مخاطر نظم المعلومات المحاسبية

مخاطر نظم المعلومات المحاسبية – المفهوم والطبيعة والأنواع
أولاً : مخاطر نظم المعلومات المحاسبية – المفهوم والطبيعة:
تتجه العديد من الشركات إلى الإعتماد على تكنولوجيا المعلومات من خلال نظم معلومات متكاملة ، والتي تؤدي إلى دقة وسرعة تشغيل العمليات ، وبالتالي تحقيق العديد من المزايا التنافسية للشركات ،
ومع ذلك فإنه تطبيق تكنولوجيا المعلومات يصاحبه العديد من المخاطر ( Abu – Musa , 2008 ) .
تعرف المخاطر بصفة عامة بانها إحتمال وقوع حدث ما أو تصرف ما من شانه أن يؤدي إلى فشل المنظمة في تحقيق أهدافها ( Gelinas , Sutton & Hunton , 2005 , p . 227 ) ، وهناك العديد من المخاطر التي تواجه الشركات ، تتمثل في الآتي ( ISACA , 2009 C ) :
المخاطر الاستراتيجية Strategic risk
المخاطر البيئية Environmental risk
مخاطر السوق Market risk
مخاطر الائتمان Credit risk
مخاطر التشغيل Operational risk


· * مخاطر الالتزام Compliance risk
" ( ISACA , 2002 ) .


يقصد بأمن المعلومات: مجموعة العمليات والإجراءات والأدوات التي تتخذها القطاعات أو المنظمات لتأمين وحماية معلوماتها وأنظمتها ووسائطها من وصول غير المصرح لهم ، سواء في ذلك من هم من داخل القطاع أو من خارجه.


وتوصف هذه العمليات بأنها عمليات مستمرة تتطلب استمرارية في التطوير ومتابعة للمستجدات، واستمرار في مراقبة وافتراض المخاطر وابتكار الحلول لها. ولهذا فالمنظمات لا توصف بأن لها نظام معلوماتي أمني حقيقي وفعال حتى تحقق نظام تطويري مستمر للعمليات الأمنية والبشرية والتقنية من أجل تقليل واحتواء المخاطر المفترضة أو المتوقعة.
فالمنظمات تحمي وتُأمن معلوماتها من خلال:
اعتماد العمليات الأمنية التي تقوم بالتعرف على المخاطر.
تكوين استراتيجيات لإدارة المخاطر.
تطبيق للاستراتيجيات.
اختبار تلك التطبيقات.
مراقبة بيئة العمل للتحكم بالمخاطر.
• أهداف أمن المعلومات:


يمكننا من تعريف أمن المعلومات السابق تحديد الهدف المرجو منه وهو حماية المعلومات الخاصة بالمنظمة من العبث أو الفقدان، مع مراعاة عدم الحيلولة دون تحقيق أهداف وتطلعات المنظمة، حيث أن الهدف من أمن المعلومات لا بد أن يتفق مع أهداف المنظمة، وكي يتم ذلك لا بد من تحقق الأمور التالية، وهذه الأمور تسمى CIA:


الخصوصية أو السرية (Confidentiality):
وهي الخصوصية للمعلومات المتعلقة بالعملاء أو بالمنظمة بحيث تكون بعيد عن وصلو غير المصرح لهم بالاطلاع عليها. ومن الأمثلة المستخدمة للحصول على الخصوصية – نظام التشفير، وهو من الأمثلة المهمة التي توفر مستوى عالٍ من الأمن للمعلومات مع المحافظة على المرونة في تداول تلك البيانات
السلامة (Integrity) للمعلومات والأنظمة : بحيث يمكن التأكد من عدم تعرضها لأي نوع من التغيير الغير مصرح به، وبعبارة أخرى فإن البيانات لا يمكن أن يحدث لها استحداث أو تغيير أو حذف من غير تصريح، وكذلك تعني أن البيانات المخزنة في أحد أجزاء جداول قواعد البيانات متوافقة مع ما يقابلها من البيانات المخزنة في جزء آخر من قواعد البيانات. مثال ذلك: يمكن أن تتغيب سلامة البيانات في قواعد البيانات عند حدوث انقطاع مفاجئ للكهرباء التي تغذي جهاز الخادم، أو عند عدم إقفال قاعدة البيانات بشكل صحيح، وكذلك بسبب حذف لمعلومة بطريقة الخطأ من قبل أحد الموظفين، وقد يحصل الخلل أيضا بسبب فايروس.

