Accounting Information System AIS Assignment 3

profilenaifkhleef
ACCT402_slides_AIS.pdf

Chapter 1

Accounting Information Systems: An Overview

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-1

Learning Objectives  Distinguish between data and information.

 Discuss t he charact erist ics of useful informat ion.

 Explain how t o det ermine t he value of informat ion.

 Explain the decision s an organization makes, and the information needed to make them.

 Identify the information that passes between internal and external parties and an AIS.

 Describe the major business processes present in most companies.

 Explain what an accounting information system (AIS) is and describe its basic functions.

 Discuss how an AIS can add value to an organization.

 Explain how an AIS and corporate strategy affect each other.

 Explain the role an AIS plays in a company’s value chain. Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-2

.التمييز بين البيانات والمعلومات▪

oناقش خصائص المعلومات المفيدة. oاشرح كيفية تحديد قيمة المعلومات. اشرح القرارات التي تتخذها المنظمة ▪

.والمعلومات الالزمة التخاذها تحديد المعلومات التي تمر بين األطراف ▪

.AISالداخلية والخارجية و دة في صف العمليات التجارية الرئيسية الموجو▪

.معظم الشركات اشرح ما هو نظام المعلومات المحاسبية ▪

(AIS) ووصف وظائفه األساسية. إضافة قيمة إلى AISناقش كيف يمكن لـ ▪

.المنظمة AISاشرح كيف تؤثر استراتيجية ▪

.واستراتيجية الشركة على بعضها البعض في سلسلة قيمة AISاشرح الدور الذي تلعبه ▪

.الشركة

What Is a System?  System  A set of two or more interrelated components interacting to achieve a

goal

 Goal Conflict  Occurs when components act in their own interest without regard for

overall goal

 Goal Congruence  Occurs when components acting in their own interest contribute toward

overall goal

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-3

النظام❑ مجموعة مكونة من مكونين أو أكثر من العناصر المترابطة التي •

تتفاعل لتحقيق الهدف الصراع الهدف❑ ار يحدث عندما تتصرف المكونات في مصلحتها الخاصة دون اعتب•

للهدف العام تطابق الهدف❑ يق يحدث عندما تساهم المكونات التي تعمل في مصلحتها في تحق•

الهدف العام

Data vs. Information

 Data are facts that are recorded and stored.

 Insufficient for decision making.

 Information is processed data used in decision making.

 Too much information however, will make it more, not less, difficult to make decisions. This is known as Information Overload.

Information

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-4

.زينهاالبيانات هي الحقائق التي يتم تسجيلها وتخ❑ .غير كافية التخاذ القرار▪ .رارتتم معالجة المعلومات المستخدمة في صنع الق❑

ومع ذلك ، فإن الكثير من المعلومات ، ▪ ب سيجعل األمر أكثر ، وليس أقل ، من الصع

هذا هو المعروف باسم . اتخاذ القرارات .الحمل الزائد للمعلومات

Value of Information

Benefits  Reduce Uncertainty

 Improve Decisions

 Improve Planning

 Improve Scheduling

تقليل عدم اليقين

تحسين القرارات

تحسين التخطيط

تحسين الجدولة

Costs

 Time & Resources

 Produce Information

 Distribute Information

الوقت والموارد

إنتاج المعلومات توزيع المعلومات

1-5

Benefit $’s > Cost $’s Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

What Makes Information Useful?

 Necessary characteristics:  Relevant  “The capacity of information to make

a difference in a decision by helping users to form predictions about the outcomes of past, present, and future events or to confirm or correct prior expectations.”

 Reliable  “The quality of information that

assures that information is reasonably free from error and bias and faithfully represents what it purports to represent.”

 Complete  “The inclusion in reported information

of everything material that is necessary for faithful representation of the relevant phenomena.”

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-6

:الخصائص الضرورية❑ ذو صلة❑

قدرة المعلومات على إحداث "❑ تغيير في أي قرار عن طريق ن مساعدة المستخدمين على تكوي

تنبؤات حول نتائج األحداث ة أو الماضية والحالية والمستقبلي لتأكيد أو تصحيح التوقعات

."السابقة موثوق❑

جودة المعلومات التي تضمن أن"❑ ن المعلومات خالية بشكل معقول م الخطأ والتحيز وتمثل بأمانة ما

".يزعم أنها تمثل اكتمال❑

ا تضمين المعلومات المبلغ عنه"❑ يل في كل المواد الضرورية للتمث

".األمين للظواهر ذات الصلة

What Makes Information Useful?  Timely

 “Having information available to a decision maker before it loses its capacity to influence decisions.”

 Understandable

 “The quality of information that enables users to perceive its significance.”

 Verifiable

 “The ability through consensus among measurers to ensure that information represents what it purports to represent or that the chosen method of measurement has been used without error or bias.”

 Accessible

 Available when needed (see Timely) and in a useful format (see Understandable).

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-7

زمني❑ بل توفر المعلومات لصانع القرار ق"❑

أن يفقد قدرته على التأثير في ."القرارات

مفهوم❑ جودة المعلومات التي تمكن "❑

."المستخدمين من إدراك أهميتها يمكن التحقق منها❑

القدرة من خالل اإلجماع بين "❑ القائمين على التأكد من أن

ه أو المعلومات تمثل ما تعتزم تمثيل أن طريقة القياس المختارة قد ."استخدمت دون خطأ أو تحيز

يمكن الوصول❑ ت انظر في الوق)متوفر عند الحاجة ❑

انظر)وبتنسيق مفيد ( المناسب (.مفهومة

Business Process

 Systems working toward organizational goals

 أنظمة العمل نحو األهداف التنظيمية

Rev enue

Expenditure

Production

Human Resources

Financing

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-8

Business Process Cycles

Revenue

Expenditure

Production

Human Resources

Financing

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-9

إيرادات❑ المصروفات❑ إنتاج❑ الموارد البشرية❑ تمويل❑

Business Transactions

Give–Get exchanges

Between two entities

Measured in economic

terms

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-10

أعط ، الحصول ❑ على التبادالت

بين كيانين❑ تقاس من الناحية ❑

االقتصادية

Business Cycle Give–Get

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-11

Accounting Information Systems

Collect, process, store, and report data and

information

If Accounting = language of business

AIS = information providing vehicle

Accounting = AIS

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-12

جمع ومعالجة وتخزين ❑ واإلبالغ عن البيانات

والمعلومات لغة العمل= إذا المحاسبة ❑ ❑AIS = معلومات توفر

السيارة AIS= المحاسبة ❑

Components of an AIS

 People using the system

 Procedures and Instructions

 For collecting, processing, and storing data

 Data

 Software

 Information Technology (IT) Infrastructure

 Computers, peripherals, networks, and so on

 Internal Control and Security

 Safeguard the system and its data

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-13

الناس الذين يستخدمون ❑ النظام

اإلجراءات والتعليمات❑ لجمع ومعالجة وتخزين ❑

البيانات البيانات❑ البرمجيات❑ وجيا البنية التحتية لتكنول❑

المعلومات أجهزة الكمبيوتر ❑

واألجهزة الطرفية والشبكات وما إلى ذلك

الرقابة الداخلية واألمن❑ حماية النظام وبياناته❑

AIS and Business Functions

 Collect and store data about organizational:

 Activities, resources, and personnel

 Transform data into information enabling

 Management to:

 Plan, execute, control, and evaluate

 Activities, resources, and personnel

 Provide adequate control to safeguard

 Assets and data Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-14

ول جمع وتخزين البيانات ح❑ :التنظيمية األنشطة والموارد ❑

والموظفين تحويل البيانات إلى ❑

معلومات تمكين :اإلدارة إلى❑

تخطيط وتنفيذ ❑ ومراقبة وتقييم

األنشطة ❑ والموارد

والموظفين حمايةتوفير سيطرة كافية لل❑

األصول والبيانات❑

AIS Value Add

 Improve Quality and Reduce Costs

 Improve Efficiency

 Improve Sharing Knowledge

 Improve Supply Chain

 Improve Internal Control

 Improve Decision Making

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-15

تحسين الجودة ❑ وخفض التكاليف

تحسين الكفاءة❑ تحسين تبادل ❑

المعرفة تحسين سلسلة ❑

التوريد تحسين الرقابة ❑

الداخلية تحسين صنع ❑

القرار

Improve Decision Making

 Identify situations that require action.

 Provide alternative choices.

 Reduce uncertainty.

 Provide feedback on previous decisions.

 Provide accurate and timely information.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-16

تحديد الحاالت التي ❑ .تتطلب العمل

.تقديم خيارات بديلة❑ .تقليل عدم اليقين❑ تقديم مالحظات على ❑

.القرارات السابقة في تقديم معلومات دقيقة و❑

.الوقت المناسب

Value Chain

The set of activities a product or service moves along before as output it is sold to

a customer

 At each activity the product or service gains value

يعها إلى مجموعة األنشطة التي ينقلها المنتج أو الخدمة من قبل كما يتم ب❑ أحد العمالء

في كل نشاط قيمة المنتج أو الخدمة المكاسب❑

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-17

Value Chain—Primary Activities

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-18

Value Chain—Support Activities

Firm Infrastructure

Human Resources

Technology

Purchasing

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-19

Value Chain

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-20

AIS and Corporate Strategy

Organizations have limited resources, thus investments to AIS should have greatest impact on ROI.

Organizations need to understand:

✓IT developments

✓Business strategy

✓Organizational culture

Will effect and be effected by new AIS

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 1-21

ون تمتلك المنظمات موارد محدودة ، وبالتالي يجب أن يك .أكبر تأثير على عائد االستثمار AISلالستثمارات في

:تحتاج المنظمات إلى فهم تطورات تكنولوجيا المعلومات✓ استراتيجية العمل✓ الثقافة التنظيمية✓

جديد AISسيؤثر ويتأثر بواسطة

Chapter 2

Overview of Transaction Processing and ERP Systems

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-1

Learning Objectives  Describe the four major steps in the

data processing cycle.

 Describe the major activities in each cycle.

 Describe documents and procedures used to collected and process data.

 Describe the ways information is stored in computer-based information systems.

 Discuss the types of information that an AIS can provide.

 Discuss how organizations use ERP systems to process transactions and provide information.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-2

 صف الخطوات األربع الرئيسية في .دورة معالجة البيانات

 صف األنشطة الرئيسية في كل .دورة

 صف المستندات واإلجراءات المستخدمة لجمع البيانات

.ومعالجتها  صف الطرق التي يتم بها تخزين

المعلومات في أنظمة المعلومات .المعتمدة على الكمبيوتر

 ناقش أنواع المعلومات التي يمكن .AISأن تقدمها

 ناقش كيفية استخدام المؤسسات ألنظمة تخطيط موارد المؤسسات

لمعالجة المعامالت وتوفير

Data Processing Cycle

Copyright © 2012 Pearson Education, I nc. publishing as Prentice Hall 2-3

The Data Processing Cycle Determines

What data is stored?

Who has access to the data?

How is the data organized?

How can unanticipated information needs be met?

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-4

 ما هي البيانات المخزنة؟

 من لديه حق الوصول إلى البيانات؟

 كيف يتم تنظيم البيانات؟

 كيف يمكن تلبية االحتياجات غير

المتوقعة من المعلومات؟

Data Input—Capture As a business activity occurs data is

collected about:

1. Each activity of interest

2. The resources affected

3. The people who are participating

عند حدوث نشاط تجاري ، يتم جمع البيانات حول: كل نشاط مهم1. الموارد المتضررة2. الناس الذين يشاركون3.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-5

Paper-Based Source Documents

Data are collected on source documents E.g., a sales-order form The data from paper-

based will eventually need to be transferred to the AIS

Turnaround Usually paper-based Are sent from

organization to customer Same document is

returned by customer to organization

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-6 Turnaround Document

 يتم جمع البيانات على الوثائق المصدر

 على سبيل المثال ، نموذج طلب مبيعات

 ستحتاج البيانات المستندة إلى الورق AISفي النهاية إلى نقلها إلى

التف حوله عادة ورقة القائم يتم إرسالها من المنظمة إلى العمالء  يتم إرجاع المستند نفسه بواسطة

العميل إلى المؤسسة

Source Data Automaton

Source data is captured In machine-readable form

At the time of the business activity

E.g., ATM’s; POS

يتم التقاط البيانات المصدر آلة في شكل مقروء في وقت النشاط التجاري

على سبيل المثال ، أجهزة الصراف اآللي ؛ نقاط البيع

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-7

Data Input—Accuracy and Control

Well-designed source documents can ensure that data captured is

 Accurate

 Provide instructions and prompts

 Check boxes

 Drop-down boxes

 Complete

 Internal control support

 Prenumbered documents

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-8

 يمكن أن تضمن مستندات المصدر جيدة التصميم أن

البيانات التي تم التقاطها هي دقيق

 تقديم التعليمات والمطالبات

خانات االختيار صناديق منسدلة اكتمال

 دعم الرقابة الداخلية

وثائق مسبقة

Data Storage

Types of AIS storage:

Paper-based

Ledgers

Journals

Computer-based

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-9

 أنواع تخزينAIS: الورقية

دفاتر مجالت المعتمدة على الحاسوب

Ledgers  General  Summary level data for each:  Asset, liability, equity,

revenue, and expense

 Subsidiary  Detailed data for a General

Ledger (Control) Account that has individual sub- accounts  Accounts Receivable  Accounts Payable

جنرال لواء ملخص مستوى البيانات لكل:  األصول والخصوم وحقوق الملكية واإليرادات

والمصروفات شركة فرعية  بيانات مفصلة لحساب دفتر األستاذ العام الذي لديه

حسابات فرعية فردية الذمم المدينة حسابات قابلة للدفع

• Joe Smith $250

• Patti Jones $750

• ACME Inc.$150

• Jones, Inc $350

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

2-10

Journals

General Infrequent or specialized transactions

Specialized Repetitive transactions

E.g., sales transactions

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-11

عام المعامالت المتكررة أو المتخصصة متخصص

المعامالت المتكررة على سبيل المثال ، معامالت المبيعات

Coding Techniques  Sequence  Items numbered

consecutively

 Block  Specific range of

numbers are associated with a category  10000–199999 =

Electric Range

 Group  Positioning of digits in

code provide meaning

 Mnemonic  Letters and numbers  Easy to memorize  Code derived from

description of item

 Chart of accounts  Type of block coding

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

2-12

Digit Position Meaning

1–2 Product Line, size, and so on

3 Color

4–5 Year of Manufacture

6–7 Optional Features

1241000 12 = Dishwasher 4 = White 10 = 2010 00 = No Options

تسلسل  العناصر المرقمة على

التوالي منع

 ترتبط مجموعة محددة من األرقام بفئة

10000-1999999 المدى الكهربائي=

مجموعة  وضع أرقام في رمز

توفير معنى ذاكري الحروف واألرقام من السهل حفظها رمز مشتق من وصف البند

جدول الحسابات نوع تشفير الكتل

Computer Based Storage  Entity  Person, place, or thing

(Noun)

 Something an organization wishes to store data about

 Attributes  Facts about the entity

 Fields  Where attributes are

stored

 Records  Group of related

attributes about an entity

 File  Group of related

Records Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-13

كيان  اسم)شخص ، مكان ، أو شيء) شيء ترغب المنظمة في تخزين البيانات عنه سمات

حقائق عن الكيان مجاالت

حيث يتم تخزين السمات تسجيل

مجموعة من السمات ذات الصلة حول الكيان ملف

مجموعة من السجالت ذات الصلة

File Types  Transaction  Contains records of a business from a

specific period of time

 Master  Permanent records  Updated by transaction with the

transaction file

 Database  Set of interrelated files

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-14

عملية تجارية يحتوي على سجالت أعمال من فترة زمنية محددة

رئيس سجالت دائمة

تم التحديث بواسطة المعاملة مع ملف المعاملة قاعدة البيانات

مجموعة من الملفات المترابطة

Data Processing

Four Main Activities 1. Create new records

2. Read existing records

3. Update existing records

4. Delete records or data from records

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-15

أربعة أنشطة رئيسية

إنشاء سجالت 1. جديدة

قراءة السجالت 2. الموجودة

تحديث السجالت 3. الموجودة

حذف السجالت أو 4. البيانات من

السجالت

Data Output Types

Soft copy Displayed on a

screen

Hard copy Printed on paper

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-16

نسخة إلكترونية عرض على الشاشة نسخة ورقية

مطبوعة على الورق

ERP Systems

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-17

Enterprise Resource Planning (ERP)

Integrate an organization’s information into one overall AIS

ERP modules:  Financial

 Human resources and payroll

 Order to cash

 Purchase to pay

 Manufacturing

 Project management

 Customer relationship management

 System tools Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-18

 دمج معلومات المنظمة AISفي شامل واحد

 وحدات تخطيط موارد :المؤسسات

األمور المالية  الموارد البشرية

والرواتب أمر بالدفع النقدي الشراء للدفع تصنيع ادارة مشروع  إدارة عالقات

العمالء ادوات النظام

ERP Advantages

 Integration of an organization’s data and financial information

 Data is captured once

 Greater management visibility, increased monitoring

 Better access controls

 Standardizes business operating procedures

 Improved customer service

 More efficient manufacturing Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

2-19

 تكامل بيانات المنظمة والمعلومات المالية

 يتم التقاط البيانات مرة واحدة

 ، زيادة وضوح اإلدارة وزيادة الرصد

ضوابط وصول أفضل  توحيد إجراءات تشغيل

األعمال تحسين خدمة العمالء تصنيع أكثر كفاءة

ERP Disadvantages

 Cost

 Time-consuming to implement

 Changes to an organization’s existing business processes can be disruptive

 Complex

 Resistance to change

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 2-20

تكلفه  تستغرق وقتا طويال

لتنفيذ  التغييرات في العمليات

التجارية الحالية للمؤسسة يمكن أن

تكون مدمرة مركب مقاومة التغيير

Chapter 3

Systems Documentation Techniques

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-1

Learning Objectives

Prepare and use data flow diagrams to understand, evaluate, and document information systems.

Prepare and use flowcharts to understand, evaluate, and document

information systems. Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-2

 إعداد واستخدام مخططات تدفق البيانات لفهم وتقييم وتوثيق نظم

.المعلومات  قم بإعداد واستخدام

مخططات انسيابية لفهم وتقييم وتوثيق أنظمة

.المعلومات

What Is Documentation?

Set of documents and models

Narratives, data flow models, flowcharts

Describe who, what, why, when, and where of systems:

Input, process, storage, output, and

controls

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-3

مجموعة من الوثائق والنماذج  السرد ، نماذج تدفق

البيانات ، المخططات االنسيابية

 صف من وماذا ولماذا ومتى :وأين األنظمة

 المدخالت والمعالجة والتخزين واإلخراج

والضوابط

Why Should You Learn Documentation?

 You need to be able to read documentation in all its forms: narratives, diagrams, models.

 You need to be able to evaluate the quality of systems, such as internal control based in part on documentation.

 SAS 94 requires independent auditors to understand all internal control procedures.

 Documentation assists in auditor understanding and documentation of their understanding

 Sarbanes-Oxley states that management:  Is responsible for internal control system  Is responsible for assessing the

effectiveness of the IC System

 Both management and external auditors need to document and test IC System

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

3-4

 يجب أن تكون قادًرا على قراءة الوثائق السرد ، الرسوم البيانية : بجميع أشكالها

.، النماذج  يجب أن تكون قادًرا على تقييم جودة

األنظمة ، مثل الرقابة الداخلية القائمة .جزئيًا على الوثائق

 يتطلبSAS 94 مدققين مستقلين لفهم .جميع إجراءات الرقابة الداخلية

 التوثيق يساعد في فهم المراجع وتوثيق فهمهم

 أن اإلدارة أوكسلي ساربانيسيذكر: مسؤول عن نظام الرقابة الداخلية  مسؤول عن تقييم فعالية نظامIC  يحتاج كل من اإلدارة والمراجعين

الخارجيين إلى توثيق واختبار ICنظام

Data Flow Diagrams

 Graphically describes the flow of data within a system

 Four basic elements

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-5

Entity Process

Data Flow

Data Store

يصف بيانيا تدفق البيانات داخل النظام أربعة عناصر أساسية

Entity

Represents a source of data or input into

the system

or

Represents a destination of data

or output from the system

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-6

 يمثل مصدر البيانات أو المدخالت في النظام

أو  يمثل وجهة البيانات أو اإلخراج من

النظام

Data Flows

Movement of data among:

Entities (sources or destinations)

Processes

Data stores

Label should describe the information

moving Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-7

حركة البيانات بين:  المصادر أو )الكيانات

(الوجهات العمليات مخازن البيانات  يجب أن تصف العالمة

المعلومات المتحركة

Process

Represents the transformation of data

يمثل تحويل البيانات

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-8

Data Store

Represents data at rest

يمثل البيانات في بقية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-9

Data Flow Diagram Levels

Context  Highest level (most general)

 Purpose: show inputs and outputs into system

 Characteristics: one process symbol only, no data stores

Level-0  Purpose: show all major

activity steps of a system

 Characteristics: processes are labeled 1.0, 2.0, and so on

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-10

سياق الكالم  عام)أعلى مستوى) إظهار المدخالت : الغرض

والمخرجات في النظام رمز عملية : الخصائص

واحدة فقط ، ال مخازن البيانات

 0المستوى عرض جميع : الغرض

خطوات النشاط الرئيسية للنظام

العمليات هي : الخصائص ، 2.0، 1.0المسمى

وهلم جرا

DFD Creation Guidelines  Understand the system

 Ignore certain aspects of the system

 Determine system boundaries

 Develop a context DFD

 Identify data flows

 Group data flows

 Number each process

 Identify transformational processes

 Group transformational processes

 Identify all data stores

 Identify all sources and destinations

 Label all DFD elements

 Subdivide DFD

تحديد العمليات التحويلية

مجموعة عمليات التحويل

تحديد جميع مخازن البيانات

تحديد جميع المصادر والوجهات

 تسمية جميع عناصرDFD

 تقسيمDFD

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-11

فهم النظام تجاهل بعض جوانب النظام تحديد حدود النظام  تطوير سياقDFD تحديد تدفق البيانات تدفق البيانات المجموعة رقم كل عملية

Flowcharts

Use symbols to logically depict

transaction

processing and the

flow of data through

a system.

