الأربعاء، 27 مارس 2013

أثر تكنولوجيا المعلومات على الرقابة الداخلية


أثر تكنولوجيا المعلومات على الرقابة الداخلية
مقدمة :
       تناول الباحث فى المبحث السابق بيان أثر تكنولوجيا المعلومات على المكونات الثلاثة لخطر المراجعة ،محددا بعض المخاطر الجديدة التى لا توجد فى ظل الأنظمة غير التكنولوجية ،وفى هذا المبحث يقوم الباحث بعرض أثر تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية.
   على الرغم من أن استخدام المنشآت لتكنولوجيا المعلومات حقق بعض المزايا خاصة تلك المتمثلة فى زيادة بعض جوانب الرقابة الداخلية وزيادة الإنتاجية، إلا أن استخدامها عرض البيانات المحاسبية والمراجعين الذين يتعاملون مع هذه البيانات لمشاكل ومخاطر جديدة، كان لها أثرها على أساليب الرقابة المطبقة وأدوات وإجراءات الرقابة المستخدمة، حيث أكدت إحدى الدراسات([1]) "أنه من الممكن تغيير صياغة ملف كامل بمجرد أن يتاح للمستفيد الدخول إلى النظام التكنولوجى المستخدم والذى يوجد عليه البيانات، فإنه يستطيع بمهارة متواضعة تغيير الملفات بدقة دون ترك أى أثر أو معرفة الفاعل أو الملف الذى أصابه التغيير"0 وهناك من يؤكد على أن " تكنولوجيا المعلومات قد غيرت من طريقة أداء الأعمال وأتاحت للمنشآت فرصة العمل فى الأسواق الدولية والوصول إلى مستهلكين جدد وأصبح الاعتماد عليها من حقائق دنيا الأعمال بل وأصبحت من المقومات الأساسية لقدرة المنشأة على المنافسة والاستمرار ، كما أصبحت أداة تساعد الإدارة على إدارة المنشأة واتخاذ القرارات " ([2])0
وهنا تحاول كل المنشآت أن تؤمن بيئة تكنولوجيا المعلومات الخاصة بها حيث لم يعد موضوع أمن وسلامة المعلومات موضوعاً محلياً بل يؤثر أيضاً على الأطراف الخارجية، فقد يشكل خطراً على المنشأة إذ أشار شركاؤها الحاليين أو المحتملين إلى أن هذه المنشأة غير آمنة فيما يتعلق بحماية المعلومات وهو ما يطلق عليه مخاطر السمعة ، وهو ما أدى إلى الاهتمام بمشاكل الرقابة الداخلية فى ظل استخدام تكنولوجيا المعلومات0
    وفى ضوء ما تقدم تتعرض الدراسة فى هذا المبحث الى ما يلى :


أولاً : مزايا ومخاطر استخدام تكنولوجيا المعلومات فى الرقابة الداخلية0

ثانياً : أدوات وإجراءات الرقابة الداخلية على أمن وسلامة المعلومـات0

ثالثاً : أثر استخدام تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية0
أولاً : مزايا ومخاطر استخدام تكنولوجيا المعلومات فى الرقابة الداخلية :


أ- المزايا : هناك العديد من المنافع والمزايا التى يطرحها استخدام تكنولوجيا المعلومات وذلك لتحقيق مزيد من الفعالية والكفاءة للرقابة الداخلية لتوفير معلومات آمنة ودقيقة لمستخدمى القوائم المالية وأهمها([3]) :
·  تحسين الوقتية0أى توفير المعلومات فى الوقت المناسب وزيادة الدقة فى المعلومات وتخفيض الخطر الذى يحيط بإجراءات الرقابة وتحسين إمكانية الفصل المناسب بين المهام 0
·  القدرة على تحسين وتطوير أساليب الرقابة الداخلية عن طريق الاستفادة من الإمكانيات التى يتيحها الحاسب الالكترونى للرقابة الذاتية على عمليات التشغيل اليومية0
·  القدرة على تشغيل حجم كبير من العمليات المعقدة فى وقت محدود وبتكلفة صغيرة علاوة على انعدام الأخطاء التشغيلية والحسابية تقريباً وانخفاض درجة الاعتماد على العنصر البشرى0
·     الاستفادة من الإمكانيات الضخمة لتخزين المعلومات فى صورة ملفات إلكترونية وسرعة استرجاعها0
·  ارتفاع جودة قرارات الإدارة العليا كنتيجة طبيعية لارتفاع جودة المعلومات التى يقدمها النظام المستخدم بعد تشغيلها بصورة دقيقة0

ب- المخاطر : هناك العديد من المخاطر الناتجة من استخدام تكنولوجيا المعلومات فى الرقابة الداخلية وهى ما أوضحها معيار المراجعة الأمريكى رقم SAS 94 لسنة 2001 تحت عنوان "تأثير تكنولوجيا المعلومات على اعتبارات المراجع عن نظام الرقابة الداخلية عند مراجعة القوائم المالية"([4])، حيث جاء فى الفقرة رقم (19) أن استخدام تكنولوجيا المعلومات يجعل الرقابة الداخلية أمام العديد من المخاطر وهى :
· الاعتماد على نظم أو برامج تقوم بمعالجة البيانات بشكل غير دقيق أو تعالج ببيانات غير دقيقة أو الاثنين معاً0
· دخول أشخاص غير مصرح لهم، لتدمير البيانات أو تغييرها أو تسجيل معاملات غير موجودة أو غير دقيقة أو غير مصرح بها0
· تغيير فى البيانات الرئيسية وفى النظام أو البرامج لغير المصرح لهم0
· الفشل فى إجراء تغيرات جوهرية فى النظام أو البرامج0
· الفقد المحتمل للبيانات0
   ويمكن تصنيف مخاطر استخدام تكنولوجيا المعلومات فى الرقابة الداخلية إلى :
أ - مخاطر تسجيل وتشغيل العمليات الإلكترونية :

  وتتمثل تلك المخاطر فى المشاكل التى تواجه هيكل الرقابة الداخلية نتيجة التشغيل الإلكترونى للبيانات (EDP) وهى([5]) :
1- مخاطر تتعلق باختفاء الدليل المادى الملموس والتحول إلى استخدام الملفات الإلكترونية
   ففى ظل استخدام تكنولوجيا المعلومات أصبحت البيانات المحاسبية غير مرئية وغير قابلة للقراءة ويصاحب ذلك مخاطر تتمثل فى سهولة ارتكاب الغش والتلاعب بل وصعوبة اكتشافها0
2- مخاطر تتعلق بسند المراجعة Audit Trail Risk :سند المراجعة هو الذى يمكن المراجع من تتبع العملية من مصدرها حتى نتائجها النهائية وتشتمل تلك المخاطر على :


     - عدم وجود دفاتر يومية حيث يتم الإدخال مباشرة لدفاتر الأستاذ0
     -عدم وجود المستندات الأصلية بعد الإدخال المبدئى 0
     - لا يمكن ملاحظة التتابع والتشغيل حيث أنه يتم داخل الحاسب0
3- مخاطر تتعلق بارتكاب الغش وسهولة التلاعب :
حيث أن التلاعب والغش فى ظل تكنولوجيا المعلومات أصبح يتسم بخصائص تختلف عن تلك المتعارف عليها فى ظل النظم اليدوية وهذا ما يجب أن يراعيه المراجع.
4- مخاطر تتعلق بفيروسات الحاسب0
5- مخاطر متعلقة بالعاملين بنظم المعلومات القائمة على استخدام الحاسبات الإلكترونية:

