books it controls

If you do not find what you're looking for, you can use more accurate words.

# Application controls in information technology # Information technology provisions # The importance of IT governance # Data and information technology ICT # IT Security # College of Information Technology, Misurata # Information about information technology # IT Terminology # IT wars # IT companies # Information Technology Management # people in information technology # information technology in france # information technology in india # Information technology in Russia # IT locations # Information technology in Syria # information technology in australia # information technology in mexico # information technology in switzerland

عناصر تحكم تقنية المعلومات (Info)

في الأعمال التجارية والمحاسبة ، تعتبر عناصر التحكم في تقنية المعلومات (أو عناصر التحكم في تكنولوجيا المعلومات ) عبارة عن أنشطة محددة يقوم بها أشخاص أو أنظمة مصممة لضمان تحقيق أهداف العمل. ويمكن تعريفها أيضاً بـ "المجموعات الفرعية من الرقابة الداخلية للمؤسسة". تتعلق أهداف التحكم في تقنية المعلومات بسرية البيانات وتكاملها وتوافرها والإدارة الكلية لوظيفة تقنية المعلومات في مؤسسة الأعمال. غالباً ما يتم وصف عناصر التحكم في تقنية المعلومات في فئتين رئيسيتين هما: عناصر التحكم العامة في تقنية المعلومات ( ITGC ) وضوابط تطبيق تقنية المعلومات. ITGC تشمل الرقابة على بيئة تقنية المعلومات (IT)، وعمليات الحاسوب، والوصول إلى البرامج والبيانات، وتطوير البرامج والتغيرات في البرنامج. تشير ضوابط تطبيق تقنية المعلومات إلى عناصر التحكم في معالجة المعاملات، والتي تسمى أحياناً عناصر التحكم "معالجة الإدخال - و معالجة الإخراج". تم إعطاء ضوابط تقنية المعلومات أهمية متزايدة في الشركات المدرجة في الولايات المتحدة بموجب قانون ساربانيس أوكسلي . إطار COBIT (أهداف التحكم لتقنية المعلومات) هو إطار يستخدم على نطاق واسع يصدره معهد حوكمة تقنية المعلومات، والذي يحدد مجموعة متنوعة من أهداف ITGC ومراقبة التطبيق وأساليب التقييم الموصى بها. غالباً ما يرأس أقسام تقنية المعلومات في المؤسسات كبير مسؤولي المعلومات وهو المسؤول عن ضمان استخدام أدوات التحكم الفعالة في تقنية المعلومات.

الضوابط العامة لتقنية المعلومات (ITGC)

تمثل ITGC أساس بنية التحكم في تقنية المعلومات. فهي تساعد على ضمان موثوقية البيانات التي يتم إنشاؤها بواسطة أنظمة تقنية المعلومات ودعم التأكيد على أن الأنظمة تعمل على النحو المقصود وأن الإخراج موثوق. يتضمن ITGC عادة أنواع الضوابط التالية:

بيئة التحكم، أو عناصر التحكم هذه المصممة لتشكيل ثقافة الشركة أو كما تسمى في بعض الأحيان بـ "النغمات العليا".
تغيير إجراءات الإدارة - وهي الضوابط المصممة لضمان تلبية التغييرات لمتطلبات العمل المصرح بها.
إجراءات التحكم في إصدار التعليمات البرمجية المصدر / المستند - عناصر تحكم المصممة لحماية وسلامة رموز وبيانات البرنامج.
معايير دورة الحياة الخاصة بتطوير البرمجيات - عناصر تحكم مصممة لضمان إدارة مشاريع تقنية المعلومات بفعالية.
سياسات ومعايير وعمليات الوصول المنطقية - عناصر تحكم مصممة لإدارة الوصول استناداً إلى احتياجات العمل.
سياسات وإجراءات إدارة الحوادث - الضوابط المصممة لمعالجة أخطاء المعالجة التشغيلية.
سياسات وإجراءات إدارة المشاكل - عناصر تحكم مصممة لتحديد ومعالجة السبب الجذري للحوادث.
سياسات وإجراءات الدعم الفني - سياسات لمساعدة المستخدمين على الأداء بشكل أكثر كفاءة والإبلاغ عن المشاكل.
تكوين الأجهزة / البرامج ، التثبيت، الاختبار، معايير الإدارة، السياسات والإجراءات.
إجراءات التعافي من الكوارث / النسخ الاحتياطي والاسترداد ، لتمكين المعالجة المستمرة على الرغم من الظروف المعاكسة.
الأمن المادي - الضوابط لضمان الأمن المادي لتقنية المعلومات من الأفراد ومن المخاطر البيئية أو من الكوارث الطبيعية.

