أثر تكنولوجيا المعلومات على خطر المراجعة

أثر تكنولوجيا المعلومات على خطر المراجعة

مقدمة :

انتهى الباحث فى المبحث السابق الى بيان اثر تكنولوجيا المعلومات على مهنة المحاسبة والمراجعة ،وكيفية إعادة تأهيل المراجع ،وفى هذا المبحث يقوم الباحث باستعراض مفهــوم أمــن وسلامـة المعلومات ,مع تحديد وتصنيف مخاطر أمن المعلومات ، ثم بيان أثر تكنولوجيا المعلومات على تقدير مخاطر المراجعة0

تعتبر المعلومات الدقيقة والكاملة بمثابة العمود الفقري بالنسبة لأى وحدة اقتصادية ترغب فى البقاء والاستمرار والنمو ، وذلك لأنها تمثل الأساس الذى تبنى عليه الإدارة قراراتها فى مواجهة المشاكل والأزمات المختلفة، ومما لا شك فيه أن وجود نظام معلومات جيد وملائم يعتبر بمثابة أحد العوامل الأساسية المحددة لمدى نجاح أو فشل أى إدارة فى تحقيق المستهدف منها بكفاءة وفعالية0

كما أن التطور السريع فى تكنولوجيا المعلومات والانتشار الواسع للنظم والبرامج  ورغبة المنشآت فى اقتناء وتطبيق أحدث النظم والبرامج الإلكترونية قد جعل من اليسير على تلك المنشآت استخدام الحاسب الإلكترونى ، ومكنها من أداء العديد من المهام والوظائف المحاسبية بصورة أسرع وأدق، ولكن على الجانب الآخر "فإن هذا التقدم الهائل يحمل فى طياته العديد من المخاطر الهامة المتعلقة بأمن وتكامل النظم المحاسبية الإلكترونية ونظراً لأن التطور فى الحاسبات وتكنولوجيا المعلومات لم يصاحبه تطور مماثل فى الممارسات والضوابط الرقابية، كما لم يواكب ذلك تطور مماثل فى معرفة وخبرات ووعى العاملين بكثير من المنشآت ^{" ([1])}0

" ووفقاً لتقديرات إدارة العدالة الأمريكية U.S. Department of Justice فإن تسعة من كل عشرة منشآت تتعرض لاختراق نظامها الأمنى ,كما اعتبرت اللجنة التكنولوجية التابعة للمعهد الأمريكى للمحاسبين القانونيين (عام 2001) AICPA Technology Committee موضوع أمن ورقابة المعلومات ضمن أهم عشر قضايا ذات تأثير كبير على مهنة المراجعة" ^([2]) .

     وتتناول الدراسة فى هذا المبحث ما يلى  :

  أولا : مفهــوم أمــن وسلامـة المعلومات0

  ثانيا : تهديدات وأشكال مخاطر أمن المعلومات0

  ثالثا : تصنيـف مخاطــر أمــن المعلومات0

  رابعا: أثر تكنولوجيا المعلومات على تقدير خطر المراجعة0

أولاً : مفهوم أمن وسلامة المعلومات :-

    يقصد بأمن وسلامة المعلومات :

أ- ضرورة توفير مجموعة من الوسائل والإجراءات التى تحقق الحماية من الأحداث  المستقبلية غير المرغوب فيها والتى تعتبر بمثابة تهديدات لنظام المعلومات لأنها تؤدى إلى حدوث إخلال بالأمن Breach of Security وفقدان التكامل والدقة داخل النظام^([3])0

ب- وجود مجموعة من الإجراءات والأساليب التى تهدف إلى تحقيق الحماية للنظام  من أى أحداث مستقبلية تهدد النظام وتؤدى إلى فقد المعلومات أو عدم دقتها أو فقد سريتها^([4])0

  من خلال المفاهيم السابقة يمكن تعريف أمن المعلومات بأنها :-

 "كافة الأبعاد المتعلقة بضرورة تحقيق قدر من السرية والسلامة للمعلومات التى تمتلكها المنشأة رغم إمكانية إتاحتها ومراجعتها والمساءلة المرتبطة بعملية سوء استخدامها وتوفيرها لإمكانية الاعتماد عليها لاتخاذ القرارات المناسبة فى الوقت المناسب"0

   ومن التعريف السابق يمكن أن تتمثل اعتبارات أمن وسلامة المعلومات فى ^([5]):-

- سرية المعلومات Confidentiality :وتعنى عدم إتاحة المعلومات لمن ليس له تصريح للإطلاع عليها أو عدم حصول الأطراف غير المسموح لهم عليها0

- تكامل المعلومات Integrity :وتعنى الحفاظ على المعلومات من التغيير أو التدمير أو التحريف وذلك لضمان أن تكون دقيقة وصحيحة ومكتملة أثناء تخزينها وأثناء نقلها ، وأن يتم تشغيلها بطريقة صحيحة,وتتضمن خاصية السلامة إمكانية الاعتماد على المعلومات Reliability حيث لم يحدث أى تحريف أو تلاعب فى المعلومات لاتخاذ القرارات0

- الاتاحية Availability : أى إمكانية الوصول إلى المعلومات وتوافرها واستخدامها عند طلبها فى الوقت الملائم من قبل المستخدمين المصرح لهم وفى المكان المناسب0

- إمكانية المساءلة عن المعلومات Accountability :أو إمكانية مراجعة المعلومات ويشير ذلك إلى أن القيام بفحص معين يتضمن أن أفعال وعمليات وتصرفات منشأة معينة يمكن ردها إلى تلك المنشأة فقط دون أى لبس أو غموض0

- توثيق المعلومات :وتعنى التحقق من سلامة هوية الشخص أو الجهة التى يتم التعامل معها، والتأكد من أنه طرف مصرح له بالدخول إلى موقع أو نظام معلومات المنشأة والإطلاع على ما به من معلومات0

" ويترتب على عملية فقد التوثيق ظهور نوع من المخاطر يسمى "مخاطر إنكار الالتزامات Repudiation Risk" وهذا يعنى قيام أحد أطراف العملية بإنكار حدوثها كإنكار استلام أمر التوريد أو إنكار استلام البضاعة، مما يترتب عليه حدوث كثير من المشاكل والمنازعات نتيجة عدم استلام البضائع التى تم دفع قيمتها أو عدم استلام نقدية لسلع تم شحنها ^"([6])0

ثانيا: تهديدات وأشكال مخاطر أمن المعلومات :-

        ترتب على استخدام النظم الالكترونية Computerized Systems نمو فى جرائم الحاسبات Computer Crimes، وقد أصبحت تلك الجرائم شائعة و متداولة خصوصاً فى الدول المتقدمة0

      ويقصد بجرائم الحاسبات Computer Crimes "استخدام النظم الالكترونية بشكل مباشر من خلال القائمين على نظام المعلومات أو بشكل غير مباشر (عن بُعد) للقيام بأنشطة تتصف بعدم القانونية كالسرقة أو التخريب أو التلاعب مما قد يؤدى إلى تحقيق أضرار بالغة سواء بالنسبة لحائزى الحاسبات الالكترونية الشخصية (PC) أو بالنسبة للوحدات الاقتصادية المستخدمة للحاسبات والتأثير على إدارتها والعاملين بها، وقد تؤدى أيضاً إلى التأثير السلبى على مستوى الأمن القومى ككل، و قد   ظهرت العديد من المحاولات الجادة لمحاولة تجريمها خصوصاً بعد أحداث 11 سبتمبر 2001 فى أمريكا سعياً نحو وضع حد لتلك الجرائم لما قد تنطوى عليه من مخاطر قد تصيب المجتمع ككل وتؤثر على نموه الاقتصادى " ^([7])0

  v مصادر تهديد أمن المعلومات :

