المحاضرة رقم 25 : تخطيط الارتباط وتقييم المخاطر (Engagement Planning and Risk Assessment)
تخطيط الارتباط وتقييم المخاطر (Engagement Planning and Risk Assessment) :
1. الارتباطات (Engagements) :
الارتباط (engagement) هو ..
ارتباط تدقيق داخلي محددة ، أو ارتباط ، أو نشاط مراجعة (specific internal audit assignment, task, or review activity) مثل :
1. التدقيق الداخلي (internal audit).
2. أو مراجعة التقييم الذاتي للرقابة (control self-assessment review).
3. أو فحص الاحتيال (fraud examination).
4. أو الاستشارات (consultancy).
قد تتضمن الارتباط ارتباط أو أنشطة متعددة مصممة لتحقيق مجموعة محددة من الأهداف ذات الصلة (specific set of related objectives). (IIA Glossary).
معيار الأداء 2200 تخطيط الارتباط (Performance Standard 2200 Engagement Planning) :
يجب على المدققين الداخليين :
1. تطوير خطة لكل ارتباط (Develop a plan for each engagement).
2. وتوثيق خطة لكل ارتباط (Document a plan for each engagement)
بما في ذلك :
1. أهداف الارتباط (Engagement’s objectives).
2. نطاق الارتباط (Engagement’s scope).
3. توقيت الارتباط (Engagement’s timing).
4. تخصيصات موارد الارتباط (Engagement’s resource allocations). Resources needed to complete the engagement
يجب أن تأخذ الخطة في الاعتبار :
1. استراتيجيات المنظمة وأهدافها (Organization’s strategies, objectives).
2. ومخاطرها ذات الصلة بالارتباط (Risks relevant to the engagement).
قد يقوم المدققون الداخليون بوضع مذكرة تخطيط (planning memo) لتوثيق :
1. أهداف الارتباط ونطاقها وتقييم المخاطر (Engagement objectives, scope, risk assessment).
2. والمجالات ذات الأولوية للاختبار (Prioritized areas for testing).
3. وبرنامج عمل التدقيق المعتمد (Approved audit work program).
معيار الأداء 2201 اعتبارات التخطيط (Performance Standard 2201 Planning Considerations) :
عند التخطيط للارتباط يجب على المدققين الداخليين مراعاة ما يلي :
● استراتيجيات وأهداف النشاط الذي تتم مراجعته ,الوسائل التي يرقاب بها النشاط أدائه
(The strategies and objectives of the activity being reviewed and the means by which the activity controls its performance).
● المخاطر الكبيرة على أهداف النشاط وموارده وعملياته والوسائل التي يتم من خلالها إبقاء التأثير المحتمل للمخاطر عند مستوى مقبول
(The significant risks to the activity’s objectives, resources, and operations and the means by which the potential impact of risk is kept to an acceptable level).
● مدى كفاية وفعالية حوكمة النشاط وإدارة المخاطر وعمليات المراقبة مقارنة بإطار العمل أو النموذج ذي الصلة
(The adequacy and effectiveness of the activity’s governance, risk management, and control processes compared to a relevant framework or model).
● فرص إجراء تحسينات كبيرة على حوكمة النشاط وإدارة المخاطر وعمليات الرقابة
(The opportunities for making significant improvements to the activity’s governance, risk management, and control processes).
2. التخطيط للارتباط (Engagement Planning) :
يتم توفير مزيد من الإرشادات فيIG 2200 تخطيط الارتباط (Engagement Planning) :
1) يتطلب التخطيط من المدققين الداخليين فهم خطة التدقيق الداخلي للارتباط (internal audit plan of engagements) حيث :
1. يجب أن يعالج الجدول طويل المدى بشكل مناسب الوظائف الأساسية على فترات زمنية محددة بمرور الوقت
(The long-range schedule should adequately address essential functions at defined intervals over time).
2. التغييرات الهامة منذ أن تم تضمين الارتباط في الخطة السنوية
(Significant changes since the engagement were included in the annual plan).
3. كيف تؤثر استراتيجيات الكيان وأهدافه ومخاطره على الارتباط
(How the entity’s strategies, objectives, and risks affect the engagement).
تحديد أهداف الارتباط أمر بالغ الأهمية للتخطيط (Setting engagement objectives is crucial to planning).
وفقًا لذلك يجب على المدققين الداخليين النظر في الأمور التالية بقدر ما تكون ذات صلة بالمجالات التي تمت مراجعتها :
1. تقييم الإدارة الحالي للمخاطر (Management’s current risk assessment).
2. تقييم المخاطر الذي تم إجراؤه لخطة الارتباط (The risk assessment made for the plan of engagements).
3. تقييمات المخاطر على مستوى الارتباط السابقة (Prior engagement-level risk assessments).
4. تقارير المراجعة السابقة (Prior audit reports).
يسمح تحديد الأهداف المبنية على أساس المخاطر بتحديد نطاق الارتباط (scope of the engagement).
