المحاضرة رقم 14 : تدقيق الامتثال (Compliance Auditing)
تدقيق الامتثال (Compliance Auditing)
يمكن لنشاط التدقيق الداخلي إضافة قيمة إلى مؤسسته من خلال أداء العديد من أنواع الارتباطات.
يجب أن يعرف مرشحو المدقق الداخلي المعتمد (CIA) ليس فقط متطلبات هذه الارتباطات ولكن أيضًا متى وأين يتم تنفيذ كل نوع من أنواع الارتباطات.
1. الامتثال (Compliance) :
يعرف مسرد معهد المدققين الداخليين الدولي (IIA Glossary) الامتثال على النحو التالي:
الالتزام بالسياسات أو الخطط أو الإجراءات أو القوانين أو اللوائح أو العقود أو المتطلبات الأخرى
(Adherence to policies, plans, procedures, laws, regulations, contracts, or other requirements).
يقوم المدققون الداخليون بتقييم الامتثال (assess compliance) في مجالات محددة كجزء من دورهم في الحوكمة التنظيمية. كما يقومون بـ :
1. متابعة استجابة الإدارة لمراجعات الهيئات التنظيمية (Follow-up on management’s response to regulatory body reviews).
2. التقرير عن استجابة الإدارة لمراجعات الهيئات التنظيمية (Report on management’s response to regulatory body reviews).
بالنظر إلى نطاق التنظيم الحكومي (Scope of governmental regulation) فإن واجبات المدققين الداخليين هذه لها أهمية كبيرة.
تحذير:
يتم تشجيع المدققين الداخليين على استشارة مستشار قانوني (consult legal counsel) في جميع الأمور التي تنطوي على مسائل قانونية (legal issues).
وقد تختلف المتطلبات بشكل كبير في الولايات القضائية المختلفة.
يتم تناول مسؤوليات نشاط التدقيق الداخلي فيما يتعلق بالامتثال في اثنين من معايير التنفيذ (two Implementation Standards).
1) يجب على نشاط التدقيق الداخلي تقييم التعرض للمخاطر (evaluate risk exposures) المتعلقة بـ :
1. الحوكمة (Governance).
2. والعمليات (Operations).
3. وأنظمة المعلومات (Information systems).
فيما يتعلق :
1) الامتثال Compliance (Implementation Standard 2120.A1).
2) مدى كفاية وفعالية الرقابة التي تستجيب لهذه المخاطر (The adequacy and effectiveness of controls responding to these risks) (Implementation Standard 2130.A1).
2. البرامج (Programs) :
تساعد برامج الامتثال (Compliance programs) المنظمات في :
1. منع الانتهاكات غير المقصودة للموظفين (Preventing unintended employee violations).
2. واكتشاف الأعمال غير القانونية (Detecting illegal acts).
3. وتثبيط الانتهاكات المتعمدة للموظفين (Discouraging intentional employee violations).
هم أيضا يساعدون :
(1) إثبات مطالبات التأمين (Prove insurance claims).
(2) تحديد مسؤولية المدير والمسؤول (Determine director and officer liability).
(3) إنشاء هوية الشركة أو تعزيزها (Create or enhance corporate identity).
(4) تحديد مدى ملاءمة التعويضات العقابية (Decide the appropriateness of punitive damages).
يحتاج المدققون الداخليون إلى تقييم برامج الامتثال التنظيمي للمؤسسة.
كما يجب أن يجتمع الرئيس التنفيذي للتدقيق مع المنظمين (Regulators) لـ :
1. تقديم المعلومات ذات الصلة بشأن الامتثال الضروري (Provide relevant information on necessary compliance).
2. تلقي المشورة بشأن الامتثال الضروري (Receive advice on necessary compliance).
3. المعايير والإجراءات التنظيمية (Organizational Standards and Procedures) :
تضع المنظمة :
1. معايير الامتثال (Compliance standards).