        يعرف التهديد Threat بأنه "حدث محتمل غير مرغوب قد يؤدى إلى خسارة أو أضرار"، وتتعدد مصادر التهديد ومنها :- ^([8])

1- الكوارث الطبيعية : مثل الحريق والعواصف والزلازل والفيضان0

2- القابلية للتعرض للمخاطر Vulnerabilities  : - وتعرف بأنها "نقاط الضعف فى النظم التى قد تستغل فى حدوث المخاطر^([9])، وتنشأ القابلية للتعرض للمخاطر فى نظام أمن المعلومات من الضعف فى نظام التشغيل  ومكوناته فتحويل الملفات من وإلى الحاسبات خلال الشبكة الخاصة قد تخلق مشاكل محتملة فمثلاً وفقاً للمعايير الحالية لبروتوكول تحويل الملف (FTP) File Transfer Protocol ترسل كلمة المرور Password للملفات الحساسة فى وضوح بدون تشفير مما يمكن لأى شخص اكتشافها واستغلالها0

3- تهديدات بشرية خارجية : أى التى تنشأ من أفراد خارج المنشأة وتتكون من :

أ- التهديدات من القراصنة Hackers : والقرصان هو فرد يهدف إلى الوصول غير المصرح به لنظام الحاسب للمنشأة عن طريق البحث عن نقاط ضعف فى إجراءات الأمن ،وفى الموقع الالكترونى للمنشأة ،ونظم الحاسب والاستفادة من نظام الإنترنت المفتوح وهو ما يطلق عليه الاقتحام أو الاختراق، ويطلق تعبير Cracker على قرصان ذو نية إجرامية حيث يكون هدفه تدمير النظام0

ب- التهديدات من المنافسين أو العملاء أو الموردين Outsiders : قد يتمكن المنافسون من اقتحام نظام المنشأة الأمنى والوصول إلى قوائم العملاء والإطلاع على تنبؤات المبيعات وعروض المناقصات والأسعار وقد تتعرض المنشأة  لهذه التهديدات من العملاء أو الموردين, مما قد يؤدى إلى :-

- إمكانية سرقة معلومات هامة قد تكون على درجة من السرية ويمكن الاستفادة منها مالياً0

- إمكانية تحريف بيانات النظام وبالتالى يؤدى استخدامها إلى قرارات خاطئة0

- إمكانية إدخال فيروسات إلى نظام المعلومات تعمل على إتلاف وتدمير أو  تخريب كل أو بعض البيانات أو الملفات وبالتالى تفريغ المحتوى المعلوماتى  للنظام0

- إمكانية إعاقة عمل نظام المعلومات من خلال إغراقه بطلبات تبادل البيانات مما يؤدى الى إعاقة وصول المستخدمين الطبيعيين إلى النظام .

4- تهديدات بشرية داخلية :أى تنشأ من قبل أفراد داخل المنشأة وتتكون من :

أ- الموظفين Employees : سواء كانوا من الموظفين السابقين الذين فقدوا وظائفهم أو الموظفين الحاليين مستخدمين لما لديهم من سلطات أو معلومات بهدف تحقيق مصالح شخصية خاصة بهم أو لأقاربهم وبصرف النظر عن دوافعهم ،ويمثل الموظفون تهديدا حقيقيا لأن لديهم القدرة على الوصول إلى معلومات المنشأة.

ويؤدى عدم كفاءة المستخدمين الداخليين عادة إلى إدخال بيانات غير صحيحة أو حذف بيانات بطريق الخطأ، ويعتبر هذا النوع من التهديد مصدرا هاما للخسائر المالية المرتبطة بنظام المعلومات.

ب- شركاء التجارة : أوضحت إحدى الدراسات^([10]) أن 90% من اختراقات الأمن تأتى من داخل المنشأة بسبب أن أفراداً يتم اعتبارهم خارجيين وهم داخلون مثل شركاء التجارة الذين لديهم إمكانية الوصول إلى النظم الداخلية لبعضهم البعض0

         وأن حدوث أى من التهديدات والأخطار السابق ذكرها يمكن أن يؤدى إلى الآثار التالية:- ^([11])

1-  تحمل المنشأة تكاليف مباشرة لإصلاح الأضرار الناتجة عن حدوث هذه التهديدات والأخطار بالإضافة إلى خسائر مالية نتيجة سرقة أموالها من البنوك0

2-  توقف نظام المعلومات لبعض الوقت، مما يؤدى إلى احتمال فقد بعض الإيرادات متى كانت تعمل فى مجال التجارة الإلكترونية0

3-  خسائر نتيجة إفشاء بعض المعلومات الهامة للمنافسين ، مما يمكنهم من التعرف على خطط التشغيل المزمع تنفيذها، أو المنتجات الجديدة ومواصفتها ومنافذ توزيعها 000 الخ، وغيرها من المعلومات الهامة كطبيعة العقود وشروطها0

4-  توقف نظام المعلومات لأى منشأة لبعض الوقت قد يؤدى إلى إحداث خلل أو تعطيل فى أنظمة معلومات بعض عملائها مما قد يفقدهم الثقة بها وتجنب التعامل معها مستقبلاً الأمر الذى قد يؤدى إلى حدوث خسائر مالية ضخمة لدرجة يصعب تخيلها

** أشكال مخاطر امن المعلومات :

يؤكد البعض على أن "نظام المعلومات الإلكترونية يتعرض لكثير من المخاطر والتهديدات ومنها التلاعب فى البيانات بقصد تدميرها سواء بالحذف أو التغيير أو الدمج غير الصحيح لبعضها أو بخلطها ببيانات أخرى غير حقيقية أو تبويبها بشكل خاطئ تفقد معها مدلولها ومعناها ^"([12])، وأن هذا التلاعب يمكن أن يحدث فى أجزاء مختلفة من نظام المعلومات المحاسبى المستخدم كحساب التكاليف أو المخزون أو النقدية 000 الخ، "وقد يكون تدمير البيانات ناتجاً عن تغيير (تعديل) فى البيانات (Modification) Data change بشكل لا يجعلها تعبر عن الحقائق التى نتجت عنها أصلاً مثل التلاعب فى حسابات المدينين والدائنين بقصد الغش، وقد يحدث هذا التلاعب فى مراحل مختلفة من النظام مثل المدخلات أو التشغيل أو التخزين أو المخرجات، ويمكن أن يكون تدمير البيانات جزئياً أو كلياً وفى الحالة الأخيرة قد يصعب تصحيح البيانات أو استعادتها مما يشكل خسارة كبيرة لنظام المعلومات وما ينتجه من مخرجات ،وقد يهدف التلاعب فى النظام إلى الإطلاع على بيانات سرية Disclosure of Confidential Data مثل بيانات تخطيط الربحية أو بيانات الأفراد (الرواتب والترقيات والعلاوات) ويمكن للمتلاعب فى هذه الحالة ليس فقط الإطلاع على البيانات وإساءة استخدامها بل أيضاً سرقة بعضها أو كلها، ذلك كله قد ينتج عنه خسائر للمنشآت تكون كبيرة فى بعض الحالات "^([13])0

  وعلى هذا يمكن للباحث أن يعرف مخاطر تكنولوجيا المعلومات بأنها :-

 "إمكانية حدوث خسارة أو تدمير للبيانات أو استخدام البيانات أو البرامج بطريقة تضر بطرف آخر أو إمكانية حدوث أضرار بالأجهزة أو النظام سواء كانت تلك الخسارة ناتجة من الداخل أو الخارج بغرض تحقيق مصلحة شخصية أو بغرض اللعب أو العبث"0

