جديد المواضيع

المحاضرة رقم 8 : المخاطر والرقابة في التقييم الذاتي (Risk and Control Self-assessment)

المخاطر والرقابة في التقييم الذاتي (Risk and Control Self-assessment)


1. التقييم الذاتي للرقابة (Control Self-Assessment - CSA) :


يكون لكلاً من :

1. المديرين (Managers).
2. والمراجعين (Auditors).

مصلحة (interest) في استخدام الأساليب التي :

(1) تحسين تقييم إدارة المخاطر وعمليات الرقابة (improve the assessment of risk management and control processes).
(2) وتحديد طرق تحسين فعاليتها (identify ways to improve their effectiveness).

يزيد التقييم الذاتي للرقابة (CSA) من الوعي (awareness) بالمخاطر والرقابة في جميع أنحاء المنظمة.

لا يتم التعامل مع :

1. تقييم المخاطر (Risk assessment).
2. والعمليات التجارية (Business processes).
3. والرقابة الداخلية (Internal controls).

على أنها اهتمامات حصرية (Exclusive concerns) لـ :

1. الإدارة العليا (Senior management).
2. ونشاط التدقيق الداخلي (Internal audit activity).

بدلاً من ذلك تتضمن التقييم الذاتي للرقابة (CSA) موظفين من العملاء (Client personnel) حيث :

1. تطلب مدخلاتهم (asks for their input).
2. وتمنحهم إحساسًا بالمشاركة (gives them a sense of participation).

الفلسفة الأساسية (basic philosophy) لـ التقييم الذاتي للرقابة (CSA) هي أن ..

الرقابة هي مسؤولية كل فرد في المنظمة (Control is the responsibility of everyone in the organization).

يُطلب من الأشخاص الذين يعملون ضمن العملية (process) .. أي الموظفين والمديرين .. القيام بـ :

1. تقييمات المخاطر في عملياتهم (assessments of Risks in their process).
2. تقييمات الرقابة في عملياتهم (assessments of Controls in their process).

يجب أن يفهم المرشحون لكي يكونوا مدققبن داخلين معتمدين (CIA candidates) :

1. أهداف التقييم الذاتي للرقابة (The objectives of CSA).
2. مزاياها لمنظمة (Its advantages to an organization).
3. القيود (Limitations).

2. عناصر التقييم الذاتي للرقابة (Elements of CSA) :


تشتمل عملية التقييم الذاتي للرقابة النموذجية (typical CSA process) على العناصر التالية : 5 عناصر

1) التخطيط الأولي وأعمال المراجعة الأولية (Front-end planning and preliminary audit work).
2) اجتماع شخصي (In-person meeting) وعادة ما يتضمن ارتباط جلسات ميسرة (facilitation seating arrangement) :

1. طاولة على شكل حرف U (U-shaped table).
2. وميسر الاجتماع (Meeting facilitator).

المشاركون هم أصحاب العملية (Process owners) .. أي الإدارة والموظفين (Management & Staff) الذين :

1. معنين بالقضايا المحددة قيد البحث (are involved with the particular issues under examination).
2. يعرفونها بشكل أفضل (know them best).
3. ضروريين لتنفيذ الرقابة المناسبة للعملية (are critical to the implementation of appropriate process controls).

3) جدول أعمال منظم (structured agenda) يستخدمه الميسر لقيادة المجموعة من خلال :

1. فحص مخاطر العملية (Examination of the process’s risks).
2. فحص رقابة العملية (Examination of the process’s controls).

في كثير من الأحيان يعتمد جدول الأعمال على إطار عمل محدد جيدًا أو نموذج بحيث يمكن للمشاركين التأكد من معالجة جميع القضايا الضرورية.

قد يركز النموذج على :

1. الرقابة (Controls).
2. أو المخاطر (Risks).
3. أو إطار عمل (Framework).

تم تطويره لهذا المشروع (developed for that project).

4) أحد الخيارات هو وجود كاتب (Presence of a scribe) لأخذ :

1. نسخة عبر الإنترنت للجلسة (Online transcription of the session).
2. وتكنولوجيا التصويت الإلكتروني (Electronic voting technology).