ضوابط التطبيق في تقنية المعلومات

عناصر التحكم في تطبيق أو برنامج تقنية المعلومات هي آلية مبرمجة بالكامل (أي، يتم تنفيذها تلقائياً بواسطة الأنظمة) المصممة لضمان المعالجة الكاملة والدقيقة للبيانات، من الإدخال إلى الإخراج. تختلف عناصر التحكم هذه استناداً إلى الغرض التجاري من التطبيق المحدد. قد تساعد عناصر التحكم هذه أيضاً في ضمان الخصوصية وأمان البيانات المنقولة بين التطبيقات. قد تشمل فئات عناصر التحكم في تطبيق تقنية المعلومات التالي:

التحقق من الاكتمال - عناصر التحكم التي تضمن معالجة جميع السجلات من البداية إلى الانتهاء.
التحقق من الصلاحية - عناصر التحكم التي تضمن إدخال البيانات الصحيحة فقط أو معالجتها.
التعريف - الضوابط التي تضمن تعريف جميع المستخدمين بشكل فريد وغير قابل للدحض.
المصادقة - عناصر التحكم التي توفر آلية مصادقة في نظام التطبيق.
التخويل - الضوابط التي تضمن فقط لمستخدمي الأعمال المعتمدين الوصول إلى نظام التطبيق.
عناصر التحكم في الإدخال - عناصر تحكم تضمن تكامل البيانات من المصادر الأولية في نظام التطبيق.
أدوات التحكم في الأدلة الجنائية الرقمية - عنصر تحكم تضمن صحة البيانات علمياً و رياضياً استناداً إلى المدخلات والمخرجات.

ضوابط تقنية المعلومات CIO / CISO

عادةً ما يكون كبير موظفي المعلومات بالمنظمة (CIO) أو كبير موظفي أمن المعلومات (CISO) مسؤولين عن أمن ودقة وموثوقية الأنظمة التي تدير بيانات الشركة وتبلغ عنها، بما في ذلك البيانات المالية. يتم دمج أنظمة المحاسبة المالية وتخطيط موارد المؤسسة في بدء البيانات المالية والترخيص بها ومعالجتها والإبلاغ عنها وقد تشارك في الامتثال Sarbanes-Oxley ، إلى الحد الذي تخفف فيه من المخاطر المالية المحددة.

نماذج عمل الرقابة الداخلية

COBIT (أهداف الرقابة لتقنية المعلومات)

COBIT هو إطار أو نموذج عمل أو معيار مستخدم على نطاق واسع يحتوي على أفضل الممارسات لكل من ITGC وضوابط التطبيق. وهو يتألف من المجالات والعمليات. يشير الهيكل الأساسي إلى أن عمليات تقنية المعلومات تفي بمتطلبات العمل، والتي يتم تمكينها من خلال أنشطة معينة للتحكم في تكنولوجيا المعلومات. كما توصي بأفضل الممارسات وطرق تقييم ضوابط تقنية المعلومات الخاصة بالمؤسسة.

COSO

تحدد لجنة المنظمات الراعية للجنة Treadway (COSO) خمسة مكونات للرقابة الداخلية ألا وهي: بيئة الرقابة ، وتقييم المخاطر ، وأنشطة الرقابة ، والمعلومات والاتصالات والمراقبة ، وكل تلك الخمس المكونات يجب أن تكون قائمة لتحقيق أهداف الإبلاغ المالي والإفصاح ؛ حيث يوفر COBIT أيضاً إرشادات مفصلة مماثلة لتقنية المعلومات، في حين يركز Val IT المترابط على حوكمة تقنية المعلومات عالية المستوى وقضايا القيمة مقابل المال. يمكن تصور المكونات الخمسة لـ COSO كطبقات أفقية لمكعب ثلاثي الأبعاد، مع تطبيق مجالات الهدف COBIT - على كل على حدة وبشكل إجمالي. المجالات الأربعة الرئيسية لـ COBIT هي: التخطيط والتنظيم واكتساب وتنفيذ وتقديم الدعم والمراقبة والتقييم.

