Professional Documents
Culture Documents
أصبحت السمة الغالبة على الكثير من المنظمات الحديث ة اس تخدامها للتكنولوجي ا في تس يير
أعمالها ومعالجة بياناتها ،إذ أنها تساعد في بن اء المنظم ات الناجح ة ،وتس اعدها في بن اء عالق ات
متميزة مع عمالئها ،ومن ثم زيادة حصتها السوقية ،كم ا أنه ا تس اعد في عملي ة اتخ اذ الق رارات
وتحسين اإلنتاجية ،وتشجيع المنافسة العالمية ،ه ذه التط ورات في دني ا تقني ة المعلوم ات وض عت
اإلدارة ومهنة التدقيق أمام تحدي كبير ،فاإلدارة ينبغي عليها وض ع إج راءات رقابي ة تتناس ب م ع
تطور تقنية المعلومات ،ومهنة التدقيق من خالل تطوير أدواتها وأساليبها لتستمر في تق ديم خ دماتها
بجودة عالية ومن ثم التغلب على بعض القصور البش ري في حال ة ممارس ة الحكم المه ني المالئم ،
والبد من األخذ في الحسبان إن أهداف األنظم ة وأه داف الت دقيق ال تت أثر بطريق ة تش غيل البيان ات
س واء أك انت يدوي ة أم آلي ة ،وك ذلك ف ان نط اق الت دقيق ال يتغ ير في ظ ل نظ ام المعلوم ات اآللي
(المعتمد على الحاسوب) ،فإذا ك انت العص ور الس ابقة ق د تم يزت بع دة ث ورات للبش رية ،ابت دءا
بالثورة الصناعية ثم ثورة المعرفة ومرورا بثورة التكنولوجيا واالتصاالت ،فان ه مم ا ال ج دال في ه
إننا نعيش اليوم ثورة تقنية المعلوم ات ،ه ذه الث ورة ال تي تطلبت من المنظم ة الس رعة في معالج ة
بياناتها وسرعة توصيلها للمستخدم لإلفادة منها في اتخاذ الق رارات وترش يدها ،وبالمقاب ل وض عت
ه ذه التكنولوجي ا امن وس المة ه ذه المنظم ات على المح ك ،فتطلب ذل ك منه ا وض ع العدي د من
اإلجراءات األمنية التي رافقت استعمال هذه التكنولوجيا من اجل حماية معلوماتها القيمة .إن وج ود
امن دقيق ورقابة على موارد المعلومات المتعلقة بالمنظمة ينبغي أن يكون من أولويات اإلدارة العليا
،وعلى الرغم من أن أهداف الرقاب ة بقيت متش ابهة في ظ ل اس تعمال تقني ة المعلوم ات ف ان ط رق
الرقاب ة واألمن ق د تغ يرت بش كل ج وهري في ظ ل التط ورات في التج ارة االلكتروني ة وتقني ة
المعلومات.
1
إن الرقابة العام ة هي رقاب ة ش املة تأخ ذ في الحس بان اغلب نش اطات وفعالي ات النظ ام المحاس بي
االلكتروني مثل الهيكل التنظيمي للنظام وحماي ة الملف ات وال برامج واألجه زة والرقاب ة على عملي ة
تصميم وتطوير النظم والبرامج وغيرها من النشاطات.
الرقابة العامة هي أوسع نطاقا من الرقابة على التطبيقات ل ذلك فإنه ا ت ؤثر بش كل اك بر على النظ ام
المحاسبي االلكتروني في حال ة وج ود خل ل أو نق اط ض عف في ه ذا الن وع من الرقاب ة .ان الرقاب ة
العامة تشتمل على اإلجراءات اآلتية:
أوال :الفصل بين الوظائف والمسؤوليات Segregation of Duties
ثاني ا :الرقاب ة على امن أجه زة الحاس وب وال برامج والبيان ات Hardware, Software Data
security control
ثالثا :الرقابة على تطوير وتصميم النظم System Development & Design Control
2
و .وظيفة إعداد البيانات إلدخالها إلى الحاسوب : Data Preparationويقوم األفراد المس ؤولون
عن هذه الوظيفة بتحويل البيانات من المستندات األص لية ( )Source Documentsإلى ش كل
يمكن أن يتقبله الحاسوب.
ثانيا :الرقابة على امن أجهزة الحاسوب والبرامج والبيانات
Software, of Data Security Control Hardware
هناك مخاطر كثيرة البد أن تؤخذ في الحسبان عند تحدي د إج راءات الرقاب ة الداخلي ة المتعلق ة ب أمن
األجهزة والبرامج والبيانات ومن أهم تلك المخاطر:
أ .ارتكاب األخطاء : Errorsهناك نوعان من األخطاء وهي األخطاء التي ترتكب من قب ل األف راد
المشغلين للحاسوب أي أخط اء بش رية مث ل إدخ ال عملي ة معين ة إلى الحاس وب بص ورة خاطئ ة أو
إدخالها مرتين والنوع الثاني هي األخطاء التي ترتكب من قبل أجهزة الحاسوب وال برامج التش غيلية
والتطبيقية وهذا النوع هو اخطر من النوع األول الن آثاره ا تك ون كب يرة وواس عة (Systematic
.)Errors
ب .الح وادث والك وارث :مث ل الحرائ ق وانقط اع التي ار الكهرب ائي والتع رض إلى اإلش عاعات
والمجال المغناطيسي وغيرها من الحوادث.
ج .التالعب بالبرامج والبيانات بدافع االختالس والسرقة.
د .التجسس التجاري :Commercial Espionageويقصد به ا قي ام الش ركات المنافس ة بمحاول ة
الحصول على بيانات مهمة وبرامج من شركة معينة وبطرق غير مشروعة.
هـ .تخريب وتحطيم األجهزة والبرامج من قبل الموظفين السابقين والحاليين في المنشأة أو أش خاص
من خارج المنشأة وذلك بدافع الحقد واالنتقام (.)Malicious Damage
و .إتالف أو مسح البيان ات بش كل غ ير مقص ود من قب ل مش غلي الحاس وب وذل ك في أثن اء قي امهم
بواجباتهم المعتادة.
إن من أهم إجراءات الرقابة الداخلية الضرورية على امن األجهزة والبرامج والبيانات هي ما يأتي:
.1مسك سجل تدون فيه كاف ة البيان ات وال برامج المخزون ة في المكتب ة بحيث يحت وي الس جل
على المعلومات الضرورية مثل عناوين تلك البيانات والبرامج وت اريخ إي داعها في المكتب ة
واستخداماتها وغيرها من المعلومات.
.2ترميز وترقيم األشرطة أو األق راص المغناطيس ية أو أي ة واس طة أخ رى مس تخدمة لخ زن
البيانات والبرامج وذلك بوضع قطعة من ال ورق ( )Labelعلى الغالف الخ ارجي لوس ائط
الخزن تدون فيه رقم ورمز للداللة على تسلسلها في المكتبة وك ذلك ت اريخ إنش ائها وت اريخ
انتهاء صالحيتها وك ذلك خ زن مم يز ( )Header Labelفي بداي ة المل ف بحيث يتض من
معلومات أخرى عن الملف لكي يقوم الحاسوب بالتأكد من استخدام الملف الص حيح وك ذلك
وضع مميز في نهاية الملف ( )Trailer Labelيكون محتويا على عدد السجالت الموجودة
في الملف والرمز الذي يدل على نهاية الملف.
.3تزويد أبواب المكتبة وقس م الحاس وب االلك تروني بأقف ال محكم ة مث ل األقف ال االلكتروني ة
واألقفال التي تفتح بواسطة بطاقات تعريفية أو نظام طبع األصابع.
.4على جمي ع األف راد اخ ذ الموافق ة األص ولية قب ل ال دخول إلى المكتب ة وقس م الحاس وب في
أوقات غير أوقات العمل الرسمي.
.5االحتفاظ بسجل يدون فيه أسماء وتواقيع األشخاص الذين ي دخلون المكتب ة وقس م الحاس وب
من زائرين وعمال صيانة وغيرهم والبد من عدم ترك الزائ رين لوح دهم داخ ل المكتب ة أو
قسم الحاسوب.
.6إيجاد نسخ إضافية وطبق األص ل لل برامج الموج ودة في المكتب ة ( )Backupوحفظه ا في
مك ان أمين بعي دة عن قس م الحاس وب وع دم الس ماح باس تخدامها إال من قب ل األش خاص
المخولين بذلك ويجب إخض اعها إلج راءات الرقاب ة الخاص ة بالحف اظ على أمني ة ال برامج
3
والبد من الحفاظ على حداث ة تل ك ال برامج عن طري ق مراجع ة وتع ديل تل ك ال برامج عن د
الضرورة.
ع دم الس ماح ب دخول الم برمجين ومحللي النظم إلى قس م الحاس وب إال إذا ك ان دخ ولهم .7
ضروريا وذلك يجب أن يكون تحت إشراف أشخاص مسؤولين.
في حالة استخدام المنشاة نظام مشاركة ال وقت ( )Time sharing systemعلى المنش أة .8
فرض الرقابة على عملية االتص ال بين نهاي ات الطرفي ة ( )Terminalsووح دة المعالج ة
المركزية وذلك بواسطة إيجاد واستخدام الش فرات ( )Passwordوحس ب ه ذه الطريق ة ال
يمكن الدخول إلى نظام الحاسوب إال بعد استخدام الشفرة الصحيحة ويستحسن تغيير الش فرة
من فترة إلى أخرى واستخدام أكثر من كلمة واحدة ويجب تنبيه مستخدمي النهايات الطرفي ة
إلى أهمية عدم إفشاء الشفرة إلى أي شخص آخ ر .ويمكن اس تخدام الش فرات بص يغ عدي دة
فعلى سبيل المثال يمكن استخدامها لحماي ة حلق ات خاص ة بحيث ال يمكن االطالع عليه ا أو
استخدامها إال عن طريق استخدام وإدخال رمز خاص به ا وك ذلك يمكن اس تخدام الش فرات
في حماية بيانات سرية عن عمليات معينة .فضال عن إجراءات الرقابة الس ابق ذكره ا الب د
من إيج اد إج راءات الرقاب ة على النهاي ات الطرفي ة ويمكن الق ول أن ه ذه اإلج راءات هي
تقريبا نفس اإلجراءات المتبعة في الرقابة على امن أجهزة الحاس وب المركزي ة في المنش اة
ويج در بال ذكر أن ه ذه اإلج راءات ذات أهمي ة كب يرة إذا ك انت المنش اة تعتم د على نظ ام
المعالجة عن بعد (.)System Remote Processing
إتباع األس لوب المس مى باألجي ال الثالث ة (الج د ،األب ،االبنGrandfather, Father, ، .9
)Sonللمحافظة على الملفات من الفق دان والتل ف وحس ب ه ذا األس لوب ال يتم التخلي عن
الجيلين السابقين من الملف عند إنشاء ملف رئيسي جديد بل يتم االحتفاظ بهما وذل ك إلع ادة
استخدامها في إنشاء الملف الرئيسي للجيل الجديد في حالة فقدان ذلك الملف.
