في الأعمال التجارية والمحاسبة ، تعتبر عناصر التحكم في تقنية المعلومات (أوعناصر التحكم في تكنولوجيا المعلومات ) تعبير عن أنشطة محددة يقوم بها أشخاص أوأنظمة مصممة لضمان تحقيق أهداف العمل. ويمكن تعريفها أيضاً بـ "المجموعات الفرعية من الرقابة الداخلية للمؤسسة". تتعلق أهداف التحكم في تقنية المعلومات بسرية البيانات وتكاملها وتوافرها والإدارة الكلية لوظيفة تقنية المعلومات في مؤسسة الأعمال. غالباً ما يتم وصف عناصر التحكم في تقنية المعلومات في فئتين رئيسيتين هما: عناصر التحكم العامة في تقنية المعلومات ( ITGC ) وضوابط تطبيق تقنية المعلومات. ITGC تضم الرقابة على بيئة تقنية المعلومات (IT)، وعمليات الحاسوب، والوصول إلى البرامج والبيانات، وتطوير البرامج والتغيرات في البرنامج. تشير ضوابط تطبيق تقنية المعلومات إلى عناصر التحكم في معالجة المعاملات، والتي تسمى أحياناً عناصر التحكم "معالجة الإدخال - ومعالجة الإخراج". تم إعطاء ضوابط تقنية المعلومات أهمية متزايدة في الشركات المدرجة في الولايات المتحدة بموجب قانون ساربانيس أوكسلي . إطار COBIT (أهداف التحكم لتقنية المعلومات) هوإطار يستخدم على نطاق واسع يصدره معهد حوكمة تقنية المعلومات، والذي يحدد مجموعة متنوعة من أهداف ITGC ومراقبة التطبيق وأساليب التقييم الموصى بها. غالباً ما يرأس أقسام تقنية المعلومات في المؤسسات كبير مسؤولي المعلومات وهوالمسؤول عن ضمان استخدام أدوات التحكم الفعالة في تقنية المعلومات.

الضوابط العامة لتقنية المعلومات (ITGC)

تمثل ITGC أساس بنية التحكم في تقنية المعلومات. فهي تساعد على ضمان موثوقية البيانات التي يتم إنشاؤها بواسطة أنظمة تقنية المعلومات ودعم التأكيد على حتى الأنظمة تعمل على النحوالمقصود وأن الإخراج موثوق. يتضمن ITGC عادة أنواع الضوابط التالية:

• بيئة التحكم، أوعناصر التحكم هذه المصممة لتشكيل ثقافة الشركة أوكما تسمى في بعض الأحيان بـ "النغمات العليا".
• تغيير إجراءات الإدارة - وهي الضوابط المصممة لضمان تلبية التغييرات لمتطلبات العمل المصرح بها.
• إجراءات التحكم في إصدار التعليمات البرمجية المصدر / المستند - عناصر تحكم المصممة لحماية وسلامة رموز وبيانات البرنامج.
• معايير دورة الحياة الخاصة بتطوير البرمجيات - عناصر تحكم مصممة لضمان إدارة مشاريع تقنية المعلومات بفعالية.
• سياسات ومعايير وعمليات الوصول المنطقية - عناصر تحكم مصممة لإدارة الوصول استناداً إلى احتياجات العمل.
• سياسات وإجراءات إدارة الحوادث - الضوابط المصممة لمعالجة أخطاء المعالجة التشغيلية.
• سياسات وإجراءات إدارة المشاكل - عناصر تحكم مصممة لتحديد ومعالجة السبب الجذري للحوادث.
• سياسات وإجراءات الدعم الفني - سياسات لمساعدة المستخدمين على الأداء بشكل أكثر كفاءة والإبلاغ عن المشاكل.
• تكوين الأجهزة / البرامج ، التثبيت، الاختبار، معايير الإدارة، السياسات والإجراءات.
• إجراءات التعافي من الكوارث / النسخ الاحتياطي والاسترداد ، لتمكين المعالجة المستمرة على الرغم من الظروف المعاكسة.
• الأمن المادي - الضوابط لضمان الأمن المادي لتقنية المعلومات من الأفراد ومن المخاطر البيئية أومن الكوارث الطبيعية.

