المحتويات

المحتويات

فهم المؤسسات الخدمية ومعيار المراجعة 402

تعريف المؤسسة الخدمية


تُعرّف الفقرة 402.6 المؤسسة الخدمية كمؤسسة تقدم خدمات للمؤسسات المستخدمة التي تعتبر جزءاً من نظم المعلومات لهذه المؤسسات المتعلقة بالتقرير المالي. هذا التعريف محدد - ليس كل مقدم خدمة خارجي هو "مؤسسة خدمية" بمعنى معيار المراجعة 402.
الاختبار الأساسي: هل تتعامل المؤسسة الخدمية مع أو تعالج أو تخزن البيانات المالية للعميل؟ إذا كانت الإجابة بنعم، فهي تندرج تحت نطاق المعيار. إذا كانت الخدمة مجرد دعم فني أو استشاري دون التعامل المباشر مع البيانات المالية، فقد لا تكون ذات صلة بالمراجعة.

متطلبات المراجع بموجب المعيار 402.8


يحدد معيار المراجعة 402.8 ثلاث خطوات إلزامية:
هذا الهيكل ثلاثي الخطوات ليس مجرد توجيه - إنه متطلب إلزامي. كل خطوة تحتاج إلى توثيق منفصل في أوراق العمل.

  • التحديد: معرفة طبيعة الخدمات المقدمة وأهميتها للمؤسسة المستخدمة وصلتها بالبيانات المالية
  • التقييم: تحديد ما إذا كانت هذه الخدمات جزءاً من نظام المعلومات المتعلق بالتقرير المالي
  • الاستجابة: إذا كانت الخدمات ذات صلة، تحديد المخاطر المرتبطة وتصميم إجراءات مراجعة مناسبة
  • التوثيق: تسجيل القرارات في ورقة عمل تتضمن طبيعة الخدمات، مستوى التأثير على البيانات المالية، والمصادر التي اعتُمد عليها وفقاً لمعيار المراجعة 402.9

تحديد المؤسسات الخدمية ذات الصلة

الخدمات التي تدخل عادة في النطاق


بناءً على الفقرة A1-A3 من المعيار 402، تتضمن المؤسسات الخدمية ذات الصلة عادة:

الخدمات التي تقع خارج النطاق


ليس كل مقدم خدمة خارجي مؤسسة خدمية وفقاً للمعيار 402. تشمل الخدمات التي عادة لا تدخل في النطاق:

اختبار الأهمية النسبية


حتى لو كانت المؤسسة الخدمية تتعامل مع البيانات المالية، قد لا تحتاج إلى تقييم مفصل إذا كان تأثيرها غير جوهري. تطبق الفقرة 402.9 اختبار الأهمية النسبية. إذا كانت المعاملات المعالجة من قبل المؤسسة الخدمية أقل من حد الأهمية النسبية للتنفيذ، يمكن معاملتها كخطر منخفض.

  • معالجة كشوف الرواتب: حساب الأجور والضرائب والخصومات
  • خدمات الاستضافة والحوسبة السحابية: حفظ ومعالجة البيانات المالية
  • معالجة المعاملات: بطاقات الائتمان، التحويلات البنكية، المدفوعات الرقمية
  • خدمات إدارة الأصول: الاستثمارات، صناديق التقاعد، إدارة المحافظ
  • المسجلات والحفظة: البنوك الاستثمارية التي تحتفظ بالأوراق المالية
  • الخدمات الاستشارية البحتة (بدون الوصول إلى البيانات المالية)
  • الصيانة التقنية للمعدات
  • الخدمات القانونية والضريبية الاستشارية
  • التدريب والتطوير

أنواع تقارير المؤسسات الخدمية

تقارير النوع الأول (Type I)


تقارير النوع الأول تصف نظام المؤسسة الخدمية وضوابطها في تاريخ محدد. تتضمن:
القيود: لا تتضمن اختبار الفعالية التشغيلية للضوابط. لا تغطي فترة زمنية، فقط نقطة زمنية واحدة.
الاستخدام في المراجعة: يمكن استخدامها لفهم النظام وتحديد المخاطر، لكن لا تقدم أدلة حول فعالية الضوابط طوال الفترة.

تقارير النوع الثاني (Type II)


تقارير النوع الثاني تشمل كل ما في تقارير النوع الأول بالإضافة إلى:
فوائد للمراجعين: توفر أدلة مراجعة يمكن الاعتماد عليها حول فعالية الضوابط، مما قد يقلل من الاختبارات الجوهرية المطلوبة.
متطلبات التوثيق: عند الاعتماد على تقرير النوع الثاني، يجب توثيق كيفية ربط كل ضابط بتأكيدات البيانات المالية المحددة.

