخليج العربية. االدارة العامة لشئون دواوين المحاسبة والرقابة المالية. األمانة العامة. دليل التدقيق على تقنية المعلومات لألجهزة العليا للرقابة والمحاسبة لدول مجلس التعاون لدول الخليج العربية. الرياض : مجلس التعاون لدول الخليج العربية األمانة العامة 2013. 128 ص : ايض 24 سم. سلسلة األدلة المشتركة 6. الرقم الموحد لمطبوعات المجلس : 0459-0102 / ح / ك /.2013 / أنظمة المعلومات / / برامج الحاسوب / / بنوك المعلومات / / شبكات الحواسيب / / األجهزة )الحاسوب( / / المراقبة / / الضبط / / تدقيق الحسابات / / األجهزة اإلدارية / / األدلة / / دول مجلس التعاون لدول الخليج العربية/. -2-

مقدمة األمانة العامة جمللس التعاون حرصت األمانة العامة اإلدارة العامة لشئون دواوين المحاسبة والرقابة المالية إلى المساهمة في تطوير العمل الرقابي الذي تقوم به األجهزة العليا للرقابة بدول المجلس. وتنفيذا للقرارات الصادرة في اجتماع أصحاب المعالي رؤساء دواوين المراقبة والمحاسبة بدول مجلس التعاون لدول الخليج العربية السادس الذي عقد عام 2007 م والمتضمنة الموافقة على إصدار أدلة مراجعة مشتركة يمكن تطبيقها لدى كافة األجهزة العليا للدول األعضاء وتكليف فريق عمل قواعد الرقابة لألجهزة العليا للرقابة والمحاسبة بهذه المهمة في إطار قواعد الرقابة لألجهزة العليا للرقابة والمحاسبة لدول مجلس التعاون لدول الخليج العربية وذلك وفقا للمعايير الصادرة عن المنظمات الدولية لهيئات الرقابة المالية العليا )االنتوساي( والمرجعيات المهنية الدولية وبما ال يتعارض مع القوانين والتشريعات لدول المجلس وتم توزيع مهمة إعداد سلسلة هذه األدلة على األجهزة بالدول األعضاء. يسر اإلدارة العامة لشئون دواوين المحاسبة والرقابة المالية باألمانة العامة لمجلس التعاون لدول الخليج العربية تقديم الدليل السادس ( دليل التدقيق على تقنية المعلومات لألجهزة العليا للرقابة والمحاسبة لدول مجلس التعاون لدول الخليج العربية. اإلدارة العامة لشئون دواوين احملاسبة والرقابة املالية -3-

-4-

المحتويات 1. محتويات الدليل... 11 1.1 صيانة الدليل...11 1.2 سياسة السرية... 11 1.3 المنهجية والمعايير القابلة للتطبيق...11 خطة وتوجه التدقيق على تقنية المعلومات...12 التقييم المبدئي لتقنية المعلومات...12 التخطيط... 12 التنفيذ...13 إعداد التقارير...14 2.1 قواعد عامة... 15 2.2 أس باب التغيير... 16 2.3.1 األسباب الخارجية...16 2.3.2 األس باب الداخلية... 16 2.3 التوقيت والمواعيد... 17 3.3 اإلجراءات... 18 2.5.1 نموذج طلب التعديل... 22 3. المنهجية والمعايير السارية...24 3.1 أفضل الممارسات الدولية في مجال التدقيق على تقنية المعلومات... 24 4. مقدمة تمهيدية... 25-5-

4.1 الغرض... 25 4.2 تعريف عملية التدقيق على تقنية المعلومات والغرض منها...26 4.3 الحاجة إلى التدقيق على تقنية المعلومات...26 5. تطبيق أعمال التدقيق على تقنية المعلومات... 29 5.1 الضوابط الرقابية لتقنية المعلومات... 30 5.2 الضوابط الرقابية العامة لتقنية المعلومات 31...ITGC 5.3 ضوابط التطبيقات...32 5.4 دور الجهاز األعلى للرقابة والمحاسبة في أعمال التدقيق على تقنية المعلومات... 33 6.1 مقدمة تمهيدية... 33 6.2 خريطة الطريق لتنفيذ منهجية التطبيق على تقنية معلومات األجهزة والدواوين الرقابية... 34 6.3 توجه منهجية التطبيق على تقنية معلومات األجهزة والدواوين الرقابية... 35 6.4 ضوابط تقنية المعلومات في إطار منهجية التدقيق على تقنية معلومات األجهزة والدواوين الرقابية... 36 7. التحقق من سامة بيئة عمل تدقيق المعلومات... 38 7.1 تقييم تعقد بيئة عمل تقنية المعلومات... 38 7.2 تقييم إمكانات الضوابط الرقابية لتقنية المعلومات... 40 7.3 تحديد متطلبات التدقيق على تقنية المعلومات... 41.8 التخطيط 43... -6-

8.1 تحديد أهداف ونطاق التدقيق على تقنية المعلومات... 44 8.2 التعرف على الجهة...45 8.2.1 التعرف على اإلدارة والتنظيم... 46 8.2.2 التعرف على العوامل الداخلية والخارجية التي تؤثر على عمليات الجهة...46 8.2.3 التعرف على أهم عمليات األعمال...47 8.2.4 تحديد التطبيقات التي تدعم تنفيذ عمليات األعمال...47 8.2.5 التعرف على البنية األساسية لتقنية المعلومات...49 8.3 تحديد ومعرفة المجاالت الرئيسية المرتبطة بنطاق التدقيق 50 8.4 تحديد نقاط الرقابة المهمة...51 8.5 تحديد ضوابط تقنية المعلومات المرتبطة بأهداف التديق... 52.9 التنفيذ 53... 9.1 مقدمة تمهيدية...53 9,1,1,1 إجراء المراجعة الشاملة... 55 9,1,2 تصميم اختبار الضوابط على تقنية المعلومات... 55 9,1,3 تنفيذ اختبار ضوابط تقنية المعلومات... 57 9,1,4 توثيق وتقييم النتائج... 58 9,1,5 التعامل مع ضوابط تقنية المعلومات غير الفعالة... 59 9,1,6 تحديد مستوى االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق... 60-7-

9.2 الضوابط العامة لتقنية المعلومات...61 9.2.1 مقدمة تمهيدية...61 9.2.2 الضوابط التنظيمية وضوابط اإلدارة...64 9.2.3 إدارة التغيير...66 9.2.4 ضوابط الوصول إلى المعلومات...68 9.2.5 الضوابط التشغيلية لتقنية المعلومات...74 9.2.6 إدارة تأمي ن نظ م المعلوم ات...80 9.2.7 إدارة استمرار األعمال...83 9.3 ضوابط التطبيقات...85 9,3,1 مقدمة تمهيدية... 85 9,3,2 مدخات البيانات... 87 9,3,3 معالجة البيانات... 89 9,3,4 مخرجات البيانات... 90 9,3,5 إع داد وصيانة البيان ات األساس ية... 92 9,3,6 تداخل اإلستراتيجية والتصميم... 94 10 إعداد التقارير...96 10.1 مقدمة تمهيدية...96 10.2 إعداد تقارير التدقيق المالي...98 10.3 تقارير التدقيق على األداء... 99.11 الملحقات 100... 11.1 الملحق أ: نظرة عامة على أدوات التحقق من سامة -8-

تقنية المعلومات...98 11.2 الملحق ج: نظرة عامة على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات...116 11.3 الملحق د: الممارسات الرائدة واطر العمل والمعايير...118 11.3.1 ايزو 118... 2005 :270001 11.3.2 بي اس 120... 2006 :25999 11.3.3 بطاقة الدفع- معيار تأمين البيانات) PCI-DSS (...121 11.3.4 إطار عمل كوبيتCOBIT... 122 11.3.5 نظام نضوج قدرات التكامل CMMI)...125( 11.3.6 اإلطار المعماري للمؤسسات TOGAF...126-9-

-10-

الدليل 1. محتويات الدليل يتضمن دليل التدقيق على تقنية المعلومات المنهجيات الواجب إتباعها في تخطيط وتنفيذ عمليات التدقيق على تقنية المعلومات من جانب األجهزة الرقابية. كما يعرض الدليل مرجعيات للضوابط الرقابي ة العام ة لتقني ة المعلوم ات وضواب ط التطبيق ات المس تخدمة في سياق أعمال التدقيق. ولهذا الغرض ينقسم الدليل إلى األقسام واألبواب اآلتية: 1.2 صيانة الدليل يتضمن هذا القسم عملية المراجعة الدورية التي تخضع لها منهجية التدقيق على تقنية معلومات األجهزة الرقابية باإلضافة إلى تحديد السلطة والشروط والتوقيت الذي تتم فيه المراجعة. كما يتضمن هذا القسم سياسة التعديل والنموذج الخاص بها. 1.3 سياسة السرية يق دم ه ذا القس م عرض ا تفصيلي ا لسياس ة الس رية الت ي تقره ا األجهزة الرقابية للتعامل مع هذا الدليل بحيث يقتصر استخدامه على أعضاء الجهاز. كما يعرض القسم السياسة واإلجراءات المتبعة لتوزيع الدليل وتعدياته المستقبلية على األعضاء الحاليين والجدد. تعتمد إجراءات توزيع الدليل على النموذج المقترح حاليا والمعد خصيصا لهذا الغرض. ويتضمن هذا القسم إرشادات بشأن اإلجراءات القانونية المرتبطة بالحقوق المكفولة في حالة عدم االلتزام ببيانات السياسة الواردة في هذا القسم. 1.4 المنهجية والمعايير القابلة للتطبيق يتضمن هذا القسم إشارة مرجعية مباشرة إلى معايير المراجعة الدولية واإلقليمية والمحلية -إن وجدت- التي يتم االعتماد عليها ومدى الحاجة إلى مراجعة المعايير السارية بالجهاز في حالة وقوع أي تغيير. -11-

مقدمة متهيدية يقدم هذا القسم نظرة عامة على أهمية تقنية المعلومات والتدقيق على تقنية المعلومات للمؤسسات الحكومية في اآلونة األخيرة. فضا عن ذلك يتضمن هذا القسم نبذة مختصرة عن: أهداف التدقيق على تقنية المعلومات معايير التدقيق على تقنية المعلومات التعرف على بيئة عمل تقنية المعلومات نظرة عامة على الضوابط الرقابية العامة لتقنية المعلومات والضوابط الرقابية للتطبيقات خطة وتوجه التدقيق على تقنية المعلومات يقدم هذا القسم عرض تصويري للمنهجية العامة للتدقيق على تقنية المعلومات باألجهزة الرقابية. كما يحدد مختلف المراحل والخطوات الواجب إتباعها في عملية التدقيق على تقنية المعلومات. التقييم المبدئي لتقنية المعلومات يتضمن هذا القسم سياسات وإجراءات فحص سامة تقنية المعلومات وتعقدها وكفاية الضوابط الرقابية المطبقة على وظائف تقنية المعلومات بالجهة. وتمثل نتائج هذا التقييم المبدئي األساس الذي يعتمد عليه المدقق لتحديد متطلبات التدقيق على تقنية المعلومات. كما يتم االستعانة بأداة التقييم المبدئي لتقنية المعلوم ات بحي ث تف ي بالغ رض م ن ه ذه المرحل ة. التخطيط يقدم قسم تخطيط عملية التدقيق عرض تفصيلي لألنشطة الواجب تنفيذها في مرحلة التخطيط. وتتضمن هذه المرحلة مجموعة من الخطوات األساسية على النحو التالي: -12-

التعرف على أهداف ونطاق التدقيق على تقنية المعلومات: تهدف هذه المرحلة إلى تحديد نوعية التدقيق المطلوب إجراءه )لدعم التدقيق المالي أو التدقيق على األداء( وتحديد نطاق التدقيق على تقنية المعلومات. التعرف على األعمال: في هذه المرحلة يتمكن المراجع من التوصل إلى مفهوم بشأن األمور الخاضعة للتدقيق وتوثيقه بما يكفي لتخطيط وتنفيذ أعمال التدقيق وفقا لمعايير ومتطلبات التدقيق. التعرف على النظم المرتبطة بنطاق التدقيق واستيعابها. تحديد نقاط الرقابة المهمة: في إطار هذه المرحلة يتعرف المدقق على نقاط الرقابة المهمة في تصميم نظم تقنية المعلومات للجهاز وتوثيق هذه النقاط. وتحدد هذه النقاط بناءا على معرفة المدقق بهذه النظم وأهم الوظائف التي تركز عليها عملية التدقيق ومخاطر تقنية المعلومات. التعرف على ضوابط تقنية المعلومات المتعلقة بأهداف التدقيق: تساعد هذه المرحلة المدقق على تحديد أنواع ومجاالت الضوابط المرتبطة بالتدقيق على تقنية المعلومات التنفيذ يعرض هذا القسم الدالئل اإلرشادية الستخدام المعلومات التي تم الحصول عليها خال مرحلة التخطيط لتقييم فاعلية ضوابط تقنية المعلومات )الضوابط العامة لتقنية المعلومات وضوابط التطبيقات(. وتتضمن هذه المرحلة مجموعة من الخطوات األساسية وهي: إجراء مراجعة شاملة: في هذه المرحلة يقوم مدقق تقنية المعلومات باختبار فاعلية تصميم الضوابط الرقابية لتقنية المعلومات. تصميم اختبار ضوابط تقنية المعلومات: يقوم المدقق خال هذه المرحلة بالجمع بين مجموعة متسقة من إجراءات -13-

التدقيق بغرض الحصول على دليل كافي ودامغ يدعم النتائ ج الت ي ت ؤول إليه ا أعم ال التدقي ق إلى جان ب تقيي م فاعلية تطبيق ضوابط تقنية المعلومات. تنفيذ اختبار ضوابط تقنية المعلومات: بناءا على المعلومات التي يتم الحصول عليها في مرحلة تصميم االختبار يقوم مدقق تقنية المعلومات باختبار فاعلية تطبيق ضوابط تقنية المعلومات. توثيق وتقييم النتائج: في هذه المرحلة يستعين المدقق بأدوات تقييم التدقيق على تقنية المعلومات لتوثيق نتائج المراجعة الشاملة ونتائج اختبار الضوابط الرقابية كل على حدة سواء كانت الضوابط العامة لتقنية المعلومات أو ضوابط التطبيقات. التعامل مع الضوابط ضعيفة الكفاءة: في هذه المرحلة يحدد المدقق األهداف الرقابية غير الفعالة وكيفية التعامل معها. تحديد مدى االعتماد على ضوابط تقنية المعلومات المتعلقة بنطاق التدقيق: بناءا على نتائج المراحل السابقة والتي تمثل مدخات هذه المرحلة يتوصل المدقق في النهاية إلى إمكانية»االعتماد«أو»عدم االعتماد«على ضوابط تقنية المعلوم ات. كما يعرض هذا القسم وصف تفصيلي للضوابط الرقابية العامة لتقنية المعلومات وضوابط التطبيقات. إعداد التقارير يقدم هذا القسم ملخص للنتائج التي آلت إليها عملية التدقيق موضحا اآلثار الفردية أو المجتمعة لنقاط الضعف التي تم اكتشافها في ضوابط تقنية المعلومات من حيث مخاطر التدقيق وأهدافه. كما يشير هذا القسم إلى الفروق بين متطلبات إعداد التقارير الخاصة بالتدقيق المالي والتدقيق على األداء. -14-

2.1 قواعد عامة تمثل معايير التدقيق -بما فيها معايير التدقيق على تقنية المعلومات- محتوى مرن يخضع لمراجعة دورية وتحديث مستمر ليعكس كافة التغيرات الداخلية والخارجية. لضمان صيانة أقسام الدليل وتحديثها يقوم المدير المعين لوحدة التدقيق على تقنية المعلومات باألجهزة والدواوين الرقابية بتقويض مسئولية أقسام معينة إلى موظفين مختصين بعد موافقة لجنة معايير وحدة التدقيق على تقنية المعلومات. يمك ن تفوي ض مس ئولية كل قس م إل ى أح د الموظفي ن بوح دة التدقي ق عل ى تقني ة المعلوم ات. بالرغم من توزيع مسئولية صيانة األقسام كل على حدة فيمكن أن يتولى موظف أول مسئولية تنسيق األعمال الازمة لتطوير جميع أقسام الدليل وتنفيذها ومراجعتها باستمرار وعرض هذه األعمال عل ى اللجن ة بصفت ه ممث ا ع ن مدي ر وح دة التدقي ق عل ى تقني ة المعلومات المختص. يجب أن يوضح الوصف الوظيفي لهذا الموظف تفاصيل المسئوليات الوظيفية والسلطات المنوطة به ومتطلبات الرقابة الخاصة بمهمته فيما يتعلق بتطوير وتعديل أقسام الدليل التي يتولى مسئوليتها. كما يمكن أن يتولى المدير المعين لوحدة التدقيق على تقنية المعلومات وظيفة رئيس الوحدة. يحتفظ مدققو تقنية المعلومات باألجهزة والدواوين الرقابية بقائمة تضم اسم القسم والموظف المسئول عنه وتاري خ تطوير القسم وتاريخ آخر مراجعة أجريت للقسم وغيرها من البيانات ذات الصلة. يمثل التدريب المستمر على األحكام والقواعد الواردة بأقسام دليل التدقيق على تقنية المعلومات جزء ال يتجزأ من عملية الصيانة والدعم المستمرة للدليل. يتمثل الغرض من أي برنامج تدريبي في رفع وعي وفهم -15-

اإلدارة والموظفين لمعايير التدقيق على تقنية المعلومات وكيفية تطويرها وكيفية توجيه أنشطة الوحدة والمزايا المستفادة من تطوير هذه المعايير في مختلف أقسام الدليل. 2.2 أسباب التغيير تنقسم األسباب الداعية إلى إجراء تغيير أو مجموعة من التغييرات إلى أسباب داخلية أو خارجية بطبيعتها. من المحتمل أن تؤدي أي تغييرات في القوانين والقواعد والنظم بالضرورة إلى إدخال تغيير كلي أو جزئي على المعايير والمنهجية التي يتبعها الجهاز أوالديوان. 2.3.1 األسباب الخارجية ```````````````````````````````````````````````````````````````````` ````````````````````````````معهد المدققين الداخليين وتمثله المعايير الدولية للممارسات المهنية للتدقيق الداخلي. المنظمة الدولية لألجهزة العليا للرقابة وتمثلها معايير IN- TOSAI إلى جانب معايير المنظمات اإلقليمية والتي تتضمن المنظمة العربية لألجهزة العليا للرقابة المالية والمحاسبة ARABOSAI المنظمة اإلفريقية لألجهزة العليا للرقابة المالية والمحاسبة AFROSAI ومنظمة األجهزة العليا للرقابة المالية والمحاسبة لدول الكاريبي CAROSAI والجهاز األعلى للرقابة األوروبي EUROSAI ورابطة الباسيفيك لألجهزة العلي ا للرقاب ة المالي ة العام ة والمحاس بة وذل ك ف ي حال ة وجود اختاف في المعايير عن انتوساي. أسباب أخرى إن وجدت. يقوم الجهاز بمراجعة وتعديل منهجية ومعايير التدقيق الخاصة به في إطار ما يتعلق بالمعايير السابق اإلشارة إليها السيما المكونات األساسية في الدليل التي تعكس مفاهيم تتجس د ف ي المعايي ر الدولي ة األخ رى المش ار إليه ا. 2.3.2 األسباب الداخلية: من المحتمل أن تؤدي أي من التغييرات الداخلية التنظيمية اآلتية -16-

إلى إدخال تغيير كلي أو جزئي على منهجية أو معايير التدقيق التي يتبعها الجهاز وتتمثل هذه التغييرات في اآلتي: تغييرات في وظائف أو أنشطة الجهاز أوالديوان نتيجة لتغييرات داخلية في المخطط الوظيفي أو التنظيمي تغييرات في عمليات األعمال الداخلية تغييرات في مخططات تفويض السلطات تغييرات في األدوار والواجبات والوصف الوظيفي للموظفين تغييرات في القواعد الداخلية للجهاز أوالديوان سواء القواعد المالي ة أو الخاص ة بالموظفين تغييرات في الخدمات التي يقدمها الجهازأ والديوان يقوم الجهاز أوالديوان بمراجعة وتعديل منهجية ومعايير التدقيق الخاصة به في إطار ما يتعلق بالمعايير السابق اإلشارة إليها السيما المكونات األساسية في الدليل التي تعكس مفاهيم تتجسد في المعايير الدولية األخرى المشار إليها. 2.3 التوقيت والمواعيد يحدد التوقيت ومعدل مراجعة المعايير على أساس منتظم وتكراري أو غير تكراري بطبيعته كما توضح النقاط التالية: التغييرات المنتظمة التكرارية: تمثل إمكانية إرساء»ثقافة التغيير«بحيث عملية إدارة التغيير منتظمة بطبيعتها. وبإيجاز يجب إجراء مراجعة منتظمة ألي نظام يعكس عملية األعمال التي تعتمد على منهجية أو معيار ال يتسم بالكفاءة بطبيعته دون الحاجة إلى توافر أسباب داخلية أو خارجية تستتبع التغيير. وبالتالي يجري الجهاز والديوان مراجعة منتظمة لمعايير ومنهجية التدقيق مرة واحدة على األقل كل خمس سنوات. التغييرات المنتظمة غير التكرارية: يرتبط توقيت إجراء هذا التغيير مباشرة بضرورة وسرعة الحاجة إلى تنفيذه بغرض تطبيق أحد متطلبات القانون أو تغيير في معايير التدقيق أو معايير المحاسبة الدولية أو غيرها من المعايير المهنية الصادرة -17-

من مؤسسات تطوير المعايير الدولية ومعايير المؤسسات المهنية الموضحة في القسم 2,3,1. يرتبط توقيت إجراء التغيير إن كان عاجا بطبيعته- بأحد متطلبات القانون أو احد المعايير المهنية التي تشترط موعد معين نهائيا للوفاء بها. في حاالت أخرى عندما ال تشترط المعايير الدولية أو القوانين موعد معين لتنفيذها تستند العملية إلى التقدير المهني للجهاز والدي وان ف ي تحدي د الموع د المناس ب إلج راء التغيي ر خ ال م دة ال تتج اوز خم س س نوات م ن تاري خ إص دار القان ون أو التش ريع أو المعيار الخاص. وتجدر اإلشارة إلى أن عملية المراجعة ترتبط بشكل مباشر في األساس بالمعايير التي يتبعها الجهاز سواء كليا أو جزئيا نتيجة لوقوع تغيير في المعايير أو الممارسات أو المنهجيات الخاصة بأي من الهيئات الرقابية السابقة. ويمكن اعتبار عملية التغيير أمرا يرتبط بالسياسة في حالة إحجام الجهاز أوالديوان عن إتباع معايير هيئة رقابية معينة. ففي حالة قيام هذه الهيئة الرقابية بإصدار معيار أو نشاط أو منهجية جديدة فيجب على الجهاز دراسة التعقيدات المترتبة عليها ومقارنتها بالمعايير أو الممارسات أو المنهجيات الخاصة به من منظور قياسي بحيث يؤدي في النهاية إلى إدخال التغيير المناسب. 2.4 اإلجراءات تقدم طلبات التغيير باألجهزة والدواوين من مصدرين رئيسيين. يتمثل المصدر األول في طلبات التغيير الصادرة من مدققي تقنية المعلومات وقد تصدر طلبات التغيير من القطاعات أو الدوائر أو الموظفين التابعين للجهاز أو الديوان ويمثلون المصدر الثاني. في حالة تقديم طلب تعديل داخلي يتولى مسئولية أقسام الدليل مجموعة من الموظفين الموظف المختص للرقابة على التطويرات والتعديات المدخلة على كل قسم من أقسامه وتعرض ه ذه الطلب ات عل ى الس لطات المختص ة كم ا اش رنا س لفا. -18-

في حالة تقديم طلب تعديل خارجي يتولى إرسال الطلب موظف بدرجة مدير دائرة/إدارة على األقل مع تحديد أسباب تقديم طلب التعديل وربطها بأعمال التدقيق التي تؤديها إدارة أخرى. تتبع األجهزة والدواوين الرقابية هذا اإلجراء بغرض تقنين وتقييد الحاالت التي تسمح لهم تكرار مراجعة نفس الهيئة أو نفس األمر أكثر من مرة. كما يعمل هذا اإلجراء على إرساء وع ي ع ام بي ن قطاع ات األجه زة والدواوي ن بش أن أعم ال التدقي ق المنوط ة ب كل منه ا والت ي ت ؤدي ف ي النهاي ة إل ى تعزي ز ش مولية أعمال التدقيق. في حالة صدور طلب التغيير من مدققي تقنية المعلومات أنفسهم تتب ع اإلج راءات اآلتية: يقوم الموظف مقدم الطلب من مدققي تقنية المعلومات باستيفاء نموذج طلب التعديل )انظر النموذج المرفق رقم 2 -أ نموذج طلب التعديل( وعرضه على مدير وحدة التدقيق على تقنية المعلومات. يقوم مدير وحدة التدقيق على تقنية الملومات بمراجعة الطلب. في حالة إمكانية تنفيذ الطلب يقوم مدير الوحدة بإحالة الطلب إلى رئيس وحدة التدقيق على تقنية المعلومات. يقوم مدير وحدة التدقيق على تقنية المعلومات بمراجعة الطل ب. في حالة إمكانية تنفيذ الطلب يقوم مدير وحدة التدقيق على تقنية المعلومات بإحالة الطلب إلى لجنة تطوير المعايير. تنعقد لجنة تطوير المعايير بناءا على الطلب المقدم من مدير وحدة التدقيق على تقنية المعلومات. تتولى اللجنة مراجعة الطلب ودراسة األمور المترتبة على إجراء التغيير المحتمل على محتويات الدليل: -19-

1.1 مرجعة كفاءات ومهارات الموارد البشرية ومناقشة التغييرات في متطلبات الموظفين 2.2 مراجعة نظم معلومات اإلدارة ومناقشة التغييرات المحتمل إدخالها على متطلبات تقنية المعلومات. 3.3 تقييم األم ور القانونية والتنظيمية والمحاس بية وتجميع تعليقات المتخصصين المهنيين عند الحاجة. 4.4 تقييم التغييرات المطلوب إجراءها في األدلة األخرى للتوافق مع التغيير الذي تم إدخاله على دليل التدقيق عل ى تقني ة المعلوم ات. إذا وافقت اللجنة على جانب من هذه التغييرات وتعليق تغيير جزئي في محتوى الطلب يعاد الطلب إلى مدير التدقيق على تقنية المعلومات الذي يقوم بالتنسيق مع مدير وحدة التدقيق على تقنية المعلومات لتنفيذ التغييرات المطلوبة. يعاد عرض التغييرات الجديدة على لجنة تطوير المعايير لمراجعتها واعتمادها. في حالة موافقة اللجنة على التغييرات يحال الطلب إلى رؤس اء األجه زة والدواوي ن إلص دار الموافق ة النهائي ة عليه ا. في حالة عدم الموافقة على التغييرات يقوم رؤوساء األجهزة والدواوين بإعادة العملية بالكامل للعرض على اللجنة للدراسة وإنهاء العملية إذا أرتئوا عدم مائمة التغيير المطلوب. في حالة الموافقة على التغييرات يتولى مدققو تقنية المعلومات اتخاذ الخطوات التنفيذية التالية: 1.1 يتولى مدير وحدة التدقيق على تقنية المعلومات التعامل مع التعديات وإرسال التغييرات إلى الموظف المختص المسئول عن إدخال هذه التعديات إلى األقسام ذات الصلة بالدليل. -20-

