عرض مشاركة واحدة
قديم 05-14-2009, 03:20 PM
  #2
أحمد فاروق سيد حسنين
 الصورة الرمزية أحمد فاروق سيد حسنين
 
تاريخ التسجيل: Jan 2009
المشاركات: 3,257
Thumbs up مشاركة: مسئولية مراقب الحسابات عن اكتشاف الأخطاء والغش فى ظل النظم الممسوكة آليا

تابع
أولاً: سلامة وقانونية عمليات اقتناء وتصميم وتعديل البرامج التطبيقيه:

وتبعاً لذلك يجب أن تتوافر مستندات كتابية قابلة للفحص بشأن ثلاثة مراحل يجب أن يمر بها البرنامج قبل وضعه موضع التطبيق والاستخدام الفعلى سواء كان جديد أو معدلاً وهى.........
•الترخيص أو التصريح ببدء عملية الاقتناء أو التصميم أو التعديل من السلطة المختصة.
•اختيار البرنامج طبقاً لإجراءات رسمية محددة وبحضور لجنه تضم مدير التشغيل الإلكترونى ومندوب الجهة الطالبة والمراجع الداخلى وأن يؤيد كل البيانات المستخدمة فى الاختيار وتعتمد فى وثائق ويحفظ بها كدليل على سلامة البرنامج.
•اعتماد البرنامج من مدير قسم التشغيل الإلكترونى وتنتهى هنا صلة محلل النظام والمبرمج بالبرنامج المعتمد ولا يسمح لهم بحق الوصول إليه إلا عند الرغبة فى ادخال تعديلات إضافية مع تكرار نفس الإجراءات السابقة.

ثانياً: كفاية وشمول عمليات التوثيق لكل من النظام والبرنامج تفيد فى:
•تزويد إدارة المشروع بصورة واضحة عن نظام التشغيل الإلكترونى.
•تزويد المراجع الداخلى والخارجى بالرؤية التى تساعده فى فحص وتقييم أساليب الرقابة المحاسبية المطبقة.
•تزويد محلل النظم ومخطط البرامج بالمعلومات الضرورية عند الرغبة فى تطوير النظام القائم.
وأهم المستندات التى يجب الاحتفاظ بها:
1.فى مجال توثيق النظام:
•مذكرة لتعريف المشكله ووصف الغرض من النظام وطريقة تكامله مع النظم الفرعية وطريقة المعالجة.
•خرائط تدفق النظام.
•مستلزمات الإدخال والإخراج ومواصفاتها.
•التصريح الصادر بتصميم وتعديل النظام.

2.فى مجال توثيق البرنامج:
•طبيعة المشكلة التى يعالجها البرنامج التطبيقى وعلاقتها بالنظام ككل.
•خريطة سير البرنامج.
•قائمة بالجوانب الرقابية التى يتضمنها البرنامج.
•التصميم الداخلى لملفات البيانات ومواصفات الحقول.
•تعليمات وإرشادات التشغيل.
•نسخه مطبوعة لمحتويات البرنامج.
•المستندات والوثائق المؤيدة لاختيار البرنامج واعتماده.
•وصف تفصيلى لشكل ومضمون نماذج المدخلات والمخرجات.

ثالثاً: حماية البرامج من التعديل أو الاستخدام الغير مشروع:
ولذلك يجب بمجرد اعتماد البرنامج الاحتفاظ بنسخة كاملة منه بمكتبة البرامج وليس فقط ذلك بالنسبة لبرنامج الآلة وإنما ايضاً لبرنامج المصدر حتى نضمن عدم الدخول غير المشروع وعدم إجراء تعديلات على البرنامج.
وأهم الإجراءات والأساليب فى هذا الشأن:
1.إصدار تعليمات تحظر الوصول إلى البرنامج المعتمد إلا بواسطة المشغلين وحدهم وذلك وفق جدول زمنى معتمد ولا يسمح لغيرهم بالوصول لا بموجب تصريح معتمد ومحدد به الغرض.
2.استخدام بعض برامج خدمات الدعم المتخصصة فى الحماية ضد التعديلات غير المصرح بها لملفات البرامج، ويمكن للمراقب الاعتماد على التقارير التى تنتجها هذه البرامج.

