جدول المحتويات

- مفهوم مؤسسات الخدمة في بيئة المراجعة - النوع الأول مقابل النوع الثاني - متطلبات معيار ISAE 3402 - مثال عملي - قائمة مراجعة عملية - أخطاء شائعة - محتوى ذو صلة

مفهوم مؤسسات الخدمة في بيئة المراجعة

ما يحدث في الميدان أولاً: شركة تستعين بطرف ثالث (مزود رواتب، مركز بيانات، خدمة محاسبة خارجية، مزود حلول سحابية) لمعالجة بيانات تؤثر مباشرة على بياناتها المالية. ثم يأتي مراجع تلك الشركة المستخدمة طالباً أدلة على ضوابط الطرف الثالث. هنا يتدخل ISAE 3402.

تحدد الفقرة ISAE 3402.12 أن مؤسسة الخدمة هي الطرف الثالث الذي يقدم خدمات تكون جزءاً من أنظمة المعلومات الخاصة بالشركات المستخدمة المتعلقة بالتقرير المالي. الفقرة A1 تضيف قيداً مهماً: الخدمات ذات الصلة هي تلك التي تؤثر على المعلومات المالية، وليس بالضرورة كل الخدمات التي تقدمها مؤسسة الخدمة.

من واقع خبرتنا، هذا التحديد هو نقطة الانهيار الأولى. مزود الحلول السحابية يقدم استضافة عامة، معالجة رواتب، نسخاً احتياطياً، وأدوات تحليل. ثلاث خدمات منها قد لا تمس البيانات المالية إطلاقاً. الفريق الذي يدرج كل شيء في النطاق يضاعف حجم الاختبار بلا فائدة لمراجع المستخدم.

النوع الأول مقابل النوع الثاني

السؤال الحقيقي ليس "ما الفرق التقني بينهما؟" بل "من سيستخدم هذا التقرير ولماذا؟"

تقارير النوع الأول

تطبق الفقرتين ISAE 3402.37 و38. تقيّم تصميم الضوابط وتطبيقها في تاريخ محدد. كلمة "التطبيق" هنا لا تعني الفعالية. تعني فقط أن الضابط مُوضع في العمليات في ذلك اليوم.

في الميدان، النوع الأول مفيد لشركة في أول سنة من إخراج وظيفة معينة، أو لمزود حديث لم يكمل ستة أشهر من التشغيل. لكن لمراجع شركة مستخدمة يبني عليه استنتاج جوهري عن السنة المالية الكاملة، النوع الأول لا يقدم ما يحتاجه. إنه إجراء صوري في حق ذلك المراجع، حتى وإن كان متوافقاً مع المعيار.

تقارير النوع الثاني

تطبق الفقرات ISAE 3402.39 إلى 42. تشمل كل ما يشمله النوع الأول، ثم تختبر فعالية التشغيل خلال فترة لا تقل عن ستة أشهر.

الفقرة 39 لا تكتفي بأن الضابط موجود. تطلب أدلة على أنه عمل باستمرار طوال الفترة. هذا يعني عينات على فترات مختلفة، أو اختباراً مستمراً، لا فحصاً في تاريخ واحد. الفرق ليس كمياً فقط. هو تحول في طبيعة التأكيد.

اختيار النوع المناسب

العامل الحاسم هو احتياج مراجعي الشركات المستخدمة. إذا كانوا بحاجة لأدلة حول فعالية الضوابط خلال السنة المالية للشركة المستخدمة (وهذه الحالة الأغلب)، فالنوع الثاني مطلوب. إذا كانوا يحتاجون فقط لفهم تصميم الضوابط في نقطة زمنية محددة، فالنوع الأول يكفي.

هنا يبدأ الخلاف المشروع بين الممارسين. الشريك (أ) سيطلب النوع الثاني افتراضياً لأن مراجع المستخدم في 90% من الحالات يحتاج تغطية فترة. الشريك (ب) سيقبل النوع الأول إذا قدم العميل تأكيداً مكتوباً بأن مراجعي مستخدميه سيكتفون به، ويرى أن إلزام النوع الثاني دون مبرر يُضخّم الأتعاب. كلا الموقفين مسنود بحجة معقولة. الفرق هو أين تضع عبء الإثبات.

متطلبات معيار ISAE 3402

التخطيط ونطاق العمل

تتطلب الفقرة ISAE 3402.21 تحديد الخدمات التي تؤثر على التقرير المالي للشركات المستخدمة. الفقرة 23 تربط ذلك بالمخاطر والضوابط التي تتناولها.

