مخاطر تدقيق الحوسبة السحابية

كيف يعمل في الميدان

أكثر ما نراه في عمليات الفحص: ملف يحوي تقرير ISAE 3402 من 80 صفحة، ولا توجد جملة واحدة تربط بين ما يقوله التقرير وما تفعله الشركة فعلياً ببياناتها. ضوابط الوصول مدرجة، لكن لا أحد سأل: هل العميل يستخدم وحدة الفوترة، أم وحدة المخزون، أم كلتيهما؟ هذه هي الحوكمة الورقية في صورتها السحابية: الوثيقة موجودة، التوقيع موجود، الفهم غائب.

ثم يأتي المعيار. يطلب ISA 315.27 من المراجع فهم ثلاث طبقات من الحوسبة السحابية. الطبقة الأولى: الضوابط على الوصول إلى البيانات والتطبيقات (من يدخل، ومتى، وبأي صلاحية). الطبقة الثانية: كيفية معالجة البيانات داخل النظام السحابي ذاته (هل الحسابات صحيحة، هل السجلات محفوظة، هل الحذف يعني الحذف الفعلي). الطبقة الثالثة: كيفية استرجاع البيانات وتصديرها (هل يستطيع المراجع استخراج أرقام دقيقة قابلة للفحص). أربع طبقات إن أردت أن تكون دقيقاً، لأن ربط بيانات النظام السحابي بدفتر الأستاذ المحاسبي للعميل طبقة قائمة بذاتها.

ما يحدث عملياً هو أن الفريق يقفز فوق الطبقتين الثانية والثالثة. الطبقة الأولى مريحة: لها قائمة، ولها ترقيم، ولها توقيع في تقرير ISAE 3402. الطبقتان الأخريان تتطلبان أن تجلس مع الإدارة المالية وتسأل أسئلة لا تظهر إجاباتها في أي شهادة. هنا تبدأ المنطقة الرمادية.

أما ISA 330.18 فيلزم المراجع بتصميم إجراءات تصل فعلاً إلى السجلات السحابية. إن كان تطبيق الفاتورة في السحابة، فلن ينفع تحميل ملف Excel يدوي قديم. يجب الوصول إلى البيانات كما تقيم في النظام نفسه. هذا قد يستلزم برامج تدقيق متخصصة، أو واجهات برمجية (API)، أو نسخاً مباشرة من مزود الخدمة. في الميدان، نادراً ما تجد فريقاً يطلب نسخة API. الأسهل أن يطلب من العميل تصدير CSV. الأسهل ليس بالضرورة كافياً.

مزود الخدمة السحابية لن يسمح في الغالب برؤية الضوابط المادية (الأقفال الفعلية، الأسلاك، مراقبة الوصول إلى مراكز البيانات). بدلاً من ذلك، سيقدم شهادة ISAE 3402 (نوع أول أو ثاني) توثق أن محققاً مستقلاً فحص الضوابط نيابة عنك. قراءة التقرير والتحقق من تغطيته للعمليات التي يستخدمها العميل بالذات هي الخطوة التي يخفق فيها معظم الفرق. التقرير ليس الفهم. التقرير مدخل للفهم.

ملاحظة من مكتبنا

في مكتبنا وجدنا أن أفضل اختبار هو سؤال واحد بسيط: لو حُذف هذا التقرير من الملف، هل ستبقى أي ورقة تشرح كيف تتدفق بيانات الإيرادات من النظام السحابي إلى دفتر الأستاذ؟ إن كان الجواب لا، فأنت لم تفهم البيئة التكنولوجية. أنت أرفقت وثيقة فقط.

مثال عملي: شركة النسيج الدولية

العميل: شركة نسيج إيطالية، سنة مالية 2024، إيرادات 28 مليون يورو، تقرر بموجب IFRS.

نقلت الشركة نظام الفاتورة والحسابات المدينة بالكامل إلى منصة سحابية في يناير 2024. قبل ذلك، كان البرنامج مثبتاً على خادم محلي تديره الشركة بنفسها.

الخطوة الأولى: تصنيف الخدمة السحابية طلبت تقرير ISAE 3402 من مزود الخدمة. التقرير الذي وصلني يغطي ضوابط الوصول إلى النظام والنسخ الاحتياطي والاسترجاع. قرأت الملخص التنفيذي وقائمة الضوابط المُقيّمة. لم تتضمن القائمة أي ضابط مرتبط بحساب دقة الفوائد أو الخصومات. تلك الحسابات تجريها شركة النسيج بنفسها خارج النظام السحابي عبر جدول Excel معتمد من المدير المالي.