   حيث أن زيادة خبرة ودراية العاملين فى النظام بمرور الوقت يساعدهم على تخطى نقاط الرقابة الموضوعة للنظام مما يسهل عملية الغش وسهولة التلاعب0
6- مخاطر الفصل غير الملائم بين المهام والوظائف Improper Segregation of Duties:

     حيث أن ما يقرب من نصف عمليات الغش والاحتيال فى أنظمة التشغيل الإلكترونى للبيانات  ترجع إلى عدم وجود فصل ملائم بين المهام كما أن الفصل الملائم بين المهام يعتبر من العناصر المكونة لنظام الرقابة الداخلية الجيد، ويأخذ الأهمية الثانية بعد ضرورة وجود سياسات محكمة للتصريح بنشأة العمليات والموافقة عليها .
7- تعقيد وصعوبة فهم أنشطة الحاسبات الإلكترونية لغير المتخصصين وشدة إغراء العائد من الغش         باستخدام الحاسب للمتخصصين وصعوبة اكتشافه وتتبعه0
ب - مخاطر مرتبطة بتطبيق إجراءات الرقابة الداخلية :


هناك مجموعة من المخاطر التى يجب على المراجع أخذها فى الاعتبار عند اختيار وتطبيق إجراءات الرقابة الداخلية على تنفيذ العمليات الإلكترونية وتتمثل فى([6]) :
1- مخاطر الاعتماد الكلى على أنظمة الحاسب :- نظراً للسرعة الكبيرة التى تتم بها عملية تشغيل ونقل وتداول البيانات واعتمادها على الحاسب الإلكترونى مما يترتب عليه انخفاض فرصة التصحيح والترشيد لأخطاء الإدخال والتشغيل ومن ثم تزداد الحاجة إلى استخدام أنظمة الرقابة الالكترونية التى تركز على أنظمة الرقابة المانعة وانخفاض الاعتماد على أنظمة الرقابة الاكتشافية التى تتم بعد الحدث0
2- مخاطر الاختراق المتعمد :- والتقاط أرقام بطاقات الائتمان للعملاء المتعاملين ونهب أموالهم، وحصول أطراف خارجية ليس لها علاقة بعمليات المنشأة على البيانات الموجودة بالنظام المحاسبى وإطلاع المنافسين عليها0
3- مخاطر فشل الإرسال :- حيث أن عملية نقل وتداول البيانات الإلكترونية تتم عبر شبكة الانترنت  و تمر بمراحل عديدة (إرسال و ترجمة و تخزين و استلام) فقد تتعرض هذه المعاملات خلال تلك المراحل إلى بعض المخاطر مثل فقدان بعض البيانات أو التحريف أو التعديل أو عدم إرسال الرسالة من الأصل0
4- مخاطر فقدان التوثيق Authentication Risks : تنشأ نتيجة فقدان الدليل المادى الذى يمكن من خلاله إثبات الحقوق والالتزامات (المستندات الورقية) والاعتماد على التبادل الإلكترونى وعدم وضوح هوية المتعاملين فى التجارة الإلكترونية ،ويترتب على فقدان التوثيق ظهور نوع جديد من المخاطر يسمى مخاطر إنكار الالتزامات كإنكار استلام البضاعة أو إنكار استلام النقدية المحمولة إلكترونياً أو إنكار استلام أمر التوريد0

5- مخاطر تركيز الرقابة : حيث أن التبادل الإلكترونى أصبح يعتمد على الرقابة الإلكترونية و تدنية الأعمال البشرية بقدر الإمكان و ضغوط دورة العمل الإلكترونى مما يترتب عليه أن أصبحت أعمال الرقابة فى أيدى أفراد قلائل وأصبح تجميع عدد من المهام تحت مسئولية شخص واحد مثل مشغل الحاسب مما يزيد من مخاطر سهولة ارتكاب الغش والأخطاء0

6- مخاطر التكامل والعلاقات مع الأطراف الأخرى : إن وجود تغيرات فى النظام الإلكترونى لأى من الصفقات الإلكترونية يؤثر بالضرورة تأثيراً سلبياً على الطرف الأخر للصفقة فوجود أخطاء فى نظام المخزون للعميل يؤثر بالسلب على نظام مبيعات المورد ،فوجود أشخاص غير أمناء فى شبكة القيمة المضافة (VAN) قد يؤدى إلى فقدان سرية وخصوصية البيانات0



ثانياً : أدوات وإجراءات الرقابة الداخلية على أمن وسلامة المعلومات :

تتطلب عملية تصميم نظام لأمن المعلومات ضرورة تحديد مفهوم الوقاية من المخاطر والتهديدات، حيث أن الوقاية الكاملة من المخاطر والتهديدات يصعب تنفيذها فى الواقع العملى لأنها تتطلب مجهودا وتكاليف واحتياجات يصعب توفيرها فى ظل تحليل المنافع والتكاليف حيث أن أى نظام لابد وأن تكون منافعه أكثر من تكاليفه، ولكن يمكن تصميم نظام يساعد على تخفيض احتمالات حدوث تهديدات أو أخطار لنظم المعلومات إلى أدنى حد ممكن، ويتناول الباحث فى هذا الجزء ما يلى :-
 أ – مواصفات نظام الرقابة الداخلية على أمن وسلامة المعلومات :- يجب أن يتصف تصميم نظام       الرقابة الداخلية على أمن وسلامة المعلومات بالقدرة على([7]):
- معرفة كل محاولات الدخول الفاشلة للنظام والكشف عن أسبابها ومصادرها أى الحماية ضد الدخول غير المسرح به0
- اتخاذ كافة الإجراءات اللازمة لسرعة استعادة أى أجزاء مفقودة منه من خلال استخدام النسخ الاحتياطية0
- اكتشاف نقاط الضعف فيه وتصحيحها بصفة مستمرة0
- أن يتصف بالمرونة بمعنى أنه عند فشل إجراءات الأمن فى القضاء على تهديد معين فإنه يجب إعادة تصميم إجراءات أمنية جديدة تمنع مثل هذا التهديد0
- يجب أن يتضمن نظام الأمن على القدرة فى تحقيق الأمن للمكونات المادية الرئيسية الملموسة للحاسب الالكترونى والتى تتكون من Secondary Memory CPU, Primary Memory والمعدات الأخرى الملحقة بالحاسب وحمايتها من التخريب المتعمد أو الكوارث أو الحرائق0

ب – الخطوات الرئيسية لتصميم نظام الرقابة الداخلية على أمن وسلامة المعلومات :-  افترضت  إحدى الدراسات أربع خطوات  رئيسية لتصميم النظام الجيد لأمن وسلامة المعلومات وهى ([8]) :  
· عدم الانتظار والبدء فوراً فى تصميم نظام لأمن المعلومات0
· إشراك مستخدمى النظام وتوعيتهم للحصول على تأييدهم وموافقتهم على أهمية تصميم نظام الأمن0
· التعرف على نقاط الضعف فى النظام ومصادر اختراقه وكيفية مواجهتها0
· التعرف على الثغرات التى تهدد أمن وسلامة النظام والعمل على معالجتها0
      وقد حددت بعض الدراسات أسوأ ثمانى ممارسات متعلقة بنظام الرقابة الداخلية فى الشركات متوسطة وصغيرة الحجم والتى تستخدم تكنولوجيا المعلومات فى معاملتها المالية وذلك حتى يمكن للشركات الأخرى الاستفادة من تلك الممارسات والتعلم منها وتتمثل هذه الممارسات فى([9]) : -
  1-  عدم إعداد نسخ احتياطية للبيانات Back Ups أو إعداد نسخ احتياطية وتخزينها فى أماكن غير ملائمة Off- Sit0
  2-  عدم الاختيار الدورى لخطة استمرارية الأعمال Business Continuity Plan وهى الخطة التى يتم من خلالها استعادة أو استرجاع Recovery نظام المعلومات إلى وضعه الأصلى وذلك عند فقد أو تدمير أى بيانات نتيجة اختراقه0
    3-      عدم وجود أى رقابة لنشاط تكنولوجيا المعلومات0

