يحدد معيار التأكيد الدولي 3402.17 الفرق. الضوابط الرئيسية هي تلك التي تعالج مخاطر تشغيلية قد تؤثر بشكل مباشر على تأكيدات البيانات المالية للعميل المستخدم. الضوابط غير الرئيسية إما لا تعالج هذه المخاطر أو تعالج مخاطر أقل احتمالاً للتأثير على البيانات المالية.

جوهر التصنيف: رئيسية مقابل غير رئيسية

يحدد معيار التأكيد الدولي 3402.17 الفرق. الضوابط الرئيسية هي تلك التي تعالج مخاطر تشغيلية قد تؤثر بشكل مباشر على تأكيدات البيانات المالية للعميل المستخدم. الضوابط غير الرئيسية إما لا تعالج هذه المخاطر أو تعالج مخاطر أقل احتمالاً للتأثير على البيانات المالية.
التصنيف يحدد عمق الاختبار. بموجب معيار التأكيد الدولي 3402.A29، يجب أن تختبر كل ضابط رئيسي. الضوابط غير الرئيسية تخضع لاختبار أقل شمولاً، أو قد لا تخضع لاختبار إذا كانت مكملة فقط.
معظم الأخطاء تحدث في المنطقة الرمادية. ضابط له تأثير غير مباشر على تأكيدات البيانات المالية. ضابط يعالج مخاطر منخفضة الاحتمال لكن عالية التأثير. ضابط جزء من سلسلة حيث الفشل في نقطة واحدة يضر بالسلسلة بأكملها.

الأسئلة الثلاثة للتصنيف


كل ضابط يجب أن يمر بثلاثة أسئلة:
السؤال الأول: ما المخاطر التشغيلية التي يعالجها هذا الضابط؟
لا تقبل أوصافاً عامة مثل "يضمن الدقة". اذكر المخاطر الفعلية: خطأ في إدخال البيانات، وصول غير مصرح به، عدم اكتمال المعالجة، فشل في التطبيق المتسق للسياسات. كن محدداً.
السؤال الثاني: كيف تؤثر هذه المخاطر على تأكيدات البيانات المالية؟
خذ كل مخاطر من السؤال الأول. اتبعها إلى تأكيد محدد في البيانات المالية للعميل المستخدم. خطأ في إدخال البيانات يمكن أن يؤثر على الدقة والتقييم. الوصول غير المصرح به قد يضر بالوجود أو الاكتمال. بعض المخاطر لا تصل إلى البيانات المالية (الضوابط غير الرئيسية). البعض الآخر يفعل (الضوابط الرئيسية).
السؤال الثالث: ماذا يحدث إذا فشل هذا الضابط؟
هذا هو اختبار التأثير. إذا فشل الضابط، هل التأثير مباشر وملموس على البيانات المالية، أم قابل للتخفيف من خلال ضوابط أخرى؟ إذا كان التأثير مباشراً وغير قابل للتخفيف، فهو رئيسي. إذا كان غير مباشر أو قابل للتخفيف، فهو غير رئيسي.

ربط الضوابط بأهداف الخدمة

أهداف الخدمة هي الجسر بين الضوابط الإدارية وتأكيدات البيانات المالية. بدون هذا الربط، المصفوفة مجرد قائمة.
معيار التأكيد الدولي 3402.A73 يتطلب أن تكون أهداف الخدمة مرتبطة بتأكيدات البيانات المالية ذات الصلة. هذا يعني أن كل هدف خدمة يجب أن يوضح كيف يدعم تأكيد البيانات المالية: الوجود، الحدوث، الاكتمال، الدقة، القطع، التصنيف، والعرض والإفصاح.

