احلديثة يف تدقيق ومراجعة نظم املعلوماتاألساليب

سندس نوري شكرالباحثة جامعة تكريت -كلية التربية بنات

املستخلص بشكل كبير بحيث دخلت كل مفاصل حياة االنسان المختلفة مما جعل المعلوماتاتسعت دائرة استخدام نظم

لك فان الحاجة تستدعي ايجاد وسائل تقنية واطر لذ. المناص منهفرص انتهاك واختراق تلك االنظمة امراً .جوهرية للتصدي لظاهرة حدوث أي خلل في نظم المعلومات من خالل مراجعة وتدقيق دورة حياة النظام

يتطرق البحث الى جملة ادوات واساليب تقنية تساعد المدققين والمراجعين من تحديد الخلل وطبيعته ن والمدققين فرصاً اكثر في متابعة تنفيذ الرقابة الداخلية على مكونات برامج كما توفر للمراجعي. وايجاد حل له

.نظم المعلومات

متهيداً في انظمة المعلومات وفي مجال االتصاالت وشبكات االنترنت مما جعل حياة عيشهد العالم تطوراً واس

الوقت نفسه تتعرض انظمة وب. الناس تعتمد بصورة مباشرة او غير مباشرة على صالحية ومتانة االنظمةالمعلومات وشبكات االنترنت الى اختراقات متنوعة االغراض ومن مصادر مختلفة منها الفردية ومنها الحكومية

يحتم على مطوري ومستخدمي نظم المعلومات من التاكد من سالمة تلك االنظمة الواجبفإنومن هنا .متعمد والمحافظة على خصوصيتها من كل عبث متعمد او غير

ومن هنا نحتاج ان نتعرف على . وسنطلق على العبث الذي يهدف الى انتهاك حرمة نظم المعلومات بالمخاطر ومما يجدر ذكره ان الوسائل المستخدمة لذلك تسمى وسائل المراجعة . طبيعة تلك المخاطر وطرق تقديرها

ديثة في تدقيق ومراجعة نظم المعلومات الحاألساليب ولغرض تحقيق هدف البحث المتمثل في بيان والتدقيق :اآلتي إلىتطرق لسيتم ا

صدرها تعريف املخاطر وما: ًأوال بتقدير المخاطر بوصفها جزءاً من تصميم وتشغيل نظام الرقابة الداخلية وذلك لتقليل اإلدارةتقوم

إثناء خارجية أو داخلية جميع الوحدات االقتصادية تواجه مخاطر عديدة سواءإن إذ والمخالفات، األخطاء المهمة في مراجعة نظم المعلومات وتعرف األساليبيعد تقدير المخاطر من إذ. وعملياتهابأنشطتهاقيامها

خسارة أو فساد إحداث مجموعة موارد من اجل أوالمخاطر بأنها التهديد الذي يستغل نقاط الضعف في مورد .لمحدقة بنظم المعلومات ااألخطار يبين بعض أدناه) 1( شكل .للمورد

223 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

سلسلة من االخطار: ) 1(شكل

ويمكن تعريف نوع المخاطر بمقدار احتمال اختراق خصوصية نظام المعلومات وامكانية وفاء نظام ومن هذا المنطق فإن عملية تقييم المخاطر تبدا بتحديد . المعلومات بمهامه عند الحاجة اليه وسالمة بياناته

ظام المعلومات وتحديد االنظمة التي تتعامل مع نظام المعلومات وتنتهي بتحديد وتقييم وسائل الضبط مكونات نوهذه االجراءات واالدوات تهدف الى استبعاد احتمال وقوع الخطر وتهدف كذلك الى . واالمان المتوقع اعتمادها

) :3(كن العناية بذلك من خالل ويم. سرعة اكتشافه وتقليل اثره او تحويل مجرى الخطر الى مكان اخر

.تحديد وسائل االمان المستخدمة في تقليل المخاطر .1 .تحديد وتقييم وسائل االمان الجديدة او االضافية خالل عمليات تحليل المخاطر .2عتمدة والتي تؤدي الى وقاية نظام ترتيب المخاطر حسب درجة الخطورة وتحديد وسائل االمان الم .3

.قبولة المعلومات بدرجة م

ويعتمد اختيار . تتوفر مجموعة من السبل والبرامج التي تهدف الى حماية نظام المعلومات من االنتهاك :البرامج على مجموعة من االسس منها

.تكلفة برنامج االمان مقارنة بالفوائد الناجمة عن تقليل اثر الخطر .1 .مستوى المخاطر الذي يمكن لنظام المعلومات تحمله .2 ام تقليل مفعوله ، تقليل احتمال وقوعه، مفهوم تقليل الخطر فهل يعني ازالة الخطر نهائياًتحديد .3

.السلبي

224 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

عناصر املخاطر :ومن هذه العناصر. تنضوي تحت هذا البند مجموعة من العناصر التي تفيد في تحديد وتقدير المخاطر

نيف موارد المؤسسة التي تحتاج الى تعتمد كثير من طرق تحليل المخاطر على تحديد وتص : الموارد .1ويمكن تصنيف الموارد حسب اهميتها او قيمتها . برامج حماية والتي يعتقد إنها معرضة لالنتهاك

:ومن هذه الموارد ذات العالقة بنظم المعلومات ما يلي . الدفترية . البيانات والمعلومات .1 المكونات المادية والبرمجية .2 .المؤسسة الخدمات التي تقدمها .3 . الوثائق .4 . االفراد .5

ويعتقد بوجود موارد اخرى يمكن اخذها بعين االعتبار ومنها اساليب االحتفاظ بموارد المؤسسة مثل

