College of Administration and Finance SciencesAssignment (2)
Deadline: Saturday 03/06/2023 @ 23:59
Course Name: Introduction to
Accounting Information Systems
Student’s Name:
Course Code: ACCT 402
Student’s ID Number:
Semester: Third Term 22/23
CRN:
Academic Year: 1444 H
For Instructor’s Use only
Instructor’s Name:
Students’ Grade:
/15
Level of Marks: High/Middle/Low
Instructions – PLEASE READ THEM CAREFULLY
• The Assignment must be submitted on Blackboard (WORD format only) via allocated
folder.
• Assignments submitted through email will not be accepted.
• Students are advised to make their work clear and well presented, marks may be
reduced for poor presentation. This includes filling your information on the cover
page.
• Students must mention question number clearly in their answer.
• Late submission will NOT be accepted.
• Avoid plagiarism, the work should be in your own words, copying from students or
other resources without proper referencing will result in ZERO marks. No exceptions.
• All answers must be typed using Times New Roman (size 12, double-spaced) font.
No pictures containing text will be accepted and will be considered plagiarism.
• Submissions without this cover page will NOT be accepted.
1
College of Administration and Finance Sciences
Assignment Question(s):
(Marks 15)
Question 1:
(03 Marks)
What are the activities of sales order entry? Give four of the threats that may face and what could be
the possible controls for those threats?
Answer:
Question 2:
(03 Marks)
What are the advantages of the REA data model over the traditional AIS model?
Answer:
Question 3:
(04 Marks)
Under the payroll system of an organization we find several components such as HRM Department,
Employees, Bank, Government Agencies, Insurance and other companies, Various other departments.
Take an example of an organization and explain the relationship of these components with reference
to Payroll System of that organization
Answer:
Question 4:
(05 Marks)
Shahid Corporation is a midsize, privately owned, industrial instrument manufacturer supplying
precision equipment to manufacturers in the Midwest. The corporation is 10 years old and uses
an integrated ERP system. The administrative offices are located in a downtown building and
the production, shipping, and receiving departments are housed in a renovated warehouse a
few blocks away.
Customers place orders on the company’s website, by fax, or by telephone. All sales are on
credit, FOB destination. During the past year sales have increased dramatically, but 15% of
credit sales have had to written off as uncollectible, including several large online orders to
first-time customers who denied ordering or receiving the merchandise.
2
College of Administration and Finance Sciences
Customer orders are picked and sent to the warehouse, where they are placed near the loading
dock in alphabetical sequence by customer name. The loading dock is used both for outgoing
shipments to customers and to receive incoming deliveries. There are ten to twenty incoming
deliveries every day, from a variety of sources.
The increased volume of sales has resulted in a number of errors in which customers were sent
the wrong items. There have also been some delays in shipping because items that supposedly
were in stock could not be found in the warehouse. Although a perpetual inventory is
maintained, there has not been a physical count of inventory for two years. When an item is
missing, the warehouse staff writes the information down in log book. Once a week, the
warehouse staff uses the log book to update the inventory records.
The system is configured to prepare the sales invoice only after shipping employees enter the
actual quantities sent to a customer, thereby ensuring that customers are billed only for items
actually sent and not for anything on back order.
Questions:
a. Identify at least three weaknesses in Shahid Corporation’s revenue cycle activities.
b. Describe the problem resulting from each weakness.
c. Recommend control procedures that should be added to the system to correct the weakness.
Answer:
3
Chapter 1
Accounting Information Systems: An Overview
1-1
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Learning Objectives
Distinguish between data and information.
Discuss the characteristics of useful information.
Explain how to determine the value of information.
Explain the decision s an organization makes,
and the information needed to make them.
Identify the information that passes between
internal and external parties and an AIS.
Describe the major business processes present
in most companies.
Explain what an accounting information
system (AIS) is and describe its basic functions.
Discuss how an AIS can add value to an
organization.
Explain how an AIS and corporate strategy
affect each other.
Explain the role an AIS plays in a company’s
value© 2012
chain.
Copyright
Pearson Education, Inc. publishing as Prentice Hall
.▪ التمييز بين البيانات والمعلومات
. ناقش خصائص المعلومات المفيدةo
. اشرح كيفية تحديد قيمة المعلوماتo
▪ اشرح القرارات التي تتخذها المنظمة
.والمعلومات الالزمة التخاذها
▪ تحديد المعلومات التي تمر بين األطراف
AIS. الداخلية والخارجية و
▪ صف العمليات التجارية الرئيسية الموجودة في
.معظم الشركات
▪ اشرح ما هو نظام المعلومات المحاسبية
. ووصف وظائفه األساسيةAIS) (
إضافة قيمة إلىAIS ▪ ناقش كيف يمكن لـ
.المنظمة
AIS ▪ اشرح كيف تؤثر استراتيجية
.واستراتيجية الشركة على بعضها البعض
في سلسلة قيمةAIS ▪ اشرح الدور الذي تلعبه
.الشركة
1-2
What Is a System?
System
A set of two or more interrelated components interacting to achieve a
goal
Goal Conflict
Occurs when components act in their own interest without regard for
overall goal
Goal Congruence
Occurs when components acting in their own interest contribute toward
overall goal
❑ النظام
• مجموعة مكونة من مكونين أو أكثر من العناصر المترابطة التي
تتفاعل لتحقيق الهدف
❑ الصراع الهدف
• يحدث عندما تتصرف المكونات في مصلحتها الخاصة دون اعتبار
للهدف العام
❑ تطابق الهدف
• يحدث عندما تساهم المكونات التي تعمل في مصلحتها في تحقيق
الهدف العام
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-3
Data vs. Information
Data are facts that are
recorded and stored.
Insufficient for decision
making.
Information is processed
data used in decision
making.
Too much information
however, will make it
more, not less, difficult to
make decisions. This is
known as Information
Overload.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
.❑ البيانات هي الحقائق التي يتم تسجيلها وتخزينها
.▪ غير كافية التخاذ القرار
.❑ تتم معالجة المعلومات المستخدمة في صنع القرار
، فإن الكثير من المعلومات، ▪ ومع ذلك
من الصعب، وليس أقل، سيجعل األمر أكثر
هذا هو المعروف باسم.اتخاذ القرارات
.الحمل الزائد للمعلومات
Information
1-4
Value of Information
Benefits
Costs
Time & Resources
Reduce Uncertainty
Improve Decisions
Improve Planning
Improve Scheduling
تقليل عدم اليقين
تحسين القرارات
تحسين التخطيط
تحسين الجدولة
Produce
Information
Distribute
Information
الوقت والموارد
إنتاج المعلومات
توزيع المعلومات
Benefit $’s > Cost $’s
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-5
What Makes Information Useful?
Necessary characteristics:
:❑ الخصائص الضرورية
❑ ذو صلة
Relevant
❑ “قدرة المعلومات على إحداث
“The capacity of information to make
تغيير في أي قرار عن طريق
a difference in a decision by helping
مساعدة المستخدمين على تكوين
users to form predictions about the
تنبؤات حول نتائج األحداث
outcomes of past, present, and future
events or to confirm or correct prior
الماضية والحالية والمستقبلية أو
expectations.”
لتأكيد أو تصحيح التوقعات
Reliable
“.السابقة
❑ موثوق
“The quality of information that
assures that information is reasonably ❑ “جودة المعلومات التي تضمن أن
free from error and bias and faithfully المعلومات خالية بشكل معقول من
represents what it purports to
الخطأ والتحيز وتمثل بأمانة ما
represent.”
.”يزعم أنها تمثل
Complete
❑ اكتمال
“The inclusion in reported information ❑ “تضمين المعلومات المبلغ عنها
of everything material that is
في كل المواد الضرورية للتمثيل
necessary for faithful representation
.”األمين للظواهر ذات الصلة
of the relevant phenomena.”
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-6
What Makes Information Useful?
Timely
“Having information available to a
decision maker before it loses its
capacity to influence decisions.”
Understandable
“The quality of information that
enables users to perceive its
significance.”
Verifiable
“The ability through consensus among
measurers to ensure that information
represents what it purports to
represent or that the chosen method
of measurement has been used
without error or bias.”
Accessible
Available when needed (see Timely)
and in a useful format (see
Understandable).