  4-  عدم استخدام أو تحميل التعديلات الأمنية Security Patches والتى يتم إعدادها بواسطة منتجو البرامج وذلك لمعالجة الثغرات الأمنية التى تظهر فى البرامج التى ينتجونها0

  5-  عدم متابعة الدوريات والمواقع الخاصة بأمن وسلامة المعلومات والتى تعرض الثغرات الأمنية التى تتعرض لها الشركات الأخرى .
  6-  منح الموظفين employees صلاحيات أكثر من اللازم فيما يتعلق بالوصول إلى البيانات والمعلومات، حيث يجب قصر هذه الصلاحيات على ما يحتاجه كل موظف لأداء أعماله وفقاً لمسئولياته0
  7-  عدم الاختيار المناسب والملائم لبرامج وأنشطة التشغيل وعدم اختبارها قبل تشغيلها مما قد ينتج عنه أخطاء فى التشغيل والتى يصعب إصلاحها بعد ذلك0

    8-      عدم تدريب العاملين تدريباً جيداً على كيفية تشغيل النظام0

ج - الإجراءات اللازمة لتحقيق الرقابة الداخلية فى ظل أمن وسلامة المعلومات:


هناك مجموعة من الأبعاد والجوانب المتعلقة بأمن المعلومات والواردة بالمعيار 17799 الصادر عن منظمة المعايير الدولية عام 2000 والمأخوذ عن المعيار البريطانى 7799 الذى صدر عام1995  - والذى يتضمن إرشادات وتوصيات تتعلق بالممارسات الجيدة فى مجال إدارة أمن المعلومات وهى مستمدة من أفضل ممارسات وإجراءات الرقابة الداخلية على أمن وسلامة المعلومات فى العديد من الشركات العالمية وهى([10]) :
  1-  وجود سياسة واضحة لأمن وسلامة المعلومات Security Policy تؤكد على دعم الإدارة والتزامها بتحقيق أمن وسلامة المعلومات0
  2-  تنظيم الأمن Security Organization0 أى توفير المناخ الإدارى الملائم الذى يضمن تطبيق سياسات وإجراءات تحقيق الأمن وتحديد الأفراد المسموح لهم بالإطلاع على البيانات0
  3-  تبويب ورقابة الأصول Asset Classification and Control أى توفير حماية ملائمة لأصول نظم المعلومات بمختلف مكوناتها وتحديد المسئولين عنها والعمل على تبويب المعلومات حسب أهميتها ودرجة حساسيتها ودرجة سريتها والاعتماد عليها0
  4-  أمن الأفراد Personal Security ويهدف إلى تخفيض الأخطار المرتبطة بالخطأ البشرى، وإعداد برامج مستمرة لتوعية الموظفين وتعريفهم بالتهديدات والأخطار المختلفة0
  5-  الأمن المادى و البيئى Physical and Environmental Security ويشمل ذلك تأمين مكان نظام المعلومات وتأمين مصادر الطاقة والحماية من انقطاع الكهرباء وتحديد من لهم حق الوصول إليه0
  6-  إدارة الاتصال والعمليات Communications and Operations Management وتعمل على وضع إجراءات تفصيلية موثقة توضح كيفية أداء كل مهمة من المهام الخاصة بأنظمة المعلومات وتعمل على ضرورة الفصل بين المهام والاهتمام باستعمال برامج الكشف عن الفيروسات وتحديدها وإعادة النظام إلى وضعه الأصلى فى حالة وقوع أى حدث أمنى0
  7-  التحكم فى الوصول إلى النظام System Access Control ووجود رقابة على الدخول إلى معلومات النظام بحيث يتم تحديد المعلومات التى يصرح لكل مستخدم الوصول إليها حسب الأنشطة المكلف بأدائها والأعمال المكلف بإنجازها دون الوصول إلى المعلومات الأخرى التى لا تخص عمله0
  8-  تطوير وصيانة النظام System Development and Maintenance بصفة مستمرة حيث يلزم عند تطوير النظام تحديد متطلبات الأعمال ومنها يتم التوصل إلى متطلبات الأمن الواجب توافرها فى هذا النظام والتى على أساسها يتم تحديد ضوابط وإجراءات أمن المعلومات التى يجب الاستعانة بها لضمان الاستمرار الكفء للنظام بعد تطويره وصيانته0
  9-  التخطيط لاستمرارية الشركة (الأعمال) Business Continuity Plan أى التخطيط لاستمرار أنشطة الشركة وتهدف إلى منع أو تخفيف حدة التعطيل أو الإضرار التى تصيب أنشطة وعمليات المنشأة عند وقوع إحدى الكوارث أو الأحداث الأمنية الكبرى التى تضر بأمن أنظمة المعلومات، وتقوم على إعداد خطط استمرارية الأعمال (B. C. P) أو خطط الاستعادة من الكوارث0
10-  الالتزام Compliance أى الالتزام بالمتطلبات والقيود القانونية والتنظيمية والتعاقدية بهدف تجنب خرق المنشأة لأى متطلبات ناتجة عن أى من القيود السابقة مع مراعاة تشريعات وقوانين الدول المختلفة عند تبادل البيانات0
د - الوسائل التى تستخدم لتحقيق الرقابة الداخلية على أمن وسلامة المعلومات :-
هناك العديد من الوسائل والإجراءات التى يمكن استخدامها لتحقيق الرقابة على أمن وسلامة المعلومات فى ظل بيئة تكنولوجيا المعلومات منها([11]) :

1- التشفير Encryption :
يمثل التشفير أهم الطرق المستخدمة للحفاظ على سرية وسلامة البيانات التى يتم تداولها بين الأطراف المختلفة، وذلك لضمان عدم إطلاع أطراف غير مصرح لها على تلك البيانات، وفيها يتم تحويل البيانات من الصيغة العادية المفهومة إلى صيغة مشفرة لا يمكن قراءتها أو فهمها ثم يتم إرسالها إلى المرسل إليه الذى يستخدم مفتاح لفك الشفرة Decryption لإعادة البيانات من الصيغة المشفرة إلى صيغتها العادية مرة أخرى ويمكن استخدام إحدى الطرق التالية فى عملية التشفير0
أ- التشفير باستخدام المفتاح المتماثل               Symmetric Key Cryptography0
    ب- التشفير باستخدام المفتاح غير المتماثل             Symmetric Key Encryption0

وتواجه الشركات مشكلة فى حالة استخدام الطريقة الأولى وهى كيفية إرسال المفتاح إلى المرسل إليه بطريقة آمنة لتفادى وقوعه إلى شخص غير مصرح له بالإطلاع عليه، أما الطريقة الثانية فهى أكثر أماناً حيث يوجد مفتاحان لكل شركة الأول مفتاح خاص Private Key والثانى مفتاح عام Public Key يكون مفتاح للعامة والمفتاحان يرتبطان معاً بطريقة رياضية معينة لا يمكن استنتاج أحدهما من الآخر0
2-الحماية من الفيروسات Virus Protection :

