المحاضرة رقم 13 : فحص فعالية إدارة المخاطر (Examining the Effectiveness of Risk Management)
المحاضرة رقم 13 : فحص فعالية إدارة المخاطر (Examining the Effectiveness of Risk Management)
يتناول المعيار 2120 والمعيار PA 2120-1 دور التدقيق الداخلي (internal audit) في تقييم عملية إدارة المخاطر.
يمكن للمدققين الداخليين :
1. فحص (Examine).
2. وتقييم (Evaluate). Evaluating risk
3. وتقديم تقرير (Report).
عن مدى :
1. كفاية (Adequacy).
2. وفعالية (Effectiveness)
عملية إدارة المخاطر (Risk management process).
بالإضافة إلى ذلك يمكنهم أيضًا تقديم توصيات لتحسين عملية إدارة المخاطر (make recommendations to improve the risk management process).
معيار 2120 - إدارة المخاطر (Risk Management) :
يجب على نشاط التدقيق الداخلي (internal audit activity) :
1. تقييم الفعالية (evaluate the effectiveness).
2. و تقييم المساهمة (evaluate the contribute).
في تحسين عمليات إدارة المخاطر (improvement of risk management processes).
التفسير (Interpretation) : تحديد ما إذا كانت عمليات إدارة المخاطر فعالة هو حكم (judgment) ناتج عن تقييم المدقق الداخلي أن :
• تدعم الأهداف التنظيمية وتتوافق مع مهمة المنظمة (Organizational objectives support and align with the organization’s mission).
• تحديد وتقييم المخاطر الهامة (Significant risks are identified and assessed).
• يتم اختيار الاستجابات المناسبة للمخاطر التي تتماشى مع المخاطر التي تتحملها المؤسسة (e organization’s risk appetite).
• يتم التقاط (captured) معلومات المخاطر ذات الصلة (Relevant risk information) وإبلاغها في الوقت المناسب (timely) عبر المؤسسة مما يمكّن :
1. الموظفين (Staff).
2. والإدارة (Management).
3. ومجلس الإدارة (The board).
من تنفيذ مسؤولياتهم (carry out their responsibilities).
• قد يقوم نشاط التدقيق الداخلي بجمع المعلومات (Gather the information) لدعم هذا التقييم أثناء ارتباطات متعددة.
عند النظر إلى نتائج هذه الارتباطات معًا فإنها توفر فهمًا لعمليات إدارة المخاطر في المؤسسة وفعاليتها.
تتم مراقبة عمليات إدارة المخاطر من خلال :
1. أنشطة الإدارة المستمرة (Ongoing management activities).
2. أو التقييمات المنفصلة (Separate evaluations) .. أو كليهما.
2120A1. يجب على نشاط التدقيق الداخلي تقييم التعرض للمخاطر المتعلقة بحوكمة المنظمة والعمليات وأنظمة المعلومات فيما يتعلق بما يلي :
• تحقيق الأهداف الإستراتيجية للمنظمة (Achievement of the organization’s strategic objectives).
• موثوقية وسلامة المعلومات المالية والتشغيلية (Reliability and integrity of financial and operational information).
• فعالية وكفاءة العمليات والبرامج (Effectiveness and efficiency of operations and programs).
• حماية الأصول (Safeguarding of assets).
• الامتثال للقوانين واللوائح والسياسات والإجراءات والعقود (Compliance with laws, regulations, policies, procedures, and contracts).
2120A2. يجب على نشاط التدقيق الداخلي تقييم احتمالية حدوث الاحتيال وكيفية إدارة المؤسسة لمخاطر الاحتيال.
المشورة التطبيقية (Practice Advisory) 2120-1 :
تقييم مدى كفاية عمليات إدارة المخاطر (Assessing the Adequacy of Risk Management Processes) :
1. إدارة المخاطر (Risk management) هي مسؤولية رئيسية (key responsibility) لـ :
1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (The board).
لتحقيق أهداف أعمالها التجارية (Business objectives)
حيث :
- تضمن الإدارة أن عمليات إدارة المخاطر السليمة موجودة وتعمل. Management ensures that sound risk management processes are functioning
- تلعب المجالس دورًا رقابيًا لتحديد أن عمليات إدارة المخاطر المناسبة مطبقة وأن هذه العمليات كافية وفعالة.
Boards have an oversight function and determine that risk management processes are in place, adequate, and effective
في هذا الدور قد يوجهون نشاط التدقيق الداخلي لمساعدتهم عن طريق :
1. الفحص (examining). 2. والتقييم (evaluating). 3. وإعداد التقارير (reporting).
4. و / أو التوصية بإدخال تحسينات (recommending improvements) على مدى كفاية وفعالية عمليات إدارة المخاطر.
سيكون لكل منظمة منهجيتها الخاصة لتنفيذ عملية إدارة المخاطر (own particular methodology to implement the risk management process).
تتضمنPA 2120-1 معلومات حول العمليات المختلفة التي قد تكون لدى المنظمة (different processes that an organization may have).
