جديد المواضيع

المحاضرة رقم 2 : سير الأعمال (BUSINESS PROCESSES)

المحاضرة رقم 2 : سير الأعمال (BUSINESS PROCESSES) 





سير الأعمال (BUSINESS PROCESSES) : 


يجب أن يفهم مدقق نظم المعلومات وأن يكون قادرًا على تقييم العمليات التجارية (business processes) للمؤسسة التي يقوم بتدقيقها. يتضمن ذلك : 

1. اختبارًا (test). 
2. وتقييمًا (evaluation). 

لـ : 

1. تصميم وتنفيذ عملية الضوابط (design and implementation of the operation of controls). 
2. ومراقبة واختبار الأدلة (the monitoring and testing of evidence).. سوف ياتى الحديث عن الأدلة لاحقاً. 

للتأكد من أن الضوابط الداخلية ضمن سير الأعمال تعمل بشكل فعال (operate effectively). 

سير الأعمال (business process) عبارة عن مجموعة مترابطة من : 

1. الأنشطة (activities). 
2. أو الأحداث (events). 

متعددة الوظائف (cross-functional) التي تؤدي إلى تسليم منتج أو خدمة معينة إلى العميل. يتم التحكم فيها من خلال : 

1. السياسات (policies). 
2. والإجراءات (procedures). 
3. والممارسات (practices). 
4. والهياكل التنظيمية (organizational structures). 

المصممة لتوفير ضمان معقول (reasonable assurance) بأن العملية التجارية ستحقق أهدافها. 

مالك سير الأعمال (business process owner) هو الفرد المسؤول عن : 

1. تحديد متطلبات العملية (identifying process requirements). 
2. والموافقة على تصميم العملية (approving process design). 
3. وإدارة أداء العملية (managing process performance). 

ويجب أن يكون على مستوى عالٍ بشكل مناسب في المؤسسة (appropriately high level in an organization) ليكون لديه سلطة تخصيص الموارد لأنشطة إدارة المخاطر الخاصة بالعملية (authority to commit resources to process-specific risk management activities). 

وظيفة التدقيق الداخلي لنظم المعلومات (IS INTERNAL AUDIT FUNCTION) : 


يجب تحديد دور وظيفة التدقيق الداخلي في نظم المعلومات (role of the IS internal audit function) من خلال .. 

ميثاق تدقيق معتمد (audit charter approved) من قبل : 

1. مجلس الإدارة (board of directors). 
2. ولجنة التدقيق audit committee (الإدارة العليا إذا لم تكن هذه الكيانات موجودة senior management, if these entities do not exist). 

يجب أن يكون للمهنيين تفويض واضح (clear mandate) لأداء وظيفة تدقيق نظم المعلومات والتي يمكن الإشارة إليها في ميثاق التدقيق. 

ميثاق التدقيق (Audit Charter) : 


يمكن أن يكون تدقيق نظم المعلومات جزءًا من : 

1. التدقيق الداخلي (internal audit). 
2. أو يعمل كمجموعة مستقلة (function as an independent group). 
3. أو يكون متكاملاً في التدقيق المالي والتشغيلي (integrated within a financial and operational audit). 

لتوفير ضمان الرقاية المتعلق بتكنولوجيا المعلومات (IT-related control assurance) لكلاً من : 

1. المراجعين الماليين (financial auditors). 
2. أو المراجعين الإداريين (management auditors). 

لذلك قد يتضمن ميثاق التدقيق تدقيق نظم المعلومات كوظيفة دعم لعملية التدقيق (audit support function). 

يجب أن ينص الميثاق بوضوح على : 

1. مسؤولية الإدارة وأهدافها لوظيفة تدقيق نظم المعلومات.
2. وتفويض السلطة لوظيفة تدقيق نظم المعلومات.

يجب أن يوافق أعلى مستوى إداري ولجنة تدقيق .. إن وجدت .. على هذا الميثاق. 

