جدول المحتويات

جدول المحتويات

ما يغطيه ISAE ٣٠٠٠ وأين ينطبق

يحكم ISAE ٣٠٠٠ أي عملية تأكيد لا تخضع لمعيار محدد آخر. الفقرة ٣٠٠٠.٥ تحدد المتطلبات الأساسية: عملية تأكيد تهدف لتعزيز درجة الثقة للمستخدمين المقصودين في نتيجة تقييم أو قياس موضوع العملية مقابل معايير محددة.

نطاق التطبيق


تنطبق ISAE ٣٠٠٠ على ثلاث مجموعات رئيسية:
تقارير الاستدامة والبيانات البيئية: تقارير انبعاثات الكربون، بيانات استهلاك الطاقة، تقارير المسؤولية الاجتماعية، مؤشرات التنوع والشمولية. الفقرة ٣٠٠٠.A١٢ تؤكد أن هذه البيانات تتطلب معايير مناسبة وإجراءات مخصصة.
الضوابط الداخلية والعمليات: تأكيد على فعّالية نظم الرقابة الداخلية خارج إطار الإبلاغ المالي، تقييم ضوابط أمن المعلومات، مراجعة إجراءات الجودة التشغيلية.
البيانات المالية التكميلية: المعلومات القطاعية المفصلة، التقارير التنظيمية الخاصة، البيانات المالية الإضافية التي تتطلب تأكيداً منفصلاً عن مراجعة البيانات المالية الرئيسية.

ما لا يغطيه المعيار


ISAE ٣٠٠٠ لا ينطبق على المراجعات والفحوص المالية (محكومة بـ ISA وISRE على التوالي)، أو أعمال ISAE ٣٤٠٢ للضوابط في منظمات الخدمة، أو ISAE ٣٤١٠ لبيانات الغازات الدفيئة. إذا وجد معيار محدد، فهو يأخذ الأولوية.

التأكيد المعقول مقابل التأكيد المحدود

الفقرة ٣٠٠٠.١١ تميز بين نوعي التأكيد. القرار يؤثر على طبيعة الإجراءات ونموذج التقرير ومستوى التأكيد المقدم.

التأكيد المعقول


يهدف لتخفيض مخاطر العملية لمستوى منخفض مقبول. تتطلب الفقرة ٣٠٠٠.٤٥ أدلة كافية ومناسبة من خلال إجراءات شاملة. الاستنتاج يُعبر عنه بشكل إيجابي: "في رأينا، تقرير الاستدامة يتوافق من جميع النواحي الجوهرية مع المعايير المناسبة."
الإجراءات النمطية تشمل:

التأكيد المحدود


يهدف لتخفيض مخاطر العملية لمستوى مقبول ولكن أعلى من التأكيد المعقول. الفقرة ٣٠٠٠.٤٦ تطلب أدلة كافية ومناسبة ولكن بإجراءات محدودة مقارنة بالتأكيد المعقول. الاستنتاج يُعبر عنه بشكل سلبي: "بناءً على الإجراءات المنجزة، لم يرد إلى علمنا أي شيء يجعلنا نعتقد أن تقرير الاستدامة غير متوافق مع المعايير المناسبة."
الإجراءات النمطية تشمل:

اتخاذ القرار


العوامل الحاسمة تشمل توقعات المستخدمين، طبيعة موضوع العملية، توفر الأدلة، وقيود الوقت والموارد. عملية CSRD الأولى غالباً تتطلب تأكيداً محدوداً فقط. تقارير الاستدامة الناضجة مع أنظمة ضوابط راسخة تدعم التأكيد المعقول.

  • اختبار التفاصيل للبيانات الأساسية
  • إعادة احتساب المؤشرات الرئيسية
  • تأكيد من أطراف خارجية
  • ملاحظة العمليات والإجراءات
  • فحص الوثائق المؤيدة
  • استفسارات من الإدارة والموظفين المسؤولين
  • إجراءات تحليلية محدودة
  • فحص محدود للوثائق
  • ملاحظة محدودة للعمليات

خطوات تخطيط العملية

قبول العملية وتحديد المعايير


الفقرة ٣٠٠٠.٢٤ تتطلب تحديد المعايير المناسبة قبل قبول العملية. المعايير يجب أن تكون متوفرة للمستخدمين المقصودين ومفهومة وكاملة وذات صلة وموثوقة.
للاستدامة: GRI Standards، SASB Standards، معايير TCFD، معايير ESRS تحت CSRD. للعمليات الداخلية: COSO Framework، ISO standards، إرشادات تنظيمية قطاعية.

