‫الفصل السابع‬

‫التدقيق في بيئة المعالجة االلكترونية‬

‫أصبحت السمة الغالبة على الكثير من المنظمات الحديث ة اس تخدامها للتكنولوجي ا في تس يير‬
‫أعمالها ومعالجة بياناتها ‪ ،‬إذ أنها تساعد في بن اء المنظم ات الناجح ة ‪ ،‬وتس اعدها في بن اء عالق ات‬
‫متميزة مع عمالئها ‪ ،‬ومن ثم زيادة حصتها السوقية ‪ ،‬كم ا أنه ا تس اعد في عملي ة اتخ اذ الق رارات‬
‫وتحسين اإلنتاجية ‪ ،‬وتشجيع المنافسة العالمية ‪ ،‬ه ذه التط ورات في دني ا تقني ة المعلوم ات وض عت‬
‫اإلدارة ومهنة التدقيق أمام تحدي كبير ‪ ،‬فاإلدارة ينبغي عليها وض ع إج راءات رقابي ة تتناس ب م ع‬
‫تطور تقنية المعلومات ‪ ،‬ومهنة التدقيق من خالل تطوير أدواتها وأساليبها لتستمر في تق ديم خ دماتها‬
‫بجودة عالية ومن ثم التغلب على بعض القصور البش ري في حال ة ممارس ة الحكم المه ني المالئم ‪،‬‬
‫والبد من األخذ في الحسبان إن أهداف األنظم ة وأه داف الت دقيق ال تت أثر بطريق ة تش غيل البيان ات‬
‫س واء أك انت يدوي ة أم آلي ة ‪ ،‬وك ذلك ف ان نط اق الت دقيق ال يتغ ير في ظ ل نظ ام المعلوم ات اآللي‬
‫(المعتمد على الحاسوب) ‪ ،‬فإذا ك انت العص ور الس ابقة ق د تم يزت بع دة ث ورات للبش رية ‪ ،‬ابت دءا‬
‫بالثورة الصناعية ثم ثورة المعرفة ومرورا بثورة التكنولوجيا واالتصاالت ‪ ،‬فان ه مم ا ال ج دال في ه‬
‫إننا نعيش اليوم ثورة تقنية المعلوم ات ‪ ،‬ه ذه الث ورة ال تي تطلبت من المنظم ة الس رعة في معالج ة‬
‫بياناتها وسرعة توصيلها للمستخدم لإلفادة منها في اتخاذ الق رارات وترش يدها ‪ ،‬وبالمقاب ل وض عت‬
‫ه ذه التكنولوجي ا امن وس المة ه ذه المنظم ات على المح ك ‪ ،‬فتطلب ذل ك منه ا وض ع العدي د من‬
‫اإلجراءات األمنية التي رافقت استعمال هذه التكنولوجيا من اجل حماية معلوماتها القيمة ‪ .‬إن وج ود‬
‫امن دقيق ورقابة على موارد المعلومات المتعلقة بالمنظمة ينبغي أن يكون من أولويات اإلدارة العليا‬
‫‪ ،‬وعلى الرغم من أن أهداف الرقاب ة بقيت متش ابهة في ظ ل اس تعمال تقني ة المعلوم ات ف ان ط رق‬
‫الرقاب ة واألمن ق د تغ يرت بش كل ج وهري في ظ ل التط ورات في التج ارة االلكتروني ة وتقني ة‬
‫المعلومات‪.‬‬

‫اثر استخدام الحاسوب على عملية التدقيق‪:‬‬

‫إن استخدام الحاسوب في عملية التدقيق أدى إلى حدوث تغييرات في عمل المدقق باتجاهين ‪ ،‬يتعل ق‬
‫االتجاه األول بالرقابة الداخلية ‪ ،‬في حين تمثل االتجاه الثاني بأساليب التدقيق المستخدمة ‪ ،‬وفيما يلي‬
‫نتناول هذه التغييرات في هذين االتجاهين‪:‬‬

‫الرقابة الداخلية في ظل األنظمة المحاسبية االلكترونية‪:‬‬

‫إن المقومات األساسية للرقابة الداخلية في األنظمة المحاسبية االلكترونية تتكون مما يلي‪:‬‬
‫‪ .1‬الرقابة العامة ‪General Control‬‬
‫‪ .2‬الرقابة على التطبيقات ‪Application Control‬‬
‫هناك بعض إجراءات وأساليب الرقابة الداخلية المتبعة في األنظمة المحاسبية التقليدي ة (اليدوي ة) يتم‬
‫إتباعها أيض ا في األنظم ة المحاس بية االلكتروني ة‪ .‬إن طبيع ة وع دد إج راءات الرقاب ة الداخلي ة في‬
‫األنظمة المحاسبية االلكترونية تعتم د على عوام ل عدي دة أهمه ا حجم وطبيع ة العملي ات المحاس بية‬
‫التي تقع مسؤولية معالجتها على عاتق النظام المحاسبي االلكتروني وك ذلك تعتم د على درج ة تعق د‬
‫وتطور نظام الحاسوب المستخدم‪ .‬س نتناول اإلج راءات واألس اليب ال تي يتك ون منه ا ك ل ن وع من‬
‫أنواع الرقابة السابق ذكرها وبنفس الترتيب وكما يلي‪:‬‬

‫الرقابة العامة ‪General Control‬‬

‫‪1‬‬
‫إن الرقابة العام ة هي رقاب ة ش املة تأخ ذ في الحس بان اغلب نش اطات وفعالي ات النظ ام المحاس بي‬
‫االلكتروني مثل الهيكل التنظيمي للنظام وحماي ة الملف ات وال برامج واألجه زة والرقاب ة على عملي ة‬
‫تصميم وتطوير النظم والبرامج وغيرها من النشاطات‪.‬‬
‫الرقابة العامة هي أوسع نطاقا من الرقابة على التطبيقات ل ذلك فإنه ا ت ؤثر بش كل اك بر على النظ ام‬
‫المحاسبي االلكتروني في حال ة وج ود خل ل أو نق اط ض عف في ه ذا الن وع من الرقاب ة‪ .‬ان الرقاب ة‬
‫العامة تشتمل على اإلجراءات اآلتية‪:‬‬
‫أوال‪ :‬الفصل بين الوظائف والمسؤوليات ‪Segregation of Duties‬‬
‫ثاني ا‪ :‬الرقاب ة على امن أجه زة الحاس وب وال برامج والبيان ات ‪Hardware, Software Data‬‬
‫‪security control‬‬
‫ثالثا‪ :‬الرقابة على تطوير وتصميم النظم ‪System Development & Design Control‬‬

‫أوال‪ :‬الفصل بين الوظائف والمسؤوليات‬

‫وتشتمل هذه اإلجراءات فصل قسم الحاسوب عن بقية األقسام في المنشأة بحيث يكون قسمًا‬
‫مستقال له واجبات ومس ؤوليات خاص ة ب ه ويجب أن يك ون تحت إش راف م دير يتمت ع بمواص فات‬
‫معينة تؤهله لهذه المسؤولية ويكون تابعا لإلدارة العليا‪ .‬ان فصل قسم الحاسوب عن بقية األقس ام له ا‬
‫ايجابياتها فمثال يكون بإمكان هذا القسم تقديم الخدمات بصورة أكفأ وشكل ع ادل لكاف ة األقس ام ذات‬
‫العالقة مع قسم الحاسوب وأيضا يتم ضمان االستخدام األمثل لإلمكانيات المتاحة له ذا القس م‪ .‬هنال ك‬
‫وظ ائف عدي دة في قس م الحاس وب الب د من الفص ل بينه ا حيث به ذه الطريق ة يتم تقلي ل احتم االت‬
‫ارتكاب األخطاء أو االختالس والتالعب‪ .‬ومن أهم الوظائف التي يجب الفصل بينهما ما يلي‪:‬‬
‫‪System Analysis‬‬ ‫أ‪ .‬وظيفة تحليل النظام‬
‫ومن واجبات محل ل النظم تص ميم النظم وك ذلك تحلي ل النظم المالي ة وتطويره ا وتش غيل النظم‬
‫الجديدة وأيضا اإلشراف على توثيق النظام‪.‬‬
‫‪Programming‬‬ ‫ب‪ .‬وظيفة البرمجة‬
‫ومن مسؤوليات المبرمج إعداد البرامج حسب مواصفات ومتطلبات العمليات المناط ة مس ؤولية‬
‫تنفيذها على قسم الحاسوب ومن ثم اختبار البرامج لمعرف ة م دى ص الحيتها للتطبيق ات العملي ة‬
‫وك ذلك التط وير المس تمر لل برامج الموج ودة وإج راء التع ديالت الض رورية‪ .‬والب د من ع دم‬
‫السماح للمبرمج بتشغيل الحاسوب بعد االنتهاء من وضع البرنامج وبع د ان تم تش غيل البرن امج‬
‫لمعالجة العمليات حيث باستطاعته تغيير البرنامج لصالحه‪.‬‬
‫‪Computer Operating‬‬ ‫ج‪ .‬وظيفة تشغيل جهاز الحاسوب‬
‫ومن واجبات مشغل الحاسوب إدخال البيانات إلى الحاسوب لغرض معالجته ا وذل ك بع د أن يتم‬
‫نق ل البيان ات إلى الحاس وب لغ رض معالجته ا وذل ك بع د أن يتم نق ل البيان ات من الس جالت‬
‫والمستندات األصلية إلى إحدى وسائط اإلدخال‪ .‬من الضروري أن ال يتعرف مش غل الحاس وب‬
‫على مكونات وتفاص يل ال برامج المس تخدمة في النظ ام وذل ك لكي يتمكن من تعديل ه أو تغي يره‬
‫إلغراض شخصية‪.‬‬
‫د ‪ .‬وظيف ة أمان ة المكتب ة ‪ : Librarianship‬ويق ع على ع اتق أمين المكتب ة مس ؤولية الحف اظ على‬
‫برامج الحاسوب وعلى وسائط خزن المعلومات مثل األق راص واألش رطة الممغنط ة وبش كل مالئم‬
‫وعدم السماح ألي شخص باستعمال تلك البرامج واألشرطة إال إذا كان مخوال بذلك‪.‬‬
‫هـ‪ .‬السيطرة على البيانات ‪ : Data Control‬ومن أهم واجبات الم راقب التأك د من فاعلي ة وكف اءة‬
‫تطبيق إجراءات الرقابة وذلك لضمان دقة البيانات وتفادي األخط اء وأيض ا فحص البيان ات الداخل ة‬
‫إلى قسم الحاسوب والتأكد من أنها خالية من األخطاء وكذلك التأكد من صحة وموضوعية مخرجات‬
‫النظام (‪ )Printout‬والتي يتم تسليمها إلى الجهات المستفيدة في المنش أة وك ذلك يجب على الم راقب‬
‫تصحيح األخطاء الموجودة في كشف األخطاء (‪.)Errorless‬‬

‫‪2‬‬
‫و ‪ .‬وظيفة إعداد البيانات إلدخالها إلى الحاسوب ‪ : Data Preparation‬ويقوم األفراد المس ؤولون‬
‫عن هذه الوظيفة بتحويل البيانات من المستندات األص لية (‪ )Source Documents‬إلى ش كل‬
‫يمكن أن يتقبله الحاسوب‪.‬‬
‫ثانيا‪ :‬الرقابة على امن أجهزة الحاسوب والبرامج والبيانات‬
‫‪Software, of Data Security Control Hardware‬‬
‫هناك مخاطر كثيرة البد أن تؤخذ في الحسبان عند تحدي د إج راءات الرقاب ة الداخلي ة المتعلق ة ب أمن‬
‫األجهزة والبرامج والبيانات ومن أهم تلك المخاطر‪:‬‬
‫أ‪ .‬ارتكاب األخطاء ‪ : Errors‬هناك نوعان من األخطاء وهي األخطاء التي ترتكب من قب ل األف راد‬
‫المشغلين للحاسوب أي أخط اء بش رية مث ل إدخ ال عملي ة معين ة إلى الحاس وب بص ورة خاطئ ة أو‬
‫إدخالها مرتين والنوع الثاني هي األخطاء التي ترتكب من قبل أجهزة الحاسوب وال برامج التش غيلية‬
‫والتطبيقية وهذا النوع هو اخطر من النوع األول الن آثاره ا تك ون كب يرة وواس عة (‪Systematic‬‬
‫‪.)Errors‬‬
‫ب‪ .‬الح وادث والك وارث ‪ :‬مث ل الحرائ ق وانقط اع التي ار الكهرب ائي والتع رض إلى اإلش عاعات‬
‫والمجال المغناطيسي وغيرها من الحوادث‪.‬‬
‫ج‪ .‬التالعب بالبرامج والبيانات بدافع االختالس والسرقة‪.‬‬
‫د ‪.‬التجسس التجاري ‪ :Commercial Espionage‬ويقصد به ا قي ام الش ركات المنافس ة بمحاول ة‬
‫الحصول على بيانات مهمة وبرامج من شركة معينة وبطرق غير مشروعة‪.‬‬
‫هـ‪ .‬تخريب وتحطيم األجهزة والبرامج من قبل الموظفين السابقين والحاليين في المنشأة أو أش خاص‬
‫من خارج المنشأة وذلك بدافع الحقد واالنتقام (‪.)Malicious Damage‬‬
‫و ‪.‬إتالف أو مسح البيان ات بش كل غ ير مقص ود من قب ل مش غلي الحاس وب وذل ك في أثن اء قي امهم‬
‫بواجباتهم المعتادة‪.‬‬
‫إن من أهم إجراءات الرقابة الداخلية الضرورية على امن األجهزة والبرامج والبيانات هي ما يأتي‪:‬‬
‫‪ .1‬مسك سجل تدون فيه كاف ة البيان ات وال برامج المخزون ة في المكتب ة بحيث يحت وي الس جل‬
‫على المعلومات الضرورية مثل عناوين تلك البيانات والبرامج وت اريخ إي داعها في المكتب ة‬
‫واستخداماتها وغيرها من المعلومات‪.‬‬
‫‪ .2‬ترميز وترقيم األشرطة أو األق راص المغناطيس ية أو أي ة واس طة أخ رى مس تخدمة لخ زن‬
‫البيانات والبرامج وذلك بوضع قطعة من ال ورق (‪ )Label‬على الغالف الخ ارجي لوس ائط‬
‫الخزن تدون فيه رقم ورمز للداللة على تسلسلها في المكتبة وك ذلك ت اريخ إنش ائها وت اريخ‬
‫انتهاء صالحيتها وك ذلك خ زن مم يز (‪ )Header Label‬في بداي ة المل ف بحيث يتض من‬
‫معلومات أخرى عن الملف لكي يقوم الحاسوب بالتأكد من استخدام الملف الص حيح وك ذلك‬
‫وضع مميز في نهاية الملف (‪ )Trailer Label‬يكون محتويا على عدد السجالت الموجودة‬
‫في الملف والرمز الذي يدل على نهاية الملف‪.‬‬
‫‪ .3‬تزويد أبواب المكتبة وقس م الحاس وب االلك تروني بأقف ال محكم ة مث ل األقف ال االلكتروني ة‬
‫واألقفال التي تفتح بواسطة بطاقات تعريفية أو نظام طبع األصابع‪.‬‬
‫‪ .4‬على جمي ع األف راد اخ ذ الموافق ة األص ولية قب ل ال دخول إلى المكتب ة وقس م الحاس وب في‬
‫أوقات غير أوقات العمل الرسمي‪.‬‬
‫‪ .5‬االحتفاظ بسجل يدون فيه أسماء وتواقيع األشخاص الذين ي دخلون المكتب ة وقس م الحاس وب‬
‫من زائرين وعمال صيانة وغيرهم والبد من عدم ترك الزائ رين لوح دهم داخ ل المكتب ة أو‬
‫قسم الحاسوب‪.‬‬
‫‪ .6‬إيجاد نسخ إضافية وطبق األص ل لل برامج الموج ودة في المكتب ة (‪ )Backup‬وحفظه ا في‬
‫مك ان أمين بعي دة عن قس م الحاس وب وع دم الس ماح باس تخدامها إال من قب ل األش خاص‬
‫المخولين بذلك ويجب إخض اعها إلج راءات الرقاب ة الخاص ة بالحف اظ على أمني ة ال برامج‬