تقييم التقارير وتقدير الاعتماد عليها


الفقرة 402.16 تتطلب تقييم ما إذا كان تقرير المؤسسة الخدمية يقدم أدلة كافية ومناسبة. العوامل التي يجب النظر فيها:

  • وصف خدمات المؤسسة الخدمية
  • تحديد الضوابط ذات الصلة بالتقرير المالي للمؤسسات المستخدمة
  • رأي مراجع المؤسسة الخدمية حول تصميم الضوابط وتنفيذها
  • اختبار الفعالية التشغيلية للضوابط طوال فترة محددة (عادة 12 شهراً)
  • تفاصيل الاختبارات التي تم تنفيذها
  • نتائج الاختبارات بما في ذلك أي استثناءات
  • التوقيت: هل يغطي التقرير الفترة ذات الصلة لمراجعتك؟
  • النطاق: هل يشمل جميع الخدمات والضوابط ذات الصلة؟
  • الاستثناءات: ما هي الاستثناءات المحددة وكيف تؤثر على تأكيدات البيانات المالية؟
  • الإجراءات التكميلية: ما الإجراءات الإضافية المطلوبة لمعالجة الفجوات أو الاستثناءات؟

مثال عملي: شركة الأندلس للتجارة ذ.م.م.

> السيناريو:

شركة الأندلس للتجارة ذ.م.م. شركة توزيع في الإمارات العربية المتحدة بإيرادات 85 مليون درهم. تستخدم الشركة مؤسسة خدمية لمعالجة كشوف الرواتب (4,200 موظف، إجمالي التكلفة السنوية 28 مليون درهم) ومؤسسة أخرى لمعالجة مدفوعات بطاقات الائتمان (35% من المبيعات). حصلت على تقرير SOC 1 Type II لمزود خدمة الرواتب وتقرير SOC 1 Type I لمعالج المدفوعات.

الخطوة 1: تحديد المؤسسات الخدمية ذات الصلة


وثّق في ورقة العمل: تحليل المؤسسات الخدمية
مؤسسة خدمة الرواتب:
مؤسسة معالجة المدفوعات:

الخطوة 2: تقييم المخاطر


وثّق في ورقة العمل: تقييم مخاطر المؤسسات الخدمية
مخاطر مؤسسة خدمة الرواتب:
مخاطر مؤسسة معالجة المدفوعات:

الخطوة 3: تصميم إجراءات المراجعة


وثّق في ورقة العمل: استراتيجية المراجعة للمؤسسات الخدمية
بناءً على تقرير SOC 1 Type II لمؤسسة الرواتب:
بناءً على تقرير SOC 1 Type I لمعالج المدفوعات:

النتيجة والتوثيق


وثّق في ملخص النتائج
تقييم تقارير المؤسسات الخدمية أدى إلى:

  • طبيعة الخدمة: معالجة كاملة لكشوف الرواتب شاملة الضرائب والتأمينات
  • الصلة بالبيانات المالية: تؤثر مباشرة على مصروفات الرواتب (28 مليون درهم، 33% من إجمالي المصروفات)
  • التقييم: مؤسسة خدمية ذات صلة بموجب معيار المراجعة 402.8
  • طبيعة الخدمة: تحويل مدفوعات بطاقات الائتمان إلى حسابات الشركة
  • الصلة بالبيانات المالية: تؤثر على الإيرادات (30 مليون درهم، 35% من المبيعات)
  • التقييم: مؤسسة خدمية ذات صلة بموجب معيار المراجعة 402.8
  • دقة حسابات الرواتب: خطر متوسط (تأثير على مصروفات الرواتب والالتزامات)
  • اكتمال المعالجة: خطر منخفض (رقابة قوية من الشركة على إرسال البيانات)
  • توقيت القيد: خطر منخفض (قطع واضح في نهاية الشهر)
  • اكتمال تحويل المدفوعات: خطر متوسط (تأثير على الإيرادات والنقدية)
  • دقة مبالغ التحويل: خطر منخفض (مراجعة يومية من الشركة)
  • توقيت الإثبات: خطر متوسط (تأخير في التحويلات قد يؤثر على القطع)
  • مراجعة الضوابط المحددة في التقرير وربطها بتأكيدات الدقة والاكتمال
  • تحليل الاستثناءات: التقرير أظهر 3 استثناءات في ضوابط مراجعة البيانات
  • إجراءات تكميلية: اختبار جوهري إضافي لعينة من كشوف الرواتب في الشهور المتأثرة
  • لا يمكن الاعتماد على فعالية الضوابط التشغيلية (عدم وجود اختبار فعالية)
  • إجراءات جوهرية: مطابقة تفصيلية لمدفوعات بطاقات الائتمان مع كشوف البنك
  • مراجعة التقطيع: التأكد من تسجيل جميع المدفوعات في الفترة الصحيحة
  • تعديل طبيعة ونطاق اختبارات مصروفات الرواتب (زيادة حجم العينة 25% بسبب استثناءات التقرير)
  • الاحتفاظ بالاختبارات الجوهرية الكاملة لإيرادات بطاقات الائتمان
  • عدم تحديد مخاطر إضافية تتطلب تعديل رأي المراجع

