Journal of Accounting and Financial Studies ( JAFS ) مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 Professional responsibility of the auditor for cyber security risks (proposed audit program Mushtaq Ali Dheyab Assist.Prof.Dr.Ali Mohammad Thijeel Almamouri Post-Graduate Institute for Accounting Financial Post-Graduate Institute for Accounting Financial studies-University of Baghdad studies-University of Baghdad Mushtaq.Ali1101a@pgiafs.uobaghadad.edu.iq asst.prof.ali@pgiafs.uobaghdad.edu.iq Accepted:3/9/2024 Published:31/3/2025 Received:12/8/2024 Abstract: The continuous digital and technical development has led to the transformation of transactions from their traditional reality to the digital and cyberspace. The research problem is that all businesses, transactions and operations are electronic, which exposes them to cyber attacks, and that the professional responsibility of the auditor will be affected by cyber security risks. The main research hypothesis was the existence of a direct relationship between responsibility The professionalism of the auditor and cyber security risks, as the research seeks to know the extent to which the public and private sectors have adopted a cyber-security plan through a program or framework emanating from the Iraqi cyber security strategy (2022-2025) and the conclusions it reached that there is a relationship between the professional responsibility of the auditor The most important of which are cyber security risks, the most important of which is that most financial and banking entities have not identified or disclosed cyber security risks and the absence of a law or binding legal framework, which affects the audit procedures and the opinion of the auditor. This affects the professional responsibility of the auditor, as well as the failure to disclose these risks, which exposes them to threats from by organizing a cyber-security law that is binding on everyone. Opening remarks auditor cyber security Keywords: Auditor, Cybersecurity. )المسؤولية المهنية لمراقب الحسابات عن مخاطر االمن السيبراني (برنامج تدقيق مقترح علي محمد ثجيل المعموري. د.م.ا مشتاق علي ذياب حسين جامعة بغداد – المعهد العالي للدراسات المحاسبية والمالية جامعة بغداد – المعهد العالي للدراسات المحاسبية والمالية المستخلص والمشكلة البحث،التطور الرقمي والتقني المستمر الى تحويل التعامالت من واقعها التقليدي الى الفضاء الرقمي والسيبراني ان جميع االعمال والتعامالت و العمليات الكترونية مما يعرضها لهجمات سيبرانية وان المسؤولية المهنية لمراقب الحسابات سوف تتاثر بمخاطر االمن السيبراني وكانت فرضية البحث الرئيسية وجود عالقة مباشرة بين المسؤولية المهنية لمراقب الحسابات و مخاطر االمن السيبرانية اذ يسعى البحث الى معرفة مدى تبني القطاع العام والخاص لخطة االمن السيبرانية من خالل برنامج او ) و ما توصل اليه من استنتاجات ان هناك عالقه ما بين2025-2022( اطار منبثقة من استراتيجية االمن السيبرانية العراقي المسؤولية المهنية لمراقب الحسابات ومخاطر االمن السيبرانية واهمها ان اغلب الجهات المالية والمصرفية لم تقوم بتحديد مخاطر االمن السيبرانية او اإلفصاح عنها وعدم وجود قانون او اطار قانوني ملزم مما يؤثر على إجراءات التدقيق وراي مراقب الحسابات وهذا يؤثر على المسؤولية المهنية لمراقب الحسابات وكذلك عدم اإلفصاح عن هذه المخاطر مما يعرضها للتهديدات من خالل . تنظيم قانون لألمن السيبراني ملزم للجميع .مراقب الحسابات؛ االمن السيبراني: الكلمات االفتتاحية Page | 336 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 المقدمة -:introduction :أن األمن السيبراني نظام معقد ومهم على المستويات واألنظمة جميعها ان كانت عامة أو خاصة وان كل شيء متصل قابل لالختراق واليوجد نظام امن ومطلق واالمن السيبرانية نظام صعب ومعقد ولكن سالمتك وسالمة معلوماتك و أموالك الرقمية تستحق العناء والتواصل وتطوير كافة األنظمة للحماية كون ان الهجمات ليست ضمن الئحة االحتماالت بل هي حقيقة ومثبتة ينبغي التصدي لها والتعامل معها بصورة دائمة ومثلما نغلق ابوابنا لحماية منازلنا يقف االمن السيبرانية كأساس لحماية عالمنا الرقمي وبالنظر للتحول الرقمي في العراق وإصدار استراتيجيته لألمن السيبرانية وسوف يتطرق بحثنا من أربعة مباحث األول منهجية البحث والثاني االطارالنظري لمسؤولية مراقب الحسابات والثالث للجانب العملي حيث سوف يتم اقتراح برنامج تدقيق مقرح وأخي ار بحثنا الرابع االستنتاجات والتوصيات لغرض حمايه وحداتنا االقتصادية والمؤسسات من مخاطر االمن السيبراني وان تكون تقارير مراقب الحسابات ذات ثقة عالية وتحمي أصحاب المصالح من أي تهديدات وتكون مسؤولية المدقق الخارجي بعيده عن كل اإلشكاالت القانونية والمهنية. المبحث االول: اوالا-منهجية البحث -:The methodology of Researchيقدم هذا المبحث عرضاً لمنهجية البحث التي تضمنت مشكلة البحث وأهميته وأغراضه ومجال تطبيقه وحدود البحث ،المنهج المعتمد ،مصادر جمع البيانات ،وطرائق تحليل بيانات البحث. 1-1مشكلة البحث-:Research problem : مشكلة البحث في تزايد التهديدات السيبرانية التي تواجه الشركات والمؤسسات ،مثل االختراقات والتهديدات اإللكترونية التي تم تحول عملها الى النظام االلكتروني وان عمليات التدقيق والمسؤولية المهنية لمراقب الحسابات الخارجي تتأثر بمخاطر االمن السيبرانية ،كون التقارير لم تتطرق الى مخاطر االمن السيبرانية وعدم وجود برنامج تدقيق موحد لتحديد المخاطر السيبرانية للقطاع المالي. 2-1أهمية البحث-:Research importance :تظهر أهمية البحث بأهمية تقنية المعلومات وتحديد المخاطر السيبرانية ودورها في النهوض بالعمل الموارد المطلوبة لمواصلة التشغيل لكل نشاط بالغ األهمية وتأثير مخاطر األمن السيبرانية في البيانات المالية الذي يمكن أن يكون كار ًثيا وعندما يتم اختراق منظومة األمان السيبرانية للشركات المالية ،اذ يمكن للمهاجمين الوصول إلى معلومات مالية حساسة مثل معلومات الزبائن وهذا يمكن أن يؤدي إلى انتهاك المؤسسات الماليه وبالتالي تاثر المسؤولية المهنية نظر للتطورات السريعة في مجال التقنيات والتحول الرقمي الذي يشهده العالم لمراقب الحسابات الخارجي و يحمل أهمية كبيرى ًا وتاثير مخاطر االمن السيبراني من الناحية القانونية والمهنيه لمراقب الحسابات. 3-1أهداف البحث-:Research Objectives :أن الغرض الرئيسي من البحث يمكن أن يكون كثير األبعاد ويشمل عدة جوانب ومن بين األغراض الرئيسية يمكن تضمين: .1تقييم تأثير المخاطر على المسوؤلية :من خالل فهم كيفية تأثير المسؤولية المهنية لمراقب الحسابات الخارجي من الناحية القانونية والمالية على مخاطر األمن السيبرانية .2تحليل االستجابة واالستعداد للتحديات السيبرانية :من خالل تقييم مدى استعداد المراقبين الخارجيين لمواجهة التحديات السيبرانية واالستجابة لها بفعالية. -4-1فرضية البحث :ينطلق البحث من فرضية رئيسية مفادها (وجود عالقه مباشر مابين المسوؤلية المهنية لمراقب الحسابات ومخاطر االمن السيبرانية في المؤسسات المالية العاملة المطبقة للتحول الرقمي ) . 5-1منهج البحث -:Research method :اعتمد الباحث في بحثه هذا على المنهج الوصفي في اإلطار النظري لتحقيق أهداف البحث ،وأعتمد على المنهج التحليلي في اإلطار العملي من خالل اعداد برنامج تدقيق مقترح من قبل الباحث والحصول على النتائج. 6-1وسائل جمع البيانات والمعلوماتMeans of collecting data and information : Page | 337 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 1-6- 1الجانب النظري :تم االعتماد على مصادر محلية وعربية واجنبية من الكتب واالطاريح والرسائل والبحوث المنشورة في المجالت العربية واالجنبية او متوفرة في مختلف المكتبات او على شبكات االنترنت. 2-6-1الجانب العملي :التقارير السنوية (للمؤسسة المبحوثة) خالل فترة البحث تم اعتماد البرنامج. ثانيا –الدراسات السابقة : الباحث(//الشريف .