جديد المواضيع

Home / CIA PART 2 / المحاضرة رقم 22 : خطة التدقيق على أساس المخاطر (Risk-Based Audit Plan)

المحاضرة رقم 22 : خطة التدقيق على أساس المخاطر (Risk-Based Audit Plan)

9/10/2022 09:13:00 ص

خطة التدقيق على أساس المخاطر (Risk-Based Audit Plan)


1. المخاطر (Risk) :


وفقًا لمسرد معهد المدققين الداخليين (IIA Glossary) فإن ..

الخطر هو احتمال وقوع حدث يكون له تأثير على تحقيق الأهداف
risk is the possibility of an event occurring that will have an impact on the achievement of objectives.

يتم قياس المخاطر من حيث :

1. التأثير (Impact).
2. والاحتمال (Likelihood).

2. الأولويات على أساس تقييم المخاطر (Priorities Based on the Risk Assessment) :


تتطلب المنظمات التي تمتاز بانها :

1. كبيرة (Large).
2. ومعقدة (Complex).
3. ومترابطة (Interconnected).

في الاقتصاد الحديث تقييمًا متطورًا للعديد من المخاطر المتنوعة (sophisticated assessment of many diverse risks).

وبالتالي يجب أن تعكس خطة التدقيق لأي نشاط تدقيق داخلي تقييم المنظمة لهذه المخاطر.

تؤثر كلاً من :

1. المعارف (Knowledge).
2. والمهارات (Skills).
3. والكفاءات الأخرى (Other competencies).

للمدققين الداخليين على المهام التي يمكن إجراؤها دون استخدام موفري خدمات خارجيين (without using external service providers).

ومع ذلك فإن المعرفة والمهارات والكفاءات الأخرى للمدققين الداخليين لا تؤثر على تقييم المخاطر (do not affect the risk assessment).

يجب أن تكون خطة التدقيق (audit plan) مرتبطة منطقيًا (logically related) بالمخاطر المحددة للمؤسسة. تتعلق هذه المخاطر بـ :

1. الأهداف الإستراتيجية للمؤسسة (Organization’s strategic goals).
2. و الأهداف التشغيلية للمؤسسة (Organization’s operational goals).

إن ربط هذا الارتباط بين المخاطر المحددة وكيفية ارتباطها بالأهداف الاستراتيجية والتشغيلية هو مطلب لتخطيط التدقيق القائم على المخاطر.

يتم ذكر هذا المطلب في المعيار التالي:

معيار الأداء 2010 – التخطيط (Performance Standard 2010 - Planning)


يجب أن يضع الرئيس التنفيذي للتدقيق الداخلي خطة قائمة على المخاطر لتحديد أولويات نشاط التدقيق الداخلي ، بما يتوافق مع أهداف المؤسسة
(The chief audit executive must establish a risk-based plan to determine the priorities of the internal audit activity, consistent with the organization’s goals).

الغرض من وضع خطة التدقيق الداخلي (internal audit plan) هو ..

ضمان التغطية الكافية للمناطق الأكثر تعرضًا للمخاطر (ensure adequate coverage of areas with greatest exposure to risks).

وبناءً عليه فإن أولويات نشاط التدقيق الداخلي تستند إلى نتائج تقييمات المخاطر. يجب أن يحدد الرئيس التنفيذي للتدقيق بشكل عام أولويات الارتباط للأنشطة ذات المخاطر العالية.

يجب أن يعطي نشاط التدقيق الداخلي الأولوية لاتخاذ القرارات المتعلقة باستخدام الموارد (prioritize to make decisions for applying resources).

تم التأكيد على أهمية إسناد خطة عمل التدقيق إلى تقييم منهجي للمخاطر (systematic assessment) في معايير التفسير والتنفيذ التالية :

تفسير المعيار 2010 (Interpretation of Standard 2010) :


لتطوير الخطة القائمة على المخاطر (Risk-based plan) يتشاور الرئيس التنفيذي للتدقيق الداخلي (CAE) مع :

1. الإدارة العليا (Senior management). 2. ومجلس الإدارة (Board).