ضوابط تقنية المعلومات وقانون "ساربينز أوكسلي" (SOX)

يتطلب SOX (جزء من القانون الفيدرالي للولايات المتحدة ) من الرئيس التنفيذي وكبار المسؤولين الماليين في الشركات العامة أن يشهدوا على دقة التقارير المالية (القسم 302) وأن يطلبوا من الشركات العامة وضع ضوابط داخلية كافية على التقارير المالية (القسم 404). أسفر مرور SOX عن زيادة التركيز على ضوابط تقنية المعلومات، حيث أن هذه العمليات تدعم المعالجة المالية وبالتالي تدخل في نطاق تقييم الإدارة للرقابة الداخلية بموجب القسم 404 من SOX.

يمكن استخدام المعيار ونموذج العمل COBIT للمساعدة في امتثال SOX ، على الرغم من أن COBIT أوسع نطاقاً إلى حد كبير. تشير إرشادات SOX لعام 2007 الصادرة عن PCAOB و SEC أن ضوابط تقنية المعلومات يجب أن تكون فقط جزءًا من تقييم SOX 404 إلى الحد الذي يتم فيه معالجة المخاطر المالية المحددة، مما يقلل بشكل كبير من نطاق ضوابط تقنية المعلومات المطلوبة في التقييم. يعد قرار تحديد النطاق هذا جزءًا من تقييم مخاطر SOX 404 الخاص بالكيان. بالإضافة إلى ذلك، تناقش التقارير والبيانات حول معايير التدقيق رقم 109 (SAS109) مخاطر تقنية المعلومات وأهداف الرقابة المتعلقة بالتدقيق المالي ويتم الرجوع إليها بواسطة إرشادات SOX.

قد تتضمن عناصر التحكم في تقنية المعلومات التي تقع عادةً ضمن نطاق تقييم SOX 404 ما يلي:

إجراءات التحكم في التطبيق (معالجة المعاملات) التي تخفف بشكل مباشر من مخاطر الإبلاغ المالي المحددة. عادة ما يكون هناك عدد قليل من هذه الضوابط داخل التطبيقات الرئيسية في كل عملية مالية، مثل الحسابات المستحقة الدفع، كشوف المرتبات، دفاتر المخصصات العامة، إلخ. ينصب التركيز على الضوابط "الرئيسية" (تلك التي تعالج المخاطر على وجه التحديد) ، وليس على التطبيق بأكمله.
الضوابط العامة لتقنية المعلومات هي ضوابط تدعم التأكيدات بأن البرامج تعمل على النحو المنشود وأن التقارير المالية الرئيسية يمكن الاعتماد عليها، وتغيير ضوابط الرقابة والأمن في المقام الأول.
ضوابط عمليات تكنولوجيا المعلومات، والتي تضمن تحديد مشاكل المعالجة وتصحيحها.

تشمل الأنشطة المحددة التي قد تحدث لدعم تقييم عناصر التحكم الرئيسية أعلاه:

فهم برنامج الرقابة الداخلية للمنظمة وعمليات إعداد التقارير المالية .
تحديد أنظمة تقنية المعلومات المشاركة في بدء البيانات المالية والترخيص بها ومعالجتها وتلخيصها والإبلاغ عنها.
تحديد الضوابط الرئيسية التي تعالج مخاطر مالية محددة.
تصميم وتنفيذ الضوابط المصممة للتخفيف من المخاطر المحددة ورصدها من أجل استمرار الفعالية الكاملة للأنظمة.
توثيق واختبار ضوابط تقنية المعلومات.
ضمان تحديث ضوابط تقنية المعلومات وتغييرها، حسب الاقتضاء، لتتوافق مع التغييرات في عمليات الرقابة الداخلية أو عمليات إعداد التقارير المالية.
مراقبة ضوابط تقنية المعلومات للتشغيل الفعال مع مرور الوقت.

