Accounting Information System AIS Assignment 3
Chapter 1
Accounting Information Systems: An Overview
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-1
Learning Objectives Distinguish between data and information.
Discuss t he charact erist ics of useful informat ion.
Explain how t o det ermine t he value of informat ion.
Explain the decision s an organization makes, and the information needed to make them.
Identify the information that passes between internal and external parties and an AIS.
Describe the major business processes present in most companies.
Explain what an accounting information system (AIS) is and describe its basic functions.
Discuss how an AIS can add value to an organization.
Explain how an AIS and corporate strategy affect each other.
Explain the role an AIS plays in a company’s value chain. Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-2
.التمييز بين البيانات والمعلومات▪
oناقش خصائص المعلومات المفيدة. oاشرح كيفية تحديد قيمة المعلومات. اشرح القرارات التي تتخذها المنظمة ▪
.والمعلومات الالزمة التخاذها تحديد المعلومات التي تمر بين األطراف ▪
.AISالداخلية والخارجية و دة في صف العمليات التجارية الرئيسية الموجو▪
.معظم الشركات اشرح ما هو نظام المعلومات المحاسبية ▪
(AIS) ووصف وظائفه األساسية. إضافة قيمة إلى AISناقش كيف يمكن لـ ▪
.المنظمة AISاشرح كيف تؤثر استراتيجية ▪
.واستراتيجية الشركة على بعضها البعض في سلسلة قيمة AISاشرح الدور الذي تلعبه ▪
.الشركة
What Is a System? System A set of two or more interrelated components interacting to achieve a
goal
Goal Conflict Occurs when components act in their own interest without regard for
overall goal
Goal Congruence Occurs when components acting in their own interest contribute toward
overall goal
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-3
النظام❑ مجموعة مكونة من مكونين أو أكثر من العناصر المترابطة التي •
تتفاعل لتحقيق الهدف الصراع الهدف❑ ار يحدث عندما تتصرف المكونات في مصلحتها الخاصة دون اعتب•
للهدف العام تطابق الهدف❑ يق يحدث عندما تساهم المكونات التي تعمل في مصلحتها في تحق•
الهدف العام
Data vs. Information
Data are facts that are recorded and stored.
Insufficient for decision making.
Information is processed data used in decision making.
Too much information however, will make it more, not less, difficult to make decisions. This is known as Information Overload.
Information
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-4
.زينهاالبيانات هي الحقائق التي يتم تسجيلها وتخ❑ .غير كافية التخاذ القرار▪ .رارتتم معالجة المعلومات المستخدمة في صنع الق❑
ومع ذلك ، فإن الكثير من المعلومات ، ▪ ب سيجعل األمر أكثر ، وليس أقل ، من الصع
هذا هو المعروف باسم . اتخاذ القرارات .الحمل الزائد للمعلومات
Value of Information
Benefits Reduce Uncertainty
Improve Decisions
Improve Planning
Improve Scheduling
تقليل عدم اليقين
تحسين القرارات
تحسين التخطيط
تحسين الجدولة
Costs
Time & Resources
Produce Information
Distribute Information
الوقت والموارد
إنتاج المعلومات توزيع المعلومات
1-5
Benefit $’s > Cost $’s Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
What Makes Information Useful?
Necessary characteristics: Relevant “The capacity of information to make
a difference in a decision by helping users to form predictions about the outcomes of past, present, and future events or to confirm or correct prior expectations.”
Reliable “The quality of information that
assures that information is reasonably free from error and bias and faithfully represents what it purports to represent.”
Complete “The inclusion in reported information
of everything material that is necessary for faithful representation of the relevant phenomena.”
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-6
:الخصائص الضرورية❑ ذو صلة❑
قدرة المعلومات على إحداث "❑ تغيير في أي قرار عن طريق ن مساعدة المستخدمين على تكوي
تنبؤات حول نتائج األحداث ة أو الماضية والحالية والمستقبلي لتأكيد أو تصحيح التوقعات
."السابقة موثوق❑
جودة المعلومات التي تضمن أن"❑ ن المعلومات خالية بشكل معقول م الخطأ والتحيز وتمثل بأمانة ما
".يزعم أنها تمثل اكتمال❑
ا تضمين المعلومات المبلغ عنه"❑ يل في كل المواد الضرورية للتمث
".األمين للظواهر ذات الصلة
What Makes Information Useful? Timely
“Having information available to a decision maker before it loses its capacity to influence decisions.”
Understandable
“The quality of information that enables users to perceive its significance.”
Verifiable
“The ability through consensus among measurers to ensure that information represents what it purports to represent or that the chosen method of measurement has been used without error or bias.”
Accessible
Available when needed (see Timely) and in a useful format (see Understandable).
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-7
زمني❑ بل توفر المعلومات لصانع القرار ق"❑
أن يفقد قدرته على التأثير في ."القرارات
مفهوم❑ جودة المعلومات التي تمكن "❑
."المستخدمين من إدراك أهميتها يمكن التحقق منها❑
القدرة من خالل اإلجماع بين "❑ القائمين على التأكد من أن
ه أو المعلومات تمثل ما تعتزم تمثيل أن طريقة القياس المختارة قد ."استخدمت دون خطأ أو تحيز
يمكن الوصول❑ ت انظر في الوق)متوفر عند الحاجة ❑
انظر)وبتنسيق مفيد ( المناسب (.مفهومة
Business Process
Systems working toward organizational goals
أنظمة العمل نحو األهداف التنظيمية
Rev enue
Expenditure
Production
Human Resources
Financing
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-8
Business Process Cycles
Revenue
Expenditure
Production
Human Resources
Financing
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-9
إيرادات❑ المصروفات❑ إنتاج❑ الموارد البشرية❑ تمويل❑
Business Transactions
Give–Get exchanges
Between two entities
Measured in economic
terms
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-10
أعط ، الحصول ❑ على التبادالت
بين كيانين❑ تقاس من الناحية ❑
االقتصادية
Business Cycle Give–Get
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-11
Accounting Information Systems
Collect, process, store, and report data and
information
If Accounting = language of business
AIS = information providing vehicle
Accounting = AIS
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-12
جمع ومعالجة وتخزين ❑ واإلبالغ عن البيانات
والمعلومات لغة العمل= إذا المحاسبة ❑ ❑AIS = معلومات توفر
السيارة AIS= المحاسبة ❑
Components of an AIS
People using the system
Procedures and Instructions
For collecting, processing, and storing data
Data
Software
Information Technology (IT) Infrastructure
Computers, peripherals, networks, and so on
Internal Control and Security
Safeguard the system and its data
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-13
الناس الذين يستخدمون ❑ النظام
اإلجراءات والتعليمات❑ لجمع ومعالجة وتخزين ❑
البيانات البيانات❑ البرمجيات❑ وجيا البنية التحتية لتكنول❑
المعلومات أجهزة الكمبيوتر ❑
واألجهزة الطرفية والشبكات وما إلى ذلك
الرقابة الداخلية واألمن❑ حماية النظام وبياناته❑
AIS and Business Functions
Collect and store data about organizational:
Activities, resources, and personnel
Transform data into information enabling
Management to:
Plan, execute, control, and evaluate
Activities, resources, and personnel
Provide adequate control to safeguard
Assets and data Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-14
ول جمع وتخزين البيانات ح❑ :التنظيمية األنشطة والموارد ❑
والموظفين تحويل البيانات إلى ❑
معلومات تمكين :اإلدارة إلى❑
تخطيط وتنفيذ ❑ ومراقبة وتقييم
األنشطة ❑ والموارد
والموظفين حمايةتوفير سيطرة كافية لل❑
األصول والبيانات❑
AIS Value Add
Improve Quality and Reduce Costs
Improve Efficiency
Improve Sharing Knowledge
Improve Supply Chain
Improve Internal Control
Improve Decision Making
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-15
تحسين الجودة ❑ وخفض التكاليف
تحسين الكفاءة❑ تحسين تبادل ❑
المعرفة تحسين سلسلة ❑
التوريد تحسين الرقابة ❑
الداخلية تحسين صنع ❑
القرار
Improve Decision Making
Identify situations that require action.
Provide alternative choices.
Reduce uncertainty.
Provide feedback on previous decisions.
Provide accurate and timely information.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-16
تحديد الحاالت التي ❑ .تتطلب العمل
.تقديم خيارات بديلة❑ .تقليل عدم اليقين❑ تقديم مالحظات على ❑
.القرارات السابقة في تقديم معلومات دقيقة و❑
.الوقت المناسب
Value Chain
The set of activities a product or service moves along before as output it is sold to
a customer
At each activity the product or service gains value
يعها إلى مجموعة األنشطة التي ينقلها المنتج أو الخدمة من قبل كما يتم ب❑ أحد العمالء
في كل نشاط قيمة المنتج أو الخدمة المكاسب❑
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-17
Value Chain—Primary Activities
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-18
Value Chain—Support Activities
Firm Infrastructure
Human Resources
Technology
Purchasing
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-19
Value Chain
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-20
AIS and Corporate Strategy
Organizations have limited resources, thus investments to AIS should have greatest impact on ROI.
Organizations need to understand:
✓IT developments
✓Business strategy
✓Organizational culture
Will effect and be effected by new AIS
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-21
ون تمتلك المنظمات موارد محدودة ، وبالتالي يجب أن يك .أكبر تأثير على عائد االستثمار AISلالستثمارات في
:تحتاج المنظمات إلى فهم تطورات تكنولوجيا المعلومات✓ استراتيجية العمل✓ الثقافة التنظيمية✓
جديد AISسيؤثر ويتأثر بواسطة
Chapter 2
Overview of Transaction Processing and ERP Systems
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-1
Learning Objectives Describe the four major steps in the
data processing cycle.
Describe the major activities in each cycle.
Describe documents and procedures used to collected and process data.
Describe the ways information is stored in computer-based information systems.
Discuss the types of information that an AIS can provide.
Discuss how organizations use ERP systems to process transactions and provide information.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-2
صف الخطوات األربع الرئيسية في .دورة معالجة البيانات
صف األنشطة الرئيسية في كل .دورة
صف المستندات واإلجراءات المستخدمة لجمع البيانات
.ومعالجتها صف الطرق التي يتم بها تخزين
المعلومات في أنظمة المعلومات .المعتمدة على الكمبيوتر
ناقش أنواع المعلومات التي يمكن .AISأن تقدمها
ناقش كيفية استخدام المؤسسات ألنظمة تخطيط موارد المؤسسات
لمعالجة المعامالت وتوفير
Data Processing Cycle
Copyright © 2012 Pearson Education, I nc. publishing as Prentice Hall 2-3
The Data Processing Cycle Determines
What data is stored?
Who has access to the data?
How is the data organized?
How can unanticipated information needs be met?
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-4
ما هي البيانات المخزنة؟
من لديه حق الوصول إلى البيانات؟
كيف يتم تنظيم البيانات؟
كيف يمكن تلبية االحتياجات غير
المتوقعة من المعلومات؟
Data Input—Capture As a business activity occurs data is
collected about:
1. Each activity of interest
2. The resources affected
3. The people who are participating
عند حدوث نشاط تجاري ، يتم جمع البيانات حول: كل نشاط مهم1. الموارد المتضررة2. الناس الذين يشاركون3.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-5
Paper-Based Source Documents
Data are collected on source documents E.g., a sales-order form The data from paper-
based will eventually need to be transferred to the AIS
Turnaround Usually paper-based Are sent from
organization to customer Same document is
returned by customer to organization
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-6 Turnaround Document
يتم جمع البيانات على الوثائق المصدر
على سبيل المثال ، نموذج طلب مبيعات
ستحتاج البيانات المستندة إلى الورق AISفي النهاية إلى نقلها إلى
التف حوله عادة ورقة القائم يتم إرسالها من المنظمة إلى العمالء يتم إرجاع المستند نفسه بواسطة
العميل إلى المؤسسة
Source Data Automaton
Source data is captured In machine-readable form
At the time of the business activity
E.g., ATM’s; POS
يتم التقاط البيانات المصدر آلة في شكل مقروء في وقت النشاط التجاري
على سبيل المثال ، أجهزة الصراف اآللي ؛ نقاط البيع
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-7
Data Input—Accuracy and Control
Well-designed source documents can ensure that data captured is
Accurate
Provide instructions and prompts
Check boxes
Drop-down boxes
Complete
Internal control support
Prenumbered documents
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-8
يمكن أن تضمن مستندات المصدر جيدة التصميم أن
البيانات التي تم التقاطها هي دقيق
تقديم التعليمات والمطالبات
خانات االختيار صناديق منسدلة اكتمال
دعم الرقابة الداخلية
وثائق مسبقة
Data Storage
Types of AIS storage:
Paper-based
Ledgers
Journals
Computer-based
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-9
أنواع تخزينAIS: الورقية
دفاتر مجالت المعتمدة على الحاسوب
Ledgers General Summary level data for each: Asset, liability, equity,
revenue, and expense
Subsidiary Detailed data for a General
Ledger (Control) Account that has individual sub- accounts Accounts Receivable Accounts Payable
جنرال لواء ملخص مستوى البيانات لكل: األصول والخصوم وحقوق الملكية واإليرادات
والمصروفات شركة فرعية بيانات مفصلة لحساب دفتر األستاذ العام الذي لديه
حسابات فرعية فردية الذمم المدينة حسابات قابلة للدفع
• Joe Smith $250
• Patti Jones $750
• ACME Inc.$150
• Jones, Inc $350
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-10
Journals
General Infrequent or specialized transactions
Specialized Repetitive transactions
E.g., sales transactions
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-11
عام المعامالت المتكررة أو المتخصصة متخصص
المعامالت المتكررة على سبيل المثال ، معامالت المبيعات
Coding Techniques Sequence Items numbered
consecutively
Block Specific range of
numbers are associated with a category 10000–199999 =
Electric Range
Group Positioning of digits in
code provide meaning
Mnemonic Letters and numbers Easy to memorize Code derived from
description of item
Chart of accounts Type of block coding
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-12
Digit Position Meaning
1–2 Product Line, size, and so on
3 Color
4–5 Year of Manufacture
6–7 Optional Features
1241000 12 = Dishwasher 4 = White 10 = 2010 00 = No Options
تسلسل العناصر المرقمة على
التوالي منع
ترتبط مجموعة محددة من األرقام بفئة
10000-1999999 المدى الكهربائي=
مجموعة وضع أرقام في رمز
توفير معنى ذاكري الحروف واألرقام من السهل حفظها رمز مشتق من وصف البند
جدول الحسابات نوع تشفير الكتل
Computer Based Storage Entity Person, place, or thing
(Noun)
Something an organization wishes to store data about
Attributes Facts about the entity
Fields Where attributes are
stored
Records Group of related
attributes about an entity
File Group of related
Records Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-13
كيان اسم)شخص ، مكان ، أو شيء) شيء ترغب المنظمة في تخزين البيانات عنه سمات
حقائق عن الكيان مجاالت
حيث يتم تخزين السمات تسجيل
مجموعة من السمات ذات الصلة حول الكيان ملف
مجموعة من السجالت ذات الصلة
File Types Transaction Contains records of a business from a
specific period of time
Master Permanent records Updated by transaction with the
transaction file
Database Set of interrelated files
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-14
عملية تجارية يحتوي على سجالت أعمال من فترة زمنية محددة
رئيس سجالت دائمة
تم التحديث بواسطة المعاملة مع ملف المعاملة قاعدة البيانات
مجموعة من الملفات المترابطة
Data Processing
Four Main Activities 1. Create new records
2. Read existing records
3. Update existing records
4. Delete records or data from records
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-15
أربعة أنشطة رئيسية
إنشاء سجالت 1. جديدة
قراءة السجالت 2. الموجودة
تحديث السجالت 3. الموجودة
حذف السجالت أو 4. البيانات من
السجالت
Data Output Types
Soft copy Displayed on a
screen
Hard copy Printed on paper
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-16
نسخة إلكترونية عرض على الشاشة نسخة ورقية
مطبوعة على الورق
ERP Systems
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-17
Enterprise Resource Planning (ERP)
Integrate an organization’s information into one overall AIS
ERP modules: Financial
Human resources and payroll
Order to cash
Purchase to pay
Manufacturing
Project management
Customer relationship management
System tools Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-18
دمج معلومات المنظمة AISفي شامل واحد
وحدات تخطيط موارد :المؤسسات
األمور المالية الموارد البشرية
والرواتب أمر بالدفع النقدي الشراء للدفع تصنيع ادارة مشروع إدارة عالقات
العمالء ادوات النظام
ERP Advantages
Integration of an organization’s data and financial information
Data is captured once
Greater management visibility, increased monitoring
Better access controls
Standardizes business operating procedures
Improved customer service
More efficient manufacturing Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
2-19
تكامل بيانات المنظمة والمعلومات المالية
يتم التقاط البيانات مرة واحدة
، زيادة وضوح اإلدارة وزيادة الرصد
ضوابط وصول أفضل توحيد إجراءات تشغيل
األعمال تحسين خدمة العمالء تصنيع أكثر كفاءة
ERP Disadvantages
Cost
Time-consuming to implement
Changes to an organization’s existing business processes can be disruptive
Complex
Resistance to change
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-20
تكلفه تستغرق وقتا طويال
لتنفيذ التغييرات في العمليات
التجارية الحالية للمؤسسة يمكن أن
تكون مدمرة مركب مقاومة التغيير
Chapter 3
Systems Documentation Techniques
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-1
Learning Objectives
Prepare and use data flow diagrams to understand, evaluate, and document information systems.
Prepare and use flowcharts to understand, evaluate, and document
information systems. Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-2
إعداد واستخدام مخططات تدفق البيانات لفهم وتقييم وتوثيق نظم
.المعلومات قم بإعداد واستخدام
مخططات انسيابية لفهم وتقييم وتوثيق أنظمة
.المعلومات
What Is Documentation?
Set of documents and models
Narratives, data flow models, flowcharts
Describe who, what, why, when, and where of systems:
Input, process, storage, output, and
controls
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-3
مجموعة من الوثائق والنماذج السرد ، نماذج تدفق
البيانات ، المخططات االنسيابية
صف من وماذا ولماذا ومتى :وأين األنظمة
المدخالت والمعالجة والتخزين واإلخراج
والضوابط
Why Should You Learn Documentation?
You need to be able to read documentation in all its forms: narratives, diagrams, models.
You need to be able to evaluate the quality of systems, such as internal control based in part on documentation.
SAS 94 requires independent auditors to understand all internal control procedures.
Documentation assists in auditor understanding and documentation of their understanding
Sarbanes-Oxley states that management: Is responsible for internal control system Is responsible for assessing the
effectiveness of the IC System
Both management and external auditors need to document and test IC System
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-4
يجب أن تكون قادًرا على قراءة الوثائق السرد ، الرسوم البيانية : بجميع أشكالها
.، النماذج يجب أن تكون قادًرا على تقييم جودة
األنظمة ، مثل الرقابة الداخلية القائمة .جزئيًا على الوثائق
يتطلبSAS 94 مدققين مستقلين لفهم .جميع إجراءات الرقابة الداخلية
التوثيق يساعد في فهم المراجع وتوثيق فهمهم
أن اإلدارة أوكسلي ساربانيسيذكر: مسؤول عن نظام الرقابة الداخلية مسؤول عن تقييم فعالية نظامIC يحتاج كل من اإلدارة والمراجعين
الخارجيين إلى توثيق واختبار ICنظام
Data Flow Diagrams
Graphically describes the flow of data within a system
Four basic elements
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-5
Entity Process
Data Flow
Data Store
يصف بيانيا تدفق البيانات داخل النظام أربعة عناصر أساسية
Entity
Represents a source of data or input into
the system
or
Represents a destination of data
or output from the system
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-6
يمثل مصدر البيانات أو المدخالت في النظام
أو يمثل وجهة البيانات أو اإلخراج من
النظام
Data Flows
Movement of data among:
Entities (sources or destinations)
Processes
Data stores
Label should describe the information
moving Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-7
حركة البيانات بين: المصادر أو )الكيانات
(الوجهات العمليات مخازن البيانات يجب أن تصف العالمة
المعلومات المتحركة
Process
Represents the transformation of data
يمثل تحويل البيانات
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-8
Data Store
Represents data at rest
يمثل البيانات في بقية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-9
Data Flow Diagram Levels
Context Highest level (most general)
Purpose: show inputs and outputs into system
Characteristics: one process symbol only, no data stores
Level-0 Purpose: show all major
activity steps of a system
Characteristics: processes are labeled 1.0, 2.0, and so on
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-10
سياق الكالم عام)أعلى مستوى) إظهار المدخالت : الغرض
والمخرجات في النظام رمز عملية : الخصائص
واحدة فقط ، ال مخازن البيانات
0المستوى عرض جميع : الغرض
خطوات النشاط الرئيسية للنظام
العمليات هي : الخصائص ، 2.0، 1.0المسمى
وهلم جرا
DFD Creation Guidelines Understand the system
Ignore certain aspects of the system
Determine system boundaries
Develop a context DFD
Identify data flows
Group data flows
Number each process
Identify transformational processes
Group transformational processes
Identify all data stores
Identify all sources and destinations
Label all DFD elements
Subdivide DFD
تحديد العمليات التحويلية
مجموعة عمليات التحويل
تحديد جميع مخازن البيانات
تحديد جميع المصادر والوجهات
تسمية جميع عناصرDFD
تقسيمDFD
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-11
فهم النظام تجاهل بعض جوانب النظام تحديد حدود النظام تطوير سياقDFD تحديد تدفق البيانات تدفق البيانات المجموعة رقم كل عملية
Flowcharts
Use symbols to logically depict
transaction
processing and the
flow of data through
a system.
