جدول المحتويات

1. كيف تعيد السحابة تشكيل فهم تقنية المعلومات 2. تقييم مخاطر نظام تقنية المعلومات المعقد 3. استراتيجية فحص الضوابط السحابية 4. مثال عملي: مراجعة نظام ERP سحابي 5. قائمة مراجعة عملية للمراجعة السحابية 6. الأخطاء الشائعة في مراجعة الأنظمة السحابية 7. محتوى ذات صلة

كيف تعيد السحابة تشكيل فهم تقنية المعلومات

لاحظنا في مكتبنا أن الفرق تقرأ معيار المراجعة 315.20 وكأنه نص عن خوادم محلية. ليس كذلك. المعيار يتطلب من المراجع فهم تقنية المعلومات ذات الصلة بإعداد التقارير المالية: البيانات والأنظمة التي تعالج المعاملات الجوهرية، والضوابط المصممة لمنع أو اكتشاف وتصحيح التحريفات، والعمليات المستخدمة لنقل المعلومات إلى نظام دفتر الأستاذ العام. في الواقع، معظم ملفات السحابة التي فحصناها توثّق الأول فقط وتفترض أن الاثنين الآخرين "يغطيهما المزود".

في البيئة التقليدية، كان الفهم يعني خادماً واحداً في موقع واحد تحت سيطرة العميل. البيئة السحابية تكسر هذا الافتراض.

الطبقات المتعددة للمسؤولية

ما يحدث عملياً هو أن البنية السحابية النموذجية تضم خمس طبقات مسؤولية منفصلة، كل طبقة بمزود مختلف وضوابط مختلفة:

- طبقة التطبيق: برامج المحاسبة (مثل NetSuite أو Xero) التي يديرها موفر البرنامج - طبقة المنصة: خدمات قواعد البيانات والتطبيقات (مثل AWS RDS) التي يديرها موفر السحابة - طبقة البنية التحتية: الخوادم الافتراضية والشبكات (مثل EC2) تحت سيطرة موفر السحابة - طبقة الأمان: هوية المستخدمين وإدارة الوصول قد تكون مع موفر ثالث (مثل AD) - طبقة البيانات: قد تُخزَّن البيانات في مناطق جغرافية متعددة لأغراض النسخ الاحتياطي والأداء

كل طبقة لها مزود منفصل ومجموعة ضوابط منفصلة وسلسلة مسؤوليات منفصلة. تتطلب الفقرة 315.A60 فهماً لكيفية تدفق البيانات عبر هذه الطبقات وأين قد تحدث التحريفات. لكن الحقيقة أن أحداً على الفريق لا يفهم كل الطبقات. ولا العميل يفهمها. هذا ليس ملاحظة متشائمة، بل قيد هيكلي سنعود إليه.

تحدي الوضوح

في ملفات سبق لنا فحصها، العميل نفسه لا يعرف أين تُستضاف قاعدة بياناته. قسم تقنية المعلومات يعرف عن برنامج المحاسبة، لكنه لا يعرف أين تستضاف قاعدة البيانات فعلياً أو كيف تُنسخ احتياطياً. قسم المالية يستخدم النظام يومياً ولا يعرف شيئاً عن البنية التحتية التي تدعمه. تنص الفقرة 315.13 على أن فهم الكيان يتضمن فهم طبيعته وعملياته. حسب خبرتي في هذا المجال، هذه هي النقطة التي يصطدم فيها المعيار بالواقع: كيف تفهم ترتيبات خدمة لا يفهمها الكيان نفسه؟

تقييم مخاطر نظام تقنية المعلومات المعقد

تُطبِّق معظم الفرق مصفوفة مخاطر تقليدية على بيئة لم تُصمَّم المصفوفة لها. تتطلب الفقرة 315.26 من المراجع تحديد وتقييم مخاطر التحريف الجوهري على مستوى البيانات المالية وعلى مستوى فئات المعاملات والأرصدة والإفصاحات. في الميدان، هذه المخاطر تختلف نوعياً عن البيئة التقليدية، لأن نقاط الفشل انتقلت من داخل التطبيق إلى الحدود بين التطبيقات.

مخاطر جديدة خاصة بالسحابة

مخاطر توفر البيانات: البيانات على خوادم لا يملكها العميل. إذا توقف مزود الخدمة أو انقطع الاتصال، يُفقد الوصول إلى السجلات المحاسبية بالكامل. في ملف واحد فحصناه العام الماضي، توقف مزود سحابة رئيسي لمدة 14 ساعة خلال إقفال الربع.