فيما يلي اعتبارات أخرى خلال مرحلة التخطيط للارتباط :
1. الموارد المطلوبة واستخدامها الأكثر فعالية وكفاءة (Resources required and their most effective and efficient use).
2. الاحتفاظ بالوثائق والقرارات المتعلقة بالمتطلبات والصيغ (Retention of documents and decisions about requirements and formats).
3. بدء التحضير لبرنامج الارتباط ، مع الاهتمام بالموازنات ، وأشكال الاتصالات النهائية ، والمخاوف اللوجستية
(Beginning preparation of the engagement program, with attention to budgets, forms of final communications, and logistical concerns).
يحدد الرئيس التنفيذي للتدقيق (CAE) .. وليس المدقق الداخلي .. كيف ومتى ولمن يتم إبلاغ النتائج (how, when, and to whom results are communicated).
إذا كان ذلك مناسبًا يتم إبلاغ هذه التحديدات الموثقة إلى الإدارة أثناء التخطيط.
يتم أيضًا الإبلاغ عن التغييرات اللاحقة (Subsequent changes) التي تؤثر على توقيت أو الإبلاغ عن نتائج الارتباط.
3. المسح الأولي (Preliminary Survey) :
قد يقوم المدققون الداخليون بإجراء مسح (Survey) .. pre-engagement meeting .. من أجل :
(1) التعرف على الأنشطة والمخاطر والرقابة بغرض تحديد مجالات التركيز على الارتباط
(become familiar with activities, risks, and controls for the purpose of identifying areas for engagement emphasis).
(2) وتشجيع التعليقات والاقتراحات من أصحاب المصلحة (invite comments and suggestions from stakeholders).
تتضمن مكونات المسح ما يلي :
1) مدخلات من أصحاب المصلحة (Input from stakeholders).
2) إجراءات تحليلية (analytical procedures).
3) استبيانات (Questionnaires) سوف يأتي الحديث عنها بالتفصيل لاحقاً
4) المقابلات (Interviews) سوف يأتي الحديث عنها بالتفصيل لاحقاً
5) الملاحظات (Observations) سوف يأتي الحديث عنها بالتفصيل لاحقاً
6) تقارير التدقيق السابقة والوثائق الأخرى ذات الصلة (Prior audit reports and other relevant documentation).
7) تخطيط العملية (Process mapping) سوف يأتي الحديث عنها بالتفصيل لاحقاً
8) قوائم المراجعة (Checklists).
المدخلات من أصحاب المصلحة (Input from Stakeholders) :
1) قد تكون إدارة الجهة الخاضعة للرقابة وأصحاب المصلحة الآخرين مصادر للمعلومات لصياغة أهداف الارتباط.
2) قد تكون الملاحظات والمقابلات في الموقع مع مستخدمي ناتج النشاط وأصحاب المصلحة الآخرين جزءًا من المسح.
تقارير التدقيق السابقة والوثائق الأخرى ذات الصلة (Prior Audit Reports and Other Relevant Documentation) :
قد تكون تقارير التدقيق السابقة وأوراق العمل مصادر أخرى للمعلومات. قد توفر المشكلات والعملية التي تم حلها من خلالها نظرة ثاقبة للظروف الخاصة بالعميل. ويجب على المراجع استخدام هذا التوثيق لأغراض إعلامية فقط وليس كأساس للأهداف أو الاستنتاجات.
قوائم المراجعة (Checklists) :
أثناء المسح الأولي وطوال الارتباط (preliminary survey & throughout the engagement) تضمن قوائم المراجعة (قوائم التذكير reminder lists) أن المراجع قد أكمل المهام الضرورية (completed necessary tasks). على سبيل المثال .. تشمل :
1. استلام الوثائق المطلوبة (receipt of requested documentation).
2. وتحديثات ملف التدقيق المستمر (updates of the continuing audit file).
نموذج لقائمة مرجعية (Sample Checklist) :
أضف إلى ملف التدقيق الدائم (permanent audit file) :
1. جدول اطفاء لإصدارات السندات الجديدة (Amortization schedule for new bond issues).
2. خطة للتخلص من أصول العملية المتوقفة (Plan for disposal of assets of discontinued operation).
3. أحدث النماذج المودعة لدى المنظمين (Most recent forms filed with regulators).
4. أحدث خرائط الرقابة في العملية المعدة من قبل العميل (Most recent client-prepared process control maps).
2) تزيد قوائم المراجعة من توحيد الحصول على البيانات (uniformity of data acquisition).
فهي تضمن :
1. اتباع نهج معياري (standard approach is taken).
2. وتقليل احتمالية حذف العوامل التي يمكن توقعها (minimize the possibility of omitting factors that can be anticipated).
تشمل عيوب قوائم المراجعة ما يلي :
1. توفير شعور زائف بالأمان بأن جميع العوامل ذات الصلة قد تم تناولها (Providing a false sense of security that all relevant factors are addressed).
