معلومات عن مسئولية مراقب الحسابات عن اكتشاف الأخطاء والغش فى ظل النظم الممسوكة آليا
معلومات عن مسئولية مراقب الحسابات عن اكتشاف الأخطاء والغش فى ظل النظم الممسوكة آليا
بسم الله الرحمن الرحيم
مسئولية مراقب الحسابات عن اكتشاف الأخطاء والغش فى ظل النظم الممسوكة آليا
كان لظهور الحاسبات الآلية واستخدامها فى المنشآت آثار وانعكاسات عديدة منها:
1.تأثر العديد من الجوانب الشكلية والإجرائية للحد الذى استلزمته طبيعة التشغيل الإلكترونى ومتطلباته التقنية لمقومات النظام المحاسبى وأكثرها تأثراً المجموعة الدفترية التى تولت لملفات الكترونية لا يمكن التعامل معها إلا من خلال البرنامج التطبيقى الذى انشأها.
2.اختلاف خطوات المنهج المحاسبى.
3.اصبح مسار المراجعة فى جزء كبير منه غير مرئى لأنه يتم داخل الحاسب الآلى.
4.اصبحت ضوابط الرقابة مبرمجة مع برامج تطبيقات الحاسب الآلى ولا سبيل للتحقيق من سلامة البرنامج إلا بالتحقق من خلوه من الأخطاء المنطقية وحمايته من محاولات التعديل أو الاستخدام غير المشروع.
كل هذه الأمور وغيرها انعكست على طبيعة وطرق ارتكاب الأخطاء والغش، إلا أن مسئولية مراقب الحسابات عن الأخطاء والغش لن تختلف عنها فى ظل النظم اليدوية فهى تتوقف على مدى بذله العناية المهنية المناسبة وحسن اختياره لاختباراته ونظام مراجعته.
فما هو المفهوم الإجرائى لبذل العناية المهنية المناسبة ؟
يقصد بذلك أن هناك مجموعة من الإجراءات التى يجب أن يقوم بها مراقب الحسابات حتى يبعد عن نفسه مسئولية عدم اكتشاف الأخطاء والغش فى ظل النظم الإلكترونية.
وتتضمن هذه الإجراءات ما يلى:-
أولاً: التأكد من وجود ضوابط الرقابة الداخلية المناسبة للنظم الإلكترونية:
وإذا لم يقيم مراقب الحسابات مدى وجود وكفاية هذه الضوابط يعتبر مقصراً فى أداء مهمته ولذا….. لابد وأن يمر بخطوات معينة.
مرحلة استعراض مبدئى للنظام الإلكترونى المطبق بالمنشأة:
وتنطوى هذه المرحلة على قيام المراجع بعملية جمع منظم للمعلومات الكافية والضرورية التى تمكنه من فهم كل من:
• هيكل نظام التشغيل الإلكترونى.
• اطار النظام المحاسبى المطبق وحدوده بالحاسب.
• طبيعة أساليب الرقابة الداخلية المستخدمة………. ذات الصلة بالنظام المحاسبى والبيانات المحاسبية وأسلوبها فى الجمع هنا يتم من خلال عقد المقابلات وتوجيه الاستفسارات والإطلاع على المستندات والوثائق المتاحة.
وكل هذا بهدف التعرف على مستوى التكنولوجية المطبق لبيانات النظام المحاسبى فى الحاسب الآلى، لتكوين فكرة مبدئية عن احتياجات تنفيذ عملية المراجعة لمساعدين متخصصين فى مراجعة النظم الإلكترونية من عدمه.
