قرار مجلس الوزراء 1 لسنة 2013
بشأن اعتماد ميثاق ومنهجية التدقيق الداخلي للحكومة الاتحادية
الجريدة الرسمية العدد 545 السنة الثالثة والأربعون بتاريخ 31/ 1/ 2013
مجلس الوزراء
- بعد الاطلاع على الدستور،
- وعلى القانون الاتحادي رقم (1) لسنة 1972م، بشأن اختصاصات الوزارات وصلاحيات الوزراء، وتعديلاته،
- وعلى القانون اتحادي رقم (8) لسنة 2011، بإعادة تنظيم ديوان المحاسبة،
- وعلى المرسوم بقانون اتحادي رقم (8) لسنة 2011، بشأن قواعد إعداد الميزانية العامة والحساب الختامي،
- وبناء على موافقة مجلس الوزراء،
قرر:
المادة 1
يعتمد ميثاق ومنهجية التدقيق الداخلي للحكومة الاتحادية المرفق بهذا القرار.
المادة 2
يعمل بهذا القرار من تاريخ صدوره، وينشر في الجريدة الرسمية.
ميثاق ومنهجية التدقيق الداخلي
ميثاق
ميثاق ومنهجية التدقيق الداخلي للحكومة الاتحادية
محتوى منهجية التدقيق الداخلي
التعريفات:
في ميثاق ومنهجية التدقيق الداخلي يقصد بالكلمات والعبارات التالية المعاني الموضحة قرين كل منها ما لم يقض سياق النص بغير ذلك:
* الدولة: الإمارات العربية المتحدة.
* الحكومة: حكومة الدولة.
* مجلس الوزراء: مجلس وزراء الدولة.
* الجهات الاتحادية: الوزارات والهيئات والمؤسسات التابعة للحكومة الاتحادية.
* الإدارة العليا: الوزير المعني/ رئيس مجلس إدارة الجهة الاتحادية.
* المكتب: مكتب التدقيق الداخلي التابع للإدارة العليا في الجهة الاتحادية.
* مدير المكتب: مدير المكتب التدقيق الداخلي بالجهات الاتحادية.
* التدقيق الداخلي: نشاط رقابي توكيدي واستشاري بشكل موضوعي ومستقل، ويعمل على إضافة القيمة والتحسين والمساعدة في تحقيق الأهداف من خلال منهج نظامي منضبط لتقييم وتحسين فاعلية نظم إدارة المخاطر ونظم عمليات الضبط الداخلي وآليات الرقابة/ الحوكمة الأخرى.
* الميثاق: ميثاق التدقيق الداخلي للحكومة.
* المنهجية: منهجية التدقيق الداخلي للحكومة الاتحادية.
* الحوكمة: مجموعة من الضوابط والمبادئ العامة والأسس والإجراءات المثلى التي تحقق الانضباط المؤسسي لنظام العمل في الجهات الاتحادية.
الفصل الأول
ميثاق التدقيق الداخلي
مهمة التدقيق الداخلي:
يقوم التدقيق الداخلي بأداء نشاط رقابي توكيدي واستشاري بشكل موضوعي ومستقل، ويعمل على إضافة القيمة والتحسين والمساعدة في تحقيق الأهداف من خلال منهج نظامي منضبط لتقييم وتحسين فاعلية نظم إدارة المخاطر ونظم عمليات الضبط الداخلي وآليات الرقابة/ الحوكمة الأخرى.
استقلالية التدقيق الداخلي:
* للتدقيق الداخلي الاستقلالية التامة غير المقيدة التي تمكنه من إنجاز أعماله بموضوعية، وللإدارة العليا الدور الداعم للتحقق من استقلالية التدقيق الداخلي من خلال الهيكل التنظيمي، وتحديد نطاق عمله وخططه السنوية، لتنفيذ مهام التدقيق وأسلوب إصدار ومتابعة تقارير التدقيق الداخلي، وضمان تجرده من أي مسؤولية تنفيذية تحد من موضوعيته بما يتفق مع المعايير الدولية للتدقيق الداخلي (معيار رقم 1100 في شأن الاستقلالية والموضوعية).
مسؤوليات التدقيق الداخلي:
* يمتنع التدقيق الداخلي عن أداء أية مسؤوليات ذات علاقة بتصميم نظم الرقابة الداخلية أو تنفيذها، والتي من شأنها التأثير على استقلاليته وموضوعيته تجاهها، كما يجب أن لا يكون له أية مسؤولية أو صلاحية تنفيذية للأعمال التي يقوم بمراجعتها، ولا يمنع ذلك من إبداء الرأي والمشورة حيال النظم قبل وبعد تطبيقها أو اقتراح معايير رقابية إضافية. ونخص بالذكر عملية تقييم المخاطر، والتي تعتبر من مسؤولية الإدارة المعنية.
صلاحيات التدقيق الداخلي:
للتدقيق الداخلي الصلاحية غير المقيدة وغير المحددة للاطلاع على كافة الأنشطة والسجلات، والوثائق والأصول والممتلكات بصورة فعلية، والاتصال المباشر بكافة المستويات الإدارية بما يمكنه من أداء مهمته على أكمل وجه، وكذلك يملك المكتب صلاحية تحديد طبيعة وكيفية ونطاق وتوقيت أعمال التدقيق الداخلي المختلفة وفق نطاق العمل المشار إليه ضمن هذا الميثاق.
نطاق عمل التدقيق الداخلي:
يتولى التدقيق الداخلي "وفقاً للمعايير الدولية للتدقيق الداخلي معيار رقم 1000 الغرض والسلطة والمسؤولية" أعمال التدقيق الداخلي في الجهة الاتحادية، كما يشتمل نطاق عمل التدقيق الداخلي على العديد من خدمات التأكيد والخدمات استشارية وذلك كما يلي:
أ- خدمات التأكيد:
وتتضمن خدمات التأكيد ما يلي:
1- تدقيق الالتزام
يهدف تدقيق الالتزام إلى مراجعة بعض الأنشطة المالية أو التشغيلية للجهة الاتحادية بغرض تحديد مدى توافقها مع شروط وقواعد وأنظمة محددة، ومن مسئوليات التدقيق الداخلي تحديد ما إذا كانت أنظمة الرقابة الداخلية كافية وفعالة، والتحقق من التزام الإدارات التي يتم التدقيق عليها بالمتطلبات التشريعية والقوانين ذات العلاقة.
2- تقييم الأداء
يهدف هذا النوع من التدقيق إلى مراجعة منهجية الأنشطة التشغيلية لدى الجهة الاتحادية مقارنة بأهداف محددة، ويسمح هذا النوع من التدقيق بتقييم الأداء وتحديد الفرص المتاحة بغرض التطوير وإصدار التوصيات بهذا الشأن.
3- تدقيق نظم تقنية المعلومات
إن تدقيق نظم تقنية المعلومات قد تم تصميمه لمراجعة نقاط القوة والضعف وكذلك تحديد أوجه القصور بالسياسات الحالية للنظم المستخدمة، وذلك بغرض تقديم الاستشارات والتوصيات الخاصة بأنظمة الرقابة الداخلية لكل مستويات الإدارة. كما يمكن الاستعانة بمتخصصين في هذا المجال عند الحاجة إلى ذلك.
ب- خدمات الاستشارات:
خدمات الاستشارات هي عبارة عن أنشطة تقدم المشورة والخدمات المتعلقة بها والتي يتم الاتفاق على طبيعتها ونطاقها مع طالب الخدمة، ويكون الهدف الرئيسي منها توفير قيمة مضافة لعمليات الجهة الاتحادية وتحسين إجراءات الحوكمة وإدارة المخاطر والرقابة وذلك دون أن تناط أية مسئوليات إدارية بالمدقق الداخلي في هذا السياق، مثال على ذلك تقديم النصح والإرشاد والتدريب. (الإرشاد التطبيقي رقم 1000/أ/1-2)
كما ينبغي الالتزام ببعض المؤشرات العامة الواجب أخذها في الاعتبار في كافة مهام الخدمات الاستشارية، والتي قد تتراوح من أداء مهام تقديم مشورة رسمية محددة يتم تعريفها من خلال اتفاقيات مكتوبة بين الطرفين مثل الاشتراك في لجنة إدارية دائمة أو مؤقتة أو فرق مشروعات محددة. كما ينبغي وضع بعض المبادئ في الحسبان عند القيام بأية أعمال استشارية وفقًا للآتي: (الإرشاد التطبيقي رقم 1000/أ/1-1):
1- القيمة المضافة والمتوقعة من الخدمة المقدمة.
2- التماشي مع مفهوم التدقيق الداخلي.
3- خدمات التدقيق الداخلي التي تتعدى خدمات التأكيد والخدمات الاستشارية.
4- العلاقة بين خدمات التأكيد والخدمات الاستشارية.
كما أن الخدمات الاستشارية تتضمن كافة الخدمات التي يمكن تقديمها للجهات الاتحادية وفقًا لمتطلبات الجهة الاتحادية والمهارات المتوفرة في مكاتب التدقيق الداخلي مع عدم الإخلال بمبدأ الاستقلالية والموضوعية لنشاط التدقيق الداخلي، ويمكن أن تتضمن تلك الخدمات ما يلي على سبيل المثال:
* النظم المتبعة مع السياسات العامة، ومدى التزامها بالقوانين والأنظمة والتعليمات والإجراءات ذات الصلة.
* مدى سلامة وتكامل المعلومات والبيانات المالية وغير المالية والتقارير ومدى الاعتماد عليها في اتخاذ القرارات.
* الأساليب والنظم المستخدمة التي تكفل حماية أصول وممتلكات الجهة الاتحادية، والتحقق من الأسس المتبعة في تقييمها، والإفصاح عنها في القوائم المالية، والوجود الفعلي لها.
* مدى فاعلية واقتصادية توظيف الموارد المتاحة للجهة الاتحادية.
* مدى فاعلية نظم إدارة المخاطر في الجهة الاتحادية للتحقق من سلامة أساليب تحديدها وتقييمها، وكذلك التحقق من إدارتها بكفاءة. (ينبغي الإشارة إلى أن مسئولية عملية إدارة المخاطر من شأن الإدارة بالجهة المعنية - الإرشاد التطبيقي 2100/3)
* التحقق من كفاية وفاعلية عناصر آليات الرقابة والحوكمة المؤسسية التي تمارس من قبل الأطراف ذات العلاقة بالجهة الاتحادية، واتساقها مع أعمال الجهة الاتحادية.
* للتحقق من وجود المستوى الملائم من الأدوات الرقابية بنظم الحاسب الآلي المطبقة، واكتمال وصحة توثيق تلك الأنظمة، وتحقيقها لأهداف المستخدمين والإدارة، وكذلك تقييم مدى حسن استخدام الموارد المتاحة.
* المشاركة في تقييم المخاطر وإعطاء المشورة بكيفية تطوير الضوابط الفعالة للمشاريع الجديدة أو أنظمة الحاسوب المعدلة.
* القيام بالمراجعة اللازمة قبل القيام وبعد الانتهاء من مشاريع تطوير أنظمة وبرامج الحاسوب ذات الآثار المهمة على عمل الجهة الاتحادية في الوقت المناسب.
* ينبغي على المدققين الداخليين أن يمتلكوا المعرفة والمهارات والكفاءات الأخرى اللازمة لتنفيذ المسؤوليات المنوطة بكل منهم. ويتعين على نشاط التدقيق الداخلي ككل أن يمتلك أو يكتسب المعلومات والمهارات والكفاءات الأخرى اللازمة لتنفيذ مسؤولياته، كما ينبغي على مدير التدقيق الداخلي للحصول على المشورة والمساعد من ذوي الخبرة والمقدرة الوافيتين إذا كان العاملون في التدقيق الداخلي يفتقرون إلى المعرفة والخبرات والمهارات اللازمة لتنفيذ كل أو جزء من مهمة تدقيق معينة منوطة بهم. (معيار التدقيق الداخلي رقم 1200 بخصوص المهارة والعناية المهنية اللازمة).
* ينبغي على الرئيس التنفيذي للتدقيق الداخلي الحصول على المشورة والمساعدة من ذوي الخبرة
والمقدرة الوافيتين إذا كان العاملون
في التدقيق الداخلي يفتقرون إلى المعرفة والخبرات والمهارات اللازمة لتنفيذ كل - أو جزء من - مهمة تدقيق معينة منوطة بهم. (معيار التدقيق الداخلي رقم 1210/ت/1)
* ينبغي أن يتمتع المدقق الداخلي بالمعرفة الوافية التي تمكنه من تميز وتحديد مؤشرات الاحتيال، ولكن ليس متوقعاً منه أن تكون له نفس خبرة الشخص الذي تكون مسئوليته الرئيسية اكتشاف الاحتيال والتحقيق فيه، وهدف التدقيق الداخلي فيما يتعلق بالكشف عن الاحتيال هو مساعدة العاملين على الوفاء بمسئوليتهم الوظيفية، وذلك بتزويدهم بالمشورة والمعلومات والتوصيات المتعلقة بالأنشطة موضوع الفحص. (الإرشاد التطبيقي رقم 1210/ ت2-2)
* موضوعات أخرى محددة ذات علاقة بطبيعة أعمال التدقيق، وذلك بناء على تكليف من الإدارة العليا.
مهام وواجبات مكتب التدقيق الداخلي:
1. القيام بأعمال التدقيق الداخلي وفقاً للأسس والقواعد والمعايير المتعارف عليها قانونياً ومالياً وإدارياً للتحقق من مدى التزام الإدارات بتطبيق كافة النظم واللوائح المالية والإدارية المعمول بها في الجهات الاتحادية.
