تقرير النوع الثاني

ما يحدث فعلياً قبل أن يصل المعيار

في مكتبنا، رأينا الملف يُبنى بالعكس. يبدأ الفريق من الرأي الموقّع في فبراير، ثم يبحث عمّا يدعمه. فحص واحد للضابط الآلي. توقيع المسؤول على عينة صغيرة. تقرير مقارنة شهري واحد. ينتهي العام والملف يحوي صوراً متفرقة من الفترة، لا اختباراً يغطي الفترة. هذه إجراءات صورية بالمعنى الحرفي: نشاط فحص موجود، لكن دون منطق عينة يربطه بفترة الرأي.

تحدد الفقرة ISAE 3402.20 ما يُفترض أن يحدث: الحصول على أدلة كافية حول تشغيل الضوابط طوال الفترة، بما يشمل ملاحظة التشغيل والاستفسار عن أي تغييرات. الفقرة A53 تضع الحد الأدنى عند ستة أشهر. الفقرة A54 تتطلب فحص أي تغييرات جوهرية في النظام أو الضوابط خلال الفترة.

من واقع خبرتنا، الفجوة الحقيقية ليست في معرفة المعيار. هي في تصميم العينة. النوع الأول يختبر الضابط في تاريخ واحد. النوع الثاني يختبر الضابط على مدى فترة. لكن إذا كان ملفك يحوي عينة بحجم 5 معاملات لرأي يغطي 12 شهراً، فأنت تصدر رأي النوع الثاني بأدلة النوع الأول. الملف يجب أن يروي قصة فترة كاملة، لا قصة يوم.

تختلف فترة التقرير حسب احتياج عميل مزود الخدمة. الممارسة الشائعة 12 شهراً، لتتوافق مع السنة المالية للعملاء المستخدمين. ستة أشهر هو الحد الأدنى، ويُستخدم عادة للتقرير الأول قبل الانتقال إلى دورة سنوية. أقل من ذلك مرفوض بموجب 3402.A53.

مثال عملي: شركة معالجة الرواتب الإسكندرية

العميل: شركة معالجة الرواتب الإسكندرية للخدمات تقدم معالجة الرواتب لـ 450 شركة صغيرة ومتوسطة. تقرر إصدار تقرير ISAE 3402 النوع الثاني للسنة المالية 2024 (1 يناير إلى 31 ديسمبر 2024).

الخطوة 1: تحديد الضوابط الرئيسية والوصف يعمل العميل على نظام معالجة رواتب يخدم 450 منشأة. يسأل المراجع: ما الضوابط التي توفر ضماناً معقولاً بأن بيانات الرواتب (الساعات، معدلات الأجر، الخصومات) تُدخَل بشكل صحيح وأن الدفع يحدث بدقة؟

تم تحديد ثلاثة ضوابط رئيسية: - التحقق التلقائي من أن إدخالات الساعات لا تتجاوز 60 ساعة أسبوعياً - المراجعة اليدوية من المسؤول على كل دفعة رواتب قبل الإطلاق (الفحص والتوقيع) - المقارنة الشهرية لمجموع الرواتب المدفوعة مقابل تقرير النظام

ملاحظة توثيقية: حُددت هذه الضوابط في مصفوفة ضوابط ISAE 3402 الخاصة بالعميل. كل صف يحتوي على الهدف الرقابي والنشاط وتكرار الاختبار المخطط.

الخطوة 2: اختبار تصميم الضابط (كما في النوع الأول) يفحص المراجع نظام نقاط الرقابة للتحقق من وجودها فعلاً كما وصفتها الإدارة. يلاحظ الفحص التلقائي على الشاشة، يؤكد توثيق إجراء المراجعة، ويرى دليلاً على إجراء المقارنة الشهرية.

ملاحظة توثيقية: 'تم تأكيد أن جميع الضوابط الثلاثة موجودة كما وصفتها الإدارة في التاريخ 15 فبراير 2024 (نقطة الملاحظة).' تُحفظ لقطات الشاشة، سجلات النظام، والمستندات المرجعية.

الخطوة 3: اختبار تشغيل الضابط على مدى الفترة (خاص بالنوع الثاني) هنا يقع الفرق الأساسي. لا يتوقف المراجع عند تأكيد وجود الضوابط، بل يختبر أنها عملت طوال الفترة (1 يناير إلى 31 ديسمبر 2024).

