المحاضرة رقم 16 : COSO Model
المحاضرة رقم 16 : COSO Model
تساعد أطر الرقابة الإدارة على فهم فعالية أنظمة الرقابة (understand the effectiveness of control systems).
يناقش هذا الموضوع ثلاثة نماذج رقابة مقبولة عالميًا (three globally-accepted control models) :
• الرقابة الداخلية - نموذج الإطار المتكامل (نموذج COSO) The Internal Control–Integrated Framework model (the COSO model)
• نموذج COCO (The COCO Model).
• تقرير Turnbull (The Turnbull Report).
ملاحظة : يشدد كل نموذج على أن الرقابة الداخلية يمكن أن توفر فقط تأكيدًا معقولًا (reasonable assurance) ، وليس ضمانًا (guarantee) للموضوعية (objectivity).
في نهاية المطاف تعتمد فعالية أي نظام رقابة على :
1. كفاءة (Competency).
2. وموثوقية (Dependability).
الأشخاص في المنظمة.
ملاحظة : تم اختبار هذا الموضوع على مستوى الكفاءة لذا يجب أن تفهم هذه الأطر ومكوناتها.
نموذج COSO :
في عام 1992 ، أصدرت لجنة المنظمات الراعية التابعة للجنة تريدواي Treadway Commission (COSO) إطار عمل متكامل للرقابة الداخلية.
غيّر تقرير COSO مفهوم الضوابط الداخلية من المصطلحات الفنية الضيقة لإعداد التقارير المالية لتشمل جميع جوانب العمليات التجارية والامتثال ، ووضع معيارًا يمكن لجميع المؤسسات قياس أنظمة الرقابة الداخلية الخاصة بها.
المكونات والمبادئ (Components and Principles) :
يحدد الإطار سبعة عشر مبدأ تمثل المفاهيم الأساسية (fundamental concepts) المرتبطة بكل مكون. لأن هذه المبادئ مستمدة مباشرة من المكونات يمكن للكيان تحقيق رقابة داخلية فعالة (effective internal control) من خلال تطبيق جميع المبادئ.
تنطبق جميع المبادئ على العمليات وإعداد التقارير وأهداف الامتثال (operations, reporting, and compliance objectives).
فيما يلي المبادئ التي تدعم مكونات الرقابة الداخلية.
بيئة الرقابة (Control Environment) :
1) تثبت المنظمة التزامها بالنزاهة والقيم الأخلاقية (Demonstrates a commitment to integrity and ethical values).
2) يظهر مجلس الإدارة (Board of directors) :
1. استقلاليته عن الإدارة (Independence from management).
2. ويمارس الرقابة (Exercises oversight) على :
1. تطوير الرقابة الداخلية (Development of internal control).
2. وأداء الرقابة الداخلية (Performance of internal control).
3) تنشئ الإدارة (Management establishes) .. مع إشراف مجلس الإدارة (Board oversight) .. كلاً من :
1. الهياكل (Structures).
2. وخطوط الإبلاغ (Reporting lines).
3. والسلطات المناسبة (Appropriate authorities).
4. والمسؤوليات المناسبة (Appropriate responsibilities).
في السعي لتحقيق الأهداف.
4) تُظهر المنظمة التزامها (Commitment) بـ :
1. جذب الأفراد الأكفاء (Attract competent individuals).
2. تطوير الأفراد الأكفاء (Develop competent individuals).
3. الاحتفاظ بالأفراد الأكفاء (Retain competent individuals).
بما يتماشى مع الأهداف (in alignment with objectives).
5) تحمل المنظمة الأفراد المسؤولية عن مسؤوليات الرقابة الداخلية الخاصة بهم (their internal control responsibilities) في السعي لتحقيق الأهداف.
تقييم المخاطر (Risk Assessment) :
1) تحدد المنظمة الأهداف بوضوح كافٍ لتمكين :
1. تحديد المخاطر المتعلقة بالأهداف (Identification of risks relating to objectives).
2. وتقييم المخاطر المتعلقة بالأهداف (Assessment of risks relating to objectives).