PA 2120-1 تقييم كفاية عمليات إدارة المخاطر (Assessing the Adequacy of Risk Management Processes) :
يمكن أن تختلف التقنيات المستخدمة من قبل المنظمات المختلفة لممارسات إدارة المخاطر (Risk management practices) بشكل كبير.
اعتمادًا على :
1. حجم الأنشطة التجارية للمنظمة (Size of the organization’s business activities).
2. وتعقيد الأنشطة التجارية للمنظمة (Complexity of the organization’s business activities).
يمكن أن تكون عمليات إدارة المخاطر :
• رسمية أو غير رسمية (Formal or informal).
• كمية أو ذاتية (Quantitative or subjective).
• جزءا لا يتجزأ من وحدات الأعمال أو مركزية على مستوى الشركة (Embedded in the business units or centralized at a corporate level).
تصمم المنظمة العمليات بناءً على :
1. ثقافتها (Culture).
وأسلوب إدارتها (Management style).
وأهداف عملها (Business objectives).
على سبيل المثال قد يتطلب استخدام المشتقات (derivatives) أو غيرها من منتجات أسواق رأس المال (capital markets products) المتطورة من قبل المنظمة استخدام أدوات إدارة المخاطر الكمية (quantitative risk management tools).
يمكن للمنظمات الأصغر والأقل تعقيدًا استخدام لجنة مخاطر غير رسمية (informal risk committee) لـ :
1. مناقشة ملف مخاطر المنظمة (Discuss the organization’s risk profile).
2. وبدء إجراءات دورية (Initiate periodic actions).
يقرر المدقق الداخلي أن المنهجية المختارة (methodology chosen) شاملة بما فيه الكفاية ومناسبة لطبيعة أنشطة المنظمة.
يجب على المدقق الداخلي تحديد ما إذا كانت عملية إدارة المخاطر فعالة أم لا وما إذا كانت المنهجية مفهومة بوضوح من قبل المجموعات الرئيسية (key groups) بما في ذلك :
1. مجلس الإدارة (Board).
2. ولجنة التدقيق (Audit committee).
يجب أن يقتنع المدقق الداخلي بأن عمليات إدارة المخاطر في المؤسسة تتناول هذه الأهداف الخمسة الرئيسية :
• تحديد المخاطر التي تنشأ من :
1. استراتيجيات الاعمال (Business strategies).
2. وأنشطة الأعمال (Business activities).
وترتيب أولوياتها (prioritized).
• تحدد الإدارة ومجلس الإدارة مستوى المخاطر المقبول (level of risk acceptable) لدى المنظمة (تقييم مدى تقبل المخاطر risk appetite).
• ﺗﺻﻣﯾم وﺗﻧﻔﯾذ أﻧﺷطﺔ ﺗﺧﻔﯾف اﻟﻣﺧﺎطر ﻟـ :
1. ﺗﻘﻟﯾل اﻟﻣﺧﺎطر (Reduce risk).
2. أو إدارة اﻟﻣﺧﺎطر (Manage risk).
ﺑﻣﺳﺗوﯾﺎت ﻣﻘﺑوﻟﺔ (Acceptable levels).
• يتم إعادة تقييم المخاطر بشكل دوري على أساس مستمر (Risk are periodically reassessed on an ongoing basis).
• يتم تقديم تقارير دورية (periodic reports) لكلاً من :
1. مجلس الإدارة (The board).
2. والإدارة (Management).
عن نتائج عملية تقييم المخاطر (results of the risk assessment process).
ملاحظة : يجب على المدققين الداخليين معالجة أي تعرض للمخاطر (risk exposures) التي يواجهونها في أي ارتباط وتقييمهم بشكل أكبر حسب الضرورة حتى لو لم يكن ذلك جزءًا من المهمة المباشرة.
جمع الأدلة للتقييم (Gathering Evidence for Assessment) :
عند جمع الأدلة لتقييم عملية إدارة المخاطر فإن الإجراءات التي يجب على المدقق الداخلي اتباعها موضحة في الفقرة 8 من PA 2120-1.
تقييم كفاية عمليات إدارة المخاطر (Assessing the Adequacy of Risk Management Processes) : PA 2120-1
8. يحتاج المدققون الداخليون إلى الحصول على :
1. أدلة كافية (Sufficient evidence).
2. الأدلة المناسبة (Appropriate evidence).
لتحديد أن الأهداف الرئيسية لعمليات إدارة المخاطر يتم تحقيقها لتكوين رأي (opinion) حول مدى كفاية عمليات إدارة المخاطر.
عند جمع هذه الأدلة قد يأخذ المدقق الداخلي في الاعتبار إجراءات التدقيق التالية :
• البحث ومراجعة (Research and review) :
1. التطورات (Current developments).
2. والاتجاهات الحالية (Current trends).
3. ومعلومات الصناعة الحالية (Current industry information).
المتعلقة بالأعمال التي تجريها المنظمة وغيرها من مصادر المعلومات المناسبة لتحديد المخاطر والتعرضات التي قد تؤثر على المنظمة وإجراءات الرقابة ذات الصلة المستخدمة لمعالجة هذه المخاطر ومراقبتها وإعادة تقييمها .
