جديد المواضيع

المحاضرة رقم 1 : عملية تدقيق نظام المعلومات - التخطيط

الفصل 1 عملية تدقيق نظام المعلومات (Information System Auditing Process) :


نظرة عامة (OVERVIEW) :


تشمل عملية تدقيق أنظمة المعلومات كلاً من :

1. المعايير (standards).
2. والمبادئ (principles).
3. والأساليب (methods).
4. والإرشادات (guidelines).
5. والممارسات (practices).
6. والتقنيات (techniques).

التي يستخدمها مدقق نظم المعلومات (IS auditor) لـ :

1. تخطيط (plan).
2. وتنفيذ (execute).
3. وتقييم (assess ).
4. ومراجعة (review ).

كلا من :

1. أنظمة الأعمال (business systems).
2. أو أنظمة المعلومات (information systems).
3. والعمليات ذات الصلة (related processes).

يجب أن يكون لدى مدقق نظم المعلومات فهم شامل لعملية التدقيق (auditing process) هذه بالإضافة إلى :

1. عمليات نظم المعلومات (IS processes).
2. والعمليات التجارية (business processes).
3. والضوابط المصممة (controls designed) لتحقيق :

1. الأهداف التنظيمية (organizational objectives). The Mission
2. وحماية الأصول التنظيمية (protect organizational assets).

يمثل هذا المجال 21% من امتحان الـ CISA (حوالي 32 سؤالًا).

المخطط التفصيلي لمحتوى اختبار المجال 1 (DOMAIN 1 EXAM CONTENT OUTLINE) :


الجزء A : التخطيط (Planning) :


1. معايير تدقيق نظم المعلومات والمبادئ التوجيهية ومدونات أخلاقيات المهنة
    (IS Audit Standards, Guidelines and Codes of Ethics).
2. العمليات التجارية (Business Processes).
3. أنواع الرقابة (Types of Controls).
4. تخطيط المراجعة على أساس المخاطر (Risk-based Audit Planning) ..
تحديد المهام والقطاعات ذات المخاطر العالية ثم الأقل خطورة 



5. أنواع المراجعات والتقييمات (Types of Audits and Assessments).

الجزء B : التنفيذ (Execution) :


1. تدقيق إدارة المشروع (Audit Project Management).
2. منهجية أخذ العينات (Sampling Methodology).
3. تقنيات جمع أدلة المراجعة (Audit Evidence Collection Techniques).
4. تحليلات البيانات (Data Analytics).
5. تقنيات الإبلاغ والاتصال (Reporting and Communication Techniques).
6. ضمان الجودة وتحسين عملية المراجعة (Quality Assurance and Improvement of the Audit Process).

الأهداف التعلم / قائمة المهام (LEARNING OBJECTIVES/TASK STATEMENTS) :


ضمن هذا المجال أن يكون مدقق نظم المعلومات قادراً على :

• التخطيط لعملية تدقيق لتحديد ما إذا كانت أنظمة المعلومات :

1. محمية (protected).
2. ومراقبه (controlled).
3. وتوفر قيمة للمؤسسة (provide value to the organization). (T1)

• إجراء تدقيق وفقًا لـ :

1. معايير تدقيق نظم المعلومات (IS audit standards).
2. واستراتيجية تدقيق نظم معلومات قائمة على المخاطر (risk-based IS audit strategy). (T2)

• إبلاغ (Communicate) :

1. سير التدقيق (audit progress).
2. وما تم الوصول اليه من التدقيق (audit findings).
3. ونتائج التدقيق (audit results).
4. والتوصيات لأصحاب المصلحة (recommendations to stakeholders). (T3)

• إجراء متابعة التدقيق (audit follow-up)

لتقييم ما إذا كان قد تم التعامل مع المخاطر بشكل كاف (sufficiently addressed). (T4)

• تقييم (Evaluate) :

1. إدارة تكنولوجيا المعلومات (IT management).
2. ومراقبة الضوابط (monitoring of controls). (T11)