ضوابط التطبيق في تقنية المعلومات

عناصر التحكم في تطبيق أوبرنامج تقنية المعلومات هي آلية مبرمجة بالكامل (أي، يتم تطبيقها تلقائياً بواسطة الأنظمة) المصممة لضمان المعالجة الكاملة والدقيقة للبيانات، من الإدخال إلى الإخراج. تختلف عناصر التحكم هذه استناداً إلى الغرض التجاري من التطبيق المحدد. قد تساعد عناصر التحكم هذه أيضاً في ضمان الخصوصية وأمان البيانات المنقولة بين التطبيقات. قد تضم فئات عناصر التحكم في تطبيق تقنية المعلومات التالي:

• التحقق من الاكتمال - عناصر التحكم التي تضمن معالجة جميع السجلات من البداية إلى الانتهاء.
• التحقق من الصلاحية - عناصر التحكم التي تضمن إدخال البيانات السليمة فقط أومعالجتها.
• التعريف - الضوابط التي تضمن تعريف جميع المستخدمين بشكل فريد وغير قابل للدحض.
• المصادقة - عناصر التحكم التي توفر آلية مصادقة في نظام التطبيق.
• التخويل - الضوابط التي تضمن فقط لمستخدمي الأعمال المعتمدين الوصول إلى نظام التطبيق.
• عناصر التحكم في الإدخال - عناصر تحكم تضمن تكامل البيانات من المصادر الأولية في نظام التطبيق.
• أدوات التحكم في الأدلة الجنائية الرقمية - عنصر تحكم تضمن صحة البيانات فهمياً ورياضياً استناداً إلى المدخلات والمخرجات.

ضوابط تقنية المعلومات CIO / CISO

عادةً ماقد يكون كبير موظفي المعلومات بالمنظمة (CIO) أوكبير موظفي أمن المعلومات (CISO) مسؤولين عن أمن ودقة وموثوقية الأنظمة التي تدير بيانات الشركة وتبلغ عنها، بما في ذلك البيانات المالية. يتم دمج أنظمة المحاسبة المالية وتخطيط موارد المؤسسة في بدء البيانات المالية والترخيص بها ومعالجتها والإبلاغ عنها وقد تشارك في الامتثال Sarbanes-Oxley ، إلى الحد الذي تخفف فيه من المخاطر المالية المحددة.

نماذج عمل الرقابة الداخلية

COBIT (أهداف الرقابة لتقنية المعلومات)

COBIT هوإطار أونموذج عمل أومعيار مستخدم على نطاق واسع يحتوي على أفضل الممارسات لكل من ITGC وضوابط التطبيق. وهويتألف من المجالات والعمليات. يشير الهيكل الأساسي إلى حتى عمليات تقنية المعلومات تفي بمتطلبات العمل، والتي يتم تمكينها من خلال أنشطة معينة للتحكم في تكنولوجيا المعلومات. كما توصي بأفضل الممارسات وطرق تقييم ضوابط تقنية المعلومات الخاصة بالمؤسسة.

COSO

تحدد لجنة المنظمات الراعية للجنة Treadway (COSO) خمسة مكونات للرقابة الداخلية ألا وهي: بيئة الرقابة ، وتقييم المخاطر ، وأنشطة الرقابة ، والمعلومات والاتصالات والمراقبة ، وكل تلك الخمس المكونات يجب حتى تكون قائمة لتحقيق أهداف الإبلاغ المالي والإفصاح ؛ حيث يوفر COBIT أيضاً إرشادات مفصلة مماثلة لتقنية المعلومات، في حين يركز Val IT المترابط على حوكمة تقنية المعلومات عالية المستوى وقضايا القيمة لقاء المال. يمكن تصور المكونات الخمسة لـ COSO كطبقات أفقية لمكعب ثلاثي الأبعاد، مع تطبيق مجالات الهدف COBIT - على جميع على حدة وبشكل إجمالي. المجالات الأربعة الرئيسية لـ COBIT هي: التخطيط والتنظيم واكتساب وتطبيق وتقديم الدعم والمراقبة والتقييم.