     والجدير بالذكر أن إحدى  الدراسات^([14]) فى مجال أمن نظم المعلومات قد أوجدت نوعا من عدم التمييز الواضح بين مخاطر أمن نظم المعلومات Security Threats وبين عدم كفاية الضوابط الرقابية لأمن تلك النظم Inadequacy of Security Controls  فقد اعتبرت تلك الدراسة  ضعف أو عدم كفاية بعض الأدوات والضوابط الرقابية المتعلقة بأمن نظم المعلومات على أنها تهديدات أو مخاطر لأمن تلك النظم ، و على سبيل المثال :-

1- ضعف الرقابة على وسائل الاتصال Media (الشرائط والأقراص الممغنطة)0

2- ضعف الرقابة على المناولة اليدوية لمدخلات ومخرجات الحاسب0

3- عدم وجود نسخ إضافية من البيانات وعدم وجود رقابة على قراءة وتحديث وتعديل البيانات0

4- عدم الفصل الجيد بين الوظائف المحاسبية وكذلك بين وظائف ومهام نظم المعلومات0

5-   عدم كفاية الرقابة على وسائل حفظ وتخزين المعلومات مع عدم وجود نظام جيد للمراجعة والفحص0

وقد أشارت الدراسة  صراحة إلى أن بعض البنود التى اشتملت عليها لا يمكن اعتبارها من مخاطر أمن نظم المعلومات بالمعنى الحرفى ، ولكن قد وضعها الباحث فى الدراسة لاعتقاده بأهمية تلك البنود لإدارة تكنولوجيا المعلومات وتحسين الممارسات الموجودة0

ثالثاً : تصنيف مخاطر أمن المعلومات :

يمكن تصنيف وتبويب مخاطر أمن المعلومات من وجهات نظر مختلفة كالآتى :

ý  وفقاً لمصدرها :

 يمكن تبويب مخاطر أمن نظم المعلومات وفقاً لمصدرها إلى عنصرين أساسيين هما :

    - مخاطر داخلية Internal Risk :ويمثل موظفى الشركة المصدر الرئيسى لتلك المخاطر0

    -  مخاطر خارجية External Risk :ويمثل المغامرون والقراصنة (Hackers) والكوارث الطبيعية Natural Disasters المصدر الرئيسى لتلك المخاطر0

وتشير إحدى الدراسات^([15]) إلى خطورة المخاطر والتهديدات الداخلية وما ينتج عنها من خسائر مقارنة بالمخاطر الخارجية، نظراً لأن موظفى المنشأة غير الأمناء يكون لديهم صلاحيات الدخول إلى النظام والوصول إلى البيانات مما يعطيهم القدرة على تدمير أو تخريب أو تعديل تلك البيانات ، وأضف إلى ذلك درايتهم ومعرفتهم بنقاط الضعف ونواحى القصور فى نظام الرقابة المستخدم داخل المنشأة، أما المخاطر الخارجية فلا تقل أهمية عن المخاطر الداخلية نظراً لأن قراصنة المعلومات عادة ما يستغلون مهارتهم فى استخدام تكنولوجيا المعلومات (IT) فى الدخول غير القانونى (غير مصرح به) إلى النظام المستخدم بهدف التلاعب فى البيانات أو بهدف السرقة أو الاختلاس أو التربح المالى عن طريق إعلام المنافسين (Competitors) بالمعلومات السرية مثل بيانات التكاليف (Cost Data) والربحية وخطط المنشأة المستقبلية0

ý  وفقاً للمتسبب فيها    The Perpetrator :

    ويمكن تقسيمها الى :- ([16])

أ- مخاطر ناتجة عن العنصر البشرى Human Threats  : - تحتل هذه النوعية من المخاطر المكانة الأولى نظراً لأنه بكفاءة وفعالية العنصر البشرى فى ظل نظم متوسطة الكفاءة يمكن أن تنجح المنشأة وبالعكس تفشل أنجح الأنظمة مع إهمال وسوء أدائها وتنقسم إلى :-

 1- سوء أداء الموارد البشرية Malfunctions : أى وقوع أخطار نتيجة لسوء الأداء الذى تقدمه الموارد البشرية والبرامج والأجهزة ويكون الإهمال أو القصور فى الكفاية بصفة عامة سواء كان بحسن نية أو متعمداً فالنتيجة فى النهاية واحدة، وبالتالى فإن خطأ العنصر البشرى البسيط قد يؤدى إلى خسائر كبيرة تفوق الخسائر التى يمكن أن تحققها المخاطر الأخرى مجتمعة0

2- مخاطر ناتجة عن الغش الإلكترونى Electronic Fraud Risk : أى تعرض نظم المعلومات الإلكترونية لمخاطر الغش والتلاعب والاقتراب غير المصرح به عن طريق انتحال شخصية مستخدم حقيقى للنظام وتصميم أساليب للتلاعب وذلك بهدف الحصول على أموال غير مشروعة أو أصول0

ب- مخاطر ناتجة عن العنصر غير البشرى Non Human :

وهى المخاطر التى ليس للإنسان دخل فيها والتى تكون نتيجة ظروف قهرية مثل : الزلازل والبراكين والأعاصير وغيرها من الكوارث الطبيعية0

ý  وفقاً لتعمدها  Intention :

 يمكن تبويب تلك المخاطر على أساس تعمدها إلى مخاطر ناتجة عن^([17]):

أ- تصرفات متعمدة أو مقصودة Intentional مثل الإدخال المتعمد لبيانات غير صحيحة  أو التدمير المتعمد للبيانات وهنا يجب التأكيد على أن التصرفات المتعمدة عادة يكون  بقصد ارتكاب بعض جرائم الحاسب وتدمير بعض أو كل الملفات الهامة أو بعض مكوناتها بهدف التربح من ورائها وعادة تأخذ تلك التصرفات شكل الإلغاء Deleting أو تعديل وتحريف Alternating أو خلق معلومات مضللة وغير صحيحة0

ب- تصرفات غير مقصودة أو غير متعمدة Accidental، مثل الإدخال أو التدمير غير المتعمد للبيانات نتيجة السهو أو الخطأ، وعلى الرغم من أن غالبية تلك التصرفات تكون مكلفة فى بعض الأحيان إلا إنها يمكن تصحيحها Corrected أو تفاديها Avoided بمزيد من التدريب للموظفين وحسن الإشراف عليهم0

ý  بناءً على الآثار الناتجة عنها Consequences :

     يمكن تصنيف تلك المخاطر وفقاً للآثار الناتجة عنها إلى^([18]):

أ- مخاطر ينتج عنها أضرار مادية Physical Damage للنظام وأجهزة الحاسب الالكترونى أو التدمير المادى لوسائل تخزين البيانات مثل الشرائط والأقراص الممغنطة والتى قد تنتج من بعض الظواهر الطبيعية كالفيضانات أو انقطاع التيار الكهربائى أو من سقوط النظم أو الشبكات لفترات طويلة0

ب- مخاطر فنية ومنطقية Technical or Logical والتى قد تصيب البيانات الموجودة بالحاسب أو على الشرائط الممغنطة، وقد يكون ذلك بتحريف البرامج وإدخال جراثيم للكمبيوتر والتى قد تؤثر سلباً على إتاحة البيانات Availability عند الحاجة إليها، وذلك بحجبها عن الأشخاص المخول لهم الإطلاع عليها أو استخدامها Denial of Use أو الإفصاح عن البيانات السرية لأشخاص غير مخول لهم الإطلاع عليها Confidentiality والتى قد تؤثر على الموقف التنافسى للمنشأة أو التأثير على تكامل Integrity البيانات والبرامج داخل النظام0

ý  وفقاً لعلاقتها بمراحل النظام التكنولوجى المستخدم :