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
❑ زمني
❑ ” توفر المعلومات لصانع القرار قبل
أن يفقد قدرته على التأثير في
“.القرارات
❑ مفهوم
❑ “جودة المعلومات التي تمكن
“.المستخدمين من إدراك أهميتها
❑ يمكن التحقق منها
❑ “القدرة من خالل اإلجماع بين
القائمين على التأكد من أن
المعلومات تمثل ما تعتزم تمثيله أو
أن طريقة القياس المختارة قد
“.استخدمت دون خطأ أو تحيز
❑ يمكن الوصول
❑ متوفر عند الحاجة (انظر في الوقت
المناسب) وبتنسيق مفيد (انظر
.)مفهومة
1-7
Business Process
Systems working
toward
organizational goals
أنظمة العمل نحو األهداف
التنظيمية
Financing
Rev enue
Human
Resources
Expenditure
Production
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-8
Business Process Cycles
Revenue
Expenditure
Production
Human
Resources
❑ إيرادات
❑ المصروفات
❑ إنتاج
❑ الموارد البشرية
❑تمويل
Financing
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-9
Business Transactions
Give–Get
exchanges
Between two
entities
Measured in
economic
terms
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
الحصول، ❑ أعط
على التبادالت
❑بين كيانين
❑ تقاس من الناحية
االقتصادية
1-10
Business Cycle Give–Get
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-11
Accounting Information Systems
Collect, process, store,
and report data and
information
If Accounting =
language of business
AIS = information
providing vehicle
❑ جمع ومعالجة وتخزين
واإلبالغ عن البيانات
والمعلومات
❑ إذا المحاسبة = لغة العمل
معلومات توفرAIS = ❑
السيارة
AIS = ❑ المحاسبة
Accounting = AIS
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-12
Components of an AIS
People using the system
Procedures and Instructions
For collecting, processing, and storing
data
Data
Software
Information Technology (IT) Infrastructure
Computers, peripherals, networks,
and so on
Internal Control and Security
Safeguard the system and its data
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
❑ الناس الذين يستخدمون
النظام
❑ اإلجراءات والتعليمات
❑ لجمع ومعالجة وتخزين
البيانات
❑ البيانات
❑ البرمجيات
❑ البنية التحتية لتكنولوجيا
المعلومات
❑ أجهزة الكمبيوتر
واألجهزة الطرفية
والشبكات وما إلى ذلك
❑ الرقابة الداخلية واألمن
❑ حماية النظام وبياناته
1-13
AIS and Business Functions
Collect and store data
about organizational:
Activities, resources, and
personnel
Transform data into
information enabling
Management to:
Plan, execute, control, and
evaluate
Activities, resources, and
personnel
Provide adequate control to
safeguard
Assets and data
❑ جمع وتخزين البيانات حول
:التنظيمية
❑ األنشطة والموارد
والموظفين
❑ تحويل البيانات إلى
معلومات تمكين
:❑ اإلدارة إلى
❑ تخطيط وتنفيذ
ومراقبة وتقييم
❑ األنشطة
والموارد
والموظفين
❑ توفير سيطرة كافية للحماية
❑ األصول والبيانات
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-14
AIS Value Add
Improve Quality and
Reduce Costs
Improve Efficiency
Improve Sharing
Knowledge
Improve Supply Chain
Improve Internal Control
Improve Decision
Making
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
❑ تحسين الجودة
وخفض التكاليف
❑ تحسين الكفاءة
❑ تحسين تبادل
المعرفة
❑ تحسين سلسلة
التوريد
❑ تحسين الرقابة
الداخلية
❑ تحسين صنع
القرار
1-15
Improve Decision Making
Identify situations that
require action.
Provide alternative
choices.
Reduce uncertainty.
Provide feedback on
previous decisions.
❑ تحديد الحاالت التي
.تتطلب العمل
.❑ تقديم خيارات بديلة
.❑ تقليل عدم اليقين
❑ تقديم مالحظات على
.القرارات السابقة
❑ تقديم معلومات دقيقة وفي
.الوقت المناسب
Provide accurate and
timely information.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-16
Value Chain
The set of activities a product or service
moves along before as output it is sold to
a customer
At each activity the product or service gains
value
❑ مجموعة األنشطة التي ينقلها المنتج أو الخدمة من قبل كما يتم بيعها إلى
أحد العمالء
❑ في كل نشاط قيمة المنتج أو الخدمة المكاسب
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-17
Value Chain—Primary Activities
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-18
Value Chain—Support Activities
Firm
Infrastructure
Technology
Human
Resources
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Purchasing
1-19
Value Chain
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-20
AIS and Corporate Strategy
Organizations have limited
resources, thus investments
to AIS should have
greatest impact on ROI.
Organizations need to
understand:
وبالتالي يجب أن يكون، تمتلك المنظمات موارد محدودة
. أكبر تأثير على عائد االستثمارAIS لالستثمارات في
:تحتاج المنظمات إلى فهم
✓ تطورات تكنولوجيا المعلومات
✓ استراتيجية العمل
✓ الثقافة التنظيمية
جديدAIS سيؤثر ويتأثر بواسطة
✓IT developments
✓Business strategy
✓Organizational culture
Will effect and be effected by new
AIS
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
1-21
Chapter 2
Overview of Transaction Processing and ERP Systems
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-1
Learning Objectives
Describe the four major steps in the صف الخطوات األربع الرئيسية في
data processing cycle.
.دورة معالجة البيانات
Describe the major activities in
صف األنشطة الرئيسية في كل
each cycle.
Describe documents and
procedures used to collected and
process data.
Describe the ways information is
stored in computer-based
information systems.
Discuss the types of information
that an AIS can provide.
Discuss how organizations use ERP
systems to process transactions and
provide information.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
.دورة
صف المستندات واإلجراءات
المستخدمة لجمع البيانات
.ومعالجتها
صف الطرق التي يتم بها تخزين
المعلومات في أنظمة المعلومات
.المعتمدة على الكمبيوتر
ناقش أنواع المعلومات التي يمكن
AIS. أن تقدمها
ناقش كيفية استخدام المؤسسات
ألنظمة تخطيط موارد المؤسسات
2-2
لمعالجة المعامالت وتوفير
Data Processing Cycle
Copyright © 2012 Pearson Education, I nc. publishing as Prentice Hall
2-3
The Data Processing Cycle
Determines
What data is stored?
Who has access to the
data?
How is the data
organized?
How can
unanticipated
information needs be
met?
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
ما هي البيانات
المخزنة؟
من لديه حق الوصول
إلى البيانات؟
كيف يتم تنظيم
البيانات؟
كيف يمكن تلبية
االحتياجات غير
المتوقعة من
المعلومات؟
2-4
Data Input—Capture
As a business activity occurs data is
collected about:
1. Each activity of interest
2. The resources affected
3. The people who are participating
: يتم جمع البيانات حول، عند حدوث نشاط تجاري
كل نشاط مهم.1
الموارد المتضررة.2
الناس الذين يشاركون.3
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-5
Paper-Based Source Documents
Data are collected on
source documents
E.g., a sales-order form
The data from paperbased will eventually
need to be transferred to
the AIS
Turnaround
Usually paper-based
Are sent from
organization to customer
Same document is
returned by customer to
organization
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
يتم جمع البيانات على الوثائق
المصدر
نموذج طلب، على سبيل المثال
مبيعات
ستحتاج البيانات المستندة إلى الورق
AIS في النهاية إلى نقلها إلى
التف حوله
عادة ورقة القائم
يتم إرسالها من المنظمة إلى العمالء
يتم إرجاع المستند نفسه بواسطة
العميل إلى المؤسسة
Turnaround Document
2-6
Source Data Automaton
Source data is captured
In machine-readable form
At the time of the business activity
E.g., ATM’s; POS
يتم التقاط البيانات المصدر
آلة في شكل مقروء
في وقت النشاط التجاري
أجهزة الصراف اآللي ؛ نقاط البيع، على سبيل المثال
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-7
Data Input—Accuracy and Control
Well-designed source
documents can ensure
that data captured is
Accurate
Provide instructions and
prompts
Check boxes
Drop-down boxes
Complete
Internal control support
Prenumbered
documents
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
يمكن أن تضمن مستندات
المصدر جيدة التصميم أن
البيانات التي تم التقاطها هي
دقيق
تقديم التعليمات
والمطالبات
خانات االختيار
صناديق منسدلة
اكتمال
دعم الرقابة
الداخلية
وثائق مسبقة
2-8
Data Storage
Types of AIS
storage:
Paper-based
Ledgers
Journals
Computer-based
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
AIS: أنواع تخزين
الورقية
دفاتر
مجالت
المعتمدة على الحاسوب
2-9
Ledgers
General
Summary level data for each:
Asset, liability, equity,
revenue, and expense
Subsidiary
Detailed data for a General
Ledger (Control) Account
that has individual subaccounts
Accounts Receivable
Accounts Payable
جنرال لواء
: ملخص مستوى البيانات لكل
األصول والخصوم وحقوق الملكية واإليرادات
والمصروفات
شركة فرعية
بيانات مفصلة لحساب دفتر األستاذ العام الذي لديه
حسابات فرعية فردية
الذمم المدينة
حسابات قابلة للدفع
• Joe Smith
$250
• Patti Jones
$750
• ACME
Inc.$150
• Jones, Inc
$350
2-10
