جدول المحتويات
جدول المحتويات
مفهوم مؤسسات الخدمة في بيئة المراجعة
معيار ISAE 3402 يتناول حالة محددة: عندما تستعين شركة (مؤسسة المستخدم) بطرف ثالث (مؤسسة الخدمة) لأداء وظائف تؤثر على المعلومات المالية للشركة. معيار ISAE 3402.12 يحدد أن مؤسسة الخدمة هي الطرف الثالث الذي يقدم خدمات للشركات المستخدمة تكون جزءاً من أنظمة المعلومات الخاصة بتلك الشركات المتعلقة بالتقرير المالي.
أمثلة شائعة تشمل مقدمي خدمات الرواتب، مراكز البيانات، خدمات المحاسبة الخارجية، ومقدمي الحلول السحابية. كل من هذه الخدمات يتعامل مع أو يخزن أو يعالج معلومات مالية نيابة عن العملاء.
تنص الفقرة ISAE 3402.A1 على أن الخدمات ذات الصلة هي تلك التي تؤثر على المعلومات المالية للشركة المستخدمة، وليس بالضرورة جميع الخدمات التي تقدمها مؤسسة الخدمة. هذا التحديد حاسم للنطاق والتخطيط.
النوع الأول مقابل النوع الثاني
الاختلاف الأساسي ليس في التعقيد بل في التوقيت والاختبار. كلا النوعين يقيّمان نفس الضوابط، لكن بطرق مختلفة.
تقارير النوع الأول
تطبق معيار ISAE 3402.37 و38. تقيّم التصميم وتطبيق الضوابط في تاريخ محدد. "التطبيق" تحت النوع الأول يعني أن الضابط تم وضعه في العمليات، وليس أنه يعمل بفعالية عبر الزمن.
المطلوب هو فحص الضوابط وتوثيق تصميمها وتأكيد تطبيقها في التاريخ المحدد. لا يتطلب اختبار فعالية التشغيل عبر فترة زمنية.
تقارير النوع الثاني
تطبق معيار ISAE 3402.39 إلى 42. تشمل كل ما يشمله النوع الأول، بالإضافة إلى اختبار فعالية التشغيل للضوابط عبر فترة زمنية لا تقل عن ستة أشهر.
الفقرة 39 تتطلب أدلة على أن الضوابط تعمل بفعالية طوال الفترة المحددة. هذا يتطلب اختباراً مستمراً أو عيّنات على فترات زمنية مختلفة، وليس فقط اختباراً في تاريخ واحد.
اختيار النوع المناسب
العامل الحاسم هو احتياج مراجعي الشركات المستخدمة. إذا كانوا بحاجة لأدلة حول فعالية الضوابط خلال العام المالي للشركة المستخدمة، فإن تقرير النوع الثاني مطلوب. إذا كانوا يحتاجون فقط لفهم الضوابط الموجودة في نقطة زمنية محددة، فإن النوع الأول يكفي.
متطلبات معيار ISAE 3402
التخطيط ونطاق العمل
معيار ISAE 3402.21 يتطلب تحديد الخدمات المقدمة التي تؤثر على التقرير المالي للشركات المستخدمة. ليس كل خدمة تقدمها مؤسسة الخدمة تدخل في النطاق.
الفقرة 23 تتطلب تحديد المخاطر المرتبطة بالخدمات المحددة والضوابط التي تتناول هذه المخاطر. هذا التحديد يؤثر مباشرة على نطاق الاختبار.
فهم نظام مؤسسة الخدمة
معيار ISAE 3402.28 يتطلب الحصول على فهم لنظام مؤسسة الخدمة، بما في ذلك:
هذا الفهم أساسي لتحديد ما إذا كانت الضوابط مصممة بشكل مناسب.
تقييم تصميم الضوابط
الفقرة ISAE 3402.35 تحدد معايير تقييم التصميم. الضابط مصمم بشكل مناسب إذا كان سيحقق هدف الضبط المحدد إذا ما تم تشغيله كما هو مصمم.
لا يكفي أن يكون الضابط موجوداً. يجب أن يكون قادراً على منع أو اكتشاف وتصحيح الأخطاء أو التلاعب ذات الأهمية في المجال المحدد.
اختبار فعالية التشغيل (النوع الثاني فقط)
معيار ISAE 3402.40 يتطلب أدلة كافية ومناسبة حول فعالية التشغيل. "فعالية التشغيل" تعني أن الضابط تم تطبيقه باستمرار كما هو مصمم طوال الفترة المحددة.
الفقرة 41 تتطلب أن تكون الفترة المغطاة لا تقل عن ستة أشهر. إذا كانت مؤسسة الخدمة قد غيرت ضوابطها خلال الفترة، فهذا يتطلب تقييماً منفصلاً لكل مجموعة ضوابط.