مصطفى كامل )2024: عنوان الدراسة//موسوعة االمن السيبرانية (حماية الفضاء الرقمي بين النظرية والتطبيق) مشكلة الدراسة//استكشاف االمن السيبرانية في العالم الرقمي اهداف الدراسة//حماية الفضاء الرقمي بين النظرية والتطبيق اهم االستنتاجات//دليل مفيد وموثق لفهم وتطبيق االمن السيبرانية توصيات الدراسة//اعداد دليل رسمي لوضع خطط وتقوية الدفاعات لألمن السيبرانية الباحث(//سلمان) 2023 . عنوان الدراسة//جرائم االمن السيبرانية وأثر الجهود الدولية في مكافحتها مشكلة الدراسة //عدم كفاية الحماية القانونية الدولية لمكافحة الجرائم السيبرانية اهداف الدراسة//تكوين صورة واضحة عن الصعوبات التي تواجهه المنظمة والدول في مجال االمن السيبرانية (العالقات – الخصوصية –التعزيز المني) اهم االستنتاجات //اجراء المزيد من البحوث حول تأثير االمن السيبرانية على الشركات والمنظمات والدول وصيات الدراسة//إيجاد صيغ قانون دولي للحد من التهديدات السيبراني الباحث(//صالح واخرون )2022: عنوان الدراسة //التحول الرقمي من األرض الى الفضاء (فرص للنمو االقتصادي ام تهديد لألمن القومي ) مشكلة الدراسة//تسارع وتقدم تقنية االتصاالت في حياة االنسان الحديثة اهداف الدراسة//االستفادة من التقدم االلكتروني واالتصاالت الحديثة وتجارب الدول والعمل على الحفاظ عليها من خالل تحديد مخاطر االمن السيبرانية ومن العمل التحول الرقمي في العراق اهم االستنتاجات //ان تقنية المعلومات لها تأثير كبير في النمو االقتصادي في حال استخدام التقانيات المحدثة توصيات الدراسة //دخول العراق لهذه التقانيات وحمايتها من الهجمات السيبرانية يساعد في النمو االقتصادي وحماية االمن القومي اسم الباحث ()Caustic, 2021 عنوان الدراسة//The Impact of Cyber security on Competitive Advantageتأثير االمن السيبرانية على الميزة التنافسية مشكلة الدراسة -هل يوجد تأثير للميزة في المؤسسة على االمن السيبرانية اهداف الدراسة//تهدف هذه األطروحة إلى استكشاف العناصر الالزمة لتنفيذ األمن السيبرانية وإدارته في المنظمة ،وكذلك استكشاف كيف يمكن لألمن السيبرانية أن يسهم في الميزة التنافسية للمنظمة. أهم االستنتاجات//األمن السيبرانية (القدرات التشغيلية ،القدرات الديناميكية). توصيات الدراسة//هناك حاجة إلى نهج شامل إلدارة األمن السيبرانية من خالل نظام اجتماعي تقني يوازن بين الجوانب االستراتيجية والتنظيمية والمخاطر والتكنولوجيا. Page | 338 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 االمتثال للمتطلبات المختلفة ،يمكن للمنافسين محاكاة االمتثال بسهولة ألنه يعتمد على القدرات التشغيلية ،من خالل تطوير قدرات ديناميكية محددة لألمن السيبرانية ،يمكن للشركات تحقيق قيمة استراتيجية يصعب تقليدها ،لتحقيق ميزة تنافسية مستدامة. المبحث الثاني -اإلطار المفاهيم لمفهوم مراقب الحسابات وتعريفه وتقييم ادائه على مخاطر االمن السيبرانية 1-2مفهوم مراقب الحسابات -:أن مراقب الحسابات "جهة رقابية شرعه القانون للرقابة الوحدة والتدقيق في حساباتها ،لغرض حماية هيكلية الوحدة ومساهميها والغير من خالل تعيين مراقب واحد أو مراقبين للحسابات ،وهي مسالة ملزمة وفقاً للقانون الذي ينظم عمل الشركات ،لذا يستوجب ان يعيين شخصاً يعهد لهم بمهمة رقابة وتدقيق عمل الوحدة من خالل تدقيق حساباتها " ،كما" يمكن ان يكون الشخص طبيعياً أو معنوياً في إطار حوكمة الشركات إال أنه يشترط فيه ان يكون من المقيدين في الجدول ،ومكلفاً من طرف المساهمين بمراقبة بصفة دائمة للحسابات المنجزة من قبل الشركة ،وانه يمارس هذا العمل لغرض تقديم التقارير المؤكدة لشتى مجاالت عمل الشركة "(جيرارد كومو: 1994 ،ص " ،) 155يقوم برقابة دائمة وفعالة في الشركة لحساب المساهمين، ويتم ابالغهم عن أي سلوك يشكل انحراف في عمل االدارة أو مخالف ألحكام التشريع ،ويتم تعيينهم من الجمعية العمومية ولمدة سنة ويلتزموا بتقديم الئحة التقرير الختامي قبل خمسين يوماً على االقل من تاريخ االنعقاد السنوي للجمعية العمومية"( ناصيف؛ الياس : ۲۰۰۸ ،ص " ، ) ٧٧وعلى الرغم من ذلك فإن القوانين لم تضع تعريفاً له ،وإنما نظمت عملية ممارسة مهنة الرقابة والتدقيق وبيان الشروط الواجب توافرها فيه ،والصالحيات التي يتمتع بها ،وهذا مسار للمشرع ألنه عملية وضع التعاريف ستقيد من االشخاص في ظل ظروف تتسم بالسرعة في التغيير والتطور ،وهو ما جعل مجاالً رحباً للفقه لتعريف مراقب الحسابات ،ولذلك فقد عرفه جانب من الفقه بانه خبير معين من لدن الجمعية العامة للشركة يناط به مهمة الرقابة على اعمال مجلس االدارة في مدة محددة عادة ما تكون سنة"(محرز ؛احمد محمد : ۲۰۰۹ ،ص " ،) ٥٦٨وقدعرفه بعض التشريعات بأسم مفوض المراقبة " وهو الخبير المتخصص الذي ويالحظ ان تحديد تاريخ التعيين بمدة سنة هو امر نراه غير صائب ألنه عمليات المراقبة وان قام بها متخصص اإال أن تحديد اعمال الشركة وارباحها وخسارتها امر يحتاج إلى مدة اطول نسبياً من سنة ،وألجل االحاطة بذلك يمكن ان تكون مدة عمل مراجع الحسابات مدة اطول من السنة حتى يكون ضمانة حقيقة للمساهمين ومراجع فعال على سلوك الشركة، وتجنباً لالنتقاد فقد خرج قانون المصارف العراقي رقم ( )٩٤لسنة ٢٠٠٤عن ذلك في المادة ( ،)٦٤ليمدد المدة وجعلها تصل إلى خمس سنوات على أن ال تتجاوز ذلك اال بموافقة البنك المركزي العراقي ،وقد عرفها جانب آخر بكونها خبرة فنية يختص بتقديرها الخبير ليقرر مدى انتظام الدفاتر والسجالت ،ودقة ما تحتويه من بيانات لغرض تحديد المركز المالي للشركة" ( عيسى ابو الطبل ،وعبد المنعم محمود : ١٩٦٧ ،ص ) ٤٠مشار اليه ،ويالحظ على هذه التعريفات انها لم تضع تعريفاً جامعاً له كما انها لم تتفق على تسمية له ،فقد اطلق عليه اسم "مفوض الرقابة " في التشريع اللبناني ،انظر ( الياس ناصيف ،مصدر سابق ،ص ، ) 41أو" مراجع الحسابات" يالحظ ان (قانون الشركات االردني رقم ٤٦لعام ،) ۲۰۰٦أو "مدقق الحسابات" (يالحظ ان لفظ مراقب الحسابات قد ورد في المواد ، ٥٩و ۸۷و ۱۰۲ ، ۱۱۷في قانون الشركات العراقي رقم ۲۱لسنة ١٩٩٧المعدل النافذ) ، أو" مفتش الحسابات ،كما سمي بمراقب الحسابات الخارجي "( نهلة ؛طعمة خلف؛ : ٢٠٠٦ص ، ). ١٥وفي العراق حيث تم ذكره في القانون العراقي رقم ٤٩لسنة ۲۰۰٤حيث نصت المادة ( )٢٤منه على / ١ب -التوصية والموافقة على مراقب الحسابات لكي يعين كمراقب حسابات خارجي للمصرف استناداً للمادة ( ."٤٦وقد استخدم لفظ المدقق المالي المستقل في المادة (ثامناً " )۱۱۷أ -اختيار مدققين ماليين مستقلين "...من قانون الشركات العراقي المعدل النافذ) ينظر المادة ٦٦/٤من قانون الشركات االردني رقم ۲۲لسنة ۱۹۹۷المعدل النافذ التي نصت على (انتخاب مدقق حسابات الشركة وتحديد اتعابه) ،وكذلك سار القانون الشركات اإلماراتي على ذلك بموجب القانون رقم ( )۲لسنة ۲۰۱٥الذي خصص فيه المواد ( )٢٥٤-٢٤٣لبيان األحكام المتعلقة بمدققي حسابات الشركة. Page | 339 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 -2-2المسؤولية المهنية لمراقب الحسابات- :يعد مراقب الحسابات الخارجي ذات اهمية بعد اتساع المهام المناطة بالوحدات االقتصادية في ضوء العولمة وما انطوى عليها في ضوء االقتصاد الحر ،ولذا فإن دور مراقب الخارجي قد ازداد في اهمية في ظل االقتصاد المنفتح وامتد ذلك على النطاق الداخلي،والدولي ( خلف؛نهلة طعمه ؛:2006ص )45وعن التأكيد المعقول والتمثيل الصحيح والعادل حيث إن المساهمون يتوقعون إن يكون المراقب ضامنا الستثماراتهم ورغم إن ذلك يبدوا غريب إال انه أمر واقع و لذا يتعين على مدقق الحسابات بالتقرير عن مصداقية المعلومات النوعية وتكنولوجيا معلومات قاعدة البيانات المعقدة فضال عن التقارير لعمليات وأداء الشركات في ضوء ما ينجم عن ذلك من خطر لعملية التدقيق(.عبد الوهاب ؛شحاته؛: 2006ص )19كما في عام 2008التي رافقها انهيار بعض القطاعات" (سندس؛ ماجد رضا ؛ :۲۰۱۱ص " )12فعند قيام مراقب الحسابات بمهامه عليه أن يلتزم بتطبيق إجراءات وأساليب ُمتعارف عليها في مجال المهنة"" ،وقد يحدث أن ال يلتزم بهذه اإلجراءات أما عمداً أو تكبه من أخطاء أو إهمال أو تقصير"(المجالي:2016 ،ص .)17 سهواً" "،وفي الحالتين يجب مساءلته عما ار ُ إن تحديد المسؤولية القانونية وكذلك المسؤولية المهنية للمدقق الخارجي يرتبط بشكل كبير بمعيار الواجب للمهنة ،بمعنى إن القانون زادة مززا تمثززل المسززؤولية القانونيززة ُيركززز أساسزاً علززى التقصززير فززي بززذل العمززل المهنززي المالئززم كأسززاس لمسززاءلة مززدقق الحسززابات ،وعز ً لم ارقزب الخزارجي الحزد األدنزى لمزا يتحملزه مزن مسزؤوليات ،إذ تفززرض المنظمزات والنقابزات المهنيزة مسزؤوليات أكبزر عليزه بهزدف رفززع مس ززتوى العناي ززة المهني ززة ع ززن الح ززد األدن ززى ال ززذي يفرض ززه الق ززانون (دح ززدوح والقاض ززي:2009 ،ص .)190وإن المفه ززوم ال ززذي يفس ززر مسؤولية المراقب الخارجي هو مفهوم الوظيفة االجتماعية ،إذ إن أبعاد هزذا الزدور هزي التزي تحزدد مجزال م ارقزب الحسزابات والتبعيزة القانونيززة و لززيس إلتجززاه المسززاهمين فقززط بززل إتجززاه األط زراف األخززرى والمسززتخدم الخززارجي والتززي لهززا جميعهززا مصززالح متباينززة فززي المعلومات االقتصادية التي يقدمها المشزروع ويقررهزا م ارقزب الحسزابات وقزد تضزافرت عوامزل عزدة أدت إلزى تحمزل م ارقزب الحسزابات المختلفة المسؤولية اتجاه األطراف ُ 3-2شروط مراقب الحسابات -:ان مهمة التدقيق ومراقبة العمل الصادرة عن الوحدة التي قد تكون صحيحه وقد يعتريها بعض االخطاء ،ولذلك فإن وجود المراقب يعني وجود نظام لمراقبة العمل فإن عليه ان يقوم بتدقيق كاملة للدفاتر والسجالت ،وهذه المهمة ال يمكن ان يمارسها اي شخص عادي ،ولذلك فقد نظم التشريع العراقي "،شروطاً المزاولة مهمة مراجعة الحسابات؛ والتي يمكن أن يكون تدقيق الحسابات من ذوي الكفاءة تعزز الشركات االقتصاد الوطني وتعمل على تنميته وازدهاره ؛ولذلك كان البد من وضع الية عامة لحكومة الشركات وضمان حقوق المساهمين فيها"" ،بما يضمن من تحقيق انضباط مؤسسي في ادارة الشركة واتباعاً لألساليب العالمية في ذلك" (ينظر نص المادة ( )۸من قانون المعهد العالي للدراسات المحاسبية والمالية العراقي ) ، "وحيث ان تحقيق هذا االنضباط يقتضي ان تناط مهمة الرقابة بشخصية كفؤة قادرة على أن تلزم االدارة باتباع نسق منتظم في عملياتها بما يتناغم والتشريع في البلد" ،ولذلك فقد نص المشرع العراقي في المادة ( )۱۳۳من قانون الشركات العراقي رقم ()۲۱ لسنة " ۱۹۹۷على ...حسابات الشركة الخاصة فتخضع للرقابة والتدقيق من قبل مراقبي الحسابات تعينهم الجمعية العمومية للشركة" " ...