Definition
يحتاج المراجع إلى فهم ثلاث طبقات من الحوسبة السحابية بموجب معيار المراجعة 315.27. الطبقة الأولى: الضوابط على الوصول إلى البيانات والتطبيقات (من يمكنه الدخول، ومتى، وكيف). الطبقة الثانية: كيفية معالجة البيانات داخل النظام السحابي ذاته (هل الحسابات صحيحة، هل السجلات محفوظة بشكل صحيح، هل الحذف يُترجم إلى حذف فعلي). الطبقة الثالثة: كيفية استرجاع البيانات وتصديرها (هل يمكن الحصول على أرقام دقيقة للمراجعة).
كيف يعمل
يحتاج المراجع إلى فهم ثلاث طبقات من الحوسبة السحابية بموجب معيار المراجعة 315.27. الطبقة الأولى: الضوابط على الوصول إلى البيانات والتطبيقات (من يمكنه الدخول، ومتى، وكيف). الطبقة الثانية: كيفية معالجة البيانات داخل النظام السحابي ذاته (هل الحسابات صحيحة، هل السجلات محفوظة بشكل صحيح، هل الحذف يُترجم إلى حذف فعلي). الطبقة الثالثة: كيفية استرجاع البيانات وتصديرها (هل يمكن الحصول على أرقام دقيقة للمراجعة).
يتطلب معيار المراجعة 330.18 تصميم إجراءات يمكنها الوصول إلى السجلات السحابية. إذا كان تطبيق الفاتورة في السحابة، فلا يمكنك استخدام طرق المراجعة القديمة (تحميل ملف Excel يدوي). يجب أن تصل إلى البيانات كما تقيم في النظام. هذا قد يتطلب برامج تدقيق متخصصة أو واجهات برمجية (API) أو نسخ مباشرة من مزود الخدمة.
مزود الخدمة السحابية قد لا يسمح برؤية الضوابط المادية (الأقفال الفعلية، الأسلاك، مراقبة الوصول المركزية). بدلاً من ذلك، سيقدم المزود شهادة ISAE 3402 (نوع الأول أو الثاني) توثق أن شخصاً آخر (محقق مستقل) فحص الضوابط نيابة عنك. قراءة تقرير ISAE 3402 والتحقق من أنه يغطي العمليات التي تستخدمها الجهة الخاضعة للمراجعة جزء حاسم من هذا الفهم.
مثال عملي: شركة النسيج الدولية
العميل: شركة نسيج إيطالية، سنة مالية 2024، إيرادات 28 مليون يورو، تقرر بموجب معايير المحاسبة الدولية.
نقلت الشركة نظام الفاتورة والحسابات المدينة بالكامل إلى منصة سحابية في يناير 2024. قبل ذلك، كان البرنامج مثبتاً على خادم محلي تديره الشركة بنفسها.
الخطوة الأولى: تصنيف الخدمة السحابية
اطلبت تقرير ISAE 3402 من مزود الخدمة. التقرير الذي حصلت عليه يغطي الضوابط على الوصول إلى النظام والنسخ الاحتياطي والاسترجاع. قرأت الملخص التنفيذي وقائمة الضوابط المقيمة. لم تتضمن القائمة أي ضابط مرتبط بحساب دقة الفوائد أو الخصومات (حسابات مخصصة للعميل). تلك الحسابات تجريها شركة النسيج بنفسها خارج النظام السحابي.
ملاحظة التوثيق: "تقرير ISAE 3402 من المزود يغطي الوصول والنسخ الاحتياطي. لا يغطي حسابات العمولة. سيتم اختبار حسابات العمولة كعمليات يدوية منفصلة بموجب معيار المراجعة 330.12."
الخطوة الثانية: اختبار سحب البيانات
طلبت من العميل تصدير سجل كامل للعملاء والفواتير للربع الأول من عام 2024 من النظام السحابي. حصلت على ملف CSV. قارنت أرقام الإيرادات في الملف المُصدَّر مع أرقام السجل المحاسبي (دفتر الأستاذ). تطابقت الأرقام.
ملاحظة التوثيق: "صدّر النظام السحابي البيانات بدقة. تم التحقق من تطابق البيانات المُصدَّرة مع دفتر الأستاذ للربع الأول (€6.2M)."