ومن الأهمية بمكان فهم العلاقة بين الجزء اليدوى والجزء المبرمج على الحاسب الآلى بالنسبة للنظام المحاسبى، والتعرف على المدى الذى يعتمد عليه كل نوع من التطبيقات وطبيعة وحدوده والمنهج المناسب لجمع المعلومات هو أسلوب التتبع العكسى Traced – back لمسار العمليات المالية أى من القوائم المالية إلى المنبع أو مستندات القيد الأولى وهنا يستطيع مراقب الحسابات تحديد….. مدى خضوع كل نقطة من نقاط خط سير العملية إلى تحديد إجراءات يدوية أو مبرمجة وبالتالى يتعرف على الرقابة الداخلية التى يفترض وجودها وتكوين فكرة متكاملة عن طبيعة كل برنامج من برامج التطبيقات المحاسبية مثل الغرض منه، المستندات التى تصب فيه، التقارير الناتجة عنه……
ثانياً: استعراض وتقييم أساليب وتقييم أساليب الرقابة المستخدمة وتشمل:
• أساليب الرقابة العامة المطبقة داخل قسم التشغيل الإلكترونى general control
• أساليب رقابة التطبيق المطبق سواء داخل قسم التشغيل أو فى الإدارات المستخدمةapplication controls
وهنا يستعرض المراقب نظم الرقابة العامة أولاً قبل رقابة التطبيق بحيث إذا اكتشف وجود نواحى ضعف وقصور جوهرية فى أساليب الرقابة العامة فإن عملية الاستعراض والتقييم التفصيلى لأساليب رقابة التطبيق المطبق داخل قسم التشغيل الإلكترونى تصبح بغير قيمه أو ضرورة.
وهنا يركز على رقابة التطبيق فقط داخل الأقسام المستخدمة ثم يقيم النتائج.
•إما يعتبر هذه الأساليب غير كافية ولا تبعث على الاطمئنان لسلامة النظام المحاسبى بأسره ومن ثم يقرر الانسحاب من العملية وتوجيه النصح للإدارة لتصحيح الموقف بأسرع ما يمكن.
•أو يقتنع مبدئياً بأن النظم كافية ومن ثم ينتقل لتخطيط وتنفيذ اختيارات الالتزام وتقييم النتائج.وهنا سنستعرض ما هى أساليب الرقابة العامة general- control وكذا أساليب الرقابة على التطبيق application- control قبل استكمال خطوات فحص وتقييم نظام الرقابة المطبق لكى يتعرف مراقب الحسابات على ما هى القواعد المثلى التى يقيس عليها النظام فعلاً بالمنشأة لكشف الثغرات به.
يمكن تقسيم الرقابة (1) general – control إلى:-
1)أساليب رقابه تختص بالعمالة الفنية:
وجوهر الرقابة على العمالة الفنية يتمثل فى الفصل السليم فى الاختصاصات والواجبات سواء داخل قسم التشغيل الإلكترونى ذاته أو فيما بين هذا القسم والأقسام والأدوات المستخدمة.
أ-الفصل بين وظائف البرمجة ووظائف التشغيل:
بمعنى فصل الذين يملكون حق المعرفة أو الذين لديهم العلم والدراسة الكافيه بالبرامج التطبيقية المستخدمة عن أولئك الذين يملكون الوصول لملفات البيانات وتشغيل البرامج المعتمدة لتسجيل ومعالجة تلك البيانات فلا يجوز لمحلل النظم أو مخطط البرامج حق الوصول لملفات البيانات أو الإشراف على أعمال تشغيل الحاسب اليومية لأن معرفتها بتفاصيل البرنامج وميكانيكياته ونقاطه الرقابية قد تمكنهم من ادخال تعديلات غير قانونية، الأمر الذى يفتح باب الغش والتلاعب والاختلاس على مصراعيه.
ب-فصل وظائف تشغيل الحاسب وصيانة وأمن النظم عن وظائف تجهيز ومراجعة وإدخال البيانات حتى لا ينفرد هؤلاء بحق الوصول المباشر لملفات البيانات.
ج- استقلال وظيفة أمين مكتبة البرامج وملفات البيانات غير المستخدمة عن باقى الوظائف.
2)أساليب الرقابة التى تختص بالبرامج وتشمل:
أ-سلامة وقانونية عمليات اقتناء وتصميم وتعديل البرامج التطبيقية.
ب-كفاية وشمول عمليات التوثيق لكل من النظام والبرنامج.
ج- حماية البرامج المعتمدة من التعديل أو الاستخدام الغير مشروع.
