إعداد: ملحم خوري نيكولا


لاشك في أن الفارق يكمن في التفاصيل. فما هي التفاصيل التي تُميز بين تقييم مخاطر تكنولوجيا المعلومات وإدارة مخاطر تكنولوجيا المعلومات؟

مع تزايد الحاجة إلى أمن المعلومات وإدارة المخاطر، قد يلتبس الأمر في فهم مصطلحي تقييم مخاطر تكنولوجيا المعلومات وإدارة مخاطر تكنولوجيا المعلومات على معظم المدراء التنفيذيين الذين يتعاملون مع عمليات التدقيق القائمة على تقييم المخاطر والامتثال في المؤسسة،.

ولقد وضعت لجنة رعاية المؤسسات (COSO) إطار إدارة المخاطر المؤسسية في عام 2004، حيث شكل هذا تحركًا فعالاً نحو تركيز الجهود على الضوابط الداخلية وتحديد أولويات مهام المراجعة عند تدقيق الضوابط الداخلية. واستنادًا إلى إطار لجنة رعاية المؤسسات، تم تطوير عمليات تقييم مخاطر تكنولوجيا المعلومات لتوفير الدعم اللازم لإعداد خطة مهام تدقيق تكنولوجيا المعلومات. علاوةً على ذلك، زاد اعتماد المدققين الماليين على نتائج عمليات تدقيق تكنولوجيا المعلومات القائمة على تقييم المخاطر لدعم نطاق تدقيقهم.

ويُعد تقييم مخاطر تكنولوجيا المعلومات أحد عناصر عملية تدقيق تكنولوجيا المعلومات. وبغض النظر عن الإطار والمنهجية المستخدمين، فإن التقييم يُركز على تحديد المخاطر الفنية في بيئة تكنولوجيا المعلومات. ويستلزم هذا تحديد المخاطر مثل هجمات حجب الخدمة وقياس إمكانية حدوثها. وتكمن الطريقة المثلى في تحديد وحساب درجة المخاطر بشكل مقبول في تطبيق المعادلة التالية:

المخاطر = الأصل × قابلية التعرض للمخاطر × التهديدات

تُعطى الأصول قيَم معامِلات تستند إلى نطاق معين. ويمكن ربط أي نطاق كمي مُستخدم نوعيًا بنطاقات العوامل الأخرى، حيث يتمثل الهدف من ذلك في الوصول إلى معدل مخاطر مرتبط بمقياس التحمل، وعادةً ما يكون: عالٍ ومتوسط ومنخفض. وعلى الرغم من أنه جرت العادة على استخدام المقياس ذاته، يوضح الجدول التالي مثالاً على الخيارات المختلفة التي يمكن استخدامها باعتبارها مقاييس مختلفة:

ITA

يُعد تقييم مخاطر تكنولوجيا المعلومات جزءًا من عملية إدارة مخاطر تكنولوجيا المعلومات التي تتضمن وضع خطة لمعالجة المخاطر والتعامل معها. أما في عملية تقييم مخاطر تكنولوجيا المعلومات فيعتبر وضع خيارات لمعالجة المخاطر والية للتعامل معها غير ضروري. وتُستخدم القيم العالية والمتوسطة والمنخفضة باعتبارها مدخلاً لأمور عدة ، ولخطة تدقيق تكنولوجيا المعلومات بصورة أساسية. ويستفيد مدققو تكنولوجيا المعلومات من تقييم مخاطر تكنولوجيا المعلومات في نواحي عدة تشتمل على فهم نظام تكنولوجيا المعلومات، والحصول على صورة عامة لبنية تكنولوجيا المعلومات، ولمحة عن جوانب تكنولوجيا المعلومات المُعرضة للمخاطر . ولهذه الأسباب، يجب أن يكون تقييم مخاطر تكنولوجيا المعلومات بمثابة مُقدمة لعمليات التدقيق وغيرها من مبادرات المراجعة لبيئات تكنولوجيا المعلومات.

وتختلف منهجية تقييم تكنولوجيا المعلومات باختلاف بيئات وقطاعات العمل ، بيد أن هدفها الأساسي يكمن في تحديد الجوانب المنطوية على مخاطر والتي يجب إجراء مراجعة مكثفة لها. فبالنسبة لقطاع المصارف، تكمن المخاطر الرئيسية في العمليات التشغيلية ، اما في قطاع البيع بالتجزئة، فتكمن المخاطر في نقاط البيع. ووفقًا لذلك، يجب أن يكون قطاع العمل أيضًا عاملاً من عوامل بناء وتحديد مجتمع المخاطر ، مما يساعد في بناء فهم شامل للعمليات التشغيلية عند التخطيط لإجراء عمليات تدقيق تكنولوجيا المعلومات قائمة على تحديد المخاطر.