2.2 يقوم الموظف المختص بإجراء التغييرات المطلوبة والحصول على موافقة رئيس وحدة التدقيق على تقنية المعلومات ومدير التدقيق على تقنية المعلومات عليها. 3.3 بعد ذلك يقوم الموظف المختص بطباعة كافة التغييرات وإضافتها إلى أقسام الدليل مع إضافة النماذج المطلوبة وغيرها من المواد ذات الصلة. 4.4 يتم توزيع كافة األقسام الجديدة )بما في ذلك النماذج( على اإلدارات المعنية بالجهاز أو الموظفين المختصين بين مدققي تقنية المعلومات باستخدام نموذج رقم 1,4,1»نموذج توزيع الدليل«. 5.5 بعد توزيع األقسام الجديدة يقوم الموظف المختص بتحديث النموذج رقم 2,5,5»بيان صيانة الدليل«الوارد في هذا القسم من الدليل. 6.6 يتولى مدققو تقنية المعلومات التنسيق مع إدارة التدريب لعقد جلسة تدريبية حول التغييرات الجديدة. 7.7 تتول ى لجن ة تطوي ر معايي ر وح دة التدقي ق عل ى تقني ة المعلومات مراقبة مدى االلتزام بتطبيق المعايير الجديدة. -21-

2.5.1 نموذج طلب التعديل اسم الهيئة التي طلبت التعديل: مرجعية القسم/األقسام: قسم الدليل: اسم القسم: وصف التعديات المطلوبة: التعديات المقترحة: مقدم التعديل المقترح: )الموظف مقدم الطلب( مسئول المراجعة )المدير المباشر للموظف( مسئول االعتماد: )مدير التدقيق على تقنية المعلومات( مسئول االعتماد: )لجنة تطوير المعايير( االعتماد النهائي: )رئيس الجهاز( تاريخ التنفيذ: _)يحدده مدير وحدة التدقيق على تقنية المعلومات( توقيع الموظف المختص: )بناءا على االعتماد النهائي( -22-

2.5.2 نموذج بيان صيانة الدليل رقم القسم الموظف المسئول تاريخ السريان تاريخ الم ارجعة تعليقات أخرى األخيرة 1 2 3 4 5 17-23-

3. المنهجية والمعايير السارية 3.1 أفضل الممارسات الدولية في مجال التدقيق على تقنية المعلومات تعتبر المبادئ والمنهجيات والمعايير الواردة في هذا الدليل نتاجا للتطوير الذي قام بها األجهزة والدواوين الرقابية الذي تتولى إعداد هذا الدليل في ضوء المبادئ والمنهجيات والمعايير التي تمثل أفضل الممارسات الدولية في مجال التدقيق على تقنية المعلومات بشكل خاص وفي مجال التدقيق على المؤسسات الحكومي ة بش كل ع ام. فيما يلي عرض للهيئات المسئولة عن إصدار المعايير التي تمثل المص ادر المهني ة المش ار إليه ا بصفته ا مص ادر الممارس ات الرائ دة خال تطوير هذا الدليل: جمعية تدقيق ومراقبة نظم المعلومات وتمثلها معايير التدقيق على تقنية المعلومات وإطار عمل كوبيت Cobit Framework ايزو 2005 27001: )تقنية المعلومات- أدوات التأمين - نظم إدارة تأمين المعلومات المتطلبات( ايزو 2005 20000: )تقنية المعلومات- إدارة الخدمات- المواصفات( مكتبة البنية األساسية لتقنية المعلومات ITIL النسخة 3 بي اس 2006 25999: )إدارة استمرار األعمال( معهد المدققين الداخليين وتمثله المعايير الدولية للممارسات المهني ة للتدقي ق الداخلي. المنظمة الدولية لألجهزة العليا للرقابة وتمثلها معايير IN- TOSAI إلى جانب معايير المنظمات اإلقليمية والتي تتضمن المنظمة العربية لألجهزة العليا للرقابة المالية والمحاسبة ARABOSAI المنظمة اإلفريقية لألجهزة العليا للرقابة المالية والمحاسبة AFROSAI ومنظمة األجهزة العليا للرقابة المالية والمحاسبة لدول الكاريبي CAROSAI والجهاز األعلى -24-

للرقابة األوروبي EUROSAI ورابطة الباسيفيك لألجهزة العلي ا للرقاب ة المالي ة العام ة والمحاس بة وذل ك ف ي حال ة وجود اختاف في المعايير عن انتوساي. إطار تخطيط الحكومة االلكترونية العمانية. تم اإلشارة إلى المصادر السابقة في سياق عرض الممارسات الرائدة الدولية التي تمثل هيئات التدقيق المتخصصة فقط.. ولهذا الغرض فقد التزم هذا الدليل بجميع االفصاحات والمتطلبات الخاص ة بحق وق المؤل ف. والى جانب معايير التدقيق على تقنية المعلومات يجب أن يكون مدقق تقنية المعلومات على دراية بالقوانين والنظم األخرى أو مصادر السلطات التي قد تؤثر على أعمال التدقيق على تقنية المعلومات. كما يجب االسترشاد بالمعايير الدولية أو معايير التدقيق على تقنية المعلومات السارية عند قيام الجهاز بتنفيذ أعمال التدقيق على تقنية المعلومات. 4. مقدمة تمهيدية 4.1 الغرض يقدم هذا الدليل منهجية لتنفيذ أعمال مراجعة الضوابط الرقابي ة لنظ م المعلوم ات )أعم ال التدقي ق عل ى تقني ة المعلوم ات( وفقا للمعايير المتعارف عليها في هذا المجال. كما يعرض هذا الدليل إطار لتقييم فاعلية ضوابط تقنية المعلومات وضوابط تقنية المعلومات التي يجب على المدققين تقييمها في إطار تقييم مدى االلتزام بالسرية والتكامل وتوافر المعلومات ونظم تقنية المعلومات. تمثل ضوابط تقنية المعلومات الضوابط الداخلية التي يعتمد عليها الجهاز لمعالجة نظم المعلومات وتنقسم إلى الضوابط العامة وضوابط التطبيقات. ويركز هذا الدليل على الضوابط العامة لتقنية المعلومات وضوابط التطبيقات. تم إعداد هذا الدليل بهدف مساعدة المدققين العاملين باألجهزة العليا للرقابة والمحاسبة بدول مجلس التعاون الخليجي على تنفيذ أعمال التدقيق على تقنية المعلومات في إطار أعمال التدقيق المالي والتدقيق على اآلداء. -25-

4.2 تعريف عملية التدقيق على تقنية المعلومات والغرض منها يقصد بالتدقيق على تقنية المعلومات»عملية تجميع وتقييم الدالئل التي تؤكد على أن نظم تقنية المعلومات المستخدمة لدى الجهة تمكن من تحقيق األهداف اآلتية : إنتاج مخرجات معلوماتية حديثة ودقيقة ووافية ويمكن االعتماد عليها التأكد من سرية وتكامل وتوافر البيانات وإمكانية االعتماد عليها االلتزام بالمتطلبات القانونية والتنظيمية ضمان تحقيق األهداف التنظيمية بفاعلية وحسن استخدام الموارد.«4.3 الحاجة إلى التدقيق على تقنية المعلومات أتاح االعتماد على نظم تقنية المعلومات استخدام أساليب مختلفة جذريا لمعالجة وتسجيل ومراقبة المعلومات كما جمع العديد من الوظائف التي كانت منفصلة في السابق. إال أن المؤسسات تتكبد تكلفة كبيرة مع تزايد احتمال وقوع أخط اء مادي ة بالنظ ام. حي ث ت ؤدي الطبيع ة التكراري ة للعدي د م ن تطبيقات تقنية المعلومات إلى وقوع أخطاء بسيطة قد تسفر عن خسائر كبيرة. على سبيل المثال أن وقوع خطأ في حساب المرتب ات الت ي يت م صرفه ا للموظفي ن عل ى النظ ام الي دوي ق د ال يتكرر في كل حالة إال انه فور وقوع هذا الخطأ على نظام تقنية المعلومات فسوف يؤثر على كل حالة. وعلى ذلك يصبح لزاما على المدقق اختبار العمليات األساسية وتحديد نقاط الضعف في كل نظام من نظم تقنية المعلومات. تحدد الجهة الحكومية التي تس تعين بنظ م تقني ة المعلوم ات األه داف والمخرج ات الت ي تتطل ع إل ى تحقيقه ا كعائ د الس تثماراتها الكبي رة ف ي مج ال التكنولوجي ا. ومن بين األسباب التي تدفع الجهة إلى االستعانة بنظم تقنية المعلومات: -26-

الحصول على قيمة األعمال من خال انخفاض التكاليف زيادة الفاعلية تعزيز الكفاءة و/أو زيادة القدرة على تقديم الخدمات. وفي مقابل األهداف السابقة يطالب المدقق بضمان فاعلية وكفاءة نظم تقنية المعلومات. وبطبيعة الحال تتضمن أهداف الجهة من استخدام تقنية لمعلومات لدعم عمليات األعمال: السرية التكاملية اإلتاحة وتوافر المعلومات المطلوبة إمكانية االعتماد على النظام و االلتزام بالمتطلبات القانونية والتنظيمية. يتمثل أساس هذه األهداف في الحاجة إلى ضمان قدرة تقنية المعلومات والضوابط الرقابية التي تدعمها على مساعدة الجهة لتحقيق أهدافها )الفاعلية( في إطار أفضل استغال للموارد )الكفاءة(. الس رية: وتمث ل حماي ة المعلوم ات الهام ة م ن الدخ ول غي ر المصرح. ويجب تحديد مستوى حساسية البيانات للتعرف نوعية الضوابط المطلوبة للدخول إليها. كما تحتاج اإلدارة إل ى ضم ان ق درة الجه ة عل ى الحف اظ عل ى س رية البيان ات أخذا في االعتبار أن المخاطرة بسرية البيانات قد يؤدي إلى إفشاءها بما يعكس صورة سلبية ويؤثر على سمعة الجهة السيما إذا كانت معلومات حساسة. -27-

التكاملي ة: وتش ير إل ى دق ة واس تيفاء البيان ات وصحته ا ف ي إطار متطلبات وتوقعات الجهة. ويعتبر تحقيق التكاملية احد أهداف التدقيق الواجب التأكد من تحقيقها حيث يضمن هذا الهدف لكل من اإلدارة والمستخدمين الخارجيين إمكانية االعتماد على التقارير المعلوماتية الصادرة من نظم معلومات الجهة والثقة في دقتها التخاذ قرارات هامة بناءا عليها. اإلتاحة وتوافر المعلومات المطلوبة: يشير إلى المعلومات المتوافرة عند الحاجة إليها لتنفيذ عمليات األعمال في الوقت الحالي وفي المستقبل كما يركز هذا الهدف على حماية المصادر األساسية للمعلومات واإلمكانات المرتبطة بها. وأخذا ف ي االعتب ار أن حف ظ معلوم ات جوهري ة عل ى نظ م أجه زة الحاسب يعد أمر شديد الخطورة بطبيعته فمن األهمية أن تضمن المؤسسات توافر المعلومات الازمة التخاذ القرار عند الحاجة إليها. ولهذا الغرض يجب أن تتحقق الجهة من اتخاذ التدابير الازمة لضمان استمرار العمل وسرعة استرداد المعلومات في حاالت األعطال أو الكوارث بحيث تتوافر المعلومات للمستخدمين فور الحاجة إليها. إمكانية االعتماد على النظام: يشير هذا الهدف إلى درجة اتس اق النظ ام أو قدرت ه )أو اح د مكونات ه( عل ى أداء الوظيف ة المطلوبة وفي ظل قواعد محددة. يمثل قياس إمكانية االعتماد على النظام احد أهم أهداف التدقيق حيث يضمن التناغم واالتساق في تشغيل النظام وأداء الوظائف المطلوبة من ه وفق ا للتوقع ات. االلتزام بالمتطلبات القانونية والتنظيمية: يركز هذا الهدف على االلتزام بالقوانين والنظم وااللتزامات التعاقدية التي تخضع لها الجهة والتي تمثل بالنسبة لها قواعد عمل تفرض على الجهة تبعا اللتزاماتها الخارجية. وفي هذا الصدد تطالب اإلدارة والمشاركون الرئيسيون بضمان تطبيق ضوابط تقنية المعلومات الازمة أخذا في االعتبار أن الجهة قد تتعرض لمخاطر محتملة بفرض غرامات وعقوبات عليها نتيج ة لع دم االلت زام بالمتطلب ات القانوني ة والتنظيمي ة. -28-

وقد أضاف االستخدام المتزايد للحاسبات بغرض معالجة البيانات المؤسسية أبعادا جديدة لوظائف مراجعة وتقييم الضوابط الداخلية ألغراض التدقيق مع ارتفاع أهمية وقيمة ضوابط تقنية المعلومات في أي نظام معلوماتي. ولهذا فمن األهمية أن يتأكد المدقق مما يلي : تطبيق الضوابط الرقابية السليمة لتقنية المعلومات فاعلية أداء ضوابط تقنية المعلومات لضمان تحقيق النتائج واأله داف المرج وة يجب تحقيق التكافؤ بين ضوابط تقنية المعلومات والمخاطر التي تم تقييمها وذلك بغرض تخفيض اثر المخاطر إلى مستويات مقبولة تقييم مدى كفاية ضوابط تقنية المعلومات المتوافرة في النظم المعلوماتية وذلك لتجنب مخاطر فقدان البيانات نتيجة لوقوع أخطاء أو التعرض لاحتيال أو لوقوع كوارث أو ح وادث. 5. تطبيق أعمال التدقيق على تقنية المعلومات يمثل التدقيق على تقنية المعلومات احد المكونات في عملية تدقيق شاملة حيث يمكن تنفيذ التدقيق على تقنية المعلومات خ ال تنفي ذ: التدقيق المالي التدقيق على األداء ومن األهمية التعرف على أنماط عمليات التدقيق التي يمكن إجراءها على تقنية المعلومات. ويعد هذا األمر احد المتطلبات الازمة لتطوير برامج وإجراءات التدقيق موجهة ومركزة بصورة سليمة وتنفذ في النهاية بما يحقق األهداف المحددة لعملية التدقي ق. -29-

تتضم ن أه داف التدقي ق عل ى تقني ة المعلوم ات كأح د مكون ات التدقي ق المال ي: ضمان فاعلية الضوابط الرقابية على نظم تقنية المعلومات التي تؤثر على معالجة البيانات المالية. وفي حالة تنفيذ عملية التدقيق على تقنية المعلومات بين أنشطة التدقي ق عل ى األداء تتح دد أه داف العملي ة م ن خ ال ال دور ال ذي تؤديه تقنية المعلومات في عملية التدقيق: التعرف على آليات استفادة اإلدارة من استخدام تقنية المعلومات لتعزيز عمليات األعمال الهامة التع رف عل ى اآلث ار العام ة لتقني ة المعلوم ات عل ى عملي ات األعمال الهامة للمؤسسة الخاضعة للتدقيق التعرف على األثر المترتب على استخدام الجهة الخاضعة للتدقي ق لوس ائل تقني ة المعلوم ات بغ رض معالج ة وتخزي ن ونقل المعلومات على نظم الرقابة الداخلية ومراعاة المخاطر المتأصلة ومخاطر الرقابة تحديد وفهم الضوابط الرقابية التي تستعين بها اإلدارة لقياس ومراقبة عمليات تقنية المعلومات التحقق من فاعلية تنفيذ كافة التطبيقات الخاصة بنظم تقنية المعلومات بما في ذلك الضوابط الرقابية الضرورية اختبار كفاءة وفاعلية احد عمليات األعمال/احد برنامج الحكومة باإلضافة إلى التدقيق على تقنية المعلومات التي تعتبر احد العناصر الحيوية للمؤسسة. 5.1 الضوابط الرقابية لتقنية المعلومات تمثل الضوابط الرقابية لتقنية المعلومات مجموعة من السياسات واإلجراءات والنظم المستخدمة لتجنب المخاطر المرتبطة ببيئة تقنية المعلومات ونظم التطبيقات. -30-

يتم تطوير ضوابط تقنية المعلومات بغرض تحقيق مستوى معقول من ضمان تحقيق األهداف اآلتية: إنتاج مخرجات معلوماتية حديثة ودقيقة ووافية ويمكن االعتماد عليها التأكد من سرية وتكامل وتوافر البيانات وإمكانية االعتماد عليها االلتزام بالمتطلبات القانونية والتنظيمية ضمان تحقيق األهداف التنظيمية بفاعلية وحسن استخدام الموارد.«تنقسم الضوابط الرقابية إلى فئتين: الضوابط الرقابية العامة لتقنية المعلومات ITGC ضوابط التطبيقات 5.2 الضوابط الرقابية العامة لتقنية المعلومات ITGC تسمح الضوابط الرقابية لعامة لتقنية المعلومات بتهيئة البيئة المناسبة لتشغيل نظم التطبيقات وضوابط التطبيقات. تركز الضوابط الرقابية العامة لتقنية المعلومات على البنية األساسية لتقنية المعلومات لدى الجهة الخاضعة للتدقيق بما في ذلك كافة السياسات واإلجراءات وممارسات العمل المرتبطة بتقنية المعلومات. وال تقتصر هذه الضوابط على المعامات الفردية أو أعمال محاسبية أو تطبيقات مالية معينة. ففي اغلب األحيان تركز عناصر الضوابط العامة لمراجعة تقنية المعلومات على إدارة تقنية المعلوم ات أو القس م المخت ص به ذه الوظيف ة ف ي الجه ة الخاضع ة للتدقيق. ومن أمثلة هذه الضوابط سياسات تقنية المعلومات والمعايير واإلرشادات الخاصة بتأمين تقنية المعلومات وحماية البيانات -31-

وتطوير برامج التطبيقات وضوابط التغيير والفصل بين الواجبات وخط ط اس تمرار األعم ال... إل ى غي ر ذل ك. 5.3 ضوابط التطبيقات ترتبط ضوابط التطبيقات بتطبيقات معينة لتقنية المعلومات وتتضمن مجموعة الضوابط التي تساعد على التحقق من اعتماد المعامات -وغيرها من أنواع مدخات البيانات- واكتمالها ودقتها وصحته ا وصيانته ا. فحوص االكتمال: وتمثل الضوابط التي تضمن سامة عملية معالجة جميع السجات من بدايتها وحتى انتهاءها. فحوص السامة: وتهدف إلى التحقق من معالجة أو إدخال الصحيح فقط من البيانات. ضوابط التعريف: وهي الضوابط التي تضمن وضع بيانات متميزة وغير مشكوك في سامتها للتعرف على جميع المستخدمين. ضوابط التصديق: وهي الضوابط التي تتضمن آلية التصديق على نظام التطبيقات. ضوابط التصريح: وهي الضوابط التي تضمن دخول المستخدمين المصرح لهم فقط إلى نظام التطبيقات. ضوابط المدخات: وهي الضوابط التي تضمن تكامل البيانات التي يتم تغذية نظام التطبيقات بها من مصادر عليا. يتم تخصيص ضوابط فريدة للرقابة على كل تطبيق على حدة ويمكن أن تؤثر بشكل مباشر على المعامات الفردية. تستخدم هذه الضوابط لتقديم ضمان )مبدئي إلى اإلدارة( بسامة واكتمال المعامات واعتمادها وتسجيلها. وأخذا في االعتبار االرتباط الوثيق بين ضوابط التطبيقات والمعامات الفردية فيسهل علينا تفهم لماذا يضمن المدقق دقة -32-

احد الحسابات من خال اختبار الضوابط. على سبيل المثال: يضمن اختبار الضوابط الرقابية على تطبيقات المرتبات سامة مبالغ المرتبات المسجلة في حسابات الجهة الخاضعة للتقييم. وال نرى أن اختبار الضوابط العامة لتقنية المعلومات لدى الجهة )مثل إجراءات ضوابط التغيير( يقدم ضمانا مماثا لدقة نفس الحسابات. 5.4 دور الجهاز األعلى للرقابة والمحاسبة في اعمال التدقيق على تقنية المعلومات في إطار الدور الذي يقوم به الجهاز األعلى للرقابة يتولى إجراء تدقيق مستقل على النواحي المالية ومستوى األداء للجهات الخاضعة للرقابة. كما يجب على مدقق الجهاز التدقيق على تقنية المعلومات )كأحد أنشطة التدقيق المالي أو التدقيق على األداء(. 6. منهجية التدقيق على تقنية المعلومات 6.1 مقدمة تمهيدية تمثل منهجية التدقيق على تقنية المعلومات إطار عمل يحدد متطلبات التدقيق على تقنية المعلومات بالجهة الخاضعة للتدقيق ولتقديم اإلرشادات الازمة لتنفيذ أعمال التدقيق )بصفته أحد مكونات التدقيق المالي أو التدقيق على األداء( تنقسم منهجية التدقيق إلى أربع مراحل رئيسية : التقييم المبدئي لتقنية المعلومات: وفيها تحدد متطلبات التدقيق على تقنية المعلومات بالجهة الخاضعة للتقييم. التخطي ط: خ ال ه ذه المرحل ة يتول ى المدق ق عل ى تقني ة المعلومات تحديد نطاق وأهداف التدقيق واالستيعاب الكامل للعمليات واألعمال والبنية األساسية للمؤسسة الخاضعة للتقييم. كما يعمل المدقق على تحديد المجاالت األساسية التي تركز عليها أعمال التدقيق وضوابط تقنية المعلومات الت ي يج ب اختباره ا وتقييمه ا وفق ا لنط اق التدقي ق. التنفيذ: خال هذه المرحلة يجري المدقق عمليات مراجعة ش املة واختب ار لضواب ط تقني ة المعلوم ات وتقيي م فاعليته ا. -33-

كما يحدد المدقق مدى إمكانية االعتماد على الضوابط الحالية لتقنية المعلومات في إطار نطاق التدقيق. إعداد التقارير: في هذه المرحلة يقوم المدقق بتوثيق جميع نتائ ج وماحظ ات التدقي ق وع رض النتائ ج المرتبط ة بنط اق التدقيق على الجهة الخاضعة للتدقيق. 6.2 خريطة الطريق لتنفيذ منهجية التدقيق على تقنية المعلومات يمثل المخطط التالي خريطة الطريق لتنفيذ منهجية التطبيق عل ى تقنية المعلوم ات األجهزة والدواوين الرقابي ة والتي تش تمل على كافة مراحل التدقيق على تقنية المعلومات واهم األنشطة والعمليات في كل مرحلة: التحقق من سالمة بيئة عمل تقنية المعلومات التخطيط التنفيذ إعداد التقارير تقييم تعقد تقنية المعلومات التعرف على أهداف ونطاق التدقيق على تقنية المعلومات إج ارء م ارجعة شاملة إعداد التقارير الخاصة بالتدقيق المالي تقييم إمكانات ضوابط تقنية المعلومات استيعاب طبيعة األعمال تصميم اختبار ضوابط تقنية المعلومات إعداد التقارير الخاصة بالتدقيق على األداء تحديد متطلبات التدقيق على تقنية المعلومات تحديد واستيعاب النظم التي يشملها نظام التدقيق اختبار ضوابط تقنية المعلومات تحديد نقاط الرقابة المهمة توثيق وتقييم النتائج تحديد ضوابط تقنية المعلومات المرتبطة بأهداف التدقيق التعامل مع الضوابط غير الفعالة لتقنية المعلومات تحديد مدى إمكانية االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق الشكل 1,0 )خريطة الطريق لتنفيذ منهجية التدقيق على تقنية المعلومات األجهزة والدواوين الرقابية( -34-

SITAM Approach IT Health Check END Planning START Assess IT Complexity Assess IT Control Maturity Determine IT Audit Requirements NO YES Understand Audit Objectives and Scope of the IT Audit Understand the Business Understand & Identify the Systems Relevant to Audit Scope IT Health Check Report Detailed IT Audit Required? Identify IT Controls Relevant to Audit Objective Identify Critical Control Points Reporting Execution Perform Walkthroughs Document all findings and observations Determine the Level of Reliance of IT Controls Relevant to Audit Scope END Finalize the Audit Report Issue Draft Audit Report Respond to Ineffective IT Controls Document and Evaluate Results Execute Test of IT Controls Design Test of IT Controls Management Letter الشكل 2,0 )توجه منهجية التدقيق على تقنية المعلومات( يوضح المخطط التالي التوجه الواجب على مدققي األجهزة والدواوين الرقابية إتباعه لتنفيذ أعمال التدقيق على تقنية المعلومات )لدعم التدقيق المالي والتدقيق على األداء( وفقا لمنهجية التدقيق على تقنية المعلومات. وسوف يعرض الدليل تفاصيل األنشطة التي تتضمنها كل مرحلة )التقييم المبدئي لتقنية المعلومات والتخطيط والتنفيذ وإعداد التقارير(. 6.3 توجه منهجية التطبيق على تقنية المعلومات -35-

6.4 ضوابط تقنية المعلومات في إطار منهجية التدقيق على تقنية معلومات تستند منهجية التدقيق على تقنية المعلومات على المفاهيم اآلتية لضوابط تقنية المعلومات على النحو التالي: أنواع الضوابط: تتألف الضوابط من نوعين أساسيين وهم الضوابط العامة لتقنية المعلومات وضوابط التطبيقات. ويشتمل كل نوع على مجاالت رقابية مختلفة تتعامل مع مختلف وظائف تقنية المعلومات مثل إدارة التغيير. مجاالت الضوابط الرقابية: وتمثل مجموعة من األهداف الرقابية التي تسعى إلى تنفيذ وظيفة كاملة من وظائف تقنية المعلومات. حيث يتعامل كل مجال مع وظيفة معينة من وظائف تقنية المعلومات. أهداف الرقابة: هي البيانات أو النتيجة والغرض المطلوب تحقيقه. تسعى أهداف الرقابة في كل مجال إلى تحقيق أغراض مختلفة تساهم في تحقيق الهدف العام من المجال الرقاب ي. الضوابط الرقابية: هي البيانات التي تقدم ضمان معقول لتحقيق أهداف األعمال وتجنب وقوع أحداث غير مرغوبة أو اكتشافها ومعالجتها. وتتألف أهداف الرقابة من مجموعة متماثلة من الضوابط. العناصر أنواع ضوابط تقنية المعلومات الوظائف المرتبطة بالضوابط أهداف الرقابة الضوابط أمثلة عملية الضوابط العامة لتقنية المعلومات إدارة التغيير تنفيذ عملية فعالة إلدارة التغيير هل تم اختبار التغيي ارت في بيئة اختباريه الشكل 3,0 )مخطط الضوابط في إطار منهجية التدقيق على تقنية المعلومات( -36-