والمالحظ ان هذا النص لم يتطرق إلى شرط الكفاءة وإنما حاول ان يكفل االستقاللية للمراجع ،وعلى ذلك سار تشريع الشركات التجارية الذي عهد للجمعية العمومية صالحية تعيين مراجع الحسابات دون ان ينظم شروط كفاءته" ( نصت المادة السابعة من نظام ممارسة مهنة مراقب وتدقيق الحسابات العراقي )" ،والمالحظ ان التشريع العراقي اناط مهمة ترشيح مراقب الحسابات بمجلس االدارة وهو ما قد ينقص من استقالليته"" ،ولذلك فقد عالج القرار الوزاري المرقم ( )٥١٨لسنة ٢٠٠٩على أن يكون ترشيح مراقب الحسابات من لدن مجلس االدارة و قيد هذا الحق بوجود توصية من لجنة التدقيق" ،ويمكن مالحظة ان نص القرار الوزاري هو اسبق من القانون ،وهو ما يدفع البعض للتساؤل ان تشريع الشركات هو الحق على أحكام القرار وبالتالي فإن قوته تعلو عليه ،كما انه في ذات الوقت لم يسلب صالحية مجلس االدارة من الترشيح ،في ضرورة سحب صالحية ترشيح أو تعيين مراقب الحسابات من مجلس االدارة" ،ألن المدقق يمارس عملية الرقابة على اعمال مجلس االدارة ،ولذلك البد من ضمان استقالله ان المتبع لقانون الشركات يرى انها لم تنص على شرط الكفاءة المهنية ولذلك فالبد من البحث عن اساس هذا الشرط"، Page | 340 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 (ولدى الرجوع إلى نظام ممارسة مهنة مراقبة وتدقيق الحسابات العراقي رقم ( )۳لسنة ۱۹۹۷المعدل النافذ) ،نجد انها قد احتويا على شرط الكفاءة من خالل النصوص الواردة فيهما ،التي يمكن من خاللها استنباط شرط الكفاءة . 2-4مفهوم األمن السيبراني-: Cyber security:واألمن السيبراني هو عملية حماية األنظمة والبيانات واالتصاالت والشبكات الموجودة والمتصلة باإلنترنت ضد الهجمات الرقمية؛ فهذه الهجمات ،التي يشار إليها عادة باسم "الهجمات السيبرانية" ،ما هي إال محاولة اختراق ،أو تعديل أو تعطيل أو دخول أو استخدام غير مشروع؛ و يمكن أن تتراوح الهجمات السيبرانية من تثبيت رموز برمجية ضارة على جهاز حاسوب شخصي وصوال إلى محاولة تدمير البنية التحتية لدول بأكملها.وبإيجاز ،يشير المصطلح نطاق افتراضي تم إنشاؤها بواسطة أجهزة الحاسب اآللي المترابطة وشبكات الحاسب اآللي على الشبكة ،وهو الوسط الذي تتواجد فيه جميع شبكات الحاسوب ويحصل من خاللها التواصل اإللكتروني؛ القدرة على الحماية أو الدفاع عند استخدام الفضاء السيبراني من الهجمات السيبرانية () .)(Rodriguez, 2019:P21ببساطة ،يهتم األمن السيبرانية بالتهديدات بما الجهات سواء كانت داخلية أم خارجية ،أو اقتصاره على نقاط ضعف الجهاز الذي يستخدمه الفرد ومن ثم ،حماية األجهزة والشبكات والخوادم والتطبيقات المتصلة بشبكة المعلومات أو الموجودة عليها والتي تتعرض للقرصنة أو الهجمات المستهدفة أو الوصول غير القانوني.يرتبط “ضمان وأمن المعلومات” بعملية إدارة المخاطر طا أو سياسات ذات تركيز أوسع لضمان وظائف البيانات أو المتعلقة ؛ باستخدام البيانات وأنظمة ؛ وتخزينها؛ ونقلها؛ وسيشمل ذلك خط ً األنظمة ، (Rawass, 2019:13).وحمايةأصول المعلومات الرقمية وغير الرقمية ،مثل سجالت النسخ الورقية .اذ يقدم المعهد الوطني للمعايير والتقنية )" (NISTفي سرد مصطلحات أمن المعلومات الرئيسية تعريفات لكل من “ضمان المعلومات” و “أمن المعلومات".؛التدابير التي تقوم على الحماية واألنظمة والدفاع عنها لضمان توافرها وسالمتها والمصادقة والسرية وعدم االنتهاك وتشمل هذه التدابير على استعادة األنظمة من خالل دمج قدرات الحماية والكشف وقدرتها على التفاعل (صالح ،واخرون 2022:ص .)38أن األمن السيبراني "على النحو الذي عرّفه المعهد الوطني للمعايير والتقنية ؛حماية المعلومات وأنظمة تقنية المعلومات من أي اختراق ،أو تعطيل ،أو تعديل أو دخول غير مصرح به أو استخدام أو استغالل غير مشروع لتوفير أساسيات او عناصر والبنية التحتية الوطنية الحساسة " " Critical National Infrastructureهي العناصر األساسية للبنية التحتية (أي األصول ،والمرافق ،والنظم والشبكات والعمليات والعاملون األساسيون الذين يقومون بتشغيلها ومعالجتها التي قد يؤدي فقدانها أو تعرضها النتهاكات أمنية إلى أثر سلبي كبير على توافر الخدمات األساسية أو تكاملها أو تسليمها بما في ذلك الخدمات التي يمكن أن تؤدي في حال تعرض سالمتها للخطر إلى خسائر كبيرة في الممتلكات و/أو األرواح و/أو اإلصابات مع مراعاة اآلثار االقتصادية و/أو االجتماعية على المستوى الوطني و تأثير كبير على األمن الوطني و/أو الدفاع الوطني و/أو اقتصاد الدولة أو مقدراتها الوطنية . 5-2المسؤولية عن مخاطر االمن السيبراني :أن مسوؤلية اإلدارة هي مهمة جدا فهي تتضمن التخطيط والتنظيم والتوجية والرقاية واتخاذ القرار فهي وظيفة لإلدارة العمل والخطر السيبرانية التي قد تواجه اإلدارة او قد تستعين بخبراء داخلين او خارجين وينبغي أن يقترن االستخدام المتزايد لتقانة بتعزيز الرقابة االدارة على األنشطة المالية لحماية االستقرار المالي ،أذ قد تظهر مخاطر جديدة تزيد اتجاهات الرقمية المالية من الحاجة إلى األمن السييراني لحماية المستهلكين والمنتجين المالين؛ ومن ثم ،إلى تنفيذ اللوائح ذات الصلة المالية واألنظمة المالية للتخفيف من مخاطر األمن السيبرانية المحتملة ،حيث فرضت العديد من الدول قيوداً على حواجز التجارة اإللكترونية بهدف تصنيفها في الفئات األتية ،التوطين ،ويتكون أول تقيد للتجارة من متطلبات التوطين ،بما في ذلك البيانات أو توطين النظام ذي الصلة ،على سبيل المثال ،تتطلب الهند أن يتم وضع جميع البيانات الدفع التي تحتفظ بها الشركات الدفع في المنشاءات المحلية داخل الدولة وال يسمح بتصديرها خارج البالد ،وال حتى المعالجة ،إلى جانب متطلبات البيانات()Murphy, F., &13-2 Materne, S. (2022) Cyber risk and cyber securityوان أحد المنتجات التي تم إنشاؤها من نموذج Fintechهو منصة اإلقراض من شخص إلى شخص ( ،)P2Pعلى الرغم من أن إقراض P2Pيقدم خدمات أفضل بتكاليف منخفضة ،إال أنه زاد أيضا من الخطورة االئتمانية وبالتالي ظهور المخاطر النظامية ومما ال شك فيه أن الوسائط الرقمية قد زادت من مستوى الشمول المالي عالمياً من 51بالمائة عام 2011إلى 85بالمائة في 2022والتحدي الذي يواجه Page | 341 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 المصارف هو تحديد أنسب نموذج لالتصال للتفاعل مع شرائح مختلفة من الزبائن من أجل إقناعهم بتبني قنوات مصرفية رقمية علما بان العراق قد وصل الى ما يقارب خمسة مليون محفظة الكترونية نهاية عام .2023وعلى الرغم من أن Fintechتخلق فوائد لالستقرار المالي ،إال أنه من المحتمل أن يكون لها تأثير نظامي سلبي على األخير ويمكن أن تنتج اثا ار سلبية خطيره ويمكن أن تعرض االقتصاد الحقيقي للمخاطر المتعددة ،وتعتبر التقانات الحديثة إحدى التقنيات الهامة التي يمكن أن تقوض االستقرار المالي من خالل قنوات التمويل األصغر والقنوات الكبرى ال مالية؛ لذلك يمكن أن تخلق تقنيات مالية مخاطر مالية صغيرة وكبيرة على االستقرار المالي؛ و بينما يعمل رأس المال والسيولة من جانب على تعزيز المرونة المالية من ناحية أخرى ،وتدعم الحوكمة والضوابط القوية المرونة التشغيلية؛ وتتبع مصادر المخاطر التشغيلية من الحوكمة ومراقبة العمليات والمخاطر اإللكترونية واالعتماد على األطراف الثالثة والمخاطر القانونية ومخاطر األعمال المتعلقة بالبنية التحتية الحيوية لألسواق المالية ( D'Arcy, )J., & Basoglu, A. (2022؛ )p39ويشير الشمول المالي إلى عدد المستفيدين الذين يمكنهم الوصول إلى الخدمات المصرفية أو المالية ،حيث أن الخطوة األولى نمو الشمول المالي في امتالك حساب على نحو متزايد ،يتم استخدام المدفوعات الرقمية في المعامالت المالية .كما يعد إجراء المدفوعات الرقمية أو استدامه مع أحد االستخدامات المهمة لحساب االدخار .مع ذلك ،أفاد عدد قليل من األشخاص باستخدام حساباتهم لالدخار ولكن ليس لإلجراء مدفوعات رقمية أو استخدمها في العام الماضي ،كما ساعدت التكنولوجيا في تحقيق التكافؤ بين الجنسين وقللت الفجوة بين البالغين األكثر ثراء والفقراء (منشورات البنك الدولي ()WB عن األمن السيبراني)ونظ اًر لالضطراب ات غير نقديه ال تستطيع المؤسسات المالية التحكم في تجربة الزبائن في المعامالت بسبب التكامل وتفقد الوحدات االقتصادية الرؤية وسيتعين عليها أن تهدف الى تامين مكان البطاقة االفتراضية في السوق و أن التطورات السريعة في تقانيات المالية على األسواق المالية ونماذج األعمال للوحدات المالية التقليدية من أجل متابعة االتجاهات المالية والمنافسة في منافستها سريعة النمو ،للوصول إلى الشمول المالي حيث تتبنى المؤسسات المالية التقليدية التغييرات من أجل تلبية احتياجات السوق .ويمكن أن تكون عوامل جانب العرض والطلب بمثابة محركات لالبتكارات المالية وتبحث لألجيال الجديدة بشكل خاص عن خدمة مالية سريعة وسهلة الوصول يمكن الوصول إليها في أي وقت وفي أي مكان وفيما يتعلق بذلك من المرجح أن يستخدموا المعلومات اإللكترونية أو الخدمات المالية عبر الهاتف المحمول أو الضمانات Fintechأو غيرها من المنتجات بدالً من استخدام أساليب الخدمات المالية التقليدية والشاغل الرئيسي هو التأثير الرقمي على استقرار وسالمة أسواق واألنظمة المالية األوسع (.منشورات البنك الدولي ( )WBعن األمن السيبراني).وقد عرف مخاطر األمن السيبرانية على أنه تشغيل خطر ألصول المعلومات والتقانية التي تؤثر في سرية؛ أو توافر؛ أو سالمة المعلومات؛ أو أنظمة المعلومات (منشورات مركز التميز التعاوني للدفاع السيبراني التابع لمنظمة حلف شمال االطلسي(2018 ، NATO CCD COE.