كيف يعمل

يتطلب معيار المراجعة 402.9 من مراجع الكيان المستخدِم الحصول على فهم للخدمات التي تقدمها كيان الخدمة والضوابط المتعلقة بها. هذا الفهم يشكّل أساس تقييم خطر المادية على مستوى الأقساط (الأقسام ذات الصلة بالخدمة).
الكيان المستخدِم قد يكون شركة تصنيع تعهّد معالجة الفواتير إلى شركة توظيف خارجية. قد تكون مؤسسة مالية تستخدم خدمة حفظ الأسهم. قد تكون شركة بيع بالتجزئة تستخدم نظام إدارة المخزون المستضاف. في كل حالة، الخدمة المقدمة تؤثر على عملية تجميع البيانات المالية أو تنفيذ الأنشطة المتعلقة بالعملية. ضوابط الخدمة إما أن تقلل المخاطر أو لا تفعل ذلك. مراجع الكيان المستخدِم يحتاج إلى معرفة أي منها.
معيار المراجعة 402.A26 يعرّف علاقة الكيان المستخدِم بكيان الخدمة بأنها اقتصادية. الكيان المستخدِم لديه التزام تعاقدي تجاه كيان الخدمة. لديه الحق القانوني في الحصول على معلومات عن الضوابط. إذا كانت الخدمة حرجة على البيانات المالية (معالجة المخزون، معالجة المستحقات، خدمات الحفظ)، عدم وجود تقرير خدمة يترك المراجع دون أدلة كافية.
الأدلة البديلة محدودة جداً. يمكن للمراجع أن يقيّم ضوابط محدودة من كيان الخدمة من خلال الملاحظة المباشرة والاستجواب. لكن الاختبار الشامل لكفاية الضوابط على مدار السنة يتطلب تقرير معايير الخدمة (Service Organization Control report). بدونه، المراجع عادة ما يوسّع الاختبارات الجوهرية بشكل كبير أو يصل إلى استنتاج أن الحصول على أدلة كافية غير ممكن عملياً.

مثال عملي: شركة التجارة الإلكترونية

الشركة: Benelux Digital Trade S.A.، شركة تجارة إلكترونية بلجيكية، إيرادات سنوية 28 مليون يورو، معايير المحاسبة الدولية (IFRS).
معالج الدفع الخارجي: GlobalPayments Processing N.V. (هولندا) يدير استلام عائدات بطاقات الائتمان وتحويلها إلى حساب Benelux. حجم العملية: حوالي 2,400 معاملة يومية. أثر على البيانات المالية: حوالي 60% من الإيرادات الشهرية تمر عبر هذه الخدمة.
الخطوة 1: تحديد الكيان المستخدِم والخدمة
GlobalPayments Processing N.V. هو كيان الخدمة. Benelux Digital Trade S.A. هو الكيان المستخدِم. الخدمة: معالجة والمصادقة والتحويل الآلي.
ملاحظة التوثيق: ورقة عمل تحديد الكيانات تسرد الخدمات ذات الصلة والتأثير على كل قسم من الإيرادات والنقد.
الخطوة 2: فهم أنواع الضوابط
معيار المراجعة 402.10 يتطلب من مراجع الكيان المستخدِم فهم ما إذا كانت الضوابط على مستوى كيان الخدمة عامة (مثل سياسات أمان تكنولوجيا المعلومات) أو محددة للعملية (مثل المصادقة والفحص والتسوية). الضوابط العامة قد تدعم ضوابط محددة. الضوابط المحددة تعالج المخاطر المباشرة للإيرادات.
GlobalPayments يدير ضوابط محددة: المصادقة ثنائية العامل لكل معاملة، والمقارنة اليومية بين المبالغ المعالجة والمبالغ المودعة، وإعادة الحسابات التلقائية. هذه الضوابط محددة للعملية.
ملاحظة التوثيق: الحصول على وثيقة وصف ضوابط الخدمة، مرجعية لمعيار المراجعة 402.10 والقسم C من وصف الخدمة.
الخطوة 3: تقييم ما إذا كان تقرير الخدمة ضروري
معيار المراجعة 402.13 يوجب على مراجع الكيان المستخدِم الحصول على معلومات كافية عن ضوابط الخدمة. إذا كانت معالجة الدفع تمثل 60% من الإيرادات، والضوابط محددة للعملية ولا تقل عن ذلك، يجب الحصول على تقرير معايير الخدمة من GlobalPayments أو إجراء اختبارات بديلة موسعة.
Benelux Digital Trade طلبت تقرير معايير الخدمة من GlobalPayments. GlobalPayments قدم تقرير معايير الخدمة (Type II)، الذي يغطي فترة تاريخية (1 يناير: 31 ديسمبر 2024). التقرير يتضمن رأي مراجع الخدمة حول فعالية الضوابط على مدار الفترة.
ملاحظة التوثيق: نسخة من تقرير معايير الخدمة مرفقة. مثالية الرأي مقيّمة مقابل معيار المراجعة 402.13. الفئات ذات الصلة: المعاملات والعائدات الصحيحة والمصرحة والمسجلة.
الخطوة 4: فحص الاستثناءات والقيود
معايير الخدمة قد تتضمن استثناءات أو فترات زمنية لم تكن مغطاة. تقرير GlobalPayments يسرد استثناء واحد: في 15 مارس 2024، كان هناك انقطاع في النظام مدته ساعتين لم تكن مغطاة بالضابط المعتاد. المعاملات خلال هذه الفترة تمت معالجتها يدوياً وتم التحقق منها لاحقاً.
Benelux يحتاج إلى فهم أثر هذا الاستثناء. على الرغم من أن المبالغ المعالجة يدوياً كانت صغيرة (حوالي 8,500 يورو من أصل 28 مليون سنوية)، فإن الاستثناء يشير إلى احتمال وجود مخاطر متبقية لم تغطها الضوابط المعتادة في تلك الفترة. المراجع قد يقرر توسيع الاختبار الجوهري للمعاملات المعالجة يدوياً في مارس.
ملاحظة التوثيق: سجل الاستثناءات من تقرير معايير الخدمة مرجعي في ورقة العمل. تقييم الأثر على نطاق العينة الجوهري.
الخطوة 5: دمج النتائج في خطة المراجعة
معيار المراجعة 402.14 يتطلب من المراجع استخدام المعلومات المستخرجة من تقرير معايير الخدمة عند تقييم المخاطر المتعلقة بالعملية (في هذه الحالة، الإيرادات والنقد). إذا كانت الضوابط فعالة وشاملة، قد يقلل المراجع الاختبار الجوهري. إذا كانت الضوابط محدودة أو كانت هناك استثناءات كبيرة، قد يزيد المراجع الاختبار أو يعتمد بشكل أقل على الضوابط.
في حالة Benelux، نتيجة الفحص: تقرير معايير الخدمة يدعم الاعتماد على الضوابط بقدر كبير، مع توسيع متواضع للاختبار الجوهري حول الاستثناء في مارس. الخطر الأساسي من معالجة الدفع: يتم تقليله من مخاطر عالية إلى مخاطر معتدلة.
ملاحظة التوثيق: تقييم خطر معيار المراجعة 402.14 في ورقة عمل خطط المراجعة. إشارة إلى النقاط الرئيسية من تقرير معايير الخدمة.
الخلاصة: Benelux Digital Trade حصلت على تقرير معايير الخدمة من معالج الدفع الخارجي. هذا سمح للمراجع بفهم وتقييم الضوابط التي تؤثر بشكل مباشر على الإيرادات والنقد. النتيجة: خطة مراجعة مستنيرة بدلاً من خطة تعتمد على الاختبار الجوهري الموسع وحده.