لتمكين المشاركين من التعبير عن تصوراتهم للقضايا دون الكشف عن هويتهم (Participants to state their perceptions of the issues anonymously).

5) إعداد التقارير ووضع خطط العمل (Reporting and the development of action plans).

وفقًا لذلك تستخدم التقييم الذاتي للرقابة (CSA) عادةً نهج تيسير ورشة العمل (workshop-facilitation approach) للتقييم الذاتي :

1. المنظم (Structured).
2. والموثق (Documented).
3. والمتكرر (Repetitive).

وبالتالي يجب أن يتناقض مع النهج الذي يقوم فقط باستقصاء الموظفين فيما يتعلق بالمخاطر والرقابة.

3. المسؤوليات (Responsibilities) :


يجب على الإدارة العليا (Senior management) الإشراف (oversee) على :

1. إنشاء (Establishment).
2. وإدارة (Administration).
3. وتقييم (Evaluation).

عمليات إدارة المخاطر والرقابة (processes of risk management and control).

تشمل مسؤوليات مديري التشغيل (Operating managers) :

1. تقييم المخاطر في وحداتهم (assessment of the Risks in their units).
2. تقييم الرقابة في وحداتهم (assessment of the Controls in their units).

يوفر المدققون الداخليون والخارجيون (Internal and external auditors) درجات متفاوتة من التأكيد حول :

1. فعالية عمليات إدارة المخاطر في المنظمة (Effectiveness of the risk management processes of the organization).
2. فعالية عمليات الرقابة في المنظمة (Effectiveness of the control processes of the organization).

4. كيف يستخدم المدققون الداخليون برامج التقييم الذاتي للرقابة (How Internal Auditors Use CSA) :


قد يكون استثمار التدقيق الداخلي (Internal auditing’s investment) في برامج التقييم الذاتي للرقابة (CSA programs) كبيرًا. ممكن :

(1) رعاية وتصميم وتنفيذ وامتلاك العملية (sponsor, design, implement, and own the process).
(2) إجراء التدريب (conduct the training).
(3) توفير الميسرين والكتبة والمراسلين (supply the facilitators, scribes, and reporters).
(4) تنسيق مشاركة الإدارة وفرق العمل (coordinate the participation of management and work teams).

ولكن في المنظمات الأخرى قد يعمل التدقيق الداخلي فقط كـ :

1. طرف مهتم (interested party).
2. ومستشار للعملية برمتها (consultant for the whole process).
3. وكمدقق نهائي للتقييمات التي تنتجها الفرق (ultimate verifier of the evaluations produced by the teams).
 
مع زيادة مستوى المشاركة في برنامج التقييم الذاتي للرقابة (CSA) ومداولات ورش العمل الفردية .. فإن الرئيس التنفيذي للتدقيق (CAE) :

1. مراقبة موضوعية موظفي التدقيق الداخلي (monitors the objectivity of the internal audit staff).
2. يتخذ خطوات لإدارة تلك الموضوعية (إذا لزم الأمر) takes steps to manage that objectivity (if necessary).
3. زيادة اختبارات المراجعة الداخلية (increase internal audit testing) للتأكد من أن التحيز او المحاباة (bias or partiality) لا يؤثران على الأحكام النهائية للموظفين.

يعزز برنامج التقييم الذاتي للرقابة (CSA) الدور التقليدي لنشاط التدقيق الداخلي من خلال ..
مساعدة الإدارة في الوفاء بمسؤولياتها (assisting management in fulfilling its responsibilities) لـ :

1. إنشاء وصيانة عمليات إدارة المخاطر والرقابة
(establish and maintain risk management and control processes).
2. وتقييم مدى كفاية ذلك النظام (by evaluating the adequacy of that system).

من خلال برنامج التقييم الذاتي للرقابة (CSA program) يتعاون (collaborate) بين :
 
1. نشاط التدقيق الداخلي (internal audit activity).
2. ووحدات ووظائف العمل (business units and functions).
 
لإنتاج معلومات أفضل (better information) حول :

1. مدى جودة عمل عمليات الرقابة (how well the control processes are working).
2. ومدى أهمية المخاطر المتبقية (how significant the residual risks are).