تتضمن منهجية التدقيق على تقنية المعلومات المعتمدة لدى الجهاز األعلى للرقابة على تقنية المعلومات نوعين من ضوابط تقنية المعلومات: الضوابط العامة لتقنية المعلومات وضوابط التطبيقات. فيما يتعلق بالضوابط العامة لتقنية المعلومات تتمثل مجاالت الضوابط الرقابية في: الضوابط التنظيمية وضوابط اإلدارة وإدارة التغيير وضوابط الدخول والضوابط التشغيلية لتقنية المعلومات وإدارة التأمين وإدارة استمرار األعمال. فيما يتعلق بضواب ط التطبيق ات تتمث ل مج االت الضواب ط الرقابي ة ف ي: إدخ ال البيانات ومعالجة البيانات ومخرجات البيانات وإعدادات البيانات األساسية وصيانتها وضوابط التداخل. عاوة على ذلك يستعرض الدليل فيما بعد وصف لهذه المجاالت مع أهداف الرقابة المرتبطة بها. أنواع الضوابط الوظائف المرتبطة بالضوابط الضوابط الرقابية لتقنية المعلومات الضوابط الرقابية العامة لتقنية المعلومات ITGCs ضوابط التطبيقات الضوابط التنظيمية وضوابط اإلدارة إدارة التغيير ضوابط الدخول الضوابط التشغيلية لتقنية المعلومات إدارة التأمين إدارة استم ارر األعمال إدخال البيانات معالجة البيانات مخرجات البيانات إاوعدادات البيانات األساسية وصيانتها ضوابط التداخل الشكل رقم 4,0 )أنواع ومجاالت ضوابط تقنية المعلومات في نطاق منهجية التدقيق على تقنية المعلومات( -37-

7. التحقق من سالمة بيئة عمل تدقيق المعلومات وفقا لمنهجية التدقيق على تقنية معلومات المعتمدة لدى الجهاز األعلى للرقابة يمثل التحقق من سامة بيئة عمل تقنية المعلومات المرحلة األولى في أعمال التدقيق حيث يتم تقييم تعقد تقنية المعلومات وإمكانات ضوابطها بالجهة الخاضعة للتقييم. وتمثل نتائج هذه المرحلة أساسا لتحديد متطلبات التدقيق على تقنية المعلومات بالجهة الخاضعة للتقييم. ويتم استخدام آلية التقييم المبدئي لتقنية المعلومات بغرض تحقيق أهداف هذه المرحلة. ولمزيد من التفاصيل حول هذه العملية يرجى االطاع على الملحق األول من الدليل: نبذة ع ن أداة التحقق من سامة بيئ ة عمل تقنية المعلومات. يعرض المخطط التالي الخطوات األساسية الواجب إتباعها خال هذه المرحلة: التحقق من سالمة بيئة عمل تقنية المعلومات تقييم تعقد تقنية المعلومات تقييم إمكانات ضوابط تقنية المعلومات تحديد متطلبات التدقيق على تقنية المعلومات تقرير التحقق من سالمة بيئة عمل تقنية المعلومات الشكل 5,0 )مرحلة التحقق من سامة بيئة عمل تقنية المعلومات في إطار منهجية التدقيق على تقنية المعلومات ) 7.1 تقييم تعقد بيئة عمل تقنية المعلومات من األهمية أن يتمكن المدقق من استيعاب بيئة تقنية المعلومات التي تعمل في إطارها نظم تقنية المعلومات بحيث يمكنه تقديم ضمان كافي بتحقيق أهداف التدقيق على تقنية المعلومات. ويؤدي ذلك في النهاية إلى تحديد طبيعة ونطاق أعمال التدقيق المزمع تنفيذها. كما يضمن ذلك تركيز عمل المدقق على الجوانب -38-

المطلوبة ما يساعد في إرساء قاعدة سليمة يصدر بناءا عليها التقييم النهائي لبيئة عمل تقنية المعلومات. يستعين المدقق األداة المبدئية لتقييم تقنية المعلومات بغرض جمع معلومات من الجهة الخاضعة للتقييم للتعرف على بيئة عمل تقنية المعلومات في الجهة الخاضعة للتقييم. تهدف األسئلة التي تطرحها األداة إلى تقييم التكنولوجيا والموارد البشرية وإمكانية االعتماد على البيانات الصادرة من نظم تقنية المعلومات لقياس مدى تعقد بيئة عمل تقنية المعلومات لدى الجهة الخاضعة للتقييم. تس تعين األداء بالتقدي رات اآلتي ة لتقيي م م دى تعق د بيئ ة عم ل تقنية المعلومات في ضوء اإلجابات التي تصدرها الجهة الخاضعة للتقييم في هذه المرحلة: بسيط متوسط معقد يعرض الجدول التالي مثال لألسئلة التي تطرحها أداة تقييم مستوى تعقد بيئة عمل تقنية المعلومات: رقم السؤال تعليقات هل يزيد عدد تطبيقات األعمال الجوهرية التي تدعمها تقنية المعلومات عن 3 تطبيقات هل تستعين الجهة الخاضعة للتقييم بنظام ERP أو أي نظم متكاملة أخرى للشركات هل للمؤسسة موقع الكتروني في مواقعها هل للمؤسسة تطبيقات مرتبطة بالشبكات يمكن للمواطنين الوصول إليها هل يزيد عدد الخوادم وأجهزة الشبكات عن 30 نعم نعم ال أ 1 أ 2 أ 3 أ 4 أ 5 الشكل 6,0 )مثال ألسئلة تقييم مدى تعقد بيئة عمل تقنية المعلومات( -39-

رقم 7.2 تقييم إمكانات الضوابط الرقابية لتقنية المعلومات خال مرحلة التحقق من سامة بيئة عمل تقنية المعلومات يجب على المدقق استيعاب إمكانات ضوابط تقنية المعلومات السارية في بيئة عمل الجهة الخاضعة للتدقيق. وتستخدم األداة المبدئية لتقييم تقنية المعلومات بغرض جمع معلومات من الجهة الخاضعة للتقييم للتعرف على إمكانات ضوابط تقنية المعلومات. تهدف األسئلة التي تطرحها أداة تقييم الضوابط الرقابية األساسية لتقنية المعلومات بحيث يمكن للمدقق قياس إمكانات ضوابط تقنية المعلومات لدى الجهة الخاضعة للتقييم. تس تعين األداء بالتقدي رات اآلتي ة لتقيي م إمكان ات ضواب ط تقني ة المعلومات في ضوء اإلجابات التي تصدرها الجهة الخاضعة للتقييم في هذه المرحلة: منخفض متوسط مرتفع يعرض الجدول التالي مثال لألسئلة التي تطرحها أداة تقييم الضوابط الرقابية األساسية لتقنية المعلومات: السؤال -40- ب 7 ب 8 ب 9 ب 10 ب 11 ب 12 هل تنفذ الجهة الخاضعة للتقييم عملية إدارة التغيير )مثل: تقديم طلب التغيير وتوثيقه وتصنيفه والتصريح به واختباره ثم اعتماده( هل يتم توثيق وتنفيذ إج ارءات عمليات التغيير الطارئة هل تتبنى الجهة سياسة م ارقبة الدخول أخذا في االعتبار متطلبات األعمال هل تطبق الجهة عملية التسجيل إاوعادة التسجيل لمنح حق الوصول على جميع نظم المعلومات والخدمات هل يعتمد منح امتيا ازت الدخول للمستخدمين على متطلبات وظائفهم ال ال نعم نعم تعليقات هل يتم إج ارء م ارجعة لحقوق دخول المستخدمين على أساس دوري وفي حاالت الترقية أو الت ارجع الوظيفي أو إنهاء التوظيف الشكل 6,0 )مثال لألسئلة الواردة في تقييم إمكانات الضوابط الرقابية لتقنية المعلومات(

7.3 تحديد متطلبات التدقيق على تقنية المعلومات ف ور االنته اء م ن تقيي م مس توى تعق د نظ م تقني ة المعلوم ات وتقييم إمكانات ضوابط تقنية المعلومات يتم تحديد متطلبات التدقيق على تقنية المعلومات للمدقق بناءا على المخطط التالي )الشكل رقم 1,0(. على سبيل المثال في حالة»تعقد«بيئة تقنية المعلومات و«انخفاض«إمكانات الضوابط الرقابية فيوصى بإجراء تدقي ق تفصيل ي عل ى تقني ة المعلوم ات عل ى وج ه الس رعة أم ا إذا كانت بيئة تقنية المعلومات»بسيطة«وإمكانات ضوابط تقنية المعلوم ات»عالي ة«فيوص ى بتنفي ذ التوصي ات ال واردة ف ي تقري ر التحقق من سامة بيئة عمل تقنية المعلومات إذ يحدد المدقق من خال آلية التحقق من سامة بيئة عمل تقنية المعلومات متطلبات التدقيق على تقنية المعلومات بناءا على مستوى تعقد بيئة العمل وتقييم إمكانات الضوابط الرقابية لتقنية المعلومات. متطلبات التدقيق على تقنية المعلومات تعقد بيئة تقنية المعلومات إمكانات ضوابط تقنية المعلومات بسيط متوسط معقد منخفض يوصى بإج ارء تدقيق تفصيلي على تقنية المعلومات على المدى الطويل يوصى بإج ارء تدقيق تفصيلي على تقنية المعلومات على المدى القصير يوصى بإج ارء تدقيق تفصيلي فوري على تقنية المعلومات متوسط تنفيذ التوصيات الواردة في تقرير التحقق من سالمة بيئة عمل تقنية المعلومات يوصى بإج ارء تدقيق تفصيلي على تقنية المعلومات على المدى الطويل يوصى بإج ارء تدقيق تفصيلي على تقنية المعلومات على المدى القصير مرتفع تنفيذ التوصيات الواردة في تقرير التحقق من سالمة بيئة عمل تقنية المعلومات تنفيذ التوصيات الواردة في تقرير التحقق من سالمة بيئة عمل تقنية المعلومات الشكل 7,0 )مخطط متطلبات التدقيق على تقنية المعلومات( يوصى بإج ارء تدقيق تفصيلي على تقنية المعلومات على المدى الطويل -41-

ومن خال هذه اآللية إعداد تقرير موجز عن النتائج )الشكل 2,0( ويتضمن: تحديد مستوى تعقد بيئة عمل تقنية المعلومات للمؤسسة الخاضعة للتدقيق تحديد إمكانات الضوابط الرقابية لتقنية المعلومات بالجهة الخاضعة للتدقيق تحديد متطلبات التدقيق على تقنية المعلومات بالجهة الخاضعة للتدقيق الجهاز / الديوان تقرير موجز اسم المدقق التاريخ مستوى تعقد بيئة عمل تقنية المعلومات مستوى إمكانات الضوابط الرقابية لتقنية المعلومات متطلبات التدقيق على تقنية المعلومات معقدة متوسطة يوصى بإج ارء تدقيق تفصيلي على تقنية المعلومات على المدى القصير مالحظة: يرجى التأكد من اإلجابة على جميع األسئلة الواردة في تقييم تعقد بيئة عمل تقنية المعلومات وتقييم إمكانات ضوابط تقنية المعلومات الشكل 8,0 )مثال لتقرير موجز لنتائج آلية التحقق من سامة بيئة عمل تقنية المعلومات( وفي النهاية يقوم المدقق على تقنية المعلومات بإعداد تقرير التحقق من سامة بيئة عمل تقنية المعلومات الذي يتضمن عرض مختصر لنتائج العملية والتوصيات ومناقشة هذا التقرير مع إدارة الجهة الخاضعة للتدقيق. -42-

8. التخطيط تشير منهجية التدقيق على تقنية المعلومات انه إذا تبين من خال التحقق من سامة بيئة عمل تقنية المعلومات الحاجة إلى إجراء تدقيق تفصيلي على تقنية المعلومات للمؤسسة الخاضعة للتدقيق يبدأ المدقق في مرحلة تخطيط عملية التدقيق على تقنية المعلومات. تقدم مرحلة التخطيط منظور متعمق لألنشطة التي سيتم تنفيذها خال مرحلة التدقيق. وفيما يلي أهم الخطوات التي ترم بها هذه المرحلة: استيعاب أهداف التدقيق ونطاق التدقيق على تقنية المعلومات: تهدف هذه المرحلة إلى تحديد نوعية التدقيق المطلوب تنفيذه )لدعم التدقيق المالي والتدقيق على األداء( ونطاق التدقيق. استيعاب طبيعة األعمال: من خال هذه المرحلة يتمكن المدق ق م ن التوص ل لمفه وم مناس ب ح ول الجه ة الخاضع ة للتقييم وتسجيله بغرض تخطيط وتنفيذ أعمال التدقيق وفقا لمعايير ومتطلبات التدقيق السارية. تحديد واستيعاب النظم التي يشملها نطاق التدقيق تقييم مخاطر تقنية المعلومات: في هذه المرحلة يقوم المدقق بصورة مبدئية بتقييم وتوثيق طبيعة وحجم مخاطر تقنية المعلومات التي ترتبط بالعناصر األساسية للتدقيق. تحديد نقاط الرقابة المهمة: تهدف هذه المرحلة إلى التعرف على نقاط الرقابة المهمة في تصميم النظم التي تستعين بها الجهة الخاضعة للتقييم وذلك بناءا على فهم المدقق لهذه النظم واهم الوظائف التي تركز عليها عملية التدقيق ومخاطر تقنية المعلومات مع توثيق هذه النقاط. تحديد ضوابط تقنية المعلومات المرتبطة بأهداف التدقيق: تساعد هذه المرحلة المدقق على تحديد أنواع ومجاالت الضوابط الرقابية وذلك في نطاق التدقيق على تقنية المعلومات. -43-

يوضح الشكل التالي األنشطة الرئيسية الواجب تنفيذها خال مرحلة ا لتخطيط : التخطيط تحديد أهداف ونطاق التدقيق على تقنية المعلومات التعرف على الجهة فهم وتحديد النظم التي يشملها نطاق التدقيق تحديد الضوابط الرقابية المرتبطة بأهداف التدقيق تحديد نقاط الرقابة المهمة الشكل 9,0 )مرحلة تخطيط منهجية التدقيق على تقنية المعلومات( 8.1 تحديد أهداف ونطاق التدقيق على تقنية المعلومات تتباين طبيعة ضوابط تقنية المعلومات وتوقيت تنفيذها واإلجراءات المتبعة في إطارها وفقا ألهداف التدقيق. تشتمل أهداف التدقيق المرتبطة بالضوابط المعتادة لتقنية المعلومات على: دعم تدقيق البيانات المالية من خال على سبيل المثال- تقييم فاعلية ضوابط تقنية المعلومات المرتبطة بالنظم المالي ة بغ رض تحدي د م دى إمكاني ة االعتم اد عل ى البيان ات المالي ة الص ادرة م ن النظ ام م ن عدمه ا. استكمال التدقيق على أداء تقنية المعلومات بتقييم فاعلية عملية التأمي ن في سياق عملية موس عة لمراجع ة النظ م. عدم أعمال التدقيق األخرى على األداء مثل: تقييم إمكانية االعتماد على البيانات أو تقييم قدرة نظام المعلومات على حماية سرية وتكامل البيانات وتوافرها واثر مستوى الحماية على أداء البرنامج. قياس فاعلية ضوابط تقنية المعلومات -بشكل منفصل وليس في إطار دعم أعمال تدقيق أخرى- بحيث يمكن اكتشاف المخاطر. يتم تطوير هذه العمليات لقياس فاعلية ضوابط تقنية المعلومات ووصف نقاط الضعف وغيرها من العيوب الجوهرية أو االكتفاء بوصف نقاط الضعف في ضوابط تقنية المعلومات دون التوصل إلى تقييم نهائي بشأن فاعليتها(. -44-

يقوم المدقق بتحديد وتسجيل نطاق العمل المناسب لضوابط تقنية المعلومات أخذا في االعتبار: الهيئات التنظيمية التي سيتم االتصال بها )مثل اتساع الجهة والنظام/النظم المختارة...( اتساع أعمال التدقيق )مثل: نتائج تقييم فاعلية ضوابط نظم المعلومات ومراجعة احد التطبيقات أو الوظائف التقنية ومنها االتصال الاسلكي أو )...UNIX أنواع ضوابط تقنية المعلومات التي سيتم اختبارها اختبار الضوابط العامة لتقنية المعلومات و/أو ضوابط التطبيقات أو مجموعة منتقاة من المكونات أو جمي ع مس تويات نظ م معلوم ات الجه ة الخاضع ة للتدقي ق أو اختيار مستويات معينة. إذا تم التدقيق على ضوابط تقنية المعلومات في إطار عملية تدقيق أخرى يجب أن يحدد المدقق أهداف التدقيق العامة وكيفية ضم التدقيق على ضوابط تقنية المعلومات إلى عملية التدقيق األصلية. حيث يسعى المدقق إلى إيجاد مفهوم مشترك لألهداف وذلك بالتعاون مع مجموعة العمل المسئولة عن عملية التدقيق بالكامل. 8.2 التعرف على الجهة يسعى المدقق إلى التعرف على الجهة الخاضعة للتدقيق وتوثيق ما يتوصل إليه بحيث يتمكن من تخطيط وتنفيذ أعمال التدقيق وفقا لمعايير ومتطلبات التدقيق السارية. خال مرحلة تخطيط التدقيق يحصل المدقق على كافة المعلومات التي تتيح لهم استيعاب طبيعة الجهة ومن بين هذه المعلومات رسالة الجهة وحجمها وموقعها والتنظيم واألعمال واالستراتيجيات والمخاطر ومخطط الضوابط الداخلية بها. ويساعد فهم عمليات الجهة المدقق في التعرف على المشكات مبكرا خال عملية التدقيق والتعامل معها وحلها. -45-

8.2.1 التعرف على اإلدارة والتنظيم لتخطيط أعمال التدقيق يجب أن يتوصل المدقق إلى مفهوم عام حول المخطط التنظيمي للمؤسسة بشكل عام ولوظيفة تقنية المعلومات بشكل خاص. وتتضمن هذه العملية التعرف على الموظفين المسئولين بالجهة وإدارة تقنية المعلومات. ويهدف المدقق من ذلك التعرف على كيفية إدارة وتنظيم الجهة. 8.2.2 التعرف على العوامل الداخلية والخارجية التي تؤثر على عمليات الجهة يوضح المدقق أهم العوامل الداخلية والخارجية التي تؤثر على عمليات الجهة والسيما تقنية المعلومات. وفي هذا الخصوص تتضم ن العوام ل الخارجي ة: ميزانية تقنية المعلومات المستخدمين الخارجيين للنظام المناخ السياسي الحالي التشريعات ذات الصلة كما تتضمن العوامل الداخلية: حجم الجهة الخاضعة للتدقيق عدد مكاتب الجهة المخطط التنظيمي للمؤسسة )مركزي أو ال مركزي( تعقد العمليات مخطط إدارة تقنية المعلومات اثر نظم المعلومات على عمليات األعمال مؤهات ومهارات الموظفين الرئيسيين بوظائف تقنية المعلومات تناوب الموظفين الرئيسيين بوظائف تقنية المعلومات. -46-

8.2.3 التعرف على أهم عمليات األعمال يتولى المدقق تسجيل كافة العوامل الجوهرية التي قد تؤثر على التدقيق على ضوابط تقنية المعلومات بما فئ ذلك تقييم المخاطر الذي يقوم به المدقق. كما يتوصل المدقق إلى مفهوم عام حول عمليات األعمال التي تقوم بها الجهة الخاضعة للتقييم والسيما العمليات التي ترتبط ارتباطا وثيقا بأهداف التدقيق. يقصد بعمليات األعمال الوظائف األساسية التي تنفذها الجهة الخاضع ة للتقيي م بغ رض تحقي ق رس التها. وم ن األمثل ة المتع ارف عليه ا لعملي ات األعم ال: العمليات المرتبطة بتحقيق رسالة الجهة على مستوى البرامج األساسية والبرامج الفرعية عمليات اإلدارة المالية مثل التحصيل أو المصروفات أو المرتبات و عمليات الدعم األخرى مثل الموارد البشرية أو األمن. 8.2.4 تحديد التطبيقات التي تدعم تنفيذ عمليات األعمال في إطار استيعاب عمليات األعمال التي تقوم بها الجهة الخاضعة للتقييم يسعى المدقق إلى التعرف على كيفية االستعانة بالتطبيق ات لدعم عمليات األعم ال الرئيسية. ولهذا الغ رض يقوم المدقق باالطاع على مجموعة متنوعة من المستندات من بينها مستندات التخطيط والمسودات وعمليات األعمال واإلجراءات وأدلة المستخدمين... وغيرها إلى جانب عقد مقابات من الموظفين المختصين للتعرف بشكل عام على كافة تطبيقات تقنية المعلومات المرتبطة بأهداف التدقيق. وفي هذا الصدد يجب التعرف على: -47-

قواعد العمل )مثل استبعاد كافة العامات التي يتعذر تعديلها أو استبعاد مجموعة من المعامات التي يتم اختيارها بناءا على معايير معينة( تدفق المعامات )مثل إجراء دراسة تفصيلية للضوابط الداخلية التي تطبقها الجهة على نوع معين من العمليات يستدعيتنفيذإجراءاتوضوابطتتعلقبمعالجةالمعامات( التطبيقات والتداخل )معامات تنتقل من نظام ليتم معالجتها من خال نظام آخر.. مثال: يتداخل برنامج بطاقات المرتبات الشهرية مع ملف قيم المدفوعات للتعرف على بيانات المرتبات(. كما يجب على المدقق تحديد وتوثيق عمليات األعمال الرئيسية المرتبطة بأهداف التدقيق مع بيان ما يلي لكل عملية: اسم عملية األعمال الرئيسية سلطة المعالجة التطبيق/التطبيقات التي تدعم تنفيذ العملية فض ا ع ن ذل ك يس جل المدق ق م ا يل ي ل كل تطبي ق يدع م اح د عمليات األعمال الرئيسية: برنامج الحسابات اسم نظام التشغيل ورقم اإلصدار نظام إدارة قواعد البيانات مصدر التطبيقات إدخال تغييرات على التطبيقات االرتباط باالنترنت من عدمه -48-

مدى إمكانية استخدام التطبيقات لتنفيذ عملية معالجة مشتركة مع مؤسسات أخرى من عدمها. 8.2.5 التعرف على البنية األساسية لتقنية المعلومات يقوم المدقق باالطاع على مخطط الشبكات العاملة بالجهة الخاضعة للتدقيق وتوثيقها بصفتها احد أسس تخطيط عملية التدقيق على ضوابط تقنية المعلومات. ويكون المدقق على دراية تامة بتصميم شبكات الجهة التي تستعين بها في تنفي ذ عمليات األعمال الرئيسية. ويساعد هذا اإلجراء المدقق على تقييم المخاطر والتعرف بشكل مبدئي على نقاط الرقابة المهمة المحتملة وتحديد التقنيات التي قد تخضع للتدقيق وعرض المواقع الرئيسية. يطالب المدقق الجهة الخاضعة للتقييم بتقديم المستندات التي تتضمن المعلومات السابقة بما في ذلك التصميم التخطيطي والتفصيلي للشبكات. وفيما يلي المعلومات التي يجب أن يحصل عليها المدقق بشأن تصميم الشبكات-والتي عادة ما تسجل في مخطط الشبكات: الربط باالنترنت برامج الفيروسات والراوتر والتحويات نظم اكتشاف عمليات االقتحام أو نظم منع االقتحام النظم الهامة مثل نم الشبكة والبريد ونظم نقل الملفات... وغيرها نظم إدارة الشبكات الربط بمؤسسات خارجية أخرى الوصول عن بعد- الشبكات االفتراضية الخاصة والربط عبر الهاتف و االتصال الاسلكي. -49-

8.3 تحديد ومعرفة المجاالت الرئيسية المرتبطة بنطاق التدقيق يجب أن يحدد المدقق المجاالت الرئيسية المرتبطة بنطاق التدقيق والتي تعتبر جوهرية لتحقيق أهدافه. فيما يتعلق بالتدقيق المالي تتضمن هذه المجاالت التطبيقات المالية األساسية والبيانات ونظم التداخل المتعلقة بها. أما بالنسبة للتدقيق على األداء تتضمن هذه المجاالت النظم األساسية الجوهرية لتحقيق أهداف التدقيق. وفي هذا الخصوص يجب على المدقق تسجيل جميع نظم الدعم العامة والتطبيقات الرئيسية الخاصة بهذه النظم بما في ذلك: مواقع تشغيل النظم أو الملفات الرئيسية كل على حدة المكونات الجوهرية لألجهزة والبرامج ذات الصلة )مثل برامج مكافحة الفيروسات والراوتر والخوادم ونظم التشغيل( النظم الجوهرية األخرى أو المصادر التي تماثل نفس مستوى النظم في ذات النطاق و اإلباغ عن المشكات التي المتواجدة قبل عملية التدقيق. ويجب أن يحدد المدقق جميع طرق الدخول إلى أو الخروج من المجاالت الرئيسية التي يركز عليها التدقيق. وفي ضوء تحديد النظم الرئيسية أو الملفات أو المواقع يتمكن المدقق من تركيز جهوده على هذه المحددات مع ترتيبها إلى أولويات وفقا ألهميتها ف ي تحقي ق أه داف التدقي ق. ويج وز تصني ف ه ذه المج االت وفق ا لحساسية أو أهمية المعلومات التي يتم معالجتها أو القيمة المادية للمعامات التي يتم معالجتها أو وجود أو عدد التعديات األساسية أو غيرها من الضوابط الرقابية التي يقوم بها احد تطبيقات عمليات األعمال. يجب على المدقق تحديد وتسجيل مراحل معالجة البيانات المنفذة باستخدام نظم المعلومات الجوهرية بالنسبة ألهداف التدقيق وتتضمن: أسلوب بدء تنفيذ المعاملة طبيعة ونوع السجات والمستندات األصلية -50-

