إعداد: عارف زمان هو مدير التدقيق ، شهادة مدقق داخلي معتمد، محاسب قانوني معتمد، مدقق نظم معلومات معتمد، خبير مالي معتمد، م ا رقب تقييم ذاتي معتمد،ضمان إدارة المخاطر المعتمدة، مدقق قائم على المخاطر معتمد، وم ا رقب عام للحسابات


Untitled

يظن البعض أن أهم خطوة في عملية التدقيق الداخلي هي التنفيذ، إلا أن التجارب والأبحاث أظهرت خلاف ذلك نظرًا لوجود عملية طويلة وصعبة تسبق   الوصول إلى مرحلة تنفيذ أعمال التدقيق. وهذا يأخذنا إلى موضوع المناقشة في هذا المقال؛ وهو أن أهم خطوة في عملية التدقيق تكمن في مرحلة التخطيط. فعملية التدقيق الداخلي ككل تعتمد بشدة على التخطيط السليم.

يجب على الرئيس التنفيذي للتدقيق (CAE) إدارة نشاط التدقيق الداخلي بفاعلية للتأكد من تقديم قيمة مضافة للمؤسسة[1]. حيث يمكن للتدقيق الداخلي أن يضيف قيمة للمؤسسة والأطراف ذات العلاقة عندما يأخذ بعين الاعتبار الاستراتيجيات والأهداف والمخاطر المحددة لتعزيز عمليات الحوكمة وإدارة المخاطر والرقابة، وتقديم التأكيد المناسب والموضوعي حول مدى فاعلية عملها. وعادةً ما تبرز هذهالجوانب خلال مرحلة التخطيط السنوي لعملية التدقيق الداخلي.

التخطيط السنوي

يتعين على الرئيس التنفيذي للتدقيق إعداد خطة  مبنية على المخاطر لتحديد أولويات نشاط التدقيق الداخلي بشكل يتوافق مع أهداف المؤسسة[1]. حيث يتمثل الغرض من التخطيط السنوي للتدقيق في ضمان توافق أنشطة التدقيق مع احتياجات المؤسسة وإضافة القيمة لتحقيق الأهداف المحددة مسبقاً، كما يساعد التخطيط السنوي في الاستغلال الأمثل للموارد المحدودة للتدقيق.

يوجد اعتقاد شائع بأن عملية التخطيط السنوية للتدقيق مضيعة للوقت ومكلفة، غير أن جميع المدققين الداخليين يتفقون في الواقع على أن الفوائد المتحققة تتخطى التكلفة والوقت المستغرق. فهناك قول شهير هو: “إذا فشلت في الإعداد، فإنك تعد للفشل”. وسوف أستعرض لكم أدناه تفاصيل الخطوات الرئيسية التي تشتمل عليها عملية التخطيط السنوية للتدقيق الداخلي.:

[1] المعايير الدولية للتنفيذ المهني للتدقيق الداخلي – 2010 – التخطيط

[1] المعايير الدولية للتنفيذ المهني للتدقيق الداخلي – 2000 – إدارة عملية التدقيق الداخلي

az2

الخطوة الأولى: عالم التدقيق

من المهم قبل البدء في تقييم المخاطر أن يتم تقسيم المؤسسة إلى مجالات وجوانب متعددة يمكن تدقيقها. وينبغي أن يشتمل هذا التقسيم على جميع الأعمال والمناطق والوظائف في المؤسسة وفقاً لترتيب منتظم، ويمكن القيام بذلك باتباع أي من المنهجيات التالية:

  • التقسيم الجغرافي: حيث يمكن تقسيم الشركات التابعة والفرعية حسب المناطق الجغرافية.
  • المجال: إذا كانت المؤسسة تعمل في مجالات وقطاعات متنوعة، فيمكن تصنيفها حسب المجال أو القطاع.
  • الوظيفة أو العملية أو الخدمة أو المنتج: يمكن تصنيف المؤسسة وفقاً للوظيفة أو العملية أو الخدمة أو المنتج.

يتم تحديد عالم التدقيق من خلال عمل مشترك يضم التدقيق الداخلي والأطراف الرئيسية ذات العلاقة في المؤسسة. فإدارة التدقيق الداخلي بحاجة إلى تحديث عالم التدقيق بأي تغييرات هيكلية داخل المؤسسة. ولدى الانتهاء من تحديد عالم التدقيق، تصبح إدارة التدقيق الداخلي جاهزة للبدء في مرحلة التقييم السنوي للمخاطر نظرًا لوضوح الجوانب أو الوظائف التي يجب تقييمها من أجل تحديد المخاطر والضوابط الرقابية.