Using a pictorial representation is

easier to understand and explain versus a

detailed narrative.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-12

 استخدم الرموز لتصوير معالجة المعامالت وتدفق البيانات

.بطريقة منطقية  يعد استخدام التمثيل التصويري

أسهل في الفهم والشرح مقابل .سرد تفصيلي

Flowchart Symbol Categories

 Input/Output

 Processing

 Storage

 Miscellaneous

 اإلخراج/ اإلدخال

معالجة

تخزين

متنوع

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-13

Flow Chart Symbol Categories

 (cont’d)

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

Types of Flowcharts

 Document  Illustrates the flow of documents

through an organization

 Useful for analyzing internal control procedures

 System  Logical representation of system

inputs, processes, and outputs

 Useful in systems analysis and design

 Program  Represent the logical sequence of

program logic

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-15

وثيقة  يوضح تدفق الوثائق من

خالل المنظمة  مفيدة لتحليل إجراءات

الرقابة الداخلية النظام

 التمثيل المنطقي لمدخالت النظام والعمليات

والمخرجات  مفيدة في تحليل النظم

والتصميم برنامج

 تمثيل التسلسل المنطقي لمنطق البرنامج

Document Flowchart

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-16

Document Flowchart (cont’d)

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 3-17

System Flowchart

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

3-18

Program Flowchart

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

3-19

Chapter 4

Relational Databases

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-1

Learning Objectives  Explain the importance and advantages

of databases.

 Describe the difference between database systems and file-based legacy systems.

 Explain the difference between logical and physical views of a database.

 Explain fundamental concepts of database systems such as DBMS, schemas, the data dictionary, and DBMS languages.

 Describe what a relational database is and how it organizes data.

 Create a set of well-structured tables to store data in a relational database.

 Perform simple queries using the Microsoft Access database.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-2

اشرح أهمية ومزايا قواعد البيانات.  صف الفرق بين أنظمة قواعد البيانات

.واألنظمة القديمة القائمة على الملفات  اشرح الفرق بين طرق العرض المنطقية

.والمادية لقاعدة البيانات  اشرح المفاهيم األساسية ألنظمة قواعد

البيانات مثل قواعد البيانات وقواعد البيانات وقاموس البيانات ولغات قواعد

.البيانات  صف ماهية قاعدة البيانات الترابطية

.وكيف تنظم البيانات  إنشاء مجموعة من الجداول جيدة التنظيم

لتخزين البيانات في قاعدة بيانات .عالئقية

 تنفيذ استعالمات بسيطة باستخدام قاعدة .Microsoft Accessبيانات

Data Hierarchy

 Field

 Attributes about an

entity

 Record

 Related group of fields

 File

 Related group of records

 Database

 Related group of files

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-3

حقل سمات حول الكيان

سجل مجموعة ذات صلة من الحقول

ملف مجموعة ذات صلة من السجالت

قاعدة البيانات مجموعة ذات صلة من الملفات

Advantages of Database Systems

 Data Integration  Files are logically combined and made accessible

to various systems.

 Data Sharing  With data in one place it is more easily accessed

by authorized users.

 Minimizing Data Redundancy and Data Inconsistency

 Eliminates the same data being stored in multiple files, thus reducing inconsistency in multiple versions of the same data.

 Data Independence  Data is separate from the programs that access it.

Changes can be made to the data without necessitating a change in the programs and vice versa.

 Cross-Functional Analysis  Relationships between data from various

organizational departments can be more easily combined.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-4

تكامل البيانات يتم دمج الملفات منطقيا وجعلها في متناول •

.أنظمة مختلفة تبادل البيانات مع وجود بيانات في مكان واحد ، يمكن •

الوصول إليها بسهولة من قبل المستخدمين .المعتمدين

 الحد من تكرار البيانات وعدم تناسق البيانات

يزيل نفس البيانات التي يتم تخزينها في • ملفات متعددة ، وبالتالي تقليل التناقض في

.إصدارات متعددة من نفس البيانات استقاللية البيانات البيانات منفصلة عن البرامج التي تصل •

يمكن إجراء تغييرات على البيانات . إليها دون الحاجة إلى تغيير في البرامج

.والعكس صحيح تحليل الوظائف يمكن دمج العالقات بين البيانات من •

.مختلف اإلدارات التنظيمية بسهولة أكبر

Database Terminology

Database Management System (DBMS)

 Interface between software applications and the data in files.

Database Administrator (DBA)  Person responsible for maintaining

the database

Data Dictionary  Information about the structure

of the database

 Field names, descriptions, uses

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-5

 نظام إدارة قواعد البيانات (DBMS)  واجهة بين تطبيقات البرمجيات

والبيانات الموجودة في .الملفات

 مسؤول قاعدة البيانات (DBA)  الشخص المسؤول عن الحفاظ

على قاعدة البيانات قاموس البيانات  معلومات حول هيكل قاعدة

البيانات  أسماء الحقول واألوصاف

واالستخدامات

Logical vs. Physical

Physical View  Depends on explicitly knowing:

 How is the data actually arranged in a file

 Where is the data stored on the computer

Logical View  A Schema separates storage

of data from use of the data

 Unnecessary to explicitly know how and where data is

stored.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-6

مشاهدة المادية يعتمد على معرفة صريحة:

 كيف يتم ترتيب البيانات بالفعل في ملف

 أين هي البيانات المخزنة على الكمبيوتر

عرض منطقي  يفصل المخطط تخزين

البيانات عن استخدام البيانات

 ليس من الضروري أن تعرف بوضوح كيف وأين

.يتم تخزين البيانات

Schemas  Describe the logical

structure of a database

 Conceptual Level

 Organization wide view of the data

 External Level

 Individual users view of the data

 Each view is a subschema

 Internal Level

 Describes how data are stored and accessed

 Description of: records, definitions, addresses, and indexes

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-7

 وصف البنية المنطقية لقاعدة

البيانات المستوى المفاهيمي  تنظيم عرض واسع

للبيانات المستوى الخارجي  عرض المستخدمين

الفرديين للبيانات  كل عرض هو

مشترك المستوى الداخلي  يصف كيفية تخزين

البيانات والوصول إليها

السجالت : وصف والتعاريف والعناوين

والفهارس

DBMS Languages

 Data Definition Language (DDL)

 Builds the data dictionary

 Creates the database

 Describes the subschema

 Specifies record or field security constraints

 Data Manipulation Language (DML)

 Changes the content in the database

 Updates, insertions, and deletions

 Data Query Language (DQL)

 Enables the retrieval, sorting, and display of data from the database

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-8

 لغة تعريف البيانات(DDL) يبني قاموس البيانات يخلق قاعدة البيانات يصف المشترك  يحدد قيود أمان السجل أو

الحقل  لغة معالجة البيانات(DML)

 يغير المحتوى في قاعدة البيانات  التحديثات

واإلدخاالت والحذف  لغة استعالم البيانات(DQL)

 يتيح استرداد البيانات وفرزها وعرضها من

قاعدة البيانات

Relational Database

Relational data model represents the conceptual

and external level schemas

as if data are stored in tables.

Table  Each row, a tuple, contains

data about one instance of an

entity.

 This is equivalent to a record

 Each column contains data about one attribute of an entity.

 This is equivalent to a field Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-9

 يمثل نموذج البيانات العالئقية مخططات المستوى المفاهيمي

والخارجي كما لو تم تخزين .البيانات في الجداول

الطاولة  ، يحتوي كل صف

tuple ، على بيانات حول مثيل واحد

.للكيان هذا يعادل السجل  يحتوي كل عمود على

بيانات حول سمة .واحدة للكيان

هذا يعادل الحقل

A Relational Table

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-10

R o

w (

R e

c o

rd )

Column (Field)

Each row contains multiple

attributes describing an instance of

the entity. In this case, inventory.

Same type of data

في . يحتوي كل صف على سمات متعددة تصف مثيل الكيان .هذه الحالة ، المخزون

Attributes

Primary Key  An attribute or

combination of attributes that can be used to uniquely identify a specific

row (record) in a table.

Foreign Key  An attribute in one table

that is a primary key in another table.

 Used to link the two tables

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 4-11

المفتاح األساسي  سمة أو مجموعة من

السمات التي يمكن استخدامها لتحديد فريد

في ( سجل)صف .جدول

مفتاح غريب  سمة في جدول يمثل

مفتاًحا أساسًيا في جدول .آخر  تستخدم لربط

الجدولين

Database Design Errors

 If database is not designed properly data errors can occur.

 Update Anomaly

 Changes to existing data are not correctly recorded.

 Due to multiple records with the same data attributes

 Insert Anomaly

 Unable to add a record to the database.

 Delete Anomaly

 Removing a record also removes unintended data from the database.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-12

 إذا لم يتم تصميم قاعدة البيانات بشكل صحيح يمكن أن تحدث

.أخطاء البيانات تحديث الشذوذ

 ال يتم تسجيل التغييرات في البيانات الموجودة

.بشكل صحيح  بسبب وجود

سجالت متعددة لها نفس سمات

البيانات إدراج الشذوذ

 غير قادر على إضافة .سجل إلى قاعدة البيانات

حذف الشذوذ  تؤدي إزالة السجل أيًضا إلى

إزالة البيانات غير المقصودة .من قاعدة البيانات

Design Requirements for Relational Database

1. Every column must be single valued.

2. Primary keys must contain

data (not null).

3. Foreign keys must contain the

same data as the primary

key in another table.

4. All other attributes must

identify a characteristic of

the table identified by the

primary key. Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-13

يجب أن يكون كل عمود 1. .قيمة واحدة

يجب أن تحتوي المفاتيح 2. غير )األساسية على بيانات

(.فارغة يجب أن تحتوي المفاتيح 3.

الخارجية على نفس البيانات مثل المفتاح األساسي في

.جدول آخر يجب أن تحدد كل السمات 4.

األخرى خاصية الجدول المحدد بواسطة المفتاح

.األساسي

Normalizing Relational Databases

Initially, one table is used for all the data in a database.

Following rules, the table is decomposed into multiple tables related by:

 Primary key–foreign key integration

Decomposed set of tables are in third normal form

(3NF).

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-14

 في البداية ، يتم استخدام جدول واحد لجميع البيانات

الموجودة في قاعدة .البيانات

 وفقًا للقواعد التالية ، يتم تقسيم الجدول إلى جداول

:متعددة مرتبطة بـ  تكامل المفتاح األساسي الخارجي -  مجموعة متحللة من

الجداول في الشكل العادي .(3NF)الثالث

Microsoft Access Query #1

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-15

Microsoft Access Query #2

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-16

Microsoft Access Query #3

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-17

Microsoft Access Query #4

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-18

Microsoft Access Query #5

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

4-19

Chapter 5

Computer Fraud

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-1

Learning Objectives

 Explain the threats faced by modern information systems.

 Define fraud and describe the process one follows to perpetuate a fraud.

 Discuss who perpetrates fraud and why it occurs, including:

 the pressures, opportunities, and rationalizations that are present in most frauds.

 Define computer fraud and discuss the different computer fraud classifications.

 Explain how to prevent and detect computer fraud and abuse.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-2

 اشرح التهديدات التي تواجه .أنظمة المعلومات الحديثة

 حدد االحتيال ووصف العملية التي يتبعها الشخص إلدامة

.االحتيال  ناقش من يرتكب االحتيال وسبب

:حدوثه ، بما في ذلك  الضغوط والفرص

والمبررات الموجودة في .معظم عمليات االحتيال

 تحديد االحتيال على الكمبيوتر ومناقشة التصنيفات االحتيالية

.للكمبيوتر المختلفة  اشرح كيفية منع االحتيال وإساءة

.استخدام الكمبيوتر

Common Threats to AIS

Natural Disasters and Terrorist Threats

Software Errors and/or Equipment Malfunction

Unintentional Acts (Human Error)

Intentional Acts (Computer Crimes)

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-3

 الكوارث الطبيعية والتهديدات اإلرهابية

 أو / أخطاء البرامج و عطل المعدات

 أعمال غير مقصودة (خطأ بشري)  جرائم )األفعال المتعمدة

(الكمبيوتر

What Is Fraud?

 Gaining an unfair advantage over another person

 A false statement, representation, or disclosure

 A material fact that induces a person to act

 An intent to deceive

 A justifiable reliance on the fraudulent fact in which a person

takes action

 An injury or loss suffered by the victim

 Individuals who commit fraud are referred to as white-collar criminals.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-4

 الحصول على ميزة غير عادلة على شخص آخر

 بيان كاذب أو تمثيل أو إفشاء خاطئ

 حقيقة مادية تحفز الشخص على التصرف

نية لخداع  االعتماد المبرر على

الحقيقة االحتيالية التي يتخذ فيها الشخص إجراءات

 إصابة أو خسارة تكبدها الضحية

 يشار إلى األفراد الذين يرتكبون االحتيال بأنهم مجرمون من

.ذوي الياقات البيضاء

Forms of Fraud

 Misappropriation of assets

 Theft of a companies assets.

 Largest factors for theft of assets:

 Absence of internal control system

 Failure to enforce internal control system

 Fraudulent financial reporting

“…intentional or reckless conduct, whether by act or omission, that results

in materially misleading financial statements” (The Treadway Commission).

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-5

اختالس األصول  سرقة أصول

.الشركات  أكبر العوامل لسرقة

:األصول  غياب نظام

الرقابة الداخلية  عدم تطبيق نظام

الرقابة الداخلية التقارير المالية االحتيالية

 ..." السلوك المتعمد أو المتهور ، سواء عن طريق الفعل أو اإلغفال ، الذي ينتج

عنه بيانات مالية لجنة " )مضللة ماديًا

Treadway).

Reasons for Fraudulent Financial

Statements

1. Deceive investors or creditors

2. Increase a company’s stock price

3. Meet cash flow needs

4. Hide company losses or other problems

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-6

خداع المستثمرين أو 1. الدائنين

سهمزيادة سعر 2. الشركة

تلبية احتياجات التدفق 3. النقدي

إخفاء خسائر الشركة 4. أو غيرها من المشاكل

Treadway Commission Actions to Reduce Fraud

1. Establish environment which supports the integrity of the

financial reporting process.

2. Identification of factors that lead to fraud.

3. Assess the risk of fraud within

the company.

4. Design and implement internal

controls to provide assurance

that fraud is being prevented.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-7

إنشاء بيئة تدعم 1. نزاهة عملية إعداد

.التقارير المالية تحديد العوامل التي 2.

.تؤدي إلى االحتيال تقييم خطر االحتيال 3.

.داخل الشركة تصميم وتنفيذ 4.

الضوابط الداخلية لتوفير ضمان منع

.االحتيال

SAS #99

 Auditors responsibility to detect fraud  Understand fraud

 Discuss risks of material fraudulent statements

 Among members of audit team

 Obtain information

 Look for fraud risk factors

 Identify, assess, and respond to risk

 Evaluate the results of audit tests

 Determine impact of fraud on financial statements

 Document and communicate findings

 See Chapter 3

 Incorporate a technological focus

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-8

 مدققو مسؤولية الكشف عن االحتيال فهم االحتيال  مناقشة مخاطر البيانات

االحتيالية  بين أعضاء فريق

التدقيق الحصول على المعلومات

 ابحث عن عوامل خطر االحتيال

 تحديد وتقييم والرد على المخاطر

تقييم نتائج اختبارات التدقيق  تحديد تأثير االحتيال

على البيانات المالية وثيقة والتواصل النتائج

 3انظر الفصل دمج التركيز التكنولوجي

The Fraud Triangle

Pressure

Opportunity

Rationalization

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-9

Three conditions that

are present when

Fraud occurs

ثالثة شروط موجودة عند حدوث االحتيال

Pressure

Motivation or incentive to commit fraud

Types: 1.Employee

• Financial • Emotional • Lifestyle

2.Financial • Industry

conditions

• Management characteristics

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-10

الدافع أو الحافز الرتكاب االحتيال

:أنواع موظف1. األمور المالية• عاطفي• اليف ستايل•

األمور المالية1. ظروف •

الصناعة خصائص •

اإلدارة

Opportunity

Condition or situation that allows a person or organization to:

1.Commit the fraud

2.Conceal the fraud • Lapping • Kiting

3.Convert the theft or misrepresentation to personal gain

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-11

:حالة أو موقف يتيح لشخص أو منظمة ما يلي ارتكاب االحتيال1. إخفاء االحتيال2. اللف• المعامالت الوهمية•

تحويل السرقة أو تحريف إلى مكاسب 1. شخصية

Rationalizations

Justification of illegal behavior

1.Justification • I am not being

dishonest.

2.Attitude • I don’t need to be

honest.

3.Lack of personal integrity

• Theft is valued higher than honesty or integrity.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-12

Computer Fraud

Any illegal act in which knowledge of computer

technology is necessary for:

Perpetration

Investigation

Prosecution

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 5-13

 أي فعل غير قانوني تكون فيه المعرفة

بتكنولوجيا الكمبيوتر :ضرورية من أجل

ارتكاب تحقيق المالحقة القضائية

Rise of Computer Fraud

1. Definition is not agreed on

2. Many go undetected

3. High percentage is not

reported

4. Lack of network security

5. Step-by-step guides are easily available

6. Law enforcement is overburdened

7. Difficulty calculating loss Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-14

التعريف غير متفق عليه1.

كثير يذهب دون أن 2. يكتشف

لم يتم اإلبالغ عن نسبة 3. عالية

عدم وجود أمن الشبكة4.

أدلة خطوة بخطوة 5. متاحة بسهولة

إنفاذ القانون مثقل 6. باألعباء

صعوبة حساب الخسارة7.

Computer Fraud Classifications

Input Fraud  Alteration or falsifying input

Processor Fraud  Unauthorized system use

Computer Instructions Fraud  Modifying software, illegal

copying of software, using software in an unauthorized manner, creating software to undergo unauthorized activities

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5-15

الغش اإلدخال تغيير أو تزوير اإلدخال الغش المعالج

 استخدام النظام غير المصرح به

تعليمات الكمبيوتر االحتيال  تعديل البرنامج ، والنسخ

غير القانوني للبرامج ، واستخدام البرنامج بطريقة غير مصرح بها ، وإنشاء برامج للخضوع ألنشطة

غير مصرح بها

Computer Fraud Classifications

Data Fraud Illegally using, copying,

browsing, searching, or harming company data

Output Fraud Stealing, copying, or

misusing computer printouts or displayed information

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 5-16

احتيال البيانات  استخدام بيانات الشركة أو

نسخها أو تصفحها أو البحث عنها أو إيذاءها بطريقة غير

قانونية الغش الناتج

 سرقة أو نسخ أو إساءة استخدام مطبوعات الكمبيوتر أو

المعلومات المعروضة

Chapter 6

Computer Fraud and Abuse Techniques

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 6-1

Learning Objectives

Compare and contrast computer attack and abuse tactics.

Explain how social engineering techniques are used to gain physical or logical access to computer resources.

Describe the different types of malware used to harm computers.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 6-2

 قارن بين أساليب الكمبيوتر .وسوء المعاملة وتناقضها

 اشرح كيفية استخدام تقنيات الهندسة االجتماعية للوصول

الفعلي أو المنطقي إلى .موارد الكمبيوتر

 صف األنواع المختلفة من البرامج الضارة المستخدمة

إللحاق الضرر بأجهزة .الكمبيوتر

Computer Attacks and Abuse

 Hacking

 Unauthorized access, modification, or use of a computer system or other

electronic device

 Social Engineering

 Techniques, usually psychological tricks, to gain access to sensitive

data or information

 Used to gain access to secure systems or locations

 Malware

 Any software which can be used to do harm

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

6-3

القرصنة  الوصول أو التعديل أو

االستخدام غير المصرح به لنظام الكمبيوتر أو أي

جهاز إلكتروني آخر هندسة اجتماعية

 التقنيات ، عادة الحيل النفسية ، للوصول إلى البيانات أو المعلومات

الحساسة  يستخدم للوصول إلى

أنظمة أو مواقع آمنة البرمجيات الخبيثة

 أي برنامج يمكن استخدامه إللحاق األذى

Types of Computer Attacks

 Botnet—Robot Network  Network of hijacked computers

 Hijacked computers carry out processes without users knowledge

 Zombie—hijacked computer

 Denial-of-Service (DoS) Attack  Constant stream of requests made to a

Web-server (usually via a Botnet) that overwhelms and shuts down service

 Spoofing  Making an electronic communication

look as if it comes from a trusted official source to lure the recipient into providing information

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

6-4

 شبكة الروبوت -شبكة الروبوت  شبكة من أجهزة الكمبيوتر

المختطفة  تقوم أجهزة الكمبيوتر

المختطفة بعمليات دون معرفة المستخدمين

Zombie — كمبيوتر مختطف  هجوم رفض الخدمة(DoS)  تدفق مستمر من الطلبات المقدمة

عادة عبر شبكة )إلى خادم الويب Botnet) التي تغلب على الخدمة

وتعطلها انتحال

 يبدو إجراء اتصال إلكتروني موثوق مصدروكأنه مصدر

لجذب المتلقي إلى توفير المعلومات

Types of Spoofing  E-mail  E-mail sender appears as if it comes from a

different source

 Caller-ID  Incorrect number is displayed

 IP address  Forged IP address to conceal identity of

sender of data over the Internet or to impersonate another computer system

 SMS  Incorrect number or name appears, similar to

caller-ID but for text messaging

 Address Resolution Protocol (ARP)  Allows a computer on a

LAN to intercept traffic meant for any other computer on the LAN

 Web page  Phishing (see below)

 DNS  Intercepting a request for a

Web service and sending the request to a false service

6-5

البريد اإللكتروني يظهر مرسل البريد اإللكتروني كما لو كان مصدره مصدر مختلف هوية المتصل يتم عرض الرقم غير صحيح  عنوانIP  عنوانIP مزور إلخفاء هوية مرسل البيانات عبر اإلنترنت أو النتحال شخصية

نظام كمبيوتر آخر رسالة قصيرة يظهر رقم أو اسم غير صحيح ، يشبه معرف المتصل ولكن بالنسبة للرسائل النصية

 عنوان قرار البروتوكول(ARP)  كمبيوتر على شبكة لجهازللسماحLAN

باعتراض حركة المرور المخصصة ألي LANكمبيوتر آخر على شبكة

صفحة ويب  انظر أدناه)التصيد) DNS  اعتراض طلب خدمة ويب وإرسال الطلب إلى

خدمة خاطئة

Hacking Attacks

 Cross-Site Scripting (XSS)  Unwanted code is sent via dynamic

Web pages disguised as user input.