.المخزون والحفاظ على رغبة الزبائن في التعامل مع المؤسسة وسمعة المؤسسة

:لمؤسسة ومنها وهناك عدد كبير من االخطار التي تؤثر على مسيرة ا : مصادر الخطر .2 .االخطاء .1 .التخريب المتعمد .2 .االحتيال والتزوير .3 .السرقات .4 .الخلل في المعدات والبرامجيات .5

يقدر احتمال انتهاك الموارد من خالل حساب عدد تكرارات وقوع االنتهاك ضمن فترة زمنية محددة أو

.من خالل التقديرات التي تعتمدها ادارة المؤسسة

: أن تحليل مصادر الخطر تفيد في تحديد مجموعة نقاط ضعف ومنها :نقاط الضعف .3

. ضعف في التدريب .1 . ضعف في اجراءات الحماية واالمان .2 .اختيار كلمات سر غير مجربة .3 .اعتماد تقنية غير مجربة .4 .البث عبرخطوط غير محمية .5

225 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

تعرض بعضها او كلها الى قد يسبب االنتهاك خسائر متفاوتة في موارد المؤسسة وقد ت : االضرار .4

:اضرار ومنها

.فقدان االموال بصورة مباشرة او غير مباشرة .1 .انتهاك القوانين .2 .فقدان الرغبة والسمعة .3 .تعريض حياة الموظفين والزبائن الى الخطر .4 .ضياع الفرص االستثمارية وانعدام الثقة .5 .انخفاض درجة كفاءة واداء موارد المؤسسة .6 .نشاط التجاري بصورة مؤقتة او دائمة توقف ال .7

وقد يكون . يف نقاط الضعف بانها مقدار الفترة الزمنية التي خاللها يحتمل وقوع االنتهاكرويمكن تع

او ،وقد يبقى مفتوحاً لفترة التتجاوز ثوان او دقائق معدودة. الوقت المتيسر امام عملية االنتهاك ضئيالً نسبياً . او يبقى مفتوحاً على مدار اليوم ،لساعة او اكثر او لعدة مرات يوميا فترة زمنية قد تطول

ونقاط الضعف هذه تساعد من تسول له نفسه ارتكاب االنتهاك ثم االستمرار في االنتهاكات كلما سنحت ،وفي الحوادث البسيطة قد اليتخدم سوى منفذ واحد ولمرة واحدة. الفرصة او تبين ان نقطة الضعف مواتية

) 1(ويبين الجدول . في الحوادث المعقدة تستخدم منافذ عديدة وبصورة متكررة على مدى فترة زمنية طويلة و .ادناه مصفوفة المخاطر

مصفوفة المخاطر ) : 1(جدول

المخاطر

القيمة المصادر التقدير الكلي االنفجارات العواصف الحريق المصادرة التزوير السرقة

14,88 د. 0008 خ. 009 خ. 006 خ. 005 د0.01 600 النقد 30,8 خ. 0008 خ. 009 خ. 005 خ. 006 خ0.01 1000 الخزين 104 د. 0008 خ. 009 د. 006 خ. 005 خ 5000 المنشات 107,4 خ. 0008 خ. 009 خ. 005 خ. 006 خ. 005 خ0.01 8000 المباني 79,2 خ. 0008 د. 009 خ. 005 خ. 005 خ 4000 البيانات 14,8 خ. 0008 خ. 009 خ. 005 1000 المنتسبين 28,64 خ. 0008 خ. 009 خ. 005 خ. 006 خ. 005 د0.01 800 االنظمة

الرغبة في 700 العمل

د. 0008 خ. 009 د. 005 10,36

16100 54 67 44,4 47,5 144,9 12,88 390,08

226 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

الوسائل التقنية يف اختاذ القرار: ًثانيا ملية مراجعة نظم المعلومات وضبطها من المهام المعقدة والتي تتطلب معرفة شاملة بأسس تعد ع

:المراجعة ألنظمة المعلومات واسس التدقيق وادوات الضبط والمراقبة على نظم المعلومات من اجل .متابعة االنعكاسات السلبية نتيجة فقدان الموجودات المتعلقة بالبيانات .1 . للموارد بسبب اتخاذ قرار غير سليم معرفة اسلوب التخصيص .2 .معرفة احتمال اختراق نظام المعلومات .3 .معرفة التكاليف الباهظة لمكونات نظام المعلومات من مكونات مادية وبرمجية وأيدي عاملة .4 .معرفة التكاليف الباهظة بسبب االخطاء الناجمة عن استخدام نظام المعلومات .5 .ة الخصوصية الفردية للزبائن والمنتسبين معرفة مقدار الحاجة الى صيان .6 .معرفة مقدار اإللمام في التقدم المستمر في مجال تقنية المعلومات .7

ومن التدقيق بصورة أكثر كفاءة في سالمة نظم المعلومات فإن الواجب يحتم إيجاد مجموعة من االدوات

:ومن هذه الوسائل ما يلي . والوسائل المساندة في تصويب القرار

مصفوفة الرقابة وتعد هذه الوسيلة من اقدم الوسائل المستخدمة في مساعدة مراجعي نظم المعلومات ويمكن تنظيمها

ويمكن تنظيم المصفوفة على شكل جداول أعمدتها تمثل أسباب االنتهاك وصفوفها تمثل ادوات . بأشكال مختلفة .ر احتمال وقوعه بالمقام االول الضبط والرقابة المستخدمة لتقليل اثر االنتهاك او تقدي