أساليب الرقابة الداخلية في نظم المعلومات المحاسبية الإلكترونية مهوم وأساليب الرقابة على التطبيقات يطلق مصطلح "أساليب الرقابة على التطبيقات" على تلك الأساليب المستخدمة في نظم المعلومات المحاسبية الإلكترونية، وهي تتعلق بوظائف خاصة يقوم بأدائها قسم معالجة البيانات إلكترونيا ، وتهدف إلى توفير درجة تأكد معقولة من سلامة عمليات تجيل ومعالجة البيانات وإعداد التقارير. وهناك عدد من الإجراءات والسجلات التي يمكن أن تؤثر على أساليب الرقابة على التطبيقات. وتقسم غالباً أساليب الرقابة على التطبيقات إلى ثلاثة مجموعات وهي : أساليب الرقابة على المدخلات وأساليب الرقابة على معالجة البيانات وأساليب الرقابة على المخرجات. 1. أساليب الرقابة على المدخلات Input control : وتهدف إلى توفير درجة تأكد معقولة من صحة اعتماد البيانات التي يتسلمها قسم معالجة البيانات EDP بواسطة موظفي مختص ومن سلامة تحويلها بصورة تمكن الكمبيوتر من التعرف عليها . ومن عدم فقدانها أو الإضافة إليها أو حذف جزء منها أو طبع صورة منها أو عمل أي تعديلات غير مشروعة في البيانات المرسلة حتى وان كان ذلك من خلال خطوط الاتصال المباشرة . وتشمل أساليب الرقابة على المدخلات على تلك الأساليب التي تتعلق برفض وتصحيح وإعادة إدخال البيانات السابقة رفضها . 2. أساليب الرقابة على معالجة البيانات Processing control : وتهدف إلى توفير درجة تأكد معقولة من تنفيذ عمليات معالجة البيانات إلكترونيا طبقاً للتطبيقات المحددة ، بمعنى معالجة كافة العمليات كما صرح بها وعدم إغفال معالجة عمليات صرح بها وعدم معالجة أي عمليات لم يصرح بها . 3. أساليب الرقابة على المخرجات Out put control : وتهدف إلى تأكيد دقة مخرجات عمليات معالجة البيانات (مثل قوائم الحسابات أو التقارير أو أشرطة الملفات الممغنطة أو الشيكات المصدرة) وتداول هذه المخرجات بواسطة الأشخاص المصرح لهم فقط بذلك، و تقسم إلى ثلاثة نظم فرعية هي: الرقابة الإدارية: لتحقيق أهداف الرقابة الإدارية في ظل نظم التشغيل الإلكتروني للبيانات ينبغي أن تتضمن ما يأتي : أولاً. الرقابة التنظيمية :    وتتضمن الرقابة التنظيمية في ظل نظام التشغيل الإلكتروني للبيانات والإجراءات الآتية : -فصل قسم التشغيل الإلكتروني للبيانات عن الأقسام المستفيدة من خدمات الحاسب -الفصل التام للمهام بين العاملين في قسم التشغيل الإلكتروني للبيانات مثل : محللي النظم ، معدي البرامج رقابة وصيانة نظام التشغيل ، صيانة مكتبة الاسطوانات والأشرطة ، جدولة العمل ، ، إعداد كلمات السر والرقابة عليها،....الخ. - فصل المهام داخل الأقسام المستفيدة حيث يؤدي ذلك إلى تدنية احتمال وجود أخطاء أو مخالفات. -جدولة العاملين بالنظام على أساس منتظم وأثناء الإجازات والعطلات المرضية، فينبغي أن يحدد لمحللي النظم ومعدي البرامج والمشغلين مهام معينة لإنجازها، ويحدد لهم وقت الإنجاز على أن تقدم تقارير دورية بما تم إنجازه.  -تناوب العاملين – ويعد هذا إجراء مفضل ، حيث أن كل موظف سوف يقوم بفحص عمل من سبقه. ثانياً. الرقابة على إعداد وتوثيق النظام : يسهم الإعداد والتوثيق الجيد لنظام التشغيل الإلكتروني للبيانات في تسهيل عملية مراجعته ، حيث يقدم للمراجع المستندات التي تمثل سنداً كافياً للتدقيق . وتتناول الرقابة على إعداد وتوثيق النظام كما يلي : 1. الرقابة على إعداد النظام: تهدف الرقابة على إعداد النظام على بناء نظام يتضمن إجراءات الرقابة الكافية على تطبيقات الحاسب ، ويعمل بما يتفق مع مواصفات التشغيل المعياري ، ويمكن اختباره بصورة مرضية. ولتحقيق ذلك ينبغي تطبيق الإجراءات الرقابية إطار عند إعداد النظام . أ. وجود إجراءات معيارية مكتوبة لأغراض تخطيط ، إعداد ، وتجهيز النظام ، حيث تؤدي هذه الإجراءات إلى زيادة القدرة على الفحص والتقييم المستمر لإجراءات الرقابة أثناء عملية إعداد النظام وبعد تشغيله . ب. اشتراك كل من المراجع الداخلية والخارجي ، المستفيدين ، وأفراد قسم المحاسبة في عملية إعداد النظام . جـ. تحقيق من التخطيط الجيد للنظام ، وذلك من حيث تحديد أهدافه ومجاله فحص تسهيلات اقتصادية والتشغيلية والفنية ، وتقييم مقتضيات رقابة النظام . د. إجراء الاختبار المبدئي للنظام ، وذلك للتحقق من مدى فعاليته في مقابلة احتياجات المستفيدين ، الاحتياجات الفنية وإمكانية مراجعته . هـ . الرقابة الكافية على عملية التحويل من النظام القديم إلى النظام الجديد ، وذلك لتجنب فقد البيانات أو إساءة معالجتها نتيجة للفشل في إزالة أسباب الاختلاف بين النظام القديم والجديد . و. التأكيد على توثيق عملية إعداد النظام ، وذلك لما لها من دور هام في منع اكتشاف ، وتصحيح الأخطاء ، حيث أنها تؤدي إلى خلق بيئة عمل منظمة عمل على تحسين الاتصال بين مصممي النظام ، مما يؤدي إلى منع الأخطاء ، كما أنها تقدم سند تدقيق لعملية إعداد النظام ، يمكن من اكتشاف الأخطاء والعمل على تصحيحها . 2. الرقابة على توثيق النظام: يتضمن توثيق السجلات ، والتقارير وأوراق العمل ، وصف النظام وبرامجه ، خرائط تدفق ، تعليمات التشغيل ، وغيرها ، والتي تساعد على وصف النظام والإجراءات المستخدمة لأغراض أداء مهام تشغيل البيانات . ويؤدي التوثيق الجيد للنظام إلى زيادة فهم المراجع للرقابة على تطبيقات النظام ، ومن ثم تدنية وقت تكلفة التدقيق ، كما انه يقدم معلومات تفيد محللي النظم ، معدي البرامج المشغلين والمشرفين على النظام ، ويقدم الأساس الجيد لتدريب الأفراد الجدد على النظام . لذا يقتضي الأمر ضرورة وجود إجراءات للرقابة على توثيق لضمان الثقة فيه ، ومن أهم هذه الإجراءات ما يلي : أ. وجود معايير التوثيق النظام ، حيث أن غياب المعايير يؤدي إلى فقد الثقة في توثيق النظام ، صعوبة فحصه والتصديق عليه ، فقد سند التدقيق الجيد ، وصعوبة الرقابة على تعديل النظام والالتزام بمعايير التشغيل المرضية . ب. استخدام البرامج المساعدة مثل : برامج خرائط التدفق ، برامج أمناء المكاتب ، والتي تتولى التوثيق الآلي للنظام بالدقة والسرعة الملائمة ، مما يؤدي إلى تدنية تكاليف ويسهل فحصه . جـ. توثيق البرامج من خلال : إعداد خرائط تدفق البرامج ، توصيف البرامج والهدف منها، شرح لشكل المدخلات والمخرجات الخاصة بكل برنامج والإجراءات الرقابية التي يتضمنها ، إعداد سجل بكافة التعديلات التي أدخلت على البرنامج يوضح اختبارها بها وتاريخ بدء تنفيذها . كما ينبغي توفير دليل مكتوب (Manual) للبرامج يتم شراؤه مع البرامج ، بهدف إرشاد المستخدم بشان كيفية التعامل مع هذه البرامج . د. توثيق تعليمات التشغيل اللازمة لمساعدة مشغلي الحاسب على القيام بعمليات التشغيل ، ويعرف بدليل العمليات  . 