Professional Documents
Culture Documents
مناذج الرقابة
نتيجة لزتايد ألنشطة يف اجملالت اخملتلفة وتوسع معلياهتا أدّى اإىل منو جحم الوحدات الإدارية وتواجدها
يف أماكن متباعدة مما تعذر حتقيق الرقابة املبارشة عليه ،ابلإضافة اإىل خضامة جحم املوارد اليت حتصلها أو تقوم
ابإنفاقها أدّى اإىل زايدة أمهية توافر نظام حممك للرقابة ادلاخلية .ابلضافة اىل التطورات يف ثورة املعرفة
واملعلومات اس تدعى اىل الطلب عىل مفاهمي جديد واليات جديد ملواكبة هذه التطورات مما حدى مبعهد
املدققني ادلاخليني ومنظمة تريدواي القاء الضوء عىل الاجتاهات احلديثة يف الرقابة ادلاخلية ،COSOوما ىه
املقومات الاساس ية لنظام الرقابة ادلاخلية ،وما يه انواع الرقابة وفق ،COSOوالطرق العرصية لتقيمي نظام
أن اخملاطر والرقابة جزء ل يتجزأ من معلية احلومكة ،فال يوجد منوذج للحومكة حيظى ابلقبول عىل مس توى
العامل بل رمبا مل يوجد أبدا منوذج كهذا .تعمتد حومكة املؤسسات كثريا عىل قوانني لك دوةل وترشيعاهتا وعىل
املمرسات التقليدية للرشاكت وإاىل درجة قد ل يكون من املمكن معها تصور وجود منوذج عاملي يف املس تقبل
املنظور.
الرقابة ادلاخلية – الإطار املتاكمل
لقد اختلفت بيئةة العةمل والبيئةة التشةغيلية بشةلك كبةري يف العرشةين سة نة الخةرية منةذ اإطةالق الإطةار
الفيل حبيث أفبحت أكةرث تعقيةدا ،منقةادة ابلتكنولوجيةا ،وأكةرث عوملةة،و يف نفةس الوقةت أفةبح أ ةاب
املصاحل ) )Stakeholdersأكةرث ارتباطةا ةا ويبحثةون عةن شةفافية أكة وأكةرث مسةاءةل لااهةة نظةام الرقابةة
ادلاخلية اذلي يدمع قرارات العمل واحلومكة يف املؤسسات.
قدمت جلنة كوزو تعديال عىل الإطار املتاكمل للرقابة ادلاخلية ( ،)Frameworkحيث تعتقةد جلنةة كةوزو
أن الإطار سوف ميكن املؤسسات من تطوير نظام الرقابة ادلاخلية واحملافظة عليه وأن يعمل بكفاءة وفاعلية ،و
زايدة احامتلية حتقيق الهداف املؤسس ية ،والتكيف مع بيئة العمل والبيئة التشغيلية ،اس تجابة ملوجةة فضةا
التقارير املالية يف الولايت املتحدة يف مثانينيات القرن العرشين اجمتعت مخسة مةن املؤسسةات املتصصصةة معةا
لتكوين "جلنة املؤسسات الراعية للجنة تريدواي" (" "COSOأو "جلنة كوسو" عىل سبيل الاختصار) .عنةد
مناقش هتا حلالت اهنيةار الرقابةة الةيت أدت اإىل هةذه الفضةا اكتشةفت هةذه املؤسسةات أن املفةاهمي التقليديةة
ّعرف تقرير ) ( COSOالرقابة ادلاخلية ووفف مكوانته وقدم املعايري اليت ميكن تقيمي النظم الرقابيةة
عىل أساسها .وقةد عةرض التقريةر ارشةادا للتقريةر العةام عةن الرقابةة ادلاخليةة ،كةم قةدم املةواد الةيت ميكةن ان
يس تخدهما لك من الادارة واملةدققني وغةريمه مةن أجةل تقيةمي نظةام الرقابةة ادلاخليةة .واكن الهةدفني الرئيسة يني
للتقريرهم
.1انشاء تعريف عام للرقابة ادلاخلية واذلي خيدم العديد من الاطراف
.2تقدمي معيار واذلي عىل اساسه تس تطيع املنظمت تقيةمي نظمهةا الرقابيةة ،وحتديةد الكيفيةة الةيت
ميكن ا حتسني هذه النظم.
وقد ّعرف تقرير ) ( COSOالرقابة ادلاخلية عةىل أهنةا "معليةة تتةأثر مةن قبةل أعضةاء دلةس ادارة
الرشكة ،والادارة ،وغريمه من املس تخدمني ،مصممة لزتويد تأكيد معقول ابلنس بة لتحقيق أهداف يف اجملالت
()1
التالية:
)1( www.coso.org
)2( www.coso.org
)1( www.coso.org
)(2
2004 Powers Resoyces Corporation-Powers CIA Review- part one p.e-6
.1الااهة والقمي الخالقية (الااهة الشصصية واملهنية والقمي الاخالقيةة لةالدارة واملةو،فني ) تعتة الااهةة
الشصصية واملهنية والقمي الاخالقية لالدارة واملو،فني يه اليت حتدد افضليات وقمي الاحاكم التقديرية الةيت
ترتمج اىل معايري سلوكية .وجيب عةىل الادارة واملةو،فني ا،هةار املواقةف ادلامعةة للرقابةة ادلاخليةة يف مجيةع
الاوقات ويف لك احناء املنشأة.
.2الكفةةاءة :تشةةمل الكفةةاءة مس ة توى ادلرايةةة واملهةةارة املطلوبةةة للمسةةاعدة يف ومةةني اداء نظةةا واخةةال
واقتصادي بكفاءة وفعالية وومني فهم جيدا ملسؤوليات الافراد املتعلقة ابلرقابة ادلاخلية.ويتعني عىل املدراء
واملةو،فني الاحتفةةاس مبسة توى مةةن الكفةاءة يسةةمح هةةم بفهةم امهيةةة تطةوير وتطبيةةق رقابةة داخليةةة جيةةدة
واحملافظة علهيا واداء واجباهتم سعيا اىل حتقيق الاهداف العامة للرقابة ادلاخلية واهداف املنشأة.
.3اجتاهات الإدارة :واملقصود بذكل فلسفة الادارة واسةلو ا التشةغييل حبيةث تعكةس موافقهتةا ادلامعةة جتةاة
الرقابة ادلاخليةة يف جيةع الاوقةات واسة تقاللها وكفاءهتةا وان تكةون قةدوة .كةم تقةوم الادارة بوضةع قواعةد
للسةةلوك وتقيةةمي الاداء ممةةا يةةدمع الرقابةةة ادلاخليةةة والسةةلوك الاخةةال .ذلكل جيةةب تةةذكري املةةو،فني دوراي
ابلزتاهمم مبوجب قواعد سلوك تنفيذية تصةدرها الادارة العليةا،كم ان تقيةمي الاداء يعتة ايضةا مةن الامةور
الهامة.وجيب ان يستند التقيمي العام لالداء اىل تقيمي العديةد مةن العوامةل احلرجةة مبةا فهيةا تطبيةق ضةوابط
رقابية فعاةل واحملافظة علهيا.
.4الهيلك التنظميي :يوفر الهيلك التنظميي حتديد الصةالحيات واملسةؤوليات اذ تةرتبط التفويضةات وحماسة بة
املسةةؤولية ابلطريقةةة الةةيت ية ةةا تفةويض تةةا الصةةالحيات واملسةةؤوليات يف املنشةةأة ول ميكةةن وجةةود
تفويضات او حماس بة مسؤولية بدون شلك من اشاكل التبليغ .ذلكل يتعني وضع خطةو مالةةة للتبليةغ .