مثال عملي: شركة الحلول المتقدمة للتقنية ش.ش.و


شركة الحلول المتقدمة للتقنية ش.ش.و. تقدم خدمات معالجة الرواتب لـ 340 عميل في جميع أنحاء دول مجلس التعاون الخليجي. إيراداتها 28 مليون يورو سنوياً، وتعالج 85,000 معاملة رواتب شهرياً.
هدف الخدمة الأول: معاملات الرواتب تُسجل بدقة في النظام بناءً على البيانات المعتمدة من العميل.
تأكيدات البيانات المالية ذات الصلة:
الضوابط الرئيسية:
توثيق: كل ضابط رئيسي موثق برقم كود فريد، مربوط بهدف خدمة محدد، ويشمل خطوات اختبار مفصلة.
الضوابط غير الرئيسية:
توثيق: الضوابط غير الرئيسية موثقة لكنها تخضع لاختبار أقل شمولاً.
الخلاصة: المصفوفة تضمنت 23 ضابطاً إجمالياً. 11 مصنفة كرئيسية، 12 كغير رئيسية. كل ضابط رئيسي خضع لاختبار شامل عبر العام بأكمله. الضوابط غير الرئيسية اختُبرت في نقاط زمنية محددة.

  • الدقة والتقييم (مصروفات الرواتب صحيحة)
  • الوجود (المعاملات المسجلة حدثت فعلاً)
  • الاكتمال (جميع المعاملات المصرح بها مسجلة)
  • مطابقة ثلاثية بين ملف العميل، جدول الراتب المعتمد، ومعاملة النظام
  • مراجعة مستقلة لجميع التغييرات على البيانات الأساسية للموظف
  • تطبيق حدود الموافقة على المعاملات الاستثنائية
  • مراجعة دورية للوصول إلى النظام
  • نسخ احتياطية يومية لبيانات الرواتب
  • تدريب ربع سنوي لموظفي معالجة الرواتب

قائمة مراجعة عملية

  • أنشئ جدولاً من خمسة أعمدة: اسم الضابط، الوصف، التصنيف (رئيسي/غير رئيسي)، أهداف الخدمة ذات الصلة، والأساس في التصنيف.
  • املأ العمود الأخير بعناية. لكل ضابط، اكتب جملة واحدة توضح سبب التصنيف كرئيسي أو غير رئيسي.
  • اختبر باستخدام "قاعدة المراجع الآخر". هل يمكن لمراجع مؤهل آخر قراءة المصفوفة والتوصل إلى نفس النتيجة؟
  • ادع كل ضابط رئيسي بعكس. إذا فشل هذا الضابط تماماً، ما التأثير على البيانات المالية للعميل المستخدم؟ إذا كانت الإجابة "لا تأثير مباشر"، أعد التصنيف.
  • احسب النسبة. إذا كان أكثر من 70% من ضوابطك رئيسية، أعد النظر في المعايير. إذا كان أقل من 30%، قد تكون صارماً جداً.
  • اربط بالمخاطر المحددة في تقييم المخاطر. كل ضابط رئيسي يجب أن يعالج مخاطراً محددة في قسم تقييم المخاطر بالملف.

الأخطاء الشائعة

تصنيف الضوابط الإدارية كرئيسية دون ربط واضح بالمخاطر التشغيلية. الضوابط الإدارية مهمة لكنها غالباً لا تؤثر مباشرة على تأكيدات البيانات المالية.
فشل في التمييز بين الضوابط الوقائية والضوابط الكاشفة في التصنيف. كلاهما يمكن أن يكون رئيسياً، لكن طبيعة الاختبار تختلف.
إغفال ضوابط المستخدم التكميلية وفقاً لمعيار 3402.A28: يتطلب المعيار وصف ضوابط المستخدم التكميلية المفترضة لتحقيق أهداف الضوابط. مثال: مزود خدمات في فرانكفورت أصدر تقرير ISAE 3402 من النوع 2 دون توثيق الضوابط التكميلية المطلوبة من العملاء، فأشار IDW إلى عدم الامتثال لمعيار 3402.A28 وألزم الشركة بإعادة إصدار التقرير مع الإفصاحات المطلوبة.
عدم اختبار فعالية الضوابط طوال فترة التقرير لتقارير النوع 2: يتطلب معيار 3402.A36 اختبار الفعالية التشغيلية للضوابط طوال الفترة، ليس فقط في نقطة زمنية. مثال: مدقق ISAE 3402 في باريس اختبر الضوابط فقط في يناير وديسمبر، فأشار CNCC إلى عدم كفاية الاختبار وفقاً لمعيار 3402.A36.

المحتوى ذو الصلة

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.