يجب توف ير أدوات ومع دات كافي ة لمواجه ة ح وادث الحري ق وانقط اع التي ار الكهرب ائي .10
وغيرها من الحوادث ويجب اختيار تل ك األدوات والمع دات دوري ا للتأك د من أنه ا ص الحة
للعمل.
على المنشاة شراء عقد تأمين على أجهزة الحاسوب واألجهزة المساعدة والبرامج ويجب أن .11
يعطى العق د كاف ة األخط ار المحتمل ة مث ل خط ر الحري ق والس رقة والتخ ريب والتع رض
لإلشعاعات وغيرها من المخاطر.
إجراء صيانة دورية ألجهزة الحاسوب واألجهزة المساعدة وذلك لضمان منع تقلي ل ح دوث .12
العطالت في األجهزة.
الب د من إع داد خط ط إليج اد ب دائل ( )Disaster Recovery Plansلمواجه ة ح االت .13
الطوارئ أي في حاالت ال يكون باستطاعة النظام المحاسبي االلك تروني تق ديم خدمات ه إلى
المنشأة سواء كان ذلك بسبب الحريق أو عطل في أجهزة الحاسوب أو أي سبب آخر.
ثالثا :الرقابة على تطوير وتصميم النظم System Development Design Control
إن الهدف الرئيسي الذي تسعى اإلدارة إلى تحقيقه من خالل فرض إجراءات الرقابة على عملية
تصميم وتطوير النظم المحاسبية االلكترونية هو ضمان أن التغيير أو التطوير الحاصل في النظام أو
في البرامج سوف يعود بالمنفعة على المنشاة أكثر من النظام الحالي .وان النظام الجديد سوف يك ون
أكثر كفاءة وفاعلية وانه يسهم بقدر كب ير من النظ ام الح الي في تحقي ق المنش أة .تتض من إج راءات
الرقابة على تصميم وتطوير النظم خمسة إجراءات رئيسة وهي:
.1وضع خطط طويلة من قبل اإلدارة بحيث تكون الموجة لعملية تص ميم وتط وير النظم وال برامج
المحاسبية االلكترونية في المستقبل.
.2البد من مشاركة ومساهمة أفراد من قسم الحاسوب وبقية األقسام ذوي العالقة مع قسم الحاسوب
في عملي ة تط وير وتص ميم النظم وال برامج وذل ك للتع رف على متطلب ات العم ل األساس ية
4
وحاجات كل قسم وضمان تلبية واجبات كل قسم .وكذلك البد من مش اركة م دقق داخلي وم دقق
خ ارجي للتأك د من وض ع كاف ة إج راءات الرقاب ة الداخلي ة المناس بة والض رورية في النظ ام
المحاسبي االلكتروني وفي برامج الحاسوب سواء كانت تلك اإلجراءات تخص إجراءات الرقابة
العامة أو إجراءات الرقابة على التطبيقات.
.3توثي ق النظ ام :System Documentationويقص د به ا إيج اد وث ائق وحلق ات لإلج راءات
والتعليمات والعمليات التي تم إتباعها وتنفيذها من قبل العاملين في النظام المحاسبي االلكتروني.
إن لعملية توثيق اإلج راءات والخط وات فوائ د عدي دة فمن خالل عملي ة التوثي ق يمكن التع رف
على مكونات النظام المحاسبي االلك تروني وأيض ا تزوي د اإلدارة في المنش اة بمعلوم ات كافي ة
لتقييم كفاءة وفاعلية النظام وك ذلك يتم ض مان الثب ات في اإلج راءات المتبع ة من قب ل الع املين
الحاليين والعاملين الجدد وال يترك المجال لالجتهاد الشخصي حيث يتم الرجوع إليها لالسترشاد
بها وتعتبر عملية توثيق النظام إحدى الوسائل المهمة لتحقي ق الرقاب ة الداخلي ة ومن أهم الوث ائق
والملفات التي البد من إيجادها هي ما يأتي:
أ .ملف النظام System Fileويتضمن هذا الملف ما يلي:
-1األهداف الرئيسة للنظام ومخططات انسيابية لتدفق البيانات داخ ل النظ ام وك ذلك الخط ط
القصيرة والطويلة األمد.
-2وص ف تفص يلي للوظ ائف الموج ودة في النظ ام وتحدي د للواجب ات والمس ؤوليات لك ل
وظيفة.
-3وصف تفصيلي لمدخالت ومخرجات النظام.
-4قائمة بعدد وأنواع البرامج الموجودة في النظام.
ب .ملف البرامج Programs Fileيحتوي هذا المل ف على ك ل م ا يتعل ق ب برامج الحاس وب
المستخدمة في النظام من حيث خطوات وإجراءات إعداد وتعديل واختبار البرامج ويحت وي
هذا الملف عادة على ما يأتي:
-1مخطط انسيابي لكل برنامج من البرامج الموجودة في النظام.
-2وصف تفصيلي للبرامج الموجودة يتضمن عناوين البرامج والرموز المستخدمة وأوج ه
استخدام هذه البرامج والخطوات التي تتكون منها البرامج.
ج .ملف التشغيل Operating Fileوتأتي أهمية هذا الملف في انه يمثل المرجع الذي يوفر كافة
المعلومات والتعليمات الخاصة بتش غيل الحاس وب وال ذي يس اعد مش غل الحاس وب في القي ام
بوظيفته على أكمل وجه .ويشمل هذا الملف ما يأتي:
-1وصف للبرامج والهدف من كل برنامج.
-2وصف تفصيلي للمدخالت والمخرجات.
-3تعليمات عن كيفية البدء بتشغيل الحاسوب وتنفيذ عملية إدخال البيانات واستخراج النت ائج
النهائية ومن ثم الخروج من البرامج التطبيقية وإطفاء األجهزة.
-4اإلجراءات والخطوات الواجب إتباعه ا عن د حص ول عط ل في أجه زة الحاس وب أو في
حال ة الط وارئ مث ل نش وب حري ق أو انقط اع التي ار الكهرب ائي أو م ا ش ابه ذل ك من
الحوادث.
-5تعليم ات تتعل ق بالحف اظ على امن البيان ات وال برامج وأجه زة الحاس وب وأيض ا تحدي د
األشخاص الذين يسمح لهم بالدخول إلى قسم الحاسوب.
-6الحصول على الموافقات األصولية من الجهات العليا أو اللجنة المختصة باإلش راف على
عملي ة تط وير النظم وال برامج على ك ل خط وة من خط وات تص ميم وتط وير النظم
والبرامج وذلك بعد أن تقوم تلك الجهة بمراقبة ومقارنة ما تم انجازه مع ما هو مخطط ل ه
وحس ب المع ايير الموض وعية مس بقا .والب د أيض ا من الحص ول على الموافق ة من تل ك
الجهة على عملية البدء بتشغيل النظ ام وذل ك بع د االنته اء من عملي ة تص ميم أو تط وير
5
النظام أو البرامج وبعد إجراء االختبارات المطلوبة والتأك د من أن النظ ام أص بح ج اهزا
للعمل.
-7اختبار النظم والبرامج التي تم تصميمها وتطويرها وتعتبر هذه الخط وة ض رورية للتأك د
من مدى نجاح عملية تصميم وتطوير النظم وأيضا للتع رف على األخط اء الموج ودة في
النظام أو البرامج الجديدة لغرض معالجتها .وتتم عملية االختبار باستخدام بيانات فرض ية
وأخرى حقيقية ومن الضروري أن تكون النت ائج لتل ك العملي ة متوقع ة ومدروس ة مس بقا
وذلك لمقارنتها بالنتائج الفعلية لعملية االختبار .أن عملي ة االختب ار الب د أن تك ون ش املة
لكل جوانب النظام بما في ذلك العمل اليدوي في النظام.
ومن الضروري مشاركة أفراد من قسم لحاس وب واألقس ام األخ رى ذوي العالق ة م ع قس م
الحاسوب مع مصممي النظم والمبرمجين في عملية االختب ار وذل ك للتع رف على الن واقص ونق اط
الضعف الموجودة في النظام أو البرامج الجدي دة وللتأك د من م دى ق درة النظ ام أو ال برامج الجدي دة
على تلبية حاجات تلك األقسام وفي الوقت المناسب ويجب إجراء االختبار النه ائي للنظ ام وال برامج
الحديثة وان يتم تنفيذه في ظل ظروف عمل واقعية وباستخدام بيانات حقيقية ( )Line Dataوبحيث
تكون تلك البيانات حاوية على أخطاء معينة وذلك للتأكد من م دى قابلي ة النظ ام أو ال برامج الجدي دة
على اكتشاف األخطاء ومن ثم تصحيحها.
Application Control الرقابة على التطبيقات
ويقصد بها إجراءات الرقابة المفروضة على عملية معالجة البيانات وبض منها الرقاب ة على
مدخالت ومخرجات قسم الحاسوب والغرض منه ا ه و ض مان دق ة وص حة وكم ال عملي ة معالج ة
البيانات المحاسبية .
إن الرقابة على التطبيقات يمكن تقسيمها إلى ثالث مستويا وهي:
Input Control أوال :الرقابة على المدخالت
إن اغلب البيانات التي تدخل قسم الحاسوب يتم إعدادها يدويا مما تكون عرض ة للخط أ بش كل كب ير
لذلك فمن الضروري فرض الرقابة على تلك البيانات لضمان اكتشاف األخطاء الموج ودة فيه ا قب ل
االنتقال إلى مرحلة المعالجة االلكترونية.
