لا تبدو مذكرة التفاهم التي وقعها ديوان المحاسبة والمركز الوطني للأمن السيبراني مجرد اتفاقية تعاون فني بين مؤسستين حكوميتين، بل تمثل مؤشرا على تحول أعمق في فلسفة الرقابة العامة في الأردن، وانتقالها من التركيز على فحص النتائج والمستندات إلى التدقيق في البيئة الرقمية التي تنتج تلك النتائج.

 

 

وتجسد مذكرة التفاهم بين ديوان المحاسبة والمركز الوطني للأمن السيبراني، أكثر من مجرد اتفاقية تعاون مؤسسي؛ فهي تمثل خطوة نحو بناء نموذج رقابي جديد يواكب طبيعة الدولة الرقمية.

وإذا نجحت الجهات المعنية في تجاوز التحديات التشريعية والتنظيمية والفنية المرتبطة بهذا التحول، فإن الأردن قد يكون أمام مرحلة جديدة تنتقل فيها الرقابة الحكومية من فحص الأوراق والملفات إلى مراقبة الأنظمة والبيانات، بما يعزز حماية المال العام ويرسخ مبادئ الحوكمة الرقمية والشفافية والمساءلة في القطاع العام.

ففي الوقت الذي أكد فيه رئيس ديوان المحاسبة د. راضي الحمادين، في تصريحات صحافية، أن المذكرة تأتي في إطار تعزيز الرقابة المالية والإدارية ودعم جودة الأداء المؤسسي من خلال تبني الحلول الرقمية الذكية والاستفادة من التقنيات الحديثة في تدقيق الأنظمة المحوسبة وإدارة البيانات الضخمة، فإن هذه الخطوة تعكس اتجاها متناميا نحو إعادة تعريف مفهوم الرقابة الحكومية بما يتواءم مع متطلبات التحول الرقمي والحوكمة الحديثة.

فالتحول الرقمي الذي تشهده مؤسسات القطاع العام لم يعد يقتصر على أتمتة الإجراءات والخدمات، بل امتد إلى البنية الأساسية لإدارة المال العام واتخاذ القرار. 

سلامة الإنفاق لعام

ومع انتقال نسبة كبيرة من العمليات المالية والإدارية إلى الأنظمة الإلكترونية، أصبحت سلامة هذه الأنظمة جزءا لا يتجزأ من سلامة الإنفاق العام ذاته.

فالتدقيق في صحة المخرجات المالية لم يعد كافيا إذا لم يكن مصحوبا بالتأكد من أمن الأنظمة التي أنتجتها، الأمر الذي يفرض توسيع مفهوم الرقابة ليشمل الرقابة على الأنظمة الرقمية والبيانات وآليات معالجتها.

ومن هنا، تبرز أهمية ما أشار إليه الحمادين بشأن توظيف الإطار الوطني للأمن السيبراني في عمليات التدقيق والرقابة، وتمكين كوادر الديوان من مراجعة نظم المعلومات وإدارة المخاطر وحماية الأصول المعلوماتية.

فهذه التوجهات لا تعني فقط تطوير أدوات العمل الرقابي، بل تمثل تحولا في مفهوم "سلامة الإجراء" نفسه؛ فبعد أن كان هذا المفهوم يرتبط تقليديا بصحة المستندات والتواقيع والالتزام بالإجراءات الشكلية، أصبح اليوم مرتبطا أيضا بالتشفير، وضبط صلاحيات الوصول، وحماية قواعد البيانات، وضمان خلو الأنظمة من الثغرات التي قد تسمح بالتلاعب أو الاختراق.

وهذا التحول يضع الرقابة الحكومية أمام مرحلة جديدة تنتقل فيها من الرقابة الاسترجاعية التي تكتشف المخالفات بعد وقوعها، إلى الرقابة الاستباقية التي تسعى إلى منع وقوعها من الأساس.