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Journals
General
Infrequent or specialized transactions
Specialized
Repetitive transactions
E.g., sales transactions
عام
المعامالت المتكررة أو المتخصصة
متخصص
المعامالت المتكررة
معامالت المبيعات، على سبيل المثال
2-11
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Coding Techniques
Sequence
Items numbered
consecutively
تسلسل
العناصر المرقمة على
التوالي
Block
منع
Specific range of
numbers are
ترتبط مجموعة محددة
associated with a
من األرقام بفئة
category
10000–199999 = 1999999- 10000
Electric Range
= المدى الكهربائي
Group
مجموعة
Positioning of digits in وضع أرقام في رمز
code provide meaning
توفير معنى
Mnemonic
ذاكري
Letters and numbers
الحروف واألرقام
Easy to memorize
من السهل حفظها
Code derived from
description of item رمز مشتق من وصف البند
جدول الحسابات
Chart of accounts
نوع تشفير الكتل
Type of block coding
Digit Position
1–2
Product Line,
size, and so
on
3
Color
4–5
Year of
Manufacture
6–7
Optional
Features
1241000
12 =
Dishwasher
4 = White
10 = 2010
00 = No
Options
Meaning
2-12
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Computer Based Storage
Entity
Person, place, or thing
(Noun)
Something an
organization wishes to
store data about
Attributes
Facts about the entity
Fields
Where attributes are
stored
Records
Group of related
attributes about an
entity
File
Group of related
Records
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
كيان
) أو شيء (اسم، مكان، شخص
شيء ترغب المنظمة في تخزين البيانات عنه
سمات
حقائق عن الكيان
مجاالت
حيث يتم تخزين السمات
تسجيل
مجموعة من السمات ذات الصلة حول الكيان
ملف
مجموعة من السجالت ذات الصلة
2-13
File Types
Transaction
Contains records of a business from a
specific period of time
Master
Permanent records
Updated by transaction with the
transaction file
Database
Set of interrelated files
عملية تجارية
يحتوي على سجالت أعمال من فترة زمنية محددة
رئيس
سجالت دائمة
تم التحديث بواسطة المعاملة مع ملف المعاملة
قاعدة البيانات
مجموعة من الملفات المترابطة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-14
Data Processing
Four Main Activities
1. Create new records
2. Read existing
records
3. Update existing
records
4. Delete records or
data from records
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
أربعة أنشطة رئيسية
إنشاء سجالت.1
جديدة
قراءة السجالت.2
الموجودة
تحديث السجالت.3
الموجودة
حذف السجالت أو.4
البيانات من
السجالت
2-15
Data Output Types
Soft copy
Displayed on a
screen
Hard copy
نسخة إلكترونية
عرض على الشاشة
نسخة ورقية
مطبوعة على الورق
Printed on paper
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-16
ERP Systems
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-17
Enterprise Resource Planning (ERP)
Integrate an organization’s
information into one overall AIS
ERP modules:
Financial
Human resources and payroll
Order to cash
Purchase to pay
Manufacturing
Project management
Customer relationship management
System tools
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
دمج معلومات المنظمة
AIS في شامل واحد
وحدات تخطيط موارد
:المؤسسات
األمور المالية
الموارد البشرية
والرواتب
أمر بالدفع النقدي
الشراء للدفع
تصنيع
ادارة مشروع
إدارة عالقات
العمالء
ادوات النظام
2-18
ERP Advantages
Integration of an organization’s data
and financial information
Data is captured once
Greater management visibility,
increased monitoring
Better access controls
Standardizes business operating
procedures
Improved customer service
تكامل بيانات المنظمة
والمعلومات المالية
يتم التقاط البيانات مرة
واحدة
، زيادة وضوح اإلدارة
وزيادة الرصد
ضوابط وصول أفضل
توحيد إجراءات تشغيل
األعمال
تحسين خدمة العمالء
تصنيع أكثر كفاءة
More efficient manufacturing
2-19
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
ERP Disadvantages
Cost
Time-consuming to
implement
Changes to an organization’s
existing business processes
can be disruptive
Complex
Resistance to change
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
تكلفه
تستغرق وقتا طويال
لتنفيذ
التغييرات في العمليات
التجارية الحالية
للمؤسسة يمكن أن
تكون مدمرة
مركب
مقاومة التغيير
2-20
Chapter 3
Systems Documentation Techniques
3-1
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Learning Objectives
Prepare and use data
flow diagrams to
understand, evaluate,
and document
information systems.
Prepare and use
flowcharts to
understand, evaluate,
and document
information systems.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
إعداد واستخدام
مخططات تدفق البيانات
لفهم وتقييم وتوثيق نظم
.المعلومات
قم بإعداد واستخدام
مخططات انسيابية لفهم
وتقييم وتوثيق أنظمة
.المعلومات
3-2
What Is Documentation?
Set of documents and
models
Narratives, data flow
models, flowcharts
Describe who, what,
why, when, and where
of systems:
Input, process,
storage, output, and
controls
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
مجموعة من الوثائق والنماذج
نماذج تدفق، السرد
المخططات، البيانات
االنسيابية
صف من وماذا ولماذا ومتى
:وأين األنظمة
المدخالت والمعالجة
والتخزين واإلخراج
والضوابط
3-3
Why Should You Learn Documentation?
You need to be able to read
documentation in all its forms: narratives,
diagrams, models.
You need to be able to evaluate the
quality of systems, such as internal control
based in part on documentation.
SAS 94 requires independent auditors to
understand all internal control
procedures.
Documentation assists in auditor
understanding and documentation of
their understanding
Sarbanes-Oxley states that management:
Is responsible for internal control system
Is responsible for assessing the
effectiveness of the IC System
Both management and external auditors
need to document and test IC System
قادرا على قراءة الوثائق
ً يجب أن تكون
الرسوم البيانية، السرد:بجميع أشكالها
. النماذج،
قادرا على تقييم جودة
ً يجب أن تكون
مثل الرقابة الداخلية القائمة، األنظمة
.جزئيًا على الوثائق
مدققين مستقلين لفهمSAS 94 يتطلب
.جميع إجراءات الرقابة الداخلية
التوثيق يساعد في فهم المراجع
وتوثيق فهمهم
: يذكر ساربانيس أوكسلي أن اإلدارة
مسؤول عن نظام الرقابة الداخلية
IC مسؤول عن تقييم فعالية نظام
يحتاج كل من اإلدارة والمراجعين
الخارجيين إلى توثيق واختبار
IC نظام
3-4
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Data Flow Diagrams
Graphically describes the flow of
data within a system
يصف بيانيا تدفق البيانات داخل النظام
أربعة عناصر أساسية
Four basic elements
Entity
Data Flow
Process
Data Store
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-5
Entity
Represents a source
of data or input into
the system
or
يمثل مصدر البيانات أو المدخالت
في النظام
أو
يمثل وجهة البيانات أو اإلخراج من
النظام
Represents a
destination of data
or output from the
system
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-6
Data Flows
Movement of
data among:
Entities (sources or
destinations)
Processes
Data stores
: حركة البيانات بين
الكيانات (المصادر أو
)الوجهات
العمليات
مخازن البيانات
يجب أن تصف العالمة
المعلومات المتحركة
Label should
describe the
information
moving
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-7
Process
Represents the transformation of data
يمثل تحويل البيانات
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-8
Data Store
Represents data at rest
يمثل البيانات في بقية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-9
Data Flow Diagram Levels
Context
Highest level (most general)
Purpose: show inputs and
outputs into system
Characteristics: one process
symbol only, no data stores
Level-0
Purpose: show all major
activity steps of a system
Characteristics: processes
are labeled 1.0, 2.0, and
so on
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
سياق الكالم
) أعلى مستوى (عام
إظهار المدخالت: الغرض
والمخرجات في النظام
رمز عملية: الخصائص
ال مخازن، واحدة فقط
البيانات
0 المستوى
عرض جميع: الغرض
خطوات النشاط الرئيسية
للنظام
العمليات هي: الخصائص
، 2.0 ، 1.0 المسمى
وهلم جرا
3-10
DFD Creation Guidelines
Understand the system
Identify transformational processes
Ignore certain aspects of the
system
Group transformational processes
Determine system boundaries Identify all data stores
Identify all sources and destinations
Develop a context DFD
Identify data flows
Group data flows
Number each process
فهم النظام
تجاهل بعض جوانب النظام
تحديد حدود النظام
DFD تطوير سياق
تحديد تدفق البيانات
تدفق البيانات المجموعة
رقم كل عملية
Label all DFD elements
Subdivide DFD
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
تحديد العمليات التحويلية
مجموعة عمليات التحويل
تحديد جميع مخازن البيانات
تحديد جميع المصادر والوجهات
DFD تسمية جميع عناصر
DFD تقسيم
3-11
Flowcharts
Use symbols to
logically depict
transaction
processing and the
flow of data through
a system.