ضوابط تقنية المعلومات وقانون "ساربينز أوكسلي" (SOX)

يتطلب SOX (جزء من القانون الفيدرالي للولايات المتحدة ) من الرئيس التطبيقي وكبار المسؤولين الماليين في الشركات العامة حتى يشهدوا على دقة التقارير المالية (القسم 302) وأن يطلبوا من الشركات العامة وضع ضوابط داخلية كافية على التقارير المالية (القسم 404). أسفر مرور SOX عن زيادة الهجريز على ضوابط تقنية المعلومات، حيث حتى هذه العمليات تدعم المعالجة المالية وبالتالي تدخل في نطاق تقييم الإدارة للرقابة الداخلية بموجب القسم 404 من SOX.

يمكن استعمال المعيار ونموذج العمل COBIT للمساعدة في امتثال SOX ، على الرغم من حتى COBIT أوسع نطاقاً إلى حد كبير. تشير إرشادات SOX لعام 2007 الصادرة عن PCAOB وSEC حتى ضوابط تقنية المعلومات يجب حتى تكون فقط جزءًا من تقييم SOX 404 إلى الحد الذي يتم فيه معالجة المخاطر المالية المحددة، مما يقلل بشكل كبير من نطاق ضوابط تقنية المعلومات المطلوبة في التقييم. يعد قرار تحديد النطاق هذا جزءًا من تقييم مخاطر SOX 404 الخاص بالكيان. بالإضافة إلى ذلك، تناقش التقارير والبيانات حول معايير التدقيق رقم 109 (SAS109) مخاطر تقنية المعلومات وأهداف الرقابة المتعلقة بالتدقيق المالي ويتم الرجوع إليها بواسطة إرشادات SOX.

قد تتضمن عناصر التحكم في تقنية المعلومات التي تقع عادةً ضمن نطاق تقييم SOX 404 ما يلي:

• إجراءات التحكم في التطبيق (معالجة المعاملات) التي تخفف بشكل مباشر من مخاطر الإبلاغ المالي المحددة. عادة ماقد يكون هناك عدد قليل من هذه الضوابط داخل التطبيقات الرئيسية في جميع عملية مالية، مثل الحسابات المستحقة الدفع، كشوف المرتبات، دفاتر المخصصات العامة، إلخ. ينصب الهجريز على الضوابط "الرئيسية" (تلك التي تعالج المخاطر على وجه التحديد) ، وليس على التطبيق بأكمله.
• الضوابط العامة لتقنية المعلومات هي ضوابط تدعم التأكيدات بأن البرامج تعمل على النحوالمنشود وأن التقارير المالية الرئيسية يمكن الاعتماد عليها، وتغيير ضوابط الرقابة والأمن في المقام الأول.
• ضوابط عمليات تكنولوجيا المعلومات، والتي تضمن تحديد مشاكل المعالجة وتسليمها.

تضم الأنشطة المحددة التي قد تحدث لدعم تقييم عناصر التحكم الرئيسية أعلاه:

• فهم برنامج الرقابة الداخلية للمنظمة وعمليات إعداد التقارير المالية .
• تحديد أنظمة تقنية المعلومات المشاركة في بدء البيانات المالية والترخيص بها ومعالجتها وتلخيصها والإبلاغ عنها.
• تحديد الضوابط الرئيسية التي تعالج مخاطر مالية محددة.
• تصميم وتطبيق الضوابط المصممة للتخفيف من المخاطر المحددة ورصدها من أجل استمرار الفعالية الكاملة للأنظمة.
• توثيق واختبار ضوابط تقنية المعلومات.
• ضمان تحديث ضوابط تقنية المعلومات وتغييرها، حسب الاقتضاء، لتتوافق مع التغييرات في عمليات الرقابة الداخلية أوعمليات إعداد التقارير المالية.
• مراقبة ضوابط تقنية المعلومات للتشغيل الفعال مع مرور الوقت.

