كيف يعمل

يُصدر تقرير النوع الثاني عندما يريد مزود خدمة إثبات أن أنظمة التحكم لديه ليست فقط مصممة بشكل صحيح، بل تعمل بفعالية على مدى فترة زمنية. تحدد الفقرة ISAE 3402.20 أن المراجع يجب أن يحصل على أدلة كافية حول تشغيل الضوابط، بما في ذلك ملاحظة التشغيل والاستفسار عن أي تغييرات خلال الفترة.
يختلف هذا عن تقرير النوع الأول في نقطة محورية: النوع الأول يصف الضوابط في نقطة زمنية محددة فقط. النوع الثاني ينص على أن المراجع فحص الأدلة على تشغيل تلك الضوابط خلال الفترة بأكملها. هذا يعني اختبار سجلات النظام، المعاملات الفعلية، والوثائق المتعلقة بإعادة المعايرة أو الأخطاء المكتشفة والمصححة.
الفترة الزمنية لا تقل عن ستة أشهر بموجب معيار ISAE 3402.A53. الممارسة الشائعة هي 12 شهراً. المراجع يختبر عينة من المعاملات على مدى تلك الفترة، لا عينة من نقطة واحدة في الوقت. إذا فشل ضابط خلال الفترة ثم تم إصلاحه، يجب على المراجع توثيق الفشل والتصحيح والأدلة على أن التصحيح كان فعالاً.