2. إعداد الخطة السنوية للتدقيق، موضحاً فيها مهام التدقيق والجدول الزمني المتوقع لتنفيذها، ويراعى استطلاع رأي الإدارة العليا في الجهة الاتحادية للتأكد من مدى تلبية الخطة لاحتياجاتها في مجال التدقيق الداخلي.
3. إعداد الخطة السنوية للتدقيق بناء على تقييم موضوعي لمخاطر الأنشطة والأعمال بالجهة الاتحادية، ويقوم التدقيق الداخلي بعرض الخطة السنوية للتدقيق الداخلي على الإدارة العليا في كل جهة اتحادية على حدة لمناقشتها واعتمادها.
4. القيام بدراسة التقارير المقدمة من الجهات الرقابية المختصة بالدولة للتحقق من مدى التزام الإدارات بتطبيق كافة النظم واللوائح المالية والإدارية المعمول بها في الحكومة الاتحادية.
5. تقديم تقرير شامل للإدارة العليا في كل جهة اتحادية على حدة حول نتائج التدقيق ونتائج دراسة ومتابعة تقارير الجهات الرقابية الأخرى وتقييم كفاءة العمل في الإدارات وتقديم الاقتراحات والتوصيات المناسبة.
6. التنسيق مع ديوان المحاسبة خلال مرحلة التخطيط ومتابعة تنفيذ التوصيات والملاحظات الواردة في تقاريره مع الإدارات المختلفة.
7. يقوم مكتب التدقيق الداخلي خلال أدائه لأعماله بإتباع المعايير المهنية ومعايير أخلاقيات المهنة التي يصدرها معهد المدققين الداخليين (llA)، وأية تغييرات ذات علاقة تصدر مستقبلاً.
المعايير الدولية للتدقيق الداخلي (معيار رقم 1000 الغرض والسلطة والمسؤولية)
التبعية الفنية والإدارية:
* تتبع مكاتب التدقيق الداخلي بالجهات الاتحادية وفقاً للهياكل التنظيمية المعتمدة للإدارة العليا في كل جهة اتحادية على حدة بطريقة مباشرة.
* يتم رفع كافة التقارير الفنية إلى الإدارة العليا، أما التقارير الإدارية فيتم رفعها إلى الإدارات المختصة في كل جهة اتحادية وفقاً لاختصاصات كل إدارة.
* تتبع سلطة تعيين مدراء مكاتب التدقيق الداخلي بالجهات الاتحادية بقرار من الإدارة العليا في كل جهة اتحادية.
قواعد السلوك المهني للمدققين الداخليين:
على جميع المدققين الداخليين التقيد بقواعد السلوك المهني الواردة في المرسوم بقانون اتحادي رقم (11) لسنة 2008م بشأن الموارد البشرية في الحكومة الاتحادية ولائحته التنفيذية والمعايير الدولية للتدقيق الداخلي "معيار رقم 1100 في شأن الاستقلالية والموضوعية - 1110 في شأن الاستقلالية التنظيمية – 1120 في شأن الموضوعية الفردية و1130 في شأن معوقات الاستقلالية أو الموضوعية" وعليهم بشكل خاص التقيد بما يلي:
* تجنب القيام بأي عمل لا يتفق مع موضوعية التدقيق الداخلي ومسؤولياته والامتناع عن أي موقف أو إعلان أمام العموم حول أية مسألة تقع ضمن نطاق أعمال التدقيق الداخلي.
* عدم الاشتراك في أي عمل أو نشاط يؤثر سلباً على سمعة التدقيق الداخلي.
* أن يمتلكون المعرفة والمهارات والكفاءات الأخرى اللازمة لتنفيذ المسؤوليات المنوطة بكل منهم.
* الالتزام بالصدق والأمانة والموضوعية والعناية الدائمة في تأدية مهامهم ومسؤولياتهم.
* إظهار الولاء في كل الأمور المتعلقة بمصالح الجهة الاتحادية وتجنب أية أعمال غير قانونية.
* عدم قبول عطايا أو هدايا من أي موظف أو عميل أو مورد أو أي شخص له مصالح عمل مع الجهة الاتحادية، بشكل قد يخل بحياديتهم أو يؤثر على القرارات المهنية المتعلقة بمهامهم.
* في حالة أن شعر المدققون الداخليون بأن حياديتهم قد تتأثر، سواء بسبب مصالح تابعة لهم في الأعمال التي يجري التدقيق فيها أو خلاف ذلك، يجب عليهم أن يبادروا فوراً بإعلام مدير المكتب.
* على المدققين الداخليين أن يأخذوا بعين الاعتبار أنه لا يجوز لهم، في أي حال من الأحوال، أن يحتفظوا بصفتهم الشخصية بأصل البيانات والمستندات والمعلومات التي تمت مراجعتها أو جمعها خلال تأدية مهامهم. كما لا يجوز لهم حفظ البيانات والمستندات والمعلومات المذكورة في أماكن غير مناسبة أو بشكل غير مناسب، كذلك عليهم الالتزام بسرية هذه البيانات وعدم الإفصاح عنها لأي شخص غير مخول بالاطلاع عليها أو استلامها أو حفظها. ولا يجوز لهم، في أي ظرف من الظروف، سواء كان ذلك فترة خدمتهم أو بعد انقضائها، نشر هذه البيانات، بغض النظر عن مرور الزمن عليها.
الفصل الثاني
منهجية التدقيق الداخلي:
مقدمة
تهدف منهجية التدقيق الداخلي إلى توفير إطار تشغيلي موحد لأنشطة وعمليات التدقيق الداخلي في الحكومة الاتحادية بغرض تحديد العمليات والإجراءات التي يتوجب على المدققين الداخليين الالتزام بها أثناء تأدية وظائفهم وذلك بما يتفق مع التوجيهات والمعايير الصادرة عن معهد المدققين الداخليين.
غرض التدقيق الداخلي:
إن الغرض من منهجية التدقيق الداخلي هو توفير المعايير والسياسات والإجراءات التشغيلية لنشاط التدقيق الداخلي وفقا للمعايير المهنية، إضافة إلى المساعدة في تحقيق ما يلي:
* وضع سياسات ومعايير للتخطيط والأداء وإعداد تقارير عمل التدقيق.
* وضع إجراءات عمل تهدف إلى مساعدة موظفي التدقيق الداخلي في أداء مهامهم.
* وضع منهجية موحدة لعملية التدقيق الداخلي وتقييم المخاطر ضمن الحكومة الاتحادية بحيث يتم توحيد تطبيق معايير التدقيق الداخلي.
(1) التركيز على القيمة المضافة:
إن معيار نجاح نشاط التدقيق الداخلي في القيام بمهامه، هو مدى استفادة الإدارات الأخرى والأنشطة المدقق عليها من عملية التدقيق، وذلك عن طريق قياس القيمة التي ساهم التدقيق الداخلي في إضافتها للجهة المدقق عليها، وذلك عن طريق دراسة وفهم أسباب المشاكل والأخطاء والتركيز على كيفية العلاج الجذري لتلك المشاكل وعدم الاكتفاء برصدها فقط.
الشكل رقم 1: التركيز على القيمة المضافة لأعمال التدقيق الداخلي
مراحل منهجية التدقيق الداخلي:
تتضمن منهجية التدقيق الداخلي للحكومة الاتحادية المراحل التالية:
(1) مرحلة التخطيط
1-1 التحليل الإستراتيجي
1-2 تقييم المخاطر
1-3 إعداد خطة التدقيق الداخلي
(2) مرحلة التنفيذ
2-1 تنفيذ التدقيق الداخلي
2-2 إعداد التقارير
2-3 متابعة الملاحظات
الشكل رقم 2: إطار منهجية التدقيق الداخلي
المرحلة الأولى: التخطيط
تتضمن مرحلة التخطيط "وفقا للمعايير الدولية للتدقيق الداخلي معيار رقم 2010 في شأن التخطيط" العناصر التالية:
العنصر الوصف المخرجات الرئيسية
العنصر الأول * الاتصالات المبدئية والإجراءات * تفهم الأهداف – الاستراتيجيات-
التحليل الإستراتيجي الإدارية مع الإدارات المعنية. المبادرات.
* الاجتماع الافتتاحي والحصول على * تحديد نقاط القوة والضعف والمعوقات والتحديات.
تفهم النشاط والمعلومات المبدئية. * نموذج الاستبيانات.
* المقابلات مع مدراء الإدارات والأقسام
ومسئولي الأنشطة.
* تفهم الأهداف والاستراتيجيات والمبادرات.
* توثيق الأنشطة والعمليات وتفهم الإجراءات.
العنصر الثاني * تفهم المخاطر التي تواجه تحقيق أهداف الإدارة. * سجل المخاطر حسب ترتيب وتقييم
تقييم المخاطر * ترتيب المخاطر حسب جوهريتها ومدى كل خطر من المخاطر على حدة وربطه
تأثيرها على الأنشطة المختلفة. بالأنشطة المختلفة.
* ربط الأنشطة بالمخاطر المختلفة وتحديد مدى
احتمالية وحدوث كل خطر من المخاطر على حدة.
العنصر الثالث * تحديد الأنشطة القابلة للتدقيق.
إعداد خطة التدقيق * دراسة نتائج تقييم المخاطر ومعرفة * خطة التدقيق الداخلي.
الداخلي توجهات الإدارة العليا.
* تحديد الموارد والتوقيتات المطلوبة
لتنفيذ عملية التدقيق.
* إعداد خطة التدقيق واعتمادها من الإدارة العليا.
وفيما يلي شرح تفصيلي لكل مرحلة من المراحل السابقة:
العنصر الأول: التحليل الاستراتيجي
مقدمة
تهدف عملية التحليل الاستراتيجي التوصل إلى درجة من التفهم المبدئي للأهداف الاستراتيجية والتشغيلية للجهات المدقق عليها وكذلك البيئة المحيطة بتلك الجهات بما تتضمنه من تحديات وفرص بالإضافة إلى كيفية تعامل تلك الجهات مع التحديات والمخاطر التي قد تواجهها.
الشكل رقم 3: التحليل الاستراتيجي
أهم إجراءات التحليل الاستراتيجي:
1) المعلومات الأساسية
يساعد الاطلاع على المعلومات الأساسية التوصل إلى التفهم المبدئي لأنشطة الجهات الاتحادية والبيئة المحيطة بتلك الجهات، ومن أهم المعلومات الأساسية ما يلي:
* قرارات التأسيس والهياكل التنظيمية والسياسات والإجراءات المتبعة.
* تقارير الجهات الرقابية.
* تقارير التدقيق الداخلي السابقة.
* التغييرات الجوهرية في بيئة العمل (الإدارة - البيئة المحيطة - القوانين واللوائح المنظمة - الخ...)
2) إجراء المقابلات
تعتبر المقابلات مع المسئولين عن الأنشطة المدقق عليها من أهم الوسائل التي تساعد على اكتمال عملية تفهم الأنشطة وبيئة العمل، حيث إنها تتيح الفرصة للحصول على المعلومات اللازمة من ذوي الخبرة وأصحاب الاختصاص في كل مجال من المجالات.
ويتمثل الهدف من عملية إجراء المقابلات في تفهم الأهداف الاستراتيجية والتشغيلية والبيئة المحيطة والمخاطر التي قد تواجه تحقيق أهداف الجهة المدقق عليها. بالإضافة إلى الإجراءات المتخذة لمواجهة أو الحد من آثار المخاطر والمعوقات التي قد تتعرض لها الجهة المدقق عليها.
3) معالجة المعلومات
يتم حصر كافة البيانات في ضوء الاجتماعات مع مسئولي الأنشطة وكذلك المعلومات الأساسية التي تم الاطلاع عليها، للوصول إلى تفهم كامل لما يلي:
* الأهداف
* الاستراتيجيات
* الإدارات والأقسام
* العمليات والأنشطة
* المبادرات
* نقاط القوة والضعف
* التحديات والمعوقات
وينبغي على المدققين الداخليين أن يمتلكوا المعرفة والمهارات والكفاءات الأخرى اللازمة لتنفيذ المسؤوليات المنوطة بكل منهم. ويتعين على نشاط التدقيق الداخلي ككل أن يمتلك أو يكتسب المعلومات والمهارات والكفاءات الأخرى اللازمة لتنفيذ مسؤولياته، كما ينبغي على مدير التدقيق الداخلي الحصول على المشورة والمساعدة من ذوي الخبرة والمقدرة الوافيتين إذا كان العاملون في التدقيق الداخلي يفتقرون إلى المعرفة والخبرات والمهارات اللازمة لتنفيذ كل أو جزء من مهمة تدقيق معينة منوطة بهم. (معيار التدقيق الداخلي رقم 1200 بخصوص المهارة والعناية المهنية اللازمة).
كما يراعى استشارة مستشار قانوني متخصص في كل المسائل التي تنطوي على أي اعتبارات قانونية (إرشاد تطبيقي رقم 2100 - 5)
العنصر الثاني: تقييم المخاطر
مقدمة
إن الغرض من تقييم المخاطر هو المساعدة على:
* تفهم العمليات والأنشطة الرئيسية والفرعية وكيفية ربطها مع الأهداف الاستراتيجية والتشغيلية للجهة المدقق عليها.
* تفهم المخاطر التي تهدد تحقيق أهداف كل نشاط على حدة.
* إعداد خطة التدقيق الداخلي وفقا لتصنيف الأنشطة بناء على المخاطر المتعلقة بها.
