Definition

من واقع خبرتنا، مصفوفة تقييم المخاطر في معظم ملفات معيار المراجعة الدولي 315 تكتب "مرتفع" أو "منخفض" بدون التمييز بين مخاطر متأصّلة ومخاطر رقابة. هذا التصنيف الواحد هو أكثر ملاحظة فحص تتكرر في مكاتب الأربعة الكبار ومتوسطة الحجم على حد سواء. الملف يحتوي على تقييم، لكن لا يحتوي على منطق. ورقة الفحص ستسأل: هل الارتفاع بسبب طبيعة الحساب، أم بسبب ضعف الضوابط؟ الملف يصمت. هذه هي `الحوكمة الورقية` بشكلها الأوضح.

النقاط الرئيسية

- الخطر المتأصل يعتمد على طبيعة الحساب والصناعة والبيئة الاقتصادية. الضوابط الداخلية لا تؤثر عليه. - خطر الرقابة يقيس فعالية الضوابط الداخلية لدى العميل في منع أو اكتشاف الأخطاء. - ملفات المراجعة التي تخلط بين الاثنين تنتهي بها الحال إلى اختبار ضوابط ضعيفة بثقة زائدة، أو تخطّي الضوابط الفعّالة التي تحتاج إلى اختبار.

---

كيف يعملان

الخطر المتأصل والخطر الرقابي مكونان منفصلان من معادلة خطر المراجعة، ويعملان بطرق مختلفة. الخطر المتأصل هو احتمالية حدوث خطأ جوهري في حساب أو فئة معينة قبل أي ضوابط داخلية (ISA 315). خطر الرقابة هو احتمالية عدم كشف أو منع هذا الخطأ بواسطة الضوابط الداخلية للعميل (معيار المراجعة الدولي 330، فيما بعد ISA 330).

الخطر المتأصل موجود بغضّ النظر عما إذا كانت الضوابط موجودة أم لا. يتعلق بالسؤال: هل هناك احتمالية حقيقية بأن هذا الحساب قد يكون به خطأ؟ رواتب الموظفين لديها خطر متأصل مرتفع بسبب حجم المعاملات والتعقيد. النقدية لديها خطر متأصل مرتفع جداً لأن الأصول قابلة للتحويل. معايير تقييم الأصول لديها خطر متأصل مرتفع لأن الحكم الشخصي مطلوب. بموجب ISA 315.32، يجب على المراجع تقييم الخطر المتأصل على مستوى الحساب والفئة قبل أي اعتبار للضوابط.

خطر الرقابة هو تقييم لما إذا كانت الضوابط الداخلية للعميل ستمنع أو تكتشف خطأ إذا حدث. ليس السؤال "هل توجد ضوابط" بل "هل الضوابط المتصلة بهذا الخطر الخاص تعمل فعلاً؟" ISA 330.6 و330.7 يتطلبان منك تحديد ما إذا كنت ستختبر الضوابط. إذا قررت أن خطر الرقابة منخفض، يجب عليك اختبار الضوابط والحصول على أدلة حول فعاليتها. إذا قررت أن خطر الرقابة مرتفع، فأنت تعتمد بشكل أساسي على الإجراءات الجوهرية وحدها.

المشكلة الشائعة في مكتبنا: تقييم خطر الرقابة بناءً على توثيق الضوابط وليس على اختبارها. الملف يحتوي على وصف للضابط ويقول "يبدو أن هذا سيعمل، لذا خطر الرقابة منخفض." ثم لا يتم اختبار الضابط بالفعل. ISA 330.8 يوضح أنه إذا كنت تعتمد على الضوابط لتقليل النطاق الجوهري، فيجب عليك الحصول على أدلة مراجعة مباشرة حول ما إذا كانت الضابط قد عملت في الواقع. الوثائق وحدها غير كافية. هذه `إجراءات صورية`.

---

جدول المقارنة

معظم الملفات تقيّم "الخطر" كتصنيف واحد: مرتفع أو منخفض. ISA 315 يتطلّب تقييمين منفصلين: تقييم للخطر المتأصل قبل النظر في الضوابط، وتقييم لخطر الرقابة بعد اختبار الضوابط. النتيجة واحدة في الملفات. النيّة في المعيار مختلفة. وهنا يبدأ الخطأ.