Using a pictorial representation is
easier to understand and explain versus a
detailed narrative.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-12
استخدم الرموز لتصوير معالجة المعامالت وتدفق البيانات
.بطريقة منطقية يعد استخدام التمثيل التصويري
أسهل في الفهم والشرح مقابل .سرد تفصيلي
Flowchart Symbol Categories
Input/Output
Processing
Storage
Miscellaneous
اإلخراج/ اإلدخال
معالجة
تخزين
متنوع
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-13
Flow Chart Symbol Categories
(cont’d)
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
Types of Flowcharts
Document Illustrates the flow of documents
through an organization
Useful for analyzing internal control procedures
System Logical representation of system
inputs, processes, and outputs
Useful in systems analysis and design
Program Represent the logical sequence of
program logic
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-15
وثيقة يوضح تدفق الوثائق من
خالل المنظمة مفيدة لتحليل إجراءات
الرقابة الداخلية النظام
التمثيل المنطقي لمدخالت النظام والعمليات
والمخرجات مفيدة في تحليل النظم
والتصميم برنامج
تمثيل التسلسل المنطقي لمنطق البرنامج
Document Flowchart
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-16
Document Flowchart (cont’d)
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-17
System Flowchart
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-18
Program Flowchart
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
3-19
Chapter 4
Relational Databases
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-1
Learning Objectives Explain the importance and advantages
of databases.
Describe the difference between database systems and file-based legacy systems.
Explain the difference between logical and physical views of a database.
Explain fundamental concepts of database systems such as DBMS, schemas, the data dictionary, and DBMS languages.
Describe what a relational database is and how it organizes data.
Create a set of well-structured tables to store data in a relational database.
Perform simple queries using the Microsoft Access database.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-2
اشرح أهمية ومزايا قواعد البيانات. صف الفرق بين أنظمة قواعد البيانات
.واألنظمة القديمة القائمة على الملفات اشرح الفرق بين طرق العرض المنطقية
.والمادية لقاعدة البيانات اشرح المفاهيم األساسية ألنظمة قواعد
البيانات مثل قواعد البيانات وقواعد البيانات وقاموس البيانات ولغات قواعد
.البيانات صف ماهية قاعدة البيانات الترابطية
.وكيف تنظم البيانات إنشاء مجموعة من الجداول جيدة التنظيم
لتخزين البيانات في قاعدة بيانات .عالئقية
تنفيذ استعالمات بسيطة باستخدام قاعدة .Microsoft Accessبيانات
Data Hierarchy
Field
Attributes about an
entity
Record
Related group of fields
File
Related group of records
Database
Related group of files
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-3
حقل سمات حول الكيان
سجل مجموعة ذات صلة من الحقول
ملف مجموعة ذات صلة من السجالت
قاعدة البيانات مجموعة ذات صلة من الملفات
Advantages of Database Systems
Data Integration Files are logically combined and made accessible
to various systems.
Data Sharing With data in one place it is more easily accessed
by authorized users.
Minimizing Data Redundancy and Data Inconsistency
Eliminates the same data being stored in multiple files, thus reducing inconsistency in multiple versions of the same data.
Data Independence Data is separate from the programs that access it.
Changes can be made to the data without necessitating a change in the programs and vice versa.
Cross-Functional Analysis Relationships between data from various
organizational departments can be more easily combined.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-4
تكامل البيانات يتم دمج الملفات منطقيا وجعلها في متناول •
.أنظمة مختلفة تبادل البيانات مع وجود بيانات في مكان واحد ، يمكن •
الوصول إليها بسهولة من قبل المستخدمين .المعتمدين
الحد من تكرار البيانات وعدم تناسق البيانات
يزيل نفس البيانات التي يتم تخزينها في • ملفات متعددة ، وبالتالي تقليل التناقض في
.إصدارات متعددة من نفس البيانات استقاللية البيانات البيانات منفصلة عن البرامج التي تصل •
يمكن إجراء تغييرات على البيانات . إليها دون الحاجة إلى تغيير في البرامج
.والعكس صحيح تحليل الوظائف يمكن دمج العالقات بين البيانات من •
.مختلف اإلدارات التنظيمية بسهولة أكبر
Database Terminology
Database Management System (DBMS)
Interface between software applications and the data in files.
Database Administrator (DBA) Person responsible for maintaining
the database
Data Dictionary Information about the structure
of the database
Field names, descriptions, uses
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-5
نظام إدارة قواعد البيانات (DBMS) واجهة بين تطبيقات البرمجيات
والبيانات الموجودة في .الملفات
مسؤول قاعدة البيانات (DBA) الشخص المسؤول عن الحفاظ
على قاعدة البيانات قاموس البيانات معلومات حول هيكل قاعدة
البيانات أسماء الحقول واألوصاف
واالستخدامات
Logical vs. Physical
Physical View Depends on explicitly knowing:
How is the data actually arranged in a file
Where is the data stored on the computer
Logical View A Schema separates storage
of data from use of the data
Unnecessary to explicitly know how and where data is
stored.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-6
مشاهدة المادية يعتمد على معرفة صريحة:
كيف يتم ترتيب البيانات بالفعل في ملف
أين هي البيانات المخزنة على الكمبيوتر
عرض منطقي يفصل المخطط تخزين
البيانات عن استخدام البيانات
ليس من الضروري أن تعرف بوضوح كيف وأين
.يتم تخزين البيانات
Schemas Describe the logical
structure of a database
Conceptual Level
Organization wide view of the data
External Level
Individual users view of the data
Each view is a subschema
Internal Level
Describes how data are stored and accessed
Description of: records, definitions, addresses, and indexes
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-7
وصف البنية المنطقية لقاعدة
البيانات المستوى المفاهيمي تنظيم عرض واسع
للبيانات المستوى الخارجي عرض المستخدمين
الفرديين للبيانات كل عرض هو
مشترك المستوى الداخلي يصف كيفية تخزين
البيانات والوصول إليها
السجالت : وصف والتعاريف والعناوين
والفهارس
DBMS Languages
Data Definition Language (DDL)
Builds the data dictionary
Creates the database
Describes the subschema
Specifies record or field security constraints
Data Manipulation Language (DML)
Changes the content in the database
Updates, insertions, and deletions
Data Query Language (DQL)
Enables the retrieval, sorting, and display of data from the database
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-8
لغة تعريف البيانات(DDL) يبني قاموس البيانات يخلق قاعدة البيانات يصف المشترك يحدد قيود أمان السجل أو
الحقل لغة معالجة البيانات(DML)
يغير المحتوى في قاعدة البيانات التحديثات
واإلدخاالت والحذف لغة استعالم البيانات(DQL)
يتيح استرداد البيانات وفرزها وعرضها من
قاعدة البيانات
Relational Database
Relational data model represents the conceptual
and external level schemas
as if data are stored in tables.
Table Each row, a tuple, contains
data about one instance of an
entity.
This is equivalent to a record
Each column contains data about one attribute of an entity.
This is equivalent to a field Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-9
يمثل نموذج البيانات العالئقية مخططات المستوى المفاهيمي
والخارجي كما لو تم تخزين .البيانات في الجداول
الطاولة ، يحتوي كل صف
tuple ، على بيانات حول مثيل واحد
.للكيان هذا يعادل السجل يحتوي كل عمود على
بيانات حول سمة .واحدة للكيان
هذا يعادل الحقل
A Relational Table
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-10
R o
w (
R e
c o
rd )
Column (Field)
Each row contains multiple
attributes describing an instance of
the entity. In this case, inventory.
Same type of data
في . يحتوي كل صف على سمات متعددة تصف مثيل الكيان .هذه الحالة ، المخزون
Attributes
Primary Key An attribute or
combination of attributes that can be used to uniquely identify a specific
row (record) in a table.
Foreign Key An attribute in one table
that is a primary key in another table.
Used to link the two tables
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-11
المفتاح األساسي سمة أو مجموعة من
السمات التي يمكن استخدامها لتحديد فريد
في ( سجل)صف .جدول
مفتاح غريب سمة في جدول يمثل
مفتاًحا أساسًيا في جدول .آخر تستخدم لربط
الجدولين
Database Design Errors
If database is not designed properly data errors can occur.
Update Anomaly
Changes to existing data are not correctly recorded.
Due to multiple records with the same data attributes
Insert Anomaly
Unable to add a record to the database.
Delete Anomaly
Removing a record also removes unintended data from the database.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-12
إذا لم يتم تصميم قاعدة البيانات بشكل صحيح يمكن أن تحدث
.أخطاء البيانات تحديث الشذوذ
ال يتم تسجيل التغييرات في البيانات الموجودة
.بشكل صحيح بسبب وجود
سجالت متعددة لها نفس سمات
البيانات إدراج الشذوذ
غير قادر على إضافة .سجل إلى قاعدة البيانات
حذف الشذوذ تؤدي إزالة السجل أيًضا إلى
إزالة البيانات غير المقصودة .من قاعدة البيانات
Design Requirements for Relational Database
1. Every column must be single valued.
2. Primary keys must contain
data (not null).
3. Foreign keys must contain the
same data as the primary
key in another table.
4. All other attributes must
identify a characteristic of
the table identified by the
primary key. Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-13
يجب أن يكون كل عمود 1. .قيمة واحدة
يجب أن تحتوي المفاتيح 2. غير )األساسية على بيانات
(.فارغة يجب أن تحتوي المفاتيح 3.
الخارجية على نفس البيانات مثل المفتاح األساسي في
.جدول آخر يجب أن تحدد كل السمات 4.
األخرى خاصية الجدول المحدد بواسطة المفتاح
.األساسي
Normalizing Relational Databases
Initially, one table is used for all the data in a database.
Following rules, the table is decomposed into multiple tables related by:
Primary key–foreign key integration
Decomposed set of tables are in third normal form
(3NF).
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-14
في البداية ، يتم استخدام جدول واحد لجميع البيانات
الموجودة في قاعدة .البيانات
وفقًا للقواعد التالية ، يتم تقسيم الجدول إلى جداول
:متعددة مرتبطة بـ تكامل المفتاح األساسي الخارجي - مجموعة متحللة من
الجداول في الشكل العادي .(3NF)الثالث
Microsoft Access Query #1
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-15
Microsoft Access Query #2
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-16
Microsoft Access Query #3
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-17
Microsoft Access Query #4
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-18
Microsoft Access Query #5
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
4-19
Chapter 5
Computer Fraud
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-1
Learning Objectives
Explain the threats faced by modern information systems.
Define fraud and describe the process one follows to perpetuate a fraud.
Discuss who perpetrates fraud and why it occurs, including:
the pressures, opportunities, and rationalizations that are present in most frauds.
Define computer fraud and discuss the different computer fraud classifications.
Explain how to prevent and detect computer fraud and abuse.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-2
اشرح التهديدات التي تواجه .أنظمة المعلومات الحديثة
حدد االحتيال ووصف العملية التي يتبعها الشخص إلدامة
.االحتيال ناقش من يرتكب االحتيال وسبب
:حدوثه ، بما في ذلك الضغوط والفرص
والمبررات الموجودة في .معظم عمليات االحتيال
تحديد االحتيال على الكمبيوتر ومناقشة التصنيفات االحتيالية
.للكمبيوتر المختلفة اشرح كيفية منع االحتيال وإساءة
.استخدام الكمبيوتر
Common Threats to AIS
Natural Disasters and Terrorist Threats
Software Errors and/or Equipment Malfunction
Unintentional Acts (Human Error)
Intentional Acts (Computer Crimes)
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-3
الكوارث الطبيعية والتهديدات اإلرهابية
أو / أخطاء البرامج و عطل المعدات
أعمال غير مقصودة (خطأ بشري) جرائم )األفعال المتعمدة
(الكمبيوتر
What Is Fraud?
Gaining an unfair advantage over another person
A false statement, representation, or disclosure
A material fact that induces a person to act
An intent to deceive
A justifiable reliance on the fraudulent fact in which a person
takes action
An injury or loss suffered by the victim
Individuals who commit fraud are referred to as white-collar criminals.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-4
الحصول على ميزة غير عادلة على شخص آخر
بيان كاذب أو تمثيل أو إفشاء خاطئ
حقيقة مادية تحفز الشخص على التصرف
نية لخداع االعتماد المبرر على
الحقيقة االحتيالية التي يتخذ فيها الشخص إجراءات
إصابة أو خسارة تكبدها الضحية
يشار إلى األفراد الذين يرتكبون االحتيال بأنهم مجرمون من
.ذوي الياقات البيضاء
Forms of Fraud
Misappropriation of assets
Theft of a companies assets.
Largest factors for theft of assets:
Absence of internal control system
Failure to enforce internal control system
Fraudulent financial reporting
“…intentional or reckless conduct, whether by act or omission, that results
in materially misleading financial statements” (The Treadway Commission).
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-5
اختالس األصول سرقة أصول
.الشركات أكبر العوامل لسرقة
:األصول غياب نظام
الرقابة الداخلية عدم تطبيق نظام
الرقابة الداخلية التقارير المالية االحتيالية
..." السلوك المتعمد أو المتهور ، سواء عن طريق الفعل أو اإلغفال ، الذي ينتج
عنه بيانات مالية لجنة " )مضللة ماديًا
Treadway).
Reasons for Fraudulent Financial
Statements
1. Deceive investors or creditors
2. Increase a company’s stock price
3. Meet cash flow needs
4. Hide company losses or other problems
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-6
خداع المستثمرين أو 1. الدائنين
سهمزيادة سعر 2. الشركة
تلبية احتياجات التدفق 3. النقدي
إخفاء خسائر الشركة 4. أو غيرها من المشاكل
Treadway Commission Actions to Reduce Fraud
1. Establish environment which supports the integrity of the
financial reporting process.
2. Identification of factors that lead to fraud.
3. Assess the risk of fraud within
the company.
4. Design and implement internal
controls to provide assurance
that fraud is being prevented.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-7
إنشاء بيئة تدعم 1. نزاهة عملية إعداد
.التقارير المالية تحديد العوامل التي 2.
.تؤدي إلى االحتيال تقييم خطر االحتيال 3.
.داخل الشركة تصميم وتنفيذ 4.
الضوابط الداخلية لتوفير ضمان منع
.االحتيال
SAS #99
Auditors responsibility to detect fraud Understand fraud
Discuss risks of material fraudulent statements
Among members of audit team
Obtain information
Look for fraud risk factors
Identify, assess, and respond to risk
Evaluate the results of audit tests
Determine impact of fraud on financial statements
Document and communicate findings
See Chapter 3
Incorporate a technological focus
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-8
مدققو مسؤولية الكشف عن االحتيال فهم االحتيال مناقشة مخاطر البيانات
االحتيالية بين أعضاء فريق
التدقيق الحصول على المعلومات
ابحث عن عوامل خطر االحتيال
تحديد وتقييم والرد على المخاطر
تقييم نتائج اختبارات التدقيق تحديد تأثير االحتيال
على البيانات المالية وثيقة والتواصل النتائج
3انظر الفصل دمج التركيز التكنولوجي
The Fraud Triangle
Pressure
Opportunity
Rationalization
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-9
Three conditions that
are present when
Fraud occurs
ثالثة شروط موجودة عند حدوث االحتيال
Pressure
Motivation or incentive to commit fraud
Types: 1.Employee
• Financial • Emotional • Lifestyle
2.Financial • Industry
conditions
• Management characteristics
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-10
الدافع أو الحافز الرتكاب االحتيال
:أنواع موظف1. األمور المالية• عاطفي• اليف ستايل•
األمور المالية1. ظروف •
الصناعة خصائص •
اإلدارة
Opportunity
Condition or situation that allows a person or organization to:
1.Commit the fraud
2.Conceal the fraud • Lapping • Kiting
3.Convert the theft or misrepresentation to personal gain
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-11
:حالة أو موقف يتيح لشخص أو منظمة ما يلي ارتكاب االحتيال1. إخفاء االحتيال2. اللف• المعامالت الوهمية•
تحويل السرقة أو تحريف إلى مكاسب 1. شخصية
Rationalizations
Justification of illegal behavior
1.Justification • I am not being
dishonest.
2.Attitude • I don’t need to be
honest.
3.Lack of personal integrity
• Theft is valued higher than honesty or integrity.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-12
Computer Fraud
Any illegal act in which knowledge of computer
technology is necessary for:
Perpetration
Investigation
Prosecution
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-13
أي فعل غير قانوني تكون فيه المعرفة
بتكنولوجيا الكمبيوتر :ضرورية من أجل
ارتكاب تحقيق المالحقة القضائية
Rise of Computer Fraud
1. Definition is not agreed on
2. Many go undetected
3. High percentage is not
reported
4. Lack of network security
5. Step-by-step guides are easily available
6. Law enforcement is overburdened
7. Difficulty calculating loss Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-14
التعريف غير متفق عليه1.
كثير يذهب دون أن 2. يكتشف
لم يتم اإلبالغ عن نسبة 3. عالية
عدم وجود أمن الشبكة4.
أدلة خطوة بخطوة 5. متاحة بسهولة
إنفاذ القانون مثقل 6. باألعباء
صعوبة حساب الخسارة7.
Computer Fraud Classifications
Input Fraud Alteration or falsifying input
Processor Fraud Unauthorized system use
Computer Instructions Fraud Modifying software, illegal
copying of software, using software in an unauthorized manner, creating software to undergo unauthorized activities
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5-15
الغش اإلدخال تغيير أو تزوير اإلدخال الغش المعالج
استخدام النظام غير المصرح به
تعليمات الكمبيوتر االحتيال تعديل البرنامج ، والنسخ
غير القانوني للبرامج ، واستخدام البرنامج بطريقة غير مصرح بها ، وإنشاء برامج للخضوع ألنشطة
غير مصرح بها
Computer Fraud Classifications
Data Fraud Illegally using, copying,
browsing, searching, or harming company data
Output Fraud Stealing, copying, or
misusing computer printouts or displayed information
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 5-16
احتيال البيانات استخدام بيانات الشركة أو
نسخها أو تصفحها أو البحث عنها أو إيذاءها بطريقة غير
قانونية الغش الناتج
سرقة أو نسخ أو إساءة استخدام مطبوعات الكمبيوتر أو
المعلومات المعروضة
Chapter 6
Computer Fraud and Abuse Techniques
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 6-1
Learning Objectives
Compare and contrast computer attack and abuse tactics.
Explain how social engineering techniques are used to gain physical or logical access to computer resources.
Describe the different types of malware used to harm computers.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 6-2
قارن بين أساليب الكمبيوتر .وسوء المعاملة وتناقضها
اشرح كيفية استخدام تقنيات الهندسة االجتماعية للوصول
الفعلي أو المنطقي إلى .موارد الكمبيوتر
صف األنواع المختلفة من البرامج الضارة المستخدمة
إللحاق الضرر بأجهزة .الكمبيوتر
Computer Attacks and Abuse
Hacking
Unauthorized access, modification, or use of a computer system or other
electronic device
Social Engineering
Techniques, usually psychological tricks, to gain access to sensitive
data or information
Used to gain access to secure systems or locations
Malware
Any software which can be used to do harm
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
6-3
القرصنة الوصول أو التعديل أو
االستخدام غير المصرح به لنظام الكمبيوتر أو أي
جهاز إلكتروني آخر هندسة اجتماعية
التقنيات ، عادة الحيل النفسية ، للوصول إلى البيانات أو المعلومات
الحساسة يستخدم للوصول إلى
أنظمة أو مواقع آمنة البرمجيات الخبيثة
أي برنامج يمكن استخدامه إللحاق األذى
Types of Computer Attacks
Botnet—Robot Network Network of hijacked computers
Hijacked computers carry out processes without users knowledge
Zombie—hijacked computer
Denial-of-Service (DoS) Attack Constant stream of requests made to a
Web-server (usually via a Botnet) that overwhelms and shuts down service
Spoofing Making an electronic communication
look as if it comes from a trusted official source to lure the recipient into providing information
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
6-4
شبكة الروبوت -شبكة الروبوت شبكة من أجهزة الكمبيوتر
المختطفة تقوم أجهزة الكمبيوتر
المختطفة بعمليات دون معرفة المستخدمين
Zombie — كمبيوتر مختطف هجوم رفض الخدمة(DoS) تدفق مستمر من الطلبات المقدمة
عادة عبر شبكة )إلى خادم الويب Botnet) التي تغلب على الخدمة
وتعطلها انتحال
يبدو إجراء اتصال إلكتروني موثوق مصدروكأنه مصدر
لجذب المتلقي إلى توفير المعلومات
Types of Spoofing E-mail E-mail sender appears as if it comes from a
different source
Caller-ID Incorrect number is displayed
IP address Forged IP address to conceal identity of
sender of data over the Internet or to impersonate another computer system
SMS Incorrect number or name appears, similar to
caller-ID but for text messaging
Address Resolution Protocol (ARP) Allows a computer on a
LAN to intercept traffic meant for any other computer on the LAN
Web page Phishing (see below)
DNS Intercepting a request for a
Web service and sending the request to a false service
6-5
البريد اإللكتروني يظهر مرسل البريد اإللكتروني كما لو كان مصدره مصدر مختلف هوية المتصل يتم عرض الرقم غير صحيح عنوانIP عنوانIP مزور إلخفاء هوية مرسل البيانات عبر اإلنترنت أو النتحال شخصية
نظام كمبيوتر آخر رسالة قصيرة يظهر رقم أو اسم غير صحيح ، يشبه معرف المتصل ولكن بالنسبة للرسائل النصية
عنوان قرار البروتوكول(ARP) كمبيوتر على شبكة لجهازللسماحLAN
باعتراض حركة المرور المخصصة ألي LANكمبيوتر آخر على شبكة
صفحة ويب انظر أدناه)التصيد) DNS اعتراض طلب خدمة ويب وإرسال الطلب إلى
خدمة خاطئة
Hacking Attacks
Cross-Site Scripting (XSS) Unwanted code is sent via dynamic
Web pages disguised as user input.