وان سرقة بيانات ومعلومات الزبون وكذلك التالعب بها بكونها تهديدات الكترونية رئيسية تؤثر على أموال المصارف والتهديدات التي تتعرض لها البنية التحتية المالية والمخاطر التي تمثلها البرامج الضارة لألنظمة ) الفتالوي ؛أحمد عبيس نعمة؛ :2018ص ، )5وإن تحديد المخاطر السيبرانية واالسس الكامنة وراءها يمكن أن يؤدي إلى وجود تعريف وفهم مشترك عبر المصارف بما في ذلك من قبل السلطات والمشاركين من القطاع الخاص ،والى زيادة تسهيل تبادل البيانات والتعاون المناسب في السيطرة على المخاطر اإللكترونية وحسب نوع مخاطر االمن السيبرانية المبحث الثالث :مالمح لبرنامج تدقيق(عراقي) ُمقترح بشأن مخاطر االمن السيبرانية للمؤسسات المالية Features for Iraqi Proposed Audit Guide about Representations Cyber security لدى قيام الباحث ب البحث عن دليل أو برنامج محلي في الكتب والبحوث او لدى المنظمات ذات الصلة في العراق لم نجد دليل أو برنامج او اطار تدقيق(عراقي) ُيعنى بتدقيق مخاطر االمن السيبرانية كدليل إثبات في التدقيق ،ولوجود حاجة ُملحة ومتزايدة لمثل هكذا دليل ،و لما له من أثر بالغ في دعم رأي مراقب الحسابات أوالً ،وفي محاولة لدرء أو تخفيض مسؤوليته غير المحدودة ثانياً ،اجتهد الباحث في وضع مالمح لدليل تدقيق(عراقي) ُمقترح ُيعنى بهذه المخاطر ومحتوياته ،وأخذ بنظر االعتبار المقارنات Page | 342 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 التي وردت ليتم العمل بها من قبل الجهات الرقابية والتشريعات المنظمة في جمهورية العراق وقد االستفادة من تجارب الدول األخرى مثل" المملكة العربية السعودية" (دليل االمن السيبرانية ) وكذلك "المملكة األردنية الهاشمية "(دليل االمن السيبرانية في القطاع المالي )وبما يسهم في تعزيز ما ُيمثله من مخاطر االمن السيبرانية كونه دليل إثبات ُيعين مراقب الحسابات على أداء مهمته،حيث لم نجد من خالل البحث عن خبراء ضمن مهنة مراقبي الحسابات يختصون بهذا الموضوع فتعذر على الباحث عرض داعم ألدلة دور برنامجه التدقيق واعتمد على تجارب الدول ذات الخبره بهذه المخاطر حتى وإن لم يكن لهذه المخاطر ٌ أساسي بل ٌ ٌ المقترح باآلتي: اإلثبات األخرى ويتمثل دليل التدقيق ُ أوالا-الغرض والنطاق Goal and Scope -1يسعى هذا الدليل او البرنامج إلى وضع معايير وتوافر إرشادات في الحصول على إق اررات خطية (تحريرية) عن تدقيق خطر االمن السيبرانية من إدارة الشركة او الجهة موضوع العمل ،ويشتمل هذا الدليل على العناصر اآلتية: اإلجراءات التي ينبغي تطبيقها عند تقييم المخاطرالسيبرانية وتوثيقها. أ- المتخذ في حالة رفض اإلدارة تقديم اإلق اررات المناسبة حول تقيم مخاطر السيبرانية. ب -اإلجراء ُ ج -ينبغي على المدقق الخارجي أن يحصل على إق اررات مناسبة من اإلدارة بتدقيق المخاطر السيبرانية. د -يتضمن هذا الدليل اإلطار العام لما ينبغي إق ارره من معلومات عن البيانات المالية التي تعدها- : أوالا"-شركات القطاع العام". ثاني ا"-شركات القطاع المختلط". ثالث ا"-الشركات المساهمة العامة؛ والخاصة". رابع ا"-فروع الشركات؛ والمؤسسات االقتصادية األجنبية العاملة في العراق". ثانيا :البرنامج التدقيقي الخارجي لمخاطر االمن السيبرانية (:)cyber internal audit التسلسل إجراءات التدقيق -1 (الخطة) ينبغي اسم المدقق وتوقيعه نسبة التدقيق رقم رقم ورقة ورقة االستفسار العمل وتاريخها التخطيط للعمل لألمن السيبرانية واالغراض واالنشطة والمشاريع داخل الوحدة الخاضعة للتدقيق في تحقيق المتطلبات القانونية واالدارية . 1-1 ينبغي العمل بخطة للحد من مخاطر االمزن السيبرانية ودعمها من قبل رئيس الوحدة أو من ينوب عنه؛ وبموجب الصالحيات وأن تتماشى وغرض خطة ألمن السيبرانية 2-1 ينبغي العمل على خطة عمل لتنفيذ استراتيجية االمن السيبرانية من قبل الوحدة. 3-1 ينبغي متابعة خطة االمن السيبرانية على اوقات زمنية مخطط لها 2 (اإلدارة) ضمان التزام ودعم مسوؤل الصالحية للوحدة فيما يتعلق (أو في حالة تغييرات في المتطلبات التشريعية والتنظيمية ). بإدارة وتطبيق برامج االمن السيبرانية وفق المتطلبات التشريعية والتنظيمية . Page | 343 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 1-2 ينبغيتنظيم إدارة معنية بخطراألمن السيبرانية في الجهة مستقلة عن إدارة تقانيه المعلومات وفق خطة العراق لألمن السيبرانية ويفضل ارتباطها مباشرة برئيس التنفيذي االعلى للوحدة أو من ينوب عنه، مع االخذ باالعتبار عدم تعارض المسوؤليات. 2-2 ينبغي أن يشغل منصب مسؤول باألمن السيبرانية المشرفة والحساسة بها موظفون متفرغون وذوخبرة و كفاءة عالية في مجال االمن السيبرانية. 3-2 ينبغي إنشاء لجنة المتابعة على ألمن السيبرانية بتوجيه من مسوؤل الوحدة لضمان التزام ودعم ومتابعة تطبيق برامج وتشريعات االمن السيبرانية ،ويتم تحديد وتوثيق واعتماد أعضاء اللجنة ومسؤولياتها وإطار حوكمة أعمالها على أن يكون رئيس الدائرة المعنية باألمن السيبرانية أحد أعضائها؛ ويفضل ارتباطها مباشرة برئيس الجهة أو معاونه ،مع االخذ باالعتبار عدم تعارض المصالح والمسوؤلية . 3 (السياسة واإلجراءات)اعداد إجراءات تتناسب مع مخاطر االمن السيبرانية والتزام الوحدة بها ،وذلك وفقاً لمتطلبات العمل االداريةو التنظيمية . 1-3 ينبغي على الدائرة االهتمام بمخاطر باألمن السيبرانية في الوحدة و تحديد الضوابط و وإجزراءات وما تشمله من متطلبات االمن السيبرانية ،وتوثيقها واعتمادها من قبل الدائرة ،كما يجب اعالم ذوي العالقة من العاملين واالطراف االخرى. 2-3 ينبغي على الدائرة االهتمام باألمن السيبرانية وضمان تطبيق سياسة 3-3 ينبغي أن تكون إجراءات االمن السيبرانية بمعايير تقنية أمنية من االمن السيبرانية في الوحدة وما تشمله من ضوابط ومتطلبات. خالل المعايير التقانية االمنية لجدار الحماية؛ وقواعد البيانات، وأنظمة التشغيل ،وغيرها. 4-3 ينبغي تدقيق معايير االمزن السيبرانية وتحديثها على فترات زمنية مخطط لها أو حدوث خرق او تغير في المتطلبات اإلدارية والقانونية ،كما يجب توثيق التغييرات واعتمادها. 4 (المسؤولية) ينبغي تعين وتحديد واضح لجميع االطراف جميعها في تطبيق اجراءات االمن السيبرانية في الوحدة الخاضعة للتدقيق. 1-4 ينبغي على المسوؤل عن تحديد وتوثيق واعتماد الهيكل التنظيمي للحوكمة واالدوار الخاصة باألمن السيبرانية للوحدة ،وتكليف االشخاص االختصاص ،و ينبغي تقديم الدعم الالزم لتنفيذ ذلك ،مع االخذ باالعتبار عدم تعارض االعمال. 2-4 ينبغي تدقيق الدرجات الوظيفية باالمن السيبرانية في الوحدة Page | 344 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 وتحديثها على فترات زمنية مخطط لها أو في حالة حدوث تغييرات في العمل 5 (إدارة المخاطر) تدقيق خطر االمن السيبرانية على نحو ممنهج يهدف إلى حماية القواعد المعلوماتية والتقنية وذلزك وفقاً للضوابط واالج زراءات 1-5 ينبغي على الوحدة المعنية باألمن السيبرانية تحديد وتوثيق واعتماد خطة وإجزراءات إدارة مخاطر االمن السيبرانية وذلك وفقاً العناصر السرية وتوافر وسالمة االصول المعلوماتية والتقانية. 2-5 ينبغي على الوحدة المعنية باألمن السيبرانية تطبيق إجزراءات إدارة مخاطر االمن السيبراني فيها 3-5 ينبغي التقيد بإجراءات تقييم مخاطر االمن السيبراني بحد أدنى وكما يلي -1عند البدء المبكر من المشاريع التقنية. - 2عند إجراء تغيير جوهري في البنية التقانية. -3عند التخطيط لالستفادةمن خدمات خارجيه. -4عند التخطيط وقبل تنفيذ خدمات تقنية اول مرة 4-5 ينبغي تدقيق خطة وإجراءات إدارة مخاطر االمن السيبرانية وتحديثها 6 (االمن السيبراني ضمن إدارة المشاريع التقنيه )ينبغي تنفيذ متطلبات على فترات زمنية مخطط لها عند تبديل او تغير او قانون محدث االمن السيبرانية مضمنة في خطة إدارة مشاريع الوحدة لحفاظ على السرية وسالمة االصزول المعلوماتية والتقانية للجهة ودقتها وتوافرها، 1-6 ينبغي توفير اساسيات االمزن السيبراني في خطة وإج زراءات إدارة المشاريع وفي إدارة التغيير على االصول المعلوماتية والتقنية في حياة المشروع التقني ،وأن تكون اساسيات األمن السيبرانية جزء أساسي من متطلبات المشاريع التقنية. 2-6 ينبغي أن تغطي احتياجات االمن السيبرانية إدارة المشاريع والتغييرات على االصول المعلوماتية والتقنية للوحدة وبما يلي: -1تقيم الثغرات ومعالجات والتحصين لإلعدادات تدقيق شامل -2ينبغي التحديث قبل إطالق المشاريع والتغييرات. 3-6 ينبغي أن تغطي اساسيات االمن السيبرانية لمشاريع التطوير للتطبيقات والبرمجيات للوحدة بحد أدنى وبما يلي:تنفيذ معايير التطوير األمن للتطبيقاتSecure Coding Standards. توفير مصادر مرخصة وموثوقة األدوات لتطوير التطبيقات والمكتبات ))Librarieاجراء اختبار للتحقق من مدى استيفاء التطبيقات للمتطلبات األمنية السيبرانية للجهة الخاضعة للتدقيق. Page | 345 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 امن التكامل بين التطبيقات ()Integration ( )Secure Configuration and Hardeningوتدقيق اإلعدادات وتحصينها والتحديث قبل إطالق التطبيقات. 4-6 ينبغي تدقيق مخاطر االمن السيبرانية في إدارة المشاريع في الوحدة دورياً. 7 (االلتزام بالتشريعات وتنظيمات ومعايير االمن السيبرانية) ينبغي 1-7 ينبغي للوحدة االلتزام بالقوانين االدارية المحلية باألمن السيبرانية. 2-7 ينبغي التعرف على االتفاقيات أو االلتزامات دولية معتمدة محلياً تدقيق برنامج االمن السيبرانية لدى الوحدة يتالئم واالجراءات تتضمن تدقيق مخاطر األمن السيبرانية ،فيجب على الوحدة االلتزام والعمل بها. 8 1-8 2-8 (تدقيق الدوري لمخاطر االمن السيبراني) تدقيق و التأكيد على مخاطر االمزن السيبرانية والمعمول وفقاً للتعليمات ،واالجراءات ، محليا و الدولية وتنظيمياً ينبغي على الوحدة المعنية باألمن السيبرانية بتدقيق تطبيق اجراءات االمن السيبرانية دورياً. ينبغي تدقيق اجراءات األمن السيبرانية في الوحدة ،من قبل أطراف خارجية مستقلة عن الدائرة المعنية باألمن السيبراني على أن تتم المراجعة والتدقيق من قبل خبير بشكل مستقل يراعى فيه مبدأ عدم تعارض المصالح ،وذلك وفقاً للمعايير العامة المقبولة للمراجعة والتدقيق والمتطلبات . 