‫‪3‬‬
‫والبد من الحفاظ على حداث ة تل ك ال برامج عن طري ق مراجع ة وتع ديل تل ك ال برامج عن د‬
‫الضرورة‪.‬‬
‫ع دم الس ماح ب دخول الم برمجين ومحللي النظم إلى قس م الحاس وب إال إذا ك ان دخ ولهم‬ ‫‪.7‬‬
‫ضروريا وذلك يجب أن يكون تحت إشراف أشخاص مسؤولين‪.‬‬
‫في حالة استخدام المنشاة نظام مشاركة ال وقت (‪ )Time sharing system‬على المنش أة‬ ‫‪.8‬‬
‫فرض الرقابة على عملية االتص ال بين نهاي ات الطرفي ة (‪ )Terminals‬ووح دة المعالج ة‬
‫المركزية وذلك بواسطة إيجاد واستخدام الش فرات (‪ )Password‬وحس ب ه ذه الطريق ة ال‬
‫يمكن الدخول إلى نظام الحاسوب إال بعد استخدام الشفرة الصحيحة ويستحسن تغيير الش فرة‬
‫من فترة إلى أخرى واستخدام أكثر من كلمة واحدة ويجب تنبيه مستخدمي النهايات الطرفي ة‬
‫إلى أهمية عدم إفشاء الشفرة إلى أي شخص آخ ر‪ .‬ويمكن اس تخدام الش فرات بص يغ عدي دة‬
‫فعلى سبيل المثال يمكن استخدامها لحماي ة حلق ات خاص ة بحيث ال يمكن االطالع عليه ا أو‬
‫استخدامها إال عن طريق استخدام وإدخال رمز خاص به ا وك ذلك يمكن اس تخدام الش فرات‬
‫في حماية بيانات سرية عن عمليات معينة‪ .‬فضال عن إجراءات الرقابة الس ابق ذكره ا الب د‬
‫من إيج اد إج راءات الرقاب ة على النهاي ات الطرفي ة ويمكن الق ول أن ه ذه اإلج راءات هي‬
‫تقريبا نفس اإلجراءات المتبعة في الرقابة على امن أجهزة الحاس وب المركزي ة في المنش اة‬
‫ويج در بال ذكر أن ه ذه اإلج راءات ذات أهمي ة كب يرة إذا ك انت المنش اة تعتم د على نظ ام‬
‫المعالجة عن بعد (‪.)System Remote Processing‬‬
‫إتباع األس لوب المس مى باألجي ال الثالث ة (الج د‪ ،‬األب‪ ،‬االبن‪Grandfather, Father, ،‬‬ ‫‪.9‬‬
‫‪ )Son‬للمحافظة على الملفات من الفق دان والتل ف وحس ب ه ذا األس لوب ال يتم التخلي عن‬
‫الجيلين السابقين من الملف عند إنشاء ملف رئيسي جديد بل يتم االحتفاظ بهما وذل ك إلع ادة‬
‫استخدامها في إنشاء الملف الرئيسي للجيل الجديد في حالة فقدان ذلك الملف‪.‬‬
‫يجب توف ير أدوات ومع دات كافي ة لمواجه ة ح وادث الحري ق وانقط اع التي ار الكهرب ائي‬ ‫‪.10‬‬
‫وغيرها من الحوادث ويجب اختيار تل ك األدوات والمع دات دوري ا للتأك د من أنه ا ص الحة‬
‫للعمل‪.‬‬
‫على المنشاة شراء عقد تأمين على أجهزة الحاسوب واألجهزة المساعدة والبرامج ويجب أن‬ ‫‪.11‬‬
‫يعطى العق د كاف ة األخط ار المحتمل ة مث ل خط ر الحري ق والس رقة والتخ ريب والتع رض‬
‫لإلشعاعات وغيرها من المخاطر‪.‬‬
‫إجراء صيانة دورية ألجهزة الحاسوب واألجهزة المساعدة وذلك لضمان منع تقلي ل ح دوث‬ ‫‪.12‬‬
‫العطالت في األجهزة‪.‬‬
‫الب د من إع داد خط ط إليج اد ب دائل ( ‪ )Disaster Recovery Plans‬لمواجه ة ح االت‬ ‫‪.13‬‬
‫الطوارئ أي في حاالت ال يكون باستطاعة النظام المحاسبي االلك تروني تق ديم خدمات ه إلى‬
‫المنشأة سواء كان ذلك بسبب الحريق أو عطل في أجهزة الحاسوب أو أي سبب آخر‪.‬‬

‫ثالثا‪ :‬الرقابة على تطوير وتصميم النظم ‪System Development Design Control‬‬
‫إن الهدف الرئيسي الذي تسعى اإلدارة إلى تحقيقه من خالل فرض إجراءات الرقابة على عملية‬
‫تصميم وتطوير النظم المحاسبية االلكترونية هو ضمان أن التغيير أو التطوير الحاصل في النظام أو‬
‫في البرامج سوف يعود بالمنفعة على المنشاة أكثر من النظام الحالي‪ .‬وان النظام الجديد سوف يك ون‬
‫أكثر كفاءة وفاعلية وانه يسهم بقدر كب ير من النظ ام الح الي في تحقي ق المنش أة‪ .‬تتض من إج راءات‬
‫الرقابة على تصميم وتطوير النظم خمسة إجراءات رئيسة وهي‪:‬‬
‫‪ .1‬وضع خطط طويلة من قبل اإلدارة بحيث تكون الموجة لعملية تص ميم وتط وير النظم وال برامج‬
‫المحاسبية االلكترونية في المستقبل‪.‬‬
‫‪ .2‬البد من مشاركة ومساهمة أفراد من قسم الحاسوب وبقية األقسام ذوي العالقة مع قسم الحاسوب‬
‫في عملي ة تط وير وتص ميم النظم وال برامج وذل ك للتع رف على متطلب ات العم ل األساس ية‬
‫‪4‬‬
‫وحاجات كل قسم وضمان تلبية واجبات كل قسم‪ .‬وكذلك البد من مش اركة م دقق داخلي وم دقق‬
‫خ ارجي للتأك د من وض ع كاف ة إج راءات الرقاب ة الداخلي ة المناس بة والض رورية في النظ ام‬
‫المحاسبي االلكتروني وفي برامج الحاسوب سواء كانت تلك اإلجراءات تخص إجراءات الرقابة‬
‫العامة أو إجراءات الرقابة على التطبيقات‪.‬‬
‫‪ .3‬توثي ق النظ ام ‪ :System Documentation‬ويقص د به ا إيج اد وث ائق وحلق ات لإلج راءات‬
‫والتعليمات والعمليات التي تم إتباعها وتنفيذها من قبل العاملين في النظام المحاسبي االلكتروني‪.‬‬
‫إن لعملية توثيق اإلج راءات والخط وات فوائ د عدي دة فمن خالل عملي ة التوثي ق يمكن التع رف‬
‫على مكونات النظام المحاسبي االلك تروني وأيض ا تزوي د اإلدارة في المنش اة بمعلوم ات كافي ة‬
‫لتقييم كفاءة وفاعلية النظام وك ذلك يتم ض مان الثب ات في اإلج راءات المتبع ة من قب ل الع املين‬
‫الحاليين والعاملين الجدد وال يترك المجال لالجتهاد الشخصي حيث يتم الرجوع إليها لالسترشاد‬
‫بها وتعتبر عملية توثيق النظام إحدى الوسائل المهمة لتحقي ق الرقاب ة الداخلي ة ومن أهم الوث ائق‬
‫والملفات التي البد من إيجادها هي ما يأتي‪:‬‬
‫أ‪ .‬ملف النظام ‪ System File‬ويتضمن هذا الملف ما يلي‪:‬‬
‫‪ -1‬األهداف الرئيسة للنظام ومخططات انسيابية لتدفق البيانات داخ ل النظ ام وك ذلك الخط ط‬
‫القصيرة والطويلة األمد‪.‬‬
‫‪ -2‬وص ف تفص يلي للوظ ائف الموج ودة في النظ ام وتحدي د للواجب ات والمس ؤوليات لك ل‬
‫وظيفة‪.‬‬
‫‪ -3‬وصف تفصيلي لمدخالت ومخرجات النظام‪.‬‬
‫‪ -4‬قائمة بعدد وأنواع البرامج الموجودة في النظام‪.‬‬
‫ب‪ .‬ملف البرامج ‪ Programs File‬يحتوي هذا المل ف على ك ل م ا يتعل ق ب برامج الحاس وب‬
‫المستخدمة في النظام من حيث خطوات وإجراءات إعداد وتعديل واختبار البرامج ويحت وي‬
‫هذا الملف عادة على ما يأتي‪:‬‬
‫‪ -1‬مخطط انسيابي لكل برنامج من البرامج الموجودة في النظام‪.‬‬
‫‪ -2‬وصف تفصيلي للبرامج الموجودة يتضمن عناوين البرامج والرموز المستخدمة وأوج ه‬
‫استخدام هذه البرامج والخطوات التي تتكون منها البرامج‪.‬‬
‫ج‪ .‬ملف التشغيل ‪ Operating File‬وتأتي أهمية هذا الملف في انه يمثل المرجع الذي يوفر كافة‬
‫المعلومات والتعليمات الخاصة بتش غيل الحاس وب وال ذي يس اعد مش غل الحاس وب في القي ام‬
‫بوظيفته على أكمل وجه‪ .‬ويشمل هذا الملف ما يأتي‪:‬‬
‫‪ -1‬وصف للبرامج والهدف من كل برنامج‪.‬‬
‫‪ -2‬وصف تفصيلي للمدخالت والمخرجات‪.‬‬
‫‪ -3‬تعليمات عن كيفية البدء بتشغيل الحاسوب وتنفيذ عملية إدخال البيانات واستخراج النت ائج‬
‫النهائية ومن ثم الخروج من البرامج التطبيقية وإطفاء األجهزة‪.‬‬
‫‪ -4‬اإلجراءات والخطوات الواجب إتباعه ا عن د حص ول عط ل في أجه زة الحاس وب أو في‬
‫حال ة الط وارئ مث ل نش وب حري ق أو انقط اع التي ار الكهرب ائي أو م ا ش ابه ذل ك من‬
‫الحوادث‪.‬‬
‫‪ -5‬تعليم ات تتعل ق بالحف اظ على امن البيان ات وال برامج وأجه زة الحاس وب وأيض ا تحدي د‬
‫األشخاص الذين يسمح لهم بالدخول إلى قسم الحاسوب‪.‬‬
‫‪ -6‬الحصول على الموافقات األصولية من الجهات العليا أو اللجنة المختصة باإلش راف على‬
‫عملي ة تط وير النظم وال برامج على ك ل خط وة من خط وات تص ميم وتط وير النظم‬
‫والبرامج وذلك بعد أن تقوم تلك الجهة بمراقبة ومقارنة ما تم انجازه مع ما هو مخطط ل ه‬
‫وحس ب المع ايير الموض وعية مس بقا‪ .‬والب د أيض ا من الحص ول على الموافق ة من تل ك‬
‫الجهة على عملية البدء بتشغيل النظ ام وذل ك بع د االنته اء من عملي ة تص ميم أو تط وير‬