Using a pictorial
representation is
easier to understand
and explain versus a
detailed narrative.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
استخدم الرموز لتصوير معالجة
المعامالت وتدفق البيانات
.بطريقة منطقية
يعد استخدام التمثيل التصويري
أسهل في الفهم والشرح مقابل
.سرد تفصيلي
3-12
Flowchart Symbol Categories
Input/Output
Processing
Storage
Miscellaneous
اإلخراج/ اإلدخال
معالجة
تخزين
متنوع
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-13
Flow Chart Symbol Categories
(cont’d)
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Types of Flowcharts
Document
Illustrates the flow of documents
through an organization
Useful for analyzing internal control
procedures
System
Logical representation of system
inputs, processes, and outputs
Useful in systems analysis and design
Program
Represent the logical sequence of
program logic
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
وثيقة
يوضح تدفق الوثائق من
خالل المنظمة
مفيدة لتحليل إجراءات
الرقابة الداخلية
النظام
التمثيل المنطقي لمدخالت
النظام والعمليات
والمخرجات
مفيدة في تحليل النظم
والتصميم
برنامج
تمثيل التسلسل المنطقي
لمنطق البرنامج
3-15
Document Flowchart
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-16
Document Flowchart (cont’d)
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-17
System Flowchart
3-18
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Program Flowchart
3-19
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Chapter 4
Relational Databases
4-1
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Learning Objectives
Explain the importance and advantages
of databases.
Describe the difference between
database systems and file-based legacy
systems.
Explain the difference between logical
and physical views of a database.
Explain fundamental concepts of
database systems such as DBMS,
schemas, the data dictionary, and DBMS
languages.
Describe what a relational database is
and how it organizes data.
Create a set of well-structured tables to
store data in a relational database.
Perform simple queries using the Microsoft
Access database.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
. اشرح أهمية ومزايا قواعد البيانات
صف الفرق بين أنظمة قواعد البيانات
.واألنظمة القديمة القائمة على الملفات
اشرح الفرق بين طرق العرض المنطقية
.والمادية لقاعدة البيانات
اشرح المفاهيم األساسية ألنظمة قواعد
البيانات مثل قواعد البيانات وقواعد
البيانات وقاموس البيانات ولغات قواعد
.البيانات
صف ماهية قاعدة البيانات الترابطية
.وكيف تنظم البيانات
إنشاء مجموعة من الجداول جيدة التنظيم
لتخزين البيانات في قاعدة بيانات
.عالئقية
تنفيذ استعالمات بسيطة باستخدام قاعدة
Microsoft Access. بيانات
4-2
Data Hierarchy
Field
Attributes
about an
entity
Record
Related
group of fields
حقل
سمات حول الكيان
سجل
مجموعة ذات صلة من الحقول
ملف
مجموعة ذات صلة من السجالت
قاعدة البيانات
مجموعة ذات صلة من الملفات
File
Related
group of
records
Database
Related
group of files
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-3
Advantages of Database Systems
Data Integration
تكامل البيانات
Files are logically combined and made accessible • يتم دمج الملفات منطقيا وجعلها في متناول
to various systems.
.أنظمة مختلفة
تبادل البيانات
Data Sharing
يمكن، • مع وجود بيانات في مكان واحد
With data in one place it is more easily accessed
by authorized users.
الوصول إليها بسهولة من قبل المستخدمين
.المعتمدين
Minimizing Data Redundancy and Data
الحد من تكرار البيانات وعدم تناسق
Inconsistency
البيانات
Eliminates the same data being stored in multiple
• يزيل نفس البيانات التي يتم تخزينها في
files, thus reducing inconsistency in multiple
versions of the same data.
وبالتالي تقليل التناقض في، ملفات متعددة
.إصدارات متعددة من نفس البيانات
Data Independence
استقاللية البيانات
Data is separate from the programs that access it.
• البيانات منفصلة عن البرامج التي تصل
Changes can be made to the data without
necessitating a change in the programs and vice يمكن إجراء تغييرات على البيانات.إليها
versa.
دون الحاجة إلى تغيير في البرامج
.والعكس صحيح
Cross-Functional Analysis
تحليل الوظائف
Relationships between data from various
• يمكن دمج العالقات بين البيانات من
organizational departments can be more easily
4-4
combined.
.
أكبر
بسهولة
التنظيمية
اإلدارات
مختلف
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Database Terminology
نظام إدارة قواعد البيانات
DBMS)(
واجهة بين تطبيقات البرمجيات
Interface between software
والبيانات الموجودة في
applications and the data in files.
.الملفات
مسؤول قاعدة البيانات
Database Administrator (DBA)
DBA)(
Person responsible for maintaining
الشخص المسؤول عن الحفاظ
the database
على قاعدة البيانات
قاموس البيانات
Data Dictionary
معلومات حول هيكل قاعدة
Information about the structure
البيانات
of the database
أسماء الحقول واألوصاف
Field names, descriptions,
واالستخدامات
4-5
uses
Database Management
System (DBMS)
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Logical vs. Physical
مشاهدة المادية
Depends on explicitly knowing: : يعتمد على معرفة صريحة
كيف يتم ترتيب
How is the data actually
البيانات بالفعل في ملف
arranged in a file
أين هي البيانات
Where is the data stored on المخزنة على الكمبيوتر
the computer
عرض منطقي
يفصل المخطط تخزين
Logical View
البيانات عن استخدام
A Schema separates storage
البيانات
of data from use of the data
ليس من الضروري أن
تعرف بوضوح كيف وأين
Unnecessary to explicitly
.يتم تخزين البيانات
know how and where data is
stored.
Physical View
4-6
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Schemas
Describe the logical
structure of a database
Conceptual Level
Organization wide
view of the data
External Level
Individual users view
of the data
Each view is a
subschema
Internal Level
Describes how data
are stored and
accessed
Description of:
records,
definitions,
addresses, and
indexes
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
وصف البنية
المنطقية لقاعدة
البيانات
المستوى المفاهيمي
تنظيم عرض واسع
للبيانات
المستوى الخارجي
عرض المستخدمين
الفرديين للبيانات
كل عرض هو
مشترك
المستوى الداخلي
يصف كيفية تخزين
البيانات والوصول
إليها
السجالت: وصف
والتعاريف والعناوين
4-7
والفهارس
DBMS Languages
Data Definition Language (DDL)
Builds the data dictionary
Creates the database
Describes the subschema
Specifies record or field security
constraints
Data Manipulation Language (DML)
Changes the content in the
database
Updates, insertions, and deletions
Data Query Language (DQL)
Enables the retrieval, sorting, and
display of data from the database
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
DDL)( لغة تعريف البيانات
يبني قاموس البيانات
يخلق قاعدة البيانات
يصف المشترك
يحدد قيود أمان السجل أو
الحقل
DML)( لغة معالجة البيانات
يغير المحتوى في قاعدة
البيانات
التحديثات
واإلدخاالت والحذف
DQL)( لغة استعالم البيانات
يتيح استرداد البيانات
وفرزها وعرضها من
قاعدة البيانات
4-8
Relational Database
Relational data model
represents the conceptual
and external level schemas
as if data are stored in tables.
Table
Each row, a tuple, contains
data about one instance of an
entity.
This is equivalent to a record
Each column contains data
about one attribute of an entity.
This is equivalent to a field
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
يمثل نموذج البيانات
العالئقية مخططات
المستوى المفاهيمي
والخارجي كما لو تم تخزين
.البيانات في الجداول
الطاولة
، يحتوي كل صف
على بيانات،tuple
حول مثيل واحد
.للكيان
هذا يعادل السجل
يحتوي كل عمود على
بيانات حول سمة
.واحدة للكيان
هذا يعادل الحقل 4-9
Row (Record)
A Relational Table
Each row contains multiple
attributes describing an instance of
the entity. In this case, inventory.
Same type of data
Column (Field)
في.يحتوي كل صف على سمات متعددة تصف مثيل الكيان
. المخزون، هذه الحالة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-10
Attributes
Primary Key
An attribute or
combination of attributes
that can be used to
uniquely identify a specific
row (record) in a table.
Foreign Key
An attribute in one table
that is a primary key in
another table.
Used to link the two
tables
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
المفتاح األساسي
سمة أو مجموعة من
السمات التي يمكن
استخدامها لتحديد فريد
صف (سجل) في
.جدول
مفتاح غريب
سمة في جدول يمثل
ً
مفتاحا أساس ًيا في جدول
.آخر
تستخدم لربط
الجدولين
4-11
Database Design Errors
If database is not designed
properly data errors can occur.
Update Anomaly
Changes to existing data are not
correctly recorded.
Due to multiple records with
the same data attributes
Insert Anomaly
Unable to add a record to the
database.
Delete Anomaly
Removing a record also removes
unintended data from the
database.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
إذا لم يتم تصميم قاعدة البيانات
بشكل صحيح يمكن أن تحدث
.أخطاء البيانات
تحديث الشذوذ
ال يتم تسجيل التغييرات
في البيانات الموجودة
.بشكل صحيح
بسبب وجود
سجالت متعددة لها
نفس سمات
البيانات
إدراج الشذوذ
غير قادر على إضافة
.سجل إلى قاعدة البيانات
حذف الشذوذ
ً تؤدي إزالة السجل
أيضا إلى
إزالة البيانات غير المقصودة
. من قاعدة البيانات4-12
Design Requirements for Relational
Database
يجب أن يكون كل عمود.1
.قيمة واحدة
يجب أن تحتوي المفاتيح.2
2. Primary keys must contain
األساسية على بيانات (غير
data (not null).