على الرغم من ان نشاط التدقيق الداخلي يوفر دعم الموظفين (provides staff support) لبرنامج التقييم الذاتي للرقابة (CSA program) كـ :

1. ميسر (facilitator).
2. ومتخصص (specialist).

إلا أن نشاط التدقيق الداخلي غالبًا ما يجد أنه قد :

1. يقلل من الجهد المبذول في جمع المعلومات حول إجراءات الرقابة
(may reduce the effort spent in gathering information about control procedures).
2. والقضاء على بعض الاختبارات (eliminate some testing).

برنامج التقييم الذاتي للرقابة (CSA program) : ما الذى يقوم به هذا البرنامج ؟!

1. يزيد من تغطية تقييمات عمليات الرقابة عبر المنظمة
(increases the coverage of assessments of control processes across the organization).
2. يحسن جودة الإجراءات التصحيحية التي يتخذها أصحاب العملية (improves the quality of corrective actions made by the process owners).
3. يركز عمل نشاط التدقيق الداخلي على مراجعة العمليات عالية الخطورة والمواقف غير العادية
(focuses the internal audit activity’s work on reviewing high risk processes and unusual situations).

يمكن أن يركز التقييم الذاتي للرقابة (CSA) أيضًا على :

1. التحقق من صحة استنتاجات التقييم الناتجة عن عملية التقييم الدقيق للرقابة
(Validating the evaluation conclusions produced by the CSA process).
2. تجميع المعلومات التي تم جمعها من مكونات المنظمة
(Synthesizing the information gathered from the components of the organization).
3. إبداء رأيها العام حول فعالية الرقابة للإدارة العليا ومجلس الإدارة
(Expressing its overall judgment about the effectiveness of controls to senior management and the board).

5. الميزات الرئيسية (Key Features) :


يشمل التقييم الذاتي للرقابة (CSA) كلاً من :

1. استطلاعات التقييم الذاتي (Self-assessment surveys).
2. وورش العمل الميسرة (Facilitated workshops).
 
إنه :

1. نهج مفيد (Useful approach).
2. ونهج فعال (Efficient approach).

لكلاً من :

1. المديرين (Managers).
2. والمدققين الداخليين (Internal auditors).

للتعاون (collaborate) في تقييم إجراءات الرقابة (evaluating control procedures).
 
في أنقى صورها يدمج التقييم الذاتي للرقابة (CSA) كلاً من :

- أهداف العمل والمخاطر (business objectives and risks).
- مع عمليات الرقابة (with control processes).

يُطلق على التقييم الذاتي للرقابة (CSA) أيضًا اسم الرقابة / التقييم الذاتي للمخاطر (control/risk self-assessment).

على الرغم من أن ممارسي التقييم الذاتي للرقابة (CSA) يستخدمون طرقًا وأشكالًا مختلفة (different methods & formats) إلا أن معظم البرامج المنفذة تشترك في بعض الميزات والأهداف الرئيسية.
 
سيكون لدى المنظمة التي تستخدم التقييم الذاتي عملية (process) :

1. رسمية (Formal).
2. موثقة (Documented).
 
تسمح للإدارة وفرق العمل التي تشارك بشكل مباشر في :
 
1. وحدة عمل (Business unit).
2. وظيفة عمل (Business function).
3. طريقة العمل (Business process).

بالمشاركة بطريقة منظمة (structured manner) لغرض :

1) تحديد المخاطر والتعرضات (Identifying risks and exposures).
2) تقييم عمليات الرقابة التي تخفف أو تدير تلك المخاطر (Assessing the control processes that mitigate or manage those risks).
3) وضع خطط عمل لتقليل المخاطر إلى مستويات مقبولة (Developing action plans to reduce risks to acceptable levels).
4) تحديد احتمالية تحقيق أهداف العمل (Determining the likelihood of achieving the business objectives).

6. النتائج (Outcomes) :


يتم تدريب الأفراد في وحدات الأعمال لـ :

1. تقييم المخاطر (assessing risks).
2. وربط عمليات الرقابة (associating control processes) بـ :

1. إدارة تلك المخاطر (Managing those risks).
2. وتحسين فرص تحقيق أهداف العمل (Improving the chances of achieving business objectives).