‫‪5‬‬
‫النظام أو البرامج وبعد إجراء االختبارات المطلوبة والتأك د من أن النظ ام أص بح ج اهزا‬
‫للعمل‪.‬‬
‫‪ -7‬اختبار النظم والبرامج التي تم تصميمها وتطويرها وتعتبر هذه الخط وة ض رورية للتأك د‬
‫من مدى نجاح عملية تصميم وتطوير النظم وأيضا للتع رف على األخط اء الموج ودة في‬
‫النظام أو البرامج الجديدة لغرض معالجتها‪ .‬وتتم عملية االختبار باستخدام بيانات فرض ية‬
‫وأخرى حقيقية ومن الضروري أن تكون النت ائج لتل ك العملي ة متوقع ة ومدروس ة مس بقا‬
‫وذلك لمقارنتها بالنتائج الفعلية لعملية االختبار‪ .‬أن عملي ة االختب ار الب د أن تك ون ش املة‬
‫لكل جوانب النظام بما في ذلك العمل اليدوي في النظام‪.‬‬
‫ومن الضروري مشاركة أفراد من قسم لحاس وب واألقس ام األخ رى ذوي العالق ة م ع قس م‬
‫الحاسوب مع مصممي النظم والمبرمجين في عملية االختب ار وذل ك للتع رف على الن واقص ونق اط‬
‫الضعف الموجودة في النظام أو البرامج الجدي دة وللتأك د من م دى ق درة النظ ام أو ال برامج الجدي دة‬
‫على تلبية حاجات تلك األقسام وفي الوقت المناسب ويجب إجراء االختبار النه ائي للنظ ام وال برامج‬
‫الحديثة وان يتم تنفيذه في ظل ظروف عمل واقعية وباستخدام بيانات حقيقية ( ‪ )Line Data‬وبحيث‬
‫تكون تلك البيانات حاوية على أخطاء معينة وذلك للتأكد من م دى قابلي ة النظ ام أو ال برامج الجدي دة‬
‫على اكتشاف األخطاء ومن ثم تصحيحها‪.‬‬
‫‪Application Control‬‬ ‫الرقابة على التطبيقات‬
‫ويقصد بها إجراءات الرقابة المفروضة على عملية معالجة البيانات وبض منها الرقاب ة على‬
‫مدخالت ومخرجات قسم الحاسوب والغرض منه ا ه و ض مان دق ة وص حة وكم ال عملي ة معالج ة‬
‫البيانات المحاسبية ‪.‬‬
‫إن الرقابة على التطبيقات يمكن تقسيمها إلى ثالث مستويا وهي‪:‬‬
‫‪Input Control‬‬ ‫أوال‪ :‬الرقابة على المدخالت‬
‫إن اغلب البيانات التي تدخل قسم الحاسوب يتم إعدادها يدويا مما تكون عرض ة للخط أ بش كل كب ير‬
‫لذلك فمن الضروري فرض الرقابة على تلك البيانات لضمان اكتشاف األخطاء الموج ودة فيه ا قب ل‬
‫االنتقال إلى مرحلة المعالجة االلكترونية‪.‬‬
‫وهناك مقولة شائعة حول دقة وصحة المدخالت مفادها (إدخال نفايات‪ ،‬استخراج نفايات ‪Garbage‬‬
‫‪ )In, Garbage Out‬أي أن إدخ ال بيان ات غ ير ص حيحة وخاطئ ة ي ؤدي إلى الحص ول على‬
‫مخرجات خاطئة‪ .‬لذلك كلما كانت المدخالت دقيقة وصحيحة كانت المخرجات دقيق ة وص حيحة‪ .‬إن‬
‫الرقابة على المدخالت أهمية كبيرة ‪ ،‬إذ أن تصحيح األخطاء أكثر سهولة ويحتاج إلى جهد اقل إذا تم‬
‫اكتشاف تلك األخطاء في المرحلة األولى من مراح ل معالج ة البيان ات وقب ل االنتق ال إلى المراح ل‬
‫األخرى‪.‬‬
‫وتهدف الرقابة على المدخالت إلى ضمان دقة وصحة وشرعية وكمال البيانات التي يتم إدخاله ا إلى‬
‫الحاسوب‪ .‬إن من أهم إجراءات الرقابة على المدخالت هي ما يلي‪:‬‬
‫أ‪ .‬يجب أن تكون إج راءات مراجع ة وت دقيق البيان ات الموج ودة في المس تندات األص لية مكتوب ة‬
‫ومحددة وذلك لضمان دقة وكمال البيانات وكذلك للتأكد من أن المستندات األصلية المطلوبة هي‬
‫التي تدخل الحاسوب ال غيرها‪.‬‬
‫ب‪ .‬إج راء االختب ارات (‪ )Editing Tests‬على البيان ات في أثن اء إدخاله ا إلى وح دة المعالج ة‬
‫المركزي ة للحاس وب وتس مى ه ذه االختب ارات باالختب ارات المبرمج ة ‪Programmed‬‬
‫‪ ، Checks‬والجدير بالذكر أن اغلب ه ذه االختب ارات تنف ذ أيض ا في مرحل ة معالج ة البيان ات‬
‫ومن أهم هذه االختبارات ما يلي‪:‬‬
‫‪ .1‬اختبار حرفية أو رقمية البيانات ‪ Alphabetical & Numerical Tests‬حسب هذا االختبار‬
‫يقوم البرنامج بالتأكد من نوعية البيانات الداخلة إلى الحاسوب وفيما إذا ك انت رقمي ة أو أبجدي ة‬

‫‪6‬‬
‫أو كليهما معا وتقارنها مع طبيع ة الحق ل أو المك ان ال ذي ترس ل إلي ه تل ك البيان ات ف إذا ك انت‬
‫البيانات رقمية والحقل رقميا وحرفيا معا فهذا معناه أن هنالك خطا ما في تلك البيانات‪.‬‬
‫‪ .2‬اختبار طول المدخالت ‪ Input Length test‬ويقصد به اختبار طول البيانات التي ت دخل الى‬
‫الحاسوب سواء كانت رقمية أو حرفية ‪ ،‬إذ أن العديد من البيانات لها طول محدد وقد يكون ع دد‬
‫من األرقام أو عدد من األحرف يجب ع دم تج اوزه والمث ال على ذل ك أرق ام الحس ابات وأرق ام‬
‫الهواتف وتواريخ الميالد ورقم الضمان االجتماعي وغيرها‪.‬‬
‫‪ .3‬اختيار الحدود ‪ Limit Test‬يقوم البرنامج حسب هذه الطريقة بالتأكد من أن البيانات التي تدخل‬
‫الحاسوب تقع ضمن المدى المحدد لها مسبقا ف إذا ك ان اك بر أو اص غر من ذل ك ف ان الحاس وب‬
‫يرفض عملية اإلدخال والمثال على ذلك تحديد الحد األعلى واألدنى لألجر للساعة الواحدة ولكل‬
‫وظيفة‪.‬‬
‫‪ .4‬أرقام االختبار ‪ Check Digits‬إن رقم االختبار هو الرقم الذي يتم احتسابه عن طري ق إج راء‬
‫عمليات حسابية معينة على أرقام العدد األصلي ومن ثم يضاف إلى جانب البيانات الرقمية (مثل‬
‫رقم العامل أو رقم مستند معين) وذلك بواس طة ب رامج الحاس وب أو بواس طة أجه زة اإلدخ ال‬
‫للتأكد من أن تلك البيانات قد تم إدخالها بصورة صحيحة ولض مان ع دم تغي ير األرق ام المكون ة‬
‫لعدد معين (مثل تسجيل الرقم ‪ 497‬خطا ‪ )479‬وذل ك في بداي ة ك ل مرحل ة من مراح ل عملي ة‬
‫معالجة البيانات بواسطة الحاسوب وقبل إجراء أية عملية على تلك البيان ات‪ .‬إن أرق ام االختب ار‬
‫تستخدم للبيانات الرقمية فقط وال تستخدم للبيانات الكمية والقيمية وهناك طرق عدي دة الحتس اب‬
‫رقم االختبار ومن أهمها وأكثرها شيوعا هي طريقة العامل رقم (‪ .)11‬ونذكر المثال الت الي عن‬
‫أرقام االختبار‪.)3459( :‬‬
‫‪ -‬نضرب كل مرتبة من مراتب الرقم بوزن معين مثال نضرب الرقم (‪ )2‬في مرتبة اآلحاد وال رقم‬
‫(‪ )3‬في مرتبة العشرات والرقم (‪ )4‬في مرتبة المئات والرقم (‪ )5‬في مرتبة اآلالف وهك ذا ومن‬
‫ثم نقوم بجمع ناتج كل عملية من عمليات الضرب كاآلتي‪:‬‬
‫‪18 = 9 ×2‬‬
‫‪15 = 5 ×3‬‬
‫‪16 = 4 ×4‬‬
‫‪15 = 3 ×5‬‬
‫المجموع ‪64‬‬
‫‪ -‬تقسيم المجموع الذي تم الحصول عليه في الخطوة السابقة على المعامل (‪:)11‬‬
‫‪5,8 =11 ÷ 64‬‬
‫‪ -‬نطرح المتبقي من عملية القسمة من رقم المعامل للحصول على رقم االختبار‪:‬‬
‫‪3 = 8 – 11‬‬
‫‪ -‬نضيف رقم االختبار إلى نهاية رقم العميل إلى جهة اليمين‪:‬‬
‫‪34593‬‬
‫‪ .5‬اختبار التسلسل والتتابع ‪ Sequence test‬بموجبه يتأك د البرن امج من ص حة تسلس ل البيان ات‬
‫التي تدخل إليها ‪ ،‬إذ أن تل ك البيان ات ال تي ت دخل إليه ا تك ون مرقم ة ومتسلس لة ف إذا تم إدخ ال‬
‫بيانات معينة بصورة متكررة أو ناقصة فان البرنامج سوف يرفض إدخال تلك البيان ات والمث ال‬
‫على تلك البيانات المتسلسلة الشيكات والفواتير واإليصاالت وغيرها من البيانات‪.‬‬
‫ج‪ .‬التحقق من األخطاء التي يتم اكتشافها وتحليلها لغرض معرف ة األس باب الكامن ة وراءه ا ومن ثم‬
‫تصحيحها وإدخالها مرة أخرى إلى الحاسوب‪.‬‬
‫‪Processing Control‬‬ ‫ثانيا‪ :‬الرقابة على معالجة البيانات‬

‫‪7‬‬
‫إن الغرض من هذا النوع من الرقابة هو التأكد من ص حة ودق ة عملي ة معالج ة البيان ات بع د أن يتم‬
‫إدخال تلك البيانات إلى وحدة المعالجة المركزية في الحاس وب أن األس اليب المس تخدمة في الرقاب ة‬
‫على عملية معالجة البيانات تنقسم إلى مجموعتين رئيسيتين وهما‪:‬‬
‫أ‪ .‬الرقابة بواسطة جهاز الحاسوب‪.‬‬
‫ب‪ .‬الرقابة بواسطة برامج الحاسوب‪.‬‬
‫أ‪ .‬الرقابة بواسطة جهاز الحاسوب‬
‫هنالك إجراءات رقابية يتم تنفيذها ذاتيا من قبل جهاز الحاسوب ‪ ،‬إذ أن الش ركات المص نعة ألجه زة‬
‫الحاسوب بحيث يقوم بتنفيذ إجراءات الرقابة وتشمل الرقابة بواس طة الحاس وب على أس اليب كث يرة‬
‫ونذكر بعض األساليب الشائعة وهي‪:‬‬
‫‪ .1‬المعالجة المزدوجة للبيانات‪ :‬في هذه الحال ة تق وم وح دة الحس اب والمنط ق في وح دة المعالج ة‬
‫المركزية بمعالجة نفس البيانات مرتين ومن ثم تتم مقارنة النتائج للتأكد من أن النتائج هي نفس ها‬
‫لكلتا العمليتين‪.‬‬
‫‪ .2‬مراجعة التماثل‪ :‬تنفذ عملية التماثل باالعتماد على النظام الثنائي للترميز ‪ ،‬إذ أن علمي ة الترم يز‬
‫على وسائط خزن البيانات أما أن تكون على أساس األحادي أو على أساس الثنائي وبتعبير آخ ر‬
‫أن النقاط المكونة ألي البيانات سواء كانت ترمز إلى ح روف أبجدي ة أو أرق ام أو رم وز معين ة‬
‫أما أن تكون فردي ة أو زوجي ة الع دد وفي أثن اء إدخ ال البيان ات إلى وح دة المعالج ة المركزي ة‬
‫لغرض معالجتها فان الجه از يق وم ذاتي ا بالتأك د من أن األرق ام الثنائي ة له ذه البيان ات م ا زالت‬
‫فردية البيانات إلى وحدة المعالجة المركزية لغرض معالجتها فان الجهاز يق وم ذاتي ا بالتأك د من‬
‫أن األرقام الثنائية لهذه البيانات ما زالت فردية المجموع العددي أو زوجية المجموع العددي وتم‬
‫ذلك إما بإضافة الرقم (ص فر) أو ال رقم (واح د) وان ه ذا ال رقم الجدي د ال ي ؤثر على المجم وع‬
‫العددي‪.‬‬
‫‪ .3‬الرقابة على حدود العمل‪ :‬في بعض أنظمة الحاسوب يتم استخدام وح دة المعالج ة المركزي ة من‬
‫قب ل العدي د من األش خاص في آن واح د والمث ال على ذل ك أنظم ة مش اركة ال وقت ‪Time‬‬
‫‪ Sharing System‬وفي هذه الحالة البد من تقسيم وحدة الذاكرة في وحدة المعالجة وفي ه ذه‬
‫الحالة البد من تقسيم وحدة ال ذاكرة في وح دة المعالج ة وفي ه ذه الحال ة الب د من تقس يم وح دة‬
‫الذاكرة في وحدة المعالجة المركزية إلى أجزاء عديدة وكل جزء من أجزائ ه يخص ص لش خص‬
‫معين بحيث ال يمكن ألي شخص آخر استخدام أية بيانات أو ملفات موجودة في ذل ك الج زء من‬
‫المعالجة‪.‬‬
‫‪ .4‬حماية البيانات وب رامج خاص ة‪ :‬وفي ه ذه الحال ة يخص ص ج زء من وح دة ال ذاكرة في وح دة‬
‫المعالجة المركزية لخزن البرامج التش غيلية الخاص ة بتش غيل ب رامج الحاس وب وأيض ا بيان ات‬
‫أخرى مهمة بحيث يكون من الممكن قراءة ذلك الجزء من ال ذاكرة دون إمكاني ة مس ح أو تغي ير‬
‫محتوياته ويسمى بالذاكرة القابلة للقراءة فقط‪.‬‬
‫‪ .5‬االختبار الذاتي‪ :‬ويقصد به قيام جهاز الحاسوب بفحص وحدة المعالجة المركزية للتأك د من أنه ا‬
‫تعمل بصورة صحيحة وسليمة ويتم ذلك أما بصورة ذاتي ة أو باس تخدام ب رامج خاص ة باختي ار‬
‫أجهزة الحاسوب وتنفذ عملية االختبار بصورة دوري ة (م رة في األس بوع في الش هر مثال) وفي‬
‫بعض أنواع األجهزة يتم االختبار الذاتي في بداية تشغيل الحاسوب‪.‬‬
‫ب‪ .‬الرقابة بواسطة برامج الحاسوب‪.‬‬
‫كما ذكرنا سابقا في موضوع الرقابة على المدخالت أن هناك إج راءات رقابي ة يتم تنفي ذها بواس طة‬
‫برامج الحاسوب أن من اإلجراءات الرقابية المهمة التي تنفذ البرامج هي ما يأتي‪:‬‬
‫‪ .1‬الرقابة على عدد العمليات والسجالت‪ :‬بموجب هذه الطريقة يقوم البرنامج بجمع ع دد الس جالت‬
‫والعمليات التي تمت بمعالجتها في مجاميع ومن ثم يقوم بمقارنتها مع مجاميع الس جالت ال تي تم‬
‫إعدادها عند استالمها من األقسام األخرى وذلك للتأكد من أن جميع السجالت قد تمت معالجتها‪.‬‬

