كيف يعمل

عندما توفر منظمة الخدمات خدمات متكاملة في العمليات المالية الرئيسية للعميل، فإنك لا تستطيع تقييم فعالية الضوابط الداخلية للعميل بمعزل عن الضوابط التي تعمل داخل تلك المنظمة. معيار المراجعة 402.5 يتطلب منك تحديد ما إذا كان هناك احتمال معقول بأن منظمة الخدمات قد تؤثر بشكل مادي على قدرة العميل على تسجيل أو معالجة البيانات المالية.
في الممارسة الفعلية، تواجه فريقك سؤالاً بسيطاً: هل يمكن للعميل أن يعمل بدون هذه المنظمة؟ إذا كانت الإجابة لا (كما هي الحال مع معالج الرواتب المركزي أو منصة إدارة الفائدة)، فأنت أمام منظمة خدمات. معيار المراجعة 402.7 و402.8 ينصان على أنك تحتاج إما إلى الحصول على تقرير ISAE 3402 من تلك المنظمة أو إجراء اختبارات على الضوابط الخاصة بها بنفسك.
معظم الفرق تختار الخيار الأول (طلب تقرير من المنظمة) لأنه أرخص من إرسال فريق مراجعة إلى المنظمة نفسها. لكن تقرير ISAE 3402 (خاصة من نوع الخدمة بدون الاختبارات) لا يزيل المسؤولية الخاصة بك. الفقرة 402.12 توضح أنك تظل مسؤولاً عن تقييم ما إذا كانت المعلومات المقدمة من منظمة الخدمات كافية وموثوقة لأغراض المراجعة.

مثال عملي: بنك الرياض الإقليمي

عميل: شركة استثمارات سعودية، السنة المالية 2024، إيرادات 385 مليون ريال، معايير المحاسبة الدولية (IFRS).
يتعامل العميل مع بنك الرياض الإقليمي لمعالجة تحويلات الأموال الدولية وإدارة السيولة. هذا يعني أن البنك يسجل العمليات في نظام العميل من خلال تقويس آلي. إذا انقطع الاتصال بين نظام البنك ونظام العميل، فإن السجلات المالية قد تكون ناقصة أو مزدوجة.
الخطوة 1: تحديد مدى التأثير
ملاحظة التوثيق: وثّق في برنامج المراجعة أن معالج السيولة هو نقطة حساسة في دورة الإيراد والمقبوضات. دون المعالج، لا يمكن للعميل تسجيل مقبوضات العملات الأجنبية.
الخطوة 2: طلب تقرير ISAE 3402
ملاحظة التوثيق: اطلب من المنظمة تقرير ISAE 3402 من النوع الثاني (يتضمن اختبارات الضوابط). وثّق تاريخ الطلب والتاريخ المتوقع للاستقبال.
الخطوة 3: تقييم التقرير عند الاستقبال
ملاحظة التوثيق: تحقق من أن نطاق التقرير يغطي العمليات التي يؤديها البنك للعميل (تحويلات الأموال وإدارة السيولة، وليس فقط تحويلات منتظمة). تأكد من أن الفترة التي يغطيها التقرير تتطابق مع فترة المراجعة أو تسبقها بفترة قصيرة.
الخطوة 4: تقييم ما إذا كان التقرير كافياً
ملاحظة التوثيق: إذا كان التقرير من النوع الأول (بدون اختبارات)، فإنك تحتاج إلى اختبار الضوابط بنفسك. إذا كان من النوع الثاني ولم يكن هناك نتائج سلبية، فيمكنك الاعتماد على الضوابط المختبرة من قبل مراجع البنك.
الخلاصة: منظمة الخدمات التي تؤثر على سجلات الفائدة والسيولة تتطلب اختبار الضوابط الخاصة بها. تقرير ISAE 3402 من النوع الثاني يوثق أن الضوابط موجودة وفعالة، لكن مسؤوليتك أن تقرر ما إذا كان ذلك كافياً لأغراض المراجعة.