• مراجعة سياسات الشركة ومحاضر اجتماعات مجلس الإدارة (Review corporate policies and board minutes) لتحديد :
1. استراتيجيات عمل المنظمة (Organization’s business strategies).
2. وفلسفة إدارة المخاطر Risk management philosophy).
3. ومنهجية إدارة المخاطر (Risk management methodology).
4. والرغبة في المخاطرة (Appetite for risk).
5. وقبول المخاطر (Acceptance of risks).
• مراجعة تقارير تقييم المخاطر السابقة (Review previous risk evaluation reports) الصادرة عن :
1. الإدارة (Management).
2. والمدققين الداخليين (Internal auditors).
3. والمراجعين الخارجيين (External auditors).
4. وأي مصادر أخرى (Any other sources).
• إجراء مقابلات (Conduct interviews) مع :
1. الإدارة التنفيذية (Line management).
2. والإدارة العليا (Senior management).
لتحديد :
1. أهداف وحدة العمل (Business unit objectives).
2. والمخاطر ذات الصلة (Related risks).
3. وتخفيف مخاطر الإدارة (Management’s risk mitigation).
4. ومراقبة أنشطة المراقبة (Control monitoring activities).
• استيعاب المعلومات (Assimilate information) من أجل :
1. التقييم المستقل (independently evaluate) لـ :
1. فعالية تخفيف المخاطر (Effectiveness of risk mitigation).
2. و فعالية رصد المخاطر (Effectiveness of risk monitoring).
2. والإبلاغ عن المخاطر وأنشطة الرقابة المرتبطة بها (communication of risks and associated control activities).
• تقييم مدى ملاءمة التسلسل الإداري (reporting lines) لأنشطة مراقبة المخاطر.
• مراجعة مدى :
1. كفاية (Adequacy).
2. وتوقيت (Timeliness).
التقارير المتعلقة بنتائج إدارة المخاطر.
• مراجعة اكتمال تحليل الإدارة للمخاطر والإجراءات المتخذة لمعالجة المشكلات التي تثيرها عمليات إدارة المخاطر واقتراح التحسينات.
• تحديد فعالية عمليات التقييم الذاتي للإدارة (effectiveness of management’s self-assessment) من خلال :
1. الملاحظات (Observations).
2. والاختبارات المباشرة (Direct tests).
لإجراءات الرقابة والمراقبة (control and monitoring procedures) واختبار دقة المعلومات المستخدمة في أنشطة المراقبة (testing the accuracy of information used in monitoring activities) وغيرها من التقنيات المناسبة (other appropriate techniques).
• مراجعة القضايا المتعلقة بالمخاطر (Review risk-related issues) التي قد تشير إلى ضعف في ممارسات إدارة المخاطر (weakness in risk management practices) وعند الاقتضاء ناقشها مع :
1. الإدارة العليا (senior management).
2. ومجلس الإدارة (the board).
إذا كان المدقق يعتقد أن الإدارة قد قبلت مستوى من المخاطر (accepted a level of risk) لا يتوافق مع :
1. استراتيجية إدارة المخاطر في المنظمة (organization’s risk management strategy).
2. وسياسات إدارة المخاطر في المنظمة (organization’s risk management policies).
أو أنه يعتبر غير مقبول بالنسبة للمنظمة (deemed unacceptable to the organization) فارجع إلى المعيار 2600 والتوجيهات ذات الصلة للحصول على توجيه إضافي.
عادة ما يتم الحصول على الأدلة لدعم تقييم المخاطر من المشاركات على مدار العام.
نظرًا لعدم وجود صيغة / وصفة (formula) يجب اتباعها غالبًا ما يعتمد التقييم الناجح للمخاطر على :
1. الحكم المهني (professional judgment).
2. والخبرة (experience) لكلاً من :
1. المدققين الداخليين (internal auditors). 2. والرئيس التنفيذي للتدقيق (the CAE).
عادة ما يتم الحصول على الأدلة لدعم تقييم المخاطر من المهام (engagements) على مدار العام. نظرًا لعدم وجود صيغة (formula) يجب اتباعها غالبًا ما يعتمد التقييم الناجح للمخاطر على الحكم المهني والخبرة للمدققين الداخليين والرئيس التنفيذي للتدقيق.
عندما لا توجد عملية إدارة المخاطر (When No Risk Management Process Exists) : No formal & informal risk management processes exist
إذا لم يكن لدى المنظمة عملية لإدارة المخاطر (risk management process) فيجب على الرئيس التنفيذي للتدقيق (CAE) إقناع (convince) :
1. مجلس الإدارة (The board).
2. والإدارة العليا (Senior management).
بإنشاء واحدة (establish one) حتى لو كانت مجرد مجموعة غير رسمية من الإجراءات (informal set of procedures).
PA 2120-1 : تقييم كفاية عمليات إدارة المخاطر (Assessing the Adequacy of Risk Management Processes)
5. في الحالات التي لا تمتلك فيها المنظمة عمليات رسمية لإدارة المخاطر (formal risk management processes) يناقش الرئيس التنفيذي للتدقيق (CAE) رسميًا (formally) مع :
1. الإدارة (Management).
2. ومجلس الإدارة (The board).
التزاماتهما (obligations) لـ :
1. فهم المخاطر (Understand risks).