الشكل رقم 4: تقييم المخاطر
يتم إعداد تقييم المخاطر من قبل مكتب التدقيق الداخلي "وفقا للمعايير الدولية للتدقيق الداخلي معيار رقم 2110 في شأن إدارة المخاطر" بغرض وضع خطة للتدقيق الداخلي وتصنيف الأنشطة وفقا للمخاطر المتعلقة بها، كما يجب أن تقوم وحدة إدارة المخاطر بالجهة المعنية بتقييم المخاطر باستمرار مع الأخذ بالحسبان الاستراتيجية والأهداف المعتمدة من قبل الإدارة العليا مما يساهم في تعزيز القدرة على تحديد وفهم وإدارة المخاطر التي تعيق تحقيق أهدافها.
مساهمة الإدارة المدقق عليها في عملية تقييم المخاطر:
يتم تقييم المخاطر بناء على المعلومات التي تم الحصول عليها خلال مرحلة التحليل الاستراتيجي، وبالاعتماد على رأي الإدارة المدقق عليها عن طريق الحصول على التغذية الراجعة "feed back" من تلك الإدارة والتي تعتبر المصدر الرئيس لتحديد وتقييم المخاطر المتعلقة بأنشطتها.
1. تعريف الخطر
الخطر هو حالة عدم التأكد المتعلقة بالنتائج المستقبلية لأحداث حالية، وبالتالي فإن الخطر هو احتمالية حدوث مردود سلبي يعيق تحقيق الأهداف الاستراتيجية والتشغيلية. كما يمكن تعريف الخطر بأنه أي تهديد أو فقدان لفرصة مما قد يحول دون تحقيق الجهة الاتحادية لأهدافها أو قد يتسبب بأضرار لها.
كما يمكن تعريف الخطر بأنه الخطر الناتج عن وجود أخطاء مادية وجوهرية في الجهة الاتحادية والتي لم يتم اكتشافها بعد انتهاء عملية التدقيق مما قد يسبب أضرار لتلك الجهة قد تتعلق بفقدان فرصة كان يمكن تحقيقها.
وخلال عملية تقييم المخاطر يتم التعرض لأنواع المخاطر التالية:
أ- الخطر المتأصل:
الخطر المتأصل هو الخطر الناتج عن طبيعة النشاط بغض النظر عن إجراءات الرقابة المتبعة وكذلك البيئة المحيطة والأخطاء البشرية.
ب- الخطر المتبقي:
الخطر المتبقي هو الخطر الذي يبقى بعد الأخذ في الاعتبار جميع أنظمة الرقابة الداخلية المعمول بها وأية إجراءات أخرى اتخذتها الإدارة لتجنب المخاطر التي تم تحديدها مسبقا.
2. احتمالية حدوث الخطر:
الاحتمالية هي فرصة حدوث شيء ما، حيث إن بعض الأحداث قد تقع مرة واحدة، والبعض الآخر قد يحدث دائما وبشكل يومي تقريبا، ويتطلب تحليل المخاطر تقييم تكرار حدوثها.
ويوضح الجدول التالي المستويات المستخدمة لتأكيد درجات الاحتمالية بشكل عام، كما يجب أن تقاس احتمالية الحدوث دون الرجوع إلى إجراءات الرقابة المتبعة والتي يتم تقييمها لاحقا في مرحلة تنفيذ التدقيق:
احتمالية الحدوث المستويات درجة الاحتمالية
من المؤكد وقوع الحدث في ظل ظروف معينة عالي 3
قد يقع الحدث في ظل ظروف معينة محتمل 2
قد يقع الحدث في ظل ظروف استثنائية ممكن 1
من غير المتوقع وقوع الحدث غير محتمل 0
والفترة المحددة لقياس مدى احتمالية ظهور الخطر هي ثلاثة سنوات، وقد تطول أو تقصر هذه الفترة بناءا على طبيعة أو ظروف الخطر.
هذا ويمكن تقييم احتمالية حدوث الخطر من خلال العوامل التالية:
* تعقيد العمليات والإجراءات المتعلقة بالأنشطة: كلما زادت درجة التعقيد في الإجراءات العملية المتبعة لتنفيذ المهام والأنشطة، كلما زادت احتمالية حدوث الخطر.
* التغيير: كلما زاد حجم التغيير في الجهة المعنية من حيث الموظفين - أساليب الإدارة - القوانين المتبعة - الأنظمة الإليكترونية - الخدمات المقدمة- .... الخ.
* السجل التاريخي: كلما زادت معدلات تكرار الأخطاء والمشاكل خلال الفترات السابقة، كلما زادت احتمالية حدوث الخطر.
3. تأثير حدوث الخطر:
يوضح الجدول التالي إرشادا لتحديد درجة تأثير الخطر بالنسبة للأهداف التشغيلية ولجهة التقارير المالية والالتزام:
الدرجة الأهداف التشغيلية التقارير المالية الالتزام بالقوانين والتشريعات
0 إذا وقع الخطر، ولم يكن له تأثير إذا وقع الخطر، ولم يكن إذا وقع الخطر، ولم يكن له
على تحقيق الأهداف التشغيلية له تأثير على التقارير المالية. تأثير على الالتزام بالقوانين والتشريعات.
1 إذا وقع الخطر، فسيكون له تأثير إذا وقع الخطر، فسيكون له تأثير إذا وقع الخطر، فسيكون له تأثير بسيط
بسيط على تحقيق الأهداف بسيط على التقارير المالية. على الالتزام بالقوانين والتشريعات.
التشغيلية للجهة الاتحادية.
2 إذا وقع الخطر، فستظل هناك إمكانية إذا وقع الخطر، فستظل هناك إمكانية إذا وقع الخطر، فستظل هناك إمكانية
عدم تحقيق الأهداف التشغيلية عدم كفاءة ودقة التقارير المالية. عدم تحقيق الالتزام بالقوانين والتشريعات.
للجهة الاتحادية.
3 إذا وقع الخطر، فإنه لن يتم تحقيق إذا وقع الخطر، فإنه لن يتم تحقيق إذا وقع الخطر، فإنه لن يتم الالتزام
الأهداف التشغيلية للجهة الاتحادية. الهدف من التقارير المالية. بالقوانين والتشريعات.
خطوات عملية لتقييم المخاطر
نظرا لأن عدد وطبيعة المخاطر التي تتعرض لها الجهات الاتحادية غير ثابتة فإن عملية تقييم المخاطر يجب أن تتم بصورة دورية خلال فترة تتراوح بين سنة إلى ثلاث سنوات.
وفيما يلي بيان لخطوات تقييم المخاطر في الجهات المعنية:
الخطوة الأولى: تحديد المخاطر
* تتمثل هذه المرحلة في التوصل إلى توثيق المخاطر التي تعيق تحقيق أهداف الجهة الاتحادية والتي تم التوصل إليها من خلال المقابلات والبيانات الأساسية خلال مرحلة التحليل الاستراتيجي بالإضافة إلى الاطلاع على أية بيانات أخرى تتضمن المخاطر التي قد تتعرض لها أهداف الجهات الاتحادية المعنية.
* كما يتم أيضا خلال تلك المرحلة ربط المخاطر بالأنشطة والعمليات المتعلقة بها للمساعدة في تصنيف وترتيب الأنشطة وفقا لدرجة تعرضها للخطر وبالتالي مدى التأثير على تحقيق أهداف الجهة المعنية، كما يجب أن تتم عملية التحديد بغض النظر عن إجراءات الرقابة المحيطة والتي تم اتخاذها من قبل الجهة المعنية لتفادي الوقوع في تلك المخاطر.
* يجب أن تتم عملية تحديد المخاطر بمساعدة الإدارة المسئولة عن كل نشاط، حيث إن الإدارة العليا والإدارة المباشرة للعمليات والأنشطة هي الأقدر على المساعدة في تلك العملية وربطها بالأهداف المتعلقة بها.
* تعتمد عملية تحديد المخاطر بشكل كبير على الحكم الشخصي، ويختلف ذلك الحكم الشخصي باختلاف الأشخاص وخبراتهم ومدى فهمهم لمفهوم الخطر، ولهذا فإن هناك العديد من الأساليب التي تساعد على توحيد المفاهيم وبالتالي تخفيف حدة الاعتماد على الاعتبارات الشخصية المختلفة، ومن ضمن تلك الأساليب المقابلات مع الإدارات المعنية، والاستبيانات، وورش العمل، وتحليل البيانات،..... الخ.
* وحتى تكون عملية تحديد المخاطر أكثر فعالية، فإنه يفضل الاعتماد على أكثر من أسلوب من تلك الأساليب وذلك كما يلي:
1. المقابلات
عند الإعداد للمقابلات المتعلقة بعملية تحديد الخطر يجب أن يتم التأكد من التالي:
* تحديد الأهداف الاستراتيجية والتشغيلية للجهة الاتحادية المعنية.
* الربط بين الأهداف الاستراتيجية والتشغيلية للجهة ككل وبين مبادرات الإدارة لتحقيق تلك الأهداف.
* تحديد البيئة الخارجية ومدى تأثيرها على تحقيق أهداف الجهة الاتحادية.
* تحديد المخاطر الداخلية التي يمكن أن تواجه تحقيق مبادرات الإدارة.
2. ورش العمل
الهدف من ورش العمل هو المساعدة في توحيد مفهوم عملية تقييم المخاطر وكذلك مفهوم الخطر وذلك بغرض تخفيف حدة الاعتماد على الحكم الشخصي للأفراد في مرحلة التقييم.
3. استبيانات التقييم الذاتي
تعتبر عملية استبيانات التقييم الذاتي للأنشطة والمخاطر المتعلقة بها عملية جوهرية، حيث يتم استخدامها للتأكيد على البيانات التي تم التوصل إليها خلال كافة المراحل السابقة ضمن عملية التحليل الاستراتيجي والمقابلات الأخرى التي قد تتم خلال عملية تقييم المخاطر، كما أنه يجب إعداد تلك الاستبيانات وتحليلها بطريقة تضمن سلامة ودقة البيانات وسهولة عملية تقييم الخطر.
تحديد الإحداثيات
يتم توزيع الأنشطة وفقا لعملية تقييم المخاطر ودرجة تعرضها للخطورة في ضوء قياس الاحتمالية والتأثير وفقا للشكل التالي:
الشكل رقم 8: نموذج تقييم المخاطر
كما يجب انعكاس نتائج التقييم والإحداثيات الواردة بالشكل السابق في خريطة تدرج المخاطر كما يلي:
الشكل رقم 9: الخريطة الحرارية لتدرج المخاطر "Heat Map"
هذا ويتم تصنيف الأنشطة المختلفة وفقا لتقييم المخاطر المتعلقة بها، حيث يتم استخدام مخرجات عملية تقييم المخاطر والواردة بخريطة تدرج المخاطر وسجل المخاطر للتوصل إلى ما يلي:
1. تحديد الأنشطة المختلفة القابلة للتدقيق.
2. تحديد أولوية خضوع تلك الأنشطة للتدقيق، حيث يتم تصنيف كافة الأنشطة كما يلي:
أنشطة ذات خطر عالي - الأولوية للتدقيق الداخلي
وتتسم الأنشطة التي تندرج تحت هذا القسم بما يلي:
1- الأنشطة الأكثر عرضة للمخاطر
2- أنشطة ذات تأثير جوهري على تحقيق أهداف الجهة الاتحادية المعنية (إيجابا أو سلبا).
3- الأنشطة الأكثر حاجة إلى دراسة البيئة الرقابية المتعلقة بها وإبداء التوصيات بشأن تحسينها.
وبالتالي فإن الأنشطة ذات الخطر العالي تعتبر لها الأولوية القصوى في عملية التدقيق.
أنشطة ذات خطر متوسط - تدقيق داخلي
وتتسم الأنشطة التي تندرج تحت هذا القسم بما يلي:
1- أنشطة عرضة لبعض المخاطر.
2- أنشطة لها تأثير واضح على تحقيق أهداف الجهة الاتحادية.
3- أنشطة بحاجة إلى متابعة مدى التزامها بالإجراءات وخطوات الرقابة المصممة لها.
وبالتالي فإن تلك الأنشطة متوسطة الأولوية في عملية التدقيق.
أنشطة ذات خطر منخفض - تدقيق داخلي انتقائي
وتتسم الأنشطة التي تندرج تحت هذا القسم بما يلي:
1- أنشطة قد تتعرض لبعض المخاطر.
2- أنشطة قد يكون لها تأثير على تحقيق أهداف الجهة الاتحادية ولكن هذا التأثير غير جوهري.
3- أنشطة بحاجة إلى قياس مدى وجود إجراءات وخطوات رقابية لمتابعتها أم لا.
وبالتالي فإن تلك الأنشطة ليس لها أولوية في عملية التدقيق.
الخطوة الرابعة: متابعة المخاطر وإعادة التقييم
نظرا للتغيرات العالمية المستمرة، فضلاً عن التغيرات في بيئة العمل المحيطة، وحيث إن الجهات الاتحادية لها دور رئيس في الحكومة الاتحادية، فإنها تخضع لتلك التغييرات المستمرة مما يكون له أثر كبير على المخاطر التي قد تتعرض لها الجهات الاتحادية، وعليه تظهر الحاجة إلى التقييم المستمر لتلك المخاطر مما سيؤدي إلى إعادة ترتيب الأولويات للأنشطة الخاضعة للتدقيق وبالتالي سيكون له انعكاس على خطة التدقيق الداخلي السنوية.