ويف ،روف اس تثنائية قد يتعني وضع خطو تبليغ اخرى ابلضافة اىل خطو التبليغ العادية.
.5س ياسةةات وممارسةةات املةةوارد البرشةةية :تشةةمل س ياسةةات وممارسةةات املةوارد البرشةةية اجةراءات التعيةةني
والتوجية والتدريب والتعلمي والتقيمي والرتقيات والتعويضات والتظلمت .ويعت املو،فني احد اجلوانب الهامة
ويتعني عىل املنشات ان حتقق توازان معقول بني تطبيق وعدم تطبيق الانشطة الرقابية.كم تعت
الاجراءات التصحيحية م رضوري لالنشطة الرقابية حىت تتحقق اهداف املنشاة.
الانشطة الرقابية يه س ياسات واجراءات موضوعة ي تطبيقها ملواهجة اخملاطر وحتقق اهداف املنشاة.
وحىت تكون الانشطة الرقابية فعاةل يف حاجة اىل ما ييل-:
ان تكون مالةة (مبعىن وجود الاداء الرقابية املناس بة يف املاكن املناسب واهنا تعادل اخملاطر .1
اليت تواهجها).
ان تعمل ابنتظام طوال خطة زمنية موضوعة (مبعىن ان يراعي مجيع املو،فني الالزتام ا ول .2
جيب جتاوزها يف حال اياب كبار املو،فني او عندما يزيد جحم العمل).
ان تك .3
ون منصفضة التاكليف(مبعىن انه جيب الا تزيد تاكليف تطبيق الضوابط الرقابية عن الفوائد .4
املرجوة منه).
ان تكون شامةل ومعقوةل ومتداخةل يف اهداف املنشاة بشلك عام. .5
.4التحقق
ي التحقق من املعامالت املالية والاحدا الهامة قبل وبعد حدوهثا .ممال ذكل عند اس تالم
مكيات بضاعة معينة فانه جيب التحقق من المكية اليت مت توريدها مبقارابهتا مع المكية املطلوبة.
كم جيب التحقق بعد ذكل من ة المكية املذكورة ابلفواتري مبقارابهتا مع مكية البضاعة املس تلمة
.كم جيب ايضا التحقق من اخملزون ابجراء جرد فعيل.
ان قيام املرشفني بتفويض مو،فني للقيام ابلعمل ل جيب ان يعفهيم من حماسبهتم عن ذكل
املسؤوليات واملهام الو،يفية.
مما س بق نس تنتج ما ييل-:
.1املدخالت :ويه هذه املرحةل ي الترص ابلبيةاانت وحتويلهةا اىل شةلك مةن اشةاكل املعاجلةة
الاوتوماتيكية وادخالها يف ال امج التطبيقي بطريقة دقيقة ومكمتةل ويف توقيت حمدد.
.2املعاجلة :ويه مرحةل ي فهيا معاجلة البياانت بشلك مالمئ ابس تخدام اهجزة احلاسةوب كةم ية
حتديث امللفات بطريقة يحة.
.3اخملرجات :ويف هذه املرحةل تعكس امللفات والتقارير الناجتة عن الة امج التطبيقيةة املعةامالت
املالية والاحدا الةيت وقعةت ابلفعةل.كم تعكةس بشةلك دقيةق نتةاجئ املعاجلةة .وية يف هةذه
املرحةل رقابة التقارير وتوزيعها عىل املو،فني املرصح هم ابلطالع علهيا.
ان الضوابط العامة والتطبيقية يه ضوابط متةداخةل يف بعضةها الةبعض و هةم مطلوبةة لضةمن تشةغيل
اكمل ودقيق .ونظرا لن تكنولوجيا املعلومات تتغري بشلك رسيع فةان الضةوابط املرتافقةة معهةا جيةب ان تتطةور
بشلك دامئ لي تظل ذكل الضوابط فعاةل.
التبليغ
ان التبليغ الفعال جيب ان يتدفق ع املنشاة ابزول وفعودا ويتخلل هيلكها واجزاءهةا ابلاكمةل ،وجيةب
ان تصل رساةل واحضة اىل مجيع املو،فني من الادارة العليا برضورة اخذ املسؤوليات الرقابية مأخذ اجلد ،وعىل
املو،فني ان يتفهموا ادوارمه يف نظام الرقابة ادلاخلية وكيفية ارتبةا انشةطهتم الفرديةة بعمةل الاخةرين ،فضةال
عن احلاجة اىل وجود اتصالت فعال مع الاطراف اخلارجية.
عىل الادارة ان تكون داةا عىل عمل ودراية بأخر التطورات والاحدا حول الرقابة ادلاخليةة وخماطرهةا
وو،ائفها وكذكل الاحدا واملوضوعات الاخرى ذات العالقة .وجيب علهيا ايضا ابةالغ مو،فهيةا ابملعلومةات
ايل يريدها ورادها فهيا واجتاهات تا املعلومات ،كم جيب ان يعمةل التبليةغ عةىل ايقةاس الةوعي بأمهيةة الرقابةة
ادلاخلية الفعاةل وايضاح شةهية خمةاطر املنشةأة وبيةان قةدرة املنشةأة عةىل احةامتق واسةتيعاب املةو،فني لدوارمه
ومسؤولياهتم يف تفعيل ودمع اجزاء الرقابة ادلاخلية.
وابلضافة اىل التبليغ ادلاخيل فانةه جيةب عةىل الادارة ان تتاكةد مةن وجةود وسةائل اكفيةة لالتصةال مةع
الاطراف اخلارجية واحلصول مهنم عىل املعلومات ،اذ ميكن لالتصالت اخلارجية تقدمي مةدخالت (معلومةات)
رمبا يكون لها اثرا ابلغ الامهية عىل قدرة املنشأة يف حتقيق اهدافها.
ووفقا لتقرير COSOفان تا املكوانت تعت مقاييس ميكن عىل أساسها تقيمي فعالية نظةم الرقابةة ادلاخليةة،
كم أهنا تتضمن اإرشادات تطبيقية خبصوص العوامل الةيت ميكةن أن تؤخةذ يف الاعتبةار عنةد تقيةمي فعاليةة نظةم
الرقابة ادلاخلية ابملؤسسة ،وإاشارة اإىل ذكل الإرشاد التطبيقي ل يتضمن قاةة شةامةل بةلك تةا العوامةل ،وانةه
درد نقطة بداية ،وان بعض تا العوامل غري موضوعية بدرجة عالية وتتطلب ممارسة درجةة كبةرية مةن التقةدير
الشصيص.
ان وضع النظمة الرقابية وتطويرها هو أحد مس وليات الإدارة املهمة .وتقوم الإدارة مبراقبة أداء النشةطة
الرقابية للتأكد من أهنا تعمل وفق الغرض مهنا وأنه ي تعديلها بطريقة مالةة ملقابةل التغري يف الظروف.
واملراقبة يه معلية تقةومي جةودة أداء الرقابةة ادلاخليةة مبةرور الوقةت .ويه تتضةمن تقةومي تصةممي وتنفيةذ
النشطة الرقابية أول بأول واختاذ أي اإجةراءات تصةحيحية .وية حتقيةق ذكل عةن طريةق أنشةطة مسة مترة ،أو
اإجراء تقوميات مس تقةل أو عن طريق امجلع بني السلوبني .ويف كثري من املنشأت يقوم املدقق ادلاخةيل للمنشةأة
أو أفراد يقومون بنفس الو،يفة ابملسامهة يف مراقبة الداء داخل املنشأة .وقد تشةمل مراقبةة النشةطة الرقابيةة
اس تخدام معلومات من مصةادر خارجيةة ممةل شةاكوى الةزابئن وتعليقةات اجلهةات الرقابيةة الةيت تةوحض وجةود
مشالك أو تلقي الضوء عىل نواح حتتاج اإىل حتسني.