2. وإدارة المخاطر (Manage risks).
3. ومراقبة المخاطر (Monitor risks).
داخل المنظمة والحاجة إلى إقناع أنفسهم بوجودها.
هي عمليات تعمل داخل المنظمة .. حتى لو كانت غير رسمية (informal) .. توفر المستوى المناسب (appropriate level) من :
1. الرؤية للمخاطر الرئيسية (visibility into the key risks).
2. وكيفية إدارتها ومراقبتها (how they are being managed and monitored).
تقييم مدى كفاية عمليات إدارة المخاطر للخدمات الاستشارية الرسمية
(Assessing the Adequacy of Risk Management Processes for Formal Consulting Services) :
يتناول المعيار 2120 إدارة المخاطر في سياق مهمة استشارية (risk management in the context of a consulting engagement).
معيار 2120 - إدارة المخاطر (Risk Management)
2120C1 - أثناء المهمات الاستشارية يجب على المدققين الداخليين :
1. معالجة المخاطر المتوافقة مع أهداف المهمة (address risk consistent with the engagement’s objectives).
2. وأن يكونوا متيقظين لوجود مخاطر مهمة أخرى (be alert to the existence of other significant risks).
2120C2 - يجب على المدققين الداخليين ..
دمج المعرفة بالمخاطر المكتسبة من المشاركات الاستشارية (incorporate knowledge of risks gained from consulting engagements)
في تقييمهم لعمليات إدارة المخاطر في المنظمة.
2120C3 - عند مساعدة الإدارة في :
1. إنشاء عمليات إدارة المخاطر (establishing risk management processes).
2. أو تحسين عمليات إدارة المخاطر (improving risk management processes).
يجب على المدققين الداخليين ..
الامتناع عن تولي أي مسؤولية إدارية عن طريق إدارة المخاطر فعليًا
(refrain from assuming any management responsibility by actually managing risks).
إذا حدد المدققون :
1. التعرض للمخاطر الكبيرة (significant risk exposure).
2. أو نقاط الضعف في الرقابة (control weaknesses).
أثناء مهمة استشارية (consulting engagement) فيجب تنبيه الإدارة (management must be alerted).
في بعض الحالات لا سيما عندما يكون هناك تعرضات كبيرة للمخاطر قد يكون من الضروري للمدقق الداخلي التواصل مباشرة (communicate directly) مع :
1. مجلس الإدارة (the board).
2. أو لجنة التدقيق (audit committee).
كما هو الحال مع أي مهمة تقييم ، يجب على المدقق الداخلي استخدام الحكم المهني (professional judgment) من أجل :
• تحديد (Determine) :
1. أهمية التعرض أو نقاط الضعف (the significance of exposures or weaknesses)
2. والإجراءات المتخذة أو المتوخاة للتخفيف منها (actions taken or contemplated to mitigate them).
• التأكد (Ascertain) من :
1. توقعات الإدارة (the expectations of management).
2. وتوقعات لجنة التدقيق (the expectations of audit committee).
3. وتوقعات مجلس الإدارة (the expectations of board).
في الإبلاغ عن هذه الأمور.
ملاحظة : يحتاج المدققون الداخليون إلى تجنب إدارة المخاطر (avoid managing risks) أثناء مهمة استشارية (consulting engagement) لأن القيام بذلك قد يؤدي إلى نتيجة سلبية (negative outcome) والتي يمكن أن يُنظر إليها على أنها :
- إخفاق في التدقيق الداخلي (internal audit failure).
- وتضر بسمعة نشاط التدقيق الداخلي (damage the reputation of the IAA).
ملاءمة دور نشاط الرقابة الداخلية في عملية إدارة المخاطر (Appropriateness of IAA’s Role in the Risk Management Process).
عادةً ما يكون كلاً من :
1. تقييم عمليات إدارة المخاطر في المؤسسة.
2. وإعداد التقارير عنها من أولويات التدقيق العالية.
ويجب أن يحدد الميثاق (Charter) بوضوح كلاً من :
1. توقعات الإدارة (Board’s expectations).
2. و توقعات مجلس الإدارة (Management expectations).
من نشاط الرقابة الداخلية (IAA).
تشير ورقة موقف معهد المدققين الداخليين (IIA Position Paper) : دور التدقيق الداخلي في إدارة المخاطر على مستوى المؤسسة إلى أن دور نشاط الرقابة الداخلية (IAA) هو توفير ضمان (provide assurance) لمجلس الإدارة بشأن فعالية إدارة المخاطر (effectiveness of risk management).
يجب تقديم التأكيد في ثلاثة مجالات :
1) تصميم وتنفيذ عمليات إدارة المخاطر (The design and implementation of the risk management processes).
2) تحديد المخاطر الرئيسية وفعالية ضوابطها (Identification of key risks and the effectiveness of their controls).
3) التقييم والإبلاغ عن المخاطر والضوابط (Assessment and reporting of risk and controls).
يمكن لنشاط الرقابة الداخلية (IAA) أن تقدم مجموعة واسعة من خدمات إدارة المخاطر (wide range of risk-management services) ولكن هناك أنشطة يجب أن يرفضها نشاط الرقابة الداخلية (IAA).