 Buffer Overflow  Data is sent that exceeds computer

capacity causing program instructions to be lost and replaced with attacker instructions.

 SQL Injection (Insertion)  Malicious code is inserted in the

place of query to a database system.

 Man-in-the-Middle  Hacker places themselves between

client and host.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 6-6

 البرمجة النصية للمواقع المشتركة (XSS)

 يتم إرسال التعليمات البرمجية غير المرغوب فيها عبر صفحات

ويب ديناميكية متخفية كإدخال .المستخدم

تجاوز سعة المخزن المؤقت  يتم إرسال البيانات التي تتجاوز

سعة الكمبيوتر مما يؤدي إلى فقد تعليمات البرنامج واستبدالها

.بتعليمات المهاجم  حقنSQL (اإلدراج)

 يتم إدخال التعليمات البرمجية الضارة في مكان االستعالم إلى

.نظام قاعدة بيانات األوسط-في-الرجل

 القراصنة يضع أنفسهم بين العميل .والمضيف

Additional Hacking Attacks  Password Cracking  Penetrating system security to steal

passwords

 War Dialing  Computer automatically dials phone

numbers looking for modems.

 Phreaking  Attacks on phone systems to obtain

free phone service.

 Data Diddling  Making changes to data before,

during, or after it is entered into a system.

 Data Leakage  Unauthorized copying of company

data. Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

6-7

كلمة السر تكسير  اختراق أمان النظام لسرقة كلمات

المرور االتصال الحرب

 يقوم الكمبيوتر تلقائيًا بطلب أرقام .الهواتف للبحث عن أجهزة المودم

Phreaking  الهجمات على أنظمة الهاتف

للحصول على خدمة الهاتف .المجانية

البيانات الضالة  إجراء تغييرات على البيانات قبل أو

.أثناء أو بعد إدخالها في نظام تسرب البيانات

 النسخ غير المصرح به لبيانات .الشركة

Hacking Embezzlement Schemes

 Salami Technique  Taking small amounts from many

different accounts.

 Economic Espionage  Theft of information, trade secrets, and

intellectual property.

 Cyber-Bullying  Internet, cell phones, or other

communication technologies to support deliberate, repeated, and hostile behavior that torments, threatens, harasses, humiliates, embarrasses, or otherwise harms another person.

 Internet Terrorism  Act of disrupting electronic commerce

and harming computers and communications.

6-8

سالمي تقنية  أخذ كميات صغيرة من العديد من الحسابات

.المختلفة التجسس االقتصادي

 سرقة المعلومات واألسرار التجارية .والملكية الفكرية

سايبر الترهيب  اإلنترنت أو الهواتف المحمولة أو

غيرها من تقنيات االتصال لدعم السلوك المتعمد والمتكرر والعدائي

الذي يعذب أو يهدد أو يضايق أو يهين أو يحرج أو يضر بطريقة

.أخرى بشخص آخر إرهاب اإلنترنت

 فعل تعطيل التجارة اإللكترونية واإلضرار بأجهزة الكمبيوتر

واالتصاالت

Hacking for Fraud

Internet Misinformation  Using the Internet to spread false

or misleading information

Internet Auction  Using an Internet auction site to

defraud another person

 Unfairly drive up bidding

 Seller delivers inferior merchandise or fails to deliver at all

 Buyer fails to make payment

Internet Pump-and-Dump  Using the Internet to pump up the

price of a stock and then selling it 6-9

تضليل اإلنترنت  استخدام اإلنترنت لنشر

معلومات خاطئة أو مضللة مزاد على االنترنت  استخدام موقع مزاد على

اإلنترنت لالحتيال على شخص آخر  دفع غير عادلة حتى تقديم

العطاءات  البائع يسلم البضائع الرديئة أو

يفشل في تقديمها على اإلطالق فشل المشتري في إجراء الدفع مضخة اإلنترنت والتفريغ  استخدام اإلنترنت لزيادة سعر

السهم ثم بيعه

Social Engineering Techniques  Identity Theft  Assuming someone else’s identity

 Pretexting  Inventing a scenario that will lull

someone into divulging sensitive information

 Posing  Using a fake business to acquire

sensitive information

 Phishing  Posing as a legitimate company

asking for verification type information: passwords, accounts, usernames

 Pharming  Redirecting Web site traffic to a

spoofed Web site.

 Typesquatting  Typographical errors

when entering a Web site name cause an invalid site to be accessed

 Tabnapping  Changing an already

open browser tab

 Scavenging  Looking for sensitive

information in items thrown away

 Shoulder Surfing  Snooping over

someone’s shoulder for sensitive information

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

6-10

سرقة الهوية

على افتراض هوية شخص آخر

بالتستر

 ابتكار سيناريو من شأنه أن يهدد شخص ما بالكشف عن المعلومات الحساسة

االنتحال

استخدام عمل مزيف للحصول على معلومات حساسة

الخداع

تظاهر بأنها شركة شرعية تطلب معلومات نوع التحقق : كلمات المرور والحسابات وأسماء المستخدمين

تزوير العناوين

إعادة توجيه حركة مرور موقع الويب إلى موقع ويب منتحل.

Typesquatting

 تتسبب األخطاء المطبعية عند إدخال اسم موقع ويب في الوصول إلى موقع غير صالح

Tabnapping

تغيير عالمة تبويب متصفح مفتوحة بالفعل

الكسح

 البحث عن معلومات حساسة في العناصر التي يتم طرحها بعيًدا

تصفح الكتف

 التطفل على كتف شخص ما للحصول على معلومات حساسة

Copyright 2012 Pearson Education, Inc. publishing as Prentice Hall

11

More Social Engineering

Lebanese Loping  Capturing ATM pin and card

numbers

Skimming  Double-swiping a credit card

Chipping  Planting a device to read credit

card information in a credit card reader

Eavesdropping  Listening to private communications

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

6-12

لوبنج اللبناني  التقاط أرقام بطاقات

الصراف اآللي قراءة سريعه

 الضرب المزدوج على بطاقة االئتمان

التقطيع  زرع جهاز لقراءة

معلومات بطاقة االئتمان في قارئ بطاقة االئتمان

التنصت  االستماع إلى االتصاالت

الخاصة

Type of Malware

 Virus  Executable code that attaches

itself to software, replicates itself, and spreads to other systems or files

 Worm  Similar to a virus; a program rather

than o code segment hidden in a host program. Actively transmits itself to other systems

 Spyware  Secretly monitors and collects

personal information about users and sends it to someone else

 Adware  Pops banner ads on a monitor,

collects information about the user’s Web-surfing, and spending habits, and forward it to the adware creator

6-13

فيروس  تعليمات برمجية قابلة للتنفيذ تعلق

على البرنامج وتكرر نفسها وتنتشر في أنظمة أو ملفات أخرى

الفيروس المتنقل برنامج بدالً من . مماثلة لفيروس

مقطع الكود المخفي في برنامج ينقل بنشاط نفسها إلى . مضيف

أنظمة أخرى برامج التجسس

 يراقب سرا ويجمع المعلومات الشخصية عن المستخدمين ويرسلها

إلى شخص آخر ادواري

 ينشر إعالنات الشعارات على الشاشة ، ويجمع معلومات حول

تصفح الويب للمستخدم ، وعادات اإلنفاق ، وإعادة توجيهها إلى منشئ

البرامج اإلعالنية

More Malware

 Key logging  Records computer activity, such as a

user’s keystrokes, e-mails sent and received, Web sites visited, and chat session participation

 Trojan Horse  Malicious computer instructions in an

authorized and otherwise properly functioning program

 Time bombs/logic bombs  Idle until triggered by a specified date

or time, by a change in the system, by a message sent to the system, or by an event that does not occur

 Trap Door/Back Door  A way into a system that bypasses

normal authorization and authentication controls

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 5-14

تسجيل المفتاح  يسجل نشاط الكمبيوتر ، مثل

ضغطات المفاتيح للمستخدم ، ورسائل البريد اإللكتروني المرسلة

والمستلمة ، ومواقع الويب التي تمت زيارتها ، ومشاركة جلسة المحادثة

حصان طروادة  إرشادات الكمبيوتر الضارة في

برنامج مصرح به يعمل بشكل صحيح

 القنابل المنطقية/ القنابل الزمنية  الخمول حتى يتم تشغيله بواسطة

تاريخ أو وقت محدد ، أو عن طريق تغيير في النظام ، أو عن طريق

رسالة مرسلة إلى النظام ، أو عن طريق حدث ال يحدث

 الباب الخلفي/ مصيدة الباب  طريقة في نظام يتجاوز ضوابط

التخويل والمصادقة العادية

More Malware  Packet Sniffers  Capture data from information

packets as they travel over networks

 Rootkit  Used to hide the presence of

trap doors, sniffers, and key loggers; conceal software that originates a denial-of- service or an e-mail spam attack; and access usernames and log-in information

 Superzapping  Unauthorized use of special

system programs to bypass regular system controls and perform illegal acts, all without leaving an audit trail Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

6-15

حزمة المتشممون  التقاط البيانات من حزم المعلومات

أثناء انتقالها عبر الشبكات الجذور الخفية

 تستخدم إلخفاء وجود مصيدة األبواب ، والشم ، وقطع

األشجار الرئيسية ؛ إخفاء البرامج التي تنشأ عن رفض

الخدمة أو هجوم البريد اإللكتروني العشوائي ؛

والوصول إلى أسماء المستخدمين ومعلومات تسجيل

الدخول Superzapping

 االستخدام غير المصرح به لبرامج النظام الخاصة لتجاوز الضوابط

النظامية العادية وأعمال غير قانونية ، كل ذلك دون ترك مسار التدقيق

Chapter 7

Control and AIS

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-1

Learning Objectives  Explain basic control concepts and explain why

computer control and security are important.

 Compare and contrast the COBIT, COSO, and ERM control frameworks.

 Describe the major elements in the internal environment of a company

 Describe the four types of control objectives that companies need to set.

 Describe the events that affect uncertainty and the techniques used to identify them.

 Explain how to assess and respond to risk using the Enterprise Risk Management (ERM) model.

 Describe control activities commonly used in companies.

 Describe how to communicate information and monitor control processes in organizations.

7-2

 اشرح مفاهيم التحكم األساسية وشرح .أهمية التحكم في الكمبيوتر واألمان

 قارن بين إطارات التحكم في COBIT وCOSO وERM

.وقابلها  صف العناصر الرئيسية في البيئة

الداخلية للشركة  صف أربعة أنواع من أهداف الرقابة

.التي تحتاج الشركات إلى وضعها  صف األحداث التي تؤثر على عدم

.اليقين والتقنيات المستخدمة لتحديدها  اشرح كيفية تقييم المخاطر واالستجابة

لها باستخدام نموذج إدارة مخاطر .(ERM)المؤسسات

 وصف أنشطة التحكم الشائعة في .الشركات

 صف كيفية توصيل المعلومات ومراقبة عمليات التحكم في المؤسسات

Internal Control

 System to provide reasonable assurance that objectives are met such as:

 Safeguard assets.

 Maintain records in sufficient detail to report company assets accurately and fairly.

 Provide accurate and reliable information.

 Prepare financial reports in accordance with established criteria.

 Promote and improve operational efficiency.

 Encourage adherence to prescribed managerial policies.

 Comply with applicable laws and regulations.

7-3

 نظام لتوفير ضمان معقول بأن :األهداف تتحقق مثل

حماية األصول.  الحفاظ على السجالت

بتفاصيل كافية لإلبالغ عن أصول الشركة بدقة

.وعادلة  تقديم معلومات دقيقة

.وموثوقة  إعداد التقارير المالية وفقا

.للمعايير المعمول بها  تعزيز وتحسين الكفاءة

.التشغيلية  تشجيع االلتزام بالسياسات

.اإلدارية المقررة  االمتثال للقوانين واللوائح

.المعمول بها

Internal Control

Functions المهام Preventive  Deter problems

Detective  Discover problems

Corrective  Correct problems

Categories General  Overall IC system

and processes

Application  Transactions are

processed correctly

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-4

وقائي مشاكل الردع المحقق

اكتشاف المشاكل تصحيحي

مشكلة صحيحة

عام  نظامIC الشامل

والعمليات تطبيق

 تتم معالجة المعامالت بشكل صحيح

Sarbanes Oxley (2002)

 Designed to prevent financial statement fraud, make financial reports more

transparent, protect investors, strengthen internal controls, and punish executives who

perpetrate fraud

 Public Company Accounting Oversight Board (PCAOB)

 Oversight of auditing profession

 New Auditing Rules

 Partners must rotate periodically

 Prohibited from performing certain non-audit services

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

7-5

 مصمم لمنع االحتيال في البيانات المالية ، وجعل التقارير المالية أكثر شفافية ،

وحماية المستثمرين ، وتعزيز الضوابط الداخلية ، ومعاقبة المسؤولين التنفيذيين

الذين يرتكبون االحتيال  مجلس الرقابة على حسابات

(PCAOB)الشركة العامة الرقابة على مهنة التدقيق قواعد التدقيق الجديدة

 يجب أن يتناوب الشركاء بشكل دوري

 ممنوع من أداء بعض الخدمات غير المراجعة

Sarbanes Oxley (2002)

 New Roles for Audit Committee

 Be part of board of directors and be independent

 One member must be a financial expert

 Oversees external auditors

 New Rules for Management

 Financial statements and disclosures are fairly presented, were reviewed by

management, and are not misleading.

 The auditors were told about all material internal control weak- nesses

and fraud.

 New Internal Control Requirements

 Management is responsible for establishing and maintaining an

adequate internal control system.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

7-6

أدوار جديدة للجنة التدقيق  كن جزًءا من مجلس اإلدارة وكن

مستقاًل  يجب أن يكون عضو واحد خبير

مالي  يشرف على المراجعين

الخارجيين قواعد جديدة لإلدارة

 يتم عرض البيانات المالية واإلفصاحات بصورة عادلة ، ومراجعتها من قبل اإلدارة ،

.وليست مضللة  قيل للمدققين عن كل نقاط

.الضعف والرقابة الداخلية المادية متطلبات الرقابة الداخلية الجديدة

 اإلدارة مسؤولة عن إنشاء وصيانة نظام الرقابة الداخلية

.المناسب

SOX Management Rules

Base evaluation of internal control on a recognized framework.

Disclose all material internal control weaknesses.

Conclude a company does not have effective financial reporting internal

controls of material weaknesses.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

7-7

 تقييم قاعدة الرقابة الداخلية على إطار

.معترف به  الكشف عن جميع

نقاط الضعف الرقابة .الداخلية المادية

 استنتج أنه ال يوجد لدى الشركة ضوابط داخلية فعالة إلعداد

التقارير المالية .للضعف المادي

Internal Control Frameworks

Control Objectives for Information and Related Technology (COBIT) Business objectives IT resources IT processes

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

7-8

 أهداف التحكم للمعلومات

والتكنولوجيا ذات (COBIT)الصلة

أهداف العمل  موارد تكنولوجيا

المعلومات  عمليات تكنولوجيا

المعلومات

Internal Control Frameworks

Committee of Sponsoring Organizations (COSO) Internal control—

integrated framework  Control environment  Control activities

 Risk assessment  Information and

communication

 Monitoring

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall

7-9

 لجنة المنظمات الراعية (COSO)  إطار -الرقابة الداخلية

متكامل التحكم بالبيئة أنشطة مكافحة تقييم المخاطر  المعلومات

واالتصاالت مراقبة

Internal Control Frameworks

Enterprise Risk Management Model

 Risk-based vs. control-based

 Components

 Internal environment

 Objective setting

 Event identification

 Risk assessment and risk response

 Control activities

 Information and communication

 Monitoring

7-10

نموذج إدارة مخاطر المؤسسة  قائم على المخاطر مقابل

التحكم المكونات

البيئة الداخلية تحديد األهداف تحديد الحدث  تقييم المخاطر

واالستجابة للمخاطر أنشطة مكافحة  المعلومات

واالتصاالت مراقبة

Enterprise Risk Management Model

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall

7-11

Internal Environment

 Management’s philosophy, operating style, and risk appetite

 The board of directors

 Commitment to integrity, ethical values, and competence

 Organizational structure

 Methods of assigning authority and responsibility

 Human resource standards

 External influences 7-12

Objective Setting

 Strategic  High-level goals aligned

with corporate mission

 Operational  Effectiveness and efficiency

of operations

 Reporting  Complete and reliable

 Improve decision making

 Compliance  Laws and regulations are

followed

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-13

إستراتيجي  أهداف رفيعة المستوى

تتماشى مع مهمة الشركة

التشغيل فعالية وكفاءة العمليات التقارير

كاملة وموثوقة تحسين صنع القرار االلتزام

 يتم اتباع القوانين واللوائح

Event Identification

“…an incident or occurrence emanating from internal or

external sources that affects

implementation of strategy or

achievement of objectives.”

Positive or negative impacts (or both)

Events may trigger other events

All events should be anticipated

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

7-14

 ..." حادثة أو حادثة نابعة من مصادر

داخلية أو خارجية تؤثر على تنفيذ االستراتيجية

."أو تحقيق األهداف  اآلثار اإليجابية أو

(أو كليهما)السلبية  األحداث قد تؤدي

إلى أحداث أخرى  ينبغي توقع جميع

األحداث

Risk Assessment

Identify Risk Identify likelihood of risk

Identify positive or negative impact

Types of Risk Inherent  Risk that exists before any

plans are made to control it

Residual  Remaining risk after controls

are in place to reduce it Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

7-15

تحديد المخاطر حدد احتمالية المخاطرة  تحديد تأثير إيجابي أو

سلبي أنواع المخاطر

متأصل  خطر موجود قبل

وضع أي خطط للسيطرة عليه

المتبقي  المخاطر المتبقية بعد

الضوابط المعمول بها للحد من ذلك

Risk Response

Reduce

Implement effective internal control

Accept

Do nothing, accept likelihood of risk

Share

Buy insurance, outsource, hedge

Avoid

Do not engage in activity that produces risk

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-16

خفض  تنفيذ الرقابة

الداخلية الفعالة قبول

 ال تفعل شيئًا ، اقبل احتمالية المخاطرة

شارك  ، شراء التأمين

واالستعانة بمصادر خارجية ،

التحوط تجنب

 ال تشارك في نشاط ينتج عنه

خطر

Event/ Risk/Response Model

7-17

Control Activities

 Policies and procedures to provide reasonable assurance that control objectives are met:

 Proper authorization of transactions and activities

 Signature or code on document to signal authority over a process

 Segregation of duties

 Project development and acquisition controls

 Change management controls

 Design and use of documents and records

 Safeguarding assets, records, and data

 Independent checks on performance Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

7-18

 السياسات واإلجراءات الالزمة لتوفير تأكيد معقول بأن أهداف

:الرقابة تتحقق  إذن مناسب للمعامالت

واألنشطة  التوقيع أو الكود على

الوثيقة لإلشارة إلى السلطة خالل العملية

الفصل بين الواجبات  تطوير المشاريع وضوابط

االستحواذ تغيير الضوابط اإلدارية  تصميم واستخدام الوثائق

والسجالت  حماية األصول والسجالت

والبيانات  الشيكات المستقلة على

األداء

Segregation of Accounting Duties

 No one employee should be given too much responsibility

 Separate:  Authorization  Approving transactions and

decisions  Recording  Preparing source documents  Entering data into an AIS  Maintaining accounting records

 Custody  Handling cash, inventory, fixed

assets  Receiving incoming checks  Writing checks

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-19

 ال ينبغي إعطاء موظف واحد الكثير من المسؤولية

منفصل: تفويض

 اعتماد المعامالت والقرارات

تسجيل إعداد وثائق المصدر  إدخال البيانات فيAIS  الحفاظ على السجالت

المحاسبية عهدة

 التعامل مع النقدية والمخزون واألصول

الثابتة تلقي الشيكات الواردة كتابة الشيكات

Segregation of Accounting Duties

7-20

Segregation of System Duties

Like accounting system duties should also be separated

These duties include:  System administration

 Network management  Security management

 Change management  Users

 Systems analysts  Programmers

 Computer operators

 Information system librarian  Data control 7-21

 مثل واجبات النظام المحاسبي كما ينبغي فصلها

تشمل هذه الواجبات: إدارة النظام إدارة الشبكة إدارة األمن تغيير اإلدارة المستخدمين محللو النظم المبرمجين مشغلي الكمبيوتر  أمين مكتبة نظام

المعلومات التحكم في البيانات

Information and Communication

Primary purpose of an AIS

Gather

Record

Process

Summarize

Communicate

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-22

 الغرض األساسي من AIS

جمع سجل معالجة لخص نقل

Monitoring

 Evaluate internal control framework.

 Effective supervision.

 Responsibility accounting system.

 Monitor system activities.

 Track purchased software and mobile devices.

 Conduct periodic audits.

 Employ a security officer and compliance officer.

 Engage forensic specialists.

 Install fraud detection software.

 Implement a fraud hotline. 7-23

تقييم إطار الرقابة الداخلية. اإلشراف الفعال. نظام محاسبة المسؤولية. مراقبة أنشطة النظام.  تتبع البرامج التي تم شراؤها

.واألجهزة المحمولة إجراء عمليات تدقيق دورية.  توظيف ضابط األمن وضابط

.االمتثال  إشراك المتخصصين في

.الطب الشرعي  تثبيت برنامج الكشف عن

.االحتيال تنفيذ خط ساخن االحتيال.

Chapter 8 Information Systems Controls for System Reliability— Part 1: Information Security

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-1

Learning Objectives

Discuss how the COBIT framework can be used to develop sound internal control over an

organization’s information systems.

Explain the factors that influence information systems reliability.

Describe how a combination of preventive, detective, and corrective controls can be

employed to provide reasonable assurance about information security.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-2

 ناقش كيف يمكن COBITاستخدام إطار

لتطوير رقابة داخلية سليمة على أنظمة .معلومات المؤسسة

 اشرح العوامل التي تؤثر على موثوقية نظم

.المعلومات  صف كيف يمكن

استخدام مجموعة من الضوابط الوقائية

والمباحث والتصحيحية لتوفير ضمان معقول .حول أمن المعلومات

AIS Controls

COSO and COSO-ERM address general internal control

COBIT addresses information technology internal control

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-3

COSO وCOSO-ERM يعالج الرقابة الداخلية العامة COBIT يعالج الرقابة الداخلية لتكنولوجيا المعلومات

Information for Management Should Be:

 Effectiveness  Information must be relevant

and timely.