   يمكن تصنيف مخاطر أمن المعلومات على أساس علاقتها بمراحل النظام إلى^([19]):

أ- مخاطر المدخلات Input Risk وتتمثل تلك المخاطر  فى :

1- إدخال بيانات غير سليمة :ويكون ذلك بخلق بيانات زائفة وغير صحيحة ولكن باستخدام نماذج ومستندات سليمة وإدخالها خلسة داخل رزم العمليات بدون أن يتم اكتشافها مثل إدخال أمر بيع مباشر مع قيود المبيعات مما يصعب على المراجع اكتشاف ذلك خاصة فى حالة عدم وجود مستندات ورقية للعمليات وقد يكون ذلك الغش والتلاعب فى البيانات الدائمة Standing Data مثل إدخال أسماء وهمية ضمن كشوف المرتبات مما يترتب عليه صرف مرتبات شهرية لموظفين وهميين، وقد يكون التلاعب فى بيانات العمليات Transactions Data مثل إدخال فاتورة وهمية باسم أحد الموردين0

2- تعديل أو تغيير فى بيانات المدخلات :ويكون ذلك بالتلاعب فى المستندات والمدخلات الأصلية بعد اعتمادها من الشخص المسئول وقبل إدخالها إلى الحاسب وقد يحدث ذلك بزيادة رقم المصروف الفعلى الموجود بالمستندات أو تغيير اسم أو عنوان مقدم طلب القرض أو تغيير معدل الفائدة على بعض العمليات0

3- حذف بعض المدخلات :ويكون ذلك بحذف بعض المستندات كلية أو استبعاد بعض البيانات قبل إدخالها إلى الحاسب الالكترونى وذلك بحذف المستندات من رزمة السجلات أو حتى حذف الرزمة بالكامل، فعلى سبيل المثال قد اعتاد الموظف المسئول عن المرتبات فى منشأة ما على تدمير مذكرات إنهاء خدمة (تعاقد) الموظفين بالمنشأة وتعديل تفصيلات حساب البنك بحيث يدفع المرتب فى حساب خاص بالموظف الذى قام بالتلاعب فى الحسابات0

4-إدخال البيانات أكثر من مرة :ويكون ذلك باختيار بعض المستندات وإدخال بياناتها أكثر من مرة إلى النظام مثل أوامر الدفع أو أوامر تسليم المخزون وذلك لتشغيلها أكثر من مرة لصالح القائم بعملية الاختلاس أو التلاعب ويكون ذلك إما بعمل نسخ إضافية من مستندات المدخلات الأصلية وتقديم كل من الأصل والصورة لإدخالها للحاسب الالكترونى 0

       وهنا يؤكد الباحث أن " التلاعب فى البيانات الدائمة يكون من الصعب اكتشافه لأن مصدر التلاعب هو عملية واحدة وحدث غير متكرر بعكس بيانات العمليات المتكررة .

ب- مخاطر تشغيل البيانات : وينصب تأثير تلك المخاطر بصفة أساسية على البيانات المخزنة فى ذاكرة الحاسب والبرامج التى تقوم بتشغيل تلك البيانات وتتمثل تلك المخاطر فى :

     - تعديل وتحريف البرامج أو عمل نسخ غير قانونية منها0

     - استخدام البرامج بطريقة غير مصرح أو مرخص بهـا0

    - إدخال القنابل الموقوتة والجراثيم Viruses إلى أجهزة الحاسب الالكترونى 0

     - تعديل وتحريف البرامج باستخدام حصان طروادة أو أسلوب سلامى أو غيرها من الأساليب   التى تحتاج إلى خبرات متخصصة فى الحاسب والبرمجة0

ج - مخاطر مخرجات الحاسب :

إن مخاطر مخرجات الحاسب تتمثل فى سرقة تلك المخرجات Stetting أو إساءة استخدامها أو توجيهها إلى أشخاص غير مصرح لهم باستلامها أو الإطلاع عليها نظراً لسريتها أو لأنهم غير مخول لهم صلاحيات الإطلاع عليها أو أن هؤلاء الأشخاص لا تتوافر فيهم المقومات الأمنية .

ý  مخاطر ناتجة من استخدام الشبكات    NETWORK RISKSوهى:-

أ-  مخاطر ناتجة عن استخدام البريد الإلكترونى E-Mail فى التعاملات^([20]):

نظراً لسرعة وسهولة إرسال الرسائل بواسطة البريد الإلكترونى جعل كثيراً  من المنشآت تعتمد عليه فى إنهاء بعض صفقاتها الأمر الذى قد يسهل حدوث بعض أنواع الاحتيال، فقد تكون رسائل البريد الإلكترونى متضمنة مجموعة من الفيروسات تهدف إلى ضياع البيانات والمعلومات الموجودة داخل النظام، لذلك يجب الحذر من فتح الملفات الملحقة بالرسائل الإلكترونية لأنها أكثر وسائل الاختراق من قبل قراصنة ومحترفي شبكة الإنترنت، ولذلك فإنه يجب عدم فتح الملفات المرفقة إذا كانت من أحد الأنواع التى تنتهى بالاختصارات التالية^([21]):

1-   (Executable Files) EXE يعنى وجود ملف تنفيذى، وهذا خطير جداً لأنه ينفذ الأمر المطلوب منه بطريقة آلية 0

2-      (Batch Files) BAT يعنى وجود أمر معين موجه لأحد ملفات التشغيل فى الجهاز0

3-  (Application Files) APP يعنى وجود ملف به برنامج تطبيقى وهو خطير لأنه ممكن أن يكون به معلومات لا يجوز للغير الإطلاع عليها0

ب- الخطر الأمنى الناتج من الفيروسات :

     الفيروس هو شفرة أو كود أو برنامج يقوم بنسخ وتكرار وإلحاق نفسه ضمن برنامج أو ملفات الحاسب عند التنفيذ ويعمل تلقائياً، محدثاً تأثيرات غير مرغوبة دون علم أو رغبة المستخدم الفعلى للحاسب^([22])، وتسبب تلك الفيروسات أمورا غير متوقعة وأشياء غير مرغوبة،وأن كثيرا من هذه الفيروسات تحاول الهرب من اكتشافها إما بطريقة ترميزها أو تغير من نفسها بعض الشئ فى كل مرة تتزايد فيها، ويمكن تقسيم الفيروسات إلى ثلاثة أنواع رئيسية هى^([23]):

1-    فيروسات ملفات التلويث                          File Infector Viruses0

2-    الفيروسات التى تصيب التشغيل System أو بدء العمل     Boot-record0

3-    الفيروسات الصغيرة                                      Macro Viruses0

     والفيروسات الصغيرة هى أغلب الفيروسات الشائعة فى مصر وأقلها ضرراً ،وفى أحدث التقارير الصادرة عام 2008  من الشركات الأمريكية المتخصصة فى أمن المعلومات أظهرت انه يتم تدمير موقع على الانترنت كل 5 ثوانى بسبب الفيروسات ونسبة التدمير الأكبر فى أمريكا 42%تليها الصين 31%ثم أوروبا 15% "، وهناك خطر آخر يطلق عليه دودة الحاسب^([24]) Computer Worm و ديدان الحاسب يمكنها أن تكرر نفسها عن طريق اكتشاف نقاط الضعف فى نظم التشغيل، ولذا فدودة الحاسب مشابهة للفيروس فيما عدا أن الدودة لا تحتاج إلى أن ترفق ببرنامج آخر لتنتشر .