2) تحدد المنظمة :
1. المخاطر التي تهدد تحقيق أهدافها عبر الكيان (Risks to the achievement of its objectives across the entity).
2. وتحلل المخاطر كأساس لتحديد كيفية إدارة المخاطر (Analyzes risks as a basis for determining how the risks should be managed).
3) تأخذ المنظمة بعين الاعتبار إمكانية الاحتيال (potential for fraud) عند تقييم المخاطر التي تهدد تحقيق الأهداف.
4) تحدد المنظمة وتقيم التغييرات (changes) التي يمكن أن تؤثر بشكل كبير على نظام الرقابة الداخلية.
أنشطة الرقابة (Control Activities) :
1) تقوم المنظمة بـ :
1. اختيار أنشطة الرقابة (Selects control activities).
2. وتطوير أنشطة الرقابة (Develops control activities).
التي تساهم في التخفيف من المخاطر (mitigation of risks) لتحقيق الأهداف إلى مستويات مقبولة (achievement of objectives to acceptable levels).
2) تختار المنظمة وتطور أنشطة الرقابة العامة (general control activities) على التكنولوجيا (technology) لدعم تحقيق الأهداف.
3) تنشر (deploys) المنظمة أنشطة الرقابة من خلال :
1. السياسات التي تحدد ما هو متوقع (Policies that establish what is expected).
2. والإجراءات التي تضع السياسات موضع التنفيذ (Procedures that put policies into action).
المعلومات والاتصالات (Information and Communication) :
1) تقوم المنظمة بـ :
1. الحصول على (Obtains).
2. أو أنشاء (Generates).
وتستخدم (uses) معلومات عالية الجودة ذات صلة (relevant, quality information) لدعم عمل الرقابة الداخلية.
2) تقوم المنظمة بإبلاغ المعلومات داخليًا (internally communicates information) .. بما في ذلك :
1. أهداف الرقابة الداخلية (Objectives for internal control).
2. ومسؤوليات الرقابة الداخلية (Responsibilities for internal control).
اللازمة لدعم عمل الرقابة الداخلية (necessary to support the functioning of internal control).
3) تتواصل المنظمة مع الأطراف الخارجية (communicates with external parties) فيما يتعلق بالمسائل التي تؤثر على عمل الرقابة الداخلية.
أنشطة المراقبة (Monitoring Activities) :
1) تقوم المنظمة بـ :
1. اختيار (Selects).
2. وتطوير (Develops).
3. وتنفذ (Performs).
اما :
1. تقييمات مستمرة (ongoing evaluations).
2. و / أو تقييمات منفصلة (and/or separate evaluations).
للتأكد مما إذا كانت مكونات الرقابة الداخلية :
1. موجودة (Present).
2. وتعمل (Functioning).
2) تقوم المنظمة بـ :
1. تقييم أوجه القصور في الرقابة الداخلية (Evaluates internal control deficiencies).
2. وإبلاغ أوجه القصور في الرقابة الداخلية (Communicates internal control deficiencies).
في الوقت المناسب لتلك الأطراف المسؤولة عن اتخاذ الإجراءات التصحيحية (parties responsible for taking corrective action) .. بما في ذلك :
1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (Board of directors).
حسب الاقتضاء.
يمكن تصور إطار عمل الرقابة COSO كمكعب (Cube) :
- تُظهر الصفوف (Rows) المكونات الخمسة للرقابة الداخلية (five components of internal control).
- والشرائح (Slices) هي الأهداف الثلاثة للرقابة (three objectives of control).
- وتمثل الأعمدة (Columns) أنشطة أو وحدات الكيان (activities or units of the entity).
1) بيئة الرقابة (The Control Environment) :
توفر بيئة الرقابة الأساس (foundation) لجميع المكونات الأخرى وتشمل :
• النزاهة والقيم الأخلاقية وكفاءة الموظفين (The integrity, ethical values, and competence of employees).
• التزام الإدارة بالكفاءة (Management’s commitment to competence).