أهم سؤالين يجب طرحهما عند التفكير فيما إذا كان النشاط مناسبًا هما :
1) هل سيكون للنشاط تأثير سلبي على استقلالية وموضوعية نشاط الرقابة الداخلية (negative impact on the IAA’s independence and objectivity) ؟
إذا كانت الإجابة بنعم (yes) فلا ينبغي أن تقبل نشاط الرقابة الداخلية (IAA) المشاركة.
2) هل سيؤدي النشاط إلى تحسين الحوكمة والضوابط وإدارة المخاطر في المؤسسة (improve the organization’s governance, controls, and risk management) ؟
إذا كان الجواب بالنفي (no) فلا ينبغي أن تقبل نشاط الرقابة الداخلية (IAA) المشاركة.
ملاحظة : دور نشاط الرقابة الداخلية (IAA) في عملية إدارة المخاطر ليس ثابتًا وسيتغير بمرور الوقت (not static and will change over time).
أدوار الضمان (Assurance Roles) :
جميع أنشطة التأكيد (Assurance activities) المذكورة أعلاه تقع بشكل مباشر ضمن نطاق نشاط الرقابة الداخلية (IAA) وينبغي أن يوفر نشاط الرقابة الداخلية (IAA) بعض أو كل هذه الخدمات.
ستعتمد درجة التأكيد (Degree of assurance) التي يقدمها نشاط الرقابة الداخلية (IAA) على ..
كيفية إدارة المخاطر المضمنة في العمليات اليومية للمؤسسة
(How embedded risk management is in the organization’s everyday operations).
في المراحل الأولى (early stages) من تنفيذ إدارة المخاطر المؤسسية قد يحتاج نشاط الرقابة الداخلية (IAA) إلى أن تكون داعيةً (advocate) لفوائد إدارة المخاطر المؤسسية.
في المراحل اللاحقة (later stages) عندما يتم الوفاء بمعظم أدوار التدقيق الأساسية core audit roles (العناصر باللون الأخضر) عادة ما يتحول نشاط الرقابة الداخلية (IAA) إلى الاستشارات (consulting).
الأدوار الاستشارية (Consulting Roles) :
يمكن لنشاط الرقابة الداخلية (IAA) تقديم خدمات استشارية فقط إذا كان ذلك مسموحًا به في الميثاق (permitted in the Charter) وليس هناك أي افتراض لمسؤولية الإدارة. يجب أن يكون لمعظم عمليات الاستشارات :
1. إستراتيجية (Strategy).
2. وإطار زمني (Time frame).
لنقل المسؤولية من نشاط الرقابة الداخلية (IAA) إلى الإدارة.
تمنع الإجراءات الوقائية / الضمانات (Safeguards) الارتباطات الاستشارية من الانتقال إلى الأنشطة التي لا ينبغي أن يقوم بها نشاط الرقابة الداخلية (IAA) سواء عن طريق :
1. الخطأ (Accidentally).
2. أو بسبب الضغط من الإدارة (Pressure from management).
لذلك يجب ألا يقوم معهد المدققين الداخليين (IIA) بما يلي :
• إدارة المخاطر (Manage risk).
• اتخاذ قرارات إدارة المخاطر (Make risk management decisions).
• إعطاء ضمانات بشأن أي جزء من إطار عمل إدارة المخاطر المؤسسية الذي طورته
(Give assurance on any part of the ERM framework that it developed).
• الخروج عن المعايير المتعلقة بالمهام الاستشارية (Deviate from the Standards related to consulting engagements).
ملاحظة : يجب أن تكون هناك إجراءات وقائية (sufficient safeguards) كافية لـ :
1. ضمان موضوعية (Ensure the objectivity).
2. وضمان استقلالية (Ensure the independence).
المدققين الداخليين في الأدوار الاستشارية لإدارة المخاطر المؤسسية (internal auditors in ERM consulting roles).
تفسير مفاهيم الرقابة الداخلية وأنواعها (Interpret Internal Control Concepts and Types of Controls) :
تعريف الرقابة (Defining Control) :
يعرف مسرد معهد المدققين الداخليين (IIA) الرقابة على النحو التالي :
أي إجراء (Any action) تتخذه :
1. الإدارة (Management).
2. ومجلس الإدارة (The board).
3. والأطراف الأخرى (Other parties).
لـ :
1. إدارة المخاطر (Manage risk).
2. وزيادة احتمالية تحقيق :
1. الأهداف المحددة (Established objectives).
2. والغايات المحددة (Established goals).
تقوم الإدارة بـ :
1. تخطيط (Plans).
2. وتنظم (Organizes).
3. وتوجيه (Directs).
أداء الإجراءات الكافية (performance of sufficient actions) لتوفير ضمان معقول (reasonable assurance) بـ :
1. تحقيق الأهداف (Objectives will be achieved).
2. وتحقيق الغايات (Goals will be achieved).
تنص لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO) على أن الضوابط الداخلية "توفر تأكيدًا معقولاً فيما يتعلق بتحقيق الأهداف" في ثلاث فئات:
• فعالية وكفاءة العملية (Effectiveness and efficiency of operation).