3. الرقابة على توزيع المخرجات : تهدف الرقابة الإدارية على توزيع المخرجات إلى العمل على توزيع مخرجات نظام التشغيل الإلكتروني للبيانات على الأشخاص المصرح لهم بذلك توزيعها في التوقيت المناسب. ولكي تحقق هذا الهدف ينبغي أن تتضمن الإجراءات إطار : أ. ينبغي أن تتضمن وثائق التشغيل وصف الإجراءات توزيع مخرجات كل تطبيق على حده، إلى حد الذي يمكن من توزيع كافة المخرجات على الأشخاص المصرح لهم بذلك، وتتضمن هذه الإجراءات ما يلي : ـ قائمة فحص التوزيع ، والتي تحدد المستلم المصرح به لكل مفرده من مفردات المخرجات. ـ جدول التوزيع ، ويبين تتابع إعداد وتوزيع التقارير في الأوقات المحددة لها. ـ قوائم التحويل ، والتي يتم إلحاقها بنسخ المخرجات وتحدد اسم التقرير المستلم ، القسم التابع له ، والعنوان البريدي. ـ سجل التوزيع  ، وتسجل فيه جهة الوصول ، المستلم ، التاريخ توزيع كل نسخة من المخرجات ، كما ينبغي أن يوقع المستفيد بما يفيد استلام المخرجات الخاصة به . ب. التحقق من مدى توافق سجل التوزيع وقائمة فحص التوزيع ، وذلك للتأكد من أن المخرجات قد تم توزيعها وفقاً لما هو مخطط. جـ. فحص قائمة التحويل ، للتأكد من أن المخرجات التي استلمتها الأصول المستفيدة هي نفسها التي تم تحويلها من قسم التشغيل الإلكتروني للبيانات . د. فحص جدول التوزيع ، وذلك للتأكد مما إذا كانت كافة التقارير والمستندات قد تم استلامها في التوقيت المحدد لها . 4. الرقابة الإدارية على أمن النظام: يمكن التغلب على معظم مخالفات الحاسبات من خلال التخطيط الإداري الجيد لأمن النظام ، والذي يعمل على تحقيق أقصى منافع ممكنة من أمن النظام ، وينبغي أن يتضمن التخطيط والرقابة الإدارية على أمن النظام ما يلي : أ. تحديد أهداف أمن النظام ، والتي تعتبر بمثابة معايير لتقييم أمن النظام فيما بعد. وتتمثل هذه الأهداف في حماية تجهيزات وبرامج النظام من المخاطر البيئية ومخالفات الحاسبات. ب. تقدير الاحتمالات والتكاليف المرتبطة بمخاطر أمن تشغيل البيانات، والممثلة في مخاطر البيئة ، والمخاطر الناتجة عن مخالفات الحاسبات ، حيث تسهم هذه التقديرات في اختيار الإجراءات الملائمة لأمن النظام . جـ. إعداد خطة تضمن مستوى مقبولاً من الأمن وبتكلفة معقولة ، وتصف هذه الخطة كافة الإجراءات الرقابية التي سيتم تطبيقها واهداف هذه الإجراءات . هذا وينبغي أن يتم فحص الخطة والتصديق عليها قبل وضعها موضع التنفيذ . د. تحديد المسؤوليات عن أمن النظام ، والتي تتضمن المسؤولية عن وضع الخطة موضع التنفيذ والمراقبة المستمرة لأمن النظام . هـ. اختبار إجراءات الرقابة على أمن النظام ، وذلك للتحقق من مدى فعاليتها في تحقيق أهدافها المرجوة . حيث أن هذا الاختبار يؤكد على تحديد المسؤوليات فهم الإجراءات وتنفيذها، وتوظيف الأساليب الرقابية بصورة ملائمة . و. فحص الأجهزة (Equipment check) : وهي مجموعة من الإجراءات الرقابية المبنية في دوائر الحاسب ، بهدف فحص الدوائر أو الأجهزة ، وذلك للتأكد من أنها تعمل بطريقة صحيحة وللقيام بالتصحيح الآلي عند اللزوم أي أن الهدف منها هو التشخيص والتصحيح الآلي للأخطاء . ز. فحص الشرعية (Validity check) ويهدف إلى التأكد من أن الحاسب يقوم بأعمال شرعية وصحيحة وهناك ثلاثة أنواع لفحص الشرعية : فحص شرعية التشغيل: فحص شرعية الحرف، وفحص شرعية العنوان . ح. إجراءات الرقابة على الوصول للنظام : مثل كلمات السر ، التحقق من الشخصية سواء من خلال بصمة اليد أو من خلال الأساليب الصوتية ، وغيرها. وهناك أنواع من الوسائط التي تسمح المستخدم بالكتابة عليها مرة واحدة ، ولا تسمح له بإلغاء البيانات الموجودة عليها ، وتسمى هذه الوسائط بالوسائط البصرية (optical media ) ، بدلاً من الوسائط الممغنطة ، وتلعب هذه الإجراءات دوراً هاماً في الحد في الغش وفيروسات الحاسبات .