مثال عملي: شركة الحسابات الرقمية

العميل: شركة معالجة الرواتب الإسكندرية للخدمات، تقدم خدمات معالجة الرواتب للشركات الصغيرة والمتوسطة. تقرر إصدار تقرير ISAE 3402 النوع الثاني للسنة المالية 2024 (من 1 يناير إلى 31 ديسمبر 2024).
الخطوة 1: تحديد الضوابط الذاتية والوصفة
شركة الحسابات الرقمية تعمل على نظام معالجة رواتب يتعامل مع 450 عميل. يسأل المراجع: ما الضوابط التي توفر ضمانات معقولة بأن بيانات الرواتب (الساعات، معدلات الأجر، الخصومات) مدخلة بشكل صحيح وأن الدفع يحدث بشكل دقيق؟
تم تحديد ثلاثة ضوابط رئيسية:
ملاحظة توثيقية: تم تحديد هذه الضوابط في قائمة مصفوفة ضوابط ISAE 3402 الخاصة بالعميل. يحتوي كل صف على الهدف الرقابي والنشاط وتكرار الاختبار المخطط له.
الخطوة 2: اختبار تصميم الضابط (كما في النوع الأول)
المراجع يفحص نظام النقاط الرقابية للتحقق من أنها موجودة فعلاً كما وصفتها الإدارة. يلاحظ الفحص التلقائي على الشاشة، يؤكد أن إجراء المراجعة موضح في المستندات، ويرى دليلاً على إجراء المقارنة الشهرية.
ملاحظة توثيقية: ملخص الملاحظة: 'تم تأكيد أن جميع الضوابط الثلاثة موجودة كما وصفتها الإدارة في التاريخ 15 فبراير 2024 (نقطة الملاحظة).' يتم حفظ لقطات الشاشة، سجلات النظام، والمستندات المرجعية.
الخطوة 3: اختبار تشغيل الضابط على مدى الفترة بأكملها (خاص بالنوع الثاني فقط)
هنا يأتي الفرق الأساسي. المراجع لا يتوقف عند تأكيد وجود الضوابط. بل يختبر أنها عملت على مدى الفترة بأكملها (1 يناير إلى 31 ديسمبر 2024).
بالنسبة لضابط التحقق التلقائي من الساعات: المراجع يختار عينة من 40 دفعة رواتب منتشرة على مدى السنة (أسبوعية من مايو، يوليو، سبتمبر، نوفمبر). لكل دفعة، يفحص سجل النظام للتحقق من أن التحقق الآلي قد حدث بالفعل (سجل خطأ أم لا). إذا كان هناك خطأ (مثل إدخال 75 ساعة)، هل تم رفع الفاتورة أم رفضها من قبل النظام؟
نتيجة العينة: 38 من 40 دفعة تم فيها تفعيل الضابط بنجاح. دفعتان (في أغسطس وأكتوبر) لم يتم اكتشافهما تلقائياً. المراجع يتحقق: لماذا؟ يتضح أنه كان هناك إصلاح للنظام في يومي 8 و10 أغسطس، ولم يعد الضابط فعالاً لمدة ثلاثة أيام.
ملاحظة توثيقية: 'اختبار عينة من 40 دفعة رواتب عبر 12 شهر. اكتشاف: الضابط التلقائي لم يكن فعالاً من 8 إلى 10 أغسطس 2024. تم إصلاح النظام. تم التحقق من أنه عاد للعمل في 11 أغسطس. الدفعات المؤثرة: صفر خطأ (تم اكتشافها يدوياً من قبل الفريق). الخلاصة: الضابط يعمل بفعالية على مدى الفترة مع الاستثناء الموثق.'
بالنسبة لضابط المراجعة اليدوية: المراجع يطلب سجلات التوقيع للمسؤول عن كل شهر (12 ملف). يختار عينة من 50 دفعة رواتب ويتحقق من أن كل واحدة حملت توقيع المسؤول قبل الإطلاق.
نتيجة العينة: 50 من 50 دفعة موقعة.
ملاحظة توثيقية: 'اختبر 50 دفعة رواتب موزعة على 12 شهر (4-5 من كل شهر). كل 50 لديها توقيع المسؤول (محمد الحمادي) قبل الإطلاق. الضابط يعمل بفعالية على مدى الفترة بأكملها.'
بالنسبة لضابط المقارنة الشهرية: المراجع يطلب 12 نسخة من التقرير المقارن الشهري ويختار 6 أشهر عشوائية. يتحقق من أن المقارنة تمت بالفعل وتم حفظ النتائج (سجل موقع أو بريد إلكتروني يوثق المراجعة).
نتيجة العينة: 6 من 6 أشهر لديها دليل على أن المقارنة تمت والنتائج تم مراجعتها.
ملاحظة توثيقية: 'اختبر 6 أشهر من أصل 12 (يناير، مارس، مايو، يوليو، سبتمبر، نوفمبر). كل 6 لديها تقرير مقارنة موقع من المسؤول. الضابط يعمل بفعالية.'
الخطوة 4: توثيق أي تغييرات في الضوابط أو النظام خلال الفترة
المراجع يسأل: هل حدثت أي تغييرات كبيرة على النظام أو الضوابط خلال السنة؟
الإجابة: تم ترقية نظام معالجة الرواتب في 1 سبتمبر 2024. قبل التاريخ، كانت المقارنة الشهرية يدوية تماماً (جدول البيانات). بعد التاريخ، أصبحت تلقائية.
المراجع يختبر كلا النسختين: العينة من يناير إلى أغسطس تفحص المقارنات اليدوية. العينة من سبتمبر إلى ديسمبر تفحص المقارنات التلقائية. كلاهما يعمل كما هو متوقع.
ملاحظة توثيقية: 'ملاحظة تغيير النظام: ترقية نظام الرواتب على 1 سبتمبر 2024. نموذج الاختبار: قبل التاريخ = اختبر المقارنات اليدوية (5 عينات من يناير إلى أغسطس). بعد التاريخ = اختبر المقارنات التلقائية (4 عينات من سبتمبر إلى ديسمبر). النتيجة: كلاهما يعمل بفعالية. لم تُكتشف أخطاء في الفترة الانتقالية.'
الخلاصة: مسودة الرأي
على أساس اختبار تصميم وتشغيل هذه الضوابط، يصل المراجع إلى الخلاصة: ضوابط شركة الحسابات الرقمية على معالجة الرواتب مصممة بشكل فعال وعملت بفعالية خلال الفترة من 1 يناير إلى 31 ديسمبر 2024 (باستثناء فترة الصيانة المعروفة في أغسطس، التي تم معالجتها). هذا هو رأي النوع الثاني.

