حيث تنهار إجراءات الامتثال فعلياً

قبل الخوض في المعايير، من المفيد تحديد أين تفشل المؤسسات المالية في الواقع. ليس في كتابة السياسات، فهذا الجزء سهل. الفشل يحدث في ثلاث نقاط محددة.

أولاً، تصنيف الكيانات. قانون الامتثال الضريبي للحسابات الأجنبية (FATCA) يلزم المؤسسات المالية بتحديد الحسابات المملوكة لأشخاص أميركيين والإبلاغ عنها لمصلحة الضرائب الأميركية (IRS). لكن ما يحدث عملياً هو أن موظف فتح الحسابات يواجه كياناً تجارياً متعدد الطبقات (شركة قابضة تملك شركة تشغيلية تملك حصة في صندوق استثماري) ولا يعرف كيف يصنفه. هل هو كيان مالي أجنبي أم كيان غير مالي نشط أم سلبي؟ التصنيف الخاطئ لا ينتج عنه مجرد خطأ توثيقي. ينتج عنه إما إبلاغ زائد يثير تساؤلات السلطات الضريبية، أو إبلاغ ناقص يعرض المؤسسة لضريبة استقطاع بنسبة 30% على المدفوعات القابلة للحجب.

ثانياً، المراجعة الدورية للحسابات القائمة. معيار التبادل المشترك للمعلومات (CRS) يصنف الحسابات على أساس الإقامة الضريبية وليس الجنسية. هذا يعني أن تغيير عنوان العميل أو حصوله على إقامة في دولة جديدة يغير التزامات الإبلاغ. من واقع خبرتنا، كثير من المؤسسات تجري مراجعة دورية حبراً على ورق: تحديث تاريخ المراجعة في النظام دون فحص فعلي لتغيرات ظروف العميل.

ثالثاً، التوفيق بين نظامي FATCA و CRS. المؤسسات تبلغ عن نفس العميل مرتين بمعايير مختلفة (الجنسية في FATCA مقابل الإقامة في CRS)، وغالباً ما تظهر تناقضات بين التقريرين لا يلاحظها أحد حتى يأتي استفسار من جهة رقابية.

ما يتطلبه المعيار وما لا يقوله

ISA 315.26 يلزم المراجع بفهم بيئة الرقابة الداخلية وتقييم تصميمها. في سياق FATCA و CRS، هذا يتجاوز مجرد التأكد من وجود سياسة مكتوبة. المراجع يحتاج لفهم كيف تنتقل المعلومة من نقطة جمعها (موظف فتح الحسابات) إلى نقطة الإبلاغ (قسم الامتثال)، وأين يمكن أن تتشوه أو تضيع في هذا المسار.

لكن الحقيقة أن ISA 315 لم يُصمم أصلاً لهذا النوع من الامتثال التنظيمي العابر للحدود. المعيار يفترض بيئة تنظيمية واحدة ومستقرة نسبياً. أما FATCA و CRS فهما منظومتان متوازيتان تفرضهما جهات مختلفة (IRS من جهة ومنظمة التعاون الاقتصادي والتنمية OECD من جهة أخرى) بمتطلبات متداخلة وأحياناً متعارضة.

ISA 250.15 ينص على حصول المراجع على فهم كافٍ للإطار القانوني والتنظيمي المطبق. أرى أن هذا هو المعيار الأهم هنا، لأنه يربط عدم الامتثال بالأثر المالي المباشر. عدم الامتثال لمتطلبات FATCA قد يولد التزامات ضريبية غير متوقعة تؤثر مباشرة على القوائم المالية. ليست مجرد غرامة إدارية؛ ضريبة الاستقطاع بنسبة 30% على المدفوعات الواردة من مصادر أميركية يمكن أن تبتلع هامش ربح المؤسسة بالكامل.

هنا يظهر سؤال مشروع يختلف فيه الممارسون: هل يكفي أن يعتمد المراجع على تأكيدات الإدارة بشأن الامتثال، أم يجب عليه إجراء اختبارات مستقلة؟ ISA 250 لا يلزم صراحة باختبارات تفصيلية لكل التزام تنظيمي. لكن عندما يكون الأثر المالي المحتمل جوهرياً (وفي حالة FATCA هو كذلك دائماً تقريباً)، أعتقد أن الاعتماد على تأكيدات الإدارة وحدها يمثل خطراً مهنياً غير مقبول. لأن الإدارة نفسها قد لا تدرك حجم الفجوة بين إجراءاتها المكتوبة وتطبيقها الفعلي.