من السهل تحديد وتقييم (identified & evaluated) كلاً من :

1. الرقابة / الرقابة غير الرسمية (Informal controls).
2. الرقابة / الرقابة اللينة (soft controls).

يتم تحفيز الأفراد لتولي مسؤولية عمليات الرقابة (Take ownership of the control processes) في وحداتهم وغالبًا ما تكون الإجراءات التصحيحية التي تتخذها فرق العمل :

1. أكثر فاعلية (More effective).
2. وفي الوقت المناسب (Timely).

تخضع البنية التحتية الكاملة الخاصة بـ أهداف - مخاطر - رقابة المؤسسة (entire objectives-risks-controls infrastructure) لمزيد من :

1. المراقبة (Monitoring).
2. والتحسين المستمر (Continuous improvement).

يصبح المدققون الداخليون :

1. مشاركين (Involved).
2. ومطلعين (Knowledgeable).

على عملية التقييم الذاتي من خلال العمل كـ :

1. ميسرين لفرق العمل (Facilitators for the work teams).
2. وكتاب لفرق العمل (Scribes for the work teams).
3. ومراسلين لفرق العمل (Reporters for the work teams).
4. وكمدربين في مفاهيم المخاطر والرقابة (Trainers in risk and control concepts) التي تدعم برنامج التقييم الذاتي للرقابة (CSA).

يكتسب نشاط التدقيق الداخلي مزيدًا من المعلومات حول عمليات الرقابة داخل المنظمة ويمكنه الاستفادة من تلك المعلومات الإضافية في تخصيص مواردها النادرة.

والنتيجة هي بذل جهد أكبر للتحقيق وإجراء اختبارات لوحدات الأعمال أو الوظائف التي بها :

1. نقاط ضعف كبيرة في الرقابة (Significant control weaknesses).
2. أو مخاطر عالية متبقية (High residual risks).

يتم تعزيز مسؤولية الإدارة عن عمليات إدارة المخاطر والرقابة في المنظمة وسيكون المديرون أقل ميلًا للتنازل عن هذه الأنشطة للمتخصصين .. مثل المدققين.

سيستمر الدور الأساسي لنشاط التدقيق الداخلي في تضمين التحقق من صحة عملية التقييم من خلال أداء الاختبارات والتعبير عن حكمه المهني حول :
 
1. كفاية نظام إدارة المخاطر والرقابة بالكامل (adequacy of the whole risk management and control system).
2. وفعالية نظام إدارة المخاطر والرقابة بالكامل (effectiveness of the whole risk management and control system).

7. المناهج (Approaches) :


الأساليب الثلاثة الأساسية لبرامج التقييم الذاتي للرقابة (CSA) هي :

(1) التيسير (Facilitation). 
(2) مسح (استبيان) Survey (questionnaire). 
(3) الشهادة / الاعتماد الذاتي (Self-certification). 

غالبًا ما تجمع المنظمات بين المناهج.

يعكس تنوع الأساليب المستخدمة في عمليات التقييم الذاتي للرقابة (CSA) في المنظمات الاختلافات في :

1. الصناعة (Industry).
2. والجغرافيا (Geography).
3. والهيكل (Structure).
4. والثقافة التنظيمية (Organizational culture).
5. ودرجة تمكين الموظف (Degree of employee empowerment).
6. وأسلوب الإدارة المهيمن (Dominant management style).
7. وطريقة صياغة الاستراتيجيات والسياسات (Manner of formulating strategies and policies).
 
وبالتالي فإن نجاح نوع معين من برامج التقييم الذاتي للرقابة (CSA) في مؤسسة ما قد لا يتكرر في مؤسسة أخرى.
يجب تخصيص عملية التقييم الذاتي للرقابة (CSA) لتلائم الخصائص الفريدة لكل مؤسسة.
 
أيضًا يجب أن يكون نهج التقييم الذاتي للرقابة (CSA) :

1. ديناميكيًا (Dynamic).
2. ومتغيرًا مع التطوير المستمر للمنظمة (Change with the continual development of the organization).

8. نهج التيسير (Facilitation Approach) :


نهج التيسير له أربعة أشكال ممكنة (4 possible formats) :

1) يركز الشكل القائم على الهدف (Objective-based format) على ..
أفضل طريقة لتحقيق هدف العمل (Best way to accomplish a business objective).