أشهر طرق الوقاية من الفيروسات هى استخدام البرامج المضادة للفيروسات Antae Virus والتى تقوم بعمل فحص دورى للنظام التكنولوجى المستخدم بحثاً عن أشهر أنواع الفيروسات باستخدام ما يعرف بتوقيع الفيروس Virus Signature أو عن طريق مراقبة السلوك غير المألوف للبرامج Virus Behavior Uncommon علاوة على عدم فتح أى ملف إلا بعد التأكد من مصدره وتقليل الدخول إلى الانترنت ونقل الملفات File Transfer واستخدام البريد الإلكترونى E. Mail .
3-إعداد نسخ احتياطية    Bock Ups :
وفيها يتم إعداد نسخ احتياطية من البيانات أو البرامج لمواجهة فقد أو ضياع أو تحريف البيانات أو البرامج نتيجة أخطاء التشغيل أو تدمير نظام المعلومات عن طريق الاختراق الخارجى0
4-الحوائط النارية Fire Walls :
وهى أدوات تقع على طرف شبكة الانترنت الخاصة بالشركة هدفها تأمين الإدخال للشركة وتنقية وفلترة البيانات الداخلة والخارجة طبقاً لقواعد ومعايير معدة سلفاً وتعريف المستخدمين والتحقق من هويتهم وتحديد البيانات التى يمكن لكل مستخدم الوصول إليها وفقاً لطبيعة عمله ومسئولياته داخل الشركة وتوجد عدة أنواع من الجدران النارية منها :
- جدران الحماية بالفلترة                                  Ket Filtering Fire Walls0
- جدران الحماية لتطبيقات الاستخدامات                    Application Fire Walls0
- جدران الحماية التى تقوم بالفحص         State Full Packet Inspection Fire Walls0
- الشبكات الافتراضية المخصوصة                       Virtual Private Net Work0
      أى أن الجدران النارية تقوم بالمهام الآتية :
   أ- تأمين الإدخال إلى الشبكة والرقابة على كل  الروابط والتدفقات من وإلى الشبكة0
  ب- تنقية وفلترة البيانات الداخلة والخارجة طبقاً لقــواعـد معــدة مـن قبــل0
  ج- تعريف المستخدم والتحقق من هويته ومراقبة أنشطة الشبكة وإبلاغ المسئولين عند حدوث أى أحداث طارئة وغير مرغوبة والتأكد من أن التطبيقات التى يحملها محتوى الرسائل المتبادلة  مسموح بها0
5- استخدام وسائل تعريف المستخدم User Authentication :
    ويتم استخدام وسائل تعريف المستخدم لحماية النظام من أخطار التدخل غير الشرعى بانتحال صفة شخص مصرح له باستخدام النظام Impersonation وتستخدم للحماية من هذه الأخطار وسائل متعددة منها :-
·     كلمة السر  Pass Word :
إن استخدام كلمة المرور ما زالت أكثر الطرق انتشاراً واستخداماً فى أنظمة معلومات الشركات على الرغم من وجود طرق حديثة للتعرف على هوية مستخدمى المعلومات مثل طريقة بصمات الصوت / الأصابع لذلك عادة تستخدم الشركات إجراءات رقابية هدفها تأمين كلمات المرور الخاصة بالمستخدمين ومنع القراصنة من الاستيلاء عليها مثل إجبار المستخدم على تغيير كلمة المرور الخاصة به بصورة دورية (كل شهر مثلاً) وتوعية المستخدم بضرورة الاحتفاظ بكلمة المرور الخاصة به وعدم إطلاع أى شخص عليها أو كتابتها فى مكان يمكن الوصول إليه ومنع المستخدم من تكرار كلمة السر000 إلخ0
·     التعريف باستخدام الخصائص البيولوجية Biometrics Authentication :
وذلك بالاعتماد على الصفات البيولوجية لشخص المستخدم مثل الطول أو بصمة الإصبع أو بصمة الصوت وتعتبر هذه الوسيلة من الوسائل الجيدة للتعريف لأن هناك استحالة فى قهرها وهناك طريقتان للتعريف :
     - طريقة التعريف مرة واحدة  .                         
    - طريقة تعريف الرسالة مع استخدام التوقيعات الرقمية .
·     التوقيعات الرقمية والإلكترونية Digital and Electronic Signatures :
تستخدم التوقيعات الرقمية الإلكترونية مفاتيح الشفرة Encryption Keys لعمل توقيعات سرية لا يمكن إنكارها وقد أصدر الكونجرس الأمريكى عام 2000 قانون التوقيعات الإلكترونية الذى يعطى هذه التوقيعات نفس الموقع القانونى للتوقيعات العادية0
6- مراجعة الأمن Security Audit :
        من الأدوات الهامة فى تحقيق أمن المعلومات القيام بمراجعة دورية لنظم الرقابة الداخلية على أمن المعلومات الذى تطبقه الشركة بغرض الكشف عن نقاط القوة ونقاط  الضعف والعمل على تلافيها وعلاجها، وغالباً ما تتضمن تلك المراجعة قيام فرق من الخبراء بمحاولة اختراق الشبكات الخاصة بالشركة عن طريق محاكاة القراصنة وهو ما يعرف بالقرصنة الأخلاقية Ethical Hacking وتتم هذه المراجعة وفقاً لخطة محددة مسبقاً ومصممة خصيصاً للشركة محل المراجعة، وهذه المراجعة قد يقوم بها أفراد من إدارة المراجعة الداخلية بالشركة أو مراجعون مهنيون من خارجها ممن لديهم خبرة فى مجال أمن وسلامة المعلومات0 وبعد انتهاء عملية  المراجعة يجب أن يقدم فريق المراجعة تقريراً فنياً مفصلاً عن حالة نظام الأمن الخاص بالشركة0




ثالثاً : أثر استخدام تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية :



يرى البعض "أن التطور الحادث فى نظام تكنولوجيا المعلومات والاتصالات وانتشار تطبيقاتها بشكل مكثف قد أحدث تطوراً هائلاً فى المفاهيم والإجراءات الأساسية عند تقييم هيكل الرقابة الداخلية، فقد أدى هذا التطور إلى اتساع نطاق تطبيق أساليب المراجعة، وبالتالى إضافة أعباءً جديدة على المراجع المكلف بتقييم هيكل الرقابة الداخلية" ([12])، كما خلصت إحدى الدراسات إلى أن "الرقابات الثلاث المعروفة فى ظل بيئة التشغيل الإلكترونى للبيانات وهى الرقابة العامة و رقابة التطبيق و الرقابة الفورية ستظل ملائمة، ولكن يلزم توجيه مزيد من الاهتمام برقابات أخرى أهمها : رقابة الأمان على انتقال المستندات الإلكترونية، الرقابة الهادفة للحفاظ على سندات المعاملات، ورقابة الأمان على التوقيعات الإلكترونية ورقابة الأمان على برامج التطبيق والبرامج الجاهزة،ورقابة الأمان على مقدمى خدمات الإنترنت وأخيراً نقاط الرقابة المانعة المبكرة"([13])0

كما يرى البعض أن "التعريف الذى وضعته لجنة Coso للرقابة الداخلية يعد هو الأنسب للمشروعات التى تستخدم تكنولوجيا المعلومات فى إتمام معاملاتها التجارية، حيث عرفت لجنة Coso الرقابة الداخلية بأنها عملية وبالتالى فهى تعتبر ديناميكية أى مستمرة الأمر الذى يتناسب مع طبيعة البيئة التى تمارس من خلالها تلك المشروعات أنشطتها"([14])0


كما أن الهدف الأساسى للمراجعة لن يتغير فى ظل بيئة تكنولوجيا المعلومات ولكن إجراءات المراجعة هى التى تتغير بسبب اختفاء مسار المراجعة،ويرى بعض الباحثين  " أن أهداف الرقابة الداخلية فى ظل بيئة تكنولوجيا المعلومات لا تختلف عن الأهداف التقليدية لأنظمة الرقابة الداخلية0 إلا أنه إزاء المخاطر التى يتعرض لها النظام فى ظل هذه البيئة ، خاصة فى ظل ممارسة التجارة الالكترونية التى تتم عبر شبكة المعلومات فإن هناك هدفا إضافيا ينبغى أن تعمل أنظمة الرقابة الداخلية على تحقيقه وهو توفير الثقة للمتعاملين فى مزاولة أنشطة التجارة الإلكترونية وأيضاً الثقة فى الموقع الذى يتم من خلاله مزاولة تلك التجارة"([15])0
هذا ويرى البعض أن تكنولوجيا المعلومات تتطلب ضرورة تحقيق هدفين للرقابة هما([16]):-
    - الهدف الأول للرقابة الداخلية هو كفاءة وفعالية العمليات .
    - الهدف الثانى للرقابة الداخلية هو"إمكانية الثقة فى التقارير المالية".

