النشرة الثالثة
منهجية التدقيق الداخلي
وفقاً لمعايير التدقيق الداخلي الدولية
الجانب الجوهري في معايير التدقيق الداخلي الدولية هو التمييز بين وظيفة التدقيق الداخلي والرقابة الداخلية (ضوابط الرقابة الداخلية)، والعلاقة التكاملية بين التدقيق الداخلي وحوكمة المؤسسات وإدارة المخاطر والرقابة الداخلية، فضلاً عن منهجية تنفيذ نشاط التدقيق المبنية على المخاطر، وتُعد تدقيق المعاملات المالية قبل تنفيذها ضمن ضوابط الرقابة الداخلية المانعة والكاشفة (التدقيق السابق) والشخص الذي ينفذ هذه العمليات هو المدقق المالي.
1 – التدقيق الداخلي وفقاً للمعايير الدولية.
بدأ التدقيق الداخلي اكثر تنظيماً وتطوراً في الأهداف والممارسات والمهارات منذ عام 1941 عندما أُسس معهد المدققين الداخليين Institute of Internal Auditors (IIA) في الولايات المتحدة الامريكية حيث توسع نطاق التدقيق الداخلي ليشمل جميع عمليات الشركة المالية وغير المالية، والتطور الهام الذي حدث هو في هدف ونطاق وإجراءات التدقيق الداخلي، إذ تحول التدقيق الداخلي من تدقيق المعاملات المالية قبل تنفيذها (التدقيق السابق) الى تقييم الإجراءات الرقابية، حيث ان وضع الإجراءات الرقابية من مسؤولية مجلس الإدارة وهي (مجموعة التدابير والعمليات والتوجيهات التي تهدف الى ضمان تحقيق اهداف المؤسسة المحددة وتقليل تأثير المخاطر المحتملة) وتحول هدف التدقيق الداخلي الى تقييم فاعلية الإجراءات الرقابية (الضوابط الرقابية)، حيث ظهر في هذه المرحلة النشاط التنظيري للتدقيق الداخلي من قبل معهد المدققين الداخليين IIA.
زادت مهام التدقيق الداخلي منذ عام 1978 حيث أصدر معهد المدققين الداخليين IIA معايير الممارسة المهنية للتدقيق الداخلي، وأضيفت مهام التدقيق الداخلي التأكيدية المتمثلة (بتقييم إدارة المخاطر وتقييم تطبيق مبادئ الحوكمة)، فضلاً عن المهمة التأكيدية الأولى تقييم كفاية وفاعلية الرقابة الداخلية، وبهذا تحددت المهام التأكيدية للتدقيق الداخلي ب (تقييم الحوكمة وإدارة المخاطر والرقابة الداخلية).
مهام التدقيق الداخلي التأكيدية والاستشارية.
تعريف التدقيق الداخلي.
التدقيق الداخلي Internal Auditing: عرف معهد التدقيق الداخلي IIA التدقيق الداخلي (هو نشاط مستقل وموضوعي، يقدم تأكيدات وخدمات استشارية بهدف إضافة قيمة للمؤسسة وتحسين عملياتها، ويساعد هذا النشاط في تحقيق اهداف المؤسسة من خلال اتباع أسلوب منهجي منظم لتقييم وتحسين فاعلية عمليات إدارة المخاطر والرقابة والحوكمة).
من تعريف التدقيق الداخلي، يتبين أنه:
أ – نشاط مستقل عن الإدارات التنفيذية من الناحية الوظيفية، فهو يرتبط بمجلس الإدارة الذي يمثل السلطة الاشرافية، او بلجنة التدقيق المستقلة المكلفة بالحوكمة.