ومن اجل تقييم القرارللمعلومات التي تتضمنها المصفوفة فيصار الى تفحص اعمدة المصفوفة وتحديد مقدار احتمال تقليل الخطر لكل وسيلة أمان ولكل عنصر من العناصر التي تؤدي الى االنتهاك وحساب المستوى

نتهاك وتقدير المستوى الذي يبقى مرشحاً لالنتهاك ومدى قبول ذلك من قبل المتوقع من الخسارة الناجمة عن اال .االدارة في المؤسسة وحساب التكلفة المتوقعة ومقانتها بتكاليف وسائل الرقابة واالمان المعتمدة

227 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

مناذج قياس متانة وقوة الربجميات فان هناك مجموعة من من اجل قياس قوة البرامجيات وتمكنها من اداء وظائفها بصورة صحيحة

االساليب االحصائية التي تستخدم لتقدير مقدار القصور الذي يمكن ان يقع ضمن فترة زمنية استناداً الى التصور ويعتمد مفهوم البرامجيات على مجموعة معطيات منها . السابق عن مقدار القصور في نظام البرامجيات

) :2(وكما في الشكل المتراكمة خالل فترة زمنية ) القصور(االخطاء

االخطاء ونمطها العام في البرامجيات) : 2(شكل

ومن الطبيعي ان عدد االخطاء غير المكتشفة في بداية استخدام نظام البرامجيات يكون اكبر من عددها ومن هنا ،االستقرار أي ان النظام يصل الى نوع ،في فترات زمنية الحقة بسبب التحديث والتعديل المستمرين

يمكن الحصول على معادلة رياضية تربط احتماالت وقوع االخطاء على عمر النظام ومن الجدير بالذكر ان قوة :البرامجيات ومتانتها تندرج تحت ثالث مسميات

ويعتمد هذا المفهوم على اساس ان الفترة الزمنية بين عطل واخر تكون : الفترة الزمنية بين العطالت .1ويمكن قياس الفترة الزمنية بين عطل . ل في المرات االحقة ألنه االخطاء يتم تصحيحها أوالً بأول اطو

.واخر بأعتماد التوزيعات االحصائية لذلك ويعتمد هذا المفهوم على حساب عدد مرات العطل الذي يقع ضمن فترة زمنية : عدد مرات العطل .2

.وقع في الفترة الالحقة سيكون اقل مما سبق وبعد تصحيح االخطاء فإن عددها المت. محددة تحسب نسبة الخطاء العارضة الى نسبة االخطاء التأصلة في نظام : االخطاء العارضة والمتأصلة .3

.المعلومات من اجل ايجاد معادلة رياضية لحساب االخطاء من كال النوعين للفترات الزمنية المقبلة ن االدوات االساسية التي يستخدمها المدققون في حساب تعد طرق حساب قوة ومتانة البرامجيات م

ويعتمد تقدير دقة عدد االخطاء المتبقية على كمية البيانات . درجة صالحية نظام البرامجيات .والمعلومات المتاحة عن نظام البرامجيات المستخدم

الزمن

مجموعة عدد االخطاء المكتشفة

228 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

دور املراجعون واملدققون: ًثالثا مجموعة من ادوات الرقابة وادوات االمان التي تساعد في ان اي نظام للمعلومات يجب ان يحتوي على

ان المدققين اليعتمدون على تقدير قوة الضوابط وضعفها وانما على . منع الخلل او اكتشاف حال او قبل وقوعه قوة النموذج الرياضي المستخدم وقوة مقدرته على تحديد االخطاء وبيان الوقت المتوقع لحدوثها من اجل اتخاذ

فإن كان . وقد يستخدم المدققون النماذج الرياضية كأدوات تحليلية لمعرفة مقدار االخطاء . حتياطات الالزمة االعدد االخطاء المتوقعة كبيراً فيستوجب االمر اختبار النظام بصورة شاملة ومتكررة إلستخراج تلك االخطاء

لمتوقعة قليلة فيمكن للمدقق االعتماد على وأما اذا تبين ان عدد االخطاء ا. الكامنة والمتأصلة وتصحيحهاالضوابط الداخلية في منع او اكتشاف الخلل دون االعتماد على اختبارات كبيرة وشاملة ألن االختبارات الشاملة

.تصاحبها تكاليف باهظة قد التتحملها المؤسسات :وهمالجة البيانات اليدوي لمعااألسلوب قسمين في ظل استخدام إلى الرقابة الداخلية تنقسم إن

اإلداريةالرقابة -1 الرقابة المحاسبية -2

في ظل استعمال تقنيات المعلومات واالتصاالت داخل الوحدة االقتصادية وتحول نظام المعلومات أما سيتم تنفيذ إذ ، أساليبهاتختلف الاإلدارية نظام معلومات محاسبي مؤتمت فان الرقابة إلىالمحاسبي اليدوي

وتوصيف الوظائف والسياسات اإلجراءات من خالل الهيكل التنظيمي لالختصاصات ولوائح األساليبه هذ ستختلف في حالة وجود نظام فإنها في ما يتعلق بالرقابة المحاسبية أماالتنظيمية في الوحدة االقتصادية ،

).1998:443توماس هنكي ، (معلومات محاسبي مؤتمت داخل الوحدة االقتصادية تقدير المخاطر والرقابة (الفقرة الخامسة منه والمعنون بـ /1008وفقا لمعيار التدقيق الدولي رقم و

:فان الرقابة الداخلية تنقسم الى ) الداخلية خواص واعتبارات نظم المعلومات المحوسبة General Control الرقابة العامة - أ Application Control الرقابة التطبيقية -ب