قائمة مراجعة عملية

  • تحديد جميع المؤسسات الخدمية الخارجية وتصنيفها حسب معيار المراجعة 402.8
  • احصل على قائمة كاملة من الإدارة بجميع مقدمي الخدمات الخارجيين
  • طبق اختبار "التعامل مع البيانات المالية" لكل مؤسسة
  • وثّق القرار لكل مؤسسة مع التبرير
  • احصل على تقارير المؤسسات الخدمية ذات الصلة وقيّم مدى ملاءمتها
  • تأكد أن فترة التقرير تغطي السنة المالية قيد المراجعة
  • راجع نطاق الخدمات المشمولة في التقرير مقابل الخدمات الفعلية
  • حدد نوع التقرير (Type I أو Type II) ومدى ملاءمته لاستراتيجية المراجعة
  • حلل الاستثناءات في التقارير وحدد الإجراءات التكميلية المطلوبة
  • اقرأ تفاصيل كل استثناء وقيّم تأثيره على تأكيدات البيانات المالية المحددة
  • صمم اختبارات إضافية للمعاملات أو الأرصدة المتأثرة
  • وثّق كيف تعالج الإجراءات التكميلية المخاطر الناتجة عن الاستثناءات
  • اربط ضوابط المؤسسة الخدمية بتأكيدات البيانات المالية المحددة
  • لكل ضابط مهم، حدد التأكيدات التي يدعمها (الوجود، الاكتمال، الدقة، إلخ)
  • وثّق مدى اعتمادك على كل ضابط في استراتيجية المراجعة العامة
  • وثّق تأثير تقييم المؤسسات الخدمية على طبيعة وتوقيت ونطاق إجراءات المراجعة
  • عدّل خطة المراجعة لتعكس الاعتماد على ضوابط المؤسسات الخدمية
  • اضبط حجم العينات الجوهرية بناءً على مستوى الاعتماد على الضوابط
  • الأهم: لا تعامل أي تقرير مؤسسة خدمية كضمان مطلق للدقة - كل تقرير يحتاج تقييم نقدي للاستثناءات والقيود

الأخطاء الشائعة

  • اعتبار جميع مقدمي الخدمات الخارجيين مؤسسات خدمية: التطبيق الخاطئ لمعيار المراجعة 402 على خدمات لا تتعامل مع البيانات المالية. التعريف في الفقرة 6 محدد ويشترط التعامل المباشر مع نظم المعلومات المالية.
  • الاعتماد على تقارير Type I لتقليل الاختبارات الجوهرية: تقارير Type I لا تقدم أدلة حول الفعالية التشغيلية للضوابط. لا يمكن استخدامها لتقليل الاختبارات الجوهرية بموجب معيار المراجعة 330.
  • تجاهل الاستثناءات المذكورة في التقارير: كل استثناء يتطلب تقييم منفصل لتأثيره على تأكيدات البيانات المالية وتصميم إجراءات تكميلية مناسبة حسب الفقرة 402.17.
  • الفشل في تقييم الضوابط التكميلية للمستخدم (CUEC): الفقرة 402.أ29 تتطلب التحقق من تطبيق المنشأة المستخدمة للضوابط التكميلية المُحددة في تقرير المؤسسة الخدمية. مثال: في مراجعة شركة استثمارية تستخدم مزود حفظ خارجي، تقرير ISAE 3402 يحدد ضرورة مطابقة شهرية للأرصدة من قبل العميل، لكن العميل لم يكن يجريها، مما يبطل فعالية الضوابط الموثقة.

محتوى ذو صلة

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.