أساليب الرقابة التى تختص بقواعد البيانات:

‌أ- مخاطر الوصول الغير مشروع.
والمقصود بها تمكن أشخاص من داخل المنشأة أو خارجها من الوصول بطريقة غير مشروعة إلى ملفات البيانات والإطلاع على ما بها من بيانات أو تعديلها وفى ذلك إفشاء للأسرار وهذا النوع من المخاطر يزداد فى حالة تشغيل برامج إدارة قواعد البيانات على مجموعة من الحاسبات المتصلة معاً فى شكل شبكة ربط محلية أو غير محلية ولمواجهة هذا النوع من المخاطر يجب استخدام برامج حماية متخصصة تقوم على ثلاثة محاور:
·مراقبة الدخول عن طريق استخدام كلمة السر Pass- word
·مراقبة الوصول للبيانات عن طريق تحديد مستويات الوصول لكل موظف بقسم التشغيل وأحيانا يحدد حقول البيانات التى يجوز لكل واحد الإطلاع عليها.
·تمويه ملفات البيانات بحيث تجعل بيانات الملف غير قابلة للقراءة إلا بعد إجراء عملية إزالة التمويه.......... وأشخاص معينة أو شخص معين يعرف مفتاح إزالة التمويه.

‌ب- مخاطر الفقد والتلف:
قد يتعرض ملف البيانات للتلف نتيجة حدوث أعطال مفاجئة فى الحاسب ذاته أو نتيجة تسرب فيروس ذوى تأثير ضار على محتويات ملف البيانات.
وأهم الأساليب الرقابية المستخدمة لمواجهة هذا النوع:
·إعداد نسخ احتياطية لملفات البيانات ويستخدم فى ذلك برامج متخصصة فى النسخ.
·الحفظ السليم للنسخ الاحتياطية فى مكان منفصل تماماً عن غرفة الحاسب ومؤمن ضد مخاطر الحريق والتلف.
·تأمين ملفات البيانات الغير مستخدمة فى مكتبة مؤمنة مع الاحتفاظ بنسخ احتياطية منها، كما يجب أن يراعى وضع أسماء وعلامات واضحة على حوائط الأشرطة والأقراص المغناطيسية حتى يسهل استخدامها ومعرفة محتوياتها.

أساليب الرقابة التى تختص بالأجهزة:
هناك أساليب تصميم بمعرفة الصانع نفسه تهدف لضمان عدم حدوث اخطاء اثناء عملية تداول ومعالجة البيانات داخل الحاسب نفسه بالإضافة لمجموعة أساليب يدوية تستهدف تحقيق الرقابة المادية على الحاسب والأجهزة الملحق بها أمثلتها:
·التأمين على الحاسب ضد المخاطر الخاصة بالحريق أو التلف ويجب أن يغطى التأمين تكلفة إعادة بناء الملفات أو البرامج المفقودة.
·حظر دخول غرفة الحاسب لغير المتخصصين إلا بموجب تصريحاً محدد به الغرض من الزيارة.
·أن يكون هناك اجراءات تنظم كيفية التصرف عند حدوث توقفات أو اعطال فجائية.
أساليب الرقابة على التطبيقات application- controls
تتوقف فاعلية أساليب الرقابة على التطبيق إلى حد كبير على درجة كفاية أساليب الرقابة العامة والوقاية على التطبيق تغطى الأبعاد الثلاثة الآتيه لعملية تشغيل البيانات:

1.رقابة التطبيق طرف المستخدم.
والهدف منها التحقق من أن:
·البيانات التى يتم تحويلها لقسم التشغيل الإلكترونى صحيحة وشاملة وخالية من الأخطاء.
·أن البيانات التى يتم تشغيلها شاملة ودقيقة وتعبر عن الواقع وتنفذ هذه الأساليب بواسطة افراد فهى يدوية.
ويمكن تقسيم هذه الأساليب إلى مجموعات:
·استعراض ومراجعة البيانات الواردة بمستندات القيد الأولى قبل تحويلها لقسم التشغيل.
·الرقابة بالمجاميع وتشمل مجاميع مالية ومجاميع غير قيمية قبل مسلسل الفواتير وأرقام الحسابات والعملاء وأرقام مسلسل الشبكات ومجاميع السجلات وتصحيح الأخطاء.