‫‪8‬‬
‫المجاميع الرقابية لحقل القيم‪ :‬نظرا لكبر حجم العمليات التي تعالج بواسطة جهاز الحاس وب ف ان‬ ‫‪.2‬‬
‫المستندات تكون معرضة للضياع والتالعب مما يتطلب األمر تقسيم تلك المس تندات والس جالت‬
‫إلى مجموع ات ويجب إع داد بطاق ة لك ل مجموع ة بحيث تحت وي على معلوم ات مث ل إع داد‬
‫المستندات والتاريخ ومجموع محتويات حقل معين في تلك المس تندات (مث ل مجم وع محتوي ات‬
‫حقول المبالغ لمجموعة من الصكوك) ومن ثم يتم إدخال المج اميع الرقابي ة إلى وح دة المعالج ة‬
‫المركزية وبعد االنتهاء من معالجة كافة المستندات تتم مقارنة ما تم جمعه في وحدة ال ذاكرة م ع‬
‫المجاميع الرقابي ة ال تي أدخلت في البداي ة‪ .‬وذل ك للتأك د من أن كاف ة المس تندات تمت معالجته ا‬
‫وبقيمها الصحيحة وعند حدوث خطأ ما قبل معالجة حقل المبالغ للمستندات بصورة خاطئ ة ف ان‬
‫تقسيم المستندات إلى مجموعات يساعد على اكتشاف ذلك الخطأ بس رعة وبس هولة ويعت بر ه ذا‬
‫االختبار أكثر دقة وتفصيال من الطريقة السابقة‪.‬‬
‫المجاميع الرقابية‪ :‬في هذه الحالة بدال من جمع محتويات حقل القيم لمجموعة من المس تندات يتم‬ ‫‪.3‬‬
‫جمع أرقام لحقل معين في هذه المستندات مثل رقم المعاملة أو رقم الص نف أو أرق ام الحس ابات‬
‫للعمالء ومن ثم تتم عملية االختبار بإتباع نفس الخطوات المتبعة في المجاميع الرقابية التي سبق‬
‫ذكره ا وج دير بال ذكر إن المج اميع الرقابي ة في ه ذه الحال ة ال تحم ل أي مع نى غ ير المع نى‬
‫الرقابي‪.‬‬
‫عكس العمليات الحسابية‪ :‬ويقوم البرنامج حسب هذا األسلوب باستخدام أكثر من طريقة حس ابية‬ ‫‪.4‬‬
‫للتأكد من صحة نتائج عمليات حسابية معين ة والمث ال على ه ذا الن وع من االختب ار نف رض أن‬
‫العملية الحسابية هي كاآلتي‪:‬‬
‫أ×ب=ج×د‬
‫يقوم البرنامج بتحوير تلك المعادلة إلى شكل آخر فتصبح العملية الحسابية كما يلي‪:‬‬
‫أ × ب÷ج = د‬
‫فإذا كانت النتيجة هي (د) فان هذا يعتبر دليال على صحة العملية الحسابية األصلية‪.‬‬
‫ثالثا‪ :‬الرقابة على المخرجات‬
‫إن الغ رض من إج راءات الرقاب ة على مخرج ات نظ ام الحاس وب ه و ض مان ص حة وكم ال دق ة‬
‫المعلومات وأيضا لضمان وصول تلك المخرجات إلى الجهات المستفيدة أو المخولة فقط وفي الوقت‬
‫المناسب أن الرقابة على المخرجات لها أهمية كبيرة حيث أنها تمثل المرحلة األخيرة التي تنف ذ فيه ا‬
‫إجراءات الرقابة على البيانات وذلك فهي تمثل الفرصة األخيرة لكشف أي أخطاء تسربت من خالل‬
‫إجراءات الرقابة المفروضة على مرحلتي اإلدخال ومعالج ة البيان ات ومن أس اليب الرقاب ة المتبع ة‬
‫على المخرجات ما يأتي‪:‬‬
‫أ‪ .‬مقارنة المجاميع الرقابي ة للمخرج ات بالمج اميع الرقابي ة للم دخالت للتأك د من ع دم ض ياع أو‬
‫إضافة أية بيانات في أثناء عملية معالجة البيانات والب د أن تتم عملي ة المقارن ة من قب ل األف راد‬
‫المسؤولين عن مراقبة مدخالت ومخرجات النظام وليس من قبل مشغلي الحاسوب‪.‬‬
‫ب‪ .‬البد من قي ام المراق بين بت دقيق عين ات من المخرج ات بعم ق وذل ك بفحص البيان ات من بداي ة‬
‫نشوئها من مصادرها األصلية من األقسام المنتجة لتل ك البيان ات وخالل إدخاله ا إلى الحاس وب‬
‫ومعالجتها واستخراج النتائج‪.‬‬
‫ج ‪ .‬ض مان توزي ع وإيص ال مخرج ات النظ ام إلى الجه ات المس تفيدة والمخول ة ب ذلك وفي ال وقت‬
‫المناسب‪.‬‬
‫د ‪ .‬التحقق من األخطاء ال تي تظه ر في كش ف األخط اء ‪ Enorlise‬ومعرف ة أس باب تل ك األخط اء‬
‫ومعالجتها‪.‬‬
‫دور اطار ‪ COBIT‬في تعزيز حوكمة تقنية المعلومات‪:‬‬
‫تم إصدار هذا اإلطار من قب ل مؤسس ة ت دقيق ورقاب ة نظم المعلوم ات (‪ )ISACF‬في ع ام‬
‫‪ ، 1996‬ثم قامت بتأسيس معهد حوكمة تقنية المعلومات في عام ‪ ، 1998‬الذي اصدر النسخة الثانية‬
‫‪9‬‬
 ‫منه في العام نفسه ‪ ،‬ومن ثم النسخة الثالثة في عام ‪ ، 2000‬والتي تعد نسخة متكاملة وش املة ‪ ،‬ثم تم‬
‫إصدار نسخة رابعة في ع ام ‪ ، 2005‬وأخ يرا تم إص دار النس خة الخامس ة في ع ام ‪ . 2011‬يمتل ك‬
‫إطار ‪ COBIT‬أربع ة وثالثين ه دفًا رقابي ا ‪ ،‬ينبث ق منه ا (‪ )210‬أه داف فرعي ة تتض من ض وابط‬
‫وممارسات تطبيقية مثلى ‪ ،‬وتمثل هذه األه داف مجموع ة من الض وابط المهم ة لتحقي ق الحوكم ة ‪.‬‬
‫جُـمِـعَـ ت ه ذه المعالج ات ض من أرب ع مج االت هي التخطي ط والتنظيم ‪ ،‬واالس تحواذ والتنفي ذ ‪،‬‬
‫والتوص يل وال دعم ‪ ،‬والمتابع ة ‪ ،‬ويق دم اإلط ار مؤش رات أداء ومنهجي ة للتق ييم والمراجع ة ‪ ،‬كم ا‬
‫تتكامل األهداف مع احتياجات المنظمة وأعمالها ‪ ،‬والشكل اآلتي يوضح هذا اإلطار‬
‫شكل (‪)10‬‬
‫أطار ‪COBIT‬‬

‫أهداف المنظمة‬

‫أهداف الحوكمة‬

‫‪COBIT‬‬
‫تحديد الخطة اإلستراتيجية لتقنية المعلومات‪.‬‬ ‫‪.1‬‬
‫تحديد الهيكل األساسي للمعلومات‪.‬‬ ‫‪.2‬‬
‫تحديد التوجهات التقنية‪.‬‬ ‫‪.3‬‬
‫تحديد وتنظيم عمليات تقنية المعلومات وعالقاتها‪.‬‬ ‫‪.4‬‬ ‫متابعة وتقييم أداء تقنية المعلومات‪.‬‬ ‫‪.1‬‬
‫إدارة االستثمار في تقنية المعلومات‪.‬‬ ‫‪.5‬‬ ‫متابعة وتقييم الرقابة الداخلية‪.‬‬ ‫‪.2‬‬
‫توصيل أهداف وتوجهات اإلدارة‪.‬‬ ‫‪.6‬‬ ‫تأكيد االلتزام بالمتطلبات الخارجية‪.‬‬ ‫‪.3‬‬
‫إدارة الموارد البشرية لتقنية المعلومات‪.‬‬ ‫‪.7‬‬ ‫توفير حوكمة تقنية المعلومات‪.‬‬ ‫‪.4‬‬
‫إدارة الجودة‪.‬‬ ‫‪.8‬‬
‫تقدير وإدارة مخاطر تقنية المعلومات‪.‬‬ ‫‪.9‬‬
‫إدارة المشروعات‬ ‫‪.10‬‬

‫معايير المعلومات‬

‫الفاعلية‬
‫الكفاءة‬
‫السرية‬
‫األمانة‬
‫التوافر‬
‫التوافق‬
‫االعتمادية‬
‫التخطيط والتنظيم‬ ‫المراقبة (المتابعة)‬

‫موارد تقنية المعلومات‬

‫التطبيقات‬
‫المعلومات‬
‫البنية التحتية‬
‫األفراد (األشخاص)‬
‫الدعم والتوصيل‬

‫االقتناء والتنفيذ‬ ‫تحديد وإدارة مستويات الخدمة‪.‬‬ ‫‪.1‬‬

‫إدارة خدمات الطرف الثالث‬ ‫‪.2‬‬
‫إدارة األداء والطاقة االستيعابية‪.‬‬ ‫‪.3‬‬
‫تأكيد استمرار الخدمات‪.‬‬ ‫‪.4‬‬
‫تأكيد امن النظم‪.‬‬ ‫‪.5‬‬
‫تحديد التكاليف وتخصيصها‪.‬‬ ‫‪.6‬‬
‫تأهيل وتدريب المستخدمين‪.‬‬ ‫‪.7‬‬
‫‪10‬‬ ‫إدارة الخدمات المكتب واألحداث المتعلقة بها‪.‬‬ ‫‪.8‬‬
‫إدارة التهيئة (التنسيق)‪.‬‬ ‫‪.9‬‬
‫إدارة المشكالت (المخاطر واألحداث الطارئة)‪.‬‬ ‫‪.10‬‬
‫إدارة البيانات‪.‬‬ ‫‪.11‬‬
‫إدارة بيئة التجهيزات الفنية (المادية)‪.‬‬ ‫‪.12‬‬
‫ادارة العمليات التشغيلية‪.‬‬ ‫‪.13‬‬
 ‫تحديد الحلول المؤتمتة‪.‬‬ ‫‪.1‬‬
‫االقتناء والمحافظة على البرامج التطبيقية‪.‬‬ ‫‪.2‬‬
‫االقتناء والمحافظة على البنية التحتية‪.‬‬ ‫‪.3‬‬
‫تمكين عمليات التشغيل واالستعمال‪.‬‬ ‫‪.4‬‬
‫الحصول على موارد تقنية المعلومات‪.‬‬ ‫‪.5‬‬
‫إدارة التغيير‪.‬‬ ‫‪.6‬‬
‫وضع الحلول والتغييرات واعتمادها‪.‬‬ ‫‪.7‬‬

‫المرتكزات التي يقوم عليها إطار ‪COBIT‬‬

‫يقوم إطار ‪ COBIT‬على المرتكزات اآلتية ‪:‬‬
‫‪ .1‬عمليات تقنية المعلومات‬
‫‪ .2‬معايير المعلومات‪.‬‬
‫‪ .3‬موارد تقنية المعلومات‪.‬‬
‫عمليات تقنية المعلومات‬
‫لكي نتمكن من االرتقاء بمستوى استعمال التقنية الب د من تنس يق ادوار أص حاب المص لحة ض من‬
‫مجاالت وإجراءات محددة يقترحها إطار ‪ COBIT‬لتحقيق الحوكمة وهي أربعة مجاالت‪:‬‬
‫‪ .1‬التخطيط والتنظيم ‪Plan and Organize‬‬
‫‪ .2‬االستحواذ والتطبيق ‪Acquisition and Implementation‬‬
‫‪ .3‬التوصيل والدعم ‪Delivery and Support‬‬
‫‪ .4‬المراقبة والتطوير ‪Monitoring and Evaluation‬‬
‫جاءت تسمية إطار ‪ COBIT‬من األحرف األولى ‪Control OBjectives for Information‬‬
‫‪ and Related Technologies‬والتي تعني األهداف الرقابي ة للمعلوم ات والتقني ات المتعلق ة به ا ‪،‬‬
‫والمقصود باألهداف الرقابية (الهدف الرقابي) أي إجراء أو ممارسة أو هيكلية سواء أكانت يدوية أم آلية‬
‫يتم تصميمها وضبطها لتض من بطريق ة مقبول ة تحقي ق أه داف المنظم ة ومن ع وق وع أي أح داث غ ير‬
‫مرغوبة أو يتم اكتشافها وتصحيحها عند حدوثها‪.‬‬
‫أوًال ‪ :‬التخطيط والتنظيم‪:‬‬
‫يغطي هذا المجال إستراتيجيات وتكتيكات متعلقة بالتعرف على الطريقة التي يمكن أن تق دم من‬
‫خاللها تقنية المعلومات ‪ ،‬أفضل مساهمة في إنجاز أهداف أنشطة األعم ال ‪ ،‬فض ال عن معرف ة الرؤي ا‬
‫اإلستراتيجية المطلوب تحقيقها وتوصيلها وإدارتها بالنسبة إلى مختلف جوانب تقني ة المعلوم ات‪ .‬فض ال‬
‫عن وض ع التنظيم الص حيح والبني ة التحتي ة لتقني ة المعلوم ات في موض عها المناس ب ‪ ،‬ويتض من ه ذا‬
‫المجال (‪ ) 10‬أهداف وهي تهدف للمواءمة اإلستراتيجية بين التقنية وأعمال المنظمة من خالل وجود حد‬
‫أدنى من التخطيط (قصير ‪ ،‬ومتوسط األجل) ‪ ،‬وقيام المنظمة بتوفير الهياكل التنظيمي ة لجه از التقني ة ‪،‬‬
‫والتواصل فيما يتعلق باستراتيجيات التقني ة م ع اإلدارات وش ركاء األعم ال ‪ ،‬فض ال عن قي ام المنظم ة‬
‫بتوفير سياسات الموارد البشرية الخاصة بفريق تقنية المعلومات ‪ ،‬وسياسات الج ودة الخاص ة بالتقني ة ‪،‬‬
‫وسياسة امن المعلومات ‪ .‬ويتضمن هذا المجال األهداف ‪:‬‬
‫‪ .1‬تحديد الخطة اإلستراتيجية لتقنية المعلومات‪.‬‬
‫‪ .2‬تحديد الهيكل األساسي للمعلومات‪.‬‬
‫‪ .3‬تحديد التوجهات التقنية‪.‬‬
‫‪ .4‬تحديد وتنظيم عمليات تقنية المعلومات وعالقاتها‪.‬‬
‫‪ .5‬إدارة االستثمار في تقنية المعلومات‪.‬‬
‫‪ .6‬توصيل أهداف وتوجهات اإلدارة‪.‬‬
‫‪ .7‬إدارة الموارد البشرية لتقنية المعلومات‪.‬‬
‫‪ .8‬إدارة الجودة‪.‬‬