كما أنه من خلال تنفيذ خطة التدقيق الداخلي السنوية، فإنه من الممكن أن يؤدي تنفيذ التدقيق على بعض الأنشطة إلى الحصول على بيانات أخرى إضافية لم تلاحظ في مرحلة تقييم المخاطر، بالإضافة إلى إمكانية اكتشاف عدم فعالية إجراءات الرقابة الموضوعة من خلال الإدارة لمواجهة بعض المخاطر التي تتعرض لها الأنشطة مما سيزيد من إمكانية تعرض تلك الأنشطة للمخاطر وبالتالي إعادة تقييم المخاطر المتعلقة بهذا النشاط.
وبناء على ما سبق، فإنه يجب إعادة تقييم الخطر بشكل سنوي على الأقل وتعديل خطة التدقيق الداخلي بنتائج إعادة التقييم.
العنصر الثالث: إعداد خطة التدقيق الداخلي.
مقدمة:
يتم إعداد خطة التدقيق الداخلي وفقا لنتائج تقييم المخاطر، على أن تغطي تلك الخطة فترة من سنتين إلى ثلاث سنوات بالإضافة إلى ذلك أن تكون مرنة بما فيه الكفاية لاستيعاب أية تغيرات قد تطرأ، ويتم اعتمادها من الإدارة العليا، وفي حالة وجود تعديلات ناتجة عن إعادة تقييم المخاطر فإن هذا التعديل يجب أن ينعكس في خطة التدقيق الداخلي، كما يجب أن يعتمد أيضا من الإدارة العليا.
ومن ناحية أخرى فإن خطة التدقيق الداخلي تساهم في تحديد الموارد البشرية والإمكانيات المطلوب توافرها حتى يتسنى تنفيذ تلك الخطة، كما أنه يجب التنسيق مع كافة الإدارات التي سوف يتم التدقيق عليها بشأن مواعيد التدقيق حتى يتم اختيار أنسب الأوقات لتغطية التدقيق على الأنشطة المختلفة.
كما يجب الحرص على تغطية كافة الأنشطة التي تم تقييمها خلال مرحلة تقييم المخاطر على أنها أنشطة ذات خطر عالي خلال فترة الخطة، كما يجب أن تتضمن خطة التدقيق عمليات التدقيق وكذلك عمليات متابعة تنفيذ الملاحظات الواردة في تقارير التدقيق.
يتعين على مدير التدقيق الداخلي أن يتبادل المعلومات وينسق الأنشطة مع الجهات الخارجية والداخلية التي تقدم خدمات التأكيد والاستشارات المرتبطة بمجال أعمال نشاط التدقيق، وذلك لضمان التغطية اللازمة للأعمال وتلافي ازدواجية الجهود (معيار التدقيق الداخلي رقم 2050).
الشكل رقم 10: مراحل إعداد خطة التدقيق الداخلي
الخطوة الأولى: إدراج نتائج عملية تقييم المخاطر في خطة التدقيق الداخلي
يتم أخذ نتائج عملية تقييم المخاطر في الحسبان عند إعداد خطة التدقيق الداخلي بغرض التأكد من تغطية كافة المخاطر المتعلقة بالأنشطة، كما يجب توزيع جهود التدقيق الداخلي بطريقة سليمة لضمان تغطية الأنشطة التي تتعرض لمخاطر عالية مع الأخذ في الاعتبار الأهداف العامة للجهة المعنية.
الخطوة الثانية: تحديد الأنشطة الواجب إدراجها في خطة التدقيق الداخلي:
هناك العديد من الأسس التي يتم إتباعها لضمان إضافة القيمة إلى الجهة المعنية وتلبية توقعات الإدارة العليا من مكاتب التدقيق الداخلي بالإضافة إلى تغطية الأنشطة التي تتعرض لمخاطر عالية والتي يكون لها تأثير كبير على تحقيق أهداف الجهة المعنية، وتتمثل تلك الأسس فيما يلي:
* نتائج عملية تقييم المخاطر.
* توجهات الإدارة العليا والإدارة التنفيذية.
كما يجب أن يتم ترتيب أولوية الأنشطة الخاضعة لعملية التدقيق وفقا للعائد والقيمة المضافة المتوقعة منها، بحيث يكون قيمة العائد من التدقيق على تلك الأنشطة أكبر من التكلفة المتوقعة للانتهاء من عملية التدقيق وتتمثل تلك التكلفة في قيمة الوقت المستغرق من المدققين الداخليين في الانتهاء من التدقيق على تلك الأنشطة.
الخطوة الثالثة: تحديد توقيت التدقيق والموارد المطلوبة
يجب مراعاة أن تكون خطة التدقيق الداخلي مرنة بما فيه الكفاية لاستيعاب أية تغيرات قد تطرأ خلال عملية التخطيط والتنفيذ، ويمكن تحقيق ذلك عن طريق إضافة وقت احتياطي يمثل نسبة معينة من وقت التدقيق الفعلي لمواجهة أي تغير.
وحتى يتسنى تقدير الوقت المستغرق في عملية التدقيق بشكل دقيق، يجب مراعاة التوقيت اللازم لإجراء كافة العمليات التالية بالإضافة إلى الوقت الاحتياطي الذي تم الإشارة إليه مسبقا:
* الوقت اللازم للتخطيط لعملية التدقيق
* الوقت اللازم لتنفيذ عملية التدقيق
* الوقت اللازم للانتهاء من إعداد التقارير
* الوقت اللازم لمناقشة الملاحظات والتقارير مع الجهة المدقق عليه
* الوقت اللازم لتحديث خطة التدقيق في حالة وجود تغييرات
* الوقت اللازم للتدريب والتطوير
* الوقت اللازم للقيام بالإجراءات الإدارية المتعلقة بتنفيذ التدقيق (الانتقال - إجراء المقابلات والزيارات مع الموظفين - إعداد متطلبات التدقيق - ....)
كما أن على مدير مكتب التدقيق الداخلي التأكد من كفاءة وكفاية الموارد البشرية وقدرتها على إتمام عملية التدقيق الداخلي بالإضافة إلى وجود المهارات الأساسية اللازمة للانتهاء من تلك العمليات الوقت المحدد، كما يجب الأخذ في الحسبان وجود بعض الأنشطة التي تحتاج في التدقيق عليها إلى وجود كفاءات ومهارات متخصصة (على سبيل المثال التدقيق على أنشطة التأمين تحتاج إلى خبرة في مجال التأمين - التدقيق على نشاط المشاريع يحتاج أيضا إلى خبرة في مجال المشروعات الإنشائية - .......)
الخطوة الرابعة: اعتماد خطة التدقيق
يجب اعتماد خطة التدقيق الداخلي عن فترة من سنة إلى ثلاث سنوات من الإدارة العليا، كما يجب أن تشمل تلك الخطة على ما يلي:
1. الأنشطة المقترح التدقيق عليها.
2. توقيت كل نشاط على حدة (توزيع الأنشطة على مدار الخطة المعتمدة).
3. الفترة الزمنية اللازمة لكل نشاط.
كذلك ينبغي أن يتم اعتماد أية تعديلات على الخطة من الإدارة العليا، على أن يتم بيان التعديل وسببه. وتجدر الإشارة إلى أن أسباب تعديل خطة التدقيق الداخلي قد تكون نتيجة لأية تغيرات سواء كانت داخلية أو خارجية على سبيل المثال:
* تغيرات في الهيكل التنظيمي أو التشغيلي لنشاط معين أو مجال/ وحدة معينة.
* تغيرات في الهيكل المالي أو التشغيلي أو التنظيمي للجهات الاتحادية.
* التغيرات الإدارية.
* التغيرات في المخاطر والعوامل المشاركة في المخاطر.
* التغيرات في السياسات والإجراءات والأنظمة والتكنولوجيا.
الخطوة الخامسة: تحديث خطة التدقيق الداخلي (عملية إعادة تقييم الخطة)
قد يتبين من خلال إجراءات التدقيق وتنفيذ عملية التدقيق الداخلي على الأنشطة المختلفة، أن يكون تعرض بعض الأنشطة للمخاطر أعلى أو أقل مما تم تقييمه مسبقا، كما أنه قد يتبين أيضا عدم كفاءة بعض الإجراءات الرقابية.
ونظرا لأن خطة التدقيق الداخلي تتسم بالمرونة والاستجابة للتغيرات المحيطة، فإنه يمكن تعديل خطة التدقيق الداخلي في حالة وجود تغيير جوهري في تقييم درجة تعرض الأنشطة للمخاطر المختلفة والذي ينتج من خلال إجراءات التدقيق الداخلي.
المرحلة الثانية:
مرحلة التنفيذ:
تعتبر مرحلة التنفيذ هي المرحلة الثانية من مراحل منهجية التدقيق الداخلي، وتتضمن تلك المرحلة العناصر التالية:
العنصر الأول: تنفيذ التدقيق الداخلي.
العنصر الثاني: إعداد التقارير.
العنصر الثالث: متابعة الملاحظات.
وفيما يلي شرح مفصل لكل عناصر من تلك العناصر:-
العناصر الوصف المخرجات الرئيسية
العنصر الأول تنفيذ التدقيق الداخلي مرحلة التخطيط: مرحلة التخطيط:* مراسلات بدء التدقيق
* الاتصالات المبدئية والإجراءات الإدارية مع الإدارات المعنية
مع الإدارات المعنية. * نموذج نطاق التدقيق
* الاجتماع الافتتاحي والحصول على تفهم النشاط * برنامج التدقيق التفصيلي مرحلة التنفيذ الميداني
والمعلومات المبدئية. * الملاحظات المبدئية
* وضع نطاق العمل وأهداف ومنهجية عملية التدقيق. * نموذج الاجتماع الختامي
* تحديد التوقيت وتوزيع المهام على فريق العمل.
* توثيق الأنظمة والعمليات وتفهم النشاط.
* إعداد برنامج التدقيق التفصيلي.
مرحلة التنفيذ الميداني
* تنفيذ عملية التدقيق من خلال برنامج التدقيق
في إطار نطاق العمل.
* تحديد الملاحظات.
* إجراء المقابلات الختامية.
العنصر الثاني إعداد التقارير * إعداد مسودة تقرير التدقيق الداخلي المبدئي وإرساله إلى الإدارة * مسودة تقرير التدقيق الداخلي
المعنية ونسخة للقطاع المعني * تقرير التدقيق الداخلي النهائي
* استلام ردود الإدارة وخطة العمل متضمنا ردود للإدارة.
* إعداد تقرير التدقيق الداخلي النهائي وإرساله إلى الإدارة العلي
العنصر الثالث متابعة الملاحظات * متابعة تنفيذ خطط عمل الإدارة وفقًا لتوقيت التنفيذ المدرج في * تقرير المتابعة
رد الإدارة في تقرير التدقيق الداخلي.
* إعداد تقرير المتابعة وإرساله إلى الإدارة المعنية
ونسخة للقطاع المعني.
وفيما يلي شرح تفصيلي للخطوات الواجب إتباعها لتنفيذ كل عنصر من العناصر:
العنصر الأول: تنفيذ التدقيق الداخلي:
المرحلة الأولى: التخطيط:
النجاح في تنفيذ عملية التخطيط بشكل جيد يضمن نجاح المهمة ككل بشكل كبير، وحتى يتم التأكد من القيام بالتخطيط للمهمة بشكل كافي ينبغي القيام بالمهام الرئيسية التالية خلال عملية التخطيط:
* إجراء اتصال مبدئي مع الإدارة المعنية والاتفاق على الأمور الإدارية المتعلقة بمهمة التدقيق.
* إرسال خطاب بمهمة التدقيق للإدارة المعنية.
* الاجتماع الافتتاحي مع الإدارة وتفهم النشاط والعمليات والإجراءات المتعلقة بالنشاط محل التدقيق.
* التأكيد على الفهم المشترك لنطاق العمل.
* عمل برنامج تدقيق للنشاط محل التدقيق.
* التواصل المستمر مع كافة أعضاء فريق التدقيق والحرص على توافر نفس المستوى من الفهم لطبيعة النشاط وإجراءات التدقيق الواجب إتباعها.
كما ينبغي أخذ المعايير التالية في الاعتبار خلال كافة مراحل التخطيط والتنفيذ وكذلك التقارير والمتابعة:
* الأهداف الاستراتيجية للجهة الاتحادية.
* أهداف الإدارة المعنية.
* منهجية التدقيق الداخلي.
* توقعات الإدارة العليا وكافة الجهات المقدم إليها التقرير.
* أية بيانات أو ملاحظات أخرى متوفرة.
وفيما يلي الخطوات التفصيلية الواجب إتباعها خلال مرحلة التخطيط:
1- تحديد نطاق العمل.
2- تحديد فريق العمل والاجتماع المبدئي مع الفريق.
3- الاجتماع الافتتاحي مع الإدارة المعنية وتفهم النشاط.
4- الاطلاع على أية تقارير أخرى متعلقة بالتدقيق على النشاط محل التدقيق.
5- إعداد برنامج التدقيق التفصيلي وتحديد الأهداف.
وذلك وفقا للمعايير الدولية للتدقيق الداخلي التالية: (2200- 2201- 2210- 2220- 2230- 2240- 2300)
1- تحديد نطاق العمل:
يتم تحديد نطاق العمل لمهمة التدقيق "وفقا للمعايير الدولية للتدقيق الداخلي (معيار رقم 2220 في شأن نطاق مهمة التدقيق والمخاطر التي تم تحديدها خلال مرحلة تقييم المخاطر)"، هذا ويجب أن يشمل نطاق التدقيق ما يلي:
* طبيعة المهمة (تقييم مخاطر- تدقيق داخلي).
* الإدارة التي سوف يتم التدقيق عليها بالإضافة إلى النشاط.