• سياسات وإجراءات الموارد البشرية (Human resource policies and procedures).
• الطريقة التي تحدد بها الإدارة :
1. السلطة (Authority). 2. والمسؤولية (Responsibility).
بالإضافة الى كيفية تنظيم وتطوير موظفيها (Organizes and develops its people).
• فلسفة الإدارة وأسلوب التشغيل (Management’s philosophy and operating style).
• الاهتمام والتوجيه الذي يقدمه مجلس الإدارة (The attention and direction provided by the board of directors).
• الهيكل التنظيمي (Organizational structure).
من المرجح أن تعمل الضوابط الداخلية بشكل جيد (function well) إذا اعتقدت الإدارة أن الضوابط :
1. مهمة للموظفين على جميع المستويات (Important to employees at all levels).
2. وتبلغ دعمها للموظفين على جميع المستويات (Communicates its support to employees at all levels).
إذا اعتقدت الإدارة أن الضوابط :
1. لا معنى لها (Meaningless). 2. أو حتى عقبة (Obstacle).
فسوف يلاحظ الموظفون هذا الموقف.
نتيجة لذلك على الرغم من السياسات الرسمية (formal policies) التي تنص على خلاف ذلك ..
سيرى الموظفون الضوابط الداخلية على أنها "شريط احمر red tape" يجب "قطعه cut through" لإنجاز المهمة.
تضع المنظمات ذات بيئات الرقابة الفعالة (effective control environments) "نغمة إيجابية في القمة tone at the top".
• ينقلون التوجيهات (transmit guidance) :
1. شفهيًا (verbally).
2. وعلى سبيل المثال (by example).
ويبلغون :
1. قيم الشركة (Company’s values).
2. معايير الشركة (Company’s standards).
3. مدونة قواعد سلوك الشركة (Company’s code of conduct).
4. ويتابعون الانتهاكات (Follow up on violations).
هناك آليات (mechanisms) لتشجيع الموظفين على الإبلاغ عن الانتهاكات المشتبه بها (Encourage employee reporting of suspected violations).
ويتم اتخاذ إجراءات تأديبية عندما يفشل الموظفون في الإبلاغ عنها (Disciplinary actions are taken when employees fail to report them).
• أنها تعزز الوعي بالرقابة (foster a control consciousness) من خلال وضع (setting) :
1. سياسات وإجراءات رسمية (Formal policies and procedures).
2. إبلاغ السياسات والإجراءات بوضوح (Clearly communicated policies and procedures).
يجب اتباعها في جميع الأوقات (at all times) .. دون استثناء (without exception) .. والتي تؤدي إلى :
1. قيم مشتركة (Shared values).
2. وعمل مشترك (Shared teamwork).
• يحددون :
• يحددون :
1. مستويات الكفاءة لوظائف معينة (Competence levels for particular jobs).
2. ويوظفون ويحتفظون بالأشخاص الأكفاء (Hire and retain competent people).
3. ويعينون السلطة والمسؤولية بشكل مناسب (Assign authority and responsibility appropriately).
• مجلس الإدارة هو المسؤول عن :
1. وضع سياسة الشركة (Setting corporate policy).
2. والتأكد من أن الشركة تعمل في مصلحة المساهمين (Seeing that the company is operated in the best interest of shareholders).
يعتبر :
1. الاهتمام (Attention). 2. والتوجيه (Direction).
المقدمين من المديرين من المكونات الحاسمة (Critical components).
يتألف مجلس الإدارة من :
1. مدراء من الداخل (Inside directors). 2. و مدراء من الخارج (Outside directors).
يتمتعون بـ :
1. الخبرة الكافية (Adequate expertise).
2. ونشطاء (Active).
3. ومشاركين (Involved).
يعد الاستقلال عن الإدارة (Independence from management) أمرًا ضروريًا حتى يتم :
1. طرح الأسئلة الصعبة (Difficult questions).
2. و طرح الأسئلة الاستقصائية (Probing questions).
إذا لزم الأمر.