Buffer Overflow Data is sent that exceeds computer
capacity causing program instructions to be lost and replaced with attacker instructions.
SQL Injection (Insertion) Malicious code is inserted in the
place of query to a database system.
Man-in-the-Middle Hacker places themselves between
client and host.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 6-6
البرمجة النصية للمواقع المشتركة (XSS)
يتم إرسال التعليمات البرمجية غير المرغوب فيها عبر صفحات
ويب ديناميكية متخفية كإدخال .المستخدم
تجاوز سعة المخزن المؤقت يتم إرسال البيانات التي تتجاوز
سعة الكمبيوتر مما يؤدي إلى فقد تعليمات البرنامج واستبدالها
.بتعليمات المهاجم حقنSQL (اإلدراج)
يتم إدخال التعليمات البرمجية الضارة في مكان االستعالم إلى
.نظام قاعدة بيانات األوسط-في-الرجل
القراصنة يضع أنفسهم بين العميل .والمضيف
Additional Hacking Attacks Password Cracking Penetrating system security to steal
passwords
War Dialing Computer automatically dials phone
numbers looking for modems.
Phreaking Attacks on phone systems to obtain
free phone service.
Data Diddling Making changes to data before,
during, or after it is entered into a system.
Data Leakage Unauthorized copying of company
data. Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
6-7
كلمة السر تكسير اختراق أمان النظام لسرقة كلمات
المرور االتصال الحرب
يقوم الكمبيوتر تلقائيًا بطلب أرقام .الهواتف للبحث عن أجهزة المودم
Phreaking الهجمات على أنظمة الهاتف
للحصول على خدمة الهاتف .المجانية
البيانات الضالة إجراء تغييرات على البيانات قبل أو
.أثناء أو بعد إدخالها في نظام تسرب البيانات
النسخ غير المصرح به لبيانات .الشركة
Hacking Embezzlement Schemes
Salami Technique Taking small amounts from many
different accounts.
Economic Espionage Theft of information, trade secrets, and
intellectual property.
Cyber-Bullying Internet, cell phones, or other
communication technologies to support deliberate, repeated, and hostile behavior that torments, threatens, harasses, humiliates, embarrasses, or otherwise harms another person.
Internet Terrorism Act of disrupting electronic commerce
and harming computers and communications.
6-8
سالمي تقنية أخذ كميات صغيرة من العديد من الحسابات
.المختلفة التجسس االقتصادي
سرقة المعلومات واألسرار التجارية .والملكية الفكرية
سايبر الترهيب اإلنترنت أو الهواتف المحمولة أو
غيرها من تقنيات االتصال لدعم السلوك المتعمد والمتكرر والعدائي
الذي يعذب أو يهدد أو يضايق أو يهين أو يحرج أو يضر بطريقة
.أخرى بشخص آخر إرهاب اإلنترنت
فعل تعطيل التجارة اإللكترونية واإلضرار بأجهزة الكمبيوتر
واالتصاالت
Hacking for Fraud
Internet Misinformation Using the Internet to spread false
or misleading information
Internet Auction Using an Internet auction site to
defraud another person
Unfairly drive up bidding
Seller delivers inferior merchandise or fails to deliver at all
Buyer fails to make payment
Internet Pump-and-Dump Using the Internet to pump up the
price of a stock and then selling it 6-9
تضليل اإلنترنت استخدام اإلنترنت لنشر
معلومات خاطئة أو مضللة مزاد على االنترنت استخدام موقع مزاد على
اإلنترنت لالحتيال على شخص آخر دفع غير عادلة حتى تقديم
العطاءات البائع يسلم البضائع الرديئة أو
يفشل في تقديمها على اإلطالق فشل المشتري في إجراء الدفع مضخة اإلنترنت والتفريغ استخدام اإلنترنت لزيادة سعر
السهم ثم بيعه
Social Engineering Techniques Identity Theft Assuming someone else’s identity
Pretexting Inventing a scenario that will lull
someone into divulging sensitive information
Posing Using a fake business to acquire
sensitive information
Phishing Posing as a legitimate company
asking for verification type information: passwords, accounts, usernames
Pharming Redirecting Web site traffic to a
spoofed Web site.
Typesquatting Typographical errors
when entering a Web site name cause an invalid site to be accessed
Tabnapping Changing an already
open browser tab
Scavenging Looking for sensitive
information in items thrown away
Shoulder Surfing Snooping over
someone’s shoulder for sensitive information
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
6-10
سرقة الهوية
على افتراض هوية شخص آخر
بالتستر
ابتكار سيناريو من شأنه أن يهدد شخص ما بالكشف عن المعلومات الحساسة
االنتحال
استخدام عمل مزيف للحصول على معلومات حساسة
الخداع
تظاهر بأنها شركة شرعية تطلب معلومات نوع التحقق : كلمات المرور والحسابات وأسماء المستخدمين
تزوير العناوين
إعادة توجيه حركة مرور موقع الويب إلى موقع ويب منتحل.
Typesquatting
تتسبب األخطاء المطبعية عند إدخال اسم موقع ويب في الوصول إلى موقع غير صالح
Tabnapping
تغيير عالمة تبويب متصفح مفتوحة بالفعل
الكسح
البحث عن معلومات حساسة في العناصر التي يتم طرحها بعيًدا
تصفح الكتف
التطفل على كتف شخص ما للحصول على معلومات حساسة
Copyright 2012 Pearson Education, Inc. publishing as Prentice Hall
11
More Social Engineering
Lebanese Loping Capturing ATM pin and card
numbers
Skimming Double-swiping a credit card
Chipping Planting a device to read credit
card information in a credit card reader
Eavesdropping Listening to private communications
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
6-12
لوبنج اللبناني التقاط أرقام بطاقات
الصراف اآللي قراءة سريعه
الضرب المزدوج على بطاقة االئتمان
التقطيع زرع جهاز لقراءة
معلومات بطاقة االئتمان في قارئ بطاقة االئتمان
التنصت االستماع إلى االتصاالت
الخاصة
Type of Malware
Virus Executable code that attaches
itself to software, replicates itself, and spreads to other systems or files
Worm Similar to a virus; a program rather
than o code segment hidden in a host program. Actively transmits itself to other systems
Spyware Secretly monitors and collects
personal information about users and sends it to someone else
Adware Pops banner ads on a monitor,
collects information about the user’s Web-surfing, and spending habits, and forward it to the adware creator
6-13
فيروس تعليمات برمجية قابلة للتنفيذ تعلق
على البرنامج وتكرر نفسها وتنتشر في أنظمة أو ملفات أخرى
الفيروس المتنقل برنامج بدالً من . مماثلة لفيروس
مقطع الكود المخفي في برنامج ينقل بنشاط نفسها إلى . مضيف
أنظمة أخرى برامج التجسس
يراقب سرا ويجمع المعلومات الشخصية عن المستخدمين ويرسلها
إلى شخص آخر ادواري
ينشر إعالنات الشعارات على الشاشة ، ويجمع معلومات حول
تصفح الويب للمستخدم ، وعادات اإلنفاق ، وإعادة توجيهها إلى منشئ
البرامج اإلعالنية
More Malware
Key logging Records computer activity, such as a
user’s keystrokes, e-mails sent and received, Web sites visited, and chat session participation
Trojan Horse Malicious computer instructions in an
authorized and otherwise properly functioning program
Time bombs/logic bombs Idle until triggered by a specified date
or time, by a change in the system, by a message sent to the system, or by an event that does not occur
Trap Door/Back Door A way into a system that bypasses
normal authorization and authentication controls
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 5-14
تسجيل المفتاح يسجل نشاط الكمبيوتر ، مثل
ضغطات المفاتيح للمستخدم ، ورسائل البريد اإللكتروني المرسلة
والمستلمة ، ومواقع الويب التي تمت زيارتها ، ومشاركة جلسة المحادثة
حصان طروادة إرشادات الكمبيوتر الضارة في
برنامج مصرح به يعمل بشكل صحيح
القنابل المنطقية/ القنابل الزمنية الخمول حتى يتم تشغيله بواسطة
تاريخ أو وقت محدد ، أو عن طريق تغيير في النظام ، أو عن طريق
رسالة مرسلة إلى النظام ، أو عن طريق حدث ال يحدث
الباب الخلفي/ مصيدة الباب طريقة في نظام يتجاوز ضوابط
التخويل والمصادقة العادية
More Malware Packet Sniffers Capture data from information
packets as they travel over networks
Rootkit Used to hide the presence of
trap doors, sniffers, and key loggers; conceal software that originates a denial-of- service or an e-mail spam attack; and access usernames and log-in information
Superzapping Unauthorized use of special
system programs to bypass regular system controls and perform illegal acts, all without leaving an audit trail Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
6-15
حزمة المتشممون التقاط البيانات من حزم المعلومات
أثناء انتقالها عبر الشبكات الجذور الخفية
تستخدم إلخفاء وجود مصيدة األبواب ، والشم ، وقطع
األشجار الرئيسية ؛ إخفاء البرامج التي تنشأ عن رفض
الخدمة أو هجوم البريد اإللكتروني العشوائي ؛
والوصول إلى أسماء المستخدمين ومعلومات تسجيل
الدخول Superzapping
االستخدام غير المصرح به لبرامج النظام الخاصة لتجاوز الضوابط
النظامية العادية وأعمال غير قانونية ، كل ذلك دون ترك مسار التدقيق
Chapter 7
Control and AIS
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-1
Learning Objectives Explain basic control concepts and explain why
computer control and security are important.
Compare and contrast the COBIT, COSO, and ERM control frameworks.
Describe the major elements in the internal environment of a company
Describe the four types of control objectives that companies need to set.
Describe the events that affect uncertainty and the techniques used to identify them.
Explain how to assess and respond to risk using the Enterprise Risk Management (ERM) model.
Describe control activities commonly used in companies.
Describe how to communicate information and monitor control processes in organizations.
7-2
اشرح مفاهيم التحكم األساسية وشرح .أهمية التحكم في الكمبيوتر واألمان
قارن بين إطارات التحكم في COBIT وCOSO وERM
.وقابلها صف العناصر الرئيسية في البيئة
الداخلية للشركة صف أربعة أنواع من أهداف الرقابة
.التي تحتاج الشركات إلى وضعها صف األحداث التي تؤثر على عدم
.اليقين والتقنيات المستخدمة لتحديدها اشرح كيفية تقييم المخاطر واالستجابة
لها باستخدام نموذج إدارة مخاطر .(ERM)المؤسسات
وصف أنشطة التحكم الشائعة في .الشركات
صف كيفية توصيل المعلومات ومراقبة عمليات التحكم في المؤسسات
Internal Control
System to provide reasonable assurance that objectives are met such as:
Safeguard assets.
Maintain records in sufficient detail to report company assets accurately and fairly.
Provide accurate and reliable information.
Prepare financial reports in accordance with established criteria.
Promote and improve operational efficiency.
Encourage adherence to prescribed managerial policies.
Comply with applicable laws and regulations.
7-3
نظام لتوفير ضمان معقول بأن :األهداف تتحقق مثل
حماية األصول. الحفاظ على السجالت
بتفاصيل كافية لإلبالغ عن أصول الشركة بدقة
.وعادلة تقديم معلومات دقيقة
.وموثوقة إعداد التقارير المالية وفقا
.للمعايير المعمول بها تعزيز وتحسين الكفاءة
.التشغيلية تشجيع االلتزام بالسياسات
.اإلدارية المقررة االمتثال للقوانين واللوائح
.المعمول بها
Internal Control
Functions المهام Preventive Deter problems
Detective Discover problems
Corrective Correct problems
Categories General Overall IC system
and processes
Application Transactions are
processed correctly
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-4
وقائي مشاكل الردع المحقق
اكتشاف المشاكل تصحيحي
مشكلة صحيحة
عام نظامIC الشامل
والعمليات تطبيق
تتم معالجة المعامالت بشكل صحيح
Sarbanes Oxley (2002)
Designed to prevent financial statement fraud, make financial reports more
transparent, protect investors, strengthen internal controls, and punish executives who
perpetrate fraud
Public Company Accounting Oversight Board (PCAOB)
Oversight of auditing profession
New Auditing Rules
Partners must rotate periodically
Prohibited from performing certain non-audit services
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
7-5
مصمم لمنع االحتيال في البيانات المالية ، وجعل التقارير المالية أكثر شفافية ،
وحماية المستثمرين ، وتعزيز الضوابط الداخلية ، ومعاقبة المسؤولين التنفيذيين
الذين يرتكبون االحتيال مجلس الرقابة على حسابات
(PCAOB)الشركة العامة الرقابة على مهنة التدقيق قواعد التدقيق الجديدة
يجب أن يتناوب الشركاء بشكل دوري
ممنوع من أداء بعض الخدمات غير المراجعة
Sarbanes Oxley (2002)
New Roles for Audit Committee
Be part of board of directors and be independent
One member must be a financial expert
Oversees external auditors
New Rules for Management
Financial statements and disclosures are fairly presented, were reviewed by
management, and are not misleading.
The auditors were told about all material internal control weak- nesses
and fraud.
New Internal Control Requirements
Management is responsible for establishing and maintaining an
adequate internal control system.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
7-6
أدوار جديدة للجنة التدقيق كن جزًءا من مجلس اإلدارة وكن
مستقاًل يجب أن يكون عضو واحد خبير
مالي يشرف على المراجعين
الخارجيين قواعد جديدة لإلدارة
يتم عرض البيانات المالية واإلفصاحات بصورة عادلة ، ومراجعتها من قبل اإلدارة ،
.وليست مضللة قيل للمدققين عن كل نقاط
.الضعف والرقابة الداخلية المادية متطلبات الرقابة الداخلية الجديدة
اإلدارة مسؤولة عن إنشاء وصيانة نظام الرقابة الداخلية
.المناسب
SOX Management Rules
Base evaluation of internal control on a recognized framework.
Disclose all material internal control weaknesses.
Conclude a company does not have effective financial reporting internal
controls of material weaknesses.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
7-7
تقييم قاعدة الرقابة الداخلية على إطار
.معترف به الكشف عن جميع
نقاط الضعف الرقابة .الداخلية المادية
استنتج أنه ال يوجد لدى الشركة ضوابط داخلية فعالة إلعداد
التقارير المالية .للضعف المادي
Internal Control Frameworks
Control Objectives for Information and Related Technology (COBIT) Business objectives IT resources IT processes
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
7-8
أهداف التحكم للمعلومات
والتكنولوجيا ذات (COBIT)الصلة
أهداف العمل موارد تكنولوجيا
المعلومات عمليات تكنولوجيا
المعلومات
Internal Control Frameworks
Committee of Sponsoring Organizations (COSO) Internal control—
integrated framework Control environment Control activities
Risk assessment Information and
communication
Monitoring
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall
7-9
لجنة المنظمات الراعية (COSO) إطار -الرقابة الداخلية
متكامل التحكم بالبيئة أنشطة مكافحة تقييم المخاطر المعلومات
واالتصاالت مراقبة
Internal Control Frameworks
Enterprise Risk Management Model
Risk-based vs. control-based
Components
Internal environment
Objective setting
Event identification
Risk assessment and risk response
Control activities
Information and communication
Monitoring
7-10
نموذج إدارة مخاطر المؤسسة قائم على المخاطر مقابل
التحكم المكونات
البيئة الداخلية تحديد األهداف تحديد الحدث تقييم المخاطر
واالستجابة للمخاطر أنشطة مكافحة المعلومات
واالتصاالت مراقبة
Enterprise Risk Management Model
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall
7-11
Internal Environment
Management’s philosophy, operating style, and risk appetite
The board of directors
Commitment to integrity, ethical values, and competence
Organizational structure
Methods of assigning authority and responsibility
Human resource standards
External influences 7-12
Objective Setting
Strategic High-level goals aligned
with corporate mission
Operational Effectiveness and efficiency
of operations
Reporting Complete and reliable
Improve decision making
Compliance Laws and regulations are
followed
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-13
إستراتيجي أهداف رفيعة المستوى
تتماشى مع مهمة الشركة
التشغيل فعالية وكفاءة العمليات التقارير
كاملة وموثوقة تحسين صنع القرار االلتزام
يتم اتباع القوانين واللوائح
Event Identification
“…an incident or occurrence emanating from internal or
external sources that affects
implementation of strategy or
achievement of objectives.”
Positive or negative impacts (or both)
Events may trigger other events
All events should be anticipated
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
7-14
..." حادثة أو حادثة نابعة من مصادر
داخلية أو خارجية تؤثر على تنفيذ االستراتيجية
."أو تحقيق األهداف اآلثار اإليجابية أو
(أو كليهما)السلبية األحداث قد تؤدي
إلى أحداث أخرى ينبغي توقع جميع
األحداث
Risk Assessment
Identify Risk Identify likelihood of risk
Identify positive or negative impact
Types of Risk Inherent Risk that exists before any
plans are made to control it
Residual Remaining risk after controls
are in place to reduce it Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
7-15
تحديد المخاطر حدد احتمالية المخاطرة تحديد تأثير إيجابي أو
سلبي أنواع المخاطر
متأصل خطر موجود قبل
وضع أي خطط للسيطرة عليه
المتبقي المخاطر المتبقية بعد
الضوابط المعمول بها للحد من ذلك
Risk Response
Reduce
Implement effective internal control
Accept
Do nothing, accept likelihood of risk
Share
Buy insurance, outsource, hedge
Avoid
Do not engage in activity that produces risk
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-16
خفض تنفيذ الرقابة
الداخلية الفعالة قبول
ال تفعل شيئًا ، اقبل احتمالية المخاطرة
شارك ، شراء التأمين
واالستعانة بمصادر خارجية ،
التحوط تجنب
ال تشارك في نشاط ينتج عنه
خطر
Event/ Risk/Response Model
7-17
Control Activities
Policies and procedures to provide reasonable assurance that control objectives are met:
Proper authorization of transactions and activities
Signature or code on document to signal authority over a process
Segregation of duties
Project development and acquisition controls
Change management controls
Design and use of documents and records
Safeguarding assets, records, and data
Independent checks on performance Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
7-18
السياسات واإلجراءات الالزمة لتوفير تأكيد معقول بأن أهداف
:الرقابة تتحقق إذن مناسب للمعامالت
واألنشطة التوقيع أو الكود على
الوثيقة لإلشارة إلى السلطة خالل العملية
الفصل بين الواجبات تطوير المشاريع وضوابط
االستحواذ تغيير الضوابط اإلدارية تصميم واستخدام الوثائق
والسجالت حماية األصول والسجالت
والبيانات الشيكات المستقلة على
األداء
Segregation of Accounting Duties
No one employee should be given too much responsibility
Separate: Authorization Approving transactions and
decisions Recording Preparing source documents Entering data into an AIS Maintaining accounting records
Custody Handling cash, inventory, fixed
assets Receiving incoming checks Writing checks
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-19
ال ينبغي إعطاء موظف واحد الكثير من المسؤولية
منفصل: تفويض
اعتماد المعامالت والقرارات
تسجيل إعداد وثائق المصدر إدخال البيانات فيAIS الحفاظ على السجالت
المحاسبية عهدة
التعامل مع النقدية والمخزون واألصول
الثابتة تلقي الشيكات الواردة كتابة الشيكات
Segregation of Accounting Duties
7-20
Segregation of System Duties
Like accounting system duties should also be separated
These duties include: System administration
Network management Security management
Change management Users
Systems analysts Programmers
Computer operators
Information system librarian Data control 7-21
مثل واجبات النظام المحاسبي كما ينبغي فصلها
تشمل هذه الواجبات: إدارة النظام إدارة الشبكة إدارة األمن تغيير اإلدارة المستخدمين محللو النظم المبرمجين مشغلي الكمبيوتر أمين مكتبة نظام
المعلومات التحكم في البيانات
Information and Communication
Primary purpose of an AIS
Gather
Record
Process
Summarize
Communicate
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-22
الغرض األساسي من AIS
جمع سجل معالجة لخص نقل
Monitoring
Evaluate internal control framework.
Effective supervision.
Responsibility accounting system.
Monitor system activities.
Track purchased software and mobile devices.
Conduct periodic audits.
Employ a security officer and compliance officer.
Engage forensic specialists.
Install fraud detection software.
Implement a fraud hotline. 7-23
تقييم إطار الرقابة الداخلية. اإلشراف الفعال. نظام محاسبة المسؤولية. مراقبة أنشطة النظام. تتبع البرامج التي تم شراؤها
.واألجهزة المحمولة إجراء عمليات تدقيق دورية. توظيف ضابط األمن وضابط
.االمتثال إشراك المتخصصين في
.الطب الشرعي تثبيت برنامج الكشف عن
.االحتيال تنفيذ خط ساخن االحتيال.
Chapter 8 Information Systems Controls for System Reliability— Part 1: Information Security
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-1
Learning Objectives
Discuss how the COBIT framework can be used to develop sound internal control over an
organization’s information systems.
Explain the factors that influence information systems reliability.
Describe how a combination of preventive, detective, and corrective controls can be
employed to provide reasonable assurance about information security.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-2
ناقش كيف يمكن COBITاستخدام إطار
لتطوير رقابة داخلية سليمة على أنظمة .معلومات المؤسسة
اشرح العوامل التي تؤثر على موثوقية نظم
.المعلومات صف كيف يمكن
استخدام مجموعة من الضوابط الوقائية
والمباحث والتصحيحية لتوفير ضمان معقول .حول أمن المعلومات
AIS Controls
COSO and COSO-ERM address general internal control
COBIT addresses information technology internal control
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-3
COSO وCOSO-ERM يعالج الرقابة الداخلية العامة COBIT يعالج الرقابة الداخلية لتكنولوجيا المعلومات
Information for Management Should Be:
Effectiveness Information must be relevant
and timely.
Efficiency Information must be
produced in a cost-effective manner.