ما يحدث عملياً مختلف. كثير من مزودي الخدمة يدرجون كل ضوابطهم في النطاق ليبدو التقرير "شاملاً" تجارياً. النتيجة: نطاق منتفخ، اختبار يُهدر، وضوابط تُختبر لا علاقة لها بالبيانات المالية. ملاحظات الفحص المتكررة من SOCPA تشير إلى هذا تحديداً: نطاق غير مبرر، توثيق ضعيف لربط الضابط بالخطر.

فهم نظام مؤسسة الخدمة

تتطلب الفقرة ISAE 3402.28 الحصول على فهم لنظام مؤسسة الخدمة، شاملاً العمليات والإجراءات، سجلات الضوابط ونظم المعلومات، البيئة الرقابية، وعملية إدارة المخاطر.

في الواقع، هذا الفهم نادراً ما يُوثّق بشكل يصمد أمام مراجع متمرس. مخططات تدفق منسوخة من السنة الماضية. وصف عام للبيئة الرقابية بلا ربط بضوابط محددة. الملف يجب أن يحكي قصة عن كيف تعمل الخدمة فعلاً، لا أن يجمع وثائق لإثبات أن الفريق قرأ شيئاً.

تقييم تصميم الضوابط

تحدد الفقرة ISAE 3402.35 معايير تقييم التصميم. الضابط مصمم بشكل مناسب إذا كان سيحقق هدف الضبط المحدد متى ما تم تشغيله كما هو مصمم.

ليس كافياً أن يكون الضابط موجوداً. يجب أن يكون قادراً على منع أو اكتشاف الأخطاء أو التلاعب ذات الأهمية النسبية في المجال المحدد. وهنا تكمن مشكلة بنيوية: مزودو الخدمة يصممون ضوابطهم لتلبية متطلبات تشغيلية، لا لمعالجة مخاطر التقرير المالي للعميل. الفجوة بين الهدفين هي حيث تنشأ الملاحظات.

اختبار فعالية التشغيل (النوع الثاني فقط)

تتطلب الفقرة ISAE 3402.40 أدلة كافية ومناسبة حول فعالية التشغيل. الفعالية تعني أن الضابط طُبق باستمرار كما صُمم طوال الفترة المحددة.

الفقرة 41 تشترط فترة لا تقل عن ستة أشهر. إذا غيّر مزود الخدمة ضوابطه خلال الفترة، يلزم تقييم منفصل لكل مجموعة ضوابط. هذه نقطة تُغفل بانتظام: الفريق يكتشف في الشهر الخامس أن النظام تغيّر في الشهر الثالث، فيقع بين خيارين سيئين (إعادة الاختبار أو تجزئة الفترة).

مثال عملي

شركة المعالجة الرقمية للحلول ش.م.ع. - مقدم خدمات سحابية في دبي - يخدم 450 شركة في منطقة الشرق الأوسط - الإيرادات: 85 مليون درهم إماراتي سنوياً - الخدمات: استضافة أنظمة ERP، معالجة الرواتب، النسخ الاحتياطي

السيناريو: عميل جديد يطلب تقرير ISAE 3402 لأول مرة. خدمات معالجة الرواتب تؤثر على بيانات 180 شركة عميلة.

الخطوة 1: تحديد النطاق التوثيق: قائمة الخدمات المؤثرة على التقرير المالي وتحديد الضوابط ذات الصلة

تحديد الخدمات: معالجة الرواتب (تؤثر على مصروفات الرواتب والالتزامات المستحقة). استبعاد خدمات الاستضافة العامة (لا تؤثر مباشرة على البيانات المالية).

الخطوة 2: فهم النظام التوثيق: مخطط تدفق العمليات، وصف الضوابط الرئيسية، تقييم البيئة الرقابية

نظام معالجة الرواتب يشمل: إدخال بيانات الموظفين، حساب الراتب، إعداد كشوف الرواتب، التحويل المصرفي. ضوابط رئيسية: التحقق من صحة البيانات، اعتماد كشوف الرواتب، فصل المهام.

الخطوة 3: تقييم التصميم التوثيق: لكل ضابط، تحديد هدف الضبط وتقييم قدرته على تحقيق الهدف

ضابط التحقق من صحة البيانات: يكتشف أخطاء الإدخال قبل المعالجة. التصميم مناسب لمنع مدفوعات خاطئة. ضابط فصل المهام: يمنع شخصاً واحداً من إدخال واعتماد كشوف الرواتب. التصميم مناسب لمنع التلاعب.

