خطوات تدقيق الحاسب الآلي Performing an IS Audit :
هنالك مجموعة من الخطوات الضرورية للقيام بعملية التدقيق على أنظمة الحاسب الآلي ، تبدأ من تقييم المخاطر المحيطة بالنظام ، ومن ثم وضع برنامج للتدقيق يحتوي على الأهداف المرجوة وإجراءات تحقيقها ، ومن بعد القيام بجمع الأدلة اللازمة لتقييم نقاط الضعف والقوة في نظام الرقابة وأخيرا إعداد تقرير التدقيق الذي يبين نتائج وتوصيات التدقيق . وفيما يلي عرض اكثر تفصيلا لهذه الخطوات وبيان لأهم النقاط التي يجب مراعاتها في كل مرحلة من مراحل التدقيق :
1- المخاطر وعوامل الضبط والرقابة Risk and Control :
(أ) فهم طبيعة نشاط الشركة والبيئة المحيطة بها .
(ب) مخاطرة التدقيق Audit Risk والأهمية النسبية Materiality : مخاطرة التدقيق هي مخاطرة احتواء موضوع التدقيق ( من بيانات مالية وتقارير ) على أخطاء ذات أهمية نسبية لا يستطيع المدقق أن يكتشفها ويمكن تفصيل مخاطرة التدقيق إلى :
· خطر متأصل في موضوع التدقيق Inherent Risk : وهو خطر موجود في موضوع التدقيق ، وتختلف نسبة ودرجة هذه المخاطرة باختلاف طبيعة وهدف التدقيق.
· مخاطرة الضبط أو الرقابة Control Risk : وهي مخاطرة حدوث أخطاء ذات أهمية نسبية دون قيام نظام الضبط والرقابة الداخلية بمنع حدوثها أو كشفها .
· مخاطرة عدم الاكتشاف Detection Risk : هي مخاطرة استخدام المدقق إجراءات تدقيق غير مناسبة لاكتشاف الأخطاء ذات الأهمية النسبية .
أما عن مفهوم الأهمية النسبية فإنها تعتمد بالدرجة الأولى على تقدير المدقق لأهمية الخطأ ومدى تأثيره على موضوع التدقيق .
(ج) تقييم المخاطرةRisk Assessment : يجب على المدقق تقييم كافة مواقع المخاطرة المحتملة وان يحدد المواقع الأكثر مخاطرة والتي بحاجة للتدقيق اكثر من غيرها . وهذه المرحلة هامة جدا في عملية التخطيط وتساعد على توجيه وتوزيع الموارد المحدودة للتدقيق للجهات الأكثر خطورة .
(د) فهم أهداف نظام الرقابة الداخلي لنظام المعلوماتInformation Systems Control Objectives ، من أهم هذه الأهداف :
· إن نظام المعلومات محمي من الدخول أو التدخل غير الصحيح.
· كل عملية تمت الموافقة عليها وأدخلت مرة واحدة للنظام .
· جميع العمليات المرفوضة تم تقريرها .
(ﻫ) فهم إجراءات الرقابة الداخلية لنظام المعلومات IS Control Procedures : وعادة تصنف إجراءات الرقابة الداخلية إلى الفئات الثلاثة التالية :
· إجراءات حمايةPreventive Controls : وهي تهدف إلى منع حدوث الأخطاء .
· إجراءات للكشفDetective controls : وهي تهدف إلى اكتشاف الأخطاء بعد حدوثها .
· إجراءات للتصحيحCorrective Controls : وهي تهدف إلى تصحيح الأخطاء بعد اكتشافها .
2- تطوير برنامج للتدقيق Audit Program Development :
(أ) هو عبارة عن خطة أو برنامج للتدقيق يضع الخطوات اللازمة لتحقيق أهداف التدقيق ، ويتكون البرنامج عادة من الأجزاء التالية :
· موضوع التدقيق .
· أهداف التدقيق .
· نطاق التدقيق .
· التخطيط ما قبل التدقيق Pre-audit Planning .
· خطوات التدقيق وإجراءات التدقيق .
· إجراءات تقييم نتائج التدقيق .