.)فارغة
3. Foreign keys must contain the يجب أن تحتوي المفاتيح.3
same data as the primary الخارجية على نفس البيانات
مثل المفتاح األساسي في
key in another table.
.جدول آخر
4. All other attributes must
يجب أن تحدد كل السمات.4
identify a characteristic of
األخرى خاصية الجدول
the table identified by the
المحدد بواسطة المفتاح
primary key.
.األساسي4-13
1. Every column must be single
valued.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Normalizing Relational Databases
Initially, one table is used for
all the data in a database.
Following rules, the table is
decomposed into multiple
tables related by:
Primary key–foreign key
integration
Decomposed set of tables
are in third normal form
(3NF).
يتم استخدام، في البداية
جدول واحد لجميع البيانات
الموجودة في قاعدة
.البيانات
يتم، وفقًا للقواعد التالية
تقسيم الجدول إلى جداول
:متعددة مرتبطة بـ
تكامل المفتاح األساسي
الخارجي مجموعة متحللة من
الجداول في الشكل العادي
NF).3( الثالث
4-14
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Microsoft Access Query #1
4-15
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Microsoft Access Query #2
4-16
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Microsoft Access Query #3
4-17
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Microsoft Access Query #4
4-18
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Microsoft Access Query #5
4-19
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Chapter 5
Computer Fraud
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-1
Learning Objectives
Explain the threats faced by
modern information systems.
اشرح التهديدات التي تواجه
.أنظمة المعلومات الحديثة
حدد االحتيال ووصف العملية
Define fraud and describe the
process one follows to perpetuate
التي يتبعها الشخص إلدامة
a fraud.
.االحتيال
Discuss who perpetrates fraud and ناقش من يرتكب االحتيال وسبب
why it occurs, including:
: بما في ذلك، حدوثه
the pressures, opportunities, and
الضغوط والفرص
rationalizations that are present
والمبررات الموجودة في
in most frauds.
.معظم عمليات االحتيال
Define computer fraud and discuss تحديد االحتيال على الكمبيوتر
the different computer fraud
ومناقشة التصنيفات االحتيالية
classifications.
.للكمبيوتر المختلفة
Explain how to prevent and detect اشرح كيفية منع االحتيال وإساءة
5-2
computer
fraud
and
abuse.
.
الكمبيوتر
استخدام
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Common Threats to AIS
Natural Disasters and
Terrorist Threats
Software Errors and/or
Equipment Malfunction
Unintentional Acts
(Human Error)
Intentional Acts
(Computer Crimes)
الكوارث الطبيعية
والتهديدات اإلرهابية
أو/ أخطاء البرامج و
عطل المعدات
أعمال غير مقصودة
)(خطأ بشري
األفعال المتعمدة (جرائم
)الكمبيوتر
5-3
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
What Is Fraud?
Gaining an unfair advantage over
another person
A false statement, representation,
or disclosure
A material fact that induces a
person to act
An intent to deceive
A justifiable reliance on the
fraudulent fact in which a person
takes action
An injury or loss suffered by the
victim
Individuals who commit fraud are
referred to as white-collar criminals.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
الحصول على ميزة غير عادلة
على شخص آخر
بيان كاذب أو تمثيل أو
إفشاء خاطئ
حقيقة مادية تحفز الشخص
على التصرف
نية لخداع
االعتماد المبرر على
الحقيقة االحتيالية التي يتخذ
فيها الشخص إجراءات
إصابة أو خسارة تكبدها
الضحية
يشار إلى األفراد الذين يرتكبون
االحتيال بأنهم مجرمون من
5-4
.ذوي الياقات البيضاء
Forms of Fraud
اختالس األصول
سرقة أصول
.الشركات
أكبر العوامل لسرقة
:األصول
غياب نظام
الرقابة الداخلية
عدم تطبيق نظام
الرقابة الداخلية
Fraudulent financial reporting
التقارير المالية االحتيالية
“…intentional or reckless conduct,
السلوك المتعمد…”
whether by act or omission, that results سواء، أو المتهور
in materially misleading financial
عن طريق الفعل أو
statements” (The Treadway
الذي ينتج، اإلغفال
Commission).
عنه بيانات مالية
مضللة ماديًا” (لجنة5-5
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Treadway).
Misappropriation of assets
Theft of a companies assets.
Largest factors for theft of assets:
Absence of internal control system
Failure to enforce internal control
system
Reasons for Fraudulent Financial
Statements
1. Deceive investors or
creditors
2. Increase a
company’s stock
price
3. Meet cash flow
needs
4. Hide company losses
or other problems
خداع المستثمرين أو.1
الدائنين
زيادة سعر سهم.2
الشركة
تلبية احتياجات التدفق.3
النقدي
إخفاء خسائر الشركة.4
أو غيرها من المشاكل
5-6
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Treadway Commission Actions to
Reduce Fraud
1. Establish environment which
إنشاء بيئة تدعم.1
supports the integrity of the
نزاهة عملية إعداد
financial reporting process.
.التقارير المالية
2. Identification of factors that
تحديد العوامل التي.2
lead to fraud.
.تؤدي إلى االحتيال
3. Assess the risk of fraud within تقييم خطر االحتيال.3
.داخل الشركة
the company.
تصميم وتنفيذ.4
4. Design and implement internal
الداخلية
الضوابط
controls to provide assurance
لتوفير ضمان منع
that fraud is being prevented.
.االحتيال
5-7
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
SAS #99
Auditors responsibility to detect fraud
Understand fraud
Discuss risks of material fraudulent
statements
Among members of audit team
Obtain information
Look for fraud risk factors
Identify, assess, and respond to risk
Evaluate the results of audit tests
Determine impact of fraud on financial
statements
Document and communicate findings
See Chapter 3
Incorporate a technological focus
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
مدققو مسؤولية الكشف عن
االحتيال
فهم االحتيال
مناقشة مخاطر البيانات
االحتيالية
بين أعضاء فريق
التدقيق
الحصول على المعلومات
ابحث عن عوامل
خطر االحتيال
تحديد وتقييم والرد على
المخاطر
تقييم نتائج اختبارات التدقيق
تحديد تأثير االحتيال
على البيانات المالية
وثيقة والتواصل النتائج
3 انظر الفصل
5-8
دمج التركيز التكنولوجي
The Fraud Triangle
Three conditions that
are present when
Fraud occurs
ثالثة شروط موجودة
عند حدوث االحتيال
Pressure
Opportunity
Rationalization
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-9
Pressure
Motivation or
incentive to
commit fraud
Types:
1.Employee
• Financial
• Emotional
• Lifestyle
2.Financial
• Industry
conditions
• Management
characteristics
الدافع أو الحافز
الرتكاب االحتيال
:أنواع
موظف.1
• األمور المالية
• عاطفي
• اليف ستايل
األمور المالية.1
• ظروف
الصناعة
• خصائص
اإلدارة
5-10
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Opportunity
:حالة أو موقف يتيح لشخص أو منظمة ما يلي
Condition or situation
ارتكاب االحتيال.1
that allows a person or
إخفاء االحتيال.2
• اللف
organization to:
• المعامالت الوهمية
1.Commit the fraud
تحويل السرقة أو تحريف إلى مكاسب.1
2.Conceal the fraud
شخصية
• Lapping
• Kiting
3.Convert the theft or
misrepresentation to
personal gain
5-11
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Rationalizations
Justification of illegal
behavior
1.Justification
• I am not being
dishonest.
2.Attitude
• I don’t need to be
honest.
3.Lack of personal
integrity
• Theft is valued
higher than honesty
or integrity.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-12
Computer Fraud
Any illegal act in
which knowledge
of computer
technology is
necessary for:
Perpetration
Investigation
Prosecution
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
أي فعل غير قانوني
تكون فيه المعرفة
بتكنولوجيا الكمبيوتر
:ضرورية من أجل
ارتكاب
تحقيق
المالحقة القضائية
5-13
Rise of Computer Fraud
التعريف غير متفق عليه.1
كثير يذهب دون أن.2
2. Many go undetected
يكتشف
3. High percentage is not
لم يتم اإلبالغ عن نسبة.3
reported
عالية
4. Lack of network security
عدم وجود أمن الشبكة.4
5. Step-by-step guides are easily
أدلة خطوة بخطوة.5
available
متاحة بسهولة
إنفاذ القانون مثقل.6
6. Law enforcement is
overburdened
باألعباء
صعوبة حساب الخسارة.7
7. Difficulty calculating loss
1. Definition is not agreed on
5-14
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Computer Fraud Classifications
Input Fraud
Alteration or falsifying input
Processor Fraud
Unauthorized system use
Computer Instructions
Fraud
Modifying software, illegal
copying of software, using
software in an unauthorized
manner, creating software
to undergo unauthorized
activities
الغش اإلدخال
تغيير أو تزوير اإلدخال
الغش المعالج
استخدام النظام غير
المصرح به
تعليمات الكمبيوتر االحتيال
والنسخ، تعديل البرنامج
، غير القانوني للبرامج
واستخدام البرنامج بطريقة
وإنشاء، غير مصرح بها
برامج للخضوع ألنشطة
غير مصرح بها
5-15
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Computer Fraud Classifications
احتيال البيانات
استخدام بيانات الشركة أو
Illegally using, copying,
browsing, searching, or نسخها أو تصفحها أو البحث
harming company
عنها أو إيذاءها بطريقة غير
data
قانونية
الغش الناتج
Output Fraud
سرقة أو نسخ أو إساءة استخدام
Stealing, copying, or
مطبوعات الكمبيوتر أو
misusing computer
المعلومات المعروضة
printouts or displayed
information
Data Fraud
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall
5-16
Chapter 6
Computer Fraud and Abuse
Techniques
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
6-1
Learning Objectives
قارن بين أساليب الكمبيوتر
.وسوء المعاملة وتناقضها
اشرح كيفية استخدام تقنيات
Explain how social
الهندسة االجتماعية للوصول
engineering
الفعلي أو المنطقي إلى
techniques are used to
gain physical or logical
.موارد الكمبيوتر
access to computer
صف األنواع المختلفة من
resources.