تبدأ ورشة العمل بتحديد الرقابة الموجودة حاليًا لدعم الهدف ثم تحديد المخاطر المتبقية.

الهدف من ورشة العمل هو تحديد ما إذا كانت :

1. إجراءات المراقبة تعمل بشكل فعال (Control procedures are working effectively).
2. تؤدي إجراءات الرقابة إلى مخاطر متبقية ضمن مستوى مقبول (Control procedures are resulting in residual risks within an acceptable level).

2) يركز الشكل القائم على المخاطر (Risk-based format) على سرد المخاطر لتحقيق الهدف (listing the risks to achieving an objective).

تبدأ ورشة العمل بسرد جميع :
 
1. العوائق (Barriers).
2. والعقبات (Obstacles).
3. والتهديدات (Threats).
4. والتعرضات المحتملة التي قد تمنع تحقيق الهدف (exposures that might prevent achieving an objective).

ثم تفحص إجراءات الرقابة لتحديد ما إذا كانت كافية لإدارة المخاطر الرئيسية.

تهدف ورشة العمل إلى تحديد المخاطر المتبقية الكبيرة (significant residual risks).
يأخذ هذا التنسيق فريق العمل من خلال صيغة كاملة لرقابة الأهداف والمخاطر.

3) يركز الشكل القائم على الرقابة (Control-based format) على مدى جودة عمل عناصر الرقابة الموجودة.
 
يختلف هذا التنسيق عن الصيغ القائمة على الهدف والقائمة على المخاطر لأن الميسر يحدد المخاطر والرقابة الرئيسية قبل بداية ورشة العمل.

خلال ورشة العمل (Workshop) يقوم فريق العمل بتقييم مدى نجاح الرقابة في :
 
1. تخفيف المخاطر (Mitigate risks).
2. وتعزيز تحقيق الأهداف (Promote the achievement of objectives).

الهدف من ورشة العمل هو إنتاج :

1. تحليل للفجوة بين كيفية عمل الرقابة (analysis of the gap between how controls are working).
2. ومدى توقع الإدارة لعمل هذه الرقابة (how well management expects those controls to work).

4) يركز الشكل القائم على العملية (Process-based format) على الأنشطة المختارة التي تشكل عناصر سلسلة من العمليات.
عادة ما تكون العمليات عبارة عن سلسلة من الأنشطة ذات الصلة التي تنتقل من نقطة بداية إلى نهاية .. مثل :

1. الخطوات المختلفة في الشراء (Various steps in purchasing).
2. أو تطوير المنتج (Product development).
3. أو توليد الإيرادات (Revenue generation).

يغطي هذا النوع من ورش العمل عادة :

1. تحديد أهداف العملية برمتها (Covers the identification of the objectives of the whole process).
2. والخطوات الوسيطة المختلفة (The various intermediate steps).

الهدف من ورشة العمل هو تقييم وتحديث والتحقق من صحة وتحسين ، وحتى تبسيط العملية برمتها والأنشطة المكونة لها.
قد يحتوي تنسيق ورشة العمل هذا على نطاق أوسع من التحليل مقارنة بالنهج القائم على الرقابة من خلال تغطية أهداف متعددة داخل العملية ودعم جهود الإدارة المتزامنة .. مثل :
 
1. إعادة الهندسة (Reengineering).
2. وتحسين الجودة (Quality improvement).
3. ومبادرات التحسين المستمر (Continuous improvement initiatives).

9. نهج المسح (Survey Approach) :


يستخدم نموذج مسح التقييم الذاتي للرقابة (CSA) استبيانًا (Questionnaire) يميل إلى طرح أسئلة بسيطة في الغالب (ask mostly simple) كـ :
 
1. "نعم / لا" (yes/no).
2. أو "لديك / ليس لديك" (have/have not).

والتي تمت كتابتها بعناية ليتم فهمها من قبل المستفيدين المستهدفين (Carefully written to be understood by the target recipients).

غالبًا ما يتم استخدام نهج المسح إذا كان المستجيبون المطلوبون :

1. كثيرين جدًا للمشاركة في ورشة عمل (Too numerous to participate in a workshop).
2. أو مشتتين على نطاق واسع للمشاركة في ورشة عمل (Widely dispersed to participate in a workshop).

