تقييم الضوابط الداخلية

كيف يعمل

ملف وصلني للمراجعة الفنية الأسبوع الماضي. الضابطة موصوفة بأربع صفحات. المخطط الانسيابي ملوّن. مقابلة مع المدير المالي مدوّنة بالتفصيل. الجولة الإيضاحية لمعاملة واحدة موثقة. الاستنتاج في الأعلى: "الضابطة تعمل بفعالية". لا أثر لاختبار عينة. لا أثر لإعادة أداء. هذه إجراءات صورية بأبهى صورها، وهي الملاحظة الأكثر تكراراً في عمليات الفحص الفني التي مررت بها.

الفقرة 26 من معيار المراجعة 315 (المنقح 2019) تتعامل مع ثلاث مهام مختلفة. الفقرتان A93-A95 توضحان الفرق. أولاً، تقييم التصميم (Design): هل الضابطة، إن نُفذت كما هي مكتوبة، قادرة على منع تحريف مادي أو اكتشافه وتصحيحه؟ ثانياً، تقييم التطبيق (Implementation): هل الضابطة موجودة فعلاً في المنشأة، لا في الورق فقط؟ ثالثاً، تقييم الفعالية التشغيلية (Operating Effectiveness): هل تعمل الضابطة باستمرار خلال الفترة المراد الاعتماد عليها فيها؟

في الميدان يحدث الخلط بين الثاني والثالث. الجولة الإيضاحية تجيب عن سؤال التطبيق فقط (أن الضابطة قائمة في يوم ما)، ولا تجيب عن سؤال الفعالية التشغيلية (أنها تعمل في كل المعاملات على مدى الفترة). الفقرة A95 صريحة: الجولة الإيضاحية وحدها لا تشكل اختباراً للفعالية التشغيلية إلا إذا كانت الضابطة آلية بالكامل وبيئة تكنولوجيا المعلومات العامة فعّالة.

ثم تأتي الفقرة 8 من معيار المراجعة 330. إذا قرر المراجع أن منهجه يعتمد على فعالية الضوابط في تخفيض حجم العمل الجوهري، فاختبار الفعالية التشغيلية ليس خياراً بل التزاماً. لا اختبار، لا اعتماد. لا اعتماد، فالإجراءات الجوهرية يجب أن تغطي الخطر بالكامل. هذه قاعدة المقايضة التي يفر منها كثير من الملفات: تكتب "تم الاعتماد" وتقفز إلى عينات جوهرية أصغر، دون أن تختبر الضابطة التي بنيت عليها التخفيض.

مثال عملي: شركة الخليج للتصنيع المحدودة

عميل: شركة الخليج للتصنيع المحدودة (تصنيع متوسط)، السنة المالية المنتهية في 31 ديسمبر 2025، إيرادات 142 مليون ريال، مدققة وفقاً لمعايير المراجعة الدولية مع تطبيق متطلبات هيئة المراجعين والمحاسبين (SOCPA).

الخطوة الأولى: تقييم التصميم والتطبيق (الفقرة 26)

الضابطة محل التقييم: مراجعة مدير المشتريات لكل أمر شراء يتجاوز 50,000 ريال، مع توقيع إلكتروني في نظام SAP قبل تحويل الطلب إلى المورد. المراجع يقرأ سياسة المشتريات. يقابل مدير المشتريات. يطلب من المحاسبة لقطة شاشة لطلب شراء حديث ويتتبع مساره من الإصدار إلى الموافقة إلى الفاتورة. التصميم منطقي. التطبيق ثابت يوم الزيارة.

ملاحظة توثيقية: الجولة الإيضاحية أُجريت في 14 نوفمبر 2025 على أمر الشراء PO-2025-3417. الضابطة مصممة بكفاءة ومطبقة. ملف الأداء: WP-CTRL-04.

الخطوة الثانية: اختبار الفعالية التشغيلية (الفقرة 8 من معيار 330)

الفريق ينوي الاعتماد على الضابطة لتخفيض اختبار المدفوعات الجوهري. إذن الاختبار لا مفر منه. تختار عينة من 25 أمر شراء فوق 50,000 ريال موزعة على الأشهر الاثني عشر، باستخدام أسلوب اختيار منظم. لكل بند: التحقق من توقيع الموافقة الإلكتروني في النظام، وفحص توافق المبلغ والمورد، وإعادة أداء التطابق بين الفاتورة وأمر الشراء.