‫‪11‬‬
 ‫تقدير وإدارة مخاطر تقنية المعلومات‪.‬‬ ‫‪.9‬‬
‫إدارة المشروعات‬ ‫‪.10‬‬
‫ثانيا ‪ :‬االستحواذ والتنفيذ‪:‬‬
‫لغرض تكوين رؤية إستراتيجية عن تقنية المعلومات ‪ ،‬فإن األمر يتطلب معرفة الحلول التي تق دمها‬
‫تقنية المعلومات ‪ ،‬وامتالكها وتطويرها ‪ ،‬وبما يجعل تنفي ذها يتكام ل ض من عملي ات المعالج ة ألنش طة‬
‫األعمال‪ .‬فضال عن شمول تغييرات وإدامة النظم الحالية به ذه الرؤي ة للتأك د من إس تمراريتها في تلبي ة‬
‫الحلول الموضوعة ألهداف أنشطة األعمال ‪ ،‬ويشمل ه ذا المج ال تحقي ق الحوكم ة في مش اريع توري د‬
‫وتطبيق الحلول التقنية وضبط العالقات مع المق اولين ‪ ،‬وتط وير واس تبدال وص يانة النظم القائم ة بنظم‬
‫حديث ة كم ا يش مل تكام ل النظم م ع إج راءات األعم ال ‪ ،‬وإدارة التغي ير المطل وب لتط بيق النظم على‬
‫مستوى إدارات األعمال والعمليات الخاصة بالتقنية ‪ ،‬ويتضمن هذا المجال األهداف اآلتية ‪:‬‬
‫‪ .1‬تحديد الحلول المؤتمتة‪.‬‬
‫‪ .2‬االقتناء والمحافظة على البرامج التطبيقية‪.‬‬
‫‪ .3‬االقتناء والمحافظة على البنية التحتية‪.‬‬
‫‪ .4‬تمكين عمليات التشغيل واالستعمال‪.‬‬
‫‪ .5‬الحصول على موارد تقنية المعلومات‪.‬‬
‫‪ .6‬إدارة التغيير‪.‬‬
‫‪ .7‬وضع الحلول والتغييرات واعتمادها‪.‬‬
‫ثالثا ‪ :‬التوصيل والدعم ‪:‬‬
‫يُـعنى هذا المجال بالتزويد الفعلي للخدمات المطلوبة ‪ ،‬والتي تتضمن خدمة التوصيل ‪ ،‬وإدارة أمن‬
‫الخدمة واستمرارية توفيرها للمستخدمين ‪ ،‬وإدارة البيان ات والمنش آت التش غيلية ‪ ،‬ويش مل ه ذا المج ال‬
‫تحقيق الحوكمة في أثناء تقديم الخدمات المعلوماتية ‪ ،‬سواء أكانت الخدمات ذات الصفة الفنية البحتة ‪ ،‬أم‬
‫اللوجس تية والمس اندة للمس تخدمين ‪ .‬ويش مل إدارة اتفاقي ات الخ دمات والمق اولين والعملي ات الخاص ة‬
‫باس تمرارية الخ دمات المعلوماتي ة ‪ ،‬وإدارة اإلع دادات (الترتيب ات) ‪ Configuration‬المتعلق ة‬
‫بالمتغيرات الخاصة بالنظم واألجهزة لضبطها كي تعمل بالتناسق م ع بعض ها البعض ‪ ،‬ويش مل ت دريب‬
‫العاملين وتطوير مه اراتهم ‪ ،‬وإدارة المخ اطر واألح داث الطارئ ة ‪ ،‬وإدارة الج ودة ‪ ،‬وتحس ين األداء ‪،‬‬
‫ويشمل هذا المجال (‪ )13‬هدف وهي ‪ ،‬على النحو اآلتي ‪:‬‬
‫‪ .1‬تحديد وإدارة مستويات الخدمة‪.‬‬
‫‪ .2‬إدارة خدمات الطرف الثالث (المقاولين ومقدمي الخدمات)‪.‬‬
‫‪ .3‬إدارة األداء والطاقة االستيعابية‪.‬‬
‫‪ .4‬تأكيد استمرار الخدمات‪.‬‬
‫‪ .5‬تأكيد امن النظم‪.‬‬
‫‪ .6‬تحديد التكاليف وتخصيصها‪.‬‬
‫‪ .7‬تأهيل وتدريب المستخدمين‪.‬‬
‫‪ .8‬إدارة الخدمات المكتب واألحداث المتعلقة بها‪.‬‬
‫‪ .9‬إدارة التهيئة (التنسيق)‪.‬‬
‫‪ .10‬إدارة المشكالت (المخاطر واألحداث الطارئة)‪.‬‬
‫‪ .11‬إدارة البيانات‪.‬‬
‫‪ .12‬إدارة بيئة التجهيزات الفنية (المادية)‪.‬‬
‫‪ .13‬إدارة العمليات التشغيلية‪.‬‬
‫رابعا ‪ :‬المتابعة والتقويم ‪:‬‬
‫تتطلب جميع عمليات المعالجة بموجب تقنية المعلومات ‪ ،‬أن يتم الوصول له ذه التقني ات على وف ق‬
‫س ياقات منتظم ة فيم ا يتعل ق بجودته ا وإمتثاله ا لمتطلب ات الرقاب ة‪ .‬ويتص دى مج ال المتابع ة والتق ويم‬
‫للجوانب المتعلقة بإدارة األداء ‪ ،‬ومتابعة الرقابة الداخلي ة ‪ ،‬واإلمتث ال للتش ريعات ‪ ،‬وتوف ير الحوكم ة ‪،‬‬
‫‪12‬‬
‫ولكي تتمكن المنظمة من االستمرار بتحسين وتطوير مستوى الحوكمة ‪ ،‬تم تقديم مجموعة من األهداف‬
‫لبناء مؤشرات أداء تقيس مستوى تطبيق الحوكم ة اس تنادا إلى مفه وم بطاق ة األداء المت وازن وتتض من‬
‫هذه األهداف تقييم مستوى اإلجراءات التقني ة وتحس ينها ‪ ،‬وتنفي ذ عملي ات الت دقيق ال داخلي والخ ارجي‬
‫دوريا لتأكيد التوافق مع المتطلبات والسياسات المختارة للتطبيق وتتضمن األهداف اآلتية‪:‬‬
‫‪ .1‬متابعة وتقييم أداء تقنية المعلومات‪.‬‬
‫‪ .2‬متابعة وتقييم الرقابة الداخلية‪.‬‬
‫‪ .3‬تأكيد االلتزام بالمتطلبات الخارجية‪.‬‬
‫‪ .4‬توفير حوكمة تقنية المعلومات‪.‬‬
‫معايير جودة تقنية المعلومات‪:‬‬
‫أشار إطار ‪ COBIT‬إلى أن تحقيق أعمال المنظمة وحوكمة األه داف يتطلب ض وابط كافي ة‬
‫على موارد تقنية المعلومات لضمان تقديم معلومات للإدارة تلبي سبعة معايير رئيسة وهي ‪:‬‬
‫‪ .1‬الفاعلي ة (‪ : )Effectiveness‬وهي الق درة على اإلتي ان بالفع ل إلنت اج منتج ملم وس أو غ ير‬
‫ملموس ‪ ،‬أما صفات المنظومة المعلوماتية ذات الفاعلية فتتلخص بقدرة المنظوم ة على توف ير‬
‫المعلومات التي تحتاجه ا المنظم ة لتحقي ق أه دافها اإلس تراتيجية والتش غيلية ‪ ،‬وان المعلوم ات‬
‫يجب أن تكون مالئمة وان تقدم في الوقت المناسب‪.‬‬
‫‪ .2‬الكفاءة (‪ :)Efficiency‬يتخذ هذا المفهوم بعدا اقتص اديا ‪ ,‬إذ ينبغي أن تحق ق تقني ة المعلوم ات‬
‫الفاعلة جدوى اقتصادية للمنظم ة ‪ ،‬من خالل تحقي ق أعلى عائ د على االس تثمار فيه ا ‪ ،‬وتق ديم‬
‫الخدمة ضمن مصاريف تشغيلية مقبولة تتناسب مع قدرة المنظمة واحتياجاتها ‪ ،‬وكذلك تتضمن‬
‫حسن استغالل وتوظيف المصادر المادية والبشرية ‪.‬‬
‫‪ .3‬السرية (‪ : )Confidentiality‬ويشمل التدابير الالزمة لمنع األشخاص غير المص رح لهم من‬
‫االطالع على المعلوم ات الحساس ة أو الس رية ‪ .‬وعلى المنظم ة إدراك حساس ية المعلوم ات‬
‫وض رورة تب ني مب دأ منح الح د األدنى من الص الحيات للمس تخدمين ‪ ،‬وان يك ون الوص ول‬
‫للمعلومات مستندا إلى حاجة المستخدم للمعلومات على وفق طبيعة عمل ومقتضياته‪.‬‬
‫‪ .4‬النزاه ة (االمان ة) (‪ : )Integrity‬ويتض من ه ذا المفه وم ج وانب متع ددة منه ا أن المنظوم ة‬
‫المعلوماتية تتمتع بمستوى من النزاهة واالستقاللية ‪ ،‬وتحافظ على صحة البيانات ال تي تجمعه ا‬
‫وتحتويها ‪ ،‬وأاَّل تسمح بأي تعديل أو اختراق سواء أكان على مس توى النظم أم البني ة التحتي ة ‪،‬‬
‫وان يتمتع الفريق الفني بالنزاهة واالستقاللية ‪ ،‬وان يتم حفظ واسترجاع وتعديل وإلغاء البيانات‬
‫من خالل األطراف ذات الصالحية من دون التجاوز على ذلك‪ .‬كما يتضمن هذا المفهوم اكتمال‬
‫المنظومة المعلوماتية وتماسكها ووحدتها ‪ ،‬وتقديم المعلوم ة الدقيق ة في أي وقت ومن خالل أي‬
‫قناة من قنوات الوصول للبيانات مما يمنحها موثوقية ل دى األط راف المس تفيدة من المعلوم ات‬
‫ويمنح المنظمة واألفراد الع املين فيه ا المص داقية فيم ا يقدمون ه من معلوم ات ‪ ،‬وبخالف ذل ك‬
‫تكون المنظومة المعلوماتية ضعيفة وال يمكن االعتماد عليها من دون التحقق من المعلوم ة ‪ .‬أن‬
‫تحقق هذا المعيار يحتاج إلى تخطيط سليم وتنسيق تام من قبل القياديين والتنفيذيين والفنيين‪.‬‬
‫‪ .5‬الجاهزية (التوافر) (‪ : )Availability‬ويتضمن هذا المفهوم قدرة المنظوم ة المعلوماتي ة على‬
‫توفير المعلومات لمن يحتاجها في األوقات واألماكن المطلوب ة على وف ق مص لحة العم ل ‪ ،‬أي‬
‫توفير المعلومات خالل ساعات العمل الرسمي أو على مدار الساعة وبأقل قدر من االنقطاع في‬
‫الخدمات ‪ ،‬فضال عن قدرة الفرق التقنية على استعادة الجاهزية بعد ح دوث األعط ال المفاجئ ة‬
‫والناتجة عن أسباب متعددة منها األعطال التقنية أو سوء التش غيل أو إهم ال الف رق التقني ة ‪ ،‬أو‬
‫الناتج ة عن اس تنزاف الم وارد التقني ة وتحميله ا ب أكثر من طاقته ا ‪ ،‬كم ا يمكن أن تنتج عن‬
‫الحوادث األمنية واالختراق ات ‪...‬الخ ‪ ،‬وعلى اإلدارة حص ر ومجابه ة ه ذه األخط ار ب الحلول‬
‫الرادعة والتخطيط السليم الستمرارية األعمال في المنظمة ‪ ،‬وتدريب العاملين على التعامل مع‬
‫المواقف المختلفة والمتوقع حدوثها‪.‬‬
‫‪ .6‬االمتثال (التوافق) (‪ :)Compliance‬ي أتي ه ذا المفه وم الس تكمال مع ايير ج ودة المعلوم ات‬
‫وينبغي أن تتوافق هذه المعايير مع مجموعة من المعايير المؤسسية والنموذجية والتشريعية ‪ ،‬إذ‬
‫‪13‬‬
‫ينبغي أن تتوافق المنظومة المعلوماتية أوال مع سياسات واستراتيجيات المنظمة ‪ ،‬مثل سياس ات‬
‫المش تريات والتوظي ف ‪ ،‬والتوجه ات اإلس تراتيجية التقني ة ‪ ،‬فض ال عن التواف ق م ع النظم‬
‫والتشريعات المقررة من الجهات الرسمية تجنبا ألي ة مس اءالت أو مخالف ات ق د ت ؤثر س لبا في‬
‫المنظمة‪.‬‬
‫الموثوقي ة (االعتمادي ة) (‪ : )Reliability‬ويش مل ه ذا المفه وم تكام ل أج زاء المنظوم ة‬ ‫‪.7‬‬
‫المعلوماتية وتماسكها لتشكل قاع دة األعم ال في المنظم ة بحيث يمكن االعتم اد عليه ا في أداء‬
‫األعمال اليومية واالعتم اد على مخرجاته ا من بيان ات وإحص ائيات وتق ارير لخدم ة أعماله ا‬
‫التشغيلية واإلستراتيجية ‪ ،‬ودعم اتخاذ الق رارات باالعتم اد على البيان ات الكمي ة ال تي توفره ا‬
‫المنظومة المعلوماتي ة بع د إدخاله ا ومعالجته ا وتق ديمها في أش كال ‪ ،‬تخ دم عملي ات التخطي ط‬
‫االستراتيجي ألعمال المنظمة ‪ ،‬ومن ثم تصبح التقنية أداة فاعلة لدى المنظم ة تس هم في تحقي ق‬
‫الميزة التنافسية المستمرة ‪ ،‬ومع تزايد االعتماد على التقنية فان مفه وم االعتمادي ة يمت د ليش مل‬
‫ق درة المنظوم ة على التوس ع والش مول لالحتياج ات المتج ددة إلدارات األعم ال ‪ ،‬واالمت داد‬
‫المتوازن أفقي ا وعمودي ا في البيان ات والتطبيق ات والتجه يزات والك وادر البش رية نتيج ة له ذا‬
‫التوسع الحتمي في نشاط المنظمة وبخالف ذلك تصبح المنظومة المعلوماتية عائقا أمام التوس ع‬
‫في أعمال المنظمة ونشاطاتها‪ .‬والشكل اآلتي يوضح هذه المعايير‪.‬‬
‫شكل (‪)11‬‬
‫معايير جودة المعلومات‬

‫الفاعلية‬

‫الموثوقية‬
‫الكفاءة‬
‫(االعتمادية)‬

‫المنظومة المعلوماتية‬

‫االمتثال‬
‫السرية‬
‫(التوافق)‬

‫التكامل‬
‫االتاحة‬
‫(السالمة)‬

‫موارد تقنية المعلومات على وفق إطار ‪COBIT‬‬

‫تتكون المنظومة المعلوماتية من أربعة عناصر وهي‪:‬‬
‫‪ .1‬المعلومات ‪. Information‬‬
‫‪ .2‬التطبيقات ‪. Applications‬‬
‫‪ .3‬البنية التحتية ‪. Infrastructure‬‬
‫‪ .4‬اإلفراد (الناس) ‪. People‬‬
‫أوال ‪ :‬المعلومات‪:‬‬