Confidentiality Sensitive information must
be protected from unauthorized disclosure.
Integrity Information must be
accurate, complete, and valid.
Availability
Information must be available whenever needed.
Compliance
Controls must ensure compliance with internal policies and with external legal and regulatory requirements.
Reliability
Management must have access to appropriate information needed to conduct daily activities and to exercise its fiduciary and governance responsibilities.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-4
فعالية يجب أن تكون المعلومات ذات صلة
.وفي الوقت المناسب
نجاعة يجب أن يتم إنتاج المعلومات بطريقة
.فعالة من حيث التكلفة
سرية يجب حماية المعلومات الحساسة من
.الكشف غير المصرح به
النزاهة يجب أن تكون المعلومات دقيقة
.وكاملة وصالحة
توفر
يجب أن تكون المعلومات متوفرة عند .الحاجة
االلتزام
يجب أن تضمن الضوابط االمتثال للسياسات الداخلية والمتطلبات القانونية
.والتنظيمية الخارجية
الموثوقية
يجب أن يكون لدى اإلدارة حق الوصول إلى المعلومات المناسبة الالزمة للقيام
باألنشطة اليومية وممارسة مسؤولياتها االئتمانية والحوكمة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
5
COBIT Framework
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-6
Information
Criteria
COBIT Cycle
Management develops plans to organize information resources to provide the information it needs.
Management authorizes and oversees efforts to acquire (or build internally) the desired functionality.
Management ensures that the resulting system actually delivers the desired information.
Management monitors and evaluates system performance against the established criteria.
Cycle constantly repeats, as management modifies existing plans and procedures or develops new ones to respond to changes in business objectives and new developments in information technology.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-7
تضع اإلدارة خطًطا لتنظيم موارد المعلومات لتوفير المعلومات التي
.تحتاجها تخول اإلدارة وتشرف على
أو )الجهود المبذولة للحصول على .الوظيفة المطلوبة( بناء داخليًا
تضمن اإلدارة أن النظام الناتج .يقدم المعلومات المطلوبة بالفعل
تقوم اإلدارة بمراقبة وتقييم أداء .النظام وفقًا للمعايير المحددة
تتكرر الدورة باستمرار ، حيث تقوم اإلدارة بتعديل الخطط
واإلجراءات الحالية أو تطوير خطط جديدة لالستجابة للتغيرات
في أهداف العمل والتطورات .الجديدة في تكنولوجيا المعلومات
COBIT Controls
210 controls for ensuring information integrity
Subset is relevant for external auditors
IT control objectives for Sarbanes-Oxley, 2nd Edition
AICPA and CICA information systems controls
Controls for system and financial statement
reliability
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-8
210 ضوابط لضمان سالمة المعلومات
المجموعة الفرعية مناسبة للمراجعين الخارجيين
أهداف التحكم في تكنولوجيا المعلومات
-Sarbanesلـ Oxley ، اإلصدار
الثاني ضوابط نظم المعلومات
AICPA وCICA ضوابط لموثوقية النظام
والبيانات المالية
Trust Services Framework
Security Access to the system and its data is
controlled and restricted to legitimate users.
Confidentiality Sensitive organizational information (e.g.,
marketing plans, trade secrets) is protected from unauthorized disclosure.
Privacy Personal information about customers is
collected, used, disclosed, and maintained only in compliance with internal policies and external regulatory requirements and is protected from unauthorized disclosure.
Processing Integrity Data are processed accurately, completely,
in a timely manner, and only with proper authorization.
Availability The system and its information are available
to meet operational and contractual obligations.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-9
األمان يتم التحكم في الوصول إلى النظام
وبياناته ويقتصر على المستخدمين .الشرعيين
سرية مثل خطط )المعلومات التنظيمية الحساسة
محمية من ( التسويق واألسرار التجارية .الكشف غير المصرح به
اإلجمالية يتم جمع المعلومات الشخصية عن
العمالء واستخدامها واإلفصاح عنها وصيانتها فقط وفقًا للسياسات الداخلية
والمتطلبات التنظيمية الخارجية ومحمية .من اإلفصاح غير المصرح به
معالجة النزاهة تتم معالجة البيانات بدقة وكاملة وفي
.الوقت المناسب وفقط بتصريح مناسب توفر
النظام ومعلوماته متوفرة للوفاء .بااللتزامات التشغيلية والتعاقدية
Trust Services Framework
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-10
Security / Systems Reliability
Foundation of the Trust Services Framework
Management issue, not a technology issue
SOX 302 states:
CEO and the CFO responsible to certify that the financial statements fairly present the
results of the company’s activities.
The accuracy of an organization’s financial statements depends upon the
reliability of its information
systems.
Defense-in-depth and the time-based model of information security
Have multiple layers of control
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-11
تأسيس إطار خدمات الثقة قضية اإلدارة ، وليس قضية
التكنولوجيا ينصSOX 302 على:
الرئيس التنفيذي والمدير المالي المسؤول عن
التصديق على أن البيانات المالية تعرض
نتائج أنشطة الشركة .بشكل عادل
تعتمد دقة البيانات المالية للمؤسسة على
موثوقية نظم المعلومات .الخاصة بها
الدفاع المتعمق والنموذج الزمني ألمن المعلومات
لديك طبقات متعددة من السيطرة
Management’s Role in IS Security Create security aware culture
Inventory and value company information resources
Assess risk, select risk response
Develop and communicate security:
Plans, policies, and procedures
Acquire and deploy IT security resources
Monitor and evaluate effectiveness Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-12
إنشاء ثقافة تدرك األمن المخزون وقيمة موارد
معلومات الشركة تقييم المخاطر ، حدد
استجابة المخاطر تطوير والتواصل
:األمن الخطط والسياسات
واإلجراءات الحصول على موارد
أمان تكنولوجيا المعلومات ونشرها
مراقبة وتقييم الفعالية
Time-Based Model
Combination of detective and corrective controls
P = the time it takes an attacker to break through the
organization’s preventive controls
D = the time it takes to detect that an attack is in progress
C = the time it takes to respond to the attack
For an effective information security system:
P > D + C Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-13
مزيج من الضوابط المباحث والتصحيحية
P = الوقت الذي يستغرقه المهاجم الختراق الضوابط الوقائية للمنظمة
D = الوقت المستغرق للكشف عن حدوث هجوم
C = الوقت المستغرق للرد على الهجوم
لنظام فعال ألمن :المعلومات
P> D + C
Steps in an IS System Attack
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-14
Mitigate Risk of Attack
Preventive Control
Detective Control
Corrective Control
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-15
التحكم الوقائي المخبر السيطرة السيطرة التصحيحية
Preventive Control
Training
User access controls (authentication and
authorization)
Physical access controls (locks, guards, etc.)
Network access controls (firewalls, intrusion prevention
systems, etc.)
Device and software hardening controls (configuration options)
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-16
تدريب ضوابط وصول المستخدم
(المصادقة والترخيص) أدوات التحكم في الوصول
األقفال والحراس )المادي (وما إلى ذلك
أدوات التحكم في الوصول جدران )إلى الشبكة
الحماية وأنظمة منع (االختراق وما إلى ذلك
أدوات التحكم في صالبة خيارات )الجهاز والبرامج
(التكوين
Authentication vs.
Authorization Authentication—
verifies who a person is
1. Something person knows
2. Something person has
3. Some biometric characteristic
4. Combination of all three
Authorization— determines what a person can access
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-17
تتحقق من —المصادقة هوية الشخص
شخص يعرف شيئا1.
شخص لديه شيء2.
بعض الخصائص 3. البيومترية
مزيج من الثالثة4. يحدد ما يمكن —التفويض
للشخص الوصول إليه
Network Access Control
(Perimeter Defense) Border router Connects an organization’s
information system to the Internet
Firewall Software or hardware used to filter
information
Demilitarized Zone (DMZ) Separate network that permits
controlled access from the Internet to selected resources
Intrusion Prevention Systems (IPS) Monitors patterns in the traffic flow,
rather than only inspecting individual packets, to identify and automatically block attacks
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-18
جهاز توجيه الحدود يربط نظام معلومات المنظمة
باإلنترنت جدار الحماية
البرامج أو األجهزة المستخدمة لتصفية المعلومات
المنطقة المنزوعة السالح(DMZ) شبكة منفصلة تسمح بالوصول
المتحكم به من اإلنترنت إلى الموارد المحددة
أنظمة منع االختراق(IPS) يراقب األنماط في تدفق حركة
المرور ، بدالً من فحص الحزم الفردية فقط ، لتحديد الهجمات
وحظرها تلقائيًا
Internet Information Protocols
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-19
Device and Software Hardening (Internal Defense)
End-Point Configuration
Disable unnecessary features that may be vulnerable to attack on:
Servers, printers, workstations
User Account Management
Software Design
Programmers must be trained to treat all input from external users as untrustworthy and to carefully check it before performing further actions.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-20
تكوين نقطة النهاية تعطيل الميزات غير الضرورية
التي قد تكون عرضة للهجوم :على الخوادم والطابعات ومحطات
العمل إدارة حساب المستخدم تصميم البرمجيات
يجب تدريب المبرمجين على التعامل مع جميع مدخالت
المستخدمين الخارجيين على أنها غير جديرة بالثقة والتحقق منها بعناية قبل تنفيذ المزيد من
.اإلجراءات
Detective Controls
Log Analysis
Process of examining logs to identify evidence of possible attacks
Intrusion Detection
Sensors and a central monitoring unit that create logs of network traffic that was permitted to pass the firewall and then analyze those logs for signs of attempted or successful intrusions
Managerial Reports
Security Testing
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-21
تحليل السجل عملية فحص السجالت
لتحديد أدلة الهجمات المحتملة كشف التسلل
أجهزة االستشعار ووحدة المراقبة المركزية التي تنشئ سجالت لحركة مرور الشبكة
التي سُمح لها بتمرير جدار الحماية ثم تحليل هذه
السجالت بحثًا عن عالمات محاوالت االقتحام أو النجاح
تقارير إدارية اختبار األمن
Corrective Controls
Computer Incident Response Team
Chief Information Security Officer (CISO)
Independent responsibility for information security assigned to someone at an appropriate senior level
Patch Management
Fix known vulnerabilities by installing the latest updates
Security programs
Operating systems
Applications programs Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
8-22
فريق االستجابة لحوادث الكمبيوتر
كبير ضباط أمن المعلومات (CISO)
المسؤولية المستقلة عن أمن المعلومات المعينة
لشخص ما على مستوى عاٍل مناسب
إدارة التصحيح إصالح الثغرات المعروفة
عن طريق تثبيت آخر التحديثات برامج األمن أنظمة التشغيل برامج التطبيقات
Computer Incident Response Team
Recognize that a problem exists
Containment of the problem
Recovery
Follow-up
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-23
ندرك وجود مشكلة احتواء المشكلة التعافي متابعة
New Considerations
Virtualization Multiple systems are
run on one computer
Cloud Computing Remotely accessed
resources
Software applications
Data storage
Hardware
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-24
Risks
Increased exposure if breach occurs
Reduced authentication standards
Opportunities Implementing strong
access controls in the cloud or over the server that hosts a virtual network provides good security over all the systems contained therein
االفتراضية يتم تشغيل أنظمة متعددة
على كمبيوتر واحد
حوسبة سحابية الوصول إلى الموارد عن
بعد تطبيقات برمجية مخزن البيانات المعدات
المخاطر زيادة التعرض في حالة
حدوث خرق انخفاض معايير المصادقة الفرص يوفر تطبيق عناصر تحكم
وصول قوية في السحابة أو عبر الخادم الذي
يستضيف شبكة افتراضية أمانًا جيًدا على جميع األنظمة الموجودة فيه
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-25
Chapter 9
Information Systems Controls for System Reliability— Part 2: Confidentiality and Privacy
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 9-1
Learning Objectives
Identify and explain controls designed to protect the
confidentiality of sensitive
corporate information.
Identify and explain controls designed to protect the
privacy of customers’ personal information.
Explain how the two basic types of encryption systems
work.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-2
تحديد وشرح الضوابط المصممة لحماية سرية
معلومات الشركة .الحساسة
تحديد وشرح عناصر التحكم المصممة
لحماية خصوصية معلومات العمالء
.الشخصية اشرح كيف يعمل
النوعان األساسيان .ألنظمة التشفير
Trust Services Framework Security (Chapter 8) Access to the system and its data is controlled
and restricted to legitimate users.
Confidentiality (Chapter 8) Sensitive organizational information (e.g.,
marketing plans, trade secrets) is protected from unauthorized disclosure.
Privacy Personal information about customers is
collected, used, disclosed, and maintained only in compliance with internal policies and external regulatory requirements and is protected from unauthorized disclosure.
Processing Integrity (Chapter 10) Data are processed accurately, completely, in
a timely manner, and only with proper authorization.
Availability (Chapter 10) System and its information are available to
meet operational and contractual obligations. 9-3
8الفصل )األمن) يتم التحكم في الوصول إلى النظام
وبياناته ويقتصر على المستخدمين .الشرعيين
8الفصل )السرية) مثل )المعلومات التنظيمية الحساسة
( خطط التسويق واألسرار التجارية محمية من الكشف غير المصرح
.به الخصوصية
يتم جمع المعلومات الشخصية عن العمالء واستخدامها واإلفصاح
عنها وصيانتها فقط وفقًا للسياسات الداخلية والمتطلبات التنظيمية
الخارجية ومحمية من اإلفصاح .غير المصرح به
10الفصل )سالمة المعالجة) تتم معالجة البيانات بدقة وكاملة
وفي الوقت المناسب وفقط بتصريح .مناسب
10الفصل )التوفر) النظام ومعلوماته متوفرة للوفاء
.بااللتزامات التشغيلية والتعاقدية
Intellectual Property (IP)
Strategic plans
Trade secrets
Cost information
Legal documents
Process improvements
All need to be secured
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 9-4
الخطط االستراتيجية األسرار التجارية معلومات التكلفة وثائق قانونية تطويرات العملية جميع بحاجة إلى أن
تكون آمنة
Steps in Securing IP
Identification and
Classification
Encryption
Controlling Access
Training
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-5
Where is the information, who has access to it? Classify value of information
أين هي المعلومات ، من لديه حق الوصول إليها؟ تصنيف قيمة المعلومات
The process of obscuring information to make it unreadable without
special knowledge, key files, or passwords.
عملية إخفاء المعلومات لجعلها غير قابلة للقراءة دون معرفة خاصة أو ملفات رئيسية أو كلمات مرور
Information rights management: control who can read, write, copy ,
delete, or download information.
.التحكم في من يمكنه قراءة المعلومات أو كتابتها أو نسخها أو حذفها أو تنزيلها: إدارة حقوق المعلومات
Most important! Employees need to know what can or can’t be read, written, copied, deleted, or downloaded
يحتاج الموظفون إلى معرفة ما يمكن أو ال يمكن قراءته أو كتابته أو نسخه أو حذفه أو تنزيله! األكثر أهمية
Privacy
Deals with protecting customer information vs. internal company
information
Same controls Identification and
classification
Encryption
Access control
Training
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-6
يتعامل مع حماية معلومات العميل مقابل معلومات الشركة الداخلية
نفس الضوابط تحديد وتصنيف التشفير صالحية التحكم
صالحية الدخول تدريب
Privacy Concerns
SPAM Unsolicited e-mail that contains
either advertising or offensive content
CAN-SPAM (2003) Criminal and civil penalties for
spamming
Identity Theft The unauthorized use of someone’s
personal information for the perpetrator’s benefit.
Companies have access to and thus must control customer’s personal information.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-7
بريد مؤذي بريد إلكتروني غير مرغوب
فيه يحتوي إما على إعالنات أو محتوى مسيء
CAN-SPAM (2003) العقوبات الجنائية والمدنية
على البريد االلكتروني غير المرغوب
سرقة الهوية االستخدام غير المصرح به
لمعلومات شخص ما لصالح .الجاني
يمكن للشركات الوصول إلى المعلومات الشخصية للعميل
.وبالتالي عليها التحكم فيها
Privacy Regulatory Acts
Health Insurance Portability and Accountability Act (HIPAA)
Health Information Technology for
Economic and Clinical Health Act (HITECH)
Financial Services Modernization Act Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-8
قانون قابلية التأمين الصحي والمساءلة
(HIPAA) قانون تكنولوجيا
المعلومات الصحية من أجل الصحة
االقتصادية والسريرية (HITECH) قانون تحديث الخدمات
المالية
Generally Accepted Privacy Principles
1. Management Procedures and policies Assignment of responsibility
2. Notice To customers of policies
3. Choice and Consent Allow customers consent over
information provided, stored
4. Collection Only what is necessary and
stated in policy
5. Use and Retention Based on policy and only for as
long as needed for the business 9-9
إدارة. 1 اإلجراءات والسياسات إسناد المسؤولية تنويه. 2 للعمالء من السياسات االختيار والموافقة. 3 السماح للعمالء بالموافقة
على المعلومات المقدمة ، .المخزنة
مجموعة. 4 فقط ما هو ضروري
والمذكورة في السياسة استخدام واالحتفاظ بها. 5 بناًء على السياسة وفقط ما
دامت هناك حاجة للعمل
Generally Accepted Privacy Principles
6. Access Customers should be capable of
reviewing, editing, deleting information
7. Disclosure to 3rd Parties
Based on policy and only if 3rd party has same privacy policy standard
8. Security Protection of personal information
9. Quality Allow customer review Information needs to be reasonably
accurate
10.Monitor and Enforce Ensure compliance with policy 10
التمكن من. 6 يجب أن يكون العمالء قادرين
على مراجعة المعلومات وتحريرها وحذفها
اإلفصاح لألطراف الثالثة. 7 بناًء على السياسة وفقط إذا
كان لدى الطرف الثالث نفس معيار سياسة الخصوصية
األمان. 8 حماية المعلومات الشخصية جودة. 9 السماح بمراجعة العمالء يجب أن تكون المعلومات
دقيقة بشكل معقول مراقبة وفرض. 10 ضمان االمتثال للسياسة
Encryption
Preventive control
Process of transforming normal content, called
plaintext, into unreadable gibberish
Decryption reverses this process
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-11
السيطرة الوقائية عملية تحويل محتوى عادي ، يسمى
نص عادي ، إلى رطانة غير قابلة للقراءة
فك التشفير يعكس هذه العملية
Encryption Strength
Key length Number of bits (characters)
used to convert text into blocks
256 is common
Algorithm Manner in which key and text is
combined to create scrambled
text
Policies concerning encryption keys
Stored securely with strong access codes
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-12
طول المفتاح األحرف)عدد البتات )
المستخدمة لتحويل النص إلى كتل
256 شائع خوارزمية
طريقة دمج المفتاح والنص إلنشاء نص
مخلوط السياسات المتعلقة بمفاتيح
التشفير مخزنة بشكل آمن مع
رموز وصول قوية
Types of Encryption
Symmetric
One key used to both encrypt and decrypt
Pro: fast
Con: vulnerable
Asymmetric
Different key used to encrypt than to decrypt
Pro: very secure
Con: very slow
Hybrid Solution
Use symmetric for encrypting information
Use asymmetric for encrypting symmetric key for decryption
9-13
متماثل مفتاح واحد يستخدم
لتشفير وفك تشفير سريع: برو عرضة للخطر: يخدع ال متماثل
مفتاح مختلف يستخدم لتشفير من فك تشفير
آمن جدا: برو بطيئة جدا: يخدع الحل الهجين
استخدام متماثل لتشفير المعلومات
استخدام غير المتماثلة لتشفير مفتاح متماثل
لفك التشفير
Hashing
Converts information into a “hashed” code of fixed length.
The code can not be converted back to the text.
If any change is made to the information the hash code will
change, thus enabling verification of information.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-14
Hashing is the transformation of a
string of characters into a usually shorter fixed-length value or key
that represents the original string.
يحول المعلومات إلى كود .ذو طول ثابت" تجزئة" ال يمكن تحويل الرمز
.مرة أخرى إلى النص إذا تم إجراء أي تغيير
على المعلومات ، فسيتم تغيير رمز التجزئة ،
وبالتالي تمكين التحقق من .المعلومات
تجزئة هو تحويل سلسلة من األحرف إلى قيمة أو طول ثابت
عادةً أقصر يمثل السلسلة .األصلية
Digital Signature
Hash of a document
Using document creators key
Provides proof: That document has not been
altered
Of the creator of the document
9-15
تجزئة وثيقة باستخدام مفتاح منشئي
المستندات يقدم دليال:
لم يتم تغيير تلك الوثيقة
من خالق الوثيقة
Digital Certificate
Electronic document that
contains an entity’s public key
Certifies the identity of the owner of that
particular public key
Issued by Certificate Authority
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 9-16
مستند إلكتروني يحتوي على المفتاح العمومي
للكيان يشهد هوية صاحب ذلك
المفتاح العمومي المعين صادر عن سلطة
الشهادة
Virtual Private Network (VPN)
Private communication channels, often referred to as tunnels, which are accessible only to those
parties possessing the appropriate encryption and decryption keys.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
9-17
، قنوات االتصال الخاصة التي يشار إليها غالبًا باسم
األنفاق ، والتي ال يمكن الوصول إليها إال
لألطراف التي تمتلك مفاتيح التشفير وفك
.التشفير المناسبة
Chapter 10
Information Systems Controls for System Reliability—Part 3: Processing Integrity and Availability
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 10-1
Learning Objectives
Identify and explain controls designed to ensure processing integrity.
Identify and explain controls
designed to ensure systems availability.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 10-2
تحديد وشرح الضوابط المصممة لضمان
.سالمة المعالجة تحديد وشرح عناصر
التحكم المصممة .لضمان توفر األنظمة
Trust Services Framework Security (Chapter 8) Access to the system and its data is controlled and
restricted to legitimate users.