الخطوة 4: اختبار التشغيل (النوع الثاني فقط) التوثيق: برنامج اختبار لكل ضابط، نتائج الاختبار، استنتاجات حول الفعالية

ضابط التحقق: اختبار 25 معاملة شهرياً لمدة 8 أشهر. جميع المعاملات تم التحقق منها وفقاً للإجراء المحدد. ضابط فصل المهام: مراجعة أذونات النظام شهرياً. لا توجد حالات انتهاك لمبدأ الفصل.

التعقيد الذي ظهر: في الشهر السادس، أضاف العميل وحدة جديدة لاحتساب نهاية الخدمة، ومنح مدير الموارد البشرية صلاحية الإدخال والاعتماد معاً مؤقتاً لمدة عشرة أيام لاستكمال هجرة البيانات. هل هذا انتهاك لفصل المهام؟ من واقع خبرتنا، الإجابة ليست واضحة بالضرورة. يحتاج الفريق إلى توثيق: متى بدأ الاستثناء، متى انتهى، أي ضابط تعويضي طُبق (مراجعة لاحقة لكل المعاملات في تلك الفترة)، وهل المراجعة وثّقت بشكل يربط الاستثناء بقرار الاحتفاظ به ضمن نطاق الاختبار. التقرير الذي يخفي هذا الاستثناء يفقد مصداقيته أمام أول مراجع مستخدم يقرأه.

الاستنتاج: تقرير النوع الثاني: الضوابط المحددة مصممة بشكل مناسب وتعمل بفعالية خلال الفترة من 1 يناير إلى 31 أغسطس 2024، باستثناء فترة عشرة أيام مذكورة بتفصيلها في القسم 4.

قائمة مراجعة عملية

1. حدد نوع التقرير المطلوب بناءً على احتياجات مراجعي الشركات المستخدمة وتوقيت عمليات المراجعة (ISAE 3402.13)

2. ضع حدود الخدمات المشمولة باستبعاد الأنشطة التي لا تؤثر على المعلومات المالية للشركات المستخدمة (الفقرة 21)

3. احصل على فهم النظام من خلال الاستعلامات، فحص الوثائق، والمراقبة المباشرة، ووثّق الفهم بشكل يحكي قصة كيف تعمل الخدمة (الفقرة 28)

4. حدد المخاطر وطابق الضوابط لكل عملية تؤثر على التقرير المالي (الفقرة 23)

5. قيّم تصميم كل ضابط بتحديد ما إذا كان سيحقق هدف الضبط إذا تم تشغيله كما هو مصمم (الفقرة 35)

6. للنوع الثاني: اختبر فعالية التشغيل لفترة لا تقل عن ستة أشهر مع توثيق كافة الاستثناءات والضوابط التعويضية (الفقرة 40-42)

أخطاء شائعة

- خلط متطلبات النوع الأول والثاني أثناء التخطيط يؤدي إلى نقص أو إفراط في الاختبار. الضغط الهيكلي وراء هذا الخطأ هو أن مزود الخدمة يبيع الترقية إلى النوع الثاني كميزة تسويقية قبل أن يكون هناك ستة أشهر فعلية من التشغيل المستقر.

- عدم تقييم تأثير التغييرات في الضوابط خلال فترة التقرير في تقارير النوع الثاني. التغييرات تحدث (هجرات أنظمة، تعديل صلاحيات، تحديثات سياسات)، ومن لا يوثقها يجد ملاحظة مكررة في كل دورة.

- اختبار ضوابط لا تؤثر على التقرير المالي بدلاً من التركيز على الضوابط ذات الصلة. توسيع النطاق لأغراض تسويقية يحوّل الملف إلى حبر على ورق من منظور مراجع المستخدم.

محتوى ذو صلة

- مسرد: ضوابط تقنية المعلومات - تعريف وأنواع ضوابط تقنية المعلومات في بيئة مؤسسات الخدمة - أداة تقييم ISAE 3402 - أداة تفاعلية لتحديد نطاق العمل ونوع التقرير المطلوب - دليل توثيق ضوابط مؤسسة الخدمة - إرشادات مفصلة لتوثيق الضوابط وبرامج الاختبار

---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.