Definition
منظمة الخدمة الفرعية (Subservice Organization) هي طرف ثالث تستخدمه منظمة الخدمة نفسها لأداء جزء من الخدمات التي تقدمها للعميل. معيار ISAE 3402.9(j) ومعيار المراجعة 402.8 يُدرجانها ضمن نطاق اختبار المراجع، لأن فشل ضوابطها قد يتدفق إلى القوائم المالية للعميل حتى لو لم تتعامل معها المنشأة مباشرة.
كيف تعمل
الفرق الرئيسي بين منظمة الخدمة ومنظمة الخدمة الفرعية هو العلاقة التعاقدية. منظمة الخدمة (Service Organization) تتعاقد مباشرة مع العميل وتُقدم له الخدمات. منظمة الخدمة الفرعية تتعاقد مع منظمة الخدمة، وليس مع العميل. سلسلة المسؤولية: العميل ← منظمة الخدمة ← منظمة الخدمة الفرعية.
معيار ISAE 3402.21 يُتيح لمنظمة الخدمة اختيار إحدى طريقتين لمعالجة ضوابط منظمة الخدمة الفرعية في تقريرها: الطريقة الشاملة (Inclusive Method) تضم ضوابط منظمة الخدمة الفرعية داخل تقرير ISAE 3402 وتختبرها الشركة المراجعة لمنظمة الخدمة مباشرة. الطريقة المستبعدة (Carve-Out Method) تستبعد هذه الضوابط من التقرير وتُلقي مسؤولية الحصول على تأكيد مستقل على منظمة الخدمة الفرعية على المستخدم (العميل) أو مراجعه.
معيار المراجعة 402.12 يتطلب من مراجع العميل، عند وجود طريقة Carve-Out، أن يُحدد ما إذا كانت ضوابط منظمة الخدمة الفرعية ذات صلة بإقرارات القوائم المالية للعميل. إن كانت ذات صلة، يجب الحصول على فهم لتلك الضوابط إما من خلال تقرير ISAE 3402 منفصل لمنظمة الخدمة الفرعية، أو عبر إجراءات بديلة (زيارة، استبيان، اختبار المخرجات في دفاتر العميل). عدم اختبار الضوابط ذات الصلة يُعدّ فجوة في أدلة المراجعة.
مثال عملي: Elettronica Distribuzione Veneto S.r.l.
العميل: شركة إيطالية لتوزيع المنتجات الإلكترونية في شمال إيطاليا، الإيرادات السنوية 42 مليون يورو، تقرير وفقاً لمعايير IFRS.
الموقف: تستخدم الشركة مزود خدمات الرواتب Zucchetti S.p.A. لمعالجة رواتب 145 موظفاً شهرياً (منظمة خدمة). Zucchetti بدورها تستخدم شركة SIA S.p.A. (منظمة خدمة فرعية) لمعالجة تحويلات SEPA البنكية. تقرير ISAE 3402 الذي تلقاه المراجع من Zucchetti استخدم طريقة Carve-Out واستبعد ضوابط SIA.
الخطوة 1: تحديد منظمة الخدمة الفرعية وعلاقتها
سلسلة الخدمات: Elettronica Distribuzione ← Zucchetti (خدمة) ← SIA (خدمة فرعية). SIA تُنفذ تحويلات الرواتب الفعلية إلى حسابات الموظفين في Intesa Sanpaolo وUniCredit وغيرها. فشل ضوابط SIA يؤدي إلى تحويلات خاطئة مباشرة تُسجل في دفاتر العميل كمصروفات رواتب.
ملاحظة التوثيق: رسم خريطة مسار المعاملة في ملف التخطيط، تُحدد كل نقطة تحكم وفي أي جهة تقع. هذا يسمح بتقييم ما إذا كانت ضوابط SIA ذات صلة بإقرارات "الاكتمال" و"الدقة" لمصروف الرواتب في القوائم المالية للعميل.
الخطوة 2: تقييم الصلة بإقرارات القوائم المالية
مصروف الرواتب السنوي 6,8 مليون يورو، أي حوالي 16% من الإيرادات. هذا أعلى بكثير من أهمية الأداء (1,1 مليون يورو). الإقرار المعني هو الدقة والاكتمال — هل المبالغ المُحولة فعلياً تطابق المبالغ المحسوبة في نظام الرواتب. فشل ضوابط SIA في إدخال IBAN خاطئ أو مزدوجة التحويل سيتدفق مباشرة إلى البنود المحاسبية.
ملاحظة التوثيق: ورقة تقييم الصلة تحدد أن ضوابط SIA ذات صلة، وأن طريقة Carve-Out تترك فجوة يجب ملؤها بإجراءات إضافية.