بمجرد إنشاء الميثاق يجب تغييرة فقط إذا كان التغيير ممكنًا ومبررًا بشكل تام. 

يجب توثيق 

1. مسؤولية (responsibility of the IS audit function). 
2. وسلطة (authority of the IS audit function). 
3. ومساءلة وظيفة تدقيق نظم المعلومات (accountability of the IS audit function). 

بشكل مناسب في : 

1. ميثاق التدقيق (audit charter). 
2. أو خطاب الارتباط / التعاقد (engagement letter). 

ميثاق التدقيق هي وثيقة شاملة (overarching document) تغطي النطاق الكامل لأنشطة التدقيق في الكيان. 

بينما يركز خطاب الارتباط بشكل أكبر على نشاط تدقيق محدد (particular audit exercise) مطلوب أن يبدأ في منظمة مع وضع هدف محدد في الاعتبار (specific objective in mind). 

إذا تم تقديم خدمات تدقيق نظم المعلومات من قبل شركة خارجية (external firm) فيجب توثيق (documented) : 

1. نطاق (scope). 
2. وأهداف (objectives) هذه الخدمات في : 

1. عقد رسمي (formal contract).
2. أو بيان عمل (statement of work).

بين : 

1. المنظمة المتعاقدة (contracting organization). 
2. ومقدم الخدمة (service provider). 

في كلتا الحالتين يجب أن تكون وظيفة التدقيق الداخلي : 

1. مستقلة (independent). 
2. وأن تقدم تقاريرها إلى لجنة التدقيق (report to an audit committee) .. إن وجدت .. أو إلى أعلى مستوى إداري مثل مجلس الإدارة. 

ملاحظة : للحصول على إرشادات إضافية انظر المعيار 1001 ميثاق التدقيق (Audit Charter) والمبادئ التوجيهية 2001 ميثاق التدقيق. 

إدارة وظيفة التدقيق لنظم المعلومات (MANAGEMENT OF THE IS AUDIT FUNCTION) : 


يجب إدارة وقيادة وظيفة تدقيق نظم المعلومات بطريقة تضمن أن المهام المتنوعة التي يؤديها ويحققها فريق التدقيق سوف تفي بأهداف وظيفة التدقيق (fulfill audit function objectives) مع الحفاظ على : 

1. استقلالية التدقيق (audit independence). 
2. وكفاءه التدقيق (audit competence). 

علاوة على ذلك يجب أن تضمن إدارة وظيفة تدقيق نظم المعلومات مساهمات ذات قيمة مضافة (value-added contributions) للإدارة العليا في : 

1. الإدارة الفعالة لتكنولوجيا المعلومات (efficient management of IT). 
2. وتحقيق أهداف العمل (achievement of business objectives). 

ملاحظة : للحصول على إرشادات إضافية راجع المعايير : 

1. 1002 الاستقلال التنظيمي (Organisational Independence). 
2. 1003 الاستقلال المهني (Professional Independence). 
3. 1004 التوقعات المعقول (Reasonable Expectation). 
4. و 1005 العناية المهنية الواجبة (Due Professional Care). 

بالإضافة إلى الإرشادات ذات الصلة: 2002 و 2003 و 2004 و 2005. 

إدارة موارد تدقيق نظام المعلومات (IS Audit Resource Management) : 


تكنولوجيا نظم المعلومات (IS technology) تتغير باستمرار. لذلك من المهم أن .. 

يحافظ مدققو نظم المعلومات على كفاءتهم (competency) من خلال : 

1. تحديث المهارات الحالية (updates of existing skills). 
2. والحصول على تدريب موجه نحو (obtain training directed toward) : 

1. تقنيات التدقيق الجديدة (new audit techniques).
2. والمجالات التكنولوجية (technological areas).