2. إجراءات الامتثال (Compliance procedures).
يجب اتباعها من قبل :
1. موظفيها (its employees).
2. وغيرهم من الوكلاء (other agents).
القادرين بشكل معقول على الحد من احتمالية السلوك الإجرامي.
وهي تشمل ما يلي :
1) مدونة قواعد سلوك عمل مكتوبة بوضوح ومباشرة وعادلة توفر إرشادات للموظفين بشأن القضايا ذات الصلة وسهلة الاستخدام
(A clearly written, straightforward, and fair business code of conduct that provides guidance to employees on relevant issues and is user-friendly).
2) مخطط تنظيمي يحدد الموظفين المسؤولين عن برامج الامتثال
(An organizational chart identifying personnel responsible for compliance programs).
3) حوافز مالية لا تكافئ سوء السلوك (Financial incentives that do not reward misconduct).
4) بالنسبة لمنظمة دولية برنامج امتثال على أساس عالمي يعكس الظروف والقوانين المحلية
(For an international organization, a compliance program on a global basis that reflects local conditions and laws).
4. المسؤولية (Responsibility) :
يجب أن يكون الموظفون رفيعو المستوى (Specific high-level personnel) الذين :
1. تم تمكينهم بشكل صحيح (properly empowered).
2. وتزويدهم بالموارد اللازمة (supplied with necessary resources).
مسؤولين عن برنامج الامتثال (responsible for the compliance program).
بالاضافة الى :
1) يجب أيضًا إشراك الإدارة العليا (Senior management also should be involved).
2) يجب أن يكون للموظفين رفيعي المستوى (High-level personnel) :
1. سيطرة كبيرة على المنظمة (substantial control of the organization).
2. أو دور كبير في صنع السياسة (substantial role in making policy).
3) يجب أن يتمتع موظفو الامتثال بإمكانية الوصول الكافي إلى الإدارة العليا ويجب أن يقدم مسؤول الامتثال الرئيسي تقاريره مباشرة إلى الرئيس التنفيذي.
5. فحص المتقدمين (Applicant Screening) :
يجب توخي العناية الواجبة (Due care) لـ
تجنب تفويض السلطة لمن يميلون إلى الانخراط في أنشطة غير مشروعة
(avoid delegating authority to those with a tendency to engage in illegal activities).
1) يجب الاستعلام عن الطلبات (Applications) من خلال فحص :
1. الإدانات الجنائية (Criminal convictions).
2. أو الانضباط الجنائي (Criminal discipline).
من قبل مجالس الترخيص (Licensing boards).
2) يجب فحص جميع المتقدمين بطريقة قانونية لا تنتهك حقوق الخصوصية
(All applicants should be screened in a lawful manner that does not infringe upon privacy rights).
والغرض من ذلك هو الكشف عن أدلة على ارتكاب مخالفات في الماضي (detect evidence of past wrongdoing) .. لا سيما تلك الموجودة في صناعة المؤسسة (organization’s industry).
6. الاتصالات (Communication) :
يجب أن يتم توصيل وبشكل فعال كلاً من :
1. المعايير (Standards).
2. والإجراءات (procedures).
3. بما في ذلك الوثائق المتعلقة بالأخلاقيات المتاحة بسهولة (available ethics-related documents).
ويفضل أن يكون ذلك في :
1. شكل تفاعلي (interactive format).
2. وفي مناسبات متعددة (multiple occasions).
ويعنبر كلاً من :
1. برامج التدريب (Training programs).
2. والمنشورات (Publications).
هي أساليب نموذجية (typical methods) للقيام بذلك.
كما يتيح أفضل تدريب للموظفين كلاً من :
1. ممارسة تقنيات جديدة (Practice new techniques).
2. واستخدام المعلومات الجديدة (Use new information).
يجب على المنظمات أيضًا مطالبة الموظفين بالتصديق (require employees to certify) .. بشكل دوري (periodically) على أنهم قد :
1. قرأوا لقواعد السلوك (Read the code of conduct).