بالنسبة لضابط التحقق التلقائي من الساعات: يختار المراجع عينة من 40 دفعة رواتب موزعة على السنة (أسبوعية من مايو ويوليو وسبتمبر ونوفمبر). لكل دفعة، يفحص سجل النظام للتحقق من حدوث التحقق الآلي فعلاً.

نتيجة العينة: 38 من 40 دفعة فُعّل فيها الضابط بنجاح. دفعتان (في أغسطس وأكتوبر) لم يُكتشفا تلقائياً. يتحقق المراجع: لماذا؟ يتضح أن إصلاح النظام في 8 و10 أغسطس عطّل الضابط لثلاثة أيام.

هنا تتولد لحظة الحكم. الإدارة تقول إن الضابط استُعيد في 11 أغسطس، وأن الفريق اكتشف الدفعات يدوياً، وأن الأثر صفر. حسب خبرتي في هذا المجال، السؤال الذي يفصل بين الرأي المعدّل وغير المعدّل ليس "هل صُحّح الفشل؟" بل "هل كان الكشف اليدوي ضابطاً مصمماً، أم تصرفاً عرضياً من موظف انتبه؟" إذا كان عرضياً، فالضابط البديل غير موجود فعلاً، والاستثناء يدخل التقرير.

ملاحظة توثيقية: 'اختبار عينة من 40 دفعة رواتب عبر 12 شهراً. اكتشاف: الضابط التلقائي لم يكن فعالاً من 8 إلى 10 أغسطس 2024. أُصلح النظام. أُكّد عودة الضابط للعمل في 11 أغسطس. الدفعات المتأثرة: صفر خطأ مادي (اكتشفها الفريق يدوياً). الخلاصة: الضابط يعمل بفعالية على مدى الفترة مع الاستثناء الموثق.'

بالنسبة لضابط المراجعة اليدوية: يطلب المراجع سجلات توقيع المسؤول لكل شهر (12 ملفاً). يختار 50 دفعة رواتب ويتحقق من توقيع المسؤول على كل واحدة قبل الإطلاق. 50 من 50 موقّعة.

ملاحظة توثيقية: 'اختُبرت 50 دفعة رواتب موزعة على 12 شهراً (4-5 من كل شهر). جميعها تحمل توقيع المسؤول (محمد الحمادي) قبل الإطلاق. الضابط يعمل بفعالية على مدى الفترة بأكملها.'

بالنسبة لضابط المقارنة الشهرية: يطلب المراجع 12 نسخة من التقرير المقارن الشهري ويختار 6 أشهر عشوائية. يتحقق من إجراء المقارنة وحفظ النتائج (سجل موقع أو بريد إلكتروني يوثق المراجعة). 6 من 6 أشهر لديها دليل.

ملاحظة توثيقية: 'اختُبرت 6 أشهر من أصل 12 (يناير، مارس، مايو، يوليو، سبتمبر، نوفمبر). كل 6 لديها تقرير مقارنة موقع من المسؤول. الضابط يعمل بفعالية.'

الخطوة 4: توثيق التغييرات في الضوابط أو النظام خلال الفترة يسأل المراجع: هل حدثت تغييرات كبيرة على النظام أو الضوابط خلال السنة؟

نعم. رُقّي نظام معالجة الرواتب في 1 سبتمبر 2024. قبل التاريخ، كانت المقارنة الشهرية يدوية بالكامل (جدول بيانات). بعده، أصبحت تلقائية.

يختبر المراجع كلا النسختين: عينة من يناير إلى أغسطس تفحص المقارنات اليدوية. عينة من سبتمبر إلى ديسمبر تفحص المقارنات التلقائية. كلاهما يعمل كما هو متوقع.

ملاحظة توثيقية: 'ترقية نظام الرواتب في 1 سبتمبر 2024. نموذج الاختبار: قبل التاريخ = اختبار المقارنات اليدوية (5 عينات من يناير إلى أغسطس). بعد التاريخ = اختبار المقارنات التلقائية (4 عينات من سبتمبر إلى ديسمبر). النتيجة: كلاهما يعمل بفعالية. لم تُكتشف أخطاء في الفترة الانتقالية.'