ويحصل على فهم (Understanding) لـ :

1. استراتيجيات المؤسسة (Organization’s strategies). 2. وأهداف العمل الرئيسية (Key business objectives).

3. والمخاطر المرتبطة بها (Associated risks). 4. وعمليات إدارة المخاطر (Risk management processes).

يجب على الرئيس التنفيذي للتدقيق مراجعة وتعديل الخطة .. حسب الضرورة .. استجابة للتغيرات في :

1. أعمال المنظمة (Organization’s business).
2. ومخاطر المنظمة (Organization’s risks).
3. وعمليات المنظمة (Organization’s operations).
4. وبرامج المنظمة (Organization’s programs).
5. وأنظمة المنظمة (Organization’s systems).
6. ورقابة المنظمة (Organization’s controls).

معيار التنفيذ 2010.A1 (Implementation Standard 2010.A1) :


يجب أن تستند خطة ارتباط نشاط التدقيق الداخلي إلى تقييم مخاطر موثق .. يتم إجراؤه سنويًا على الأقل. ويجب مراعاة :

1. مدخلات الإدارة العليا (input of senior management).
2. ومدخلات مجلس الإدارة (input of the board).

في هذه العملية.

عند وضع الخطة المبنية على المخاطر .. يقوم نشاط التدقيق الداخلي عادة بـ :

1. مراجعة (Reviews).
2. وتأكيد / عزز / وثق (Corroborates).

نتائج تقييمات المخاطر التي تقوم بها الإدارة العليا (results of risk assessments performed by senior management).
المدخل الرئيسي في تقييم المخاطر هو حكم المدقق الداخلي. يشمل التخطيط أيضًا النظر في الخدمات التي يريدها أصحاب المصلحة.

معيار التنفيذ 2010.A2 (Implementation Standard 2010.A2) :


يجب على الرئيس التنفيذي للتدقيق (CAE) أن يحدد ويأخذ بعين الاعتبار توقعات (Expectations) :

1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (Board).
3. وأصحاب المصلحة الآخرين (Other stakeholders).

فيما يتعلق بآراء التدقيق الداخلي والاستنتاجات الأخرى.

يتضمن التخطيط للخدمات الاستشارية النظر في الفوائد التي قد تقدمها هذه الارتباطات (what benefits these engagements may offer).

معيار التنفيذ 2010.C1 (Implementation Standard 2010.C1) :


يجب أن يأخذ الرئيس التنفيذي للتدقيق في الاعتبار قبول التعاقدات الاستشارية المقترحة بناءً على إمكانية الارتباط لـ :

1. تحسين إدارة المخاطر (improve management of risks).
2. وإضافة القيمة (add value).
3. وتحسين عمليات المؤسسة (improve the organization’s operations).

يجب تضمين الارتباطات المقبولة في الخطة.

يجب أن تكون أهداف نشاط التدقيق الداخلي قادرة على الإنجاز ضمن :

1. خطط التشغيل (Operating plans).
2. والموازنات (Budgets).

ويجب أن تكون قابلة للقياس إلى أقصى حد ممكن (Should be measurable to the extent possible).

ويجب أن تكون مصحوبة بـ :

1. معايير القياس (Measurement criteria).
2. والتواريخ المستهدفة للإنجاز (Targeted dates of accomplishment).

3. خطة التدقيق على أساس المخاطر (The Risk-Based Audit Plan) :


غالبًا ما يتبع تطوير خطة التدقيق لنشاط التدقيق الداخلي تطوير أو تحديث عالم التدقيق (developing or updating the audit universe).

قد يشمل عالم التدقيق Audit universe (جميع مجالات المخاطر القابلة للتدقيق all auditable risk areas) الخطة الإستراتيجية للمؤسسة.