‫‪14‬‬
‫يقصد بالمعلومات مجموعة من البيان ات المنظم ة والمنس قة ‪ ،‬أو هي بيان ات تمت معالجته ا ثم‬
‫تطبيقها وتحليله ا وتنظيمه ا وتلخيص ها بش كل يس مح باس تعمالها واإلف ادة منه ا إذ أص بحت ذات مع نى‬
‫لمستخدميها ‪ ،‬وينبغي التفرقة بين المعلومات والبيانات من جه ة والمعرف ة من جه ة أخ رى ‪ ،‬فالبيان ات‬
‫هي مواد وحقائق أولية خام ليست ذات قيمة بشكلها األولي ما لم تتحول إلى معلومة مفهومة ومفي دة ‪ ،‬أو‬
‫هي مجموعة من الحقائق والمشاهدات قد تكون أرقامًا أو كلمات أو رموز أو ح روف‪ .‬ويمكن أن تجم ع‬
‫البيانات عن طريق المالحظة أو المشاهدة وتخ زن بأس لوب معين ويمكن أن تع بر عن حق ائق حالي ة أو‬
‫تاريخية أو مستقبلية‪ .‬أما المعرفة فهي عبارة عن معلومات تم تنظيمها ومعالجتها لتحويلها إلى خ برة أو‬
‫معرفة مبتكرة ال تعرف عنها شئ من قبل ‪ ،‬أو تصف ش يئا يوس ع من معارفن ا الس ابقة أو يع دل منه ا ‪.‬‬
‫ونرى وجود عالقة بين المفاهيم الثالثة إذ يتم تحويل البيانات بعد معالجتها إلى معلومات ومن ثم تحوي ل‬
‫المعلومات بعد تنظيمها ومعالجتها إلى معرفة ‪ ،‬أي أن البيانات ُتَّعد مادة خام للمعلومات والمعلومات ُتَّعد‬
‫مادة خام للمعرفة ‪ ،‬وتجدر اإلشارة إلى أن ما يعد معلومات لشخص ما ق د يّع ده شخص ا آخ ر بيان ات ال‬
‫يمكن اإلفادة منها ‪ ،‬وفي هذا الصدد يرى الحسبان اس تعمال معي ارين للتمي يز بين البيان ات والمعلوم ات‬
‫أولهما درجة اإلفادة والثاني إجراء المعالجة‪.‬‬
‫وفي عصر المعلومات أصبح لزاما على المنظمات توثيق ما لديها من معلوم ات ض من قواع د‬
‫بيانات منظمة وتحويل هذه المعلوم ات إلى مع ارف ‪ ،‬وتس هيل الوص ول إليه ا كي يتم االس تفادة منه ا ‪،‬‬
‫وعلى اإلدارة تعزيز مفهوم ملكية البيانات ل دى اإلدارات والع املين في المنظم ة لفهم مس ؤولياتهم تج اه‬
‫البيان ات والمعلوم ات ال تي يملكونه ا أو ال تي تق ع تحت إدارتهم وعليهم حص رها وتص نيفها للتمكن من‬
‫حمايتها بمساعدة فرق تقنية المعلومات ‪.‬‬
‫ثانيا ‪ :‬التطبيقات ‪:‬‬
‫التطبيقات هي مجموعة من النظم الممكنة إلجراءات األعمال وما يساندها من إج راءات يدوي ة‬
‫شاملة وسياسات االستعمال والتعليمات وإجراءات التشغيل ‪ ،‬وتتكون التطبيق ات من ح زم ال برامج ال تي‬
‫تتعامل مع قواعد البيانات حفظا واسترجاعا ‪ ،‬وقد يتم بناء هذه البرامج والنظم داخل المنظم ة ض من م ا‬
‫يعرف بالتطوير الداخلي ‪ ،‬أو يتم توفيرها من خالل تركيب حزم البرامج الجاهزة وتوليفها لتتناس ب م ع‬
‫احتياجات المنظمة ‪ ،‬أو ق د تك ون ال برامج مزيج ا من الن وعين لتأس يس منظوم ة من التطبيق ات إلدارة‬
‫أعمال المنظمة بصورة آلية‪.‬‬
‫وبقدر تعلق األمر بحوكمة تقنية المعلومات فان التطبيق ات تك اد تك ون أس اس أعم ال المنظم ة‬
‫المحوسبة وعلى القياديين االهتمام بتوفير حزم البرامجيات المناسبة ‪ ،‬ودعم تطبيقه ا ‪ ،‬وتفعي ل م ا أمكن‬
‫من عملي ات محوس بة وإج راءات آلي ة توفره ا ه ذه التطبيق ات ‪ ،‬الن تك اليف توف ير ه ذه التطبيق ات‬
‫لالستعمال تعد استثمارا من قبل المنظمة ‪ ،‬وإذا لم يتم استثمارها س تتحول ه ذه االس تثمارات إلى نفق ات‬
‫غير ذات جدوى‪.‬‬
‫ثالثا ‪ :‬البنية التحتية ‪:‬‬
‫تش كل البني ة التحتي ة القاع دة األس اس ال تي تس هم في تق ديم جمي ع خ دمات المعلوم ات‬
‫واالتصاالت ‪ ،‬إذ تشمل الخ وادم (‪ )Servers‬والمحط ات الطرفي ة (‪ ، )Terminals‬وأجه زة الحاس ب‬
‫الشخصية ‪ ،‬ووسائط حفظ البيانات ‪ ،‬كما تشمل البني ة التحتي ة الش بكية إح دى المكون ات الرئيس ة وال تي‬
‫تشمل مقسمات التب ادل ال رقمي ‪ ،‬وأجه زة اإلرس ال والتوزي ع الش بكي ‪ ،‬وم ا يرافقه ا من نظم لمراقب ة‬
‫وصيانة حركة المعلومات في الشبكة ‪ ،‬كما تشمل البنية التحتي ة أجه زة التزوي د بالطاق ة وأجه زة األمن‬
‫والسالمة والحماية للمرافق المعلوماتية التي تحتوي مكونات البنية التحتية والعاملين على تشغيلها ‪.‬‬
‫وتتطلب حوكمة تقنية المعلومات ضرورة سعي القياديين في المنظمة إلى توف ير البني ة التحتي ة‬
‫وبالقدرات واإلمكانيات التي تحتاجها أعمال المنظمة وضرورة توف ير متطلباته ا التش غيلية من عناص ر‬
‫بشرية وتراخيص استعمال ‪ ،‬وذلك من اجل تأسيس بنية تحتية معلوماتية تخدم أعم ال المنظم ة وتحقي ق‬
‫إستراتيجيتها‪.‬‬
‫رابعا ‪ :‬األفراد (البشر) ‪:‬‬

‫‪15‬‬
‫يعد العنصر البش ري مح ور العناص ر المعلوماتي ة إذ أن التقني ة وج دت لخدمت ه ويمكن تقس يم‬
‫العنصر البشري حسب صلته بتقنية المعلومات إلى ثالث فئات وهي ‪:‬‬
‫‪ .1‬مالكو البيانات (‪.)Data Owners‬‬
‫‪ .2‬خادمو البيانات (‪.)Data Custodians‬‬
‫‪ .3‬مستخدمو البيانات (‪.)Data Users‬‬
‫يمارس في بعض األحيان الشخص نفس ه أك ثر من دور واح د ‪ ،‬وق د ينتمي لبعض الفئ ات عناص ر‬
‫بش رية من خ ارج المنظم ة ‪ ،‬ويس اعد ه ذا التقس يم على بن اء هيكلي ة للمس ؤولية المؤسس ية عن حماي ة‬
‫البيانات ‪ ،‬واألدوار القياسية التي ينبغي أن تناط بكل فئة من اجل تحقيق أمن المعلوم ات للمنظم ة ‪ ،‬وان‬
‫المتلقي األس اس للخ دمات المعلوماتي ة هم أص حاب المص لحة بكاف ة فئ اتهم وفي ال وقت نفس ه يش كلون‬
‫مصدرا مهما للمخاطر األمنية التي تهدد المنظومة المعلوماتية للمنظمة‪.‬‬
‫وفيما يخص حوكمة تقنية المعلومات ينبغي على المنظمة العناية بهذا الموضوع من خالل مجموعة‬
‫من األم ور على رأس ها التع رف على البيان ات الموج ودة ل ديها وتص نيفها ومن ثم ة تحدي د مس تويات‬
‫السرية واإلطالع المسموح به وغير المسموح ‪ ،‬وظروف وسياس ات االحتف اظ بالبيان ات ‪ ،‬إذ إن حماي ة‬
‫البيانات تفرض على المنظمة تكاليف مختلفة ‪ ،‬كما ينبغي عدم اإلفراط في حماية البيانات غير المهم ة ‪،‬‬
‫كما ينبغي التوقف عن حماية البيانات بعد تقادم الزمن أو إتالفها أذا تطلب األمر ذلك‪.‬‬
‫وعلى المنظمة التأكد نسبيا من نزاهة العاملين في خدم ة البيان ات من فن يين وف رق تش غيل ‪ ،‬س واء‬
‫أكانوا موظفين لديها أم عاملين في مكاتب المقاولين الذين تم التعاقد معهم لتقديم الخدمات الفنية والتقنية ‪،‬‬
‫وعلى المنظمة تبني سياس ات وإج راءات للتوظي ف والتعاق د م ع الع املين والمق اولين ت راعي المس ائل‬
‫األمنية م ع ض رورة تثقي ف الع املين وت أهيلهم للتعام ل م ع مس ائل امن المعلوم ات على وف ق األدوار‬
‫المناطة بهم ‪ ،‬وتوضيح مهام فرق تقنية المعلومات ومهام اإلدارات ومالكي البيانات والمستفيدين منه ا ‪،‬‬
‫ومراقبة ص الحيات ال دخول للنظم دوري ا وتخص يص آلي ات لمنح وحجب الص الحيات بص ورة فاعل ة‬
‫وآمنة‪ .‬وعلى المنظمة عدم إهمال التعامل مع حوادث امن المعلومات ‪ ،‬واتخاذ اإلجراءات الرادعة بح ق‬
‫مرتكبيها ‪ ،‬وتطوير قدراتها القانونية والحقوقية في هذا المجال‪.‬‬

‫أساليب التدقيق المستخدمة في ظل التطور االلكتروني ‪:‬‬

‫يقص د بالت دقيق االلك تروني "علمي ة تط بيق أي ن وع من األنظم ة باس تعمال تقني ة المعلوم ات‬
‫لمساعدة المدقق في التخطيط والرقابة وتوثيق أعمال التدقيق" ‪ ،‬إذ يركز هذا التعري ف على اس تعمال‬
‫تقنية المعلومات في عملية الت دقيق لمس اعدته في انج از عملي ة الت دقيق ابت دءا من التخطي ط م رورا‬
‫بالرقابة ومن ثم التوثيق ‪ ،‬وهناك ثالث طرق يلجأ إليها المدقق في عملية التدقيق وحسب تطورها‪:‬‬
‫‪ .1‬التدقيق حول الحاسوب‪.‬‬
‫‪ .2‬التدقيق من خالل الحاسوب‪.‬‬
‫‪ .3‬التدقيق بواسطة الحاسوب‪.‬‬
‫‪ .1‬التدقيق حول الحاسوب‬
‫ظهرت هذه الطريقة لعدم وجود المعرفة العلمية والعملي ة ل دى الم دقق ح ول تكنولوجي ا الحاس وب‪،‬‬
‫والكيفية ال تي يتم به ا ت دقيق الحس ابات المحض رة بواس طة الحاس وب ل ذا ف ان الم دقق حس ب ه ذه‬
‫الطريقة سوف لن يقوم باستخدام الحاسوب ويهمل ما يج ري داخ ل الحاس وب أو الص ندوق األس ود‬
‫كما يسمى عادة في هذه الحالة‪ ،‬ولتنفيذ االختبارات األساسية يقوم المدقق بتتبع مسار عملية محاسبية‬
‫معينة من بداية نشوئها أي من المستندات والوثائق األصلية ووصوال إلى مخرج ات النظ ام ال تي يتم‬
‫طبعها بواسطة الحاسوب أو بالعكس ويقوم المدقق بمقارنة مخرجات النظام التي يتم طبعها بواس طة‬
‫الحاسوب أو بالعكس ويقوم المدقق بمقارنة مخرجات الحاس وب م ع المس تندات األص لية المنظ ورة‬
‫للبيانات المحاسبية وأيضا مع المستندات التي يتم إعدادها من قبل المنش اة تحت الت دقيق (مث ل ق وائم‬
‫الشراء والبيع ومستندات القبض والدفع للنقدية وغيرها من المستندات) وك ذلك م ع المس تندات ال تي‬
‫يحصل عليها المدقق من األطراف الخارجية مثل ش هادات التأيي د من العمالء والبن وك وفض ال عن‬