* تحديد النواحي والبنود التي ستخضع لعملية التدقيق.
* مخاطر الأعمال التي تؤثر على المبادرات والأهداف المتعلقة بالنشاط محل عملية التدقيق.
* الأخذ بعين الاعتبار الأمور التي استرعت انتباه فريق التدقيق الداخلي خلال مرحلة تقييم المخاطر والتحليل الاستراتيجي بالإضافة إلى مدى وجود إجراءات تحليلية خاصة سوف يتم إتباعها في التدقيق على هذا النشاط من عدمه وذلك لتسهيل المناقشات مع الإدارة فيما يخص توافر وصحة البيانات المطلوبة وحق الوصول إليها.
* طبيعة وتوقيت ومدى إجراءات التدقيق من حيث طبيعة الإجراءات التي سوف يتم إتباعها بما في ذلك مراجعة إجراءات الرقابة واختبار المعاملات ومراجعة العمليات.
* النتائج والتقارير المتوقع أن تسفر عنها مهمة التدقيق، حيث ينبغي تحديد توقعات قارئ التقرير والاتفاق مع الإدارة العليا على حجم التوقعات المتعلق بتلك التقارير.
* وبناء على ما سبق، يتم تجميع كافة البيانات والمعلومات الموضحة أعلاه في مذكرة نطاق التدقيق والتأكد من اطلاع فريق العمل عليها ووجود تفهم واضح ومشترك لكل أعضاء الفريق.
2- تحديد فريق العمل والاجتماع المبدئي مع الفريق:
وفقا للمعايير الدولية للتدقيق الداخلي (معيار رقم 2230 في شأن تخصيص الموارد اللازمة لمهمة التدقيق).
* يتم تحديد فريق العمل وفقا لطبيعة كل نشاط على حدة، بحيث يجب أن تكون الخبرة الشخصية والنواحي الفنية والمهنية التي يتمتع بها أعضاء فريق العمل تتفق مع طبيعة النشاط الذي سوف يتم التدقيق عليه (بحيث يتم مراعاة وجود خبرات في مجال نظم المعلومات في فريق التدقيق في حالة اعتماد النشاط على أنظمة الحاسب الآلي، ومراعاة وجود خبرات في مجال المقاولات في حالة إذا ما كان النشاط يرتبط بالتعامل مع المقاولين من الباطن وأعمال البناء، ..... الخ).
* يتم عقد اجتماع افتتاحي مع فريق العمل قبل البدء في زيارة الإدارة المدقق عليها، ويجب أن يتم توثيق محضر الاجتماع، على أن تتم مناقشة ما يلي:
1- نطاق العمل والتأكد من وجود تفهم كامل وواضح للنطاق.
2- توقيت العمل وبداية النشاط.
3- المسئوليات والمهام المتعلقة بكل فرد في الفريق.
4- تحديد إجراءات التدقيق التي تحتاج إلى تدخل مدير التدقيق الداخلي أو من ينوب عنه.
5- تحديد أساليب الاتصال مع الإدارة المعنية.
6- تحديد آلية سير العمل والاجتماعات الأخرى المتعلقة بالمهمة.
7- أية أمور أخرى متعلقة بالمهمة.
3- الاجتماع الافتتاحي مع الإدارة المعنية وتفهم النشاط:
* الاجتماع الافتتاحي
يتم عقد اجتماع افتتاحي مع الإدارة المعنية قبل بداية عملية التدقيق، ويجب التنسيق مع الإدارة المعنية والتنبيه نحو ضرورة حضور كل من مدير الإدارة ومسئولي الأنشطة محل عملية التدقيق، ويكون الهدف الرئيسي من الاجتماع الافتتاحي هو تعريف الإدارة بنطاق عمل الفريق والمدة التي سوف يستغرقها فريق العمل في أداء مهمته، وكذلك التنسيق مع الإدارة لبدء عملية التدقيق الفعلية وتسهيل كافة الإجراءات الإدارية بالإضافة إلى البدء في عملية تفهم الأنشطة، وتكون أجندة الاجتماع الافتتاحي كما يلي:
* التعريف بمهام التدقيق الداخلي.
* بيان مواطن القيم المضافة التي يمكن أن يضيفها فريق التدقيق الداخلي للإدارة.
* مناقشة نطاق العمل.
* مناقشة المدة المطلوبة للانتهاء من عملية التدقيق.
* معرفة الهيكل الإداري والتنظيمي والفني للإدارة محل التدقيق.
* الاتفاق على كافة النواحي الإدارية والتنظيمية المطلوبة (مدة التدقيق– مكان التدقيق – المنسق - أسلوب المراسلات .... الخ).
* معرفة الأهداف والمبادرات والخطط المتعلقة بعمل الإدارة بصفة عامة والنشاط محل التدقيق بصفة خاصة.
* أية أمور جوهرية أخرى متعلقة بالنشاط من الناحية الفنية أو الإدارية.
* فهم النشاط
تتم إجراءات فهم النشاط محل التدقيق عن طريق وسائل متعددة تتضمن الاجتماعات مع المسئولين عن الأنشطة الفرعية والقائمين بالعمل، بالإضافة إلى الاطلاع على الهيكل التنظيمي التفصيلي والمهام الموكلة إلى الإدارة فيما يتعلق بالنشاط محل التدقيق، وكذلك الاطلاع على البيانات التي تم الحصول عليها مسبقا خلال عملية التحليل الاستراتيجي ومرحلة تقييم المخاطر وفيما يلي البيانات الرئيسية المطلوب تفهمها بصورة كاملة حتى يتسنى وضوح الصورة بشكل كامل قبل البدء في عملية التدقيق:
* موقع الإدارة على الهيكل التنظيمي والمهام التفصيلية.
* الأنشطة العامة والفرعية للإدارة.
* تفهم كافة إجراءات العمل اليومية الروتينية والغير روتينية.
* تفهم كافة نقاط الرقابة المتبعة للتأكد من كفاءة وسلامة الإجراءات.
* القوانين والتشريعات التي تنظم عمل الإدارة.
* عدد الموظفين موزعا على المستويات الإدارية المختلفة.
* التقارير الصادرة والواردة من وإلى الإدارة فيما يتعلق بالنشاط محل التدقيق وتوقيت إصدار أو استلام تلك التقارير.
* مدى وجود جهات رقابية أخرى تقوم بأية إجراءات رقابية على النشاط محل التدقيق.
* مدى الاعتماد على نظام الحاسب الآلي أم أن كافة الإجراءات يتم تنفيذها يدويا.
* نقاط القوة والضعف من وجهة نظر مسئولي النشاط.
* الصلاحيات الممنوحة للموظفين.
كما يمكن للمديرين والمدققين الداخليين استخدام أساليب التقييم الذاتي لعمليات الرقابة في تقييم عمليات إدارة المخاطر وعمليات الرقابة بالمؤسسة، كذلك يمكن للمدققين الداخلين استخدام برامج التقييم الذاتي لعمليات الرقابة في جمع المعلومات اللازمة فيما يتعلق بالإجراءات والضوابط الرقابية (الإرشاد التطبيقي رقم 2120/ت/1).
كما أن ثمة طريقة منهجية تتبع في أعمال استقصاء التقييم الذاتي وورش العمل اللازمة لها - يطلق عليه "التقييم الذاتي لعمليات الرقابة" - تمثل مدخلا مفيدا وفعال يمكن من تعاون المديرين والمدققين الداخليين في تقييم الإجراءات الرقابية ويهدف إلى إدماج أهداف العمل والمخاطر المختلفة مع عمليات الرقابة، ولذلك فإن الطريقة المذكورة يطلق عليها أيضا "التقييم الذاتي لعمليات الرقابة/ إدارة المخاطر".
ومن ضمن مميزات طريقة التقييم الذاتي أن يكتسب نشاط التدقيق الداخلي معلومات أكثر بشأن عمليات الرقابة المتبعة والاستفادة من كافة المعلومات والبيانات المتوفرة في بيان نقاط الضعف الهامة في الإجراءات والضوابط الرقابية. (الإرشاد التطبيقي رقم 2120/ت/1)
هناك ثلاثة أشكال أساسية لبرامج التقييم الذاتي لعمليات الرقابة وهي:
* ورش العمل.
* الاستقصاءات.
* التحليل.
ورش العمل: تتولى عمليات التسهيل وجمع المعلومات والبيانات من فرق العمل المختلفة التي تمثل كافة المستويات في الإدارات محل التدقيق، ويتم تحديد شكل تلك الفرق وتشكيلها على أساس الأهداف أو المخاطر أو الإجراءات والضوابط الرقابية.
الاستقصاء: يتضمن العديد من الأسئلة البسيطة في معظمها بحيث تكون الإجابة عليها بـ (نعم) أو (لا) وما إلى ذلك من الأسئلة التي يسهل فهمها والإجابة عليها. ويتم استخدام طريقة الاستقصاء في حالة صعوبة إجراء ورش العمل نتيجة لكبر عدد الفرق أو اختلاف المستويات الوظيفية وبيئة العمل بشكل كبير أو إذا كانت الثقافة السائدة من شأنها إعاقة المناقشات الصريحة أو في حالة صعوبة الحصول على المعلومة خلال ورش العمل.
التحليل: ويشمل التحليلات التي تؤديها الإدارة لتشمل معظم الأساليب الأخرى التي تتبعها المجموعات والوحدات الإدارية في جمع وعرض البيانات والمعلومات المتعلقة بإجراءات العمل وتنفيذها وأنشطة إدارة المخاطر وإجراءات الرقابة. ويكون الهدف من تلك التحليلات هو التوصل إلى رأي أو تقدير شامل وصحيح وسليم وفي الوقت المناسب. ومن الممكن الجمع بين تلك التحليلات وبين كافة البيانات والمعلومات الأخرى لتعزيز فهم الضوابط الرقابية والأنشطة المختلفة.
4- الاطلاع على أية تقارير أخرى متعلقة بالتدقيق على النشاط محل التدقيق
يعتبر الاطلاع على كافة تقارير التدقيق على النشاط محل التدقيق من أهم الوسائل التي تساعد على فهم النشاط ونقاط الضعف المتعلقة بالنشاط محل التدقيق، كما أنه يعطي فكرة عامة عن طبيعة البيانات والملاحظات التي تم تقديمها إلى الإدارة من قبل وبالتالي فإنه يساعد في فهم واقع الإدارة قبل البدء في عملية التدقيق حتى تتم تغطية كافة جوانب القصور وكذلك الجوانب التي تحتاج إلى تركيز خلال عملية التدقيق حتى يتسنى التوصل إلى صورة كاملة وإصدار تقارير تؤثر في طبيعة العمل وتضيف القيمة المرجوة إلى كافة الإدارات التي يتم التدقيق عليها.
5- إعداد برنامج التدقيق التفصيلي وتحديد الأهداف
يعتبر برنامج التدقيق "وفقا للمعايير الدولية للتدقيق الداخلي معيار رقم 2240 في شأن برنامج عمل مهمة التدقيق" بمثابة خطة الإجراءات التفصيلية التي يتم إجراء عملية التدقيق على ضوئه، كما يعتبر نتاج عملية فهم النشاط، حيث إن برنامج التدقيق يجب إعداده على ضوء فهم النشاط، وبالتالي فإن مرحلة فهم النشاط وإعداد برنامج التدقيق تعتبر من أهم المراحل التي يتم تنفيذ كافة مراحل التدقيق على ضوئها، فكلما تم التوصل إلى فهم النشاط بصورة دقيقة كلما كان برنامج التدقيق الذي يتم وضعه أقرب إلى الواقع والتنفيذ.
* يجب أخذ ما يلي في الحسبان عند إعداد برنامج التدقيق:
1- أن تكون كافة إجراءات التدقيق المدرجة في برنامج التدقيق وفقا لنطاق العمل الذي تم الاتفاق عليه مسبقا وتم مناقشته مع الإدارة خلال مرحلة التخطيط والاجتماع الافتتاحي.
2- التأكد من إدراج كافة الأمور التي استرعت انتباه الفريق خلال عملية تقييم المخاطر وكذلك خلال عملية التدقيق والاجتماع الافتتاحي.
3- التأكد من إدراج خطوات مراجعة مرتبطة ببرنامج التدقيق تغطي كافة الملاحظات التي أثارها التدقيق الداخلي من قبل (سواء كانت في تقارير تم إصدارها للإدارة مسبقا من قبل التدقيق الداخلي أو من أية جهة أخرى).
4- التأكد من أن جميع المخاطر التي تم الإشارة إليها خلال عملية تقييم المخاطر والاجتماع الافتتاحي قد تم إدراجها ضمن خطوات برنامج التدقيق.
5- أن يتم تحديد طبيعة وتوقيت ومدى تنفيذ خطوات إجراء التدقيق (هل العينة التي يتم اختيارها يتم توزيعها على مدار العام أم اختيار مفردات من نهاية العام فقط أم مفردة من كل شهر ....)
6- التأكد من أن خطوات التدقيق المدرجة ببرنامج التدقيق قد شملت كافة التوقعات والنقاط المطلوب تغطيتها والتي تم إثارتها خلال الاجتماعات الداخلية للفريق أو الاجتماعات التي تمت مع الإدارة المعنية خلال مرحلة تقييم المخاطر أو خلال مرحلة التخطيط لعملية التدقيق.