ملاحظة التوثيق: "تقرير ISAE 3402 من المزود يغطي الوصول والنسخ الاحتياطي. لا يغطي حسابات العمولة. سيتم اختبار حسابات العمولة كعمليات يدوية منفصلة بموجب ISA 330.12."

الخطوة الثانية: اختبار سحب البيانات طلبت من العميل تصدير سجل كامل للعملاء والفواتير للربع الأول من 2024 من النظام السحابي. حصلت على ملف CSV. قارنت أرقام الإيرادات في الملف المُصدَّر مع أرقام دفتر الأستاذ. تطابقت الأرقام إلى يورو واحد.

ملاحظة التوثيق: "صدّر النظام السحابي البيانات بدقة. تم التحقق من تطابق البيانات المُصدَّرة مع دفتر الأستاذ للربع الأول (€6.2M)."

الخطوة الثالثة: اختبار الأرقام القديمة — وهنا حدث ما لم نتوقعه اختبرت سجل أحد العملاء يعود إلى ما قبل الهجرة (ديسمبر 2023). البيانات لم تعد موجودة في النظام السحابي الحالي (حُذفت عند الهجرة). اتصلت بمزود الخدمة القديم. أرسل نسخة من آخر تصدير أُجري قبل الهجرة. قارنت الرصيد الختامي للعميل في ديسمبر 2023 برصيده الافتتاحي في يناير 2024 في النظام السحابي الجديد.

اختلفت الأرقام بفارق 47 ألف يورو على ثلاثة عملاء. ليس فارقاً كبيراً مقابل 28 مليون، لكنه ليس صفراً أيضاً، وحد الأهمية النسبية للأرصدة المدينة عند هذا العميل كان 50 ألف يورو. أي أن الفارق على شعرة من أن يكون جوهرياً.

استغرق الأمر أسبوعين من المراسلات لكشف السبب: مدير النظم في شركة النسيج كان قد طبّق تعديلاً يدوياً على ثلاثة أرصدة بعد التصدير وقبل الترحيل، لتسوية فواتير متنازع عليها. التعديل لم يُوثَّق في النظام القديم ولا الجديد. وُثّق فقط في بريد إلكتروني داخلي بين المدير المالي ومدير النظم.

هنا يبدأ الحكم. لو كان الفارق 5 آلاف، لربما اعتبرناه ضمن الخطأ المقبول وانتقلنا. لو كان 200 ألف، لكان حدث جوهري يستوجب تعديل التقرير. عند 47 ألف، الإجابة ليست في الكتاب. قررنا توسيع العينة على أرصدة فترة الهجرة بأكملها، ووثّقنا التعديلات الثلاثة بوصفها استثناءات معالَجة، وأضفنا فقرة في خطاب الإدارة عن ضعف ضوابط هجرة البيانات.

ملاحظة التوثيق: "رُصد فارق 47K€ في أرصدة الافتتاح. السبب: تعديلات يدوية غير موثقة على ثلاثة عملاء أثناء الهجرة. وُسّعت العينة، صُحّح الترحيل، أُبلغت الإدارة. الأهمية النسبية للأرصدة المدينة: 50K€."

ما تعلمناه: تطابق الأرقام بعد الهجرة ليس نقطة قبول. هو نقطة بداية للسؤال عن كل ما حدث بين التصدير الأخير من النظام القديم والترحيل الأول إلى النظام الجديد. هذه الفجوة الزمنية، التي قد لا تتجاوز ساعات، هي حيث تختبئ التعديلات اليدوية.

ما الذي يخطئ فيه المراجعون والممارسون

الملاحظة الأولى: الافتراض أن تقرير ISAE 3402 يغطي كل شيء

ما يحدث فعلاً: الفريق يستلم التقرير من العميل، يقرأ الملخص التنفيذي، ويرفقه. هذه إجراءات صورية بامتياز. ضوابط مدرجة في تقرير لم يربطها أحد بدورة حياة بيانات هذا العميل بالذات.

ما يقوله المعيار: لاحظت تفتيشات AFM الدولية على الملفات السحابية (2023) أن الفرق اعتمدت كلياً على تقرير ISAE 3402 دون التحقق من أن الضوابط المُقيّمة تتعلق بالعمليات المحددة للعميل. قد يغطي التقرير الوصول العام دون تغطية حسابات خاصة أو معالجات مخصصة.

