خطاب الجسر

كيف يعمل عملياً

تخيل المشهد التالي: الفريق يستلم خطاب الجسر في 10 يناير، الشريك حدد الموعد النهائي بعد يومين، وملف الفحص يحتاج إلى توقيع. الإغراء واضح، أرفق الخطاب في القسم 5400، اكتب "تمت قراءته، لا تغييرات جوهرية"، ومرّ إلى البند التالي. هذا ما يحدث فعلياً في معظم الفرق وفق ما تكشفه ملاحظات الفحص المتكررة من هيئة SOCPA وAFM وPCAOB. لكن معيار 402.16 لا يسمح بهذا الاختصار.

النص المعياري واضح. حين تكون الفجوة بين تاريخ تقرير SOC وتاريخ التقرير الخاص بك جوهرية، يجب على المراجع المستخدم أن يحصل على أدلة إضافية. الخطاب وحده ليس دليلاً كافياً. والسبب الهيكلي وراء ذلك يفوت كثيراً من الفرق: المنظمة الخدمية ليست طرفاً في عقد المراجعة، ولا تخضع لمسؤولية مهنية تجاه المراجع المستخدم، فالخطاب التزام تعاقدي مع العميل ونادراً ما يستند إلى اختبار داخلي للضوابط خلال فترة الفجوة. قبول الخطاب بلا تحقق يعني قبول إقرار إدارة المنظمة الخدمية، لا تأكيداً من طرف ثالث.

ثم تظهر المنطقة الرمادية. ما المدة المعقولة للفجوة؟ متى تصبح "جوهرية" بمفهوم المعيار؟ أربعة أشهر؟ ستة؟ تسعة؟ تقرير SOC ربع سنوي مع فجوة تسعة أشهر مختلف كلياً عن تقرير SOC سنوي مع فجوة شهرين. المعيار لا يضع رقماً، والإجابة تتشكل من خلال طبيعة الضوابط ومستوى الاعتماد عليها.

ماذا يعني هذا في ملف العمل

في ممارستنا اليومية، نتعامل مع خطاب الجسر بإجراء من أربع خطوات. أولاً، نقرأ تقرير SOC الأصلي ونحدد الضوابط المكملة لدى المستخدم (CUECs) والأنظمة الفرعية للمنظمة الخدمية (CSOCs) المعتمد عليها. ثانياً، نوجه أسئلة محددة للمنظمة الخدمية حول التغييرات في تلك الضوابط بالذات، لا أسئلة عامة. ثالثاً، نطلب تأييداً جانبياً من جهة المستخدم: تقارير الاستثناءات، سجلات الحوادث، تذاكر التغيير، ومحاضر اجتماعات اللجان التشغيلية. رابعاً، نوثق التقييم في القسم 5450 مع ربط واضح بفقرة 402.16. وأنا شخصياً أرفض إغلاق هذا القسم دون رؤية تأييد جانبي واحد على الأقل عن فترة الفجوة.

مثال عملي: شركة الجزيرة للهندسة والمقاولات

العميل: شركة مساهمة سعودية متخصصة في المقاولات الكبرى، السنة المالية 2025، الإيرادات 412 مليون ريال سعودي، معايير المحاسبة الدولية، تستخدم منظمة خدمية اسمها CloudPay المحدودة لمعالجة الرواتب وحساب مكافأة نهاية الخدمة.

الموقف: تقرير SOC 1 من النوع الثاني الخاص بـ CloudPay يغطي الفترة من 1 أكتوبر 2024 حتى 30 سبتمبر 2025. تاريخ تقريرنا 15 فبراير 2026. الفجوة 138 يوماً، تشمل احتساب الرواتب لشهر ديسمبر وحساب مكافأة نهاية الخدمة عند إقفال السنة.

الخطوة الأولى: استلام خطاب الجسر (20 يناير 2026) وصل الخطاب موقعاً من المدير المالي لـ CloudPay ومؤرخاً في 18 يناير. النص مقتضب: "نؤكد عدم وجود تغييرات جوهرية في بيئة الضوابط الموصوفة في تقرير SOC المؤرخ 30 سبتمبر 2025 خلال الفترة من 1 أكتوبر 2025 حتى تاريخ هذا الخطاب." لا تفصيل، لا قائمة تغييرات، لا إشارة إلى اختبار داخلي.

الخطوة الثانية: مراجعة المؤشرات الخارجية (22 يناير) أثناء قراءة الخطاب، لاحظ زميل في الفريق خبراً منشوراً في صحيفة اقتصادية إقليمية بتاريخ 12 نوفمبر يفيد بأن CloudPay استحوذت على منافسها PayHub ونقلت عملاءها إلى منصة موحدة جديدة في 1 ديسمبر. الخطاب من الناحية الشكلية صحيح ومؤرخ، لكنه من الناحية الواقعية غير موثوق. هنا يتحول خطاب الجسر إلى حبراً على ورق.