 Efficiency  Information must be

produced in a cost-effective manner.

 Confidentiality  Sensitive information must

be protected from unauthorized disclosure.

 Integrity  Information must be

accurate, complete, and valid.

 Availability

 Information must be available whenever needed.

 Compliance

 Controls must ensure compliance with internal policies and with external legal and regulatory requirements.

 Reliability

 Management must have access to appropriate information needed to conduct daily activities and to exercise its fiduciary and governance responsibilities.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-4

فعالية  يجب أن تكون المعلومات ذات صلة

.وفي الوقت المناسب

نجاعة  يجب أن يتم إنتاج المعلومات بطريقة

.فعالة من حيث التكلفة

سرية  يجب حماية المعلومات الحساسة من

.الكشف غير المصرح به

النزاهة  يجب أن تكون المعلومات دقيقة

.وكاملة وصالحة

توفر

 يجب أن تكون المعلومات متوفرة عند .الحاجة

االلتزام

 يجب أن تضمن الضوابط االمتثال للسياسات الداخلية والمتطلبات القانونية

.والتنظيمية الخارجية

الموثوقية

 يجب أن يكون لدى اإلدارة حق الوصول إلى المعلومات المناسبة الالزمة للقيام

باألنشطة اليومية وممارسة مسؤولياتها االئتمانية والحوكمة

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

5

COBIT Framework

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-6

Information

Criteria

COBIT Cycle

 Management develops plans to organize information resources to provide the information it needs.

 Management authorizes and oversees efforts to acquire (or build internally) the desired functionality.

 Management ensures that the resulting system actually delivers the desired information.

 Management monitors and evaluates system performance against the established criteria.

 Cycle constantly repeats, as management modifies existing plans and procedures or develops new ones to respond to changes in business objectives and new developments in information technology.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-7

 تضع اإلدارة خطًطا لتنظيم موارد المعلومات لتوفير المعلومات التي

.تحتاجها  تخول اإلدارة وتشرف على

أو )الجهود المبذولة للحصول على .الوظيفة المطلوبة( بناء داخليًا

 تضمن اإلدارة أن النظام الناتج .يقدم المعلومات المطلوبة بالفعل

 تقوم اإلدارة بمراقبة وتقييم أداء .النظام وفقًا للمعايير المحددة

 تتكرر الدورة باستمرار ، حيث تقوم اإلدارة بتعديل الخطط

واإلجراءات الحالية أو تطوير خطط جديدة لالستجابة للتغيرات

في أهداف العمل والتطورات .الجديدة في تكنولوجيا المعلومات

COBIT Controls

210 controls for ensuring information integrity

Subset is relevant for external auditors

IT control objectives for Sarbanes-Oxley, 2nd Edition

AICPA and CICA information systems controls

Controls for system and financial statement

reliability

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-8

210 ضوابط لضمان سالمة المعلومات

 المجموعة الفرعية مناسبة للمراجعين الخارجيين

 أهداف التحكم في تكنولوجيا المعلومات

-Sarbanesلـ Oxley ، اإلصدار

الثاني  ضوابط نظم المعلومات

AICPA وCICA  ضوابط لموثوقية النظام

والبيانات المالية

Trust Services Framework

 Security  Access to the system and its data is

controlled and restricted to legitimate users.

 Confidentiality  Sensitive organizational information (e.g.,

marketing plans, trade secrets) is protected from unauthorized disclosure.

 Privacy  Personal information about customers is

collected, used, disclosed, and maintained only in compliance with internal policies and external regulatory requirements and is protected from unauthorized disclosure.

 Processing Integrity  Data are processed accurately, completely,

in a timely manner, and only with proper authorization.

 Availability  The system and its information are available

to meet operational and contractual obligations.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-9

األمان  يتم التحكم في الوصول إلى النظام

وبياناته ويقتصر على المستخدمين .الشرعيين

سرية  مثل خطط )المعلومات التنظيمية الحساسة

محمية من ( التسويق واألسرار التجارية .الكشف غير المصرح به

اإلجمالية  يتم جمع المعلومات الشخصية عن

العمالء واستخدامها واإلفصاح عنها وصيانتها فقط وفقًا للسياسات الداخلية

والمتطلبات التنظيمية الخارجية ومحمية .من اإلفصاح غير المصرح به

 معالجة النزاهة  تتم معالجة البيانات بدقة وكاملة وفي

.الوقت المناسب وفقط بتصريح مناسب توفر

 النظام ومعلوماته متوفرة للوفاء .بااللتزامات التشغيلية والتعاقدية

Trust Services Framework

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-10

Security / Systems Reliability

 Foundation of the Trust Services Framework

 Management issue, not a technology issue

 SOX 302 states:

 CEO and the CFO responsible to certify that the financial statements fairly present the

results of the company’s activities.

 The accuracy of an organization’s financial statements depends upon the

reliability of its information

systems.

 Defense-in-depth and the time-based model of information security

 Have multiple layers of control

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-11

تأسيس إطار خدمات الثقة  قضية اإلدارة ، وليس قضية

التكنولوجيا  ينصSOX 302 على:

 الرئيس التنفيذي والمدير المالي المسؤول عن

التصديق على أن البيانات المالية تعرض

نتائج أنشطة الشركة .بشكل عادل

 تعتمد دقة البيانات المالية للمؤسسة على

موثوقية نظم المعلومات .الخاصة بها

 الدفاع المتعمق والنموذج الزمني ألمن المعلومات

 لديك طبقات متعددة من السيطرة

Management’s Role in IS Security Create security aware culture

Inventory and value company information resources

Assess risk, select risk response

Develop and communicate security:

 Plans, policies, and procedures

Acquire and deploy IT security resources

Monitor and evaluate effectiveness Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-12

إنشاء ثقافة تدرك األمن  المخزون وقيمة موارد

معلومات الشركة  تقييم المخاطر ، حدد

استجابة المخاطر  تطوير والتواصل

:األمن  الخطط والسياسات

واإلجراءات  الحصول على موارد

أمان تكنولوجيا المعلومات ونشرها

مراقبة وتقييم الفعالية

Time-Based Model

Combination of detective and corrective controls

 P = the time it takes an attacker to break through the

organization’s preventive controls

 D = the time it takes to detect that an attack is in progress

 C = the time it takes to respond to the attack

 For an effective information security system:

 P > D + C Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-13

 مزيج من الضوابط المباحث والتصحيحية

P = الوقت الذي يستغرقه المهاجم الختراق الضوابط الوقائية للمنظمة

D = الوقت المستغرق للكشف عن حدوث هجوم

C = الوقت المستغرق للرد على الهجوم

 لنظام فعال ألمن :المعلومات

P> D + C

Steps in an IS System Attack

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-14

Mitigate Risk of Attack

Preventive Control

Detective Control

Corrective Control

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-15

التحكم الوقائي المخبر السيطرة السيطرة التصحيحية

Preventive Control

Training

User access controls (authentication and

authorization)

Physical access controls (locks, guards, etc.)

Network access controls (firewalls, intrusion prevention

systems, etc.)

Device and software hardening controls (configuration options)

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-16

تدريب  ضوابط وصول المستخدم

(المصادقة والترخيص)  أدوات التحكم في الوصول

األقفال والحراس )المادي (وما إلى ذلك

 أدوات التحكم في الوصول جدران )إلى الشبكة

الحماية وأنظمة منع (االختراق وما إلى ذلك

 أدوات التحكم في صالبة خيارات )الجهاز والبرامج

(التكوين

Authentication vs.

Authorization Authentication—

verifies who a person is

1. Something person knows

2. Something person has

3. Some biometric characteristic

4. Combination of all three

Authorization— determines what a person can access

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-17

 تتحقق من —المصادقة هوية الشخص

شخص يعرف شيئا1.

شخص لديه شيء2.

بعض الخصائص 3. البيومترية

مزيج من الثالثة4.  يحدد ما يمكن —التفويض

للشخص الوصول إليه

Network Access Control

(Perimeter Defense)  Border router  Connects an organization’s

information system to the Internet

 Firewall  Software or hardware used to filter

information

 Demilitarized Zone (DMZ)  Separate network that permits

controlled access from the Internet to selected resources

 Intrusion Prevention Systems (IPS)  Monitors patterns in the traffic flow,

rather than only inspecting individual packets, to identify and automatically block attacks

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-18

جهاز توجيه الحدود  يربط نظام معلومات المنظمة

باإلنترنت جدار الحماية

 البرامج أو األجهزة المستخدمة لتصفية المعلومات

 المنطقة المنزوعة السالح(DMZ)  شبكة منفصلة تسمح بالوصول

المتحكم به من اإلنترنت إلى الموارد المحددة

 أنظمة منع االختراق(IPS)  يراقب األنماط في تدفق حركة

المرور ، بدالً من فحص الحزم الفردية فقط ، لتحديد الهجمات

وحظرها تلقائيًا

Internet Information Protocols

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-19

Device and Software Hardening (Internal Defense)

 End-Point Configuration

 Disable unnecessary features that may be vulnerable to attack on:

 Servers, printers, workstations

 User Account Management

 Software Design

 Programmers must be trained to treat all input from external users as untrustworthy and to carefully check it before performing further actions.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-20

تكوين نقطة النهاية  تعطيل الميزات غير الضرورية

التي قد تكون عرضة للهجوم :على  الخوادم والطابعات ومحطات

العمل إدارة حساب المستخدم تصميم البرمجيات

 يجب تدريب المبرمجين على التعامل مع جميع مدخالت

المستخدمين الخارجيين على أنها غير جديرة بالثقة والتحقق منها بعناية قبل تنفيذ المزيد من

.اإلجراءات

Detective Controls

 Log Analysis

 Process of examining logs to identify evidence of possible attacks

 Intrusion Detection

 Sensors and a central monitoring unit that create logs of network traffic that was permitted to pass the firewall and then analyze those logs for signs of attempted or successful intrusions

 Managerial Reports

 Security Testing

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-21

تحليل السجل  عملية فحص السجالت

لتحديد أدلة الهجمات المحتملة كشف التسلل

 أجهزة االستشعار ووحدة المراقبة المركزية التي تنشئ سجالت لحركة مرور الشبكة

التي سُمح لها بتمرير جدار الحماية ثم تحليل هذه

السجالت بحثًا عن عالمات محاوالت االقتحام أو النجاح

تقارير إدارية اختبار األمن

Corrective Controls

 Computer Incident Response Team

 Chief Information Security Officer (CISO)

 Independent responsibility for information security assigned to someone at an appropriate senior level

 Patch Management

 Fix known vulnerabilities by installing the latest updates

 Security programs

 Operating systems

 Applications programs Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

8-22

 فريق االستجابة لحوادث الكمبيوتر

 كبير ضباط أمن المعلومات (CISO)

 المسؤولية المستقلة عن أمن المعلومات المعينة

لشخص ما على مستوى عاٍل مناسب

إدارة التصحيح  إصالح الثغرات المعروفة

عن طريق تثبيت آخر التحديثات برامج األمن أنظمة التشغيل برامج التطبيقات

Computer Incident Response Team

Recognize that a problem exists

Containment of the problem

Recovery

Follow-up

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-23

ندرك وجود مشكلة احتواء المشكلة التعافي متابعة

New Considerations

Virtualization Multiple systems are

run on one computer

Cloud Computing Remotely accessed

resources

Software applications

Data storage

Hardware

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-24

 Risks

 Increased exposure if breach occurs

 Reduced authentication standards

Opportunities Implementing strong

access controls in the cloud or over the server that hosts a virtual network provides good security over all the systems contained therein

االفتراضية  يتم تشغيل أنظمة متعددة

على كمبيوتر واحد

حوسبة سحابية  الوصول إلى الموارد عن

بعد تطبيقات برمجية مخزن البيانات المعدات

المخاطر  زيادة التعرض في حالة

حدوث خرق انخفاض معايير المصادقة الفرص  يوفر تطبيق عناصر تحكم

وصول قوية في السحابة أو عبر الخادم الذي

يستضيف شبكة افتراضية أمانًا جيًدا على جميع األنظمة الموجودة فيه

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 8-25

Chapter 9

Information Systems Controls for System Reliability— Part 2: Confidentiality and Privacy

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 9-1

Learning Objectives

Identify and explain controls designed to protect the

confidentiality of sensitive

corporate information.

Identify and explain controls designed to protect the

privacy of customers’ personal information.

Explain how the two basic types of encryption systems

work.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-2

 تحديد وشرح الضوابط المصممة لحماية سرية

معلومات الشركة .الحساسة

 تحديد وشرح عناصر التحكم المصممة

لحماية خصوصية معلومات العمالء

.الشخصية  اشرح كيف يعمل

النوعان األساسيان .ألنظمة التشفير

Trust Services Framework  Security (Chapter 8)  Access to the system and its data is controlled

and restricted to legitimate users.

 Confidentiality (Chapter 8)  Sensitive organizational information (e.g.,

marketing plans, trade secrets) is protected from unauthorized disclosure.

 Privacy  Personal information about customers is

collected, used, disclosed, and maintained only in compliance with internal policies and external regulatory requirements and is protected from unauthorized disclosure.

 Processing Integrity (Chapter 10)  Data are processed accurately, completely, in

a timely manner, and only with proper authorization.

 Availability (Chapter 10)  System and its information are available to

meet operational and contractual obligations. 9-3

 8الفصل )األمن)  يتم التحكم في الوصول إلى النظام

وبياناته ويقتصر على المستخدمين .الشرعيين

 8الفصل )السرية)  مثل )المعلومات التنظيمية الحساسة

( خطط التسويق واألسرار التجارية محمية من الكشف غير المصرح

.به الخصوصية

 يتم جمع المعلومات الشخصية عن العمالء واستخدامها واإلفصاح

عنها وصيانتها فقط وفقًا للسياسات الداخلية والمتطلبات التنظيمية

الخارجية ومحمية من اإلفصاح .غير المصرح به

 10الفصل )سالمة المعالجة)  تتم معالجة البيانات بدقة وكاملة

وفي الوقت المناسب وفقط بتصريح .مناسب

 10الفصل )التوفر)  النظام ومعلوماته متوفرة للوفاء

.بااللتزامات التشغيلية والتعاقدية

Intellectual Property (IP)

Strategic plans

Trade secrets

Cost information

Legal documents

Process improvements

All need to be secured

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 9-4

الخطط االستراتيجية األسرار التجارية معلومات التكلفة وثائق قانونية تطويرات العملية  جميع بحاجة إلى أن

تكون آمنة

Steps in Securing IP

Identification and

Classification

Encryption

Controlling Access

Training

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-5

Where is the information, who has access to it? Classify value of information

أين هي المعلومات ، من لديه حق الوصول إليها؟ تصنيف قيمة المعلومات

The process of obscuring information to make it unreadable without

special knowledge, key files, or passwords.

عملية إخفاء المعلومات لجعلها غير قابلة للقراءة دون معرفة خاصة أو ملفات رئيسية أو كلمات مرور

Information rights management: control who can read, write, copy ,

delete, or download information.

.التحكم في من يمكنه قراءة المعلومات أو كتابتها أو نسخها أو حذفها أو تنزيلها: إدارة حقوق المعلومات

Most important! Employees need to know what can or can’t be read, written, copied, deleted, or downloaded

يحتاج الموظفون إلى معرفة ما يمكن أو ال يمكن قراءته أو كتابته أو نسخه أو حذفه أو تنزيله! األكثر أهمية

Privacy

Deals with protecting customer information vs. internal company

information

Same controls Identification and

classification

Encryption

Access control

Training

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-6

 يتعامل مع حماية معلومات العميل مقابل معلومات الشركة الداخلية

نفس الضوابط تحديد وتصنيف التشفير  صالحية التحكم

صالحية الدخول تدريب

Privacy Concerns

SPAM  Unsolicited e-mail that contains

either advertising or offensive content

 CAN-SPAM (2003)  Criminal and civil penalties for

spamming

Identity Theft  The unauthorized use of someone’s

personal information for the perpetrator’s benefit.

 Companies have access to and thus must control customer’s personal information.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-7

بريد مؤذي  بريد إلكتروني غير مرغوب

فيه يحتوي إما على إعالنات أو محتوى مسيء

CAN-SPAM (2003)  العقوبات الجنائية والمدنية

على البريد االلكتروني غير المرغوب

سرقة الهوية  االستخدام غير المصرح به

لمعلومات شخص ما لصالح .الجاني

 يمكن للشركات الوصول إلى المعلومات الشخصية للعميل

.وبالتالي عليها التحكم فيها

Privacy Regulatory Acts

Health Insurance Portability and Accountability Act (HIPAA)

Health Information Technology for

Economic and Clinical Health Act (HITECH)

Financial Services Modernization Act Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-8

 قانون قابلية التأمين الصحي والمساءلة

(HIPAA)  قانون تكنولوجيا

المعلومات الصحية من أجل الصحة

االقتصادية والسريرية (HITECH)  قانون تحديث الخدمات

المالية

Generally Accepted Privacy Principles

1. Management  Procedures and policies  Assignment of responsibility

2. Notice  To customers of policies

3. Choice and Consent  Allow customers consent over

information provided, stored

4. Collection  Only what is necessary and

stated in policy

5. Use and Retention  Based on policy and only for as

long as needed for the business 9-9

إدارة. 1 اإلجراءات والسياسات إسناد المسؤولية تنويه. 2 للعمالء من السياسات االختيار والموافقة. 3  السماح للعمالء بالموافقة

على المعلومات المقدمة ، .المخزنة

مجموعة. 4  فقط ما هو ضروري

والمذكورة في السياسة استخدام واالحتفاظ بها. 5  بناًء على السياسة وفقط ما

دامت هناك حاجة للعمل

Generally Accepted Privacy Principles

6. Access  Customers should be capable of

reviewing, editing, deleting information

7. Disclosure to 3rd Parties

 Based on policy and only if 3rd party has same privacy policy standard

8. Security  Protection of personal information

9. Quality  Allow customer review  Information needs to be reasonably

accurate

10.Monitor and Enforce  Ensure compliance with policy 10

التمكن من. 6  يجب أن يكون العمالء قادرين

على مراجعة المعلومات وتحريرها وحذفها

اإلفصاح لألطراف الثالثة. 7  بناًء على السياسة وفقط إذا

كان لدى الطرف الثالث نفس معيار سياسة الخصوصية

األمان. 8 حماية المعلومات الشخصية جودة. 9 السماح بمراجعة العمالء  يجب أن تكون المعلومات

دقيقة بشكل معقول مراقبة وفرض. 10 ضمان االمتثال للسياسة

Encryption

Preventive control

Process of transforming normal content, called

plaintext, into unreadable gibberish

Decryption reverses this process

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-11

السيطرة الوقائية  عملية تحويل محتوى عادي ، يسمى

نص عادي ، إلى رطانة غير قابلة للقراءة

فك التشفير يعكس هذه العملية

Encryption Strength

Key length  Number of bits (characters)

used to convert text into blocks

 256 is common

Algorithm  Manner in which key and text is

combined to create scrambled

text

Policies concerning encryption keys

 Stored securely with strong access codes

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-12

طول المفتاح  األحرف)عدد البتات )

المستخدمة لتحويل النص إلى كتل

256 شائع خوارزمية

 طريقة دمج المفتاح والنص إلنشاء نص

مخلوط  السياسات المتعلقة بمفاتيح

التشفير  مخزنة بشكل آمن مع

رموز وصول قوية

Types of Encryption

 Symmetric

 One key used to both encrypt and decrypt

 Pro: fast

 Con: vulnerable

 Asymmetric

 Different key used to encrypt than to decrypt

 Pro: very secure

 Con: very slow

 Hybrid Solution

 Use symmetric for encrypting information

 Use asymmetric for encrypting symmetric key for decryption

9-13

متماثل  مفتاح واحد يستخدم

لتشفير وفك تشفير سريع: برو عرضة للخطر: يخدع ال متماثل

 مفتاح مختلف يستخدم لتشفير من فك تشفير

آمن جدا: برو بطيئة جدا: يخدع الحل الهجين

 استخدام متماثل لتشفير المعلومات

 استخدام غير المتماثلة لتشفير مفتاح متماثل

لفك التشفير

Hashing

Converts information into a “hashed” code of fixed length.

The code can not be converted back to the text.

If any change is made to the information the hash code will

change, thus enabling verification of information.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-14

Hashing is the transformation of a

string of characters into a usually shorter fixed-length value or key

that represents the original string.

 يحول المعلومات إلى كود .ذو طول ثابت" تجزئة"  ال يمكن تحويل الرمز

.مرة أخرى إلى النص  إذا تم إجراء أي تغيير

على المعلومات ، فسيتم تغيير رمز التجزئة ،

وبالتالي تمكين التحقق من .المعلومات

تجزئة هو تحويل سلسلة من األحرف إلى قيمة أو طول ثابت

عادةً أقصر يمثل السلسلة .األصلية

Digital Signature

Hash of a document

Using document creators key

Provides proof:  That document has not been

altered

 Of the creator of the document

9-15

تجزئة وثيقة  باستخدام مفتاح منشئي

المستندات يقدم دليال:

 لم يتم تغيير تلك الوثيقة

من خالق الوثيقة

Digital Certificate

Electronic document that

contains an entity’s public key

Certifies the identity of the owner of that

particular public key

Issued by Certificate Authority

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 9-16

 مستند إلكتروني يحتوي على المفتاح العمومي

للكيان  يشهد هوية صاحب ذلك

المفتاح العمومي المعين  صادر عن سلطة

الشهادة

Virtual Private Network (VPN)

Private communication channels, often referred to as tunnels, which are accessible only to those

parties possessing the appropriate encryption and decryption keys.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

9-17

 ، قنوات االتصال الخاصة التي يشار إليها غالبًا باسم

األنفاق ، والتي ال يمكن الوصول إليها إال

لألطراف التي تمتلك مفاتيح التشفير وفك

.التشفير المناسبة

Chapter 10

Information Systems Controls for System Reliability—Part 3: Processing Integrity and Availability

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 10-1

Learning Objectives

Identify and explain controls designed to ensure processing integrity.

Identify and explain controls

designed to ensure systems availability.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 10-2

 تحديد وشرح الضوابط المصممة لضمان

.سالمة المعالجة  تحديد وشرح عناصر

التحكم المصممة .لضمان توفر األنظمة

Trust Services Framework  Security (Chapter 8)  Access to the system and its data is controlled and

restricted to legitimate users.