• استخدام أدوات تحليل البيانات (Utilize data analytics tools) لتبسيط عمليات التدقيق. (T36)

• تقديم خدمات استشارية وإرشادات (consulting services and guidance) للمنظمة من أجل :

1. تحسين الجودة (improve the quality).
2. والرقابة على نظم المعلومات (control of information systems). (T37)

• تحديد فرص تحسين العملية (Identify opportunities for process improvement) في كلا من سياسات (policies) وممارسات (practices) تكنولوجيا المعلومات في المنظمة. (T38)

الجزء A : التخطيط PART A: PLANNING


1.0 مدخل (INTRODUCTION)


مع العديد من اللوائح والتأكيد على أن العمل يعمل بشكل جيد ومستعد لمواجهة التحديات المحتملة.

يمكن أن يساعد التدقيق أيضًا في ..

الحصول على تأكيد بشأن مستوى الحماية المتاحة لأصول المعلومات.
(level of protection available for information assets)

الأهم من ذلك يمكن لعملية التدقيق أن تطمئن أصحاب المصلحة (stakeholders) على :

1. الرفاهية المالية (financial well-being).
2. والرفاهية التشغيلية (operational well-being).
3. والرفاهية الأخلاقية (ethical well-being) للمؤسسة.

تدعم عمليات تدقيق نظم المعلومات جميع هذه النتائج مع التركيز بشكل خاص على :

1. المعلومات ذات الصلة (related information).
2. والأنظمة ذات الصلة (related systems).

التي تعتمد عليها معظم الشركات والمؤسسات العامة لتحقيق ميزة تنافسية (competitive advantage).

تدقيق نظم المعلومات هو الفحص الرسمي (formal examination) و / أو اختبار نظم المعلومات لتحديد ما إذا كان :

• أنظمة المعلومات متوافقة (compliance) مع :

1. القوانين المعمول بها (applicable laws).
2. واللوائح المعمول بها (applicable regulations).
3. والعقود المعمول بها (applicable contracts).
4. و / أو إرشادات الصناعة (industry guidelines).



• أنظمة المعلومات والعمليات ذات الصلة تتوافق مع :

1. معايير الحوكمة (governance criteria).
2. والسياسات والإجراءات المرتبطة وذات الصلة (related and relevant policies and procedures).

• بيانات ومعلومات مدقق نظم المعلومات لها مستويات مناسبة من :

1. السرية (confidentiality).
2. والنزاهة (integrity).
3. والتوافر (availability).

• يتم إنجاز عمليات نظم المعلومات بكفاءة (efficiently)

وتحقيق أهداف الفعالة (effectiveness targets are being met).

أثناء عملية التدقيق يقوم مدقق نظم المعلومات (IS auditor) بـ :

1. مراجعة إطار عمل الرقابة (reviews the control framework).
2. وجمع الأدلة (gathers evidence).
3. وتقييم نقاط القوة والضعف في الرقابة الداخلية بناءً على الأدلة
    (evaluates the strengths and weaknesses of internal controls based on the evidence).
4. وإعداد تقرير تدقيق (prepares an audit report) يعرض :

1. نقاط الضعف (weaknesses).
2. والتوصيات (recommendations).

للمعالجة بطريقة موضوعية لأصحاب المصلحة (remediation in an objective manner to stakeholders).

بشكل عام تتكون عملية التدقيق النموذجية من ثلاث مراحل رئيسية :

يمكن تقسيم (broken down) هذه المراحل الرئيسية إلى مراحل فرعية ؛ على سبيل المثال يمكن تقسيم مرحلة إعداد التقارير إلى :

1. كتابة التقرير (report writing).
2. وإصدار التقرير (report issuance).
3. ومتابعة الاصدار (issue follow-up).
4. وإغلاق التدقيق (audit closing).

يمكن تخصيص المصطلحات والتسميات التنظيمية لهذه المراحل طالما أن الإجراءات والنتائج تتوافق مع معايير التدقيق المعمول بها مثل إطار ضمان تكنولوجيا المعلومات (IT Assurance Framework - ITAF).