الرقابة الداخلية هو رقابة المستخدم، وقد ورد أساليب من يضيف نوعاً ثالثاً من الباحثيند من وهناك عدالى ) 91أ( في الفقرة 15/12/2008المعاد صياغته والنافذ المفعول في ) 315(في المعيار الدولي للتدقيق رقم

ن منظور مراقب الحسابات تكون الرقابة ، ومأنشطةان استعمال تقنيات المعلومات يؤثر على طريقة تنفيذ المعلومات وامن البيانات التي تعالجها هذه نزاهة تقنية المعلومات فعالة عندما تحافظ على أنظمةالرقابة على

االتحاد الدولي (رقابة عامة على تقنيات المعلومات ورقابة على التطبيقات : وتشمل الرقابة نوعين األنظمة ) .1170: 2007للمحاسبين ،

General Controlلرقابة العامة ا - أ وهي عبارة عن مظلة على كل المؤتمت، الخاصة بنظام المعلومات األنشطةوتشمل الرقابة العامة عموم

:يأتي من كل مما للتأكدنظم المعلومات داخل الوحدة االقتصادية وهي تهدف )Laudon & Laudon/1998/466(

ورقابة تشغيل الصيانةوالتنظيمية، وتطوير النظم ورقابة اإلداريةوتتضمن الرقابة العامة الرقابة )20 : 2007ديوان الرقابة المالية المغربي ،(الحاسوب ورقابة برامج النظم

229 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

: من الرقابات منهاأنواعوتهتم الرقابة العامة بحماية النظام ككل وهي تضم عدة )Turban et.al/1999/668( وملحقاتها ومركز األجهزةادية عملية حماية هذه الماألجهزة تتضمن الرقابة على إذ

غير مصرح لهم بالدخول واستخدام أشخاص رقابة الوصول فيقصد بها رقابة لمنع وصول أماالبيانات والبرامج، مخولين رسميا ومصرح لهم ويكون الوصول على ثالثة لألشخاص يكون الدخول أن من الضروري إذالنظام ) النظام ككلإلى المادية وملحقاتها، وصول الى البيانات والبرامج والعمليات، وصول جهزةاأل إلىوصول ( - :أنواع

)60 : 2005لطفي ، ) (446 :1989توماس هنكي ، : (يأتي الرقابة العامة ماأساليبومن ابرز الرقابة التنظيميةأسلوب -1 تعديالت عليها وأيعتماد النظم توثيق واختبار واإجراءات -2 وملحقاتها األجهزة الرقابة على أسلوب -3 النظامإلى التوصل إمكانية رقابة أسلوب -4

:Application Control التطبيقية الرقابة -ب المادية والبرامج والبيانات والملفات واالتصاالت ولكنها الاألجهزةتهتم الرقابة العامة بحماية وامن

لذا وجدت الرقابة التطبيقية لحماية التطبيقات التي هي جزء من البرامج، تحمي محتويات التطبيقات الخاصة ، عناصر الرقابة التطبيقية تطبق على إن 93 المعاد صياغته في الفقرة أ315ووفقا لمعيار التدقيق الدولي

ستخدمة المباإلجراءاتمعالجة التطبيقات المفردة ، وهي مصممة لضمان نزاهة السجالت المحاسبية فهي تتعلق ثالث إلى ، وهي بذلك تقسم األخرى البيانات المالية أو التقارير حول المعامالت وإعداد وتسجيل ومعالجة إلدخال )Laudon & Laudon . 1998 : 468(،)23: 2007ديوان الرقابة السعودي،: ( رئيسة وهيأنواع

:الرقابة على المدخالت -1 دات الرقابه على المدخالت المعتمدة على المستن - أ الرقابة على المدخالت من دون مستندات -ب الرقابة على العمليات -2 الرقابة على المخرجات -3

النماذج اهلندسية لقياس املتانة : ًرابعا تعتمد هذه النماذج في حساب متانة النظام على اساس متانة وقوة الوحدات المكونة للنظام بصورة

ومن هذا المنطلق فإن المدقق سيحصل . ل وحدة من مكونات النظام انفرادية ودرجة قوة الضوابط الداخلية لكعلى صورة عن قوة ومتانة نظام الضوابط المستخدم وبذلك يتمكن المدقق من الحصول على صورة واضحة من

.اجل تقييم نظام الضوابط المعتمدة ن عملية حسابية ومن اجل توضيح هذا النوع من النماذج تفترض وجود نظام معلومات بسيط يتكون م

ونفترض تواجد نوع واحد من انواع االنتهاك او الخلل . واحدة وضابط امان واحد والية تصحيح اخطاء واحدة ) .3(وكما يبين ذلك الشكل

230 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

نظام لعملية واحدة وضابط أمان واحد

نظام لعملية واحدة وضابطين أمان) : 3(شكل

:لنظام وذلك بحساب احتمال عدم ظهور خلل بعد إكمال تنفيذ نظام المعلومات وعل النحو تحسب قوة ومتانة اR= p + (1-p) × P(e) × P(c)

:حيث

: Rقوة ومتانة النظام

: pاحتمال ان العملية تنفذ بصورة صحيحة بدون خلل : P(e)ن احتمال اكتشاف الخلل إن كان موجوداً بواسطة ضابط األما

: P(c)احتمال تصحيح الخلل بواسطة ضابط األمان ان كان موجوداً

ضابط أمان البداية

آلية تصحيح

عملية النهاية

ضابط أمان عملية ضابط أمان البداية

آلية تصحيح الخلل

النهاية

آلية تصحيح الخلل

231 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

تشير المعادلة السابقة الى ان قوة ومتانة النظام تساوي حاصل جمع احتمال تنفيذ العملية بصورة ومن . تهصحيحة واحتمال عدم تنفيذها بصورة صحيحة وان ضابط االمان الموجود يمكنه اكتشاف الخلل وصيان