فالتدقيق التقليدي كان يعتمد إلى حد كبير على مراجعة العينات والوثائق واكتشاف المخالفات المالية أو الإدارية بعد حدوثها، بينما يضيف التدقيق السيبراني أدوات جديدة تقوم على اختبار الأنظمة وتحليل المخاطر وفحص الثغرات الأمنية ومراقبة سجلات الوصول والاستخدام.

وفي هذا السياق، تبدو تصريحات رئيس المركز الوطني للأمن السيبراني م. محمد الصمادي منسجمة مع هذا التوجه، عندما أكد أن التحول الرقمي المتسارع يفرض دمج مفاهيم الأمن السيبراني ضمن أعمال التدقيق والرقابة، وأن التعاون بين المؤسستين سيسهم في تعزيز قدرة الجهات الحكومية على اكتشاف الثغرات ومعالجة المخاطر قبل أن تؤثر في استمرارية العمل أو سلامة البيانات والمعلومات.

المسؤولية الإدارية

وعلى المستوى القانوني، يفتح هذا التكامل الباب أمام إعادة صياغة مفهوم المسؤولية الإدارية في البيئة الرقمية؛ فالمساءلة لم تعد مرتبطة فقط بمخالفة الإجراءات أو ضعف التوثيق، بل أصبحت تشمل أيضا التقصير في حماية الأنظمة الإلكترونية وإدارة المخاطر السيبرانية.

ومع توسع الاعتماد على التكنولوجيا في إدارة الموارد العامة، بات الأمن السيبراني جزءا من منظومة الرقابة والامتثال وليس مجرد وظيفة تقنية منفصلة.

ورغم أهمية هذا التوجه، فإن تطبيقه على أرض الواقع يواجه جملة من التحديات التشريعية والتنظيمية. فالإطار القانوني الناظم لعمل ديوان المحاسبة يعود إلى عقود مضت، في وقت لم تكن فيه الرقابة على الأنظمة الرقمية أو التدقيق السيبراني جزءا من العمل الرقابي التقليدي.

لذلك تبرز الحاجة إلى تحديث التشريعات بما يمنح الجهات الرقابية صلاحيات واضحة للتدقيق في الأنظمة الإلكترونية وتقييم مستويات الامتثال للمعايير الوطنية للأمن السيبراني.

واقع يستوجب المراجعة

وفيما يختص بانعكاسات هذه الشراكة على تطوير مفهوم الرقابة الإدارية والمالية في القطاع العام من منظور قانوني، ومدى إسهام دمج معايير الأمن السيبراني في إحداث تحول في أدوات الرقابة التقليدية، يؤكد أستاذ القانون الإداري في الجامعة الأردنية د. محمد المعاقبة، في تصريحات لـ "الغد"، أن التطورات الرقمية المتسارعة فرضت واقعا جديدا يستوجب إعادة صياغة المفاهيم الرقابية وآليات تطبيقها بما ينسجم مع طبيعة البيئة الإلكترونية الحديثة.

ويرى المعاقبة أن توقيع مذكرة التفاهم بين ديوان المحاسبة والمركز الوطني للأمن السيبراني، يمثل خطوة مهمة تعكس إدراكا قانونيا وإداريا متقدما لطبيعة التحولات التي شهدها مفهوم المال العام وأدوات إدارته ورقابته، موضحا أن حماية المال العام لم تعد تقتصر على الوثائق الورقية والسجلات التقليدية، بل أصبحت مرتبطة بصورة مباشرة بالبيانات والأنظمة الرقمية والخوارزميات التي تدير مختلف العمليات المالية والإدارية في مؤسسات القطاع العام.

ويشدد أستاذ القانون الإداري على أن هذه الشراكة تفرض بالضرورة مراجعة تشريعية ورقمية للإجراءات الإدارية والقانونية الناظمة للعمل الرقابي، لافتا إلى أن أهمية المذكرة يمكن قراءتها من خلال ثلاثة محاور رئيسية تتمثل في تطوير مفهوم الرقابة المالية التقليدية، والتحول في أدوات الرقابة من النهج الاسترجاعي إلى النهج الاستباقي، إضافة إلى معالجة التحديات القانونية والتنظيمية التي قد تعترض تطبيق هذا التكامل على أرض الواقع.

