كيف يعمل
تطبق منظمات الخدمات (مثل مراكز معالجة الرواتب، بنوك البيانات، مقدمو خدمات إدارة الموارد البشرية) معيار الفحص الدولي 3402 لإصدار تقارير عن الضوابط الداخلية والعمليات التي تؤثر على عملاء هذه المنظمات. الفقرات 5 و6 و7 من معيار الفحص الدولي 3402 تحدد متطلبات التقرير من النوع الأول والنوع الثاني.
تقرير النوع الأول يصدر بناءً على اختبار الضوابط في تاريخ محدد (عادة نهاية فترة الست أشهر أو السنة المالية). تقرير النوع الثاني يغطي فترة زمنية محددة (عادة ستة أشهر أو سنة كاملة) ويشمل اختبار ما إذا كانت الضوابط تعمل بفعالية طوال تلك الفترة.
بموجب الفقرة 11 من معيار الفحص الدولي 3402، يجب على الفاحص اختبار الضوابط المصممة لتقييم ما إذا كانت قد حققت أهدافها. هذا يعني أن الفاحص لا يقبل تأكيدات الإدارة وحدها. يجب أن تكون هناك أدلة حول تشغيل الضوابط الفعلي (في حالة التقرير من النوع الثاني).
مثال عملي: شركة الحوسبة السحابية
عميل: شركة تكنولوجيا إمارات متخصصة في معالجة البيانات، توفر خدمات إدارة الفواتير لعملائها من الشركات. الإيرادات السنوية 28 مليون درهم.
الخطوة 1: تحديد الضوابط الرئيسية
شركة التكنولوجيا حددت أن الضابط الرئيسي على معالجة الفواتير هو المطابقة اليومية بين إجمالي المبالغ المرسلة والمبالغ المحصلة من خلال نظام آلي. عند اكتشاف اختلاف، يتم إرسال تنبيه للموظف، الذي يراجع السجل ويوثق السبب.
ملاحظة التوثيق: يتم حفظ لقطات شاشة من نتائج المطابقة وملاحظات الموظف في ملف المراجعة.
الخطوة 2: اختيار نوع التقرير
بما أن العميل طلب تقرير النوع الثاني (لأن عملاءهم يريدون ضمانات طويلة الأجل)، يجب اختبار الضابط طوال فترة التقرير (من يناير إلى يونيو 2024). لا يكفي اختبار الضابط في يوم واحد.
ملاحظة التوثيق: يتم اختيار عينة من 25 يوماً عمل متناثرة عبر الفترة الستة أشهر.
الخطوة 3: اختبار التصميم والتشغيل
للتصميم: الفاحص يتحقق من أن النظام مبرمج بشكل صحيح لتشغيل المطابقة. يتم مراجعة الوثائق الفنية والإعدادات بداخل النظام.
ملاحظة التوثيق: تقرير فني من فريق تكنولوجيا المعلومات يؤكد أن المنطق مصمم بشكل صحيح.
للتشغيل: بناءً على العينة المختارة، الفاحص يراجع سجلات النظام لكل يوم ويتحقق من أن:
ملاحظة التوثيق: جدول اختبار يوضح النتائج لكل يوم في العينة. في 24 من 25 يوماً، كانت الضابط تعمل بشكل مناسب. في يوم واحد (15 مايو)، حدث تأخير في الحل لمدة يومين بسبب إجازة الموظف.
الخطوة 4: الاستنتاج
بناءً على الاختبارات، كانت الضابط مصممة بشكل فعال وعملت بفعالية خلال معظم فترة الستة أشهر. الاستثناء الواحد (تأخير في الحل على مدى يومين) لم يؤدِ إلى خطأ فعلي لأن الفاتورة تم حلها بشكل صحيح لاحقاً. التقرير يؤكد أن الضوابط حققت أهدافها بشكل عام.
- تم تشغيل المطابقة بالفعل
- تم توثيق أي اختلافات
- تم حل الاختلافات في المدة الزمنية المنطقية (عادة في نفس اليوم أو اليوم التالي)
ما يخطئ فيه المفتشون والممارسون
- الملاحظة الأكثر شيوعاً: اختبار الضابط على عينة صغيرة جداً في التقرير من النوع الثاني. معيار الفحص الدولي 3402 الفقرة 11 يتطلب اختباراً كافياً عبر الفترة الزمنية. عينة من 5 أيام فقط من سنة كاملة غير كافية لاستنتاج أن الضابط عملت بفعالية طوال السنة.
- خطأ في التطبيق: الخلط بين النوع الأول والنوع الثاني. النوع الأول لا يتطلب اختبار تشغيل الضابط. النوع الثاني يتطلبه. عدم فهم هذا الفرق يؤدي إلى ملفات ناقصة في الاختبارات.
- فجوة موثقة: الفشل في توثيق استجابة الإدارة للاستثناءات أثناء الاختبار. إذا كانت الضابط لم تعمل في بعض الحالات، يجب توثيق السبب وما إذا كان استثناء معقولاً أم مؤشراً على فشل الضابط.
تقارير ISAE 3402 من النوع الأول مقابل النوع الثاني
| الجانب | النوع الأول | النوع الثاني |
|---|---|---|
| فترة الاختبار | تاريخ محدد فقط | فترة زمنية محددة (عادة 6 أشهر أو سنة) |
| اختبار التصميم | مطلوب | مطلوب |
| اختبار التشغيل | غير مطلوب | مطلوب |
| مدة الفترة المغطاة | لحظة في الوقت | امتداد زمني |
| الاستخدام | عادة للتقارير المؤقتة أو الأولية | عادة للتقارير السنوية |
متى يهم الفرق على عملية المراجعة
عندما يراجع المدقق عملاء منظمة خدمات (مثل شركة اتصالات تستخدم معالج رواتب خارجي)، يجب على المدقق تقييم ما إذا كان يمكنه الاعتماد على ضوابط المعالج. تقرير ISAE 3402 من النوع الثاني يعطي ضمانات أقوى بكثير من التقرير من النوع الأول. إذا كان المعالج يصدر فقط تقرير النوع الأول، قد يضطر المدقق إلى تقليل الاعتماد على الضوابط وزيادة الاختبارات المباشرة.
تقرير النوع الثاني يوفر أدلة على أن الضوابط عملت طوال السنة بأكملها أو الفترة المحددة. هذا يسمح للمدقق بتقليل عينة اختباره الخاصة. تقرير النوع الأول لا يسمح بهذا الاعتماد في نفس الدرجة.
المصطلحات المرتبطة
- تقييم المخاطر: عملية تحديد المخاطر التي قد تؤثر على أهداف المنظمة.
- الضوابط الداخلية: السياسات والإجراءات التي تطبقها المنظمة للحفاظ على موثوقية المعالجات المالية.
- معيار الفحص الدولي 3000: المعيار الأوسع الذي يحكم جميع عمليات الفحص والتوكيد.
- تقرير النوع الثاني: تقرير شامل يغطي تصميم الضوابط وتشغيلها خلال فترة زمنية.
- معيار المراجعة 402: المعيار المقابل للمدققين عند الاعتماد على ضوابط المعالج.
- خدمات معالجة البيانات: منظمة توفر خدمات معالجة لعملائها.
أدوات ذات صلة
استخدم قائمة تقييم ضوابط ISAE 3402 لتوثيق الضوابط والاختبارات في عملياتك. تساعدك القائمة على التأكد من أنك تغطي جميع متطلبات معيار الفحص الدولي 3402 الفقرات 5 إلى 11.
---