وهناك مقولة شائعة حول دقة وصحة المدخالت مفادها (إدخال نفايات ،استخراج نفايات Garbage
)In, Garbage Outأي أن إدخ ال بيان ات غ ير ص حيحة وخاطئ ة ي ؤدي إلى الحص ول على
مخرجات خاطئة .لذلك كلما كانت المدخالت دقيقة وصحيحة كانت المخرجات دقيق ة وص حيحة .إن
الرقابة على المدخالت أهمية كبيرة ،إذ أن تصحيح األخطاء أكثر سهولة ويحتاج إلى جهد اقل إذا تم
اكتشاف تلك األخطاء في المرحلة األولى من مراح ل معالج ة البيان ات وقب ل االنتق ال إلى المراح ل
األخرى.
وتهدف الرقابة على المدخالت إلى ضمان دقة وصحة وشرعية وكمال البيانات التي يتم إدخاله ا إلى
الحاسوب .إن من أهم إجراءات الرقابة على المدخالت هي ما يلي:
أ .يجب أن تكون إج راءات مراجع ة وت دقيق البيان ات الموج ودة في المس تندات األص لية مكتوب ة
ومحددة وذلك لضمان دقة وكمال البيانات وكذلك للتأكد من أن المستندات األصلية المطلوبة هي
التي تدخل الحاسوب ال غيرها.
ب .إج راء االختب ارات ( )Editing Testsعلى البيان ات في أثن اء إدخاله ا إلى وح دة المعالج ة
المركزي ة للحاس وب وتس مى ه ذه االختب ارات باالختب ارات المبرمج ة Programmed
، Checksوالجدير بالذكر أن اغلب ه ذه االختب ارات تنف ذ أيض ا في مرحل ة معالج ة البيان ات
ومن أهم هذه االختبارات ما يلي:
.1اختبار حرفية أو رقمية البيانات Alphabetical & Numerical Testsحسب هذا االختبار
يقوم البرنامج بالتأكد من نوعية البيانات الداخلة إلى الحاسوب وفيما إذا ك انت رقمي ة أو أبجدي ة
6
أو كليهما معا وتقارنها مع طبيع ة الحق ل أو المك ان ال ذي ترس ل إلي ه تل ك البيان ات ف إذا ك انت
البيانات رقمية والحقل رقميا وحرفيا معا فهذا معناه أن هنالك خطا ما في تلك البيانات.
.2اختبار طول المدخالت Input Length testويقصد به اختبار طول البيانات التي ت دخل الى
الحاسوب سواء كانت رقمية أو حرفية ،إذ أن العديد من البيانات لها طول محدد وقد يكون ع دد
من األرقام أو عدد من األحرف يجب ع دم تج اوزه والمث ال على ذل ك أرق ام الحس ابات وأرق ام
الهواتف وتواريخ الميالد ورقم الضمان االجتماعي وغيرها.
.3اختيار الحدود Limit Testيقوم البرنامج حسب هذه الطريقة بالتأكد من أن البيانات التي تدخل
الحاسوب تقع ضمن المدى المحدد لها مسبقا ف إذا ك ان اك بر أو اص غر من ذل ك ف ان الحاس وب
يرفض عملية اإلدخال والمثال على ذلك تحديد الحد األعلى واألدنى لألجر للساعة الواحدة ولكل
وظيفة.
.4أرقام االختبار Check Digitsإن رقم االختبار هو الرقم الذي يتم احتسابه عن طري ق إج راء
عمليات حسابية معينة على أرقام العدد األصلي ومن ثم يضاف إلى جانب البيانات الرقمية (مثل
رقم العامل أو رقم مستند معين) وذلك بواس طة ب رامج الحاس وب أو بواس طة أجه زة اإلدخ ال
للتأكد من أن تلك البيانات قد تم إدخالها بصورة صحيحة ولض مان ع دم تغي ير األرق ام المكون ة
لعدد معين (مثل تسجيل الرقم 497خطا )479وذل ك في بداي ة ك ل مرحل ة من مراح ل عملي ة
معالجة البيانات بواسطة الحاسوب وقبل إجراء أية عملية على تلك البيان ات .إن أرق ام االختب ار
تستخدم للبيانات الرقمية فقط وال تستخدم للبيانات الكمية والقيمية وهناك طرق عدي دة الحتس اب
رقم االختبار ومن أهمها وأكثرها شيوعا هي طريقة العامل رقم ( .)11ونذكر المثال الت الي عن
أرقام االختبار.)3459( :
-نضرب كل مرتبة من مراتب الرقم بوزن معين مثال نضرب الرقم ( )2في مرتبة اآلحاد وال رقم
( )3في مرتبة العشرات والرقم ( )4في مرتبة المئات والرقم ( )5في مرتبة اآلالف وهك ذا ومن
ثم نقوم بجمع ناتج كل عملية من عمليات الضرب كاآلتي:
18 = 9 ×2
15 = 5 ×3
16 = 4 ×4
15 = 3 ×5
المجموع 64
-تقسيم المجموع الذي تم الحصول عليه في الخطوة السابقة على المعامل (:)11
5,8 =11 ÷ 64
-نطرح المتبقي من عملية القسمة من رقم المعامل للحصول على رقم االختبار:
3 = 8 – 11
-نضيف رقم االختبار إلى نهاية رقم العميل إلى جهة اليمين:
34593
.5اختبار التسلسل والتتابع Sequence testبموجبه يتأك د البرن امج من ص حة تسلس ل البيان ات
التي تدخل إليها ،إذ أن تل ك البيان ات ال تي ت دخل إليه ا تك ون مرقم ة ومتسلس لة ف إذا تم إدخ ال
بيانات معينة بصورة متكررة أو ناقصة فان البرنامج سوف يرفض إدخال تلك البيان ات والمث ال
على تلك البيانات المتسلسلة الشيكات والفواتير واإليصاالت وغيرها من البيانات.
ج .التحقق من األخطاء التي يتم اكتشافها وتحليلها لغرض معرف ة األس باب الكامن ة وراءه ا ومن ثم
تصحيحها وإدخالها مرة أخرى إلى الحاسوب.
Processing Control ثانيا :الرقابة على معالجة البيانات
7
إن الغرض من هذا النوع من الرقابة هو التأكد من ص حة ودق ة عملي ة معالج ة البيان ات بع د أن يتم
إدخال تلك البيانات إلى وحدة المعالجة المركزية في الحاس وب أن األس اليب المس تخدمة في الرقاب ة
على عملية معالجة البيانات تنقسم إلى مجموعتين رئيسيتين وهما:
أ .الرقابة بواسطة جهاز الحاسوب.
ب .الرقابة بواسطة برامج الحاسوب.
أ .الرقابة بواسطة جهاز الحاسوب
هنالك إجراءات رقابية يتم تنفيذها ذاتيا من قبل جهاز الحاسوب ،إذ أن الش ركات المص نعة ألجه زة
الحاسوب بحيث يقوم بتنفيذ إجراءات الرقابة وتشمل الرقابة بواس طة الحاس وب على أس اليب كث يرة
ونذكر بعض األساليب الشائعة وهي:
.1المعالجة المزدوجة للبيانات :في هذه الحال ة تق وم وح دة الحس اب والمنط ق في وح دة المعالج ة
المركزية بمعالجة نفس البيانات مرتين ومن ثم تتم مقارنة النتائج للتأكد من أن النتائج هي نفس ها
لكلتا العمليتين.
.2مراجعة التماثل :تنفذ عملية التماثل باالعتماد على النظام الثنائي للترميز ،إذ أن علمي ة الترم يز
على وسائط خزن البيانات أما أن تكون على أساس األحادي أو على أساس الثنائي وبتعبير آخ ر
أن النقاط المكونة ألي البيانات سواء كانت ترمز إلى ح روف أبجدي ة أو أرق ام أو رم وز معين ة
أما أن تكون فردي ة أو زوجي ة الع دد وفي أثن اء إدخ ال البيان ات إلى وح دة المعالج ة المركزي ة
لغرض معالجتها فان الجه از يق وم ذاتي ا بالتأك د من أن األرق ام الثنائي ة له ذه البيان ات م ا زالت
فردية البيانات إلى وحدة المعالجة المركزية لغرض معالجتها فان الجهاز يق وم ذاتي ا بالتأك د من
أن األرقام الثنائية لهذه البيانات ما زالت فردية المجموع العددي أو زوجية المجموع العددي وتم
ذلك إما بإضافة الرقم (ص فر) أو ال رقم (واح د) وان ه ذا ال رقم الجدي د ال ي ؤثر على المجم وع
العددي.
.3الرقابة على حدود العمل :في بعض أنظمة الحاسوب يتم استخدام وح دة المعالج ة المركزي ة من
قب ل العدي د من األش خاص في آن واح د والمث ال على ذل ك أنظم ة مش اركة ال وقت Time
Sharing Systemوفي هذه الحالة البد من تقسيم وحدة الذاكرة في وحدة المعالجة وفي ه ذه
الحالة البد من تقسيم وحدة ال ذاكرة في وح دة المعالج ة وفي ه ذه الحال ة الب د من تقس يم وح دة
الذاكرة في وحدة المعالجة المركزية إلى أجزاء عديدة وكل جزء من أجزائ ه يخص ص لش خص
معين بحيث ال يمكن ألي شخص آخر استخدام أية بيانات أو ملفات موجودة في ذل ك الج زء من
المعالجة.
.4حماية البيانات وب رامج خاص ة :وفي ه ذه الحال ة يخص ص ج زء من وح دة ال ذاكرة في وح دة
المعالجة المركزية لخزن البرامج التش غيلية الخاص ة بتش غيل ب رامج الحاس وب وأيض ا بيان ات
أخرى مهمة بحيث يكون من الممكن قراءة ذلك الجزء من ال ذاكرة دون إمكاني ة مس ح أو تغي ير
محتوياته ويسمى بالذاكرة القابلة للقراءة فقط.