. فالنظام المطلوب مراجعته هواكتشاف حريق ومحاولة اخماده،اجل توضيح ذلك اليك نظام حريق واطفاء – وان احتمال تنفيذ العملية بصورة صحيحة)p -1( وهو يساوي 0.005لنفترض احتمال نشوب الحريق يساوي

ويساوي 0.95 ونفترض احتمال اكتشاف الحريق يساوي 0.995 ويساوي p هو –دون نشوب حريقP(e) . ونفترض احتمال صالحية نظام االطفاء واداء مهمته بصورة صحيحة يساويP(c) لذا . 0.9 ويساوي

:ية النظام تحسب على النحوفإن فعال

R= 0.995 + (0.005) × (0.95) × (0.9) = 0.999275

( 1-R ) = 0.000725 ( R-P ) = 0.004275

: يمكن حساب فعاليتها على النحو iفالعملية رقم . ومن الممكن تطبيق قاعدة عملية واحدة الى عدة عمليات

Ri = pi + (1-pi) × P(ei) × P(ci)

:ويمكن حساب فعالية النظام لجميع انواع الخلل الذي يصيب نظام المعلومات على النحو

R = ∏ Ri

فهم يودون معرفة المغزى االقتصادي ،لة اعاله ذات مغزى ذو فائدة كبيرة للمدققينتكون المعاد قد ال اذا رغب المدققون تدقيق صحة البيانات بداللة اقتصادية او ،فمثال . وكمية االخطاء المتوقعة اوالبيانات الخاطئة

:يمكن حسابه iمالية فان تأثير الخطأ رقم

Ai = Neir × Vei × Tr :حيث

: Ai حجم الخطأ الناجم Neir : غير المكتشفة بعد i متوسط عدد األخطاء من نوع

rمرور النظام بعدد من ضوابط االمان تساوي i : Vei متوسط حجم االخطاء غير المكتشفة من نوع

: Tr من ضوابط االمان r عدد مرات تنفيذ

232 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

: االخطاء الكلي المتوقع على النحو ويمكن حساب حجم

A = ∑ Ai

:وبإمكان المدقق حساب عدد البيانات الخاطئة باستخدام المعادلة

H = ∑ Hi قيم توقعية وعلى المدققين تقدير التوزيعات H و Aعلماً إن كل من ، Neir × Tr تساوي Hiحيث

.على الترتيب Vei ، Neir لتوزيعات الرياضية االحتمالية لهما باعتبارهما دوال رياضية لكل من ا

مناذج بيزيانتوفر هذه النماذج للمراجعين والمدققين طريقة اساسية لمراجعة التقديرات السابقة لفعالية الضوابط

.الداخلية استناداً الى المعلومات الجديدة التي يمكن تجميعها خالل عمليات المراجعة والتدقيقت فعالية هذه النماذج في اتخاذ القرارات سواء في االنظمة اليدوية او انظمة وقد اثبتت الدراسا

فعندما يتطلب االمر من المدققين اتخاذ قرار او عدمه بخصوص صالحية نظام الرقابة او . المعلومات الحاسوبية ) .2(كما في الجدول ، الضوابط الداخلية

لمعلوماتمتانة الرقابة الداخلية على نظام ا) : 2(جدول

إما ) 2(ومن اجل بيان طبيعة أسلوب بيزيان في اتخاذ القرار فإن نظام الرقابة الداخلية كما يشير جدول .ام الرقابة أو رفضه أن يكون فعاالً أو غير فعال ويتطلب األمر من المدقق اتخاذ قرار بقبول نظ

وقد يصاحب . قد يصار الى اتخاذ قرار خاطىء،فمن الطبيعي بدون توفر المعلومات الكافية عن نظام الرقابة .القرار الخاطىء تكلفة عالية ممايؤدي الى افالس وخسارة المؤسسة

وقد تم 0.9داخلي يساوي يعتقد مدققون النظم في أحد نظم المعلومات ان احتمال نجاح نظام الرقابة ال. مثالتحديد هذه االحتماالت من الخبرة السابقة ومن كمية المعلومات المتاحة حول نظام المعلومات ونظام الرقابة

فإذا افترضنا صالحية نظام الرقابة الداخلي وتبين فيما بعد أنه غير دقيق فيصاحب ذلك تكلفة مقدارها . الداخليعدم كفاءة النظام وأن تكلفة الخطأ في عدم قبول نظام الرقابة الداخلي وتبين مليون نتيجة دعاوى قانونية بسبب

ماهو القرار الذي تعتقد أكثر صواباً ؟ . أنه فعال يساوي خمسون الفاًفي غياب المعلومات اإلضافية التي تساعدنا في اتخاذ القرار الصحيح فسيقوم المدقق بحساب التكلفة

:المتوقعة في الحالتين : فإن التكلفة المتوقعة ستكون ،الة الموافقة على نظام الرقابة الداخليفي ح .1

0.9 × 0 + 0.1 × 1,000,000 = 100,000 : فإن التكلفة المتوقعة ستكون ،في حالة عدم الموافقة على نظام الرقابة الداخلي .2

