تدقيق نظم المعلومات: التطبيقات و الضوابط

Share

 الإلمام بالعمليات على السوفت وير ( التطبيقات)  التجارية مطلوب بشكل أساسي  لمعرفة عمليات بيئة الأعمال و هذا بغرض تحقيق أهداف العمل لتخطيط تدقيق قائم على المخاطر. يجب أن يكون لدى مدقق نظم المعلومات فهم كاف للبنية العامة والمواصفات التكنولوجية للتطبيقات المختلفة التي تستخدمها المنظمة والمخاطر المرتبطة بهذه التطبيقات.

لفهم القضايا والمخاطر الحالية التي تواجه الأعمال ، يجب على مدقق نظم المعلومات التركيز على المجالات الأكثر أهمية للإدارة. للتدقيق الفعال لأنظمة تطبيقات الأعمال ، مطلوب مدقق IS  اكتساب فهم شامل للنظام الداخل في نطاق المراجعة.

فيما يلي بعض التطبيقات المستخدمة على نطاق واسع في العمليات التجارية. يجب أن يكون مرشح CISA على دراية بالمخاطر المرتبطة بكل منها.

التجارة الإلكترونية

لنبدأ بفهم كيفية عمل التجارة الإلكترونية: تعمل

  • نظام الجهاز الواحد : أي تطبيق قائم على جهاز كمبيوتر واحد ،
  • نظام مزدوج: يحتوي على خادم و أجهزة تعمل كمنصات عمل
  • نظام الطبقات
    • . طبقة العرض (للتفاعل مع المستخدم)
    • طبقة التطبيق (للمعالجة)
    • طبقة البيانات (لقاعدة البيانات)

المخاطر كالتالي:

  • مخاطر بشأن مشكلات سلامة بيانات المستخدم السرية
  • مخاطر التعديلات  غير المصرح بها 
  • مخاطر إتاحة النظام 24/7 : قد يؤثر عدم توفر النظام على الأعمال و  الاستمرارية
  • مخاطر إنكار المعاملات من قبل أي من الطرفين

تتمثل أدوار مدقق نظم المعلومات فيما يلي:

  • مراجعة البنية الأمنية الشاملة المتعلقة بجدران الحماية والتشفير والشبكات والبنية التحتية .
  • لضمان السرية والنزاهة والتوافر وعدم التنصل من معاملات التجارة الإلكترونية من أجل مراجعة عملية تسجيل ومراقبة معاملات التجارة الإلكترونية
  • مراجعة عملية إدارة الحوادث السابقة
  • مراجعة فعالية التحكم في تطبيق قوانين الخصوصية
  • مراجعة ضوابط مكافحة البرامج الضارة ( الانتي فايرس)
  • مراجعة ترتيبات استمرارية الأعمال.

تبادل البيانات الالكترونية (EDI)

لنبدأ بفهم كيفية عمل التبادل الإلكتروني للبيانات:

  • التبادل الإلكتروني للبيانات هو نقل البيانات أو المعلومات عبر الإنترنت بين مؤسستين.
  • يضمن التبادل الإلكتروني للبيانات (EDI) وجود منصة نقل فعالة دون استخدام الورق.
  • تم استبدال التبادل التقليدي للوثائق الورقية بين المنظمات بمنصات التبادل الإلكتروني للبيانات.
  • تحتوي تطبيقات التبادل الإلكتروني للبيانات على ميزات معالجة مثل النقل والترجمة وتخزين المعاملات المتدفقة بين مؤسستين.
  • يمكن أن يكون إعداد التبادل الإلكتروني للبيانات إما التبادل الإلكتروني التقليدي (إرسال على شكل دفعات (باتش) داخل أجهزة كمبيوتر كل شريك تجاري) أو التبادل الإلكتروني الحي (أونلاين) للبيانات على شبكة الإنترنت (يمكن الوصول إليه من خلال مزود خدمة الإنترنت).