البعدالخطر المتأصلخطر الرقابة
التعريفاحتمالية وجود خطأ جوهري قبل الضوابطاحتمالية عدم كشف الضابط للخطأ
المحدد الأساسيطبيعة الحساب، الصناعة، الحكم الشخصي المطلوبفعالية الضوابط الداخلية للعميل
متى يتم تقييمهفي مرحلة التخطيط قبل الضوابطبعد فهم وتقييم الضوابط
هل يتغير بناءً على الضوابط؟لا. يبقى ثابتاً بغض النظر عن الضوابطنعم. ينخفض إذا كانت الضوابط فعالة
تأثير المراجعةيحدد الحد الأدنى لنطاق الإجراءات الجوهريةيحدد ما إذا كنت ستختبر الضوابط أم لا
ملاحظة شائعة من المراجعينتصنيف خطأ: تقييم منخفض جداً للصناعات عالية المخاطرعدم اختبار الضوابط المكتوبة بدلاً من المختبرة

حيث يبدأ الحكم المهني: عند تحديد ما إذا كان الخطر المتأصل المرتفع يُبرّر اختبار الضوابط بدلاً من الإجراءات الجوهرية الكاملة. خطر متأصل مرتفع مع ضوابط فعّالة موثّقة يسمح بتخفيض الإجراءات الجوهرية. نفس الخطر المتأصل مع ضوابط غير موثّقة لا يسمح. القرار يحتاج دليلاً، لا تقدير.

من وجهة نظري المتواضعة: الفرق بين "مخاطر مرتفعة" التي تحتاج إجراءات جوهرية و"مخاطر رقابة مرتفعة" التي تحتاج اختبار الضوابط ليس دقّة لغوية. هذا الفرق هو كل ISA 315. عدم توثيقه يعني أن المراجع لا يعرف ما الذي يجب أن يفعله في الإجراءات.

---

متى يحدث الفرق على الملف

تخيل أنك تقيّم مخاطر الإيرادات في شركة صناعية. ISA 315.21 يضع الإيرادات كمجال عالي الخطر بشكل متأصل.

الخطر المتأصل هنا مرتفع. لماذا؟ لأن الإيرادات تتضمن الحكم حول الاعتراف بالمبيعات والعودات واللواحق. حجم المعاملات كبير. الضغط المالي قد يخلق حافزاً للمبالغة. هذا التقييم ثابت بغض النظر عما إذا كان لدى العميل ضوابط داخلية جيدة.

لكن الآن تختبر ضوابط الإيرادات. تجد أن نقطة البيع متصلة بنظام الفواتير، والفواتير تُرسل تلقائياً بناءً على الشحن، والقيم مأخوذة من العقد المُجازة. ترى الاختبار (40 فاتورة عشوائية، جميعها لديها دليل شحن قبل الإثبات، جميعها مقابلة بالعقد). لا توجد استثناءات. الضابط تعمل.

خطر الرقابة هنا الآن منخفض. يمكنك تقليل نطاق الإجراءات الجوهرية لأن لديك أدلة (من الاختبار) بأن الضوابط ستمنع أو تكتشف أخطاء المبيعات.

الآن السيناريو الثاني: نفس شركة الصناعة، نفس الخطر المتأصل المرتفع للإيرادات. لكن العميل ليس لديه نقطة بيع مؤتمتة. الإيرادات تُدخل يدوياً. لا توجد مراجعة إدارية تلقائية. لا يوجد دليل شحن مأخوذ مباشرة في نظام الحساب. أي اختبار للضوابط سيكشف أن فعالية الضابط منخفضة جداً أو غير موجودة. خطر الرقابة هنا مرتفع. يجب عليك الاعتماد بالكامل على الإجراءات الجوهرية لاختبار الإيرادات (ربما عينة أكبر، ربما مطابقة كل فاتورة بدليل شحن).