للامتثال لقانون ساربينز أوكسلي، يجب حتى تفهم المؤسسات كيف من الممكن أن تعمل عملية إعداد التقارير المالية ويجب حتى تكون قادرة على تحديد المجالات التي تلعب فيها التقنية دوراً حاسماً. عند النظر في الضوابط التي يجب تضمينها في البرامج، يجب حتى تدرك المنظمات حتى عناصر التحكم في تقنية المعلومات يمكن حتىقد يكون لها تأثير مباشر أوغير مباشر على عملية إعداد التقارير المالية. على سبيل المثال، يمكن حتى تكون ضوابط تطبيق تقنية المعلومات التي تضمن اكتمال المعاملات مرتبطة مباشرة بتأكيدات مالية. من ناحية أخرى، توجد عناصر التحكم في الوصول داخل هذه التطبيقات أوضمن أنظمة الدعم الخاصة بها، مثل قواعد البيانات والشبكات وأنظمة التشغيل ، بنفس القدر من الأهمية، ولكنها لا تتماشى مباشرة مع التأكيد المالي.

تتم موائمة عناصر التحكم في التطبيق عموماً مع عملية الأعمال التي تؤدي إلى ظهور تقارير مالية. في حين حتى هناك الكثير من أنظمة تقنية المعلومات التي تعمل داخل المنظمة، فإن التزام بقانون Sarbanes-Oxley يركز فقط على الأنظمة المرتبطة بحساب كبير أوعملية تجارية ذات صلة، وتخفيف المخاطر المالية المادية المحددة. يمكّن هذا الهجريز على إدارة المخاطر الذي من شأنه يأمل بأن يقلل نطاق اختبار التحكم العام في تقنية المعلومات في عام 2007 مقارنة بالسنوات السابقة.

الإفصاحات المصدرة في الوقت الراهن

القسم 409 يحتاج من الشركات العامة الكشف عن معلومات حول التغييرات المادية في حالتها المالية أوعملياتها على أساس سريع. بحاجة الشركات إلى تحديد ما إذا كانت أنظمتها المالية الحالية، مثل تطبيقات إدارة موارد المؤسسة، قادرة على توفير البيانات في الوقت العملي، أوما إذا كانت المؤسسة ستحتاج إلى إضافة هذه القدرات أواستخدام برامج خاصة للوصول إلى تلك البيانات. يجب على الشركات أيضاً حساب التغيرات التي تحدث بسبب ظروف خارجية، مثل التغييرات التي يتم إجراؤها من قبل العملاء أوالشركاء التجاريين والتي قد تؤثر بشكل جوهري على مركزها المالي الخاص (مثل إفلاس العميل / المورد الرئيسي والإفلاس).

للامتثال للمادة 409 ، يجب على المؤسسات تقييم قدراتها التقنية في الفئات التالية:

• توفر بوابات داخلية وخارجية - تساعد البوابات في توجيه وتحديد مشاكل ومتطلبات الإبلاغ للمستثمرين والأطراف الأخرى ذات الصلة. هذه القدرات تلبي الحاجة إلى الكشف السريع.

• اتساع وكفاية المحفزات المالية والتنبيه - تقوم المؤسسة بتعيين جذور الرحلة التي ستنطلق لمعالجة وتطبيق القسم 409.

• كفاية مستونادىت الوثائق - تلعب المستونادىت دوراً حاسماً في مراقبة الحدث لتقييم احتياجات الكشف وتوفير آلية لتدقيق كفاية الكشف.

• القدرة على حتى تكون متبنياً مبكراً بلغة الإبلاغ عن الأعمال القابلة للتوسيع (XBRL) - ستكون XBRL أداة أساسية لدمج وتفاعل أنظمة المعاملات، وإعداد التقارير وأدوات التحليل، والبوابات والمستونادىت.

القسم 802 والاحتفاظ بالسجلات

تطلب المادة 802 من Sarbanes-Oxley من الشركات العامة وشركات المحاسبة العامة الاحتفاظ بجميع أوراق العمل الخاصة بالتدقيق أوالمراجعة لمدة خمس سنوات من نهاية الفترة المالية التي انتهى فيها التدقيق أوالمراجعة. يتضمن ذلك السجلات الإلكترونية التي يتم إنشاؤها أوإرسالها أواستلامها فيما يتعلق بالتدقيق أوالمراجعة. نظراً لأن المدققين الخارجيين يعتمدون إلى حد ما على عمل المراجعة الداخلية، فهذا يعني ضمناً حتى سجلات التدقيق الداخلي يجب حتى تمتثل أيضاً للمادة 802.