وفيما يتعلق بانعكاس هذه الشراكة على تطوير مفهوم الرقابة الإدارية والمالية من منظور قانوني، يبين المعاقبة أن ديوان المحاسبة، بموجب قانونه رقم (28) لسنة 1958، يضطلع بمهمة الرقابة على صحة الإنفاق وسلامة الإجراءات، إلا أن التطورات التقنية المتسارعة فرضت واقعا جديدا يتمثل في انتقال جزء كبير من العمليات المالية والإدارية إلى البيئة الرقمية.

ويشير إلى أن ما يقارب 70 % من الإنفاق العام أصبح يمر عبر أنظمة إلكترونية، الأمر الذي يجعل من الضروري توسيع نطاق الرقابة ليشمل سلامة هذه الأنظمة ذاتها، موضحا أن "المدقق إذا لم يدقق على أمن النظام نفسه، فهو يدقق على نتائج قد تكون غير صحيحة أصلا".

ويضيف أن دمج معايير الأمن السيبراني ضمن أعمال التدقيق والرقابة يعيد تعريف مفهوم سلامة الإجراءات الإدارية والمالية، بحيث لم تعد هذه السلامة مرتبطة فقط بالتوقيع والختم واستكمال الإجراءات الشكلية، وإنما أصبحت تشمل عناصر تقنية متقدمة تتمثل في التشفير، وضمان الوصول الآمن إلى الأنظمة، والتأكد من خلوها من الثغرات التي قد تسمح بالتلاعب أو الاختراق.

ومن هذا المنطلق، فإن "سلامة الإجراء لم تعد تعني توقيعا وختما، بل تعني تشفيرا ووصولا آمنا وعدم وجود ثغرات تسمح بالتلاعب"، وهو ما يعكس، بحسب المعاقبة، انتقال الرقابة إلى مفهوم وإطار جديدين ينسجمان مع متطلبات الإدارة الرقمية الحديثة.

وحول ما إذا كان دمج معايير الأمن السيبراني ضمن أعمال التدقيق يشكل تحولا في أدوات الرقابة الإدارية التقليدية، يؤكد المعاقبة أن هذا الدمج يمثل بالفعل تحولا نوعيا في فلسفة الرقابة وأدواتها، منوها إلى أن التدقيق التقليدي كان يعتمد بصورة أساسية على مراجعة العينات والمستندات واكتشاف المخالفات بعد وقوعها، في حين أن التدقيق السيبراني يرتكز على فحص الثغرات الأمنية، وإجراء اختبارات الاختراق، وتحليل سجلات الدخول والوصول إلى الأنظمة والبيانات.

ويشير إلى أن هذا التحول ينقل الرقابة من مرحلة الكشف عن الخطأ بعد حدوثه إلى مرحلة منع وقوعه أساسا، موضحا أن "التدقيق التقليدي بمفهومه العام يقوم على عينة ومستند ومخالفة، بينما التدقيق السيبراني يعني فحص ثغرات واختبار اختراق وتحليل سجلات وصول"، الأمر الذي يؤدي إلى بناء منظومة رقابية أكثر قدرة على حماية المال العام والحد من المخاطر قبل تحققها.

ومن الناحية القانونية، يرى المعاقبة أن هذا التحول يوسع كذلك من مفهوم المسؤولية الإدارية والقانونية، بحيث لا تقتصر المسؤولية على الإخلال بإجراءات التوثيق أو حفظ المستندات، وإنما تمتد لتشمل التقصير في حماية الأنظمة الرقمية وإهمال متطلبات الأمن السيبراني.

ويضيف أن المساءلة في البيئة الرقمية لم تعد مرتبطة فقط بالإجراءات الورقية، بل أصبحت تشمل كفاءة إدارة الأنظمة الرقمية وضمان أمنها واستمرارية عملها.

