تهتم الرقابة الداخلية في هذه الأيام بالمخاطر وعملية تقييم المخاطر أكثر من أي وقت مضى، والسبب الرئيس في ذلك هو احتمالية تغير الظروف المحيطة بالشركة والتطورات التكنولوجية التي تؤثر على النشاطات وطبيعة عمل الشركة.
وتعرف المخاطرة من وجهة نظر الرقابة الداخلية بأنها: “ظروف عدم التأكد من حدوث أمور لها تأثير ملحوظ على أهداف الشركة. وهذه المخاطر تقاس بصيغة التكرار أو الاحتمالية الكبيرة لحدوثها”، وتعتبر الخطورة أكيدة الحدوث في ظل بيئة تكنولوجيا المعلومات عندما:
– تكون المهارات الموجودة بالشركة لا تؤثر عليها.
– تحسب احتمالية حدوثها بالاعتماد على عدد وافر من الملاحظات.
– يكون النظام الرقابي ضعيفا .
من اجل تكامل جهود المدققين والعاملين في مجال الرقابة الداخلية على تحديد مستويات الخطورة وتقدير الأهمية النسبية لها، فان ذلك يتطلب إتباع طريقة فعالة في تقييم تلك المخاطر، لان القدرة على تحديد درجة ومستوى الخطورة تؤثر على إجراءات عملية التدقيق. وأفضل الطرق لتحليل وتقدير الخطورة هو إتباع الإجراءات التحليلية (Analytical Procedures)، التي تساعد على اختصار الوقت، إضافة إلى أنها طريقة مفضلة لإنجاز وفهم رغبات وطلبات العملاء .
تقوم عملية تقييم مخاطر تكنولوجيا المعلومات على تحديد البيانات الحرجة أو الحساسة (Critical Data) وتحديد الأشخاص الذين لديهم الصلاحيات بالدخول إلى البيانات والمعلومات، وتقوم على فحص تكامل الأنظمة وثباتها، وتدقيق توثيق وملكية تلك الأنظمة، وتراجع استمرار تخطيط العمل، وتقوم على تقييم السياسات والإجراءات المتعلقة بالموظفين، وأخيرا تقوم على اختبار نظام الرقابة الداخلية .
توفر أجهزة وشبكات الحاسوب المعلومات المطلوبة للتدقيق، ومن أجل الحصول على مدققين قادرين على مواكبة تكنولوجيا المعلومات عليهم استخدام أجهزة الحاسوب كأداة للتدقيق، واستخدام الأنظمة المؤتمتة، وفهم غاية العمل من هذه الأنظمة، وفهم البيئة التي تعمل بها هذه الأنظمة.
وجميع الأمور سابقة الذكر يحيط بها مخاطر يتوجب على المدقق أخذها بالاعتبار، وفهم كيفية التعامل مع تلك الأنظمة، وتحديد المناطق التي تمثل خطورة على الشركة، ومدى حدوثها، والتكلفة المترتبة على ذلك.
إن أهم عمل للتدقيق بشكل عام والرقابة الداخلية بشكل خاص في بيئة تكنولوجيا المعلومات، هو تحديد المواقع ذات الخطورة المرتفعة على المنظمة، ويجب على المدقق الاشتراك مع الإدارة في عملية تقييم المخاطر، لضمان ثبات وجهات النظر حول تلك المخاطر. ولابد أن يكون اهتمام الإدارة والمدققين في تقييم أولويات تحليل الخطورة بحيث تبدأ أولا بتحليل الخطورة من المدقق، وبعد ذلك تقييم احتمالات التعرض لها وأخيرا تحديد تكاليف تلك المخاطر.
يجب على المدققين المختصين في تدقيق تكنولوجيا المعلومات أن يهتموا بإدارة المخاطر وفهم تحليل التكلفة والعائد، لان الشركات بشكل عام تمتلك معلومات قيمة تتكون من: ملفات العملاء، والخطة الاستراتيجية، والموازنات، لذلك يجب على المدقق مساعدة الإدارة في تحديد متى يكون أمن المعلومات مناسبا، ومن يجب أن يديره، من اجل منع تسرب تلك المعلومات. لذلك يتوجب على المدققين الداخليين في بيئة تكنولوجيا المعلومات وضع بعض الأسئلة التي يتوجب الإجابة عليها وهي :
– ما هي الأحداث التي تؤثر على مخاطر أمن المعلومات؟
– ما هي التكلفة لهذه الأحداث إن تمت؟
– ما هو احتمال حدوثها؟
ميز معهد التدقيق الداخلي الأمريكي بين تحليل المخاطر وتقييم المخاطر وذلك من خلال ما الآتي:
تقييمالمخاطر: وهي عملية منتظمة لتقييم وتكامل أحكام المختصين حول احتمالية الظروف
والأحداث غير المناسبة.
أما تحليل المخاطر: فهي التي توفر معنى وتمييز وتكامل أحكام المختصين لتطوير عمل التدقيق. بحيث أن قائمة المخاطر المزودة من قبل المدقق والمدعومة من الإدارة يجب أن تمر بالمراحل التالية:
أولاً : تحليل وتقييم المخاطر.
ثانياً: تحليل احتمالية الخسارة النقدية الناتجة عن المخاطر والمؤثرات الناتجة عنها.
ثالثاً: استخدام نفس البرامج المستخدمة في الشركات الأخرى وذلك للاستفادة من المنافع الممكن الحصول عليها مثل: تخفيض تكلفة البرامج، وتطوير التطبيق والصيانة، والدعم من المستخدمين الآخرين، وسهولة وجود الموظفين.