البرامج الضارة المستخدمة
Describe the different
إللحاق الضرر بأجهزة
types of malware used
.
الكمبيوتر
to harm computers.
Compare and contrast
computer attack and
abuse tactics.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
6-2
Computer Attacks and Abuse
القرصنة
Hacking
الوصول أو التعديل أو
Unauthorized access, modification,
or use of a computer system or other االستخدام غير المصرح
electronic device
به لنظام الكمبيوتر أو أي
Social Engineering
Techniques, usually psychological
tricks, to gain access to sensitive
data or information
Used to gain access to secure
systems or locations
Malware
Any software which can be used to
do harm
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
جهاز إلكتروني آخر
هندسة اجتماعية
عادة الحيل، التقنيات
للوصول إلى، النفسية
البيانات أو المعلومات
الحساسة
يستخدم للوصول إلى
أنظمة أو مواقع آمنة
البرمجيات الخبيثة
أي برنامج يمكن
استخدامه إللحاق األذى6-3
Types of Computer Attacks
Botnet—Robot Network
Network of hijacked computers
Hijacked computers carry out
processes without users knowledge
Zombie—hijacked computer
Denial-of-Service (DoS) Attack
Constant stream of requests made to a
Web-server (usually via a Botnet) that
overwhelms and shuts down service
Spoofing
Making an electronic communication
look as if it comes from a trusted official
source to lure the recipient into
providing information
شبكة الروبوت- شبكة الروبوت
شبكة من أجهزة الكمبيوتر
المختطفة
تقوم أجهزة الكمبيوتر
المختطفة بعمليات دون
معرفة المستخدمين
كمبيوتر مختطفZombie —
DoS)( هجوم رفض الخدمة
تدفق مستمر من الطلبات المقدمة
إلى خادم الويب (عادة عبر شبكة
التي تغلب على الخدمةBotnet)
وتعطلها
انتحال
يبدو إجراء اتصال إلكتروني
وكأنه مصدر مصدر موثوق
لجذب المتلقي إلى توفير
المعلومات
6-4
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Types of Spoofing
Address Resolution
Protocol (ARP)
E-mail sender appears as if it comes from a
E-mail
different source
Caller-ID
Incorrect number is displayed
IP address
Forged IP address to conceal identity of
sender of data over the Internet or to
impersonate another computer system
Allows a computer on a
LAN to intercept traffic
meant for any other
computer on the LAN
Web page
Phishing (see below)
DNS
Intercepting a request for a
Web service and sending
Incorrect number or name appears, similar to
the request to a false
caller-ID but for text messaging
البريد اإللكتروني service
SMS
يظهر مرسل البريد اإللكتروني كما لو كان مصدره مصدر مختلف
هوية المتصل
يتم عرض الرقم غير صحيح
IP عنوان
مزور إلخفاء هوية مرسل البيانات عبر اإلنترنت أو النتحال شخصيةIP عنوان
نظام كمبيوتر آخر
رسالة قصيرة
يشبه معرف المتصل ولكن بالنسبة للرسائل النصية، يظهر رقم أو اسم غير صحيح
ARP)( عنوان قرار البروتوكول
LAN للسماح لجهاز كمبيوتر على شبكة
باعتراض حركة المرور المخصصة ألي
LAN كمبيوتر آخر على شبكة
صفحة ويب
) التصيد (انظر أدناه
DNS
اعتراض طلب خدمة ويب وإرسال الطلب إلى
6-5
خدمة خاطئة
Hacking Attacks
Cross-Site Scripting (XSS)
البرمجة النصية للمواقع المشتركة
XSS)(
Unwanted code is sent via dynamic
Web pages disguised as user input.
يتم إرسال التعليمات البرمجية
غير المرغوب فيها عبر صفحات
Buffer Overflow
ويب ديناميكية متخفية كإدخال
.المستخدم
Data is sent that exceeds computer
capacity causing program
تجاوز سعة المخزن المؤقت
instructions to be lost and replaced
يتم إرسال البيانات التي تتجاوز
with attacker instructions.
سعة الكمبيوتر مما يؤدي إلى فقد
تعليمات البرنامج واستبدالها
SQL Injection (Insertion)
.بتعليمات المهاجم
Malicious code is inserted in the
) اإلدراجSQL ( حقن
place of query to a database system.
يتم إدخال التعليمات البرمجية
الضارة في مكان االستعالم إلى
Man-in-the-Middle
.نظام قاعدة بيانات
Hacker places themselves between
األوسط-في- الرجل
client and host.
القراصنة يضع أنفسهم بين العميل
. والمضيف6-6
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Additional Hacking Attacks
كلمة السر تكسير
Penetrating system security to steal اختراق أمان النظام لسرقة كلمات
passwords
المرور
War Dialing
االتصال الحرب
Computer automatically dials phone يقوم الكمبيوتر تلقائيًا بطلب أرقام
numbers looking for modems.
.الهواتف للبحث عن أجهزة المودم
Phreaking
Phreaking
Attacks on phone systems to obtain
الهجمات على أنظمة الهاتف
free phone service.
للحصول على خدمة الهاتف
.المجانية
Data Diddling
البيانات الضالة
Making changes to data before,
during, or after it is entered into a إجراء تغييرات على البيانات قبل أو
system.
.أثناء أو بعد إدخالها في نظام
Data Leakage
تسرب البيانات
Unauthorized copying of company
النسخ غير المصرح به لبيانات
data.
6-7
.الشركة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Password Cracking
Hacking Embezzlement Schemes
Salami Technique
سالمي تقنية
Taking small amounts from many
أخذ كميات صغيرة من العديد من الحسابات
different accounts.
.المختلفة
التجسس االقتصادي
Economic Espionage
سرقة المعلومات واألسرار التجارية
Theft of information, trade secrets, and
.والملكية الفكرية
intellectual property.
سايبر الترهيب
اإلنترنت أو الهواتف المحمولة أو
Cyber-Bullying
غيرها من تقنيات االتصال لدعم
Internet, cell phones, or other
السلوك المتعمد والمتكرر والعدائي
communication technologies to
support deliberate, repeated, and
الذي يعذب أو يهدد أو يضايق أو
hostile behavior that torments,
يهين أو يحرج أو يضر بطريقة
threatens, harasses, humiliates,
.أخرى بشخص آخر
embarrasses, or otherwise harms
إرهاب اإلنترنت
another person.
فعل تعطيل التجارة اإللكترونية
Internet Terrorism
واإلضرار بأجهزة الكمبيوتر
Act of disrupting electronic commerce
واالتصاالت
and harming computers and
6-8
communications.