3-8 ينبغي توثيق نتائج تدقيق مخاطر االمزن السيبرانية ،وعرضها على اللجنة االشرافية ألمن السيبراني و كما يجب أن تشتمل النتائج على نطاق المراجعة ،والمالحظات المكتشفة ،والتوصيات واالجراءات التصحيحية ،وخطة معالجة المالحظات لغرض العمل بها. 9 (مخاطر االمن السيبراني والموارد البشرية) يبنبغي التأكد من أن مخاطر ومتطلبات االمن السيبرانية المتعلقة بالموظفين الدائمين والمتعاقدين في الوحدة تعالج بفعالية قبل وأثناء وعند انتهاء/إنهاء 1-9 عملهم ،وذلك وفقاً للسياسات واالجراءات التنظيمية للوحدة. ينبغي تحديد وتوثيق واعتماد متطلبات االمن السيبرانية المتعلقة بالعاملين قبل توظيفهم وأثناء عملهم وعند انتهاء/إنهاء عملهم في الجهة. 2-9 ينبغي تنفيذ اجراءات االمن السيبرانية المتعلقة بالموظفين في الوحدة للتدقيق 3-9 ينبغي توفر اإلجراءات االمن السيبرانية قبل بدء عالقة العاملين Page | 346 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 المهنية بالوحدة وبما يلي: توفير ضمانات لم زسززؤول زيززات االم ز ززن السيبرانية للحفاظ على س زريززة الزمزعزلزومزات ( )Clauses Disclosure-Nonوكذلك العقود للعاملين في الوحدة لتشمل قبل وبعد العمل و إجراء المسح االمني ( )Vetting or Screeningللعاملين في االمن السيبرانية و التقانية ذات الصالحيات المهمة والحساسة. 4-9 ينبغي ان توفرمخاطر االمن السيبرانية خالل عالقة العاملين المهنية بالوحدة بحد أدنى بما يلي: التوعية بخطراألمن السيبرانية عند بداية المهنة العمل وخاللها. توفير متطلبات االمزن السيبرانية وااللتزام بها وفقاً إلجز زراءات وعمليات االمن السيبرانية 5-9 ينبغي تدقيق وإلغاء الصالحيات للعاملين مباشرة بعد انتهاء الخدمة المهنية لهم بالوحدة. 6-9 10 ينبغي تدقيق متطلبات االمن السيبرانية المتعلقة بالعاملين في الوحدة دورياً (التدريب والتوعية لمخاطر األمن السيبرانية)ينبغي تدقيق الموظفين العاملين بالوحدة بان لديهم التوعية االزمة االمنية ومعرفة بمسؤوليات في مجال االمن السيبرانية؛ والتأكد من ان تم تزويدهم بالمهارات والمؤهالت والدورات التدريبية في مجال االمن السيبرانية لحماية االصول المعلوماتية والتقانية ؛ والقيام بمسؤولياته تجاه خطراالمن السيبرانية. 1-10 ينبغي تدقيق و تطوير والعتماد على برنامج باألمن السيبرانية للتوعية في الوحدة من خالل العديد من القنوات دورياً ،لزيادة الوعي بخطراألمن السيبرانية وتهديداته ومخاطرة ،واعطاء ثقافة إيجابية ألمن السيبرانية. 2-10 ينبغي تنفيذ البرنامج المعتمد للتوعية باألمن السيبراني في الوحدة. 3-10 ينبغي أن يغطي البرنامج التوعية باألمن السيبرانية وطريقة حمايتها من أهم المخاطر والتهديدات السيبرانية وبما بلي: تعامل االمن مع الخدمات البريدية الكترونية و خصوصاً مع الرسائل التصيد الكتروني. الحماية مع األجهزة المحمولة والوسائط التخزينة. التعامل االمن مع الخدمات للتصفح داخل الشبكة التعامل االمن مع الوسائل الخاصة بالشبكة االجتماعية(.التواصل) 4-10 ينبغي توفير المهارات المتخصصة والتدريب اإللزامية للموظفين في المجاالت العمل ذات العالقة باألمن السيبرانية في الوحدة، Page | 347 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 والتصنيف بما يتالئم مع مسؤولياته للعمل فيما يتعلق باألمن السيبرانية ،وبما يلي-:العاملين بالدائرة المعنية باألمن السيبرانية. العاملون في التطوير للبرامج والتطبيقات و المشغلون ألصول المعلوماتية والتقانية للوحدة ولالشراف عليها تنفيذيا 5-10 ينبغي تدقيق تطبيق البرنامج التوعي باألمن السيبرانية في الوحدة 11 (إدارة البنية التحتية) التأكد من أن الوحدة لديها قائمة جرد دقيقة الخاضعة دوريا. وحديثة لألمالك والموجودات تشمل التفاصيل ذات العالقة والمعلوماتية والتقانية المتاحة للوحدة ،لغرض الدعم للعمليات الصناعية ومتطلبات االمن السيبرانية ،لتحقيق السرية والسالمة الموجودات المعلوماتية والتقانية ودقتها وتوفيرها. 1-11 ينبغي تحديد وتوثيق واعتماد متطلبات االمن السيبرانية إلدارة االصول المعلوماتية والتقانية . 2-11 ينبغي تنفيذ المتطلبات األمن السيبرانية لإلدارة الموجودات المعلوماتية والتقانية للوحدة. 3-11 ينبغي توثيق وتحديد واالعتماد والنشر لسياسة االستخدام المقبول للموجودات المعلوماتية والتقانية للوحدة. 4-11 ينبغي تنفيذ السياسة االستخدام للموجودات المقبولة المعلوماتية والتقانية للوحدة. 5-11 ينبغي تبويب الموجودات المعلوماتية والتقانية للوحدة وترميزها ( )Labelingوالتعامل معها وفقاً للمتطلبات والتنظيمية والقانونية المشتركة 6-11 ينبغي تدقيق المتطلبات االمنه السيبرانية لحوكمة الموجودات التقنية 12 (إدارة الهويات للدخول والصالحيات) ضمان حماية االمنة السيبرانية و المعلوماتية دوريا للوحدة. للتنفيذ المنطقي ) )Access Logicalللموجودات المعلوماتية والتقانية للوحدة من أجل منع الدخول الغير المصرح والتقييد الدخول للمطلوب إنجازه االعمال المتعلقة بالوحدة الخاضعة للتدقيق 1-12 ينبغي توفير واعتماد والتوثيق المتطلبات االمنة السيبرانية لإلدارة 2-12 ينبغي تطبيق متطلبات االمن السيبرانية إلدارة هويات الدخول للهويات والدخول والصالحيات في الوحدة. والصالحيات في الجهة. 3-12 ينبغي أن توفر المتطلبات االمن السيبرانية المتعلقة بزإدارة الهويات الدخول والصالحيات في الوحدة وبما يلي: تدقيق هوية المستخدمين ( )User Authenticationاستنادا لكلمة Page | 348 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 Authentication المرور.تدقيق الهوية المتعدد العناصر( )Factor-Multiللعمليات الدخول إدارة الصالحيات والتصاريح المستخدمين) )Authorizationبناء على مبدا التحكم بالدخول والصالحيات مبدا الحاجة للمعرفة Need-to-know and "، "Need-to-useومزبزدأ للحداالدنززى مزن االمزتزيزازات والصالحيات "Least "،Privilegeومزبزدأ للمهام الفصل و للصالحيات والحساسية المهمة والتدقيق لهويات الدخول والصالحيات دوريا 4-12 13 ينبغي تدقيق والتطبيق للمتطلبات االمنه السيبرانية لإلدارة من خالل الهويات والصالحية للدخول في الوحدة دورياً (حماية األنظمة وأجهزة تقنية معالجة المعلومات) لضمان الحماية االمنة النظمة واألجهزة لمعالجة المعلومات بما في ذلك ألجهزة للمستخدمين والبنى التحتية للوحدة من الخطر السيبرانية. 1-13 ينبغي التحديد والتوثيق واالعتماد على المتطلبات االمنة السيبرانية للحماية االنظمة واألجهزة للمعالجة المعلومات للوحدة 2-13 ينبغي التنفيذ االمن للمتطلبات السيبرانية للحماية النظم واألجهزة وللمعالجة معلومات للوحدة الخاضعة للتدقيق. 3-13 ينبغي أن توفر االمان للمتطلبات السيبرانية للحماية االنظمة واألجهز و لمعالجة معلومات للوحدة باقل مما يمكن وبما ياتي: توفيرالحماية من الفيروسات والبرامج الضارة واالنشطة المشبوهة ) )Malwareعلى ألجهزة المستخدم والخوادم باستخدام التقانيات وآليات الحماية الحديثة والمتقدمة ،وإدارتها بشكل آمن. االلتزام الحازم لالستخدام األجهزة ووسائط التخزين الخارجية واالمنة المتعلقه بها.اإلدارة الحازمة للتحديثات التطبيقات واالجهزة واإلصالحات لألنظمة ).Management) Patch للمزامنة خالل التوقيت ( )Synchronization Clockومركزياً ومن المصدر الدقيق والموثوق ،وان من هذه المصادر ما تم توفيرة للجهات ذات العالقة بالموضوع وللمواصفات والجودة والمقاييس . 4-13 14 ينبغي تدقيق االمان للمتطلبات السيبرانية للحماية االنظمة واألجهزة الخاصة لمعالجة معلومات دورياً للوحدة. (حماية البريد االلكتروني) ينبغي الحماية للبريد الخاص الكترونيا للوحدة من خطر السيبرانية. 1-14 ينبغي توثيق و تحديد واالعتماد للمتطلبات االمان السيبرانية لحماية 2-14 ينبغي توفير المتطلبات االمان السيبرانية للحماية الكتروني للبريد الخاصة للبريد اإللكتروني للوحدة. للوحدة. Page | 349 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 3-14 ينبغي توفيراالمان للمتطلبات السيبرانية للحماية البريد الكترونية للوحدة باقل مما يمكن وبما يلي-:التصفية والتحليل ()Filtering للرسزائزل البريدية الكترونية وفيما يخص الرسزائزل التصدي الكترونية » » Emails Phishingوالرسائل االقتحامين» Emails »)Spamباستخدام التقانيات واآلليات للحماية الحديثة و للبريد اإللكتروني المتقدمة. تدقيق الهوية المتعددة المصادر Authentication Factor- ) Multiوللدخول عن بعد وللدخول عن طريق الصفحة للموقع البريد اإللكتروني )).Webmail النسخ االحتياطي واالرشفة للبريد اإللكترونية-للحماية من التهديدات المتقدمة المستمرة )،Protection APTالتي تستخدم عادة الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً) Malware )،Day-Zeroوإدارتها بشكل آمن.التوثيق للمجال االلكتروني للبريد للوحدة بالطرق التقانية ،مثال الطريقة اإلطار لسياسة المرسل. ))Sender Policy Framework 4-14 15 ينبغي تدقيق وتوفير المتطلبات االمان السيبرانية الخاصة بالحماية البريدية االلكترونية دورياً للوحدة (ادارة حماية الشبكة من مخاطر االمن السيبرانية) ضمان حماية الوحدة للشبكة من المخاطر السيبرانية. 1-15 ينبغي توثيق و توفير واالعتماد االمان متطلبات السيبرانية لإلدارة أمنة للوحدة من خالل الشبكات . 2-15 ينبغي توفير االمان للمتطلبات السيبرانية لإلدارة أمان الوحدة من خالل الشبكة الخاضعة للتدقيق. 