كما أنها مفضلة أيضًا إذا كانت :
 
1. الثقافة في المنظمة قد تحد من المناقشات المفتوحة والصريحة في إعدادات ورشة العمل (Limit open, candid discussions in workshop settings).
2. أو إذا رغبت الإدارة في تقليل الوقت المستغرق والتكاليف المتكبدة في جمع المعلومات
(If management desires to minimize the time spent and costs incurred in gathering the information).

10. نهج الاعتماد الذاتي (Self-Certification Approach) :


يعتمد هذا الشكل من التقييم الذاتي على التحليلات التي تنتجها الإدارة لإنتاج معلومات حول :
 
1. العمليات التجارية المختارة (Selected business processes).
2. وأنشطة إدارة المخاطر المختارة (Selected risk management activities).
3. وإجراءات الرقابة المختارة (Selected control procedures).

غالبًا ما يهدف التحليل إلى الوصول إلى حكم مستنير وفي الوقت المناسب حول خصائص محددة لإجراءات الرقابة ويتم إعداده بشكل عام من قبل فريق في دور الموظفين أو الدعم.

قد يقوم المدقق الداخلي بتجميع هذا التحليل مع معلومات أخرى لـ :

1. تعزيز فهم الرقابة (Enhance the understanding about controls).
2. ومشاركة المعرفة (Share the knowledge).

مع كلاً من :
 
1. المديرين في الأعمال (Managers in business).
2. أو المديرين فى الوحدات الوظيفية (Managers in functional units).

كجزء من برنامج التقييم الذاتي للرقابة (CSA) الخاص بالمنظمة.

11. فهم المخاطر والرقابة (Understanding of Risk and Control) :


تفترض جميع برامج التقييم الذاتي (All self-assessment programs) أن :
 
1. المديرين (Managers).
2. وأعضاء فرق العمل (Members of the work teams).

يفهمون :

- مفاهيم المخاطر والرقابة (Understand risk and control concepts).
- ويستخدمونها في الاتصالات (Use them in communications).

بالنسبة للجلسات التدريبية (Training sessions) لـ :

1. تسهيل التدفق المنظم لمناقشات ورشة العمل (Facilitate the orderly flow of workshop discussions).
2. وكتحقق من اكتمال العملية الشاملة (Check on the completeness of the overall process).

غالبًا ما تستخدم المنظمات إطار عمل للرقابة .. مثل نموذج (COSO).

12. تقارير ورشة العمل (Workshop Reports) :


في ورشة العمل النموذجية المُيسرة من التقييم الذاتي للرقابة (Typical CSA facilitated workshop) يتم إعداد تقرير بشكل جوهري أثناء المداولات (Deliberations). يتم تسجيل الإجماع (Consensus) .. الإتفاق الجماعي في الرأي .. على مختلف أجزاء المناقشات وتقوم المجموعة بمراجعة التقرير النهائي المقترح قبل نهاية الجلسة النهائية.

تستخدم بعض البرامج التصويت المجهول (anonymous voting) لـ :

1. ضمان التدفق الحر للمعلومات (Ensure free flow of information).
2. ضمان التدفق الحر للآراء (Ensure free flow of opinions).

أثناء ورش العمل.
 
بالاضافة الى المساعدة في التفاوض على الاختلافات بين مجموعات المصالح (aid in negotiating differences between interest groups).

13. القيود (Limitations) :


1. قد لا يستخدم المدقق الداخلي بشكل فعال نهج (أساليب) التقييم الذاتي للرقابة (CSA) المختار
 
2. أو قد لا يكون الأشخاص الذين يقومون بإجراء التقييم الذاتي :

1. ماهرين في إدارة المخاطر (Skilled in risk management).
2. و ماهرين في الرقابة عليها (Skilled in risk control).

عندئذٍ قد لا يتم تحديد المخاطر والرقابة ذات الصلة أو .. إذا تم تحديدها .. قد لا يتم تقييمها بشكل صحيح.

المحاضرة

رابط ملف الـ PDF الخاص بالمحاضرة 

ليست هناك تعليقات