شركة الاستثمار العربية المحدودة هي شركة استثمار مقرها دبي تدير أصولاً بقيمة 380 مليون يورو. الشركة تخدم عملاء أوروبيين وتخضع لمتطلبات DORA. كمراجع للشركة، إليك كيفية دمج DORA في تقييم المخاطر: الخطوة 1: مراجعة إطار إدارة مخاطر تكنولوجيا المعلومات طلب إطار إدارة مخاطر تكنولوجيا المعلومات المحدث وفقاً للمادة 8 من DORA.

فهم إطار DORA ومتطلباته الأساسية

نطاق التطبيق والجدول الزمني


تنطبق لائحة المرونة التشغيلية الرقمية (DORA) على أكثر من 22,000 كيان مالي عبر الاتحاد الأوروبي، بما يشمل البنوك وشركات التأمين وشركات الاستثمار ومقدمي خدمات الدفع. تدخل اللائحة حيز التنفيذ في 17 يناير 2025، مع فترات انتقالية محددة لبعض المتطلبات.
المتطلبات الأساسية تتضمن خمس ركائز: إدارة مخاطر تكنولوجيا المعلومات والاتصالات (المادة 5-15)، الحوكمة والتنظيم (المادة 16-20)، حماية ومنع المخاطر (المادة 21-23)، إدارة الحوادث (المادة 24-27)، واختبار المرونة التشغيلية (المادة 28-35).

التأثير على أنظمة الرقابة الداخلية


بموجب معيار المراجعة 315.13، يجب تقييم أنظمة الرقابة الداخلية للعميل، بما يشمل الضوابط على تكنولوجيا المعلومات. مع دخول DORA حيز التنفيذ، ستحتاج الكيانات المالية لتعزيز ضوابطها بطريقة قد تغير تقييم المخاطر الذي تجريه.
المادة 8 من DORA تتطلب من الكيانات المالية وضع إطار شامل لإدارة مخاطر تكنولوجيا المعلومات والاتصالات يتضمن استراتيجيات وسياسات وإجراءات وبروتوكولات للحماية من المخاطر التشغيلية الرقمية. هذا الإطار يجب أن يكون متناسباً مع حجم الكيان وطبيعة أنشطته.

التأثير على تقييم المخاطر وإجراءات المراجعة

تحديد وتقييم مخاطر الأخطاء الجوهرية


معيار المراجعة 315.25 يتطلب تحديد وتقييم مخاطر الأخطاء الجوهرية على مستوى القوائم المالية والتأكيدات. مع متطلبات DORA الجديدة، قد تحتاج لإعادة تقييم مخاطر تكنولوجيا المعلومات، خاصة في المناطق التالية:
الأنظمة الحرجة: المادة 10 تتطلب من الكيانات تحديد أنظمة تكنولوجيا المعلومات والاتصالات الحرجة وتصنيفها. كمراجع، تحتاج لفهم هذا التصنيف لتحديد إجراءات المراجعة المناسبة. الأنظمة المصنفة كحرجة تتطلب ضوابط إضافية قد تؤثر على تقييم مخاطر الرقابة.
مخاطر الطرف الثالث: المادة 30-34 تضع قواعد صارمة لإدارة مخاطر مقدمي الخدمات الثالثة. إذا كان عميلك يعتمد على مقدمي خدمات خارجيين للمعالجة المالية (مثل معالجة المدفوعات أو استضافة البيانات)، تحتاج لفهم كيف يدير العميل هذه المخاطر وما إذا كانت الضوابط كافية.

إجراءات المراجعة الإضافية المطلوبة


اختبار الضوابط على تكنولوجيا المعلومات: معيار المراجعة 330.8 يتطلب تصميم وتنفيذ اختبارات الضوابط عندما تعتمد على فعالية الضوابط. مع DORA، قد تحتاج لتوسيع اختبار الضوابط ليشمل:
الحصول على أدلة إثبات إضافية: قد تحتاج للحصول على تقارير اختبار المرونة التشغيلية (المطلوبة بموجب المادة 25-26)، تقييمات مقدمي الخدمات الثالثة، وتوثيق إجراءات إدارة الحوادث. هذه المستندات تساعد في تقييم فعالية الضوابط.

  • فعالية إطار إدارة مخاطر تكنولوجيا المعلومات والاتصالات
  • كفاية إجراءات إدارة الحوادث والإبلاغ عنها
  • دقة تصنيف الأنظمة الحرجة
  • فعالية ضوابط إدارة مقدمي الخدمات الثالثة