والأهم من ذلك، أن تقييم مخاطر تكنولوجيا المعلومات شرط أساسي لتدقيق تكنولوجيا المعلومات بهدف تقليل جهود التدقيق في المقام الأول حيثما تكون المخاطر منخفضة وتنفيذ إجراءات التدقيق حيثما تكون المخاطر مرتفعة. وفي حين أنه لا يلزم وضع وتنفيذ أي خطط أو إجراءات للتعامل مع المخاطر التي جرى تحديدها، فإن تقييم مخاطر تكنولوجيا المعلومات يفيد المدققين والمراجعين بطرق عديدة تعد ضرورية لفهم بيئة تكنولوجيا المعلومات.

ويفيد نموذج قطاع الأعمال في المساعدة على دراسة المخاطر المرتبطة بنظام محدد في مجال معين، حيث يتم ذلك باستخدام أساليب مثل العصف الذهني، وهو أسلوب فعال للغاية يلي من حيث فعاليته أسلوب أوسبورن. وبمعنى آخر، فإن مخاطر تكنولوجيا المعلومات ليست ثابتة في ظل التغييرات المستمرة. تعتبر مخاطر تكنولوجيا المعلومات متغيرة في طبيعتها وتتألف من نقاط الضعف والتهديدات المرتبطة بها. ويمثل تحديد المخاطر إجراءً مباشرًا عندما يأخذ المدققون بعين الاعتبار المعادلة المذكورة أعلاه.

وتعرف قيم المخاطر المحددة على أنها درجات المخاطر المتأصلة، وهي تمثل المخاطر كما حددتها عملية تحديد المخاطر الأولية. وترتبط المخاطر المتأصلة بضوابط يتم تطبيقها بطريقة تفاعلية على الأصل الأساسي. ومثال على ذلك، حماية الخادم باستخدام كلمة مرور أو حماية الأجهزة الشبكية أو مراجعة سجل معين. وبالتالي، يمكن تصنيف الضوابط على أنها كشفية أو وقائية. وبقدر أهمية الضوابط الوقائية وأفضليتها، فإن تنفيذها مكلف. وعندما نجري جولة أخرى من تقييم المخاطر وننظر في تدابير الضوابط الحالية، فإننا نعد قائمة بالمخاطر المتبقية. وتعد المخاطر المتبقية أساسًا بمثابة العوامل الرئيسية التي تدخل في إعداد خطة لمعالجة المخاطر، أو، فيما يتعلق بمبادرتنا، في فهم بيئة تكنولوجيا المعلومات، و تنفيذ عمليات تدقيق تكنولوجيا المعلومات، و التخطيط لمبادرات المراجعة.

وفي الختام، فإن تقييم مخاطر تكنولوجيا المعلومات هو نتيجة عملية [إدارة مخاطر تكنولوجيا المعلومات] بدون الأخذ بالاعتبار [خيارات معالجة مخاطر تكنولوجيا المعلومات]. ويُستخدم لتحديد أولويات جوانب المراجعة والتدقيق في بيئة تكنولوجيا المعلومات. ويرد فيما يلي مثال على كيفية تنفيذ المراجعة استنادًا إلى نتائج تقييم مخاطر تكنولوجيا المعلومات.  ولإجراء المراجعة الكاملة، يتعين على المدققين دراسة تفاصيل العملية بطريقة جوهرية. وللقيام بمراجعة مستهدفة محددة، يتعين على المدققين دراسة عينة مستهدفة نسبتها (60٪ أو 70٪) من تفاصيل العملية. وللقيام بمراجعة اختيار عشوائي، يتعين على المدققين دراسة عينة مستهدفة نسبتها (30% أو 40%) من تفاصيل العملية.

 

الجدول 1: نموذج خطة تدقيق تكنولوجيا المعلومات ربع السنويةita2

وفي نهاية المطاف، يجب أن تتماشى خطة تدقيق تكنولوجيا المعلومات مع خطة إدارة التدقيق الداخلي الكلية. ومن حيث المبدأ، يعتبر تدقيق تكنولوجيا المعلومات جزءًا من عمليات التدقيق الداخلي. ويدعم ناتج تدقيق تكنولوجيا المعلومات خطة التدقيق الداخلي ويقدم مدخلات لعملية تخطيط التدقيق الداخلي التي يخطط فيها رئيس التدقيق الداخلي لعمليات تدقيق تكنولوجيا المعلومات. وسواء أكانت عمليات التدقيق قائمة على تقييم المخاطر أم لا، يظل تقييم مخاطر تكنولوجيا المعلومات ضرورة لتمهيد الطريق أمام مدققي تكنولوجيا المعلومات لأداء مهامهم.  يتماشى تقييم مخاطر تكنولوجيا المعلومات في البيئات التي يُجرى فيها تقييمًا لمخاطر جميع العمليات، مع خطة تقييم المخاطر الشاملة بهدف تسليط الضوء على المخاطر التشغيلية ومخاطر تكنولوجيا المعلومات المتعلقة بالعمل.