أولاً: سلامة وقانونية عمليات اقتناء وتصميم وتعديل البرامج التطبيقيه:
وتبعاً لذلك يجب أن تتوافر مستندات كتابية قابلة للفحص بشأن ثلاثة مراحل يجب أن يمر بها البرنامج قبل وضعه موضع التطبيق والاستخدام الفعلى سواء كان جديد أو معدلاً وهى………
•الترخيص أو التصريح ببدء عملية الاقتناء أو التصميم أو التعديل من السلطة المختصة.
•اختيار البرنامج طبقاً لإجراءات رسمية محددة وبحضور لجنه تضم مدير التشغيل الإلكترونى ومندوب الجهة الطالبة والمراجع الداخلى وأن يؤيد كل البيانات المستخدمة فى الاختيار وتعتمد فى وثائق ويحفظ بها كدليل على سلامة البرنامج.
•اعتماد البرنامج من مدير قسم التشغيل الإلكترونى وتنتهى هنا صلة محلل النظام والمبرمج بالبرنامج المعتمد ولا يسمح لهم بحق الوصول إليه إلا عند الرغبة فى ادخال تعديلات إضافية مع تكرار نفس الإجراءات السابقة.
ثانياً: كفاية وشمول عمليات التوثيق لكل من النظام والبرنامج تفيد فى:
•تزويد إدارة المشروع بصورة واضحة عن نظام التشغيل الإلكترونى.
•تزويد المراجع الداخلى والخارجى بالرؤية التى تساعده فى فحص وتقييم أساليب الرقابة المحاسبية المطبقة.
•تزويد محلل النظم ومخطط البرامج بالمعلومات الضرورية عند الرغبة فى تطوير النظام القائم.
وأهم المستندات التى يجب الاحتفاظ بها:
1.فى مجال توثيق النظام:
•مذكرة لتعريف المشكله ووصف الغرض من النظام وطريقة تكامله مع النظم الفرعية وطريقة المعالجة.
•خرائط تدفق النظام.
•مستلزمات الإدخال والإخراج ومواصفاتها.
•التصريح الصادر بتصميم وتعديل النظام.
2.فى مجال توثيق البرنامج:
•طبيعة المشكلة التى يعالجها البرنامج التطبيقى وعلاقتها بالنظام ككل.
•خريطة سير البرنامج.
•قائمة بالجوانب الرقابية التى يتضمنها البرنامج.
•التصميم الداخلى لملفات البيانات ومواصفات الحقول.
•تعليمات وإرشادات التشغيل.
•نسخه مطبوعة لمحتويات البرنامج.
•المستندات والوثائق المؤيدة لاختيار البرنامج واعتماده.
•وصف تفصيلى لشكل ومضمون نماذج المدخلات والمخرجات.
ثالثاً: حماية البرامج من التعديل أو الاستخدام الغير مشروع:
ولذلك يجب بمجرد اعتماد البرنامج الاحتفاظ بنسخة كاملة منه بمكتبة البرامج وليس فقط ذلك بالنسبة لبرنامج الآلة وإنما ايضاً لبرنامج المصدر حتى نضمن عدم الدخول غير المشروع وعدم إجراء تعديلات على البرنامج.
وأهم الإجراءات والأساليب فى هذا الشأن:
1.إصدار تعليمات تحظر الوصول إلى البرنامج المعتمد إلا بواسطة المشغلين وحدهم وذلك وفق جدول زمنى معتمد ولا يسمح لغيرهم بالوصول لا بموجب تصريح معتمد ومحدد به الغرض.
2.استخدام بعض برامج خدمات الدعم المتخصصة فى الحماية ضد التعديلات غير المصرح بها لملفات البرامج، ويمكن للمراقب الاعتماد على التقارير التى تنتجها هذه البرامج.
أساليب الرقابة التى تختص بقواعد البيانات:
أ- مخاطر الوصول الغير مشروع.