0.9 × 50.000 + 0.1 × 0 = 45.000

غير فعال فعال قرار غير صائب قرار صائب مقبول قرار صائب قرار غير صائب مرفوض

233 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

.د الخيار الثاني والقاضي بعدم صالحية نظام الرقابة الموجود وإستناداً الى النتائج اعاله سيتم اعتما فإذا افترضنا القيام بتحريات إضافية اخرى من أجل الحصول على معلومات أكثر وذلك بإعتماد سلسلة

وبما أن االختبارات . من االختبارات على النظام من أجل تحديد فعاليته وبذلك سنحصل عل مجموعة من النتائج من االحوال لن تكون كافية لتحديد صالحية او فعالية نظام المعلومات والضوابط المعتمدة معه فإن هذه بكل حال

ومن هنا فإن نماذج بيزيان تفيد في تقدير . النتائج تفيد تحديد اتجاهات المراجعين والمدققين حول فعالية النظام :احتمال إن

.نتائج االختبارات مناسبة إذا كن النظام فعاالً .1 .نتائج االختبارات مناسبة ولكن النظام غير فعال .2

:ويمكن اعتماد مفهوم االحتماالت المشروطة عل النحو Probability (favorable | reliable) = P (F|R) = 0.8 Probability (favorable | unreliable) = P (F|U) = 0.2

وإن ، يمثل صالحية أو فعالية نظام الرقابة Rلية وأن يمثل اتجاه القبول بكفاءة نظام الرقابة الداخ Fحيث

U تمثل عدم فعالية النظام . وبإستخدام قاعدة بيز فإن احتمال كون النظام فعاالً إذا كانت نتائج االختبار مناسبة وكون النظام غير فعاالً

:إذا كانت نتائج االختبار غير مناسبة على النحو

)()()|()|(

FPRPRFPFRP =

)()|()()|()()|(

UPUFPRPRFPRPRFP

+=

)1.0)(2.0()9.0)(8.0()9.0)(8.0(

+=

= 0.97 P (U|F) = 1- 0.97 = 0.03

:ى النحو فإن التكاليف المتوقعة في حالة القبول والرفض وعل،وفي ضوء النتائج الجديدة :كون نظام الضوابط فعاالً فإن التكاليف المتوقعة تساوي قبول الفي حالة .1

0.97 × 0 + 0.03 × 1,000,000 = 30,000 :في حالة الرفض كون نظام الضوابط فعاالً فإن التكاليف المتوقعة تساوي .2

0.97 × 50,000 + 0.03 × 0= 48,000 .ه وهذا يختلف عن القرار السابق الذي تم اعتماده نظام الضوابط فعاالً ويجب اعتماد: القرار

234 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

مناذج احملاكاة عندما يصعب اتخاذ قرار بإستخدام النماذج السابقة بسبب كثرة التغيرات أو عدم الحصول على بيانات كافية فإن نماذج المحاكاة تكون األنسب للمراجعين والمدققين فمثالً يقوم الحاسب بمحاكاة نظام المعلومات لمعرفة احتمال اختراق ضوابطه او احتمال فشل نظام المراقبة إلكتشاف المخترق او احتمان أن المخترق يتمكن من إستخراج شفرات النظام إن كان مشفراً أو التوصل الى كلمة السر او احتمال اختراق النظام في نهاية

.المطاف لسرقة بيانات حساسة جداًلك بتحديد سلسلة من المدخالت وتجزئتها الى اجزاء وادخال سلسلة من وكذلك اختبار نظام المعلومات وذ

.كل جزء ومعرفة نتائج النظام ومقارنتها بالنتائج المتوقعة ذاتياًوتفيد المحاكاة المدققين والمراجعين في تنظيم نتائج المدخالت على شكل توزيع يمكن منه إستخراج مجموعة من

وهذه التوزيعات . حسابي واالنحراف المعياري ودرجات الحرية ودرجة الثقة بالنتائجالمقاييس اإلحصائية كالمتوسط ال .والمقاييس اإلحصائية المصاحبة لها بمثابة خالصة حسابية لقياس فعالية النظام وقوة بنائه يمكن معرفة ، فعلى سبيل المثال،ومن خالل التوزيع اإلحصائي يمكن قياس كثير من خصائص نظام المعلومات

فمن نتائج النظام في وحدة المعالجة المركزية . الخلل في نظام المعلومات من خالل التوزيع اإلحصائي الذي يمثل الخلل :للحاسب لمدة ألف ساعة تحصل على نموذج توزيع بواسون اللوغاتمي والذي يعتمد الشكل التالي

)1ln()1()( 0 += ptlptf

:حيث :f(t)ل فترة التنفيذ دالة الخلل التجميعي المتوقع خال

: l0) مقدار الخلل خالل ساعة (كثافة الخلل في بداية اختبار نظام المعلومات p : نسبة اكتشاف االخطاء وتصحيحها

:وعلى النحو f(t) من خالل حساب مشتقة الدالة l(t)ويمكن حساب نسبة االخطاء عند أي فترة زمنية

( )1)(0

0+= ptl

ltl

235 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

)4(وشكل منحني الخلل سيكون بالصورة في الشكل

دالة كثافة الخلل) : 4(شكل

ومن هنا يستطيع المرجع والمدقق قياس مقدار الخلل ألي نظام من أنظمة المعلومات والحصول على ).1(صورة عن فعالية ومتانة النظام

األنظمة اخلبرية: ًخامسا امج تجمع الخبرة البشرية في نطاق تخصص معين واإلستفاذة من تلك الخبرة في ايجاد عبارة عن بر

ألهمية األنظمة الخبيرة فقد انقت كثير من شركات . الحلول للمشاكل التي تظهر في ذلك المجال او التخصصوقد اثبتت . قيقالتدقيق والمراجعة أموال كثيرة على تطوير نظم الخبرة من اجل تسهيل عملية المراجعة والتد