اختبار العناية الواجبة: ما وراء فحص المستندات

الاختبار التقليدي يبدأ بسحب عينة من ملفات العملاء والتأكد من وجود النماذج المطلوبة. نموذج W-9 للعملاء الأميركيين. شهادات الإقامة الضريبية لعملاء CRS. توقيعات وتواريخ كاملة. هذا ضروري لكنه غير كافٍ.

في الميدان، المشكلة الحقيقية ليست في الملفات المكتملة بل في الملفات التي تبدو مكتملة. عميل يقدم شهادة إقامة ضريبية في دولة واحدة، لكن عنوانه البريدي في دولة أخرى ورقم هاتفه في دولة ثالثة. النظام يقبل الشهادة ويغلق الملف. لا أحد يتساءل عن التناقض.

لذلك أقترح أن يتجاوز المراجع فحص المستندات إلى فحص المنطق. اختر عشر حالات فيها مؤشرات متعارضة (عنوان في دولة وإقامة ضريبية في دولة أخرى) وتتبع كيف تعاملت المؤسسة معها. هل طلبت توضيحاً من العميل؟ هل وثقت مبرر القرار؟ هذا الاختبار يكشف جودة الحكم المهني في قسم الامتثال بشكل أدق بكثير من عد المستندات.

أما بخصوص الإبلاغ، فالمراجع يتحقق من إرسال التقارير في المواعيد المحددة وبالتنسيق الصحيح. لكن الخطوة التي يغفلها كثيرون هي مطابقة البيانات المرسلة مع البيانات المصدرية في النظام. تقارير FATCA تُرسل بتنسيق XML محدد، وأخطاء التحويل من قاعدة البيانات إلى ملف XML أكثر شيوعاً مما يتوقعه معظم المراجعين.

مثال عملي: حيث تتعقد الأمور

بنك الإمارات التجاري ذ.م.م. يخدم عملاء من أكثر من 50 دولة مع محفظة استثمارية تبلغ 2.8 مليار يورو. البنك مطلوب منه الامتثال لمتطلبات FATCA و CRS.

بدأنا بمراجعة دليل السياسات. كان موجوداً ومحدثاً (آخر تحديث قبل أربعة أشهر) وموقعاً من مسؤول الامتثال. حتى هنا لا مشكلة. ثم سحبنا عينة من 50 حساباً جديداً فُتحت خلال السنة. 47 حساباً احتوت على المستندات المطلوبة كاملة. ثلاثة حسابات كانت تفتقر لبعض البيانات. النتيجة الأولية مقبولة.

لكن التعقيد الحقيقي ظهر عندما وسعنا نطاق الفحص. طلبنا تقريراً بالحسابات التي تغيرت فيها بيانات العميل خلال السنة (تغيير عنوان أو جنسية أو إقامة ضريبية). الرقم كان 312 حساباً. سحبنا عينة من 30 حساباً منها، فوجدنا أن 11 حساباً لم يُعاد تقييم تصنيفها رغم تغير ظروف العميل. أحد العملاء انتقل من دولة غير مشاركة في CRS إلى دولة مشاركة قبل ثمانية أشهر، ولم يُضف إلى قائمة الحسابات القابلة للإبلاغ.

هذا هو الفرق بين مراجعة الواجهة ومراجعة الجوهر. لو اكتفينا بعينة الحسابات الجديدة، لخرجنا بنتيجة إيجابية. توسيع النطاق ليشمل التغييرات كشف فجوة منهجية في المراجعة الدورية.

بخصوص المخصصات، قدرت إدارة البنك العقوبة المحتملة على الحسابات الثلاثة الناقصة بمبلغ 15,000 يورو وكونت مخصصاً بنفس المبلغ. لكن بعد اكتشاف مشكلة الحسابات الـ 11 التي لم يُعد تصنيفها، طلبنا من الإدارة إعادة تقييم التعرض. الرقم المعدل بلغ 85,000 يورو. الفرق ليس هامشياً.