‫‪16‬‬
‫الجرد الفعلي لموجودات المنشاة ومقارنتها مع األرصدة الظاهرة في مخرجات الحاس وب‪ ،‬ويالح ظ‬
‫أن إجراءات التدقيق المتبعة في هذه الطريقة شبيهة إلى حد كبير بإجراءات تدقيق األنظمة المحاسبية‬
‫اليدوية‪.‬‬
‫تتص ف ه ذه الطريق ة بس هولة تطبيقه ا وأنه ا ال تتطلب معرف ة لتكنولوجي ا الحاس وب وأنه ا أك ثر‬
‫اقتصادية من الطرق األخرى‪ ،‬وبالرغم من ذلك فان لهذه الطريقة عدة مساوئ أهمها أن عدم تع رف‬
‫المدقق على طبيعة وحجم إجراءات الرقابة الموجودة في أجهزة وب رامج الحاس وب ي ؤدي إلى ع دم‬
‫تعرف ه على م واطن الض عف الموج ودة في النظ ام وع دم تحدي د مخ اطر الرقاب ة بص ورة دقيق ة‬
‫وصحيحة وبالتالي يؤدي إلى عدم تكامل عملية التدقيق‪ ،‬وكذلك عند إتباع ه ذه الطريق ة ف ان الم دقق‬
‫لن يس تفيد من اإلمكاني ات الهائل ة ال تي يوفره ا الحاس وب في إتم ام ع دد كب ير من االختب ارات‬
‫وإجراءات التدقيق في وقت قصير فضال عن ذلك إذا كان لدى المنشاة تحت المراجعة نظام محاسبي‬
‫الكتروني معقد مثل نظام التشغيل الفوري للبيانات فانه لن يكون بإمكان المدقق تنفي ذ عملي ة الت دقيق‬
‫باالعتماد على هذه الطريقة‪.‬‬
‫‪ .2‬التدقيق من خالل الحاسوب‪ :‬ويتم تنفيذها بعدة أساليب منها‪:‬‬
‫أ‪ .‬البيانات االختبارية‪.‬‬
‫وتسمى أحيانا بأقراص االختب ار وتعت بر ه ذه الطريق ة من أك ثر الط رق ش يوعا في عملي ة اختب ار‬
‫االل تزام من خالل الحاس وب‪ .‬إن الخط وة األولى لتنفي ذ ه ذه الطريق ة هي الحص ول على ال برامج‬
‫التطبيقية التي تستخدمها المنش أة تحت الت دقيق وال تي تك ون مخزون ة ع ادة في أش رطة أو أق راص‬
‫مغناطيسية‪ ،‬وفي الخطوة الثانية يقوم المدقق بإعداد بيان ات وعملي ات حس ابية وهمي ة وال تي س وف‬
‫تس تخدم في عملي ة االختب ار يجب أن يأخ ذ الم دقق في الحس بان ع دة أم ور عن د إع داد البيان ات‬
‫االختبارية أهمها‪:‬‬
‫‪ -‬احت واء البيان ات االختباري ة على عملي ات محاس بية ص حيحة ال تحت وي على أي ة أخط اء وال‬
‫تتع ارض م ع نق اط االختب ار والرقاب ة الموج ودة في ال برامج‪ ،‬وك ذلك إع داد عملي ات دراس ية‬
‫تتضمن أخطاء ومعلومات غير معقول ة‪ ،‬ويجب على الم دقق أن يح اول ق در اإلمك ان أن تك ون‬
‫البيانات ال تي يق وم بإع دادها متض منة لكاف ة األخط اء المحتم ل ح دوثها فعال في النظ ام بحيث‬
‫يتمكن المدقق بواسطتها اختبار كافة إجراءات الرقابة الموجودة في برامج وأجهزة الحاسوب‪.‬‬
‫‪ -‬الب د للم دقق أن يك ون على معرف ة تام ة بطبيع ة العملي ات المحاس بية ال تي تع الج في النظ ام‬
‫المحاسبي االلكتروني لضمان إعداد عمليات محاسبية وهمية تكون مشابه بدرجة كبيرة للعمليات‬
‫المحاسبية الحقيقية‪.‬‬
‫‪ -‬على المدقق استخدام ملفات رئيسية اختباريه أو نسخة من الملفات الرئيسية للمنشاة في المراجعة‬
‫وذلك لتالفي إدخال بيانات وهمية إلى الملفات الرئيسية الحقيقية للعميل‪.‬‬
‫وبعد إدخال البيانات االختبارية إلى الحاس وب ومعالجته ا بواس طة ال برامج التطبيقي ة للمنش أة يق وم‬
‫المدقق بمقارنة النتائج ال تي توص ل إليه ا م ع النت ائج ال تي ك ان الم دقق يتوق ع الحص ول عليه ا من‬
‫معالجة البيانات االختبارية فإذا تطابقت النتائج الفعلية والمتوقعة لعملية االختبار فان ذلك يعتبر دليال‬
‫على أن برامج الحاسوب للعميل تعم ل بص ورة ص حيحة وان إج راءات الرقاب ة الموج ودة في تل ك‬
‫البرامج تعم ل فعال وبش كل كف وء‪ .‬أم ا في حال ة ظه ور اختالف ات بينه ا فيجب على الم دقق عندئ ذ‬
‫التحقق من األسباب الحقيقية الكامنة وراء تلك االختالفات‪ ،‬وقد يعود السبب لوجود عط ل في جه از‬
‫الحاسوب أو إن استخدام برامج وأجهزة الحاسوب تم بطريقة خاطئ ة‪ ،‬أي ان ه ليس في ك ل األح وال‬
‫يكون سبب االختالفات هو ضعف في إجراءات الرقابة في برامج الحاسوب‪.‬‬
‫إن لهذه الطريقة مزايا منها يحصل المدقق على أدلة موض وعية عن م دى فعالي ة وكف اءة إج راءات‬
‫الرقاب ة الموج ودة في ب رامج الحاس وب‪ ،‬فض ال عن ان ه ذه الطريق ة تتطلب خ برة قليل ة في مج ال‬
‫استخدام الحاسوب مقارنة مع الطرق األخرى أم ا عيوبه ا أن ال برامج التطبيقي ة ال تي يتم الحص ول‬
‫عليها من العميل قد ال تكون هي نفس البرامج التطبيقية المس تخدمة فعال ل دى العمي ل‪ .‬ل ذا ف ان على‬
‫المدقق اختبار البرامج بشكل مفاجئ‪ ،‬كذلك تتطلب هذه الطريقة الكثير من التكاليف والوقت‪ ،‬كم ا إن‬
‫‪17‬‬
‫إعداد البيانات االختبارية تحتاج إلى جهد كب ير‪ ،‬ويص عب اس تخدام ه ذه الطريق ة إذا ك انت المنش أة‬
‫تحت التدقيق تستخدم نظام التشغيل الفوري للبيانات‪.‬‬
‫كذلك ال يمكن للمدقق التأكد من أن إجراءات الرقابة ال تي ق ام باختباره ا موج ودة في بقي ة األوق ات‬
‫خالل الفترة تحت التنفيذ إال إذا قام باختبار العمليات بصورة متكررة ومفاجئة وفي أوقات مختلفة‪.‬‬
‫ب‪ .‬طريقة المحاكاة المتوازية‬
‫بإتباع هذه الطريقة يقوم المدقق بإعادة معالجة البيانات المحاسبية الحقيقية للعميل التي تمت معالجتها‬
‫فعال بواسطة برامج الحاسوب التي تخص العميل‪ ،‬وتتم إعادة تلك البيانات بواسطة البرامج الخاص ة‬
‫بالمدقق (مثل برامج التدقيق العامة) وبعد االنتهاء من عملية إع ادة معالج ة‪ ،‬البيان ات الحقيقي ة يق وم‬
‫المدقق بمقارنة النتائج التي تم التوصل إليها مسبقا من قبل العمي ل م ع نت ائج عملي ة إع ادة المعالج ة‬
‫ومن ايجابيات هذه الطريقة هو انه يتم تدقيق عملي ات حقيقي ة وذل ك للتأك د من أنه ا ع ولجت بش كل‬
‫صحيح وان المستندات األصلية لتلك العمليات ال تحتوي على أية أخطاء ‪ ،‬ومن عيوب هذه الطريق ة‬
‫أنها مكلفة للغاية ‪ ،‬إذ أن عملية اإلع داد والحص ول على ال برامج ال تي تس تخدم في عملي ة االختب ار‬
‫تتطلب أمواال كثيرة فضال عن أنها تحتاج إلى الكثير من الوقت والجهد‪.‬‬
‫ج‪ .‬طريقة االختبارات المتكاملة‬
‫وتعتبر هذه الطريقة صورة سريعة لطريقة البيانات االختبارية ‪ ،‬وبم وجب ه ذه الطريق ة يتم إدخ ال‬
‫عمليات وهمية مع عمليات حقيقية على النظام المحاسبي االلكتروني للعمي ل والب د من فتح س جالت‬
‫وهمية ووضعها في ملفات النظام مع الس جالت الرئيس ية الحقيقي ة فض ال عن إعط اء رم وز معين ة‬
‫للعمليات الوهمية وذلك لتالفي إدخالها إلى الملف ات الرئيس ية الحقيقي ة للعمي ل‪ ،‬وعن د المعالج ة ف ان‬
‫العمليات الوهمية تتم معالجتها بواسطة البرامج المستخدمة في النظام وتمر بنفس المراحل التي تم ر‬
‫بها البيانات الحقيقية‪ .‬وبعد انتهاء عملية المعالجة وحصول المدقق على النت ائج النهائي ة يب دأ الم دقق‬
‫بمقارنة تلك النتائج مع النتائج المحددة مسبقا‪ ،‬وعندئذ يتحقق الم دقق من أن عملي ة معالج ة البيان ات‬
‫تتم بصورة صحيحة وأنها تتحقق من قدرة النظام على اكتشاف األخطاء ومعالجتها‪ .‬إن الغ رض من‬
‫هذه الطريقة هو اختبار النظام المحاسبي االلك تروني بكامل ه في أثن اء التش غيل الفعلي للنظ ام‪ ،‬ومن‬
‫أهم مزايا هذه الطريقة أنها تتيح للمدقق فرصة اختبار النظام المحاس بي االلك تروني بكامل ه‪ .‬وك ذلك‬
‫تتالءم هذه الطريقة مع طريقة التدقيق المستمر إذ تتم معالجة البيانات الوهمية بصورة مستمرة خالل‬
‫فترة التدقيق وخالل ظروف عمل عادية وواقعية‪ ،‬ومن عيوب هذه الطريق ة ه و أن االحتم ال كب ير‬
‫إلدخال العملي ات الوهمي ة إلى الملف ات الرئيس ية الحقيقي ة للعمي ل وك ذلك تتطلب الكث ير من ال وقت‬
‫والجهد‪.‬‬
‫‪ .3‬التدقيق بواسطة الحاسوب‬
‫يلجأ المدقق طبقا لهذه الطريق ة إلى اس تخدام الحاس وب للحص ول على األدل ة وال براهين ال تي تؤي د‬
‫صحة وشرعية أرصدة وعناصر القوائم المالية‪ .‬ويتم ذلك بعد أن ينتهي من إجراء اختبارات االلتزام‬
‫بإجراءات الرقابة وباستخدام الحاسوب أيضا‪.‬‬
‫وفي ظل ه ذه الطريق ة يتعام ل الم دقق م ع أجه زة وب رامج الحاس وب كوس ائل فعال ة بحيث يمكن ه‬
‫االستفادة مما تمتلكه تلك البرامج واألجهزة من قدرات هائلة على معالجة كميات كب يرة من البيان ات‬
‫وفي اقصر وقت وبدقة متناهية وذلك بدال من اعتبارها عقبة في طريق تنفيذ إج راءات الت دقيق عن د‬
‫إتباع هذه الطريقة يتم االعتماد على الحاس وب في انج از العدي د من إج راءات الت دقيق مثال اختب ار‬
‫العينة إعادة االحتساب الختبار وفحص الس جالت المحاس بية‪ ،‬إج راء المقارن ات ‪ ،‬احتس اب النس ب‬
‫المالي ة ‪ ،‬اس تخدام ب رامج خاص ة في إع داد أوراق العم ل‪ ،‬إع داد وطب ع التأيي دات ‪ ،‬تحلي ل أعم ار‬
‫حسابات المدنيين‪ ،‬استخدام الرسوم البيانية عند عرض النتائج في التقارير‪ ...‬الخ‪.‬‬
‫وقد تم استحداث برامج التدقيق العامة التي تس تخدمها مك اتب المحاس بة القانوني ة الكب يرة في ت دقيق‬
‫حسابات مختلف المنشآت‪ .‬ومن برامج التدقيق العام ة الش ائعة ب رامج ‪ AUDEX‬وب رامج ‪IDEA‬‬
‫ولقد تم إعداد برامج ‪ AUDEX‬في عام ‪ 1969‬من قبل شركة آرثر أندرسون وهي ش ركة أمريكي ة‬
‫للمحاس بة والت دقيق وتم تط وير مجموع ة ب رامج ‪ AUDEX‬ع ام ‪ 1975‬ونتج عنه ا م ا يس مى بـ‬
‫‪18‬‬
‫‪ ، AUDEX 100‬أم ا ب رامج ‪ IDEA‬فق د أع دت من قب ل مكتب المراج ع الع ام الكن دي في ع ام‬
‫‪.1985‬‬

‫خدمات التدقيق الجديدة مع ظهور التجارة االلكترونية‬

‫خدمات إضفاء الثقة ‪:‬‬

‫اس تجابة لالحتياج ات الجدي دة للمس تخدمين الناش ئة عن اس تعمال االن ترنت والتج ارة‬
‫االلكتروني ة وح اجتهم المس تمرة للتق ارير ‪ ،‬ب دأ ك ل من المعه د االم ريكي للمحاس بين الق انونيين‬
‫‪ AICPA‬والمعه د الكن دي للمحاس بين الق انونيين ‪Canadian Institute of Chartered‬‬
‫)‪ Accountants (CICA‬في وض ع اإلرش ادات (‪ )Guides‬ح ول ارتباط ات التأكي د لتلبي ة تل ك‬
‫االحتياجات ‪ ،‬إذ تم وضع مجموعتين من اإلرشادات وهي (‪ )Web Trust‬و (‪ )Sys trust‬ويم ك‬
‫توضيحها كما يأتي ‪:‬‬
‫أوال ‪ :‬إضفاء الثقة على المواقع االلكترونية (‪:)Web Trust‬‬
‫تم إنشاء الدليل اإلرشادي الخاص بإضفاء الثق ة على المواق ع االلكتروني ة (‪)Web Trust‬‬
‫في س بتمبر ‪ 1997‬باالش تراك م ع المعه د األم ريكي للمحاس بين الق انونيين (‪ ، )AICPA‬إذ أن‬
‫الغ رض من إض فاء الثق ة ب المواقع االلكتروني ة (‪ )Web Trust‬توف ير تأكي د معق ول لمس تخدمي‬
‫المواقع االلكترونية ‪ ،‬بحيث يمكنهم من الوثوق بعمليات الشركات التي تتم ع بر االن ترنت ‪ ،‬والوف اء‬
‫بتوقعات المس تخدمين في التعام ل م ع الموق ع مث ل األمن وحماي ة الخصوص ية والوف اء بالمف اهيم‬
‫والشروط المنصوص عليها في المواقع الخاصة بالمبيعات عبر االنترنت ‪ ،‬وان الش ركات ال تي تفي‬
‫بمع ايير إض فاء الثق ة على المواق ع االلكتروني ة (‪ )Web Trust‬يمكن ب دورها نش ر ختم (ش عار)‬
‫الحماي ة "‪ "Seal‬على مواقعه ا على ش بكة االن ترنت إلثب ات اجتي ازهم اختب ار منح ش هادة ‪Web‬‬
‫‪ ، Trust‬وينبغي معرفة أن هذا الختم (الشعار) ليس معن اه ض مان المنتج ات المطلوب ة من المواق ع‬
‫االلكترونية عبر االنترنت ‪ ،‬بل هو تأكيد للمس تهلكين ب ان الموق ع ال ذي يتم التعام ل مع ه ه و موق ع‬
‫موثوق به ‪ ،‬وانه َسَيفي بما تم االتفاق عليه‪.‬‬
‫إن خدمات إضفاء الثقة ‪ Web Trust‬عبارة عن عقد أو ارتب اط يب دأ بوج ود منظم ة تق وم‬
‫بملئ استبيان التقييم الذاتي ‪ ،‬وتفاصيل أنظمتها ومن ثم يق وم الم دقق باختب ار م زاعم اإلدارة حس ب‬
‫مع ايير إض فاء الثق ة ‪ Web Trust‬العام ة الثالث ة ال تي تم اإلش ارة إليه ا ‪ .‬ف إذا اس توفت الش ركة‬
‫المع ايير الخاص ة بإض فاء الثق ة يمكن للش ركة ع رض ش عار ‪ Web Trust‬على موقعه ا على‬
‫االنترنت ‪ ،‬ومع ذلك يتطلب الحفاظ على الشعار أن يقوم الموقع (الشركة) بإعادة إصدار الشهادة كل‬
‫‪ 12‬شهر على األقل ‪ ،‬وان شعار ‪ Web Trust‬هو نوع من خدمات الشعار (‪، )Logo Service‬‬
‫إن هذا الشعار يوفر االطمئنان للمشترين القلقين من استيفاء البائع للمعايير ال تي وض عت من ط رف‬
‫ثالث موثوق به في الغالب ‪ ،‬والذي يعم ل على مقاوم ة العبث ‪ ،‬ويرتب ط بض مان م زود الموق ع ‪ ،‬إذ‬
‫يمكن للمستخدم الذهاب لمعرفة معلومات أكثر تفصيال حول معنى ونطاق خدمة الشعار ‪ ،‬وم ع ذل ك‬
‫هن اك العدي د من الخ دمات ال تي تتن افس م ع ش عار و‪ Web Trust‬مث ل الش عار المق دم من مكتب‬
‫األعمال األفضل )‪ Better Business Bureau (BBB‬عبر االن ترنت وش عاره ‪ Truste‬ال ذي‬
‫يتناول في المقام األول الخصوصية‪.‬‬
‫وينبغي أن يتوفر في العميل (الموقع االلكتروني) جميع المعايير المتعلقة بالتكامل المطل وب‬
‫في التجارة االلكترونية ‪ ،‬ومن ثم يحتاج الم دقق إلى التحق ق من الن احيتين المادي ة وااللكتروني ة من‬
‫إمكانية الوصول إلى الخادم (‪ )Server‬موقعها على شبكة االنترنت ‪ ،‬بم ا في ذل ك ط رق التش فير ‪،‬‬
‫ومراجعة ممارسات الشركات التجارية مثل سياسات التسليم واإلع ادة والنج اح في معالج ة ش كاوي‬
‫المستهلكين‪.‬اذ إن المستهلكين (زبائن الموقع) في قل ق مس تمر الن الكث ير من األس ئلة ال ت زال باقي ة‬
‫ب دون إجاب ة ح ول التس وق ع بر االن ترنت ومن ه ذه األس ئلة ه ل ه ذه الش ركة حقيقي ة ؟ (مش كلة‬