للامتثال لقانون ساربينز أوكسلي، يجب أن تفهم المؤسسات كيف تعمل عملية إعداد التقارير المالية ويجب أن تكون قادرة على تحديد المجالات التي تلعب فيها التقنية دوراً حاسماً. عند النظر في الضوابط التي يجب تضمينها في البرامج، يجب أن تدرك المنظمات أن عناصر التحكم في تقنية المعلومات يمكن أن يكون لها تأثير مباشر أو غير مباشر على عملية إعداد التقارير المالية. على سبيل المثال، يمكن أن تكون ضوابط تطبيق تقنية المعلومات التي تضمن اكتمال المعاملات مرتبطة مباشرة بتأكيدات مالية. من ناحية أخرى، توجد عناصر التحكم في الوصول داخل هذه التطبيقات أو ضمن أنظمة الدعم الخاصة بها، مثل قواعد البيانات والشبكات وأنظمة التشغيل ، بنفس القدر من الأهمية، ولكنها لا تتماشى مباشرة مع التأكيد المالي.

تتم موائمة عناصر التحكم في التطبيق عموماً مع عملية الأعمال التي تؤدي إلى ظهور تقارير مالية. في حين أن هناك العديد من أنظمة تقنية المعلومات التي تعمل داخل المنظمة، فإن التزام بقانون Sarbanes-Oxley يركز فقط على الأنظمة المرتبطة بحساب كبير أو عملية تجارية ذات صلة، وتخفيف المخاطر المالية المادية المحددة. يمكّن هذا التركيز على إدارة المخاطر الذي من شأنه يأمل بأن يقلل نطاق اختبار التحكم العام في تقنية المعلومات في عام 2007 مقارنة بالسنوات السابقة.

الإفصاحات المصدرة في الوقت الراهن

القسم 409 يتطلب من الشركات العامة الكشف عن معلومات حول التغييرات المادية في حالتها المالية أو عملياتها على أساس سريع. تحتاج الشركات إلى تحديد ما إذا كانت أنظمتها المالية الحالية، مثل تطبيقات إدارة موارد المؤسسة، قادرة على توفير البيانات في الوقت الفعلي، أو ما إذا كانت المؤسسة ستحتاج إلى إضافة هذه القدرات أو استخدام برامج خاصة للوصول إلى تلك البيانات. يجب على الشركات أيضاً حساب التغيرات التي تحدث بسبب ظروف خارجية، مثل التغييرات التي يتم إجراؤها من قبل العملاء أو الشركاء التجاريين والتي قد تؤثر بشكل جوهري على مركزها المالي الخاص (مثل إفلاس العميل / المورد الرئيسي والإفلاس).

للامتثال للمادة 409 ، يجب على المؤسسات تقييم قدراتها التقنية في الفئات التالية:

توفر بوابات داخلية وخارجية - تساعد البوابات في توجيه وتحديد مشاكل ومتطلبات الإبلاغ للمستثمرين والأطراف الأخرى ذات الصلة. هذه القدرات تلبي الحاجة إلى الكشف السريع.

اتساع وكفاية المحفزات المالية والتنبيه - تقوم المؤسسة بتعيين جذور الرحلة التي ستنطلق لمعالجة وتطبيق القسم 409.

كفاية مستودعات الوثائق - تلعب المستودعات دوراً حاسماً في مراقبة الحدث لتقييم احتياجات الكشف وتوفير آلية لتدقيق كفاية الكشف.

القدرة على أن تكون متبنياً مبكراً بلغة الإبلاغ عن الأعمال القابلة للتوسيع (XBRL) - ستكون XBRL أداة أساسية لدمج وتفاعل أنظمة المعاملات، وإعداد التقارير وأدوات التحليل، والبوابات والمستودعات.