2. وفهموا لقواعد السلوك (Understood the code of conduct).
3. وامتثلوا لقواعد السلوك (Complied with the code of conduct).
ويتم نقل هذه المعلومات سنويًا (annually) إلى :
1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (The board).
7. المراقبة والإبلاغ (Monitoring and Reporting) :
تعتبر مراجعة الامتثال :
1. فعالية المواد المكتوبة (Effectiveness of written materials).
2. استلام الموظف للاتصالات (Employee receipt of communications).
3. التعامل مع الانتهاكات (Handling of violations).
4. عدالة التأديب (Fairness of discipline).
5. التقيد بأية تدابير حماية تُمنح للمُبلغين (Observance of any protections given to informants).
6. الوفاء بمسؤوليات وحدة الامتثال (Fulfillment of compliance unit responsibilities).
يجب استخدام كلاً من :
1. أنظمة المراقبة (Monitoring systems).
2. أنظمة التدقيق (Auditing systems).
للكشف (detecting) عن :
1. السلوك غير القانوني (Illegal behavior).
2. أو السلوك غير الأخلاقي (Unethical behavior).
كما يجب استخدام الخطوط الساخنة للموظفين (Employee hotlines should be used).
أفضل نهج هو تنسيق أنظمة مراقبة وتدقيق متعددة (coordinate multiple monitoring and auditing systems).
على سبيل المثال .. يجب :
- إعطاء خطة التدقيق الداخلي الموارد المناسبة (appropriate resources).
- وتطبيقها .. خطة التدقيق الداخلي .. على جميع أعمال المنظمة (applied to all of the organization’s businesses).
أيضًا يجب أن تتضمن مراجعة لبرنامج الامتثال (review of the compliance program).
تحمي كلاً من :
1. امتيازات المحامي الموكل (Attorney-client privileges).
2. وامتيازات محامي منتج العمل (Attorney work-product privileges).
بعض المعلومات التي تم الإفصاح عنها (أو المنتجة من قبل) المحامي من استخدامها من قبل طرف معاد في إجراءات قانونية.
المحامي الذي يراقب الخط الساخن (monitoring the hotline) هو الأفضل قدرة على حماية الامتيازات (best able to protect the privileges).
قد يكون هناك القليل من الثقة (little confidence) في :
1. مثل هذه الخطوط الساخنة (in such hotlines).
2. أو في التقارير الكتابية (in write-in reports).
3. أو في شخص خارج الموقع مكلف بسماع الشكاوى (an off-site person assigned to hear complaints).
لكن قد يكون لديهم ثقة (Confidence) في :
- الخطوط الساخنة التي يرد عليها ممثل داخلي (hotlines answered by an in-house representative).
- ومدعومة بسياسة عدم انتقام (backed by a nonretaliation policy).
ومع ذلك لا يمكن أن يضمن الخط الساخن عدم الكشف عن هويته (hotline cannot ensure anonymity).
قد يتم تعيين مسؤول في الموقع لتلقي الشكاوى والتحقيق فيها (An on-site official may be assigned to receive and investigate complaints).
هذا الفرد (أمين المظالم Ombudsperson) يكون أكثر فعالية إذا كان هو :
(1) يقدم تقاريره مباشرة إلى كبير مسؤولي الامتثال أو مجلس الإدارة (Reports directly to the chief compliance officer or the board).
(2) يحافظ على سرية أسماء المخبرين (Keeps the names of informants secret).
(3) يقدم إرشادات للمخبرين (Provides guidance to informants).
(4) يتعهد بالمتابعة للتأكد من عدم حدوث الانتقام (Undertakes follow-up to ensure that retaliation has not occurred).
يجب إرسال استبيان الأخلاقيات (Ethics questionnaire) إلى كل موظف يسأل عما إذا كان الموظف على علم بـ :
1. الرشاوى (Kickbacks, bribes).