مخاطر سلامة البيانات: عندما تنتقل البيانات بين طبقات متعددة، تصبح كل نقطة انتقال فرصة محتملة للفساد. هذا خطر لم يكن موجوداً عندما كان كل شيء على خادم واحد.

مخاطر الوصول غير المصرح به: في النظام التقليدي، كان الوصول يتطلب حضوراً فعلياً إلى المكتب. في السحابة، يمكن الوصول إلى البيانات من أي مكان في العالم، مما يوسّع سطح الهجوم أضعافاً.

مخاطر عدم الامتثال: قد تُخزَّن البيانات في ولايات قضائية متعددة، ولكل منها قوانين حماية بيانات. إذا خالفت ترتيبات التخزين هذه القوانين، تواجه الشركة غرامات أو قيوداً على الوصول إلى بياناتها.

إطار تقييم المخاطر

حسب خبرتي في هذا المجال، عوامل الفقرة 315.31 تأخذ شكلاً مختلفاً في السياق السحابي:

تعقيد الترتيبات: كلما زاد عدد مزودي الخدمة المعنيين، زادت المخاطر. ترتيب بسيط مع مزود واحد للمحاسبة السحابية أقل خطراً من ترتيب يتضمن منصة سحابية منفصلة ومزوّد أمان منفصلاً ومزوّد نسخ احتياطي منفصلاً وموفّر تكامل رابعاً.

مستوى السيطرة: ما مدى التحكم الذي يمتلكه العميل في الضوابط الحاسمة؟ إذا كانت كل الضوابط مُدارة من مزودين خارجيين، المخاطر أعلى. كثير من هذه الضوابط موجود في تقارير المزوّد فقط، أي أنها حبراً على ورق من منظور المراجع الذي لا يستطيع اختبارها.

خبرة إدارة العميل: هل يفهم فريق إدارة العميل الترتيبات السحابية التي اعتمدها؟ العملاء الذين انتقلوا إلى السحابة دون فهم كامل لما يعنيه ذلك يواجهون مخاطر أعلى، وأوراق العمل تحتاج توثيقاً أثقل لتعويض هذا الفراغ.

استراتيجية فحص الضوابط السحابية

تنص الفقرة 330.08 على أن المراجع يصمم وينفذ إجراءات مراجعة إضافية طبيعتها وتوقيتها ونطاقها تستجيب للمخاطر المقدرة. في السحابة، التطبيق الساذج لهذه الفقرة ينتج ملفاً جميلاً لا يختبر شيئاً.

تطبيق معيار المراجعة 402

تصبح الفقرة 402.09 هي العمود الفقري للمراجعة السحابية، لا ملحقاً لها. تتطلب من المراجع الحصول على فهم لطبيعة الخدمات المقدمة من منظمة الخدمة وأهميتها للكيان.

تحديد منظمات الخدمة الحاسمة: ليست كل الخدمات السحابية متساوية من منظور التقرير المالي. مزوّد استضافة البريد الإلكتروني ليس منظمة خدمة من منظور الفقرة 402. مزوّد برنامج المحاسبة السحابية كذلك.

الحصول على تقارير منظمة الخدمة: تنص الفقرة 402.17 على أن المراجع عند استخدام تقرير Type II يُقيّم ما إذا كان التقرير يوفر أدلة مراجعة كافية ومناسبة. من واقع خبرتنا، هذا التقييم يُختصر في ملفات كثيرة إلى "وصلنا التقرير — موجود في الملف"، وهو اختصار خطير.

المشكلة العملية أن كثيراً من مزودي السحابة يقدمون تقارير SOC 2 ولا يقدمون SOC 1. تقارير SOC 2 تركز على الأمان والتوفر. تقارير SOC 1 تركز على الضوابط ذات الصلة بالتقرير المالي. للمراجعة المالية، تحتاج الثانية لا الأولى.

السبب الذي يجعل تقارير SOC 1 نادرة لمزوّدي السحابة الكبار أن نموذج أعمالهم قائم على تسعير متعدد المستأجرين لا يستطيع تخصيص ضوابط مالية محددة لكل عميل. هذا ليس إهمالاً، بل قيد هيكلي. وهذا يفسّر لماذا كل فريق يلاحق تقرير SOC 1 لمزوّد سحابة كبير يصل إلى نفس الجدار.