* وفقا للإرشاد التطبيقي رقم 1210/ت/2، فإنه ينبغي الأخذ في الاعتبار إضافة بعض الخطوات المتعلقة بمدى وجود مؤشرات عن عملية احتيال، حيث إن مسئولية التدقيق الداخلي تجاه عملية الاحتيال تتمثل في بذل العناية المهنية اللازمة، وذلك إلى الحد الذي يتناسب مع مدى احتمالات وجود الاحتيال في الأنشطة التي يتم تغطيتها في سياق الأداء المعتاد لمهام التدقيق الداخلي. وينبغي أن يتحلى المدققون الداخليون بمعرفة وافية عن الاحتيال بما يكفي لفهم المؤشرات التي تدل على احتمال ارتكاب الاحتيال، وأن يتنبهوا إلى الثغرات التي تفتح الباب أمام الاحتيال، وأن يقوموا بتقييم مدى الاحتياج إلى مزيد من التحقيقات وإخطار الجهات المعنية بذلك.
* كما ينبغي إخطار الإدارة العليا بذلك وإتباع التشريعات والقوانين المعمول بها في الدولة بذلك الخصوص.
المرحلة الثانية: التنفيذ الميداني:
تعتبر مرحلة التنفيذ الميداني "وفقا للمعايير الدولية للتدقيق الداخلي معيار رقم 2300 في شأن تنفيذ مهام التدقيق الداخلي" هي مرحلة قيام فريق مكتب التدقيق الداخلي بإجراء اختبارات وفحوصات على إجراءات الرقابة وتسجيل النتائج وصياغة التوصيات الرئيسية، وتهدف عملية الفحص أو الاختبار في التدقيق الداخلي إلى الحصول على الأدلة والبيانات لتحقيق أهداف عملية التدقيق الداخلي.
الشكل رقم 11: تنفيذ التدقيق الداخلي
أولا: أساليب التدقيق
توجد أساليب متنوعة لتطبيق إجراءات التدقيق والتي يمكن استخدامها خلال عملية التدقيق، ومن المهم جدا أن يتم اختيار أسلوب أو عدة أساليب من تلك الأساليب خلال مرحلة التخطيط وفقا لطبيعة الأنشطة التي يتم التدقيق عليها، ووفقا لطبيعة البيانات المتاحة. وفيما يلي بعض الأساليب التي يمكن أن يستخدمها فريق التدقيق الداخلي في الحصول على أدلة التدقيق أو تحليل البيانات والأداء:
* الاستقصاءات (الاستبانات).
* الاختبارات التحليلية.
* الاختبارات المستندية.
* المقابلات.
* الاستعانة بالمتخصصين في بعض المجالات التفصيلية (مثل الاستعانة بمتخصصين في مجال نظم المعلومات).
* التحليلات الإحصائية.
* أساليب التدقيق المدعومة بالحاسب الآلي.
وفيما يخص تدقيق نظم تقنية المعلومات، فإن أساليب وأنواع فحص البيانات بواسطة برمجيات التدقيق الحديثة تكاد تكون غير محدودة، فعلى سبيل المثال تحتوي برمجيات التدقيق على العديد من الأوامر التي توفر للمدقق احتياجاته لتدقيق المعاملات بغرض اكتشاف الاحتيال، مثل وجود معاملات مكررة أو معاملات مفقودة أو غير عادية، وفيما يلي بعض الأمثلة على هذه الأمور:
* مقارنة عناوين الموردين بعناوين الموظفين لتحديد ما إذا كان هناك موظفين يوردون للجهة المعنية.
* البحث عن أرقام الشيكات المكررة لاكتشاف ما إذا كان هناك نسخ أخرى مطبوعة من نفس الشيك.
* تحليل تتابع جميع المعاملات لتحديد الشيكات أو الفواتير المفقودة.
* تحديد الموردين ممن لهم أكثر من رمز أو أكثر من عنوان بريدي.
* تحديد الموردين ممن لهم نفس العنوان البريدي.
* ترتيب المدفوعات حسب قيمتها لتحديد المعاملات التي تقل أو تزيد قليلا عن حد معين للصرف، وذلك لاختبار حدود تفويض السلطة فيما يتعلق بالشؤون المالية والمشتريات والموارد البشرية.
كما يمكن أيضا استخدام أساليب التدقيق المدعومة بالحاسب الآلي لتنفيذ العديد من إجراءات التدقيق والتي تشمل:
* اختبار المعاملات المقيدة والأرصدة مثل إعادة احتساب الفائدة.
* إجراءات التدقيق التحليلية مثل تحديد التناقضات أو التغيرات المهمة.
* اختبارات الالتزام بالضوابط العامة مثل اختبار تكوين وتفعيل نظام التشغيل أو اختبار الإجراءات الخاصة بمكتبات البرامج.
* استخدام برامج اختيار العينات لاستخراج البيانات بغرض تدقيقها.
* اختبارات الالتزام بضوابط التطبيقات مثل اختبار عمل أحد ضوابط البرمجة.
ثانيا: تحديد المعلومات والبيانات
أ- جمع المعلومات والبيانات:
ينبغي على فريق التدقيق الداخلي "وفقا للمعايير الدولية للتدقيق الداخلي معيار رقم 2310 في شأن تحديد المعلومات" أن يقوم بجمع المعلومات الموثوق بها والكافية وذات المنفعة والعلاقة لتحقيق أهداف التدقيق، وعليه ينبغي على فريق التدقيق الداخلي تحديد ما يلي:
* جمع المعلومات والأدلة الكافية عن جميع الأمور المتعلقة بأهداف التدقيق ونطاق العمل.
* استخدام إجراءات التدقيق التحليلية والمستندية لتحديد واختبار المعلومات.
* ينبغي أن تكون المعلومات كافية وموثوق بها وذات منفعة وصلة لتوفير أساس قوي لملاحظات وتوصيات التدقيق، وذلك كما يلي:
كافية - أن يكون دليل التدقيق واقعي ومقنع بما فيه الكفاية بحيث يصل الشخص الطبيعي صاحب الدراية لنفس النتيجة.
موثوق بها - بحيث يستطيع الآخرين التحقق من دليل التدقيق وكفاءته وأنه قد تم استخدام إجراءات تدقيق ملائمة للحصول عليه.
ذات صلة - أن يكون الدليل الذي تم الحصول عليه مرتبط بشكل مباشر بمجالات التدقيق التي تم اختبارها، كما أن التوصيات ينبغي أن تكون متوافقة مع أهداف التدقيق.
ذات منفعة - أن يساند الدليل فريق التدقيق الداخلي في تكوين رأي عن مدى تحقيق الجهة المعنية لأهدافها وأغراضها.
ب- أساليب اختيار العينات:
يجب تحديد الأسلوب المتبع لاختيار العينات التي يتم اختبارها، حيث إنه في أثناء العمل الميداني، يمكن لفريق التدقيق أن يعتمد على الوسائل الفنية لأخذ العينات من أجل الوصول إلى استنتاجات عن العمليات قيد الاختبار، وينبغي دائما قبل بدء العمل الميداني تحديد النطاق وكمية الأدلة الواجب جمعها لتلبية هدف التدقيق أو دعم الاستنتاجات والملاحظات، وتعتبر منهجية اختيار العينات مسألة تقديرية، ولذلك فإن هذا القرار يجب أن يتخذ من قبل أعضاء فريق التدقيق ذوي الخبرة مثل رئيس الفريق ومدير التدقيق، ومن البديهي الحاجة إلى اختبارات أكثر كلما زادت درجة خطورة النتائج والملاحظات المكتشفة.
كما أنه مع الزيادة في استعمال تكنولوجيا المعلومات، ينبغي تقرير ما إذا كان أسلوب اختيار عينات محددة هي الأكثر كفاءة وفاعلية للحصول على دليل أم أن هناك حالات يمكن فيها فحص كل المعاملات باستخدام البرامج الحديثة والتي تم تطويرها عن طريق تكنولوجيا المعلومات - إن أمكن.
يمكن تعريف عملية اختيار العينات في التدقيق الداخلي بأنها عملية اختيار وفحص جزء من مجموعة من المعاملات والبنود والأرصدة بغرض الحصول على معلومات أو تقييم أو استنتاجات بشأن المجموعة ككل، وتسمى مجموعة البيانات بأكملها التي تختار منها العينة "المجتمع" بينما تسمى البنود الفردية التي تشكل المجتمع (والمتاحة للاختيار) "العينة الممثلة للمجتمع".
كما يجب إدراك أنه من خلال اختيار بعض العينات، فإن هناك احتمالية وجود مخاطرة بأن تكون العينة المختارة لا تمثل المجتمع بشكل كامل ودقيق، بمعنى آخر إن مخاطر التدقيق في أخذ العينة يتعلق باحتمال أن يتم الوصول إلى استنتاج غير صحيح وغير معبر عن المجتمع ككل، ويكون ذلك نتيجة لما يلي:
* خطأ في العينة المختارة.
* خطأ لا يتعلق بالعينة المختارة.
* خطأ في العينة المختارة
هناك احتمال في كل عينة أن تقدم معلومات لا تمثل المجتمع، وذلك نتيجة للعشوائية في اختيار العينة، ويكمن هذا الخطر في كل عينة بغض النظر عن كيفية اختيارها، وحتى يتسنى تخفيض هذا الخطر، يجب ممارسة الحكم المهني وإتباع إجراءات مناسبة لاختيار عينة التدقيق.
* خطأ لا يتعلق بالعينة المختارة
ينتج هذا الخطر عن استخدام أساليب غير ملائمة لاختيار العينات والتحديد غير الصحيح للمجتمع. بعبارة أخرى إن خطر الخطأ غير المتعلق بالعينة المختارة قد ينطوي على كل الأخطاء الممكنة والتجاوزات وسوء التقدير الذي قد يولد استنتاج غير صحيح من العينة.
وحتى يتسنى تخفيف مخاطر أسلوب العينة، تولي إدارة التدقيق أهمية أكبر للتخطيط الكافي والإشراف والتنفيذ الصحيح لخطة التدقيق الداخلي.
* حجم العينة
يعتمد حجم العينة المختارة على الأسلوب المستخدم في تحديد العينة وهو إما أسلوب إحصائي أو أسلوب التقديري (غير إحصائي)، ولا يوجد فرق بين اختيار العينة بإتباع الأسلوب الإحصائي واختيار العينة بإتباع الأسلوب غير الإحصائي في تنفيذ خطة اختيار العينة، ولا يؤثر الأسلوب المستخدم على كفاية الدليل الذي يتم الحصول عليه ورد فعل التدقيق تجاه الخطأ المكتشف، ويجب الاختيار بين الأسلوبين وفقا لتقييم مميزات وسلبيات كل أسلوب على حدة.
* الأسلوب الإحصائي لاختيار العينة
ويعتبر هذا الأسلوب أسلوبا علميا لتحديد حجم العينة واختيار البنود التي سوف يتم فحصها، ويتميز هذا الأسلوب في اعتماده على نظرية الاحتمالات في استخلاص نتائج الاختبارات كما أنه يعطي تقديرا محتملا لمعدل حدوث الخطر وكذلك قيمته المادية.
* الأسلوب التقديري لاختيار العينة (غير الإحصائي)
ويعتبر هذا الأسلوب غير موضوعي لتحديد حجم العينة واختيارها، وإن غير الموضوعية لا تعتبر دائما ضعفا، حيث إن هذا الأسلوب يعتمد في المقام الأول على الخبرة والتقدير الشخصي وكذلك مدى إلمام المدققين الداخلين بطبيعة المعاملات التي تتم داخل الجهة، والتي قد تمكن موظفو التدقيق من اختبار أكثر المعاملات مادية وخطورة وتأكيد أنواع المعاملات الخاضعة لمستوى مخاطر مرتفع.
* اختيار العينة
يجب الأخذ في الاعتبار العوامل التالية، والتي من شأنها تقليل خطر اختيار العينات:
1- تحديد ومعرفة المجتمع محل عملية الفحص وتحليل مفرداته بطريق سليمة، حيث إن استنتاجات التدقيق تعتمد بشكل أساسي على هذا نتيجة اختبار المفردات الممثلة للمجتمع.
2- ربط العينات المختارة بأهداف التدقيق.
3- معاملة مفردات المجتمع والمعاملات المكونة له بصورة متساوية بشأن احتمالية الاختيار.
* أساليب اختيار العينة
تشمل أساليب اختيار العينة ما يلي:
* الاختيار العشوائي
* الاختيار النظامي
* الاختيار عبر التجميع
* الاختيار الغير منظم
* الاختيار التقديري
وفيما يلي شرح مبسط لهذه الأساليب:
* الاختيار العشوائي
يتميز الاختيار العشوائي ببعده عن العوامل غير الموضوعية وإعطاء الفرصة لكل معاملة من المعاملات أن تكون ضمن العينة المختارة، ومع أنه هناك دائما خطر بأن لا تكون العينة المختارة ممثلة للمجتمع، فإن الاختيار العشوائي ينطوي على مخاطر أقل لخطأ في اختيار العينة من أساليب الاختيار الأخرى.
* الاختيار النظامي
الاختيار النظامي هو اختيار العينات بطريقة ثابتة ونمطية من المجتمع ككل، حيث يتم تقسيم المجتمع إلى بنود متشابهة ويتم اختيار عامل ثابت من كل بند من البنود يتم تكراره في كافة البنود الأخرى، على سبيل المثال يمكن تقسيم مجتمع ما إلى عشرة بنود ثم يتم اختيار العشرة معاملات الأواخر من كل بند من البنود الممثلة للمجتمع. هذا الأسلوب لا يبدو من الناحية الفكرية سليما كالاختيار العشوائي بسبب احتمال أن تكون العينة المختارة نظاميا متحيزة بسبب طريقة ترتيب الوحدات.