2. الإيحاء بشكل غير لائق بأنه يتم إعطاء وزن متساوٍ لكل عنصر (Inappropriately implying that equal weight is given to each item).
3. صعوبة ترجمة الملاحظة التي يمثلها كل عنصر (The difficulty of translating the observation represented by each item).
4. المعالجة قائمة مرجعية كتمرين روتيني بدلاً من جزء من فهم مدروس للجوانب الفريدة للتدقيق
(Treating a checklist as a rote exercise rather than part of a thoughtful understanding of the unique aspects of the audit).
يمكن استخدام قوائم المراجعة لـ :
1. الرقابة على التفاصيل الإدارية التي ينطوي عليها أداء الارتباط (control administrative details involved in performing the engagement).
2. التحضير للمؤتمرات الافتتاحية والختامية (prepare for opening and closing conferences).
إلخ.
توثيق النتائج وإبلاغها (Documentation and Communication of Results) :
1) يتم توثيق نتائج المسح وإبلاغ الإدارة ، إذا كان ذلك مناسبًا ، في عرض تقديمي شفهي (Oral presentation).
2) تم إعداد ملخص للنتائج (summary of results) يتضمن :
1. القضايا الهامة (Significant issues).
2. أهداف الارتباط وإجراءاتها (Engagement objectives and procedures).
3. نقاط الرقابة الحرجة أو أوجه القصور أو الرقابة الزائدة (Critical control points, deficiencies, or excess controls).
4. الأساليب ، مثل تلك القائمة على أساس التكنولوجيا (Methods, such as those that are technology-based).
5. أسباب تعديل الأهداف (Reasons for modifying objectives) .. على سبيل المثال :
1. لتوسيع أعمال المراجعة (Expand audit work).
2. أو تقليل أعمال المراجعة (Decrease audit work).
أو عدم استمرار الارتباط (not continuing the engagement).
4. تحديد المخاطر (Risk Identification) :
أثناء التخطيط (planning) يجب على المدققين الداخليين تحديد :
1. مخاطر الأعمال الرئيسية (key business risks).
2. والرقابة الرئيسية (key controls) .. وخاصة المخاطر الكامنة لدى العميل (client’s inherent risks).
في سياق الارتباط (context of an engagement) تعتبر المخاطر حدثًا قد يؤثر على :
1. أهداف العمل في المنطقة قيد المراجعة (business objectives of the area under review).
2. أو أهداف العملية في المنطقة قيد المراجعة (business objectives of the process under review).
الرقابة هي الإجراءات المتخذة للتخفيف من المخاطر (Controls are actions taken to mitigate risks).
المخاطر الكامنة هي المخاطر في غياب الرقابة (Inherent risk is the risk in the absence of controls).
يتم تحديد الخطر أو عنصر الرقابة الرئيسي من خلال أهميته (its significance) والتي يتم قياسها كمجموعة من عوامل الخطر .. على سبيل المثال :
1. الحجم (Magnitude).
2. والطبيعة (Nature).
3. والتأثير (Effect).
4. والملاءمة (Relevance).
5. والتأثير (Impact).
6. والاحتمال (Likelihood).
العصف الذهني (Brainstorming). قد يعقد المدققون الداخليون جلسات عصف ذهني لتحديد المخاطر والرقابة الرئيسية. خلال هذه الجلسات قد يطرح المدققون الداخليون الأسئلة التالية لتحديد المخاطر ذات الصلة :
1) ما الذي قد يمنع النشاط من تحقيق أهداف عمله؟ What would prevent the activity from achieving its business objectives?
2) كيف سيتأثر النشاط في حالة عدم وجود رقابة؟ How would the activity be affected if no controls existed?
مصفوفة المخاطر والرقابة (Risk and control matrix). قد ينشئ المدققون الداخليون أيضًا مصفوفة للمخاطر والرقابة لتحديد المخاطر والرقابة الرئيسية.
معيار التنفيذ 2210.A1 :
يجب على المدققين الداخليين إجراء تقييم أولي للمخاطر ذات الصلة بالنشاط قيد المراجعة. يجب أن تعكس أهداف الارتباط نتائج هذا التقييم.
بعد تحديد المخاطر والرقابة ، يقوم المدققون الداخليون بإجراء تقييم أولي للمخاطر.
يأخذ المدققون الداخليون بعين الاعتبار :
1. تقييم الإدارة للمخاطر (Management’s assessment of risks).
2. موثوقيتها (Its reliability) "موثوقية تقيم الادارة للمخاطر".
3. عملية معالجة مسائل المخاطر والرقابة (The process for addressing risk and control matters).
4. الإبلاغ عن الأحداث التي تتجاوز قابلية المخاطرة والاستجابات لها (The reporting about, and the responses to, events exceeding the risk appetite).
5. المخاطر في الأنشطة ذات الصلة (Risks in related activities).
المحاضرة
رابط ملف الـ PDF الخاص بالمحاضرة
ليست هناك تعليقات