ج- مخاطر تعرض موقع المنشأة للغش والاحتيال :

       يحاول الدخلاء “Outsiders” إخفاء هويتهم والتخفى كشخص آخر ويطلق على ذلك الخداع spoofing ويعمل المخادع على إعادة توجيه اتصال الموقع إلى موقع مختلف عن المستهدف، وعلى الرغم من أن هذه الطريقة لا تدمر الملفات إلا أنها تهدد سلامة الموقع وتهدد عمليات التوثيق ،وتجعل من الصعوبة التحقق من المرسل الحقيقى للرسالة، حيث يمكنهم سرقة بيانات بطاقات الائتمان وكلمات المرور للعملاء ومن هذه المعلومات يمكنهم انتحال هوية هؤلاء العملاء^([25])0

د- مخاطر قانونية وتشريعية^([26]): "تنشأ هذه المخاطر فى حالة انتهاك القوانين أو القواعد أو الضوابط المقررة خاصة تلك الخاصة بحماية المستهلكين فى بعض الدول أو لعدم المعرفة القانونية لبعض الاتفاقيات المبرمجة باستخدام وسائل الكترونية، وتتمثل فى مخاطر اختراق حقوق التأليف والاختراع والإعلان المضلل ومخاطر فشل الإلزام بالعقود التى لا يوجد إلا دليل الكترونى عليها هذا بالإضافة إلى مخاطر حماية حقوق الملكية الفكرية وممارسة بيع أو توزيع منتجات ممنوعة " .

هـ- خطر تعطيل الشبكة ([27]):-  بمعنى أن تتوقف الشبكة عن العمل نتيجة عطل الأجهزة أو فقد البيانات أو البرامج بسبب حادث أو غيره وما يترتب على ذلك من تكاليف ،لذلك لابد من العمل على ضرورة استخدام شبكات وأنظمة مساعدة للشبكات على مستوى عالى من الجودة 0

و- خطر(ربوت الشبكات)  ^([28]) Botnets:

هو نوع من مخاطر غزو الشبكات حيث يجد لصوص الانترنت طريقة سرية لاقتحام الشبكات عن طريق استخدام Bots التى تمكن المهاجم (اللص) من السيطرة على الحاسب من بعد، حيث يتم توجيه أجهزة النظام من بعد بواسطة اختراق الشبكة من نقاط ضعيفة بها دون علم المشرف عليها ، بهدف سرقة كلمة السر، أو معرفه أسماء المستثمرين أو أرقـام الحسابات بالبنوك أو أرقام بطاقات الائتمان أو الحصول على أموال، ويعتبر العديد من خبراء أمن المعلومات أن Bots تعد التخوف الأمنى الأول بسبب انتشار استعمالها المستمر من جانب اللصوص وأن عددا متزايدا من المنظمات يقع ضحية Botnets دون معرفتهم، وأفضل طريقة لمحاربة Botnets هى عمل استراتيجيات تسمح بإصلاح الحاسب بأحدث الأنظمة ضد الفيروسات واستعمال الحوائط النارية وعزل الحاسبات التى كانت خارج المكتب ،وتغيير كلمة السر للشبكة المصابة وللمستخدمين ،وتطبيق سياسات لفرض عقوبات على المستخدمين لمن يقوم منهم بتشغيل برامج غير معروفة على الأجهزة .

 

 

0

 

مسئولية المراجع عن سلامة أمن المعلومات من التهديدات والمخاطر السابقة :

       تعتبر إدارة المنشأة هى المسئولة عن أنظمتها التكنولوجية وسلامة أمن معلوماتها ومحتوياتها من المعلومات المالية وغير المالية ويعتبر المراجع مسئولاً عن تقييم نظام الرقابة الداخلية والتى يتطلب منه بالضرورة تطوير أساليب المراجعة للتأكد من أن أنظمة الرقابة الداخلية كافية لمنع واكتشاف حالات الغش المالى وإبداء رأيه فى نظم الرقابة الداخلية التى تتبعها المنشأة وكذلك توجيه  النصح للإدارة فى المشاكل التى تتعلق بالأمن والرقابة بشكل ديناميكى مستمر0ويجب أن يتحقق المراجع من كفاية سياسات ووسائل الحماية المطبقة بالشركة مثل جدران الحماية 000 الخ ونظم التشغيل ووسائل الحماية الأخرى الملائمة0

" ويعتبر المراجع غير مسئول فى حالة تأسيس مواقع مزيفة بغرض الغش التجارى الإلكترونى، وفى حالة اختراق موقع الشركة للعبث بمحتوياته وتخريبه، وفى حالة تشويه عرض القوائم المالية باستخدام الوسائل المتعددة التى يوفرها الإنترنت ، وفى حالة نشر معلومات جزئية لم يتم مراجعتها عن الأداء المالى والتشغيلى للشركة "^([29])0 والمراجع لا يعد مسئولاً عن الفيروسات التى تصيب الحاسبات الموجودة بالمنشأة التى يراجع حساباتها إلا أنه يجب عليه التأكد من^([30]):

     1-      أن إدارة الحاسب بالمنشأة تراعى بدقة إتباع الوسائل الكفيلة بتجنب الإصابة بفيروسات الحاسب0

     2-      أن إدارة الحاسب بالمنشأة تراعى استخدام نسخ أصلية من البرامج والتطبيقات0

     3-      أن إدارة الحاسب بالمنشأة تراعى استخدام برامج مقاومة الفيروسات وتواظب على تحديثها بصفة مستمرة0

     4-      الحصول على تأكيد مكتوب من الإدارة يفيد بأنها اتخذت الإجراءات والوسائل الكفيلة لتجنب أضرار الفيروسات0

  5-  إضافة فقرة إضافية توضيحية فى تقرير المراجعة فى حال إذا ما تأكد المراجع من عدم  قدرة الإدارة على مواجهة آثار تلك الفيروسات0

رابعاً : أثر تكنولوجيا المعلومات على تقدير خطر المراجعة :

مع تطور تكنولوجيا المعلومات والاتصال واعتماد المشروعات على الوسائل التكنولوجية الحديثة فى إتمام معاملاتها، زادت احتمالات وجود تلاعب وغش فى تلك المعاملات، ومن ثم زادت معها مخاطر المراجعة حيث تزداد معدلات التلاعب فى الشركات التى تتميز بالاعتماد على مستوى عالى من تكنولوجيا المعلومات^([31])0

    وحيث أن أغلب الأنشطة التجارية تعتمد فى إتمامها على مستوى عال ومتقدم من تكنولوجيا المعلومات تتسم بتعقد أنظمتها، فان اكتشاف الأخطاء والغش يعد أكثر صعوبة مما يترتب عليه زيادة مخاطر المراجعة بصفة عامة مما يتطلب ضرورة تقديرها ورقابتها ومحاولة السيطرة عليها0

    

      ويرى البعض أن طبيعة تكنولوجيا المعلومات سوف تؤثر على خطة المراجعة ومخاطرها والأهمية النسبية للبنود محل الفحص والمراجعة^([32])، ويمكن توضح هذه الآثار فيما يلى :-

أ- الأثر على تقدير المخاطر الحتمية :

ترتبط المخاطر الحتمية بطبيعة نشاط المشروع وظروف التشغيل به، كذلك طبيعة رصيد الحساب أو نوع العمليات، ويعد تقدير تلك المخاطر أمراً هاماً جداً لأنه يأتى فى مرحلة قبول أو رفض المراجع لعمليات المراجعة، وهناك العديد من العوامل التى يجب أخذها فى الاعتبار عند تقدير المخاطر الحتمية لمراجعة أنشطة تكنولوجيا المعلومات منها^([33]):

1-        الأنظمة التى تمارس من خلالها أنشطة إتمام الصفقات الإلكترونية0

2-        حجم الصفقات الإلكترونية ومدى تنوع مكوناتها ودورة إتمامها وكيفية التوجيه المحاسبى لها0