أين المنطقة الرمادية: ماذا تفعل حين يغطي التقرير 80% من العمليات و20% خارج النطاق؟ بعض الزملاء يعتبرون 80% كافياً مع توثيق الـ20% المتبقية كإجراءات يدوية. زملاء آخرون يرون أن التقرير لا يصلح كأساس عند تغطية أقل من 95%، ويطلبون تقريراً تكميلياً أو ينفذون اختباراً مباشراً للضوابط. الموقف الأول أسرع وأرخص. الموقف الثاني أكثر دفاعية أمام التفتيش. لا أعرف من على حق في كل الحالات. أعرف أن السكوت عن الفجوة هو الموقف الذي لا يحتمل.

الملاحظة الثانية: عدم توثيق الفهم السحابي

ما يحدث فعلاً: الورقة تقول "العميل يستخدم نظاماً سحابياً" ثم تنتقل إلى الإجراءات. لا توجد خريطة لتدفق البيانات. لا يوجد ربط بين الأنظمة وأرصدة الحسابات. حبراً على ورق.

ما يقوله المعيار: يتطلب ISA 315.27 توثيق فهم بيئة تكنولوجيا المعلومات. هذا يعني: أي النظم السحابية تُستخدم، ماذا يفعل كل نظام، أين توجد البيانات الأصلية وأين تُخزن، كيف تُصدَّر للمراجعة. الملف يجب أن يحكي قصة بحيث يستطيع مراجع آخر فهم البيئة دون أن يسأل الفريق.

أين المنطقة الرمادية: عمق التوثيق المطلوب يتفاوت. عميل يستخدم نظاماً سحابياً واحداً للفوترة يحتاج صفحة. عميل يستخدم سبعة أنظمة متكاملة عبر API يحتاج خريطة معمارية. لا يوجد قالب موحد. من واقع خبرتنا، أي ملف لا يحوي مخططاً بصرياً واحداً على الأقل لتدفق البيانات يفشل في التفتيش.

الملاحظة الثالثة: عدم اختبار الأرقام الفعلية المُصدَّرة مقابل دفتر الأستاذ

ما يحدث فعلاً: الفريق يقول "البيانات من النظام السحابي" ولا يختبر أن الملف المُصدَّر يطابق فعلياً ما في دفتر الأستاذ. قد يقع فقدان بيانات أثناء التصدير. قد تجري معالجة يدوية بعد التصدير لم تُوثَّق (انظر مثال شركة النسيج أعلاه).

ما يقوله المعيار: يلزم ISA 330.18 بإجراءات فحص فعلية. التحقق من التطابق الفعلي هو الحد الأدنى، لا السقف.

أين المنطقة الرمادية: متى يكون التطابق "كافياً"؟ تطابق على مستوى الإجمالي قد يخفي مقاصة بين أخطاء مضادة. تطابق على مستوى الفاتورة الفردية مكلف على ملفات بآلاف الفواتير. لماذا تتباعد الممارسة عن المعيار هنا؟ لأن المعيار لا يحدد دقة المقارنة، فيختار الفريق دقة منخفضة، ويكتفي بها، ويحتج بأن المعيار لم يطلب أكثر. هذا التفسير قانوني. ليس مهنياً.

المصطلحات ذات الصلة

ISA 315.27: يلزم بفهم بيئة تكنولوجيا المعلومات بما فيها الأنظمة السحابية.

ISA 330.18: يلزم بتصميم إجراءات تدقيقية فعلية للوصول إلى البيانات والضوابط.

تقرير ISAE 3402: الشهادة الدولية للضوابط عند مزودي الخدمات.

الضوابط العامة لتكنولوجيا المعلومات: الضوابط العامة التي تدعم معالجة البيانات الموثوقة.

التشفير والعزل: الضوابط الفنية على حماية بيانات العميل في البيئة المشتركة.

استرجاع البيانات واستخراجها: الإجراءات التي تسمح للمراجع بالوصول إلى البيانات والتحقق من سلامتها.

---

معالج مخاطر الحوسبة السحابية

إذا كان لديك ملف يتضمن أنظمة سحابية متعددة أو اختبار أرقام معقدة من عدة مصادر سحابية، استخدم معالج تقييم المخاطر السحابية لدينا. سيساعدك على توثيق كل نقطة اتصال بيانات وتحديد أين تحتاج إلى اختبار ISAE 3402 أو اختبار فعلي للبيانات.

---