.5االختبار الذاتي :ويقصد به قيام جهاز الحاسوب بفحص وحدة المعالجة المركزية للتأك د من أنه ا
تعمل بصورة صحيحة وسليمة ويتم ذلك أما بصورة ذاتي ة أو باس تخدام ب رامج خاص ة باختي ار
أجهزة الحاسوب وتنفذ عملية االختبار بصورة دوري ة (م رة في األس بوع في الش هر مثال) وفي
بعض أنواع األجهزة يتم االختبار الذاتي في بداية تشغيل الحاسوب.
ب .الرقابة بواسطة برامج الحاسوب.
كما ذكرنا سابقا في موضوع الرقابة على المدخالت أن هناك إج راءات رقابي ة يتم تنفي ذها بواس طة
برامج الحاسوب أن من اإلجراءات الرقابية المهمة التي تنفذ البرامج هي ما يأتي:
.1الرقابة على عدد العمليات والسجالت :بموجب هذه الطريقة يقوم البرنامج بجمع ع دد الس جالت
والعمليات التي تمت بمعالجتها في مجاميع ومن ثم يقوم بمقارنتها مع مجاميع الس جالت ال تي تم
إعدادها عند استالمها من األقسام األخرى وذلك للتأكد من أن جميع السجالت قد تمت معالجتها.
8
المجاميع الرقابية لحقل القيم :نظرا لكبر حجم العمليات التي تعالج بواسطة جهاز الحاس وب ف ان .2
المستندات تكون معرضة للضياع والتالعب مما يتطلب األمر تقسيم تلك المس تندات والس جالت
إلى مجموع ات ويجب إع داد بطاق ة لك ل مجموع ة بحيث تحت وي على معلوم ات مث ل إع داد
المستندات والتاريخ ومجموع محتويات حقل معين في تلك المس تندات (مث ل مجم وع محتوي ات
حقول المبالغ لمجموعة من الصكوك) ومن ثم يتم إدخال المج اميع الرقابي ة إلى وح دة المعالج ة
المركزية وبعد االنتهاء من معالجة كافة المستندات تتم مقارنة ما تم جمعه في وحدة ال ذاكرة م ع
المجاميع الرقابي ة ال تي أدخلت في البداي ة .وذل ك للتأك د من أن كاف ة المس تندات تمت معالجته ا
وبقيمها الصحيحة وعند حدوث خطأ ما قبل معالجة حقل المبالغ للمستندات بصورة خاطئ ة ف ان
تقسيم المستندات إلى مجموعات يساعد على اكتشاف ذلك الخطأ بس رعة وبس هولة ويعت بر ه ذا
االختبار أكثر دقة وتفصيال من الطريقة السابقة.
المجاميع الرقابية :في هذه الحالة بدال من جمع محتويات حقل القيم لمجموعة من المس تندات يتم .3
جمع أرقام لحقل معين في هذه المستندات مثل رقم المعاملة أو رقم الص نف أو أرق ام الحس ابات
للعمالء ومن ثم تتم عملية االختبار بإتباع نفس الخطوات المتبعة في المجاميع الرقابية التي سبق
ذكره ا وج دير بال ذكر إن المج اميع الرقابي ة في ه ذه الحال ة ال تحم ل أي مع نى غ ير المع نى
الرقابي.
عكس العمليات الحسابية :ويقوم البرنامج حسب هذا األسلوب باستخدام أكثر من طريقة حس ابية .4
للتأكد من صحة نتائج عمليات حسابية معين ة والمث ال على ه ذا الن وع من االختب ار نف رض أن
العملية الحسابية هي كاآلتي:
أ×ب=ج×د
يقوم البرنامج بتحوير تلك المعادلة إلى شكل آخر فتصبح العملية الحسابية كما يلي:
أ × ب÷ج = د
فإذا كانت النتيجة هي (د) فان هذا يعتبر دليال على صحة العملية الحسابية األصلية.
ثالثا :الرقابة على المخرجات
إن الغ رض من إج راءات الرقاب ة على مخرج ات نظ ام الحاس وب ه و ض مان ص حة وكم ال دق ة
المعلومات وأيضا لضمان وصول تلك المخرجات إلى الجهات المستفيدة أو المخولة فقط وفي الوقت
المناسب أن الرقابة على المخرجات لها أهمية كبيرة حيث أنها تمثل المرحلة األخيرة التي تنف ذ فيه ا
إجراءات الرقابة على البيانات وذلك فهي تمثل الفرصة األخيرة لكشف أي أخطاء تسربت من خالل
إجراءات الرقابة المفروضة على مرحلتي اإلدخال ومعالج ة البيان ات ومن أس اليب الرقاب ة المتبع ة
على المخرجات ما يأتي:
أ .مقارنة المجاميع الرقابي ة للمخرج ات بالمج اميع الرقابي ة للم دخالت للتأك د من ع دم ض ياع أو
إضافة أية بيانات في أثناء عملية معالجة البيانات والب د أن تتم عملي ة المقارن ة من قب ل األف راد
المسؤولين عن مراقبة مدخالت ومخرجات النظام وليس من قبل مشغلي الحاسوب.
ب .البد من قي ام المراق بين بت دقيق عين ات من المخرج ات بعم ق وذل ك بفحص البيان ات من بداي ة
نشوئها من مصادرها األصلية من األقسام المنتجة لتل ك البيان ات وخالل إدخاله ا إلى الحاس وب
ومعالجتها واستخراج النتائج.
ج .ض مان توزي ع وإيص ال مخرج ات النظ ام إلى الجه ات المس تفيدة والمخول ة ب ذلك وفي ال وقت
المناسب.
د .التحقق من األخطاء ال تي تظه ر في كش ف األخط اء Enorliseومعرف ة أس باب تل ك األخط اء
ومعالجتها.
دور اطار COBITفي تعزيز حوكمة تقنية المعلومات:
تم إصدار هذا اإلطار من قب ل مؤسس ة ت دقيق ورقاب ة نظم المعلوم ات ( )ISACFفي ع ام
، 1996ثم قامت بتأسيس معهد حوكمة تقنية المعلومات في عام ، 1998الذي اصدر النسخة الثانية
9
منه في العام نفسه ،ومن ثم النسخة الثالثة في عام ، 2000والتي تعد نسخة متكاملة وش املة ،ثم تم
إصدار نسخة رابعة في ع ام ، 2005وأخ يرا تم إص دار النس خة الخامس ة في ع ام . 2011يمتل ك
إطار COBITأربع ة وثالثين ه دفًا رقابي ا ،ينبث ق منه ا ( )210أه داف فرعي ة تتض من ض وابط
وممارسات تطبيقية مثلى ،وتمثل هذه األه داف مجموع ة من الض وابط المهم ة لتحقي ق الحوكم ة .
جُـمِـعَـ ت ه ذه المعالج ات ض من أرب ع مج االت هي التخطي ط والتنظيم ،واالس تحواذ والتنفي ذ ،
والتوص يل وال دعم ،والمتابع ة ،ويق دم اإلط ار مؤش رات أداء ومنهجي ة للتق ييم والمراجع ة ،كم ا
تتكامل األهداف مع احتياجات المنظمة وأعمالها ،والشكل اآلتي يوضح هذا اإلطار
شكل ()10
أطار COBIT
أهداف المنظمة
أهداف الحوكمة
COBIT
تحديد الخطة اإلستراتيجية لتقنية المعلومات. .1
تحديد الهيكل األساسي للمعلومات. .2
تحديد التوجهات التقنية. .3
تحديد وتنظيم عمليات تقنية المعلومات وعالقاتها. .4 متابعة وتقييم أداء تقنية المعلومات. .1
إدارة االستثمار في تقنية المعلومات. .5 متابعة وتقييم الرقابة الداخلية. .2
توصيل أهداف وتوجهات اإلدارة. .6 تأكيد االلتزام بالمتطلبات الخارجية. .3
إدارة الموارد البشرية لتقنية المعلومات. .7 توفير حوكمة تقنية المعلومات. .4
إدارة الجودة. .8
تقدير وإدارة مخاطر تقنية المعلومات. .9
إدارة المشروعات .10
معايير المعلومات
الفاعلية
الكفاءة
السرية
األمانة
التوافر
التوافق
االعتمادية
التخطيط والتنظيم المراقبة (المتابعة)
التطبيقات
المعلومات
البنية التحتية
األفراد (األشخاص)
الدعم والتوصيل
11
تقدير وإدارة مخاطر تقنية المعلومات. .9
إدارة المشروعات .10
ثانيا :االستحواذ والتنفيذ:
لغرض تكوين رؤية إستراتيجية عن تقنية المعلومات ،فإن األمر يتطلب معرفة الحلول التي تق دمها
تقنية المعلومات ،وامتالكها وتطويرها ،وبما يجعل تنفي ذها يتكام ل ض من عملي ات المعالج ة ألنش طة
األعمال .فضال عن شمول تغييرات وإدامة النظم الحالية به ذه الرؤي ة للتأك د من إس تمراريتها في تلبي ة
الحلول الموضوعة ألهداف أنشطة األعمال ،ويشمل ه ذا المج ال تحقي ق الحوكم ة في مش اريع توري د
وتطبيق الحلول التقنية وضبط العالقات مع المق اولين ،وتط وير واس تبدال وص يانة النظم القائم ة بنظم
حديث ة كم ا يش مل تكام ل النظم م ع إج راءات األعم ال ،وإدارة التغي ير المطل وب لتط بيق النظم على
مستوى إدارات األعمال والعمليات الخاصة بالتقنية ،ويتضمن هذا المجال األهداف اآلتية :
.1تحديد الحلول المؤتمتة.
.2االقتناء والمحافظة على البرامج التطبيقية.
.3االقتناء والمحافظة على البنية التحتية.
.4تمكين عمليات التشغيل واالستعمال.
.5الحصول على موارد تقنية المعلومات.
.6إدارة التغيير.
.7وضع الحلول والتغييرات واعتمادها.