3-        كيفية إدارة الموقع الإلكترونى للمشروع على شبكة  الانترنت0

4-        اتجاهات الإدارة، ومدى كفاءة العاملين بالمشروع0

ويجب أن يكون المراجع لديه الإلمام الجيد بالعوامل السابقة، حيث أن ذلك يساعده على التقدير السليم لتلك المخاطر، وتقدير تلك المخاطر يشتمل على نوعين :

-   تقدير كمى : حيث يتم تقدير المخاطر الحتمية بصورة كمية بحيث تتراوح بين( صفر، 1) أى عدم وجود مخاطر حتمية أو وجود مخاطر حتمية عالية جداً0

-       تقدير نوعى : ويتم فيه تقسيم المخاطر الحتمية إلى ثلاثة مستويات منخفضة، متوسطة، مرتفعة0

وعلى هذا فان ممارسات الأعمال فى ظل تكنولوجيا المعلومات متمثلة فى التجارة الإلكترونية ستؤثر بالضرورة على تخطيط أعمال المراجعة، كما سيكون لها تأثير على نموذج خطر المراجعة حيث سيزداد مستوى الخطر المتلازم بسبب^([34]):

1- التداخل الكبير بين معاملات المنشأة حيث تساعد التجارة الإلكترونية على تزايد اقتراب العلاقات التجارية وتكامل الأعمال عملياً مما قد يؤثر على الخطر المتلازم لأن تلاعب أحد الأطراف قد يؤثر عكسياً على الشركاء والعملاء الآخرين0

2- اعتماد نظم المعلومات المحاسبية الفرعية على بعضها البعض بدرجة كبيرة حيث أن أى خطأ أو تلاعب فى نظام معلومات فرعى سيؤدى إلى آثار سيئة على النظام ككل على سبيل المثال : خطأ غير مكتشف فى تطبيقات نظام المدفوعات النقدية قد يؤثر عكسياً على التدفقات النقدية للشركة وثقة عملائها ومورديها فى نظام معلوماتها0

3-  زيادة احتمال فقد المستندات الإلكترونية والاعتماد على طرف ثالث فى إتمام الكثير من الصفقات والمعاملات للمنشأة0

4- صعوبة الثقة فى سلامة المعلومات فى ظل اختفاء الدليل الورقى والاعتماد على الدليل الإلكترونى الذى يصعب على المراجع استرجاعه بسهولة، كما أنه عرضة للتغيير من قبل إدارة الشركة0

ب- الأثر على تقدير مخاطر الرقابة :

تزايدت أهمية تقدير مخاطر الرقابة خاصة فى ظل التغيرات التكنولوجية الحديثة حيث يرى البعض^([35]) "أن تقدير أخطار الرقابة أصبح خطوة هامة فى عملية المراجعة فى ضوء واجب المراجع فى كشف الأخطاء والتلاعب الهام نسبياً طبقاً لمعايير المراجعة، حيث يجب أن ينظر إلى نتائج فحص الرقابة الداخلية وتقدير أخطارها باعتبارها أدلة إثبات فى حد ذاتها عن صحة القوائم المالية وليست مجرد وسيلة لتقدير مقدار أدلة الإثبات الواجب جمعها"0

       ويتفق الباحث مع وجهة النظر هذه وخاصة فى ظل غياب واختفاء أدلة الإثبات الورقية لتحل محلها أدلة الإثبات الإلكترونية، حيث يمكن أن تعتبر نتيجة فحص وتقدير مخاطر الرقابة أحد الوسائل الهامة لتعويض غياب أدلة الإثبات الورقية وبمثابة أحد أهم العناصر التى يستند إليها المراجع لتكوين رأيه0

    وهناك العديد من الأسباب والعوامل التى أدت إلى تزايد مخاطر الرقابة فى المشروعات التى تستخدم تكنولوجيا المعلومات فى أنشطتها التجارية منها ^([36]):

1-      تزايد عدد النظم الفرعية التى تقوم بتنفيذ وخدمة النشاط0

2-  كثير من الشركات لا تدرك أهمية أمن نظم المعلومات وتقدر مخاطر الرقابة عند مستوياتها الدنيا ولا تدرك هذه الشركات أن أمن البيانات والمعلومات أصبح أحد المتطلبات الهامة لاستمرارها0

3-  اتساع نطاق أهداف الرقابة الداخلية ليشمل أيضاً سلامة وأمن المعلومات وضمان سلامة توثيق معاملات التجارة الإلكترونية0

4-  ضرورة اهتمام أدوات وسياسات الرقابة الداخلية بحماية موقع الشركة على الانترنت وضرورة أداء الرقابة العامة ورقابة التطبيق والرقابة الفورية معاً.

5-      العمل على حماية أمن البرامج الجاهزة وحماية المستندات الإلكترونية والعمل دائماً على ممارسة الرقابة المانعة.

ج- الأثر على تقدير مخاطر عدم الاكتشاف :

       ترتبط مخاطر عدم الاكتشاف ارتباطاً وثيقاً بإجراءات المراجعة التى يؤديها المراجع، حيث يمكن للمراجع التحكم فيها، وإن كانت بعض مخاطر الاكتشاف ستظل موجودة حتى لو أدى المراجع الاختبارات بصورة تفصيلية، وعند مراجعة أنشطة تكنولوجيا المعلومات –التى تتسم بتعقد أنظمتها- فإن المراجع لا يكون مستعداً لقبول مخاطر فشل فى اكتشاف أى أخطاء أو أى غش بها، وخاصة أن اكتشاف الغش فى تلك الأنظمة يكون أصعب لأن مرتكبيه غالباً ما يكونون على دراية كبيرة بأساليب تكنولوجيا المعلومات، ولديهم القدرة على إخفاء هذا الغش. ويرى البعض أن هناك ثلاثة مخاطر من عدم الاكتشاف يجب أن يهتم بها المراجع عند تقديره للمخاطر المرتبطة بمراجعة أنشطة تكنولوجيا المعلومات وهى:- ([37])

1-خطر الإذعان  :

           وهو الخطر الناتج من عدم القياس السليم للبيانات أو التقرير عنها بما يتفق مع المعايير المقبولة ويعد الإذعان هو الفكرة المحورية فى التوصيات  40الصادرة عن FATF حيث يمهد الإذعان الخارجى  External Complianceالطريق للاذعان الداخلى أى الإذعان للسياسات والإجراءات والأنظمة (أنشطة الرقابة الحرجة Critical Control Activities) كما يعد الإذعان عاملا حاسما فى نجاح المنظمات التى تعمل فى إطار عدة أنظمة و اطر قانونية و تشريعية على مستوى العالم .

  

2-خطر الإفصاح الكاذب  Risk Reputation :

وهو الخطر الناتج من كون مستوى النشاط الذى تم الإفصاح عنه كاذباً أو محرفاً أو مشوهاً للحقائق سوء كان ذلك بإهمال أو غير ذلك وهناك سببان أساسيان يمكن أن يكون لهما تأثير مدمر على سمعة المنظمة هما :-

-  فشل الإذعان أو وجود خلل رقابى جوهرى (إذعان أو خطر تشغيلى ) ينتج عنه نتائج فحص سيئة أو ينتج عنه إجبار جهات تطبيق القانون بتصرف معين يكون له ملاحظات سيئة أمام الرأى العام .

-  وجود فضيحة  scandalمباشرة تتصل مثلا بغسيل أموال ينتج عنه الدخول فى نزاع قضائى مع جهات تطبيق القانون و الإساءة الى السمعة أمام الرأى العام على المدى الطويل .