Hacking for Fraud
Internet Misinformation
تضليل اإلنترنت
استخدام اإلنترنت لنشر
Using the Internet to spread false
معلومات خاطئة أو مضللة
or misleading information
مزاد على االنترنت
Internet Auction
استخدام موقع مزاد على
Using an Internet auction site to اإلنترنت لالحتيال على شخص
آخر
defraud another person
دفع غير عادلة حتى تقديم
Unfairly drive up bidding
العطاءات
Seller delivers inferior merchandise or
البائع يسلم البضائع الرديئة أو
fails to deliver at all
يفشل في تقديمها على اإلطالق
Buyer fails to make payment
فشل المشتري في إجراء الدفع
Internet Pump-and-Dump
مضخة اإلنترنت والتفريغ
Using the Internet to pump up the استخدام اإلنترنت لزيادة سعر
6-9
بيعه
ثم
السهم
price of a stock and then selling it
Social Engineering Techniques
Identity Theft
Assuming someone else’s identity
Pretexting
Inventing a scenario that will lull
someone into divulging sensitive
information
Posing
Using a fake business to acquire
sensitive information
Typesquatting
Typographical errors
when entering a Web site
name cause an invalid
site to be accessed
Tabnapping
Changing an already
open browser tab
Scavenging
Looking for sensitive
information in items
thrown away
Phishing
Posing as a legitimate company
asking for verification type
information: passwords, accounts, Shoulder Surfing
usernames
Snooping over
someone’s shoulder for
Pharming
sensitive information
Redirecting Web site traffic to a
6-10
spoofed Web site.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Typesquatting
سرقة الهوية
تتسبب األخطاء المطبعية عند إدخال اسم موقع على افتراض هوية شخص آخر
ويب في الوصول إلى موقع غير صالح
Tabnapping
تغيير عالمة تبويب متصفح مفتوحة بالفعل
الكسح
بالتستر
ابتكار سيناريو من شأنه أن يهدد شخص ما بالكشف عن
المعلومات الحساسة
االنتحال
استخدام عمل مزيف للحصول على معلومات حساسة
البحث عن معلومات حساسة في العناصر التي
يتم طرحها بعيدًا
الخداع
تصفح الكتف
التطفل على كتف شخص ما للحصول على
معلومات حساسة
11
Copyright 2012 Pearson Education, Inc. publishing as Prentice Hall
تظاهر بأنها شركة شرعية تطلب معلومات نوع التحقق:
كلمات المرور والحسابات وأسماء المستخدمين
تزوير العناوين
إعادة توجيه حركة مرور موقع الويب إلى موقع ويب منتحل.
More Social Engineering
لوبنج اللبناني
التقاط أرقام بطاقات
Capturing ATM pin and card
numbers
الصراف اآللي
قراءة سريعه
Skimming
الضرب المزدوج على
Double-swiping a credit card
بطاقة االئتمان
التقطيع
Chipping
زرع جهاز لقراءة
Planting a device to read credit
card information in a credit card معلومات بطاقة االئتمان
reader
في قارئ بطاقة االئتمان
التنصت
Eavesdropping
االستماع إلى االتصاالت
Listening to private communications
الخاصة6-12
Lebanese Loping
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Type of Malware
Virus
Executable code that attaches
itself to software, replicates itself,
and spreads to other systems or files
Worm
Similar to a virus; a program rather
than o code segment hidden in a
host program. Actively transmits
itself to other systems
Spyware
Secretly monitors and collects
personal information about users
and sends it to someone else
Adware
Pops banner ads on a monitor,
collects information about the
user’s Web-surfing, and spending
habits, and forward it to the
adware creator
فيروس
تعليمات برمجية قابلة للتنفيذ تعلق
على البرنامج وتكرر نفسها وتنتشر
في أنظمة أو ملفات أخرى
الفيروس المتنقل
برنامج بدالً من. مماثلة لفيروس
مقطع الكود المخفي في برنامج
ينقل بنشاط نفسها إلى.مضيف
أنظمة أخرى
برامج التجسس
يراقب سرا ويجمع المعلومات
الشخصية عن المستخدمين ويرسلها
إلى شخص آخر
ادواري
ينشر إعالنات الشعارات على
ويجمع معلومات حول، الشاشة
وعادات، تصفح الويب للمستخدم
وإعادة توجيهها إلى منشئ، اإلنفاق
البرامج اإلعالنية
6-13
More Malware
Key logging
تسجيل المفتاح
مثل، يسجل نشاط الكمبيوتر
Records computer activity, such as a
، ضغطات المفاتيح للمستخدم
user’s keystrokes, e-mails sent and
ورسائل البريد اإللكتروني المرسلة
received, Web sites visited, and chat
session participation
ومواقع الويب التي تمت، والمستلمة
ومشاركة جلسة المحادثة، زيارتها
Trojan Horse
حصان طروادة
إرشادات الكمبيوتر الضارة في
Malicious computer instructions in an
authorized and otherwise properly
برنامج مصرح به يعمل بشكل
functioning program
صحيح
Time bombs/logic bombs
القنابل المنطقية/ القنابل الزمنية
الخمول حتى يتم تشغيله بواسطة
Idle until triggered by a specified date
or time, by a change in the system, by أو عن طريق، تاريخ أو وقت محدد
a message sent to the system, or by an أو عن طريق، تغيير في النظام
event that does not occur
أو عن، رسالة مرسلة إلى النظام
طريق حدث ال يحدث
Trap Door/Back Door
الباب الخلفي/ مصيدة الباب
A way into a system that bypasses
طريقة في نظام يتجاوز ضوابط
normal authorization and
التخويل والمصادقة العادية
authentication controls
5-14
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall
More Malware
Packet Sniffers
Capture data from information
packets as they travel over
networks
Rootkit
Used to hide the presence of
trap doors, sniffers, and key
loggers; conceal software
that originates a denial-ofservice or an e-mail spam
attack; and access
usernames and log-in
information
حزمة المتشممون
التقاط البيانات من حزم المعلومات
أثناء انتقالها عبر الشبكات
الجذور الخفية
تستخدم إلخفاء وجود مصيدة
وقطع، والشم، األبواب
األشجار الرئيسية ؛ إخفاء
البرامج التي تنشأ عن رفض
الخدمة أو هجوم البريد
اإللكتروني العشوائي ؛
والوصول إلى أسماء
المستخدمين ومعلومات تسجيل
الدخول
Superzapping
Superzapping
االستخدام غير المصرح به لبرامج
Unauthorized use of special
system programs to bypass
النظام الخاصة لتجاوز الضوابط
regular system controls and
، النظامية العادية وأعمال غير قانونية
perform illegal acts, all without
6-15
التدقيق
مسار
ترك
دون
ذلك
كل
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
leaving an audit trail
Chapter 7
Control and AIS
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
7-1
Learning Objectives
Explain basic control concepts and explain why
computer control and security are important.
اشرح مفاهيم التحكم األساسية وشرح
.أهمية التحكم في الكمبيوتر واألمان
قارن بين إطارات التحكم في
Compare and contrast the COBIT, COSO, and
ERM وCOSO وCOBIT
ERM control frameworks.
.وقابلها
Describe the major elements in the internal
صف العناصر الرئيسية في البيئة
environment of a company
الداخلية للشركة
صف أربعة أنواع من أهداف الرقابة
Describe the four types of control objectives that
.التي تحتاج الشركات إلى وضعها
companies need to set.
صف األحداث التي تؤثر على عدم
Describe the events that affect uncertainty and .اليقين والتقنيات المستخدمة لتحديدها
the techniques used to identify them.
اشرح كيفية تقييم المخاطر واالستجابة
لها باستخدام نموذج إدارة مخاطر
Explain how to assess and respond to risk using
ERM).( المؤسسات
the Enterprise Risk Management (ERM) model.
وصف أنشطة التحكم الشائعة في
.الشركات
Describe control activities commonly used in
صف كيفية توصيل المعلومات
companies.
ومراقبة عمليات التحكم في المؤسسات
7-2
Describe how to communicate information and
monitor control processes in organizations.
Internal Control
نظام لتوفير ضمان معقول بأن
:األهداف تتحقق مثل
. حماية األصول
الحفاظ على السجالت
Safeguard assets.
بتفاصيل كافية لإلبالغ
عن أصول الشركة بدقة
Maintain records in sufficient detail to
.وعادلة
report company assets accurately and
تقديم معلومات دقيقة
fairly.
.وموثوقة
Provide accurate and reliable information.
إعداد التقارير المالية وفقا
Prepare financial reports in accordance
.للمعايير المعمول بها
with established criteria.
تعزيز وتحسين الكفاءة
Promote and improve operational
.التشغيلية
efficiency.
تشجيع االلتزام بالسياسات
.اإلدارية المقررة
Encourage adherence to prescribed
االمتثال للقوانين واللوائح
managerial policies.
.المعمول بها
Comply with applicable laws and
7-3
regulations.
System to provide reasonable
assurance that objectives are met
such as:
Internal Control
Functions
Preventive
المهام
Deter problems
Detective
Discover problems
Corrective
Correct problems
وقائي
مشاكل الردع
المحقق
اكتشاف المشاكل
تصحيحي
مشكلة صحيحة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
General
Categories
Overall IC system
and processes
Application
Transactions are
processed correctly
عام
الشاملIC نظام
والعمليات
تطبيق
تتم معالجة المعامالت
بشكل صحيح7-4
Sarbanes Oxley (2002)
Designed to prevent financial
statement fraud, make
financial reports more
transparent, protect investors,
strengthen internal controls,
and punish executives who
perpetrate fraud
Public Company Accounting
Oversight Board (PCAOB)
Oversight of auditing profession
New Auditing Rules
Partners must rotate periodically
مصمم لمنع االحتيال في البيانات المالية
، وجعل التقارير المالية أكثر شفافية،
وتعزيز الضوابط، وحماية المستثمرين
ومعاقبة المسؤولين التنفيذيين، الداخلية
الذين يرتكبون االحتيال
مجلس الرقابة على حسابات
PCAOB)( الشركة العامة
الرقابة على مهنة التدقيق
قواعد التدقيق الجديدة
يجب أن يتناوب الشركاء
بشكل دوري
ممنوع من أداء بعض
الخدمات غير المراجعة
Prohibited from performing certain
non-audit services
7-5
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Sarbanes Oxley (2002)
أدوار جديدة للجنة التدقيق
Be part of board of directors and be كن جز ًءا من مجلس اإلدارة وكن
ً
مستقال
independent
يجب أن يكون عضو واحد خبير
One member must be a financial
مالي
expert
يشرف على المراجعين
Oversees external auditors
الخارجيين
New Rules for Management
قواعد جديدة لإلدارة
Financial statements and disclosures are
يتم عرض البيانات المالية
fairly presented, were reviewed by
، واإلفصاحات بصورة عادلة
management, and are not misleading. ، ومراجعتها من قبل اإلدارة
The auditors were told about all
.وليست مضللة
material internal control weak- nesses
قيل للمدققين عن كل نقاط
and fraud.