3-15 ينبغي توفير امان للمتطلبات السيبرانية اإلدارة أمان الوحدة للشبكة من خالل مايلي وباقل مايمكن : التدقيق المنطقي لألجزاء والشبكات و العزل والتقسيم المادي أو بشكل آمن ،والالزمة للسيطرة على المخاطر االمان السيبرانية ذات العالقة ،باالستخدام لجدار الحماية) )Firewallومبدأ للدفاع االمنية المتعددة المراحل Defense-in-Depth 4-15 العزل البيئة االنتاجية عن بيئات الشبكة التطويرية واالختبارية. 5-15 أمان التواصل والتصفح باألنترنت ،و الذي يشمل التقييد الحازم للمواقع الكترونية المشبوهة ،و المشاركة والتخزين للملفات ،والمواقع الدخول والسيطرة عن بعد. 6-15 توفيرامان للشبكة السلكي ولحمايتها باستخدام الوسائل اآلمنة للتدقيق من التشفيرو الهوية ،وعدم الربط الشبكي الالسلكي والشبكة للوحدة Page | 350 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 الداخلية إال بناء اعلى دراستها المتكاملة للمخاطر المترتبة مستقبال والتعامل بما يوفر الحماية التقانية للموجدود للوحدة. 7-15 8-15 التدقق للقيود وإدارة المنافذ والبروتوكوالت ولخدمات الشبكة لالمان و لالكتشاف والمنع االختراقات توفير امن ألنظمته المتقدمة Intrusion Prevention Systems 9-15 امن أسماء النطاقات ()DNS 10-15الحماية لقناة التصفح النترنت من التهديدات المتقدمة والمستمرة( )،Protection APTوالتي يتم االستخدم لعدة فيروسات وبرمجيات ضارة الغير معروفة سابقا) Malware Day-Zeroوإدارتها امنيا 11-15ينبغي تدقيق االمان لتطبيق المتطلبات السيبرانية لحوكمة األمن دوريا للشبكة. 16 (امن األجهزة المحمولة) لضمان توفيراالمان لالجهزة (للوحدة المحمولة) وأجهزة الحاسب المحمولة والهواتف الذكية واالجهزة الذكية اللوحية (من المخاطر السيبرانية ولضمان التعامل بشكل آمن مع المعلومات الحساسة و الخاصة باالعمال للوحدة ولحمايتها أثناء التخزين والنقل عنده االستخدام لالجهزة الشخصية ) ).BYOD للعاملين في الوحدة 1-16 ينبغي توثيق تحديد األمان باعتماد على المتطلبات السيبرانية الخاصة بأمان االجهزة المحمولة و الشخصية للعاملين( )BYOD عند ارتباطها بشبكة للوحدة. 2-16 ينبغي توفير امان لمتطلبات السيبرانية الخاصة بأمن األجهزة المحمولة وأجهزتها( )BYODللوحدة و يجب أن يوفر األمان للمتطلبات السيبرانية الخاصة بأمن األجهزة المحمولة وأجهزة( )BYODللوحدةبما يلي: الفصل والتشفير لقاعدة المعلومات الخاصة بالوحدة والتي تم تخزينها على األجهزة المحمولة وأجهزة االستخدام المحددة والمقيدة بناءا على ما يتطلبه المصلحة األعمال للوحدة.الغاء مصادر المعلومات الخاصة بالوحدة ("المخزنة على األجهزة المحمولة وأجهزة") ) )BYODعند ضياع االجهزة أو بعد انتهاء/إنهاء عالقتة بالوظيفية مع الوحدة والعمل والتوعية األمنية للمستخدم. 3-16 ينبغي تدقيق االمان لتطبيق المتطلبات السيبرانية الخاصة باألمان الجهزة المحمولة وأجهزتها) ) )BYODدوريا للوحدة 17 (حماية البيانات والمعلومات) توفير الحماية سرية والسالمة للبيانات والمعلومات للوحدة مع دقتها وتوفيرها ،ويكون ذلك وفقاً لالدارةالتنظيمية للسياسات واالجراءات ،والمتطلبات القانونية Page | 351 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 المتعلقة بها. 1-17 ينبغي توفير االمان والتوثيق واالعتماد لمتطلبات السيبرانية لحماية البيانات والمعلومات للوحدة ،بما يوجب االلتزم باالطر القانونيه والتنظيمية 2-17 ينبغي توفير وتطبيق االمان لمتطلبات السيبرانية للحماية الوحدة وبياناتها ومعلوماتها الخاضعة للتدقيق والرقابة. 3-17 ينبغي توفيراالمان لمتطلبات السيبرانية للحماية القواعد و بياناتها ومعلوماتها بما يلي: -1امتالك البيانات والمعلومات المهمة -2تحديد وتعين والية ترميزها للبيانات -3تخصيص أسس لسرية المعلومة او توفيرها 4-17 (التشفير) االستخدام الضامن الفعال والسليم للتشفير لقواعد المعلوماتية االلكترونية للوحدة للبيانات ،ومن خالل االلتزام باالطر القانونية واالدارية 5-17 ينبغي توفير االمان والتوثيق واالعتماد للمتطلبات السيبرانية للتشفير للوحدة. 6-17 ينبغي توفير امان موثق للمتطلبات 7-17 ينبغي أن تلبي االمان لمتطلبات السيبرانية للتشفير باقل مما يمكن التشفير الخاضعة للتدقيقها. السيبرانية للوحد لغرض وبما يلي: -1المعايير للحلول الخاصة بالتشفير المعتمدة قانونا وللقيود المطبقةفيها (فنياوتنظيميا وتقنياًً ). -2امان االدارة للمفاتيح المهمة للتشفيرمن خالل العمليات لدورة حياتها. -3التشفير للبيانات أثناء التخزين والنقل بناء على التصنيف ولحسب المتطلبات اإلدارية والقانونية للوحدة المتعلق بها العمل 8-17 ينبغي تطبيق االمان والتدقيق لمتطلبات السيبرانية في الوحدة 18 (إدارة النسخ االحتياطي) توفير الحماية لبيانات والمعلومات للوحدة الخاضعة للتدقيق من خالل لتشفير دوريا واالع ززدادات التقانية لألنظمة والتطبيقات بالوحدة من االضرار واالجراءات الناجمة عن التهديدات السيبرانية ،من خالل االلتزم بالقانون والضوابط المتعلقه بالعمل 1-18 ينبغي توفيرامان لتوثيق واالعتماد لمتطلبات السيبرانية لإلدارة الوحدة 2-18 ينبغي تنفيذ االمان والتدقيق لمتطلبات السيبرانية لإلدارة النسخ البديلة من خالل النسخ االحتياطي. Page | 352 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 واالحتياطية وتوثيقها 3-18 ينبغي تغطية االمان للمتطلبات السيبرانية اي إدارة النسخ االحتياطية وكما يلي: -1النطاق للنسخ االحتياطي ولشموليتها للموجودات المعلوماتية والتقانية المهمة. -2 االستعادة السريعة للبيانات والنظم عند تعرضها للحوادث ومخاطرها السيبرانية. -3توفير الفحص الدوري لمدى الفعالية الستعادة النسخ المحفوظةوالنسخ االحتياطية. 4-18 19 ينبغي تدقيق االمان لتطبيق المتطلبات السيبرانية لإلدارة النسخ الثانية و االحتياطية للوحدة الخاضعة للتدقيق والمتابعة (إدارة الثغرات) توفير امان إضافي لضمان والكتشاف الثغرات المهة التقنية في الزمن المناسب ولمعالجتها بالشكل الفعال ولذلك لتقليل و لمنع أو احتمالية الستغالل لهذه الثغرات من قبل الهجمات السيبرانية؛ ولتقليل االثار المترتبة على أعمال الوحدة 1-19 ينبغيتوفير االمان والتوثيق واالعتماد على المتطلبات السيبرانية 2-19 ينبغي التطبيق األمان لمتطلبات السيبرانية لإلدارة الثغرات التقانية إلدارة الثغرات التقانية للوحدة الخاضعة للرقابة فيما يخص الوحدة 3-19 ينبغي أن توفراالمان لمتطلبات السيبرانية لإلدارة الثغرات ومما يلي: -1التدقيق والفحص واالكتشاف دوريا للثغرات -2تحديد خطورة الثغرة وحسب تصنيفها -3المعالجة للثغرات بناءا على التصنيفات والمخاطر السيبرانية المحدد لها. -4اإلدارة لحزم اإلصالحات والتحديثات لمعالجة الثغرات امنيا. -5االشتراك والتواصل مع الثقة من المصادر التي يتعلق بالتنبيهات بالثغرات والمحدثة والجديدة. 4-19 ينبغي تدقيق األمان لتطبيق المتطلبات السيبرانية دوريا من قبل إلدارة الثغرات تقنيا 20 (اختبار االختراق) لتقييم واالختبار لمدى الفعالية لقدرات التعزيز االمان السيبرانية في الوحدة ،لعمل محاكاة لتقانيات واألساليب الهجومية السيبرانية الفعلية؛ واالكتشاف لنقاط األمنية الضعيفة والغير المعروفة وتؤدي إلى االختراقات السيبرانية للوحدة وحسب معايير االلتزام بالقانون والتنظيمات. 1-20 ينبغي توفير االمان ولتوثيق واالعتماد لمتطلبات السيبرانية للعمليات Page | 353 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 االختبارو االختراق في الوحدة 2-20 ينبغي تدقيق وتنفيذ العمليات واجراء االختبار للوحدة من خالل االختراق 3-20 ينبغي توفير األمان لمتطلبات السيبرانية االختبار االختراق وكمايلي: -1العمل اختبار الوحدة من خالل االخزتزراق ،ليشمل الجميع من الخدمات خارجياً عزن طريق شبكة االنترنيت ولمكوناتها التقانية، والبني التحتية،و المواقع الكترونية ،والتطبيقات الويب،و التطبيقات الهواتف الذكية واللوحية ،والبريد االلكتروني والدخول اون الين عن بعد. 21 -2اختبارالوحدة عمليا من خالل االختراق للشبكة دورياً. (إدارة سجالت االحداث ومراقبة االمن السيبرانية) لضمان و تجميع والتحليل والمراقبة للسجالت و األحداث االمان السيبرانية في الوقت المحدد من أجل االستباقية لحدوث التهديدات السيبرانية وإدارتها لمخاطرها بفعالية وكفاءة لمنع أو لتقليل االثار المترتبة على الوحدة و أعمالها. 1-21 ينبغي توفيراالمان والتوثيق واالعتماد لمتطلبات إدارتها لسجالت االحداث والمراقبة االمان السيبرانية للوحدة. 2-21 ينبغي تدقيق و تطبيق األمان لمتطلبات إدارتها للسجالت واالحداث ولمراقبة االمان السيبرانية. 3-21 ينبغي توفير لمتطلبات إدارتها لسجالت االحداث ولمراقبة االمان السيبرانية باقل مما يكن وكما يلي : -1العمل لتفعيل السجالت االحزداث( )logs Eventالخاصة باألمان السيبرانية على المعلوماتية وموجوداتها لدى الوحدة -2التفعيل لسجالت االحزداث الخاصة بالحسابات ذات الصالحيه الهامة على الموجودات المعلوماتية واألحداث لعمليات الدخول عن اون الين عن بعد -3التحديد للتقانيات الالزمة ( )SIEMللجميع السجالت و االحداث الخاصة باألمان السيبرانية. -4التدقيق المستمرة للسجالت و االحداث الخاصة باألمان السيبرانية. -5المدة الخاصة باالحتفاظ بالسجالت واالحداث الخاصة باألمان السيبرانية (سنة كاملة). 4-21 ينبغي توفيرو تطبيق المتطلبات إالدارة السجالت واالحداث والمراقبة االمان السيبرانية دورياً. Page | 354 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 5-21 (ادارة حوادث والتهديدات لألمن السيبرانية) لضمان التحديد واالكتشاف لحوادث االمان السيبرانية في الوقتالمحدد وإدارتها بشكل كفوء والتعامل مع التهديدات االمان السيبرانية استباقياً من أجل منع أو التقليل من االثار المترتبة على أعمال الوحدة مع ما يتالءم مع القانون والتعليمات 6-21 ينبغي توفير االمان والتوثيق واالعتماد لمتطلبات إدارتها للحوادث والتهديدات السيبرانية 7-21 ينبغي تدقيق والتطبيق للمتطلبات األمان إلدارة الحوادث والتهديدات االمان السيبرانية في المؤسسة. 