الخلاصة: مسودة الرأي بناءً على اختبار تصميم وتشغيل هذه الضوابط، يصل المراجع إلى الخلاصة: ضوابط شركة معالجة الرواتب الإسكندرية على معالجة الرواتب مصممة بفعالية وعملت بفعالية خلال الفترة من 1 يناير إلى 31 ديسمبر 2024 (باستثناء فترة الصيانة الموثقة في أغسطس). هذا هو رأي النوع الثاني.

تقرير النوع الثاني مقابل تقرير النوع الأول

ما يخطئ فيه المراجعون والعملاء

غياب اختبار التشغيل على مدى الفترة هو الفشل النموذجي. يحدث عندما يختبر المراجع ضابط النوع الثاني كأنه النوع الأول، أي يختبره في نقطة واحدة بدلاً من عينات موزعة على الفترة. لاحظت SOCPA هذا النمط في تقارير ملاحظات الفحص المتكررة: مراجعون يصدرون رأي النوع الثاني وملفاتهم لا تحوي دليلاً على اختبار التشغيل الفعلي.

عدم توثيق التغييرات في الضوابط أو النظام إخفاق هيكلي آخر. تتطلب الفقرة ISAE 3402.A54 فحص أي تغييرات جوهرية على الضوابط أو النظام خلال الفترة. الممارسة الشائعة هي تجاهل هذا، خصوصاً إذا أُصلحت مشكلة وبدا أنها "عولجت." المراجع يجب أن يختبر فعالية الإصلاح ذاته، لا أن يكتفي بوجوده.

عدم توثيق الأخطاء المكتشفة والمصححة يأتي ثالثاً. إذا اكتشفت الضوابط خطأً وصُحّح قبل النهاية (مثل العبء الزائد المكتشف في يوليو والمصحح في أغسطس)، يجب على المراجع اختبار الاكتشاف والتصحيح وتوثيق الأثر على البيانات المالية للعملاء المستخدمين.

حجم العينة غير الكافي يبقى الإشكال الأخير. لا يحدد ISAE 3402 حجم عينة رقمياً، لكنه يتطلب عينة كافية لدعم الرأي. عينة من 5 معاملات على مدى 12 شهراً ليست كافية. الممارسة المعقولة: 30-50 معاملة على الأقل، موزعة بالتساوي على الفترة.

هنا تظهر منطقة الخلاف المشروع. من واقع خبرتنا، شريك يفضل عينة موزعة شهرياً (12 شريحة، 4 معاملات لكل شهر) لأن التوزيع المنتظم يكشف العطل المؤقت في تاريخ محدد. شريك آخر يفضل عينة عشوائية على الفترة بأكملها (50 معاملة دون قيد شهري) لأن الاختيار العشوائي أقوى إحصائياً ولا يسمح للعميل بتوقع أيام الاختبار. كلا الموقفين معقول. الفرق ليس في المعيار، بل في كيف يتعامل الشريك مع خطر تواطؤ العميل في تنبيه موظفي الضوابط.

في تطرف كبير مني أقول إن السبب الذي يفسر لماذا تتكرر هذه الملاحظة في تقارير SOCPA دورة بعد دورة ليس جهلاً بالمعيار. هو أن هيكل أتعاب مهام النوع الثاني يُسعّر كأنه النوع الأول مع زيادة هامشية، بينما الجهد الميداني الحقيقي يضاعف ثلاث مرات. عندما يُسعّر الرأي على فترة وتُموَّل ساعاته على نقطة، الأدلة تتبع التمويل لا الرأي. هذا حافز مشوّه هيكلي، لا فجوة معرفة.

الشروط المتعلقة بها

- تقرير النوع الأول: يوثق تصميم الضوابط في نقطة زمنية محددة، دون اختبار التشغيل الفعلي على مدى فترة.

- ISAE 3402: المعيار الدولي الذي يحكم تقارير مزودي الخدمات؛ يحدد متطلبات النوع الأول والنوع الثاني.

- عينة الاختبار: مجموعة المعاملات أو السجلات المختارة لاختبار ما إذا كان الضابط يعمل على مدى الفترة.

- فترة التقرير: الفترة الزمنية التي يغطيها تقرير النوع الثاني (الحد الأدنى ستة أشهر).

- الضابط الرقابي: نشاط أو إجراء يقلل المخاطر المرتبطة بمعالجة العملاء (مثل المراجعة اليدوية، التحقق الآلي).

---