.الضعف والرقابة الداخلية المادية
New Internal Control Requirements
متطلبات الرقابة الداخلية الجديدة
اإلدارة مسؤولة عن إنشاء
Management is responsible for
وصيانة نظام الرقابة الداخلية
establishing and maintaining an
. المناسب7-6
adequate internal control system.
New Roles for Audit Committee
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
SOX Management Rules
تقييم قاعدة الرقابة
الداخلية على إطار
.معترف به
الكشف عن جميع
Disclose all material internal
نقاط الضعف الرقابة
control weaknesses.
.الداخلية المادية
استنتج أنه ال يوجد
Conclude a company
لدى الشركة ضوابط
does not have effective
داخلية فعالة إلعداد
financial reporting internal
التقارير المالية
controls of material
.للضعف المادي
weaknesses.
Base evaluation of internal
control on a recognized
framework.
7-7
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Internal Control Frameworks
Control Objectives أهداف التحكم
للمعلومات
for Information and والتكنولوجيا ذات
Related
COBIT)( الصلة
Technology (COBIT) أهداف العمل
Business objectives
IT resources
IT processes
موارد تكنولوجيا
المعلومات
عمليات تكنولوجيا
المعلومات
7-8
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Internal Control Frameworks
Committee of
Sponsoring
Organizations
(COSO)
Internal control—
integrated
framework
Control environment
Control activities
Risk assessment
Information and
communication
Monitoring
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall
لجنة المنظمات الراعية
COSO)(
إطار- الرقابة الداخلية
متكامل
التحكم بالبيئة
أنشطة مكافحة
تقييم المخاطر
المعلومات
واالتصاالت
مراقبة
7-9
Internal Control Frameworks
Enterprise Risk Management نموذج إدارة مخاطر المؤسسة
Model
قائم على المخاطر مقابل
التحكم
Risk-based vs. control-based
المكونات
Components
البيئة الداخلية
Internal environment
تحديد األهداف
Objective setting
تحديد الحدث
Event identification
تقييم المخاطر
Risk assessment and risk
واالستجابة للمخاطر
response
أنشطة مكافحة
Control activities
المعلومات
Information and
واالتصاالت
communication
مراقبة 7-10
Monitoring
Enterprise Risk Management Model
7-11
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall
Internal Environment
Management’s philosophy, operating style,
and risk appetite
The board of directors
Commitment to integrity, ethical values, and
competence
Organizational structure
Methods of assigning authority and
responsibility
Human resource standards
External influences
7-12
Objective Setting
Strategic
High-level goals aligned
with corporate mission
Operational
Effectiveness and efficiency
of operations
Reporting
Complete and reliable
Improve decision making
Compliance
Laws and regulations are
followed
إستراتيجي
أهداف رفيعة المستوى
تتماشى مع مهمة
الشركة
التشغيل
فعالية وكفاءة العمليات
التقارير
كاملة وموثوقة
تحسين صنع القرار
االلتزام
يتم اتباع القوانين
واللوائح
7-13
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Event Identification
“…an incident or occurrence
حادثة أو حادثة…”
emanating from internal or
نابعة من مصادر
external sources that affects
implementation of strategy or داخلية أو خارجية تؤثر
achievement of objectives.” على تنفيذ االستراتيجية
“.أو تحقيق األهداف
Positive or negative
اآلثار اإليجابية أو
impacts (or both)
)السلبية (أو كليهما
Events may trigger other
events
األحداث قد تؤدي
إلى أحداث أخرى
All events should be
anticipated
ينبغي توقع جميع
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
األحداث
7-14
Risk Assessment
تحديد المخاطر
حدد احتمالية المخاطرة
Identify likelihood of risk
تحديد تأثير إيجابي أو
Identify positive or negative
سلبي
impact
أنواع المخاطر
متأصل
Types of Risk
خطر موجود قبل
Inherent
وضع أي خطط
Risk that exists before any
للسيطرة عليه
plans are made to control it
المتبقي
Residual
المخاطر المتبقية بعد
Remaining risk after controls
الضوابط المعمول بها
are in place to reduce it
7-15
للحد من ذلك
Identify Risk
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Risk Response
Reduce
Implement effective internal
control
Accept
Do nothing, accept likelihood of
risk
Share
Buy insurance, outsource, hedge
Avoid
Do not engage in activity that
produces risk
خفض
تنفيذ الرقابة
الداخلية الفعالة
قبول
اقبل، ال تفعل شيئًا
احتمالية المخاطرة
شارك
، شراء التأمين
واالستعانة
، بمصادر خارجية
التحوط
تجنب
ال تشارك في
نشاط ينتج عنه
7-16
خطر
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Event/
Risk/Response
Model
7-17
Control Activities
السياسات واإلجراءات الالزمة
لتوفير تأكيد معقول بأن أهداف
:الرقابة تتحقق
إذن مناسب للمعامالت
Proper authorization of transactions and
واألنشطة
activities
التوقيع أو الكود على
Signature or code on document to signal الوثيقة لإلشارة إلى
authority over a process
السلطة خالل العملية
الفصل بين الواجبات
Segregation of duties
تطوير المشاريع وضوابط
Project development and acquisition
االستحواذ
controls
تغيير الضوابط اإلدارية
Change management controls
تصميم واستخدام الوثائق
Design and use of documents and
والسجالت
records
حماية األصول والسجالت
والبيانات
Safeguarding assets, records, and data
الشيكات المستقلة على
Independent checks on performance
7-18
األداء
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Policies and procedures to provide
reasonable assurance that control
objectives are met:
Segregation of Accounting Duties
No one employee should be given ال ينبغي إعطاء موظف واحد الكثير
too much responsibility
من المسؤولية
: منفصل
Separate:
تفويض
Authorization
اعتماد المعامالت
Approving transactions and
والقرارات
decisions
تسجيل
Recording
إعداد وثائق المصدر
Preparing source documents
AIS إدخال البيانات في
Entering data into an AIS
Maintaining accounting records الحفاظ على السجالت
المحاسبية
Custody
عهدة
Handling cash, inventory, fixed
التعامل مع النقدية
assets
والمخزون واألصول
Receiving incoming checks
الثابتة
Writing checks
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
تلقي الشيكات الواردة
كتابة الشيكات
7-19
Segregation of Accounting Duties
7-20
Segregation of System Duties
Like accounting system duties مثل واجبات النظام المحاسبي
should also be separated
كما ينبغي فصلها
These duties include:
System administration
Network management
Security management
Change management
Users
Systems analysts
Programmers
Computer operators
Information system librarian
Data control
: تشمل هذه الواجبات
إدارة النظام
إدارة الشبكة
إدارة األمن
تغيير اإلدارة
المستخدمين
محللو النظم
المبرمجين
مشغلي الكمبيوتر
أمين مكتبة نظام
المعلومات
التحكم في البيانات7-21
Information and Communication
Primary purpose
of an AIS
Gather
Record
Process
Summarize
Communicate
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
الغرض األساسي من
AIS
جمع
سجل
معالجة
لخص
نقل
7-22
Monitoring
Evaluate internal control framework.
. تقييم إطار الرقابة الداخلية
. اإلشراف الفعال
Effective supervision.
. نظام محاسبة المسؤولية
Responsibility accounting system.
. مراقبة أنشطة النظام
تتبع البرامج التي تم شراؤها
Monitor system activities.
.واألجهزة المحمولة
Track purchased software and mobile
. إجراء عمليات تدقيق دورية
devices.
توظيف ضابط األمن وضابط
Conduct periodic audits.
.االمتثال
Employ a security officer and compliance إشراك المتخصصين في
officer.
.الطب الشرعي
تثبيت برنامج الكشف عن
Engage forensic specialists.
.االحتيال
Install fraud detection software.
. تنفيذ خط ساخن االحتيال
Implement a fraud hotline.
7-23
Chapter 8
Information Systems Controls for System Reliability— Part 1: Information Security
8-1
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Learning Objectives
ناقش كيف يمكن
Discuss how the COBIT framework
COBIT استخدام إطار
can be used to develop sound
لتطوير رقابة داخلية
internal control over an
سليمة على أنظمة
organization’s information systems.
Explai…