ثالثا :التوصيل والدعم :
يُـعنى هذا المجال بالتزويد الفعلي للخدمات المطلوبة ،والتي تتضمن خدمة التوصيل ،وإدارة أمن
الخدمة واستمرارية توفيرها للمستخدمين ،وإدارة البيان ات والمنش آت التش غيلية ،ويش مل ه ذا المج ال
تحقيق الحوكمة في أثناء تقديم الخدمات المعلوماتية ،سواء أكانت الخدمات ذات الصفة الفنية البحتة ،أم
اللوجس تية والمس اندة للمس تخدمين .ويش مل إدارة اتفاقي ات الخ دمات والمق اولين والعملي ات الخاص ة
باس تمرارية الخ دمات المعلوماتي ة ،وإدارة اإلع دادات (الترتيب ات) Configurationالمتعلق ة
بالمتغيرات الخاصة بالنظم واألجهزة لضبطها كي تعمل بالتناسق م ع بعض ها البعض ،ويش مل ت دريب
العاملين وتطوير مه اراتهم ،وإدارة المخ اطر واألح داث الطارئ ة ،وإدارة الج ودة ،وتحس ين األداء ،
ويشمل هذا المجال ( )13هدف وهي ،على النحو اآلتي :
.1تحديد وإدارة مستويات الخدمة.
.2إدارة خدمات الطرف الثالث (المقاولين ومقدمي الخدمات).
.3إدارة األداء والطاقة االستيعابية.
.4تأكيد استمرار الخدمات.
.5تأكيد امن النظم.
.6تحديد التكاليف وتخصيصها.
.7تأهيل وتدريب المستخدمين.
.8إدارة الخدمات المكتب واألحداث المتعلقة بها.
.9إدارة التهيئة (التنسيق).
.10إدارة المشكالت (المخاطر واألحداث الطارئة).
.11إدارة البيانات.
.12إدارة بيئة التجهيزات الفنية (المادية).
.13إدارة العمليات التشغيلية.
رابعا :المتابعة والتقويم :
تتطلب جميع عمليات المعالجة بموجب تقنية المعلومات ،أن يتم الوصول له ذه التقني ات على وف ق
س ياقات منتظم ة فيم ا يتعل ق بجودته ا وإمتثاله ا لمتطلب ات الرقاب ة .ويتص دى مج ال المتابع ة والتق ويم
للجوانب المتعلقة بإدارة األداء ،ومتابعة الرقابة الداخلي ة ،واإلمتث ال للتش ريعات ،وتوف ير الحوكم ة ،
12
ولكي تتمكن المنظمة من االستمرار بتحسين وتطوير مستوى الحوكمة ،تم تقديم مجموعة من األهداف
لبناء مؤشرات أداء تقيس مستوى تطبيق الحوكم ة اس تنادا إلى مفه وم بطاق ة األداء المت وازن وتتض من
هذه األهداف تقييم مستوى اإلجراءات التقني ة وتحس ينها ،وتنفي ذ عملي ات الت دقيق ال داخلي والخ ارجي
دوريا لتأكيد التوافق مع المتطلبات والسياسات المختارة للتطبيق وتتضمن األهداف اآلتية:
.1متابعة وتقييم أداء تقنية المعلومات.
.2متابعة وتقييم الرقابة الداخلية.
.3تأكيد االلتزام بالمتطلبات الخارجية.
.4توفير حوكمة تقنية المعلومات.
معايير جودة تقنية المعلومات:
أشار إطار COBITإلى أن تحقيق أعمال المنظمة وحوكمة األه داف يتطلب ض وابط كافي ة
على موارد تقنية المعلومات لضمان تقديم معلومات للإدارة تلبي سبعة معايير رئيسة وهي :
.1الفاعلي ة ( : )Effectivenessوهي الق درة على اإلتي ان بالفع ل إلنت اج منتج ملم وس أو غ ير
ملموس ،أما صفات المنظومة المعلوماتية ذات الفاعلية فتتلخص بقدرة المنظوم ة على توف ير
المعلومات التي تحتاجه ا المنظم ة لتحقي ق أه دافها اإلس تراتيجية والتش غيلية ،وان المعلوم ات
يجب أن تكون مالئمة وان تقدم في الوقت المناسب.
.2الكفاءة ( :)Efficiencyيتخذ هذا المفهوم بعدا اقتص اديا ,إذ ينبغي أن تحق ق تقني ة المعلوم ات
الفاعلة جدوى اقتصادية للمنظم ة ،من خالل تحقي ق أعلى عائ د على االس تثمار فيه ا ،وتق ديم
الخدمة ضمن مصاريف تشغيلية مقبولة تتناسب مع قدرة المنظمة واحتياجاتها ،وكذلك تتضمن
حسن استغالل وتوظيف المصادر المادية والبشرية .
.3السرية ( : )Confidentialityويشمل التدابير الالزمة لمنع األشخاص غير المص رح لهم من
االطالع على المعلوم ات الحساس ة أو الس رية .وعلى المنظم ة إدراك حساس ية المعلوم ات
وض رورة تب ني مب دأ منح الح د األدنى من الص الحيات للمس تخدمين ،وان يك ون الوص ول
للمعلومات مستندا إلى حاجة المستخدم للمعلومات على وفق طبيعة عمل ومقتضياته.
.4النزاه ة (االمان ة) ( : )Integrityويتض من ه ذا المفه وم ج وانب متع ددة منه ا أن المنظوم ة
المعلوماتية تتمتع بمستوى من النزاهة واالستقاللية ،وتحافظ على صحة البيانات ال تي تجمعه ا
وتحتويها ،وأاَّل تسمح بأي تعديل أو اختراق سواء أكان على مس توى النظم أم البني ة التحتي ة ،
وان يتمتع الفريق الفني بالنزاهة واالستقاللية ،وان يتم حفظ واسترجاع وتعديل وإلغاء البيانات
من خالل األطراف ذات الصالحية من دون التجاوز على ذلك .كما يتضمن هذا المفهوم اكتمال
المنظومة المعلوماتية وتماسكها ووحدتها ،وتقديم المعلوم ة الدقيق ة في أي وقت ومن خالل أي
قناة من قنوات الوصول للبيانات مما يمنحها موثوقية ل دى األط راف المس تفيدة من المعلوم ات
ويمنح المنظمة واألفراد الع املين فيه ا المص داقية فيم ا يقدمون ه من معلوم ات ،وبخالف ذل ك
تكون المنظومة المعلوماتية ضعيفة وال يمكن االعتماد عليها من دون التحقق من المعلوم ة .أن
تحقق هذا المعيار يحتاج إلى تخطيط سليم وتنسيق تام من قبل القياديين والتنفيذيين والفنيين.
.5الجاهزية (التوافر) ( : )Availabilityويتضمن هذا المفهوم قدرة المنظوم ة المعلوماتي ة على
توفير المعلومات لمن يحتاجها في األوقات واألماكن المطلوب ة على وف ق مص لحة العم ل ،أي
توفير المعلومات خالل ساعات العمل الرسمي أو على مدار الساعة وبأقل قدر من االنقطاع في
الخدمات ،فضال عن قدرة الفرق التقنية على استعادة الجاهزية بعد ح دوث األعط ال المفاجئ ة
والناتجة عن أسباب متعددة منها األعطال التقنية أو سوء التش غيل أو إهم ال الف رق التقني ة ،أو
الناتج ة عن اس تنزاف الم وارد التقني ة وتحميله ا ب أكثر من طاقته ا ،كم ا يمكن أن تنتج عن
الحوادث األمنية واالختراق ات ...الخ ،وعلى اإلدارة حص ر ومجابه ة ه ذه األخط ار ب الحلول
الرادعة والتخطيط السليم الستمرارية األعمال في المنظمة ،وتدريب العاملين على التعامل مع
المواقف المختلفة والمتوقع حدوثها.
.6االمتثال (التوافق) ( :)Complianceي أتي ه ذا المفه وم الس تكمال مع ايير ج ودة المعلوم ات
وينبغي أن تتوافق هذه المعايير مع مجموعة من المعايير المؤسسية والنموذجية والتشريعية ،إذ
13
ينبغي أن تتوافق المنظومة المعلوماتية أوال مع سياسات واستراتيجيات المنظمة ،مثل سياس ات
المش تريات والتوظي ف ،والتوجه ات اإلس تراتيجية التقني ة ،فض ال عن التواف ق م ع النظم
والتشريعات المقررة من الجهات الرسمية تجنبا ألي ة مس اءالت أو مخالف ات ق د ت ؤثر س لبا في
المنظمة.
الموثوقي ة (االعتمادي ة) ( : )Reliabilityويش مل ه ذا المفه وم تكام ل أج زاء المنظوم ة .7
المعلوماتية وتماسكها لتشكل قاع دة األعم ال في المنظم ة بحيث يمكن االعتم اد عليه ا في أداء
األعمال اليومية واالعتم اد على مخرجاته ا من بيان ات وإحص ائيات وتق ارير لخدم ة أعماله ا
التشغيلية واإلستراتيجية ،ودعم اتخاذ الق رارات باالعتم اد على البيان ات الكمي ة ال تي توفره ا
المنظومة المعلوماتي ة بع د إدخاله ا ومعالجته ا وتق ديمها في أش كال ،تخ دم عملي ات التخطي ط
االستراتيجي ألعمال المنظمة ،ومن ثم تصبح التقنية أداة فاعلة لدى المنظم ة تس هم في تحقي ق
الميزة التنافسية المستمرة ،ومع تزايد االعتماد على التقنية فان مفه وم االعتمادي ة يمت د ليش مل
ق درة المنظوم ة على التوس ع والش مول لالحتياج ات المتج ددة إلدارات األعم ال ،واالمت داد
المتوازن أفقي ا وعمودي ا في البيان ات والتطبيق ات والتجه يزات والك وادر البش رية نتيج ة له ذا
التوسع الحتمي في نشاط المنظمة وبخالف ذلك تصبح المنظومة المعلوماتية عائقا أمام التوس ع
في أعمال المنظمة ونشاطاتها .والشكل اآلتي يوضح هذه المعايير.