وفيما يتعلق بالتحديات التشريعية والتنظيمية التي قد تواجه تطبيق هذا التكامل، يلفت المعاقبة إلى أن نجاح هذه الشراكة يتطلب معالجة ثلاث إشكاليات رئيسية.

ويبين أن أولى هذه الإشكاليات تتمثل في وجود فراغ تشريعي ناجم عن قدم الإطار القانوني المنظم لعمل ديوان المحاسبة، موضحا أن قانون الديوان مضى عليه عقود طويلة، ولم يعد يعكس بصورة كافية التحولات الرقمية التي شهدتها الإدارة العامة. 

ويشير إلى أن القانون "لم يستجب للثورة الرقمية ولم يضع إطارا صالحا" للتعامل مع متطلبات الرقابة على الأنظمة الإلكترونية، ما يستدعي إجراء تعديلات تشريعية موسعة تتضمن نصوصا واضحة تنظم الرقابة على الأنظمة الرقمية وآليات التدقيق السيبراني وتحدد صلاحيات الجهات الرقابية في هذا المجال.

سرية البيانات

أما التحدي الثاني، فيتمثل في مسألة سرية البيانات والتوازن بين متطلبات الرقابة ومتطلبات حماية الخصوصية.

ويقول المعاقبة إن التشريعات الحديثة، وفي مقدمتها قانون حماية البيانات الشخصية وقانون الجرائم الإلكترونية، قد تفرض قيودا على الوصول إلى بعض البيانات الحساسة، الأمر الذي يتطلب إيجاد معالجات تشريعية تضمن تمكين الجهات الرقابية من أداء مهامها بكفاءة دون المساس بحقوق الأفراد أو الإخلال بضمانات حماية البيانات.

ويشدد على أهمية إيجاد توازن قانوني دقيق بين مقتضيات الرقابة المالية والإدارية من جهة، ومتطلبات حماية الخصوصية وسرية المعلومات من جهة أخرى.

التأهيل الوظيفي

ويتمثل التحدي الثالث في التأهيل الوظيفي للمدققين، حيث يرى المعاقبة أن المدقق المالي في العصر الرقمي لم يعد بإمكانه الاكتفاء بالمعرفة التقليدية المرتبطة بالمستندات والقيود المالية، بل أصبح بحاجة إلى تأهيل رقمي متقدم يمكنه من فهم الأنظمة الإلكترونية وصلاحيات المستخدمين وآليات معالجة البيانات وإدارتها.

ويؤكد ضرورة أن يصبح المدقق قادرا على فهم القيود الرقمية والكشف عن مواطن الخلل التقنية بالكفاءة نفسها التي يفهم بها إجراءات التدقيق التقليدية، الأمر الذي يتطلب تطوير معايير وإجراءات العمل الرقابي، وتعزيز برامج التدريب والتأهيل المستمر، واستقطاب كوادر متخصصة تمتلك خبرات رقمية وقانونية متقدمة تتناسب مع طبيعة المرحلة الجديدة.

ويشدد المعاقبة على أهمية مذكرة التفاهم بين ديوان المحاسبة والمركز الوطني للأمن السيبراني، باعتبارها تمثل أداة إيجابية ومهمة يمكن أن تسهم في إعادة تعريف مفهوم التدقيق والرقابة بما يتوافق مع متطلبات العصر الرقمي، مؤكدا أن "المذكرة تعد أداة إيجابية، ويمكن أن تعيد تعريف التدقيق بلغة العصر".

ويضيف أن نجاح عملية تضمين معايير الأمن السيبراني ضمن منهجيات التدقيق والرقابة سيقود إلى ترسيخ مفهوم جديد للرقابة الرقمية في القطاع العام، يقوم على التكامل بين الرقابة المالية والإدارية والأمن السيبراني، بما يعزز حماية المال العام ويرفع كفاءة الحوكمة والإدارة الرشيدة للمؤسسات العامة.