ب – يجب ان يكون موضوعياً في أداء مهامه التأكيدية أو الاستشارية، والموضوعية تتضمن الجانب الاول الموضوعية التنظيمية التي تخص تشكيل التدقيق الداخلي، حيث يجب ان يرتبط وظيفياً بالسلطة الاشرافية ومستقل عن الإدارات التنفيذية، ولا يخضع لتوجيهاتها وتدخلاتها في اعمال التخطيط والتنفيذ والابلاغ عن نتائج التدقيق والتقييم، والجانب الثاني الموضوعية الفردية التي تخص المدقق الداخلي حيث يجب ان لا تخضع آراء واحكام المدققين الى آراء واحكام غيرهم، وتجنب تضارب المصالح.
ج– خدمات التأكيدات Assurance Services: هي عملية اجراء تقييم مستقل وموضوعي للأدلة بغرض تقديم آراء واستنتاجات لكل من مسار (الحوكمة وإدارة المخاطر والرقابة الداخلية) وتشمل مهام التدقيق (المالية والأداء والامتثال ونظام أمن المعلومات والتدقيق البيئي).
وتشمل خدمات التأكيد على:
اولاً – تقييم فاعلية الرقابة الداخلية Evaluating the effectiveness of internal control: تقييم مدى كفاية وفاعلية والالتزام بالرقابة الداخلية في التعامل مع مخاطر المؤسسة، (ضمن الحوكمة والعمليات التشغيلية، وأنظمة المعلومات).
ثانياً – تقييم إدارة المخاطر Evaluating the Risks management: تقييم فيما إذا كان (تحديد وتحليل وتقييم المخاطر واستراتيجيات الاستجابة للمخاطر ومراقبة المخاطر) المصممة من قبل مجلس الإدارة والمنفذة من قبل الجهات المسؤولة عن إدارة المخاطر، ويساهم هذا التقييم في تحقيق اهداف المؤسسة.
ثالثاً – تقييم تطبيق الحوكمة Evaluating the implementation of governance: تقييم القواعد والعمليات والعلاقات التي تحقق التوازن بين مصالح مختلف الأطراف المعنية بالمؤسسة مثل (حملة الأسهم، الموردين، الممولين، مجلس الإدارة، الإدارة العليا) والتحكم بإدارة أنشطة المؤسسة.
د – الخدمات الاستشارية Consulting Services: خدمات المشورة التي يقدمها المدقق الداخلي حسب الاتفاق مع الجهة طالبة المشورة على طبيعتها ونطاقها، الغرض منها إضافة قيمة وتحسين عمليات حوكمة المؤسسة وإدارة مخاطرها ورقابتها، دون تحمل المدقق اية مسؤولية ادارية، مثل مشورة برامج التدريب وتطوير مهارات العاملين.
2 – الرقابة الداخلية Internal Control: التدابير (مجموعة السياسات والإجراءات والتعليمات) التي يتخذها مجلس الإدارة بهدف إدارة المخاطر وزيادة احتمال تحقيق الأهداف المنشودة، وتعد الرقابة الداخلية مكونا أساسيا من مكونات نظام إدارة المؤسسة.
والجدير بالإشارة يجب التمييز بين الرقابة الداخلية والتدقيق الداخلي، حيث ان الرقابة الداخلية هي ضوابط رقابية تصممها وتقرها السلطة الاشرافية (مجلس الإدارة) وتلتزم بها وتنفذها الإدارات التنفيذية بكل مستوياتها الإدارية وكذلك الموظفين في المؤسسة، أما التدقيق الداخلي هو وظيفة وانشطة تقييم وتدقيق (الرقابة الداخلية وإدارة المخاطر وتطبيق الحوكمة)، وهي مهام تأكيدية.
والجانب الجوهري في العلاقة بين الرقابة الداخلية والتدقيق الداخلي هي علاقة يمكن وصفها بالتكاملية، فالرقابة الداخلية تضعها السلطة الاشرافية، لحماية الأصول وتحقيق اهداف المؤسسة بكفاءة وفاعلية، والتدقيق الداخلي نشاط مستقل لضمان فاعلية الرقابة الداخلية في تحقيق اهداف المؤسسة (الاستراتيجية والتشغيلية) من خلال المراقبة والتقييم، وتقديم التقارير. فإذا وضعت السلطة الاشرافية مجموعة ضوابط الرقابة الداخلية، ولم يقم التدقيق الداخلي بتقييم فاعليتها والالتزام بها، سوف تفشل المؤسسة في تحقيق أهدافها وتتعرض الى المخاطر المالية والسمعة.