    و لتحقيق هذه الأهداف يجب أن تتحقق أولاً الأهداف الفرعية التالية :

       أ- أمن المعلومات (المرسلة أو المخزنة أو المنشورة ) ،وأمن المعاملات عبر شبكة المعلومات "متضمنا التوثيق والتصريح وعدم الإنكار وإمكانية المساءلة والسرية والنزاهة و الاتاحية 0
      ب- أمن الخصوصية : أى أمن المعلومات الخاصة بالعملاء المتعاملين مع المنشأة0







                                             ويمكن توضيح أثر  استخدام تكنولوجيا المعلومات على مكونات هيكل الرقابة الداخلية كما يلى :-

§                   الأثر على بيئة الرقابة :
تؤكد إحدى الدراسات([17]) "أنه فى ظل الاستخدام المتزايد لتكنولوجيا المعلومات فى إتمام المعاملات المالية سيظل انتهاك الإدارة لنظم الرقابة الداخلية من المشاكل الهامة التى تواجه نظم الرقابة الداخلية كما أكدت أيضاً أن معدلات حدوث التلاعب Fraud فى البيانات سوف تكون أقل من معدلات حدوث الأخطاء Errors إلا أنها سترتبط غالباً بانتهاك الإدارة لنظم الرقابة المعمول بها وكذلك بسبب سوء تطبيق الفصل بين الواجبات وعدم تدريب العاملين على أساليب تكنولوجيا المعلومات والاتصالات وعدم وجود تفويض سليم للسلطات" .


كما أن موظفى المنشأة قد يشكلون مصدر تهديد كبير على المنشأة سواء عن طريق الإهمال أو التصرف المتعمد الذى قد يصل إلى حد تحقيق مكاسب مادية من وراء بيع معلومات المنشأة مما يتطلب إعطاء أهمية كبيرة لعناصر بيئة الرقابة كما يلى((3):-

- وجود إجراءات رقابية لحسن اختيار الموظفين من حيث الكفاءة الأخلاقية والمهنية0
- وجود سياسات لأمن وخصوصية المعلومات وإتباعها من كل موظفى المنشأة وعلى كل المستويات0
 - وجود برامج تعليم وتوعية وتدريب مستمرة على أمن المعلومات وتنمية روح المشاركة بين الموظفين لتحسين ثقافتهم وسلوكهم وجعلهم خط دفاع حقيقى عن أمن معلومات ومعاملات المنشأة0

كما أن بيئة الرقابة فى ظل تكنولوجيا المعلومات يجب أن تتكون من إطار أشمل بكثير من العناصر السابق الإشارة إليها، بالإضافة إلى أن هذه العناصر يجب أن يحملها إطار شامل متناسق يشتمل على مجموعة من العناصر التالية التى يمكن وضعها فى ثلاثة مجموعات رئيسية وهى([18]):
الأولى : أساليب تكنولوجيا المعلومات Information Technology Practices :
وهى مستوى التكنولوجيا الذى  تستخدمه المنشأة فى إدارة نشاطها0
الثانية : أساليب إدارة المعلومات Information Management Practices :
    وتتعلق بكيفية إدارة تدفق المعلومات داخل النظام التكنولوجى المستخدم ويشمل- القدرة على    إدارة المعلومات و استشعار المعلومات و جمع المعلومات و تنظيم المعلومات و التشغيل و الاحتفاظ بالمعلومات وصياغتها0
الثالثة : سلوكيات وقيم المعلومات Information Behaviors and Values :
    وتعبر عن السلوك والقيم المرغوبة فى إدارة تكنولوجيا المعلومات وتشمل ألقدره- النزاهة- الشفافية والتطلع للمستقبل و الاستخدام المشترك للمعلومات0 وعلى هذا فإن تكنولوجيا المعلومات قد أوردت عناصر جديدة، لها أثر هام على بيئة الرقابة أهمها التأكيد على أهمية المعايير والقيم الأخلاقية الواجب توافرها فى بيئة تكنولوجيا المعلومات0
§                   الأثر على تقدير المخاطر :
يرى البعض بـأن الفرض القائل "أن التشغيل الإلكترونى للبيانات المحاسبية سوف يؤدى إلى تخفيض أخطار الرقابة لأنه سيقضى على أى محاولة لسرقة الأصول من جانب العاملين، كما أنه سيؤدى إلى تحسين الدقة والكفاية فى نظم الرقابة بما يوفره من تغذية عكسية مرتدة فورية غير صحيح ، حيث لازالت مسألة نزاهة ودقة البيانات المحاسبية تمثل تحدياً هاماً أمام نظم التشغيل الإلكترونى للبيانات وبالتالى تزداد مخاطر الرقابة المترتبة عليها كلما زادت درجة التقدم التكنولوجى فى تشغيل البيانات0"([19])  ، كما أن تقدير الخطر من قبل إدارة المشروع يعد أمراً أكثر أهمية فى المشروعات التى تمارس الأنشطة الإلكترونية فى إتمام معاملاتها المالية نظراً للأساليب غير التقليدية التى تعتمد عليها فى إتمام صفقاتها ونظراً للمخاطر العديدة الكامنة من جراء إتمام تلك الصفقات سواء من جانب الدخلاء أو قراصنة الكمبيوتر"([20])0 لذلك يجب على المراجع التأكد من قيام إدارة المنشأة بتلك الوظيفة الهامة واتخاذها لكافة الوسائل الهامة اللازمة لمواجهة تلك المخاطر لتحقيق أهداف المنشأة والسيطرة على مخاطرها0
هذا ويرى البعض ضرورة إضافة مكون الاستجابة للمخاطر إلى مكونات الرقابة الداخلية فى ظل استخدام تكنولوجيا المعلومات لإتمام المعاملات التجارية حيث أن مخاطرها المتعددة تتطلب ضرورة الاهتمام بعمل تقييم لمستويات الخطر التى تتعرض له الأصول والمعلومات المختلفة حيث بدون تقييم الخطر لا يمكن وضع طرق لسرعة منعه أو الحد من هذه المخاطر وهو ما يطلق عليه الاستجابة مع ضرورة تبنى المنشأة لاستراتيجيات تمكن من سرعة الاستجابة للمخاطر0([21] ) وتؤكد  دراسة Coso الجديدة بعنوان “Enterprise Risk Management Frame Work ([22]) على ضرورة إضافة عنصر الاستجابة للمخاطر إلى مكونات هيكل الرقابة الداخلية وهذه الدراسة حددت استجابات المخاطر فى أربع مجموعات وهى :
1-  التجنب Avoidance : وهو التصرف الذى يتخذ لاستبعاد الأنشطة التى تسبب المخاطر فتجنب المخاطر قد يتطلب إيقاف خط إنتاج أو إلغاء التوسع فى السوق0
2-    التخفيض Reduction : وهو التصرف المتخذ لتخفيض احتمال التعرض للخطر أو لتخفيض تأثيره أو الاثنين معاً0
3-  المشاركة Charging : وهو التصرف المتخذ لتخفيض احتمال التعرض للمخاطر أو تأثيرها بالتحويل أو مشاركة المخاطر المألوفة منها عن طريق التأمين0
4-  القبول Acceptance : أى عدم عمل أى تصرف للتخفيض من احتمالية أو تأثير المخاطر بمعنى القبول بالأمر الواقع0