إطار ضمان تكنولوجيا المعلومات IT Assurance Framework (ITAF) :


يُعد إطار ضمان تكنولوجيا المعلومات (ITAF) الذي نشرته ISACA .. نموذجًا شاملاً لوضع الممارسات الجيدة (good-practice-setting model) :

1) يقدم إرشادات (guidance) بشأن تصميم وإجراء وإعداد التقارير بشأن :

1. تدقيق تكنولوجيا المعلومات (IT audit).
2. ومهام التأكيد (assurance assignments).

2) يحدد المصطلحات والمفاهيم الخاصة بضمان تكنولوجيا المعلومات (IT assurance).
3) يضع المعايير (standards) التي تتناول :

1. تدقيق تكنولوجيا المعلومات (IT audit).
2. والأدوار والمسؤوليات المهنية (assurance professional roles and responsibilities ..

المعرفة والمهارات (knowledge and skills).

3. ومتطلبات الاجتهاد والتنفيذ (diligence, conduct requirements).
4. ومتطلبات إعداد التقارير (reporting requirements).

ما هو إطار ضمان تكنولوجيا المعلومات (ITAF) ؟


ينطبق إطار ضمان تكنولوجيا المعلومات (ITAF) على :

1. الأفراد (individuals ) الذين يعملون بصفتهم محترفي ضمان تكنولوجيا المعلومات ويشاركون في توفير ضمانات بشأن بعض مكونات أنظمة تكنولوجيا المعلومات
2. والتطبيقات (applications).
3. والبنية التحتية (infrastructure).

يتكون اطار ضمان تكنولوجيا المعلومات (ITAF) من :

1. المعايير (standards).
2. والمبادئ التوجيهية (guidelines).
3. وتدقيق تكنولوجيا المعلومات (IT audit).
4. وإجراءات التأكيد (assurance procedures).

يعد تطبيق إطار العمل شرطًا أساسيًا (prerequisite) لإجراء أعمال الضمان (assurance work). المعايير إلزامية (standards are mandatory) بينما تم تصميم :

1. الإرشادات (guidelines).
2. والأدوات (tools).
3. والتقنيات (techniques).

لتقديم مساعدة غير إلزامية (non-mandatory assistance) في أداء أعمال التأكيد وتفاصيل إضافية لدعم الامتثال للمعايير.

من الذي يجب أن يستخدم إطار ضمان تكنولوجيا المعلومات (ITAF) ؟


تم تصميم إطار ضمان تكنولوجيا المعلومات (ITAF) في المقام الأول للاستخدام من قبل الأفراد الذين يعملون بصفتهم متخصصين في تدقيق تكنولوجيا المعلومات والتأكد من أنهم يشاركون في تقديم ضمانات بشأن بعض مكونات أنظمة تكنولوجيا المعلومات والتطبيقات والبنية التحتية ؛ ومع ذلك يمكن استخدامه من قبل أي شخص في مهنة التأكيد (assurance profession). تم تصميم إطار العمل لتوفير فوائد لجمهور أوسع بما في ذلك :

1. الإدارة العليا (senior management).
2. ومجالس الإدارة (boards).
3. ومستخدمي (users) :

1. تكنولوجيا المعلومات (IT ).
2. وتقارير التأكيد (assurance reports).

يعترف تصميم إطار ضمان تكنولوجيا المعلومات (ITAF) أن متخصصي تكنولوجيا المعلومات يواجهون متطلبات وأنواع متعددة من التدقيق بدءًا من التدقيق الذي يركز على تكنولوجيا المعلومات (IT) إلى :

1. المتطلبات المالية (financial requirements).
2. أو المتطلبات التشغيلية (operational requirements).
3. أو المتطلبات التنظيمية (regulatory requirements).