والمقصود بها تمكن أشخاص من داخل المنشأة أو خارجها من الوصول بطريقة غير مشروعة إلى ملفات البيانات والإطلاع على ما بها من بيانات أو تعديلها وفى ذلك إفشاء للأسرار وهذا النوع من المخاطر يزداد فى حالة تشغيل برامج إدارة قواعد البيانات على مجموعة من الحاسبات المتصلة معاً فى شكل شبكة ربط محلية أو غير محلية ولمواجهة هذا النوع من المخاطر يجب استخدام برامج حماية متخصصة تقوم على ثلاثة محاور:
·مراقبة الدخول عن طريق استخدام كلمة السر Pass- word
·مراقبة الوصول للبيانات عن طريق تحديد مستويات الوصول لكل موظف بقسم التشغيل وأحيانا يحدد حقول البيانات التى يجوز لكل واحد الإطلاع عليها.
·تمويه ملفات البيانات بحيث تجعل بيانات الملف غير قابلة للقراءة إلا بعد إجراء عملية إزالة التمويه………. وأشخاص معينة أو شخص معين يعرف مفتاح إزالة التمويه.
ب- مخاطر الفقد والتلف:
قد يتعرض ملف البيانات للتلف نتيجة حدوث أعطال مفاجئة فى الحاسب ذاته أو نتيجة تسرب فيروس ذوى تأثير ضار على محتويات ملف البيانات.
وأهم الأساليب الرقابية المستخدمة لمواجهة هذا النوع:
·إعداد نسخ احتياطية لملفات البيانات ويستخدم فى ذلك برامج متخصصة فى النسخ.
·الحفظ السليم للنسخ الاحتياطية فى مكان منفصل تماماً عن غرفة الحاسب ومؤمن ضد مخاطر الحريق والتلف.
·تأمين ملفات البيانات الغير مستخدمة فى مكتبة مؤمنة مع الاحتفاظ بنسخ احتياطية منها، كما يجب أن يراعى وضع أسماء وعلامات واضحة على حوائط الأشرطة والأقراص المغناطيسية حتى يسهل استخدامها ومعرفة محتوياتها.
أساليب الرقابة التى تختص بالأجهزة:
هناك أساليب تصميم بمعرفة الصانع نفسه تهدف لضمان عدم حدوث اخطاء اثناء عملية تداول ومعالجة البيانات داخل الحاسب نفسه بالإضافة لمجموعة أساليب يدوية تستهدف تحقيق الرقابة المادية على الحاسب والأجهزة الملحق بها أمثلتها:
·التأمين على الحاسب ضد المخاطر الخاصة بالحريق أو التلف ويجب أن يغطى التأمين تكلفة إعادة بناء الملفات أو البرامج المفقودة.
·حظر دخول غرفة الحاسب لغير المتخصصين إلا بموجب تصريحاً محدد به الغرض من الزيارة.
·أن يكون هناك اجراءات تنظم كيفية التصرف عند حدوث توقفات أو اعطال فجائية.
أساليب الرقابة على التطبيقات application- controls
تتوقف فاعلية أساليب الرقابة على التطبيق إلى حد كبير على درجة كفاية أساليب الرقابة العامة والوقاية على التطبيق تغطى الأبعاد الثلاثة الآتيه لعملية تشغيل البيانات:
1.رقابة التطبيق طرف المستخدم.
والهدف منها التحقق من أن:
·البيانات التى يتم تحويلها لقسم التشغيل الإلكترونى صحيحة وشاملة وخالية من الأخطاء.
·أن البيانات التى يتم تشغيلها شاملة ودقيقة وتعبر عن الواقع وتنفذ هذه الأساليب بواسطة افراد فهى يدوية.
ويمكن تقسيم هذه الأساليب إلى مجموعات:
·استعراض ومراجعة البيانات الواردة بمستندات القيد الأولى قبل تحويلها لقسم التشغيل.
·الرقابة بالمجاميع وتشمل مجاميع مالية ومجاميع غير قيمية قبل مسلسل الفواتير وأرقام الحسابات والعملاء وأرقام مسلسل الشبكات ومجاميع السجلات وتصحيح الأخطاء.
2.رقابة التطبيق داخل قسم التشغيل الإلكترونى.