نفس الخطر المتأصل. تقييمات مختلفة جداً لخطر الرقابة. نطاقات مختلفة جداً للعمل.

حيث يختلف الشركاء

الشريك (أ) يرى أن المخاطر المتأصلة لتقدير المخصصات الاكتوارية هي دائماً "خطر مهم" بموجب ISA 315.32، بغضّ النظر عن فعالية ضوابط الشركة. الشريك (ب) يختلف: إذا كانت الإدارة تستخدم اكتوارياً خارجياً مستقلاً ومراجعة سنوية من فريق تقني داخلي، فإن خطر الرقابة منخفض بما يكفي لخفض التصنيف إلى "مخاطر عادية مرتفعة". كلا الموقفين له أساس في المعيار، والفرق بينهما هو الفرق بين إجراءات جوهرية كاملة وإجراءات مبنية على الضوابط (فرق ساعات كبير في الملف). الملف يجب أن يوثّق المنطق الذي اعتمده الشريك، وإلا فإن ورقة الفحص ستفترض الأشد.

---

ما يخطئ فيه المراجعون

الحقيقة أن مصفوفة المخاطر في أغلب الملفات تُنسخ من السنة السابقة. "تم تقييم المخاطر." "لم يتغيّر شيء." الملف يتحرّك. ISA 315 لا يتحرّك معه.

لماذا تُنسخ مصفوفة المخاطر من السنة السابقة؟ السبب ليس أن الفريق لا يعرف ISA 315. السبب هو أن تقييم المخاطر يجب أن يتمّ في بداية الارتباط، قبل أن يكون الفريق قد فهم الشركة بعد. تقييم صادق في ذلك الوقت يعني إعادة النظر لاحقاً عندما تتغيّر الصورة. إعادة النظر تعني توثيقاً إضافياً، وساعات إضافية، ورسوماً إضافية لم تُسعَّر. الحل الذي يحمي الموازنة هو نسخ العام الماضي. ما يبدأ كإجراء مراجعة ينتهي `إجراءات صورية`.

المشكلة الأولى: خلط الخطر المتأصل مع خطر الرقابة في التقييم الأولي

ISA 315.32 يتطلب تقييم الخطر المتأصل على مستوى الحساب/فئة التأكيدات. الكثير من الملفات تدرج الخطر المتأصل والرقابي معاً في تقييم واحد، ثم تقول "الخطر المتأصل والرقابي معاً مرتفعان." هذا يفقد المعلومة. إذا كان الخطر المتأصل مرتفعاً والخطر الرقابي منخفضاً، فأنت لا تزال بحاجة إلى اختبار الضوابط. إذا كان كلاهما مرتفعاً، فأنت بحاجة إلى إجراءات جوهرية ممتدة جداً. القرارات مختلفة جداً.

المشكلة الثانية: عدم اختبار الضوابط ثم تقييم الخطر الرقابي بناءً على الوثائق

تقييم الضابط على أنها فعالة بدون دليل اختبار مباشر هو الملاحظة الأكثر شيوعاً في `ملاحظات الفحص المتكررة`. الملف يقول "هناك مراجعة مديرة على الإيرادات" والخطر الرقابي "منخفض"، لكن لم يتم اختبار المراجعة. ISA 330.8 واضح: إذا كنت تعتمد على الضابط لتقليل خطر الرقابة، فأنت بحاجة إلى اختبارها. الاختبار قد يكون بسيطاً (5 مراجعات تم إجراؤها وتوقيع عليها، تحقق من أن كل قيمة صحيحة)، لكنه يجب أن يحدث.

المشكلة الثالثة: تصنيف الخطر المتأصل بناءً على وجود الضوابط

"الضابط موجودة، لذا الخطر المتأصل منخفض." هذا خطأ. الخطر المتأصل مستقل عن الضوابط. رواتب الموظفين لديها خطر متأصل مرتفع حتى لو كان لدى العميل نظام أجور متطور. الخطر قادم من تعقيد العمليات الحسابية والحوافز المحتملة للخطأ، لا من وجود أو غياب الضوابط.