شكل ()11
معايير جودة المعلومات
الفاعلية
الموثوقية
الكفاءة
(االعتمادية)
المنظومة المعلوماتية
االمتثال
السرية
(التوافق)
التكامل
االتاحة
(السالمة)
14
يقصد بالمعلومات مجموعة من البيان ات المنظم ة والمنس قة ،أو هي بيان ات تمت معالجته ا ثم
تطبيقها وتحليله ا وتنظيمه ا وتلخيص ها بش كل يس مح باس تعمالها واإلف ادة منه ا إذ أص بحت ذات مع نى
لمستخدميها ،وينبغي التفرقة بين المعلومات والبيانات من جه ة والمعرف ة من جه ة أخ رى ،فالبيان ات
هي مواد وحقائق أولية خام ليست ذات قيمة بشكلها األولي ما لم تتحول إلى معلومة مفهومة ومفي دة ،أو
هي مجموعة من الحقائق والمشاهدات قد تكون أرقامًا أو كلمات أو رموز أو ح روف .ويمكن أن تجم ع
البيانات عن طريق المالحظة أو المشاهدة وتخ زن بأس لوب معين ويمكن أن تع بر عن حق ائق حالي ة أو
تاريخية أو مستقبلية .أما المعرفة فهي عبارة عن معلومات تم تنظيمها ومعالجتها لتحويلها إلى خ برة أو
معرفة مبتكرة ال تعرف عنها شئ من قبل ،أو تصف ش يئا يوس ع من معارفن ا الس ابقة أو يع دل منه ا .
ونرى وجود عالقة بين المفاهيم الثالثة إذ يتم تحويل البيانات بعد معالجتها إلى معلومات ومن ثم تحوي ل
المعلومات بعد تنظيمها ومعالجتها إلى معرفة ،أي أن البيانات ُتَّعد مادة خام للمعلومات والمعلومات ُتَّعد
مادة خام للمعرفة ،وتجدر اإلشارة إلى أن ما يعد معلومات لشخص ما ق د يّع ده شخص ا آخ ر بيان ات ال
يمكن اإلفادة منها ،وفي هذا الصدد يرى الحسبان اس تعمال معي ارين للتمي يز بين البيان ات والمعلوم ات
أولهما درجة اإلفادة والثاني إجراء المعالجة.
وفي عصر المعلومات أصبح لزاما على المنظمات توثيق ما لديها من معلوم ات ض من قواع د
بيانات منظمة وتحويل هذه المعلوم ات إلى مع ارف ،وتس هيل الوص ول إليه ا كي يتم االس تفادة منه ا ،
وعلى اإلدارة تعزيز مفهوم ملكية البيانات ل دى اإلدارات والع املين في المنظم ة لفهم مس ؤولياتهم تج اه
البيان ات والمعلوم ات ال تي يملكونه ا أو ال تي تق ع تحت إدارتهم وعليهم حص رها وتص نيفها للتمكن من
حمايتها بمساعدة فرق تقنية المعلومات .
ثانيا :التطبيقات :
التطبيقات هي مجموعة من النظم الممكنة إلجراءات األعمال وما يساندها من إج راءات يدوي ة
شاملة وسياسات االستعمال والتعليمات وإجراءات التشغيل ،وتتكون التطبيق ات من ح زم ال برامج ال تي
تتعامل مع قواعد البيانات حفظا واسترجاعا ،وقد يتم بناء هذه البرامج والنظم داخل المنظم ة ض من م ا
يعرف بالتطوير الداخلي ،أو يتم توفيرها من خالل تركيب حزم البرامج الجاهزة وتوليفها لتتناس ب م ع
احتياجات المنظمة ،أو ق د تك ون ال برامج مزيج ا من الن وعين لتأس يس منظوم ة من التطبيق ات إلدارة
أعمال المنظمة بصورة آلية.
وبقدر تعلق األمر بحوكمة تقنية المعلومات فان التطبيق ات تك اد تك ون أس اس أعم ال المنظم ة
المحوسبة وعلى القياديين االهتمام بتوفير حزم البرامجيات المناسبة ،ودعم تطبيقه ا ،وتفعي ل م ا أمكن
من عملي ات محوس بة وإج راءات آلي ة توفره ا ه ذه التطبيق ات ،الن تك اليف توف ير ه ذه التطبيق ات
لالستعمال تعد استثمارا من قبل المنظمة ،وإذا لم يتم استثمارها س تتحول ه ذه االس تثمارات إلى نفق ات
غير ذات جدوى.
ثالثا :البنية التحتية :
تش كل البني ة التحتي ة القاع دة األس اس ال تي تس هم في تق ديم جمي ع خ دمات المعلوم ات
واالتصاالت ،إذ تشمل الخ وادم ( )Serversوالمحط ات الطرفي ة ( ، )Terminalsوأجه زة الحاس ب
الشخصية ،ووسائط حفظ البيانات ،كما تشمل البني ة التحتي ة الش بكية إح دى المكون ات الرئيس ة وال تي
تشمل مقسمات التب ادل ال رقمي ،وأجه زة اإلرس ال والتوزي ع الش بكي ،وم ا يرافقه ا من نظم لمراقب ة
وصيانة حركة المعلومات في الشبكة ،كما تشمل البنية التحتي ة أجه زة التزوي د بالطاق ة وأجه زة األمن
والسالمة والحماية للمرافق المعلوماتية التي تحتوي مكونات البنية التحتية والعاملين على تشغيلها .
وتتطلب حوكمة تقنية المعلومات ضرورة سعي القياديين في المنظمة إلى توف ير البني ة التحتي ة
وبالقدرات واإلمكانيات التي تحتاجها أعمال المنظمة وضرورة توف ير متطلباته ا التش غيلية من عناص ر
بشرية وتراخيص استعمال ،وذلك من اجل تأسيس بنية تحتية معلوماتية تخدم أعم ال المنظم ة وتحقي ق
إستراتيجيتها.
رابعا :األفراد (البشر) :
15
يعد العنصر البش ري مح ور العناص ر المعلوماتي ة إذ أن التقني ة وج دت لخدمت ه ويمكن تقس يم
العنصر البشري حسب صلته بتقنية المعلومات إلى ثالث فئات وهي :
.1مالكو البيانات (.)Data Owners
.2خادمو البيانات (.)Data Custodians
.3مستخدمو البيانات (.)Data Users
يمارس في بعض األحيان الشخص نفس ه أك ثر من دور واح د ،وق د ينتمي لبعض الفئ ات عناص ر
بش رية من خ ارج المنظم ة ،ويس اعد ه ذا التقس يم على بن اء هيكلي ة للمس ؤولية المؤسس ية عن حماي ة
البيانات ،واألدوار القياسية التي ينبغي أن تناط بكل فئة من اجل تحقيق أمن المعلوم ات للمنظم ة ،وان
المتلقي األس اس للخ دمات المعلوماتي ة هم أص حاب المص لحة بكاف ة فئ اتهم وفي ال وقت نفس ه يش كلون
مصدرا مهما للمخاطر األمنية التي تهدد المنظومة المعلوماتية للمنظمة.
وفيما يخص حوكمة تقنية المعلومات ينبغي على المنظمة العناية بهذا الموضوع من خالل مجموعة
من األم ور على رأس ها التع رف على البيان ات الموج ودة ل ديها وتص نيفها ومن ثم ة تحدي د مس تويات
السرية واإلطالع المسموح به وغير المسموح ،وظروف وسياس ات االحتف اظ بالبيان ات ،إذ إن حماي ة
البيانات تفرض على المنظمة تكاليف مختلفة ،كما ينبغي عدم اإلفراط في حماية البيانات غير المهم ة ،
كما ينبغي التوقف عن حماية البيانات بعد تقادم الزمن أو إتالفها أذا تطلب األمر ذلك.
وعلى المنظمة التأكد نسبيا من نزاهة العاملين في خدم ة البيان ات من فن يين وف رق تش غيل ،س واء
أكانوا موظفين لديها أم عاملين في مكاتب المقاولين الذين تم التعاقد معهم لتقديم الخدمات الفنية والتقنية ،
وعلى المنظمة تبني سياس ات وإج راءات للتوظي ف والتعاق د م ع الع املين والمق اولين ت راعي المس ائل
األمنية م ع ض رورة تثقي ف الع املين وت أهيلهم للتعام ل م ع مس ائل امن المعلوم ات على وف ق األدوار
المناطة بهم ،وتوضيح مهام فرق تقنية المعلومات ومهام اإلدارات ومالكي البيانات والمستفيدين منه ا ،
ومراقبة ص الحيات ال دخول للنظم دوري ا وتخص يص آلي ات لمنح وحجب الص الحيات بص ورة فاعل ة
وآمنة .وعلى المنظمة عدم إهمال التعامل مع حوادث امن المعلومات ،واتخاذ اإلجراءات الرادعة بح ق
مرتكبيها ،وتطوير قدراتها القانونية والحقوقية في هذا المجال.
16
الجرد الفعلي لموجودات المنشاة ومقارنتها مع األرصدة الظاهرة في مخرجات الحاس وب ،ويالح ظ
أن إجراءات التدقيق المتبعة في هذه الطريقة شبيهة إلى حد كبير بإجراءات تدقيق األنظمة المحاسبية
اليدوية.
تتص ف ه ذه الطريق ة بس هولة تطبيقه ا وأنه ا ال تتطلب معرف ة لتكنولوجي ا الحاس وب وأنه ا أك ثر
اقتصادية من الطرق األخرى ،وبالرغم من ذلك فان لهذه الطريقة عدة مساوئ أهمها أن عدم تع رف
المدقق على طبيعة وحجم إجراءات الرقابة الموجودة في أجهزة وب رامج الحاس وب ي ؤدي إلى ع دم
تعرف ه على م واطن الض عف الموج ودة في النظ ام وع دم تحدي د مخ اطر الرقاب ة بص ورة دقيق ة
وصحيحة وبالتالي يؤدي إلى عدم تكامل عملية التدقيق ،وكذلك عند إتباع ه ذه الطريق ة ف ان الم دقق
لن يس تفيد من اإلمكاني ات الهائل ة ال تي يوفره ا الحاس وب في إتم ام ع دد كب ير من االختب ارات
وإجراءات التدقيق في وقت قصير فضال عن ذلك إذا كان لدى المنشاة تحت المراجعة نظام محاسبي
الكتروني معقد مثل نظام التشغيل الفوري للبيانات فانه لن يكون بإمكان المدقق تنفي ذ عملي ة الت دقيق
باالعتماد على هذه الطريقة.