في هذا الوقت ، لم يتم تصميم إطار ضمان تكنولوجيا المعلومات (ITAF) لتلبية متطلبات محددة (specific requirements) فيما يتعلق :

1. بالعمل الاستشاري (consultative work) .. أعطاء المشورة أو الاستشارة دون امتلاك اى سلطة في تنفيذها
2. وبالعمل الاستشاري (advisory work) .. أعطاء المشورة أو الاستشارة مع امتلاك السلطة لتنفيذها

كيف يتم تنظيم إطار ضمان تكنولوجيا المعلومات (ITAF) ؟


يشمل إطار ضمان تكنولوجيا المعلومات (ITAF) ثلاث فئات من المعايير (standards) :

1. العامة (general).
2. والأداء (performance).
3. والتقارير (reporting).

بالإضافة إلى :

1. المبادئ التوجيهية (guidelines).
2. وأخيرًا الأدوات والتقنيات (tools and techniques).

ملاحظة : يتم تعريف أنظمة المعلومات على أنها مزيج من (combination of) :

1. الأنشطة الإستراتيجية (strategic activities).
2. والأنشطة الإدارية (managerial activities).
3. والأنشطة التشغيلية (operational activities).
4. والعمليات ذات الصلة (related processes) المتضمنة في :

1. جمع (gathering). 
2. ومعالجة (processing).
3. وتخزين (storing). 
4. وتوزيع (distributing). 
5. واستخدام (using).

المعلومات والتقنيات ذات الصلة (information and its related technologies).

تختلف (distinct) أنظمة المعلومات (Information systems - IS) عن

تقنية / تكنلوجيا المعلومات (information technology - IT).

حيث أن نظام المعلومات (Information systems - IS) يحتوي على مكون تكنولوجيا المعلومات (IT component) الذي يتفاعل (interacts) مع مكونات العملية (process components).

يتم تعريف تكنولوجيا المعلومات (information technology – IT) على أنها :

1. الأجهزة (hardware). 
2. والبرمجيات (software).
3. والاتصالات (communication). 
4. والمرافق الأخرى (other facilities).

المستخدمة لـ :

1. إدخال البيانات (input data). 
2. وتخزين البيانات (store data). 
3. ومعالجة البيانات (process data).
4. ونقل البيانات (transmit data). 
5. وإخراج البيانات (output data).

بأي شكل من الأشكال. لذلك سيتم استخدام المصطلحين "IS" و "IT" وفقًا لهذه التعريفات.

1.1 معايير التدقيق والمبادئ التوجيهية وقواعد الأخلاق لنظام المعلومات
IS AUDIT STANDARDS, GUIDELINES AND CODES OF ETHICS


يتم تحديد مصداقية أي نشاط تدقيق لنظام المعلومات إلى حد كبير من خلال التزامه بالمعايير المقبولة عمومًا (commonly accepted standards). يتم تحديد العناصر الأساسية لتدقيق أنظمة المعلومات وتوافرها ضمن معايير وإرشادات التدقيق والتأكيد لمدونة الأخلاقيات المهنية الخاصة بـ جمعية التدقيق والرقابة على نظم المعلومات (ISACA) حيث توفر الارشاد لكلاً من :

1. السلوك المهني والشخصي لأعضاء جمعية التدقيق والرقابة على نظم المعلومات (ISACA).
2. حاملي الشهادات (certification holders).


1.1.1 معايير التدقيق والتأمين لنظم المعلومات وفقاً لجمعية التدقيق والرقابة على نظم المعلومات
(ISACA IS AUDIT AND ASSURANCE STANDARDS) :


تحدد معايير جمعية التدقيق والرقابة على نظم المعلومات (ISACA) للتدقيق والتأكيد

المتطلبات الإلزامية (mandatory requirements) لـ :

1. تدقيق نظم المعلومات (IS auditing).
2. وإعداد التقارير (reporting).
3. وإعلام مجموعة متنوعة من الجماهير بالمعلومات الهامة (inform a variety of audiences of critical information) .. مثل ما يلي :

• بالنسبة لمدققي نظم المعلومات (IS auditors) فإن المستوى الأدنى (minimum level) من الأداء المقبول المطلوب للوفاء بالمسؤوليات المهنية المنصوص عليها في مدونة قواعد السلوك المهني لجمعية التدقيق والرقابة على نظم المعلومات (ISACA).