• موثوقية التقارير المالية (Reliability of financial reporting).
• الامتثال للقوانين واللوائح المعمول بها (Compliance with applicable laws and regulations).
تصنيف الضوابط (Classifying Controls) :
يساعد تصنيف الرقابة منظمة معينة على فهم العلاقة والتسلسل الذي يحكم الضوابط ذات الصلة. هناك ثلاث طرق أساسية لتصنيف الضوابط :
1) الضوابط على المستوى التنظيمي (Organizational-level Controls) :
• ضوابط على مستوى الشركة (على مستوى الكيان) Corporate-level (entity-level) controls.
وهي تشمل :
1. بيانات السياسة العامة (General policy statements).
2. والقيم العامة (General values).
3. وإجراءات المراقبة العامة (overall monitoring procedures) .. مثل :
1. لجنة التدقيق (Audit committee).
2. ولجنة إدارة المخاطر (Risk management committee).
• الضوابط على المستوى التشغيلي (Operational-level controls) :
وهي تشمل كلاً من :
1. الضوابط اليدوية (Manual controls).
2. والضوابط الآلية (Automated controls).
تشمل الضوابط على المستوى التشغيلي :
1. التخطيط (planning).
2. ومراقبة الأداء (performance monitoring).
3. ونظام المساءلة للرؤساء (system of accountability to superiors).
4. وتقييم المخاطر (risk evaluation).
• ضوابط على مستوى المعاملات (Transaction-level controls) :
غالبًا ما تكون مؤتمتة (automated) وتتكون من :
1. إجراءات رقابة محددة (specific control procedures).
2. وضوابط محددة (specific controls).
لضمان دقة المعلومات المالية واكتمالها (to ensure that financial information is accurate and complete).
2) الضوابط اليدوية مقابل الضوابط الآلية (Manual Versus Automated Controls) :
• الضوابط اليدوية (Manual controls) تعمل من خلال التدخل البشري (human intervention).
تتضمن أمثلة الضوابط اليدوية :
1. مشرفًا يوقع على طلب شراء (supervisor signing a purchase requisition).
2. أو مديرًا يراجع فعليًا المعلومات الفعلية مقابل المعلومات المقدرة في الموازنة (manager physically reviewing actual versus budgeted information).
الضوابط اليدوية أكثر عرضة للخطأ من الضوابط الآلية (Manual controls are more prone to error than automated controls).
• تعمل الضوابط الآلية (Automated controls) من خلال وداخل نظام تكنولوجيا المعلومات (information technology system) للشركة.
تتضمن أمثلة الضوابط الآلية :
1. الموازنة الآلية (automated balancing).
2. والتسويات الآلية (automated reconciliations)
3. وضوابط الوصول إلى الأنظمة (systems access controls).
4. والعلامات الآلية (automated flags) التي تحدد :
1. الإدخالات (Entries).
2. أو البيانات (Data).
غير الصالحة أو المكررة (invalid or duplicate).
وأي فحص يتم إجراؤه تلقائيًا بواسطة نظام الكمبيوتر (any check made automatically by a computer system).
عادةً ما تكون عناصر الرقابة المؤتمتة :
1. أكثر موثوقية (More reliable).
2. وأكثر فعالية (More efficient).
من أدوات الرقابة اليدوية. وبالتالي يمكنها توفير معلومات أكثر قيمة وموثوقة وفي الوقت المناسب.
ومع ذلك هناك حالات تكون فيها الضوابط اليدوية بالغة الأهمية لا سيما في :
1. العمليات المعقدة (Complex processes).
2. و العمليات الديناميكية (Dynamic processes).
3. أو في الأماكن التي تتطلب الحكم البشري (Places where human judgment is required).
قد تكشف مراجعة العمليات اليدوية عن فرص للتحسين الآلي (review of manual processes may reveal opportunities for automated improvement).
تصنيف الضوابط (Classifying Controls) :
يساعد تصنيف الرقابة منظمة معينة على فهم العلاقة والتسلسل الذي يحكم الضوابط ذات الصلة. هناك ثلاث طرق أساسية لتصنيف الضوابط :
3) انوع الضوابط (Type of Controls) :
1. توجيهي Directive : لإحداث أو تشجيع حدوث حدث مرغوب فيه
2. وقائي Preventive : لتجنب (avoid) وقوع حدث غير مرغوب فيه.
هذه هي الضوابط الرئيسية للأحداث التي من شأنها أن تكون ضارة جدًا للشركة في حالة حدوثها.
3. كشفي Detective : لاكتشاف (detect) الأحداث غير المرغوب فيها التي حدثت.
يمكن استخدامه للكشف عن الأحداث التي يمكن أن تضر بالشركة إذا لم يتم تصحيحها.
4. تصحيحي Corrective : لتصحيح (correct) الأحداث غير المرغوب فيها التي حدثت بالفعل.
5. تعويضي Compensating : لتعويض (compensate) نقاط الضعف في نظام الرقابة.
تعمل هذه على تقليل المخاطر عندما لا تكون الضوابط الأخرى فعالة ولكنها ليست كافية في حد ذاتها للرقابة على المخاطر.