3-خطر التلاعب   : -

      وهو الخطر الناتج من حدوث تلاعب سواء على المستوى الداخلى أو الخارجى، فالمستوى الداخلى يتعلق بالتعديل أو التغير فى الملفات أو السجلات أو قاعدة البيانات، أما المستوى الخارجى فيتعلق بتعرض الموقع الإلكترونى لأنشطة كثيرة من قبل المستخدمين الخارجيين الأمر الذى قد يؤدى للقيام ببعض التجاوزات0

كما أن المنشآت فى ظل استخدام تكنولوجيا المعلومات سوف تواجه مخاطر جديدة لا توجد فى ظل الأنظمة غير التكنولوجية منها ^([38]):

-  خطر حماية البنية التحتية للمعلومات من سوء استخدام الغير0

-  خطر الدخول الضار على موقع المنشأة وتعرض هذا الموقع للحوادث والتخريب0

-  خطر الاعتماد على برامـج جـاهــزة غــير سليمــة0

-  خطر التشغيل الخاطئ للبيانـات وكذلك خطر احتمال فقدها0

-  خطر صعوبة فصل تكنولوجيا المعلومات عن أعمال الشركة0

كما أنه فى ظل تبادل البيانات الكترونياً سيواجه المراجع العديد من المخاطر التى صاحبت استخدام تكنولوجيا المعلومات أهمها^([39]):-

1-  فقد الثقة فى المعلومات المحاسبية بسبب سهولة الوصول إليها وتحريفها مثل المعلومات الخاصة بالعملاء أو الأسعار-000 الخ0

2-  فقد مسار المراجعة، وزيادة التعرض للغش بسبب عدم الفصل بين الواجبات وقلة عدد الأفراد العاملين فى النظام مما يؤدى إلى زيادة المخاطر المتمثلة فى حدوث صفقات غير مصرح بها بسبب قطع خطوط الاتصال فى النظام الإلكترونى0

3-  التحريف فى تطبيقات نظام تبادل البيانات إلكترونياً سواء عن عمد أو بدون عمد لأى من الصفقات التى تجريها المنشأة، مما يؤثر سلباً على الثقة فى المعاملات0

ومن المتفق عليه أن المراجع يجب أن يعدل مدخل المراجعة لمواجهة المخاطر الجديدة فى بيئة الأعمال الإلكترونية، حيث يمكن تجميع هذه المخاطر فى نوعين⁽[40] ⁾:

الأول : مخاطر صاحبت التكنولوجيــا المعقــــدة0

الثانى : مخاطر صاحبت نظم المعلومات عالية التداخل0

     ويؤكد معهد حوكمة تكنولوجيا المعلومات أنه عند صياغة إستراتيجية تكنولوجيا المعلومات يجب على المنشأة أن تأخذ فى الاعتبار⁽[41]⁾ :-

أ- أهداف المنشأة و البيئة التنافسية والتقنيات الحالية و المستقبلية و تكاليفها و المخاطر التى تجلبها والمنافع التى يمكن تحقيقها .

ب- قدرة تكنولوجيا المعلومات على الإمداد بمستويات الخدمة الحالية والمستقبلية للمنشأة ودرجة التغيير والاستثمار التى يمكن أن تحدثها تكنولوجيا المعلومات للمنشأة ككل .

ج- تكلفة تكنولوجيا المعلومات الحالية وما إذا كانت تفى بالمتطلبات الحالية والمستقبلية للمنشأة، والدروس المستفادة من تجارب النجاح والفشل السابقة .        

ويرى البعض أن مخاطر تكنولوجيا المعلومات وأمن نظم المعلومات هى جزء من المخاطر التشغيلية  Operational والنظامية Systemic وأن مجلس الإدارة يمكنه حسن إدارة مخاطر تكنولوجيا المعلومات من خلال⁽[42]⁾ :-

  1) التأكد من وجود الإفصاح والشفافية الكافية بما يختص بالمخاطر الهامة فى المنشأة وتوضيح السياسات المتعلقة بإدارة المخاطر أو تجنبها فى المنشأة0

  2) أن يكون على وعى تام بأن المسئولية النهائية عن إدارة تكنولوجيا المعلومات هى مسئولية مجلس الإدارة حتى فى حال تفويض بعض الصلاحيات للإدارة التنفيذية ، فانه يجب التأكد من أن عملية التفويض واضحة ومفهومة من قبل الإدارة التنفيذية .

      3)   التأكد من أن نظام الرقابة الداخلية يضع إدارة المخاطر محل التطبيق لتحقيق فعالية التكلفة 0

  4) التأكد من أن إدارة المخاطر يتم تطبيقها فعليا فى المنشأة ،وأن هناك استجابة سريعة للتغيير فى درجات المخاطر وأنه يتم التقرير الفورى عن ذلك للمستويات الإدارية المختصة وأنه يتم اتخاذ القرارات المناسبة فى هذا الشأن0

      5)   التأكد من أن منهج الشفافية وإدارة المخاطر يمكن أن يحقق مزايا تنافسية للمنشأة .

  6) تحديد إستراتيجية تكنولوجيا المعلومات وموقف المنشأة وموقعها من تكنولوجيا المعلومات فهل هى من المنشآت الرائدة Pioneer أم السباقة Early Adopter  أم تابعة Follower  والمقلدة للغير أم من المنشآت المتخاذلة  Laggard فى اقتناء تكنولوجيا المعلومات الحديثة0

  

      ويؤكد البعض على " ضرورة وجود معايير لإدارة مخاطر أمن المعلومات لتجنب المنشآت تكلفة حوادث الأمن التى تقدر بمليارات الدولارات ، ولكى يتمكن مديرو المخاطر من مواكبة الطلب المتزايد على المعلومات ومحاولة تخفيض مخاطرها ، ولكن مشكلة إدارة المخاطر تكمن فى تكلفة الإدارة ومهارات ومستوى العاملين بها " ([43]).

     ويرى الباحث أن التأثيرات السابق الإشارة إليها من شأنها أن تزيد مستوى الخطر المتلازم من ناحية وخطر الأعمال من ناحية أخرى، الأمر الذى يؤدى إلى زيادة مستوى خطر المراجعة الكلى مما يفرض على المراجع ضرورة البحث عن آليات جديدة لتخفيض مستوى خطر الاكتشاف المخطط للوصول بمستوى خطر المراجعة الكلى المقبول إلى أدنى مستوى له، ومن ثم يصبح مدخل الأهمية النسبية وخطر المراجعة غير مجدى فى ظل الاستخدام المتزايد لتكنولوجيا المعلومات ،

---

(1)د/احمد عبدا لسلام ابوموسى,أهمية مخاطر نظم المعلومات المحاسبية الالكترونية-دراسة تطبيقية على المنشآت السعودية,المجلة العلمية / التجارة والتمويل,كلية التجارة- جامعة طنطا,العدد الثانى,2004,ص 1.                                                                   

(2) Tribunella, Thomas, "Twenty Questions on E-Commerce Security", The CPA Inwstry, 2001,P P.1- 2 (on line: www. CAP journal. Com).

([3]) Information Technology Committee, “Technical Pronallcements on Information Technology”, IFAC Hand Book, July, 2000 P.4. (www. IFAC. Com).

([4]) د/ عبد الوهاب نصر على، د/ شحاته السيد شحاته ، مراجعة الحسابات وتكنولوجيا المعلومات، مرجع سبق ذكره ، ص222  0

(3)للمزيد أنظر :-                                                                                                                                 

-Information Technology Committee,op.cit,pp5-6.                                                                                                                        

-Tucker, George   ,op.cit,pp2-3.

([6]) د/أمين السيد أحمد ، مراجعات مختلفة لأغراض مختلفة، الدار الجامعية، 2005، ص736 0

(2) أ/ أمانى حسين كامل خليل ، مرجع سبق ذكره ، ص ص 90-93  .