• بالنسبة للإدارة والأطراف المهتمة الأخرى توقعات المهنة (profession’s expectations) فيما يتعلق بعمل الممارسين.

• متطلبات الأداء المهني (professional performance requirements) لحاملي شهادة (CISA).

يوفر إطار عمل معايير التدقيق والتأكيد لجمعية التدقيق والرقابة على نظم المعلومات مستويات متعددة من الوثائق :

• تحدد المعايير (Standards) المتطلبات الإلزامية (mandatory requirements) لـ :

1. مراجعة نظام المعلومات (IS audit).
2. والتأكيد (assurance).
3. وأعداد التقرير (reporting).

• توفر المبادئ التوجيهية (Guidelines) إرشادات في :

1. تطبيق معايير التدقيق.
2. والتأكيد في نظم المعلومات.

يجب أن يأخذها مدقق نظم المعلومات في الاعتبار عند تحديد كيفية تحقيق تنفيذ المعايير المذكورة أعلاه واستخدام الحكم المهني (professional judgment) في تطبيقها والاستعداد لتبرير أي خروج عن المعايير.

• توفر الأدوات والتقنيات (Tools and techniques) أمثلة على العمليات التي قد يتبعها مدقق نظم المعلومات في ارتباط المراجعة. توفر وثائق الأدوات والتقنيات (tools and techniques documents) معلومات حول كيفية تلبية المعايير (how to meet the standards) عند استكمال أعمال تدقيق نظم المعلومات .. ولكنها لا تحدد المتطلبات (but do not set requirements).

تنقسم معايير جمعية التدقيق والرقابة على نظم المعلومات (ISACA) للتدقيق والتأكيد إلى ثلاث فئات هى :

1. عامة (general) 
2. الأداء (performance) 
3. والابلاغ (reporting).

• عام (General) - توفير المبادئ التوجيهية التي تعمل بموجبها مهنة

ضمان نظم المعلومات (IS assurance profession operates).

وهي تنطبق على :

1. إجراء جميع المهام (all assignments).
2. وتتعامل مع أخلاقيات مدقق نظم المعلومات (deal with an IS auditor’s ethics).
3. والاستقلالية (independence).
4. والموضوعية (objectivity).
5. والعناية الواجبة (due care).

بالإضافة إلى :

1. المعرفة (knowledge).
2. والكفاءة (competency).
3. والمهارة (skill).

• الأداء (Performance) - التعامل مع إجراء / تنفيذ المهمة (Deal with the conduct of the assignment) مثل :

1. التخطيط والإشراف (planning and supervision).
2. وتحديد النطاق (scoping).
3. والمخاطر (risk).
4. والأهمية النسبية (materiality).
5. وتهيئة الموارد (resource mobilization).
6. والإشراف وإدارة المهام (supervision and assignment management).
7. وأدلة التدقيق والتأكيد (audit and assurance evidence).
8. وممارسة الحكم المهني (exercising of professional judgment).
9. والعناية الواجبة (due care).

• الإبلاغ (Reporting) - تتناول :

1. أنواع التقارير (types of reports).
2. ووسائل الاتصال (means of communication).
3. والمعلومات التي يتم توصيلها (information communicated).

مدونة للأخلاقيات المهنية وفقاً لجمعية التدقيق والرقابة على نظم المعلومات
(ISACA CODE OF PROFESSIONAL ETHICS) :

يوجه ارشاد جمعية التدقيق والرقابة على نظم المعلومات للأخلاقيات المهنية (ISACA’s Code of Professional Ethics guides ) كلاً من :

1. السلوك المهني (professional conduct).
2. والسلوك الشخصي (personal conduct).

لـ :

1. أعضاء جمعية التدقيق والرقابة على نظم المعلومات (ISACA members).
2. وحاملي الشهادات (certification holders).