2) تقييم المخاطر (Risk Assessment) :
يجب تحديد أهداف الشركة (company’s objectives) قبل تقييم المخاطر.
فيما يلي قائمة بفئات واسعة من الأهداف التي تتعلق أيضًا بأهداف الرقابة الداخلية :
• الأهداف التشغيلية (Operational objectives) تتعلق بتحقيق مهمة الشركة (achievement of the company’s mission).
وهي تشمل أهدافًا لـ :
وهي تشمل أهدافًا لـ :
1. فعالية عمليات الشركة (Effectiveness of the company’s operations).
2. وكفاءة عمليات الشركة (Efficiency of the company’s operations).
3. وأهداف الأداء (Performance goals).
4. و وأهداف الربحية (Profitability goals).
5. وتشمل أيضًا حماية موارد الشركة من الخسارة (Safeguarding of company resources against loss).
2. وكفاءة عمليات الشركة (Efficiency of the company’s operations).
3. وأهداف الأداء (Performance goals).
4. و وأهداف الربحية (Profitability goals).
5. وتشمل أيضًا حماية موارد الشركة من الخسارة (Safeguarding of company resources against loss).
• الأهداف المالية (Financial objectives) تتناول إعداد القوائم المالية الخارجية (External financial statements).
وهي تشمل نشر :
وهي تشمل نشر :
1. تقارير موثوقة (Reliable reports).
2. و تقارير دقيقة (Accurate reports).
3. ومنع التقارير المالية الاحتيالية (Prevention of fraudulent financial reporting).
• أهداف الامتثال (Compliance objectives) تشمل الالتزام بجميع :
1. القوانين (Laws).
2. واللوائح (Regulations) .. مثل :
2. واللوائح (Regulations) .. مثل :
1. الضرائب (Taxes).
2. وصحة الموظفين وسلامتهم (Employee health and safety).
3. والاعتبارات البيئية (Environmental considerations).
وما إلى ذلك.
2. وصحة الموظفين وسلامتهم (Employee health and safety).
3. والاعتبارات البيئية (Environmental considerations).
وما إلى ذلك.
يؤثر سجل امتثال الشركة أو عدم الامتثال (company’s record of compliance or noncompliance) للقوانين واللوائح على سمعتها وخطر تغريم الشركة.
يمكن أن تأتي المخاطر من كل من :
1. القوى الداخلية (Internal forces). المخاطر الداخلية
2. والقوي الخارجية (External forces). المخاطر الخارجية
2. والقوي الخارجية (External forces). المخاطر الخارجية
وتشمل :
• المخاطر الخارجية (External risks) تشمل :
1. التغييرات في التكنولوجيا (Changes in technology).
2. والتغيرات في السوق (Changes in the market).
3. والكوارث الطبيعية (Natural disasters).
4. والتغيرات الاقتصادية (Economic changes).
5. وفشل مورد رئيسي (Failure of a key supplier).
6. أو المقاضاة أو الاحتيال أو السرقة (Being sued, defrauded, or robbed).
2. والتغيرات في السوق (Changes in the market).
3. والكوارث الطبيعية (Natural disasters).
4. والتغيرات الاقتصادية (Economic changes).
5. وفشل مورد رئيسي (Failure of a key supplier).
6. أو المقاضاة أو الاحتيال أو السرقة (Being sued, defrauded, or robbed).
• المخاطر الداخلية (Internal risks) تشمل :
1. اختلاس الموظفين (Employee embezzlement).
2. وتزوير السجلات (Falsification of records).
3. وعدم الامتثال للوائح الحكومية (Lack of compliance with government regulations).
2. وتزوير السجلات (Falsification of records).
3. وعدم الامتثال للوائح الحكومية (Lack of compliance with government regulations).
أو غير ذلك من الأعمال غير القانونية من قبل الموظفين (Other illegal acts by employees) .. مثل :
1. أخذ رشوة (Taking a bribe).
2. أو تعطيل أنظمة الكمبيوتر (Disruptions to computer systems).