.هذه البرامج فعاليتها واعتمادها الكثير من المدققين والمراجعين في تجميع الحقائق وتحليلها

.أسباب اعتماد األنظمة الخبيرة في المراجعة والتدقيق .1 :يقوم المدققون والمراجعون ببناء وإدامة واستخدام نظم الخبرة لعدة اسباب منها

الممارسات التي يتمتع بها خيرة اختصاصيو التدقيق والمراجعة مع يقدم النظام الخبير خالصة - أ إن تجميع خبرة وممارسات اختصاصيو التدقيق . النظريات والممارسات المتعارف عليها

.وصياغتها في قالب واحد يمكن نقل الخبرة الى بقية العاملين في مجال التدقيق والمراجعة علومات فإنه يصعب على كثير من المدققين وبسبب التطور السريع في تكنولوجيا الم -ب

والمراجعين مواكبة تلك التطورات مما يستدعي تحديد عدد معين من المراجعين في متابعة التكنولوجيا ونقل تلك الخبرة الى النظام الخبير وجعلها في متناول أيدي بقية المراجعين

.والمدققين دة مشتركة وتطابق في التقييم وفي طريقة اتخاذ يقدم النظام الخبير وسيلة فعالة في ايجاد قاع - ج

إن النظام الخبير يساعد المدققين والمراجعين في إتباع سلسلة من الخطوات المساعدة . القرارفي توعية المدققين والمراجعين بأهمية المعلومات المتوفرة والتي تؤثر في اتخاذ القرار

متناقضة وتحديد عدة حلول وإختيار األفضل وتوجيههم في حالة القرارات ال،وإصدار األحكام .منها واإلحتفاظ بالقرارات المناسبة لإلستفادة منها مستقبالً

236 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

وتشير . وفي ضوء ماتقدم فإن األنظمة الخبيرة تؤثر بصورة ايجابية على كفاءة وفعالية عمليات التدقيق ) .2(ورة متتابعة االبحاث إن التقدم في مجال تقوية فعالية نظم المعلومات سيستمر بص

:يتكون النظام الخبير من مقطعين رئيسين هما : مكونات النظام الخبير .2وهي عبارة عن هيكل لتجميع الخبرات من ذويها : Knowledge – baseقاعدة المعرفة - أ

وتخزينها في القاعدة وتكون المعلومات على شكل حقائق وقوانين يستخدمها الخبير من إستخراج .اكل المتعلقة في قضايا المراجعة والتدقيقحلول المش

وهو عبارة عن برنامج يعتمد على علم المنطق : Inference engineمحرك اإلستنتاج -ب ويستخدم قاعدة المرفة إلستخراج عالقات بين الحقائق والقوانين من أجل الوصول إلى استنتاج

.حول المسائل المطلوب إيجاد حالً لها

.ين العالقة بين مكونات النظام الخبير يب ) 5( الشكل

المكونات األساسية في النظام الخبير ) : 5( شكل

:أعاله فهناك مقطعين أخريين هما ) 5(وكما يشير الشكل

والتي تقوم بعرض المعلومات الى المستخدم مبينة طريقة العرض : وسائل التبيان والتوضيح - أ .واسلوب الوصول الى النتائج

وهو عبارة عن برنامج يستقبل الخبرة وإسداء النصح في مجاالت التخصص : ال المعرفةستقبإ -ب .المختلفة من خالل آراء الخبراء ويضيفها الى قاعدة المعرفة

237 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

ومن أجل بيان الطريقة التي يتعامل فيها النظام الخبير مع المراجعين والمدققين من أجل تسهيل مهماتهم . Account Receivableمتعلقة بالمدينين فنورد بعض قواعد المعرفة ال

. تعديالت مزورة قد تقع على وصوالت اإلستالم فإن. كانت الرقابة غير مبرمجة المدخالت إن .1 تعديالت مزورة قد تقع فإن. كانت الرقابة مبرمجة على المدخالت وإن الرقابة لم يتم تطبيقهاإن .2

.على وصوالت اإلستالم . الرقابة قيد التطبيق وإن المدخالت لم تدونوإنة على المدخالت كانت الرقابة مبرمجإن .3إذا أمكن تزوير او تعديل في وصوالت اإلستالم النقدي وكانت عمليات االيداع والسحب غير مراقبة .4

.بصورة مستقلة فإن التزوير قد يقع على حسابات مدين . غير قانونية إن وقع التزوير على حساب المدينين فسيصاحب ذلك التصريح ديون .5 .إذا لم يصاحب اصدار أذونات الدين نظام رقابة مناسب فإن ذلك يعني التصريح بديون غير قانونية .6

. يمكن تخزين القواعد اعاله في قاعدة المعرفة واستخدامها في الوصول الى إستنتاج حول مسألة معينةوحلولها ومن مقارنة الحاالت الجديدة بها وقد اليقتصر األمر على قواعد المعرفة وإنما تخزين حاالت سابقة

.واستخالص النتائج

أنواع برامج التدقيق اخلبرية :تنحصر معظم برامج التدقيق الخبيرة في مجاالت اربع وعل النحو

يقوم النظام الخبير بتقييم االنتهاك المادي على جميع عناصر نظام المعلومات التي : رطامختحليل ال .1 .نتهاك يمكن أن يقع عليها اال

يجب النظام الخبير درجة صالحية وحدات الرقابة الداخلية ومنها يتم تقدير : تقييم الضوابط الداخلية .2 .تعرض الموارد الى انتهاك