قد تتغري أهداف اجلهة مبرور الزمن .ومن املرحج أيضا أن تتغري حافظة اخملاطر اليت تواهجها اجلهة وأمهيهتا
النسبية مبرور الزمن .حيث أن الاس تجابة للمخاطر اليت اكنت ذات فعالية يف السابق قد تصةبح غةري فعةاةل أو
يس تحيل تنفيذها يف الوقت احلايل ،و قد تصبح النشطة الرقابية اقل فعالية أو تزول أمهيهتا .ذلا حتتاج الإدارة
ملراقبة فعالية نظام اإدارة اخملاطر ابس مترار من اجل حتديد مدى فعالية النظام ومدى مالةته.
ختتلف معلية تقيمي فعالية اإدارة اخملاطر يف النطاق والتكرار ،وهذا يتوقف عةىل أمهيةة مجموعةات اخملةاطر
وأمهية الاس تجابة للمخاطر والرقاابت ذات الصةل يف اإدارة تا اخملاطر .عندما تتخذ الإدارة القرار لإجراء تقيمي
شامل لإطار اإدارة اخملاطر ،ينبغي توجيه الاهامتم ملعاجلة لك جوانب هذه العملية مبةا فهيةا حتديةد الإسةرتاتيجية.
ومع ذكل ،تشلك النشطة الإدارية املنتظمة ممل حتديث جسالت اإدارة اخملاطر و" ة سةالمة" الإجةراءات
التنظميية والتشغيلية جزءا من مراقبة معلية اإدارة اخملاطر.
.1التقوميةةات املسة مترة واملنفصةةةل :التقوميةةات املسة مترة أو املنفصةةةل تسةمح لة إالدارة بتحديةةد اإن اكنةةت الرقابةةة
ادلاخلية تقوم بو،يفهتا أم ل.
.2تقارير الإبالغ :نواق الرقابة ادلاخلية ي حتديدها وإابالاها يف وقهتةا للطةراف املسة وةل لختةاذ الإجةراء
التصحيحي.
حتتفظ الرشكة بنظام للرقابة ادلاخلية عىل اإعداد التقةارير املاليةة ،مت تصةمميه ليةوفر تأكيةدا معقةول لإدارة
ملكةوانت التاليةة:
الرشكة وجمللس الإدارة خبصوص اإعداد قوامئ ماليةة ميكةن الوثةوق ةا و يتكةون النظةام مةن ا ّ
(بيئة الرقابة ،وتقيمي اخملاطر ،وأنشطة الرقابة ،واملعلومات والتصالت واملتابعة).
وتتضمن بيئة الرقابة هيالك تنظمييا موثقا وحتديدا للمسؤوليات وس ياسات وإاجراءات حمةددة تتضةمن
قواعد للسلوك لتشجيع املمرسات الخالقية ،واختيار وتدريب وتطوير املوارد البرشية.
وتوجد حدود مالزمة لفعالية أي نظام رقابة داخلية تتضمن اإماكنية التواطؤ بني العاملني أو ختطي نوايح
الرقابة بواسطة بعض املس توايت الإدارية .وابلتايل فاإن أي نظام فعال للرقابة ادلاخليةة يسة تطيع أن يةوفر فقةط
تأكيدا معقول خبصوص اإعداد القوامئ املالية .وابلإضافة ذلكل فاإن فعالية نظام الرقابةة ادلاخليةة ميكةن أن تتغةري
نتيجة تغيري الظروف.
وقد قيّمت الرشكة نظاهما للرقابة ادلاخلية عىل اإعداد التقارير املالية يف 00 /12/31وفقا ملقاييس نظةام
الرقابةة ادلاخليةة الفعةال عةىل اإعةداد التقةارير املاليةة الةيت تضةمهنا تقريةر ) COSOالرقابةة ادلاخليةة – اإطةار
متاكمل) .واعامتدا عىل ذكل التقيمي تعتقد الرشكة أن نظاهما للرقابة ادلاخلية عىل اإعداد التقارير املالية يتوافق مةع
تا املقاييس يف .00 /12/31
رشكة XYZ
ويف حاةل وجود نقا ضعف هامة فاإنه يشار اإلهيا عن طريق تعديل امجلةل الخرية
ومن خالل ما تقدم ابرى أن تقوم الإدارة ابإعداد تقرير عن فعالية نظام الرقابة ادلاخليةة يف املنشةأة حبيةث
يعمل ذكل عىل تدعمي فعالية ذكل النظام وجيعل اإماكنية حةدو الغةا الإداري والتالعةب يف اإعةداد التقةارير
املالية أكرث فعوبة.
أما من انحية مكوانت التقرير فال توجد حاجة اإىل اإعةداد منةاذج منطيةة لتقةارير الإدارة عةن فعاليةة نظةام
الرقابة ادلاخلية ولكن من الرضوري أن يتضمن التقرير ما ييل:
اعرتاف اإدارة املنشأة مبسؤوليهتا عن تصممي نظام فعال للرقابة ادلاخلية عىل اإعداد التقارير املاليةة ،واحملافظةة
عليه.
اإشارة اإىل أن نظام الرقابة ادلاخلية يوفر تأكيدا معقول وليس مطلقا ضد التحريفات أو اخلسائر اجلوهرية
اإشارة اإىل مكوانت النظام اليت توجد فهيا نقا ضعف ،ووفف تا النقا اإذا اكنت هامة ،وحتديةد مةا
وتصف كوسو COSOأمه مكون وهو البيئة الرقابية عىل النحو التايل:
البيئة الرقابية :اإن أساس أي معل جتاري هو القاةون عليه – سمهتم الفردية من الااهة والقمي الخالقية
ويتقارب تعريف الرقابة ادلاخلية مضن فهرس "املعايري ادلولية للممرسة املهنية للتدقيق ادلاخيل" كثريا مع
تعريف كوسو COSOاإذ اإن العوامل اليت يدرهجا الفهرس يف تعريف البيئة الرقابية متطابقة ،ابس تثناء عوامل
دلس الإدارة.
البيئة الرقابية
اجتاه وأفعال دلس الإدارة والإدارة فامي يتعلق بأمهية الرقابة يف املؤسسة .توفر البيئة الرقابية الانضبا
والهيلك الالزمني لتحقيق الهداف الساس ية لنظام الرقابة ادلاخلية .وتشمل البيئة الرقابية العنارص التالية:
كم س بق وانقش نا يف الفصل الول ،فقد أفبحت العنارص غري امللموسة واذلاتية بطبعها يف الرقابة ادلاخلية
يطلق علهيا الضوابط املعنوية ( )Soft Controlsواليت ل ميكن اختبارها ابلطرق التقليدية للتدقيق ممل :رمس
خرائط التدفق ،وأساليب مجع العينات ،واختبار املعامالت اليت تركز بصورة حرصية عىل اإجراءات الرقابة
املادية ( .)Hard Controlsمع ذكل فقد اكن اهنيار الضوابط املعنوية مسؤول عن التقارير املالية املضلةل يف
مثانينيات القرن العرشين وأوائل القرن احلادي والعرشين .وابملثل فقد اكنت ثقافة اجلشع يف وول سرتيت يه
املسؤوةل عن اهنيار النظام املايل العاملي يف عام .2008
بيامن اكن اإطار كوسو COSOيو ِّفّر مهنجية أقوى للرقابة ادلاخلية فرض كذكل حتداي كبريا عىل همنة
التدقيق ادلاخيل .اإذ اإنه لتوفري أعىل مس توى من التأكيد اكن املدققون ادلاخليون حباجة لدوات وأساليب
جديدة؛ وسوف نناقا هذه الساليب اجلديدة – اليت تعمتد عىل التقيمي اذلايت للمخاطر والرقابة – يف الفصل
الثالث .حيث مت اإفساح اجملال أمام التدقيق ادلاخيل ليصبح الضمنة اليت هت ابلسرتاتيجيات والداة
الاستشارية اليت نعرفها اليوم.