- العمليات والإجراءات
- سجلات الضوابط ونظم المعلومات
- البيئة الرقابية
- عملية إدارة المخاطر
مثال عملي
شركة ديجيتال سوليوشنز B.V. (هولندا)
السيناريو: عميل جديد يطلب تقرير ISAE 3402 لأول مرة. خدمات معالجة الرواتب تؤثر على بيانات 180 شركة عميلة.
الخطوة 1: تحديد النطاق
التوثيق: قائمة الخدمات المؤثرة على التقرير المالي وتحديد الضوابط ذات الصلة
تحديد الخدمات: معالجة الرواتب (تؤثر على مصروفات الرواتب والالتزامات المستحقة). استبعاد خدمات الاستضافة العامة (لا تؤثر مباشرة على البيانات المالية).
الخطوة 2: فهم النظام
التوثيق: مخطط تدفق العمليات، وصف الضوابط الرئيسية، تقييم البيئة الرقابية
نظام معالجة الرواتب يشمل: إدخال بيانات الموظفين، حساب الراتب، إعداد كشوف الرواتب، التحويل المصرفي. ضوابط رئيسية: التحقق من صحة البيانات، اعتماد كشوف الرواتب، فصل المهام.
الخطوة 3: تقييم التصميم
التوثيق: لكل ضابط، تحديد هدف الضبط وتقييم قدرته على تحقيق الهدف
ضابط التحقق من صحة البيانات: يكتشف أخطاء الإدخال قبل المعالجة. التصميم مناسب لمنع مدفوعات خاطئة.
ضابط فصل المهام: يمنع شخصاً واحداً من إدخال واعتماد كشوف الرواتب. التصميم مناسب لمنع التلاعب.
الخطوة 4: اختبار التشغيل (النوع الثاني فقط)
التوثيق: برنامج اختبار لكل ضابط، نتائج الاختبار، استنتاجات حول الفعالية
ضابط التحقق: اختبار 25 معاملة شهرياً لمدة 8 أشهر. جميع المعاملات تم التحقق منها وفقاً للإجراء المحدد.
ضابط فصل المهام: مراجعة أذونات النظام شهرياً. لا توجد حالات انتهاك لمبدأ الفصل.
الاستنتاج:
تقرير النوع الثاني: الضوابط المحددة مصممة بشكل مناسب وتعمل بفعالية خلال الفترة من 1 يناير إلى 31 أغسطس 2024.
- مقدم خدمات سحابية مقره أمستردام بهولندا
- يخدم 450 شركة في الاتحاد الأوروبي
- الإيرادات: 85 مليون يورو سنوياً
- الخدمات: استضافة أنظمة ERP، معالجة الرواتب، النسخ الاحتياطي
قائمة مراجعة عملية
- حدد نوع التقرير المطلوب بناءً على احتياجات مراجعي الشركات المستخدمة وتوقيت عمليات المراجعة (معيار ISAE 3402.13)
- ضع حدود الخدمات المشمولة باستبعاد الأنشطة التي لا تؤثر على المعلومات المالية للشركات المستخدمة (الفقرة 21)
- احصل على فهم النظام من خلال الاستعلامات، فحص الوثائق، والمراقبة المباشرة (الفقرة 28)
- حدد المخاطر وطابق الضوابط لكل عملية تؤثر على التقرير المالي (الفقرة 23)
- قيّم تصميم كل ضابط بتحديد ما إذا كان سيحقق هدف الضبط إذا تم تشغيله كما هو مصمم (الفقرة 35)
- للنوع الثاني: اختبر فعالية التشغيل لفترة لا تقل عن ستة أشهر مع توثيق كافة الاستثناءات (الفقرة 40-42)
أخطاء شائعة
- خلط متطلبات النوع الأول والثاني أثناء التخطيط يؤدي إلى نقص أو إفراط في الاختبار
- عدم تقييم تأثير التغييرات في الضوابط خلال فترة التقرير في تقارير النوع الثاني
- اختبار ضوابط لا تؤثر على التقرير المالي بدلاً من التركيز على الضوابط ذات الصلة
محتوى ذو صلة
---
- مسرد: معيار ISAE 3402 - تعريف المعيار الدولي والمصطلحات الأساسية
- ISAE 3402 مقابل SOC 2: أي تقرير يحتاجه عميلك؟ - دليل اختيار التقرير المناسب
- طريقة الاستبعاد مقابل الشاملة - كيفية التعامل مع الخدمات المساندة في تقرير منظمة الخدمة وفقاً للفقرة 3402.A67
- رسالة الربط في ISAE 3402 - متى تكون رسالة الربط ضرورية وفقاً للفقرة 3402.60، مع مثال على شركة GmbH ألمانية لمعالجة الرواتب بحجم 220 مليون يورو معاملات سنوية أصدرت رسالة ربط لتغطية فجوة 6 أسابيع بين انتهاء فترة التقييم وتاريخ إصدار التقرير.