2.رقابة التطبيق داخل قسم التشغيل الإلكترونى.
رقابة المدخلات والهدف منها ضمان صحة وسلامة عمليات إدخال البيانات الوارده بحزم المستندات.
أساليب يدوية:
·التحقق من الأختام والتوقيعات على كل مستند.
·إعادة حساب المجاميع الرقابية ومقارنتها بالسابق إعدادها لاكتشاف أخطاء الحذف والسهو والتكرار.
·إجراء مراجعه بعد عملية الإدخال مع ما تم إدخاله وإجراء مطابقة تفصيلية.
أساليب مبرمجة:
وهى احتواء البرنامج على بعض الإجراءات التى توجه البرنامج تلقائياً للقيام باختبارات معينة على البيانات التى يتم إدخالها أول بأول ولو إذا اكتشف خطأ فإن البرنامج يرفض قبول البيانات ولا يسجلها بملف البيانات ويظهر رسالة تحذير للمشغل ومن أهم هذه الأساليب......... اختبار مضاهاة الأكواد، اختبار الوجود، اختبار التبعية " اختبار الشكل المحدد للبيانات المدخله، اختبارات الحدود والمعقولية "

3.الرقابة على المخرجات:
وتشمل الرقابة كل صور تقارير النتائج وما تحتوى عليه من معلومات وهى تتكون عادة من أساليب هدفها الرئيسى التحقق من صحة وشمول المخرجات ويقوم بها أشخاص مسئولين داخل قسم التشغيل الإلكترونى وبالأقسام والإدارات المستخدمة ذاتها. وتشمل الرقابة بقسم التشغيل الإلكترونى:
·التحقق من صحة نتائج التشغيل الإلكترونى قبل إرسالها للإدارات المختصة.
·التحقق من أن المخرجات يتم تسليمها للأشخاص المصرح لهم بذلك دون غيرهم ويستخدم لهذا الغرض سجل خاص يتضمن أسماء ووظائف من لهم حق استلام كل نوع من تقارير المخرجات.
·التحقق من ان اى تقارير استثنائية لا تنتج أو تسلم إلى الجهة المختصة إلا بموجب تصريح مسبق من مدير قسم التشغيل الإلكترونى.

اختبارات الالتزام compliance- tests
والغرض من هذه المرحلة هو تحديد ما إذا كانت نظم الرقابة تعمل فى التطبيق على النحو المفترض اصلاً فى اللوائح المنظمة لها أم لا ؟ ويقوم المراجع بعدة إجراءات مثل:
1.اختبار عينة عشوائية من نماذج طلب البرامج للتحقق من اعتمادها من المسؤل قبل البدء فى تصميم أو تعديل البرنامج.
2. اختبار عينه من قوائم الإدخال وفحص الإجراءات التى اتبعت بشأن تصحيح الأخطاء.
3.محاولة اختراق لنظام الرقابة على حق الوصول للملفات والبرامج بإتباع الأسلوب المعروف beating- system عن طريق الاتفاق مع الإدارة على استخدام أحد النهايات الطرفية فى تنفيذ عملية وصول غير مشروع لأحد البرامج على خلاف ما هو مقرر بجداول التشغيل اليومى ثم تقيم النتائج وإما أن يقتنع بهذه النظم ومن ثم ينتقل لاختبارات التحقق أو انه يقرر الانسحاب من العملية ويقدم النصح للإدارة.

اختبارات التحقق substantive – tests
والهدف من إجراؤها حصول المراجع على الأدلة الكافية التى تمكنه من الحكم على مدى صحة ودقة وتكامل وشمول البيانات المحاسبية وبعض هذه الاختبارات ينطوى على اجراءات يدوية، بينما يستلزم البعض الآخر أساليب مبرمجة والأخيرة تتوقف على ما إذا كانت الاختبارات تهدف إلى مراجعة العمليات أو الى التحقق من أرصدة الأصول والخصوم.

مرحلة التقييم الشامل وإبداء الرأى فى التقرير over all evaluation and reporting
وتتمثل فى إجراء تقييم شامل لكافة الأدلة وقرائن الإثبات من خلال المراحل السابقة وإعداد التقرير الفنى للمراجعة.

__________________
محاسب قانونى
أحمد فاروق سيد حسنين





اسألكم الدعاء لأبي وأمى
بالرحمة والمغفرة

أحمد فاروق سيد حسنين غير متواجد حالياً  
رد مع اقتباس