توقيت الضوابط (Timing of the Controls) :
في ظل الظروف المثالية (ideal conditions) يجب أن ..
تمنع الضوابط الأخطاء قبل حدوثها لأن منع الخطأ أقل تكلفة من إصلاحه
(prevent mistakes before they occur because it is less expensive to prevent a mistake than to fix one).
هناك ثلاثة أنواع من الضوابط :
1) ضوابط التغذية الامامية (Feedforward controls) تحديد المشكلة قبل حدوثها ومحاولة منع حدوثها.
مثال على ضوابط التغذية الامامية هو :
1. الصيانة الوقائية (Preventive maintenance) للآلة لتجنب حدوث عطل.
2. السياسات والإجراءات (Policies and procedures) هي أمثلة أخرى على الضوابط التغذوية.
2) تعمل الضوابط المتزامنة (Concurrent controls) في نفس الوقت الذي تتم فيه :
1. مراقبة العملية (Process control).
2. وإجراء التعديلات (Make adjustments).
بناءً على ردود الفعل الفورية من النظام (immediate feedback from the system).
3) ضوابط التغذية العكسية (Feedback controls) تحديد المشكلة بعد حدوثها. على الرغم من أن هذا قد يكون أكثر أشكال الضوابط شيوعًا إلا أنه :
1. الأقل فعالية (Least effective).
2. والأقل كفاءة (Least efficient).
نظرًا لإهدار كلاً من :
1. الوقت (Time).
2. والمال (Money).
قبل الكشف (Detection).
من حيث الكفاءة (efficiency) تعتبر :
- ضوابط / عناصر الرقابة في التغذية الامامية (Feedforward controls) هي الأفضل.
- تليها ضوابط / عناصر الرقابة المتزامنة (Concurrent controls).
- ثم ضوابط / عناصر الرقابة في التغذية العكسية (Feedback controls).
ملاحظة : قد تكون الضوابط :
1. كمية (Quantitative).
2. أو نوعية (Qualitative).
تتعلق الرقابة الكمية (Quantitative control) بـ :
1. عدد الوحدات المنتجة (Number of units produced).
2. أو ساعات العمل (Hours worked).
3. أو العيوب التي تم العثور عليها (Defects found).
4. أو شيء مشابه (something similar) .. مثل :
1. الموازنات (Budgets).
2. والجداول (Schedules).
3. والحصص (Quotas).
4. والمخططات (Charts).
تتعلق الرقابة النوعية (Qualitative control) بـ :
1. خصائص (Characteristics).
2. أو متطلبات (Requirements).
كلاً من :
1. الأداء الوظيفي (Job performance).
2. أو الوحدة النهائية (Finished unit) .. مثل :
1. تعليمات الوظيفة (job instructions).
2. أو معايير مراقبة الجودة (quality-control standards).
3. أو معايير التوظيف (employment criteria).
التخطيط والرقابة (Planning and Controlling) :
التخطيط (Planning) هو عملية تحديد :
1. الأهداف (Goals).
2. والغايات (Objectives).
من خلال الرقابة (controlling) تراقب الشركة تقدمها نحو تلك الأهداف والغايات. يمكن الجمع بين :
1. التخطيط (planning).
2. والرقابة (control).
في بعض الأحيان لزيادة الكفاءة (for greater efficiency).
الموازنة (budget) هي مثال على أداة الرقابة التي تجمع بين كل من التخطيط والرقابة.
خصائص الضوابط الفعالة (Characteristics of Effective Controls) :
يجب أن يتمتع نظام الرقابة الفعال بالخصائص التالية :
• اقتصادية (Economical). يجب أن تكون هناك نسبة تكلفة / فائدة إيجابية (positive cost/benefit ratio) مما يعني أن المنظمة توفر أكثر من تكلفة الرقابة.
• ذو معنى (Meaningful). فقط العناصر المادية الهامة (material items) تحتاج إلى ضوابط.
• ملائم (Appropriate). يجب أن يرتبط نظام الرقابة بهدف أو هدف الشركة.
• تتطابق (Congruent). يجب أن تكون نتيجة النظام مفيدة ومتوافقة مع ما يقيسه.
• في الوقت المناسب (Timely). يجب أن تكون المعلومات متاحة في وقت كاف للعمل بموجبها.
• بسيط (Simple). يجب أن يكون عنصر الرقابة مفهومًا للأشخاص الذين يستخدمونه.
• التشغيل (Operational). يجب أن يوفر الرقابة فائدة للعمليات وألا يكون مجرد شيء مثير للاهتمام.
فوائد وعيوب الرقابة الداخلية القوية (Benefits and Limitations of Strong Internal Control) :
فوائد الرقابة الداخلية القوية (Benefits of Strong Internal Control) :
تساعد الضوابط المنظمة على تحقيق أهدافها وغاياتها مع تقليل المخاطر (minimizing risk). بدون ضوابط قوية (strong controls) تعرض الشركة نفسها لخطر :
1. سرقة الموظفين (Employee theft).
2. وفقدان السيطرة على المعلومات (Loss of control over information).