التعقيد: التغيير في بيئة تكنولوجيا المعلومات

هنا تظهر الفجوة. الإدارة قامت في 12 مارس 2025 بترقية نظام SAP إلى الإصدار S/4HANA، وأثناء عملية الترحيل تعطّل التحكم الإلكتروني في الموافقات لمدة ثلاثة أشهر (مارس إلى مايو). خلال هذه الفترة، كانت الموافقات تُرسَل بالبريد الإلكتروني وتُرفق يدوياً بنسخة ورقية. الضابطة الإلكترونية المصممة لم تكن تعمل. لاحظنا في عيّنتنا أن سبعة أوامر من الخمسة والعشرين تقع في هذه الفترة، وأن أربعة منها لا توجد لها رسالة بريد إلكتروني محفوظة في الملف.

ملاحظة توثيقية: الفعالية التشغيلية للضابطة الإلكترونية غير قائمة في الفترة من 12 مارس إلى 31 مايو 2025. أربعة بنود من العينة (PO-2025-1102، PO-2025-1188، PO-2025-1276، PO-2025-1359) بدون دليل موافقة. سعة الانحراف 16% من العينة، وهي تتجاوز معدل الانحراف المتوقع (5%) المحدد عند تخطيط حجم العينة وفقاً لمعيار المراجعة 530.

القرار

العينة لا تدعم الاعتماد على الضابطة كما كانت مخططة. أمام الفريق ثلاثة خيارات وفقاً للفقرة 17 من معيار 330: (1) توسيع العينة لاستبعاد فترة الانقطاع وإعادة تقييم الفعالية للفترة المتبقية فقط، (2) معاملة الفترة من مارس إلى مايو باعتبار الضابطة غير فعالة وزيادة الإجراءات الجوهرية على المعاملات الواقعة فيها، (3) سحب الاعتماد على الضابطة كلياً وزيادة الإجراءات الجوهرية على كامل السنة. الفريق اختار الخيار الثاني، ووثّق المنطق في مذكرة منفصلة وقّعها الشريك المسؤول قبل إصدار التقرير.

من واقع خبرتنا، الفرق بين ملف يصمد أمام الفحص وملف لا يصمد ليس وجود الانحراف، بل التوثيق المنطقي للقرار الذي اتُّخذ بعد الانحراف. الانحرافات تحدث. الردود التي توثّق كيف عالجها المراجع هي ما يهم الفاحص.

الفجوة بين النص والميدان

ما يحدث فعلاً في كثير من الملفات: يوثّق المراجع التصميم بإسهاب ويستنتج "الضابطة فعّالة" دون أن يختبر الفعالية التشغيلية. القالب البرمجي للمنهجية في كثير من المكاتب يحوي خانة "تقييم التصميم" مع زر تأكيد، ولا يحوي خانة منفصلة تجبر المراجع على الإجابة عن سؤال الفعالية التشغيلية بأدلة عينة. هذا هو الحافز المشوّه: المنهجية نفسها تشجّع التوقف عند التصميم. أضف إلى ذلك ضغط موسم الذروة، يصبح المراجع كالفلاح في موسم الحصاد، يقطف ما هو في متناول اليد ويترك ما يحتاج جهداً إضافياً. القالب مريح. الفحص لاحقاً مؤلم.

الخلاف المشروع: هل الجولة الإيضاحية ومعاملة واحدة كافية؟

الشريك أ يقول: للضوابط منخفضة المخاطر، الجولة الإيضاحية مع إعادة أداء معاملة واحدة دليل كافٍ على الفعالية التشغيلية. تفسيره يستند إلى الفقرة 9 من معيار المراجعة 330 التي تربط مدى الاختبار بمستوى الخطر، وعلى قراءة الفقرة A95 التي تجيز اعتبار الجولة الإيضاحية اختباراً للضوابط الآلية في بيئة تكنولوجيا معلومات عامة فعّالة. هذا الموقف منتشر في مكاتب الحجم المتوسط ولا يخلو من حجة فنية.

