كيف يعمل

معيار المراجعة ISAE 3402 يحدد نطاق وطبيعة تقرير SOC 1 (أيضاً يُعرف باسم تقرير الخدمة). يقيّم المراجع ما إذا كانت الضوابط الداخلية المصممة من قبل المنظمة خلال فترة معينة، والتي تؤثر على البيانات المالية للعملاء، قد تم تشغيلها بفعالية خلال تلك الفترة.
لا يقيّم تقرير SOC 1 مدى كفاية الضوابط ذاتها بالضرورة: بل يقيّم ما إذا كانت الضوابط المعلنة من قبل المنظمة تعمل فعلاً كما هو موضح. يتطلب معيار المراجعة ISAE 3402 الفقرات 53-65 أن يجمع المراجع أدلة كافية عن تصميم وتشغيل هذه الضوابط من خلال الملاحظة والاستفسار والاختبار.
هناك نوعان من تقارير SOC 1:
النوع الأول يقيّم ما إذا كانت ضوابط الخدمة قد تم تصميمها بشكل صحيح. التقرير يغطي فترة زمنية واحدة فقط ولا يتطلب اختبار تشغيلي فعلي على طول الفترة.
النوع الثاني يقيّم ما إذا كانت ضوابط الخدمة قد تم تصميمها بشكل صحيح وتعمل بفعالية طوال الفترة. هذا يتطلب من المراجع اختبار تشغيل الضوابط على أساس متكرر خلال الفترة المعنية (عادة فترة لا تقل عن ستة أشهر).

مثال عملي: شركة معالجة الرواتب

العميل: شركة معالجة الرواتب أوروبية، تخدم 200 عميل في الاتحاد الأوروبي، معالجة 50,000 دورة رواتب سنوية، إيرادات سنوية تبلغ 8.5 مليون يورو.
الشركة تقدم خدمات معالجة الرواتب الكاملة بما في ذلك الحسابات والتوزيع والتوافق مع القوانين الضريبية المحلية. العملاء يعتمدون على بيانات الرواتب المعالجة بشكل صحيح للإبلاغ المالي والالتزام الضريبي.
الخطوة 1: تحديد الضوابط ذات الصلة
يحدد المراجع أن الضوابط الرئيسية التي تؤثر على دقة الرواتب والامتثال تشمل: التحقق من الموظفين الجدد قبل الإدراج في النظام، اختبارات الحسابات الآلية قبل المعالجة الشاملة، مراجعة الأخطاء والاستثناءات يومياً من قبل موظف مستقل.
ملاحظة التوثيق: تم توثيق وصف الضابط وتصميمه في ملف العمل مع مرجع إلى سياسات الشركة المكتوبة.
الخطوة 2: تقييم كفاية الأدلة
للنوع الأول (التصميم فقط)، يجري المراجع استفسارات مع موظفي العمليات والإدارة، ويراجع السياسات والإجراءات المكتوبة، ويختبر عينة صغيرة من المعاملات لتأكيد أن الضوابط موجودة وتعمل في تاريخ واحد على الأقل.
ملاحظة التوثيق: نتائج الاستفسارات والمراجعة والاختبار موثقة مع إشارة محددة إلى الفترة المغطاة (على سبيل المثال، "اختبر على 31 مارس 2024").
الخطوة 3: اختبار التشغيل (النوع الثاني فقط)
إذا كان التقرير من النوع الثاني، يختبر المراجع فعالية كل ضابط طوال الفترة بأكملها (مثلاً 1 يناير حتى 30 يونيو 2024). هذا قد يشمل اختبار عينات من المعاملات من كل شهر، والتحقق من أن الضوابط عملت بشكل متسق.
ملاحظة التوثيق: نتائج الاختبار للفترة الكاملة موثقة مع أي انحرافات أو حالات فشل مكتشفة وكيفية معالجتها.
الخطوة 4: استنتاج المراجع
بعد جمع الأدلة، يخلص المراجع إلى ما إذا كانت الضوابط، كما هو موضح في بيان الأهداف والخصائص (SOC)، قد تم تصميمها بشكل صحيح (النوع الأول) أو تم تصميمها بشكل صحيح وعملت بفعالية (النوع الثاني).
في هذا المثال: "في رأينا، خلال الفترة من 1 يناير إلى 30 يونيو 2024، تم تصميم ضوابط خدمة شركة معالجة الرواتب بشكل صحيح وعملت بفعالية لتحقيق الأهداف المعلنة فيما يتعلق بدقة معالجة الرواتب."
ملاحظة التوثيق: النتيجة النهائية موثقة في التقرير مع توضيح أساس الخلاصة (الأدلة التي تم جمعها والاختبارات التي تم إجراؤها).
الاستنتاج: شركة معالجة الرواتب يمكنها الآن توزيع هذا التقرير على عملائها لإثبات أن ضوابط الخدمة الخاصة بها تعمل بفعالية. العملاء يمكنهم الاعتماد على التقرير كجزء من تقييمهم للمخاطر المتعلقة بمعالج الرواتب.

ما الذي يخطئ فيه المراجعون والممارسون

  • الخطأ الأول: الخلط بين النوع الأول والنوع الثاني. النوع الأول لا يتطلب اختبار التشغيل على مدى فترة طويلة: فقط التحقق من تصميم الضوابط. إذا قام المراجع بإجراء اختبار تشغيلي شامل لشهر واحد فقط وأصدر تقرير النوع الأول، فهو قد يبالغ في نطاق الضمان المقدم.
  • الخطأ الثاني: عدم توثيق الفترة الزمنية بوضوح. معيار المراجعة ISAE 3402 الفقرة 60 يتطلب أن يوضح التقرير الفترة التي غطاها التقييم. بعض التقارير تترك هذا غامضاً، مما يترك العملاء في عدم اليقين بشأن الوقت الذي تنطبق عليه النتائج.
  • الخطأ الثالث: تضمين جميع العمليات الداخلية للمنظمة في النطاق. تقرير SOC 1 يجب أن يركز على الضوابط التي تؤثر بشكل مباشر على بيانات العملاء المالية. إدراج أنظمة الموارد البشرية أو الخدمات اللوجستية التي لا علاقة لها يخفف من وضوح التقرير.

المصطلحات والمفاهيم ذات الصلة

---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.