Confidentiality (Chapter 8) Sensitive organizational information (e.g., marketing
plans, trade secrets) is protected from unauthorized disclosure.
Privacy (Chapter 9) Personal information about customers is collected, used,
disclosed, and maintained only in compliance with internal policies and external regulatory requirements and is protected from unauthorized disclosure.
Processing Integrity Data are processed accurately,
completely, in a timely manner, and only with proper authorization.
Availability System and its information are available
to meet operational and contractual obligations.
10-3
8الفصل )األمن) يتم التحكم في الوصول إلى النظام
وبياناته ويقتصر على المستخدمين .الشرعيين
8الفصل )السرية) مثل )المعلومات التنظيمية الحساسة
( خطط التسويق واألسرار التجارية .محمية من الكشف غير المصرح به
9الفصل )الخصوصية) يتم جمع المعلومات الشخصية عن
العمالء واستخدامها واإلفصاح عنها وصيانتها فقط وفقًا للسياسات الداخلية
والمتطلبات التنظيمية الخارجية ومحمية من اإلفصاح غير المصرح
.به معالجة النزاهة
تتم معالجة البيانات بدقة وكاملة وفي .الوقت المناسب وفقط بتصريح مناسب
توفر النظام ومعلوماته متوفرة للوفاء
.بااللتزامات التشغيلية والتعاقدية
Controls Ensuring Processing Integrity
Input
Process
Output
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-4
Input Controls
“Garbage-in
Garbage-out”
Form Design All forms should be
sequentially numbered
Verify missing documents
Use of turnaround documents
Eliminate input errors
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-5
" القمامة في القمامة "التدريجي
تصميم النموذج يجب ترقيم جميع
األشكال بالتسلسل تحقق من
المستندات المفقودة
استخدام وثائق التحول القضاء على
أخطاء اإلدخال
Input Controls
Data Entry Checks Field check Characters proper type? Text,
integer, date, and so on
Sign check Proper arithmetic sign?
Limit check Input checked against fixed
value?
Range check Input within low and high
range value?
Size check Input fit within field?
Completeness check Have all required data been
entered?
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-6
الشيكات إدخال البيانات فحص ميداني
شخصيات النوع المناسب؟ النص ، عدد صحيح ،
التاريخ ، وهلم جرا عالمة االختيار
عالمة الحسابية المناسبة؟ االختيار الحد
فحص المدخالت مقابل قيمة ثابتة؟
تحقق المدى المدخالت ضمن قيمة
مجموعة منخفضة وعالية؟ تحقق حجم
إدخال يصلح داخل الميدان؟ تحقق اكتمال
هل تم إدخال جميع البيانات المطلوبة؟
Input Controls
Data Entry Checks (continued) Validity check Input compared with master
data to confirm existence
Reasonableness check Logical comparisons
Check digit verification Computed from input value
to catch typo errors
Prompting Input requested by system
Close-loop verification Uses input data to retrieve
and display related data
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall
10-7
تابع)تدقيق إدخال البيانات) التحقق من صحة
المدخالت مقارنة مع البيانات الرئيسية لتأكيد
الوجود التحقق من المعقولية
مقارنات منطقية تحقق التحقق من أرقام
محسوبة من قيمة اإلدخال للقبض على األخطاء
المطبعية حث
المدخالت المطلوبة من قبل النظام
إغالق حلقة التحقق يستخدم بيانات اإلدخال السترداد
وعرض البيانات ذات الصلة
Batch Input Controls
Batch Processing Input multiple source documents at
once in a group
Batch Totals Compare input totals to output totals
Financial
Sums a field that contains monetary values
Hash
Sums a nonfinancial numeric field
Record count
Sums a nonfinancial numeric field
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-8
Batch processing is the execution of a series
of jobs in a program on a computer without
manual intervention
تجهيز الدفعات قم بإدخال مستندات مصدر
متعددة مرة واحدة في المجموعة
معالجة الدُفعات هي تنفيذ سلسلة من الوظائف في برنامج على جهاز كمبيوتر
دون تدخل يدوي المجاميع دفعة
قارن إجماليات المدخالت بإجماليات المخرجات
األمور المالية يلخص حقل يحتوي
على قيم نقدية مزيج
يلخص مجال رقمي غير مالي
عدد السجالت يلخص مجال رقمي
غير مالي
Processing Controls
Data Matching
Multiple data values must match before processing occurs.
File Labels
Ensure correct and most current file is being updated.
Batch Total Recalculation
Compare calculated batch total after processing to input totals.
Cross-Footing and Zero Balance Tests
Compute totals using multiple methods to ensure the same results.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-9
مطابقة البيانات يجب أن تتطابق قيم
البيانات المتعددة قبل .حدوث المعالجة
تسميات الملفات تأكد من تحديث الملف
.الصحيح واألحدث الدفعة إجمالي إعادة
الحساب قارن إجمالي الدُفعات
المحسوبة بعد المعالجة إلى إجماليات
.اإلدخال اختبارات تبادل الطالق
الرصيد الصفري حساب المجاميع باستخدام
طرق متعددة لضمان نفس .النتائج
Processing Controls
Write Protection Eliminate possibility
of overwriting or erasing existing data.
Concurrent Update Locking records or
fields when they are being updated so multiple users are not updating at the same time.
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 10-10
حماية الكتابة القضاء على إمكانية
الكتابة فوق أو مسح .البيانات الموجودة
التحديث المتزامن قفل السجالت أو
الحقول عند تحديثها حتى ال يتم تحديث عدة مستخدمين في
.نفس الوقت
Output Controls
User Review
Verify reasonableness, completeness, and routed to intended individual
Reconciliation
Data Transmission Controls
Check sums
Hash of file transmitted, comparison made of hash before and after
transmission
Parity checking
Bit added to each character transmitted, the characters can then be verified for accuracy
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-11
مراجعة المستخدم تحقق من معقولية
واكتمال وتوجيهها إلى الفرد المقصود
تصالح ضوابط نقل البيانات
تحقق المبالغ ، تجزئة الملف المنقول
مقارنة مصنوعة من التجزئة قبل وبعد
اإلرسال فحص التكافؤ
أضيفت بت إلى كل حرف المنقولة ، ثم يمكن
التحقق من صحة للتأكد من دقتها
Controls Ensuring Availability
Systems or information need to be available 24/7
It is not possible to ensure this so:
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-12
يجب أن تكون األنظمة أو المعلومات متاحة على مدار الساعة طوال أيام األسبوع
ال يمكن التأكد من ذلك:
Minimize Risks
Preventive Maintenance Cleaning, proper storage
Fault Tolerance Ability of a system to continue if a
part fails
Data Center Location Minimize risk of natural and human
created disasters.
Training Less likely to make mistakes and will
know how to recover, with minimal damage, from errors they do commit
Patch Management Install, run, and keep current
antivirus and anti-spyware programs 10-13
الصيانة الوقائية التنظيف ، التخزين السليم التسامح مع الخطأ
قدرة النظام على المتابعة إذا فشل جزء
موقع مركز البيانات تقليل مخاطر الكوارث الطبيعية
.والبشرية التي تم إنشاؤها تدريب
أقل احتمااًل الرتكاب األخطاء وسيعرف كيفية استرداد
األخطاء التي يرتكبونها ، بأقل قدر من الضرر
إدارة التصحيح قم بتثبيت برامج مكافحة
الفيروسات وبرامج التجسس الحالية وتشغيلها واالحتفاظ بها
Quick Recovery
Back-up
Incremental
Copy only data that changed from last partial back-up
Differential
Copy only data that changed from last full back-up
Business Continuity Plan (BCP)
How to resume not only IT operations, but all business processes
Relocating to new offices
Hiring temporary replacements
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-14
دعم تدريجي
انسخ فقط البيانات التي تغيرت من آخر نسخة
احتياطية جزئية التفاضليه
انسخ فقط البيانات التي تغيرت من آخر نسخة
احتياطية كاملة خطة استمرارية األعمال(BCP)
كيفية استئناف ليس فقط عمليات تكنولوجيا المعلومات
، ولكن جميع العمليات التجارية االنتقال إلى مكاتب
جديدة توظيف بدائل مؤقتة
Change Control
Formal process used to ensure that modifications to hardware, software,
or processes do not reduce systems
reliability
Changes need to be documented.
Changes need to be approved by appropriate manager.
Changes need to be tested before implementations.
All documentation needs to be updated for changes.
Back-out plans need to be adopted.
User rights and privileges need to be monitored during change.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-15
عملية رسمية تستخدم للتأكد من أن التعديالت على األجهزة أو البرامج
أو العمليات ال تقلل من موثوقية األنظمة يجب أن تكون التغييرات
.موثقة يجب أن تتم الموافقة على
التغييرات من قبل المدير .المناسب
التغييرات تحتاج إلى اختبار قبل .التنفيذ
يجب تحديث جميع الوثائق .للتغييرات
تحتاج خطط التراجع إلى تبنيها. يجب مراقبة حقوق المستخدم
.وامتيازاته أثناء التغيير
Disaster Recovery Plan (DRP) Procedures to restore an organization’s
IT function in the event that its data center is destroyed
Cold Site An empty building that is prewired
for necessary telephone and Internet access, plus a contract with one or more vendors to provide all necessary equipment within a specified period of time
Hot Site A facility that is not only prewired
for telephone and Internet access but also contains all the computing and office equipment the organization needs to perform its essential business activities
Second Data-Center Used for back-up and site
mirroring Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
10-16
إجراءات استعادة وظيفة تكنولوجيا المعلومات الخاصة بالمؤسسة في حالة
تدمير مركز البيانات الخاص بها موقع بارد
مبنى فارغ تم تزويده مسبقًا بالهاتف واإلنترنت ، باإلضافة
إلى عقد مع بائع أو أكثر لتوفير جميع المعدات الالزمة في غضون فترة زمنية محددة
موقع ساخن مرفق ال يتم تزويده مسبقًا
بالهاتف واإلنترنت فقط ، ولكنه يحتوي أيًضا على جميع
المعدات الحاسوبية والمكتبية التي تحتاجها المؤسسة ألداء
أنشطتها التجارية األساسية مركز البيانات الثاني
تستخدم للنسخ االحتياطي والموقع النسخ المتطابق
Chapter 11
Auditing Computer-Based Information Systems
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
11-1
Learning Objectives
Describe the scope and objectives of audit work, and identify the major steps in the audit process.
Identify the objectives of an information system audit, and describe the four-step approach necessary for meeting these objectives.
Design a plan for the study and evaluation of internal control in an AIS.
Describe computer audit software, and explain how it is used in the audit of an AIS
Describe the nature and scope of an operational audit.
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-2
نطاق وأهداف عمل التدقيق ، وحدد صف * .الخطوات الرئيسية في عملية التدقيق
• أهداف مراجعة نظام المعلومات ، حدد ووصف نهج الخطوات األربعة الالزم
.لتحقيق هذه األهداف
تصميم خطة لدراسة وتقييم الرقابة الداخلية *AISفي
بوصف برنامج تدقيق الكمبيوتر ، قم * نظام واشرح كيف يتم استخدامه في تدقيق
AIS .طبيعة ونطاق التدقيق التشغيليصف
Auditing
The systematic process of obtaining and evaluating evidence regarding assertions about economic actions and events in order to determine how well they correspond with established criteria
عملية منهجية للحصول على األدلة المتعلقة بتأكيدات حول اإلجراءات واألحداث االقتصادية وتقييمها من أجل تحديد مدى توافقها مع المعايير المحددة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-3
Types of Audits انواع عمليات التدقيق Financial المالية األمور
Examines the reliability and integrity of: وسالمةيبحث موثوقية Financial transactions, accounting records, and financial statements.
.المعامالت المالية والسجالت المحاسبية والبيانات المالية
Information System معلومات نظام Rev iews the controls of an AIS to assess compliance with: يراجع ضوابط AIS لتقييم
يلياالمتثال لما Internal control policies and procedures and effectiv eness in
safeguarding assets األصول سياسات وإجراءات الرقابة الداخلية والفعالية في حماية
Operational التشغيل Economical and efficient use of resources and the accomplishment of
established goals and objectiv es االستخدام االقتصادي والفعال للموارد وتحقيق األهداف والغايات المحددة
Compliance االلتزام Determines whether entities are complying with: تمتثل يحدد ما إذا كانت الكيانات
Applicable laws, regulations, policies, and procedures القوانين واللوائح والسياسات واإلجراءات المعمول بها
Investigative تحقيق لجنة Incidents of possible fraud, misappropriation of assets, waste and abuse, or
improper gov ernmental activ ities. حوادث االحتيال المحتمل أو اختالس األصول أو الهدر أو إساءة .االستخدام أو األنشطة الحكومية غير المناسبة
11-4
The Audit Process عمليه التدقيق
Planning
Collecting Evidence
Evaluating Evidence
Communicating Audit Results
تخطيط
جمع األدلة
تقييم األدلة
التواصل نتائج التدقيق
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-5
Planning the Audit تخطيط التدقيق Why, when, how, whom
Work targeted to area with greatest risk:
Inherent
Chance of risk in the absence of controls
Control
Risk a misstatement will not be caught by the internal control
system
Detection
Chance a misstatement will not be caught by auditors or their
procedures
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-6
ومنومتى وكيف لماذا *
:المستهدف للمنطقة ذات الخطر األكبرالعمل *
متأصل - الضوابطفرصة المخاطرة في غياب
مراقبة - المخاطرة لن يتم اكتشافها من قبل نظام الرقابة
الداخلية
كشف - لن يتم اكتشاف فرصة خاطئة من قبل مدققي
الحسابات أو إجراءاتهم
Collection of Audit Evidence جمع ادله التدقيق
Not ev erything can be examined so samples are collected ال يمكن فحص كل شيء حتى يتم جمع العينات
Observation activates to be audited تدقيقها المالحظة تنشط ليتم
Review of documentation الوثائق مراجعة Gain understanding of
process or control اكتساب فهم العملية أو السيطرة
Discussionsمناقشات
Questionnaires استبيانات
Physical examination الفحص البدني
Confirmations تأكيدات Testing balances with
external 3rd parties اختبار األرصدة مع األطراف الخارجية الثالثة
Re-performanceإعادة األداء Recalculations to test
v aluesإعادة حساب الختبار القيم
Vouching الكفل Examination of
supporting documents فحص المستندات الداعمة
Analytical reviewاستعراض تحليلي Examining relationships
and trends دراسة العالقات واالتجاهات
11-7
Evaluation of Audit Evidence تقييم ادله التحقيق Does evidence support favorable or unfavorable
conclusion? ؟ هل تدعم األدلة الخاتمة اإليجابية أو غير المواتية
Materiality النسبية How significant is the impact of the evidence? ؟ ما مدى أهمية الدليل
Reasonable Assurance معقول ضمان Some risk remains that the audit conclusion is incorrect. يبقى
.بعض المخاطر أن استنتاج التدقيق غير صحيح
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-8
Communication of Audit Conclusion تبليغ خاتمه التحقيق
Written report summarizing audit findings and recommendations:
To management
The audit committee
The board of directors
Other appropriate parties
:تقرير مكتوب يلخص نتائج التدقيق وتوصياته إلى اإلدارة لجنة التدقيق مجلس اإلدارة
األطراف المناسبة األخرى
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-9
Risk-Based Audit التدقيق على اساس المخاطر Determine the threats (fraud and errors) facing the company. تحديد
.التي تواجه الشركة( االحتيال واألخطاء)التهديدات Accidental or intentional abuse and damage to which the system is
exposed النظام اإلساءة العرضية أو المتعمدة واألضرار التي يتعرض لها
Identify the control procedures that prev ent, detect, or correct the threats. . حدد إجراءات التحكم التي تمنع التهديدات أو تكتشفها أو تصححها These are all the controls that management has put into place and that
auditors should rev iew and test, to minimize the threats هذه هي جميع الضوابط التي وضعتها اإلدارة في مكانها ويجب على مراجعي الحسابات مراجعتها واختبارها لتقليل التهديدات
Ev aluate control procedures. .تقييم إجراءات الرقابة A systems rev iew النظام مراجعة Are control procedures in place المكان هي إجراءات الرقابة في
Tests of controls الضوابط اختبارات Are existing controls working تعمل هل الضوابط الحالية
Ev aluate control weaknesses to determine their effect on the nature, timing, or extent of auditing procedures. تقييم نقاط ضعف التحكم .لتحديد تأثيرها على طبيعة أو توقيت أو مدى إجراءات التدقيق
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-10
Information Systems Audit تدقيق نظم المعلومات
Purpose:
To review and evaluate the internal controls that protect the system
Objectives:
1. Overall information security
2. Program development and acquisition
3. Program modification
4. Computer processing
5. Source files
6. Data files
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-11
:هدف*
لمراجعة وتقييم الضوابط الداخلية التي تحمي النظام
:األهداف*
عام المعلومات بشكل أمن - البرنامج واكتسابهتطوير - البرنامجتعديل - الكمبيوترمعالجة - المصدرملفات - البياناتملفات -
1. Information System Threats تهديدات نظام المعلومات Accidental or intentional damage to system assets
Unauthorized access, disclosure, or modification of data and programs
Theft
Interruption of crucial business activities
الضرر العرضي أو المتعمد ألصول النظام
الوصول غير المصرح به ، والكشف ، أو تعديل البيانات والبرامج
سرقة
انقطاع األنشطة التجارية الهامة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-12
2. Program Development and Acquisition تطوير البرنامج و االستحواذ
Inadvertent programming errors due to misunderstanding system specifications or careless programming
Unauthorized instructions deliberately inserted into the programs
Controls:
Management and user authorization and approval, thorough testing, and proper documentation
أخطاء البرمجة غير المقصودة بسبب سوء فهم مواصفات النظام أو البرمجة مهمل تعليمات غير مصرح بها إدراج عمدا في البرامج
:ضوابط اإلدارة وموافقة المستخدم والموافقة واالختبار الشامل والتوثيق المناسب
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-13
3. Program Modification تعديل البرنامج
Source Code Comparison مقارنه شفرة المصدر Compares current program against source code for any
discrepancies اختالفات يقارن البرنامج الحالي ضد الكود المصدري ألي
Reprocessing المعالجة إعادة Use of source code to re-run program and compare for
discrepancies التناقضات استخدام شفرة المصدر إلعادة تشغيل البرنامج والمقارنة بين
Parallel Simulation متوازية محاكاة Auditor-created program is run and used to compare
against source code يتم تشغيل البرنامج الذي أنشأه المراجع ويستخدم للمقارنة بين المصدر شفرة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-14
4. Computer Processing معالجه الكمبيوتر
System fails to detect:
Erroneous input
Improper correction of input errors
Process erroneous input
Improperly distribute or disclose output
Concurrent audit techniques
Continuous system monitoring while live data are processed
during regular operating hours
Using embedded audit modules
Program code segments that perform audit functions, report
test results, and store the
evidence collected for auditor
review 11-15
: النظام في الكشف عنفشل * الخاطئاإلدخال - غير صحيح ألخطاء اإلدخالتصحيح - الخاطئاإلدخال معالجة - صحيحأو الكشف عن اإلخراج بشكل غير توزيع -
المتزامنة التدقيق تقنيات * المستمرة للنظام أثناء معالجة البيانات الحية المراقبة -
خالل ساعات التشغيل العادية :المضمنةوحدات التدقيق باستخدام -
شرائح رمز البرنامج التي تؤدي وظائف التدقيق ، وتقرير نتائج االختبار ، وتخزين األدلة التي تم جمعها
لمراجعة المراجع
Types of Concurrent Audits انواع عمليات التدقيق المتزامنه
Integrated Test Facility متكامل مرفق اختبار Uses fictitious inputs وهمية يستخدم مدخالت
Snapshot Technique تقنية لقطة Master files before and after update are stored for specially marked
transactions خاص يتم تخزين الملفات الرئيسية قبل وبعد التحديث للمعامالت المميزة بشكل
System Control Audit Review File (SCARF) ملف مراجعة تدقيق التحكم في )النظام SCARF) Continuous monitoring and storing of transactions that meet pre-
specifications المسبقة المراقبة المستمرة وتخزين المعامالت التي تلبي المواصفات
Audit Hooks التدقيق هوكس Notify auditors of questionable transactions إخطار مراجعي الحسابات بالمعامالت
فيها المشكوك
Continuous and Intermittent Simulation ومتقطعة محاكاة مستمرة Similar to SCARF for DBMS على غرارSCARF لDBMS
11-16
5. Source Data and مصدر البيانات و 6. Data Files ملفات البيانات
Accuracy الصحه
Integrity النزاهة
Security of data امن البيانات
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-17
Chapter 12
The Revenue Cycle:
Sales to Cash Collections دورة :اإليرادات
المبيعات إلى المجموعات النقدية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-1 All the chapter is important
Learning Objectives
Describe the basic business activities and related information processing operations performed in the revenue cycle.
Discuss the key decisions that need to be made in the revenue cycle, and identify the information needed to make those decisions.
Identify major threats in the revenue cycle, and evaluate the adequacy of various control procedures for dealing with those threats.