يجب أن يكون مدقق نظم المعلومات : 

1. مؤهلًا تقنيًا لأداء أعمال التدقيق (technically competent to perform audit work). 
2. ولديه المهارات والمعرفة اللازمة لأداء أعمال التدقيق (having the skills and knowledge necessary to perform audit work). 

علاوة على ذلك يجب أن يحافظ مدقق نظم المعلومات على الكفاءة الفنية (technical competence) من خلال التعليم المهني المستمر المناسب (appropriate continuing professional education). 

يجب أن تؤخذ المهارات والمعرفة في الاعتبار عند : 

1. التخطيط لعمليات التدقيق (planning audits). 
2. وتكليف الموظفين بمهام تدقيق محددة (assigning staff to specific audit assignments). 

على نحو مفضل يجب وضع خطة مفصلة لتدريب الموظفين للعام بناءً على اتجاه المنظمة من حيث : 

1. التكنولوجيا (technology). 
2. والمخاطر ذات الصلة (related risk). 

التي يجب معالجتها. 

يجب مراجعة ذلك بشكل دوري (reviewed periodically) للتأكد من أن : 

1. جهود التدريب (training efforts). 
2. والنتائج (results). 

تتماشى مع الاتجاه الذي تتخذه ادارة التدقيق. 

بالإضافة إلى ذلك يجب أن توفر إدارة تدقيق نظم المعلومات أيضًا موارد تكنولوجيا المعلومات اللازمة (necessary IT resources) لإجراء عمليات تدقيق نظم المعلومات ذات طبيعة عالية التخصص (highly specialized nature) بشكل صحيح .. مثل : 

1. الأدوات (tools). 
2. والمنهجية (methodology). 
3. وبرامج العمل (work programs). 

ملاحظة : للحصول على إرشادات إضافية راجع المعيار 1006 الكفاءة (Proficiency) والمبادئ التوجيهية 2006 الكفاءة. 

تخطيط التدقيق (AUDIT PLANNING) : 


يتم إجراء تخطيط التدقيق في بداية عملية التدقيق (at the beginning of the audit process) لوضع : 

1. استراتيجية التدقيق الشاملة (overall audit strategy). 
2. وتفصيل الإجراءات المحددة (detail the specific procedures) التي يجب تنفيذها لـ : 

1. تنفيذ الاستراتيجية (implement the strategy).
2. وإكمال التدقيق (complete the audit).

وهي تشمل التخطيط على : 

1. المدى القصير (short-term). 
2. والمدى الطويل (long-term). 

يأخذ التخطيط قصير الأجل في الاعتبار قضايا التدقيق التي سيتم تغطيتها خلال العام (audit issues that will be covered during the year). 

في حين أن التخطيط طويل الأجل يتعلق بخطط التدقيق التي ستنظر في القضايا المتعلقة بالمخاطر فيما يتعلق بالتغييرات في الاتجاه الاستراتيجي لتكنولوجيا المعلومات (IT strategic direction) في المنظمة والتي ستؤثر على بيئة تكنولوجيا المعلومات في المؤسسة 

يجب تضمين جميع العمليات ذات الصلة التي تمثل مخطط أعمال المؤسسة في عالم التدقيق (affect the organization’s IT environment). 

يجب تضمين جميع العمليات ذات الصلة التي تمثل مخطط أعمال المؤسسة في عالم التدقيق. 

يسرد عالم التدقيق بشكل مثالي جميع العمليات التي يمكن اعتبارها للمراجعة. 

قد تخضع كل من هذه العمليات لـ : 

1. تقييم نوعي للمخاطر (qualitative risk assessment). 
2. أو تقييم كمي للمخاطر (quantitative risk assessment). 

من خلال تقييم المخاطر فيما يتعلق بعوامل الخطر المحددة ذات الصلة. 

عوامل الخطر (risk factors) هي تلك العوامل التي تؤثر على : 

1. تكرار لسيناريوهات المخاطر (frequency of risk scenarios). 
2. و / أو تأثير الأعمال لسيناريوهات المخاطر (business impact of risk scenarios). 