يجب على أعضاء جمعية التدقيق والرقابة على نظم المعلومات (ISACA) وحاملي الشهادات : 7 امور

1. دعم تنفيذ المعايير والإجراءات المناسبة والتشجيع على الامتثال لها من أجل :
1. الحوكمة الفعالة (effective governance).
2. وإدارة نظم وتقنيات المعلومات في المؤسسة
(management of enterprise information systems and technology) .. بما في ذلك :

1. التدقيق (audit). 
2. والرقابة (control).
3. والأمن (security). 
4. وإدارة المخاطر (risk management).

2. يؤدون واجباتهم بـ :

1. موضوعية (objectivity).
2. واجراءات لإرضاء المتطلبات (due diligence).
3. وعناية مهنية (professional care).

وفق المعايير المهنية (accordance with professional standards).

3. خدمة مصالح أصحاب المصلحة (Serve in the interest of stakeholders) بطريقة مشروعة (lawful manner) مع الحفاظ على مستويات عالية من :

1. السلوك (conduct). 
2. والشخصية (character).

وعدم الإضرار بمهنتهم أو النقابة (not discrediting their profession or the Association).

4. الحفاظ على خصوصية وسرية المعلومات (privacy and confidentiality of information) التي يتم الحصول عليها في سياق أنشطتهم ما لم يكن الإفصاح مطلوبًا من قبل سلطة قانونية (disclosure is required by legal authority).

لا يجوز (shall not be used) استخدام هذه المعلومات :

1. لمنفعة شخصية (personal benefit).
2. أو الإفصاح عنها لأطراف غير مناسبة (released to inappropriate parties).

5. الحفاظ على الكفاءة (competency) في مجالات تخصصهم والموافقة على القيام فقط بالأنشطة التي يمكن أن يتوقعوا بشكل معقول إكمالها بالمهارات والمعرفة والكفاءة اللازمة.

6. إبلاغ الأطراف المناسبة بنتائج العمل المنجز بما في ذلك الكشف عن جميع الحقائق الهامة المعروفة لديهم والتي إذا لم يتم الكشف عنها قد تشوه (distort) عملية الإبلاغ عن النتائج.

7. دعم التعليم المهني لأصحاب المصلحة (professional education of stakeholders) في تعزيز فهمهم لحوكمة وإدارة نظم وتقنيات معلومات المؤسسة بما في ذلك :

1. التدقيق (audit).
2. والرقابة (control).
3. والأمن (security).
4. وإدارة المخاطر (risk management).

إطار ضمان تكنولوجيا المعلومات (ITAF) :

إطار ضمان تكنولوجيا المعلومات هو نموذج مرجعي شامل وجيد لوضع الممارسات يقوم بما يلي :

• وضع المعايير التي تتناول أدوار ومسؤوليات مدقق نظم المعلومات. مثل :

1. متطلبات المعرفة (knowledge requirements). 
2. ومتطلبات المهارات (skills requirements).
3. ومتطلبات الاجتهاد (diligence requirements). 
4. ومتطلبات التنفيذ (conduct requirements).
5. ومتطلبات إعداد التقارير (reporting requirements).

• تعريف كلاً من :

1. المصطلحات (terms). 
2. والمفاهيم (concepts).

الخاصة بضمان نظم المعلومات (IS assurance).

• يوفر :

1. التوجيه (guidance). 
2. والأدوات (tools). 
3. والتقنيات (techniques).

المتعلقة بـ :

1. التخطيط (planning). 
2. والتصميم (design).
3. وتنفيذ (conduct). 
4. والإبلاغ عن تدقيق نظم المعلومات (reporting of IS audit).
5. ومهام التأكيد (assurance assignments).

ملاحظة : لن يتم اختبار مرشح الـ CISA على تنظيم أو ترتيب إطار ضمان تكنولوجيا المعلومات (ITAF) ومع ذلك يتم اختبار تطبيق معايير التدقيق والتأكيد.

المحاضرة

رابط ملف الـ PDF الخاص بالمحاضرة




ليست هناك تعليقات