.2التدقيق من خالل الحاسوب :ويتم تنفيذها بعدة أساليب منها:
أ .البيانات االختبارية.
وتسمى أحيانا بأقراص االختب ار وتعت بر ه ذه الطريق ة من أك ثر الط رق ش يوعا في عملي ة اختب ار
االل تزام من خالل الحاس وب .إن الخط وة األولى لتنفي ذ ه ذه الطريق ة هي الحص ول على ال برامج
التطبيقية التي تستخدمها المنش أة تحت الت دقيق وال تي تك ون مخزون ة ع ادة في أش رطة أو أق راص
مغناطيسية ،وفي الخطوة الثانية يقوم المدقق بإعداد بيان ات وعملي ات حس ابية وهمي ة وال تي س وف
تس تخدم في عملي ة االختب ار يجب أن يأخ ذ الم دقق في الحس بان ع دة أم ور عن د إع داد البيان ات
االختبارية أهمها:
-احت واء البيان ات االختباري ة على عملي ات محاس بية ص حيحة ال تحت وي على أي ة أخط اء وال
تتع ارض م ع نق اط االختب ار والرقاب ة الموج ودة في ال برامج ،وك ذلك إع داد عملي ات دراس ية
تتضمن أخطاء ومعلومات غير معقول ة ،ويجب على الم دقق أن يح اول ق در اإلمك ان أن تك ون
البيانات ال تي يق وم بإع دادها متض منة لكاف ة األخط اء المحتم ل ح دوثها فعال في النظ ام بحيث
يتمكن المدقق بواسطتها اختبار كافة إجراءات الرقابة الموجودة في برامج وأجهزة الحاسوب.
-الب د للم دقق أن يك ون على معرف ة تام ة بطبيع ة العملي ات المحاس بية ال تي تع الج في النظ ام
المحاسبي االلكتروني لضمان إعداد عمليات محاسبية وهمية تكون مشابه بدرجة كبيرة للعمليات
المحاسبية الحقيقية.
-على المدقق استخدام ملفات رئيسية اختباريه أو نسخة من الملفات الرئيسية للمنشاة في المراجعة
وذلك لتالفي إدخال بيانات وهمية إلى الملفات الرئيسية الحقيقية للعميل.
وبعد إدخال البيانات االختبارية إلى الحاس وب ومعالجته ا بواس طة ال برامج التطبيقي ة للمنش أة يق وم
المدقق بمقارنة النتائج ال تي توص ل إليه ا م ع النت ائج ال تي ك ان الم دقق يتوق ع الحص ول عليه ا من
معالجة البيانات االختبارية فإذا تطابقت النتائج الفعلية والمتوقعة لعملية االختبار فان ذلك يعتبر دليال
على أن برامج الحاسوب للعميل تعم ل بص ورة ص حيحة وان إج راءات الرقاب ة الموج ودة في تل ك
البرامج تعم ل فعال وبش كل كف وء .أم ا في حال ة ظه ور اختالف ات بينه ا فيجب على الم دقق عندئ ذ
التحقق من األسباب الحقيقية الكامنة وراء تلك االختالفات ،وقد يعود السبب لوجود عط ل في جه از
الحاسوب أو إن استخدام برامج وأجهزة الحاسوب تم بطريقة خاطئ ة ،أي ان ه ليس في ك ل األح وال
يكون سبب االختالفات هو ضعف في إجراءات الرقابة في برامج الحاسوب.
إن لهذه الطريقة مزايا منها يحصل المدقق على أدلة موض وعية عن م دى فعالي ة وكف اءة إج راءات
الرقاب ة الموج ودة في ب رامج الحاس وب ،فض ال عن ان ه ذه الطريق ة تتطلب خ برة قليل ة في مج ال
استخدام الحاسوب مقارنة مع الطرق األخرى أم ا عيوبه ا أن ال برامج التطبيقي ة ال تي يتم الحص ول
عليها من العميل قد ال تكون هي نفس البرامج التطبيقية المس تخدمة فعال ل دى العمي ل .ل ذا ف ان على
المدقق اختبار البرامج بشكل مفاجئ ،كذلك تتطلب هذه الطريقة الكثير من التكاليف والوقت ،كم ا إن
17
إعداد البيانات االختبارية تحتاج إلى جهد كب ير ،ويص عب اس تخدام ه ذه الطريق ة إذا ك انت المنش أة
تحت التدقيق تستخدم نظام التشغيل الفوري للبيانات.
كذلك ال يمكن للمدقق التأكد من أن إجراءات الرقابة ال تي ق ام باختباره ا موج ودة في بقي ة األوق ات
خالل الفترة تحت التنفيذ إال إذا قام باختبار العمليات بصورة متكررة ومفاجئة وفي أوقات مختلفة.
ب .طريقة المحاكاة المتوازية
بإتباع هذه الطريقة يقوم المدقق بإعادة معالجة البيانات المحاسبية الحقيقية للعميل التي تمت معالجتها
فعال بواسطة برامج الحاسوب التي تخص العميل ،وتتم إعادة تلك البيانات بواسطة البرامج الخاص ة
بالمدقق (مثل برامج التدقيق العامة) وبعد االنتهاء من عملية إع ادة معالج ة ،البيان ات الحقيقي ة يق وم
المدقق بمقارنة النتائج التي تم التوصل إليها مسبقا من قبل العمي ل م ع نت ائج عملي ة إع ادة المعالج ة
ومن ايجابيات هذه الطريقة هو انه يتم تدقيق عملي ات حقيقي ة وذل ك للتأك د من أنه ا ع ولجت بش كل
صحيح وان المستندات األصلية لتلك العمليات ال تحتوي على أية أخطاء ،ومن عيوب هذه الطريق ة
أنها مكلفة للغاية ،إذ أن عملية اإلع داد والحص ول على ال برامج ال تي تس تخدم في عملي ة االختب ار
تتطلب أمواال كثيرة فضال عن أنها تحتاج إلى الكثير من الوقت والجهد.
ج .طريقة االختبارات المتكاملة
وتعتبر هذه الطريقة صورة سريعة لطريقة البيانات االختبارية ،وبم وجب ه ذه الطريق ة يتم إدخ ال
عمليات وهمية مع عمليات حقيقية على النظام المحاسبي االلكتروني للعمي ل والب د من فتح س جالت
وهمية ووضعها في ملفات النظام مع الس جالت الرئيس ية الحقيقي ة فض ال عن إعط اء رم وز معين ة
للعمليات الوهمية وذلك لتالفي إدخالها إلى الملف ات الرئيس ية الحقيقي ة للعمي ل ،وعن د المعالج ة ف ان
العمليات الوهمية تتم معالجتها بواسطة البرامج المستخدمة في النظام وتمر بنفس المراحل التي تم ر
بها البيانات الحقيقية .وبعد انتهاء عملية المعالجة وحصول المدقق على النت ائج النهائي ة يب دأ الم دقق
بمقارنة تلك النتائج مع النتائج المحددة مسبقا ،وعندئذ يتحقق الم دقق من أن عملي ة معالج ة البيان ات
تتم بصورة صحيحة وأنها تتحقق من قدرة النظام على اكتشاف األخطاء ومعالجتها .إن الغ رض من
هذه الطريقة هو اختبار النظام المحاسبي االلك تروني بكامل ه في أثن اء التش غيل الفعلي للنظ ام ،ومن
أهم مزايا هذه الطريقة أنها تتيح للمدقق فرصة اختبار النظام المحاس بي االلك تروني بكامل ه .وك ذلك
تتالءم هذه الطريقة مع طريقة التدقيق المستمر إذ تتم معالجة البيانات الوهمية بصورة مستمرة خالل
فترة التدقيق وخالل ظروف عمل عادية وواقعية ،ومن عيوب هذه الطريق ة ه و أن االحتم ال كب ير
إلدخال العملي ات الوهمي ة إلى الملف ات الرئيس ية الحقيقي ة للعمي ل وك ذلك تتطلب الكث ير من ال وقت
والجهد.
.3التدقيق بواسطة الحاسوب
يلجأ المدقق طبقا لهذه الطريق ة إلى اس تخدام الحاس وب للحص ول على األدل ة وال براهين ال تي تؤي د
صحة وشرعية أرصدة وعناصر القوائم المالية .ويتم ذلك بعد أن ينتهي من إجراء اختبارات االلتزام
بإجراءات الرقابة وباستخدام الحاسوب أيضا.
وفي ظل ه ذه الطريق ة يتعام ل الم دقق م ع أجه زة وب رامج الحاس وب كوس ائل فعال ة بحيث يمكن ه
االستفادة مما تمتلكه تلك البرامج واألجهزة من قدرات هائلة على معالجة كميات كب يرة من البيان ات
وفي اقصر وقت وبدقة متناهية وذلك بدال من اعتبارها عقبة في طريق تنفيذ إج راءات الت دقيق عن د
إتباع هذه الطريقة يتم االعتماد على الحاس وب في انج از العدي د من إج راءات الت دقيق مثال اختب ار
العينة إعادة االحتساب الختبار وفحص الس جالت المحاس بية ،إج راء المقارن ات ،احتس اب النس ب
المالي ة ،اس تخدام ب رامج خاص ة في إع داد أوراق العم ل ،إع داد وطب ع التأيي دات ،تحلي ل أعم ار
حسابات المدنيين ،استخدام الرسوم البيانية عند عرض النتائج في التقارير ...الخ.