3. أو قرارات الإدارة السيئة (Poor management decisions).
4. أو الأخطاء (Errors).
5. أو الحوادث (Accidents).
2. أو تعطيل أنظمة الكمبيوتر (Disruptions to computer systems).
3. أو قرارات الإدارة السيئة (Poor management decisions).
4. أو الأخطاء (Errors).
5. أو الحوادث (Accidents).
يمكن أن تؤثر التغييرات في مسؤوليات الإدارة على أنشطة الرقابة وقد يترك مجلس الإدارة أو لجنة التدقيق غير الفعالة فرصًا للإجراءات الاحتيالية.
3) أنشطة الرقابة (Control Activities) :
بعد تقييم المخاطر يجب تصميم الضوابط للحد من المخاطر. أنشطة الرقابة هي :
1. السياسات التي تتناول المخاطر المحددة (policies that address the identified risks).
2. والإجراءات التي تضمن تنفيذ توجيهات الإدارة (procedures that ensure that management directives are carried out).
وبالتالي يجب تصميم الضوابط لـ :
1. الحد من المخاطر (Limit risk).
2. وحماية قدرة المنظمة على تحقيق أهدافها (protect the organization’s ability to achieve its objectives).
2. وحماية قدرة المنظمة على تحقيق أهدافها (protect the organization’s ability to achieve its objectives).
على الرغم من أنه لا يمكن القضاء على المخاطر بشكل كامل (risks cannot be completely eliminated) إلا أنه .. يمكن تقليلها (minimized) من خلال أنشطة الرقابة :
1. المصممة بشكل مناسب (Appropriately designed).
2. والمنفذة بشكل جيد (Well implemented).
تقدم القائمة التالية بعض الأمثلة على أنشطة الرقابة.
2. والمنفذة بشكل جيد (Well implemented).
تقدم القائمة التالية بعض الأمثلة على أنشطة الرقابة.
3) معالجة المعلومات (Information processing).
وتشمل هذه :
1. الرقابة (Controls) للتحقق من :
1. دقة المعاملات (Accuracy of transactions).
2. اكتمال المعاملات (Completeness of transactions).
3. تفويض المعاملات (Authorization of transactions).
2. اكتمال المعاملات (Completeness of transactions).
3. تفويض المعاملات (Authorization of transactions).
2. الرقابة (Control) في :
1. تطوير النظام الجديد (New system development).
2. وتعديلات النظام الحالية (Existing system modifications).
2. وتعديلات النظام الحالية (Existing system modifications).
3. والرقابة (Control) في :
1. الوصول إلى ملفات البيانات (Access to data files).
2. الوصول إلى البرامج (Access to programs).
2. الوصول إلى البرامج (Access to programs).
4) الفحوصات المستقلة (Independent checks).
هذه هي الفحوصات التي يقوم بها شخص آخر غير الشخص المسؤول عن العملية الأصلية وتكون بشكل عام أكثر فاعلية في ضمان (assuring) :
1. معالجة المعاملات (Transactions are processed).
2. وتنفيذ الأنشطة بدقة (Activities are performed accurately).
"زوج جديد من العيون new pair of eyes" سوف يكتشف الأخطاء في كثير من الأحيان أكثر من منشئ العمل.
5) مؤشرات الأداء (Performance indicators).
تربط هذه المؤشرات مجموعات مختلفة من البيانات مع بعضها البعض (indicators relate different sets of data to one another) وينبغي التحقيق في أي نتائج غير متوقعة. من خلال التحقيق في النتائج غير المتوقعة يمكن للإدارة أن ترى المجالات التي تتعرض فيها أهداف المنظمة لخطر عدم تحقيقها.
مثال على مؤشرات الأداء (performance indicators) هي الفروق في أسعار الشراء والنسبة المئوية للعائدات إلى إجمالي الطلبات.
6) الرقابة المادية لحماية الأصول (Physical controls to safeguard assets).
تشمل ضوابط الحماية الأكثر وضوحًا حماية أصول المنظمة من الخسائر الناجمة عن الكوارث الطبيعية (natural disasters) .. مثل :
1. الفيضانات (Floods).