الخطوة الثالثة: استفسار محدد ومركّز (25 يناير) بدلاً من قبول الخطاب، أرسلنا قائمة استفسار من ست نقاط محددة إلى مسؤول الامتثال في CloudPay: هل تغيرت بيئة المعالجة؟ هل نقلت بيانات شركة الجزيرة إلى المنصة الجديدة؟ متى؟ هل أُعيد تطبيق ضوابط الوصول والتفويض؟ هل اختبر فريقكم الداخلي صحة احتساب مكافأة نهاية الخدمة بعد الترحيل؟ هل توجد استثناءات أُبلغ عنها بين 1 ديسمبر و18 يناير؟

الخطوة الرابعة: التأييد الجانبي (28 يناير - 4 فبراير) طلبنا من فريق الموارد البشرية في الجزيرة تقرير الاستثناءات الشهري، سجل تذاكر التغيير، ومذكرة الترحيل التي استلموها من CloudPay. اختبرنا عينة من 25 موظفاً من حيث دقة احتساب الراتب لشهر ديسمبر ومكافأة نهاية الخدمة لخمسة موظفين انتهت خدمتهم في يناير، بأسلوب إعادة الحساب من قاعدة بيانات الموارد البشرية.

النتيجة: ظهر فارق بقيمة 41,000 ريال في احتساب مكافأة نهاية الخدمة لموظفين، نتج عن ضبط خاطئ لمعامل الخدمة الطويلة في المنصة الجديدة. الفارق غير جوهري وفق الأهمية النسبية المحددة (1.8 مليون ريال)، لكنه أكد أن خطاب الجسر بمفرده لم يكن ليكشف الانحراف. وثقنا الإجراء كاملاً في القسم 5450 مع ربط بفقرة 402.18 وملاحظة إدارية للسنة القادمة بشأن متابعة استقرار المنصة الجديدة.

وجهتا نظر مشروعتان

في النقاش الذي يدور بين الشركاء حول هذا الموضوع، يطرح الشريك الأول رأياً يستند إلى التناسب: فجوة 90 يوماً مع خطاب جسر نظيف من منظمة خدمية ذات تاريخ تشغيلي مستقر، في سيناريو اعتماد منخفض المخاطر على SOC 1، يكفي بحد ذاته. الإجراءات الإضافية في كل حالة تستهلك وقتاً غير متناسب مع المخاطر، وقد تصبح إجراءات صورية تُضاف للملف دون قيمة فعلية. الجوهر يجب أن يقود الإجراء، لا الشكل.

الشريك الثاني يرد بحجة هيكلية: أي فجوة، مهما كانت قصيرة، تستوجب استفسارات محددة عن التغييرات الفعلية في الضوابط، وتأييداً جانبياً من جهة المستخدم. سبب الإصرار ليس عدم الثقة، بل أن الخطاب لا يحمل مسؤولية مهنية، وأن قبوله بلا اختبار يحوّل ملاحظات الفحص المتكررة إلى نتيجة محتملة في الجولة التالية. والمعيار لم يضع استثناء لمنخفضي المخاطر.

كلا الموقفين له منطقه. الفرق العملي يكمن في كيفية توثيق القرار: الموقف الأول يتطلب توثيقاً صريحاً لتقييم المخاطر الذي برّر الاكتفاء بالخطاب، والثاني يتطلب توثيق الإجراءات الإضافية وربطها بمخرجات اختبار محددة.

ما يخطئ فيه المراجعون والمراجعون الخارجيون

- الخطأ الأول: التعامل مع خطاب الجسر كدليل تأكيدي يعادل تقرير SOC ذاته. هذا هو جوهر الحوكمة الورقية التي تنبه إليها هيئات الفحص. الخطاب يستند إلى إقرار المنظمة الخدمية فقط، ولا يخضع لاختبار مستقل، ولا يحمل مسؤولية مهنية تجاهك. عامله كنقطة بداية للاستفسار، لا كنقطة نهاية.

- الخطأ الثاني: الخلط بين تاريخ الخطاب وتاريخ تقرير المراجع المستخدم. الخطاب الذي يغطي حتى 18 يناير لا يغطي الأحداث بين 18 يناير و15 فبراير. كثير من الفرق تنسى الفجوة الثانية الصغيرة وتفترض أن الخطاب يمتد إلى تاريخ التقرير. اطلب تحديثاً قبيل توقيع التقرير، أو وثّق كيف غطيت تلك الفترة بإجراءات أخرى.

- الخطأ الثالث: إغفال CUECs في فترة الفجوة. تقرير SOC غالباً ما يحدد ضوابط مكملة يجب أن ينفذها المستخدم. خطاب الجسر يتحدث عن ضوابط المنظمة الخدمية، لا عن ضوابط جهتك. وأنا أرى هذا الخطأ مراراً في الفحوص: الفريق يثبت أن المنظمة الخدمية لم تتغير، لكنه يهمل اختبار أن العميل المستخدم لا يزال ينفذ CUECs بفاعلية في فترة الفجوة.

- الخطأ الرابع: عدم البحث عن مؤشرات خارجية. الأخبار الاقتصادية، وإعلانات الاندماج، والتغيرات في الإفصاح على موقع المنظمة الخدمية، كلها مصادر مجانية تكشف ما لا يكشفه الخطاب. خمس دقائق بحث قد توفر أسبوع نقاش لاحق.

قد تكون مهتماً أيضاً بـ

- تقرير SOC 1 من النوع الثاني - الأساس الذي يبني عليه خطاب الجسر - الضوابط المكملة لدى المستخدم (CUECs) - ما يجب اختباره من طرفك بصرف النظر عن الخطاب - معيار المراجعة 402: المنظمات الخدمية - الإطار الكامل للاعتماد على عمل المنظمة الخدمية

---