ما يكشفه هذا النمط عن منهج المراجعة

القصة أعلاه ليست استثناءً. هي نمط متكرر أراه لأن مراجعة FATCA و CRS تعاني من انحياز هيكلي: التركيز على نقطة الدخول (فتح الحساب) وإهمال دورة الحياة (تغيرات ظروف العميل بعد الفتح). السبب واضح. اختبار إجراءات فتح الحسابات سهل ومنظم. اختبار المراجعة الدورية يتطلب بناء عينة مختلفة ومنطق اختبار مختلف ووقتاً أكبر.

الدرس الأعمق هنا ليس عن FATCA و CRS تحديداً. هو عن كيفية تعامل المراجعين مع أي التزام تنظيمي يتضمن مكوناً مستمراً. معيار مكافحة غسل الأموال يعاني من نفس المشكلة. حماية البيانات كذلك. في كل هذه الحالات، الفحص الأولي يكون جيداً والمراقبة المستمرة تتآكل مع الوقت.

قائمة المراجعة العملية

1. احصل على نسخة من اتفاقية المؤسسة الحكومية الدولية (IGA) المطبقة في دولة العميل. اتفاقيات FATCA تختلف بين النموذج 1 والنموذج 2، وهذا يحدد مسار الإبلاغ بالكامل.

2. اطلب قائمة بجميع الحسابات المصنفة كقابلة للإبلاغ وقارنها مع قائمة الحسابات التي فيها مؤشرات أميركية أو مؤشرات إقامة في دول CRS. أي فرق بين القائمتين يستحق التحقيق.

3. لا تكتفِ بفحص الحسابات الجديدة. اسحب تقريراً بالحسابات التي تغيرت فيها بيانات العميل خلال فترة المراجعة واختبر ما إذا أُعيد تقييم تصنيفها.

4. تحقق من أن تقارير FATCA و CRS أُرسلت في مواعيدها. اطلب إيصالات التسليم من السلطات الضريبية وطابق البيانات المرسلة مع البيانات المصدرية في نظام المؤسسة.

5. قيّم مخصصات العقوبات المحتملة. إذا وجدت ثغرات في الامتثال، تأكد من أن الإدارة قدرت التعرض المالي وأفصحت عن الالتزامات الطارئة وفقاً لمعيار المحاسبة الدولي 37 (IAS 37).

6. وثق ليس فقط ما اختبرته، بل لماذا اخترت هذا النطاق. الجهات الرقابية عند فحص ملف المراجعة تبحث عن الحكم المهني وراء قرارات أخذ العينات.

الأخطاء الشائعة

التقليل من الوقت المطلوب هو الخطأ الأول والأكثر تكلفة. FATCA و CRS ليسا بند امتثال عادي يمكن تغطيته في جلسة واحدة. فهم الاتفاقية الحكومية الدولية المطبقة وتصنيفات الكيانات ومتطلبات الإبلاغ المحددة يحتاج استثماراً حقيقياً في الوقت.

الخطأ الثاني هو فحص الحسابات الجديدة وإهمال القائمة. سبق وأوضحت لماذا هذا خطير. المراجعة الدورية هي حيث تتآكل جودة الامتثال بصمت.

الخطأ الثالث أدق. بعض المراجعين يقبلون تقييم الإدارة للعقوبات المحتملة دون تحديه، لأنهم لا يملكون المعرفة التقنية لتقدير بديل مستقل. هذا مفهوم لكنه لا يعفي المراجع من المسؤولية. الحد الأدنى هو طلب مستند يوضح أساس التقدير ومقارنته مع حالات عقوبات فعلية منشورة.

المحتوى ذو الصلة

- حسابات القطاع المصرفي - تعريف لحسابات القطاع المصرفي والمتطلبات الرقابية المطبقة عليها في سياق المراجعة.

- نموذج تقييم مخاطر الامتثال - أداة تقييم لمساعدة المراجعين في تحديد مخاطر عدم الامتثال للمتطلبات التنظيمية.

- دليل معيار المراجعة 250 - متطلبات ISA 250 حول مسؤوليات المراجع فيما يتعلق بالنظر في القوانين والأنظمة.

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.