الخطوة الثانية : تقييم المخاطر

يجب أن تستند خطة المهام الخاصة بإدارة التدقيق الداخلي على عملية تقييم مخاطر موثقة تتم على الأقل سنويًا، و يجب أخذ رأي ومدخلات الإدارة العليا ومجلس الإدارة بعين الاعتبار في هذه العملية[1].

إن مرحلة تقييم المخاطر تمثل أكبر تحدياً في عملية التخطيط السنوي. حيث يعتبر تقييم مستوى النضج في إدارة المخاطر من قبل المؤسسة بمثابة العنصر الأول الذي يجب على المدقق البدء بتقييمه.

المؤسسات الناضجة في إدارة المخاطر: إذا كان واضحاً بأن المؤسسة تمتلك ثلاثة خطوط دفاعية لإدارة المخاطر والرقابة والامتثال والاحتيال والجودة، فيجب حينئذٍ جمع مدخلات جميع هذه الوظائف كجزء من عملية تقييم المخاطر.

ففي المؤسسات الناضجة في إدارة المخاطر، تعمل هذه الوظائف على النحو الموضوعة من أجله. وعلاوةً على ذلك، فإن لهذه المؤسسات درجة محددة لقبول المخاطر (المقدار الذي ترغب المؤسسة في قبوله من المخاطر لتحقيق أهدافها) وسجلات للمخاطر (تُفصِّل مخاطر الأعمال) وإطار عمل أخلاقي قوي مطبق لتقوية البيئة الرقابية بشكل كلي.

المؤسسات الغير ناضجة في إدارة المخاطر: إذا لم يتم تحديد أيًا من الخطوط الدفاعية سالفة الذكر، فيجب حينئذٍ إجراء تقييم تفصيلي للمخاطر نظراً لعدم حصول إدارة التدقيق الداخلي على النقاط المرجعية التي تعتمد عليها خلال جمع المعلومات المتعلقة بالمخاطر.

وفي هذه الحالة، التي تنطبق على العديد من المؤسسات، يوصى بقيام إدارة التدقيق الداخلي بجمع البيانات المتعلقة بالمخاطر من كل رئيس وحدة وظيفية، وهنالك أدوات عديدة يمكن استخدامها في هذه العملية؛ مثل إجراء الاستبيانات / الاستقصاءات، عقد الاجتماعات / المقابلات، مراجعة تقارير الإدارة، الخ ،،،

كما يجب على إدارة التدقيق الداخلي توثيق جميع المخاطر الرئيسية وربطها مع الجوانب القابلة للتدقيق في عالم التدقيق.

وبغض النظر عن درجة النضج في إدارة المخاطر بالمؤسسة، فمن المتوقع قيام إدارة التدقيق الداخلي أيضًا بمراجعة مصادر المعلومات الأخرى مثل:

  • مخاطر المجال / القطاع
  • العامل الخارجي (يمكن للمدققين الداخليين استخدام أساليب مثل تحليل البيئة الخارجية والمحيطة (PEST) وتحليل نقاط القوة ونقاط الضعف والفرص والتهديدات (SWOT))
  • مخاطر الامتثال/التنظيم
  • تقارير التدقيق الداخلي السابقة وإذا أمكن ،
  • تقارير الإدارة من خط الدفاع الثاني؛ مثل تقارير وظيفة المخاطر ووظيفة الامتثال ووظيفة مكافحة الاحتيال الخ ،،،.
  • أي بيانات أخرى من الإنترنت؛ مثل نوليدج ليدر، بورد إكسكيوتف، الخ ،،،.

كما توجد متطلبات معيارية معينة يجب على إدارة التدقيق الداخلي أخذها بعين الاعتبار عند القيام بتقييم المخاطر   ؛حيث  يجب توثيق عملية تقييم المخاطر ويجب أن تتوفر لدى المدققين الداخليين الخبرة المعرفية الكافية لتقييم مخاطر الاحتيال [2] والمخاطر الرئيسية  لتقنية المعلومات[3]. علاوةً على ذلك، يجب على نشاط التدقيق الداخلي تقييَّم مدى الفاعلية والمساهمة  في تحسين عمليات إدارة المخاطر[4].