وقد تم استحداث برامج التدقيق العامة التي تس تخدمها مك اتب المحاس بة القانوني ة الكب يرة في ت دقيق
حسابات مختلف المنشآت .ومن برامج التدقيق العام ة الش ائعة ب رامج AUDEXوب رامج IDEA
ولقد تم إعداد برامج AUDEXفي عام 1969من قبل شركة آرثر أندرسون وهي ش ركة أمريكي ة
للمحاس بة والت دقيق وتم تط وير مجموع ة ب رامج AUDEXع ام 1975ونتج عنه ا م ا يس مى بـ
18
، AUDEX 100أم ا ب رامج IDEAفق د أع دت من قب ل مكتب المراج ع الع ام الكن دي في ع ام
.1985
19
مصادقة) ،وهل هذه الش ركة ج ديرة بالثق ة ؟ (مش كلة الس معة) ،إذا تم اس تعمال بطاق ة االئتم ان (
)Credit Cardأو المعلومات المصرفية ،هل هو آمن ؟ (مشكلة ال دفع) ،إذا تم إعط اء معلوم ات
إلى الشركة ،فأين يمكن أن تنتهي هذه المعلومات في نهاية المط اف ؟ (مش كلة الخصوص ية) ،إذا
تم إجراء (عمل) طلبيه ،هل سوف يتم استالمها ؟ وهل سيتم استالم ما وعدنا به ؟ وه ل س وف يتم
حل أي مشكلة بسرعة ؟ ،وهل يوجد ضمان إلعادة المبالغ المدفوعة ؟ ،ومتى يمكن الحصول على
االئتمان للفقرات المع ادة ؟ ،وكي ف س تقوم الش ركة ب أداء الخ دمات الخاص ة ب الفقرات المض مونة
بسرعة ؟ ،هل يمكن للشركة إرسال قطع الغيار الالزمة بسرعة ؟
إن المحاس بين الق انونيين بحكم الخ برة العلمي ة والعملي ة في وض ع مالئم يمكنهم من تق ديم
ضمانات لزبائن المواقع االلكترونية وإجابات على هذه األسئلة ،ومن ثم أزال ة بعض العقب ات ال تي
تحول دون تحقيق زيادة النمو في التجارة عبر االنترنت .
وتشمل معايير الهيئات المانحة لش هادة إض فاء الثق ة على المواق ع االلكتروني ة CA Web
Trustثالثة مبادئ رئيسة وهي :
.1اإلفص اح عن الممارس ات التجاري ة ( : )Business Practices Disclosuresأي أن
تفصح المنظمة عن كيفية التعامل مع عمالء التجارة االلكترونية.
.2نزاه ة (س المة) الص فقات (المع امالت) : Transaction Integrityالمنظم ة (مش غل
الموقع) يحافظ على فعلية الضوابط والممارسات للتأكد من إكمال طلب ات العمالء باس تعمال
التجارة االلكترونية ،ثم إصدار الفواتير حسب االتفاق كل عملية.
.3حماية المعلومات : Information Protectionإن تحافظ المنظمة على فاعلية الض وابط
والممارسات لضمان حماية المعلومات العمالء الخاصة من غ ير المتعلق ة بأعم ال المنظم ة
(غير المشروعة).
وفي شهادة إضفاء الثقة على الموقع االلكتروني Web Trustينبغي على إدارة العميل (الموقع
االلكتروني ) عرض مزاعمها كما في أدناه :
اإلفصاح عن ممارساتها لعملياتها الخاصة بالتجارة االلكترونية ،والعمليات المنفذة وفقا
الممارسات التجارية التي تم اإلفصاح عنها.
الحفاظ على فاعلية الضوابط لتقديم تأكيد معقول بان معامالت العمالء في ظ ل التج ارة
االلكترونية تم االنتهاء منها وأصدرت الفواتير حسب االتفاقات .
الحفاظ على فاعلي ة الض وابط لتوف ير تأكي د معق ول ب ان المعلوم ات الخاص ة ب العمالء
وال تي تم الحص ول عليه ا نتيج ة التج ارة االلكتروني ة تم حمايته ا من االس تعمال غ ير
المتعلقة بأعمال المنظمة (غير المشروعة).
إن شهادة تأكي د إض فاء المص داقية على المواق ع االلكتروني ة Web Trustزادت من ثق ة
المستخدمين في األعمال االلكترونية للعميل ع بر االن ترنت ،وتغطي مع ايير إض فاء الثق ة Web
Trustستة مجاالت تهم المس تخدم وهي األمن ، Securityوالخصوص ية ، Privacyوالمعالج ة
، Processingالنزاه ة (الس المة) ، Integrityالت وافر (اإلتاح ة) ،Availabilityحماي ة
المستهلك .Consumer Protectionوعلى الممارس أداء االختبارات في م زاعم اإلدارة في ه ذه
المناطق تحت المعايير المهنية ( )AICPA or CICAوتق ديم ال رأي المه ني إلض فاء المص داقية
على مزاعم (تأكيدات) اإلدارة.
تقوم المنظمة باإلفصاح عن االحتفاظ باتفاقاتها مع المبدأ
الممارسات األمنية التي تضمن حماية النظام من أي اختراق غير مرخص (فعلي أو منطقي) الحماية
ممارسات التوافر التي تضمن أن النظام متاح للتشغيل واالستخدام وفقا لاللتزام أو االتفاق التوافر
أي التي تضمن أن النظام يعمل بشكل كامل ،ودقيق ،وبشكل زمني مرخص تكامل التشغيل
ممارس ات الخصوص ية على االن ترنت تض من أن المعلوم ات الشخص ية الناتج ة عن التج ارة الخصوصية
االلكترونية قد تم جمعها واستخدامها ،واإلفصاح عنها واالحتفاظ بها كما هو متفق عليه
ممارسات السرية التي تضمن أن المعلومات السرية قد تم حمايتها كما هو متفق عليه تكامل السرية
20
ثانيا :إضفاء الثقة على األنظمة :Sys trust
اشترك كل من المعهد األمريكي للمحاسبين القانونيين AICPAوالمعهد الكندي للمحاس بين
القانونيين CICAبوضع دليل حديث لتأكيدات التجارة االلكترونية ،ويستند Sys Trustعلى ه ذه
المعايير ،إذ حددت معايير مناسبة وواضحة لتقييم موثوقية جميع أنواع األنظمة .والنظام هو عب ارة
عن البنية التحتية من األجهزة والبرامج واألشخاص واإلجراءات والبيان ات ال تي تعم ل جميعه ا من
اجل إنتاج المعلومات ،ومن الممكن أن يكون النظ ام بس يطا مث ل أجه زة الحاس وب الشخص ية ،أو
أنها قد تكون معقدة متعددة التطبيقات مثل النظام المصرفي المتعدد الحواس يب وال تي يتم الموص ول
إليها بش كل فعلي من قب ل ع دد غ ير مح دود من المس تخدمين داخ ل وخ ارج المنظم ة .إن ارتب اط
(عقد) إضفاء الثقة على األنظمة Sys Trustيوفر بشكل أساسي تأكيد أن فاعلية الضوابط التي تلبي
المعايير.
وتعتمد المنظم ات بش كل متزاي د على نظم المعلوم ات وإدارة العملي ات في تق ديم خ دماتهم
للعمالء ،فضال عن اعتمادها على أنظمة شركاء األعمال (شركائها في هذه العملية) ،وينبغي لفرقة
المه ام اختب ار من افع موثوقي ة النظم للجه ات الداخلي ة والخارجي ة في ارتب اط المنظم ة في النش اط
التجاري القائم على المعلومات ،وجاء مع االحتماالت اآلتية :
يمكن لمستخدمي األنظمة الحصول على ضمان (تأكيد) حول موثوقية النظم المستخدمة في
التجارة االلكترونية.
االستعانة بمصادر خارجية تقديم الخدمات إذ إن تكامل (دمج) النظم مع ب ائعي النظ ام يمكن
أن يوفر تأكيد حول موثوقية النظم والخدمات الخاصة بهم.
مصممي النظم واالستشاريين :يمكن استعمال المب ادئ والمع ايير األساس ية كإط ار لتأكي د
(لضمان) تصميم أنظمة موثوق فيها.
اإلدارة ومجالس اإلدارة :يمكن التأكد من فيما إذا األنظمة الداخلية تخضع لضوابط مناسبة
واستعمال هذا التأكيد في السوق.
المدققين الداخليين وأصحاب النظام :يمكن أن يعتمد أيضا على المبادئ والمعايير لمثل ه ذا
التأكيد.
إن النظام الموثوق به هو النظام الذي يمكن تشغيله بدون أخط اء مادي ة ،وتق وم ه ذه النظم على
أربعة مبادئ أساسية وهي :
.1اإلتاحة أو التوافر ( : )Availabilityأي أن النظام متاح للتشغيل ،وإمكاني ة اس تعماله
في األوقات المنصوص عليها في اتفاقيات الخدمة.
.2األمن ( : )Securityأي أن يكون النظام محمي ضد الوصول غير المصرح به المادي
أو المنطقي والذي يعني القدرة على ق راءة أو معالج ة البيان ات من خالل الوص ول عن
ُبعد.
.3النزاهة أو السالمة ( : )Integrityأي وجود نظام كامل ،ودقيق ،وفي الوقت المناسب
،وفقا لمصادقات (موافقات) على عمليات المنظمة وسياسات توزيع المخرجات.
.4القابلي ة للص يانة ( : )Maintainabilityأي يمكن تح ديث النظ ام بطريق ة تق دم ت وفر
اإلتاحة ،واألمن ،والنزاهة بشكل مستمر.
كل مبدأ أو معي ار يمكن المم ارس من تحدي د ،م ا إذا ك ان نظ ام المنظم ة يفي بالمب ادئ والمع ايير
ويمكن تنظيم المعايير على ثالثة فئات وهي كاآلتي :
.1االتص االت ( : )Communicationsتحدي د وإبالغ المنظم ة أه داف األداء والسياس ات
والمعايير لتوافر (إلتاحة) ،وامن ،ونزاهة ،وقابلية النظام للصيانة.
.2اإلج راءات ( : )Proceduresتس تعمل المنظم ة اإلج راءات ،والن اس ،والبرامجي ات ،
والبيانات ،البنية التحتية لتحقيق األهداف (التوافر أو اإلتاحة ،واألمن ،السالمة أو النزاهة
،وقابلية النظام للصيانة) ،وفقا للسياسات والمعايير المحددة (الموضوعة).
21
.3المتابعة أو المراقبة ( : )Monitoringت راقب المنظم ة النظ ام وتتخ ذ اإلج راءات لتحقي ق
االمتثال ألهداف التوافر أو اإلتاحة ،واألمن ،النزاهة أو السالمة ،وقابلية النظام للصيانة ،
السياسات والمعايير .
وينبغي على المم ارس فحص الض وابط المتعلق ة بالمع ايير والحص ول على أدل ة على اس تيفاء
المعايير ،والتأكد بان النظام يلبي جميع المعايير الخاصة بـ . Sys trust
22