المخاطر هي كما يلي:

  • أحد أكبر المخاطر المطبقة على التبادل الإلكتروني للبيانات هو ترخيص المعاملات و إنكارها.
  • بسبب التفاعلات الإلكترونية ، لا تحدث مصادقة متأصلة ورقية.
  • قد يكون هناك عدم يقين مرتبط بالمسؤولية القانونية المحددة عندما لا يكون لدينا اتفاقية شريك تجاري.
  • أي مشاكل متعلقة بالأداء مع تطبيقات التبادل الإلكتروني للبيانات يمكن أن يكون لها تأثير سلبي على كلا الطرفين.
  • تشمل المخاطر الأخرى المتعلقة بالبيانات غير المصرح به ، وتكامل البيانات وسريتها ، وفقدان أو تكرار معاملات التبادل الإلكتروني للبيانات.

تتمثل أدوار مدقق نظم المعلومات فيما يلي:

  • تحديد سرية البيانات وسلامتها ومصداقيتها ، فضلاً عن عدم التنصل من المعاملات
  • تحديد المعاملات والبيانات غير الصالحة قبل تحميلها على النظام
  • تحديد الدقة والصلاحية والمعقولية. من البيانات
  • للتحقق والتأكد من مطابقة المجاميع بين نظام التبادل الإلكتروني للبيانات ونظام الشريك التجاري

يجب على مدقق نظم المعلومات تحديد استخدام بعض عناصر التحكم للتحقق من صحة المرسل ، على النحو التالي:

  1. استخدام حقول التحكم في رسالة التبادل الإلكتروني للبيانات
  2. استخدام رقم الحساب الافتراضي أرقام أو تقارير تحكم متسلسلة
  3. الإقرار بالاستلام مع المرسل

يجب على المدقق أيضًا تحديد مدى توفر عناصر التحكم التالية:

متطلبات التحكم للمعاملات الواردة:

  • سجل لكل معاملة واردة عند الاستلام
  • إجمالي عدد الأجزاء مضمّن في مقطورة مجموعة المعاملات.
  • معاملات وأخطاء النسخ

متطلبات التحكم للمعاملات الصادرة:

  • الإضافات التي يجب مقارنتها مع ملف تعريف الشريك التجاري
  • الفصل المناسب بين الواجبات للمعاملات عالية المخاطر
  • . التأكد من وجود السجل الذي يجب الاحتفاظ به للمعاملات الصادرة

عمليات تدقيق EDI أيضًا يمكنها  استخدام النظم الإشرافية على جودة الرقابة  (لالتقاط معاملات التبادل الإلكتروني للبيانات) والأنظمة الخبيرة (لتقييم المعاملات).

نقاط البيع (POS)

لنبدأ بفهم كيفية عمل نقاط البيع:

  • معاملات بطاقات الائتمان والخصم هي من الأمثلة الأكثر شيوعًا لنقاط البيع.
  • يتم التقاط البيانات في وقت ومكان البيع.

مخاطر ذلك هي كما يلي:

  • عدم الفصل الجيد للمهام قد يؤدي إلى سرقة بيانات وسائل الدفع الإلكترونية أو تكرار أستخدامها غير المصرح به.
  • الاستيلاء على الأموال و عدم إصدار فاتورة.

أساليب مواجهة المخاطر

  • بيانات المصادقة (PIN / CVV) لا يتم تخزينها في نظام نقاط البيع المحلي
  • تحديد أن بيانات حامل البطاقة (سواء في حالة السكون أو قيد النقل) مشفرة

الخدمات المصرفية الإلكترونية

، فلنبدأ بفهم كيفية عملها:

  • مواقع الويب المصرفية الإلكترونية والأنظمة القائمة على الهاتف المحمول تتكامل مع النظام الأساسي للبنك لدعم المعاملات التلقائية دون أي تدخل يدوي.
  • تعمل المعالجة الآلية على تحسين سرعة المعالجة وتقليل فرص الخطأ البشري والاحتيال.
  • تزيد الخدمات المصرفية الإلكترونية من الاعتماد على البنية التحتية للإنترنت والاتصالات.

اثنين من مخاطر ذلك كما يلي:

  • زيادة الاعتمادية على الإنترنت  وشركات التكنولوجيا الأخرى
  • مخاطر العمليات غير المصرح بها.