وبالتالي قد يعكس ذلك :

1) أهداف العمل العامة (Overall business objectives).
2) الموقف تجاه المخاطر (The attitude toward risk).
3) صعوبة الوصول إلى الأهداف (The difficulty of reaching objectives).
4) نتائج إدارة المخاطر (The results of risk management).
5) بيئة التشغيل (The operating environment).

يشمل عالم التدقيق جميع وحدات الأعمال أو العمليات أو العمليات التي يمكن تقييمها وتعريفها.

وهي تشمل :

1. الحسابات (Accounts).
2. والأقسام (Divisions).
3. والوظائف (Functions).
4. والإجراءات (Procedures).
5. والمنتجات (Products).
6. والخدمات (Services).
7. والبرامج (Programs).
8. والأنظمة (Systems).
9. والرقابة (Controls).
10. والعديد من الاحتمالات الأخرى (Many other possibilities).

وبالتالي فإن خطة التدقيق (Audit plan) تشمل عمليات التدقيق التي :

1. تطلبها الإدارة (Requested by management).
2. أو التي يطلبها المنظمون (Required by regulators) على سبيل المثال كشرط لتلقي العقود الحكومية (receiving government contracts).

علاوة على ذلك يتم تدقيق العديد من عمليات أو وظائف الكيانات بشكل دوري (many entity operations or functions are audited cyclically).

ووفقًا لذلك ..

قد تعتمد أولوية التدقيق على مدى حداثة عملية أو وظيفة معينة تم تدقيقها
priority of an audit may depend on how recently a specific operation or function has been audited.

يجب تقييم عالم التدقيق سنويًا على الأقل (audit universe should be assessed at least annually) ليعكس :

1. أحدث الاستراتيجيات (Most current strategies).
2. و أحدث الاتجاهات (Most current direction).

الحالية للمؤسسة.

ولكن قد تكون هناك حاجة إلى مزيد من التحديث المتكرر لخطط التدقيق للاستجابة للتغيرات في الظروف
(more frequent updating of audit plans may be needed to respond to changes in circumstances).

تعتمد خطة تدقيق نشاط التدقيق الداخلي (internal audit activity’s audit plan) على :

1) عالم التدقيق (The audit universe).
2) مدخلات من الإدارة العليا ومجلس الإدارة (Input from senior management and the board).
3) وتقييم المخاطر (Assessed risks).

ولا يتم الاعتماد على تكلفة الارتباط (The cost of the engagement) عند اعداد خطة تدقيق نشاط التدقيق الداخلي.

عادة ما يتم إعداد خطة التدقيق الداخلي لفترة سنوية. ولكن قد يكون لدورة متدرجة مدتها 12 شهرًا أو عامين أو أكثر مع التقييم السنوي.
تتضمن الخطة غالبًا ما يلي :

1) مجموعة من عمليات التأكيد والتزامات الاستشارات المقترحة (A set of proposed assurance and consulting engagements).
2) أساس إدراج كل ارتباط (The basis for inclusion of each engagement)
على سبيل المثال الخطر أو الوقت المنقضي من أحدث تدقيق (risk or time elapsed from the most recent audit).
3) هدف ونطاق كل مهمة مقترحة (The objective and scope of each proposed engagement).
4) المشاريع المنبثقة عن استراتيجية نشاط التدقيق الداخلي (Projects derived from the internal audit activity’s strategy).

تتمثل أهداف التدقيق الرئيسية في تقديم التأكيد والمعلومات (Assurance & Information) لـ :

1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (The board).

يشمل التأكيد (Assurance) تقييم أنشطة إدارة المخاطر (Risk management activities).

تستند جداول العمل (Work schedules) Audit Work Schedule .. من بين عوامل أخرى .. إلى :

1. تقييم المخاطر (Assessment of risk).
2. وتقييم التعرض للمخاطر (Assessment of exposure).

بالإضافة الى :

1. القضايا المتعلقة بالحوكمة التنظيمية (Issues relating to organizational governance).
2. نتائج الارتباطات السابقة (Results of prior engagements).
3. تغييرات التشغيل الرئيسية (Major operating changes).

