الضوابط العامة لتكنولوجيا المعلومات

كيف تعمل

تُمثّل ITGCs الحدود الأساسية لسلامة كل عملية تعتمد على التكنولوجيا. بموجب ISA 315.26، يقيّم المراجع كيفية حماية الكيان لمعالجة المعلومات المهمة. ليس فقط على الأنظمة الكبرى، بل على الأدوات الأقل رسمية المستخدمة في الحسابات والتنسيقات المالية.

تشمل الضوابط العامة:

- الوصول إلى الأنظمة والبيانات (من يُعدّل، متى، وكيف يُسجَّل ذلك) - إدارة التغييرات (كيف تُختبر التعديلات قبل دخولها بيئة الإنتاج) - النسخ الاحتياطية والاسترجاع (هل يوجد دليل على أن النسخ تعمل فعلاً) - الفصل بين الواجبات على مستوى النظام

في الواقع، عندما تكون هذه الضوابط ضعيفة أو غائبة، يرتفع خطر الخطأ (سواء أكان متعمداً أم غير متعمد). ISA 330.8 يلزم المراجع بالحصول على أدلة كافية حول تصميم الضوابط ذات الصلة وفعالية تشغيلها على أنظمة المعلومات المهمة. الضوابط العامة هي ما يتيح تلبية هذا المتطلب حين لا تكفي الاختبارات التفصيلية للعمليات.

ما يحدث عملياً هو أن ضوابط SAP تُختبر لساعات، بينما يُسجَّل دفتر Excel بقيمة ٣.٢ مليون يورو "قيداً معروفاً" وتنتهي القصة. الجدول الإلكتروني لا يضبط شيئاً. الثقة فيه ثقة بحبر على ورق، لا أكثر.

مثال عملي: شركة برن للخدمات المالية

العميل: شركة برن للخدمات المالية، ٣٥ موظفاً، إيرادات ٢٨ مليون يورو، تُعدّ بياناتها وفق IFRS.

الخطوة الأولى: تحديد الأنظمة ذات الصلة

أثناء فهم البيئة، وجد فريق المراجعة أن الكيان يستخدم SAP لمعالجة الفواتير والدفعات، وجدول Excel مشترك لتسجيل تعديلات الفترة (استحقاقات الموظفين، تعديلات الضرائب)، وتطبيقاً مخصصاً يديره موظف واحد لحساب مخصصات الضمان والتقاعد.

ملاحظة التوثيق: رقم الجدول في البرنامج: "ملفات النظام المستخدمة في التقارير المالية"

الخطوة الثانية: تقييم ITGCs لكل نظام

بالنسبة لـ SAP (النظام الرسمي):

- الوصول: يُحدّث مسؤول النظام الصلاحيات شهرياً وفق قائمة معتمدة من المدير المالي. سجلات الوصول متوفرة، والتعديلات قابلة للتتبع إلى مستخدم محدد.

ملاحظة التوثيق: اختُبرت ١٢ معاملة عشوائية من دفتر الأستاذ العام للفترة. تم التحقق من كل معاملة مقابل سجل الوصول. لا توجد معاملات من حسابات وصول منتهية الصلاحية.

- إدارة التغييرات: قبل نشر أي تحديث في الإنتاج، يُجري مسؤول النظام الاختبارات في بيئة dev/test منفصلة. خطة النسخ الاحتياطية الدورية موثّقة كتابياً.

ملاحظة التوثيق: طُلبت آخر ثلاثة تحديثات (أكتوبر إلى ديسمبر). فُحصت سجلات الاختبار في ملف التحديثات. تأكدنا من فصل بيئة الاختبار عن الإنتاج على خادم منفصل.

بالنسبة لجدول Excel (غير الرسمي):

- الوصول: لا توجد حماية بكلمة مرور. أي شخص على الشبكة يستطيع فتح الملف على المجلد المشترك والتعديل عليه.

- إدارة التغييرات: لا تتبّع للتغييرات. لا يمكن معرفة من غيّر أي رقم ولا متى.

- المفاجأة: الملف يحتوي ماكرو يُعيد حساب رقم استحقاقات الإجازات عند فتحه. ختم تعديل الملف يتغير مع كل فتح، حتى عندما نفتحه نحن لاختباره. مسار التدقيق نفسه ينكسر بمجرد لمسه.

ملاحظة التوثيق: فُتح الملف وتم التحقق: لا نسخ محفوظة بختم تاريخ، لا حماية ورقة، لا تعليقات تتتبع الموافقة. الماكرو يُعيد الحساب تلقائياً.

الخطوة الثالثة: تقييم كفاية الأدلة

- SAP: ITGCs موثقة وقابلة للاختبار. اختُبرت عينات من الوصول والتغييرات، ويمكن الاعتماد على النظام.