تتمثل أدوار مدقق نظم المعلومات فيما يلي:

  • . فعالية الحوكمة والرقابة على الأنشطة المصرفية الإلكترونية
  • لتحديد الترتيبات الخاصة بالسرية والنزاهة وتوافر البنية التحتية للخدمات المصرفية الإلكترونية
  • لتحديد مدى فعالية الضوابط الأمنية فيما يتعلق بالتوثيق وعدم التنصل من المعاملات الإلكترونية
  • . فعالية الضوابط المطبقة لقوانين الخصوصية
  • لمراجعة ضوابط مكافحة البرامج الضارة
  • لمراجعة ترتيبات استمرارية الأعمال

التحويل الإلكتروني للأموال (EFT)

لنبدأ بفهم كيفية عمل التحويل الإلكتروني:

  • من خلال التحويل الإلكتروني ، يمكن تحويل الأموال من حساب إلى آخر إلكترونيًا ، أي ، بدون كتابة الشيك وإجراءات التحصيل النقدي.

بعض المخاطر كالتالي:

  • زيادة الاعتمادية على خدمات الإنترنت وشركات الاتصالات وشركات التكنولوجيا الأخرى
  • زيادة احتمالية حدوث عمليات غير مصرح بها.

تتمثل أدوار مدقق نظم المعلومات فيما يلي:

  • التأكد من الاعتماد على المصادقة الثنائية للمعاملات الآمنة.
  • تحديد أن الأنظمة وقنوات الاتصال قد خضعت لاختبارات أمنية مناسبة.
  • تحديد أن بيانات المعاملة (سواء كانت ثابتة أو قيد النقل) يتم تشفيرها.
  • تحديد فعالية الضوابط على نقل البيانات.
  • مراجعة الترتيبات الأمنية لسلامة عمليات التبديل و أن يتصل مفتاح التحويل الإلكتروني بجميع المعدات الموجودة في الشبكة.
  • مراجعة عملية التقاط السجلات ومراقبتها لمعاملات التحويل الإلكتروني. في حالة عدم وجود مستندات ورقية ، من المهم أن يكون لديك مسار تدقيق بديل لكل معاملة.

معالجة الصور

لنبدأ بفهم كيفية عملها:

  • يقوم نظام معالجة الصور بمعالجة بيانات الصورة وتخزينها واستردادها.
  • يتطلب نظام معالجة الصور كميات هائلة من موارد التخزين وقوة معالجة كبيرة للمسح الضوئي والضغط والعرض والطباعة.
  • هذه الأنظمة قادرة على تحديد الألوان والظلال.
  • يمكن أن يؤدي استخدام معالجة الصور (بدلاً من المستندات الورقية) إلى زيادة الإنتاجية ، والاسترداد الفوري للوثائق ، وتحسين التحكم في تخزين المستندات ، وإجراءات فعالة للتعافي من الكوارث.

بعض المخاطر كما يلي:

  • قد يؤدي التنفيذ دون التخطيط والاختبار المناسبين إلى فشل النظام.
  • قد يحتاج نظام سير العمل إلى إعادة تصميمه بالكامل للتكامل مع نظام معالجة الصور.
  • قد لا تكون الضوابط التقليدية وعمليات التدقيق قابلة للتطبيق على أنظمة معالجة الصور. يجب تصميم ضوابط جديدة للعمليات الآلية.
  • المخاطر السيبرانية مثل القرصنة على النظام وعدم توفر النظام والافتقار إلى سلامة المعاملات.

أهداف مدقق نظم المعلومات هي كما يلي:

  • تحديد فعالية الضوابط على المدخلات والمعالجة والمخرجات لأنظمة معالجة الصور
  • تحديد موثوقية الماسحات الضوئية المستخدمة في معالجة الصور
  • مراجعة عملية الاحتفاظ بالمستندات الأصلية
  • تحديد أن المستندات الأصلية يتم الاحتفاظ بها على الأقل حتى يتم التقاط صورة جيدة
  • مراجعة ترتيبات السرية والنزاهة والتوافر لأنظمة معالجة الصور
  • لمراجعة ترتيبات التدريب للموظفين لضمان الحفاظ على عمليات مسح الصور وتخزينها وفقًا لمصفوفة مراقبة الجودة.