وإاجمل ميكن القول أن الضوابط املعنوية دلى أي مؤسسة متثل ثقافهتا مكؤسسة .والثقافة – اإضافة اإىل
عوامل الرقابة امللموسة عىل مس توى املؤسسة بأمكلها ممل الهيلك التنظميي– متثل البيئة الرقابية ويه أمه
عنارص الرقابة.
ومع أن البيئة الرقابية يه الساس فاإن البناء عىل هذا الساس هو اجلزء النشط من معلية الرقابة اليت
تعكسها العنارص الربعة الخرى .وميكن تلصي هذه العنارص ابإ جياز كم ييل:
تقيمي اخملاطر :جيب عىل املؤسسة أن تعرف أهدافها اليت جيب حماذاهتا بشلك عامودي من أعىل لسفل
املعلومات والتصال :و هم رضوري لي يقوم الفراد بتنفيذ وإادارة ورقابة العمليات بفاعلية.
املراقبة :املراقبة املس مترة رضورية لي تس تطيع املؤسسة التفاعل مع التغري بديناميكية .والتقياميت
املس تقةل رضورية لتوفري تأكيد أن العنارص قد مصمت جيدا وتعمل بفاعلية.
هذه املكوانت الربعة يه جوهر معلية اإدارة اخملاطر .وقد استشهد معظم املهمتني ابإطار كوسو COSO
بوففه واحدا من أمه بواعث حركة اإدارة خماطر املؤسسة اليت سنناقشها لحقا يف هذا الفصل.
لقد جشع قانون ساربيا-أوكسيل ( )Sarbanes-Oxleyلعام 2002يف الولايت املتحدة اس تخدام مفاهمي
كوسو .COSOوقد اشرتطت مادة 404من هذا القانون تقيمي الإدارة للرقابة ادلاخلية عىل التقارير املالية عىل
أن يشهد عىل ذكل رشكة تدقيق احلساابت للرشكة .كم اندى القانون ابإنشاء دلس ل إالرشاف عىل حماس بة
الرشاكت احلكومية تتوىل اإفدار "معايري" التدقيق .واكنت املعايري اليت تتعلق ذه الشهادة تقتيض من الإدارة
أن تعمتد يف تقيميها عىل اإطار كوسو أو أي اإطار أخر يس توعب مجيع املواضيع العامة لكوسو .COSO
ومن املفارقات أن مادة 404قد أ َّدت يف البداية اإىل زايدة الرتكزي عىل اإجراءات الرقابة مع تدين الاهامتم
ابلبيئة الرقابية لكن مع مرور الوقت شق مفهوم الرقابة ادلاخلية -اذلي أدركه املدققون ادلاخليون التقدميون
منذ زمن طويل -طريقه اإىل اجلهود املبذوةل لالمتثال لقانون ساربيا-أوكسيل والترشيعات املمثةل .تفكر
املؤسسات واجلهات التنظميية يف خمتلف أحناء العامل بصورة مزتايدة يف الرقابة ادلاخلية يف ضوء اإطار كوسو
COSOوتطبقه عىل مجيع فئات الهداف وليس عىل التقارير املالية وحدها.
عىل الرمغ من أن اإطار كوسو COSOقد نشأ يف الولايت املتحةدة فةاإن مفاهميةه تعةد مركزيةة فةامي يتعلةق
بامنذج الرقابة السلطوية وترشيعاهتا يف خمتلف أحناء العامل ومن الإنصاف أن نعده منوذج الرقابة املقبول عامل ًّيا .
لقد أوجد النضال املبكر لالمتثال لقانون ساربيا-أوكسيل حاجة دلليل ذي خصوفية أك وقد أفبح ذكل
يحا بصفة خافة مع اقرتاب الوقت اذلي أفبح فيه اإلزاميا عىل الرشاكت الفةغر الامتثةال للقةانون واكنةت
هذه الرشاكت تفتقر اإىل موارد للتوثيق والاختبار الشامل لإجراءات الرقابة اليت اكنت ت يف الايم الوىل مةن
الامتثال .أنتج معهد التدقيق ادلاخيل مطبوعات عديدة توفر توجهيات خافة بناء عىل فهم يح لإطار كوسو
يف عام 2006نرشت كوسو " COSOالرقابة ادلاخلية عةىل التقةارير املاليةة – توجهيةات للرشةاكت العامةة
الصغرية" .وعىل الرمغ من عنوانه ومبادئه العرشين واملهنجيات لتطبيق لك مبدأ والمةمةل عةىل طريقةة تطبيقهةا،
فاإن فلهتا مجيعا يه نفسها ابلنس بة للمؤسسات الكبرية وباكفة فئات الهداف .مث يف عام 2009نرشت كوسةو
" COSOتوجهيات بشةأن مراقبةة نظةم الرقابةة ادلاخليةة" .و تةا الةوثيقتني مفيةد للمةدققني ادلاخليةني ل سة امي
لنشطة التدقيق ادلاخيل اجلديدة اليت حتتاج اإىل توجهيات ملموسة.
عةرف
مث نرشت كوسو COSOعام " 2004اإدارة خمةاطر املؤسسةة – الإطةار املتاكمةل" .وهةذا الإطةار يُ ّ ِّ
اإدارة اخملاطر بطريقة مماثةل للطريقة اليت يُ ّ ِّعرف ا "الرقابة ادلاخلية – الإطةار املتاكمةل" الرقابةة ادلاخليةة ،عةدا
عن تطبيق اإدارة خماطر املؤسسة يف بيئة اإسرتاتيجية وعىل مس توى املؤسسة كةلك .كةم أن الغةرض منةه اإدارة
اخملاطر حبيث تصبح يف حدود مدى قابلية املؤسسة لتحمةل اخملةاطر .كةم يضةيف هةذا الإطةار فئةة رابعةة مةن
الهةةداف ويه فئةةة "الهةةداف الإسةرتاتيجية" ويُ َو ِّّسةع هةةدف اإعةةداد التقةةارير املاليةةة ليشةمل تقةةارير العمليةةات
"اإدارة خماطر املؤسسة يه معلية ت من جانب دلس اإدارة املؤسسة وإادارهتا وغريمه من
املو،فني ي تطبيقها يف بيئة اإسرتاتيجية دخل املؤسسة كلك ،دف حتديد الحدا احملمتةل اليت
قد تؤثر يف املؤسسة وإادارة اخملاطر لتكون يف حدود اإطار مقدار اخملاطر اليت ميكن لتوفري
ضمانت معقوةل فامي يتعلق بتحقيق أهداف املؤسسة".
كم أن الاطار يف الهناية يتوسع من املكوانت امخلسة للرقابة ادلاخلية ليشمل املكوانت الامثنية لإدارة خمةاطر
املؤسسة وذكل عىل النحو التايل:
البيئة ادلاخلية :ويه البيئة الرقابية مع املفاهمي الإضافية اليت تمتثل يف فلسفة اإدارة اخملاطر وقابلية حتملها
ومتثل أساسا لطريقة فهم وتعامل العاملني ابملؤسسة مع اخملاطر والرقابة.