2. أو أي مخالفات أخرى (Other wrongdoing).
يجب تطبيق معايير الامتثال التنظيمي (Organizational compliance standards) باستمرار من خلال نظام مناسب وعادل ومخصص لكل حالة.
1) يجب أن تكون العقوبة مناسبة للجريمة (Punishment should be appropriate to the offense) .. مثل :
1. الإنذار (Warning).
2. أو فقدان الأجر (Loss of pay).
3. أو الإيقاف (Suspension).
4. أو النقل (Transfer).
5. أو الإنهاء (Termination).
2) يجب أن ينص البرنامج على :
1. تهذيب المديرين (Discipline of managers).
2. تهذيب الأشخاص المسؤولين الآخرين (Discipline of other responsible persons).
الذين يعرفون أو كان ينبغي أن يكونوا على علم بسوء السلوك ولم يبلغوا عنه (known of misconduct and did not report it).
يشير عدم القيام بذلك إلى نقص العناية الواجبة (lack of due diligence).
نتيجة لذلك ، يجوز للمحكمة أن تحكم (court may rule) بذلك :
1. البرنامج غير فعال (the program is not effective).
2. المنظمة مسؤولة قانونًا عن منح السلطة للأشخاص الذين يميلون إلى ارتكاب جرائم
(the organization is therefore legally liable for giving authority to persons with a tendency to commit crimes).
قد يكون :
1. الإنهاء (Termination).
2. أو اشكال الانضباط / التهذيب الآخري (Other discipline).
للموظفين مقيدًا (limited) بـ :
(1) قوانين المبلغين عن المخالفات (whistleblower laws).
(2) الاستثناءات القانونية لعقيدة / معتقد الموظف عند الإدارة (حق صاحب العمل في فصل الموظف لأي سبب من الأسباب)
statutory exceptions to the employee-at-will doctrine (the right of an employer to fire an employee for any reason).
(3) عقود الموظفين أو النقابات (employee or union contracts).
(4) مسؤوليات صاحب العمل فيما يتعلق بالتمييز والتسريح غير المشروع ومتطلبات التصرف بحسن نية
(employer responsibilities with regard to discrimination, wrongful discharge, and requirements to act in good faith).
يجب توثيق انضباط الموظف بدقة (Employee discipline should be thoroughly documented) حتى تتمكن المنظمة من إثبات أنها بذلت قصارى جهدها (best effort) لـ :
1. جمع المعلومات (collect information).
2. واتخذت الإجراء المناسب (took appropriate action).
بعد الكشف (After detection) يجب أن تكون الاستجابة (the response) :
1. مناسبة (appropriate).
2. ومصممة لمنع الجرائم المماثلة الأخرى (designed to prevent other similar offenses).
1) في بعض الظروف ، قد تتطلب الاستجابة المناسبة الإبلاغ الذاتي (self-reporting) عن :
1. الانتهاكات للحكومة (violations to the government).
2. والتعاون مع التحقيقات (cooperation with investigations).
3. وقبول المسؤولية (the acceptance of responsibility).
قد يؤدي كلاً من :
1. برنامج الامتثال الفعال (effective compliance program).
2. والاستجابات المناسبة (appropriate responses).
إلى عقوبة أكثر تساهلاً لارتكاب الجريمة (more lenient punishment for committing the offense).
قد يشير كلاً :
1. عدم الكشف (Failure to detect).
2. عدم المنع (Failure to prevent).
انتهاك خطير إلى أن برنامج الامتثال يحتاج إلى إعادة هيكلة (compliance program needs to be restructured).
أحد التغييرات التي قد تكون مطلوبة هو :
1. استبدال موظفي الامتثال (Replacement of compliance personnel).
2. نقل موظفي الامتثال (Transfer of compliance personnel).
المحاضرة
رابط ملف الـ PDF الخاص بالمحاضرة
ليست هناك تعليقات