8-21 ينبغي أنتوفيراالمان لمتطلبات اإلدارة للحوادث والتهديدات االمان السيبرانية باقل مما يلي : -1ايجاد الخطط واالستجابة للحوادث االمنية وتصعيد الياتها -2التصنيف والتحديدلحوادث االمان السيبرانية. -3يتم تبليغ الهيئة المسؤولة عند الحوادث األمن سيبرأنيه. -4المشاركة للتنبيهات والمعلومات االستباقية وصور االختراق والتقارير للحوادث االمن السيبرانية مع الجهات ذات العالقة والمسوؤلة -5ينبغي التوصل على البيانات االستباقية Intelligence ) )Threatوالتعامل معهاونوع التهديد وحسب المعالجة 9-21 ينبغي تدقيق و تطبيق للمتطلبات إدارتها للحوادث وتهديدات االمان 22 (االمن المادي) ضمان حماية الموجودات المعلوماتية والتقانية السيبرانية دورياً للوحدة للوحدة من الحصول على االمان المادي الغير المصرح به والضياع والسرقات و والعبث والتخريب. 1-22 ينبغي توفيراالمان والتوثيق واالعتماد للمتطلبات االمان السيبرانية للحماية الموجودات والتقانية للوحدة من التواصل المادي الغير المصرح به والضياع 2-22 ينبغي توفير األمان المادي لمتطلبات االمان السيبرانية للحماية االصول والتقانية للوحدة من للحصول على العلومة والغير المصرح به والتخريب باقل مما يلي: -1دخول مصرح به لالماكن المهمة في الوحدة ("مثل :مركز بيانات الجهة ،مركز التعافي من الكوارث ،أماكن معالجة المعلومات الحساسة ،مركز المراقبة األمنية ،غرف اتصاالت الشبكة ،مناطق االمداد الخاصة باألجهزة والعتاد التقنية ،وغيرها") -2السجالت الدخول والخروج والتدقيقCCT. Page | 355 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 -3الحماية للمعلومات والسجالت والدخول والتدقيق عليها (-4أمن اإلتالف وإلعادة االستخدام للموجود المادية التي تحتوي على المعلومات المصنفة) وتشمل :الوثائق الورقية ووسائط الحفظ والتخزين) -5أمان االجهزة والمعدات داخل مباني الوحدة وخارجها 3-22 ينبغي تدقيق االمان لمتطلبات االمن السيبرانية للحماية قاعدة المعلوماتية والتقانية للوحدة من الولوج المادي الغير المصرح به 23 والفقدان وغيرها دورياً. (حماية تطبيقات الويب ) Web Application Securityالضمان للحماية للتطبيقات الويب الخارجية المخاطر السيبرانية للوحدة. 1-23 ينبغي توافر االمان والتوثيق واالعتماد للمتطلبات االمان السيبرانية 2-23 ينبغيتوفير وتدقيق المتطلبات االمان السيبرانية لحماية التطبيقات 3-23 ينبغي توفير األمان لمتطلبات االمن السيبرانية للحماية ون ضمنها للحماية التطبيقات الويب للوحدة الخارجية للمخاطر السيبرانية. من الخرق (الويب الخارجية ) التطبيقات الويب الخارجية للوحدة باقل مما يكن وكما يلي: )Web Application Firewall ) -1االستخدام لجدار الحماية تطبيقات الويب والتواصل) Multi-tier Architecture -2 االستخدام لمبدا المعمارية لمستويات متعددة -3االستخدام للبروتوكوالت اآلمنة ("مثل بروتوكول )"HTTPS -4التوضيح للسياسة االستخدام االمان للمستخدمين الداخلي والخارجي -5تدقيق الهوية المتعدد لإلجراءات و للعناصر Authentication ) )Factor-Multiدخزول المستخدمين. 4-23 ينبغي تدقيق األمان وتوفيره للمتطلبات االمان السيبرانية للحماية 24 (صمود االمن السيبرانية في إدارة استم اررية االعمال) الضمان التطبيقات (التواصل الويب) من المخاطر السيبرانية دورياً للوحدة المتوافر للمتطلبات الصمود االمان السيبرانية في إدارتها الستم اررية للوحدة ولضمان المعالجة والتقليل االثار المترتبة على االضطرابات في الخدمات المؤتمته الحرجة للوحدة وأنظمتها وأجهزتها لمعالجة المعلوماتها جراء الكوارث الناتجة عن المخاطروالتهديدات السيبرانية. 1-24 ينبغي توافر األمان والتوثيق واعتماد للمتطلبات االمان السيبرانية لضمان إدارتها واستم ارريتها ألعمال الوحدة 2-24 ينبغي توفير المتطلبات االمان السيبرانية لضمان إدارتها و Page | 356 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 استم ارريتها ألعمال الوحدة دوريا 3-24 ينبغي توافر إدارتها الستم اررية االعمال في الوحدة باقل مما يجب ومما يلي : -1الفحص والتأكد من استم اررية واالجراءات واألنظمة المتعلقة باألمان السيبرانية. -2تحديد الخطط الالستجابة للحوادث والهجمات االمان السيبرانية التي قد يكون لها تاثير على استم اررية ألعمال الوحدة -3تحديد خطط التعافي من الكوارث Disaster Recovery Plan 4-24 ينبغي تدقيق المتطلبات االمان السيبرانية ضمن إدارتها الستم اررية 25 (مخاطر االمن السيبرانية المتعلقة باألطراف الخارجية) (الضمان أعمالها دوريا للوحدةال لحماية الموجودات الوحدة من مخاطر االمان السيبرانية المتعلقة باألطراف الخارجية) بما في ذلك خدماتها المساندة لتقانية "المعلومات" "" Outsourcingوالخدمات المدارة "" Services 1-25 " ).Managedوفقاً للسياسات واالليتزام ينبغي تحديد وتوثيق واعتماد متطلبات االمن السيبرانية ضمن العقود واالتفاقيات مع االطزراف الخارجية للجهة الخاضعة للتدقيق 26 ينبغي أن تغطي متطلبات االمن السيبرانية ضمن العقود واالتفاقيات) (اتفاقية مستوى الخدمة )SLAمع االطراف الخارجية التي قد تؤثر بإصابتها بيانات للوحدة أو الخدمات المقدمة لها باقل مما يكن وكما يلي: -1البنود المحافظة على السرية للمعلومات) Clauses ) )Disclosure-Nonوالحذف االمان من قبل الطرف الخارجي لبياناتها عند انتهاء الخدمة للوحدة -2اإلجراءات المتواصلة في الحال لحدوث الحادثة أمان سيبرأنية. -3التزام الطرف الخارجي بالتطبيق للمتطلبات والسياسات االمان السيبرانية وضوابط الوحدة 1-26 توفير المتطلبات االمان السيبرانية مع االطراف الخارجية التي يتم تقدم خدماتها إلسناد لتاقنية المعلومات ،أو خدمات مدارة باقل مما يكن وكما يلي : -1التقييم للمخاطر االمان السيبرانية ،والتدقيق من وجود ماتضمن السيطرة على خذه المخاطر ،قبل التوقيع للعقود واالتفاقيات أو عند التغيير للمتطلبات القانونيه ذات العالقة. -2ينبغي لمراكز العمليات لخدمات االمان السيبرانية التعاون Page | 357 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 للتدقيق ،والتي يتم ان تستخدم لطريقتها للتوصل عن بعد 2-26 ينبغي تدقيق االمان للمتطلبات االمان السيبرانية دوريا من قبل الوحدة مع االطراف الخارجية 27 (االمن السيبرانية المتعلق بالحوسبة السحابية واالستضافة) لضمان المعالجة لالمان السيبرانية والتنفيذ للمتطلبات االمان السيبرانية (للحوسبة السحابية )واالستضافة بالشكل المالئم والفعال ،وذلك وفقاً ولضمان الحماية قاعدةالمعلوماتية والتقانيةللوحدة على الخدمات (الحوسبة السحابية) التي تتم استضافتها أوالتي يتم معالجتها أو إدارتها بواسطة أطراف خارجية وحسب الضوابط والقانون 1-27 ينبغي توافراالمان والتوثيق واالعتماد للمتطلبات االمزان السيبرانية باستخدام الخدمات (الحوسبة السحابية واالستضافة) 2-27 ينبغي تدقيق االمان للمتطلبات السيبرانية بالخدمات (الحوسبة السحابية واالستضافة للوحدة وحمايتها من الهجمات ). 3-27 ينبغي تدقيق األمان للمتطلبات السيبرانية باستخدام خدمات (الحوسبة السحابية واالستضافة )باقل ما يمكن ومما يلي: " -1التصنيف للبيانات قبل استضافتها" لدى مقدمي خدمات (الحوسبة السحابية واالستضافة) ،وإعادتها للجهة و بالصيغة قابلة لالستخدام (عند انتهاء الخدمة). -2الفصل البيئ للوحدة وخصوصاً الخوادم االفتراضية وعن غيرها من توابع البيئات ألخرى في (الخدمات الحوسبة السحابية ) -3الموقع االستضافة والتخزين والمعلومات يجب أن يكون داخل العراق بالنسبة للوحدات . 4-27 28 ينبغي تدقيق ومتابعة األمان للمتطلبات االمان السيبرانية التي تخص (الخدمات الحوسبة السحابية واالستضافة) للوحدةدورياً. (االمن السيبرانية لألنظمة التحكم الصناعي) لضمان إدارة االمان السيبرانية بالشكل السليم والفعال للحماية وتوافر والسالمة والسرية للموجود الوحدة المتعلقة بأجهزتها وأنظمتها للتحكم الصناعي( )ICS/OTضد (الهجوم السيبرانية) مثل" الوصول غير المصرح به والتخريب والتجسس والتالعب" (بما يتماشى مع خطة االمن السيبرانية للجهة )،وإدارتها لمخاطر االمان السيبرانية ،وااللتزان بالقانون اإلداري والضوابط الفعاله للوحدة . 1-28 ينبغي وافر االمان والتزوثزيزق واالعزتزمزاد للمتطلبات االمزازن السيبرانية للحماية ألجزهززة وأنزظزمتها للتحكم الصناعي ( OT/ICSللجهة الخاضعة للتدقيق 2-28 ينبغي توافر المتطلبات االمان السيبرانية للحماية األجهزة وأنظمتها Page | 358 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 للتحكم الصناعي ) )ICS/OTللوحدة. 3-28 توافر المتطلبات االمان السيبرانية للحماية األجهزة وأنظمتها للتحكم الصناعي( )ICS/OTيجب أن تغطي باقل ما يمكن وكما يلي: (االلتزام ال زحززازم والزمزنزطزقزي والزتزقزسزيزم ال زمززادي ع زنززد الربز ززط لشبكة التشغيل ) ICS/OTمع الجهات األخرى للوحدة ،مزثزال" :شبكة األعمال الزداخزلزيزة للجهة" ""Corporate Network وكذللك (االنترنت أو الدخول عن بعد أو اتصال الالسلكي و التفعيل للسجالت االحداث( )logs Eventالخاصة باألمن السيبرانية للشبكة الصناعية واالتصاالت المرتبطة بها ما أمكن ذلك ،والمراقبة المستمرة لها)" Safety Instrumented System) “SISعزل أنظمة معدات السالمة" ) (تدقيق اإلعدادات والتحصين االنظمة الصناعية ،وأنظمتها الدعم واالجهزة االلية الصناعية دوريا) )ًSecure Hardening ).and Vulnerability Configuration (OT/ICS (Managementإدارة ثغرات األنظمة الصناعية )"إدارة حز ز ز ز زززم الز ز زتز ز زح ز ززديز ز زث ز ززات واإلصالحات االم ز ز زن ز ز زيز ز ززة لألنظمة ال ز زص ز زنز ززاع ز زيز ززة") ( OT/ICS Patch Managementادارة البرامج الخاصة باألمن السيبرانية الصناعي للحماية من الفيروسات والبرمجيات المشبوهة والضارة)". 