حتديد الهداف :وهذا هو الول بني املكوانت الربعةة الةيت حيتودهةا عنرصة "تقيةمي اخملةاطر" يف اإطةار
الرقابةةة وابلنس ة بة لي مؤسسةةة متةةارس اإدارة اخملةةاطر عةةىل مس ة توى املؤسسةةة بأمكله ةا تكتسةةب هةةذه
العنارص أمهية تكفي لن تكون مكوانت مس تقةل يف حد ذاهتا.
تقيمي اخملاطر :ي تقيمي اخملاطر من حيث احامتلهتا وتأثريها ،سواء عىل أساس فطري أو متبق.
الاس تجابة للمخاطر :تشمل الاس تجابة للمخاطر وجتنب اخملاطر و/أو قبولها واحلد مهنا ومشاركهتا.
وجيب أن حتاذي الاس تجابة للمخاطر املتبقية مع قدرة املؤسسة عىل حتمل اخملاطر وقابليهتا ذلكل.
أنشطة الرقابة :جيب تطبيق س ياسات وإاجراءات لضمن التنفيذ الفعال إلجراءات اإدارة اخملاطر.
املعلومات والتصال :و هم رضوري لي يقوم الفراد بتنفيذ وإادارة ورقابة العمليات ب.
املراقبة :املراقبة املس مترة رضورية لي تس تطيع املؤسسة التفاعل مع التغري بديناميكية .والتقياميت
املس تقةل رضورية لتوفري تأكيد بأن العنارص قد مصمت بشلك جيد وتعمل ب.
حيتوي اجملدل الثاين من اإطار كوسو COSOلإدارة خماطر املؤسسة عىل مناذج لعدد من أدوات التقيمي
املفيدة ولكنه ممل سلفه عبارة عن اإطار مفاهميي وليس دليال للتطبيق .وجد معظم العاملني ابإدارة اخملاطر
توجهيا معل ًّيا أك يف املعيار السرتايل النيوزيلندي لإدارة اخملاطر 4360واذلي نُرش يف عام 1999ومت حتديثه
يف عام .2004ويف عام 2009مت استيعاب هذا املعيار يف أول معيار عاملي حقيقي لإدارة اخملاطر وهو املعيار
أيزو .31000
جيةةب أن تنطبةةق املبةةادئ الحةةد عرش ة اجلوهريةةة ملعيةةار أيةةزو 31000 ISOعةةىل اكفةةة املس ة توايت يف
املؤسسة .وتشمل هذه املبادئ أن اإدارة اخملاطر جيب أن ختلق القمية وحتمهيا وجيب أن تكون معدةل مبا يناسب
املؤسسة وأن تس توعب يف معليةات املؤسسةة وفةنع القةرار ةا وأن تكةون مهنجيةة وديناميكيةة ومتجاوبةة مةع
التغيري وأن تراعي العوامل البرشية والثقافية.
ويبني المنوذج 1-2العالقات بني هذه املبادئ وإاطار اإدارة اخملاطر ومعلية اإدارة اخملاطر.
وتصب هذه املبادئ اخلافة ابإدارة اخملاطر يف اإلزام والزتام قوي ومس تدام من جانب الإدارة ،كةم هةو مبةني
يف مقة قسم الإطار يف منوذج .1-2وابتباع اجتاه السهم خالل اب هذا القسم يتفاعل الإلةزام مةع تصةممي اإطةار
اإدارة اخملاطر .وبعد ذكل جيب تطبيق الإطار ومتابعته وتعديهل ابس مترار ليتناسب مع الظروف املتغرية كم جيةب
حتسينه ابس مترار.
مت توس ة يع لك عنرص ة مةةن عنةةارص مبةةادئ وإاطةةار ومعليةةة اإدارة اخملةةاطر ابلتفصةةيل يف املعيةةار أيةةزو ISO
31000فعةةىل سةةبيل املثةةال يشةةمل تصةةممي اإدارة اخملةةاطر عنةةارص عديةةدة مهنةةا س ياسةةة لإدارة اخملةةاطر وتوزيةةع
للمسؤوليات وختصي موارد اكفية وحماذاة اإدارة اخملاطر مع أهداف املؤسسة وثقافهتا وأليات التصال ادلاخةيل
واخلاريج .كم يبني املعيار ابلتفصيل ما ينبغي اإدراجه يف لك عنرص من هذه العنارص.
احلقةةوق حمفو،ةةة © أيةةزو .مت طباعةةة هةةذه املةةادة مةةن املعيةةار أيةةزو 2009 :31000 ISOبترصة مةةن املعهةةد
المريي الوطين للمقاييس لصاحل املنظمة ادلولية للمقاييس (أيزو) .ل جيةوز نسةأ أو اإنتةاج أي جةزء مةن هةذه
املادة بأي فورة سواء اكنت بواسطة نظام اإلكرتوين لالسرتجاع أو غري ذكل ول جيوز نرشها عةىل الإنرتنةت أو
عىل أي ش بكة عامة أو بواسطة المقار الصناعية أو غري ذكل ،اإل مبوافقةة خطيةة مسة بقة مةن املعهةد المةريي
الةةوطين للمقةةاييس .ميكةةن رشاء نسةةأ مةةن املعيةةار أيةةزو 2009 :31000 ISOمةةن املعهةةد الم ةريي الةةوطين
للمقةاييس وعنوانةه ( )25 West 43rd Street, New York, NY 10036هةةاتف ر 642-4900
( ،)212املوقع الإلكرتوين.http://webstore.ansi.org :
تبدأ العملية نفسها بتعريةف السة ياقني ادلاخةيل واخلةاريج لإدارة اخملةاطر -وكةذكل معةايري اخملةاطر -تعريفةا
واحضا .ويشمل الس ياق اخلاريج أش ياء ممل البيئة التنظميية والتنافسة ية بيةامن يشةمل السة ياق ادلاخةيل أشة ياء
ممل ثقافة املؤسسة وأهدافها ومعلياهتا .كم تشمل معةايري اخملةاطر أشة ياء ممةل طريقةة حتديةد مسة توى اخملةاطر
ومس توى اخملاطر املقبول.
ومتثل اإدارة اخملاطر مضن هذين الس ياقني قلب معلية اإدارة اخملاطر وتبدأ بتحديةد أحةدا اخملةاطر الةيت قةد
تؤثر عىل حتقيق الهداف ومصدر لك حد وسببه والعواقب الإجيابية أو السةلبية احملةمتةل حلدوثةه .وبعةد ذكل
جيري حتليل لك حد خماطر يف ضوء احامتل حدوثه وأمهيةة عواقبةه .بنةاءا عةىل هةذا التحليةل ُحتلةل أحةدا
اخملاطر مبقارابهتا مبعايري اخملاطر اليت مت حتديدها سابقا وبناءا عىل هذا التقيمي ي ترتيب اخملةاطر وفقةا لولويةة لك
مهنا وي اختيار طريقة مناس بة للتعامل مع اخملاطر .يشمل التعامةل مةع اخملةاطر (ويطلةق علهيةا يف اإطةار كوسةو
" COSOالاسة تجابة للمخةةاطر") خيةةارات ممةةل جتنةةب اخملةةاطر أو تقبّلهةةا أو احلةد مةةن احةةامتلت حةةدوهثا و
عواق اا أو مشاركهتا مع طرف أخر أو زايدهتا ملالحقة فرفة معينةة .وجيةب أن يةؤدي التعامةل مةع اخملةاطر اإىل
جعل اخملاطر املتبقية يف حدود قدرة املؤسسة عىل حتمل اخملاطر.