 Confidentiality (Chapter 8)  Sensitive organizational information (e.g., marketing

plans, trade secrets) is protected from unauthorized disclosure.

 Privacy (Chapter 9)  Personal information about customers is collected, used,

disclosed, and maintained only in compliance with internal policies and external regulatory requirements and is protected from unauthorized disclosure.

 Processing Integrity  Data are processed accurately,

completely, in a timely manner, and only with proper authorization.

 Availability  System and its information are available

to meet operational and contractual obligations.

10-3

 8الفصل )األمن)  يتم التحكم في الوصول إلى النظام

وبياناته ويقتصر على المستخدمين .الشرعيين

 8الفصل )السرية)  مثل )المعلومات التنظيمية الحساسة

( خطط التسويق واألسرار التجارية .محمية من الكشف غير المصرح به

 9الفصل )الخصوصية)  يتم جمع المعلومات الشخصية عن

العمالء واستخدامها واإلفصاح عنها وصيانتها فقط وفقًا للسياسات الداخلية

والمتطلبات التنظيمية الخارجية ومحمية من اإلفصاح غير المصرح

.به  معالجة النزاهة

 تتم معالجة البيانات بدقة وكاملة وفي .الوقت المناسب وفقط بتصريح مناسب

توفر  النظام ومعلوماته متوفرة للوفاء

.بااللتزامات التشغيلية والتعاقدية

Controls Ensuring Processing Integrity

 Input

 Process

 Output

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-4

Input Controls

“Garbage-in

Garbage-out”

Form Design All forms should be

sequentially numbered

Verify missing documents

Use of turnaround documents

Eliminate input errors

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-5

" القمامة في القمامة "التدريجي

تصميم النموذج  يجب ترقيم جميع

األشكال بالتسلسل  تحقق من

المستندات المفقودة

 استخدام وثائق التحول  القضاء على

أخطاء اإلدخال

Input Controls

Data Entry Checks  Field check  Characters proper type? Text,

integer, date, and so on

 Sign check  Proper arithmetic sign?

 Limit check  Input checked against fixed

value?

 Range check  Input within low and high

range value?

 Size check  Input fit within field?

 Completeness check  Have all required data been

entered?

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-6

الشيكات إدخال البيانات فحص ميداني

 شخصيات النوع المناسب؟ النص ، عدد صحيح ،

التاريخ ، وهلم جرا عالمة االختيار

عالمة الحسابية المناسبة؟ االختيار الحد

 فحص المدخالت مقابل قيمة ثابتة؟

تحقق المدى  المدخالت ضمن قيمة

مجموعة منخفضة وعالية؟ تحقق حجم

إدخال يصلح داخل الميدان؟ تحقق اكتمال

 هل تم إدخال جميع البيانات المطلوبة؟

Input Controls

Data Entry Checks (continued) Validity check  Input compared with master

data to confirm existence

Reasonableness check  Logical comparisons

Check digit verification  Computed from input value

to catch typo errors

Prompting  Input requested by system

Close-loop verification  Uses input data to retrieve

and display related data

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall

10-7

 تابع)تدقيق إدخال البيانات) التحقق من صحة

 المدخالت مقارنة مع البيانات الرئيسية لتأكيد

الوجود التحقق من المعقولية

مقارنات منطقية تحقق التحقق من أرقام

 محسوبة من قيمة اإلدخال للقبض على األخطاء

المطبعية حث

 المدخالت المطلوبة من قبل النظام

إغالق حلقة التحقق  يستخدم بيانات اإلدخال السترداد

وعرض البيانات ذات الصلة

Batch Input Controls

 Batch Processing  Input multiple source documents at

once in a group

 Batch Totals  Compare input totals to output totals

 Financial

 Sums a field that contains monetary values

 Hash

 Sums a nonfinancial numeric field

 Record count

 Sums a nonfinancial numeric field

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-8

Batch processing is the execution of a series

of jobs in a program on a computer without

manual intervention

تجهيز الدفعات  قم بإدخال مستندات مصدر

متعددة مرة واحدة في المجموعة

معالجة الدُفعات هي تنفيذ سلسلة من الوظائف في برنامج على جهاز كمبيوتر

دون تدخل يدوي المجاميع دفعة

 قارن إجماليات المدخالت بإجماليات المخرجات

األمور المالية  يلخص حقل يحتوي

على قيم نقدية مزيج

 يلخص مجال رقمي غير مالي

عدد السجالت  يلخص مجال رقمي

غير مالي

Processing Controls

 Data Matching

 Multiple data values must match before processing occurs.

 File Labels

 Ensure correct and most current file is being updated.

 Batch Total Recalculation

 Compare calculated batch total after processing to input totals.

 Cross-Footing and Zero Balance Tests

 Compute totals using multiple methods to ensure the same results.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-9

مطابقة البيانات  يجب أن تتطابق قيم

البيانات المتعددة قبل .حدوث المعالجة

تسميات الملفات  تأكد من تحديث الملف

.الصحيح واألحدث  الدفعة إجمالي إعادة

الحساب  قارن إجمالي الدُفعات

المحسوبة بعد المعالجة إلى إجماليات

.اإلدخال  اختبارات تبادل الطالق

الرصيد الصفري  حساب المجاميع باستخدام

طرق متعددة لضمان نفس .النتائج

Processing Controls

Write Protection Eliminate possibility

of overwriting or erasing existing data.

Concurrent Update Locking records or

fields when they are being updated so multiple users are not updating at the same time.

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 10-10

حماية الكتابة  القضاء على إمكانية

الكتابة فوق أو مسح .البيانات الموجودة

التحديث المتزامن  قفل السجالت أو

الحقول عند تحديثها حتى ال يتم تحديث عدة مستخدمين في

.نفس الوقت

Output Controls

 User Review

 Verify reasonableness, completeness, and routed to intended individual

 Reconciliation

 Data Transmission Controls

 Check sums

 Hash of file transmitted, comparison made of hash before and after

transmission

 Parity checking

 Bit added to each character transmitted, the characters can then be verified for accuracy

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-11

مراجعة المستخدم  تحقق من معقولية

واكتمال وتوجيهها إلى الفرد المقصود

تصالح ضوابط نقل البيانات

تحقق المبالغ  ، تجزئة الملف المنقول

مقارنة مصنوعة من التجزئة قبل وبعد

اإلرسال فحص التكافؤ

 أضيفت بت إلى كل حرف المنقولة ، ثم يمكن

التحقق من صحة للتأكد من دقتها

Controls Ensuring Availability

Systems or information need to be available 24/7

It is not possible to ensure this so:

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-12

 يجب أن تكون األنظمة أو المعلومات متاحة على مدار الساعة طوال أيام األسبوع

ال يمكن التأكد من ذلك:

Minimize Risks

 Preventive Maintenance  Cleaning, proper storage

 Fault Tolerance  Ability of a system to continue if a

part fails

 Data Center Location  Minimize risk of natural and human

created disasters.

 Training  Less likely to make mistakes and will

know how to recover, with minimal damage, from errors they do commit

 Patch Management  Install, run, and keep current

antivirus and anti-spyware programs 10-13

الصيانة الوقائية التنظيف ، التخزين السليم التسامح مع الخطأ

 قدرة النظام على المتابعة إذا فشل جزء

موقع مركز البيانات  تقليل مخاطر الكوارث الطبيعية

.والبشرية التي تم إنشاؤها تدريب

 أقل احتمااًل الرتكاب األخطاء وسيعرف كيفية استرداد

األخطاء التي يرتكبونها ، بأقل قدر من الضرر

إدارة التصحيح  قم بتثبيت برامج مكافحة

الفيروسات وبرامج التجسس الحالية وتشغيلها واالحتفاظ بها

Quick Recovery

 Back-up

 Incremental

 Copy only data that changed from last partial back-up

Differential

 Copy only data that changed from last full back-up

 Business Continuity Plan (BCP)

How to resume not only IT operations, but all business processes

 Relocating to new offices

 Hiring temporary replacements

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-14

دعم تدريجي

 انسخ فقط البيانات التي تغيرت من آخر نسخة

احتياطية جزئية التفاضليه

 انسخ فقط البيانات التي تغيرت من آخر نسخة

احتياطية كاملة  خطة استمرارية األعمال(BCP)

 كيفية استئناف ليس فقط عمليات تكنولوجيا المعلومات

، ولكن جميع العمليات التجارية  االنتقال إلى مكاتب

جديدة توظيف بدائل مؤقتة

Change Control

 Formal process used to ensure that modifications to hardware, software,

or processes do not reduce systems

reliability

 Changes need to be documented.

 Changes need to be approved by appropriate manager.

 Changes need to be tested before implementations.

 All documentation needs to be updated for changes.

 Back-out plans need to be adopted.

 User rights and privileges need to be monitored during change.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-15

 عملية رسمية تستخدم للتأكد من أن التعديالت على األجهزة أو البرامج

أو العمليات ال تقلل من موثوقية األنظمة  يجب أن تكون التغييرات

.موثقة  يجب أن تتم الموافقة على

التغييرات من قبل المدير .المناسب

 التغييرات تحتاج إلى اختبار قبل .التنفيذ

 يجب تحديث جميع الوثائق .للتغييرات

تحتاج خطط التراجع إلى تبنيها.  يجب مراقبة حقوق المستخدم

.وامتيازاته أثناء التغيير

Disaster Recovery Plan (DRP)  Procedures to restore an organization’s

IT function in the event that its data center is destroyed

 Cold Site  An empty building that is prewired

for necessary telephone and Internet access, plus a contract with one or more vendors to provide all necessary equipment within a specified period of time

 Hot Site  A facility that is not only prewired

for telephone and Internet access but also contains all the computing and office equipment the organization needs to perform its essential business activities

 Second Data-Center  Used for back-up and site

mirroring Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

10-16

 إجراءات استعادة وظيفة تكنولوجيا المعلومات الخاصة بالمؤسسة في حالة

تدمير مركز البيانات الخاص بها موقع بارد

 مبنى فارغ تم تزويده مسبقًا بالهاتف واإلنترنت ، باإلضافة

إلى عقد مع بائع أو أكثر لتوفير جميع المعدات الالزمة في غضون فترة زمنية محددة

موقع ساخن  مرفق ال يتم تزويده مسبقًا

بالهاتف واإلنترنت فقط ، ولكنه يحتوي أيًضا على جميع

المعدات الحاسوبية والمكتبية التي تحتاجها المؤسسة ألداء

أنشطتها التجارية األساسية مركز البيانات الثاني

 تستخدم للنسخ االحتياطي والموقع النسخ المتطابق

Chapter 11

Auditing Computer-Based Information Systems

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

11-1

Learning Objectives

 Describe the scope and objectives of audit work, and identify the major steps in the audit process.

 Identify the objectives of an information system audit, and describe the four-step approach necessary for meeting these objectives.

 Design a plan for the study and evaluation of internal control in an AIS.

 Describe computer audit software, and explain how it is used in the audit of an AIS

 Describe the nature and scope of an operational audit.

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-2

نطاق وأهداف عمل التدقيق ، وحدد صف * .الخطوات الرئيسية في عملية التدقيق

• أهداف مراجعة نظام المعلومات ، حدد ووصف نهج الخطوات األربعة الالزم

.لتحقيق هذه األهداف

تصميم خطة لدراسة وتقييم الرقابة الداخلية *AISفي

بوصف برنامج تدقيق الكمبيوتر ، قم * نظام واشرح كيف يتم استخدامه في تدقيق

AIS .طبيعة ونطاق التدقيق التشغيليصف

Auditing

 The systematic process of obtaining and evaluating evidence regarding assertions about economic actions and events in order to determine how well they correspond with established criteria

 عملية منهجية للحصول على األدلة المتعلقة بتأكيدات حول اإلجراءات واألحداث االقتصادية وتقييمها من أجل تحديد مدى توافقها مع المعايير المحددة

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-3

Types of Audits انواع عمليات التدقيق  Financial المالية األمور

 Examines the reliability and integrity of: وسالمةيبحث موثوقية  Financial transactions, accounting records, and financial statements.

.المعامالت المالية والسجالت المحاسبية والبيانات المالية

 Information System معلومات نظام  Rev iews the controls of an AIS to assess compliance with: يراجع ضوابط AIS لتقييم

يلياالمتثال لما  Internal control policies and procedures and effectiv eness in

safeguarding assets األصول سياسات وإجراءات الرقابة الداخلية والفعالية في حماية

 Operational التشغيل  Economical and efficient use of resources and the accomplishment of

established goals and objectiv es االستخدام االقتصادي والفعال للموارد وتحقيق األهداف والغايات المحددة

 Compliance االلتزام  Determines whether entities are complying with: تمتثل يحدد ما إذا كانت الكيانات

 Applicable laws, regulations, policies, and procedures القوانين واللوائح والسياسات واإلجراءات المعمول بها

 Investigative تحقيق لجنة  Incidents of possible fraud, misappropriation of assets, waste and abuse, or

improper gov ernmental activ ities. حوادث االحتيال المحتمل أو اختالس األصول أو الهدر أو إساءة .االستخدام أو األنشطة الحكومية غير المناسبة

11-4

The Audit Process عمليه التدقيق

 Planning

 Collecting Evidence

 Evaluating Evidence

 Communicating Audit Results

 تخطيط

 جمع األدلة

 تقييم األدلة

 التواصل نتائج التدقيق

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-5

Planning the Audit تخطيط التدقيق  Why, when, how, whom

 Work targeted to area with greatest risk:

 Inherent

 Chance of risk in the absence of controls

 Control

 Risk a misstatement will not be caught by the internal control

system

 Detection

 Chance a misstatement will not be caught by auditors or their

procedures

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-6

ومنومتى وكيف لماذا *

:المستهدف للمنطقة ذات الخطر األكبرالعمل *

متأصل - الضوابطفرصة المخاطرة في غياب

مراقبة - المخاطرة لن يتم اكتشافها من قبل نظام الرقابة

الداخلية

كشف - لن يتم اكتشاف فرصة خاطئة من قبل مدققي

الحسابات أو إجراءاتهم

Collection of Audit Evidence جمع ادله التدقيق

 Not ev erything can be examined so samples are collected ال يمكن فحص كل شيء حتى يتم جمع العينات

 Observation activates to be audited تدقيقها المالحظة تنشط ليتم

 Review of documentation الوثائق مراجعة  Gain understanding of

process or control اكتساب فهم العملية أو السيطرة

 Discussionsمناقشات

 Questionnaires استبيانات

 Physical examination الفحص البدني

 Confirmations تأكيدات  Testing balances with

external 3rd parties اختبار األرصدة مع األطراف الخارجية الثالثة

 Re-performanceإعادة األداء  Recalculations to test

v aluesإعادة حساب الختبار القيم

 Vouching الكفل  Examination of

supporting documents فحص المستندات الداعمة

 Analytical reviewاستعراض تحليلي  Examining relationships

and trends دراسة العالقات واالتجاهات

11-7

Evaluation of Audit Evidence تقييم ادله التحقيق  Does evidence support favorable or unfavorable

conclusion? ؟ هل تدعم األدلة الخاتمة اإليجابية أو غير المواتية

 Materiality النسبية  How significant is the impact of the evidence? ؟ ما مدى أهمية الدليل

 Reasonable Assurance معقول ضمان  Some risk remains that the audit conclusion is incorrect. يبقى

.بعض المخاطر أن استنتاج التدقيق غير صحيح

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-8

Communication of Audit Conclusion تبليغ خاتمه التحقيق

 Written report summarizing audit findings and recommendations:

 To management

 The audit committee

 The board of directors

 Other appropriate parties

 :تقرير مكتوب يلخص نتائج التدقيق وتوصياته  إلى اإلدارة  لجنة التدقيق  مجلس اإلدارة

 األطراف المناسبة األخرى

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-9

Risk-Based Audit التدقيق على اساس المخاطر  Determine the threats (fraud and errors) facing the company. تحديد

.التي تواجه الشركة( االحتيال واألخطاء)التهديدات  Accidental or intentional abuse and damage to which the system is

exposed النظام اإلساءة العرضية أو المتعمدة واألضرار التي يتعرض لها

 Identify the control procedures that prev ent, detect, or correct the threats. . حدد إجراءات التحكم التي تمنع التهديدات أو تكتشفها أو تصححها  These are all the controls that management has put into place and that

auditors should rev iew and test, to minimize the threats هذه هي جميع الضوابط التي وضعتها اإلدارة في مكانها ويجب على مراجعي الحسابات مراجعتها واختبارها لتقليل التهديدات

 Ev aluate control procedures. .تقييم إجراءات الرقابة  A systems rev iew النظام مراجعة  Are control procedures in place المكان هي إجراءات الرقابة في

 Tests of controls الضوابط اختبارات  Are existing controls working تعمل هل الضوابط الحالية

 Ev aluate control weaknesses to determine their effect on the nature, timing, or extent of auditing procedures. تقييم نقاط ضعف التحكم .لتحديد تأثيرها على طبيعة أو توقيت أو مدى إجراءات التدقيق

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-10

Information Systems Audit تدقيق نظم المعلومات

 Purpose:

 To review and evaluate the internal controls that protect the system

 Objectives:

1. Overall information security

2. Program development and acquisition

3. Program modification

4. Computer processing

5. Source files

6. Data files

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-11

:هدف*

لمراجعة وتقييم الضوابط الداخلية التي تحمي النظام

:األهداف*

عام المعلومات بشكل أمن - البرنامج واكتسابهتطوير - البرنامجتعديل - الكمبيوترمعالجة - المصدرملفات - البياناتملفات -

1. Information System Threats تهديدات نظام المعلومات  Accidental or intentional damage to system assets

 Unauthorized access, disclosure, or modification of data and programs

 Theft

 Interruption of crucial business activities

 الضرر العرضي أو المتعمد ألصول النظام

 الوصول غير المصرح به ، والكشف ، أو تعديل البيانات والبرامج

 سرقة

 انقطاع األنشطة التجارية الهامة

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-12

2. Program Development and Acquisition تطوير البرنامج و االستحواذ

 Inadvertent programming errors due to misunderstanding system specifications or careless programming

 Unauthorized instructions deliberately inserted into the programs

 Controls:

 Management and user authorization and approval, thorough testing, and proper documentation

 أخطاء البرمجة غير المقصودة بسبب سوء فهم مواصفات النظام أو البرمجة مهمل  تعليمات غير مصرح بها إدراج عمدا في البرامج

 :ضوابط  اإلدارة وموافقة المستخدم والموافقة واالختبار الشامل والتوثيق المناسب

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-13

3. Program Modification تعديل البرنامج

 Source Code Comparison مقارنه شفرة المصدر  Compares current program against source code for any

discrepancies اختالفات يقارن البرنامج الحالي ضد الكود المصدري ألي

 Reprocessing المعالجة إعادة  Use of source code to re-run program and compare for

discrepancies التناقضات استخدام شفرة المصدر إلعادة تشغيل البرنامج والمقارنة بين

 Parallel Simulation متوازية محاكاة  Auditor-created program is run and used to compare

against source code يتم تشغيل البرنامج الذي أنشأه المراجع ويستخدم للمقارنة بين المصدر شفرة

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-14

4. Computer Processing معالجه الكمبيوتر

 System fails to detect:

 Erroneous input

 Improper correction of input errors

 Process erroneous input

 Improperly distribute or disclose output

 Concurrent audit techniques

 Continuous system monitoring while live data are processed

during regular operating hours

 Using embedded audit modules

 Program code segments that perform audit functions, report

test results, and store the

evidence collected for auditor

review 11-15

: النظام في الكشف عنفشل * الخاطئاإلدخال - غير صحيح ألخطاء اإلدخالتصحيح - الخاطئاإلدخال معالجة - صحيحأو الكشف عن اإلخراج بشكل غير توزيع -

المتزامنة التدقيق تقنيات * المستمرة للنظام أثناء معالجة البيانات الحية المراقبة -

خالل ساعات التشغيل العادية :المضمنةوحدات التدقيق باستخدام -

شرائح رمز البرنامج التي تؤدي وظائف التدقيق ، وتقرير نتائج االختبار ، وتخزين األدلة التي تم جمعها

لمراجعة المراجع

Types of Concurrent Audits انواع عمليات التدقيق المتزامنه

 Integrated Test Facility متكامل مرفق اختبار  Uses fictitious inputs وهمية يستخدم مدخالت

 Snapshot Technique تقنية لقطة  Master files before and after update are stored for specially marked

transactions خاص يتم تخزين الملفات الرئيسية قبل وبعد التحديث للمعامالت المميزة بشكل

 System Control Audit Review File (SCARF) ملف مراجعة تدقيق التحكم في )النظام SCARF)  Continuous monitoring and storing of transactions that meet pre-

specifications المسبقة المراقبة المستمرة وتخزين المعامالت التي تلبي المواصفات

 Audit Hooks التدقيق هوكس  Notify auditors of questionable transactions إخطار مراجعي الحسابات بالمعامالت

فيها المشكوك

 Continuous and Intermittent Simulation ومتقطعة محاكاة مستمرة  Similar to SCARF for DBMS على غرارSCARF لDBMS

11-16

5. Source Data and مصدر البيانات و 6. Data Files ملفات البيانات

 Accuracy الصحه

 Integrity النزاهة

 Security of data امن البيانات

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 11-17

Chapter 12

The Revenue Cycle:

Sales to Cash Collections دورة :اإليرادات

المبيعات إلى المجموعات النقدية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-1 All the chapter is important

Learning Objectives

 Describe the basic business activities and related information processing operations performed in the revenue cycle.

 Discuss the key decisions that need to be made in the revenue cycle, and identify the information needed to make those decisions.

 Identify major threats in the revenue cycle, and evaluate the adequacy of various control procedures for dealing with those threats.