صف األنشطة التجارية األساسية وعمليات معالجة المعلومات ذات الصلة المنفذة في دورة .اإليرادات
ناقش القرارات األساسية التي يجب اتخاذها في دورة اإليرادات ، وحدد المعلومات الالزمة التخاذ .تلك القرارات
تحديد التهديدات الرئيسية في دورة اإليرادات ، وتقييم مدى كفاية إجراءات الرقابة المختلفة للتعامل .مع تلك التهديدات
12-2
The Revenue Cycle دوره االيرادات
12-3
The Revenue Cycle
Provides goods and services to customers
Collects cash in payment for those sales
Primary Objective:
Provide the right product
In the right place
At the right time for the right price
يوفر السلع والخدمات للعمالء يجمع النقدية في الدفع لتلك المبيعات
:الهدف األساسي توفير المنتج المناسب في المكان الصحيح
في الوقت المناسب للسعر المناسب
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-4
Revenue Cycle Activities انشطه دورة االيرادات
1. Sales order entry
2. Shipping
3. Billing
4. Cash collections
ادخال أمر المبيعات -1
الشحن -2
الفواتير -3
مجموعات النقدية -4 12-5
General Revenue Cycle Threats تهديدات دوره االيرادات العامه Inaccurate or invalid master data
Unauthorized disclosure of sensitive information
Loss or destruction of master data
Poor performance
بيانات رئيسية غير دقيقة أو غير صالحة
الكشف غير المصرح به للمعلومات الحساسة
فقدان أو إتالف البيانات الرئيسية
أداء ضعيف
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-6
General Revenue Cycle Controls ضوابط دوره االيرادات العامه
Data processing integrity controls ضوابط سالمة معالجة البيانات
Restriction of access to master data تقييد الوصول الى البيانات الرئيسية
Review of all changes to master data مراجعة جميع التغيرات إلتقان البيانات
Access controls ضوابط الوصول
Encryption التشفير
Backup and disaster recovery procedures إجراءات النسخ االحتياطي و االسترداد بعد عطل فادح
Managerial reports تقارير إدارية
12-7
Sales Order Entry إدخال أمر المبيعات
1. Take order أخذ الطلب
2. Check and approve credit تحقق و اعتماد االئتمان
3. Check inventory availability التحقق من توافر المخزون
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-8
Sales Order Entry
Take Order أخذ الطلب Sales order طلب المبيعات Electronic data interchange (EDI) تبادل البيانات االلكتروني
Credit Approval الموافقه على االئتمان Credit limit الحد االئتماني Accounts receivable aging ( بمعنى القديمه ) حسابات القبض المعمره
Checking Inventory Availability التحقق من توافر المخزون Back order ترتيب العوده Picking tickets اختيار التذاكر
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 12-9
Sales Order Threats تهديدات طلبات المبيعات
Incomplete/inaccurate orders
Invalid orders
Uncollectible accounts
Stockouts or excess inventory
Loss of customers
غير دقيقة/ طلبات غير كاملة
طلبات غير صالحة
حسابات غير قابلة للتحصيل
مخزون أو فائض المخزون
فقدان العمالء 12-10
Sales Order Entry Controls ضوابط إدخال طلبات المبيعات
Data entry edit controls (see Chapter 10) عناصر تحكم تحرير ادخال البيانات
Restriction of access to master data تقييد الوصول إلى البيانات الرئيسيه
Digital signatures or written signatures التوقيعات الرقميه او التوقيعات المكتوبه
Credit limits حدود االئتمان
Specific authorization to approve sales to new customers or sales that exceed a customer’s credit limit تفويض محدد للموافقه
على مبيعات العمالء الجدد او المبيعات التي تتجاوز حد ائتمان العميل
Aging of accounts receivable تقادم الحسابات المستحقه القبض
Perpetual inventory control system نظام مراقبه المخزون الدائم
Use of bar-codes or RFID استخدام الرموز الشريطيه
Training التدريب
Periodic physical counts of inventory التهم الماديه الدوريه للمخزون
Sales forecasts and activity reports توقعات المبيعات و تقارير النشاط
CRM systems, self-help Web sites, and proper evaluation of customer service ratings أنظمة CRM
ومواقع ويب المساعدة الذاتية والتقييم الصحيح لتصنيفات خدمة العمالء
12-11
Shipping الشحن
1. Picking and packing the orderاختيار وتعبئة النظام
2. Shipping the order شحن الطلب
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-12
Shipping
Pick and Pack the Order اختيار و حزم النظام Picking ticket اختيار التذاكر
Ship the Order شحن الطلب Packing slip زلة التعبئة Bill of lading بوليصه الشحن May also serve as the freight bill قد تكون بمثابه فاتورة الشحن
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 12-13
Shipping Threats تهديدات الشحن
Picking the wrong items or the wrong quantity اختيار العناصر خاطئ أو كمية خاطئ
Theft of inventory سرقة المخزون
Shipping errors (delay or failure to ship, wrong quantities, wrong items, wrong addresses, duplication) تأخير )أخطاء الشحن (أو فشل في الشحن ، كميات خاطئة ، عناصر خاطئة ، عناوين خاطئة ، تكرار
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-14
Shipping Controls ضوابط الشحن
Bar-code and RFID technology الرمز الشريطي وRFID التكنولوجيا
Reconciliation of picking lists to sales order details التوفيق بين اختيار القوائم وتفاصيل أمر المبيعات
Restriction of physical access to inventory تقييد الوصول المادي إلى المخزون
Documentation of all inventory transfers توثيق جميع عمليات نقل المخزون
Periodic physical counts of inventory and reconciliation to recorded quantities التعداد المادي الدوري للمخزون والمطابقة للكميات المسجلة
Reconciliation of shipping documents with sales orders, picking lists, and packing slips التوفيق بين مستندات الشحن وأوامر المبيعات وقوائم االختيار وقوائم التعبئة
Use RFID systems to identify delays استخدام أنظمةRFID لتحديد التأخير
Data entry v ia bar-code scanners and RFID إدخال البيانات RFIDعبر ماسحات الرموز الشريطية و
Data entry edit controls (if shipping data entered on terminals) عناصر تحكم تحرير إدخال
إذا تم إدخال بيانات الشحن على )البيانات (المحطات
Configuration of ERP system to prevent duplicate shipments تكوين نظام تخطيط موارد المؤسسات لمنع تكرار الشحنات
12-15
Billing الفواتير
1. Invoicing الفواتير
2. Updating accounts receivable تحديث حسابات القبض
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-16
Billing
Invoicing الفواتير Sales invoice فاتورة المبيعات
Maintain accounts receivable الحفاظ على حسابات القبض Two basic methods: طريقتان اساسيتان Open-invoice مفتوح الفاتوره Balance forward التوازن الى االمام
Remittance advice نصيحه ايداع النقود Monthly statement البيان الشهري Cycle billing دورة الفواتير Credit memo مالحظه إئتمانيه
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 12-17
Billing Threats تهديدات الفواتير
Failure to bill
Billing errors
Posting errors in accounts receivable
Inaccurate or invalid credit memos
الفشل في الفاتورة
أخطاء الفواتير
نشر األخطاء في حسابات القبض
مذكرات ائتمان غير دقيقة أو غير صالحة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-18
Billing Controls ضوابط الفواتير Separation of billing and shipping
functions والشحن فصل وظائف الفوترة
Periodic reconciliation of inv oices with sales orders, picking tickets, and shipping documents التوفيق الدوري للفواتير مع أوامر المبيعات ، واختيار التذاكر ، ووثائق الشحن
Configuration of system to automatically enter pricing data تكوين
تلقائيا النظام إلدخال بيانات التسعير
Restriction of access to pricing master dataتقييد الوصول إلى بيانات التسعير الرئيسية
Data entry edit controls إدخال بيانات تحرير الضوابط
Reconciliation of shipping documents (picking tickets, bills of lading, and packing list) to sales orders التوفيق بين مستندات
( اختيار التذاكر ، وسندات الشحن ، وقائمة التعبئة)الشحن ألوامر المبيعات
Data entry controls البيانات ضوابط إدخال
Reconciliation of batch totals تسوية مجاميع الدُفعات
Mailing of monthly statements to customers للعمالء إرسال البيانات الشهرية
Reconciliation of subsidiary accounts to general ledger تسوية الحسابات الفرعية إلى دفتر األستاذ العام
Segregation of duties of credit memo authorization from both sales order entry and customer account maintenance الفصل
بين واجبات تفويض مذكرة االئتمان من إدخال أمر المبيعات العميل وصيانة حساب
Configuration of system to block credit memos unless there is either corresponding documentation of return of damaged goods or specific authorization by management تكوين النظام لمنع المذكرات االئتمانية ما لم
تكن هناك وثائق مقابلة إلرجاع البضائع التالفة أو تفويض محدد من اإلدارة
12-19
Cash Collections المجموعات النقديه
Remittance list
Lockbox
Electronic lockbox
Electronic funds transfer (EFT)
Financial electronic data interchange (FEDI)
قائمة التحويالت
صندوق االمانات
صندوق االمان االلكتروني
)تحويل األموال اإللكتروني EFT)
)تبادل البيانات المالية اإللكترونية FEDI) Copyright 2012 Pearson Education, Inc. publishing as Prentice Hall 20
Cash Collections Threats تهديدات المجموعات النقديه
1. Theft of cash سرقة النقد
2. Cash flow problems مشاكل بالسيوله الماليه
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-21
Cash Collection Controls ضوابط المجموعات النقديه
Separation of cash handling function from accounts receiv able and credit functions فصل وظيفة االئتمان معالجة النقد عن حسابات القبض ووظائف
Regular reconciliation of bank account with recorded amounts by someone independent of cash collections procedures تسوية منتظمة للحساب المصرفي مع المبالغ المسجلة من قبل شخص مستقل عن إجراءات التحصيل النقدي
Use of EFT, FEDI, and lockboxes to minimize handling of customer payments by employees لتقليل معالجة مدفوعات العمالء من قبل الموظفين lockboxesو FEDIو EFTاستخدام
Prompt, restrictiv e endorsement of all customer checksالمصادقة الفورية والمقيدة على جميع شيكات العمالء
Hav ing two people open all mail likely to contain customer payments وجود شخصين يفتحان كل الرسائل التي يحتمل أن تحتوي على مدفوعات العمالء
Use of cash registers النقد استخدام سجالت
Daily deposit of all cash receipts النقدية اإليداع اليومي لجميع اإليصاالت
Lockbox arrangements, EFT, or credit cards ترتيباتLockbox أوEFT االئتمان أو بطاقات
Discounts for prompt payment by customers العمالء خصومات على الدفع الفوري من قبل
Cash flow budgets النقدي ميزانيات التدفق 12-22
Chapter 13
The Expenditure Cycle:
Purchasing to Cash
Disbursements الشراء : دورة اإلنفاق إلى المصروفات النقدية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-1 All the chapter is important
Learning Objectives
Explain the basic business activities and related information processing operations performed in the expenditure cycle.
Discuss the key decisions to be made in the expenditure cycle, and identify the information needed to make those decisions.
Identify major threats in the expenditure cycle, and evaluate the adequacy of various control procedures for dealing with those threats.
.اشرح األنشطة التجارية األساسية وعمليات معالجة المعلومات ذات الصلة المنفذة في دورة النفقات
ناقش القرارات الرئيسية الواجب اتخاذها في دورة اإلنفاق ، وحدد المعلومات الالزمة التخاذ تلك .القرارات
تحديد التهديدات الرئيسية في دورة اإلنفاق ، وتقييم مدى كفاية إجراءات الرقابة المختلفة للتعامل مع .تلك التهديدات
13-2
The Expenditure Cycle
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-3
The Expenditure Cycle دوره االنفاق
Activities and information processing related to: األنشطة :ومعالجة المعلومات المتعلقة بـ Purchasing and payment of شراء ودفع Goods and services بضائع وخدمات
Primary objective: الهدف األساسي Minimize the total cost of acquiring and maintaining
inventories, supplies, and the various services the organization needs to function قلل التكلفة اإلجمالية الكتساب وصيانة المخزونات واإلمدادات والخدمات المختلفة التي تحتاجها المنظمة للعمل
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-4
Expenditure Cycle
Activitiesأنشطة دورة اإلنفاق
1. Ordering materials, supplies, and services طلب المواد واللوازم والخدمات
2. Receiving materials, supplies, and services تلقي المواد واللوازم والخدمات
3. Approving supplier invoicesالموافقة على فواتير الموردين
4. Cash disbursements المدفوعات النقدية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-5
Expenditure Cycle General Threats دورة اإلنفاق التهديدات العامة
Inaccurate or invalid master data
Unauthorized disclosure of sensitive information
Loss or destruction of data
Poor performance
بيانات رئيسية غير دقيقة أو غير صالحة
الكشف غير المصرح به للمعلومات الحساسة
فقدان أو إتالف البيانات
أداء ضعيف
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-6
Expenditure Cycle General Controlsضوابط دورة اإلنفاق العامة
Data processing integrity controls
Restriction of access to master data
Review of all changes to master data
ضوابط سالمة معالجة البيانات
تقييد الوصول إلى البيانات الرئيسية
مراجعة جميع التغييرات إلتقان البيانات
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-7
Ordering تنظيم
Managing inventory إدارة المخزون Economic order quantity (EOQ) كمية الطلب االقتصادي( EOQ) Traditional approach نهج تقليدي
Materials requirements planning (MRP) )تخطيط متطلبات المواد MRP) Seeks to reduce required inventory levels by improving
accuracy of forecasting production needs تسعى إلى خفض مستويات المخزون المطلوبة من خالل تحسين دقة التنبؤ باحتياجات اإلنتاج
Just-in-time (JIT) inventory system )فقط في الوقت المناسب JIT) نظام المخزون Attempts to minimize, if not totally eliminate, finished
goods inventory by purchasing and producing in response to actual sales rather than forecasted sales
محاوالت لتقليل ، إن لم يكن التخلص تماًما ، مخزون البضائع الجاهزة عن طريق الشراء واإلنتاج استجابةً للمبيعات الفعلية بدالً من المبيعات المتوقعة
13-8
Ordering
Purchase requisition طلب شراء
Purchase order امر شراء
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 13-9
Ordering Threats تهديدات الطلب
Inaccurate inventory records سجالت المخزون غير دقيقة
Purchasing items not needed شراء سلع غير مطلوبة
Purchasing at inflated prices شراء بأسعار مبالغ فيها
Purchasing goods of inferior quality شراء سلع ذات جودة رديئة
Unreliable suppliers الموردين غير موثوق بها
Purchasing from unauthorized suppliers الشراء من موردين غير مصرح لهم
Kickbacks عموالت
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-10
Ordering Controls طلب الضوابط Perpetual inventory system نظام الجرد الدائم
Bar coding or RFID tags شريط الترميز أو عالماتRFID
Periodic physical counts of inventory التهم المادية الدورية للمخزون
Review and approval of purchase requisitions مراجعة واعتماد طلبات الشراء
Centralized purchasing function وظيفة الشراء المركزية
Price lists قائمة األسعار
13-11
Ordering Controls
Competitive bidding العطاءات التنافسية
Review of purchase orders مراجعة أوامر الشراء
Budgets الميزانيات
Purchasing only from approved suppliers الشراء فقط من الموردين المعتمدين
Review and approval of purchases from new suppliers مراجعة واعتماد المشتريات من موردين جدد
Holding purchasing managers responsible for rework and scrap costs تحميل مديري المشتريات المسؤولين عن إعادة صياغة وتكاليف الخردة
Tracking and monitoring product quality by supplier تتبع ومراقبة جودة المنتج من قبل المورد
13-12
Ordering Controls
Requiring suppliers to possess quality certification (e.g., ISO 9000) مطالبة الموردين بالحصول على شهادة
Collecting and monitoring supplier delivery performance data جمع ومراقبة بيانات أداء تسليم المورد
Maintaining a list of approved suppliers and configuring the system to permit purchase orders only to approved suppliers االحتفاظ بقائمة الموردين المعتمدين وتكوين النظام للسماح بأوامر الشراء للموردين المعتمدين فقط
Review and approval of purchases from new suppliers مراجعة واعتماد المشتريات من موردين جدد
13-13
Ordering Controls
EDI-specific controls (access, review of orders, encryption, policy) ـ عناصر التحكم الخاصة ب EDI ( الوصول ، مراجعة (الطلبات ، التشفير ، السياسة
Requiring purchasing agents to disclose financial and personal interests in suppliers مطالبة وكالء الشراء باإلفصاح عن المصالح المالية والشخصية للموردين
Training employees in how to respond to offers of gifts from suppliers تدريب الموظفين على كيفية االستجابة لعروض الهدايا المقدمة من الموردين
Job rotation and mandatory vacations التناوب الوظيفي واإلجازات اإللزامية
Supplier audits تدقيق الموردين
13-14
Receiving يستلم
Receiving report تلقي تقرير
Debit memo مذكرة الخصم
Copyright 2012 Pearson Education, Inc. publishing as Prentice Hall 15
Receiving Threats تهديدات المتلقي
Accepting unordered items
Mistakes in counting
Verifying receipt of services
Theft of inventory
قبول العناصر غير مرتبة
أخطاء في العد
التحقق من استالم الخدمات
سرقة المخزون
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-16
Receiving Controlsتلقي الضوابط Requiring existence of approved purchase
order prior to accepting any deliv ery يتطلب وجود أمر شراء معتمد قبل قبول أي تسليم
Do not inform receiv ing employees about quantity ordered ال تبلغ موظفي االستالم بالكمية المطلوبة
Require receiv ing employees to sign receiv ing reportتتطلب تلقي الموظفين لتوقيع تلقي التقرير
Incentivesحوافز
Document transfer of goods to inv entory المخزونوثيقة نقل البضائع إلى
Use of bar-codes and RFID tags استخدام الرموز RFIDالشريطية وعالمات
Configuration of the ERP system to flag discrepancies between receiv ed and
ordered quantities that exceed tolerance threshold for inv estigation تكوين نظام تخطيط موارد المؤسسات لتحديد أوجه التباين بين الكميات المستلمة والكمية التي تتجاوز عتبة التسامح للتحقيق
Segregation of duties: custody of inventory versus receiving الفصل بين
حجز المخزون مقابل االستالم: الواجبات
Budgetary controls ضوابط الميزانية
Auditsالتدقيق
Restriction of physical access to inventory تقييد الوصول المادي إلى المخزون
Documentation of all transfers of inventory between receiving
and inventory employees توثيق جميع عمليات نقل المخزون بين موظفي االستالم والمخزون
Periodic physical counts of inventory and reconciliation to
recorded quantities التعداد المادي الدوري للمخزون والمطابقة للكميات المسجلة
13-17
Approving Supplier Invoices الموافقة على فواتير الموردين
Non-Voucher غير قسيمة Each approved invoice is posted to individual supplier
records in the accounts payable file and is then stored in an open-invoice file. يتم نشر كل فاتورة معتمدة في سجالت الموردين الفردية في ملف .الحسابات الدائنة ثم يتم تخزينها في ملف الفاتورة المفتوحة
When a check is written to pay for an invoice, the voucher package is removed from the open-invoice file, the invoice is marked paid, and then the voucher package is stored in the paid-invoice file. عند كتابة شيك لدفع فاتورة ، تتم إزالة حزمة اإليصاالت من
ملف الفاتورة المفتوحة ، وتمييز الفاتورة مدفوعة ، ثم يتم تخزين حزمة اإليصاالت في ملف الفاتورة المدفوعة
Voucher إيصال Disbursement voucher is also created when a supplier
invoice is approved for payment. يتم إنشاء قسيمة الصرف أيًضا عند اعتماد .فاتورة المورد للدفع Identifies the supplier, lists the outstanding invoices, and
indicates the net amount to be paid after deducting any applicable discounts and allowances. يحدد المورد ، ويسرد
الفواتير المستحقة ، ويشير إلى المبلغ الصافي الواجب دفعه بعد خصم أي خصومات .وبدالت معمول بها
13-18
Advantages of Voucher System مزايا نظام القسائم
1. Reduce number of checks تقليل عدد الشيكات
2. Can utilize pre-sequential-numbered voucher control يمكن استخدام التحكم في القسائم قبل التسلسل
3. Allows for separation of invoice approval from invoice paymentيسمح بفصل موافقة الفاتورة عن دفع الفاتورة
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-19
Approving Invoices Threats الموافقة على تهديدات الفواتير Errors in supplier invoices أخطاء في فواتير المورد
Mistakes in posting to accounts payable أخطاء في النشر إلى حسابات مستحقة الدفع
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-20
Approving Invoices Controls
Verification of invoice accuracy التحقق من دقة الفاتورة
Requiring detailed receipts for procurement card purchases طلب إيصاالت مفصلة لمشتريات بطاقات المشتريات
Evaluated receipt settlement تقييم تسوية االستالم Match PO with receiv ing report تطابقPO مع تلقي
التقرير
Restriction of access to supplier master data تقييد الوصول إلى البيانات الرئيسية للمورد
Verification of freight bill and use of approved delivery channels التحقق من فاتورة الشحن واستخدام قنوات التسليم المعتمدة
Data entry edit controlsإدخال بيانات تحرير الضوابط
Reconciliation of detailed accounts payable records with the general ledger control account التوفيق بين حسابات مفصلة السجالت 21-13 الدائنة مع حساب التحكم دفتر األستاذ العام
Cash Disbursement Threats تهديدات الصرف النقدي
Failure to take advantage of discounts for prompt payment
Paying for items not received
Duplicate payments
Theft of cash
Check alteration
Cash flow problems
عدم االستفادة من خصومات الدفع الفوري
دفع مقابل البنود التي لم تتلق
مدفوعات مكررة
سرقة النقد
تحقق التغيير
مشاكل بالسيولة المالية
13-22
Cash Disbursement Controls ضوابط الصرف النقدي
Filing of invoices by due date for discounts تقديم الفواتير حسب تاريخ االستحقاق للخصومات
Cash flow budgets ميزانيات التدفق النقدي
Requiring that all supplier invoices be matched to supporting documents that are acknowledged by both receiving and inventory control اشتراط أن تكون جميع فواتير المورد مطابقة لمستندات داعمة معترف بها من قبل كل من المستلم ومراقبة المخزون
Budgets (for services) ( للخدمات)الميزانيات
Requiring receipts for travel expenses طلب إيصاالت لنفقات السفر
Use of corporate credit cards for travel expenses استخدام بطاقات االئتمان للشركات لتغطية نفقات السفر
Requiring a complete voucher package for all payments تتطلب حزمة قسيمة كاملة لجميع المدفوعات
Policy to pay only from original copies of supplier invoices سياسة الدفع فقط من النسخ األصلية لفواتير المورد
Cancelling all supporting documents when payment is made سياسة الدفع فقط من النسخ األصلية لفواتير المورد
13-23
Cash Disbursement Controls
Cancelling all supporting documents when payment is made إلغاء جميع المستندات الداعمة عند إجراء الدفع
Physical security of blank checks and check-signing machine األمن المادي للشيكات الفارغة وآلة تسجيل الشيكات
Periodic accounting of all sequentially numbered checks by cashier المحاسبة الدورية لجميع الشيكات مرقمة بالتسلسل من قبل أمين الصندوق
Access controls to EFT terminals ضوابط الوصول إلى محطات تحويل األموال اإللكتروني
Use of dedicated computer and browser for online banking استخدام جهاز كمبيوتر مخصص ومتصفح للخدمات المصرفية عبر اإلنترنت
ACH blocks on accounts not used for payments كتلACH على الحسابات غير المستخدمة للمدفوعات
Separation of check-writing function from accounts payable فصل وظيفة كتابة الشيكات عن الحسابات المستحقة الدفع
Requiring dual signatures on checks greater than a specific amount تتطلب توقيعات مزدوجة على الشيكات أكبر من مبلغ معين
Regular reconciliation of bank account with recorded amounts by someone independent of cash disbursements procedures التسوية المنتظمة للحساب المصرفي مع المبالغ المسجلة من قبل شخص مستقل عن إجراءات الصرف النقدي
13-24
Cash Disbursement Controls
Restriction of access to supplier master file تقييد الوصول إلى الملف الرئيسي للمورد
Limiting the number of employees with ability to create one- time suppliers and to process invoices from one-time suppliers الحد من عدد الموظفين الذين لديهم القدرة على إنشاء الموردين لمرة واحدة ومعالجة الفواتير من الموردين لمرة واحدة
Running petty cash as an imprest fund تشغيل المصروفات النثرية كصندوق للسلف
Surprise audits of petty cash fund عمليات مراجعة مفاجئة لصندوق المصروفات النثرية
Check protection machines تحقق آالت الحماية
Use of special inks and papers استخدام األحبار واألوراق الخاصة
“Positive pay” arrangements with banks مع " الدفع اإليجابي"ترتيبات البنوك
Cash flow budget ميزانية التدفق النقدي 13-25
Chapter 14
The Production Cycle
دورة اإلنتاج
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 14-1 All the chapter is important
Learning Objectives
Describe the major business activities and related information processing operations performed in the production cycle.