اخملاطر :وفقا لتعريف املعيار أيزو ،31000 ISOيه "تةأثري عةدم اليقةني عةىل الهةداف" .قةد يكةون
هةةذا التةةأثري سةةلب ًّيا أو اإجياب ًّيةةا ويشةةمل نتةةاجئ تزيةةد احةةامتلت و/أو عواقةةب حتقةةق الهةةداف .وكوسةةو
COSOوكثري من مديري اخملاطر ل يعرفون اإل بأهنا سلبية.
اجتةةاه اخملةةاطر :وفقةةا لتعريةةف املعيةةار أيةةزو ،31000 ISOهةةو "مهنجيةةة املؤسسةةة يف تقيةةمي اخملةةاطر
ومالحقهتا أو خوضها أو الابتعاد عهنا يف الهناية ".وتس تخدم كوسو COSOوكثري من مديري اخملاطر
مصطلحي "قابلية اخملاطر" و"حتمل اخملاطر" الذلين ميكن ابلطبيعة قيةاس مكيةهتم .مةع أن قيةاس المكيةة
رمبا يكون مفيدا فاإنه يصعب القيام به عةىل أرض الواقةع .ويتجنةب املعيةار أيةزو 31000هةذه الصةعوبة
ابس تخدام مصطلح "اجتاه اخملاطر" الكرث معومية.
وهن ةاك اخةةتالف أخةةر جيةةدر بنةةا أن نةةذكره فاملعيةةار أيةةزو 31000 ISOيبةةني أن اإدارة اخملةةاطر جيةةب أن
تتناسةةب مةةع ثقافةةة املؤسسةةة ولكنةةه يفةةرتض أن الثقافةةة متةةنح الولويةةة لإدارة اخملةاطر .لكةةن يف اإطةةاري كوسةةو
COSOهيم تعد البيئة الرقابية /البيئة ادلاخلية مكوان مس تقال جيب اإدارته وتقيميه عىل حةدة .وهةذا الفةارق
همم لن كثريا من رشاكت اخلدمات املالية اليت أدَّت ممارساهتا اإىل الاهنيار املايل العاملي يف 2009-2008اكنةت
متتا معليات رمسية ممتازة لإدارة اخملاطر ومع أن مديري اخملةاطر يف هةذه املؤسسةات قةد قةدموا لهةا معلومةات
دقيقة بشأن مس توى اخملاطر ،فقد اختارت هذه الرشاكت اخملاطر لن ثقافهتةا وخططهةا التعويضةية اكنةت تة ن
الةةرع عةةىل املةةدى القصةةري عةةىل حسةةاب الإدارة املةةتعقةل للمخةةاطر .يف هةةذا اخلصةةوص قةةد يةةوفر اإطةةارا كوسةةو
COSOتوجهيا أفضل للمدققني ادلاخليني.
اإطار GAIT
هو "دليل تقيمي خماطر تقنية املعلومات" الصادر عن معهد التةدقيق ادلاخةيل وهةو سلسةةل مةن الدةل الةيت
تصف العالقات بني خماطر العمل وأمه الضوابط داخل معليات الرشكة والضوابط اللية وغريهةا مةن الو،ةائف
احلرجة لتقنية املعلومات وأمه الضوابط داخل الضوابط العامة لتقنية املعلومات .ادلليل الول يف هةذه السلسةةل
هو التدريب عىل الإطار ذاته.
اإن مهنجية GAITمتثل مهناجا قاةا عىل اخملاطر لتقيمي نطاق الضوابط العامةة لتقنيةة املعلومةات مضةن تقيةمي
الإدارة للرقابة ادلاخلية اليت تقتضهيا مادة ر 404من قةانون سةاربيا-أوكسةيل " .Sarbanes-Oxleyاملبةادئ
الربعة اليت متثل أساس الطريقة ،تتفق مع الطريقة الواردة يف معيار التدقيق ر ( )5اخلةاص ي ةات ا إلرشاف
احملاس يب عىل الرشاكت العامة ،ويه:
جيب أن يكون التعرف عىل اخملاطر والضوابط املتعلقة ا يف معلية الرقابة العامة عىل تقنية املعلومات .1
(يف اإدارة التغيري ممال والنرش وأمن الوفول والعمليات) وفقا للمهنجية حتديد اخملاطر من أعىل لسفل
والقامئ عىل اخملاطر واملس تخدم للتعرف عىل احلساابت املهمة واخملاطر اليت هتدد هذه احلساابت وأمه
الضوابط يف معليات املؤسسة.
خماطر معلية الرقابة العامة عىل تقنية املعلومات اليت جيب التعرف علهيا يه تا اليت تؤثر عىل .2
خماطر معلية الرقابة العامة عىل تقنية املعلومات اليت جيب التعرف علهيا توجد يف العمليات وعىل .3
طبقات خمتلفة من تقنية املعلومات :كود برامج التطبيق وقواعد البياانت ونظم التشغيل والش باكت.
ي تقليل اخملاطر اليت تتضمهنا معليات الرقابة العامة عىل تقنية املعلومات بتحقيق أهداف الرقابة عىل .4
تقنية املعلومات وليس بواسطة الضوابط الفردية.
ودليل املمرسة املعنون " اإطار GAITلتقيمي نق الرقابة العامة عىل تقنية املعلومات" هو مهنجية الغةرض
مهنا حتديد أ ّي من أوجه النق يف الرقابة العامة عىل تقنية املعلومات اليت مت التعرف علهيا يف تقياميت مةادة ر
404ميثل مواطن ضعف ملموسة أو أوجه نق هممة.
دليل املمرسة املعنون "اإطار GAITخملاطر املؤسسة وتقنية املعلومةات" يسةاعد يف التعةرف عةىل ضةوابط
تقنية املعلومات ذات المهية احلرجة لتحقيق أهداف الرشكة وغاايهتا.
اإطار ISACA
ما هو ISACA؟
يه مجعية نظم املعلومات والتدقيق والتحمك أنشئ من قبل معهد البحو ادلاخلية ملؤسسة التةدقيق يف
عام )1(1991؛ وقد فدر تنقيح يف عام .1994القصد السايس من ساك هو "توفري التوجيه ملةدقق ادلاخةيل
عةةىل الضةوابط ادلاخليةةة ذات الصةةةل لةةنظم املعلومةةات وتكنولوجيةةا املعلومةةات)" و مةةا يه الضةوابط ادلاخليةةة
والغرض مهنا؟ وقد عرف SACنظام الرقابة ادلاخلية عىل أنه "مجموعة من العمليات والو،ائف ،والنشطة،
والنظم الفرعية ،والشخاص اذلين اجمتعوا معا أو مت فصلهم من أجل ضمن حتقيق الااراض والاهداف (. )1
)1( WWW.COSO.ORG
)1( WWW.COSO.ORG
• ي تقدمي درجة معقوةل من التأكةد حةني ية اإرسةاء ضةوابط رقابيةة دديةة مةن حيةث التلكفةة لتقليةل
اخملاطرة املمتثةل بعدم حتقيق أهداف املؤسسة وغاايهتا ابملس توى املطلوب.
• تعرف الهداف Objectivesبأهنا بيان ابلإجنازات اليت تراب املؤسسة بتحقيقها.
