دليل جودة البيانات والحوكمة
تعتمد جودة التقارير على جودة البيانات التشغيلية. يوضح هذا الدليل ما يجب على المسؤولين مراجعته حتى تبقى لوحات المعلومات، ومؤشرات الأداء، ودرجات المخاطر، ونتائج التقييمات، والتقارير الإدارية موثوقة.
1. الغرض
جودة البيانات ليست مشكلة تقارير فقط. البيانات الضعيفة قد تؤدي إلى ترتيب خاطئ لأولويات المخاطر، وأدلة تدقيق ضعيفة، وموافقات متأخرة، ومعالجات غير منجزة، ودرجات امتثال مضللة.
استخدم هذا الدليل عند:
- إعداد جهة أو إدارة جديدة
- مراجعة صحة البرنامج شهريا
- تجهيز التقارير التنفيذية
- التحضير للتدقيق
- التحقيق في تغيرات مؤشرات الأداء
- تنظيف السجلات القديمة أو غير المكتملة
2. الحقول المطلوبة حسب الوحدة
| الوحدة | فحوصات جودة البيانات المطلوبة |
|---|---|
| الامتثال والتقييمات | الإطار، مالك التقييم، النطاق، تاريخ البدء، تاريخ الاستحقاق، إجابة الضابط، حالة الامتثال، الدليل أو التفسير، والمراجع عند الحاجة. |
| إدارة المخاطر | عنوان الخطر، التصنيف، المالك، الاحتمالية الكامنة، الأثر الكامن، الاحتمالية المتبقية، الأثر المتبقي، قرار المعالجة، تاريخ المراجعة، والأصل أو المورد أو الضابط المرتبط عند الحاجة. |
| السياسات | مالك السياسة، الإصدار، الحالة، المعتمد، تاريخ النفاذ، تاريخ المراجعة، الجمهور المستهدف، متطلب الإقرار، والمرفقات عند الحاجة. |
| استثناءات السياسات | مقدم الطلب، السياسة، مبرر الأعمال، أثر الخطر، المعتمد، تاريخ الانتهاء، الضابط التعويضي، والحالة. |
| إدارة التدقيق | اسم التدقيق، النطاق، المدقق، الجهة محل التدقيق، التواريخ المخططة، النتائج، الخطورة، تواريخ الاستحقاق، الأدلة، وقرار الإغلاق. |
| المشكلات والإجراءات | العنوان، المالك، الأولوية، تاريخ الاستحقاق، المصدر، الحالة، ملاحظات المعالجة، ودليل الإغلاق. |
| الأصول | اسم الأصل، النوع، المالك، الأهمية، الحالة، الإدارة، والمخاطر المرتبطة عند الحاجة. |
| الموردون | اسم المورد، المالك، الأهمية، الحالة، وصف الخدمة، حالة التقييم، تصنيف المخاطر، وتاريخ التجديد أو المراجعة. |
| الحوادث | عنوان الحادث، المالك، الخطورة، الحالة، تاريخ الاكتشاف، إجراءات الاستجابة، ودليل الإغلاق. |
| التوعية | اسم الحملة، الجمهور، تاريخ الاستحقاق، المستخدمون المسندون، وحالة الإكمال. |
| التقارير ومؤشرات الأداء | مالك المؤشر، الهدف، الحدود، التكرار، فهم الوحدة المصدرية، وتاريخ المراجعة. |
3. ما الذي يضعف التقارير والمؤشرات
| المشكلة | الأثر |
|---|---|
| غياب الملاك | لا يمكن إسناد المهام أو التصعيد بشكل صحيح. |
| غياب تواريخ الاستحقاق | تصبح تقارير التأخير غير مكتملة. |
| الحالة غير الصحيحة | قد تعرض اللوحات العمل المفتوح كمغلق أو العمل المغلق كنشط. |
| درجات مخاطر قديمة | تصبح تقارير المخاطر العالية والحرجة مضللة. |
| ضوابط معلّمة كملتزمة بدون دليل | يصبح تقرير الامتثال ضعيفا للتدقيق والمراجعة الإدارية. |
| سياسات منشورة بجمهور غير صحيح | قد تكون نسب الإقرار غير دقيقة. |
| استثناءات بدون تاريخ انتهاء | لا تعمل تنبيهات الاستثناءات قريبة الانتهاء بشكل صحيح. |
| موردون بدون أهمية | تقلل تقارير مخاطر الأطراف الثالثة من حجم التعرض الحقيقي. |
| أصول بدون ملاك | تصبح روابط المخاطر والمساءلة غير واضحة. |
| سجلات مكررة | تتضخم الأعداد في التقارير والمؤشرات. |
4. قواعد إسناد الملكية
يجب أن يكون لكل سجل تشغيلي مالك واحد مسؤول.
| نوع السجل | المالك الموصى به |
|---|---|
| التقييم | مدير الامتثال أو قائد التقييم المكلف. |
| إجابة الضابط | مالك الضابط. |
| الخطر | مالك الخطر من الأعمال، وليس فريق الحوكمة والمخاطر والامتثال فقط. |
| إجراء المعالجة | مالك الإجراء المسؤول عن التنفيذ. |
| السياسة | مالك السياسة من الجهة المسؤولة. |
| الاستثناء | مالك الأعمال مقدم الطلب مع اعتماد من المخول. |
| نتيجة التدقيق | مالك النتيجة المسؤول عن المعالجة. |
| المشكلة | الشخص المسؤول عن الإغلاق. |
| الأصل | مالك الأصل التجاري أو التقني. |
| المورد | مالك علاقة المورد. |
تجنب إسناد كل شيء إلى مسؤول واحد. هذا قد يجعل التقارير تبدو مكتملة لكنه يضعف المساءلة.
