خالد المطوع - الرياض
كشف تقرير من ديوان المراقبة الأسبوع الماضي حصلت “المدينة” على نسخة منه، عن مخالفات متعددة وخلل في النواحي الأمنية والتنظيمية في مركز تقنية المعلومات بوزارة النقل، من خلال دراسة النواحي التشغيلية والأمنية لمركز المعلومات بالوزارة، وذلك بهدف التحقق من سلامة الإجراءات المتبعة لحماية المركز والرقابة على استخداماته وحسن استغلاله وفي حدود أنظمة الرقابة الداخلية والمستندات والبيانات التي أمكن الحصول عليها. وقام فريق من الإدارة العامة لرقابة عمليات الحاسب الآلي بديوان المراقبة العامة الشهر الماضي بدراسة النواحي الأمنية لمركز تقنية المعلومات وتوصل الفريق إلى عدد من الملاحظات أهمها عدم تقييم ومراجعة وتحديث الخطة الاستراتيجية لتقنية المعلومات من فترة لأخرى وتبين أن الخطة الاستراتيجية وضعت قبل 6 سنوات ولم يتم تحديثها ومراجعتها طوال تلك الفترة وان ذلك يؤدي لضعف مواكبتها للمتغيرات الحاصلة في تقنية المعلومات . وأشار تقرير الفريق الذى جاء في 13 صفحة كاملة وتضمن كلمة عدم 62 مرة إلى ضعف وخلل في اتخاذ القرارات المهمة المتعلقة بتقنية المعلومات وصعوبة تحديد الاحتياجات المستقبلية بالنسبة لإدارة تقنية المعلومات، وبالتالي لم يتم اخضاع انجاز هذه المشروعات إلى الرقابة مما يؤدي إلى تطوير واقتناء نظم غير مخطط لها ولا تتطابق مع أنظمة الوزارة.
عدم وضوح الرؤية
وانتقد الفريق غياب اى دراسات بإمكانيات البنية التحتية الحالية لتقنية المعلومات مما يؤدي إلى عدم تحديد إمكانيات تقنية المعلومات الحالية والمطلوب توفرها ،مما يؤدي أيضا إلى غياب التخطيط السليم والقيام بالخطط القصيرة والطويلة المدى بالشكل المطلوب وعدم اتخاذ قرارات سليمة بالنسبة لتقنية المعلومات. واشار التقرير الى ضعف تطابق الهيكل التنظيمي على أرض الواقع مع الهيكل التنظيمي المعتمد لإدارة تقنية المعلومات، مما يؤدي إلى ضعف تحقيق الهدف الذي وضع من أجله الهيكل التنظيمي نتيجة لوجود اختلاف في عدد وعلاقات وحدات الإدارة العامة وتحديد الإدارات ومراكز اتخاذ القرار.
وتبين للفريق تجاهل تأسيس لجنة للتخطيط والتوجيه والإشراف على تقنية المعلومات مشيرا الى ان ذلك يؤدي إلى عدم القدرة على تحقيق الأهداف بفاعلية في حالة وجود أي انحراف في تحقيق الأهداف. وأشار الفريق إلى أن إدارة الرقابة الداخلية بالوزارة لا تقوم بعملية مراجعة الأدوار والمسؤوليات والتأكد من صحة العمليات المتعلقة بأعمال تقنية المعلومات، مما يؤدي إلى حصول أشخاص غير مخولين لادوار ومسؤوليات ليست من اختصاصهم و زيادة المخاطر المحتملة على مراكز تقنية المعلومات، وانتقد غياب إجراءات واضحة ومتبعة لدى الوزارة من اجل التأكد من فهم الموظفين للسياسات والإجراءات الخاصة بإدارة تقنية المعلومات، مما يؤدي إلى احتمالية فهم الموظفين لتلك السياسات بالشكل الخاطئ مما يؤدي لضعف في تحقيق أهداف واتجاهات الوزارة بالشكل المطلوب.
عدم الرقابة على المتجاوزين
واشار التقرير إلى غياب الرقابة على تجاوز المستخدمين لسياسات العمل وعدم رفع تقارير بذلك مما يؤدي لعدم معرفة الأشخاص المتجاوزين للسياسات و الأسباب والحلول لذلك وغياب تطبيق مبدأ المحاسبة، وتبين للفريق من خلال عملية الفحص أن إدارة تقنية المعلومات لا تحتفظ بسياسة تتعلق بعملية إجراء مناوبة أو تدوير بين موظفيها مما يؤدي الى غياب التناوب على المراكز الحساسة أو إبقاء نفس الموظف لفترة طويلة في نفس المركز موضحا ان ذلك من شأنه أن يضر بمصالح الوزارة وقدرتها على الكشف عن التجاوزات ، علاوة على صعوبة قيام وانجاز الاعمال الموكلة له في حالة غيابه أو مغادرته للوزارة بصورة مفاجأة مما قد يعطل سير اعمالها، وقد يؤدي ذلك إلى الاعتماد بشكل كبير على أشخاص محددين في أداء وظائف معينة، وصعوبة اكتشاف حالات التلاعب التي قد يرتكبها بعض الموظفين.
http://news.al-madina.com/node/303683