السيناريو: شركة البحرين للألمنيوم المحدودة، وهي شركة تصنيع بإيرادات قدرها 85 مليون دينار بحريني، تستخدم نظام تخطيط موارد المؤسسة (ERP) مع وحدات رقابة مستمرة لمراقبة دورة الإيرادات والذمم المدينة. الخطوة 1: تحديد الضوابط المؤتمتة النظام يراقب تلقائياً: حدود ائتمان العملاء، أسعار المنتجات، شروط الدفع، وتطابق أوامر البيع مع قوائم الأسعار المعتمدة.

المحتويات

المحتويات

الإطار التنظيمي والتعريفات الأساسية

المراجعة المستمرة في مقابل الرقابة المستمرة


تستخدم المراجعة المستمرة التقنيات المؤتمتة لأداء اختبارات المراجعة على نحو مستمر عبر السنة. بدلاً من اختبار عينة من المعاملات في نهاية العام، تختبر كل معاملة عند حدوثها. يحدد معيار المراجعة 330.18 أنه عندما يستخدم المراجع البيانات التي تنتجها أنظمة المعلومات، يجب تقييم دقة واكتمال تلك البيانات. هذا ينطبق بالكامل على بيانات المراجعة المستمرة.
الرقابة المستمرة تعني الرصد المؤتمت للضوابط والمعاملات داخل أنظمة العميل. الهدف هو تحديد الاستثناءات أو الانحرافات حال حدوثها، وليس بعد شهور. بموجب معيار المراجعة 315.26، يجب على المراجع تحديد طبيعة أنظمة المعلومات ذات الصلة بالتقرير المالي، والتي تشمل هذه الأنظمة المؤتمتة للرقابة المستمرة.

تأثير التقنيات المؤتمتة على تقييم المخاطر


عندما يتبنى العميل أدوات الرقابة المستمرة، يتغير ملف المخاطر. المعاملات التي تتم معالجتها بالكامل دون تدخل بشري تحمل مخاطر مختلفة عن تلك التي تتطلب موافقات يدوية. يتطلب معيار المراجعة 315.31 من المراجع تحديد المخاطر الجوهرية والمخاطر الأخرى على مستوى التأكيد. الأتمتة تقلل بعض المخاطر (الأخطاء الحسابية، تطبيق السياسات بشكل متناسق) وتزيد أخرى (أخطاء البرمجة، الوصول غير المصرح به، فشل الضوابط الآلية).
الضوابط الآلية، عند تصميمها وتشغيلها بفعالية، توفر مستوى من الاتساق لا يمكن للضوابط اليدوية تحقيقه. لكن معيار المراجعة 315.17 يتطلب تقييماً مستمراً لفعالية الضوابط. إذا كانت الضوابط آلية، فإن اختبار التشغيل يركز على معرفة متى تم تغيير البرنامج وكيفية التأكد من أن التغييرات مصرح بها ومختبرة.

كيفية تقييم أنظمة الرقابة المستمرة للعميل

فهم الأتمتة الفعلية


العملاء يحبون استخدام مصطلح "الرقابة المستمرة" للإشارة إلى أي تقرير آلي. هذا لا يكفي لأغراض المراجعة. يجب فهم ما يحدث بالتحديد داخل النظام.
يتطلب معيار المراجعة 315.20 تحديد التطبيقات المهمة والضوابط العامة لتقنية المعلومات الداعمة لها. بالنسبة للرقابة المستمرة، اسأل هذه الأسئلة: هل النظام يراقب المعاملات عند إدخالها، أم يراجع البيانات دفعياً كل ليلة؟ ما القواعد المبرمجة بالضبط؟ من يراجع استثناءات النظام وبأي تردد؟

اختبار فعالية الأدوات المؤتمتة


معيار المراجعة 315.22 يتطلب تقييم تصميم الضوابط وتحديد ما إذا كانت قد طُبقت. بالنسبة للرقابة المستمرة، التصميم يعني منطق البرنامج والقواعد المكونة. التطبيق يعني أن النظام يعمل فعلياً وفق هذا المنطق.
اختبار الضوابط الآلية يختلف عن اختبار الضوابط اليدوية. بدلاً من فحص عينة من الموافقات الورقية، تختبر معايير البرنامج وتتبع بعض المعاملات عبر النظام. إذا لم يتغير البرنامج، والضوابط العامة لتقنية المعلومات تعمل بفعالية، فإن الضوابط الآلية التي عملت في السابق ستستمر في العمل.

تقييم الضوابط العامة الداعمة


الضوابط العامة لتقنية المعلومات حاسمة هنا. يحدد معيار المراجعة 315.21 أن الضوابط العامة تشمل ضوابط الوصول للبرامج والبيانات، وضوابط تطوير البرامج وتغييرها، وضوابط العمليات الحاسوبية. إذا كانت هذه الضوابط ضعيفة، فإن الثقة في الرقابة المستمرة تنخفض بشكل كبير.
أكثر ما يقلق المراجعين هو التغييرات غير المصرح بها على منطق الرقابة. هل يمكن لمدير تقنية المعلومات تعديل قواعد الموافقة دون علم المدير المالي؟ هل يتم اختبار التغييرات على البرامج قبل نشرها في بيئة الإنتاج؟ هل يوجد سجل تدقيق واضح لكل تغيير؟