تعالج معظم نماذج المخاطر (Risk models) كلاً من :

1. المخاطر الداخلية (Internal risks).
2. والمخاطر الخارجية (External risks).

باستخدام عوامل الخطر لتحديد أولويات الارتباطات (using risk factors to prioritize engagements).

تشمل عوامل المخاطر الداخلية (Internal risk factors) :

1. جودة الرقابة والالتزام بها (Quality of and adherence to controls).
2. ودرجة التغيير (Degree of change).
3. وتوقيت ونتائج آخر ارتباط (Timing and results of last engagement).
4. والأثر (Impact).
5. والاحتمالية (Likelihood).
6. والأهمية النسبية (Materiality).
7. وسيولة الأصول (Asset liquidity).
8. وكفاءة الإدارة (Management competence).

تشمل عوامل المخاطر الخارجية (External risk factors) :

1. إجراءات المنافسين (Competitor actions).
2. والموردين (Suppliers).
3. وقضايا الصناعة (Industry issues).
4. والعلاقات بين الموظفين والحكومة (Employee and government relations).

يؤدي تغيير غير متوقع وهام في حساب لا يمكن تفسيره إلى زيادة المخاطر المقدرة لهذا الحساب
(An unexpected, significant change in an account that cannot be explained raises the assessed risk for that account).

4. عملية إدارة المخاطر (Risk Management Process) :


يجب أن تأخذ خطة الارتباطات (plan of engagements) في الاعتبار عملية إدارة المخاطر في المنظمة (organization’s risk management process).

يعرّف مسرد معهد المدققين الداخليين (IIA Glossary) إدارة المخاطر (risk management) على أنها :

عملية لتحديد وتقييم وإدارة ومراقبة الأحداث أو المواقف المحتملة لتوفير ضمان معقول فيما يتعلق بتحقيق أهداف المنظمة
identify, assess, manage, and control potential events or situations to provide reasonable assurance regarding the achievement of the organization’s objectives.


إدارة المخاطر (Risk management - RM)

أمر بالغ الأهمية للحوكمة السليمة لجميع الأنشطة التنظيمية (critical to sound governance of all organizational activities).

يجب دمج إدارة المخاطر (RM) المتسقة بشكل كامل في الإدارة على جميع المستويات (Consistent RM should be fully integrated into management at all levels).

تستخدم الإدارة عادةً إطار عمل (Framework) .. على سبيل المثال :

1.COSO
2.ERM
3. ISO 31000

بهدف :

1. إجراء تقييم المخاطر (Conduct the risk assessment).
2. وتوثيق النتائج (Document the results).

يأخذ الرئيس التنفيذي للتدقيق في الاعتبار إطار إدارة المخاطر في المنظمة (organization’s risk management framework).
في حالة عدم وجود إطار عمل يستخدم الرئيس التنفيذي للتدقيق حكمه الخاص (Own judgment) .. الحكم المستنير (informed judgment) .. بشأن المخاطر بعد التشاور مع :

1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (The board).

3) تساعد إدارة المخاطر الفعالة (Effective RM) في ..

تحديد الرقابة الرئيسية المتعلقة بالمخاطر الكامنة الهامة
(Identifying key controls related to significant inherent risks).

تستخدم الرقابة في كثير من الأحيان لإدارة المخاطر ضمن درجة تقبل المخاطر (manage risk within the risk appetite).
يقوم المدققون الداخليون بـ :

1. تدقيق الرقابة الرئيسية (Audit key controls).
2. وتقديم ضمانات بشأن إدارة المخاطر الهامة (Provide assurance on the management of significant risks).

يعتبر كلاً من :

1. المخاطر المتأصلة (Inherent risk).
2. والمخاطر المتبقية Residual risk (المعروفة أيضًا باسم المخاطر الحالية Current risk)

من المفاهيم الأساسية للمخاطر (Fundamental risk concepts).

يعرف المدققون الماليون Financial auditors (الخارجيون External) :

1. المخاطر الكامنة (Inherent risk) على أنها ..