مكوانت نظام الرقابة ادلاخلية
األنظمة
اليدوية اول :بيئة الرقابة
واألنظمة
المؤتمتة
الهيلكية التنظميية يقصد ا مسؤولية لك مدير يف اختاذ القرارات وإارسةاء س ياسةة املؤسسةة ،ووضةع .1
حدود لتا السلطة
عنارص اإطار الرقابة: .2
الفصل بني الواجبات غري املتوافقة
جدارة العاملني وابزاههتم
املس توايت املناس بة من السلطة واملسؤولية
ربط لك معلية بشص واحد مسؤول عهنا
توافر مس توى اكف من املوارد
ا إلرشاف
الس ياسات والإجراءات ي توثيقها توثيقا جيدا واليت حتدد نطاق معل لك قسم .3
املؤثرات اخلارجية من املتطلبات الئامتنية ،والقوانني والنظمة ،والرشو اليت تن علهيا العقود، .4
والعراف السائدة ،ورشو الاحتادات العملية
أما مقاييس المان فتشمل الضوابط الرقابية للبيةاانت والمةور املتعلقةة ابللةزتام والتطةابق والتوافةق مةع
القوانني والترشيعات ،واملعايري احملاسبية ومعايري التدقيق ،والس ياسات والاجراءات ادلاخلية.
أما ابلنس بة دلور ومسؤوليات املدققني ادلاخليني فتشمل ضةمن وتأكيةد مالءمةة نظةام الرقابةة ادلاخليةة،
ومصداقية البياانت ،والاس تخدام الكفؤ ملوارد املنظمة .كم أن املدققني ادلاخليةني هممتةني أيضةا مبنةع واكتشةاف
الغا والاحتيال ،وتنس يق الانشطة مةع املةدقيني اخلةارجيني .ان تاكمةل همةارات التةدقيق ونظةام املعلومةات،
وتفهةم تةأثري تكنولوجيةا املعلومةات عةىل معليةة التةدقيق مسةأةل رضوريةة ابلنسة بة للمةدقيني اخلةارجيني .فهةؤلء
)1( www.coso.org
دالت COBITيه:
.1التصطيط والتنظمي
.2اقتناء وتنفيذ
.3نديره الاستامثر
.4تسلمي وادلمع
.5الرفد والتقيمي.
تقرير COBIT
لقةةد كيفةةت وثيقةةة ) (COBITتعريفهةةا للرقابةةة مةةن الوثيقةةة ) (COSOعةةىل أن الس ياسةةات،
والاجراءات ،واملمرسات ،والهيالك التنظميية تُصمم لزتويد تأكيد معقةول بةأن أهةداف املنشةأة سةوف تتحقةق،
)2( www.coso.org
التصطيط والتنظمي ) – Plan & Organize (POيةوفر هةذا اجملةال الاجتةاه لتسةلمي احلةل وتسةلمي
اخلدمات.
الامتالك والتطبيق ) – Acquire & Implement (AIيوفر هذا اجملال احللول وميررهةا لتحويلهةا
اإىل خدمات.
التسةةلمي وادلمع ) – Deliver & Support (DSيس ة تقبل هةةذا اجملةةال احللةةول وجيعلهةةا فةةاحلة
لس تخدام املس تخدمني.
املراقبة والتقيمي ) – Monitor & Evaluate (MEيراقب هذا اجملال مجيع العمليات لضمن الالزتام
ابلجتاه اذلي مت توفريه.
يغطي دال التصطيط والتنظمي الإسرتاتيجية والتكتيك ،وخيت ابلتعرف عىل أفضل طريقة تسهم ا تقنيةة
املعلومات يف حتقيق أهداف الرشكة .جيب تنظمي حتقيق الر.ية الإسرتاتيجية وتوفيهل وإادارته .كةم جيةب وجةود
تنظمي مناسب وبنية تكنولوجية حتتية مناسة بة ومتطابقةة .وهةذا اجملةال يتنةاول منوذجيةا السة ةل التاليةة املتعلقةة
ابلإدارة:
هل توازي تقنية املعلومات اإسرتاتيجية الرشكة؟
هل جيري اس تغالل املؤسسة ملواردها عىل الوجه الممل؟
هل يفهم لك من ابملؤسسة أهداف تقنية املعلومات؟
يقر دال الاكتساب والتطبيق بأنه لي ي حتقيق إاسةرتاتيجية تقنيةة املعلومةات جيةب التعةرف عةىل حلةول
تقنية املعلومات أو تطويرها أو اكتسا ا وتطبيقها وددها كذكل يف معلية املؤسسة .اإضافة اإىل ذكل يغطةي هةذا
اجملال التغيريات يف النظم املوجةودة وفةيانة هةذه الةنظم وذكل للتأكةد مةن اسة مترار احللةول يف الوفةاء بأهةداف
الرشكة .يتناول هذا اجملال منوذجيا الس ةل التالية املتعلقة ابلإدارة:
هل من احملمتل أن تقدم املشاريع اجلديدة حلول تليب احتياجات الرشكة؟
هل من احملمتل تسلمي املشاريع اجلديدة يف الوقت املقرر ويف حدود املزيانية املقررة؟
هل س تعمل النظم اجلديدة بشلك مناسب عند تطبيقها؟
هل سي اإجراء التغيريات بدون تعطيل للعمليات الراهنة دلى الرشكة؟
وخيت دال التسلمي وادلمع ابلتقدمي الفعيل للخدمات املطلوبة ،واذلي يشمل تسلمي اخلدمات وإادارة المةن
والاسة مترارية وادلمع اخلةةد للمسة تخدمني وإادارة منشةةأت البيةةاانت والعمليةةات .ويتنةةاول هةةذا اجملةةال منوذجيةةا
الس ةل التالية املتعلقة ابلإدارة:
هل ي تقدمي خدمات تقنية املعلومات مبا يتفق مع أولوايت الرشكة؟
هل ي ترش يد تاكليف تقنية املعلومات؟
هل القوة العامةل قادرة عىل اس تخدام نظم تقنية املعلومات بشلك م ر وبأمان؟
هل تتوفر درجة اكفية من رسية وسالمة وحتقيق أمن املعلومات؟
يقر دال املراقبة والتقيةمي بةأن اكفةة معليةات تقنيةة املعلومةات جيةب تقيميهةا بصةفة دوريةة مةع مةرور الوقةت
للتحقق من جودهتا وامتثالها لرشو الرقابةة .حيةث يتنةاول هةذا اجملةال تقيةمي الداء و مراقبةة الرقابةة ادلاخليةة
والامتثال التنظميي واحلومكة ويتناول منوذجيا الس ةل التالية اليت تتعلق ابلإدارة:
وع هذه اجملالت الربع فقد حدد اإطار 34 COBITمعلية من معليات تقنيةة املعلومةات ية اسة تخداهما
بصورة عامة .ومع أن معظم املشةاريع ةا مسةؤوليات حمةددة للتصطةيط والبنةاء والإدارة واملراقبةة خافةة بتقنيةة
املعلومات ومع أن معظمها يوجد به نفس العمليات اجلوهرية فةاإن قةةل مهنةا ق نفةس هةيلك العمليةات أو يطبةق
مجيع معليات COBITالربعة والثالثني .يوفر اإطار COBITقاةة اكمةل من العمليات اليت ميكن اسة تخداهما
للتحقق من اكامتل النشطة واملسؤوليات ولكن ل يلزم تطبيقهةا مجيعةا وميكةن امجلةع بيهنةا طبقةا لحتياجةات لك
مرشوع.
ي ربط لك معلية من العمليات الربعة والثالثني املذكورة بأهداف الرشكة وأهةداف تقنيةة املعلومةات الةيت
ي دمعها .كم ي توفري معلومات بشأن كيفية قياس هذه الهداف وأمه النشطة والإجنازات واملسؤول عهنا.
تعريف العالقة بني تقنية املعلومات والرشكة ودوائر املؤسسة اليت تتحمل مسؤوليات خت احلومكة.