المعالجة التي تبدأ مع بداية المعامات وحتى المعالجة النهائية بما في ذلك طبيعة ملفات الحاسب وأسلوب معالجتها وتحديثها وحذفها و فيما يتعلق بالتدقيق المالي العملية التي تتبعها الجهة الخاضع ة للتدقي ق إلع داد البيان ات المالي ة وبيان ات الميزاني ة بم ا ف ي ذل ك التقدي رات المحاس بية الجوهري ة واإلفصاح ات والعمليات المميكنة. 8.4 تحديد نقاط الرقابة المهمة يقوم المدقق بتحديد وتوثيق نقاط الرقابة المهمة في تصميم نظم تقنية المعلومات التي تستعين بها الجهات الخاضعة للتقييم. وتحدد نقاط الرقابة المهمة بناءا على فهم المدقق لهذه النظم واهم مجاالت التدقيق ومخاطر تقنية المعلومات. تمثل نقاط الرقابة المهمة نقاط الرقابة على النظام التي تؤدي المخاطرة بها إلى الدخول غير المصرح إلى نظم أو بيانات الجهة أو تنفيذ أنشطة غير مصرح بها أو غير سليمة على نظم الجهة أو باستخدام بياناتها ما قد يسفر بشكل مباشر أو غير مباشر عن الدخول غير المصرح أو إجراء تعديات غير مصرح بها على نظم تقنية المعلومات الخاضعة للتدقيق. عادة ما تتضمن نقاط الرقابة المهمة نقاط الدخول من مواقع خارجية على شبكة الجهة واالرتباط بنظم داخلية أو خارجية أخرى ومكونات النظام التي تتحكم في تدفق المعلومات على شبكة الجهة أو إلى الوظائف الرئيسية الخاضعة للتدقيق وأجهزة التخزين والمعالجة الجوهرية ونظم التشغيل ذات الصلة وتطبيقات البنية األساسية وتطبيقات عمليات األعمال ذات الصلة. في حين تتضمن نقاط الرقابة المعتادة مكونات الشبكة حيث تس ري ضواب ط التطبيق ات عل ى عملي ات األعم ال. وم ع ب دء إج راء اختبارات التدقيق وتطور استيعاب المدقق لنظم المعلومات ونقاط الضعف في الضوابط الرقابية والمخاطر ذات الصلة يعيد المدقق تقييم نقاط الرقابة المهمة. كما يحدد -المدقق بناءا على المعلومات التي تم الحصول عليها خال مرحلة التخطيط- نقاط -51-

الرقابة المهمة في نظم تقنية المعلومات بالجهة الخاضعة للتقييم والتي تمثل خطورة على فعالية تأمين الوظائف الهامة التي يتم تقييمها. وفي هذا الخصوص يتضمن تحليل نقاط الرقابة المهمة دراسة مواقع العمل البديلة. لغرض تحديد نقاط الرقابة المهمة ولتخطيط وتنفيذ تقييم ضوابط تقنية المعلومات يقوم المدقق بتطبيق مفهوم اعتمادية الضوابط الرقابية. ويسري هذا المفهوم عندما تعتمد فاعلية احد الضوابط الداخلية على فاعلية ضوابط داخلية أخرى. وتتم عملية تقييم فاعلية الضوابط الرقابية لنظم المعلومات لتحديد نقاط الرقابة المهمة من خال اختبار فاعلية الضوابط مقابل غيرها من نقاط الرقابة التي يتم بناءا عليها تأمين نقاط الرقابة المهمة. أخذا في االعتبار أن المدقق يجري أعمال التدقيق على ضوابط تقنية المعلومات بناءا على تقييم المخاطر ونتائج اختبارات التدقيق يجوز أن يحدد المدقق مدى الحاجة إلى تعديل نطاق التدقيق بما في ذلك مراجعات نقاط الرقابة المهمة. على سبيل المثال إذا كشفت أعمال التدقيق عن وجود نقاط ضعف جوهرية في ضوابط تقنية المعلومات فقد ال تستدعي الضرورة إجراء كافة االختبارات المخططة لضوابط تقنية المعلومات. وفي حالة اتخاذ المدقق قرار بتخفيض االختبارات نتيجة الكتشاف نقاط ضعف جوهرية فيجب عليه توثيق هذا القرار. فضا عن ذل ك فق د تكش ف االختب ارات ع ن المزي د م ن المخاط ر أو نق اط الرقابة المهمة و/أو اعتمادية الضوابط وفي هذه الحالة يجب أن يقرر المدقق مدى الحاجة إلى تعديل نطاق التدقيق. 8.5 تحديد ضوابط تقنية المعلومات المرتبطة بأهداف التدقيق بناءا على النتائج التي انتهت إليها مرحلة تخطيط عملية التدقيق وغيرها من اإلجراءات يقوم المدقق بتحديد أنواع ومجاالت الضوابط الرقابية والتي يشملها نطاق التدقيق على تقنية المعلومات أخذا في االعتبار نطاق التدقيق وحجم مخاطر تقنية المعلومات والمفهوم المبدئي الذي توصل إليه بشأن ضوابط تقنية المعلومات. -52-

كما يجب على المدقق تحري الدقة في تسجيل أنواع ومجاالت ضوابط تقنية المعلومات والتي يشملها أهداف ونطاق التدقيق. وعلى ذلك لن يتضمن نطاق االختبار إال مجاالت الضوابط التي ت م اختياره ا. كم ا يت م مناقش ة إدارة الجه ة بش أن الضواب ط غي ر الفعالة والمرتبطة بهذه المجاالت ليس إال. 9. التنفيذ 9.1 مقدمة تمهيدية وفقا لمنهجية التدقيق على تقنية المعلومات تتبع مرحلة»التخطيط«بمرحلة»التنفيذ«. ويوضح المخطط التالي الخطوات الرئيس ية الت ي تتضمنه ا مرحل ة التنفي ذ: إج ارء م ارجعة شاملة التنفيذ تحديد مستوى االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق تصميم اختبار ضوابط تقنية المعلومات تنفيذ اختبار ضوابط تقنية المعلومات توثيق وتقييم النتائج معالجة الضوابط غير الفعالة الشكل 10,0 )مرحلة التنفيذ وفقا لمنهجية التدقيق على تقنية معلومات االجهزة والدواوين الرقابية( خال مرحلة تنفيذ عملية التدقيق على تقنية المعلومات يستعين المدقق بالمعلومات التي حصل عليها خال مرحلة التدقيق بغرض تقييم فاعلية ضوابط تقنية المعلومات )الضوابط العامة وضواب ط التطبيق ات(. ويج ب أن يح دد المدق ق ضم ن نتائ ج ه ذه المرحلة- مدى إمكانية االعتماد على ضوابط تقنية المعلومات التي يشملها إطار التدقيق. يجب أن يتمكن مدقق تقنية المعلومات من قياس مستوى فاعلية ضوابط تقنية المعلومات بعد سلسلة من االختبارات والتقييم الذي يتم من خال: إجراء مراجعة شاملة -53-

تصميم اختبارات لضوابط تقنية المعلومات تنفيذ اختبارات لضوابط تقنية المعلومات كم ا يج ب عل ى المدق ق تقيي م ضواب ط تقني ة المعلوم ات م ن حيث فاعلية التصميم وكفاءة التشغيل: فاعلية التصميم -تتعلق بكفاءة التصميم في تجنب مخاطر معينة أو أخطاء محتملة -يتم تقييم فاعلية التصميم في فترة زمنية معينة من خال المراجعة كفاءة التشغيل -تتعلق بمطابقة التشغيل للتصميم -يتم تقييم كفاءة التشغيل بمرور الوقت من خال االختبار يستعين المدقق بأداة التقييم التفصيلي لعملية التدقيق على تقني ة المعلوم ات وذل ك بغ رض توثي ق نتائ ج المراجع ات واختب ار الضوابط. تتولى هذه األداة تقييم النتائج وتحديد مستوى فاعلية أه داف الرقاب ة يستعين المدقق على تقنية المعلومات بأداة تقييم التدقيق على تقنية المعلومات لغرض توثيق النتائج التي تنتهي إليها عملية المراجعة الشاملة واختبار الضوابط. حيث تستخدم هذه األداة لتقييم النتائج وتحديد مستوى فاعلية أهداف ومجاالت الضوابط وأنواعها. ولمزيد من التفاصيل بشأن أداة تقييم التدقيق على تقنية المعلومات يرجى االطاع على الملحق الثاني: نظرة عامة على أداة تقييم التدقيق على تقنية المعلومات. وإذا اقر المدقق على تقنية المعلومات بوجود عيوب في ضوابط تقنية المعلومات فيجب عليه: -54-

تحديد الضوابط التعويضية واختبارها اتخاذ أي إجراءات جوهرية أخرى. تساهم النتائج التي تنتهي إليها المراحل السابقة في مساعدة المدقق على إقرار مدى إمكانية االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق من عدمه. 9,1,1,1 إجراء المراجعة الشاملة في هذه المرحلة يقوم المدقق باختبار فاعلية تصميم الضوابط الرقابية لتقنية المعلومات بغرض تقييم مدى مائمة التصميم الحالي لتجنب احد المخاطر. يجري المدقق مراجعة شاملة على جميع الضوابط الرقابية الواردة في مجال الرقابة وترتبط بنطاق التدقيق وأهدافه. كما يستعين المدقق ببيان الضوابط الرقابية الوارد في أداة التقييم التفصيلي للتدقيق على تقنية المعلومات. 9,1,2 تصميم اختبار الضوابط على تقنية المعلومات لغرض تقييم فاعلية تطبيق ضوابط تقنية المعلومات يقوم المدقق بالجمع بين مجموعة متسقة من إجراءات التدقيق للحصول على أدلة سليمة وكافية تدعم النتائج التي تتوصل إليها االختبارات. ومن بين هذه اإلجراءات: يتمكن المدقق من جمع بيانات متنوعة بشأن فاعلية تطبيق آلي ات الرقاب ة م ن خ ال االستفس ارات الت ي يقدمه ا المدق ق لموظفي إدارة الجهة الخاضعة للتدقيق وموظفي تقنية المعلوم ات. ويج ب عل ى المدق ق ض م اإلجاب ات الت ي يحص ل عليها إلى غيرها من المخرجات التي يتوصل إليها من اإلجراءات األخرى. يمكن إصدار استبيان للحصول على معلومات بشان الضوابط وكيفية تصميمها. يمكن االستعانة بماحظات المدقق بشأن ضوابط التشغيل -55-

كأحد األدلة الدامغة. على سبيل المثال قد يسجل المدقق ماحظة بشأن التحقق من ضوابط فحص المدخات وكلمات المرور. إال أن هذه الماحظات ال تعتبر دليل يثبت حالة الضوابط الرقابية إال عند تواجد المدقق. كما يحتاج المدقق إلى الحصول على دليل آخر على الرضاء بالضوابط السارية خال فترة التدقيق. مراجعة الوثائق الخاصة بالسياسات واإلجراءات الرقابية. على سبيل المثال تستعين الجهة الخاضعة للتدقيق بسياسات تتعلق بالسرية أو الدخول المنطقي. كما تتيح عملية مراجعة المستندات للمدققين التعرف على تصميم الضوابط وتقييمها. يحصل المدقق من خال فحص االعتمادات/المراجعات الحصول على دليل يثبت التزام اإلدارة بتنفيذ الضوابط السليمة. ويجوز للمدقق ضم هذه االختبارات إلى المناقشات والماحظات. يق دم تحلي ل المعلوم ات المس تخرجة م ن النظ ام أو البرام ج المتخصصة )مثل إعدادات التصميم وقوائم الضوابط على الدخول... وغيرها( دليل يوضح التصميم الفعلي للنظام. يجوز أن تقدم مراجعة وتحيل المخرجات من معالجة التطبيقات دليل يثبت دقة عملية لمعالجة. على سبيل المثال من المحتمل اكتشاف وقوع أخطاء من خال إجراء مراجعة تفصيلية لعناصر البيانات أو اإلجراءات التحليلية للبيانات بشكل عام. من المحتمل إعادة أداء الضوابط الختبار فاعلية بعض الضوابط المرتبطة بالبرامج من خال إعادة تطبيقها باستخدام بيانات االختبار. على سبيل المثال يقوم المدقق بإعداد ملف المعامات الذي يتضمن األخطاء المكتشفة وتحديد مدى نجاح التطبيقات في اكتشاف األخطاء المعروفة واإلباغ عنها. -56-

يجب أن يراعي المدقق عدد من العوامل ذات الصلة لتحديد الموعد المناسب الختبار ضوابط تقنية المعلومات ومن بينها: م دى ارتب اط أه داف التدقي ق بوق ت مح دد أو فت رة زمني ة معين ة وطبيعة األمور الداللية والثبوتية المتاحة )ال تتاح األدلة التي تثبت سامة تشغيل العديد من ضوابط تقنية المعلومات إال في وقت إجراء االختبار( وحجم مخاطر نظام المعلومات وأهمية أو خطورة ضواب ط تقني ة المعلوم ات عل ى أه داف التدقي ق وفاعلي ة الضواب ط الس ارية عل ى الجه ة بالكام ل وعل ى إدارة تأمي ن النظ م بم ا يضم ن بشكل معقول اتساق عمل ضوابط تقنية المعلومات خال الفترة الخاضع ة للتدقي ق. وفي إطار إجراءات التدقيق يتم اختيار عينات معينة لتدقيقها )مثل نماذج الدخول(. فضا عن ذلك فقد يحتاج المدقق إلى تحديد المكونات التي س يتم اختباره ا م ن بي ن أن واع متع ددة م ن مكون ات الش بكة. عل ى سبيل المثال من المحتمل أن يكون للمؤسسة الخاضعة للتدقيق العدي د م ن نق اط االتص ال باالنترن ت أو ع دد م ن قواع د البيان ات. وفي هذه الحالة يعتمد المدقق على حكمه المهني لتحديد عدد البنود التي سيتم اختيارها واألسلوب المتبع لاختيار. وبشكل عام يراعي المدقق في إصدار أحكامه المهنية مخاطر نظم المعلومات وأهمي ة أو خط ورة البن ود الت ي ت م اختياره ا ف ي تحقي ق األه داف الرقابية وموقع مكون الشبكات المرتبط بالمجاالت الرئيسية التي يركز عليها التدقيق ومستوى االتساق في تصميم المكونات. 9,1,3 تنفيذ اختبار ضوابط تقنية المعلومات في ضوء المعلومات التي تم التوصل إليها خال مرحلة»تصميم اختبار ضوابط تقنية المعلومات«يقوم المدقق على تقنية المعلومات باختبار فاعلية تطبيق ضوابط تقنية المعلومات. ويجرى االختبار على أساس مرحلي بدءا من الضوابط العامة لتقنية المعلومات يليها ضوابط التطبيقات. وفي هذه المرحلة يت م اختب ار ضواب ط تقنية المعلومات للتأكد م ن تطبيقه ا وفق ا لتصميمها. يجري المدقق االختبار على جميع مجاالت الرقابة التي يشملها نطاق التدقيق. -57-

9,1,4 توثيق وتقييم النتائج يستعين المدقق بأداة التقييم التفصيلي للتدقيق على تقنية المعلومات لتوثيق النتائج التي تنتهي إليها عمليات المراجعة الشاملة واختبار الضوابط كل على حدة بنوعيها: الضوابط العامة لتقنية المعلومات وضوابط التطبيقات ويتضح ذلك في )الشكل 3,0(. وقد يكون التقييم:»نعم«: في حالة االلتزام التام للضوابط بمتطلبات فاعلية التصمي م والتطبي ق»جزئيا«: في حالة االلتزام الجزئي للضوابط بمتطلبات فاعلية التصميم والتطبيق»ال«: في حالة عدم التزام الضوابط بمتطلبات فاعلية التصميم والتطبيق يعرض المخطط التالي كيف يقوم المدقق بتسجيل النتائج باستخدام أداة التقييم التفصيلي للتدقيق على تقنية المعلومات: أداة التقييم التفصيلي للتدقيق على تقنية المعلومات الضوابط العامة لتقنية المعلومات مسلسل الضابط التعقيب تعليقات أ. تنفيذ عملية فعالة إلدارة التغيير هل يتم توثيق عملية إدارة التغيير هل يتم عرض طلبات التغيير وتوثيقها )مثل نموذج طلب التغيير( وتصنيفها هل تم تقييم التغيير من حيث أثره وسرعة الحاجة إلى تطبيقه والم ازيا المالية والمخاطر المرتبطة به هل يقوم الموظف المختص بالموافقة على طلبات التغيير أو رفضها بناءا على نوعية التغيير وحجمه والمخاطر المرتبطة به هل يتولى الموظفون المفوضون والمختصون التعامل مع التغيي ارت ال نعم نعم الشكل 11,0 )مثال ألداة التقييم التفصيلي للتدقيق على تقنية المعلومات( أ 1 أ 2 أ 3 أ 4 أ 5-58-

في ضوء النتائج الموثقة تحدد األداء مستوى الفاعلية على مستوى األهداف الرقابية وعلى مستوى مجاالت الرقابة وعلى مستوى أنواع الضوابط المشار إليها في المخططات التالية: الشكل 12,0 )مثال لتقييم أنواع ومجاالت الضوابط الرقابية من خال أداة التقييم التفصيلي للتدقيق على تقنية المعلومات( الشكل 13,0 )مثال لتقييم المجاالت واألهداف الرقابية من خال أداة التقييم التفصيلي للتدقيق على تقنية المعلومات( ولمزيد من التفاصيل بشأن الضوابط العامة لتقنية المعلومات ومجاالت ضوابط التطبيقات واألهداف الرقابية يرجى االطاع على البند 9,2 الضوابط العامة لتقنية المعلومات والبند 9,3 ضوابط التطبيق ات. 9,1,5 التعامل مع ضوابط تقنية المعلومات غير الفعالة ف ور إج راء المدق ق تقيي م الفاعلي ة كل ن وع م ن أن واع ومج االت -59-

الضوابط الرقابية وأهداف الرقابة من خال أداة التقييم التفصيلي للتدقيق على تقنية المعلومات يقوم المدقق بإعداد بيان باألهداف الرقابية غير الفعالة. كما يتعامل المدقق مع األهداف الرقابية غير الفعالة على النحو التالي: تحديد الضوابط الرقابية التعويضية واختبارها يقوم المدقق بتحديد واختبار ضوابط تقنية المعلومات أو الضوابط اليدوية التي يمكنها الحد من المخاطر )المترتبة على عدم فاعلية الرقابة( إلى مستوى مقبول. ويمكن تغيير تقييم فاعلية الضوابط الرقابية مع االعتماد على مجاالت معينة. كما يجب تسجيل هذه الماحظ ات وتقييمه ا وعرضه ا كم ا يت م تس جيل ه ذه الماحظ ات وعرضها في صورة تقرير. ويمكن تسجيل وعرض الماحظات أخذا في االعتبار أن الضوابط التعويضية ليست بديا عن الضوابط الواردة في إدارة التقييم التفصيلي للتدقيق على تقنية المعلومات. اتخاذ أي إجراءات جوهرية أخرى إذا لم يتمكن المدقق من تحديد الضوابط البديلة أو اختبارها يجب تطبيق اختبارات أخرى للحصول على ضمان معقول بعدم مواجهة المخاطر المرتبطة بالضوابط الرقابية غير الفعالة. وعند الحصول على الدالئل الازمة يبقى تقييم الهدف/األهداف الرقابية كما هو دون تغيير إال انه يمكن االعتماد على مجاالت معينة. وفي هذا الصدد يجب توثيق هذه الماحظات وعرضها. وإذا لم يتمكن المدقق من تحديد الضوابط البديلة أو تنفيذ أي إجراءات جوهرية أخرى يظل تقييم الهدف الرقابي»غير فعال«وال يتم االعتماد على هذه الضوابط. 9,1,6 تحديد مستوى االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق في ضوء المعلومات التي انتهت إليها المرحلة السابقة يتمكن -60-

المدقق على تقنية المعلومات من تحديد مستوى االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق. وقد يتوصل المدقق إلى»إمكانية االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق«أو»عدم إمكانية االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق«. على سبيل المثال إذا تبين عدم كفاءة مجاالت ضوابط تقنية المعلومات التي يشملها نطاق التدقيق تكون نتيجة التقييم»عدم إمكانية االعتماد على ضوابط تقنية المعلومات التي يشملها نطاق التدقيق«. فضا عن ذلك وبناءا على أهداف ونطاق التدقيق يمكن االعتماد على أنواع أو مجاالت الضوابط الرقابية. مثال: في حالة إجراء عملية تدقيق شاملة يجب اختبار وتقييم مجاالت الضوابط ال واردة ف ي أداة التقيي م التفصيل ي للتدقي ق عل ى تقني ة المعلوم ات ويت م تقيي م إمكاني ة االعتم اد ل كل ن وع م ن أن واع الضواب ط عل ى حدة )مثال:الضوابط العامة لتقنية المعلومات(. وأخذا في االعتبار انه في حالة تركز ماحظات لعملية التدقيق على إدارة التغيير فيجب اختبار وتقييم الضوابط الرقابية المرتبطة بها. وفي النهاية يت م تقييم م دى إمكانية االعتم اد على هذه المجاالت الرقابية. 9.2 الضوابط العامة لتقنية المعلومات 9.2.1 مقدمة تمهيدية تركز الضوابط العامة على البنية األساسية لتقنية المعلومات للجهة الخاضعة للتدقيق بما في ذلك السياسات واإلجراءات والممارس ات الخاص ة بتقني ة المعلوم ات. وال تقتص ر ه ذه الضواب ط على المعامات الفردية أو مجموعة معينة من برامج المحاسبة أو التطبيقات المالية. ففي معظم الحاالت تركز عناصر الضوابط العامة لمراجعة احد وظائف تقنية المعلومات على إدارة تقنية المعلومات في الجهة أو ما يماثلها من وظائف أخرى. وتشمل الضوابط العامة تلك الضوابط الخاصة بعمليات مراكز البيانات وش راء وصيان ة البرام ج المعلوماتي ة وتامي ن الوص ول إل ى النظ م -61-

وتطوير نظم التطبيقات وصيانتها. تعمل هذه الضوابط على تهيئة المناخ المناسب لتشغيل نظم وضوابط التطبيقات على سبيل المثال سياسات تقنية المعلومات والمعايير واإلرشادات الخاصة بتأمين نظم تقنية المعلومات وحماية المعلومات وتطوير برامج التطبيقات وضوابط التغيير والفصل بين الواجبات و تخطيط الستمرارية األعم ال وإدارة مش اريع تقني ة المعلوم ات وم ا إل ى ذل ك. وفقا لمنهجية التدقيق على تقنية المعلومات لاجهزة والدواوين الرقابية يضم التقييم الخاص بالضوابط العامة لتقنية المعلومات المجاالت الست التالية: الضوابط التنظيمية و اإلدارية والتخطيط اإلستراتيجي إدارة التغيير الضوابط الخاصة بعملية الوصول إلى المعلومات الضوابط التشغيلية لتقنية المعلومات إدارة تأمين المعلومات إدارة استمرارية األعمال -62-

-63- الشكل 14,0 )مجاالت الضوابط العامة وأهداف التدقيق وفقا لمنهجية التدقيق على تقنية المعلومات(

9.2.2 الضوابط التنظيمية وضوابط اإلدارة يتناول هذا المجال الضوابط عالية المستوى التي تطبقها اإلدارة للتأك د م ن ق درة نظ م تقني ة المعلوم ات عل ى أداء وظائفه م عل ى نحو صحيح وتحقيق أهداف العمل. أ. تناول المجاالت الرئيسية إلدارة تقنية المعلومات على نحو سليم يقدم الهدف الرقابي نظرة عامة على إدارة تقنية المعلومات واألنشطة التي تشكل نظام إدارة تقنية المعلومات واألنشطة التي تعتبر جوهرية. تتناول أهداف الرقابة الموضوعات التالية وذلك من منظور اإلدارة على سبيل المثال: رسالة ورؤية تقنية المعلومات الخطة اإلستراتيجية لتقنية المعلومات والتي تتماشى مع أهداف العمل ورؤيته اإلستراتيجية التقنية والمعايير الخاصة باستثمارات تقنية المعلومات الهيكل التنظيمي لتقنية المعلومات )عالي المستوى( )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات لمراجعة قائمة الضوابط في إطار هذا الهدف الرقابي( ب. تطوير المخطط التنظيمي والوصف الوظيفي الرسمي يتمثل الهدف الرقابي في التأكد من تطوير مخطط تنظيمي لوظائف تقنية المعلومات بحيث يتمكن جميع الموظفين معرفة أدوارهم ومسئولياتهم من خال الوصف الوظيفي الواضح والمحدد. وتتناول األهداف الرقابية ما يلي: توزيع مسئوليات تقنية المعلومات الواجب تنفيذها بموجب سياسة تقنية المعلومات التي تتبعها الجهة تحديد مسئوليات تنفيذ عمليات تقنية المعلومات بوضوح إجراء مراجعة دورية للمخطط التنظيمي للمؤسس -64-

)يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات لمراجعة قائمة الضوابط في إطار هذا الهدف الرقابي( ج. تناول التدقيق على تقنية المعلومات بشكل سليم )في إطار المراجعة الداخلية( يتمث ل اله دف الرقاب ي ف ي التأك د م ن تول ى اإلدارة المس ئولية الكاملة لضمان تطبيق نظام مناسب لضوابط الرقابة الداخلية. حيث تلزم إدارة الجهة موظفيها بإتباع السياسات واإلجراءات مع التأكد من تطبيق الضوابط وقدرتها على الحد من المخاطر المعروفة اعتمادا عل ى أعم ال المراجع ة التي أجريت م ن جانب المراجعي ن الداخليي ن. تتناول أهداف الرقابة ما يلي: تنفيذ أعمال التدقيق على تقنية المعلومات على أساس منتظم توزيع األدوار والمسئوليات الخاصة بالتدقيق على تقنية المعلومات بناء المهارات الازمة إلجراء أعمال التدقيق على تقنية المعلومات استخدام أدوات التدقيق إلجراء أعمال التدقيق على تقنية المعلومات )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات لمراجعة قائمة الضوابط في إطار هذا الهدف الرقابي( د. تحديد التشريعات السارية وااللتزام بالقوانين على نحو فعال يشتمل هذا الهدف الرقابي على الضوابط الازمة لتجنب مخالفة االلتزامات القانونية أو التنظيمية أو التشريعية السارية من خال استخدام نظم تقنية المعلومات. تخضع عملية تصميم وتشغيل واستخدام وإدارة نظم المعلومات للمتطلبات القانونية والتنظيمية. وفي هذا الخصوص تحصل الجهة على استشارات بشأن مجموعة -65-