إجراءات صورية أم ضوابط حقيقية؟

في ملفات سبق لنا فحصها، وجدنا أن كثيراً من ضوابط المزوّد الموثّقة في تقارير SOC تبدو قوية على الورق ثم تتبخر عند محاولة ربطها بأكيد تأكيد معين. مكتبة من الوعود غير القابلة للاختبار. الضابط موجود. المزوّد يشهد أنه يعمل. المراجع المستقل يصادق. لكن لا أحد من الفريق يستطيع ربطه بالمعاملة المحددة التي يحتاج إلى التأكد منها. هذه هي الحوكمة الورقية بشكلها السحابي: طبقات من الضوابط الموثّقة التي لا تصل أبداً إلى الادعاء المالي.

استراتيجية الضوابط المختلطة

في معظم البيئات السحابية، ستحتاج إلى دمج أربعة أنواع من الضوابط:

ضوابط العميل: ما ينفذه العميل داخل النظام (إعدادات المستخدم، الموافقات، مراجعات التسوية)

ضوابط مزوّد الخدمة: ما ينفذه المزوّد (النسخ الاحتياطي التلقائي، أمان قاعدة البيانات، ضوابط الوصول على مستوى النظام)

ضوابط التكامل: ما يحكم تدفق البيانات بين الأنظمة (واجهات API، جداول المزامنة، قواعد التحويل)

ضوابط الاستثناء: ما يحدث عندما يفشل أحد المذكورين أعلاه (سجلات الفشل، قوائم الانتظار، مراجعة يدوية)

تتطلب الفقرة 330.10 أنه عندما يعتمد المراجع على ضوابط منظمة خدمة، يحصل على أدلة مراجعة بأن هذه الضوابط تعمل بفعالية. في الواقع، النوع الثالث (ضوابط التكامل) هو الذي يُهمَل باستمرار، وهو النوع الذي تقع فيه معظم الأخطاء الميدانية.

الخلاف المشروع حول SOC 2

في نقاش ملف حديث، وجدت نفسي بين موقفين مشروعين داخل المكتب. الشريك الأول يرى أن SOC 2 + إجراءات جوهرية موسّعة حلّ مقبول عندما يكون SOC 1 غير متاح، لأن البديل هو الامتناع عن التعبير عن رأي على كل عميل يستخدم AWS. الشريك الثاني يرى أن SOC 2 ليس بديلاً عن SOC 1 لأنه لا يغطي تأكيدات التقرير المالي، وأن المراجع الذي يتعامل معه كبديل يبني رأيه على فراغ.

موقفي الشخصي أقرب للشريك الثاني لأن "إجراءات جوهرية موسّعة" تعني في الممارسة أوراق عمل إضافية لا اختباراً إضافياً. لكن الشريك الأول محق في نقطة واحدة: رفض SOC 2 كلياً يخرج المكتب من سوق السحابة بالكامل. هذا توتر حقيقي لا يحلّه المعيار.

مثال عملي: مراجعة نظام ERP سحابي

شركة الخليج للتوزيع ذ.م.م. شركة توزيع إماراتية بإيرادات سنوية 85 مليون درهم. انتقلت من نظام SAP محلي إلى NetSuite السحابي في يناير 2024. النظام الجديد يتضمن:

- NetSuite ERP (مستضاف على Oracle Cloud Infrastructure) - تكامل مع Shopify للمبيعات عبر الإنترنت - تكامل مع نظام إدارة المستودعات من طرف ثالث - Azure AD لإدارة هوية المستخدمين

تحديد تدفق المعاملات

توثيق ورقة العمل: "خريطة تدفق البيانات - النظام السحابي"

1. المبيعات عبر الإنترنت: الطلبات تُسجل في Shopify ← تتزامن تلقائياً مع NetSuite كل 15 دقيقة ← تُرسل للمستودع عبر API 2. المبيعات المباشرة: تُسجَّل مباشرة في NetSuite من قبل فريق المبيعات 3. المشتريات: طلبات الشراء تُنشأ في NetSuite ← تُرسل بالبريد الإلكتروني للموردين ← الفواتير تُسجَّل يدوياً في NetSuite 4. المخزون: التحديثات تأتي من نظام المستودعات كل ساعة ← تُطبَّق على NetSuite تلقائياً

تقييم مخاطر كل تكامل

توثيق ورقة العمل: "تقييم مخاطر التكامل"

تكامل Shopify-NetSuite: مخاطر عالية. إذا فشلت المزامنة، قد لا تُسجَّل المبيعات. لا توجد ضوابط تحقق تلقائية.

تكامل نظام المستودعات: مخاطر متوسطة. التأخير في التحديث قد يؤثر على دقة المخزون، لكن الأثر على الإيرادات محدود.