· إجراءات ايصال نتائج التدقيق للإدارة .
· إعداد تقرير التدقيق .
· اجراءات المتابعة .
(ب) اختبارات الالتزام والاختبارات الجوهرية Compliance and Substantive Testing :
اختبارات الالتزام هي اختبارات يقوم بها المدقق لضمان تطبيق نظام الرقابة والضبط الداخلي بما يتفق مع أهداف وسياسات الإدارة . في حين أن الاختبارات الجوهرية هي التي يقوم بها المدقق لضمان صحة وسلامة عمليات التشغيل .
(ج) القواعد المتعلقة بتقييم أدلة التدقيقRules of Evidence :
أدلة التدقيق هي معلومات يجمعها المدقق لتساعده على اتخاذ القرار ومن ثم التوصية حول موضوع التدقيق . وأدلة التدقيق قد تكون ملاحظات المدقق ، محاضر الاجتماع مع مديري وموظفي الشركة ، المعلومات المستقاة من سجلات ومراسلات الشركة او نتائج الاختبارات التي يجريها المدقق . والقواعد التالية يعتمد عليها المدقق لتقييم درجة أهمية ومصداقية الدليل.
· حيادية واستقلالية المصدر المزود للدليل .
· درجة تأهيل وتدريب الشخص المزود للدليل .
· درجة موضوعية الدليل.
3- جدولة موارد التدقيق Audit Resource Scheduling :
من الضروري جدا للمدقق فهم حقيقة محدودية الموارد المتاحة له لعملية التدقيق ، وأهمية توزيع الموارد المحدودة على المواضيع والمواقع المختلفة للتدقيق ، واستغلالها استغلالا مثاليا بما يضمن تحقيق أهداف وسياسات الإدارة .
4- تقنيات ووسائل جمع أدلة التدقيق Evidence Gathering Techniques :
التقنيات التالية تسمح للمدقق جمع الأدلة اللازمة لتكوين رأي حول موضوع التدقيق :
(أ) مراجعة هيكل نظام المعلومات في الشركة .
(ب) مراجعة معايير توثيق نظام المعلومات في الشركة .
(ج) مراجعة وثائق نظم المعلومات .
(د) عمل اللقاءات والمقابلات مع الأشخاص المناسبين .
(ﻫ) ملاحظة ومراقبة الموظفين أثناء تنفيذ العمل .اختيار وتحديد عوامل الضبط الداخلية الأساسية وإجراءات الاختبارات اللازمة .
(و) استخدام أسلوب العينات الإحصائية لإجراء الاختبارات .
(ز) استخدام تقنيات المساعدة على تدقيق الحاسب الآليComputer Assisted Audit Techniques ( CAAT)
5- تقييم نقاط القوة والضعفEvaluation of Audit Strengths and weaknesses :
الخطوة التالية هي عملية تقييم للمعلومات وتحديد نقاط القوة والضعف لتشكيل الرأي ومن ثم إصدار التوصيات اللازمة . وفي هذه العملية يجب إن يراعي المدقق النقاط التالية :
· المعلومات الأساسية والمعلومات الإضافيةRelevant and Peripheral Information .
· الضوابط التعويضية والضوابط المتداخلةCompensating and Overlapping Controls .
· الأهمية النسبية للملاحظات Materiality of Findings .
6- إعداد تقرير المدقق Audit Report :
وهو وسيلة إيصال ملاحظات المدقق وتوصياته النهائية للإدارة ، مكونات التقرير هي كما يلي :
· المقدمة وفيها تحديد لأهداف ونطاق التدقيق والفترة الزمنية المغطاة ، وعبارة عامة عن طبيعة وحجم إجراءات التدقيق المنفذة .
· التوصية النهائية ورأي المدقق بإجمال .
· التوصيات بالتفصيل .
7- متابعة تطبيق الإدارة للتوصياتManagement Actions to Implement Recommendations :
على المدقق أن يضع برنامجا للمتابعة ومراقبة تطبيق الإدارة للتوصيات .
الموضوع بقلمي، أرجو ذكر المصدر عند النقل و هذه امانة برقبته
سعد الزبيدي