وعُرف نظام الرقابة الداخلية في دليل التدقيق رقم (4) الصادر عن مجلس المعايير الرقابية والمحاسبية في جمهورية العراق:
هو أنواع السياسات والإجراءات المتخذة من قبل الإدارة التي تكفل تحقيق اهداف المنشأة وتضمن التنفيذ المنظم والعملي للعمليات بما في الالتزام بالسياسات الإدارية والمحافظة على الموجودات واكتشاف ومنع الأخطاء ودقة القيد واكتمال السجلات وتهيئة البيانات المالية المطلوبة والمعَول عليها في الوقت المناسب، وقسم الدليل نظام الرقابة الداخلية الى: –
اولاً – الرقابة المحاسبية Accounting Control System: الخطة التنظيمية والوسائل والإجراءات التي تتعلق بصفة أساسية في المحافظة على موجودات المنشأة ومدى الاعتماد على البيانات المحاسبية المثبتة بالسجلات وذلك عن طريق اختبار دقة البيانات والمعلومات المحاسبية، ووسائل الرقابة المحاسبية وتتكون من:
– تسجيل المعاملات والترحيل اليومي.
– استخدام الحسابات الاجمالية والفرعية.
– اعداد موازين المراجعة الدورية.
– اتباع نظام المصادقات واعتماد قيود التسوية من قبل موظف مخول.
– تزويد الإدارة بالبيانات المالية والمحاسبية بصفة دورية.
والجدير بالإشارة يقوم التدقيق الداخلي بتقييم الضوابط الرقابية الداخلية المتعلقة بأعداد البيانات المالية فضلاً عن تدقيق البيانات المالية للتحقق من خلوها من الأخطاء الجوهرية والمعدة وفقاً لإطار اعداد البيانات المالية المعتمد، لأغراض الإدارة والمدقق الخارجي والأطراف المستفيدة من البيانات المالية.
ثانياً – الرقابة الإدارية Administrative Control: مجموعة من النظم والأساليب المتعلقة بنواحي النشاط التشغيلي للمنشأة، بهدف تحقيق أكبر قدر من الكفاءة التشغيلية، وتتكون من:
– حسابات الكلفة.
– التقارير الإحصائية.
– تقارير الأداء.
– الرقابة على الجودة.
– برامج التدريب المتنوعة للموظفين.
ثالثاً – نظام الضبط الداخلي Internal Check System: يقوم النظام اساساً على توزيع العمل والمسؤوليات والصلاحيات لكل قسم او موظف وتجنب حصر تنفيذ كل مراحل العملية بموظف واحد، ويشمل مجموعة الإجراءات والوسائل التنظيمية والمحاسبية التي تهدف الى ضبط عمليات المنشأة، ومراقبتها بصورة تلقائية ومستمرة وذلك بجعل عمل شخص ما يراجع بواسطة شخص آخر لضمان حسن سير العمل ومنع وقوع الأخطاء او التلاعب او اكتشافها بعد وقوعها بفترة قصيرة من خلال التطبيق التلقائي للنظام.
ضوابط الرقابة الداخلية:
اولاً: الضوابط الرقابية الوقائية (Preventive Regulatory Controls) هي الضوابط المصممة من قبل الإدارة التي تمنع حدوث أمر غير مرغوب، مثل منح الصلاحيات، فصل الواجبات، استخدام كلمات المرور للحماية،
ثانياً: الضوابط الرقابية الكاشفة (Detective Regulatory Controls) هي الضوابط المصممة من قبل الإدارة التي تكشف الحدث بعد وقوعه لكي يمكن اتخاذ إجراءات تصحيحية، مثل تقارير الاستثناء، مطابقة كشف الحساب المصرفي واجراء التسويات القيدية، المصادقات الخارجية، الجرد الفعلي المفاجئ للنقدية او المخزون او اية أصول مادية ملموسة، تقارير حاسوبية للكشف عن الدخول غير المصرح به الى الأنظمة والبرامج.