---

مثال عملي: فنادق البيت الأزرق

السياق: فندق ذو 4 نجوم في إسبانيا، إيرادات سنوية 8.5 مليون يورو، نظام إدارة الفنادق متصل بنقطة البيع.

تقييم الخطر المتأصل (ISA 315.32):

الإيرادات الفندقية لديها خطر متأصل مرتفع. لماذا؟ الاعتراف بالإيرادات يعتمد على تقدير عدد الغرف المشغولة بسعر اليوم، والعودات والخصومات والإلغاءات، والتأكيدات الدولية المعلقة. هناك ضغط محتمل للوصول إلى الأهداف السنوية. التدفق النقدي من الحجوزات عبر الإنترنت المؤجلة يخلق تعقيداً في التوقيت. التقييم: خطر متأصل مرتفع.

ملاحظة التوثيق: تقييم الخطر المتأصل مرتفع بناءً على 315.32(أ) ـ طبيعة الحساب (إيرادات متعددة المكونات)، (ب) ـ تعقيد قياس الإيرادات (أسعار ديناميكية، عملات أجنبية، عودات).

تقييم الضوابط الداخلية (ISA 330.6):

تختبر نقطة البيع المتصلة بالنظام المحاسبي. النتيجة: الحجوزات تُدخل عبر الإنترنت في نقطة البيع. تُسحب الأسعار تلقائياً من جدول الأسعار المُوافق عليه. عند الإلغاء، يُرسل إشعار إلى المحاسبة. تُسوّى الفروقات بيع الفوري يدوياً من قبل مدير المبيعات. تختبر 25 حجز عشوائي: 24 صحيح تماماً. 1 حجز كان سعره غير صحيح بسبب خطأ في جدول الأسعار (خطأ في البيانات الأساسية، ليس خطأ في الضابط). الضابط الآلية تعمل. الضابط اليدوية (تسوية الفروقات) بدون توثيق منتظم.

ملاحظة التوثيق: اختبار 25 حجز عشوائي من سجل نقطة البيع للشهر 6 و7. تحقق من أن السعر يتطابق مع جدول الأسعار الفعال. 1 استثناء: الحجز 6847 (7 يوليو) بسعر €95/ليلة، الجدول يوضح €105 لتلك التاريخ. معايرة البيانات، ليس خطأ في الضابط. الضابط الآلية فعالة.

تقييم خطر الرقابة:

الضوابط الآلية فعالة بناءً على الاختبار. الضوابط اليدوية (الفروقات) ضعيفة (بدون توثيق أو مراجعة). خطر الرقابة على الإيرادات الآلية منخفض. خطر الرقابة على الفروقات اليدوية مرتفع.

ملاحظة التوثيق: خطر الرقابة على معاملات نقطة البيع الآلية منخفض بناءً على اختبار الضابط (n=25). خطر الرقابة على عمليات الفروقات اليدوية مرتفع: لا توجد مراجعة إدارية موثقة. سيتم إجراء إجراء جوهري موسع على الفروقات.

التأثير على نطاق المراجعة:

الخطر المتأصل مرتفع يعني أنك بحاجة إلى حد أدنى من الاختبار الجوهري على الإيرادات. خطر الرقابة المنخفض على الآلية يعني أنك قد تقلل من اختبار معاملات نقطة البيع الروتينية (ربما عينة 30 بدلاً من 50). خطر الرقابة المرتفع على الفروقات يعني أنك بحاجة إلى اختبار موسع لجميع الفروقات (ربما 100% في الشهر الأخير).

لم تقلل من الخطر المتأصل. لكنك استخدمت اختبار الضوابط لتوجيه إجراءاتك الجوهرية نحو المناطق التي لا توجد بها ضوابط فعالة.

---

الشروط ذات الصلة

- خطر المراجعة: المخاطرة الإجمالية بأن المراجع قد لا يكتشف خطأ جوهري - الأهمية النسبية: الحد الذي يحدد ما إذا كان الخطأ جوهرياً - الإجراءات الجوهرية: الاختبارات المباشرة للأرصدة والمعاملات - اختبار الضوابط: الأدلة على فعالية الضوابط الداخلية

---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.