قابلية المعلومات أو البيانات للتحريف الجوهري في ظل عدم وجود رقابة تخفيف ذات صلة
(Susceptibility of information or data to a material misstatement given no related mitigating controls).

2. المخاطر الحالية (Current risk) هي ..
المخاطر التي تدار ضمن أنظمة التحكم أو الرقابة الحالية (Risk managed within existing controls or control systems).

تعمل أدوات الرقابة الرئيسية على تقليل المخاطر غير المقبولة إلى مستوى مقبول (Key controls reduce an otherwise unacceptable risk to a tolerable level).

الرقابة هي العمليات التي تعالج المخاطر.

تحدد إدارة المخاطر الفعالة (Effective RM) الرقابة الرئيسية على أساس الفرق بين المخاطر الكامنة والمتبقية في جميع الأنظمة المتأثرة. يتم الاعتماد على الرقابة الرئيسية لتقليل تصنيف المخاطر الهامة.عند تحديد أدوات الرقابة الرئيسية (وإذا كانت إدارة المخاطر ناضجة وموثوقة mature & reliable) ، يبحث المدقق الداخلي عن:

1. عوامل الخطر الفردية عندما يكون التخفيض من المخاطر المتأصلة إلى المخاطر المتبقية كبيرًا (لا سيما إذا كانت المخاطر الكامنة عالية جدًا).
2. الرقابة التي تخفف من عدد كبير من المخاطر.

تخطيط التدقيق تستخدم عملية إدارة المخاطر التنظيمية إن وجدت (Audit planning uses the organizational RM process if one exists).

يأخذ المدقق الداخلي في الاعتبار :

1. المخاطر الهامة للنشاط (Significant risks of the activity).
2. والوسائل التي من خلالها تقوم الإدارة بتخفيف المخاطر (Means by which management mitigates the risks).

تُستخدم طرق تقييم المخاطر لـ :

1. تطوير خطة التدقيق (develop the audit plan).
2. وتحديد الأولويات لتخصيص موارد التدقيق (determine priorities for allocating audit resources).

يفحص تقييم المخاطر (Risk assessment examines) :

1. الوحدات القابلة للتدقيق (auditable units).
2. ويختار المجالات للمراجعة الأكثر تعرضًا للمخاطر (selects areas for review that have the greatest risk exposure).

العوامل التالية تؤثر على خطة التدقيق الداخلي :

1. ينبغي تحديد وتقييم المخاطر الكامنة والمتبقية (Inherent and residual risks should be identified and assessed).
2. يجب ربط الرقابة المخففة وخطط الطوارئ وأنشطة المراقبة بالأحداث أو المخاطر
(Mitigating controls, contingency plans, and monitoring activities should be linked to events or risks).
3. يجب أن تكون سجلات المخاطر منتظمة وكاملة ودقيقة (Risk registers should be systematic, complete, and accurate).

يستخدم سجل المخاطر Risk register (سجل المخاطر Risk log) لـ :

1. تحديد المخاطر (Identify risks).
2. وتحليل المخاطر (Analyze risks).

يصف السجل :

1. كل خطر (Each risk).
2. وتأثيره (Its impact).
3. واحتمالية حدوثه (Likelihood).
4. ودرجة المخاطرة Risk score (التأثير × الاحتمال impact × likelihood).

يشمل السجل أيضًا :

1. الاستجابات المخطط لها في حالة وقوع الحدث (Planned responses if the event occurs).
2. والتدابير الوقائية (Preventive measures).
3. وترتيب المخاطر (Risk ranking).

يجب توثيق المخاطر والأنشطة (Risks and activities should be documented).

ينسق المدقق الداخلي أيضًا مع مقدمي خدمات التأكيد الآخرين ويأخذ في الاعتبار الاعتماد المخطط على عملهم.

يحتاج نشاط التدقيق الداخلي إلى تحديد :

1. المخاطر العالية المتأصلة والمتبقية (high inherent and residual risks).
2. وأنظمة الرقابة الرئيسية (key control systems).