والاهم هي أنظمة الرقابة على المعاملات (التأكيد على ان جميع المعاملات قد حصلت على الموافقة، وتم التعامل معها وتسجيلها بشكل صحيح في السجلات المحاسبية بالمبالغ الصحيحة وفي الفترة الصحيحة) وهي ما يطلق عليها (التدقيق المالي السابق).
ثالثاً: الضوابط الرقابية التوجيهية (Directive Regulatory Controls) هي الضوابط التي تشجع على تحسين الأداء، مثل برامج التدريب والتطوير، نظام الحوافز العادل، قواعد السلوك الأخلاقي المهني.
رابعاً: الضوابط الرقابية التعويضية (Compensating Regulatory Controls) هي الضوابط البديلة لتقليل المخاطر عند فشل الضوابط الرئيسية او انعدامها، مثل المراجعة الاشرافية المستمرة عند نقص الموظفين بالدرجة التي لا يتحقق الفصل بين الوظائف.
3 – منهجية التدقيق الداخلي المبني على المخاطر.
بشكل عام يقوم التدقيق الداخلي بوضع الخطة السنوية وخطط المهام وبرامج التقييم التفصيلية على أساس المخاطر المحتملة التي تواجه النشاط التشغيلي ومدى كفاية وملائمة الرقابة الداخلية (ضوابط الرقابة الداخلية) المعتمدة في منع او كشف او تقليل تأثير المخاطر على تحقيق اهداف المؤسسة والإدارات التنفيذية، والاستجابات المناسبة (نقل الخطر، تجنب الخطر، تقبل الخطر)
وعليه تكون مراحل التدقيق كما يأتي
اولاً – التعرف على الأهداف الاستراتيجية والاهداف التشغيلية.
ثانياً – التعرف على المخاطر المحتملة التي تواجه المؤسسة.
ثالثاً – تحديد الأولويات التي تخضع للتدقيق والتقييم، بعد تقييم المخاطر على أساس (احتمالية الحدوث والتأثير المالي) واعداد مصفوفة المخاطر.
رابعاً – اعداد خطة التدقيق السنوية وخطط المهام الفرعية والبرامج التفصيلية، من ضمنها تحديد المدققين من حيث العدد والخبرة والمهارات المناسبة لطبيعة المهمة.
خامساً – إقرار خطة التدقيق والتقييم من قبل السلطة الاشرافية (مجلس الإدارة)
سادساً – البدء بالتنفيذ، بعد اللقاء مع الإدارات الخاضعة للتدقيق والتقييم من اجل ابلاغ الأقسام والموظفين التعاون في تقديم المعلومات والاجابات على الأسئلة والاستفسارات والاطلاع على السجلات وكل الوثائق ذات الصلة بالمهمة، مع مراعاة التزام المدققين بقواعد السلوك المهني (النزاهة، الموضوعية والحيادية، السرية).
ووسائل التدقيق والتقييم هي (قائمة الفحص، المعاينة، الزيارات الميدانية، الاستفسارات، تدقيق عينة من الوثائق)
سابعاً – تبليغ نتائج التدقيق والتقييم الى السلطة الاشرافية (مجلس الإدارة) ومتابعة توصيات مجلس الإدارة.
في العموم المخاطر المحتملة هي:
– مخاطر خارجية: قوانين وتشريعات، ظهور منافسين جدد في السوق، الكوارث، الاضطرابات السياسية
– مخاطر مالية: الغش والاحتيال، البيانات المالية المظللة.
– مخاطر تشغيلية: أخطاء الموظفين في ادخال البيانات، نقص التدريب، ضعف الرقابة الداخلية، عدم التوثيق، تعطل الأجهزة او البرمجيات، اختراق الأنظمة.
– مخاطر عدم الامتثال بالقوانين والأنظمة والتعليمات