2. أو الأعاصير (Tornadoes).
2. أو الأعاصير (Tornadoes).
تشمل ضوابط الحماية أيضًا تدابير الحماية المادية لتقييد الوصول إلى الأصول والوثائق (assets and documents) .. مثل :
1. السجلات (records).
2. والشيكات الفارغة (Blank checks).
3. وأوامر الشراء (Purchase orders).
4. والرموز المصرفية (Bank codes) .. وما إلى ذلك.
2. والشيكات الفارغة (Blank checks).
3. وأوامر الشراء (Purchase orders).
4. والرموز المصرفية (Bank codes) .. وما إلى ذلك.
حيث يجب :
1. عد العناصر بشكل دوري (Count items periodically).
2. ومقارنتها بسجلات المراقبة (Compared with control records).
2. ومقارنتها بسجلات المراقبة (Compared with control records).
7) المستندات والسجلات (Documents and records).
تم تصميم مستندات المصدر لتسهيل جمع جميع المعلومات ذات الصلة ويجب ترقيمها مسبقًا من أجل حساب جميع المستندات مما يقلل من احتمالية الاستخدام الاحتيالي.
8) التفويض (Authorization).
يجب تمكين الموظفين بشكل مناسب لـ :
1. أداء المهام (Perform tasks).
2. وتلقي مستندات محددة (Receive specific documents).
3. واتخاذ القرارات التي تؤثر على الأصول (Make decisions that impact assets).
2. وتلقي مستندات محددة (Receive specific documents).
3. واتخاذ القرارات التي تؤثر على الأصول (Make decisions that impact assets).
يجب أن تتضمن سلطتهم نوعًا من التحقق (Kind of validation) .. مثل :
1. التوقيع (Signature).
2. أو التفويض (Authorization).
2. أو التفويض (Authorization).
9) الفصل بين المهام (Segregation of duties).
يتم تقسيم المهام بين مختلف الموظفين لتقليل (reduce) :
1. مخاطر الأخطاء (Risk of errors).
2. أو الأنشطة غير المناسبة (Inappropriate activities).
2. أو الأنشطة غير المناسبة (Inappropriate activities).
يضمن هذا الرقابة عدم إعطاء أي فرد الكثير من المسؤولية بحيث لا يكون أي موظف في وضع يمكنه من ارتكاب المخالفات وإخفائها.
ملاحظة: في ظل الفصل بين المهام يجب أن يقوم الأشخاص المختلفون (different people) دائمًا بالوظائف التالية :
ملاحظة: في ظل الفصل بين المهام يجب أن يقوم الأشخاص المختلفون (different people) دائمًا بالوظائف التالية :
1) تفويض (Authorize) المعاملة.
2) تسجيل (Record) المعاملة بالإضافة الى :
2) تسجيل (Record) المعاملة بالإضافة الى :
1. إعداد الوثائق المصدرية (Prepare source documents).
2. والحفاظ على دفاتر اليومية (Maintain journals).
2. والحفاظ على دفاتر اليومية (Maintain journals).
3) الحفاظ على العهدة المادية (Physical custody) للأصل ذي الصلة.
4) المطابقة الدورية (Periodically reconcile) للأصول المادية مع المبالغ المسجلة.
4) المطابقة الدورية (Periodically reconcile) للأصول المادية مع المبالغ المسجلة.
بالنسبة لسؤال الاختبار حول الرقابة الداخلية الفعالة أو غير الفعالة .. ضع في اعتبارك أن هذه هي الإجراءات الأربعة التي يجب أن يقوم بها أشخاص مختلفون.
4) المعلومات والاتصالات (Information and Communication) :
يجب تحديد المعلومات ذات الصلة (Relevant information must be identified) بالإضافة الى :
1. التقاطها (Captured).
2. ونقلها (Communicated).
2. ونقلها (Communicated).
بطريقة تمكن الناس من القيام بمسؤولياتهم (Manner that enables people to carry out their responsibilities).