فهم الموضوع والظروف المحيطة


تطبق الفقرة ٣٠٠٠.٣٧ متطلبات مماثلة لـ ISA ٣١٥. فهم الكيان والبيئة التي يعمل فيها، النظم والعمليات ذات الصلة، الضوابط الداخلية، عوامل المخاطر المحتملة.
للاستدامة، هذا يشمل سلسلة التوريد، عمليات جمع البيانات، حدود التقرير، منهجيات القياس والتقدير. للعمليات، هذا يشمل تدفق العمل، نقاط الرقابة، الاستثناءات والإجراءات التصحيحية.

تقييم المخاطر


الفقرة ٣٠٠٠.٤١ تتطلب تحديد وتقييم مخاطر عدم التوافق الجوهري. بدون بيانات مالية أو ضوابط مراجعة معتادة، هذا يعتمد على الحكم المهني والفهم القطاعي.
المخاطر النمطية تشمل:

  • عدم اكتمال البيانات الأساسية
  • أخطاء في منهجيات القياس
  • توقيتات قطع غير مناسبة
  • تصنيف خاطئ للمعلومات
  • حسابات أو تقديرات غير دقيقة
  • عدم الإفصاح عن معلومات جوهرية

إجراءات التأكيد وجمع الأدلة

تصميم الإجراءات


الفقرة ٣٠٠٠.٤٣ تتطلب أن تكون الإجراءات مناسبة لظروف العملية والمخاطر المحددة. لا يوجد إجراءات معيارية. كل عملية تتطلب تصميماً مخصصاً.
للبيانات الكمية: إعادة احتساب، مطابقة مع السجلات الأساسية، تأكيد من مصادر خارجية، اختبار توقيتات القطع، مراجعة الافتراضات والتقديرات.
للمعلومات النوعية: فحص السياسات والإجراءات، مقابلات مع الموظفين المسؤولين، ملاحظة العمليات، مراجعة المراسلات والاتصالات.
للضوابط الداخلية: اختبار التصميم والفعّالية التشغيلية، فحص الوثائق المؤيدة، إعادة أداء الضوابط الآلية، مراجعة تقارير الاستثناءات.

جمع الأدلة وتوثيقها


الفقرة ٣٠٠٠.٥٠ تطلب توثيقاً كافياً لدعم الاستنتاج. أوراق العمل يجب أن تظهر طبيعة وتوقيت ومدى الإجراءات، النتائج، المواضيع الجوهرية، الاستنتاجات المتوصل إليها.
التوثيق النمطي يشمل:

  • تفهم للموضوع والمعايير
  • تقييم المخاطر وبرنامج التأكيد
  • نتائج الإجراءات المنجزة
  • تقييم عدم التوافق المحدد
  • مسودة التقرير ومراجعات الجودة