من المتطلبات القانونية من المستشارين القانونين التابعين للمؤسسة أو الممارسين القانونين المؤهلين على نحو مناسب. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات لمراجعة قائمة الضوابط في إطار هذا الهدف الرقابي( ه. المراقبة الفعالة للقيمة المحققة مقابل المصروفات يضم هذا الهدف الرقابي مجموعة من الضوابط التي من شأنها تقييم مدى قدرة الجهات الخاضعة بالرقابة للتدقيق على تحقيق االس تفادة القص وى م ن الس لع والخدم ات المرتبط ة بوظائ ف تقني ة المعلومات والتي تقوم بشرائها / أو توفيرها في إطار المخصصات المتاحة لها. كما ال تركز الضوابط فقط على قياس تكلفة السلع والخدمات بل تراعي أن تجمع المشتريات بين عناصر الجودة والتكلفة وحسن استخدام الموارد ومائمتها للغرض منها وحداثتها بحيث يمكن من خال هذه الضوابط مجتمعة تحديد ما إذا كانت هذه المشتريات تمثل قيمة جيدة للمؤسسة أم ال. 9.2.3 إدارة التغيير يتمث ل اله دف م ن إدارة التغيي ر ف ي التأك د م ن تقيي م كاف ة التغييرات واعتمادها وتنفيذها ومراجعتها على نحو رقابي. يقصد بالتغيير التغييرات التي تطرأ على األجهزة والبرمجيات. ويشمل تغيير األجهزة كل من أجهزة حاسب إلى وملحقاته والشبكات. كما يشمل تغيير البرمجيات كل من برامج النظم )برامج تشغيلية وأي مرافق مساعدة( وتطبيقات فردية. ويتباين حجم التغيير بشكل كبير بدءا من تعديل الساعة الداخلية للنظام وحتى تحميل إصدار جديد من احد التطبيقات أو نظم التشغيل. وقد يتجاوز مدى اثر التغيير على عملية تشغيل النظام الحجم أو إط ار التغيي ر المتوق ع. أ. تنفيذ عملية فعالة إلدارة التغيير يعمل هذا الهدف الرقابي على ضمان : وجود نطاق للتغييرات محدد وموثق على نحو واضح -66-

ال يتم الموافقة على أي تغييرات إال تلك التي تمثل منفعة لألعمال مثل: األعمال التجارية واألمور القانونية والقواعد التنظيمية واللوائح يتم ترتيب أنشطة التغيير في ضوء أولويتها والمخاطر المرتبطة بها يمكن التحقق من التغييرات المقابل التصاميم خال تنفيذ عملية التغيير يراقب الموعد المحدد لتنفيذ التغييرات مع إمكانية تقديم الدعم المطلوب عن الحاجة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات لمراجعة قائمة الضوابط في إطار هذا الهدف الرقابي( ب. المراجعة الفعالة للتغييرات يتمثل هذا الهدف الرقابي في التأكد من مراجعة كافة التغييرات للتعرف على نجاحها أو عدم نجاحها بعد تنفيذها مع تسجيل أي دعم يقدم في هذه العملية. بالنسبة للتغييرات الجوهرية تنفذ عملية المراجعة بعد إدخال التغييرات وذلك بغرض التحقق من: oتحقيق الهدف من التغيير oرضاء العماء بالنتائج oعدم مواجهة أي اثأر جانبية غير متوقعة o o o يتم تسجيل أي حالة من حاالت عدم المطابقة واتخاذ اإلجراءات التصحيحية الازمة. إذا كشفت مراجعة عملية إدارة التغيير عن أي نقاط ضعف أو قصور فيجب تطوير الخطط الازمة لتحسين الخدمة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات لمراجعة قائمة الضوابط في إطار هذا الهدف الرقابي( -67-

ج. اإلدارة الفعالة للتغييرات الطارئة في بعض األحيان قد يتطلب األمر إجراء تغييرات طارئة. وفي هذه الحالة يفضل إتباع إجراءات التغيير إن أمكن ويجوز توثيق بعض التفاصيل بأثر رجعى. وإذا تجاوزت عملية التغيير الطارئة المتطلبات األخرى إلدارة التغيير فيجب أن يتوافق التغيير مع هذه المتطلبات في اقرب وقت ممكن. يتمثل هذا الهدف الرقابي في التأكد من إمكانية إثبات أسباب إجراء التغييرات الطارئة من جانب المسئول عن تنفيذها وكذا ومراجعته ا بع د إدخ ال للتحق ق م ن وج ود موق ف يس تدعي تنفي ذ هذه التغييرات الطارئة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات لمراجعة قائمة الضوابط في إطار هذا الهدف الرقابي( د. المراقبة الفعالة للتغييرات يسعى هذا الهدف الرقابي إلى تنفيذ ضوابط تضمن إجراء تحليل منتظم لسجات التغيير للكشف عن الزيادة في معدالت التغيير وأنواع التغيير المتكررة باستمرار واالتجاهات الناشئة والمعلومات األخرى ذات الصلة. ويجب تسجيل النتائج واالستنتاجات التي تم االنتهاء إليها من تحليل التغييرات والعمل بناءا عليها. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( 9.2.4 ضوابط الوصول إلى المعلومات يركز هذا الهدف الرقابي على مراقبة ضوابط الوصول إلى المعلومات والنظم. حيث يجب مراقبة عملية الوصول إلى المعلومات واليات معالجة البيانات وعمليات األعمال على أساس متطلبات العمل والتأمين. وتراعي قواعد مراقبة الوصول السياسات الخاصة بنشر المعلومات والتصريح بها. -68-

أ. تخطيط وتنفيذ سياسة فعالة للرقابة على الوصول إلى معلومات يضمن هذا الهدف الرقابي وضع الضوابط الرقابية للوصول إلى المعلومات والنظم وتوثيقها ومراجعتها بناءا على العمل ومتطلبات تأمين الوصول. وتتضمن السياسة القواعد والحقوق الخاصة بكل مستخدم أو مجموعة من المستخدمين وتنقسم إلى ضوابط منطقية ومادية ال تتقدم احدهما على األخرى حيث يجب تطبيقهما معا على السواء. كما يجب أن يحصل المستخدمون ومقدمو الخدمات على بيان واضح يضم متطلبات األعمال التي يجب الوفاء بها من خال الضواب ط الرقابي ة للوص ول إل ى المعلوم ات. قد تتواجد عناصر تحكم الوصول المنطقي وغالبا ما تتواجد في األنظمة المالية في مستويين )مستوى التثبيت ومستوى التطبيق وبالتالي يمكن إنشاء عناصر التحكم ف ي الوصول في : -نظام التشغيل -أو كل تطبيق على حده ويتم تقسيم صاحيات الوصول إلى المعلومات في أنظمة التشغيل من قبل المخولين في دائرة تقنية المعلومات وحسب التخصصات الوظيفي ة وهن اك بع ض العناص ر يج ب مراعاته ا ف ي ف ي إج راءات الدخول : 1- آلية الدخول 2- تعريف المستخدم 3 -التحقق 4 -حماية الموارد 5- التسجيل -69-

عاوة على ذلك يضمن هذا الهدف أن تركز الضوابط الرقابية للوصول إلى المعلومات على النقاط الرئيسية التالية: متطلبات تأمين التطبيقات الفردية تحديد كافة المعلومات الخاصة بتطبيقات األعمال والمخاطر التي تواجهها سياسات نشر المعلومات واعتمادها مثال: الحاجة إلى معرفة مبادئ ومستويات تأمين المعلومات وتصنيفها االتساق بين سياسات ضوابط الوصول إلى المعلومات وسياسات تصنيف المعلومات عند تشغيل النظم والشبكات المختلفة التشريعات وااللتزامات التعاقدية الخاصة بحماية الوصول إلى البيانات أو الخدمات. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ب. اإلدارة الفعالة لوصول المستخدم إلى المعلومات يضم ن ه ذا اله دف الرقاب ي وص ول المس تخدمين المص رح له م إلى نظم المعلومات ومنع وصول غير المصرح لهم. ولهذا الغرض يجب تطوير إجراءات رسمية لضبط منح حقوق الوصول إلى نظم المعلومات والخدمات بحيث تتناول كافة مراحل عملية وصول المس تخدم إل ى المعلوم ات ب دءا م ن التس جيل األول ى للمس تخدمين الجدد وحتى إلغاء التسجيل المستخدمين الذين انتفت حاجتهم إلى الوصول إلى نظم المعلومات والخدمات. وبقدر المستطاع يجب االهتمام بوضع ضوابط منظمة لمنح حقوق الوصول التفضيلية إلى نظم المعلومات والتي تتيح للمستخدمين تجاوز ضوابط النظام. عادة ما تركز سياسات ضوابط وصول المستخدم إلى نظام المعلومات على: تطوير إجراءات رسمية لتسجيل المستخدمين وإلغاء تسجيلهم بغرض منح أو سحب حق الوصول إلى نظم المعلومات والخدم ات -70-

وضع قيود وضوابط تنظم منح واستخدام الحقوق التفضيلية مراقبة عملية تحديد كلمات المرور من خال عملية إدارة رسمية تجري اإلدارة مراجعة لحقوق المستخدمين في الوصول إلى المعلومات على فترات منتظمة ومن خال عملية رسمية. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ج. تحديد مسئوليات المستخدم بوضوح يحدد هذا الهدف الرقابي عدة ضوابط من شأنها منع المستخدمين غير المصرح لهم بالوصول إلى نظام المعلومات والمخاط رة بالمعلوم ات وأدوات معالجته ا أو تعرضه ا للس رقة. وهن ا تجدر اإلشارة إلى ضرورة أن يتحلى المستخدم المصرح له بروح التعاون لضمان فاعلية تأمين المعلومات وان يكون على وعى تام بمسئوليته في االلتزام بضوابط الوصول إلى المعلومات السيما فيما يتعلق باستخدام كلمات المرور وتأمين أدوات المستخدم. ويتعين على الجهة االلتزام بتنفيذ سياسات تأمين المكتب وتأمين شاشة الحاسب للحد من مخاطر الوصول غير المصرح أو إتاف المستندات أو الوسائط أو أدوات معالجة البيانات. م ن بي ن مس ئوليات المس تخدم المتعلقة بضواب ط الوص ول إلى نظ م المعلوم ات: إتباع سياسات أمنية سليمة أثناء اختيار واستخدام كلمات الم رور التأكد من توفير الحماية المناسبة للمعدات غير المراقبة تطبيق سياسة إخاء المكتب من المستندات ووسائل التخزين النقالة وسياسة حجب أدوات معالجة البيانات. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( -71-

د. تنفيذ ضوابط رقابية فعالة للوصول إلى الشبكات يتمثل الغرض من وضع ضوابط للوصول إلى الشبكات في منع المستخدمين غير المصرح لهم من الوصول إلى الخدمات المتاحة على شبكات الجهة. ولهذا الغرض يجب مراقبة عملية الوصول إلى خدمات الشبكات الداخلية أو الخارجية. وال يجوز السماح باتصال المستخدم بالشبكة والوصول إلى خدماتها مقابل المخاطرة بتأمين خدمات الشبكة وعلى ذلك فيجب التأكد من : سامة الروابط والمداخات بين الشبكة الخاصة بالجهة والشبكات التابعة لمؤسسات أخرى والشبكات المحلية. تطبيق آليات مناسبة للمصادقة على المستخدمين والمعدات. االلتزام بمراقبة عملية وصول المستخدم إلى خدمات المعلومات. تهدف هذه الضوابط الرقابية إلى ضمان: السماح بوصول المستخدمين إلى الخدمات المصرح لهم باستخدامها فقط. اس تخدام أس اليب المصادق ة المناس بة بغ رض مراقب ة وص ول المس تخدمين ع ن بع د. إقرار دور المعدات االلكترونية باعتبارها وسيلة لتوثيق االتصاالت من مواقع ومعدات معينة. مراقبة الوصول المادي والمنطقي إلى النظام. الفصل بين خدمات المعلومات والمستخدمين ونظم المعلومات في صورة مجموعات على الشبكات. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( -72-

ه. تنفيذ ضوابط رقابية فعالة على عملية الوصول إلى نظام التشغيل يتمثل الهدف من وضع ضوابط رقابية على الوصول إلى نظام التشغيل في منع الوصول غير المصرح إلى نظم التشغيل. ولذلك تتخذ مجموعة من التدابير األمنية لتقييد وصول المستخدمين المصرح لهم إلى نظم التشغيل بحيث تتمكن من: المصادقة على المستخدمين المصرح لهم وفقا لسياسة مراقبة الوصول تسجيل كافة محاوالت توثيق النظام سواء التي نجحت أو أخفقت تسجيل استخدام االمتيازات الخاصة للنظام إصدار إنذارات في حالة مخالفة السياسات الخاصة بتامين النظ ام إتاحة الوسائل المناسبة للمصادقة وضع قيود على فترات اتصال المستخدمين بالشبكة إذا اقتضى األمر. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( و. تنفيذ ضوابط رقابية فعالة على التطبيقات من خال تطوير الضوابط الرقابية على التطبيقات تضمن الجهة سرية أصول المعلومات وتكاملها وتوافرها. كما تقدم هذه الضوابط ضمانا مناسبا لحماية حماية مصادر التطبيقات والبيانات من: التعديل غير المصرح اإلفشاء غير المصرح -73-

فقدان المصادر و انخفاض قيمتها. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ز. تطوير الضوابط المناسبة للتأمين المادي تحول هذه الضوابط الرقابية دون الوصول المادي غير المصرح إل ى المكات ب والمعلوم ات الخاص ة بالجه ة أو إلح اق الض رر به ا أو اقتحامها. ولهذا الغرض يجب االحتفاظ باألدوات الهامة أو الحساسة لمعالجة البيانات في ظروف بيئية مائمة وأماكن آمنة ومحاطة بطوق أمني مع االستعانة بالحواجز األمنية المناسبة وضوابط الدخول المناسبة. كما يجب توفير الحماية المادية للمقار والمعلومات المملوكة للمؤسسة من الوصول غير المصرح أو إلحاق الضرر بها أو اقتحامها كما يتم توفير وسائل مناسبة لمكافحة الحرائق والتكييف والتهوية والوقاية من الرطوبة مع الحرص على تحقيق التوازن بين الحماية المتوفرة والمخاطر المحددة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( 9.2.5 الضوابط التشغيلية لتقنية المعلومات يهدف هذا المجال إلى ضمان سامة وتأمين تشغيل أدوات معالجة البيانات. ولهذا الغرض يجب تحديد المسئوليات وتطوير اإلجراءات الخاصة بإدارة وتشغيل كافة أدوات معالجة البيانات بما ف ي ذل ك تطوي ر اإلج راءات التش غيلية المناس بة. أ. فاعلية تخطيط الموارد تهدف هذه الضوابط الرقابية إلى مراقبة الموارد واتساقها وتقدير المتطلبات المستقبلية للمؤسسة من الموارد لضمان الحفاظ على مستوى األداء المطلوب للنظام المطلوب. كما تشمل هذه الضوابط: تحديد الموارد المطلوبة لكافة األنشطة الحديثة والمستمرة -74-

تطبيق آليات مراقبة واتساق الموارد لضمان دعم استمرار النظم في العمل وكفاءتها عند الضرورة تطبيق الضوابط الرقابية الكتشاف المشاكل في الوقت المناسب أن تراعي التقديرات المستقبلية الحتياجات الجهة من الموارد األعمال الجديدة ومتطلبات النظام والتوجهات الحالية والمحتملة في إمكانات معالجة البيانات لدى الجهة. بعض األمثلة على ضوابط التخطيط إلدارة موارد تقنية المعلومات : موازنة المخاطر مقابل العائد على تقنية المعلومات وعملياتها هياكل تنظيمية تساند عمليات وجود تقنية المعلومات تمكين العمليات التجارية اإلستفادة من المعلومات في أنظمة تقنية العلومات توافق أنشطة تقنية المعلومات مع إحتياجات المشاريع ويش مل اط ر التحك م بتقني ة المعلوم ات اآلت ي : )المج االت العمليات-االنشطة( )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ب. حسن التعامل مع الوسائط تهدف هذه الضوابط إلى منع اإلفشاء غير المصرح لألصول أو تعديلها أو التخلص منها أو تدميرها ووقف تنفيذ أنشطة األعمال. يتطلب حسن التعامل مع الوسائط: مراقبة الوسائط وحمايتها ماديا. تطوير اإلجراءات التشغيلية المناسبة لحماية المستندات ووسائط الحاسب )مثال األشرطة واألقراص( وبيانات المدخات/المخرجات ووثائق النظام من: oاإلفشاء غير المصرح oالتعديل غير المصرح o o -75-

o o oالتخلص غير المصرح من الوسائط oالتدمير )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ج. فاعلية إدارة النسخ االحتياطي يتطلب هذا الهدف الرقابي قيام الجهة الخاضعة للتدقيق بحفظ نسخ احتياطية من البيانات والبرامج الواجب عل ى فترات منتظمة. ولهذا الغرض يجب تطوير اإلجراءات الازمة لتنفيذ سياسة وإس تراتيجية النس خ االحتياط ي المعتم دة لحف ظ نس خ اضافي ة م ن البيانات وضمان إمكانية استرجاعها في الوقت المناسب. يتن اول ه ذا اله دف الرقاب ي الممارس ات المعت ادة التالي ة للنس خ االحتياطي: تحديد مستوى المعلومات االحتياطية إعداد سجات دقيقة وكاملة للنسخ االحتياطية وإجراءات االسترجاع الموثقة يعكس مستوى النسخ االحتياطي )مثال نسخ احتياطي كامل أو متباين( وعدد مرات تكراره متطلبات األعمال الخاصة بالجه ة تخزين النسخ االحتياطي في موقع بعيد توفي ر الحماي ة المادي ة والبيئي ة لمناس بة للنس خ االحتياطي ة للمعلومات اختبار وسائط حفظ النسخ االحتياطية بانتظام لضمان إمكانية االعتماد عليها في حاالت الطوارئ عند الضرورة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( -76-

د. فاعلية تنفيذ حلول مكافحة البرامج الضارة تهدف هذه الضوابط إلى حماية تكامل البرامج والبيانات من المدخات الضارة. وفي هذا الخصوص يجب على الجهة اتخاذ إجراءات استباقية للحد من التعرض إلى شفرة المصدر فيروسية وك واد الهوات ف المحمول ة غي ر المص رح له ا وإمكاني ة اكتش افها. تتعرض البرمجيات وأدوات معالجة البيانات إلى خطر الشفرة المصدر الفيروسية مثل فيروسات الحاسب والشبكات والفيروسات الخبيثة والفيروسات الذكية. حيث يجب أن يكون المستخدمين على وعي تام بمخاطر الشفرة المصدر الفيروسية. ويتعين على الجهة تطوير ضوابط رقابية لمكافحة الشفرة المصدر الفيروسية وكواد المحم ول واكتش افها والتخل ص منه ا. ويتطلب هذا الهدف الرقابي ما يلي: توثيق وتعميم سياسة مكافحة البرامج الضارة تغذية النظام بالحلول الحديثة لمكافحة البرامج الضارة تحديد األدوار والمسئوليات إلدارة مكافحة البرامج الضارة توعية المستخدمين بالمخاطر المرتبطة بالبرامج الضارة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ه. كفاءة تطوير وتنفيذ عملية إدارة األحداث العارضة يضمن الهدف الرقابي إتباع منهج متسق وفعال بشأن إدارة األحداث المتعلقة بتأمين المعلومات. ولهذا الغرض يتعين على الجهة تحديد المسئوليات وتطوير اإلجراءات الازمة للتعامل مع حوادث تامين المعلومات ونقاط الضعف بفاعلية فور اإلباغ عن وقوعها. كما تتبع الجهة عملية التطوير المستمر بغرض التعامل مع حوادث تأمين المعلومات مراقبتها وتقييمها وإدارتها بشكل عام. ويجب الحصول على أدلة ثبوتية حال طلبها لضمان االمتثال إلى المتطلب ات القانوني ة. -77-

تتطلب عمليات إدارة الحوادث ما يلي: إتباع عملية لإلباغ عن حوادث تأمين المعلومات إتباع عملية لإلباغ عن نقاط ضعف بنظم تأمين المعلومات تحديد المسئوليات واتخاذ اإلجراءات الازمة إلدارة الحوادث االستفادة حوادث تأمين المعلومات إتباع عملية جمع األدلة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( و. فاعلية صيانة األجهزة والبرمجيات يتطلب هذا الهدف الرقابي إتباع إجراءات سليمة لصيانة األجهزة والبرمجيات لضمان استمرارها وحسن أداءها. تتضمن العملية الفعالة لصيانة األجهزة والبرامج: صيانة األجهزة والبرمجيات وفقا لمواصفات المورد فقط تحديد عدد مرات صيانة األجهزة والبرمجيات االحتفاظ بالسجات الخاصة بكافة أنشطة الصيانة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ز. فاعلية مراقبة نظام المعلومات تهدف هذه الضوابط الرقابية إلى اكتشاف أي أنشطة غير مصرح لها لمعالجة البيانات. حيث يتعين على الجهة مراقبة النظم وتسجيل كافة األحداث الخاصة بنظم تأمين المعلومات. كما يجب االستعانة بحسابات دخول المشغلين على النظام وتسجيل األخطاء لضمان اكتشاف المشاكل التي يتعرض لها نظام المعلومات. ويجب أن تلتزم الجهة بجميع المتطلبات القانونية المعمول بها والتي -78-

تتعلق بأنشطة المراقبة والدخول. ويخضع النظام إلى المراقبة للتحقق من مدى فعالية الضوابط السارية ومطابقتها للنموذج الخاص بسياسة الوصول إلى نظم المعلومات. تتن اول ه ذه الضواب ط النقاط الرئيسية التالي ة ذات الصل ة بعملي ة المراقبة: التدقيق على عمليات الدخول مراقبة استخدام النظام حماية بيانات الدخول حفظ حسابات دخول المسئول والمشغل )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ح. تنفيذ عملية فعالة لشراء البرامج/ األجهزة يتناول هذا الهدف الرقابي الضوابط الخاصة بعملية شراء البرامج/األجهزة. وتهدف هذه الضوابط إلى ضمان تنفيذ عملية الشراء على نحو يتسم بالسهولة والتنظيم. ولذلك يجب على الجهة تنفيذ ما يلي: الشراء وفق معايير وضوابط تقنية التواصل الفعال بين األطراف المشاركة التحليل والتخطيط الفني والوظيفي التدريب خطة وإستراتيجية االختبار مراجعة ما بعد التنفيذ -79-

9.2.6 إدارة تأمين نظم المعلومات تهدف إدارة تأمين نظم المعلومات إلى إرساء مخطط الضوابط األمنية كما يعكس التزام اإلدارة العليا بالتعامل مع مخاطر تأمين نظم المعلومات. يسعى برنامج إدارة تأمين نظم المعلومات إلى وضع إطار عمل وتصميم عملية مستمرة لتقييم المخاطر وتطوير وتنفيذ إجراءات أمنية سليمة ومراقبة فاعليتها. يتم تطوير السياسات والخطط الشاملة على مستوى الجهة بالكامل وتستهدف النظم واإلجراءات الخاصة بالتطبيقات والضوابط الرقابي ة تنفي ذ السياس ة العام ة للمؤسس ة. وف ى حال ة ع دم وج ود برنامج دقيق التصميم فمن المحتمل أن تواجه الجهة عدم مائمة الضوابط األمنية وعدم وضوح المسئوليات أو إساءة فهمها أو تنفيذها بشكل غير صحيح وقد ال تطبق الضوابط الرقابية على نح و متس ق. وق د ت ؤدى ه ذه الظ روف إل ى ع دم توفي ر الحماي ة الكافية المصادر الحساسة والهامة وتكبد نفقات عالية للرقابة على مصادر منخفضة المخاطر على نحو غير متكافئ. أ. تطوير برنامج إدارة تأمين نظم المعلومات يتطلب هذا الهدف الرقابي من الجهة تطوير سياسات وخطط وإجراءات من شأنها عرض وصف توضيحي لبرنامج المنظمة الخاص بإدارة أنشطة تأمين نظم المعلومات. يجب أن يغطي برنامج إدارة التأمين كافة النظم واألدوات الرئيسية مع تحديد مهام األفراد المسئولين عن اإلشراف على التأمين واألفراد المسئولين عن نظم الحاسبات أو المعتمدين عليها أو مستخدميها. وفي إطار هذا البرنامج العام يجب على الجهة تطوير مخطط إلدارة تأمين نظم المعلومات على مستوى النظم وعلى مستوى التطبيقات. في حالة إدارة نظام تشغيلي أو شبكة معينة يجب على الجهة تطوير مخطط واضح ومسئوليات محددة لتامين نظم وأجهزة التشغيل. وفي ذات اإلطار يجب على الجهة تطوير مخطط عمل وتحديد المسئوليات المفوضة بوضوح والتي تتعلق بتطبيقات عمليات األعمال. يجب تحديث ومراجعة السياسات والخطط واإلجراءات الخاصة ببرنامج تأمين النظم بصفة مستمرة ليعكس التغيرات في النظام والتغييرات -80-

التنظيمية والمشاكل التي اتضحت أثناء تنفيذ الخطة وتقييم الضوابط الرقابية على برنامج تأمين النظم أو من خال تقارير التدقيق. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ب. التقييم الدوري للمخاطر والتحقق منها يتطلب هذا الهدف الرقابي من الجهة إجراء تقييم شامل للمخاطر بغرض تطوير أو تعديل سياسات ومخططات تأمين النظم. تتزايد أهمية أعمال التقييم لدورها في التحقق من اكتشاف جميع التهديدات ونقاط الضعف ودراستها والتعامل مع اكبر المخاطر واتخاذ القرارات المناسبة والتي تحدد الجهة بناءا عليها مجموعة المخاطر التي يمكن قبولها والمخاطر التي يجب تجنبها من خال ضوابط التأمين. وفي هذا الخصوص يجب على الجهة توثيق سياسات وإجراءات تقييم المخاطر استنادا على تحديد أنواع برامج تأمين النظم. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ج. توثيق وتنفيذ سياسات وإجراءات الضوابط الرقابية على برامج تأمين النظم يتطلب هذا الهدف الرقابي توثيق السياسات واإلجراءات الخاصة بالضوابط الرقابية لتأمين النظم واعتمادها من قبل اإلدارة. ويجب أن تتمكن هذه السياسات واإلجراءات من التعامل مع المخاطر وع رض الضواب ط العام ة وضواب ط التطبيق ات والتأك د م ن تحم ل المستخدمين مسئولية أي أنشطتهم على النظام. ويجوز تطوير السياسات واإلجراءات الرقابية على نحو عام بحيث تغطي كافة أنشطة الجهة وعلى نحو خاص بحيث تركز على النظم )مثل: التصميمات الخاصة( ومستويات التطبيق )مثال: قواعد وصول المستخدم إلى تطبيقات معينة(. فضا عن ذلك تهتم الجهة بتطوير قواعد جزائية رسمية للموظفين لعدم امتثالهم إلى السياسات واإلجراءات الخاصة بضوابط تقنية المعلومات. -81-

)يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( د. رفع الوعي األمني اإليجابي لدى الموظفين المختصين وغيرهم من المسئولين عن تأمين المعلومات يتطلب هذا الهدف الرقابي تنفيذ برنامج مستمر لرفع الوعي األمني حيث يضم البرنامج التدريبي ألول مرة الذي يتلقاه الموظفين الجدد والمتعاقدين والمستخدمين الجدد وبرامج التدريب الدورية التذكيري ة لجمي ع الموظفي ن والمتعاقدي ن والمس تخدمين الحاليي ن إلى جانب توزيع سياسات تأمين النظم التي تعرض القواعد الواجب إتباعها والسلوكيات المتوقعة على جميع الموظفين المعنيين. يجب أن يشتمل برنامج تأمين النظم على دورات تختص برفع الوعي األمني ليس فقط لموظفي الجهة بل وللمتعاقدين والمستخدمين اآلخرين لنظم المعلومات وذلك بغرض دعم عمليات وأصول الجهة. وفيما يلي النقاط التي يجب أن تغطيها البرامج التدريبية: مخاطر تأمين المعلومات فيما يتعلق بأنشطة المستخدمين و مسئوليات المستخدمين بشأن االمتثال إلى سياسات وإجراءات الجهة والتي تم تصميمها لتقليل المخاطر. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ه. مراقبة فاعلية برنامج تأمين النظم ومعالجة نقاط الضعف في عملية تأمين المعلومات من أهم العناصر التي تستند إليها إدارة المخاطر هو ضمان فاعلية السياسات والضوابط الهادفة إلى الحد من المخاطر واستمرار تطبيقها. يتطلب هذا الهدف مراقبة ضوابط تقنية المعلومات بفاعلية لتقييم أو إقرار مدى سامة توظيف الضوابط وحسن تشغيلها بما يحقق األهداف الرقابية للمؤسسة. يعد وعى اإلدارة العليا ودعمها ومشاركتها أمر ضروري لتهيئة مناخ الرقابة الازم للتشجيع على االلتزام بتطبيق برنامج تأمين المعلومات. ويجب على اإلدارة العليا مراعاة التوازن بين التركيز على تأمين المعلومات وعلى -82-

تحقيق الهدف األكبر المتمثل في تحقيق مهمة الجهة. ولتحقيق هذا التوازن بفاعلية يجب أن تكون اإلدارة العليا على وعى بمخاطر تأمين النظم للمؤسسة مع االهتمام بدعم ومراقبة فاعلية سياسات التأمين الخاصة بها. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( 9.2.7 إدارة استمرار األعمال تستهدف عملية تطوير وضع خطة استمرار األعمال والضوابط الرقابية الخاصة بها التأكد من استمرار قدرة الجهة على انجاز رسالتها والمحافظة على كفاءتها في معالجة واسترجاع وحماية البيانات في حاالت وقوع أعطال أو كوارث معلوماتية تؤدي إلى فقدان مؤقت أو دائم في نظم تقنية المعلومات. وتجدر اإلشارة إلى أن ضعف قدرة الجهة على معالجة البيانات واسترجاعها وحمايتها يؤثر بشكل جوهري على كفاءتها في انجاز رسالتها. ومع ضعف الضوابط الرقابية الستمرار األعمال فقد تؤدي األعطال حتى البسيطة منها- إلى فقدان البيانات أو وقوع أخطاء في معالجتها والذي بدوره قد يتسبب في خسائر مالية وبذل جهود مرتفعة التكاليف السترداد البيانات وإجراء معامات بناءا على معلومات غير دقيقة أو كاملة. ونظرا لهذه التعقيدات البالغة فمن الضروري أن تقوم الجهة بما يلي: إجراءات لحماية مصادر المعلومات والحد من المخاطر الناتجة عن وقوع أعطال مفاجئة خطة لمعالجة العمليات الهامة في حالة وقوع أعطال أثناء تنفيذها أ. تقييم المخاطر الخاصة بخطة استمرارية األعمال تستهدف الضوابط في إطار هذا الهدف اكتشاف حاالت تعطل عمليات األعمال واحتمال وقوعها وأثرها وتبعاتها على الجهة. تجرى أعمال تقييم المخاطر المتعلقة باستمرارية األعمال بالمشاركة الكاملة من مسئولي اإلدارات المختلفة حيث يشمل التقييم كافة اإلدارات. ومن األهمية أن يتم الربط بين مختل ف أنواع المخاطر للوصول إلى رؤية متكاملة لمتطلبات الجهة في مجال استمرارية -83-

األعمال. وفي إطار التقييم يتم التعرف على المخاطر وقياس حجمها وترتيبها وفقا لألولوية وذلك بناءا على المعايير واألهداف التي تقرها الجهة بما في ذلك الموارد الهامة واآلثار الناتجة عن توقف األعمال وعدد مرات انقطاع الخدمة المسموح بها وأولويات المعالجة. واستنادا على نتائج تقييم المخاطر يتم تطوير إستراتيجية استمرارية األعمال لتحديد النهج العام للعملية. ويجب على اإلدارة اعتماد اإلستراتيجية فور تطويرها وإعداد خطط تنفي ذ اإلس تراتيجية واعتماده ا. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ب. تطوير إطار عمل فعال لتخطيط استمرارية األعمال يتطل ب ه ذا اله دف الرقاب ي تطوي ر وتنفي ذ خط ط ته دف إلى استمرار أو استرجاع العمليات وضمان توافر المعلومات على المستوى المطلوب ووفقا للفترات الزمنية المطلوبة بعد توقف تنفيذ عمليات األعمال أو فشل تنفيذها. كما يتعامل هذا الهدف مع: تحديد كافة المسئوليات واإلجراءات الخاصة باستمرارية األعمال والموافقة عليها تحديد خسائر الجهة من المعلومات والخدمات التي يمكن تقبله ا تنفيذ اإلجراءات الهادفة إلى استعادة واسترجاع عمليات األعمال وضمان توافر المعلومات في الفترات المحددة تنفي ذ اإلج راءات التش غيلية لمتابع ة إتم ام معالج ة العملي ات واسترجاعها توثيق اإلجراءات والعمليات المتفق عليها. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ج. اختبار خطط استمرار األعمال وتحديثها ومراجعتها تستهدف هذه الضوابط ضمان اختبار خطط استمرار األعمال -84-

وتحديثها بانتظام للتحقق من فاعليتها وحداثتها. ومن خال اختبارات خطط استمرار األعمال يجب التأكد من معرفة جميع أعضاء مجموعة العمل المختصة بالمعالجة وغيرهم من الموظفين ذو الصلة على دراية بالخطط وتحديد مسئولياتهم تجاه تنفيذ خطط استمرار األعمال وتأمين المعلومات ومعرفتهم بأدوارهم عند تنفيذ الخطة. توضح قائمة اختبارات خطط استمرار األعمال كيفية اختبار كل عنصر من عناصر الخطة وموعد اختبارها. ويجب تكر ر عملية اختبار كل عنصر من عناصر الخطة )الخطط(. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( 9.3 ضوابط التطبيقات 9,3,1 مقدمة تمهيدية تجمع تطبيقات عمليات األعمال بين األجهزة والبرمجيات وتستخدم لمعالجة بيانات األعمال لدعم عمليات أعمال محددة. وتمثل الضوابط على مستوى التطبيقات والتي تعرف عامة باسم»ضوابط مستويات التطبيقات«أو»ضوابط التطبيقات«تلك الضوابط الواجب تطبيقها لضمان اكتمال ودقة البيانات والمعامات وسامتها وسريتها وتوافرها. يتوقف مدى فاعلية ضوابط التطبيقات على مدى فاعلية الضوابط العامة على النظام وعلى مستوى الجهة ككل. ومن المحتمل أن يسفر ضعف الضوابط العامة على مستوى النظام وعلى مستوى الجهة عن إجراء تغييرات غير مصرح بها على التطبيقات والبيانات ما قد يؤثر سلبا على فاعلية ضوابط التطبيقات ويحد من قدراتها. يشمل تقييم ضوابط التطبيقات المجاالت اآلتية: إدخال البيانات معالجة البيانات إنتاج/إخراج البيانات إعداد وصيانة البيانات الرئيسية إستراتيجية وتصميم عملية التداخل -85-

-86- الشكل 15.0 )أهداف ومجاالت الضوابط الرقابية وفقا لمنهجية التدقيق على تقنية معلومات األجهزة والدواوين الرقابية(

9,3,2 مدخات البيانات يهدف هذا المجال إلى التأكد من قدرة الضوابط واإلجراءات على ضمان: أن البيانات المستلمة بغرض معالجتها أصلية ووافية ولم يسبق معالجتها ودقيقة ومصرح بها حسب األصول المرعية إدخال البيانات على نحو يتسم بالدقة والتطابق. تعتبر ضوابط مراقبة المدخات أمر بالغ األهمية تعتبر حيث تعتبر األخطاء أو التزوير في المدخات أهم سبب لوقوع أخطاء أو تزوير في نظام تقنية المعلومات. تؤثر الضوابط الرقابية للمدخات بشكل جوه ري على تكامل النظام. أ. تنفيذ إستراتيجية فعالة لبيانات المعامات وتصميمها يتطلب هذا الهدف الرقابي من الجهة وضع إستراتيجية وتصميم مناسب للبيانات )كيفية تنظيم البيانات في هياكل لتسهيل عملية استرجاعها والحد من احتمالية تكرارها(. يعد تصميم عناصر البيانات الخاصة بالمعامات احد العوامل الهامة التي تساعد على ضمان جودة البيانات وارتباطها بعناصر البيانات األخرى. يجب تحديد وصيانة المعايير الخاصة بالبيانات إال انه قد تتغير هذه المعايير تبعا لمتطلبات خاصة للمؤسسة بما في ذلك المتطلبات التنظيمي ة ومعايي ر التطبيق ات أو قواع د البيان ات. أن تطوير إستراتيجية واضحة ومحددة للحد من تكرار البيانات يعتبر أمرا أساسيا لضمان كفاءة وفاعلية وظيفة معاجلة المعامات. قد يؤدى انخفاض جودة البيانات إلى فشل ضوابط النظام وعدم كفاءة العمليات وإصدار تقارير غير دقيقة لإلدارة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ب. تطوير سياسات وإجراءات إعداد المدخات )اعتمادها ومراجعتها( يتطلب هذا الهدف الرقابي من الجهة تطوير سياسات وإجراءات تضمن بشكل معقول اكتمال ودقة كافة الوثائق األصلية وملفات -87-

اإلدخال المصرح وقيدها على نحو سليم ونقلها بانتظام كمدخات للنظام. وفي المقابل تتولى اإلدارة تطوير إجراءات تضمن بشكل معقول قيد ومعالجة كافة المدخات إلى التطبيقات مع تحديد وفحص الوثائق األصلية أو معامات اإلدخال التي تم إغفالها أو عدم قيدها. وأخيرا يجب على الجهة تطوير إجراءات تضمن على نحو معقول إدخال وقبول جميع الوثائق األصلية )المستندية أو االلكترونية( إلجراءات معاملة صحيحة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ج. تطوير آليات المصادقة على البيانات وتدقيقها في التطبيقات يتطلب الهدف الرقابي المصادقة على البيانات التي يتم إدخالها وتدقيقها وذلك لتقديم ضمان مقبول بتجنب إدخال بيانات خاطئة أو اكتشافها معالجتها. وفى كثير من األحيان يقوم مسئولو التطبيقات ومصممي البرامج بتطوير آليات تصحيح المدخات داخل التطبيقات مباشرة للحد من األخطاء التي تنفذ إلى التطبيقات من خال المدخات. تتم أعمال التصحيح لضمان اكتمال البيانات ودقتها والمصادقة عليها وتسجيلها في النموذج المناسب. قد تستعين عمليات التدقيق ببرامج لكشف وتصحيح الخطأ في الحروف المدخلة في حقول البيانات أو عددها أو الكشف عن البيانات المفقودة وغير الصحيحة أو التواريخ الخاطئة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( د. تنفيذ عملية تدقيق فعالة ومراقبة القدرات من المحتمل أن تشهد عملية إدخال البيانات يدويا أوإلكترونيا وقوع أخطاء. لذلك يتطلب هذا الهدف الرقابي من اإلدارة تطوير اإلجراءات الازمة لتحديد وتصحيح أي أخطاء يمكن وقوعها أثناء عملية إدخال البيانات. ويجب أن تعمل إجراءات معالجة األخطاء على تقديم ضمان معقول للكشف عن األخطاء والمخالفات واإلباغ عنها وتصحيحها. -88-

)يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( 9,3,3 معالجة البيانات يهدف هذا المجال إلى التأكد من معالجة المدخات والبيانات الصادرة من النظام على نحو مكتمل ودقيق. تتمثل األهداف الخاصة بضوابط المعالجة في التأكد من: دقة معالجة المعامات انتهاء معالجة كل المعامات تميز المعامات )مثال: تجنب ازدواجيتها( المصادقة على كافة المعامات إمكانية تدقيق كافة عمليات تقنية المعلومات ذات الصلة )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( أ. التأكد من تصميم وظائف التطبيقات لمعالجة البيانات المدخلة مع أدنى حد من التدخل اليدوي يؤكد هذا الهدف الرقابي على معالجة البيانات المدخلة على نحو آلي ومعياري. تعرض مستندات التصميم التي تدعم معالجة التصميمات ألغراض المصادقة عليها ومراقبة التغيير. وضمان حداثة وسامة النموذج الحالي للتطبيقات والبيانات والملفات المطلوب معالجتها. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ب. تحديد األخطاء وتسجيل وإيجاد حل ألخطاء المعالجة تستعين قيود النظام بسجات المعامات للتأكد على نحو معقول من صحة معالجة كافة المعامات وتحديد المعامات التي -89-

لم يتم معالجتها بالكامل. يجب تنفيذ إجراءات معينة لتحديد ومراجعة تنفيذ المعامات غير المكتملة وتحليلها واتخاذ اإلجراء المناسب. عاوة على ذلك يجب تبني إجراءات لمراقبة المخالفات ارتباطا بمعالجة المعاملة في الوقت المناسب. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ج. إجراء مراجعة ومراقبة رسمية في معالجة البيانات المطلوبة يضمن هذا الهدف الرقابي قيام اإلدارة بتنفيذ إجراءات تضمن مطابقة بيانات المدخات والبيانات التي تمت معالجتها من خال التطبي ق. تعرض إجراءات التدقيق تفاصيل البيانات التي سيتم إضافتها/ تعديلها خال المعالجة إلى جانب النتائج المتوقعة. ويتم مراجعة سجات تدقيق النظام ألغراض التعرف على االستثناءات. كما تقوم الجهة بحفظ سجل العملية ومراجعته للكشف عن أي نشاط غير عادي أو غير مصرح به. ويجب تطوير إجراءات لمراقبة التجاوزات في المعامات في الوقت المناسب بما في ذلك صيانة بسجات التجاوزات. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( 9,3,4 مخرجات البيانات يهدف هذا المجال إلى التأكد من اكتمال المخرجات من النظام ودقتها وتوزيعها على نحو صحيح. يتراجع االعتماد على النظام في حالة تركيزه على الضوابط الرقابية للمدخات ومعالجة البيانات وتدني الرقابة على المخرجات. ويمكن أن تقدم عملي ة المطابق ة الت ي يت م تنفيذه ا ف ي مرحل ة المخرج ات ضمان ا معقوال الكتمال ودقة المخرجات في مراحل مبكرة من العملية. يتمثل الهدف من الضوابط الرقابية على المخرجات في التأكد من: -90-

إصدار وتوزيع المخرجات في المواعيد المقررة المطابقة الكاملة مع المعايير الرقابية المطبقة قبل عملية اإلدخال خضوع كافة بنود المخرج ات إلى الرقابة المادية استنادا على سرية الوثائق التحقيق في األخطاء واالستثناءات واتخاذ اإلجراءات الازمة. أ. فاعلية مراقبة إصدار وتوزيع المخرجات يتطلب هذا الهدف الرقابي من اإلدارة تطوير إجراءات للتأكد بشكل معقول من اتساق المحتوى والمخرجات والبيانات ومدى توافرها مع ما يلي: احتياجات المستخدمين النهائيين الحساسية القوانين واللوائح سرية البيانات التصريح بدخول المستخدم إلى النظام. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( يتعين على الجهة تطوير إجراءات لمراقبة عملية اثر بيانات المخرجات المستخدمة في إعداد تقارير اإلدارة أو غيرها من المستندات داخل أو خارج الجهة. ويسمح وصول المستخدم إلى بيانات المخرجات أخذا في االعتبار دوره الوظيفي وفي ضوء سرية/ دقة المعلومات. ب. فاعلية مراجعة المخرجات/التقارير الصادرة من النظام للتأكد من تكامل البيانات ومعالجة المعامات يتطلب هذا الهدف الرقابي من اإلدارة تحديد المخرجات/التقارير -91-

الرئيسية لتتبع نتائج عملية المعالجة. يجب توثيق اإلجراءات لغ رض: مراجعة النتائج التي خضعت للمعالجة إذا اقتضت الحاجة و مراقبة التجاوزات في المعامات في الوقت المناسب بما في ذلك صيانة بسجات التجاوزات. باإلضافة إلى ذلك يجب تطوير إجراءات لمراجعة بيانات المخرجات الهامة أو تقارير الرقابة على فترات منتظمة. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ج. التأكد الوصول إلى المخرجات/التقارير وملفات المخرجات بناءا على احتياجات األعمال وقصره فقط على المستخدمين المصرح لهم يتأكد هذا الهدف الرقابي من قصر الوصول إلى التقارير على المستخدمين الذين تحتاج طبيعة عملهم االستعانة بهذه المعلومات. ويجب أن يحصل المستخدم على تصريح االطاع على التقارير مع تطبيق المستوى المناسب من التصاريح األمنية إذا اقتضى األمر. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( 9,3,5 إعداد وصيانة البيانات األساسية يتطلب تحقيق هذا الهدف الرقابي تطوير ضوابط لضمان صحة ودقة الملفات التي تضم البيانات الرئيسية والدائمة. وفيما يلي مجاالت الرقابة األساسية والخاصة بضوابط البيانات الرئيسية: الضوابط الخاصة بتصميم وتخطيط البيانات الرئيسية )وقائية( اإلجراءات خارج النظام )وقائية وكشفية( -92-

إجراءات مراقبة مدى توافق تصميم البيانات الرئيسية )كشفية( كما تخضع البيانات الرئيسية لضوابط الوصول )يتم تطوير مجموعة من األنشطة الخاصة بإعداد وحفظ البيانات وفقا المتيازات الوصول إلى البيانات(. أ. فاعلية تصميم البيانات الرئيسية يتطلب هذا الهدف الرقابي تصميم عناصر البيانات الرئيسية لتقليل مخاطر الخطأ في البيانات الرئيسية. كما يتطلب هذا الهدف التأكد من النقاط التالية: دخول كافة الحقول األساسية )مثال: العنوان ورقم الحساب( عدم قبول قيم غير مكتملة أو غير صحيحة في الحقول المطلوبة بالنسبة إلى التطبيقات المالية توزيع بنود الحساب )األصول وااللتزامات واإليرادات والنفقات( بدقة )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ب. فاعلي ة ضب ط ومراقب ة عملي ات اإلضاف ة والح ذف والتغيي ر ف ي البيانات األساسية يتطل ب تحقي ق ه ذا اله دف الرقاب ي تطبي ق ضواب ط عل ى البيان ات الرئيس ية فيما يتعل ق: تغييرات مخطط الملف الرئيسي سامة كافة السجات الخاصة بالملف الرئيسي اكتمال وصحة بيانات الملف الرئيسي اتساق البيانات الرئيسية بين الوحدات و اعتماد التغييرات الخاصة ببيانات الملف الرئيسي. -93-

)يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( ج. التأكد من اكتمال وصحة واتساق البيانات الرئيسية يتطلب هذا الهدف الرقابي إجراء مراجعة منتظمة للبيانات الرئيسية واكتشاف حاالت التكرار واستبعادها أو غلقها وتحديد البيانات غير المستخدمة ليتم حظرها. يجب أن تتضمن السياسات واإلجراءات الخاصة بصيانة البيانات الرئيسية ما يلي : متطلبات االعتماد معايير جودة البيانات المسئول عن البيانات المستندات المؤيدة إج راءات النس خ االحتياط ي ف ي حال ة وق وع كارث ة أو تل ف في البيانات السياسات الخاصة بعملية الحفظ. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( 9,3,6 تداخل اإلستراتيجية والتصميم يتناول هذا المجال الضوابط الرقابية الخاصة بما يلي: انتظام ودقة واكتمال معالجة البيانات بين التطبيقات وأدوات التغذية ونظم االستقبال على نحو مستمر. انتقال البيانات السليمة بشكل دقيق ووافي وتام أثناء عملية ا لتحو يل -94-

يتمثل الهدف من الضوابط الخاصة بعملية التداخل في: تنفيذ إستراتيجية وتصميم فعال لعملية التداخل اتخاذ إجراءات فعالة بشأن معالجة عملية التداخل وتتطلب: -معالجة عمليات التداخل على نحو يتسم باالكتمال والدقة وفقط في الوقت المناسب -رف ض أخط اء التداخ ل وعزله ا وتصحيحه ا عل ى أس اس دوري -تقييد عملية الوصول إلى بيانات وعمليات التداخل على نحو صحيح كما يجب أن تكون البيانات موثوق بها صادرة من خال المصادر المعتمدة فقط. أ. فاعلية تنفيذ إستراتيجية وتصميم التداخل يتطلب هذا الهدف الرقابي وضع إستراتيجية لكل عملية من عمليات التداخل على أن تتضمن: أسلوب التداخل حقول البيانات التي يتم تداخلها الضوابط التي تضمن بشكل معقول اكتمال ودقة التداخل جدولة العمليات إسناد المسئوليات متطلبات توازن النظام و المتطلبات األمنية. )يرجى االطاع على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات في إطار هذا الهدف الرقابي( -95-

10 إعداد التقارير 10.1 مقدمة تمهيدية بعد انتهاء مرحلة التنفيذ يقوم المدقق إعداد ملخص لنتائج التدقيق وعرض تقدير اآلثار الناتجة من كافة نقاط الضعف الرقابية التي كشفت عنها أعمال التدقيق مجتمعة أو منفردة- على مخاطر التدقيق وأهدافه. ثم يقوم المدقق بإعداد تقارير لع رض نتائ ج عملي ة التدقي ق. يوضح المخطط التالي األنشطة الرئيسية المتبعة في مرحلة إعداد التقارير وفقا لمنهجية التدقيق على تقنية معلومات األجهزة والدواوين الرقابية Reporting Document all findings and observations Finalize the Audit Report Issue Draft Audit Report Audit Report شكل 16.0 )مرحلة إعداد تقارير وفقا لمنهجية التدقيق على تقنية المعلومات( يقوم المدقق بتقييم مدى تأثير نقاط الضعف على قدرات الجهات الخاضعة للتدقيق فيما يتعلق بأنواع ومجاالت الضوابط وأهدافها التي يشملها نطاق التدقيق. تقدم أداة التقييم التفصيلية للتدقيق على تقنية المعلومات موج ز للنتائ ج الخاص ة بتقيي م ان واع ومج االت الضواب ط الرقابي ة وأهدافها. إال انه في حالة إيجاد ضوابط تعويضية للضوابط غير الفعالة فمن المحتمل أن تتغير النتائج النهائية. وفى ظل غياب الضوابط التعويضية المناسبة تتراجع فاعلية الضوابط عامة -96-

لتقنية المعلومات وبالتالي تكون النتيجة العامة»عدم االعتماد على ضواب ط تقني ة المعلوم ات الت ي يش ملها نط اق التدقي ق. إذا لم يتطلب تحقيق أهداف التدقيق التوصل إلى تقدير عام لضوابط تقنية المعلومات أو يرتبط فقط بمكونات معينة لدى الجهة الخاضعة للتدقيق فليس من الضروري أن يغطي التقييم الذي يقوم به المدقق جميع نقاط الضعف الجوهرية في ضوابط تقنية المعلومات. على سبيل المثال إن تنفيذ عملية مراجعة محدودة للضوابط على احد أنواع نظم التشغيل قد ال يسفر عن اكتشاف أي نقاط ضعف جوهرية. ومع ذلك فمن المحتمل وجود نقاط ضعف جوهرية للغاية في مجاالت أخرى دون علم المراجع بها نتيجة لمحدودية نطاق المراجعة. وبالتالي يجب على المدقق تقييم المحددات المحتملة لعمله واحتياجات وتوقعات المستخدمين. وأخذا في االعتبار خطورة المحددات يجوز للمدقق: عرض المحددات على الجهة الخاضعة للتدقيق والمسئولين عن اإلدارة ومقدمي طلب التدقيق عرض المحددات في القسم الخاص بالنتائج في تقرير التدقيق. على سبيل المثال إلعداد تقرير حول تدقيق نظام تشغيل يجوز للمدقق أن يشير بوضوح إلى محدودية نطاق التقييم مقابل طبيعة نظام التشغيل. وبالتالي فمن المحتمل وجود نقاط ضعف أخرى في ضوابط تقنية المعلومات ما قد تؤثر على فاعليتها إزاء نظام التشغيل وبالنسبة للمؤسسة بالكامل. يجب على المدقق توثيق اثر نقاط الضعف بضوابط تقنية المعلومات على تحقيق أهداف المراجعة وإعداد التقارير في هذا الشأن. عاوة على ذلك فمن األهمية إعداد تقارير لعرض نقاط الضعف بضوابط تقنية المعلومات بحيث يمكن استيعابها من جانب األشخاص محدودي الخبرة في مجال تقنية المعلومات. وفى هذا الصدد يقوم المدقق عامة بتحديد المصطلحات التقنية وتجنب استخدام المصطلحات الغريبة واالختصارات غير الشائعة. كما يتجنب المدقق إفشاء معلومات حساسة. ويوصى المدقق بتقديم مسودة -97-

تقرير تقنية المعلومات إلى الجهة الخاضعة للتدقيق لتحرى دقة التقرير تجنبا إلفشاء معلومات حساسة. 10.2 إعداد تقارير التدقيق المالي استنادا على النتائج التي انتهت إليها مرحلة التنفيذ يجب على المدقق تقييم ما يلي: إمكانية االعتماد على التقارير المالية- يمكن االعتماد على الضوابط العامة لتقنية المعلومات وضوابط التطبيقات لحماية البيانات المالية من اإلفشاء واإلخال بقواعد السرية وضمان قانونيتها وتوافرها. يصدر المدقق مسودة تقرير التدقيق إلى إدارة الجهة الخاضعة للتدقيق بحيث يتناول النقاط اآلتية: عرض ملخص النتائج )ضوابط تقنية المعلومات غير الفعالة والبنود التي يجب تطويرها( الماحظات الهامة على ضوابط تقنية المعلومات )الضوابط العامة لتقنية المعلومات وضوابط التطبيقات( فيما يتعلق بنتائج ونطاق التدقيق. ويلتزم المدقق بعرض البنود اآلتية في كل ماحظة من الماحظات الواردة بالتقرير: oالوصف oالمعيار الرقابي ( قانون-سياسات وإجراءات معتمدة- أفضل الممارسات( oالمخاطر ذات الصلة oالتوصيات o o o o مجاالت التطوير في ضوابط تقنية المعلومات )الضوابط العامة لتقنية المعلومات وضوابط التطبيق( الخاصة بأهداف عملي ة التدقي ق ونطاقه ا. -98-