§                   الأثر على أنشطة الرقابة :
أنشطة الرقابة هى الأنشطة التى يتم أداؤها لإلغاء المخاطر أو تخفيضها إلى مستوى مقبول، ولكن فى ظل استخدام تكنولوجيا المعلومات سوف تزداد أهمية أنشطة الرقابة بنوعيها (الرقابة المانعة و الكاشفة) وسوف تهتم أكثر بالرقابة الآلية واستخدام برامج التقييم الذاتى للرقابة0 "لأن العديد من نظم الرقابة المحاسبية والمالية التى يعتمد عليها المراجع يجب أن يتضمنها برنامج الحاسب فإن المراجع فى ظل استخدام تكنولوجيا المعلومات يجب أن يهتم كثيراً بالمراحل المبكرة لتصميم النظام حيث غالباً ما يتم تشغيل قسم الحاسبات والمعلومات بواسطة موظفين ذوى معرفة متخصصة مما حتم على المراجع أن يكون كف ًوفعالاً فى مراجعة عمليات تشغيل البيانات التى يقوم بها هؤلاء المتخصصون كما أن الصعوبات والمشاكل التى يواجهها المراجع فى ظل التشغيل الإلكترونى للبيانات غالباً ما تتناسب عكسياً مع حجم الحاسب المستخدم، لأنه من الصعب تحقيق الفصل بين المهام فى ظل الحاسبات الصغيرة بسبب نقص الأفراد المتخصصين"([23])0
وأوضح معيار المراجعة الأمريكى (SAS No 94) أن هناك تأثيرا كبيرا لتكنولوجيا المعلومات على أنشطة وأساليب الرقابة المتبعة، حيث أن تكنولوجيا المعلومات غالباً ما تُحْدث تغييرات جوهرية فى عمليات إدخال، وتسجيل وتشغيل، والتقرير عن الصفقات فى ظل العدد الضخم للصفقات المبرمة فى بيئة تكنولوجيا المعلومات([24])0
 ويجب على المراجع القيام بفحص مبدائى لأنشطة الرقابة المتبعة فى المشروعات الإلكترونية سواء كانت أنشطة الرقابة العامة General Control Activities والتى تتعلق بكيفية الفصل فى الواجبات وحماية أصول المشروع وخاصة التجهيزات التكنولوجية وكذلك حماية الشبكة الخاصة بالمشروع والمتصلة بشبكة الإنترنت العامة، كما يجب فحص أنشطة الرقابة على التطبيقات Application Control Activities وتشغيل البيانات سواءً كانت أنشطة رقابية على المدخلات أو التشغيل أو المخرجات وكذلك تداول البيانات إلكترونيا عبر شبكة المعلومات وكذلك أنشطة الرقابة المتبعة فى إدارة الموقع الإلكترونى للمشروع على الشبكة([25])0
ونظراً لأهمية فحص ودراسة أنشطة الرقابة المتبعة فى المشروعات التى تستخدم تكنولوجيا المعلومات فى إتمام معاملاتها التجارية فقد أوجب قانون Sarbanes- Oxley الصادر فى أمريكا USA)) عام 2002 ([26]) على المراجع أن يقوم بفحص أنشطة وأساليب الرقابة المتبعة فى المشروعات وإظهار نتيجة فحصه فى تقرير المراجعة، حيث يجب أن يحتوى التقرير على ما إذا كانت الأساليب والأنشطة المتبعة تحقق المحافظة على السجلات التى تعكس بعدالة ودقة صفقات المشروع وتأكيد معقول بأن الصفقات يتم تسجيلها وفقاً لمعايير المحاسبة المتعارف عليها GAAP، كما يجب أن يحتوى التقرير على وصف لأى أوجه ضعف أو عدم اكتمال جوهرية فى الأنشطة والأساليب الرقابية0
وهناك من يرى أن أنشطة الرقابة الداخلية المتعارف عليها والموجودة فى تقرير لجنة Coso لم تعد كافية وملائمة لخصائص نظم تكنولوجيا المعلومات وما تتعرض له من مخاطر متعددة مما يتطلب تصميم أنشطة رقابة داخلية تتلاءم مع أنشطة تكنولوجيا المعلومات ولضمان توثيق ونزاهة معلومات ومعاملات التبادل الإلكترونى للبيانات نظراً للأسباب التالية([27]) :
1-   يمكن أن تتعرض هذه النظم المفتوحة لوصول العملاء أو القراصنة أو غيرهم0
2- إتاحية موقع المنشآت ونظامها فى أداء العمل على مدار 24 ساعة لإنجاز المعاملات الإلكترونية وعدم توقفها، يتطلب أهمية وجود إجراءات رقابية للاحتفاظ بخطط لاستمرارية نظم وموقع المنشأة0
3- الاعتماد الكبير على الإجراءات الالكترونية فى التسجيل والمعالجة والتقرير عن المعلومات وما يترتب عليه من عدم وجود مستندات ورقية مما يتطلب الاعتماد على الرقابة الالكترونية مثل التصريح بالوصول والمعاملات، ودقة إدخال البيانات وسرعة اكتشاف الأخطاء وتصحيحها0
4- وجود إجراءات رقابية للفصل المادى بين مهام المسئولين عن إعداد وتشغيل وصيانة نظم وموقع المنشأة بالإضافة إلى الحماية المادية للأجهزة والبرامج .
5- تشكل تكنولوجيا التجارة الإلكترونية خطراً كبيراً على المعلومات وخاصة السرية والخصوصية مما يستدعى توفير طرق لرقابة وتأمين قواعد البيانات وحماية المعلومات .