لذلك يجب أن تحتوي التقارير على المعلومات التي تحتاجها الإدارة ويجب أن تكون متاحة في الوقت المناسب (Timely manner).
لذلك يجب أن تحتوي التقارير على المعلومات التي تحتاجها الإدارة ويجب أن تكون متاحة في الوقت المناسب (Timely manner).
• يجب أن يكون الاتصال مستمرًا (ongoing) داخلياً وبين مختلف مستويات وأنشطة المنظمة (various levels and activities of the organization).
حيث :
1. يجب أن يفهم جميع الموظفين أدوارهم في نظام الرقابة الداخلية (All personnel must understand their roles in the internal control system).
2. وأن يكون لديهم وسائل لإيصال المعلومات المهمة إلى المنبع (have a means of communicating significant information upstream).
2. وأن يكون لديهم وسائل لإيصال المعلومات المهمة إلى المنبع (have a means of communicating significant information upstream).
• يجب أن تحتوي التقارير على :
1. المعلومات التشغيلية (Operational information).
2. والمعلومات المالية (Financial information).
3. ومعلومات الامتثال (Compliance information).
2. والمعلومات المالية (Financial information).
3. ومعلومات الامتثال (Compliance information).
اللازمة لاتخاذ قرارات مستنيرة (Needed for informed decisions).
• يجب على المشرفين توصيل المهام والمسؤوليات للموظفين الذين يقدمون تقاريرهم إليهم ويجب أن يكون الموظفون قادرين على تنبيه الإدارة للمشاكل المحتملة.
• يجب توصيل المعلومات لمن هم خارج المنظمة (outside the organization) .. مثل البائعين .. ويجب أن تكون قابلة للاستلام من مصادر خارجية.
• يجب توصيل المعلومات لمن هم خارج المنظمة (outside the organization) .. مثل البائعين .. ويجب أن تكون قابلة للاستلام من مصادر خارجية.
• يجب أن توفر الأنظمة طريقة لإيصال المعلومات المهمة إلى أعلى مستوى في المنظمة عندما يكون ذلك مناسبًا.
5) المراقبة (Monitoring) :
تقيم المراقبة جودة أداء نظام الرقابة الداخلية بمرور الوقت (Monitoring assesses the quality of the internal control system’s performance over time).
يجب على الإدارة (Management) .. المسؤولة عن مراقبة النظام بأكمله (responsible for monitoring the entire system) ان تقوم بـ :
إعادة النظر في المشكلات التي تم تحديدها مسبقًا للتأكد من تصحيحها.
revisit previously identified problems to make sure that they have been corrected
المراقبة المستمرة (Ongoing monitoring) التي تتم بانتظام أثناء العمليات العادية تقلل من الحاجة إلى تقييمات منفصلة (separate evaluations).
1. إبلاغ الإدارة العليا بها على الفور (Reported immediately to senior management).
2. وإبلاغ مجلس الإدارة بها على الفور (Reported immediately to the board of directors).
2. وإبلاغ مجلس الإدارة بها على الفور (Reported immediately to the board of directors).
في الأمور الهامة للغاية (very significant matters) .. حيث ينبغي :
1. اتخاذ الإجراءات العلاجية المناسبة (Appropriate remedial action should be taken).
2. ورصد نتائج الإجراءات العلاجية (Results of the remedial action should be monitored).
2. ورصد نتائج الإجراءات العلاجية (Results of the remedial action should be monitored).
ملاحظة: تعد تقارير التشغيل (Operating reports) أداة فعالة للمراقبة المستمرة (effective tool for ongoing monitoring) لأنها تسمح لـ :
1. المشغلين (Operators).
2. أو الإدارة (Management).
3. أو المدققين (Auditors).
2. أو الإدارة (Management).
3. أو المدققين (Auditors).
بالتعرف بسرعة على انحرافات الأداء (Quickly recognize performance deviations).
المحاضرة
رابط ملف الـ PDF الخاص بالمحاضرة
ليست هناك تعليقات