على سبيل المثال بالنسبة لأعمال البيع بالتجزئة (retail business) يمكن أن تكون السمعة (reputation) عامل خطر بالغ الأهمية. يجب أن يعتمد تقييم المخاطر بشكل مثالي على المدخلات من أصحاب العمليات التجارية. يجب أن يستند تقييم عوامل الخطر إلى معايير موضوعية (objective criteria) على الرغم من أنه لا يمكن تجنب الذاتية (subjectivity) تمامًا. على سبيل المثال فيما يتعلق بعامل السمعة يمكن تصنيف المعايير (بناءً على المدخلات التي يمكن التماسها من الشركة) على أنها : 

عالية (High) - قد تؤدي مشكلة العملية إلى الإضرار بسمعة المنظمة والتي ستستغرق أكثر من ستة أشهر للتعافي. 

متوسطة (Medium) - قد تؤدي مشكلة العملية إلى الإضرار بسمعة المنظمة والتي ستستغرق أقل من ستة أشهر ولكن أكثر من ثلاثة أشهر للتعافي. 

منخفض (Low) - قد تؤدي مشكلة العملية إلى الإضرار بسمعة المنظمة التي ستستغرق أقل من ثلاثة أشهر للتعافي. 

في هذا المثال يمثل الإطار الزمني المحدد الجانب الموضوعي (objective aspect) للمعايير ويمكن العثور على الجانب الشخصي (subjective aspect) للمعايير في تحديد أصحاب العمليات التجارية للإطار الزمني - سواء كان أكثر من ستة أشهر أو أقل من ثلاثة أشهر. بعد تقييم المخاطر لكل عامل ذي صلة يمكن تحديد معيار شامل (overall criterion) لتحديد المخاطر الإجمالية لكل من العمليات (overall risk of each of the processes). 

يمكن بعد ذلك بناء خطة التدقيق لتشمل جميع العمليات التي تم تصنيفها على أنها "عالية high" والتي من شأنها أن تمثل خطة التدقيق السنوية المثالية (ideal annual audit plan). ومع ذلك .. من الناحية العملية .. غالبًا ما تكون الموارد المتاحة غير كافية (not sufficient) لتنفيذ الخطة المثالية بأكملها. سيساعد هذا التحليل (analysis) وظيفة التدقيق على : 

1. إظهار الفجوة (gap) في توفير الموارد للإدارة العليا 
2. وإعطاء الإدارة العليا فكرة جيدة عن مقدار المخاطر (good idea of the amount of risk) التي تقبلها الإدارة إذا لم تضيف إلى موارد التدقيق الحالية أو تزيد منها. 

يجب أن يتم تحليل المشكلات قصيرة وطويلة الأجل سنويًا على الأقل. هذا ضروري للنظر في : 

1. قضايا الرقابة الجديدة (new control issues). 
2. التغييرات في : 

1. بيئة المخاطر (risk environment). 
2. والتقنيات (technologies). 
3. والعمليات التجارية (business processes). 

3. وتقنيات التقييم المحسنة (enhanced evaluation techniques). 

يجب مراجعة (results) نتائج هذا التحليل للتخطيط لأنشطة التدقيق المستقبلية من قبل إدارة التدقيق العليا (senior audit management) والموافقة عليها من قبل لجنة التدقيق .. إن وجدت .. أو بدلاً من ذلك من قبل مجلس الإدارة وإبلاغها إلى مستويات الإدارة ذات الصلة. 

يجب تحديث التخطيط السنوي (annual planning should be updated) إذا تغيرت أي جوانب رئيسية لبيئة المخاطر .. على سبيل المثال : 

1. عمليات الاستحواذ (acquisitions). 
2. والقضايا التنظيمية الجديدة (new regulatory issues). 
3. وظروف السوق (market conditions). 

