مقدمة: لا أمان بدون قدرة على “من فعل ماذا ومتى؟”
حتى مع أفضل سياسات كلمات المرور والصلاحيات، سيظل هناك احتمال:
– لخطأ بشري (تعديل غير مقصود لبيانات حساسة).
– أو لسوء استخدام صلاحية من شخص يملك حق الدخول.
في هذه الحالات، السؤال الأهم ليس فقط “من سُمح له بالدخول؟”، بل أيضاً:
– من قام بأي إجراء؟
– متى؟
– على أي كيان (فاتورة، قيد، إعداد)؟
هنا يأتي دور سجل الأنشطة (Audit Log) في Yaomy ERP كأحد أهم أدوات الأمان والامتثال.
أولاً: ماذا يسجّل Audit Log في Yaomy؟
يمكن أن يسجّل سجل الأنشطة:
– نوع العملية:
– إنشاء (Create).
– تعديل (Update).
– حذف (Delete).
– عمليات خاصة مثل: ترحيل قيد، استعادة نسخة احتياطية، تغيير صلاحيات.
– هوية الفاعل:
– المستخدم الذي نفّذ العملية.
– الشركة والفرع المرتبطان.
– الزمن:
– وقت تنفيذ العملية بدقة (Timestamp).
– تفاصيل إضافية:
– معرف السجل الذي تم تعديله (مثل رقم الفاتورة أو القيد).
– أحياناً “قبل/بعد” لبعض الحقول الحساسة حسب تصميم الحدث.
ثانياً: كيفية استخدام Audit Log في التحقيقات الأمنية
سيناريوهات عملية:
1) تعديل رصيد عميل أو مورد بشكل غير مبرر
– يمكن للمراجع أو مدير المالية:
– استعراض سجل الأنشطة لفلترة:
– العمليات على حساب هذا العميل/المورد.
– خلال فترة زمنية محددة.
– معرفة:
– من قام بالتعديل.
– من أي فرع.
– وما هو الإجراء بالضبط.
2) حذف أو تعديل فاتورة بعد إصدارها
– في بيئة الفاتورة الإلكترونية والضرائب، تعديل الفواتير بعد الإصدار موضوع حسّاس.
– Audit Log يساعد الإدارة على:
– معرفة من قام بالحذف أو التعديل.
– التأكد من أن الإجراءات تمت وفق سياسة الشركة (مثلاً بعد موافقة مدير).
3) تغييرات في الصلاحيات والأدوار
– أي تغيير في:
– أدوار المستخدمين.
– صلاحياتهم.
يُعتبَر إجراءً عالي الحساسية، ويجب تسجيله:
– لمعرفة من أعطى من أي صلاحية ولمن.
ثالثاً: دور Audit Log في الامتثال في السعودية والخليج
في سياق الامتثال الضريبي والفاتورة الإلكترونية:
– تحتاج الشركات في السعودية (مع ZATCA) أو دول أخرى إلى:
– إثبات سلامة سجلاتها.
– الرد على أسئلة مدققي الحسابات أو الجهات التنظيمية عند الحاجة.
وجود سجل أنشطة واضح في Yaomy ERP:
– يسهّل تقديم إجابات موثوقة عند التدقيق:
– متى تم إصدار الفاتورة؟
– هل تم تعديلها؟ من قام بذلك؟
– ما هي النسخة القياسية للبيانات قبل وبعد التعديل؟
رابعاً: التكامل بين Audit Log وبقية مكوّنات الأمان
سجل الأنشطة لا يعمل في عزلة:
– مع نظام الصلاحيات (RBAC):
– عند تقليص صلاحيات مستخدم، يمكنك مراجعة سجله السابق قبل القرار.
– مع النسخ الاحتياطي:
– عند استعادة نسخة احتياطية، يمكن تسجيل عملية الاستعادة نفسها في Audit Log، لتوثيق:
– من طلبها.
– لماذا ومتى تمت.
– مع مراقبة الأداء:
– في حال زيادة مفاجئة في عدد العمليات من مستخدم أو تكامل معيّن، يمكن الربط بين:
– سجل الأداء (Performance Logs).
– وسجل الأنشطة (Audit Log).
خامساً: أفضل ممارسات استخدام Audit Log في شركتك
– حدّد من يملك حق الوصول لسجل الأنشطة:
– عادةً: المدير المالي، مدير تقنية المعلومات، أو مسؤول الامتثال.
– ضع سياسة واضحة:
– عن المدة التي يجب الاحتفاظ فيها بسجلات الأنشطة (مثلاً 5 أو 7 سنوات، بما يتوافق مع القوانين المحلية).
– استخدم سجل الأنشطة بشكل استباقي:
– لا تنتظر المشكلة؛ استخدمه في:
– مراجعات شهرية عشوائية.
– تدقيقات دورية على العمليات الحرجة (تعديلات قيود، حذف فواتير، تغيير صلاحيات).
دعوة لاتخاذ خطوة عملية (CTA)
لو لم يكن فريقك يستخدم سجل الأنشطة اليوم إلا عند وقوع مشكلة، فقد حان الوقت لتحويله إلى أداة استباقية:
– اطلب من فريقك إعداد تقارير دورية من Audit Log لأكثر العمليات حساسية.
– اجعل مراجعة سجل الأنشطة جزءاً من روتين الإغلاق الشهري أو ربع السنوي.
– ناقش مع فريق يومي ERP كيفية توسيع ما يتم تسجيله بما يلائم حجم أعمالك ودرجة حساسيتها.
روابط داخلية مقترحة
– صفحة: أمان البيانات والصلاحيات في يومي ERP (Cluster 15 – id 521).
– صفحة: النسخ الاحتياطي والاستعادة (Backup & Recovery) في Yaomy ERP (Cluster 15 – id 522).
– صفحة: سجل الأنشطة والتدقيق (Activity Log) في يومي (Cluster 4 – id 111).
– صفحة: أمان وامتثال Yaomy ERP لأسواق الخليج والسعودية (Cluster 15 – id 539).