القسم 802 والاحتفاظ بالسجلات

تطلب المادة 802 من Sarbanes-Oxley من الشركات العامة وشركات المحاسبة العامة الاحتفاظ بجميع أوراق العمل الخاصة بالتدقيق أو المراجعة لمدة خمس سنوات من نهاية الفترة المالية التي انتهى فيها التدقيق أو المراجعة. يتضمن ذلك السجلات الإلكترونية التي يتم إنشاؤها أو إرسالها أو استلامها فيما يتعلق بالتدقيق أو المراجعة. نظراً لأن المدققين الخارجيين يعتمدون إلى حد ما على عمل المراجعة الداخلية، فهذا يعني ضمناً أن سجلات التدقيق الداخلي يجب أن تمتثل أيضاً للمادة 802.

بالاقتران مع الاحتفاظ بالمستند، هناك مسألة أخرى تتعلق بأمان وسائط التخزين ومدى حماية المستندات الإلكترونية للاستخدام الحالي والمستقبلي. يعني شرط الاحتفاظ بالسجلات لمدة خمس سنوات أن التقنية الحالية يجب أن تكون قادرة على دعم ما تم تخزينه قبل خمس سنوات. نظراً للتغيرات السريعة في عالم التقنية، قد تكون بعض الوسائط الحالية قديمة في السنوات الثلاث أو الخمس القادمة. قد لا يمكن استرجاع بيانات المراجعة المحتجزة اليوم ليس بسبب تدهور البيانات، ولكن بسبب المعدات القديمة ووسائط التخزين التي تم استخدامها سابقاً.

يتوقع القسم 802 من المؤسسات أن ترد على الأسئلة المتعلقة بإدارة محتوى SOX. تشمل القضايا المتعلقة بتقنية المعلومات السياسة والمعايير المتعلقة بالاحتفاظ بالسجلات والحماية والتدمير والتخزين عبر الإنترنت ومسارات التدقيق والتكامل مع مستودع المؤسسة وتقنية السوق وبرامج SOX والمزيد. بالإضافة إلى ذلك، ينبغي أن تكون المنظمات مستعدة للدفاع عن جودة برنامج إدارة السجلات (RM) الخاص بها ؛ شمولية RM (أي الاتصالات الورقية والإلكترونية والمعاملات، والتي تشمل رسائل البريد الإلكتروني والرسائل الفورية وجداول البيانات التي تستخدم لتحليل النتائج المالية) ، ومدى ملائمة دورة الحياة الخاصة بالاحتفاظ، وقابلية ممارسات RM ، وقابلية التدقيق وإمكانية الوصول إلى محتوى RM.

تطبيق المستخدم النهائي / ضوابط جدول البيانات

غالباً ما يتم استخدام جداول البيانات أو قواعد البيانات المستندة إلى الحاسب الشخصي لتوفير بيانات أو حسابات مهمة تتعلق بمجالات المخاطر المالية في نطاق تقييم SOX 404. غالباً ما يتم تصنيف جداول البيانات المالية على أنها أدوات حوسبة للمستخدم النهائي (EUC) حيث أنها كانت غائبة تاريخياً عن ضوابط تقنية المعلومات التقليدية. يمكنهم دعم الحسابات المعقدة وتوفير مرونة كبيرة. ومع ذلك، في ظل المرونة والقوة، تتعرض لخطر الأخطاء وإمكانية الاحتيال المتزايدة وإساءة استخدام جداول البيانات المهمة التي لا تتبع دورة حياة تطوير البرامج (مثل التصميم والتطوير والاختبار والتحقق من الصحة والنشر). لتصحيح ومراقبة جداول البيانات، قد تطبق المؤسسات العامة ضوابط مثل:

قوائم الجرد وجداول المخاطر المرتبطة بالمخاطر المالية الحرجة المحددة في نطاق تقييم SOX 404. وتتعلق هذه عادةً بالتقديرات والأحكام الرئيسية للمؤسسة، حيث تتعلق الحسابات والافتراضات المعقدة. تعد جداول البيانات المستخدمة لمجرد التنزيل والتحميل مصدر قلق أقل.
إجراء تحليل قائم على المخاطر لتحديد أخطاء منطق جدول البيانات. الأدوات الآلية موجودة لهذا الغرض.
التأكد من أن حسابات جداول البيانات تعمل كما هو مطلوب منها (أي، "خطة العمل" المأمول منها).
ضمان الموافقة على التغييرات في الحسابات الرئيسية بشكل صحيح.