ملاحظة : للحصول على إرشادات إضافية ، راجع المعيارين : 

1. 1007 التأكيدات (Assertions). 
2. و 1008 المقياس (Criteria). 

والمبادئ التوجيهية ذات الصلة 2007 و 2008. 

مهام المراجعة الفردية (Individual Audit Assignments) : 


بالإضافة إلى التخطيط السنوي العام (overall annual planning) يجب التخطيط بشكل مناسب (adequately planned) لكل مهمة مراجعة فردية. 

يجب أن يفهم مدقق نظم المعلومات أن الاعتبارات الأخرى مثل : 

1. نتائج التقييمات الدورية للمخاطر (results of periodic risk assessments). 
2. والتغيرات في تطبيق التكنولوجيا (changes in the application of technology). 
3. وقضايا الخصوصية المتطورة والمتطلبات التنظيمية (evolving privacy issues and regulatory requirements). 

قد تؤثر على النهج العام للتدقيق. يجب على مدقق نظم المعلومات أن يأخذ بعين الاعتبار : 

1. المواعيد النهائية لتنفيذ / ترقية النظام (system implementation/upgrade deadlines). 
2. والتقنيات الحالية والمستقبلية (current and future technologies). 
3. ومتطلبات مالكي سير الأعمال (requirements from business process owners). 
4. وقيود موارد نظم المعلومات (IS resource limitations). 

عند التخطيط لعملية تدقيق يجب أن يفهم مدقق نظم المعلومات البيئة العامة قيد المراجعة (overall environment under review). 

يجب أن يشمل ذلك فهمًا عامًا (general understanding) لـ : 

1. مختلف ممارسات الأعمال (various business practices). 
2. والوظائف المتعلقة بموضوع التدقيق (functions relating to the audit subject). 

فضلاً عن أنواع أنظمة المعلومات والتكنولوجيا التي تدعم النشاط. 

على سبيل المثال يجب أن يكون مدقق نظم المعلومات على دراية بالبيئة التنظيمية (familiar with the regulatory environment) التي تعمل فيها الشركة 

لإجراء تخطيط التدقيق (planning an audit) يجب على مدقق نظم المعلومات تنفيذ الخطوات الموضحة في الشكل التالي. 

ملاحظة : 

للحصول على إرشادات إضافية راجع المعيار 1201 (Engagement Planning) تخطيط المشاركة والمبدأ التوجيهي 2201 تخطيط المشاركة. 

تأثير القوانين والأنظمة على خطة المراجعة لنظم المعلومات 
(EFFECT OF LAWS AND REGULATIONS ON IS AUDIT PLANNING) : 


ستحتاج كل مؤسسة بغض النظر عن حجمها أو الصناعة التي تعمل فيها إلى الامتثال (comply) لعدد من المتطلبات : 

1. الحكومية (governmental). 
2. والخارجية (external). 

المتعلقة بممارسات وضوابط نظم المعلومات (IS practices) والطريقة التي يتم بها : 

1. استخدام (used) البيانات. 
2. وتخزين (stored) البيانات. 
3. وتأمين (secured) البيانات. 

بالإضافة إلى ذلك يمكن أن تؤثر لوائح الصناعة (industry regulations) على طريقة : 

1. معالجة (processed) البيانات. 
2. ونقل (transmitted) البيانات. 
3. وتخزين (stored) البيانات. (البورصة والبنوك المركزية وما إلى ذلك). 

يجب إيلاء اهتمام خاص لهذه القضايا في الصناعات التي يتم تنظيمها عن كثب (closely regulated). 

بسبب الاعتماد على أنظمة المعلومات والتكنولوجيا ذات الصلة تبذل العديد من البلدان جهودًا لإضافة لوائح قانونية (legal regulations) تتعلق بـ : 

1. مراجعة (audit). 
2. وتأكيد (assurance). 