وف ي النهاي ة يق وم المدق ق بمناقش ة مس ودة التقري ر م ع إدارة الجهة الخاضعة للتدقيق وإصدار تقرير التدقيق في صورته النهائية بحيث يتضمن تعقيب مختصر إلدارة الجهة الخاضعة للتدقيق على ماحظات التدقيق. 10.3 تقارير التدقيق على األداء يجب على المدقق عرض تقييم فاعلية ضوابط تقنية المعلومات التي يشملها التدقيق. ويختلف تقرير المدقق وفقا لهذه األهداف. على سبيل المثال يتناول تقرير المدقق: عرض النتيجة العامة )مثال: تفتقر ضوابط تقنية المعلومات بالجه ة الخاضع ة للتدقي ق إل ى الفاعلي ة ف ي تحقي ق أه داف ضوابط تقنية المعلومات التي يشملها التدقيق( مع عرض نقاط الضعف المكتشفة االمتثال إلى القوانين واللوائح القائمة تركيز التقرير على عرض نقاط الضعف التي تم اكتشافها فقط دون عرض النتيجة العامة )مثال:»في ضوء العمل الذي قمنا به فقد اكتشفها وجود نقاط الضعف التالية لضوابط تقنية المعلومات( أو وفى حالة دعم عملية مراجعة األداء على نطاق أوسع تعرض نتائج عملية التدقيق سياق أهداف التدقيق مثل عاقة النتائج بتقييم إمكانية االعتماد على البيانات اإللكترونية. تتضمن تقارير التدقيق التي يعدها المدققين نطاق الخاص بالرقابة الداخلية )ويضم ضوابط تقنية المعلومات( وأي قصور جوهرية في ضوابط الرقابة الداخلية التي تشملها أهداف واستنادا إل ى أنش طة التدقي ق الت ي ت م تنفيذه ا. يصدر المدقق مسودة تقرير التدقيق ويرسله إلى الجهة الخاضعة للتدقيق بحيث تتناول النقاط التالية: عرض ملخص النتائج )ضوابط تقنية المعلومات غير الفعالة والبنود التي يجب تطويرها( -99-

الماحظ ات الهام ة عل ى ضواب ط تقني ة المعلوم ات )الضواب ط العامة لتقنية المعلومات وضوابط التطبيقات( فيما يتعلق بأهداف ونطاق التدقيق. ويلتزم المدقق بعرض البنود اآلتية في كل ماحظة من الماحظات الواردة بالتقرير: oالوصف oالمعيار الرقابي )قانون-سياسات واجراءات معتمدة-أفضل الممارسات( oالمخاطر ذات الصلة oالتوصيات o o o o مجاالت التطوير في ضوابط تقنية المعلومات )الضوابط العامة لتقنية المعلومات وضوابط التطبيق( الخاصة بأهداف عملي ة التدقي ق ونطاقه ا. وفي النهاية يقوم المدقق بمناقشة مسودة التقرير مع إدارة الجهة الخاضعة للتدقيق وإصدار تقرير التدقيق في صورته النهائية بحيث يتضمن تعقيب مختصر إلدارة الجهة الخاضعة للتدقيق على ماحظ ات التدقي ق. 11. الملحقات 11.1 الملحق أ: استخدام تقنيات وأدوات المساعدة في أعمال التدقيق مقدمة يؤدي استخدام تقنيات وأدوات المساعدة على تدقيق الحاسب إلى زيادة إنتاجية المدققين وتحسين أداء وظيفة التدقيق من حيث جمع أدلة التدقيق وذلك باالستفادة من قدرة وسرعة الحاسب. وتتسم هذه األدوات والتقنيات بالق درة على تطوير نطاق وج ودة التدقيق ودعم نتائج التحقيق في حاالت الغش. وفى الوقت الحالي تعد هذه األدوات والتقنيات المساعدة جزء ال يتجزأ من عملية التدقيق. -100-

كما يمكن من خال هذه األدوات والتقنيات إعداد اختبارات فعالة للضوابط واإلجراءات الجوهرية في حالة عدم توافر مدخات مستندية أو آثار مرئية كشفتها أعمال التدقيق أو في حالة ارتفاع كثافة البيانات واتساع حجم العينات المستخدمة. ويتم ذلك باالستفادة من مجموعة كبيرة ومتنوعة من تقنيات وأدوات المساعدة لغرض تقييم الضوابط والحصول على األدلة وتحليل البيانات. يمكن للمدقق استخدام تقنية المعلومات بصفتها جزء ال يتجزأ من عملية التدقي ق بالكام ل لجم ع أدل ة التدقي ق ب كل إس تقالية. وتمن ح ه ذه األدوات والتقنيات تصريح الدخول لتحليل البيانات في ضوء أهداف محددة سلفا للتدقيق وإعداد التقرير ونتائج التدقيق مع التركيز على االعتماد على نتائج المراجعة مع التركيز على إمكانية االعتماد على السجات التي تم إعدادها واالحتفاظ بها في النظام. األهداف ال تتغير األهداف العامة ونطاق العمل لعملية التدقيق على بيئة تقنية المعلومات. إال أن تنفيذ إجراءات التدقيق قد يتطلب من المدقق االستعانة مجموعة وسائل تعرف باسم»تقنيات وأدوات المساعدة على تدقيق الحاسب«كأحد وسائل التدقيق. يجوز االستعانة بأدوات وتقنيات المساعدة قي تدقيق الحاسب لتنفيذ مختلف إجراءات التدقيق ولتدعيم فاعلية وكفاءة جمع أدلة التدقيق وتقييمها. وفي اغلب األحيان تثبت هذه التقنيات واألدوات فاعليتها في اختبار عدد كبير من المعامات أو الضوابط على المعامات الموسعة من خال: تحليل واختيار عينات من بين عدد كبير من المعامات تطبيق اإلجراءات التحليلية و إتباع إجراءات جوهرية تسمح هذه التقنيات واألدوات المساعدة بتنفيذ إجراءات التدقيق باستمرار وعن بعد. وبعد تركيب أدوات فحص الملفات يتمكن -101-

المدقق باستمرار من مراقبة األنشطة وإحاطة المقر الرئيسي بأي استثناءات. يمكن االستعانة بهذه التقنيات واألدوات في تنفيذ مختلف إجراءات التدقيق ومن بينها: اختبار تفاصيل المعامات واألرصدة على سبيل المثال: استخدام برامج التدقيق إلعادة حساب الفائدة أو استخراج الفواتير الخاصة بقيمة معينة من سجات الحاسب. إجراءات المراجعة التحليلية على سبيل المثال: تحديد الفروق أو التغييرات الجوهرية. إجراءات استخدام نظام الخبراء على سبيل المثال: في التصميم برامج التدقيق وتخطيط التدقيق وتقييم المخاطر. اختب ار الضواب ط الرقابي ة العام ة عل ى س بيل المث ال: اختب ار تخطي ط نظ م التشغيل أو إج راءات الوصول إل ى مكتب ات البرامج. برامج العينات الستخراج البيانات لغرض اختبارات التدقيق. اختبار ضوابط التطبيقات على سبيل المثال: اختبار وظيفة الضواب ط الرقابي ة المخطط ة. إنشاء صفحات عمل الكترونية على سبيل المثال: تحميل دفتر حسابات عام الختبار التدقيق. إعادة العمليات الحسابية التي تم إجراءها باستخدام نظم المحاسبة الخاص بالمنظمة. أهم الخطوات الواجب إتباعها الستخدام تقنيات وأدوات المساعدة عل ى تدقي ق الحاس ب فيم ا يل ي أه م الخط وات الواج ب عل ى المدق ق إتباعه ا بش أن االستعانة بتقنيات وأدوات التدقيق باستخدام الحاسب: وضع األهداف الخاصة بتطبيق هذه التقنيات واألدوات -102-

تحديد المحتوى وإمكانية الوصول إلى ملفات وبيانات الجهة الخاضعة للتدقيق تحديد ملفات أو قواعد بيانات معينة تخضع للفحص التعرف على العاقة بين جداول البيانات الخاصة بقواعد البيانات التي سيتم فحصها تحديد اختبارات أو إجراءات معينة وما يتعلق بها من معامات واألرصدة المتأثرة تحديد متطلبات المخرجات التنسيق مع المستخدم وإدارات تقنية المعلومات -إذا اقتضى األمر- لنسخ الملفات أو جداول قاعدة البيانات ذات الصلة الواجب وضعها مع بيانات الفترة بناءا على فترة التدقيق وموعد تنفيذه تحديد تعيين المحتمل مشاركتهم في تصميم وتطبيق تقنيات وأدوات المساعدة على تدقيق الحاسب تعديل وتصحيح تقديرات التكاليف واألرباح التأكد من مراقبة وتوثيق كافة األمور المتعلقة باستخدام تقنيات وأدوات المساعدة على تدقيق الحاسب اتخاذ ما يلزم لتنفيذ األنشطة اإلدارية وإتاحة المهارات وإمكانيات الحاسب الازمة مطابقة البيانات التي سيتم االستعانة بها عند استخدام تقنيات وأدوات المساعدة على تدقيق الحاسب مع سجات الحسابات. تنفيذ تطبيق تقنيات وأدوات المساعدة على تدقيق الحاسب تقييم النتائج. -103-

أنواع أدوات تقنيات وأدوات المساعدة على تدقيق الحاسب يمكن تقسيم تقنيات وأدوات المساعدة على تدقيق الحاسب إلى نوعين من العمليات السرية يركزان على التحقق من اعتماد البرامج/ النظم )من حيث األداء الوظيفي للضوابط التي يمكن برمجتها( ولتحليل ملفات البيانات. وفيما يلي مجموعة من هذه التقنيات واألدوات التي يشملها هذا النوع. تقنيات وأدوات المساعدة على تدقيق الحاسب العتماد صحة البرامج/ النظم مراجعة شفرة المصدر للبرنامج تشتمل عملية مراجعة البرامج على إجراء دراسة تفصيلية لشفرة المصدر للبرامج. كما تتضمن هذه العملية بشكل عام درجة معقولة من مهارات البرمجة واستيعاب وفهم متعمق لمواصفات البرامج. من خال قراءة الشفرة المصدر الرئيسية للبرامج يجب على المراجع تحديد النقاط اآلتية: تحديد الشفرة المصدر الخاطئة: يتم إجراء عملية مراجعة دقيقة للقواعد بغرض تحديد الشفرة المصدر غير المناسبة. وبالتال ي يمك ن للمدققي ن االس تعانة بمراجع ة ش فرة المص در البرنامج لتحديد مدى التوافق بين شفرة المصدر البرنامج ومواصفات ه. تحديد الشفرة المصدر غير المصرحة: يتراجع احتمال قدرة المدققين على اكتشاف الشفرة المصدر غير المصرح بها في البرنامج دون إجراء فحص مباشر للشفرة المصدر الرئيسية له. عادة ما يتم تشغيل الشفرة المصدر غير المصرح بها بتسجيل قيمة معلوماتية معينة أو مجموعة من القيم المعلوماتية. على سبيل المثال من المحتمل أن يقوم مصمم البرامج المحتال بتعديل برنامج بحيث ال يتمكن من طباعة تفاصيل حسابه عند تجاوز حد السحب. وبالمثل قد يقوم هذا الشخص بتعديل البرنامج الستبعاد -104-

معامات تحت رقم حساب معين وقيم معينة من عملية الفحص المعتاد لصحة البيانات. من المحتمل أال يكتشف المدقق الشفرة المصدر غير المصرح بها ما لم يقدم المدقق بيانات االختبار متضمنة هذه القيم المحددة ويحدد أسلوب معين للتأك د م ن مراع اة كاف ة مس ارات التنفي ذ ال واردة بالش فرة المصدر ذات الصلة في هذه القيم. تحديد الشفرة المصدر غير الفعالة: يمكن للمدققين التأكد من عدم فاعلية الشفرة المصدر بوسيلتين. تتمثل الوسيلة األول ى ف ي تقيي م م دى ق درة الش فرة المص در عل ى مطابق ة مواصفات البرنامج الموثقة. أما الوسيلة الثانية فتعتمد على قيام المدققين بدراسة وفاء هذه الشفرة المصدر بمتطلبات المستخدم. عاوة على ذلك وبفرض صحة مواصفات البرنامج يمكن مواجهة أخطاء في التصميم تؤدي إلى عدم مطابقة البرنامج للمواصفات. تحديد الشفرة المصدر ضعيفة الكفاءة: تتيح عملية مراجعة الشفرة المصدر للمدققين التعرف على الجوانب ضعيفة الكفاءة في الشفرة المصدر. على سبيل المثال في تعاقب اختبارات أنواع المعامات من المحتمل أال يتم ترتيب االختبارات وفقا لتكرار إجراءها. ونتيجة لذلك يقوم البرنامج بتكرار تطبيق نفس الشفرة المصدر في حالة تسجيل االختبارات. ومن المحتمل أن يق وم المدق ق بمراجعة الش فرة المصدر لتحديد التعليماتالتيالتنفذبكفاءةعلىاألجهزة/البرامجالمستخدمة. تحديد الشفرة المصدر غير المعيارية: تتخذ الشفرة المصدر غير المعيارية أشكال مختلفة. على سبيل المثال من المحتمل أال تتف ق ش فرة المصدر معين ة م ع المعايي ر التنظيمي ة الت ي تش مل أس ماء بن ود البيان ات أو عملي ة التوثي ق الداخل ي. وم ن ناحية أخرى يمكن أن يتضمن البرنامج شفرة المصدر أخرى ال تستعين بخطط منظمة لضوابط البرمجة. وأيا كانت طبيعة الشفرة المصدر غير المعيارية فغالبا ما تؤدي إلى ظهور عيوبأخرى ومنهاالشفرةالمصدرغيرالمصرحةأوالخاطئة. -105-

مقارنة شفرة المصدر البرنامج في هذا اإلجراء يقوم المدقق بمقارنة إصدارين مختلفين من الشفرة المصدر األساسية أو الرقمية للبرنامج. يسمى اإلصدار األول باس م»مس ودة«ويتس م بس مات معروف ة ويق وم المراج ع بتحدي د ما إذا كان اإلصدار اآلخر له نفس السمات. يستعين المدقق بهذه التقنية لألسباب اآلتية: التأكد من حصول المراجع على نفس نسخة البرنامج التي تستعين بها الجهة ألغراض المراجعة والتحقق من إدخال أي تغيير على القواعد في اإلصدارات السابقة. وفي حالة تغيير الشفرة المصدر يتم التحقق من مدى سامة اإلجراءات المتبع ة إلدارة التغيي ر. يمك ن االس تعانة ببرام ج المس اعدة للمقارن ة بين إصدارين من نفس البرنامج وإعداد تقرير بشأن أوجه التباين بينهم. المحاكاة المتوازية تشتمل المحاكاة المتوازية على تطوير مجموعة مستقلة من القواعد التي تحاكى وظيفة المجال الذي يتم اختباره. يمكن مقارنة النتائج باألخرى المتولدة من عملية التطبيق ذاتها. تعتبر المحاكاة المتوازية أداة مفيدة يستعين بها المدقق إلعادة أداء التطبيق الخاضع لاختبار كليا أو جزئيا. وعادة ما يتم تنفيذ ذلك على تطبيق فوائد المراجعة. تثبت هذه الوسيلة كفاءتها في التحقق من دقة إجراءات الحسابات والمعالجة على النظام بدون التأثير على النظام ذاته. ويكون المدقق على دراية تامة بالنظام واإلج راءات الت ي س يتم إتباعه ا وخب رة البرمج ة. آلية االختبار المتكامل تعد آلية االختبار المتكامل احد التقنيات التي تستخدم أحيانا في تدقيق نظم التطبيقات المعقدة. وتتيح هذه اآللية إجراء اختبارات افتراضية في إطار النظام من خال تعيين إدارة أو فرع وهمي داخل نظام المحاسبة المعتاد. كما تقوم البنوك في بعض األحيان بإنشاء فرع اختباري داخل نظام محاسبة العماء الذي يستخدم بغرض اختبار عملية التدقيق وتدريب الصرافين الستخدام النظم الطرفية. -106-

آلية االختبار التفاعلي التتبع تتيح عملية التتبع للمدقق إمكانية تحليل كل خطوة من خطوات البرنامج. وفي إطار عملية التتبع يمكن التعرف على تأثير سطور الشفرة المصدر على البيانات التي يتم معالجتها أو على البرنامج نفسه. على سبيل المثال إذا لم يتمكن احد البرامج من تجميع المعامات على نحو صحيح تساعد عملية التتبع على تحديد موقع الخطأ بدقة. اللقطات تمثل اللقطات احد األدوات التي تسمح للمدقق بتجميد برنامج في نقطة معينة وعرض البيانات للمدقق في نقطة معينة في البرنامج أو النظام. وفي هذه الحالة يتمكن المدقق من فحص قيم المعاملة والمعالجة التي أجريت أثناء عمل البرنامج. تتسم هذه األداة بالسرعة وسهولة االستخدام بالرغم من تركيزها على وظيفة محددة. ومن المفيد التعرف على األخطاء المحتملة في الحسابات الرياضية لتنفيذ المعاملة. ومن أفضل األمثلة التي تعبر عن هذه األداة خانة الشفرة المصدر في احد البرامج التي أوقفت عمل البرنامج وقامت بحساب متغير معين. تقنيات وأدوات المساعدة المستخدمة لتحليل ملفات البيانات وتمثل تقنيات وأدوات المساعدة على تدقيق الحاسب وتستخدم ف ي األس اس عل ى ملف ات البيان ات. ويمك ن بالطب ع أن تس اعد نتائ ج تحليل البيانات المدقق بشكل غير مباشر للوصول إلى نتيجة تتعلق بتقييم جودة البرامج. إال أن هذه التقنيات المساعدة ال تختبر صاحية البرامج بشكل مباشر على النقيض مما سبق. برامج فحص الملفات تتضمن برامج فحص الملفات مختلف االختبارات التي أجريت على ملفات البيانات ومنها الفحص الشامل للضوابط وازدواجية القيود والقيود غير المسجلة والمعامات غير المعتادة واختيار -107-

العينات... وغيرها. ويمكن إجراء هذه االختبارات باستخدام بيانات SQL وبرامج الكتابة المخصصة للنظم الخاضعة للتدقيق أو باستخدام برامج التدقيق العامة. وفيما يلي عرض الثنين من برامج فحص الملفات. برامج التدقيق العامة من المحتمل أن يواجه المدقق مشكلة في التعامل مع النظم التي تتضمن مجموعة متنوعة من السمات والملحقات والبيئة البرمجية ومختلف مخططات البيانات وتصاميم السجات ومختلف وظائف المعالجة. وأخذا في االعتبار العقبات التي تواجه الموارد ومن غير المجدي تطوير برامج مخصصة لكل نظام على حدة لغرض استخاص البيانات المطلوبة ومعالجتها وإعداد التقارير ألغراض التدقيق. ولهذا السبب تم تطوير برامج التدقيق العامة بحيث تتمكن من التعامل مع مجموعة متنوعة من مختلف النظم. وبعد تطوير وتسويق برامج التدقيق العامة مثل ACL/IDEA توافرت للمدقق أداة فعالة تمثل إضافة هائلة إلى كفاءة المدقق مع الحد األدنى من متطلبات الكفاءة في مجال تقنية المعلومات. ومن بين مختلف التقنيات التحليلية التي يمكن تطبيقها على البيانات باستخدام برامج التدقيق العامة إلجراء التدقيق: اختبارات المائمة والشمولية اختبارات الفجوة واالزدواجية المقارنة بين العوامل المتماثلة والمقارنة بين الفترات تحليل االرتداد التحليل اإلحصائي مطابقة المعامات استخاص البيانات -108-

برامج التدقيق الخاصة تتوافر في الوقت الحالي بعض أنواع الحزم البرمجية الموجهة لقطاع معين يعمل به المدقق. وتختلف هذه البرامج عن برامج التدقيق العامة التي سبق عرضها من حيث: أوال: أخذا في االعتبار أن هذه البرامج موجهة إلى قطاع معين تشتمل هذه البرامج على مجموعة متميزة من األوامر التي تتيح تنفيذ وظائف التدقيق العامة المطلوبة في هذا القطاع. على سبيل المثال: في القطاع المصرفي يمكن إجراء عملية واحدة لبدء عملية منطقية لفحص ac-.count kiting أما في حالة استخدام برامج التدقيق العامة لهذا الغرض فقد تتعدد مراحل التنفيذ لتحقيق هذا الغرض حتى يمكن للبرنامج التعبير عن المنطق المطلوب لمختل ف االختب ارات. ثانيا: قد تتطلب برامج التدقيق المخصصة لقطاعات معينة تشغيل عدد اقل من األجهزة/البرمجيات عن برامج التدقيق العامة. في حقيقة األمر فمن المحتمل أن يكون الغرض من برامج التدقيق القطاعية الوصول إلى بيانات تم صيانتها على حزمة تطبيقات عامة معينة يتكرر استخدامها ف ي القط اع. وبن اءا علي ه فيمك ن إضاف ة تعريف ات الملف ات والسجات وتعريفات الحقول المستخدمة من خال حزمة التطبيقات إلى حزمة برامج التدقيق وبالتالي ال يضطر المدقق إلى إعادة استدعاءها في كل مرة يستخدم فيها حزمة برامج التدقيق. تطبيقات التدقيق الضمنية تمثل تطبيقات التدقيق الضمنية احد التقنيات التي تستخدم بشكل عام من خال الحاسب وتتعامل مع أحجام كبيرة للغاية من البيانات. وكما يتضح من اسمها فهي تطبيقات متواجدة على الدوام داخل نظام المعالجة الرئيسي. وتتولى تطبيقات التدقيق الضمنية اختبار المعامات التي يتم قيدها على النظام فور إدخالها. -109-

عن د تنفي ذ أي معامل ة تف ي بمعايي ر االختي ار يت م إدخ ال تفاصي ل المعاملة قبل السماح باستكمال معالجتها. يجرى المسح الضوئي لسجل التدقيق على فترات المنتظمة مع تحليله وطباعة التقارير ألغراض المتابعة. وفيما يتعلق ببرامج التدقيق الضمنية يجب أن يشارك المدقق على تقنية المعلومات في تصميم النظام ويتم تطوير التقنيات وصيانتها داخ برامج/نظم التطبيقات الخاصة بالجهة. أنواع تقنيات وأدوات المساعدة على تدقيق الحاسب أدوات تحميل الملفات يجب على المدقق استام البيانات عبر حزمة برمجية ضمنية -microcomputer-based package من النظام الخادم قبل أن يتمكن من معالجتها. ويوجد العديد من الوسائل التي مكن من خالها نقل البيانات: يمكن طباعة الملفات صغيرة الحجم مباشرة من القرص الم رن إل ى الق رص الصل ب عل ى الحاس ب الخ اص بالمدق ق. ويمكن ضغط الملفات األكبر حجما باستخدام WINZIP قبل نقلها وإعادتها إلى طبيعتها يمكن تحميل البيانات من احد األشرطة حيث تتمكن اغلب أجهزة قراءة األشرطة من الوصول إلى البيانات يمكن نقل البيانات من احد الحاسبات إلى اآلخر عبر كابل متوازي أو متتابع يمكن تحميل البيانات عبر الشبكة وسرعتها كبيرة يمكن تحميل البيانات عبر المودم وبالرغم من تراجع سرعة النقل فيمكنه الوصول إلى ملفات اصغر. يعتمد النظام المستخدم لنقل البيانات على الجهاز الذي يستعين به المدقق. -110-

عادة ما يستخدم أدوات تحميل الملفات خبراء تقنيات وأدوات المساعدة على تدقيق الحاسب بغرض نقل بيانات العميل إلى الحاسب الخاص بالمدقق. وتنفذ هذه العملية باستخدام أدوات إدارة األشرطة مثل.Depot, Tarsus, Fdump Tapeuti. Etc ويجوز للمدقق االتصال بقواعد البيانات عبر الشبكة ODBC للوصول إلى ملفات النوافذ. كما يتمكن مستخدم تقنيات وأدوات المساعدة على تدقيق الحاسب من تحديد مصدر البيانات لتدقيقه من خال برنامج فحص الملفات وإدخال محرك االتصال بقواعد البيانات عبر الشبكة إلى المصدر المختص. وبهذه الطريقة يمكن إجراء االتصال المباشر بين برامج فحص الملفات ومصدر البيانات. في بعض األحيان تحتاج البيانات إلى معالجتها بعد تحميلها ولهذا الغرض يمكن صياغتها في نموذج يمكن إضافته بسهولة إلى برنامج الفحص. ومن بين أساليب معالجة البيانات: يمكن معالجة البيانات باستخدام برنامج مراجع بسيط مثل DOS Text Editor تتوافر العديد من البرامج الجاهزة لمعالجة البيانات التي يتم تحميلها على النظام. على سبيل المثال يمكن معالجة الملفات المطبوعة باستخدام.Auto Import or Monarch يتمكن المستخدم من خال ربط البرامج الوسيطة نقل الملفات من نموذج إلى آخر. من الشائع أيضا تطوير برامج معالجة الملفات داخل كل مؤسسة لضمان عدم تغيير تحديد البيانات التي يتم تحميلها. وقد تتخذ هذه العملية شكل استبعاد الحروف الزائدة من البيانات المحملة أو تقسيم الملف إلى ملفات فرعية تتضمن مختلف أنواع السجات. تعتبر برامج فحص الملفات أكثر البرامج شيوعا ويمكن للمدقق استخدامها للتعامل مع البيانات كبيرة الحجم. وعادة ما يقدم هذا النوع من البرامج مجموعة متنوعة من الوظائف لجمع وتحليل أدلة التدقيق: -111-

اختيار السجات التي تقر معايير معينة طباعة سجات معينة لفحصها بدقة طباعة قيمة اإلجمالي واإلجمالي الجزئي من ملف الحسابات البحث عن معامات متكررة البحث عن فجوات في الترتيب مقارنة محتويات ملفين وطباعة كافة البيانات المتوافقة أو االستثناءات فرز ودمج الملفات لغرض إعداد اختبارات التدقيق األخرى التقادم. أدوات إعداد التقارير: تعمل هذه األدوات على تجميع االستفسارات والبيانات من الملفات وعرضها في إطار تصميم معين. أدوات تأمين/مراجعة النظم: هي البرامج التي تساعد المدقق على تخطيط عملية مراجعة النظام وتقديم توصيات صادرة من الحاسب على سبيل المثال: برامج إدارة التأمين في الشركات. أدوات التخطيط: هي البرامج التي يمكنها مساعدة المدقق في أعمال التخطيط والتدقيق. أدوات البرمجة لمهام معينة )البرامج المتخصصة(: هي أدوات يقوم خبراء تقنيات وأدوات المساعدة على تدقيق الحاسب بتدوينها ألداء وظيف ة معين ة. لغة االستعام البنائية )SQL( تمثل لغة االستعام البنائية اللغة المعيارية التي تم تطويرها بهدف استخاص البيانات من نظم قواعد البيانات المترابطة وتتسم بالقدرة على معالجة المخطط وقاعدة البيانات والبيانات الواردة بها. يمكن أن تتداخل لغة االستعام البنائية مع نظم إدارة قواعد البيانات مثل IN- icrosoft Query, Microsoft Access, ORACLE, INFOMIX, DB2, GRES, Dbase IV وغيرها. كما تتمكن لغة االستعام البنائية من أداء العديد من الوظائف المحاسبية: المحاسبة والتجميع والتناسب -112-