مثال عملي مُفصّل

شركة ميديتيراني للإنشاءات S.A. - تقرير الاستدامة


معلومات الشركة:
ميديتيراني للإنشاءات S.A. شركة هندسة مدنية مقرها برشلونة بإسبانيا. الإيرادات السنوية ٤٢ مليون يورو، ٢٨٠ موظف، تعمل في إسبانيا وفرنسا. العميل طلب تأكيداً محدوداً على تقرير الاستدامة الأول تحت معايير GRI.
١. تقييم قبول العملية:
موضوع العملية: بيانات الاستدامة المُبلغ عنها في التقرير السنوي للشركة. المعايير المناسبة: GRI Standards ٢٠٢١. توثيق: التحقق من توفر معايير GRI للمستخدمين وملاءمتها لقطاع الإنشاءات.
٢. فهم الموضوع والمخاطر:
البيانات الأساسية تأتي من أربعة مصادر: قسم الموارد البشرية (بيانات العمالة)، قسم الصحة والسلامة (الحوادث)، قسم المشتريات (البيانات البيئية)، الإدارة المالية (الاستثمار الاجتماعي). لا يوجد نظام مركزي لجمع بيانات الاستدامة. توثيق: مخطط تدفق البيانات من المصدر للتقرير النهائي.
٣. تحديد المخاطر الجوهرية:
خطر عدم اكتمال بيانات الحوادث من المواقع الفرعية، خطر تصنيف خاطئ لاستهلاك الطاقة المباشر/غير المباشر، خطر عدم دقة حسابات انبعاثات الكربون. توثيق: مصفوفة المخاطر مع تقييم الاحتمال والتأثير.
٤. إجراءات التأكيد المحدود:
٥. النتائج والاستنتاج:
تم تحديد عدم توافق واحد: حادث إصابة في الموقع لم يُدرج في إحصائيات التقرير. عدم التوافقات الأخرى كانت غير جوهرية. الإدارة قامت بتصحيح البيان. توثيق: مراسلة التصحيح من الإدارة ومراجعة التقرير المُحدّث.
استنتاج التأكيد المحدود: "بناءً على إجراءاتنا، لم يرد إلى علمنا أي شيء يجعلنا نعتقد أن تقرير الاستدامة لميديتيراني للإنشاءات S.A. للسنة المنتهية في ٣١ ديسمبر ٢٠٢٤ غير معد، من جميع النواحي الجوهرية، وفقاً لمعايير GRI ٢٠٢١."

  • بيانات العمالة (GRI ٤٠٥): استفسار من مدير الموارد البشرية، مطابقة أعداد العاملين مع كشوف الراتب لشهر ديسمبر، فحص محدود لسجلات التدريب. توثيق: جدول مطابقة الأرقام المُبلغ عنها مع كشوف الراتب.
  • بيانات الحوادث (GRI ٤٠٣): استفسار من مسؤول السلامة، فحص تقارير الحوادث الجوهرية، مطابقة مع تقارير OSHA. تحديد حادث واحد لم يُبلغ عنه في التقرير. توثيق: قائمة الحوادث المُراجعة مع تحديد عدم التوافق.
  • انبعاثات الكربون (GRI ٣٠٥): إعادة احتساب محدود لعينة من فواتير الكهرباء، مراجعة عوامل التحويل المستخدمة، استفسار عن مصادر البيانات غير المدرجة. توثيق: ورقة عمل إعادة الاحتساب مع النتائج.

قائمة مراجعة عملية

استخدم هذه القائمة على العمليات الفعلية:
١. قبل البداية: تأكد من توفر معايير مناسبة للمستخدمين المقصودين ومن ملاءمتها لموضوع العملية حسب ISAE ٣٠٠٠.٢٤
٢. التخطيط: حدد ما إذا كانت العملية تأكيد معقول أم محدود، وثق القرار مع المبررات، أعد خطاب العملية الذي يحدد المسؤوليات بوضوح
٣. تقييم المخاطر: حدد مصادر المعلومات، قيم الضوابط الداخلية ذات الصلة، ركز على المجالات عالية المخاطر أولاً
٤. الإجراءات: صمم إجراءات محددة لكل خطر مُحدد، وثق النتائج بالتفصيل الكافي، تأكد من كفاية الأدلة لدعم الاستنتاج
٥. التقرير: استخدم نموذج التقرير الصحيح من ISAE ٣٠٠٠.٥٤، اذكر المعايير المستخدمة بوضوح، أدرج أي قيود أو استثناءات جوهرية
٦. المراجعة الأخيرة: تأكد من أن الاستنتاج مدعوم بالأدلة المجمعة ومناسب لمستوى التأكيد المطلوب

الأخطاء الشائعة

  • عدم تحديد المعايير بوضوح: العديد من العمليات تفشل لأن المعايير غامضة أو غير متاحة للمستخدمين. يتطلب ISAE ٣٠٠٠.٢٤ معايير واضحة ومحددة قبل البدء.
  • عدم التمييز بين مستويي التأكيد: استخدام إجراءات تأكيد محدود مع استنتاج تأكيد معقول، أو العكس. الفقرة ٣٠٠٠.٤٥-٤٦ تحدد متطلبات مختلفة لكل مستوى.
  • توثيق غير كافٍ للإجراءات: عدم توثيق طبيعة ونتائج الإجراءات بالتفصيل الكافي لدعم الاستنتاج. الفقرة ٣٠٠٠.٥٠ تتطلب توثيقاً شاملاً لجميع الجوانب الجوهرية.

محتوى ذي صلة

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.