يقدم النظام الخبير مجموعة من الخطوات الواجب اتباعها في تنفيذ : تخطيط عمليات التدقيق .3 .ط الداخلية عمليات التدقيق ويقدم تقريراً عن فعالية الضواب

يقدم مجموعة من النصائح ذات الطابع الفني والتي يمكن أن تواجه المدققون : إستشارات فنية .4 .خالل عمليات التدقيق مثل تحديد فيما إذا كانت القوائم المالية تشيع القواعد العامة المتبعة

اإلعتبارات اإلقتصادية واملاديةومن هنا يجب قياس . صالحية عالية ولكن لقاء تكاليف باهظةمن الممكن إيجاد نظام معلومات فعال وذو

:ومن المنافع والتكاليف المصاحبة إلعتماد الضوابط ما يلي . المنافع والتكاليف وفي ضوء ذلك اتخاذ القرار

.تكاليف اولية تنجم عن تصميم وتنفيذ نظام الرقابة الداخلي • .تكاليف تصاحب تنفيذ أنظمة الرقابة الداخلية •وكذلك يصاحب ذلك تكاليف تصحيح . كاليف عملية تحديد الخلل عندما تكتشف نظم الرقابة وجود خلل ت •

.الخلل وإعادة نظام المعلومات إلى وضعه الطبيعي التكاليف التي تنتج عن عدم تمكن نظام الرقابة من إكتشاف الخلل بالرغم من وجوده وكذلك التكاليف •

. يتمكن نظام الرقابة من تصويبه بالصورة الصحيحةالناجمة عن إكتشاف الخلل لكن لم .تكاليف الناجمة عن ديمومة صيانة نظام الرقابة الداخلي •

إن حساب الموازنة بين التكاليف والفوائد الناجمة عن إعتماد نظام الرقابة قد ال،ومما تجدر اإلشارة إليه .د الوجوه يكون أمراً سهالً لوجود متغيرات كثيرة وقد يكون الخلل متعد

238 علومات احلديثة يف تدقيق ومراجعة نظم املاألساليب

اخلالصة : ًسادسا تطرقنا في هذا البحث عن األدوات والوسائل التي يمكن إعتمادها من أجل ضمان صالحية نظام

وقدم البحث تصوراً شامالً عن المخاطر . المعلومات التي أصبحت حياة الناس تعتمد عليه بصورة كبيرة كذلك بين البحث أنواع الخلل الذي يمكن أن يقع . غرقها وأنواعها وطرق معالجتها والفترات الزمنية التي تست

.على نظم المعلومات واثر ذلك على موارد المؤسسة التي وقع عليها االنتهاك وشمل البحث في عرضه مجموعة من األدوات التي تساعد المدققين والمراجعين في أداء درهم

ومن هذه األدوات اتي تضمنها البحث هي مصفوفة .الريادي في تحديد الخلل والتمكن من اصدياده قبل وقوعه .وأساليب المحاكاة ونظرية بيز في حساب االحتماالت المشروطة ، واألنظمة الخبيرة،المخاطر

ويوصي البحث القائمين على عمليات صناعة البرامجيات بصياغة نظم رقابة وأمان وإيجاد الضوابط اد المراجعين والمدققين ذوي المهارات الخاصة في نظم المناسبة لضمان سالمة نظم المعلومات وإعتم

المعلومات من أجل التأكد من صالحية أنظمة الرقابة الداخلية وإن إعدادها وتصميمها وتنفيذها قد خضع لشروط .القياس العالمية

املصادر حامد حجاج احمد. د: ، وليم وهنكي، امرسون، المراجعة بين النظرية والتطبيق، تعريب ومراجعةتوماس -1

.1996. س. ع. للنشر، الرياض، مالسلطان، دار المريخ المحمد العلي سلطان .د :كمال الدين سعيد، تقديم. ود أخالقيات المعايير الدولية لممارسة اعمال التدقيق والتأكيد وقواعد إصدارات"االتحاد الدولي للمحاسبين، -2

.2008ين، المهنة، ترجمة المجمع العربي للمحاسبين القانوني .2005،اإلسكندريةالدار الجامعية، ) مراجعة وتدقيق نظم المعلومات(لطفي، امين السيد احمد -3، بحث مقدم للمشاركة )تقويم نظم الرقابة الداخلية في الجهات الخاضعة للرقابة( ديوان المحاسبة السعودي -3

.1995رقابة المالية والمحاسبة، بيروت، العليا لللألجهزةفي اجتماع الجمعية العمومية للمجموعة العربية بعنوان ) ديوان المحاسبة القطري، السعودي، المغربي، الكويتي( ورقة بحثية مقدمة من -4

بحوث مقدمة في اجتماع الجمعية العمومية ) تطوير معايير الرقابة في ضوء نظم المعلومات االلكترونية( .2007لمالية والمحاسبية، دار صفاء للطباعة والنشر ، العليا للرقابة الألجهزةللمجموعة العربية

5. R. S. pressman, "Software Engineering: A practitioner' approach", McGraw Hill, fifth edition 2001.

6. Baldwin-Morgan, Amelia Anette, "The Impact of Expert Systems Audit Tools and Auditing Firm in the year 2001: A Delphi Investigation", Journal of Information Systems (Spring), pp. 16-34, 1993.

7. ISACA, www.isaca.org,"Standards, Guidelines and Procedures", Information Systems Audit and Control Association, 2006.

8. Turban, etall., “Information Technology for Management “, 2nd ed., (1999) 9. Laudon ,Keneth c.&Ludon ,Janp.,”Information System &Internet”,4th ed.,(1998)