(3) يراجع فى ذلك الى :-

     - Ozier, Will, op.cit,p4-6.

     - Rathare, Balwant, “Information Systems Security Assessment Frame Work”, Open Information Systems Security Group ,Dec. 2004,pp2-3(www. oissg. org).

(1) أ/ أمانى حسين كامل خليل ، مرجع سبق ذكره ، ص 78  .

(2) د/ السيد عبد المقصود دبيان، د/ ناصر نور الدين ، نظم المعلومات المحاسبية وتكنولوجيا المعلومات، الدار الجامعية، 2004، الإسكندرية ، ص551-552 0

([12]) د/ أحمد عبد القادر أحمد  ،  مرجع سبق ذكره, ص60 0

([13]) د/أحمد عبد السلام أبو موسى ، مرجع سبق ذكره ,ص 3.

([14]) للمزيد يمكن الرجوع إلى :

- Ryan S.D. Bardalai, "Evaluating Security Threats in Mainframe and Client / Server Environments", The CPA Journal, Vol. 30, 1997, 137-142. (www .nyss cpa /cpa Journal/1997)

([15]) للمزيد يمكن الرجوع إلى : .

- Coe, Kathleen, “Employees : The First Line of Defense”, IT Audit, the Institute of Internal Auditors, USA, Vol. 6, Jan 2003, P.1-2. (www. Theiia.org/it audit /………)

([16]) د/أمانى هاشم السيد حسن ،  مرجع سبق ذكره، ص171 : 173 0

(1) Coe, Kathleen, Op Cit ,pp3-4.

       (2)  د/ أمانى هاشم السيد حسن ، مرجع سبق ذكره   ,ص171-173.                                                        

([19]) يراجع فى ذلك إلى :

- د/ أحمد عبد السلام أبو موسى  ، مرجع سبق ذكره ,ص 6-7.

- د/ محمد عبد الفتاح محمد، إطار مقترح لمراجعة نظم معلومات التجارة الإلكترونية، مجلة الفكر المحاسبى، كلية التجارة – جامعة عين شمس ، العدد الأول، السنة السابعة، 2003، ص209 : 210 0

([20]) د/ عيد محمود حميدة ، أثر الإفصاح الإلكترونى للمعلومات المحاسبية على تقدير المخاطر الملازمة لمراجعة القوائم المالية فى ظل البيئة الإلكترونية، مجلة الدراسات و البحوث التجارية، كلية التجارة – جامعة الزقازيق فرع  بنها، العدد الأول، 2002، ص62 : 63 0

(2)Marsha Scheldt & Grog Thibodaux, “Why Archiving E-Mail is Important”, The CPA Journal, Feb. 2005, PP.2-4. (on line: www. CPA Journal. Org/ CPA Journal/ 2005/).

(3)  P. Raul Lin, “System Security Threats and Control”, The CPA Journal, July. 2006, Issue, P.4, (www .nyssCPA.Org/ CPA Journal/ 2006/ 706/Essentilas/ P.58.htm).

                                                                                                                                                           (4)  د/ عيد محمود حميدة ، مرجع سبق ذكره  ،ص 64.

           (1) للمزيد من التفاصيل أنظر :-

         - أ/ مصطفى السيد عمار,دودة تطارد كلمة السر فى حاسوبك,11يوليو2002.                                        

      (on line;  www.c4arab.com/showac.php?acid=48)                                    

([25]) د/ أحمد عبد القادر أحمد،  مرجع سبق ذكره، ص66 0

([26])  د/ منير محمد الجنيهى، د/ ممدوح محمد، الشركات الإلكترونية، دار الفكر الجامعى، 2005، ص20 0

([27]) د/ صلاح الدين الهتيمى- د/ آمنة ماجد الربيجات، أثر التهديدات الأمنية فى ضوء تطبيق الحكومة الإلكترونية، دراسة ميدانية فى عدد من الوزارات الأردنية وأمانة عمان الكبرى، مجلة المحاسبة والتأمين والإدارة، كلية التجارة-جامعة القاهرة، 2005، ص 36.

(1) Requel  Filipek, “Botnets could invading Your Net Work”, IT Audit, Vol. 19, Jan               2006, PP.1-2 (The Institute of Internal Auditors, USA (www. Theiia. org/ it Audit/…).

([29]) د/ عادل عبد الرحمن أحمد، دراسة تحليلية لأثر النشر الإلكترونى للبيانات والتجارة الإلكترونية على طبيعة عملية المراجعة ومسئولية المراجع مع دراسة اختبارية للنشر الإلكترونى للبيانات فى السعودية، مجلة الدراسات و البحوث التجارية، كلية التجارة – جامعة الزقازيق فرع بنها، العدد الثانى، 2003، ص145 : 146 0

([30]) د/ جلال الشافعى، موقف المراجع من مشكلات الحاسب الآلى، مجلة المحاسب، تصدر عن جمعية المحاسبين والمراجعين المصرية، العدد الخامس، يناير 2000، ص5 0

([31]) د/ عارف عبد الله عبد الكريم ، تقدير المراجع لأخطار الرقابة .....، مرجع سبق ذكره ، ص61 : 62 .

([32]) د/ محمد محمود أحمد صابر، مرجع سبق ذكره ، ص154 0

([33]) أ/ أمل عبد الفضيل عطية ،  مرجع سبق ذكره ، ص95-96 0

([34]) يراجع فى ذلك الى :-

- د/ عبد الوهاب نصر على ، دراسة الآثار الحتمية للتجارة الإلكترونية .........، مرجع سبق ذكره ، ص35 : 36 0

- د/عاصم أحمد سرور ، أدلة الإثبات فى ظل أنشطة التجارة الإلكترونية – دراسة تحليلية ميدانية ،مجلة كلية التجارة للبحوث العلمية ،كلية التجارة - جامعة الإسكندرية ، العدد الأول ، مارس 2005، ص232 0

([35]) د/ عارف عبد الله عبد الكريم ، تقدير المراجع لأخطار الرقابة ......،  مرجع سبق ذكره ، ص53 : 54 0

([36])يراجع فى ذلك الى :-

      -  د/ عارف عبد الله عبد الكريم ، المرجع السابق، ص73 0

     -  د/ عبد الوهاب نصر على ، دراسة الآثار الحتمية للتجارة الالكترونية .....، مرجع سبق ذكره ، ص36 .

(2) يراجع فى ذلك الى :-

      -  د/ أحمد حلمى جمعة ، مرجع سبق ذكره ، ص 21-22.

      - أ / أمل عبد الفضيل عطية ، مرجع سبق ذكره ، ص 100-101  .

(1) ACL White Paper, "Auditing E. Business : Challenges and Opportunities", E. Commerce White Paper, 2001, P.2. (online : www.acl.com).

([39]) د/ ماجد حسين إبراهيم، تطور أساليب الرقابة الداخلية فى مجال التجارة الإلكترونية، مجلة الفكر المحاسبى، كلية التجارة - جامعة عين شمس، العدد الثانى، السنة التاسعة، 2005، ص213 : 215 0

(2) د/عاصم أحمد سرور ، مرجع سبق ذكره ، 233 .

(3)  د/ أحمد عبد السلام أبو موسى، الربط بين حوكمة تكنولوجيا المعلومات وتفعيل حوكمة الشركات – نموذج مقترح من سياق المحاسبة الإدارية ,المجلة العلمية /التجارة والتمويل ,كلية التجارة –جامعة طنطا، العدد الثانى، 2005، ص92 .

(4)  د/ أحمد عبد السلام أبو موسى، المرجع السابق ، ص91 ،105 .

(1) Ozior, Will, OP Cit ,p6 .