نظم المعلومات. 

محتوى هذه اللوائح القانونية يتعلق بـ : 

• وضع المتطلبات التنظيمية (Establishment of regulatory requirements). 

• المسؤوليات الموكلة إلى الكيانات المتطابق "متطابقة مع القانون" (Responsibilities assigned to corresponding entities). 

• الوظائف المالية والتشغيلية ومراجعة نظم المعلومات (Financial, operational and IS audit functions). 

يجب أن تكون الإدارة على جميع المستويات (Management at all levels) على دراية بـ : 

1. المتطلبات الخارجية ذات الصلة بأهداف وخطط المنظمة (external requirements relevant to the goals and plans of the organization). 

2. ومسؤوليات وأنشطة قسم / وظيفة / نشاط خدمات المعلومات 
(responsibilities and activities of the information services department/function/activity). 

هناك مجالان رئيسيان يجب اخذهم بعين الاعتبار : 

1. المتطلبات القانونية Legal requirements .. مثل : 

1. القوانين (laws). 
2. والاتفاقيات التنظيمية (regulatory agreements). 
3. والاتفاقيات التعاقدية (contractual agreements). 

الموضوعة على التدقيق أو تدقيق نظم المعلومات 

2. المتطلبات القانونية المفروضة على الجهة الخاضعة للرقابة Legal requirements placed on the auditee و : 

1. أنظمتها (its systems). 
2. وإدارة البيانات (data management). 
3. وإعداد التقارير (reporting) .. إلخ. 

تؤثر هذه المجالات على : 

1. نطاق التدقيق (audit scope). 
2. وأهداف التدقيق (audit objectives). 

هذا الأخير مهم لمهنيي كلاً من : 

1. التدقيق الداخلي والخارجي (internal and external audit). 
2. والتأكيد (assurance). 

تؤثر القضايا القانونية أيضًا على العمليات التجارية للمؤسسة من حيث الامتثال للوائح. 

يقوم مدقق نظم المعلومات بتنفيذ الخطوات التالية لتحديد مستوى امتثال المؤسسة للمتطلبات الخارجية : 

• تحديد الحكومة أو غيرها من المتطلبات الخارجية ذات الصلة التي يتم التعامل معها : 

- البيانات الإلكترونية والبيانات الشخصية وحقوق النشر والتجارة الإلكترونية والتوقيعات وما إلى ذلك. 
- ممارسات وضوابط نظم المعلومات 
- الطريقة التي يتم بها تخزين أجهزة الكمبيوتر والبرامج والبيانات 
- تنظيم أو أنشطة خدمات تقنية المعلومات 
- عمليات تدقيق نظم المعلومات 

• توثيق القوانين واللوائح المعمول بها. 

• تقييم ما إذا كانت إدارة المنظمة ووظيفة تكنولوجيا المعلومات قد نظرت في المتطلبات الخارجية ذات الصلة في وضع الخطط وفي وضع السياسات والمعايير والإجراءات .. وكذلك ميزات تطبيق الأعمال. 

• مراجعة وثائق قسم / وظائف / أنشطة تكنولوجيا المعلومات الداخلية التي تتناول التقيد بالقوانين السارية على الصناعة. 

• تحديد الالتزام بالإجراءات المعمول بها والتي تلبي هذه المتطلبات. 

• تحديد ما إذا كانت هناك إجراءات معمول بها للتأكد من أن العقود أو الاتفاقيات مع موفري خدمات تكنولوجيا المعلومات الخارجيين تعكس أي متطلبات قانونية تتعلق بالمسؤوليات. 

ملاحظة : لن يُسأل مرشح CISA عن أي قوانين أو لوائح محددة ولكن قد يتم سؤالة حول كيفية تدقيق الامتثال للقوانين واللوائح. 

المحاضرة


رابط ملف الـ PDF الخاص بالمحاضرة

ليست هناك تعليقات