الذكاء الاصطناعي والأنظمة الخبيرة

يقوم الذكاء الاصطناعي والأنظمة الخبيرة بما يلي:

  • التقاط واستخدام معارف وخبرات الأفراد
  • تحسين الأداء والإنتاجية
  • أتمتة العمليات الماهرة دون تدخل يدوي

تحتوي قاعدة المعرفة في الذكاء الاصطناعي على معلومات حول موضوع معين وقواعد لتفسير تلك المعلومات .

تتضمن مكونات قاعدة المعرفة ما يلي:

  • أشجار القرار: أسئلة لقيادة المستخدم من خلال سلسلة من الاختيارات
  • القواعد: القواعد التي تستخدم شروط “إذا” و “ثم”
  • الشبكات الدلالية: قاعدة معرفية تنقل المعنى
  • واجهة المعرفة: واجهة بيانات المعرفة 
  • : تخزين البيانات للتحليل واتخاذ

المخاطر كما يلي:

  • القرارات أو الإجراءات غير الصحيحة التي يقوم بها النظام بسبب الافتراضات أو الصيغ أو قواعد البيانات غير الصحيحة في النظام
  • . الافتقار إلى نزاهة المعاملات.

تتمثل أدوار مدقق نظم المعلومات فيما يلي:

  • تقييم قابلية تطبيق الذكاء الاصطناعي في مختلف العمليات التجارية وتحديد المخاطر المحتملة المرتبطة بها
  • . مراجعة الالتزام بالسياسات والإجراءات الموثقة
  • مراجعة عملية إدارة التغيير لتحديث النظام
  • مراجعة الترتيبات الأمنية الرئيسية الحفاظ على سرية النظام وسلامته وتوافره

بمجرد أن يفهم مدقق نظم المعلومات البنية الأساسية لتطبيقات الأعمال والمخاطر المرتبطة بها ، فإن الخطوة التالية هي فهم مدى ملاءمة وفعالية الضوابط المنفذة للتخفيف من المخاطر.

الجوانب الرئيسية من منظور امتحان CISA

يغطي ما يلي الجوانب الهامة من منظور امتحان CISA:

أسئلة CISAالإجابة المحتملة
ما هي المخاطر الرئيسية لمعاملات التبادل الإلكتروني للبيانات؟عدم وجود اتفاق (في حالة عدم وجود اتفاقية شريك تجاري ، يمكن أن يكون هناك عدم يقين متعلق بمسؤولية قانونية محددة).
ما هو الهدف من التشفير؟لضمان سلامة وسرية المعاملات.
كيف يتم التحكم في المعاملات الواردة في بيئة التبادل الإلكتروني للبيانات؟يتم التحكم في المعاملات الواردة من خلال سجلات استلام المعاملات الواردة ، واستخدام إجمالي عدد المقاطع ، واستخدام أرقام التحقق للكشف عن أخطاء التحويل والنسخ.
ما هو الهدف من مراقبة التحقق من الإدخال؟التحقق من الإدخال الصحيح هو طريقة يتم فيها إدخال البيانات مرة ثانية ومقارنتها بإدخال البيانات الأولي للتأكد من صحة البيانات المدخلة. يستخدم هذا بشكل عام في معاملات التحويل الإلكتروني ، حيث يقوم موظف آخر بإعادة إدخال نفس البيانات لإجراء هذا الفحص قبل تحويل أي أموال.
ما هو الهدف من عدم الإنكار؟يضمن عدم التنصل من الاسم و أن المعاملة قابلة للتنفيذ وأن المرسل المطالب به لا يمكنه لاحقًا إنكار إنشاء الرسالة وإرسالها.
ما هو أهم عنصر في مجال الذكاء الاصطناعي / نظام الخبراء؟قاعدة المعرفة (تحتوي قاعدة المعرفة على معلومات محددة أو أنماط حقائق مرتبطة بموضوع معين وقواعد تفسير هذه الحقائق ؛ لذلك ، يجب تنفيذ ومراقبة الوصول الصارم لضمان سلامة قواعد القرار)

عن الكاتب

Ibrahim Saber

Ibrahim Saber

حاصل على أكثر من 27 شهادة مهنية دولية و أكثر من 25 سنة خبرة عملية منها سنتين في المكتب الأول في العالم برايس وترهاوس كوبرز للمراجعة القانونية pwc وأكثر من 20 سنة خبرة تدريب في الجامعات المصرية.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.

انتقل إلى أعلى