والضرب. كما تتمكن لغة االستعام من إعداد تقارير معقدة بناءا على قواعد متعددة:.where, between, having, like اإليضاحات الخاصة باستخدام تقنيات وأدوات المساعدة في تدقيق الحاسب يمكن للمدقق إتباع خطوات التدقيق التالية باستخدام هذه األدوات والتقنيات عند تدقيق أنشطة معينة من العملية: تطبيقات المرتبات تحديد التغيرات في اإلعفاءات وإجمالي المدفوعات والنسب وقيم ة المرتب ات التحقق من القيود مقابل السجات بالنسبة للموظفين الجدد أو المنتهية عقودهم تحديد مبالغ اإليداع المباشر المتكررة مقارنة نسب المدفوعات مع فئات الموظفين تحديد األشخاص المسجلين في كشوف المرتبات دون تحديد عنوان العمل وأرقام الهاتف... وغيرها من البيانات مطابقة المرتبات مع الوظائف أو بناءا على المشروع... الربط بين المورد وأسماء الموظفين والعناوين وأرقام الهاتف... وغيرها من البيانات تحديد التكرار في أسماء الموظفين والعناوين وأرقام الهاتف... وغيرها من البيانات إمكانية االعتماد على البيانات أخذا في االعتبار استخدام تقنيات وأدوات المساعدة على تدقيق الحاسب في استخاص البيانات لغرض تحليلها فيجب على المدقق التأك د م ن تكام ل نظ ام المعلوم ات وبيئ ة تقني ة المعلوم ات الت ي -113-

تم استخاص البيانات منها. حيث أن إمكانية االعتماد على مصدر المعلومات المستخدمة يؤدي إلى الثقة في النتائج المصدرة. وبالتالي تعتبر إمكانية االعتماد على البيانات احد األمور شديدة األهمي ة. توجد العديد من الوسائل واإلجراءات التي يمكن للمدقق االستعانة بها للتحقق من إمكانية االعتماد على البيانات من بينها: مقابلة موظفي الجهة المختصين بنظم المعلومات مراجعة وفحص السياسات واإلجراءات والمستندات ذات الصلة مراقبة األنشطة والعمليات ذات الصلة تحليل واختبار وتقييم الجوانب الخاصة باألمن والعناصر الهامة لتامين األجهزة والبرامج الثابتة والعمليات. كما يمكن اتخاذ عدة تدابير لضمان إمكانية االعتماد على البيانات على نظم الحاسب اآللي. ويتمثل اإلجراء األول في االستعانة بأساليب سليمة لتجميع البيانات. ويقصد بذلك الحصول على البيانات بوسائل قانونية من مصادر يمكن االعتماد عليها ويفضل الحصول على البيانات من مصادر»أساسية«عن اللجوء إلى مصادر»ثانوية«. وتتمثل الخطوة التالية في أسلوب استخاص البيانات من المصدر. وفي هذا الخصوص تحتاج مجموعة العمل إلى التدريب على التقنيات ذات الصلة لدعم دقة المدخات والتأكد من تأمين بيئة العمل. وتمثل تطبيقات تقنيات التحقق من البيانات أفضل الوسائل للتأكد من دقة البيانات. ويمكن االستعانة بتقنيات وأدوات المساعدة على تدقيق الحاسب الستخاص معلومات حساسة من البرامج/النظم وبيانات اإلنتاج التي يجب الحفاظ على سريتها. ويتعين على المدققين حماية معلومات البرامج/النظم وبيانات اإلنتاج بتطبيق المستوى المناسب من السرية والتأمين. ولهذا الغرض يراعي المدقق مستوى السرية والتأمين الذي تقره الجهة مالكة البيانات وفي إطار التشريعات ذات الصلة. -114-

11.1 الملحق أ: نظرة عامة على أدوات التحقق من سامة تقنية المعلومات أدوات التحقق من سالمة بيئة تقنية المعلومات مستخدمي األداة الهدف متى يتم استخدام األداة كيف تستخدم األداة وظيفة األداة تطبيقات األداة المدققين التابعين لجهاز األعلى للرقابة تهدف األداة إلى تقييم تعقد تقنية المعلومات وسريان ضوابط تقنية المعلومات لدى الجهات الخاضعة للتدقيق ثم تحديد متطلبات التدقيق على تقنية المعلومات تستخدم هذه األداة في مرحلة التحقق من سالمة بيئة عمل تقنية المعلومات في البداية يجب تسجيل المعلومات الخاصة بالجهة الخاضعة للتدقيق في األداة. ثم يجمع المدقق معلومات حول تعقد وظيفة تقنية لمعلومات وسريان ضوابط تقنية لمعلومات من الجهات الخاضعة للتدقيق وتسجيل اإلجابات ) نعم و ال ( على األداة. بناءا على اإلجابات المسجلة تصدر األداة تقييم مستوى تعقد وظيفة تقنية المعلومات ) بسيطة أو متوسطة أو معقدة ( وسريان ضوابط تقنية المعلومات ) منخفض أو متوسط أو مرتفع (. وفور صدور التقييم تحدد األداة متطلبات التدقيق على تقنية المعلومات للمؤسسة الخاضعة للتقييم. بيانات الجهات الخاضعة للتدقيق تقييم تعقد وظيفة تقنية المعلومات تقييم تعقد سريان تقنية المعلومات متطلبات التدقيق على تقنية المعلومات نبذة مختصرة تتضمن بيانات الجهات الخاضعة للتدقيق مثل اسم الجهة وتاريخ التقييم واسم المعد واسم مسئول االعتماد وأسماء المشاركين في المقابلة تتضمن قائمة باألسئلة التي يستخدمها المدقق على تقنية المعلومات لجمع وتسجيل بيانات بشأن تعقد وظيفة تقنية المعلومات بالجهة الخاضعة للتدقيق. ويتضح مستوى تقييم تعقد الوظيفة في هذا التطبيق تتضمن قائمة باألسئلة التي يستخدمها المدقق على تقنية المعلومات لجمع وتسجيل بيانات بشأن سريان وظيفة تقنية المعلومات بالجهة الخاضعة للتدقيق. ويتضح مستوى تقييم تعقد الوظيفة في هذا التطبيق تتضمن مصفوفة تحدد متطلبات التدقيق على تقنية المعلومات بالجهة الخاضعة للتدقيق وذلك بناءا على اإلجابات المسجلة في تطبيقات تقييم تعقد تقنية المعلومات وتقييم سريان ضوابط تقنية المعلومات ويتضمن نبذة مختصرة عن فحص سالمة بيئة عمل تقنية المعلومات التي تتضمن اسم الجهة الخاضعة للتقييم وتاريخ التقييم وتقييم مستوى تعقد تقنية المعلومات وسريان ضوابط تقنية المعلومات والتدقيق على تقنية المعلومات بالجهة الخاضعة للتقييم. -115-

11.2 الملحق ب: نظرة عامة على أداة التقييم التفصيلي للتدقيق على تقنية المعلومات أداة التقييم التفصيلي للتدقيق على المعلومات مستخدمي األداة المدققين التابعين لجهاز األعلى للرقابة الهدف متى يتم استخدام األداة كيف تستخدم األداة وظيفة األداة تستخدم هذه األداة لتوثيق وتقييم نتائج الم ارجعة الشاملة واختبار الضوابط العامة لتقنية المعلومات وضوابط التطبيقات بالجهة الخاضعة للتقييم تستخدم هذه األداة أثناء إج ارء عملية الم ارجعة الشاملة واختبار الضوابط في مرحلة التنفيذ يقوم المدقق بتسجيل اإلجابات ) نعم أو ال أو جزئيا ( للضوابط )المسجلة تبعا لكل مجال رقابي يشتمل عليه نطاق التدقيق( كل على حدة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط. في ضوء اإلجابات التي يسجلها المدقق على تقنية المعلومات للضوابط الرقابية كل على حدة تصدر األداة تقييم أهداف الرقابة ومجاالتها األساسية وأنواعها. تطبيقات األداة بيانات الجهات الخاضعة للتدقيق الضوابط العامة لتقنية المعلومات- الضوابط اإلدارية والتنظيمية الضوابط العامة لتقنية المعلومات- إدارة التغيير تتضمن بيانات الجهات الخاضعة للتدقيق مثل اسم الجهة وتاريخ التقييم واسم المعد واسم مسئول االعتماد وأسماء المشاركين في المقابلة تتضمن أهداف ومجاالت الرقابة على اإلدارة التنظيمية الخاضعة للضوابط الرقابية. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. تتضمن أهداف الرقابة الخاصة بمجاالت الرقابة على إدارة التغيير. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. الضوابط العامة لتقنية المعلومات- ضوابط الوصول تتضمن أهداف الرقابة الخاصة بمجال الرقابة على الوصول إلى البيانات. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. -116-

الضوابط العامة لتقنية المعلومات- الضوابط التشغيلية لتقنية المعلومات الضوابط العامة لتقنية المعلومات- إدارة تأمين البيانات الضوابط العامة لتقنية المعلومات- إدارة استم ارر العمل ضوابط التطبيقات- مدخالت البيانات ضوابط التطبيقات- معالجة البيانات ضوابط التطبيقات- صيانة وتصميم البيانات الرئيسية ضوابط التطبيقات ضوابط التداخل نبذة مختصرة تتضمن أهداف الرقابة الخاصة بمجال الرقابة التشغيلية لتقنية المعلومات. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. تتضمن أهداف الرقابة الخاصة بمجال الرقابة على إدارة تأمين البيانات. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. تتضمن أهداف الرقابة الخاصة بمجال الرقابة على إدارة استم ارر العمل. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. تتضمن أهداف الرقابة الخاصة بمجال الرقابة على مدخالت البيانات. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. تتضمن أهداف الرقابة الخاصة بمجال الرقابة على معالجة البيانات. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. تتضمن أهداف الرقابة الخاصة بمجال الرقابة على صيانة وتصميم البيانات الرئيسية. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. تتضمن أهداف الرقابة الخاصة بمجال الرقابة على التداخل. ويتم تسجيل قائمة الضوابط الخاصة بكل هدف رقابي وذلك في صورة أسئلة. ويقوم المدقق على تقنية المعلومات بتسجيل اإلجابات على هذه األسئلة بناءا على نتائج الم ارجعة الشاملة واختبار الضوابط الرقابية. ويتضمن التقييم العام ألنواع الضوابط )الضوابط العامة لتقنية المعلومات وضوابط التطبيقات( فعالة أو غير فعالة وما يتعلق بها من مجاالت الرقابة األساسية وأهداف الرقابة. -117-

11.3 الملحق د: الممارسات الرائدة واطر العمل والمعايير 11.3.1 ايزو 2005 :270001 يمثل ايزو 27001 معيار تأمين البيانات الذي من خاله تتمكن المؤسسات من تقديم الضمانات الازمة للعماء والشركاء والجهات التنظيمية بااللتزام بضوابط تأمين البيانات المتعارف عليها عالميا. كما يتناول ايزو 27002 المستند الشقيق 133 من أفضل الممارسات الخاصة بتأمين البيانات مع عرض تفصيلي إلجراءات التنفيذ. ويمثل كا المستندين إطار عمل قانوني لحماية أصول المؤسسات من البيانات. يعتبر ايزو/ايك 27001 المعيار الدولي الوحيد الذي يمكن أن يخضع للتدقيق حيث يحدد متطلبات نظام إدارة تامين البيانات.ISMS ويهدف هذا المعيار إلى ضمان اختيار ضوابط سليمة وكافية لتأمين البيانات كما يقدم توجه مرتبط بنوعية العمل لتنفيذ أفضل الممارسات الخاصة بإدارة تأمين البيانات بما يتناسب مع االحتياجات االستثنائية للمؤسسة. يعتمد تأمين المعلومات في إط ار اي زو 27001 عل ى الحف اظ عل ى الس رية والتكام ل والتواف ر. أخذا في االعتبار مفهوم إدارة المخاطر يتيح هذا المعيار جميع كافة المؤسسات على اختاف أنواعها وأحجامها تطوير نظام إدارة تأمين البيانات األفضل الحتياجاتها. ال يعتبر هذا المعيار توجيهيا حيث ال يمكن استبعاد الضوابط التي ال تسري الضوابط على مؤسسة معينة كما يمكن تطبيق ضوابط إضافية غير الواردة في المعيار للتعام ل م ع ظ روف غي ر عادي ة. وف ي األس اس تتمك ن المؤسس ات من خال هذا المعيار من تحديد أصول المعلومات الهامة وتقييم المخاطر المرتبطة بهذه األصول واختيار وتنفيذ الضوابط الرقابية من بين أفضل الممارسات لعالمية بغرض الحد من تعرض الجهة للمخاطر. يركز المعيار ايزو 27001 على حماية األصول المعلوماتية الهامة لعمليات األعمال ويتبع مبدأ الدفاع العميق. كما يتم تطبيق الضوابط على مختلف المستويات لضمان حماية األصول بناءا من الضواب ط وحت ى المعلوم ات نفس ها ونظ ام التش غيل ال ذي يتضمنه ا -118-

والتطبيقات المستخدمة للوصول إليها والشبكات التي تستخدم المعلومات خالها واألفراد مستخدمي التطبيقات وحتى المقار التي تضمن جميع هذه المكونات. كما يتم بناء المستويات بناءا على األنشطة واإلجراءات والسياسات التي تحكم العملي. يعتبر نظام اإلدارة كيان مرن يتيح للمؤسسة التعرف على التهديدات ونقاط الضعف التي تتعرض لها أصولها المعلوماتية على فت رات منتظم ة وذل ك بش كل مس بق م ع ضم ان االلت زام بمس توى المخاطر المقبول. ينقسم المعيار إلى 11 مجال لتأمين المعلومات التي تنقسم بدورها 39 هداف من أهداف الرقابة التي يمكن تطبيقها للوفاء بمتطلبات تامين البيانات. يمكن المصادقة على الجهة من حيث تطبيقها للمعيار من خال هيئ ة تصدي ق معتم دة مؤهل ة. حي ث يضم ن المعي ار بش كل مس تقل مراعاة المعايير الدولية في تنفيذ إجراءات تأمين البيانات. كما يتيح للمؤسسة أن تثبت لشركائها في العمل فاعلية المبادرات التي تتخذها لتامين البيانات. وقد يؤدي هذا المعيار إلى تراجع حاجة العماء إلى إجراء عمليات تدقيق مختلفة. ويعتبر االعتراف العام بالت زام الجه ة تج اه حماي ة البيان ات اح د عناص ر الق وة والفاعلي ة في الموقف التنافسي للمؤسسة. وقد أصبح تسجيل ايزو 27001 احد المشروطيات في أي قطاع كما أصبح توفير بيئة أمنة/خدمات آمنة للعماء احد المميزات التنافسية في القطاع. -119-

11.3.2 بي اس 2006 :25999 تندرج إدارة المخاطر وإدارة استمرار األعمال- دون شك- في إطار المراجعة الوافية التامة. كما يعتبر تخطيط معالجة األزمات أو الكوارث احد عناصر اإلدارة التي يمكنها أن تتغير بشكل محدود في ضوء المخاطر المحيطة بالجهة. إال أن هذا المجال يعتبر قطاعا علميا معقدا وليس مهمة تنتهي في سهولة ويسر. حيث تعتمد هذه العملية على مجموعة كبيرة من األدوات لدعم تنفيذ العملية. وق د بذل ت جه ود كبي رة لتطوي ر إط ار عم ل مقب ول بش كل ع ام إلدارة استمرار األعمال. ويسمى إطار العمل للمعيار الخاص بهذه العملية بي اس 25999 ونشر في نوفمبر 2006 من جانب مؤسسة المعايير البريطانية. يمثل بي اس 2006 25999: مجموعة من الممارسات في شكل إرشادات وتوصيات تهدف إلى إرساء أساس للعملية والمبادئ والمصطلحات الخاصة بإدارة استمرار األعمال كما تعتبر أساس الستيعاب وتطوير وتنفيذ أنشطة استمرار األعمال في الجهة كما تؤكد الثقة في صفقات األعمال للمؤسسة وصفقات األعمال للعماء. تم تطوير بي اس 2006 25999: من جانب الممارسين حول العالم اخذين في االعتبار الخبرات األكاديمية والفنية والعملية الكبيرة ل.BCM وقد تم تطويره إلعداد نظام يقوم على ممارسات BCM الجيدة. -120-

يمثل هذا النظام نقطة مرجعية لتحديد مدى الضوابط الرقابية المطلوبة ألغلب المواقف حيث ينفذ نظام BCM في الصناعة والتجارة وينتشر استخدامه في المؤسسات الكبيرة والمتوسطة والصغيرة العاملة في القطاعات الصناعية والتجارية والعامة والتطوعية. تنتشر مزايا بي اس 25999 وتركز على ثاث مجاالت هامة: المرونة: يقوم النظام استباقيا بدعم مرونة الجهة في مواجهة توقف قدرتها على تحقيق األهداف الرئيسية اإلنتاج: يقوم النظام بتطوير مختبر الستعادة قدرة الجهة على توريد المنتجات والخدمات األساسية بالمستوى وفي اإلط ار الزمن ي المتف ق علي ه بع د توق ف العم ل اإلدارة: يتسم النظام بقدرة مثبتة على إدارة توقف العمل وحماية سمعة الجهة واسمها. 11.3.3 بطاقة الدفع- معيار تأمين البيانات DSS( )PCI - من األهمي ة أن ن درك أن بطاق ات الدف ع- معي ار تأمي ن البيان ات DSS( )PCI - يتعامل مع تأمين البيانات الخاصة بحامل البطاقة وليس تأمي ن تقني ة المعلوم ات. يمك ن أن تع رض البيان ات الخاص ة بحام ل البطاقة في العديد من األشكال كما يمكن طباعتها أو تدوينها على مستند أو حفظها أو نقلها بالبريد االلكتروني أو استخدام الوسائل االلكترونية أو في المحادثات أو عبر الهاتف. وأيا كان الشكل الذي تتخذه المعلومات أو أسلوب حفظها أو تبادلها أو استخدامها فيجب االلتزام بحمايتها في جميع الحاالت. تحتاج جميع أنواع األعمال تقريبا بغرض النظر عن حجمها- إلى التعرف على نطاق PCI DSS وكيفية تنفيذ إجراءات التأمين التي تتوافق مع إرشادات.PCI DSS ولهذا الغرض يتجنب هذا النظام تكبد غرامات أو احتمال رفض مركز التاجر واحتمال رفض أو عدم معالجة بطاقات االئتمان. -121-

يجب على أي مؤسسة عند حفظ أو معالجة أو نقل بيانات حامل البطاقة االلتزام بإرشادات.PCI DSS وفي األساس يلتزم التجار ومقدمي الخدمات بهذا المعيار. يمثل التجار الشركات التي تقبل التعامل ببطاقات االئتمان مقابل شراء سلع أو خدمات. أما مقدم الخدم ة فيمث ل أي ش ركة تتول ى معالج ة أو حف ظ أو نق ل بيان ات حامل البطاقة بما في ذلك الشركات التي تقدم الخدمات إلى التجار أو غيرهم من مقدمي الخدمات. ق ام مؤس س عام ات الدف ع بمجل س معاي ر تأمي ن PCI بتطوي ر اإلصدار رقم 1,2 من PCI DSS الذي يمثل مجموعة من المتطلبات الشاملة لتعزيز تأمين بيانات حساب الدفع ويتضمن بطاقات أمريكان اكسبرس وديسكوفر للخدمات المالية و JCB وماستر كارد العالمية وفيزا انترناش يونال وذلك بغرض تسهيل تبني إجراءات متسقة لتأمين البيانات حول العالم. يمثل PCI DSS معيار متعدد الجوانب لتأمين البيانات حيث يتضمن متطلبات إدارة تأمين البيانات والسياسات واإلجراءات وتخطيط الشبكات وتصميم البرامج وغير ذلك من التدابير االستباقية الهامة. ويهدف ه ذا المعي ار الش امل إل ى مس اعدة المؤسس ات عل ى توفي ر الحماي ة المسبقة لبيانات حملة البطاقات. -122-11.3.4 إطار عمل COBIT كوبيت هو تعبير مختصر يعبر عن أهداف ضوابط الرقابة على المعلومات والتقنيات المتعلقة بها. وهو إطار عمل قامت ISACA بتطويره إلدارة تقنية المعلومات ومراقبتها. وتمثل كوبيت مجموع ة م ن أدوات الدع م الت ي تتي ح للم دراء عب ور الفج وة بي ن متطلبات الرقابة واألمور الفنية ومخاطر األعمال. تهدف كوبيت إلى دراسة وتطوير وتعميم وترويج مجموعة من أهداف الرقابة على تقنية المعلومات الرسمية والحديثة والدولية والمتعارف عليها على مستوى العالم بحيث يمكن للمدراء وخبراء تقنية المعلومات وضمان الجودة استخدامها في األعمال اليومية.

تتضمن كوبيت 34 عملية أساسية إلدارة تقنية المعلومات. تتألف كل عملية من مجموعة من المدخات والمخرجات وأنشطة العمليات الرئيسية وأهداف العمليات ومقاييس األداء ونموذج القدرة األولي. يدعم إطار العمل إدارة تقنية المعلومات من خال تحديد وتوافق أهداف العمل مع أهداف وعمليات تقنية المعلومات. يقدم إطار العمل مجموعة من الممارسات الجديدة خال المج ال والعملي ات. يتأل ف توج ه أعم ال كوبي ت م ن رب ط أه داف األعمال بأهداف تقنية المعلومات وعرض مقاييس ونماذج النمو لتقييم األهداف المحققة والتعرف على المسئوليات المنوطة بالمسئولين عن عمليات األعمال وعمليات تقنية المعلومات. يتضح تركيز عمليات كوبيت من خال نماذج العمليات التي تقسم تقنية المعلومات إلى أربع مجاالت )التخطيط والتنظيم والشراء والتنفيذ والتسليم والدعم والرقابة والتقييم( و 34 عملية وفقا لمجاالت مسئولية التخطيط والبناء والمراقبة. وتحتل كوبيت مكانة عالية ف ي المؤسس ات م ع إيج اد ن وع م ن التواف ق والتناغ م بينه ا وبي ن غيرها من المعايير والممارسات التفصيلية لتقنية المعلومات مثل.COSO, ITIL, ISO 27000, CMMI, TOGAF and PMBOK تؤدي كوبيت دور أداة الجمع بين مختلف اإلرشادات والمواد كما تقدم نبذة مختصرة عن األهداف األساسية وفقا إلطار العمل الذي يربط بين نماذج الممارسات المناسبة ومتطلبات اإلدارة واألعمال. -123-

تتضمن كوبيت المكونات آالتية: إطار العمل: ويعمل على تنظيم األهداف والممارسات المناسبة إلدارة تقنية المعلومات من خال مجاالت وعمليات تقنية المعلومات وربطها بمتطلبات األعمال. وصف العمليات: يمثل عملية مرجعية ولغة عامة لكل فرد بالجهة. وبناءا على خريطة العمليات يتم توزيع المسئولية عن التخطيط والبناء والتشغيل والمراقبة. أهداف الرقابة: عرض مجموعة كاملة من المتطلبات الهامة الواجب على إدارة الجهة دراستها وذلك لضمان فاعلية الضوابط الرقابية السارية على عمليات تقنية المعلومات. -124-

إرشادات اإلدارة: تساعد في توزيع المسئوليات والموافقة على األهداف وقياس األداء وتوضيح العاقات المتداخلة مع العملي ات األخ رى. نماذج القدرات: لغرض تقييم القدرات وفقا لكل عملية والمساعدة على سد الفجوات. 11.3.5 نظام نضوج قدرات التكامل )CMMI( يمثل نظام نضوج قدرات التكامل توجه تنموي يستهدف مساعدة المؤسسات على تعزيز أداءها. ويمكن استخدام هذا النظام لتوجيه الدعم خال مراحل المشروع أو في األقسام أو داخل الجهة بالكامل. من ناحية أخرى يمثل نظام نضوج قدرات التكامل في التطور الهندسي والتنظيمي للبرامج توجه لدعم العمليات حيث يتيح للمؤسسات العناصر األساسية لتنفيذ عمليات فعالة. وقد قامت جامعة كارنيج ميلون بتسجيل هذا النظام في مكتب براءات االختراع والعامات التجارية بالواليات المتحدة األمريكية. وفقا لمعهد هندسة البرامج يساعد نظام نضوج قدرات التكامل على تجميع الوظائف التنظيمية المنفصلة بطبيعتها وتطوير أهداف دعم العمليات وتقديم اإلرشادات لعمليات الجودة وأداء مهمة المرجعية لتقييم العمليات الحالية. وفي الوقت الحالي يتناول النظام ثاث مجاالت أساسية: تطوير المنتجات والخدمات- نظام نضوج قدرات التكامل للتطوير )CMMI-DEV( إعداد الخدمات وإدارتها وتوفيرها- نظام نضوج قدرات التكامل للخدمات )CMMI-SVC( شراء المنتجات والخدمات- نظام نضوج قدرات التكامل للشراء )CMMI-ACQ( بدأ نظام نضوج قدرات التكامل في هندسة البرامج إال انه اتسع عب ر الس نوات ليتعام ل م ع مج االت متع ددة مث ل تطوي ر األجه زة وتقديم كافة أنواع الخدمات وشراء المنتجات والخدمات. -125-

11.3.6 اإلطار المعماري للمؤسسات TOGAF يمثل اإلطار المعماري TOGAF إطار لتخطيط المؤسسات يتضمن توجه شامل لتصميم وتخطيط وتنفيذ وإدارة مخطط معلومات المؤسسات. يمثل إطار TOGAF عامة تجارية مسجلة لمجموعة The Open Group بالواليات المتحدة األمريكية وعدد من الدول األخرى )2(. يمثل TOGAF إطار تفصيلي عالي المستوى للتصميم وتنقسم النماذج الخاصة به إلى أربع مستويات: األعمال والتطبيقات المتعلقة بأعمال الجهة والبيانات المتعلقة بهذه التطبيقات والتقنية المستخدمة في التعامل مع هذه البيانات. كما يقدم هذا اإلطار نماذج عامة خضعت الختبارات دقيقة الستخدامها في بداية عملية -126-

2025 © DocPlayer.ae سياسة الخصوصيّة | تعليمات الاستخدام | خدمة التّواصل معنا