§                   الأثر على المعلومات والاتصالات :
        يعد نظام المعلومات من أهم العناصر المكونة للهيكل المتكامل للرقابة الداخلية، "بما يوفره من معلومات مفيدة لأطراف عديدة عن طريق قنوات مفتوحة للاتصال تسمح بتدفق تلك المعلومات وإعداد التقارير" ([28])، و" تعتمد نظم المعلومات للمشروعات التى تستخدم تكنولوجيا المعلومات فى إدارة معاملاتها التجارية على نظم تكنولوجية عالية الالكترونية حيث تستخدم الإجراءات الالكترونية لإنشاء وتسجيل ومعالجة والتقرير عن المعاملات فى تقارير إلكترونية، كما يتولد عن الإجراءات الالكترونية مسار مراجعة إلكترونى والاعتماد بدرجة كبيرة على الرقابة الالكترونية المبرمجة المبنية داخل النظم والتى تطبق على كل المعاملات "([29])0 وتتطلب معاملات التجارة الإلكترونية ضرورة وجود قنوات اتصال بين المنشأة وموظفيها لإعلامهم بسياسة الأمن ونزاهة معالجة المعاملات وتذكيرهم بمسئوليتهم0
وهناك من يرى" أن نظام الاتصال فى ظل المعاملات التجارية الإلكترونية يجب أن يتسم بالتغذية العكسية وتوصيل المشاكل واختراقات الأمن للإدارة ومسئولى إدارة الأمن كما يجب نشر السياسات الأمنية على موقع المنشأة لإعلام العملاء بكيفية التعامل مع المنشأة فيما يتعلق بمعاملات التجارة الإلكترونية "([30])0
    ويتميز نظام المعلومات فى المشروعات التى تستخدم تكنولوجيا المعلومات فى معاملاتها بـ([31]) :-
1-   توفير المعلومات بشكل فورى مستمر من خلال التشغيل الفورى للبيانات0
2-   التركيز على وجود نسخ احتياطية بديلة للملفات والبرامـج0
3-   توفير الأمـن للمعلومــات المنتجــة مـن خلالـــه0
4-   التوصيل الجيد للمعلومات لكافة أطراف المستويات الإدارية0
§                   الأثر على المراقبة :
     يتطلب أمن المعلومات Information Security ومعاملات تكنولوجيا المعلومات متابعة وفحص وتقييم مستمر لكل من سياسات الأمن وأداء الأفراد وأداء التشغيل حيث تتميز هذه الأنظمة بالتتابع المستمر فى عملياتها والتشغيل الفورى لبياناتها الأمر الذى يتطلب ضرورة وجود نظام للمراقبة والمتابعة المستمرة داخل المشروع يتم من خلاله([32]) " التقييم المستمر Continuous Evaluation لأنشطة المنشأة واتخاذ الإجراءات المصححة فى الوقت المناسب، الاكتشاف المبكر لأى تلاعب أو غش أو تحريف فى الحسابات أو العمليات "0وحيث أن اختراقات وحوادث الأمن والأخطاء المختلفة من الممكن أن تؤدى إلى انهيار وتوقف النظام التكنولوجى المستخدم مما يتطلب ضرورة وجود متابعة مستمرة لفحص كفاءة وفعالية الأنشطة الرقابية وضرورة وجود متابعة مستمرة لسياسات أمن المعلومات ولوائحها المنظمة لذلك يرى الباحث أن المتابعة المستمرة والتقييم مكون جوهرى للرقابة الداخلية لأنشطة تكنولوجيا المعلومات .
    وهناك من يرى ضرورة أن تنقسم عملية المراقبة لرقابة نظم تكنولوجيا المعلومات الى :- ([33])
1- متابعة الالتزام :
        ويقصد بها متابعة الالتزام بسياسات أمن المعلومات وتوافقها مع ما يستجد من متطلبات وقوانين مع ضرورة تعديلها وتحديثها بما يتلاءم مع التهديدات والتغيرات الجديدة بالإضافة إلى متابعة عقود واتفاقيات مقدمى الخدمة بالإضافة إلى متابعة أفراد المنشأة بالحفاظ على متطلبات الأمن وربط ذلك ببرنامج الحوافز والجزاءات للمساعدة على تحسين التزامهم ويقوم بهذه المهام المستشار القانونى لفريق متابعة الالتزام ومسئولى الأمن ومسئولى الموارد البشرية0
2- متابعة الرقابة :
        ويقصد بها متابعة وتقييم الرقابة والعمليات بحيث يمكن عمل تحديد فورى للمشكلات واحتوائها والإسراع بالتغطية لتخفيض حجم الخسارة والتدمير وإعداد تقارير عن المشكلات المرتبطة بالأمن ووضع اقتراحات للحلول ويقوم بذلك مسئولو الأمن ومتخصص تكنولوجيا المعلومات0

       ويتفق الباحث مع من يرى أنة: "يتعين على المراجع أن يعيد النظر فى تصميم برنامج المراجعة التقليدى عند فحصه لحسابات المشروعات التى تستخدم الوسائل الالكترونية المحاسبية ويعدل من طريقة تنفيذه بما يتلاءم مع الظروف الآلية الجديدة وتطوير الأنظمة التى يتبعها فى مراجعة المستندات والسجلات الجديدة([34])"،كما أن اختفاء الدليل المادى الملموس للإثبات قد أثر على الأداء المهنى للمراجع وعدم مقدرته على تقديم معلومات دقيقة عن نظم الرقابة الداخلية لتحديد مدى إمكانية الاعتماد عليها فى المراجعة، "ففى ظل استخدام تكنولوجيا المعلومات أصبح بالإمكان بث برامج محكمة الإعداد ذات أهداف معينة يتم بواسطتها اختراق نظام الرقابة الداخلية لتحقيق أهداف غير مشروعة مما أدى إلى أن المراجع أصبح يعمل فى ظل ظروف عدم التأكد، وليس لديه ما يؤكد بالدليل أو القرينة أنها ذات التعليمات التى يتم تنفيذها فعلاً خلال الفترة المحاسبية وبالتالى افتقار القوائم المالية إلى المصداقية"([35])0                                                                                                             
    ويرى الباحث أنه من أجل تقييم نظام الرقابة الداخلية فى ظل تكنولوجيا المعلومات يجب على المراجع أن يكون ملماً بالأمور التالية:    
1-   معرفة سياسات أمن المعلومات ومفهوم دورة حياة النظام والأساليب الرقابية على إعداد برنامج التطبيق0
2-   معرفة أساليب التصريح والوصول وطرق المعالجة الآمنة وأساليب حماية البيانات0
       كما يجب أن يكون لديه مهارة القدرة على تحليل وتقييم سياسات الأمن وإجراءاته وتقييم وسائل حماية البيانات كالتشفير والحماية من الفيروسات والقدرة على إجراء المتابعة المستمرة .

 