 صف األنشطة التجارية األساسية وعمليات معالجة المعلومات ذات الصلة المنفذة في دورة .اإليرادات

 ناقش القرارات األساسية التي يجب اتخاذها في دورة اإليرادات ، وحدد المعلومات الالزمة التخاذ .تلك القرارات

 تحديد التهديدات الرئيسية في دورة اإليرادات ، وتقييم مدى كفاية إجراءات الرقابة المختلفة للتعامل .مع تلك التهديدات

12-2

The Revenue Cycle دوره االيرادات

12-3

The Revenue Cycle

 Provides goods and services to customers

 Collects cash in payment for those sales

 Primary Objective:

 Provide the right product

 In the right place

 At the right time for the right price

 يوفر السلع والخدمات للعمالء  يجمع النقدية في الدفع لتلك المبيعات

 :الهدف األساسي  توفير المنتج المناسب  في المكان الصحيح

 في الوقت المناسب للسعر المناسب

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-4

Revenue Cycle Activities انشطه دورة االيرادات

1. Sales order entry

2. Shipping

3. Billing

4. Cash collections

ادخال أمر المبيعات -1

الشحن -2

الفواتير -3

مجموعات النقدية -4 12-5

General Revenue Cycle Threats تهديدات دوره االيرادات العامه  Inaccurate or invalid master data

 Unauthorized disclosure of sensitive information

 Loss or destruction of master data

 Poor performance

 بيانات رئيسية غير دقيقة أو غير صالحة

 الكشف غير المصرح به للمعلومات الحساسة

 فقدان أو إتالف البيانات الرئيسية

 أداء ضعيف

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-6

General Revenue Cycle Controls ضوابط دوره االيرادات العامه

 Data processing integrity controls ضوابط سالمة معالجة البيانات

 Restriction of access to master data تقييد الوصول الى البيانات الرئيسية

 Review of all changes to master data مراجعة جميع التغيرات إلتقان البيانات

 Access controls ضوابط الوصول

 Encryption التشفير

 Backup and disaster recovery procedures إجراءات النسخ االحتياطي و االسترداد بعد عطل فادح

 Managerial reports تقارير إدارية

12-7

Sales Order Entry إدخال أمر المبيعات

1. Take order أخذ الطلب

2. Check and approve credit تحقق و اعتماد االئتمان

3. Check inventory availability التحقق من توافر المخزون

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-8

Sales Order Entry

 Take Order أخذ الطلب  Sales order طلب المبيعات  Electronic data interchange (EDI) تبادل البيانات االلكتروني

 Credit Approval الموافقه على االئتمان  Credit limit الحد االئتماني  Accounts receivable aging ( بمعنى القديمه ) حسابات القبض المعمره

 Checking Inventory Availability التحقق من توافر المخزون  Back order ترتيب العوده  Picking tickets اختيار التذاكر

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 12-9

Sales Order Threats تهديدات طلبات المبيعات

 Incomplete/inaccurate orders

 Invalid orders

 Uncollectible accounts

 Stockouts or excess inventory

 Loss of customers

 غير دقيقة/ طلبات غير كاملة

 طلبات غير صالحة

 حسابات غير قابلة للتحصيل

 مخزون أو فائض المخزون

 فقدان العمالء 12-10

Sales Order Entry Controls ضوابط إدخال طلبات المبيعات

 Data entry edit controls (see Chapter 10) عناصر تحكم تحرير ادخال البيانات

 Restriction of access to master data تقييد الوصول إلى البيانات الرئيسيه

 Digital signatures or written signatures التوقيعات الرقميه او التوقيعات المكتوبه

 Credit limits حدود االئتمان

 Specific authorization to approve sales to new customers or sales that exceed a customer’s credit limit تفويض محدد للموافقه

على مبيعات العمالء الجدد او المبيعات التي تتجاوز حد ائتمان العميل

 Aging of accounts receivable تقادم الحسابات المستحقه القبض

 Perpetual inventory control system نظام مراقبه المخزون الدائم

 Use of bar-codes or RFID استخدام الرموز الشريطيه

 Training التدريب

 Periodic physical counts of inventory التهم الماديه الدوريه للمخزون

 Sales forecasts and activity reports توقعات المبيعات و تقارير النشاط

 CRM systems, self-help Web sites, and proper evaluation of customer service ratings أنظمة CRM

ومواقع ويب المساعدة الذاتية والتقييم الصحيح لتصنيفات خدمة العمالء

12-11

Shipping الشحن

1. Picking and packing the orderاختيار وتعبئة النظام

2. Shipping the order شحن الطلب

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-12

Shipping

 Pick and Pack the Order اختيار و حزم النظام  Picking ticket اختيار التذاكر

 Ship the Order شحن الطلب  Packing slip زلة التعبئة  Bill of lading بوليصه الشحن  May also serve as the freight bill قد تكون بمثابه فاتورة الشحن

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 12-13

Shipping Threats تهديدات الشحن

 Picking the wrong items or the wrong quantity اختيار العناصر خاطئ أو كمية خاطئ

 Theft of inventory سرقة المخزون

 Shipping errors (delay or failure to ship, wrong quantities, wrong items, wrong addresses, duplication) تأخير )أخطاء الشحن (أو فشل في الشحن ، كميات خاطئة ، عناصر خاطئة ، عناوين خاطئة ، تكرار

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-14

Shipping Controls ضوابط الشحن

 Bar-code and RFID technology الرمز الشريطي وRFID التكنولوجيا

 Reconciliation of picking lists to sales order details التوفيق بين اختيار القوائم وتفاصيل أمر المبيعات

 Restriction of physical access to inventory تقييد الوصول المادي إلى المخزون

 Documentation of all inventory transfers توثيق جميع عمليات نقل المخزون

 Periodic physical counts of inventory and reconciliation to recorded quantities التعداد المادي الدوري للمخزون والمطابقة للكميات المسجلة

 Reconciliation of shipping documents with sales orders, picking lists, and packing slips التوفيق بين مستندات الشحن وأوامر المبيعات وقوائم االختيار وقوائم التعبئة

 Use RFID systems to identify delays استخدام أنظمةRFID لتحديد التأخير

 Data entry v ia bar-code scanners and RFID إدخال البيانات RFIDعبر ماسحات الرموز الشريطية و

 Data entry edit controls (if shipping data entered on terminals) عناصر تحكم تحرير إدخال

إذا تم إدخال بيانات الشحن على )البيانات (المحطات

 Configuration of ERP system to prevent duplicate shipments تكوين نظام تخطيط موارد المؤسسات لمنع تكرار الشحنات

12-15

Billing الفواتير

1. Invoicing الفواتير

2. Updating accounts receivable تحديث حسابات القبض

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-16

Billing

 Invoicing الفواتير  Sales invoice فاتورة المبيعات

 Maintain accounts receivable الحفاظ على حسابات القبض  Two basic methods: طريقتان اساسيتان  Open-invoice مفتوح الفاتوره  Balance forward التوازن الى االمام

 Remittance advice نصيحه ايداع النقود  Monthly statement البيان الشهري  Cycle billing دورة الفواتير  Credit memo مالحظه إئتمانيه

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 12-17

Billing Threats تهديدات الفواتير

 Failure to bill

 Billing errors

 Posting errors in accounts receivable

 Inaccurate or invalid credit memos

 الفشل في الفاتورة

 أخطاء الفواتير

 نشر األخطاء في حسابات القبض

 مذكرات ائتمان غير دقيقة أو غير صالحة

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-18

Billing Controls ضوابط الفواتير  Separation of billing and shipping

functions والشحن فصل وظائف الفوترة

 Periodic reconciliation of inv oices with sales orders, picking tickets, and shipping documents التوفيق الدوري للفواتير مع أوامر المبيعات ، واختيار التذاكر ، ووثائق الشحن

 Configuration of system to automatically enter pricing data تكوين

تلقائيا النظام إلدخال بيانات التسعير

 Restriction of access to pricing master dataتقييد الوصول إلى بيانات التسعير الرئيسية

 Data entry edit controls إدخال بيانات تحرير الضوابط

 Reconciliation of shipping documents (picking tickets, bills of lading, and packing list) to sales orders التوفيق بين مستندات

( اختيار التذاكر ، وسندات الشحن ، وقائمة التعبئة)الشحن ألوامر المبيعات

 Data entry controls البيانات ضوابط إدخال

 Reconciliation of batch totals تسوية مجاميع الدُفعات

 Mailing of monthly statements to customers للعمالء إرسال البيانات الشهرية

 Reconciliation of subsidiary accounts to general ledger تسوية الحسابات الفرعية إلى دفتر األستاذ العام

 Segregation of duties of credit memo authorization from both sales order entry and customer account maintenance الفصل

بين واجبات تفويض مذكرة االئتمان من إدخال أمر المبيعات العميل وصيانة حساب

 Configuration of system to block credit memos unless there is either corresponding documentation of return of damaged goods or specific authorization by management تكوين النظام لمنع المذكرات االئتمانية ما لم

تكن هناك وثائق مقابلة إلرجاع البضائع التالفة أو تفويض محدد من اإلدارة

12-19

Cash Collections المجموعات النقديه

 Remittance list

 Lockbox

 Electronic lockbox

 Electronic funds transfer (EFT)

 Financial electronic data interchange (FEDI)

 قائمة التحويالت

 صندوق االمانات

 صندوق االمان االلكتروني

 )تحويل األموال اإللكتروني EFT)

 )تبادل البيانات المالية اإللكترونية FEDI) Copyright 2012 Pearson Education, Inc. publishing as Prentice Hall 20

Cash Collections Threats تهديدات المجموعات النقديه

1. Theft of cash سرقة النقد

2. Cash flow problems مشاكل بالسيوله الماليه

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 12-21

Cash Collection Controls ضوابط المجموعات النقديه

 Separation of cash handling function from accounts receiv able and credit functions فصل وظيفة االئتمان معالجة النقد عن حسابات القبض ووظائف

 Regular reconciliation of bank account with recorded amounts by someone independent of cash collections procedures تسوية منتظمة للحساب المصرفي مع المبالغ المسجلة من قبل شخص مستقل عن إجراءات التحصيل النقدي

 Use of EFT, FEDI, and lockboxes to minimize handling of customer payments by employees لتقليل معالجة مدفوعات العمالء من قبل الموظفين lockboxesو FEDIو EFTاستخدام

 Prompt, restrictiv e endorsement of all customer checksالمصادقة الفورية والمقيدة على جميع شيكات العمالء

 Hav ing two people open all mail likely to contain customer payments وجود شخصين يفتحان كل الرسائل التي يحتمل أن تحتوي على مدفوعات العمالء

 Use of cash registers النقد استخدام سجالت

 Daily deposit of all cash receipts النقدية اإليداع اليومي لجميع اإليصاالت

 Lockbox arrangements, EFT, or credit cards ترتيباتLockbox أوEFT االئتمان أو بطاقات

 Discounts for prompt payment by customers العمالء خصومات على الدفع الفوري من قبل

 Cash flow budgets النقدي ميزانيات التدفق 12-22

Chapter 13

The Expenditure Cycle:

Purchasing to Cash

Disbursements الشراء : دورة اإلنفاق إلى المصروفات النقدية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-1 All the chapter is important

Learning Objectives

 Explain the basic business activities and related information processing operations performed in the expenditure cycle.

 Discuss the key decisions to be made in the expenditure cycle, and identify the information needed to make those decisions.

 Identify major threats in the expenditure cycle, and evaluate the adequacy of various control procedures for dealing with those threats.

 .اشرح األنشطة التجارية األساسية وعمليات معالجة المعلومات ذات الصلة المنفذة في دورة النفقات

 ناقش القرارات الرئيسية الواجب اتخاذها في دورة اإلنفاق ، وحدد المعلومات الالزمة التخاذ تلك .القرارات

 تحديد التهديدات الرئيسية في دورة اإلنفاق ، وتقييم مدى كفاية إجراءات الرقابة المختلفة للتعامل مع .تلك التهديدات

13-2

The Expenditure Cycle

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-3

The Expenditure Cycle دوره االنفاق

 Activities and information processing related to: األنشطة :ومعالجة المعلومات المتعلقة بـ  Purchasing and payment of شراء ودفع  Goods and services بضائع وخدمات

 Primary objective: الهدف األساسي  Minimize the total cost of acquiring and maintaining

inventories, supplies, and the various services the organization needs to function قلل التكلفة اإلجمالية الكتساب وصيانة المخزونات واإلمدادات والخدمات المختلفة التي تحتاجها المنظمة للعمل

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-4

Expenditure Cycle

Activitiesأنشطة دورة اإلنفاق

1. Ordering materials, supplies, and services طلب المواد واللوازم والخدمات

2. Receiving materials, supplies, and services تلقي المواد واللوازم والخدمات

3. Approving supplier invoicesالموافقة على فواتير الموردين

4. Cash disbursements المدفوعات النقدية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-5

Expenditure Cycle General Threats دورة اإلنفاق التهديدات العامة

 Inaccurate or invalid master data

 Unauthorized disclosure of sensitive information

 Loss or destruction of data

 Poor performance

 بيانات رئيسية غير دقيقة أو غير صالحة

 الكشف غير المصرح به للمعلومات الحساسة

 فقدان أو إتالف البيانات

 أداء ضعيف

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-6

Expenditure Cycle General Controlsضوابط دورة اإلنفاق العامة

 Data processing integrity controls

 Restriction of access to master data

 Review of all changes to master data

 ضوابط سالمة معالجة البيانات

 تقييد الوصول إلى البيانات الرئيسية

 مراجعة جميع التغييرات إلتقان البيانات

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-7

Ordering تنظيم

 Managing inventory إدارة المخزون  Economic order quantity (EOQ) كمية الطلب االقتصادي( EOQ)  Traditional approach نهج تقليدي

 Materials requirements planning (MRP) )تخطيط متطلبات المواد MRP)  Seeks to reduce required inventory levels by improving

accuracy of forecasting production needs تسعى إلى خفض مستويات المخزون المطلوبة من خالل تحسين دقة التنبؤ باحتياجات اإلنتاج

 Just-in-time (JIT) inventory system )فقط في الوقت المناسب JIT) نظام المخزون  Attempts to minimize, if not totally eliminate, finished

goods inventory by purchasing and producing in response to actual sales rather than forecasted sales

محاوالت لتقليل ، إن لم يكن التخلص تماًما ، مخزون البضائع الجاهزة عن طريق الشراء واإلنتاج استجابةً للمبيعات الفعلية بدالً من المبيعات المتوقعة

13-8

Ordering

 Purchase requisition طلب شراء

 Purchase order امر شراء

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 13-9

Ordering Threats تهديدات الطلب

 Inaccurate inventory records سجالت المخزون غير دقيقة

 Purchasing items not needed شراء سلع غير مطلوبة

 Purchasing at inflated prices شراء بأسعار مبالغ فيها

 Purchasing goods of inferior quality شراء سلع ذات جودة رديئة

 Unreliable suppliers الموردين غير موثوق بها

 Purchasing from unauthorized suppliers الشراء من موردين غير مصرح لهم

 Kickbacks عموالت

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-10

Ordering Controls طلب الضوابط  Perpetual inventory system نظام الجرد الدائم

 Bar coding or RFID tags شريط الترميز أو عالماتRFID

 Periodic physical counts of inventory التهم المادية الدورية للمخزون

 Review and approval of purchase requisitions مراجعة واعتماد طلبات الشراء

 Centralized purchasing function وظيفة الشراء المركزية

 Price lists قائمة األسعار

13-11

Ordering Controls

 Competitive bidding العطاءات التنافسية

 Review of purchase orders مراجعة أوامر الشراء

 Budgets الميزانيات

 Purchasing only from approved suppliers الشراء فقط من الموردين المعتمدين

 Review and approval of purchases from new suppliers مراجعة واعتماد المشتريات من موردين جدد

 Holding purchasing managers responsible for rework and scrap costs تحميل مديري المشتريات المسؤولين عن إعادة صياغة وتكاليف الخردة

 Tracking and monitoring product quality by supplier تتبع ومراقبة جودة المنتج من قبل المورد

13-12

Ordering Controls

 Requiring suppliers to possess quality certification (e.g., ISO 9000) مطالبة الموردين بالحصول على شهادة

 Collecting and monitoring supplier delivery performance data جمع ومراقبة بيانات أداء تسليم المورد

 Maintaining a list of approved suppliers and configuring the system to permit purchase orders only to approved suppliers االحتفاظ بقائمة الموردين المعتمدين وتكوين النظام للسماح بأوامر الشراء للموردين المعتمدين فقط

 Review and approval of purchases from new suppliers مراجعة واعتماد المشتريات من موردين جدد

13-13

Ordering Controls

 EDI-specific controls (access, review of orders, encryption, policy) ـ عناصر التحكم الخاصة ب EDI ( الوصول ، مراجعة (الطلبات ، التشفير ، السياسة

 Requiring purchasing agents to disclose financial and personal interests in suppliers مطالبة وكالء الشراء باإلفصاح عن المصالح المالية والشخصية للموردين

 Training employees in how to respond to offers of gifts from suppliers تدريب الموظفين على كيفية االستجابة لعروض الهدايا المقدمة من الموردين

 Job rotation and mandatory vacations التناوب الوظيفي واإلجازات اإللزامية

 Supplier audits تدقيق الموردين

13-14

Receiving يستلم

 Receiving report تلقي تقرير

 Debit memo مذكرة الخصم

Copyright 2012 Pearson Education, Inc. publishing as Prentice Hall 15

Receiving Threats تهديدات المتلقي

 Accepting unordered items

 Mistakes in counting

 Verifying receipt of services

 Theft of inventory

 قبول العناصر غير مرتبة

 أخطاء في العد

 التحقق من استالم الخدمات

 سرقة المخزون

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-16

Receiving Controlsتلقي الضوابط  Requiring existence of approved purchase

order prior to accepting any deliv ery يتطلب وجود أمر شراء معتمد قبل قبول أي تسليم

 Do not inform receiv ing employees about quantity ordered ال تبلغ موظفي االستالم بالكمية المطلوبة

 Require receiv ing employees to sign receiv ing reportتتطلب تلقي الموظفين لتوقيع تلقي التقرير

 Incentivesحوافز

 Document transfer of goods to inv entory المخزونوثيقة نقل البضائع إلى

 Use of bar-codes and RFID tags استخدام الرموز RFIDالشريطية وعالمات

 Configuration of the ERP system to flag discrepancies between receiv ed and

ordered quantities that exceed tolerance threshold for inv estigation تكوين نظام تخطيط موارد المؤسسات لتحديد أوجه التباين بين الكميات المستلمة والكمية التي تتجاوز عتبة التسامح للتحقيق

 Segregation of duties: custody of inventory versus receiving الفصل بين

حجز المخزون مقابل االستالم: الواجبات

 Budgetary controls ضوابط الميزانية

 Auditsالتدقيق

 Restriction of physical access to inventory تقييد الوصول المادي إلى المخزون

 Documentation of all transfers of inventory between receiving

and inventory employees توثيق جميع عمليات نقل المخزون بين موظفي االستالم والمخزون

 Periodic physical counts of inventory and reconciliation to

recorded quantities التعداد المادي الدوري للمخزون والمطابقة للكميات المسجلة

13-17

Approving Supplier Invoices الموافقة على فواتير الموردين

 Non-Voucher غير قسيمة  Each approved invoice is posted to individual supplier

records in the accounts payable file and is then stored in an open-invoice file. يتم نشر كل فاتورة معتمدة في سجالت الموردين الفردية في ملف .الحسابات الدائنة ثم يتم تخزينها في ملف الفاتورة المفتوحة

 When a check is written to pay for an invoice, the voucher package is removed from the open-invoice file, the invoice is marked paid, and then the voucher package is stored in the paid-invoice file. عند كتابة شيك لدفع فاتورة ، تتم إزالة حزمة اإليصاالت من

ملف الفاتورة المفتوحة ، وتمييز الفاتورة مدفوعة ، ثم يتم تخزين حزمة اإليصاالت في ملف الفاتورة المدفوعة

 Voucher إيصال  Disbursement voucher is also created when a supplier

invoice is approved for payment. يتم إنشاء قسيمة الصرف أيًضا عند اعتماد .فاتورة المورد للدفع  Identifies the supplier, lists the outstanding invoices, and

indicates the net amount to be paid after deducting any applicable discounts and allowances. يحدد المورد ، ويسرد

الفواتير المستحقة ، ويشير إلى المبلغ الصافي الواجب دفعه بعد خصم أي خصومات .وبدالت معمول بها

13-18

Advantages of Voucher System مزايا نظام القسائم

1. Reduce number of checks تقليل عدد الشيكات

2. Can utilize pre-sequential-numbered voucher control يمكن استخدام التحكم في القسائم قبل التسلسل

3. Allows for separation of invoice approval from invoice paymentيسمح بفصل موافقة الفاتورة عن دفع الفاتورة

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-19

Approving Invoices Threats الموافقة على تهديدات الفواتير  Errors in supplier invoices أخطاء في فواتير المورد

 Mistakes in posting to accounts payable أخطاء في النشر إلى حسابات مستحقة الدفع

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 13-20

Approving Invoices Controls

 Verification of invoice accuracy التحقق من دقة الفاتورة

 Requiring detailed receipts for procurement card purchases طلب إيصاالت مفصلة لمشتريات بطاقات المشتريات

 Evaluated receipt settlement تقييم تسوية االستالم  Match PO with receiv ing report تطابقPO مع تلقي

التقرير

 Restriction of access to supplier master data تقييد الوصول إلى البيانات الرئيسية للمورد

 Verification of freight bill and use of approved delivery channels التحقق من فاتورة الشحن واستخدام قنوات التسليم المعتمدة

 Data entry edit controlsإدخال بيانات تحرير الضوابط

 Reconciliation of detailed accounts payable records with the general ledger control account التوفيق بين حسابات مفصلة السجالت 21-13 الدائنة مع حساب التحكم دفتر األستاذ العام

Cash Disbursement Threats تهديدات الصرف النقدي

 Failure to take advantage of discounts for prompt payment

 Paying for items not received

 Duplicate payments

 Theft of cash

 Check alteration

 Cash flow problems

 عدم االستفادة من خصومات الدفع الفوري

 دفع مقابل البنود التي لم تتلق

 مدفوعات مكررة

 سرقة النقد

 تحقق التغيير

 مشاكل بالسيولة المالية

13-22

Cash Disbursement Controls ضوابط الصرف النقدي

 Filing of invoices by due date for discounts تقديم الفواتير حسب تاريخ االستحقاق للخصومات

 Cash flow budgets ميزانيات التدفق النقدي

 Requiring that all supplier invoices be matched to supporting documents that are acknowledged by both receiving and inventory control اشتراط أن تكون جميع فواتير المورد مطابقة لمستندات داعمة معترف بها من قبل كل من المستلم ومراقبة المخزون

 Budgets (for services) ( للخدمات)الميزانيات

 Requiring receipts for travel expenses طلب إيصاالت لنفقات السفر

 Use of corporate credit cards for travel expenses استخدام بطاقات االئتمان للشركات لتغطية نفقات السفر

 Requiring a complete voucher package for all payments تتطلب حزمة قسيمة كاملة لجميع المدفوعات

 Policy to pay only from original copies of supplier invoices سياسة الدفع فقط من النسخ األصلية لفواتير المورد

 Cancelling all supporting documents when payment is made سياسة الدفع فقط من النسخ األصلية لفواتير المورد

13-23

Cash Disbursement Controls

 Cancelling all supporting documents when payment is made إلغاء جميع المستندات الداعمة عند إجراء الدفع

 Physical security of blank checks and check-signing machine األمن المادي للشيكات الفارغة وآلة تسجيل الشيكات

 Periodic accounting of all sequentially numbered checks by cashier المحاسبة الدورية لجميع الشيكات مرقمة بالتسلسل من قبل أمين الصندوق

 Access controls to EFT terminals ضوابط الوصول إلى محطات تحويل األموال اإللكتروني

 Use of dedicated computer and browser for online banking استخدام جهاز كمبيوتر مخصص ومتصفح للخدمات المصرفية عبر اإلنترنت

 ACH blocks on accounts not used for payments كتلACH على الحسابات غير المستخدمة للمدفوعات

 Separation of check-writing function from accounts payable فصل وظيفة كتابة الشيكات عن الحسابات المستحقة الدفع

 Requiring dual signatures on checks greater than a specific amount تتطلب توقيعات مزدوجة على الشيكات أكبر من مبلغ معين

 Regular reconciliation of bank account with recorded amounts by someone independent of cash disbursements procedures التسوية المنتظمة للحساب المصرفي مع المبالغ المسجلة من قبل شخص مستقل عن إجراءات الصرف النقدي

13-24

Cash Disbursement Controls

 Restriction of access to supplier master file تقييد الوصول إلى الملف الرئيسي للمورد

 Limiting the number of employees with ability to create one- time suppliers and to process invoices from one-time suppliers الحد من عدد الموظفين الذين لديهم القدرة على إنشاء الموردين لمرة واحدة ومعالجة الفواتير من الموردين لمرة واحدة

 Running petty cash as an imprest fund تشغيل المصروفات النثرية كصندوق للسلف

 Surprise audits of petty cash fund عمليات مراجعة مفاجئة لصندوق المصروفات النثرية

 Check protection machines تحقق آالت الحماية

 Use of special inks and papers استخدام األحبار واألوراق الخاصة

 “Positive pay” arrangements with banks مع " الدفع اإليجابي"ترتيبات البنوك

 Cash flow budget ميزانية التدفق النقدي 13-25

Chapter 14

The Production Cycle

دورة اإلنتاج

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 14-1 All the chapter is important

Learning Objectives

 Describe the major business activities and related information processing operations performed in the production cycle.