اإدارة حقيبة استامثرات الرشكة اليت تعمتد عىل تقنية املعلومات.
تعظمي جودة حالت العمل لستامثرات الرشكة اليت تعمتد عىل تقنية املعلومات مع الرتكزي بصفة خافةة
عىل تعريف أمه املؤرشات املالية وقياس جحم الفوائد غري امللموسة والتقيمي الشامل للمخاطر السلبية.
ويتناول اإطار Val ITالافرتاضات والتاكليف واخملاطر والنتةاجئ املرتبطةة حبقيبةة متوازنةة مةن الاسةتامثرات
اليت تعمتد عىل تقنية املعلومات ،كم يوفر قدرة عىل القياس املقةارن ،وميكّةن الرشةاكت واملؤسسةات مةن تبةادل
اخل ات بشأن أفضل ممارسات اإدارة القمية.
منوذج 2-2
العالقة بني اإطارات RISK ITو Val ITو COBIT
التعرف على
إدارة القيمة إدارة المخاطر
المخاطر والفرص
أحداث تتعلق
بتقنية المعلومات
إدارة عملية
تقنية المعلومات
COBIT إطار
تصنيف نظام املعلومات واملعلومات اليت مت معاجلهتا وختزيهنا ونقلها بواسطة ذكل النظام بناء عىل حتليةل
للاثر.
اختيار مجموعة أ ّولية من الضوابط المنية عند خط الساس لنظام املعلومات بناء عىل التصنيف المين
وتفصيل واس تكمل خةط أسةاس الضةوابط المنيةة عنةد الرضةورة بنةاء عةىل تقيةمي املؤسسةة للمخةاطر
والظروف احمللية.
تطبيق الضوابط المنية ووفف كيفية تو،يف هةذه الضةوابط يف نظةام املعلومةات والبيئةة الةيت يعمةل
فهيا.
تقيمي الضوابط المنية ابس تخدام طرق تقيمي مناسة بة لتحديةد مةدى تطبيةق الضةوابط بطريقةة يحةة
وتشغيلها طبقا للمراد ا وإانتاج النتيجة املرجوة خبصوص تلبية الاحتياجات المنية للنظام.
منوذج 3-2
الخطوة األولى
تصنيف
الخطوة الثانية نظام المعلومات الخطوة السادسة
اختيار مراقبة
الضوابط األمنية الضوابط األمنية
إطار إدارة
المخاطر
الخطوة الثالثة الخطوة الخامسة
تطبيق ترخيص
الضوابط األمنية الخطوة الرابعة نظام المعلومات
تقييم
الضوابط األمنية
ترخي معليات نظام املعلومات بناء عىل حتديد اخملاطر اليت هتدد معليات املؤسسة وأفةولها وأفرادهةا
واملؤسسات الخرى والمة والنامجة عن تشغيل نظام املعلومات واختاذ قرار بأن اخملاطر املقبوةل.
مراقبة الضوابط المنية يف نظام املعلومات بصةورة مسة مترة تشةمل تقيةمي الضةوابط وتوثيةق التغيةريات
اليت يشهدها النظام أو بيئة تشةغيهل وإاجةراء حتلةيالت لةلاثر المنيةة للتغيةريات املرتبطةة ورفةع تقةارير
كيةةف ينبغةةي عةةىل املةةدققني ادلاخليةةني اسة تخدام هةةذه الةةامنذج؟ يتوقةةف اسة تخداهمم لهةةا ،بةةلك حةةال مةةن
الحوال ،عىل طبيعة المنوذج ذاته.
اإن اإطاري كوسو COSOاملتاكملني هم اإطاران مفاهمييان فهم يقدمان للمس تخدم فهما واحضا ملاهية الرقابة
ادلاخلية وإادارة اخملاطر ،كم يقدمان املصطلحات الالزمة لتسهيل املناقشةة .كةم خية ان املةدقق مبةا جيةب تقيميةه
فعىل سبيل املثال ين اإطار الرقابة عىل أن العنارص امخلس مجيعا وفئةات الهةداف الةثال مجيعةا تةدخل يف
الرقابة ادلاخلية ولهذا جيب تقيمي هذه الش ياء مجيعا .ول ينطبق ذكل عىل همام التدقيق الفردية بل ينطبق عىل
املؤسسة كلك .وإاذا مل يقم نشا التدقيق ادلاخيل بأي يشء عىل الإطالق لتقيمي البيئة الرقابية مةمال فةاإن ذكل
يعت قصورا يف نطاق معهل .وجيب توعيةة الهي ةة الإداريةة بةذكل وعلهيةا اإمةا قبةول هةذا القصةور وإامةا عالجةه
والقضاء عليه.
مع ذكل فاإن اإطاري كوسو COSOليسا دلييل تطبيق ،فهم ل خي ان نشا التدقيق ادلاخيل بكيفية تقيمي
الرقابة ادلاخلية أو اإدارة اخملاطر .أما واثئق كوسةو COSOالخةرى املشةار اإلهيةا أعةاله فهة ي أكةرث خصوفةية
مع ذكل ىت هذه الامنذج الكرث خصوفية ينبغي اسة تخداهما مبرونةة اإذ عنةدما حتةاول املؤسسةات تطبيقهةا
جبمود فكمةريا مةا ينةتج عهنةا ممارسةة تتطلةب مةوارد كثيفةة ونظريةة يف معظمهةا وقميهتةا حمةدودة .وسةوف يواجةه
املدققون ادلاخليون اذلين يطبقوهنا جبمود مقاومة م رة من جانةب الإدارة .وكةم يشةري املعيةار 31000بشةلك
عام جيب تعديل المنوذج مبا يتناسب مع املؤسسة.
تنطبق نفس املبةادئ عةىل اإطةارات معهةد التةدقيق ادلويل IIAو ISACAو .NISTيةوفر اإطةار معهةد
التدقيق ادلويل أربعة مبادئ ،وإاطار COBITمفصل نسةبيا ويةوفر أنشةطة تةرتبط بعمليةات تقنيةة املعلومةات
مفصةل ابملهام ملراحهل الس تة وينبغي أل تس تخدم هذه الإطةارات الربعة والثالثني ،بيامن يوفر اإطار NISTقاةة ّ
جبمةةود أو تطبيقهةةا قرسةا عةةىل لك مؤسسةةة حةةىت لةةو مل تكةةن تناسة اا .وبةةدل مةةن ذكل ينبغةةي اسة تخدام هةةذه
الإطارات مبرونة وينبغي تعديلها لتناسب اس تخدام املؤسسة لتقنية املعلومات ونرشها لهةا .وينبغةي تعةديل هةذه
الإطارات لي تناسب تقنية املعلومات يف املؤسسة.
ينطبق ذكل أيضا عىل الامنذج املمثةل اليت ي تطويرها يف خمتلف دول العامل كم تنطبق نفس املبةادئ عنةدما
يقوم مدقق داخيل بتوفري خدمات الاستشارة .فعىل سبيل املثال ميكن أن تكون مناذج اخملاطر مفيدة جدا عند
تقدمي املشورة ل إالدارة ويه تقةوم ابإنشةاء معليةة لإدارة خمةاطر املؤسسةة .وجيةب مراعةاة اكفةة هةذه العنةارص يف
المنوذج اخملتار وإان اكن ل ينبغي ابلرضورة تبنهيا وإاذا مت تبنهيا فيجب تعديلها مبا يناسب املؤسسة.
وابختصار فاإن مناذج الرقابة واخملاطر مفيدة للغاية ابلنس بة للمةدققني ادلاخليةني طاملةا مت اسة تخداهما بشةلك