* الاختيار عبر التجميع
الاختيار عبر التجميع يتم عندما يكون المجتمع متنوع وغير متجانس إلى درجة يصعب فيها اللجوء إلى الاختيار النظامي، ويتم اللجوء إليه في حالة قابلية المجتمع إلى التقسيم والتوزيع على مجموعات أو بنود فرعية، وتتم عملية الاختيار عبر التجميع على عدة مراحل:
المرحلة الأولى: تصنيف المجتمع إلى مجموعات فرعية أو بنود متماثلة.
المرحلة الثانية: اختيار عينة من المجموعات الفرعية أو البنود بطريقة عشوائية لتمثل العينة المختارة لتمثيل المجتمع ككل.
المرحلة الثالثة: الاختيار العشوائي من كل مجموعة فرعية أو بند للمفردات الممثلة للمجموعة الفرعية أو البند الذي تم اختياره لتمثيل المجتمع ككل.
ويطلق على هذا النوع من أساليب اختيار العينات أسلوب اختيار العينات متعدد المراحل، وهو ليس دقيقا كباقي الأساليب وخصوصا الاختيار العشوائي.
* الاختيار غير المنظم
الاختيار غير المنظم هو اختيار عينة بدون إتباع أسلوب معين، حيث يعتمد اختيار عينات الفحص على البنود المتوفرة فعلا والمتاحة للفحص والاختبار، ويهدف هذا الأسلوب من اختيار العينات إلى إعطاء انطباع عام عن المجتمع محل الفحص والاختبار، ويمكن الاعتماد على هذا الأسلوب إذا كانت مفردات المجتمع غير مرقمة أو منظمة بشكل يسهل معها الاختيار العشوائي.
* الاختيار التقديري (غير الإحصائي)
يعتمد هذا الأسلوب بطريقة مباشرة على أساس التقدير والحكم الشخصي بالإضافة إلى الخبرة العملية ومدى المعرفة بالجهة المدقق عليها.
ثالثا التحليل والتقييم
ينبغي على فريق التدقيق الداخلي "وفقا للمعايير الدولية للتدقيق الداخلي معيار رقم 2420 في شأن التحليل والتقييم" الالتزام بأن كل استنتاج أو ملحوظة يتم التوصل إليها تكون مبنية على تحليل واقعي وتقييم معقول ومقبول للبيانات التي تم الحصول عليها، على أن تكون تلك البيانات كافية وموثوق بها وذات صلة ومنفعة كما تم الإشارة إلى ذلك أعلاه، كما ينبغي استخدام إجراءات التدقيق لاختيار وتقييم المعلومات بغرض دعم نتائج التدقيق.
ولتحديد مدى إمكانية الاستعانة بإجراءات التدقيق التحليلية، ينبغي على فريق التدقيق الداخلي أخذ العوامل التالية في الاعتبار:
* توفر المعلومات ومدى الوثوق بها.
* مدى الدقة في توقع نتائج إجراءات التدقيق التحليلية.
* توفر المعلومات والقدرة على مقارنتها.
* أهمية المجال الذي يتم مراجعته.
* مدى كفاية أنظمة الرقابة الداخلية المطبقة.
* مدى دعم إجراءات التدقيق الأخرى لنتائج التدقيق.
وبعد تقييم هذه العوامل، ينبغي على المدقق أن يأخذ في اعتباره استخدام إجراءات تدقيق إضافية - إن لزم الأمر - لتحقيق أهداف التدقيق.
رابعا: توثيق العمل الميداني
ينبغي "وفقا للمعايير الدولية للتدقيق الداخلي معيار رقم 2330 في شأن تسجيل المعلومات" أن تتم عملية التوثيق بكفاءة تامة، بحيث يتم توثيق كافة مراحل التدقيق التي تمت منذ بداية عملية التخطيط والمراسلات مع الإدارات المعنية وحتى مرحلة إصدار واعتماد التقرير، على أن تغطي عملية التوثيق ما يلي:
* فهم النشاط
* تقييم تصميم أنظمة الرقابة الداخلية
* إجراءات التدقيق
* نتائج الاختبارات
* ملخص الأمور الهامة
* توثيق إجراءات الرقابة
وينبغي توثيق إجراءات المراجعة ونتيجة كل إجراء على حدة والتي تعتبر الأساس في تأييد نتائج التدقيق والملاحظات الواردة في تقرير التدقيق.
كما ينبغي عرض وتوثيق كافة الأمور التي استرعت انتباه فريق التدقيق الداخلي وإجراءات التدقيق المتعلقة بها والتي تم تنفيذها سواء نتج عن ذلك الإجراء ملاحظة تدرج في التقرير أو لم ينتج ملاحظة.
ينبغي أن يتم الإشراف على أعمال التدقيق بعناية للتأكد من تحقيق الأهداف وضمان الجودة وتطوير الموظفين، حيث يبدأ الإشراف منذ بداية مرحلة التخطيط ويستمر خلال مراحل الاختبار والتقييم والتواصل والمتابعة.
تتضمن عملية الإشراف ما يلي:
* التأكد من أن المدقق لديه المعرفة والمهارات والكفاءات المطلوبة للقيام بالتدقيق.
* تقديم التعليمات المناسبة خلال مرحلة تخطيط التدقيق والموافقة على برامج التدقيق.
* التأكد من تنفيذ برامج التدقيق المعتمدة، وفي حالة التعديل عليها ينبغي أن يكون مبرر ومعتمد.
* تحديد ما إذا كانت أوراق العمل تؤيد استنتاجات ونتائج وتوصيات التدقيق.
* التأكد من أن تقرير التدقيق موضوعي ودقيق وواضح وبناء وتم الانتهاء من إعداده في الوقت المحدد.
* التأكد من تحقيق أهداف مهمة التدقيق.
* توفير فرصة للمدققين لتطوير معرفتهم ومهاراتهم وكفاءاتهم الأخرى.
ينبغي توثيق عملية الإشراف والاحتفاظ بما يثبت القيام بها، هذا ويعتمد مدى الإشراف على مهنية وخبرة أعضاء فريق التدقيق ومدى صعوبة المهمة.
الإشراف على التدقيق بشكل مناسب يؤدي أيضا إلى إزالة الاختلافات في الحكم المهني على الأمور الهامة، كما أنه يسمح بتوثيق وجهات النظر المختلفة في أوراق العمل. كما أن توثيق عملية الإشراف تؤدي إلى:
* التأكد من وجود مستندات مؤيدة لتقرير التدقيق وأن كافة إجراءات التدقيق قد تم تنفيذها.
* تقديم الدليل على القيام بالإشراف على التدقيق، وهذا يتضمن توقيع وتسجيل التاريخ على كل ورقة عمل بعد مراجعتها.
* توضيح استخدام أساليب إشراف أخرى على سبيل المثال استخدام لائحة الاستبيان الخاصة بمراجعة واكتمال أوراق العمل و/أو إعداد مذكرة توضح طبيعة ومدى ونتائج أعمال الإشراف.
قد يقوم المدقق القائم بالإشراف بإعداد سجل بالمسائل الناتجة عن أعمال الإشراف التي تحتاج لتوضيحات (ملاحظات التدقيق) كما يجب التأكد عند اكتمال الرد على ملاحظات التدقيق من وجود المستندات المؤيدة الخاصة بالرد على تلك الملاحظات.
العنصر الثاني: تقارير التدقيق الداخلي
مقدمة
يتمثل الهدف الرئيس من عملية التقارير "وفقًا للمعايير الدولية للتدقيق الداخلي معيار رقم 2400 في شأن تبليغ النتائج و2410 في شأن مقاييس التبليغ" في رفع نتائج التدقيق إلى المستويات الإدارية المناسبة القادرة على اتخاذ القرارات المتعلقة بمعالجة الملاحظات الناتجة عن أعمال التدقيق، كما أنه الوسيلة المعتمدة الرئيسية لإضافة القيمة إلى الإدارات المدقق عليها، ويجب أن تكون تقارير التدقيق الداخلي موضوعية ودقيقة وواضحة ومختصرة وبناءة وأن يتم الانتهاء منها في الوقت المناسب، كما ينبغي أن يحتوي تقرير التدقيق الداخلي على:
1. نطاق وأهداف مهمة التدقيق الداخلي المتفق عليها.
2. المنهجية التي تم إتباعها خلال عملية التدقيق.
3. الملاحظات التي تم اكتشافها خلال عملية التدقيق والتأثير المالي أو التشغيلي أو الاستراتيجي المتعلق بها (مع وجود أمثلة بقدر الإمكان لتعضيد موقف الملاحظة)
4. توصية التدقيق الداخلي لوضع إجراءات تصحيحية للملحوظة التي تم اكتشافها أو لتحسين نقاط الضعف التي تم إثارتها في الملاحظة.
5. رد الإدارة وخطة عملها والإجراءات التصحيحية للملاحظات الواردة بالتقرير (يجب إدراج رد الإدارة كما هو، سواء كان بالموافقة أو الاعتراض على الملاحظة الواردة بالتقرير).
كما يجب أن يتم عقد اجتماع ختامي مع الإدارة المعنية لمناقشة نتائج العمل الميداني للتدقيق، ويجب أن يتم ترتيب ذلك الاجتماع بطريقة رسمية على أن يتم توضيح موعد الاجتماع بعد انتهاء العمل الميداني وكذلك الموعد المناسب لتلقي رد الإدارة على نتائج العمل الميداني للتدقيق بعد إرسال نسخة مبدئية من التقرير للجهة المدقق عليها للمناقشة.
الشكل رقم 12: تقارير التدقيق الداخلي
1- إعداد التقرير المبدئي:
يجب أن تتم مراعاة ما يلي عند إعداد التقرير المبدئي:
* جمع ومراجعة كافة نتائج التدقيق التي تم استخلاصها خلال عملية التدقيق والتي تم اكتشافها من خلال تنفيذ برنامج التدقيق.
* تصنيف الملاحظات حسب أهميتها وتحديد النقاط التي يجب أن تدرج بالتقرير.
* مراجعة كافة المستندات والتقارير المؤيدة للملاحظة قبل إدراجها والتأكد من كفاية المستندات المؤيدة للملاحظات الواردة بالتقرير.
* مراجعة المسئولين عن تنفيذ كافة الإجراءات بالإدارة المعنية للتأكد من صحة المعلومات التي سوف يتم إدراجها بالتقرير.
* إمكانية مناقشة أية أطراف أخرى لها علاقة بتنفيذ النشاط محل التدقيق داخل أو خارج الإدارة المعنية.
* التأكد من توثيق كافة البيانات والمستندات والمعلومات والاجتماعات التي تمت مع أفراد الإدارة.
* مراعاة استخدام نموذج موحد لإعداد التقارير المبدئية.
2- مراجعة التقرير المبدئي:
ينبغي أن يقوم مدير مكتب التدقيق الداخلي بمراجعة التقرير المبدئي والتوقيع عليه بالمراجعة حيث إن اكتمال عملية المراجعة تعد توثيقا لموافقته عليه وتعكس اكتمال المراجعة. كما يجب أن يقوم مدير مكتب التدقيق الداخلي بالاستفسارات اللازمة والاطلاع على البيانات الجوهرية التي تمكنه من التحقق من صحة الملاحظات المدرجة بالتقرير. بعد ذلك يقوم مدير مكتب التدقيق الداخلي بإرسال التقرير المبدئي للإدارة المدقق عليها ونسخة للقطاع المعني للاطلاع على الملاحظات الواردة في التقرير والرد عليها.
3- الاجتماع الختامي
ينبغي أن يجتمع فريق التدقيق الداخلي مع مدير الإدارة ومسؤولو النشاط محل التدقيق لمناقشة الملاحظات التي تم إدراجها في التقرير المبدئي للتدقيق الداخلي بغرض الإجماع على صحة محتوياته قبل إرساله، حيث يتيح هذا الاجتماع الفرصة للقيام بما يلي:
* مناقشة الملاحظات المدرجة في التقرير المبدئي والتركيز على مراجعة نتائج التدقيق.
* إيجاد حلول لأي اختلاف في وجهات النظر.
* عرض الفوائد من الخدمات التي قام فريق التدقيق الداخلي بتقديمها.
كما أن الهدف الأساسي لعقد الاجتماع الختامي لمناقشة التقرير قبل إرسال نسخة نهائية منه هو التأكد من أن جميع الملاحظات والمعلومات والتحليلات المتضمنة في التقرير صحيحة، فقد لا تتفق الإدارة على الأثر الناجم عن بعض الملاحظات إلا أنه يجب أن يكون هناك موافقة تامة على وجود الملاحظة ذاتها وبعبارة أخرى، فإنه يتحتم على مكتب التدقيق الداخلي التأكد من الصحة التامة من المحتويات والاستنتاجات في تقرير التدقيق الداخلي قبل صدوره.
ويحتفظ مكتب التدقيق الداخلي بمحاضر اجتماعات تفصيلية لتوثيق رد الإدارة على الملاحظات التي تم مناقشتها وعلى التقرير ككل.
4- ردود الإدارة وخطة العمل
بعد استلام ردود الإدارة وخطط العمل المقترحة من قبل الإدارة تتم مراجعة التقرير وما إذا كان هناك حاجة للعودة للإدارة للتوضيح.
كما يجب على مكتب التدقيق الداخلي إبداء المشورة في ردود وفاعلية خطط عمل الإدارة في حال كانت هذه الردود والخطط غير ملائمة مع الملاحظة، وهنا يجب إعادة مناقشة الإدارة للتوضيح وتعديل الردود (إن امكن.)