 Identify major threats in the production cycle and evaluate the adequacy of various control procedures for dealing with those threats.

 Explain how a company’s cost accounting system can help it achieve its manufacturing goals.

 Discuss the key decisions that must be made in the production cycle and identify the information required to make those decisions.

 .صف األنشطة التجارية الرئيسية وعمليات معالجة المعلومات ذات الصلة المنفذة في دورة اإلنتاج

 .تحديد التهديدات الرئيسية في دورة اإلنتاج وتقييم مدى كفاية إجراءات الرقابة المختلفة للتعامل مع تلك التهديدات

 .اشرح كيف يمكن لنظام محاسبة التكاليف الخاص بالشركة أن يساعدها في تحقيق أهداف التصنيع الخاصة بها

 ناقش القرارات األساسية التي يجب اتخاذها في دورة اإلنتاج وتحديد المعلومات المطلوبة التخاذ تلك القرارات

14-2

Production Cycle

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 14-3

The Production Cycle

 Business activities and information processing activities

 Related to manufacturing of products

 أنشطة األعمال وأنشطة معالجة المعلومات  المتعلقة بتصنيع المنتجات

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 14-4

Production Cycle General Threats دورة العامةاإلنتاج التهديدات

 Inaccurate or invalid master data

 Unauthorized disclosure of sensitive information

 Loss or destruction of data

 بيانات رئيسية غير دقيقة أو غير صالحة

 الكشف غير المصرح به للمعلومات الحساسة

 فقدان أو إتالف البيانات

14-5

Production Cycle General Controls العامةضوابط دورة اإلنتاج

 Data processing integrity controls

 Restriction of access to master data

 Review of all changes to master data

 Access controls

 Encryption

 Backup and disaster recovery procedures

ضوابط سالمة معالجة البيانات

تقييد الوصول إلى البيانات الرئيسية

مراجعة جميع التغييرات إلتقان البيانات

ضوابط الوصول

التشفير

النسخ االحتياطي وإجراءات التعافي من الكوارث

14-6

Production Cycle Activities

1. Product design تصميم المنتج

2. Planning and scheduling التخطيط والجدولة

3. Production operationsعمليات اإلنتاج

4. Cost accounting حساب التكلفة

14-7

Product Design تصميم المنتج

 Outputs المخرجات  Bill of materials فاتورة المواد  Operations list قائمة العمليات

 Product life-cycle management (PLM) software برنامج إدارة )دورة حياة المنتج PLM)  Computer-aided design (CAD) software برنامج التصميم بمساعدة

)الكمبيوتر CAD)  Digital manufacturing software برنامج التصنيع الرقمي  Product data management software برنامج إدارة بيانات المنتج

14-8

Product Design Threats تهديدات تصميم المنتج  Poor product design resulting in excess costs

سوء تصميم المنتج مما يؤدي إلى زيادة التكاليف

14-9

Product Design Controls ضوابط تصميم المنتج  Accounting analysis of costs arising from product design

choices

 Analysis of warranty and repair costs

 التحليل المحاسبي للتكاليف الناشئة عن خيارات تصميم المنتج

 تحليل الضمان وتكاليف اإلصالح

14-10

Planning and Scheduling التخطيط والجدولة  Common methods الطرق الشائعة  Manufacturing resource planning (MRP-II) تخطيط موارد التصنيع  Seeks to balance existing production capacity and raw

materials to meet forecasted sales demands يسعى لتحقيق التوازن بين الطاقة اإلنتاجية الحالية والمواد الخام لتلبية متطلبات المبيعات المتوقعة

 Push manufacturing دفع التصنيع

 Lean manufacturing صناعة هزيلة  Extends the principles of just-in-time inventory systems to

the production process يمتد مبادئ نظم الجرد في الوقت المناسب إلى عملية اإلنتاج

 Pull manufacturing سحب التصنيع

14-11

Planning and Scheduling

 Master production schedule (MPS)

 Production order

 Materials requisition

 Move ticket

 )جدول اإلنتاج الرئيسي MPS)

 أمر اإلنتاج

 طلب المواد

 نقل تذكرة

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 14-12

Planning and Scheduling Threats تخطيط وجدولة التهديدات  Over- or underproduction

اإلفراط أو نقص اإلنتاج

14-13

Planning and Scheduling Controls ضوابط التخطيط والجدولة

 Production planning systems

 Review and approval of production schedules and orders

 Restriction of access to production orders and production schedules

 نظم تخطيط اإلنتاج

 مراجعة واعتماد جداول اإلنتاج والطلبات

 تقييد الوصول إلى أوامر اإلنتاج وجداول اإلنتاج

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 14-14

Production Operations عمليات اإلنتاج

 Varies greatly across companies

 Often use computer-integrated manufacturing (CIM)

 Accountants need to understand how it affects operations and cost accounting

 يختلف بشكل كبير عبر الشركات

 )غالبًا ما تستخدم التصنيع المدمج بالحاسوب CIM)

 المحاسبين بحاجة إلى فهم كيف يؤثر على العمليات ومحاسبة التكاليف

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 14-15

Production Operations Threats تهديدات عمليه االنتاج  Theft of inventory سرقة المخزون

 Theft of fixed asset سرقة األصول الثابتة

 Poor performance أداء سيء

 Suboptimal investment in fixed assets االستثمار األمثل في األصول الثابتة

 Loss of inventory or fixed assets due to fire or other disasters فقدان المخزون أو األصول الثابتة بسبب الحريق أو الكوارث األخرى

 Disruption of operations تعطل العمليات

14-16

Production Operations Controls ضوابط عمليه االنتاج

 Physical access control التحكم في الوصول المادي

 Documentation of all inventory movement توثيق كل حركة المخزون

 Segregation of duties—custody of assets from recording and authorization of removal حفظ األصول من التسجيل -الفصل بين الواجبات والترخيص باإلزالة

 Restriction of access to inventory master data تقييد الوصول إلى البيانات الرئيسية للمخزون

 Periodic physical counts of inventory and reconciliation of those counts to recorded quantities التعداد المادي الدوري للمخزون والتوفيق بين هذه التهم والكميات المسجلة

 Physical inventory of all fixed assets جرد مادي لجميع األصول الثابتة

 Restriction of physical access to fixed assets تقييد الوصول المادي إلى األصول الثابتة

 Maintaining detailed records of fixed assets, including disposal االحتفاظ بسجالت مفصلة لألصول

منهاالثابتة ، بما في ذلك التخلص

 Training التدريب

 Performance reports األداء تقارير

 Proper approval of fixed asset acquisitions, including use of requests for proposals to solicit multiple competitive bids الموافقة

الصحيحة على عمليات االستحواذ على األصول الثابتة ، بما في ذلك استخدام طلبات االقتراحات

متعددة للحصول على عروض تنافسية

 Physical safeguards (e.g., fire sprinklers) مثل رشاشات )الحماية المادية الحريق

 Insurance تأمين

 Backup and disaster recovery plans خطط النسخ االحتياطي واالسترداد بعد عطل فادح

14-17

Cost Accounting Threats تهديدات محاسبه التكاليف  Inaccurate cost data بيانات التكلفة غير دقيقة

 Inappropriate allocation of overhead costs تخصيص غير مناسب للتكاليف العامة

 Misleading reports تقارير مضللة

14-18

Cost Accounting Controls ضوابط محاسبة التكاليف  Source data automation مصدر أتمتة البيانات

 Data processing integrity controls ضوابط سالمة معالجة البيانات

 Time-driven activity-based costing الوقت القائم على النشاط التكاليف

 Innovative performance metrics مقاييس األداء المبتكرة

14-19

Cost Accounting محاسبه التكاليف Assigning Production Costs: اإلنتاجتعيين تكاليف

 Job-Order Costing تكلف أجل وظيفة  Assigns costs to specific production batches, or jobs يعين التكاليف على مجموعات اإلنتاج المحددة ، أو

الوظائف  If the product or serv ice is uniquely identifiable فريدإذا كان المنتج أو الخدمة محددة بشكل

 Process Costing العملية تكلف  Assigns costs to each process, or work center, in the production cycle, and then

calculates the av erage cost for all units produced. يعين التكاليف لكل عملية ، أو مركز عمل ، في دورة .اإلنتاج ، ثم يحسب متوسط التكلفة لجميع الوحدات المنتجة  If the product or serv ice is similar and produced in mass quantities إذا كان المنتج أو الخدمة

كبيرةمتشابهة ويتم إنتاجها بكميات

 Activity-Based Costing النشاط تقدير التكاليف على أساس  Traces costs to the activ ities that create them تنشئها يتتبع تكاليف األنشطة التي  Uses a greater number of ov erhead pools العامة يستخدم عدًدا أكبر من التجمعات  Batch دفعة  Product المنتج  Organization منظمة

 Identifies cost driv ers السائقين يحدد تكلفة  Cause-and-effect relationship والنتيجةالعالقة بين السبب

14-20

Chapter 15

The Human Resources Management and Payroll Cycle

الرواتبودورة إدارة الموارد البشرية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall

15-1

All the chapter is important

Learning Objectives

 Describe the major business activities and related information processing operations performed in the human resources

management (HRM)/payroll cycle.

 Discuss the key decisions to be made in the HRM/payroll cycle and identify the information needed to make those decisions.

 Identify the major threats in the HRM/payroll cycle and evaluate the adequacy of various internal control procedures for dealing with them.

 صف األنشطة التجارية الرئيسية وعمليات معالجة المعلومات ذات الصلة المنفذة في دورة إدارة )الموارد البشرية HRM) / الرواتب.

 كشوف المرتبات / ناقش القرارات الرئيسية التي يتعين اتخاذها في دورة إدارة الموارد البشرية .وتحديد المعلومات الالزمة التخاذ تلك القرارات

 كشوف المرتبات وتقييم مدى كفاية / تحديد التهديدات الرئيسية في دورة إدارة الموارد البشرية .إجراءات الرقابة الداخلية المختلفة للتعامل معها

15-2

HRM and Payroll Cycle

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 15-3

HRM and Payroll Cycle إدارة الموارد الرواتبالبشرية ودورة

 Managing Employees:

 Recruiting and hiring new employees

 Training

 Job assignment

 Compensation

 Performance evaluation

 Discharge of employees due to voluntary or involuntary termination

 :إدارة الموظفين  توظيف وتوظيف موظفين جدد

 تدريب  مهمة للعمل  تعويضات  تقييم األداء

 4-15 إبراء ذمة الموظفين بسبب اإلنهاء الطوعي أو غير الطوعي

HRM and Payroll Cycle Activities إدارة الموارد البشرية وأنشطة دورة الرواتب

1. Update master data الرئيسيةتحديث البيانات

2. Validate time and attendance التحقق من صحة

والحضورالوقت

3. Prepare payroll الرواتبإعداد

4. Distribute payroll توزيع الرواتب

5. Disburse taxes and miscellaneous deductions صرف الضرائب

المتنوعةواالستقطاعات 15-5

HRM and Payroll General Threats إدارة الموارد البشرية والرواتب العامة التهديدات

 Inaccurate or invalid master data

 Unauthorized disclosure of sensitive information

 Loss or destruction of data

 Hiring unqualified or larcenous employees

 Violations of employment laws

 بيانات رئيسية غير دقيقة أو غير صالحة

 الكشف غير المصرح به للمعلومات الحساسة

 فقدان أو إتالف البيانات

 توظيف موظفين غير مؤهلين أو سارقين

 انتهاكات قوانين العمل 15-6

HRM and Payroll General Controls إدارة العامةالموارد البشرية والرواتب الضوابط

 Data processing integrity controls البياناتضوابط سالمة معالجة

 Restriction of access to master data الرئيسيةتقييد الوصول إلى البيانات

 Review of all changes to master data البياناتمراجعة جميع التغييرات إلتقان

 Access controls الوصولضوابط

 Encryption التشفير

 Backup and disaster recovery procedures النسخ االحتياطي وإجراءات التعافي من الكوارث

 Sound hiring procedures, including verification of job applicants’ credentials, skills, references, and employment history ، إجراءات توظيف سليمة

التوظيفبما في ذلك التحقق من أوراق اعتماد المتقدمين للوظيفة والمهارات والمراجع وتاريخ

 Criminal background investigation checks of all applicants for finance- related positions التمويلالشيكات التحقيق خلفية جنائية لجميع المتقدمين لشغل وظائف

 Thorough documentation of hiring, performance evaluation, and dismissal procedures الفصلتوثيق شامل للتعيين وتقييم األداء وإجراءات

15-7

Update Master File Threats تحديث التهديداتالملف الرئيسي

 Unauthorized changes to payroll master data

 Inaccurate updating of payroll master data

 تغييرات غير مصرح بها لبيانات الرواتب الرئيسية

 تحديث غير دقيق للبيانات الرئيسية لكشوف المرتبات

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 15-8

Update Master File Controls تحديث الرئيسيةعناصر التحكم في الملفات

 Segregation of duties: HRM department updates master data, but only payroll department issues paychecks

 Access controls

 Data processing integrity controls

 Regular review of all changes to master payroll data

 يقوم قسم إدارة الموارد البشرية بتحديث البيانات الرئيسية ، لكن : الفصل بين الواجبات قسم كشوف المرتبات فقط هو الذي يصدر شيكات

 ضوابط الوصول

 ضوابط سالمة معالجة البيانات

 مراجعة منتظمة لجميع التغييرات إلتقان بيانات كشوف المرتبات 15-9

Validation Threats تهديدات التحقق من الصحة  Inaccurate time and attendance data

 الوقت غير دقيق وبيانات الحضور

15-10

Validation Controls ضوابط التحقق من الصحة  Source data automation for data capture

 Biometric authentication

 Segregation of duties (reconciliation of job-time tickets to time cards)

 Supervisory review

 مصدر أتمتة البيانات اللتقاط البيانات

 تصديق احصائى

 (التوفيق بين تذاكر وقت العمل وبطاقات الوقت)الفصل بين الواجبات

 مراجعة إشرافية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 15-11

Prepare Payroll Threats إعداد التهديدات الرواتب  Errors in processing payroll

 أخطاء في تجهيز كشوف المرتبات

15-12

Prepare Payroll Controls إعداد الضوابط الرواتب  Data processing integrity controls: batch totals, cross-

footing of the payroll register, use of a payroll clearing account, and a zero-balance check : ضوابط تكامل معالجة البيانات

المجاميع الدفعية ، والقدم المتداخل لسجل كشوف المرتبات ، واستخدام حساب مقاصة الصفريكشوف المرتبات ، وفحص الرصيد

 Supervisory review of payroll register and other reports األخرىمراجعة إشرافية لسجل الرواتب والتقارير

 Issuing earnings statements to employees إصدار كشوف األرباح للموظفين

 Review of IRS guidelines to ensure proper classification of workers as either employees or independent contractors مراجعة إرشادات مصلحة الضرائب لضمان التصنيف الصحيح للعمال

مستقلينعلى أنهم موظفين أو مقاولين

15-13

Disburse Payroll Threats صرف تهديدات الرواتب  Theft or fraudulent distribution of paychecks

 السرقة أو التوزيع االحتيالي للرواتب

15-14

Disburse Payroll Controls صرف الرواتبالضوابط

 Restriction of physical access to blank payroll checks and the check signature machine تقييد الوصول الشيكات الفعلي إلى شيكات كشوف المرتبات الفارغة وجهاز توقيع

 Restriction of access to the EFT system اإللكتروني تقييد الوصول إلى نظام تحويل األموال

 Prenumbering and periodically accounting for all payroll checks and rev iew of all EFT direct deposit transactions اإلعداد المسبق والمحاسبة الدورية لجميع شيكات كشوف المرتبات ومراجعة جميع معامالت اإليداع المباشر عبر التحويل اإللكتروني

 Require proper supporting documentation for all paychecks الرواتب طلب الوثائق الداعمة المناسبة لجميع شيكات

 Use of a separate checking account for payroll, maintained as an imprest fund استخدام حساب فحص منفصل سداد لكشوف المرتبات ، يتم االحتفاظ به كصندوق

 Segregation of duties (cashier v ersus accounts payable; check distribution from hiring/firing; independent reconciliation of the payroll checking account) أمين الصندوق مقابل الحسابات )الفصل بين الواجبات

( المرتباتإطالق ؛ تسوية مستقلة لحساب التحقق من كشوف / المستحقة الدفع ؛ التحقق من التوزيع من التوظيف

 Restriction of access to payroll master database الرئيسية تقييد الوصول إلى قاعدة بيانات الرواتب

 V erification of identity of all employees receiv ing paychecks شيكات التحقق من هوية جميع الموظفين الذين يتلقون

 Re-depositing unclaimed paychecks and inv estigating cause إعادة إيداع شيكات الرواتب غير المطالب بها والتحقيق السببفي

15-15

Disburse Taxes and Deduction Threats بالخصم صرف الضرائب والتهديدات

 Failure to make required payments المطلوبة عدم سداد المدفوعات

 Untimely payments المناسب المدفوعات في الوقت

 Inaccurate payments دقيقةمدفوعات غير

15-16

Disburse Taxes and Deductions

Controls الخصومات صرف الضرائب وضوابط

 Configuration of system to make required payments using current instructions from IRS (Publication Circular E) تكوين النظام إلجراء المدفوعات المطلوبة باستخدام التعليمات الحالية من مصلحة

المنشور التعميم )الضرائب E)

 Processing integrity controls النزاهة معالجة الضوابط

 Supervisory review of reports للتقارير مراجعة إشرافية

 Employee review of earnings statement مراجعة الموظف لبيان األرباح

15-17

Chapter 16

General Ledger and

Reporting System

دفتر األستاذ العام ونظام اإلبالغ

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-1

Reading only

Learning Objectives  Describe the information processing operations required to update the

general ledger and to produce reports for internal and external users.

 Identify the major threats in general ledger and reporting activities and evaluate the adequacy of various control procedures for dealing with them.

 Understand the implications of new IT developments, such as XBRL, and changes in external reporting requirements, such as IFRS, for the design and operation of the general ledger and reporting system.

 Discuss how tools such as responsibility accounting, balanced scorecards, and graphs can be used to provide information managers need to effectively monitor performance.