([1])  Debreceny; Roger & G.L. Gray, “Financial Reporting on Internet and The External Audit”, The CPA Journal, April. 2003, P36 (www. Nysscpa. Org/cpa Journal/ 2003/)
([2]) د/ شريف سعيد البراد، الثقة فى نظم المعلومات مقارنة بين الواقع المصرى والأمريكى – دراسة ميدانية تطبيقية، المجلة العلمية  للاقتصاد والتجارة، كلية التجارة- جامعة عين شمس، العدد الرابع، اكتوبر 2000 ص733 0
([3]) يراجع فى ذلك إلى :-
- د/ عبد الوهاب نصر على- د/ شحاته السيد، الرقابة والمراجعة الحديثة فى بيئة تكنولوجيا المعلومات وعولمة أسواق المال (الواقع والمستقبل)، مرجع سبق ذكره, ص248 : 249 0
- د/ عادل نعمة الله وآخرون، دراسات فى المراجعة المتقدمة، الدار الجامعية، 2003، ص356 : 357 0
(2)  AICPA, SAS No 94, “The Effect of Information Technology on The Auditor’s Consideration of Internal Control in Financial Statement Audit”, May. 2001 (www. Aicpa. Com) Au. Section 319. Parag 19.
([5]) يراجع فى ذلك إلى :
- د/ محمد مصطفى أحمد الجبالى، مرجع سبق ذكره ، ص275 : 276 0
- د/ حسن عبد الحميد العطار، نموذج مقترح لتقييم مخاطر بيئة التشغيل الإلكترونى مدخل لتدعيم دور مراقب الحسابات فى ظل التحديات المعاصرة، مجلة البحوث التجارية ، كلية التجارة- جامعة الزقازيق، العدد الأول، يناير 2000، ص65 : 68 0
([6]) يراجع فى ذلك إلى :
- د/ فاروق جمعة عبد العال ، مرجع سبق ذكره ، ص277 0
- د/ عادل عبد الرحمن أحمد، مرجع سبق ذكره ، ص136 : 137 0
- د/ السيد عبد المقصود دبيان، د/ وليد السيد كشك، الاتجاهات الحديثة فى الرقابة الداخلية على أمن نظم المعلومات فى ظل التجارة الإلكترونية ودور المعايير الدولية، مؤتمر التجارة الإلكترونية : الأفاق والتحديات، كلية التجارة - جامعة الإسكندرية، يوليو 2002 (25- 27) ص513-514 0
- د/ عارف عبد الله عبد الكريم، إجراءات مراجعة المبيعات فى شركات التجارة الإلكترونية، مرجع سبق ذكره ، ص468 0
([7]) د/ عبد الوهاب نصر- د/ شحاته السيد، الرقابة والمراجعة الداخلية الحديثة000، مرجع سبق ذكره، ص262 : 264 0
(2)  Leuhlfing, M.E.Defending the Security of the Accounting System”, The CPA Journal, October. 2000, P2. (www. Nysscpa. Org/ cpa Journal/ 2000/…).
(1)  Lanz J. “Worst Information Technology Practices in Small To Mid- Size Organization” The CPA Journal, April . 2002, pp 4-5. (on Line).
([10]) يرجع فى ذلك إلى :-
-International Audit Services, 2004, “A Risk Management Approach to Audit and Implementing Internal Controls”, Internal Audit Management.(www. Clydesdale. Com, Audit- Management.htm).
-Eloff. M. M and Salms, SH, “Information Security Management, Apierarchical From Work For Varialls Approaches”, Computer & Security, Vol 19, 2000, pp 243- 256.
-د/ عبد الوهاب نصر، د/ شحاته السيد، الرقابة والمراجعة الداخلية الحديثة 000، مرجع سبق ذكره، ص264 : 267 0
- د/ فاروق جمعة عبد العال، مرجع سبق ذكره، ص279 0
([11]) يرجع فى ذلك إلى :
  - Mahadevan,c. “E- Commerce Security- Components Which Make it Safe”, Information Systems Control Journal, 2001, pp2 : 5 (www. Is aca. Org/ art 20. Htm).
-          Lin, L, “Internet Security”, information Systems Control Journal, 2001,pp1:3. (on line :   www. Is aca. Org/ art 20. Htm ).                                          
- د/ محمد السعيد خشبة، تكنولوجيا التجارة الإلكترونية، المطبعة الحديثة، 2003 ص95 : 98 0       
-    د/ عبد العزيز السيد مصطفى، السياسات الرقابية على نظم التبادل الإلكترونى للبيانات وانعكاساتها على أساليب الفحص الضريبى لصفقات التجارة الإلكترونية، مؤتمر التجارة الإلكترونية : الأفاق والتحديات، كلية التجارة، جامعة الإسكندرية، يوليو، 2002، (25 : 27) ص412: 417 0
-  أ/ مصطفى السيد عمار, الفيروسات والبرامج المضادة لها ,17يوليو2002.
أ/ أمانى حسين كامل خليل،  مرجع سبق ذكره  ,ص106 : 117 0
 ([12]) د/ سعاد حسن خضر وآخرون، المراجعة وتقييم الرقابة الداخلية فى ظل تشغيل البيانات الموزعة، المجلة العلمية  للاقتصاد والتجارة، كلية التجارة- جامعة عين شمس، العدد الأول، 1996، ص339 0
([13]) د/ عبد الوهاب نصر على، دراسة الآثار الحتمية للتجارة الإلكترونية .......، مرجع  سبق ذكره، ص19 .
([14]) أ/ أمل عبد الفضيل عطية، مرجع سبق ذكره ، ص109 0
([15]) د/ عبد الوهاب نصر ، د/ شحاته السيد، مراجعة الحسابات وتكنولوجيا المعلومات، مرجع سبق ذكره , ص218 .                                                                                                                                                                                                                                                                                                                                
(1) للمزيد أنظر:
- أ/ أمانى حسين كامل خليل،  مرجع سبق ذكره ، ص98 : 99 0
- د/ عارف عبد الله عبد الكريم ، تقدير المراجع لأخطار الرقابة ..........،مرجع سبق ذكره ، ص،60-61 .
(2) د/ عارف عبد الله عبد الكريم ، المرجع السابق ،  ص61 .
(3) أ/ أمانى حسين كامل خليل، مرجع سبق ذكره ، ص 100 .
(1)   أ/ خديجة محمد عيد رمضان، تطوير أنظمة الرقابة الداخلية لاكتشاف الأخطاء والغش فى التجارة الإلكترونية لزيادة فعالية            المراجعة الخارجية، رسالة ماجستير- غير منشورة، كلية التجارة- جامعة عين شمس، 2005، ص142 : 144 0
 (2)  د/ عارف عبد الله عبد  الكريم، تقدير المراجع لأخطار الرقابة000، مرجع سبق ذكره ، ص59 : 60 0
 (3)  أ/ أمل عبد الفضيل عطية  ، مرجع سبق ذكره ص113 0
 (1)  أ / أمانى حسين كامل، مرجع سبق ذكره ،  ص100 0
(2)  The Committee of Sponsoring Organizations of The Treadway Commission (Coso), Enterprise Risk Management Frame Work”, 2003, pp 2- 4. (On Line : www. Erm. Coso. Org).

([23])د/ عبد الوهاب نصر -د/ شحاته السيد ، مراجعة الحسابات فى بيئة الخصخصة وأسواق المال000، مرجع سبق ذكره ص22 0
(2)Thomas A and Panl Munter, “Information Technology, Internal Control and Financial Statement Audits, “The CPA Journal, Vol 73, No 4, April.2002, p2 (www. Nyss CPA. Org/CPA Journal/ 2002).
(3) أ/ أمل عبد الفضيل عطية،  مرجع سبق ذكره ، ص117 0
(4) Alain. Valiquette, “Introducing New IT Systems Into Sarbanes- Oxley Compliant Environment”, IT Audit, Vol 9, Nov 10, 2006. (www. Theiia. Org/ It Audit/ …..)
([27]) أ/ أمانى حسين كامل، مرجع سبق ذكره ، ص101 : 102 0
([28]) د/ جورج دانيال غالى، تطور مهنة المراجعة000، مرجع سبق ذكره  ، ص343 0
([29]) د/ عارف عبد الله عبد الكريم، التجارة الإلكترونية وأثارها المتداعية على المحاسبة والمراجعة، مرجع سبق ذكره,ص15 : 16.
([30]) أ/ أمانى حسين كامل، مرجع سبق ذكره  ، ص163 0
([31]) أ/ أمل عبد الفضيل عطية، مرجع سبق ذكره  ، ص114 0
(1)Teresa. Wingfield, “Effective IT Controls : Why Continuous Mounting Requires Automation”, IT Audit, Vol 9. Nov 10, 2006. P1 (www. Theiia. Org/ It Audit/ Index. Cfm? Iid = 502 & Catid = 218 aid = 2421).
(2)  I bid , pp3;6.                                                                    
                                                         
([34]) د/ حسن على خشارمة، أثر استخدام الحاسوب على أنظمة الرقابة الداخلية فى البنوك الأردنية- دراسة ميدانية، المجلة العلمية  للاقتصاد والتجارة، كلية التجارة – جامعة عين شمس، العدد الرابع، 2001 ص1 0
([35]) د/ ليلى عبد الحميد لطفى، أثر استخدام النظم الإلكترونية فى المراجعة على كفاءة الأداء المهنى للمراجع، المجلة العلمية لكلية التجارة، جامعة الأزهر، العدد الثالث عشر، يونيه 1997 0 ص77 0

ليست هناك تعليقات:

إرسال تعليق