5. انضباط تواريخ المراجعة
تحافظ تواريخ المراجعة على حداثة السجلات.
| السجل | قاعدة المراجعة |
|---|---|
| المخاطر | راجع المخاطر العالية والحرجة بوتيرة أعلى من المخاطر المتوسطة أو المنخفضة. |
| السياسات | حدد تاريخ مراجعة قبل النشر وراجع السياسة قبل الانتهاء أو التغيير الجوهري. |
| الاستثناءات | حدد دائما تاريخ انتهاء وراجع الاستثناء قبل التجديد. |
| الموردون | راجع الموردين الحرجين سنويا على الأقل أو عند تغير الخدمة أو الخطر. |
| الأصول | راجع الأهمية والملكية عند تغير الاستخدام التجاري. |
| التقييمات | أغلق التقييمات المتأخرة أو مددها رسميا. |
| مؤشرات الأداء | راجع الحدود عند تغير شهية المخاطر أو توقعات التقارير. |
إذا لم يكن للسجل تاريخ مراجعة، فسيصبح قديما حتى لو كان صحيحا عند إنشائه.
6. قواعد التسمية
استخدم أسماء واضحة في التصدير والتقارير.
| المجال | إرشاد التسمية |
|---|---|
| التقييمات | اذكر الإطار والنطاق والفترة. مثال: “تقييم ISO 27001 الداخلي - المالية - 2026”. |
| المخاطر | استخدم عبارة خطر تجارية. مثال: “وصول غير مصرح به إلى سجلات العملاء بسبب ضعف مراجعة الصلاحيات”. |
| السياسات | استخدم العنوان الرسمي للوثيقة والإصدار. |
| الاستثناءات | اذكر السياسة أو الضابط ومنطقة الأعمال. |
| نتائج التدقيق | صف فجوة الضابط وليس العرض فقط. |
| المشكلات | ابدأ بالإجراء المطلوب. |
| الموردون | استخدم الاسم القانوني أو التعاقدي بشكل ثابت. |
| الأصول | استخدم اسم أصل تجاري أو تقني يمكن التعرف عليه. |
| التقارير | اذكر الجمهور والموضوع والتكرار إذا كان التقرير مجدولا. |
تجنب الأسماء العامة مثل “خطر 1”، “اختبار”، “تحديث سياسة”، أو “متابعة”.
7. قواعد جودة الأدلة
يجب أن يثبت الدليل العبارة المسجلة في المنصة.
الدليل الجيد:
- حديث للفترة محل التقييم أو المراجعة
- مرتبط بوضوح بالضابط أو الخطر أو النتيجة أو المشكلة
- يوضح من اعتمد أو نفذ النشاط عند الحاجة
- يحتوي على تاريخ ومصدر وسياق كاف
- لا يكون لقطة شاشة بلا تفسير عندما توجد وثيقة أقوى
- لا يحتوي على معلومات حساسة غير ضرورية
أمثلة على الأدلة الضعيفة:
- لقطات شاشة قديمة
- وثائق عامة لا ترتبط بالضابط
- أدلة بلا تاريخ
- مسودات سياسات تستخدم كدليل على سياسة معتمدة
- ملاحظات إغلاق بلا إثبات
- ملفات مرفوعة على السجل الخطأ
8. مراجعة جودة البيانات الشهرية
ينبغي تنفيذ هذه المراجعة قبل التقارير الإدارية.
- راجع التقييمات، والمشكلات، والنتائج، ومراجعات السياسات، ومراجعات الموردين، ومراجعات المخاطر المتأخرة.
- تحقق من السجلات التي لا تملك مالكا.
- تحقق من المخاطر الحرجة التي لا تملك معالجة أو تاريخ مراجعة.
- تحقق من الضوابط المعلّمة كملتزمة بدون دليل.
- تحقق من الاستثناءات التي تنتهي خلال 30 يوما.
- تحقق من السياسات بانتظار الاعتماد أو الإقرار.
- تحقق من الموردين والأصول بدون أهمية.
- راجع مؤشرات الأداء التي تغيرت بشكل كبير.
- صحح السجلات المصدرية قبل تصدير التقارير.
- وثق قيود جودة البيانات غير المحلولة في تعليق التقرير.
9. قواعد التصعيد
صعّد عندما:
- يكون الخطر الحرج بلا مالك أو معالجة أو تاريخ مراجعة
- تؤثر نتيجة تدقيق متأخرة في ضابط عالي المخاطر
- يقترب استثناء سياسة من الانتهاء بدون قرار
- يتعطل تقييم امتثال بسبب نقص الأدلة
- يكون المورد عالي الأهمية بلا تقييم حديث
- تكون أرقام التقرير محل خلاف والسجلات المصدرية غير مكتملة
- يتكرر تأخر المالك نفسه عن المواعيد
يجب أن يتضمن التصعيد السجل، والمالك، وتاريخ الاستحقاق، والأثر التجاري، والقرار المطلوب.
10. قائمة مراجعة المسؤول
- تأكد أن لكل سجل نشط مالكا.
- تأكد أن تواريخ الاستحقاق واقعية ومحدثة.
- تأكد أن الحالات تعكس تقدم العمل الحقيقي.
- تأكد أن السجلات عالية الأثر مدعومة بالأدلة.
- تأكد أن السجلات القديمة تمت مراجعتها أو إغلاقها أو تحديثها.
- تأكد أن لوحات المعلومات والتقارير تفسر بناء على البيانات المصدرية.
- تأكد أن مشكلات جودة البيانات المتكررة تعالج بالملكية والإجراءات وليس بتعديل التقارير يدويا.