كما يجب إخطار الإدارة بالمخاطر المتبقية غير المقبولة (management needs to be notified about unacceptable residual risk).

يحدد التخطيط الاستراتيجي للتدقيق الأنشطة التالية التي يجب تضمينها في الخطة :

1) مراجعات الرقابة لتوفير التأكيد (Control reviews to provide assurance).
2) أنشطة التحقيق لاكتساب فهم أفضل للمخاطر المتبقية (Inquiry activities to gain a better understanding of the residual risk).
3) الأنشطة الاستشارية لتقديم المشورة بشأن الرقابة للتخفيف من المخاطر غير المقبولة
(Consulting activities to give advice on controls to mitigate unacceptable risks).

يحدد المدققون الداخليون أيضًا الرقابة التي تتجاوز التكاليف الفوائد (identify controls with costs exceeding benefits).

قد توثق السجلات .. سجلات المخاطر (Risk registers) .. المخاطر دون المستوى الاستراتيجي (Risks below the strategic level).

وهي تتناول :

1. المخاطر الكبيرة (Significant risks).
2. تصنيفات المخاطر المتأصلة والمتبقية (Inherent and residual risk ratings).
3. الرقابة الرئيسية (Key controls).
4. والعوامل المخففة (Mitigating factors).

يمكن للمدققين بعد ذلك تحديد المزيد من الروابط المباشرة بين :

1) فئات المخاطر والجوانب الموضحة في سجلات المخاطر (Risk categories and aspects described in the risk registers).
2) والعناصر الموجودة بالفعل في عالم التدقيق ، إذا كان ذلك ممكنًا (If applicable, the items already in the audit universe).

يجب تضمين عمليات التدقيق منخفضة المخاطر (Lower-risk audits) في خطة التدقيق ..

لمنحهم التغطية والتأكيد على أن مخاطرهم لم تتغير (Confirm that their risks have not changed).

يجب أيضًا تحديد الأولويات للمخاطر القائمة التي لم تخضع بعد للمراجعة.

تركز خطة التدقيق الداخلي عادةً على ما يلي :

1. المخاطر الحالية غير المقبولة التي تتطلب إجراءً إداريًا (Unacceptable current risks requiring management action).
2. أنظمة الرقابة التي تعتمد عليها المؤسسة بشكل أكبر (Control systems on which the organization is most reliant).
3. المجالات التي يكون فيها الفرق بين المخاطر الكامنة والمخاطر المتبقية كبيرًا (Areas where the difference between inherent risk and residual risk is great).
4. المجالات التي تكون متأصلة فيها المخاطر عالية جدًا (Areas where inherent risk is very high).

ولا يتم التركيز على جميع أنظمة الرقابة (All control systems).

عند التخطيط لعمليات تدقيق فردية (individual audits) يقوم المدقق الداخلي بـ :

1. تحديد المخاطر (Identifies risks).
2. وتقييم المخاطر (Assesses risks).

ذات الصلة بالمنطقة قيد التدقيق (relevant to the area under review).

تتطلب العناية المهنية الواجبة أن تكون مهام العمل متناسبة مع تعقيدات المهمة ويجب أن تضمن أن :

1. الكفاءة التقنية للموظفين المعينين مناسبة (Technical proficiency of the personnel assigned are appropriate).
2. الخلفية التعليمية للموظفين المعينين مناسبة (Educational background of the personnel assigned are appropriate).
ومن الضروري تحليل المخاطر والمهارات للمهام التي يتعين القيام بها.

من بين الاعتبارات العديدة للحكم على مخاطر عنصر ما :

1. سهولة تحويله إلى نقد (converted to cash).
2. وإمكانية الوصول إليه (its accessibility).
3. وقيمته النقدية (its monetary value).

المحاضرة 


رابط ملف الـ PDF الخاص بالمحاضرة 

ليست هناك تعليقات

الاشتراك في: تعليقات الرسالة ( Atom )