4-28 ينبغي تدقيق االمان للمتطلبات االمان السيبرانية للحماية أجهزتها وأنظمتها (التحكم الصناعي ICS/OTللجهة الخاضعة للتدقيق دورياً) من خالل ماتقدم أعاله من برنامج التدقيق الخاص بمخاطر االمن السيبراني وجود عالقه مابين مخاطر االمن السيبراني والمسوؤلية المهنية لمراقب الحسابات . المبحث الرابع :االستنتاجات والتوصيات- : أوال :االستنتاجات / يعرض هذا المبحث اهم االستنتاجات النظرية التي تم التوصل اليها عن نتائج تقييم اداء المحافظ االستثمارية ،التي تمثلت باالتي -1إن تقرير تحديد مخاطر االمن السيبرانية والمرفق (البيانات المالية وتقرير اإلدارة السنوي) ،مما يحمل مراقب الحسابات (المراقب الخارجي) مسؤولية كبيرة أمام األطراف الخارجية في حدوث خروقات او تهديدات سيبرانيه لم يتم االعتراف بها من لدن الجهة الخاضعة لتدقيقه. -2على الرغم من إن األمانة العامة لمجلس الوزراء أصدرت استراتيجية االمن السيبرانية()2025-2022؛ واستمرت بالتأكيد على الجهات كافة بااللتزام بمتطلبات االمن السيبرانية االان لم يصدر أي نظام او قانون يلزم بموجبه. -3إن مراقب الحسابات لم يولي االهتمام الكافي لمخاطر االمن السيبرانية لوجود شكوك في إعداده ،األمر الذي حال دون االعتماد على هذا الخطاب بشكل ج ادي ،لذا تطلبت عملية التدقيق بذله جهداً كبي اًر بسبب عدم وجود خبره كافيه في هذا المجال. Page | 359 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 -4قلة إدراك بعض مراقبي الحسابات لصدق اإلق اررات الخاصة بمخاطر االمن السيبرانية التي ُيفترض أن تُقدم لهم كدليل إثبات، المحايد الذي سيتم إبداؤه حول إجراءات التدقيق لتلك المخاطر. مما يؤثر سلباً في الرأي الفني ُ -5من خالل ما ورد أعاله تم اثبات فرضية البحث األساسية (وجود عالقة مباشر ما بين المسؤولية المهنية لمراقب الحسابات ومخاطر االمن السيبرانية في المؤسسات المالية العاملة المطبقة للتحول الرقمي). ثاني ا :التوصيات -1على مراقب الحسابات أن يبذل العناية المهنية الالزمة عند حصوله على تقارير اإلدارة لدعم أدلة اإلثبات األخرى التي تخص عالوة على قيام مراقب مخاطر االمن السيبرانية التي اجتهد في الحصول عليها ،من خالل تدقيق محتوياته والتحقق من صحته، ً الحسابات بمناقشة هذا الخطاب واالجراءات مع اإلدارة لتخفيض مسؤوليته بهذا الشأن من خالل تنظيم قانون باالمن السيبراني ملزم للجهات الرسميه والغير رسميه لتحديد هذه المخاطر . -2على مراقب الحسابات أن يصدر تقري اًر متحفظاً أو أن يمتنع عن إبداء الرأي في حالة رفض اإلدارة تقديم اإلقرار بشأن اإلجراءات التي تخص مخاطر االمن السيبرانية الذي يعتقد مراقب الحسابات أنه ضروري ألن ذلك سيشكل تحديداً لنطاق عملية التدقيق مخاطر االمن السيبرانية. -3إن عدم اعتذار أو تقييد مراقب الحسابات لرأيه بشأن عدالة وسالمة البيانات المالية (في حال عدم تقديم الشركات الخاضعة للتدقيق خطاب اإلق اررات لألمور الهامة في البيانات فيما يخص حماية البيانات من مخاطر السيبرانية والتي يتعذر فيها وجود أدلة المقدمة إثبات كافية)ُ ، سيحمله مسؤولية كبرى في المستقبل عند اكتشافه أخطاء جوهرية لم يتم اإلفصاح عنها في البيانات المالية ُ لغرض التدقيق. المصادر اوالا – العربية: - القوانين واألنظمة والوثائق الرسمية: .1استراتيجية االمن السيبرانية في العراق .2إطار االمن السيبرانية للهيئات المالية في المملكة األردنية ال هاشمية2021 .3قانون الشركات رقم ( )21لسنة (1997م) المعدل العراقي. .4قانون العقوبات العراقي رقم ( )111لسنة (1969م) المعدل. .5منشورات االتحاد الدولي لالتصاالت (.)ITU .6منشورات البنك الدولي ( )WBعن األمن السيبرانية. - المواقع اإللكترونية: - الكتب: االمتثال-لمعايير-األمن-السيبرانيhttps://www.rmg-sa.com/ أنواع_األمن_السيبرانيhttps://mawdoo3.com/ An business framework from ISACA of www.isaca.org/cobit. .1أحمد عبيس نعمة التالوي ،الهجمات السيبرانية (دراسة قانونية تحليلية بشأن تحديات تنظيمها المعاصر) ،الطبعة األولى ،منشورات زين الحقوقية للنشر والتوزيع ،بيروت ،لبنان .2018 Page | 360 ) Journal of Accounting and Financial Studies ( JAFS مجلة دراسات محاسبية ومالية VOL.20, ISS.70, YEAR.2025 P-ISSN: 1818-9431, E-ISSN: 2617-9849 .2حسين محمد الغول جرائم شبكة االنترنيت والمسؤولية الجزائية الناشئة عنها ،الطبعة األولى ،مكتبة بدران الحقوقية ،لبنان.2015 ، .3علي محمد كاظم الموسوي ،المشاركة المباشرة في الهجمات السيبرانية الطبعة األولى منشورات شركة المؤسسة الحديثة للكتاب ،بيروت2019، .4كامي ار عزيز حسن الجهود الدولية في مواجهة الجرائم السيبرانية ،ط 1منشورات الحلبي الحقوقية ،لبنان .2067 ،منير البعلبكي ،المورد قاموس عربي إنكليزي ،دار العلم للمل ايين ،2004بيروت .5براق واخرون؛ العوامل المؤثرة على استقالل مراجع الحسابات؛ طبعة أولى سنة 2017 .6ماري ايكن؛ التأثير السيبرانية ،ط ،1الدار العربية للعلوم ،لبنان.2017 ، .7سلمان.عبد الستار شاكر "جرائم االمن السيبراني واثر الجهود الدولية في مكافحتها "هاتريك للتوزيع والنشر الطبعة األولى .2023 .8احمد .سراب ثامر "الهجمات على شبكات الحاسوب في القانون الدولي اإلنساني "هاتريك للتوزيع والنشر الطبعة األولى .2023 .9الشريف .مصطفى كامل "موسوعة االمن السيبراني "دار القناديل للتوزيع والنشر الطبعة األولى . 2024 .10جيرارد كومو ،المفردات القضائية ،جمعية هنري كابيتانا P.U.F 4eme ،الطبعة 1994ص155 : - الرسائل واالطاريح والبحوث: .1د .الياس ناصيف ،الكامل في قانون التجارة ،ج ،۳الشركات التجارية ،المؤسسة الحديثة للكتاب ،طرابلس ،لبنان ، ۲۰۰۸ ،ص ٧٧-٧٦ .2احمد محمد محرز ،الشركات التجارية ،القاهرة ،ط ، 1منشأة دار المعارف ، ۲۰۰۹ ،ص . ٥٦٨ .3د .عيسى ابو الطبل ،وعبد المنعم محمود ،المراجعة اصولها العلمية والعملية ،دار النهضة العربية ،القاهرة ، ١٩٦٧ ، .4نهلة طعمة خلف ،التنظيم القانوني لمراقب الحسابات في شركات القطاع الخاص ،رسالة ماجستير ،كلية القانون ،جامعة بغداد ، ٢٠٠٦ ،ص .١٥ .5علي ,عبد الوهاب نصر ,شحاته السيد شحاته ,الرقابة والمراجعة الداخلية الحديثة في بيئة تكنولوجيا المعلومات وعولمة اسواق المال (الواقع والمستقبل) ,الدار الجامعية ,االسكندرية 2006 ,سندس ماجد رضا اليات حوكمة الشركات ودورها في تقليص فجوة التوقعاتالحسابات ومستخدمي القوائم المالية ،بحث منشور في مجلة الغرب للعلوم االقتصادية واالدارية ،المجلد ( ، )٤العدد .،۲۰۱۱ .6د .احمد عبد الرحمن المجالي ،المفهوم القانوني لمهمة مراقب الحسابات في الشركة الخاضعة لرقابته وفقاً لالنظمة السعودية ،بحث منشور في مجلة الفكر الصادرة عن كلية الحقوق والعلوم السياسية بجامعة محمد خضير بسكرة ،العدد ، ١٣ ، ٢٠١٦ص ۱۸ .7دحدوح ،حسين أحمد والقاضي ،حسين يوسف ،مراجعة الحسابات المتقدمة اإلطار النظري واإلجراءات العملية ،ج ،1ط ،1دار الثقافة للنشر والتوزيع، عمان ،األردن2009 ،م ( .8صالح واخرون) التحول الرقمي من األرض إلى الفضاء فرص للنمو االقتصادي أم تهديد لألمن القومي 2022 .9الحسيني والمعموري . 2022استخدام شبكات االعصاب في تطوير دور مراقب اصطناعي في اكتشاف األخطاء .10المعموري ,االحمدي ( ) 2023تدقيق النظام المصرفي االلكتروني الشامل للكشف عن مخاطر االعمال التشغيلية .11التويجري ،محمد ،مهنة التدقيق المحاسبي بين الواقع والمنشود ( مراقب الحسابات مسؤول عن صحة البيانات الواردة في تقريره ،بحث منشور ،صحيفة القبس الكويتية -يومية سياسية ُمستقلة ،الكويت2009 ،م. .12أحمد عبيس نعمة الفتالوي الهجمات السيبرانية :مفهومها والمسؤولية الدولية الناشئة عنها في ضوء التنظيم الدولي المعاصر ،مجلة المحقق الحلي للعلوم القانونية والسياسية ،العدد الرابع ،السنة الثامنة ،كلية جامعة 2016بابل ،العراق References 1. HAJRA BIBI & MAHR MUHAMMAD SAEED AKHTAR, Relationship between Leadership Commitment and Performance of Public Sector Universities of Punjab, Pakistan, 2020. 2. Mardiana, Mardiana, and Puji Endah Purnamasari. "The effect of risk management on financial performance with good corporate governance as a moderation variable." Management and Economics Journal (MEC-J) 2.3 (2018): 257268. 3. Middleton, Bruce. A history of cyber security attacks: 1980 to present. Auerbach Publications, 2017. 4. Whitman, M. E., and H. J. Mattord. "Management of Information Security . Cengage Learning." Inc., Boston, MA 2210 (2019). 5. Julio C. Rodriguez, Public Servants' Perceptions of the Cybersecurity Posture of the Local Government in Puerto Rico, 2019. 6. Johnny Fadel Rawass, Cybersecurity Strategies to Protect Information Systems in Small Financial Institutions, 2019 7.Murphy, F., &13-2 Materne, S. (2022) Cyber risk and cyber security Page | 361
0
advertisement
Download
advertisement
Add this document to collection(s)
You can add this document to your study collection(s)
Sign in Available only to authorized usersAdd this document to saved
You can add this document to your saved list
Sign in Available only to authorized users