Identify major threats in the production cycle and evaluate the adequacy of various control procedures for dealing with those threats.
Explain how a company’s cost accounting system can help it achieve its manufacturing goals.
Discuss the key decisions that must be made in the production cycle and identify the information required to make those decisions.
.صف األنشطة التجارية الرئيسية وعمليات معالجة المعلومات ذات الصلة المنفذة في دورة اإلنتاج
.تحديد التهديدات الرئيسية في دورة اإلنتاج وتقييم مدى كفاية إجراءات الرقابة المختلفة للتعامل مع تلك التهديدات
.اشرح كيف يمكن لنظام محاسبة التكاليف الخاص بالشركة أن يساعدها في تحقيق أهداف التصنيع الخاصة بها
ناقش القرارات األساسية التي يجب اتخاذها في دورة اإلنتاج وتحديد المعلومات المطلوبة التخاذ تلك القرارات
14-2
Production Cycle
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 14-3
The Production Cycle
Business activities and information processing activities
Related to manufacturing of products
أنشطة األعمال وأنشطة معالجة المعلومات المتعلقة بتصنيع المنتجات
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 14-4
Production Cycle General Threats دورة العامةاإلنتاج التهديدات
Inaccurate or invalid master data
Unauthorized disclosure of sensitive information
Loss or destruction of data
بيانات رئيسية غير دقيقة أو غير صالحة
الكشف غير المصرح به للمعلومات الحساسة
فقدان أو إتالف البيانات
14-5
Production Cycle General Controls العامةضوابط دورة اإلنتاج
Data processing integrity controls
Restriction of access to master data
Review of all changes to master data
Access controls
Encryption
Backup and disaster recovery procedures
ضوابط سالمة معالجة البيانات
تقييد الوصول إلى البيانات الرئيسية
مراجعة جميع التغييرات إلتقان البيانات
ضوابط الوصول
التشفير
النسخ االحتياطي وإجراءات التعافي من الكوارث
14-6
Production Cycle Activities
1. Product design تصميم المنتج
2. Planning and scheduling التخطيط والجدولة
3. Production operationsعمليات اإلنتاج
4. Cost accounting حساب التكلفة
14-7
Product Design تصميم المنتج
Outputs المخرجات Bill of materials فاتورة المواد Operations list قائمة العمليات
Product life-cycle management (PLM) software برنامج إدارة )دورة حياة المنتج PLM) Computer-aided design (CAD) software برنامج التصميم بمساعدة
)الكمبيوتر CAD) Digital manufacturing software برنامج التصنيع الرقمي Product data management software برنامج إدارة بيانات المنتج
14-8
Product Design Threats تهديدات تصميم المنتج Poor product design resulting in excess costs
سوء تصميم المنتج مما يؤدي إلى زيادة التكاليف
14-9
Product Design Controls ضوابط تصميم المنتج Accounting analysis of costs arising from product design
choices
Analysis of warranty and repair costs
التحليل المحاسبي للتكاليف الناشئة عن خيارات تصميم المنتج
تحليل الضمان وتكاليف اإلصالح
14-10
Planning and Scheduling التخطيط والجدولة Common methods الطرق الشائعة Manufacturing resource planning (MRP-II) تخطيط موارد التصنيع Seeks to balance existing production capacity and raw
materials to meet forecasted sales demands يسعى لتحقيق التوازن بين الطاقة اإلنتاجية الحالية والمواد الخام لتلبية متطلبات المبيعات المتوقعة
Push manufacturing دفع التصنيع
Lean manufacturing صناعة هزيلة Extends the principles of just-in-time inventory systems to
the production process يمتد مبادئ نظم الجرد في الوقت المناسب إلى عملية اإلنتاج
Pull manufacturing سحب التصنيع
14-11
Planning and Scheduling
Master production schedule (MPS)
Production order
Materials requisition
Move ticket
)جدول اإلنتاج الرئيسي MPS)
أمر اإلنتاج
طلب المواد
نقل تذكرة
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 14-12
Planning and Scheduling Threats تخطيط وجدولة التهديدات Over- or underproduction
اإلفراط أو نقص اإلنتاج
14-13
Planning and Scheduling Controls ضوابط التخطيط والجدولة
Production planning systems
Review and approval of production schedules and orders
Restriction of access to production orders and production schedules
نظم تخطيط اإلنتاج
مراجعة واعتماد جداول اإلنتاج والطلبات
تقييد الوصول إلى أوامر اإلنتاج وجداول اإلنتاج
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 14-14
Production Operations عمليات اإلنتاج
Varies greatly across companies
Often use computer-integrated manufacturing (CIM)
Accountants need to understand how it affects operations and cost accounting
يختلف بشكل كبير عبر الشركات
)غالبًا ما تستخدم التصنيع المدمج بالحاسوب CIM)
المحاسبين بحاجة إلى فهم كيف يؤثر على العمليات ومحاسبة التكاليف
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 14-15
Production Operations Threats تهديدات عمليه االنتاج Theft of inventory سرقة المخزون
Theft of fixed asset سرقة األصول الثابتة
Poor performance أداء سيء
Suboptimal investment in fixed assets االستثمار األمثل في األصول الثابتة
Loss of inventory or fixed assets due to fire or other disasters فقدان المخزون أو األصول الثابتة بسبب الحريق أو الكوارث األخرى
Disruption of operations تعطل العمليات
14-16
Production Operations Controls ضوابط عمليه االنتاج
Physical access control التحكم في الوصول المادي
Documentation of all inventory movement توثيق كل حركة المخزون
Segregation of duties—custody of assets from recording and authorization of removal حفظ األصول من التسجيل -الفصل بين الواجبات والترخيص باإلزالة
Restriction of access to inventory master data تقييد الوصول إلى البيانات الرئيسية للمخزون
Periodic physical counts of inventory and reconciliation of those counts to recorded quantities التعداد المادي الدوري للمخزون والتوفيق بين هذه التهم والكميات المسجلة
Physical inventory of all fixed assets جرد مادي لجميع األصول الثابتة
Restriction of physical access to fixed assets تقييد الوصول المادي إلى األصول الثابتة
Maintaining detailed records of fixed assets, including disposal االحتفاظ بسجالت مفصلة لألصول
منهاالثابتة ، بما في ذلك التخلص
Training التدريب
Performance reports األداء تقارير
Proper approval of fixed asset acquisitions, including use of requests for proposals to solicit multiple competitive bids الموافقة
الصحيحة على عمليات االستحواذ على األصول الثابتة ، بما في ذلك استخدام طلبات االقتراحات
متعددة للحصول على عروض تنافسية
Physical safeguards (e.g., fire sprinklers) مثل رشاشات )الحماية المادية الحريق
Insurance تأمين
Backup and disaster recovery plans خطط النسخ االحتياطي واالسترداد بعد عطل فادح
14-17
Cost Accounting Threats تهديدات محاسبه التكاليف Inaccurate cost data بيانات التكلفة غير دقيقة
Inappropriate allocation of overhead costs تخصيص غير مناسب للتكاليف العامة
Misleading reports تقارير مضللة
14-18
Cost Accounting Controls ضوابط محاسبة التكاليف Source data automation مصدر أتمتة البيانات
Data processing integrity controls ضوابط سالمة معالجة البيانات
Time-driven activity-based costing الوقت القائم على النشاط التكاليف
Innovative performance metrics مقاييس األداء المبتكرة
14-19
Cost Accounting محاسبه التكاليف Assigning Production Costs: اإلنتاجتعيين تكاليف
Job-Order Costing تكلف أجل وظيفة Assigns costs to specific production batches, or jobs يعين التكاليف على مجموعات اإلنتاج المحددة ، أو
الوظائف If the product or serv ice is uniquely identifiable فريدإذا كان المنتج أو الخدمة محددة بشكل
Process Costing العملية تكلف Assigns costs to each process, or work center, in the production cycle, and then
calculates the av erage cost for all units produced. يعين التكاليف لكل عملية ، أو مركز عمل ، في دورة .اإلنتاج ، ثم يحسب متوسط التكلفة لجميع الوحدات المنتجة If the product or serv ice is similar and produced in mass quantities إذا كان المنتج أو الخدمة
كبيرةمتشابهة ويتم إنتاجها بكميات
Activity-Based Costing النشاط تقدير التكاليف على أساس Traces costs to the activ ities that create them تنشئها يتتبع تكاليف األنشطة التي Uses a greater number of ov erhead pools العامة يستخدم عدًدا أكبر من التجمعات Batch دفعة Product المنتج Organization منظمة
Identifies cost driv ers السائقين يحدد تكلفة Cause-and-effect relationship والنتيجةالعالقة بين السبب
14-20
Chapter 15
The Human Resources Management and Payroll Cycle
الرواتبودورة إدارة الموارد البشرية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall
15-1
All the chapter is important
Learning Objectives
Describe the major business activities and related information processing operations performed in the human resources
management (HRM)/payroll cycle.
Discuss the key decisions to be made in the HRM/payroll cycle and identify the information needed to make those decisions.
Identify the major threats in the HRM/payroll cycle and evaluate the adequacy of various internal control procedures for dealing with them.
صف األنشطة التجارية الرئيسية وعمليات معالجة المعلومات ذات الصلة المنفذة في دورة إدارة )الموارد البشرية HRM) / الرواتب.
كشوف المرتبات / ناقش القرارات الرئيسية التي يتعين اتخاذها في دورة إدارة الموارد البشرية .وتحديد المعلومات الالزمة التخاذ تلك القرارات
كشوف المرتبات وتقييم مدى كفاية / تحديد التهديدات الرئيسية في دورة إدارة الموارد البشرية .إجراءات الرقابة الداخلية المختلفة للتعامل معها
15-2
HRM and Payroll Cycle
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 15-3
HRM and Payroll Cycle إدارة الموارد الرواتبالبشرية ودورة
Managing Employees:
Recruiting and hiring new employees
Training
Job assignment
Compensation
Performance evaluation
Discharge of employees due to voluntary or involuntary termination
:إدارة الموظفين توظيف وتوظيف موظفين جدد
تدريب مهمة للعمل تعويضات تقييم األداء
4-15 إبراء ذمة الموظفين بسبب اإلنهاء الطوعي أو غير الطوعي
HRM and Payroll Cycle Activities إدارة الموارد البشرية وأنشطة دورة الرواتب
1. Update master data الرئيسيةتحديث البيانات
2. Validate time and attendance التحقق من صحة
والحضورالوقت
3. Prepare payroll الرواتبإعداد
4. Distribute payroll توزيع الرواتب
5. Disburse taxes and miscellaneous deductions صرف الضرائب
المتنوعةواالستقطاعات 15-5
HRM and Payroll General Threats إدارة الموارد البشرية والرواتب العامة التهديدات
Inaccurate or invalid master data
Unauthorized disclosure of sensitive information
Loss or destruction of data
Hiring unqualified or larcenous employees
Violations of employment laws
بيانات رئيسية غير دقيقة أو غير صالحة
الكشف غير المصرح به للمعلومات الحساسة
فقدان أو إتالف البيانات
توظيف موظفين غير مؤهلين أو سارقين
انتهاكات قوانين العمل 15-6
HRM and Payroll General Controls إدارة العامةالموارد البشرية والرواتب الضوابط
Data processing integrity controls البياناتضوابط سالمة معالجة
Restriction of access to master data الرئيسيةتقييد الوصول إلى البيانات
Review of all changes to master data البياناتمراجعة جميع التغييرات إلتقان
Access controls الوصولضوابط
Encryption التشفير
Backup and disaster recovery procedures النسخ االحتياطي وإجراءات التعافي من الكوارث
Sound hiring procedures, including verification of job applicants’ credentials, skills, references, and employment history ، إجراءات توظيف سليمة
التوظيفبما في ذلك التحقق من أوراق اعتماد المتقدمين للوظيفة والمهارات والمراجع وتاريخ
Criminal background investigation checks of all applicants for finance- related positions التمويلالشيكات التحقيق خلفية جنائية لجميع المتقدمين لشغل وظائف
Thorough documentation of hiring, performance evaluation, and dismissal procedures الفصلتوثيق شامل للتعيين وتقييم األداء وإجراءات
15-7
Update Master File Threats تحديث التهديداتالملف الرئيسي
Unauthorized changes to payroll master data
Inaccurate updating of payroll master data
تغييرات غير مصرح بها لبيانات الرواتب الرئيسية
تحديث غير دقيق للبيانات الرئيسية لكشوف المرتبات
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 15-8
Update Master File Controls تحديث الرئيسيةعناصر التحكم في الملفات
Segregation of duties: HRM department updates master data, but only payroll department issues paychecks
Access controls
Data processing integrity controls
Regular review of all changes to master payroll data
يقوم قسم إدارة الموارد البشرية بتحديث البيانات الرئيسية ، لكن : الفصل بين الواجبات قسم كشوف المرتبات فقط هو الذي يصدر شيكات
ضوابط الوصول
ضوابط سالمة معالجة البيانات
مراجعة منتظمة لجميع التغييرات إلتقان بيانات كشوف المرتبات 15-9
Validation Threats تهديدات التحقق من الصحة Inaccurate time and attendance data
الوقت غير دقيق وبيانات الحضور
15-10
Validation Controls ضوابط التحقق من الصحة Source data automation for data capture
Biometric authentication
Segregation of duties (reconciliation of job-time tickets to time cards)
Supervisory review
مصدر أتمتة البيانات اللتقاط البيانات
تصديق احصائى
(التوفيق بين تذاكر وقت العمل وبطاقات الوقت)الفصل بين الواجبات
مراجعة إشرافية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 15-11
Prepare Payroll Threats إعداد التهديدات الرواتب Errors in processing payroll
أخطاء في تجهيز كشوف المرتبات
15-12
Prepare Payroll Controls إعداد الضوابط الرواتب Data processing integrity controls: batch totals, cross-
footing of the payroll register, use of a payroll clearing account, and a zero-balance check : ضوابط تكامل معالجة البيانات
المجاميع الدفعية ، والقدم المتداخل لسجل كشوف المرتبات ، واستخدام حساب مقاصة الصفريكشوف المرتبات ، وفحص الرصيد
Supervisory review of payroll register and other reports األخرىمراجعة إشرافية لسجل الرواتب والتقارير
Issuing earnings statements to employees إصدار كشوف األرباح للموظفين
Review of IRS guidelines to ensure proper classification of workers as either employees or independent contractors مراجعة إرشادات مصلحة الضرائب لضمان التصنيف الصحيح للعمال
مستقلينعلى أنهم موظفين أو مقاولين
15-13
Disburse Payroll Threats صرف تهديدات الرواتب Theft or fraudulent distribution of paychecks
السرقة أو التوزيع االحتيالي للرواتب
15-14
Disburse Payroll Controls صرف الرواتبالضوابط
Restriction of physical access to blank payroll checks and the check signature machine تقييد الوصول الشيكات الفعلي إلى شيكات كشوف المرتبات الفارغة وجهاز توقيع
Restriction of access to the EFT system اإللكتروني تقييد الوصول إلى نظام تحويل األموال
Prenumbering and periodically accounting for all payroll checks and rev iew of all EFT direct deposit transactions اإلعداد المسبق والمحاسبة الدورية لجميع شيكات كشوف المرتبات ومراجعة جميع معامالت اإليداع المباشر عبر التحويل اإللكتروني
Require proper supporting documentation for all paychecks الرواتب طلب الوثائق الداعمة المناسبة لجميع شيكات
Use of a separate checking account for payroll, maintained as an imprest fund استخدام حساب فحص منفصل سداد لكشوف المرتبات ، يتم االحتفاظ به كصندوق
Segregation of duties (cashier v ersus accounts payable; check distribution from hiring/firing; independent reconciliation of the payroll checking account) أمين الصندوق مقابل الحسابات )الفصل بين الواجبات
( المرتباتإطالق ؛ تسوية مستقلة لحساب التحقق من كشوف / المستحقة الدفع ؛ التحقق من التوزيع من التوظيف
Restriction of access to payroll master database الرئيسية تقييد الوصول إلى قاعدة بيانات الرواتب
V erification of identity of all employees receiv ing paychecks شيكات التحقق من هوية جميع الموظفين الذين يتلقون
Re-depositing unclaimed paychecks and inv estigating cause إعادة إيداع شيكات الرواتب غير المطالب بها والتحقيق السببفي
15-15
Disburse Taxes and Deduction Threats بالخصم صرف الضرائب والتهديدات
Failure to make required payments المطلوبة عدم سداد المدفوعات
Untimely payments المناسب المدفوعات في الوقت
Inaccurate payments دقيقةمدفوعات غير
15-16
Disburse Taxes and Deductions
Controls الخصومات صرف الضرائب وضوابط
Configuration of system to make required payments using current instructions from IRS (Publication Circular E) تكوين النظام إلجراء المدفوعات المطلوبة باستخدام التعليمات الحالية من مصلحة
المنشور التعميم )الضرائب E)
Processing integrity controls النزاهة معالجة الضوابط
Supervisory review of reports للتقارير مراجعة إشرافية
Employee review of earnings statement مراجعة الموظف لبيان األرباح
15-17
Chapter 16
General Ledger and
Reporting System
دفتر األستاذ العام ونظام اإلبالغ
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-1
Reading only
Learning Objectives Describe the information processing operations required to update the
general ledger and to produce reports for internal and external users.
Identify the major threats in general ledger and reporting activities and evaluate the adequacy of various control procedures for dealing with them.
Understand the implications of new IT developments, such as XBRL, and changes in external reporting requirements, such as IFRS, for the design and operation of the general ledger and reporting system.
Discuss how tools such as responsibility accounting, balanced scorecards, and graphs can be used to provide information managers need to effectively monitor performance.