‫‪19‬‬
‫مصادقة) ‪ ،‬وهل هذه الش ركة ج ديرة بالثق ة ؟ (مش كلة الس معة) ‪ ،‬إذا تم اس تعمال بطاق ة االئتم ان (‬
‫‪ )Credit Card‬أو المعلومات المصرفية ‪ ،‬هل هو آمن ؟ (مشكلة ال دفع) ‪ ،‬إذا تم إعط اء معلوم ات‬
‫إلى الشركة ‪ ،‬فأين يمكن أن تنتهي هذه المعلومات في نهاية المط اف ؟ (مش كلة الخصوص ية) ‪ ،‬إذا‬
‫تم إجراء (عمل) طلبيه ‪ ،‬هل سوف يتم استالمها ؟ وهل سيتم استالم ما وعدنا به ؟ وه ل س وف يتم‬
‫حل أي مشكلة بسرعة ؟ ‪ ،‬وهل يوجد ضمان إلعادة المبالغ المدفوعة ؟ ‪ ،‬ومتى يمكن الحصول على‬
‫االئتمان للفقرات المع ادة ؟ ‪ ،‬وكي ف س تقوم الش ركة ب أداء الخ دمات الخاص ة ب الفقرات المض مونة‬
‫بسرعة ؟‪ ،‬هل يمكن للشركة إرسال قطع الغيار الالزمة بسرعة ؟‬
‫إن المحاس بين الق انونيين بحكم الخ برة العلمي ة والعملي ة في وض ع مالئم يمكنهم من تق ديم‬
‫ضمانات لزبائن المواقع االلكترونية وإجابات على هذه األسئلة ‪ ،‬ومن ثم أزال ة بعض العقب ات ال تي‬
‫تحول دون تحقيق زيادة النمو في التجارة عبر االنترنت ‪.‬‬
‫وتشمل معايير الهيئات المانحة لش هادة إض فاء الثق ة على المواق ع االلكتروني ة ‪CA Web‬‬
‫‪ Trust‬ثالثة مبادئ رئيسة وهي ‪:‬‬
‫‪ .1‬اإلفص اح عن الممارس ات التجاري ة (‪ : )Business Practices Disclosures‬أي أن‬
‫تفصح المنظمة عن كيفية التعامل مع عمالء التجارة االلكترونية‪.‬‬
‫‪ .2‬نزاه ة (س المة) الص فقات (المع امالت) ‪ : Transaction Integrity‬المنظم ة (مش غل‬
‫الموقع) يحافظ على فعلية الضوابط والممارسات للتأكد من إكمال طلب ات العمالء باس تعمال‬
‫التجارة االلكترونية ‪ ،‬ثم إصدار الفواتير حسب االتفاق كل عملية‪.‬‬
‫‪ .3‬حماية المعلومات ‪ : Information Protection‬إن تحافظ المنظمة على فاعلية الض وابط‬
‫والممارسات لضمان حماية المعلومات العمالء الخاصة من غ ير المتعلق ة بأعم ال المنظم ة‬
‫(غير المشروعة)‪.‬‬
‫وفي شهادة إضفاء الثقة على الموقع االلكتروني ‪ Web Trust‬ينبغي على إدارة العميل (الموقع‬
‫االلكتروني ) عرض مزاعمها كما في أدناه ‪:‬‬
‫‪ ‬اإلفصاح عن ممارساتها لعملياتها الخاصة بالتجارة االلكترونية ‪ ،‬والعمليات المنفذة وفقا‬
‫الممارسات التجارية التي تم اإلفصاح عنها‪.‬‬
‫‪ ‬الحفاظ على فاعلية الضوابط لتقديم تأكيد معقول بان معامالت العمالء في ظ ل التج ارة‬
‫االلكترونية تم االنتهاء منها وأصدرت الفواتير حسب االتفاقات ‪.‬‬
‫‪ ‬الحفاظ على فاعلي ة الض وابط لتوف ير تأكي د معق ول ب ان المعلوم ات الخاص ة ب العمالء‬
‫وال تي تم الحص ول عليه ا نتيج ة التج ارة االلكتروني ة تم حمايته ا من االس تعمال غ ير‬
‫المتعلقة بأعمال المنظمة (غير المشروعة)‪.‬‬
‫إن شهادة تأكي د إض فاء المص داقية على المواق ع االلكتروني ة ‪ Web Trust‬زادت من ثق ة‬
‫المستخدمين في األعمال االلكترونية للعميل ع بر االن ترنت ‪ ،‬وتغطي مع ايير إض فاء الثق ة ‪Web‬‬
‫‪ Trust‬ستة مجاالت تهم المس تخدم وهي األمن ‪ ، Security‬والخصوص ية ‪ ، Privacy‬والمعالج ة‬
‫‪ ، Processing‬النزاه ة (الس المة) ‪ ، Integrity‬الت وافر (اإلتاح ة) ‪ ،Availability‬حماي ة‬
‫المستهلك ‪ .Consumer Protection‬وعلى الممارس أداء االختبارات في م زاعم اإلدارة في ه ذه‬
‫المناطق تحت المعايير المهنية (‪ )AICPA or CICA‬وتق ديم ال رأي المه ني إلض فاء المص داقية‬
‫على مزاعم (تأكيدات) اإلدارة‪.‬‬
‫تقوم المنظمة باإلفصاح عن االحتفاظ باتفاقاتها مع‬ ‫المبدأ‬
‫الممارسات األمنية التي تضمن حماية النظام من أي اختراق غير مرخص (فعلي أو منطقي)‬ ‫الحماية‬
‫ممارسات التوافر التي تضمن أن النظام متاح للتشغيل واالستخدام وفقا لاللتزام أو االتفاق‬ ‫التوافر‬
‫أي التي تضمن أن النظام يعمل بشكل كامل ‪ ،‬ودقيق ‪ ،‬وبشكل زمني مرخص‬ ‫تكامل التشغيل‬
‫ممارس ات الخصوص ية على االن ترنت تض من أن المعلوم ات الشخص ية الناتج ة عن التج ارة‬ ‫الخصوصية‬
‫االلكترونية قد تم جمعها واستخدامها ‪ ،‬واإلفصاح عنها واالحتفاظ بها كما هو متفق عليه‬
‫ممارسات السرية التي تضمن أن المعلومات السرية قد تم حمايتها كما هو متفق عليه‬ ‫تكامل السرية‬

‫‪20‬‬
 ‫ثانيا ‪ :‬إضفاء الثقة على األنظمة ‪:Sys trust‬‬
‫اشترك كل من المعهد األمريكي للمحاسبين القانونيين ‪ AICPA‬والمعهد الكندي للمحاس بين‬
‫القانونيين ‪ CICA‬بوضع دليل حديث لتأكيدات التجارة االلكترونية ‪ ،‬ويستند ‪ Sys Trust‬على ه ذه‬
‫المعايير‪ ،‬إذ حددت معايير مناسبة وواضحة لتقييم موثوقية جميع أنواع األنظمة ‪ .‬والنظام هو عب ارة‬
‫عن البنية التحتية من األجهزة والبرامج واألشخاص واإلجراءات والبيان ات ال تي تعم ل جميعه ا من‬
‫اجل إنتاج المعلومات ‪ ،‬ومن الممكن أن يكون النظ ام بس يطا مث ل أجه زة الحاس وب الشخص ية ‪ ،‬أو‬
‫أنها قد تكون معقدة متعددة التطبيقات مثل النظام المصرفي المتعدد الحواس يب وال تي يتم الموص ول‬
‫إليها بش كل فعلي من قب ل ع دد غ ير مح دود من المس تخدمين داخ ل وخ ارج المنظم ة ‪ .‬إن ارتب اط‬
‫(عقد) إضفاء الثقة على األنظمة ‪ Sys Trust‬يوفر بشكل أساسي تأكيد أن فاعلية الضوابط التي تلبي‬
‫المعايير‪.‬‬
‫وتعتمد المنظم ات بش كل متزاي د على نظم المعلوم ات وإدارة العملي ات في تق ديم خ دماتهم‬
‫للعمالء ‪ ،‬فضال عن اعتمادها على أنظمة شركاء األعمال (شركائها في هذه العملية) ‪ ،‬وينبغي لفرقة‬
‫المه ام اختب ار من افع موثوقي ة النظم للجه ات الداخلي ة والخارجي ة في ارتب اط المنظم ة في النش اط‬
‫التجاري القائم على المعلومات ‪ ،‬وجاء مع االحتماالت اآلتية ‪:‬‬
‫‪ ‬يمكن لمستخدمي األنظمة الحصول على ضمان (تأكيد) حول موثوقية النظم المستخدمة في‬
‫التجارة االلكترونية‪.‬‬
‫‪ ‬االستعانة بمصادر خارجية تقديم الخدمات إذ إن تكامل (دمج) النظم مع ب ائعي النظ ام يمكن‬
‫أن يوفر تأكيد حول موثوقية النظم والخدمات الخاصة بهم‪.‬‬
‫‪ ‬مصممي النظم واالستشاريين ‪ :‬يمكن استعمال المب ادئ والمع ايير األساس ية كإط ار لتأكي د‬
‫(لضمان) تصميم أنظمة موثوق فيها‪.‬‬
‫اإلدارة ومجالس اإلدارة ‪ :‬يمكن التأكد من فيما إذا األنظمة الداخلية تخضع لضوابط مناسبة‬ ‫‪‬‬
‫واستعمال هذا التأكيد في السوق‪.‬‬
‫‪ ‬المدققين الداخليين وأصحاب النظام ‪ :‬يمكن أن يعتمد أيضا على المبادئ والمعايير لمثل ه ذا‬
‫التأكيد‪.‬‬
‫إن النظام الموثوق به هو النظام الذي يمكن تشغيله بدون أخط اء مادي ة ‪ ،‬وتق وم ه ذه النظم على‬
‫أربعة مبادئ أساسية وهي ‪:‬‬
‫‪ .1‬اإلتاحة أو التوافر (‪ : )Availability‬أي أن النظام متاح للتشغيل ‪ ،‬وإمكاني ة اس تعماله‬
‫في األوقات المنصوص عليها في اتفاقيات الخدمة‪.‬‬
‫‪ .2‬األمن (‪ : )Security‬أي أن يكون النظام محمي ضد الوصول غير المصرح به المادي‬
‫أو المنطقي والذي يعني القدرة على ق راءة أو معالج ة البيان ات من خالل الوص ول عن‬
‫ُبعد‪.‬‬
‫‪ .3‬النزاهة أو السالمة (‪ : )Integrity‬أي وجود نظام كامل ‪ ،‬ودقيق ‪ ،‬وفي الوقت المناسب‬
‫‪ ،‬وفقا لمصادقات (موافقات) على عمليات المنظمة وسياسات توزيع المخرجات‪.‬‬
‫‪ .4‬القابلي ة للص يانة (‪ : )Maintainability‬أي يمكن تح ديث النظ ام بطريق ة تق دم ت وفر‬
‫اإلتاحة ‪ ،‬واألمن‪ ،‬والنزاهة بشكل مستمر‪.‬‬
‫كل مبدأ أو معي ار يمكن المم ارس من تحدي د ‪ ،‬م ا إذا ك ان نظ ام المنظم ة يفي بالمب ادئ والمع ايير‬
‫ويمكن تنظيم المعايير على ثالثة فئات وهي كاآلتي ‪:‬‬
‫‪ .1‬االتص االت (‪ : )Communications‬تحدي د وإبالغ المنظم ة أه داف األداء والسياس ات‬
‫والمعايير لتوافر (إلتاحة) ‪ ،‬وامن ‪ ،‬ونزاهة ‪ ،‬وقابلية النظام للصيانة‪.‬‬
‫‪ .2‬اإلج راءات (‪ : )Procedures‬تس تعمل المنظم ة اإلج راءات ‪ ،‬والن اس ‪ ،‬والبرامجي ات ‪،‬‬
‫والبيانات ‪ ،‬البنية التحتية لتحقيق األهداف (التوافر أو اإلتاحة ‪ ،‬واألمن ‪ ،‬السالمة أو النزاهة‬
‫‪ ،‬وقابلية النظام للصيانة) ‪ ،‬وفقا للسياسات والمعايير المحددة (الموضوعة)‪.‬‬
‫‪21‬‬
‫‪ .3‬المتابعة أو المراقبة (‪ : )Monitoring‬ت راقب المنظم ة النظ ام وتتخ ذ اإلج راءات لتحقي ق‬
‫االمتثال ألهداف التوافر أو اإلتاحة ‪ ،‬واألمن ‪ ،‬النزاهة أو السالمة ‪ ،‬وقابلية النظام للصيانة ‪،‬‬
‫السياسات والمعايير ‪.‬‬
‫وينبغي على المم ارس فحص الض وابط المتعلق ة بالمع ايير والحص ول على أدل ة على اس تيفاء‬
‫المعايير ‪ ،‬والتأكد بان النظام يلبي جميع المعايير الخاصة بـ ‪. Sys trust‬‬

‫‪22‬‬