مثال عملي: تقييم أنظمة الرقابة في شركة البحرين للألمنيوم المحدودة

السيناريو: شركة البحرين للألمنيوم المحدودة، وهي شركة تصنيع بإيرادات قدرها 85 مليون دينار بحريني، تستخدم نظام تخطيط موارد المؤسسة (ERP) مع وحدات رقابة مستمرة لمراقبة دورة الإيرادات والذمم المدينة.
الخطوة 1: تحديد الضوابط المؤتمتة
النظام يراقب تلقائياً: حدود ائتمان العملاء، أسعار المنتجات، شروط الدفع، وتطابق أوامر البيع مع قوائم الأسعار المعتمدة. كل معاملة تتجاوز حدود ائتمان العميل أو تحتوي على سعر غير موجود في قائمة الأسعار المعتمدة تُوضع في "قائمة الاستثناءات" للمراجعة اليدوية.
ملاحظة توثيق: سجل تفاصيل كل قاعدة مؤتمتة، بما في ذلك المعايير المحددة والعمليات المتخذة عند انتهاك هذه المعايير.
الخطوة 2: اختبار منطق الرقابة
اختر عشر معاملات تختبر كل قاعدة من قواعد الرقابة. بالنسبة لحدود الائتمان، أدخل أمر بيع لعميل يتجاوز حده الائتماني بـ 1000 دينار. هل أدرج النظام هذا الأمر في قائمة الاستثناءات؟ بالنسبة لأسعار المنتجات، أدخل أمر بيع بسعر أعلى بـ 10% من السعر المعتمد. هل رفض النظام المعاملة أم أدرجها للمراجعة؟
ملاحظة توثيق: وثق نتيجة كل اختبار، بما في ذلك رقم المعاملة الاختبارية، القاعدة المختبرة، والنتيجة المتوقعة مقابل النتيجة الفعلية.
الخطوة 3: فحص معالجة الاستثناءات
راجع قائمة الاستثناءات للشهرين الماضيين. كم استثناء تم إنتاجه؟ كم منها تمت مراجعته والموافقة عليه؟ كم منها ما زال معلقاً؟ من يراجع هذه الاستثناءات وبأي تردد؟ ابحث عن أدلة على الموافقة: توقيعات إلكترونية، طوابع زمنية، تعليقات.
ملاحظة توثيق: أعد قائمة بعدد الاستثناءات حسب النوع، وسرعة المعالجة، ومستوى الموافقة المطلوب لكل نوع.
الخطوة 4: تقييم الضوابط العامة لتقنية المعلومات
هل يمكن لمدير المبيعات تغيير حدود ائتمان العملاء في النظام دون موافقة المدير المالي؟ هل يتم تسجيل كل تغيير على قوائم الأسعار المعتمدة؟ هل توجد بيئة اختبار منفصلة لتجريب التغييرات على قواعد الرقابة قبل نشرها؟
ملاحظة توثيق: اطلب سجلات الوصول للشهرين الماضيين، وسجل أي تغييرات على معايير الرقابة، والعمليات المتبعة لاختبار وموافقة هذه التغييرات.
الخطوة 5: ربط النتائج بتقييم المخاطر
إذا كانت الضوابط تعمل بفعالية والضوابط العامة قوية، يمكن تقليل حجم اختبارات التفاصيل للإيرادات والذمم المدينة. إذا وجدت ثغرات (مثل عدم مراجعة الاستثناءات بانتظام أو ضعف ضوابط تغيير البرامج)، يزيد هذا من خطر عدم اكتشاف الأخطاء الجوهرية ويتطلب اختبارات جوهرية أكثر شمولية.
ملاحظة توثيق: اربط نتائج اختبارات الضوابط مباشرة بمصفوفة المخاطر ووثق كيف تؤثر هذه النتائج على طبيعة وتوقيت وحجم الاختبارات الجوهرية.
النتيجة: النظام أنتج 127 استثناء ائتمان خلال الشهرين، منها 89 تمت مراجعتها والموافقة عليها خلال 48 ساعة. تمت الموافقة على الـ 38 المتبقية بعد 5-7 أيام. لم توجد استثناءات أسعار معلقة لأكثر من أسبوع. الضوابط تعمل، لكن التأخير في مراجعة بعض استثناءات الائتمان يشير إلى حاجة لاختبار إضافي للمعاملات المعتمدة خلال فترات الذروة.

قائمة فحص عملية

  • اطلب تفاصيل محددة عن الأنظمة المؤتمتة: ما القواعد المبرمجة بالضبط، وليس فقط "رقابة على أسعار المنتجات"
  • اختبر منطق كل قاعدة رقابة: استخدم بيانات اختبارية لتأكيد أن النظام يتصرف كما هو مصمم له
  • راجع معالجة الاستثناءات للشهرين الماضيين: تحقق من كيفية ومدى سرعة حل القضايا المحددة آلياً
  • قيم الضوابط العامة لتقنية المعلومات الداعمة: خاصة ضوابط الوصول وضوابط تغيير البرامج
  • وثق أثر النتائج على اختبارات الجوهر: اربط فعالية الرقابة المستمرة بحجم وطبيعة الاختبارات المطلوبة
  • تأكد من وجود أثر مراجعة واضح: كل تغيير على قواعد الرقابة يجب أن يكون موثقاً ومرخصاً

الأخطاء الشائعة

  • قبول تأكيدات العميل دون اختبار: "لدينا رقابة مستمرة" لا يعني بالضرورة أنها تعمل بفعالية
  • التركيز على النظام وإهمال العملية: الأدوات المؤتمتة تتطلب عمليات بشرية داعمة لمراجعة ومعالجة الاستثناءات

المحتوى ذات الصلة

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.