صف عمليات معالجة المعلومات المطلوبة لتحديث دفتر األستاذ العام وإصدار تقارير للمستخدمين الداخليين .والخارجيين
تحديد التهديدات الرئيسية في دفتر األستاذ العام وأنشطة اإلبالغ وتقييم مدى كفاية إجراءات الرقابة المختلفة .للتعامل معها
فهم اآلثار المترتبة على التطورات الجديدة في تكنولوجيا المعلومات ، مثل XBRL ، والتغيرات في متطلبات التقارير الخارجية ، مثل المعايير الدولية إلعداد التقارير المالية ، لتصميم وتشغيل نظام دفتر األستاذ العام
.وإعداد التقارير
ناقش كيف يمكن استخدام أدوات مثل محاسبة المسئولية ، وبطاقات النتائج المتوازنة ، والرسوم البيانية لتوفير .حاجة مديري المعلومات لمراقبة األداء بفعالية 16-2
General Ledger and Reporting
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-3
General Ledger and Reporting دفتر األستاذ العام وإعداد التقارير Primary function is to collect and organize
The accounting cycle activities
Financing activities
Investing activities
Budget activities
Adjustments
الوظيفة األساسية هي جمع وتنظيم أنشطة دورة المحاسبة
أنشطة التمويل نشاطات إستثمارية أنشطة الميزانية
التعديالت
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-4
General Ledger and Reporting General
Threats دفتر األستاذ العام واإلبالغ عن التهديدات العامة
Inaccurate or invalid general ledger data
Unauthorized disclosure of financial statement
Loss or destruction of data
بيانات دفتر األستاذ العام غير دقيقة أو غير صالحة
اإلفصاح غير المصرح به للبيان المالي
فقدان أو إتالف البيانات
16-5
General Ledger and Reporting General Controls دفتر األستاذ العام وإعداد التقارير الضوابط العامة Data processing integrity controls ضوابط سالمة معالجة البيانات
Restriction of access to general ledger تقييد الوصول إلى دفتر األستاذ العام
Review of all changes to general ledger data مراجعة جميع التغييرات على بيانات دفتر األستاذ العام
Access controls ضوابط الوصول
Encryption التشفير
Backup and disaster recovery procedures النسخ االحتياطي وإجراءات التعافي من الكوارث
16-6
General Ledger and Reporting Activities
دفتر األستاذ العام وأنشطة اإلبالغ
1. Update general ledger تحديث دفتر األستاذ العام
2. Post adjusting entries بعد ضبط اإلدخاالت
3. Prepare financial statements إعداد البيانات المالية
4. Produce management reports إنتاج تقارير اإلدارة
16-7
Update General Ledger تحديث دفتر األستاذ العام Posting journal entries from: نشر إدخاالت دفتر اليومية من Accounting subsystems النظم الفرعية للمحاسبة Updated automatically by each of the transaction cycles
in chapters 12-15 يتم التحديث تلقائيًا بواسطة كل دورة من دورات المعامالت في 15-12الفصول
Treasurer أمين صندوق Non-routine transactions such as issuance or retirement of
debt, purchase or sale of investment securities, or
acquisition of treasury stock المعامالت غير الروتينية مثل إصدار أو سحب الديون أو شراء أو بيع األوراق المالية االستثمارية أو شراء أسهم الخزينة
Journal voucher file ملف قسيمة اليومية
Trial balance ميزان المراجعة
Audit trail سجل تدقيق 16-8
Update General Ledger Threats تحديث تهديدات دفتر األستاذ العام Inaccurate updating of general ledger تحديث غير دقيق لدفتر
األستاذ العام
Unauthorized journal entries إدخاالت دفتر اليومية غير المصرح به
16-9
Update General Ledger Controls تحديث الضوابط دفتر األستاذ العام Data entry processing integrity controls ضوابط سالمة معالجة
إدخال البيانات
Reconciliations and control reports المصالحة وتقارير الرقابة
Audit trail creation and review تدقيق إنشاء درب والمراجعة
Access controls ضوابط الوصول
16-10
Post Adjusting Entries بعد ضبط إدخاالت
Accruals مستحقات Events that have occurred but no exchange of cash األحداث
التي وقعت ولكن ال تبادل النقدية e.g., interest revenue earned, wages payable ، على سبيل المثال
إيرادات الفوائد المكتسبة واألجور المستحقة الدفع
Deferrals تأجيل Reflect exchange of cash prior to performance of event تعكس
تبادل النقد قبل أداء الحدث e.g., prepaid revenue, prepaid expenses على سبيل المثال ، اإليرادات
المدفوعة مقدًما والنفقات المدفوعة مقدًما
Estimates التقديرات Portion of expense expected to occur over a period of
time نسبة المصروفات المتوقع حدوثها خالل فترة من الزمن e.g., depreciation, bad-debt expense ، على سبيل المثال ، االستهالك
11-16 مصاريف الديون المعدومة
Post Adjusting Entries بعد ضبط إدخاالت
Revaluations إعادة تقييم Reflect differences between actual and book values of
assets or changes in accounting principles تعكس االختالفات بين القيم الفعلية والقيم الدفترية لألصول أو التغييرات في المبادئ المحاسبية
e.g., inventory adjustments, change in inventory valuation method على سبيل المثال ، تعديالت المخزون ، التغيير في طريقة تقييم المخزون
Corrections تصحيحات Correct effects of errors اآلثار الصحيحة لألخطاء
16-12
Post Adjusting Entries Threats بعد ضبط التهديدات إدخاالت Inaccurate adjusting entries غير دقيقة ضبط اإلدخاالت
Unauthorized adjusting entries إدخاالت ضبط غير مصرح بها
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-13
Post Adjusting Entries Controls بعد ضبط عناصر التحكم في اإلدخاالت Data entry processing integrity controls ضوابط سالمة معالجة
إدخال البيانات
Spreadsheet error protection controls ضوابط حماية خطأ جدول البيانات
Standard adjusting entries مداخل ضبط القياسية
Reconciliations and control reports المصالحة وتقارير الرقابة
Audit trail creation and review تدقيق إنشاء درب والمراجعة
Access controls ضوابط الوصول
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-14
Prepare Financial Statements إعداد البيانات الماليه Closing journal entries إغالق إدخاالت دفتر اليومية
Income statement قوائم الدخل
Balance sheet ورقة التوازن
Statement of cash flows بيان التدفقات النقدية
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 16-15
Prepare Financial Statement Threats الماليه إعداد تهديدات البيانات
Inaccurate financial statements بيانات مالية غير دقيقة
Fraudulent financial reporting التقارير المالية االحتيالية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-16
Prepare Financial Statement Controls
Processing integrity controls
Use of packaged software
Training and experience in applying IFRS and XBRL
Audits
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-17
eXtensible Business Reporting Language (XBRL)
Without With
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-18
XBRL
Instance Document Contains data from financial statements Marked up or tagged with data describing the data
Each piece of data in XBRL is an element
Taxonomy Set of files defining the various elements and the
relationships between them A schema Contains the definitions of every element that could
appear in an instance document
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-19
XBRL
Linkbases Describes relationships between elements Reference Identifies relevant authoritative pronouncements
Calculation Specifies how to combine elements
Presentation How to group elements
Label Associates human-readable labels with elements
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 16-20
Produce Management Reports Threats
Poorly designed reports and graphs
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-21
Produce Management Report Controls
Responsibility accounting
Balanced scorecard
Training on proper graph design
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-22
Balanced Scorecard
A report that provides a multidimensional perspective of organizational performance
Reflecting four perspectives of the organization
Financial
Customer
Internal operations
Innovation and learning
Showing goals and measures
Targets
Actual
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-23
Chapter 17
Database Design Using the REA Data Model
REAتصميم قاعدة البيانات باستخدام نموذج بيانات
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 17-1
Learning Objectives
Discuss the steps for designing and implementing a database system.
Use the REA data model to design an AIS database.
Draw an REA diagram of an AIS database.
Read an REA diagram and explain what it reveals about the business activities and policies of the organization being modeled.
.ناقش خطوات تصميم وتنفيذ نظام قاعدة البيانات
.AISلتصميم قاعدة بيانات REAاستخدم نموذج بيانات
.AISلقاعدة بيانات REAارسم مخطًطا
.واشرح ما تكشفه عن أنشطة وسياسات المؤسسة التي يتم تصميمها REAاقرأ مخطط 17-2
Database Design Process
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 17-3
The System Analysis Process عملية تحليل النظام
Systems Analysis تحليل النظم Initial planning to determine the need for and
feasibility of developing a new system التخطيط األولي لتحديد الحاجة إلى تطوير نظام جديد وجدواه Judgments about the proposal’s technological and
economic feasibility أحكام حول الجدوى التكنولوجية واالقتصادية للمقترح Identify user information needsتحديد احتياجات معلومات المستخدم Define the scope of the proposed new system تحديد نطاق
النظام الجديد المقترح Gather information about the expected number of users
and transaction volumes to make preliminary decisions about hardware and software requirements جمع المعلومات حول
العدد المتوقع من المستخدمين وحجم المعامالت التخاذ قرارات أولية حول متطلبات األجهزة والبرامج
Conceptual Design التصميم النظري Developing the different schemas for the new system
at the conceptual, external, and internal levels تطوير المخططات المختلفة للنظام الجديد على المستويات المفاهيمية والخارجية والداخلية
17-4
The System Analysis Process (cont’d) (تابع)عملية تحليل النظام
Physical Designالتصميم البدني Translating the internal-level schema into the actual
database structures that will be implemented in the new system ترجمة مخطط المستوى الداخلي إلى هياكل قاعدة البيانات الفعلية التي سيتم تنفيذها في النظام الجديد
New applications are developedتم تطوير تطبيقات جديدة
Implementation and Conversionالتنفيذ والتحويل Includes all the activities associated with transferring data
from existing systems to the new database AIS يشمل جميع األنشطة المرتبطة بنقل البيانات من األنظمة الحالية إلى قاعدة البيانات الجديدة AIS
Testing the new system اختبار النظام الجديد Training employees تدريب الموظفين
Maintaining the New Systemالحفاظ على النظام الجديد
Data Modeling تشكيل البيانات
Process of defining an information system so it represents an organizations requirements عملية تحديد نظام المعلومات بحيث يمثل متطلبات المؤسسات
Occurs at two stages of the design process: يحدث في مرحلتين من عملية التصميم System analysis تحليل النظام Conceptual design التصميم النظري
Data models: نماذج البيانات Data flow diagrams (Chapter 3) مخططات تدفق البيانات Flow charts (Chapter 3) مخططات التدفق Entity-relationship diagrams (Chapter 17) مخططات عالقة
الكيان 17-6
Entity-Relationship Diagrams مخططات العالقات بين الكيانات
Used to graphically represent a database schema يستخدم لتمثيل مخطط قاعدة البيانات بيانيا
Depicts entities يصور الكيانات Anything an organization wants to collect
information about أي شيء تريد المنظمة جمع معلومات عنه
Relationships between entities العالقات بين الكيانات
17-7
E-R Diagram Variations
17-8
Resources-Events-Agents Diagram المخطط الموارد األحداث األحداث
Developed for designing AIS وضعت لتصميمAIS Categorizing entities into: تصنيف الكيانات إلى
Resources مصادر Things that have economic value األشياء التي لها قيمة اقتصادية
Events أحداث Business activities األنشطة التجارية Management wants to manage and control اإلدارة تريد اإلدارة
والسيطرة
Agents عمالء People and organizations that participate in
events األشخاص والمنظمات التي تشارك في األحداث 17-9
REA Diagram Rules قواعد مخططREA
1. Each event is linked to at least one resource
that it affects. يرتبط كل حدث بمورد واحد على األقل يؤثر فيه
2. Each event is linked to at least one other event. يرتبط كل حدث بحدث واحد على األقل Types of links (relationships): ( العالقات)أنواع الروابط Get events الحصول على األحداث Give events إعطاء األحداث Participation events أحداث المشاركة
3. Each event is linked to at least two participating agents. يرتبط كل حدث بوكلين مشاركين على األقل
17-10
Business Cycle Give–Get Relationships احصل على العالقات -دورة األعمال التجارية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 17-11
Revenue Cycle REA Diagram دورة مخطط REAاإليرادات
17-11
Developing an REA Diagram تطوير REAمخطط
1. Identify the events about which management wants to collect information. حدد األحداث التي تريد اإلدارة جمع المعلومات عنها
2. Identify the resources affected by each event and the agents who participate in those events. حدد الموارد التي تتأثر بكل حدث والوكالء الذين يشاركون في تلك األحداث What economic resource is reduced by the “Give” event?
"ما المورد االقتصادي الذي يتم تقليله بواسطة حدث Give" What economic resource is acquired by the “Get” event?
"ما المورد االقتصادي الذي يتم الحصول عليه بواسطة حدث Get" What economic resource is affected by a commitment
event? ما المورد االقتصادي الذي يتأثر بحدث التزام
3. Determine the cardinalities of each relationship. تحديد أصل كل عالقة
17-13
Cardinalities
Describe the nature of relationships between entities صف طبيعة العالقات بين الكيانات How many instances of one entity can be
linked to each specific instance of another
entity عدد مثيالت أحد الكيانات التي يمكن ربطها بكل مثيل محدد لكيان آخر
Minimum can be: 0 or 1 أو 0: الحد األدنى يمكن أن يكون 1
Maximum can be: 1 or Many الحد األقصى يمكن أن أو كثير 1: يكون
17-14
Cardinalities
Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 17-15
Three Types of Relationships ثالثة أنواع من العالقات Relationship type is based on maximum
cardinality: يعتمد نوع العالقة على الحد األقصى لعدد العناصر :األساسية
One-to-One:
:واحد لواحد
One-to-Many:
واحد لكثير
Many-to-Many:
:الكثير للكثيرين
17-16
Chapter 18
Implementing an REA Model in a Relational Database تطبيق نموذج REA في قاعدة بيانات عالئقية
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 18-1
Learning Objectives
Integrate separate REA diagrams for individual business cycles into a single, comprehensive organization-wide REA diagram.
Build a set of tables to implement an REA model of an AIS in a relational database.
Explain how to write queries to retrieve information from an AIS relational database built according to the REA data model.
واحد شامل على REAالمنفصلة لدورات العمل الفردية في مخطط REAدمج مخططات .مستوى المؤسسة
.في قاعدة بيانات عالئقية AISمن REAبناء مجموعة من الجداول لتنفيذ نموذج
اشرح كيفية كتابة االستعالمات السترداد المعلومات من قاعدة بيانات عالئقية AIS مبنية .REAوفقًا لنموذج بيانات
18-2
REA Diagram—Revenue Cycle
18-3
Make Sale
REA Diagram—Expenditure Cycle
18-4
REA Diagram—Payroll Cycle
18-5
Get
Time
REA Redundancies REA التكرار =
Separate REA for an organization will have redundant entities سوفREA منفصلة لمنظمة لديها كيانات زائدة عن الحاجة Resource مورد Each resource entity must be connected
to: يجب أن يرتبط كل كيان مورد بـ The resource entity is linked to event entities in
one business cycle and to event entities in the other cycle يرتبط كيان المورد بكيانات األحداث في دورة أعمال واحدة وبكيانات األحداث في الدورة األخرى One event that increases the resource and,
حدث واحد يزيد من الموارد One event that decreases the resource حدث
واحد يقلل المورد No effect on cardinalityال يوجد تأثير على الكاردينال
18-6
REA Redundancies
Events and Agents األحداث والوكالء Alters the minimum cardinalities associated with the
other events that are related to the merged events or agents يغير الحد األدنى من العوامل األساسية المرتبطة باألحداث األخرى المرتبطة باألحداث أو العوامل المدمجة May be linked to either an event or agent that is part of one
business cycle or to an event or agent that is part of another cycle but cannot be linked to both events or agents at the same time يمكن ربطه بحدث أو وكيل يمثل جزًءا من دورة أعمال واحدة أو بحدث أو
وكيل يمثل جزًءا من دورة أخرى ولكن ال يمكن ربطه بكل من األحداث أو الوكالء في نفس الوقت The minimum cardinality associated with the other events and
agents must be 0 in the integrated REA diagram يجب أن يكون الحد األدنى المدمج REAاألساسي المرتبط باألحداث والوكالء اآلخرين صفًرا في مخطط
18-7
Make
Sale
Get Time
Integrated REA Diagram
18-8
R e
v e
n u
e C
y c
le E
x p
e n
d it
u re
C y c
le
P a
y ro
ll C
y c
le
Cardinality Effect of Merging Resources المواردالتأثير األساسي لدمج
18-9
Cardinalities between resource and entities remain the same .تبقى العوامل األساسية بين المورد والكيانات كما هي
Make
Sale
Cardinality Effect of Merging Events األحداث التأثير األساسي لدمج
18-10
The cardinality between Disburse Cash and Supplier and Employee (as
payee) is now 0 to 1, that is, a disbursement can be made to the supplier
or the employee but not both! هي اآلن ( كمستفيد)العالقة بين صرف النقود والمورد والموظف !، أي أنه يمكن إجراء صرف للمورد أو الموظف ولكن ليس كالهما 1إلى 0من
Cardinality Effect of Merging Events
18-11
The cardinality
between Disburse
Cash and Supplier
and Employee (as
payee) is now 0 and 1, that is, a
disbursement can be
made to the supplier
or the employee but
not both! العالقة بين صرف النقود والمورد والموظف
، أي 1و 0هي اآلن ( كمستفيد) أنه يمكن إجراء صرف للمورد
!أو الموظف ولكن ليس كالهما
The cardinality
between Disburse
Cash and Receive
Inventory and Time
Worked is now 0 and 1, that is, a
disbursement can be
made to the for
Accounts Payable
(Receive Inventory) or Payroll (Time
Worked) but not
both! العالقة بين صرف النقود واستالم المخزون ووقت
، أي أنه 1و 0العمل هي اآلن يمكن إجراء صرف على
استالم )الحسابات الدائنة أو كشوف المرتبات ( المخزون
!ولكن ليس كالهما( وقت العمل)
Get
Time
Disburse
Cash
Receive
Inventory
Supplier
Employees
(Cashier)
Employees
(as Payee)
Employees
Rules for Creating Integrated REA Diagram متكامل REAقواعد إلنشاء مخطط 1. Every event must be linked to at least one resource. يجب ربط كل حدث بمورد واحد
.على األقل
2. Every event must be linked to two agents who participate in that event. يجب الحدث ربط كل حدث بوكلين يشاركان في هذا
3. Every event that involves the disposition of a resource must be linked to an event that involves the acquisition of a resource. يجب ربط كل حدث يتضمن التخلص من .مورد بحدث ينطوي على اقتناء مورد
4. Every resource must be linked to at least one event that increments that
resource and to at least one event that decrements that resource. يجب أن المورديرتبط كل مورد بحدث واحد على األقل يزيد هذا المورد وحدث واحد على األقل يقلل هذا
5. If event A can be linked to more than one other event or agent, but cannot be linked simultaneously to all of those other events or agents, then the REA
diagram should show that event A is linked to a minimum of 0 of each of those other events or agents. بأكثر من حدث أو وكيل آخر ، ولكن ال " أ"إذا كان يمكن ربط الحدث مرتبط " أ"أن الحدث REAيمكن ربطه في وقت واحد بكل األحداث أو العوامل األخرى ، فيجب أن يوضح مخطط
وكالءبحد أدنى من كل من هذه األحداث األخرى أحداث أو
18-12
Using REA Diagram to Create Relational Database باستخدام مخطط REA إلنشاء قاعدة بيانات عالئقية Advantage:
Ensures the elimination of anomalies: Update
Insert
Delete
:االيجابيه :يضمن القضاء على الحاالت الشاذة
تحديث إدراج حذف
18-13
REA to Database StepsREA إلى خطوات قاعدة البيانات
1. Create a table for each distinct entity in the diagram and for each many-to- many relationship. قم بإنشاء جدول لكل كيان متميز .في المخطط ولكل عالقة من أطراف إلى أطراف
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 18-14
REA to Database Steps
2. Assign attributes to appropriate tables. تعيين السمات إلى الجداول المناسبة Identify primary keys: تحديد المفاتيح األساسية Attributes that uniquely identifies each
record. السمات التي تحدد بشكل فريد كل سجل For M:N relationships the primary key
consists of two attributes that represent the primary keys of each entity linked in that relationship. بالنسبة إلى عالقات M: N ، يتكون
المفتاح األساسي من سمتين تمثالن المفاتيح األساسية لكل كيان مرتبط في تلك العالقة
Identify remaining attributes for table. .تحديد السمات المتبقية للجدول
18-15
REA to Database Steps
3. Use foreign keys to implement one-to- one and one-to-many relationships. .استخدم المفاتيح الخارجية لتنفيذ العالقات الفردية مقابل واحد 1:1 Relationships العالقات 1: 1 Choice of which table to place foreign key is
arbitrary, اختيار أي جدول لوضع المفتاح الخارجي هو أمر تعسفي Often if events are sequential, the foreign key is
placed in the later event of the sequence, غالبًا ما إذا كانت األحداث متسلسلة ، يتم وضع المفتاح الخارجي في الحدث األخير من التسلسل
1:M Relationships م العالقات : 1 Primary key of entity that can be linked to multiple
instances of the other will become the foreign key in the other table. سيصبح المفتاح األساسي للكيان الذي يمكن ربطه .بمثيالت متعددة للطرف اآلخر هو المفتاح الخارجي في الجدول اآلخر
18-16
Retrieving Information from REA Database استرجاع المعلومات من قاعدة بيانات REA Journals مجالت Information contained in event tables المعلومات الواردة في جداول
األحداث
Ledgers دفاتر Information contained in resource tables المعلومات الواردة في جداول
الموارد
Financial statements القوائم المالية Information contained in resources and المعلومات الواردة في الموارد و Information on imbalances معلومات عن االختالالت Accounts receivable الحسابات المستحقة Sales transactions for which customer payments have
not yet been received معامالت المبيعات التي لم يتم استالم مدفوعات العمالء لها بعد
Accounts payable حسابات قابلة للدفع Purchases from suppliers that have not yet been
paid مشتريات من الموردين الذين لم يدفعوا بعد 18-17
Chapter 19
Special Topics in REA Modeling
تشكيل موضوعات خاصة في REA
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 19-1
Learning Objectives
Develop REA data models for a variety of organizations besides retail stores.
Develop REA data models for the HR/payroll, manufacturing, and capital assets business cycles.
لمجموعة متنوعة من المؤسسات إلى جانب متاجر البيع REAتطوير نماذج بيانات .بالتجزئة
الرواتب والتصنيع / لدورات أعمال الموارد البشرية REAتطوير نماذج بيانات واألصول الرأسمالية
19-2
Extended REA Revenue Cycle
19-3
Extended REA Expenditure Cycle
19-4
REA for Service Revenue
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 19-5
Make
Sale
REA Model for Service Acquisition
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 19-6
REA for Rental Revenue
19-7
Additional REA Features ميزاتREA إضافية
Roles األدوار Describe what an employee does صف
ما يفعله الموظف
Locations مواقع Where resources are stored and where
certain events take place حيث يتم تخزين الموارد وحيث تحدث أحداث معينة
19-8
REA Model of Production Cycle
19-9
REA Model of HRM/Payroll
19-10
REA Model of Financing Activity
Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 19-11