الشريك ب يخالف: حتى الضوابط منخفضة المخاطر تحتاج اختباراً قائماً على عينة إذا كان الاعتماد عليها يخفّض إجراءات جوهرية. تفسيره يستند إلى أن الفقرة 9 تتحدث عن مدى الاختبار لا عن وجوده، وأن الجولة الإيضاحية بطبيعتها تختبر نقطة زمنية واحدة لا فترة. الفقرة A30 من معيار 330 تشير إلى أن اختبار نقطة زمنية لا يدعم الاستنتاج عن فترة كاملة إلا في حالات ضيقة.

في تطرف كبير مني أقول إن موقف الشريك ب أصلب أمام الفحص. الفقرة 8 لا تستثني الضوابط منخفضة المخاطر من اختبار الفعالية التشغيلية إذا قام عليها الاعتماد. لكن الموقفين كليهما يتمسك بهما ممارسون من ذوي خبرة، والاختيار بينهما يعتمد على طبيعة الضابطة وبيئة تكنولوجيا المعلومات وشهية المخاطر للمكتب.

ما الذي يخطئ فيه المراجعون والممارسون

- الجولة الإيضاحية كبديل عن اختبار الفعالية: الفقرة A95 من معيار 315 (المنقح 2019) تفصل بوضوح بين الجولة الإيضاحية واختبار الفعالية التشغيلية. الأولى تجيب عن سؤال التطبيق، الثانية تتطلب أدلة عبر الفترة. حين يتجمد الملف عند الجولة، تنتفي الفعالية التشغيلية بمعناها التقني، وتصبح الموافقة على الاعتماد قراراً غير مدعوم. هذه ملاحظة فحص متكررة في تقارير SOCPA السنوية، ولها ما يقابلها في تقارير الجهات النظيرة (AFM في هولندا، FRC في المملكة المتحدة).

- الاعتماد على التقييم الذاتي للإدارة: الفقرة 13 من معيار 315 (المنقح 2019) تشترط أن يحصل المراجع على فهمه الخاص لبيئة الضوابط، لا أن يعتمد على وصف الإدارة. تكرار وصف الإدارة في أوراق العمل، حتى لو كان دقيقاً، لا يستوفي المتطلب. الحوكمة الورقية تبدو منظمة على الورق وتفشل عند الاختبار.

- حصر الاعتماد على السنة السابقة (Rollover): الفقرة 14 من معيار 330 تسمح بالاعتماد على دليل تم الحصول عليه في فترات سابقة، لكنها تشترط اختبار التغييرات وإعادة اختبار الضابطة على الأقل مرة كل ثلاث سنوات. في مكتبنا وجدنا أن مراجعة عمر دليل الفعالية التشغيلية تأتي ثاني أكثر الملاحظات تكراراً بعد الاعتماد على الجولة الإيضاحية. الملف يكتب "اعتمدنا على اختبار 2023" دون أن يتحقق من تغييرات 2025، فيقع في فجوة الفقرة 15.

المصطلحات ذات الصلة

- تقييم التصميم (Design effectiveness): الحكم على ما إذا كانت الضابطة، إن نُفذت كما هي مصممة، قادرة على منع تحريف مادي أو اكتشافه وتصحيحه (الفقرة A93 من معيار 315 المنقح 2019) - تقييم التطبيق (Implementation): التأكد من أن الضابطة قائمة فعلاً في المنشأة وموضوعة موضع الاستخدام (الفقرة A94) - الفعالية التشغيلية (Operating effectiveness): الدليل على أن الضابطة عملت باستمرار خلال الفترة المراد الاعتماد عليها فيها (الفقرة 8 من معيار 330) - الجولة الإيضاحية (Walkthrough): تتبع معاملة واحدة عبر النظام للتحقق من التطبيق، ولا تشكّل بمفردها اختباراً للفعالية التشغيلية إلا في الحالات المنصوص عليها في الفقرة A95

الأداة ذات الصلة

جدول تقييم ضوابط معيار المراجعة 315 (المنقح 2019) ومعيار المراجعة 330 يفصل بين خانات التصميم والتطبيق والفعالية التشغيلية في حقول منفصلة، ويُلزم المراجع بربط كل اعتماد على ضابطة بمرجع اختبار العينة المقابل. القالب يحفظ المنطق الذي يصمد أمام فحص SOCPA.

---