بالاقتران مع الاحتفاظ بالمستند، هناك مسألة أخرى تتعلق بأمان وسائط التخزين ومدى حماية المستندات الإلكترونية للاستخدام الحالي والمستقبلي. يعني شرط الاحتفاظ بالسجلات لمدة خمس سنوات حتى التقنية الحالية يجب حتى تكون قادرة على دعم ما تم تخزينه قبل خمس سنوات. نظراً للتغيرات السريعة في عالم التقنية، قد تكون بعض الوسائط الحالية قديمة في السنوات الثلاث أوالخمس القادمة. قد لا يمكن استرجاع بيانات المراجعة المحتجزة اليوم ليس بسبب تدهور البيانات، ولكن بسبب المعدات القديمة ووسائط التخزين التي تم استخدامها سابقاً.

يتسقط القسم 802 من المؤسسات حتى ترد على الأسئلة المتعلقة بإدارة محتوى SOX. تضم القضايا المتعلقة بتقنية المعلومات السياسة والمعايير المتعلقة بالاحتفاظ بالسجلات والحماية والتدمير والتخزين عبر الإنترنت ومسارات التدقيق والتكامل مع مستودع المؤسسة وتقنية السوق وبرامج SOX والمزيد. بالإضافة إلى ذلك، ينبغي حتى تكون المنظمات مستعدة للدفاع عن جودة برنامج إدارة السجلات (RM) الخاص بها ؛ شمولية RM (أي الاتصالات الورقية والإلكترونية والمعاملات، والتي تضم رسائل البريد الإلكتروني والرسائل الفورية وجداول البيانات التي تستخدم لتحليل النتائج المالية) ، ومدى ملائمة دورة الحياة الخاصة بالاحتفاظ، وقابلية ممارسات RM ، وقابلية التدقيق وإمكانية الوصول إلى محتوى RM.

تطبيق المستخدم النهائي / ضوابط جدول البيانات

غالباً ما يتم استخدام جداول البيانات أوقواعد البيانات المستندة إلى الحاسب الشخصي لتوفير بيانات أوحسابات مهمة تتعلق بمجالات المخاطر المالية في نطاق تقييم SOX 404. غالباً ما يتم تصنيف جداول البيانات المالية على أنها أدوات حوسبة للمستخدم النهائي (EUC) حيث أنها كانت غائبة تاريخياً عن ضوابط تقنية المعلومات التقليدية. يمكنهم دعم الحسابات المعقدة وتوفير مرونة كبيرة. ومع ذلك، في ظل المرونة والقوة، تتعرض لخطر الأخطاء وإمكانية الاحتيال المتزايدة وإساءة استخدام جداول البيانات المهمة التي لا تتبع دورة حياة تطوير البرامج (مثل التصميم والتطوير والاختبار والتحقق من الصحة والنشر). لتسليم ومراقبة جداول البيانات، قد تطبق المؤسسات العامة ضوابط مثل:

• قوائم الجرد وجداول المخاطر المرتبطة بالمخاطر المالية الحرجة المحددة في نطاق تقييم SOX 404. وتتعلق هذه عادةً بالتقديرات والأحكام الرئيسية للمؤسسة، حيث تتعلق الحسابات والافتراضات المعقدة. تعد جداول البيانات المستخدمة لمجرد التنزيل والتحميل مصدر قلق أقل.
• إجراء تحليل قائم على المخاطر لتحديد أخطاء منطق جدول البيانات. الأدوات الآلية موجودة لهذا الغرض.
• التأكد من حتى حسابات جداول البيانات تعمل كما هومطلوب منها (أي، "خطة العمل" المأمول منها).
• ضمان الموافقة على التغييرات في الحسابات الرئيسية بشكل سليم.

مسؤولية التحكم في جداول البيانات هي مسؤولية مشهجرة مع مستخدمي الأعمال وتقنية المعلومات. تهتم مؤسسة تقنية المعلومات عادة بتوفير محرك أقراص مشهجر آمن لتخزين جداول البيانات والنسخ الاحتياطي للبيانات. موظفوالعمل مسؤولون عن الباقي.