مسؤولية التحكم في جداول البيانات هي مسؤولية مشتركة مع مستخدمي الأعمال وتقنية المعلومات. تهتم مؤسسة تقنية المعلومات عادة بتوفير محرك أقراص مشترك آمن لتخزين جداول البيانات والنسخ الاحتياطي للبيانات. موظفو العمل مسؤولون عن الباقي.

مصادر

Coe، Martin J. "خدمات الثقة: طريقة أفضل لتقييم عناصر التحكم في تكنولوجيا المعلومات: تلبية متطلبات القسم 404." Journal of Accountancy 199.3 (2005): 69 (7).
تشان، سالي، وستان لوبيك. "تكنولوجيا المعلومات و Sarbanes أوكسلي." CMA Management 78.4 (2004): 33 (4).
جودوين، بيل. "يجب أن تؤدي تكنولوجيا المعلومات على ساربينز أوكسلي." Computer Weekly 27 April 2004: p5.
جومولسكي، باربرا. "أهم خمس قضايا لمديري المعلومات." Computerworld يناير 2004: 42 (1).
هاجري، جون. "Sarbanes-Oxley أصبح الآن حقيقة من حقائق الحياة التجارية، يشير إلى ارتفاع الإنفاق على امتثال تكنولوجيا SOX حتى عام 2005." VARbusiness 15 نوفمبر 2004: 88.
Altiris.com
"أهداف التحكم في تكنولوجيا المعلومات لـ Sarbanes Oxley: أهمية تكنولوجيا المعلومات في تصميم وتنفيذ واستدامة الرقابة الداخلية على الإفصاحات والتقارير المالية." itgi.org . أبريل 2004. معهد حوكمة تكنولوجيا المعلومات. 12 مايو 2005
جونستون، ميشيل. "تنفيذ تدقيق تكنولوجيا المعلومات من أجل الامتثال Sarbanes-Oxley." informit.com . 17 سبتمبر 2004
لوري، باري ن. "تكنولوجيا المعلومات وامتثال ساربانيس أوكسلي: ما يجب أن يفهمه المدير المالي". المحاسبة المصرفية والمالية 17.6 (2004): 9 (5).
ميكولوم، تيم. "ندوة معهد المدققين الداخليين تستكشف تأثير تكنولوجيا ساربينز أوكسلي". تدقيق تكنولوجيا المعلومات 6 (2003).
مكونيل جونيور، دونالد ك، وجورج ي. بانكس. "كيف سيغير ساربينز أوكسلي عملية التدقيق". aicpa.org (2003).
مونتر بول. "تقييم الضوابط الداخلية واستقلال المراجع في عهد ساربانيس أوكسلي". المدير المالي 19.7 (2003): 26 (2).
"وجهات نظر حول تقارير الرقابة الداخلية: مورد للمشاركين في السوق المالية". ديلويت آند توش إل إل بي، إرنست آند يونج إل إل بي، كي بي إم جي إل إل بي، برايس ووترهاوس كوبرز إل إل بي. ديسمبر 2004.
بيازا، بيتر. "متطلبات أمن تكنولوجيا المعلومات من ساربانيس أوكسلي." إدارة الأمن يونيو 2004: 40 (1).
"قسم ساربانيس أوكسلي 404: نظرة عامة على متطلبات PCAOB". KPMG. أبريل 2004.
"أظهر ساربانيس-أوكسلي الإنفاق في عام 2004 أكثر من المتوقع: بلغ الإنفاق على الامتثال للمادة 404 4.4 مليون دولار في عام 2004 ، وفقًا لاستطلاع الرأي." InformationWeek 22 مارس 2005.
"تأثير ساربينز أوكسلي على تكنولوجيا المعلومات وحوكمة الشركات". serena.com 12 مايو. 2005
خمس خطوات للنجاح من أجل الامتثال لجداول البيانات . أسبوع الامتثال، يوليو 2006.
تمت الموافقة على Pcaobus.org ، المعيار الجديد لتدقيق PCAOB للرقابة الداخلية على التقارير المالية من قبل المجلس الأعلى للتعليم.

Source: wikipedia.org