3. وأوجه عدم الكفاءة الضارة الأخرى (Other damaging inefficiencies).
يمكن أن تتمتع الشركة ذات الرقابة الداخلية القوية بالمزايا التالية :
• معلومات أكثر موثوقية لعملية صنع القرار (More reliable information for the decision-making process).
• رقابة أفضل على أصول الشركة (Better control over the assets of the company).
• تقليل فرص الاحتيال (Reduced chance of fraud).
• انخفاض تكاليف المراجعة الخارجية (Lower external audit costs).
• امتثال أفضل للقوانين واللوائح (Better compliance with laws and regulations).
• زيادة ثقة المستثمرين من خلال زيادة موثوقية التقارير المالية (Increased investor confidence through more reliable financial reporting).
عيوب الرقابة الداخلية (Limitations of Internal Controls) :
حتى أفضل نظام للرقابة الداخلية له عيوب. على سبيل المثال :
• يمكن أن توفر الضوابط الداخلية تأكيدًا معقولًا (Reasonable assurance) فقط بإمكانية تحقيق الأهداف. لا ينبغي أبدا الترويج للضوابط الداخلية كضمان (guarantee).
• يمكن أن يحد كلاً من :
1. الخطأ البشري (Human error).
2. والحكم الخاطئ (Faulty judgement).
3. والتواطؤ (Collusion). حيث قد يتواطأ شخصان أو أكثر مما يؤدى الى تجاوز الرقابة الداخلية
4. والاحتيال (Fraud).
من فعالية الضوابط (Effectiveness of controls).
• كلاً من :
1. الرقابة الزائدة (Excess controls).
2. أو الرقابة غير المعقولة (unreasonable controls).
يمكن أن :
1. تزيد من البيروقراطية (increase bureaucracy).
2. وتقلل من الإنتاجية (reduce productivity).
يجب تقييم الضوابط من حيث :
1. تكلفتها (Cost).
2. وفائدتها (Benefit).
لتجنب إهدار الموارد (Avoid wasting resources).
من الذي يستفيد من وجود نظام رقابة داخلي قوي؟ (Who Benefits from Having a Strong Internal Control System?) :
إن وجود ضوابط داخلية قوية يفيد أكثر من مجرد المستويات العليا للشركة.
• بالنسبة لشركة عامة (public company) يهتم المستثمرون (investors) بضوابط داخلية فعالة (effective internal controls) لـ :
1. تقييم أداء الإدارة لمسؤوليات إشرافها (Evaluate management’s performance of its stewardship responsibilities).
2. بالإضافة إلى موثوقية البيانات المالية للشركة (Reliability of the company’s financial statements).
• يمكن للمدققين الخارجيين (External auditors) تدقيق الشركة بكفاءة من خلال نظام رقابة داخلي فعال (effective internal control system).
• من الأسهل إدارة المؤسسات التي تضم أعدادًا كبيرة من الموظفين (large numbers of employees) باستخدام ضوابط / رقابة داخلية قوية من خلال تحديد سلطة الموظفين وتوجيهها عبر البنى التحتية المعقدة.
• العملاء (Customers) لديهم مصلحة غير مباشرة (indirect interest) في الضوابط الداخلية لأن نظام الرقابة الداخلية القوي قد يقلل من تكاليف الإنتاج وبالتالي يخفض الأسعار.
من المسؤول عن الرقابة الداخلية؟ (Who is Responsible for Internal Control?) :
العديد من الأطراف المختلفة مسؤولة عن الضوابط / الرقابة الداخلية :
• مجلس الإدارة (The board) هو المسؤول الأول (primarily responsible) عن :
1. الإشراف على نظام الرقابة الداخلية (Overseeing the internal control system).
2. وتوفير الحوكمة والتوجيه والبصيرة (Providing governance, guidance, and insight).
• الرئيس التنفيذي (The CEO) هو المسؤول عن "النبرة في القمة tone at the top". يجب على الرئيس التنفيذي توفير :
1. القيادة (Leadership).
2. والتوجيه (Direction).
لكبار المديرين (Senior managers).
ومراجعة الطريقة التي يسيطرون بها على الأعمال (review the way that they are controlling the business).
• يفوض كبار المديرين المسؤولية (Senior managers delegate responsibility) عن وضع :
1. سياسات رقابة داخلية محددة (Specific internal control policies).
2. وإجراءات رقابة داخلية محددة (Specific internal control procedures).
للموظفين المسؤولين عن وظائف كل وحدة.
• يعتبر :
1. المسؤولون الماليون (Financial officers).
2. والمسؤولون المحاسبون (Accounting officers).
3. وكذلك الموظفون (Staff).
من العناصر المركزية (central) لممارسة الرقابة لأن أنشطتهم تتخلل المنظمة. ومع ذلك فإن جميع موظفي الإدارة يشاركون لا سيما في الرقابة على أنشطة وحداتهم.
• الأطراف الخارجية (External parties) مثل المدققين المستقلين (independent auditors) غالبا ما تقدم معلومات مفيدة للرقابة الداخلية الفعالة.
المحاضرة
لتحميل رابط ملف الـ PDF الخاص بالمحاضرة
ليست هناك تعليقات