الخطوة 3: الحصول على أدلة بديلة
المراجع اتخذ قراراً مزدوجاً. أولاً: طلب من SIA تقديم تقرير ISAE 3402 منفصل مباشرة. SIA قدمت تقرير Type II يغطي الفترة من 1 أكتوبر 2023 إلى 30 سبتمبر 2024، بينما سنة العميل المالية تنتهي في 31 ديسمبر 2024. الفجوة من أكتوبر إلى ديسمبر 2024 لم يغطها التقرير. ثانياً: لسد الفجوة، المراجع اختبر عينة من 30 تحويل رواتب في الربع الرابع من 2024 بمطابقة بيانات IBAN في نظام Zucchetti مع كشوف حسابات بنك العميل، وتحقق من أن المبالغ الصادرة تطابق كشوف Zucchetti بالضبط.
ملاحظة التوثيق: ورقة إجراءات بديلة بموجب معيار المراجعة 402.15 تُسجل قرار الاعتماد الجزئي على تقرير SIA Type II واختبار العينة للفجوة. نسخة من التقرير والعينة محفوظة في ملف المراجعة.
ما يخطئ فيه المراجعون
- قبول تقرير ISAE 3402 Carve-Out دون اختبار الفجوة: كثير من فرق المراجعة تقبل تقرير منظمة الخدمة دون التحقق من طريقة معالجة منظمات الخدمة الفرعية. معيار المراجعة 402.12 صريح — عندما يُستبعد تقرير ضوابط منظمة الخدمة الفرعية، يجب على مراجع العميل إما الحصول على تقرير منفصل للمنظمة الفرعية أو تنفيذ إجراءات بديلة. تجاهل هذا يُعدّ فجوة في الأدلة.
- إغفال فجوة التغطية الزمنية بين تقرير ISAE 3402 وسنة العميل المالية: تقارير Type II عادة تغطي فترة 12 شهراً لا تتطابق بالضرورة مع السنة المالية للعميل. معيار المراجعة 402.15 يتطلب من المراجع تقييم أي فجوة وتنفيذ إجراءات لسدها، مثل الاستفسار من الإدارة عن التغييرات في الضوابط أو اختبار عينة من المعاملات في الفجوة.
- الاعتماد على تأكيدات شفهية من منظمة الخدمة بشأن ضوابط منظمتها الفرعية: معيار المراجعة 402.11 يتطلب أدلة موضوعية، وليس ادعاءات منظمة الخدمة. ادعاء Zucchetti مثلاً بأن "SIA لديها ضوابط جيدة" لا يمنح المراجع أدلة كافية. يجب الحصول على تقرير مستقل أو اختبار المخرجات مباشرة في دفاتر العميل.
- عدم تحديث تقييم مخاطر منظمة الخدمة الفرعية عند تغير مقدم الخدمة: عندما تغير منظمة الخدمة مقدم الخدمة الفرعية خلال السنة (مثلاً انتقال Zucchetti من SIA إلى Nexi Payments)، يجب على المراجع إعادة تقييم الضوابط الجديدة بالكامل. معيار المراجعة 315.16 يتطلب ذلك كجزء من متابعة التغييرات في بيئة الرقابة. الملفات التي تعتمد على تقييم السنة السابقة دون مراجعة التغييرات تُخاطر بعدم كشف ضعف جوهري جديد في الضوابط.
منظمة الخدمة مقابل منظمة الخدمة الفرعية
| البعد | منظمة الخدمة | منظمة الخدمة الفرعية |
|--------|------------|-------------|
| الطرف المستقبل للخدمة | المنظمة الرئيسية مباشرة | منظمة الخدمة (وليس المنظمة الرئيسية) |
| المسؤولية عن السيطرة | مسؤولة مباشرة عن السيطرات على الخدمات | مسؤولة عن السيطرات التي تؤثر على خدمات منظمة الخدمة |
| تقرير معيار المراجعة 402 | عادة ما يكون ضروري | قد يكون ضروري إذا كانت الخدمات جوهرية |
| تأثير الفشل | يؤثر مباشرة على المنظمة الرئيسية | يؤثر على منظمة الخدمة، الذي بدوره يؤثر على المنظمة الرئيسية |
المصطلحات ذات الصلة
منظمة الخدمة: الطرف الذي يتعاقد مباشرة مع العميل ويستخدم منظمة الخدمة الفرعية في الخلفية.
ISAE 3402: المعيار الدولي لتقارير ضوابط منظمات الخدمة، الذي يُحدد طريقتي Inclusive وCarve-Out.
ISAE 3402 مقابل SOC 1: الفرق بين المعيار الدولي والمعيار الأمريكي لتقارير الضوابط.
مخاطر الرقابة: الخطر الذي يتأثر مباشرة بفعالية ضوابط منظمة الخدمة الفرعية.
تقييم الرقابة الداخلية: الإطار الذي تُدمج فيه ضوابط منظمة الخدمة الفرعية كامتداد لضوابط العميل.