مثال عملي: شركة الخدمات المالية المتوسطة

شركة الاستثمار العربية المحدودة هي شركة استثمار مقرها دبي تدير أصولاً بقيمة 380 مليون يورو. الشركة تخدم عملاء أوروبيين وتخضع لمتطلبات DORA. كمراجع للشركة، إليك كيفية دمج DORA في تقييم المخاطر:
الخطوة 1: مراجعة إطار إدارة مخاطر تكنولوجيا المعلومات
طلب إطار إدارة مخاطر تكنولوجيا المعلومات المحدث وفقاً للمادة 8 من DORA. راجع ما إذا كان الإطار يحدد استراتيجيات واضحة للحماية من المخاطر التشغيلية الرقمية.
التوثيق: "راجعت إطار إدارة مخاطر تكنولوجيا المعلومات لشركة الاستثمار العربية المحدودة. الإطار يتضمن سياسات محدثة تتماشى مع متطلبات DORA."
الخطوة 2: تحديد الأنظمة الحرجة
احصل على قائمة الأنظمة المصنفة كحرجة بموجب المادة 10. بالنسبة لشركة الاستثمار العربية، تشمل: نظام إدارة الاستثمارات، نظام إعداد التقارير التنظيمية، ونظام إدارة المخاطر.
التوثيق: "تم تحديد 3 أنظمة حرجة. اختبرت ضوابط الوصول والنسخ الاحتياطي لكل نظام."
الخطوة 3: تقييم إدارة مخاطر الطرف الثالث
الشركة تستخدم مقدم خدمة خارجي لاستضافة البيانات ومعالجة التقارير. راجع عقود الخدمة وإجراءات المراقبة المستمرة وفقاً لمتطلبات المواد 30-34.
التوثيق: "راجعت عقد استضافة البيانات مع [مقدم الخدمة]. العقد يتضمن بنود DORA المطلوبة لإدارة المخاطر."
الخطوة 4: اختبار إجراءات إدارة الحوادث
طلب سجلات الحوادث الأمنية للسنة المالية وإجراءات الإبلاغ. تأكد من أن الشركة لديها آليات للإبلاغ عن الحوادث الجوهرية خلال المهل الزمنية المحددة في المادة 19.
التوثيق: "لم تحدث حوادث أمنية جوهرية خلال الفترة. إجراءات الإبلاغ موثقة ومعتمدة من الإدارة."
الخطوة 5: مراجعة اختبارات المرونة التشغيلية
للكيانات الأصغر مثل شركة الاستثمار العربية، اختبارات المرونة مبسطة لكنها مطلوبة. راجع تقرير آخر اختبار وما إذا كانت أي نتائج تؤثر على الضوابط الداخلية.
التوثيق: "اختبار المرونة التشغيلية نُفذ في ديسمبر 2024. النتائج لم تحدد نقاط ضعف جوهرية."
هذا النهج أنتج مستوى مخاطر رقابة "منخفض" لأنظمة تكنولوجيا المعلومات، مما سمح بتقليل اختبارات التفاصيل في المناطق المعتمدة على النظام. بدون تقييم DORA المناسب، قد يكون مستوى المخاطر "متوسط" أو أعلى.

قائمة مراجعة عملية لدمج DORA في عمليات المراجعة

  • احصل على إطار إدارة مخاطر تكنولوجيا المعلومات المحدث - طلب النسخة المعدلة وفقاً لمتطلبات DORA وتأكد من موافقة مجلس الإدارة عليها بموجب المادة 6
  • حدد الأنظمة الحرجة وقم بتوثيق معايير التصنيف - احصل على قائمة الأنظمة المصنفة كحرجة ومنطق التصنيف وفقاً للمادة 10
  • قيّم ضوابط إدارة مقدمي الخدمات الثالثة - راجع عقود الخدمة وإجراءات المراقبة المستمرة وآليات تقييم المخاطر
  • اختبر إجراءات إدارة وإبلاغ الحوادث - تأكد من وجود آليات للكشف المبكر والإبلاغ في الوقت المناسب وفقاً للمواد 17-19
  • راجع نتائج اختبارات المرونة التشغيلية - احصل على تقارير الاختبارات وتأكد من معالجة أي نقاط ضعف محددة
  • وثّق التأثير على تقييم مخاطر الرقابة - حدد كيف تؤثر ضوابط DORA على مستوى مخاطر الرقابة المقدر لكل دورة هامة

الأخطاء الشائعة في مراجعة امتثال DORA

افتراض أن امتثال DORA تلقائي - العديد من الكيانات المالية قد لا تكون مستعدة بالكامل بحلول يناير 2025، خاصة الكيانات الأصغر
تجاهل تأثير مقدمي الخدمات الثالثة - مخاطر الطرف الثالث جزء أساسي من DORA وقد تؤثر بشكل جوهري على الضوابط الداخلية
عدم تحديث إجراءات اختبار الضوابط - قد تحتاج إجراءات اختبار الضوابط على تكنولوجيا المعلومات للتحديث لتعكس متطلبات DORA الجديدة
عدم الحصول على تقرير ISAE 3402 من مقدم الخدمات الحرج - تتطلب المادة 30 من DORA توثيق ضوابط مقدم الخدمات. مراجع راجع بنك في لوكسمبورغ اعتمد على تأكيدات الإدارة فقط بدون الحصول على تقرير ISAE 3402 Type II من مزود الاستضافة، فأشارت CSSF إلى الفجوة في تفتيش 2025 وأعادت تصنيف مخاطر الرقابة من "منخفض" إلى "عالي".

المحتوى ذو الصلة

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.