الخطوة الثالثة: اختبار الأرقام القديمة
اختبرت سجل أحد العملاء يعود إلى قبل الهجرة (ديسمبر 2023). البيانات لم تعد موجودة في النظام السحابي الحالي (تم حذفها عند الهجرة). اتصلت بمزود الخدمة القديم. أرسل نسخة من آخر تصدير تم قبل الهجرة. قارنت الرصيد الختامي للعميل في ديسمبر 2023 مع رصيده الافتتاحي في يناير 2024 في النظام السحابي الجديد. تطابقت الأرقام.
ملاحظة التوثيق: "تم التحقق من استمرارية أرصدة العملاء عند الهجرة. لا توجد فجوات أو فقدان في البيانات."
الخلاصة: فهم النظام السحابي، والتحقق من تقرير ISAE 3402، والاختبار الفعلي لسحب البيانات وتطابقها مع السجلات أعطى المراجع أساساً دفاعياً قوياً بخصوص سلامة بيانات الإيرادات. بدون هذا الفهم والاختبار، كان ملف التدقيق سيفتقد إلى توثيق جوهري حول كيفية اختبار عنصر بيانات رئيسي.
ما الذي يخطئ فيه المراجعون والممارسون
الملاحظة 1: الافتراض أن تقرير ISAE 3402 يغطي كل شيء. تفتيش AFM الدولية الأخير على الملفات السحابية (2023) لاحظ أن الفرق اعتمدت بشكل كامل على تقرير ISAE 3402 دون التحقق من أن الضوابط المُقيّمة تتعلق بالعمليات المحددة للعميل. قد يغطي التقرير الوصول العام دون تغطية حسابات خاصة أو معالجات مخصصة. قراءة التقرير لا تعني فهمك. يجب ربط كل ضابط مدرج مع عملية محددة في دورة حياة البيانات.
الملاحظة 2: عدم توثيق الفهم السحابي. معيار المراجعة 315.27 يتطلب توثيق فهم بيئة تكنولوجيا المعلومات. هذا يعني أكثر من "العميل يستخدم نظاماً سحابياً." يجب أن توثق: أي النظم السحابية تُستخدم، ماذا يفعل كل نظام، أين توجد البيانات الأصلية وأين تُخزن، كيف تُصدَّر للمراجعة. الملفات التي تفتقد لهذا التوثيق تفشل في عمليات التفتيش بشكل منتظم.
الملاحظة 3: عدم اختبار الأرقام الفعلية المُصدَّرة مقابل دفتر الأستاذ. الفرق قد تقول "البيانات من النظام السحابي." لكنها لا تختبر أن الملف المُصدَّر يطابق فعلاً ما في دفتر الأستاذ المحاسبي. قد يحدث فقدان بيانات أثناء التصدير. قد تكون هناك معالجة يدوية بعد التصدير لم تُوثَّق. معيار المراجعة 330.18 يتطلب إجراءات فحص فعلية. التحقق من التطابق الفعلي هو الحد الأدنى.
الملاحظة 4: عدم التحقق من تغطية تقرير ISAE 3402 للفترة الزمنية الكاملة. بموجب معيار المراجعة 402.9، يجب أن يغطي تقرير مزود الخدمة الفترة الكاملة التي تعتمد فيها الجهة الخاضعة للمراجعة على النظام السحابي. إذا هاجر العميل إلى النظام السحابي في منتصف السنة وكان تقرير ISAE 3402 يغطي فقط الربع الأخير، فإن الأشهر الستة الأولى بدون تغطية. في هذه الحالة، يحتاج المراجع إلى إجراءات بديلة لسد الفجوة الزمنية.
المصطلحات ذات الصلة
أدلة المراجعة: الأدلة التي يجب جمعها لدعم نتائج فحص الضوابط السحابية.
تقرير ISAE 3402: الشهادة الدولية للضوابط عند مزودي الخدمات التي يجب قراءتها وفهمها.
ISAE 3402 مقابل SOC 1: الفرق بين الشهادات الدولية والأمريكية لتقارير مزودي الخدمات.
مخاطر تدقيق الحوسبة السحابية: الإطار العام لفهم المخاطر المرتبطة بالأنظمة المستضافة خارجياً.
---
معالج مخاطر الحوسبة السحابية
إذا كان لديك ملف يتضمن أنظمة سحابية متعددة أو اختبار أرقام معقدة من عدة مصادر سحابية، استخدم معالج تقييم المخاطر السحابية لدينا. سيساعدك على توثيق كل نقطة اتصال بيانات وتحديد أين تحتاج إلى اختبار ISAE 3402 أو اختبار فعلي للبيانات.
---