انظر أيضاً

• تدقيق تكنولوجيا المعلومات
• قانون ساربانيس أوكسلي
• منع الإحتيال عبر الإنترنت
• مركز أمن الإنترنت

مصادر

• Coe، Martin J. "خدمات الثقة: طريقة أفضل لتقييم عناصر التحكم في تكنولوجيا المعلومات: تلبية متطلبات القسم 404." Journal of Accountancy 199.3 (2005): 69 (7).
• تشان، سالي، وستان لوبيك. "تكنولوجيا المعلومات وSarbanes أوكسلي." CMA Management 78.4 (2004): 33 (4).
• جودوين، بيل. "يجب حتى تؤدي تكنولوجيا المعلومات على ساربينز أوكسلي." Computer Weekly 27 April 2004: p5.
• جومولسكي، باربرا. "أهم خمس قضايا لمديري المعلومات." Computerworld يناير 2004: 42 (1).
• هاجري، جون. "Sarbanes-Oxley أصبح الآن حقيقة من حقائق الحياة التجارية، يشير إلى ازدياد الإنفاق على امتثال تكنولوجيا SOX حتى عام 2005." VARbusiness 15 نوفمبر 2004: 88.
• Altiris.com
• "أهداف التحكم في تكنولوجيا المعلومات لـ Sarbanes Oxley: أهمية تكنولوجيا المعلومات في تصميم وتطبيق واستدامة الرقابة الداخلية على الإفصاحات والتقارير المالية." itgi.org . أبريل 2004. معهد حوكمة تكنولوجيا المعلومات. 12 مايو2005
• جونستون، ميشيل. "تطبيق تدقيق تكنولوجيا المعلومات من أجل الامتثال Sarbanes-Oxley." informit.com . 17 سبتمبر 2004
• لوري، باري ن. "تكنولوجيا المعلومات وامتثال ساربانيس أوكسلي: ما يجب حتى يفهمه المدير المالي". المحاسبة المصرفية والمالية 17.6 (2004):تسعة (5).
• ميكولوم، تيم. "ندوة معهد المدققين الداخليين تستكشف تأثير تكنولوجيا ساربينز أوكسلي". تدقيق تكنولوجيا المعلوماتستة (2003).
• مكونيل جونيور، دونالد ك، وجورج ي. بانكس. "كيف سيغير ساربينز أوكسلي عملية التدقيق". aicpa.org (2003).
• مونتر بول. "تقييم الضوابط الداخلية واستقلال المراجع في عهد ساربانيس أوكسلي". المدير المالي 19.7 (2003): 26 (2).
• "وجهات نظر حول تقارير الرقابة الداخلية: مورد للمشاركين في السوق المالية". ديلويت آند توش إل إل بي، إرنست آند يونج إل إل بي، كي بي إم جي إل إل بي، برايس ووترهاوس كوبرز إل إل بي. ديسمبر 2004.
• بيازا، بيتر. "متطلبات أمن تكنولوجيا المعلومات من ساربانيس أوكسلي." إدارة الأمن يونيو2004: 40 (1).
• "قسم ساربانيس أوكسلي 404: نظرة عامة على متطلبات PCAOB". KPMG. أبريل 2004.
• "أظهر ساربانيس-أوكسلي الإنفاق في عام 2004 أكثر من المتسقط: بلغ الإنفاق على الامتثال للمادة 404 4.4 مليون دولار في عام 2004 ، وفقًا لاستطلاع الرأي." InformationWeek 22 مارس 2005.
• "تأثير ساربينز أوكسلي على تكنولوجيا المعلومات وحوكمة الشركات". serena.com 12 مايو. 2005
• خمس خطوات للنجاح من أجل الامتثال لجداول البيانات . أسبوع الامتثال، يوليو2006.
• تمت الموافقة على Pcaobus.org ، المعيار الجديد لتدقيق PCAOB للرقابة الداخلية على التقارير المالية من قبل المجلس الأعلى للتعليم.

المراجع