الخطوة الثالثة: الموائمة بين المخاطر والغايات والأهداف الاستراتيجية

يجب على إدارة التدقيق الداخلي الانتباه  للمخاطر الهامة التي قد تؤثر على الأهداف أو العمليات أو الموارد[5].

بعد أن تقوم إدارة التدقيق الداخلي بتحديد مخاطر الاعمال، ينبغي أن يتم ربطها مع غايات المؤسسة وأهدافها الاستراتيجية، ويجب تقييمها من ناحية احتمال حدوثها (الاحتمالية) والعواقب المترتبة عليها (الأثر) للوصول إلى تقييم شامل. وهناك عدة طرق لتقييم المخاطر؛ إما نوعيًا (عالية، متوسطة، منخفضة) وإما كميًا من خلال تحديد درجة كلية لكل خطر من المخاطر (المخاطر المتبقية).

الخطوة الرابعة: ترتيب أولويات المخاطر 

بناءاً على تقييم المخاطر ، يتم إعطاء الأولوية لمعظم المخاطر العالية وبعض من المخاطر المتوسطة ، كما قد يتم إدراج  بعض المخاطر المتوسطة والمنخفضة، حيث أن هناك مستوىً معين من

الموضوعية التي ينطوي عليها تقييم المخاطر والتي تحددها إدارة التدقيق الداخلي استنادًا إلى التقدير المهني.

az1

[1] المعايير الدولية للتنفيذ المهني للتدقيق الداخلي – 2010.أ1 – التخطيط

[2] 2010.أ2 – الكفاءة

[3] 2010.أ3 – الكفاءة

[4] 2120 – إدارة المخاطر

[5] 1220.أ3 – العناية المهنية اللازمة

الخطوة الخامسة :إعداد واعتماد خطة التدقيق الداخلي

بعد أن تكتمل المراحل السابقة، تصبح لدى إدارة التدقيق الداخلي فكرة واضحة حول الجوانب ذات المخاطر العالية التي تحتل أهمية لدى المؤسسة وإدارتها. واستنادًا إلى ذلك تبدأ عملية إعداد واعتماد الخطة السنوية للتدقيق الداخلي والتي قد تغطي أحيانًا فترة تزيد عن عام. وتحدد الخطة الجوانب التي سيتم تدقيقها خلال العام وتفصِّل فترات التنفيذ (عادةً على أساس ربع سنوي).

ويتم عرض خطة التدقيق على لجنة التدقيق التابعة لمجلس الإدارة لمراجعتها وتقديم التوصيات بشأنها. ويجب أخذ رأي ومدخلات الإدارة العليا ومجلس الإدارة بعين الاعتبار في هذه العملية[1]. وينبغي أن تحصر إدارة التدقيق الداخلي متطلبات التدقيق العامة التي يطلبها مجلس الإدارة أو الإدارة العليا وتأخذها بعين الاعتبار استنادًا إلى الموارد المتاحة والتقدير المهني للمدققين الداخليين. كما يجب على الرئيس التنفيذي للتدقيق إبلاغ  الأطراف المعنية بشأن محدودية  الموارد [2] إن وجدت.

قد تختلف الخطة السنوية للتدقيق وفقًا لاحتياجات المؤسسة ومتطلباتها. إذ يوفر الإطار الدولي للممارسات المهنية الخاصة بالتدقيق الداخلي معايير ومبادئ توجيهية معينة لعملية التخطيط السنوية والتي تحدد المتطلبات الدنيا لعملية التخطيط السنوي للتدقيق. كما تقوم بعض المؤسسات بإضافة مهام تدقيق بالاعتماد على معايير أخرى عدا عن المخاطر. وقد تشمل تلك المعايير جوانب خاضعة للتغيير أو عمليات التدقيق الإلزامي أو عمليات التدقيق التي تطلبها الإدارة. يمكن استخدام الخطوات المظللة بالأعلى كدليل لإجراء عملية التخطيط السنوي للتدقيق.

تتعزز مصداقية إدارة التدقيق الداخلي وقيمتها عندما تكون استباقية وتوفر تقييماتهما رؤىً جديدة وتأخذ في اعتبارها التأثير المستقبلي. ويتمثل الغرض من التخطيط في جعل إدارة التدقيق الداخلي أكثر فاعلية وتسهم في تحسين عمليات حوكمة المؤسسة وإدارة مخاطرها والرقابة  باستخدام نظام ممنهج وانضباطي قائم على المخاطر[3].

[1] 2010.أ1- التخطيط

[2] 2020 – التواصل والاعتماد

[3] 2100 – طبيعة العمل