كيف تعمل

تعمل الضوابط العامة لتكنولوجيا المعلومات كحدود أساسية لسلامة جميع العمليات المدعومة بالتكنولوجيا. بموجب معيار المراجعة ٣١٥.٢٦، يقيّم المراجع كيفية قيام الكيان بحماية معالجة المعلومات المهمة: وليس فقط الأنظمة الرسمية الكبرى، بل أيضاً الأدوات المنخفضة المستوى المستخدمة في العمليات الحسابية والتنسيقات المالية.
الضوابط العامة تشمل، على سبيل المثال:
إذا كانت هذه الضوابط ضعيفة أو غير موجودة، فإن خطر الخطأ (سواء كان متعمداً أو غير متعمد) يرتفع بشكل كبير. معيار المراجعة ٣٤٠.١٣ يتطلب من المراجع الحصول على أدلة حول فعالية الضوابط المتعلقة بأنظمة المعلومات المهمة. الضوابط العامة هي الطريقة الوحيدة للوفاء بهذا المتطلب عندما لا تتوفر الاختبارات المفصلة للعمليات.

  • الوصول إلى الأنظمة والبيانات (من يمكنه التعديل، ومتى، وكيف يتم السجل)
  • إدارة التغييرات (كيفية اختبار التعديلات قبل التطبيق في الإنتاج)
  • النسخ الاحتياطية والاسترجاع (هل يوجد دليل على أن النسخ الاحتياطية تعمل)
  • الفصل بين الواجبات (من يمكنه إدخال البيانات، ومن يمكنه الموافقة عليها، ومن يمكنه تشغيل التقارير)

مثال عملي: شركة برن للخدمات المالية

العميل: شركة برن للخدمات المالية (نمساوية)، إيرادات ٢٨ مليون يورو، مقررة بموجب معايير المحاسبة الدولية.
الخطوة الأولى: تحديد الأنظمة ذات الصلة
أثناء فهم البيئة، وجد المراجع أن الكيان يستخدم نظاماً محاسبياً رسمياً (SAP) لمعالجة الفواتير والدفعات. لكن الكيان يستخدم أيضاً جدول إلكتروني في Excel لتسجيل تعديلات الفترة (استحقاقات الموظفين، تعديلات الضرائب)، وتطبيقاً مخصصاً يديره مدير البيانات الوحيد لدى الكيان لحساب مخصصات الضمان والتقاعد.
ملاحظة التوثيق: رقم الجدول في البرنامج: "ملفات النظام المستخدمة في التقارير المالية"
الخطوة الثانية: تقييم الضوابط العامة لكل نظام
بالنسبة لـ SAP (النظام الرسمي):
ملاحظة التوثيق: تم اختبار 12 معاملة مختارة عشوائياً من دفتر السجل العام للفترة الماضية. تم التحقق من كل معاملة مقابل سجل الوصول. لم توجد معاملات من حساب وصول منتهي الصلاحية.
ملاحظة التوثيق: طلب الإفصاح عن آخر ثلاثة تحديثات لأكتوبر - ديسمبر. تم فحص سجلات الاختبار في ملف التحديثات. تم التحقق من بيئة الاختبار بشكل منفصل عن الإنتاج في خادم منفصل.
بالنسبة لجدول Excel (غير رسمي):
ملاحظة التوثيق: فتح الملف وتحقق: لا توجد نسخ محفوظة مع ملاحظات تاريخ. لا توجد حماية من الأوراق. لا توجد تعليقات تتتبع الموافقة.
الخطوة الثالثة: تقييم مدى كفاية الأدلة
ملاحظة التوثيق: نتيجة التقييم: ضوابط عامة ضعيفة على الجداول الحسابية. معايير المراجعة ٣١٥.٢٦ و ٣٤٠.١٣ يتطلبان توثيق هذا التقييم والرد عليه. بدلاً من الاعتماد على ضوابط عامة قوية، تم توسيع الإجراءات الجوهرية لتغطية كل عنصر في الجدول.
الخلاصة:
كان التقييم حاسماً. النظام الرسمي (SAP) لديه ضوابط عامة قابلة للدفاع. الجداول غير الرسمية لم تكن كذلك. كان يجب أن تكون استراتيجية المراجعة مختلفة لكل نظام. الفشل في تقييم الضوابط العامة بشكل منفصل كان سيترك ثقة لا أساس لها في البيانات المشتقة من جداول Excel: وهي استحقاقات بقيمة ٣.٢ مليون يورو.

  • الوصول: يُحدّث مسؤول النظام الصلاحيات شهرياً بناءً على قائمة مصرح بها من مدير الشؤون المالية. تتوفر سجلات الوصول ويمكن تتبع التغييرات إلى مستخدم محدد.
  • إدارة التغييرات: قبل نشر التحديثات في الإنتاج، يجري مسؤول النظام الاختبارات في بيئة منفصلة (dev/test). توجد خطة توثيق مكتوبة للنسخ الاحتياطية الدورية.
  • الوصول: لا توجد حماية بكلمة مرور. يمكن لأي شخص على الشبكة الوصول إلى مجلد الملف المشترك وفتح الجدول والتعديل عليه.
  • إدارة التغييرات: لا توجد تتبع للتغييرات مفعّل في الجدول. لا يمكن معرفة من قام بتعديل أي رقم أو متى.
  • SAP: وجدت ضوابط عامة موثقة وقابلة للاختبار. تم اختبار عينات من الوصول والتغييرات. يمكن الاعتماد على النظام الرسمي.
  • جدول Excel: لا توجد ضوابط عامة على الإطلاق. الملف محرّ يدويّ بالكامل ولا توجد فحوصات رقابية مدمجة. يجب اختبار كل رقم في الجدول باستخدام إجراء جوهري مفصل.

ما الذي يحصل عليه المراجعون بشكل خاطئ

  • الاعتماد على الضوابط العامة دون اختبارها. في تفتيش NBA (الجسم الهولندي للمراجعين) عام ٢٠٢٢، لاحظ المفتشون أن الملفات غالباً ما أفترضت أن الضوابط العامة كانت تعمل بناءً على وصف الإدارة وحدها، دون الحصول على دليل فعلي. معيار المراجعة ٣٤٠.١٤ يتطلب الحصول على أدلة حول تصميم والعمل التشغيلي للضوابط. الوصف وحده غير كاف.
  • عدم تقييم الضوابط العامة للأنظمة غير الأساسية. معظم الملفات التي تم فحصها ركزت على الضوابط العامة في نظام ERP الرسمي (SAP أو NetSuite)، لكنها تجاهلت تماماً الجداول الإلكترونية والأدوات المخصصة المستخدمة في العمليات الحسابية والتقارير. معيار المراجعة ٣١٥.٢٦ يتطلب تقييم الضوابط على "أنظمة المعلومات ذات الصلة": وهذا يشمل الجداول إذا كانت تؤثر على البيانات المالية.
  • عدم التمييز بين الضوابط العامة والضوابط التطبيقية. بعض الملفات صنفت اختبارات الحسابات المنطقية الفردية (على سبيل المثال، اختبار صيغة في جدول بيانات) على أنها اختبار للضوابط العامة. الضوابط العامة أوسع: فهي تغطي الوصول والنسخ الاحتياطية والتغييرات والفصل بين الواجبات على المستوى الأساسي. الضوابط التطبيقية هي عمليات محددة داخل تطبيق واحد.

المصطلحات ذات الصلة

---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.