Azure AD: مخاطر عالية. إذا تعطّل، لا يستطيع أحد الوصول إلى النظام. ضوابط الوصول حاسمة لمنع التلاعب.

تصميم إجراءات المراجعة

توثيق ورقة العمل: "إجراءات مراجعة النظام السحابي"

للتكاملات عالية المخاطر: - طلب تقرير SOC 1 Type II من NetSuite وShopify - فحص سجلات المزامنة لشهر عينة كامل - مقارنة عينة من طلبات Shopify مع السجلات في NetSuite - اختبار ضوابط استثناء المزامنة: ماذا يحدث عندما تفشل؟

للوصول والأمان: - طلب تقرير SOC 2 Type II من Oracle Cloud Infrastructure - مراجعة إعدادات المستخدمين في Azure AD - اختبار إجراءات إضافة/حذف المستخدمين - فحص سجلات الوصول للمستخدمين المميزين

تنفيذ الاختبارات

توثيق ورقة العمل: "نتائج اختبار الضوابط السحابية"

النتائج: - NetSuite قدّمت تقرير SOC 1، لكنه لا يغطي التكاملات مع أنظمة خارجية - Shopify لا تقدم SOC 1، فقط SOC 2 - فشلت المزامنة بين Shopify وNetSuite بصمت خلال أسبوع قطع الإيرادات (25 ديسمبر - 2 يناير). الفشل لم يُكتشف لمدة 11 يوماً. ثلاثون معاملة بقيمة 1.4 مليون درهم انتهت في الفترة الخطأ - تقرير SOC 1 الخاص بـ NetSuite يستثني واجهة التكامل صراحةً، مما أخرج الفريق من الاعتماد على الضوابط إلى إجراءات جوهرية لم تكن مدرجة في الميزانية - وُجد مستخدمان لديهما وصول إداري لا يحتاجانه حسب الوصف الوظيفي

الخلاصة: الضوابط الآلية داخل كل نظام تعمل. ضوابط التكامل بين الأنظمة لم تُختبر من أي جهة. النظام يعتمد على ضوابط مزوّد الخدمة التي لم نتمكن من اختبارها بالكامل، وهذا أدى إلى ساعات جوهرية إضافية لم يكن تسعير الارتباط يغطيها.

قائمة مراجعة عملية للمراجعة السحابية

1. حدد كل مزودي الخدمة السحابية الذين يتعاملون مع البيانات المالية، ليس فقط مزوّد المحاسبة الرئيسي.

2. اطلب تقارير SOC 1 Type II من كل مزود خدمة حاسم. إذا لم تكن متاحة، وثّق ذلك قيداً على نطاق المراجعة.

3. ارسم خريطة تدفق البيانات من المصدر إلى البيانات المالية النهائية، محدّداً كل نقطة قد تحدث فيها أخطاء.

4. اختبر ضوابط التكامل بين الأنظمة، لا الضوابط داخل كل نظام منفرد فقط.

5. راجع ضوابط الوصول عبر كل المنصات، مع تركيز خاص على المستخدمين ذوي الوصول الإداري.

6. أنشئ خطة طوارئ للوصول للبيانات إذا توقف مزوّد خدمة رئيسي أثناء المراجعة.

الأخطاء الشائعة في مراجعة الأنظمة السحابية

- افتراض أن تقرير SOC 2 كافٍ لأغراض المراجعة المالية: تقارير SOC 2 تركز على الأمان، لا على الضوابط المالية. تحتاج SOC 1 للمراجعة.

- عدم اختبار التكاملات بين الأنظمة: الأخطاء غالباً ما تحدث عند نقاط التكامل، لا داخل الأنظمة الفردية نفسها. هذه هي النقطة التي تصبح عندها إجراءات الفريق صورية.

- الاعتماد كلياً على ضوابط مزوّد الخدمة دون التحقق: حتى مع تقارير SOC 1، يجب فهم كيف تنطبق هذه الضوابط على وضع العميل المحدد. التقرير وحده ليس دليل مراجعة.

محتوى ذات صلة

- مسرد: منظمة الخدمة - تعريف منظمات الخدمة وكيفية تقييم ضوابطها في السياق السحابي - أداة: حاسبة الأهمية النسبية - احسب عتبات الأهمية النسبية لتقييم أهمية عيوب الضوابط السحابية - مقال: دليل شامل لمعيار المراجعة 402 - كيفية تطبيق معيار المراجعة 402 عند مراجعة العملاء الذين يستخدمون منظمات خدمة

---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.