 صف عمليات معالجة المعلومات المطلوبة لتحديث دفتر األستاذ العام وإصدار تقارير للمستخدمين الداخليين .والخارجيين

 تحديد التهديدات الرئيسية في دفتر األستاذ العام وأنشطة اإلبالغ وتقييم مدى كفاية إجراءات الرقابة المختلفة .للتعامل معها

 فهم اآلثار المترتبة على التطورات الجديدة في تكنولوجيا المعلومات ، مثل XBRL ، والتغيرات في متطلبات التقارير الخارجية ، مثل المعايير الدولية إلعداد التقارير المالية ، لتصميم وتشغيل نظام دفتر األستاذ العام

.وإعداد التقارير

 ناقش كيف يمكن استخدام أدوات مثل محاسبة المسئولية ، وبطاقات النتائج المتوازنة ، والرسوم البيانية لتوفير .حاجة مديري المعلومات لمراقبة األداء بفعالية 16-2

General Ledger and Reporting

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-3

General Ledger and Reporting دفتر األستاذ العام وإعداد التقارير  Primary function is to collect and organize

 The accounting cycle activities

 Financing activities

 Investing activities

 Budget activities

 Adjustments

 الوظيفة األساسية هي جمع وتنظيم  أنشطة دورة المحاسبة

 أنشطة التمويل  نشاطات إستثمارية  أنشطة الميزانية

 التعديالت

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-4

General Ledger and Reporting General

Threats دفتر األستاذ العام واإلبالغ عن التهديدات العامة

 Inaccurate or invalid general ledger data

 Unauthorized disclosure of financial statement

 Loss or destruction of data

 بيانات دفتر األستاذ العام غير دقيقة أو غير صالحة

 اإلفصاح غير المصرح به للبيان المالي

 فقدان أو إتالف البيانات

16-5

General Ledger and Reporting General Controls دفتر األستاذ العام وإعداد التقارير الضوابط العامة  Data processing integrity controls ضوابط سالمة معالجة البيانات

 Restriction of access to general ledger تقييد الوصول إلى دفتر األستاذ العام

 Review of all changes to general ledger data مراجعة جميع التغييرات على بيانات دفتر األستاذ العام

 Access controls ضوابط الوصول

 Encryption التشفير

 Backup and disaster recovery procedures النسخ االحتياطي وإجراءات التعافي من الكوارث

16-6

General Ledger and Reporting Activities

دفتر األستاذ العام وأنشطة اإلبالغ

1. Update general ledger تحديث دفتر األستاذ العام

2. Post adjusting entries بعد ضبط اإلدخاالت

3. Prepare financial statements إعداد البيانات المالية

4. Produce management reports إنتاج تقارير اإلدارة

16-7

Update General Ledger تحديث دفتر األستاذ العام  Posting journal entries from: نشر إدخاالت دفتر اليومية من  Accounting subsystems النظم الفرعية للمحاسبة  Updated automatically by each of the transaction cycles

in chapters 12-15 يتم التحديث تلقائيًا بواسطة كل دورة من دورات المعامالت في 15-12الفصول

 Treasurer أمين صندوق  Non-routine transactions such as issuance or retirement of

debt, purchase or sale of investment securities, or

acquisition of treasury stock المعامالت غير الروتينية مثل إصدار أو سحب الديون أو شراء أو بيع األوراق المالية االستثمارية أو شراء أسهم الخزينة

 Journal voucher file ملف قسيمة اليومية

 Trial balance ميزان المراجعة

 Audit trail سجل تدقيق 16-8

Update General Ledger Threats تحديث تهديدات دفتر األستاذ العام  Inaccurate updating of general ledger تحديث غير دقيق لدفتر

األستاذ العام

 Unauthorized journal entries إدخاالت دفتر اليومية غير المصرح به

16-9

Update General Ledger Controls تحديث الضوابط دفتر األستاذ العام  Data entry processing integrity controls ضوابط سالمة معالجة

إدخال البيانات

 Reconciliations and control reports المصالحة وتقارير الرقابة

 Audit trail creation and review تدقيق إنشاء درب والمراجعة

 Access controls ضوابط الوصول

16-10

Post Adjusting Entries بعد ضبط إدخاالت

 Accruals مستحقات  Events that have occurred but no exchange of cash األحداث

التي وقعت ولكن ال تبادل النقدية  e.g., interest revenue earned, wages payable ، على سبيل المثال

إيرادات الفوائد المكتسبة واألجور المستحقة الدفع

 Deferrals تأجيل  Reflect exchange of cash prior to performance of event تعكس

تبادل النقد قبل أداء الحدث  e.g., prepaid revenue, prepaid expenses على سبيل المثال ، اإليرادات

المدفوعة مقدًما والنفقات المدفوعة مقدًما

 Estimates التقديرات  Portion of expense expected to occur over a period of

time نسبة المصروفات المتوقع حدوثها خالل فترة من الزمن  e.g., depreciation, bad-debt expense ، على سبيل المثال ، االستهالك

11-16 مصاريف الديون المعدومة

Post Adjusting Entries بعد ضبط إدخاالت

 Revaluations إعادة تقييم  Reflect differences between actual and book values of

assets or changes in accounting principles تعكس االختالفات بين القيم الفعلية والقيم الدفترية لألصول أو التغييرات في المبادئ المحاسبية

 e.g., inventory adjustments, change in inventory valuation method على سبيل المثال ، تعديالت المخزون ، التغيير في طريقة تقييم المخزون

 Corrections تصحيحات  Correct effects of errors اآلثار الصحيحة لألخطاء

16-12

Post Adjusting Entries Threats بعد ضبط التهديدات إدخاالت  Inaccurate adjusting entries غير دقيقة ضبط اإلدخاالت

 Unauthorized adjusting entries إدخاالت ضبط غير مصرح بها

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-13

Post Adjusting Entries Controls بعد ضبط عناصر التحكم في اإلدخاالت  Data entry processing integrity controls ضوابط سالمة معالجة

إدخال البيانات

 Spreadsheet error protection controls ضوابط حماية خطأ جدول البيانات

 Standard adjusting entries مداخل ضبط القياسية

 Reconciliations and control reports المصالحة وتقارير الرقابة

 Audit trail creation and review تدقيق إنشاء درب والمراجعة

 Access controls ضوابط الوصول

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-14

Prepare Financial Statements إعداد البيانات الماليه  Closing journal entries إغالق إدخاالت دفتر اليومية

 Income statement قوائم الدخل

 Balance sheet ورقة التوازن

 Statement of cash flows بيان التدفقات النقدية

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 16-15

Prepare Financial Statement Threats الماليه إعداد تهديدات البيانات

 Inaccurate financial statements بيانات مالية غير دقيقة

 Fraudulent financial reporting التقارير المالية االحتيالية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-16

Prepare Financial Statement Controls

 Processing integrity controls

 Use of packaged software

 Training and experience in applying IFRS and XBRL

 Audits

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-17

eXtensible Business Reporting Language (XBRL)

Without With

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-18

XBRL

 Instance Document  Contains data from financial statements  Marked up or tagged with data describing the data

 Each piece of data in XBRL is an element

 Taxonomy  Set of files defining the various elements and the

relationships between them  A schema  Contains the definitions of every element that could

appear in an instance document

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-19

XBRL

 Linkbases  Describes relationships between elements  Reference  Identifies relevant authoritative pronouncements

 Calculation  Specifies how to combine elements

 Presentation  How to group elements

 Label  Associates human-readable labels with elements

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 16-20

Produce Management Reports Threats

 Poorly designed reports and graphs

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-21

Produce Management Report Controls

 Responsibility accounting

 Balanced scorecard

 Training on proper graph design

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-22

Balanced Scorecard

 A report that provides a multidimensional perspective of organizational performance

 Reflecting four perspectives of the organization

 Financial

 Customer

 Internal operations

 Innovation and learning

 Showing goals and measures

 Targets

 Actual

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 16-23

Chapter 17

Database Design Using the REA Data Model

REAتصميم قاعدة البيانات باستخدام نموذج بيانات

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 17-1

Learning Objectives

 Discuss the steps for designing and implementing a database system.

 Use the REA data model to design an AIS database.

 Draw an REA diagram of an AIS database.

 Read an REA diagram and explain what it reveals about the business activities and policies of the organization being modeled.

 .ناقش خطوات تصميم وتنفيذ نظام قاعدة البيانات

 .AISلتصميم قاعدة بيانات REAاستخدم نموذج بيانات

 .AISلقاعدة بيانات REAارسم مخطًطا

 .واشرح ما تكشفه عن أنشطة وسياسات المؤسسة التي يتم تصميمها REAاقرأ مخطط 17-2

Database Design Process

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 17-3

The System Analysis Process عملية تحليل النظام

 Systems Analysis تحليل النظم  Initial planning to determine the need for and

feasibility of developing a new system التخطيط األولي لتحديد الحاجة إلى تطوير نظام جديد وجدواه  Judgments about the proposal’s technological and

economic feasibility أحكام حول الجدوى التكنولوجية واالقتصادية للمقترح  Identify user information needsتحديد احتياجات معلومات المستخدم  Define the scope of the proposed new system تحديد نطاق

النظام الجديد المقترح  Gather information about the expected number of users

and transaction volumes to make preliminary decisions about hardware and software requirements جمع المعلومات حول

العدد المتوقع من المستخدمين وحجم المعامالت التخاذ قرارات أولية حول متطلبات األجهزة والبرامج

 Conceptual Design التصميم النظري  Developing the different schemas for the new system

at the conceptual, external, and internal levels تطوير المخططات المختلفة للنظام الجديد على المستويات المفاهيمية والخارجية والداخلية

17-4

The System Analysis Process (cont’d) (تابع)عملية تحليل النظام

 Physical Designالتصميم البدني  Translating the internal-level schema into the actual

database structures that will be implemented in the new system ترجمة مخطط المستوى الداخلي إلى هياكل قاعدة البيانات الفعلية التي سيتم تنفيذها في النظام الجديد

 New applications are developedتم تطوير تطبيقات جديدة

 Implementation and Conversionالتنفيذ والتحويل  Includes all the activities associated with transferring data

from existing systems to the new database AIS يشمل جميع األنشطة المرتبطة بنقل البيانات من األنظمة الحالية إلى قاعدة البيانات الجديدة AIS

 Testing the new system اختبار النظام الجديد  Training employees تدريب الموظفين

 Maintaining the New Systemالحفاظ على النظام الجديد

Data Modeling تشكيل البيانات

 Process of defining an information system so it represents an organizations requirements عملية تحديد نظام المعلومات بحيث يمثل متطلبات المؤسسات

 Occurs at two stages of the design process: يحدث في مرحلتين من عملية التصميم  System analysis تحليل النظام  Conceptual design التصميم النظري

 Data models: نماذج البيانات  Data flow diagrams (Chapter 3) مخططات تدفق البيانات  Flow charts (Chapter 3) مخططات التدفق  Entity-relationship diagrams (Chapter 17) مخططات عالقة

الكيان 17-6

Entity-Relationship Diagrams مخططات العالقات بين الكيانات

Used to graphically represent a database schema يستخدم لتمثيل مخطط قاعدة البيانات بيانيا

Depicts entities يصور الكيانات  Anything an organization wants to collect

information about أي شيء تريد المنظمة جمع معلومات عنه

Relationships between entities العالقات بين الكيانات

17-7

E-R Diagram Variations

17-8

Resources-Events-Agents Diagram المخطط الموارد األحداث األحداث

 Developed for designing AIS وضعت لتصميمAIS  Categorizing entities into: تصنيف الكيانات إلى

 Resources مصادر  Things that have economic value األشياء التي لها قيمة اقتصادية

 Events أحداث  Business activities األنشطة التجارية  Management wants to manage and control اإلدارة تريد اإلدارة

والسيطرة

 Agents عمالء  People and organizations that participate in

events األشخاص والمنظمات التي تشارك في األحداث 17-9

REA Diagram Rules قواعد مخططREA

1. Each event is linked to at least one resource

that it affects. يرتبط كل حدث بمورد واحد على األقل يؤثر فيه

2. Each event is linked to at least one other event. يرتبط كل حدث بحدث واحد على األقل  Types of links (relationships): ( العالقات)أنواع الروابط  Get events الحصول على األحداث  Give events إعطاء األحداث  Participation events أحداث المشاركة

3. Each event is linked to at least two participating agents. يرتبط كل حدث بوكلين مشاركين على األقل

17-10

Business Cycle Give–Get Relationships احصل على العالقات -دورة األعمال التجارية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 17-11

Revenue Cycle REA Diagram دورة مخطط REAاإليرادات

17-11

Developing an REA Diagram تطوير REAمخطط

1. Identify the events about which management wants to collect information. حدد األحداث التي تريد اإلدارة جمع المعلومات عنها

2. Identify the resources affected by each event and the agents who participate in those events. حدد الموارد التي تتأثر بكل حدث والوكالء الذين يشاركون في تلك األحداث  What economic resource is reduced by the “Give” event?

"ما المورد االقتصادي الذي يتم تقليله بواسطة حدث Give"  What economic resource is acquired by the “Get” event?

"ما المورد االقتصادي الذي يتم الحصول عليه بواسطة حدث Get"  What economic resource is affected by a commitment

event? ما المورد االقتصادي الذي يتأثر بحدث التزام

3. Determine the cardinalities of each relationship. تحديد أصل كل عالقة

17-13

Cardinalities

Describe the nature of relationships between entities صف طبيعة العالقات بين الكيانات  How many instances of one entity can be

linked to each specific instance of another

entity عدد مثيالت أحد الكيانات التي يمكن ربطها بكل مثيل محدد لكيان آخر

 Minimum can be: 0 or 1 أو 0: الحد األدنى يمكن أن يكون 1

 Maximum can be: 1 or Many الحد األقصى يمكن أن أو كثير 1: يكون

17-14

Cardinalities

Copyright 2012 © Pearson Education, Inc. publishing as Prentice Hall 17-15

Three Types of Relationships ثالثة أنواع من العالقات  Relationship type is based on maximum

cardinality: يعتمد نوع العالقة على الحد األقصى لعدد العناصر :األساسية

 One-to-One:

 :واحد لواحد

 One-to-Many:

 واحد لكثير

 Many-to-Many:

 :الكثير للكثيرين

17-16

Chapter 18

Implementing an REA Model in a Relational Database تطبيق نموذج REA في قاعدة بيانات عالئقية

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 18-1

Learning Objectives

 Integrate separate REA diagrams for individual business cycles into a single, comprehensive organization-wide REA diagram.

 Build a set of tables to implement an REA model of an AIS in a relational database.

 Explain how to write queries to retrieve information from an AIS relational database built according to the REA data model.

 واحد شامل على REAالمنفصلة لدورات العمل الفردية في مخطط REAدمج مخططات .مستوى المؤسسة

 .في قاعدة بيانات عالئقية AISمن REAبناء مجموعة من الجداول لتنفيذ نموذج

 اشرح كيفية كتابة االستعالمات السترداد المعلومات من قاعدة بيانات عالئقية AIS مبنية .REAوفقًا لنموذج بيانات

18-2

REA Diagram—Revenue Cycle

18-3

Make Sale

REA Diagram—Expenditure Cycle

18-4

REA Diagram—Payroll Cycle

18-5

Get

Time

REA Redundancies REA التكرار =

Separate REA for an organization will have redundant entities سوفREA منفصلة لمنظمة لديها كيانات زائدة عن الحاجة Resource مورد  Each resource entity must be connected

to: يجب أن يرتبط كل كيان مورد بـ  The resource entity is linked to event entities in

one business cycle and to event entities in the other cycle يرتبط كيان المورد بكيانات األحداث في دورة أعمال واحدة وبكيانات األحداث في الدورة األخرى  One event that increases the resource and,

حدث واحد يزيد من الموارد  One event that decreases the resource حدث

واحد يقلل المورد  No effect on cardinalityال يوجد تأثير على الكاردينال

18-6

REA Redundancies

Events and Agents األحداث والوكالء  Alters the minimum cardinalities associated with the

other events that are related to the merged events or agents يغير الحد األدنى من العوامل األساسية المرتبطة باألحداث األخرى المرتبطة باألحداث أو العوامل المدمجة  May be linked to either an event or agent that is part of one

business cycle or to an event or agent that is part of another cycle but cannot be linked to both events or agents at the same time يمكن ربطه بحدث أو وكيل يمثل جزًءا من دورة أعمال واحدة أو بحدث أو

وكيل يمثل جزًءا من دورة أخرى ولكن ال يمكن ربطه بكل من األحداث أو الوكالء في نفس الوقت  The minimum cardinality associated with the other events and

agents must be 0 in the integrated REA diagram يجب أن يكون الحد األدنى المدمج REAاألساسي المرتبط باألحداث والوكالء اآلخرين صفًرا في مخطط

18-7

Make

Sale

Get Time

Integrated REA Diagram

18-8

R e

v e

n u

e C

y c

le E

x p

e n

d it

u re

C y c

le

P a

y ro

ll C

y c

le

Cardinality Effect of Merging Resources المواردالتأثير األساسي لدمج

18-9

Cardinalities between resource and entities remain the same .تبقى العوامل األساسية بين المورد والكيانات كما هي

Make

Sale

Cardinality Effect of Merging Events األحداث التأثير األساسي لدمج

18-10

The cardinality between Disburse Cash and Supplier and Employee (as

payee) is now 0 to 1, that is, a disbursement can be made to the supplier

or the employee but not both! هي اآلن ( كمستفيد)العالقة بين صرف النقود والمورد والموظف !، أي أنه يمكن إجراء صرف للمورد أو الموظف ولكن ليس كالهما 1إلى 0من

Cardinality Effect of Merging Events

18-11

The cardinality

between Disburse

Cash and Supplier

and Employee (as

payee) is now 0 and 1, that is, a

disbursement can be

made to the supplier

or the employee but

not both! العالقة بين صرف النقود والمورد والموظف

، أي 1و 0هي اآلن ( كمستفيد) أنه يمكن إجراء صرف للمورد

!أو الموظف ولكن ليس كالهما

The cardinality

between Disburse

Cash and Receive

Inventory and Time

Worked is now 0 and 1, that is, a

disbursement can be

made to the for

Accounts Payable

(Receive Inventory) or Payroll (Time

Worked) but not

both! العالقة بين صرف النقود واستالم المخزون ووقت

، أي أنه 1و 0العمل هي اآلن يمكن إجراء صرف على

استالم )الحسابات الدائنة أو كشوف المرتبات ( المخزون

!ولكن ليس كالهما( وقت العمل)

Get

Time

Disburse

Cash

Receive

Inventory

Supplier

Employees

(Cashier)

Employees

(as Payee)

Employees

Rules for Creating Integrated REA Diagram متكامل REAقواعد إلنشاء مخطط 1. Every event must be linked to at least one resource. يجب ربط كل حدث بمورد واحد

.على األقل

2. Every event must be linked to two agents who participate in that event. يجب الحدث ربط كل حدث بوكلين يشاركان في هذا

3. Every event that involves the disposition of a resource must be linked to an event that involves the acquisition of a resource. يجب ربط كل حدث يتضمن التخلص من .مورد بحدث ينطوي على اقتناء مورد

4. Every resource must be linked to at least one event that increments that

resource and to at least one event that decrements that resource. يجب أن المورديرتبط كل مورد بحدث واحد على األقل يزيد هذا المورد وحدث واحد على األقل يقلل هذا

5. If event A can be linked to more than one other event or agent, but cannot be linked simultaneously to all of those other events or agents, then the REA

diagram should show that event A is linked to a minimum of 0 of each of those other events or agents. بأكثر من حدث أو وكيل آخر ، ولكن ال " أ"إذا كان يمكن ربط الحدث مرتبط " أ"أن الحدث REAيمكن ربطه في وقت واحد بكل األحداث أو العوامل األخرى ، فيجب أن يوضح مخطط

وكالءبحد أدنى من كل من هذه األحداث األخرى أحداث أو

18-12

Using REA Diagram to Create Relational Database باستخدام مخطط REA إلنشاء قاعدة بيانات عالئقية Advantage:

 Ensures the elimination of anomalies:  Update

 Insert

 Delete

 :االيجابيه  :يضمن القضاء على الحاالت الشاذة

 تحديث  إدراج  حذف

18-13

REA to Database StepsREA إلى خطوات قاعدة البيانات

1. Create a table for each distinct entity in the diagram and for each many-to- many relationship. قم بإنشاء جدول لكل كيان متميز .في المخطط ولكل عالقة من أطراف إلى أطراف

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 18-14

REA to Database Steps

2. Assign attributes to appropriate tables. تعيين السمات إلى الجداول المناسبة  Identify primary keys: تحديد المفاتيح األساسية  Attributes that uniquely identifies each

record. السمات التي تحدد بشكل فريد كل سجل  For M:N relationships the primary key

consists of two attributes that represent the primary keys of each entity linked in that relationship. بالنسبة إلى عالقات M: N ، يتكون

المفتاح األساسي من سمتين تمثالن المفاتيح األساسية لكل كيان مرتبط في تلك العالقة

 Identify remaining attributes for table. .تحديد السمات المتبقية للجدول

18-15

REA to Database Steps

3. Use foreign keys to implement one-to- one and one-to-many relationships. .استخدم المفاتيح الخارجية لتنفيذ العالقات الفردية مقابل واحد  1:1 Relationships العالقات 1: 1  Choice of which table to place foreign key is

arbitrary, اختيار أي جدول لوضع المفتاح الخارجي هو أمر تعسفي  Often if events are sequential, the foreign key is

placed in the later event of the sequence, غالبًا ما إذا كانت األحداث متسلسلة ، يتم وضع المفتاح الخارجي في الحدث األخير من التسلسل

 1:M Relationships م العالقات : 1  Primary key of entity that can be linked to multiple

instances of the other will become the foreign key in the other table. سيصبح المفتاح األساسي للكيان الذي يمكن ربطه .بمثيالت متعددة للطرف اآلخر هو المفتاح الخارجي في الجدول اآلخر

18-16

Retrieving Information from REA Database استرجاع المعلومات من قاعدة بيانات REA  Journals مجالت  Information contained in event tables المعلومات الواردة في جداول

األحداث

 Ledgers دفاتر  Information contained in resource tables المعلومات الواردة في جداول

الموارد

 Financial statements القوائم المالية  Information contained in resources and المعلومات الواردة في الموارد و  Information on imbalances معلومات عن االختالالت  Accounts receivable الحسابات المستحقة  Sales transactions for which customer payments have

not yet been received معامالت المبيعات التي لم يتم استالم مدفوعات العمالء لها بعد

 Accounts payable حسابات قابلة للدفع  Purchases from suppliers that have not yet been

paid مشتريات من الموردين الذين لم يدفعوا بعد 18-17

Chapter 19

Special Topics in REA Modeling

تشكيل موضوعات خاصة في REA

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 19-1

Learning Objectives

 Develop REA data models for a variety of organizations besides retail stores.

 Develop REA data models for the HR/payroll, manufacturing, and capital assets business cycles.

 لمجموعة متنوعة من المؤسسات إلى جانب متاجر البيع REAتطوير نماذج بيانات .بالتجزئة

 الرواتب والتصنيع / لدورات أعمال الموارد البشرية REAتطوير نماذج بيانات واألصول الرأسمالية

19-2

Extended REA Revenue Cycle

19-3

Extended REA Expenditure Cycle

19-4

REA for Service Revenue

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 19-5

Make

Sale

REA Model for Service Acquisition

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 19-6

REA for Rental Revenue

19-7

Additional REA Features ميزاتREA إضافية

Roles األدوار Describe what an employee does صف

ما يفعله الموظف

Locations مواقع Where resources are stored and where

certain events take place حيث يتم تخزين الموارد وحيث تحدث أحداث معينة

19-8

REA Model of Production Cycle

19-9

REA Model of HRM/Payroll

19-10

REA Model of Financing Activity

Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 19-11