  • التحقق التلقائي من أن إدخالات الساعات لا تتجاوز 60 ساعة أسبوعياً
  • المراجعة اليدوية من قبل المسؤول عن كل دفع رواتب قبل إطلاقه (الفحص والتوقيع)
  • المقارنة الشهرية لمجموع الرواتب المدفوعة مقابل تقرير النظام

تقرير النوع الثاني مقابل تقرير النوع الأول

| الجانب | تقرير النوع الثاني | تقرير النوع الأول |
|---|---|---|
| الفترة الزمنية | حد أدنى ستة أشهر | نقطة زمنية محددة (مثل 31 ديسمبر) |
| رأي المراجع | يغطي التصميم والتشغيل الفعلي على مدى الفترة | يغطي التصميم فقط في تاريخ محدد |
| الاختبارات المطلوبة | اختبار عينات من التشغيل على مدى الفترة | فحص الوثائق والملاحظة في نقطة واحدة |
| متى يُستخدم | العملاء يريدون ضمان فعالية مستمرة | التقييم السريع للتصميم |
| الطول والتعقيد | أطول، أكثر تفصيلاً | أقصر، أقل اختبارات |
| المخاطر | إذا لم تختبر التشغيل الفعلي، قد تفوتك أخطاء حدثت ثم تم إصلاحها | قد لا تكتشف مشاكل بدأت بعد تاريخ الملاحظة |

ما يخطئ فيه المراجعون والعملاء

  • الفشل في اختبار التشغيل على مدى الفترة: يحدث هذا عندما يختبر المراجع ضابط النوع الثاني كما لو كان النوع الأول، أي يختبره في نقطة واحدة فقط بدلاً من اختبار عينات موزعة على الفترة بأكملها. FRC لاحظت هذا في تقاريرها الإشرافية، حيث كان المراجعون يصدرون رأي النوع الثاني لكن الملفات لا تحتوي على دليل على اختبار التشغيل الفعلي.
  • عدم توثيق التغييرات في الضوابط أو النظام: معيار ISAE 3402.A54 يتطلب أن يفحص المراجع أي تغييرات جوهرية على الضوابط أو النظام خلال الفترة. الممارسة الشائعة هي تخطي هذا، خاصة إذا تم إصلاح مشكلة ويبدو أنها "تم التعامل معها." المراجع يجب أن يختبر أن الإصلاح كان فعالاً.
  • عدم توثيق الأخطاء المكتشفة والمصححة خلال الفترة: إذا اكتشفت الضوابط خطأً وتم تصحيحه قبل النهاية (مثل العبء الزائد الذي تم اكتشافه في يوليو والذي تم إصلاحه في أغسطس)، يجب على المراجع أن يختبر كل من الاكتشاف والتصحيح وأن يوثق تأثيره على البيانات المالية.
  • حجم العينة غير كافٍ: معيار ISAE 3402 لا يحدد حجم عينة رقمي، لكنه يتطلب أن تكون العينة كافية للدعم الآراء. عينة من 5 معاملات على مدى 12 شهراً ليست كافية. العملية الشائعة: 30-50 معاملة على الأقل، موزعة بالتساوي على الفترة.

الشروط المتعلقة بها

---

  • تقرير النوع الأول: يوثق تصميم الضوابط في نقطة زمنية محددة فقط، دون اختبار التشغيل الفعلي على مدى فترة.
  • ISAE 3402: المعيار الدولي الذي يحكم تقارير مزودي الخدمات؛ يحدد متطلبات النوع الأول والنوع الثاني.
  • عينة الاختبار: مجموعة من المعاملات أو السجلات المختارة لاختبار ما إذا كان الضابط يعمل على مدى الفترة.
  • فترة التقرير: الفترة الزمنية التي يغطيها تقرير النوع الثاني (الحد الأدنى ستة أشهر).
  • الضابط الرقابي: نشاط أو إجراء يعمل على تقليل المخاطر المرتبطة بمعالجة العملاء (مثل المراجعة اليدوية، التحقق الآلي).

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.