رقابة المدخلات والهدف منها ضمان صحة وسلامة عمليات إدخال البيانات الوارده بحزم المستندات.
أساليب يدوية:
·التحقق من الأختام والتوقيعات على كل مستند.
·إعادة حساب المجاميع الرقابية ومقارنتها بالسابق إعدادها لاكتشاف أخطاء الحذف والسهو والتكرار.
·إجراء مراجعه بعد عملية الإدخال مع ما تم إدخاله وإجراء مطابقة تفصيلية.
أساليب مبرمجة:
وهى احتواء البرنامج على بعض الإجراءات التى توجه البرنامج تلقائياً للقيام باختبارات معينة على البيانات التى يتم إدخالها أول بأول ولو إذا اكتشف خطأ فإن البرنامج يرفض قبول البيانات ولا يسجلها بملف البيانات ويظهر رسالة تحذير للمشغل ومن أهم هذه الأساليب……… اختبار مضاهاة الأكواد، اختبار الوجود، اختبار التبعية ” اختبار الشكل المحدد للبيانات المدخله، اختبارات الحدود والمعقولية ”
3.الرقابة على المخرجات:
وتشمل الرقابة كل صور تقارير النتائج وما تحتوى عليه من معلومات وهى تتكون عادة من أساليب هدفها الرئيسى التحقق من صحة وشمول المخرجات ويقوم بها أشخاص مسئولين داخل قسم التشغيل الإلكترونى وبالأقسام والإدارات المستخدمة ذاتها. وتشمل الرقابة بقسم التشغيل الإلكترونى:
·التحقق من صحة نتائج التشغيل الإلكترونى قبل إرسالها للإدارات المختصة.
·التحقق من أن المخرجات يتم تسليمها للأشخاص المصرح لهم بذلك دون غيرهم ويستخدم لهذا الغرض سجل خاص يتضمن أسماء ووظائف من لهم حق استلام كل نوع من تقارير المخرجات.
·التحقق من ان اى تقارير استثنائية لا تنتج أو تسلم إلى الجهة المختصة إلا بموجب تصريح مسبق من مدير قسم التشغيل الإلكترونى.
اختبارات الالتزام compliance- tests
والغرض من هذه المرحلة هو تحديد ما إذا كانت نظم الرقابة تعمل فى التطبيق على النحو المفترض اصلاً فى اللوائح المنظمة لها أم لا ؟ ويقوم المراجع بعدة إجراءات مثل:
1.اختبار عينة عشوائية من نماذج طلب البرامج للتحقق من اعتمادها من المسؤل قبل البدء فى تصميم أو تعديل البرنامج.
2. اختبار عينه من قوائم الإدخال وفحص الإجراءات التى اتبعت بشأن تصحيح الأخطاء.
3.محاولة اختراق لنظام الرقابة على حق الوصول للملفات والبرامج بإتباع الأسلوب المعروف beating- system عن طريق الاتفاق مع الإدارة على استخدام أحد النهايات الطرفية فى تنفيذ عملية وصول غير مشروع لأحد البرامج على خلاف ما هو مقرر بجداول التشغيل اليومى ثم تقيم النتائج وإما أن يقتنع بهذه النظم ومن ثم ينتقل لاختبارات التحقق أو انه يقرر الانسحاب من العملية ويقدم النصح للإدارة.
اختبارات التحقق substantive – tests
والهدف من إجراؤها حصول المراجع على الأدلة الكافية التى تمكنه من الحكم على مدى صحة ودقة وتكامل وشمول البيانات المحاسبية وبعض هذه الاختبارات ينطوى على اجراءات يدوية، بينما يستلزم البعض الآخر أساليب مبرمجة والأخيرة تتوقف على ما إذا كانت الاختبارات تهدف إلى مراجعة العمليات أو الى التحقق من أرصدة الأصول والخصوم.
مرحلة التقييم الشامل وإبداء الرأى فى التقرير over all evaluation and reporting
وتتمثل فى إجراء تقييم شامل لكافة الأدلة وقرائن الإثبات من خلال المراحل السابقة وإعداد التقرير الفنى للمراجعة.