- جدول Excel: لا ضوابط عامة من الأساس. الملف يُحرَّر يدوياً بالكامل، ولا فحوصات رقابية مدمجة. يجب اختبار كل رقم في الجدول بإجراء جوهري مفصّل.

ملاحظة التوثيق: ضوابط عامة ضعيفة على الجداول الحسابية. ISA 315.26 وISA 330.8 يتطلبان توثيق هذا التقييم والرد عليه. وُسّعت الإجراءات الجوهرية لتغطية كل عنصر بدلاً من الاعتماد على ضوابط عامة قوية.

الخلاصة:

من واقع خبرتنا، التقييم كان حاسماً. النظام الرسمي (SAP) لديه ITGCs قابلة للدفاع. الجداول غير الرسمية لم تكن. كان لا بد أن تختلف استراتيجية المراجعة بين النظامين، وإلا فإن الفشل في تقييم الضوابط العامة منفصلةً كان سيترك ثقة بلا أساس على استحقاقات بقيمة ٣.٢ مليون يورو مشتقة من Excel.

هنا يقع خلاف مشروع بين الممارسين. فريق يرى أن الحل هو إجراء جوهري على كامل المجتمع داخل الجدول. وفريق آخر يرى أن تصميم خطة اعتماد على ضوابط بديلة (تحقق مزدوج، مطابقة شهرية، تجميد نسخة) يكفي. كلا الموقفين له مدافعون من داخل المهنة.

ما الذي يحصل عليه المراجعون بشكل خاطئ

- الاعتماد على ITGCs دون اختبارها. في تفتيش NBA (الهيئة الهولندية للمراجعين) عام ٢٠٢٢، لاحظ المفتشون أن الملفات افترضت أن الضوابط العامة تعمل بناءً على وصف الإدارة وحده، دون دليل فعلي. نفس النمط ظهر في ملاحظات الفحص المتكررة من SOCPA على ملفات سعودية. ISA 330.8 يُلزم المراجع بأدلة على تصميم الضوابط وفعالية تشغيلها. الوصف وحده لا يكفي.

- عدم تقييم ITGCs للأنظمة غير الأساسية. معظم الملفات التي فحصناها ركّزت على ضوابط ERP الرسمي (SAP أو NetSuite) وتجاهلت تماماً الجداول الإلكترونية والأدوات المخصصة في الحسابات والتقارير. ISA 315.26 يطلب تقييم الضوابط على "أنظمة المعلومات ذات الصلة"، وهذا يشمل الجداول إذا كانت تؤثر على البيانات المالية. لاحظنا في تفتيش الملفات أن هذه هي الفجوة الأكثر تكراراً. السبب أن توثيق ITGCs على طبقة الجدول يضيف ساعات لا يملكها الجدول الزمني للمراجعة، فيُكتفى بإثبات الضوابط الورقية على الـ ERP.

- الخلط بين الضوابط العامة والضوابط التطبيقية. بعض الملفات تُصنّف اختبار صيغة في خلية معينة على أنه اختبار ضابط عام. ITGCs أوسع، إذ تغطي الوصول والنسخ الاحتياطية والتغييرات والفصل بين الواجبات على مستوى النظام، بينما الضوابط التطبيقية تعمل داخل تطبيق واحد. الإجراءات الصورية على هذا المستوى تُكلف الملف الكثير عند التفتيش.

- معاملة الجداول كأنها بلا نظام. هذه إجراءات صورية بامتياز: ملف اعتمدت عليه التقارير، لكنه غير مدرج في خريطة الأنظمة. الحوكمة الورقية على الـ ERP لا تعوّض غياب الضابط على الجدول.

ISA 315 لا يفشل لأن المكاتب تعجز عن قراءة المعيار. يفشل لأن المعيار صريح في نطاقه (أي نظام يعالج بيانات مادية)، بينما هياكل الأتعاب تتعامل مع طبقة الجدول الإلكتروني كأنها لا توجد.

المصطلحات ذات الصلة

- ضوابط التطبيق: الضوابط المضمّنة في تطبيق محدد لمعالجة البيانات بصورة صحيحة. - البيئة الرقابية: السياق الأوسع الذي تعمل ضمنه الضوابط، ويشمل الموقف من النزاهة والقيم. - مخاطر التكنولوجيا: المخاطر المرتبطة بالأنظمة والبيانات والعمليات. - فعالية الضابط: تقييم ما إذا كان الضابط يحقق الغرض المقصود. - تقييم مخاطر المعالجة: تحديد الأنظمة والعمليات الحسابية التي قد تؤثر على البيانات المالية. - معيار المراجعة ٣١٥: المعيار الحاكم لتحديد المخاطر وتقييمها.

---