ما يخطئ فيه المراجعون والفرق

الخطأ الأول: عدم تحديد منظمة خدمات موجودة. معظم ملفات المراجعة في شركات البيوت المالية والمصارف الاستثمارية تحتوي على منظمات خدمات متعددة (معالج الرواتب، معالج السيولة، نظام إدارة الاستثمارات المركزي). معيار المراجعة 402.5 يتطلب تقييماً واضحاً لكل من هذه الأنظمة. معظم الملفات توثق اثنين فقط وتترك الباقي بدون تقييم.
الخطأ الثاني: قبول تقرير ISAE 3402 من النوع الأول دون اختبار إضافي. تقارير النوع الأول توثق أن الضوابط موجودة فقط (وليس أنها فعالة). الفقرة 402.12 تتطلب منك تحديد ما إذا كان التقرير "ذي صلة" بالمراجعة. قبول تقرير من النوع الأول دون إجراء اختبارات على الضوابط بنفسك يترك فجوة في التوثيق لا يمكن الدفاع عنها.
الخطأ الثالث: عدم مراجعة نطاق تقرير ISAE 3402. نطاق التقرير قد يكون محدوداً: قد يغطي معالجة الرواتب الروتينية لكن ليس الموازنات أو الضبط اليدوي. الملفات التي تقبل التقرير بدون قراءة التفاصيل قد تعتمد على ضوابط لم يتم اختبارها فعلاً.

شروط محددة: متى تحتاج إلى منظمة خدمات مُقيّمة

المواقف التي تتطلب تقييماً كاملاً لمنظمة الخدمات:
المواقف التي قد تكون فيها منظمة الخدمات غير حساسة:

  • معالج الرواتب (يسجل جميع الرواتب والاستقطاعات وحسابات المزايا)
  • نظام إدارة الاستثمارات المركزي (يسجل جميع العمليات وحساب الأرباح والخسائر)
  • منصة معالجة الفائدة للبنوك الاستثمارية
  • نظام المبيعات المركزي الذي يسجل جميع الإيرادات تلقائياً
  • معالج التقاعد أو خطط المزايا المحددة
  • نظام تخزين الوثائق (بدون وصول مباشر إلى البيانات المالية)
  • أداة إعداد التقارير المخصصة (تقرأ البيانات فقط، لا تكتبها)
  • مزود البريد الإلكتروني الخارجي

الشروط التي يفتقدها المراجعون كثيراً

في كثير من الأحيان، منظمة الخدمات موجودة لكن اسمها غير واضح. على سبيل المثال:
الفقرة 402.3 تعرّف منظمة الخدمات على أنها "كيان خارجي يوفر خدمات أو أنظمة". هذا يشمل الاستضافة السحابية والعمليات المُدارة والخدمات القائمة على الويب، وليس فقط مقدمي الخدمات التقليديين مثل معالجات الرواتب.

  • شركة استشارية توفر خدمة "إدارة التحويلات" قد تكون المسؤول الفعلي عن معالجة بيانات الفائدة اليومية.
  • مورد خدمات سحابية قد يستضيف نظام إدارة المخزون ويعمل بشكل مباشر على البيانات.

الشروط المتعلقة: الاستثناءات والحالات الخاصة

معيار المراجعة 402.6 يسمح بحالة استثناء: إذا كانت منظمة الخدمات توفر خدمات غير جوهرية (على سبيل المثال، استضافة موقع ويب لكن ليس معالجة بيانات البيع)، فقد لا تحتاج إلى تقييم كامل. الاستثناء نادر في الممارسة لأن معظم الأنظمة المدمجة في دورات العمليات الرئيسية حساسة حكماً.

المصطلحات ذات الصلة

معيار المراجعة 402: المعيار الدولي الذي يحكم عمليات التقرير على منظمات الخدمات.
تقرير ISAE 3402: التقرير الذي تصدره منظمة الخدمات لتوثيق ضوابطها.
الضوابط الداخلية: الأنظمة التي تدير المخاطر. عندما تكون موزعة بين العميل ومنظمة الخدمات، يجب فهم كليهما.
اختبار الضوابط: الإجراء الذي تستخدمه عندما لا يكون تقرير ISAE 3402 متوفراً أو كافياً.
دورة الرواتب: الدورة الأكثر شيوعاً التي تنطوي على منظمة خدمات خارجية.
إدارة البيانات المالية: العملية الأوسع التي قد تشمل منظمات خدمات متعددة.

استخدم أداة تقييم منظمات الخدمات

توفر منصة ciferi.com أداة لمساعدتك على تحديد ما إذا كان الكيان الذي تقيمه يستوفي معايير "منظمة الخدمات" بموجب معيار المراجعة 402.1. تعمل الأداة من خلال سؤالك عن طبيعة الخدمة والعمليات التي تؤثر عليها، ثم تنتج قائمة بالاختبارات الموصى بها والشروط المطلوبة للتوثيق.
---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.