ما الذي يخطئ فيه المراجعون والممارسون

  • الخطأ الشائع 1: افتراض أن أي بائع خارجي هو "كيان خدمة" بموجب معيار المراجعة 402. معيار المراجعة 402.8 حدد أن الخدمة يجب أن تكون ذات صلة بالعملية، أي أنها تؤثر على البيانات المالية أو الضوابط التشغيلية ذات الصلة. مثال: شركة تصنيع تستأجر مستودع خارجي لتخزين المخزون هو كيان خدمة. لكن شركة تصنيع تشتري خدمة استشارة قانونية منفصلة ليست كيان خدمة بالمعنى المقصود إلا إذا كانت الاستشارة تؤثر على تسجيل المعاملات. بعض المراجعين يفترضون أن أي عقد خارجي ينشئ التزام معيار المراجعة 402. هذا يؤدي إلى اختبار ضوابط غير ذات صلة.
  • الخطأ الشائع 2: عدم الحصول على تقرير معايير الخدمة عندما تكون الخدمة حرجة على البيانات المالية. معيار المراجعة 402.13 يقول أن الدليل الكافي عادة ما يتطلب تقرير معايير الخدمة عندما تكون الضوابط محددة للعملية. بعض الفرق تحاول الاعتماد على زيارات موقعية، أو استجوابات من مديري الخدمة، أو نماذج الضوابط الداخلية. هذه البدائل نادراً ما توفر أدلة كافية لدعم درجة من الاعتماد على الضوابط. معايير الخدمة (خاصة Type II) توفر رأي مراجع مستقل حول فعالية الضوابط على مدار فترة، وهو ما لا يمكن استبداله بالاستجوابات.
  • الخطأ الشائع 3: عدم فهم الفرق بين تقرير معايير الخدمة Type I و Type II. معيار المراجعة 402.A28 يوضح أن تقرير Type I يصف ضوابط معينة في تاريخ واحد. تقرير Type II يصف ضوابط على مدار فترة زمنية (عادة سنة واحدة). معظم الحالات تتطلب Type II. بعض الفرق تقبل Type I عندما تكون الخدمة حرجة. هذا يترك فجوة: لا توجد أدلة حول ما إذا كانت الضوابط فعالة طوال السنة.

الشروط ذات الصلة

---

  • معيار المراجعة 402: معيار المراجعة على أعمال الهيئات ذات الصلة بالخدمة
  • كيان الخدمة: الهيئة التي توفر الخدمة (معالج الرواتب، معهد الحفظ، معالج الدفع)
  • تقرير معايير الخدمة: تقرير يصدره مراجع الخدمة يصف ضوابط الخدمة وفعاليتها (Type I أو Type II)
  • الضوابط على مستوى الخدمة: الضوابط التي تدار من قبل كيان الخدمة بدلاً من كيان المستخدِم
  • الضوابط المحددة للعملية: ضوابط تعالج مخاطر محددة متعلقة بعملية معينة (مثل معالجة الرواتب)
  • الضوابط العامة: ضوابط على مستوى كيان الخدمة تدعم جميع العمليات (مثل أمان تكنولوجيا المعلومات)

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.