وفي حال أصرت الإدارة على الرد بشكل سلبي أو عدم وضع خطط لمعالجة الملاحظات، فيجب إدراج الرد كما هو في التقرير.
5- التقرير النهائي وعرض النتائج
بعد مناقشة التقرير المبدئي وعقد الاجتماع الختامي مع القطاع المعني بالتدقيق يتم إدراج ردود الإدارة على كافة الملاحظات الواردة بالتقرير، يتم إصدار تقرير التدقيق الداخلي في صورته النهائية متضمنا خطة العمل المقترحة من الإدارة وتكون المدة التي يتم فيها إصدار التقرير النهائي بحدود أسبوعين من تاريخ إرسال التقرير المبدئي وحتى استلام رد الإدارة محل التدقيق. بعد التأكد من مراجعة التقرير النهائي يتم إرساله إلى الإدارة العليا، على أن يتم استلام رد الجهة المعنية خلال 30 يوما من تاريخ استلام التقرير كما يتم إصدار تقرير ربع سنوي يتضمن الملاحظات الواردة بالتقارير النهائية لعرضها على الإدارة العليا والتي لها الصلاحية في رفع الملاحظات الجوهرية إلى مجلس الوزراء.
6- خريطة سير التقارير
التقرير الجهة الموجه إليها التقرير التوقيت
تقرير التدقيق الداخلي المبدئي * من مكتب التدقيق الداخلي بالجهة الاتحادية * خلال أسبوعين من الانتهاء من العمل
المعنية إلى مدير الإدارة المعنية ونسخة للقطاع الميداني ومراجعته من مدير مكتب
المعني بذات الجهة الاتحادية. التدقيق الداخلي بالوزارة المعنية.
تقرير التدقيق الداخلي النهائي * الإدارة العلي * خلال أسبوعين من تاريخ التقرير المبدئي.
* يتضمن ردود الإدارة المعنية على الملاحظات
الواردة بالتقرير المبدئي.
* يتم الرد على ذلك التقرير الختامي
خلال (30) يوم من تاريخ إصدار التقرير النهائي.
تقرير المتابعة * مدير الإدارة المعنية ونسخة للقطاع المعني. * خلال أسبوع من الانتهاء من العمل الميداني.
* الإدارة العلي * إصدار تقرير المتابعة بحالة الملاحظات والتوصيات.
* تكرار متابعة تنفيذ التوصيات الواردة بتقرير
التدقيق الداخلي حتى التحقيق من كامل تنفيذها.
تقارير ربع سنوية * الإدارة العلي * إصدار التقرير سنويا.
* يتضمن التقرير ملخص بكافة الملاحظات الجوهرية
التي ظهرت خلال العام.
تقارير التدقيق الداخلي - إرشادات عامة
ينبغي أن تتضمن تقارير التدقيق الداخلي أهداف ونطاق مهمة التدقيق بالإضافة إلى الملاحظات والتأثيرات المتعلقة بها وكذلك التوصيات وخطط عمل الإدارة المتفق عليها. وقد يختلف شكل ومحتوى التقرير وفقا لنوع مهمة التدقيق أو الإدارة الخاضعة للتدقيق، إلا أنه ينبغي أن يحتوي التقرير - على الأقل - على غرض ونطاق عمل ونتائج مهمة التدقيق.
وقد يتضمن تقرير التدقيق الداخلي ملخص (يشمل عرض متوازن لمحتوى التقرير) معلومات عامة، حيث تحدد هذه المعلومات الجهات والأنشطة التي تم تدقيقها وبعض المعلومات التوضيحية الأخرى، كما قد يتضمن إيضاحات عن حالة الملاحظات والاستنتاجات والتوصيات الواردة في التقارير السابقة، بالإضافة إلى الإشارة إلى الأسباب التي أدت إلى القيام بمهمة التدقيق (إما وفقا لخطة التدقيق أو وفقا لطلب خاص)
كما توضح فقرة الغرض من التدقيق أهداف التدقيق، كما يجوز عند الضرورة، توضيح أسباب القيام بمهمة التدقيق وماذا كانت النتائج المتوقعة منها.
وتحد فقرة نطاق تدقيق الأنشطة التي تم تدقيقها وتوضح طبيعة ومدى أعمال التدقيق المنفذة، كما قد تحتوي على معلومات إضافية مثل الفترة التي غطتها مهمة التدقيق.
كما ينبغي أن تحتوي النتائج على ما يلي:
* الملاحظة
* التأثير
* التوصية الخاصة بتحسين العملية
* خطط عمل الإدارة
* تاريخ انتهاء تنفيذ خطط عمل الإدارة
الملاحظات الواردة في تقارير التدقيق الداخلي
تعتبر الملاحظات الواردة في التقرير، هي بمثابة رفع للواقع وسرد للحقيقة، كما ينبغي أن تمثل الملاحظة مقارنة بين ما ينبغي أن يكون وما هو موجود فعلاً.
وينبغي أن تتضمن الملاحظات على الأمور التالية:
* المعايير: المقاييس والتوقعات المستخدمة في التقييم/ التأكيد (ما ينبغي أن يكون).
* الحالة: الحالة الفعلية التي وجدها المدقق خلال القيام بالاختبار (ما هو موجود فعلاً).
* السبب: سبب وجود الاختلاف بين الحالة الفعلية والمتوقعة (لماذا يوجد اختلاف).
* الأثر: الخطر الذي تتعرض له الجهة المعنية بسبب ذلك الاختلاف (أثر الاختلاف).
كما ينبغي أن تتسم الملاحظات بالسمات التالية:
* الدقة:
يجب أن تكون المعلومات الواردة في الملاحظة دقيقة، فلا يجب أن يقوم المدققين الداخليين بالتعميم من خلال القول ببساطة إن إحدى الممارسات "تضعف إجراءات الرقابة" أو "لا توفر رقابة كافية". فيجب أن يشرحوا كيف تضعف الممارسة إجراءات الرقابة أو لا توفر رقابة كافية. ويجب مناقشة الملاحظات مع الأطراف التي تم التدقيق عليها للتأكد من أن جميع المعلومات اللازمة قد تم الحصول عليها، ويجب توثيق نتائج هذه المناقشة في مذكرة العمل الميداني.
* الموضوعية
يجب أن تتسم الملاحظة بالإنصاف والنزاهة وعدم التحيز وأن تكون نتاج التقييم متوازنة مع كل الحقائق والظروف المتعلقة بها. ينبغي أن تصاغ الملاحظات والاستنتاجات والتوصيات دون وجود أي تأثير غير مرغوب من أطراف أخرى أو دون وجود أي مصلحة شخصية.
* الاختصار:
يجب توضيح الملاحظة والتوصية بشكل مختصر قدر الإمكان على أن تكون مفهومة وتؤدي الغرض المطلوب.
* الاكتمال:
أي لا تفتقر إلى أي أمر يكون من الضروري وصوله للقارئ، وأن تحتوي على كافة المعلومات المهمة وذات العلاقة التي تؤيد الاستنتاجات والتوصيات.
* مرتبة بشكل منطقي:
أن يتم أولا توضيح الملاحظة، ومن ثم يتم استيضاح أي معلومات إضافية، والتي يعد من الضروري تضمينها لتفسير الوضع بشكل صحيح. ومن المهم جدا عند كتابة الملاحظات، والتي تشمل العديد من الاستثناءات أو القضايا العالقة، أن تكون التعليقات منظمة بشكل صحيح وبترتيب منطقي. ويجب عرض التوصيات بنفس تسلسل بنود الملاحظات الواردة في التقرير.
* الاعتبارات القانونية في تقارير التدقيق الداخلي
ينبغي على فريق التدقيق الداخلي جمع الأدلة وإصدار الأحكام التحليلية ورفع نتائج أعمالهم والتأكد من اتخاذ الإجراءات التصحيحية المناسبة؛ كما ينبغي عليهم توخي الحذر عند إدراج النتائج وإبداء الآراء في تقارير التدقيق الداخلي والمخاطبات وأوراق العمل فيما يتعلق بالقانون والانتهاكات القانونية والمسائل القانونية الأخرى. وعليه فمن الأفضل لمكتب التدقيق الداخلي وضع السياسات والإجراءات المتعلقة بمعالجة هذه الأمور والعمل عن قرب مع الأطراف القانونية.
العنصر الثالث: متابعة الملاحظات:-
يقوم مكتب التدقيق الداخلي بتطوير آلية للمتابعة مع الإدارة المعنية تتعلق بمدى التزامها بتطبيق خطط معالجة الملاحظات الواردة بتقارير التدقيق ورفع تقارير دورية بنتائج أعمال المتابعة.
تتولى الإدارة مسئولية تنفيذ الإجراءات التصحيحية، كما يجب أن يتم الأخذ في الاعتبار درجة الجهد والتكلفة المطلوبة لتصحيح الملاحظات الواردة بالتقرير، كما يجب قياس مدى صعوبة الإجراءات التصحيحية وإمكانية تطبيقها.
تتم مراقبة تقارير التدقيق الداخلي وخطة عمل الإدارة من خلال التالي:
* وضع إطار زمني لرد الإدارة على ملاحظات التدقيق.
* تقييم رد الإدارة.
* التحقق من الرد (إن أمكن).
* القيام بمتابعة التدقيق (إن أمكن).
* إجراء التواصل مع المستوى الإداري المناسب فيما يتعلق بالرد وخطط عمل الإدارة غير المرضية بما في ذلك تحمل الإدارة للمخاطر.
* إرسال تقرير المتابعة إلى كل من الإدارة العليا والإدارة المعنية والقطاع المعني بالجهة الاتحادية.
* رفع تقارير دورية للوزير المعني عن مدى التزام الإدارات المعنية بتطبيق خطط الإدارة لمعالجة الملاحظات الواردة بتقارير التدقيق.
عمليات تأكيد وتحسين الجودة
ينبغي على مدير التدقيق الداخلي تطوير والمحافظة على برنامج لتأكيد وتحسين الجودة بحيث يغطي كافة جوانب نشاط التدقيق الداخلي، وعليه أن يراقب مدى فاعليته باستمرار ويشمل ذلك البرنامج أعمال التقييم الدوري للجودة والمراقبة الداخلية المستمرة لها. (معيار التدقيق الداخلي رقم 1300)
كما ينبغي أن يعتمد نشاط التدقيق الداخلي نظام شامل لمتابعة وتقييم الفعالية الإجمالية لبرنامج الجودة، وينبغي أن يشمل هذا النظام أعمال التقييم الداخلي والخارجي على السواء (معيار التدقيق الداخلي رقم 1300).
وينبغي أن تشمل أعمال التقييم الداخلي على مراجعات مستمرة لأداء نشاط التدقيق الداخلي، ومراجعات دورية تنفذ بواسطة أشخاص تتوفر لهم المعرفة بأصول ممارسة التدقيق الداخلي والمعايير الدولية المهنية لممارسة التدقيق الداخلي.
كما ينبغي أن تشمل أعمال التقييم أيضا على تقييم خارجي على الأقل مرة واحدة كل خمس سنوات بواسطة مراجع أو فريق مراجعة مؤهل ومستقل من خارج الجهة الاتحادية.
الوصف الوظيفي للعاملين بالتدقيق الداخلي بالحكومة الاتحادية:
مدير التدقيق الداخلي
* الإشراف على تطوير وتطبيق وتحديث النظم والسياسات والإجراءات الخاصة بأنشطة الإدارة.
* إعداد الخطط السنوية الخاصة بأنشطة الإدارة وعرضها على الإدارة العليا للاعتماد.
* الإشراف على تقييم نظام الضبط الداخلي والتحقق من مدى فاعليته وكفاءته.
* تقييم النظام المحاسبي والمالي للتأكد من كفاءة وجودة النظام المطبق وتماشيه مع المعايير والمبادئ ذات الصلة.
* متابعة تطبيق النظم والمعايير الرقابية المعتمدة.
* التحقق من الالتزام بالقوانين والتشريعات الحكومية والسياسات والإجراءات المعمول بها واقتراح التحسينات.
* حضور الاجتماعات واللقاءات ذات الصلة بأنشطة الإدارة.
* إعداد خطة التدقيق السنوية وفقا للسياسات والإجراءات المعتمدة ومتابعة تنفيذها.
* الإشراف على أنشطة تقييم المخاطر والتدقيق الداخلي.
* التحقق من مدى كفاءة وفعالية السياسات والأنظمة والضوابط المطبقة ومدى الالتزام بها.
* إعداد التقارير الربع سنوية ورفعها للجهات المعنية.
* الإشراف على إعداد تقارير التدقيق ومراجعتها ورفعها للجهات المعنية.
* متابعة تقارير التدقيق الداخلي مع الجهات المعنية للتحقق من اتخاذ الإجراءات اللازمة لتصحيح الانحرافات ومعالجة الملاحظات.
* حلقة الوصل الرئيسية بين مكتب التدقيق الداخلي وبين الإدارات الأخرى المدقق عليها.
* دراسة التقارير الواردة من الجهات الرقابية الأخرى بالحكومة الاتحادية وتحديد الإجراءات اللازمة لتلافي تلك الأخطاء ومتابعة تنفيذها من قبل الإدارات المختلفة بالوزارة.
* تنمية مهارات المدققين من خلال التدريب الميداني والدعم والتوجيه الفني.
فريق التدقيق الداخلي
* المساهمة في إعداد خطط التدقيق السنوية وفقا للسياسات والإجراءات المعتمدة.
* تنفيذ خطط التدقيق السنوية وفقا للجدول الزمني المحدد.
* تنفيذ أعمال التدقيق الداخلي للتحقق من مدى الالتزام بالسياسات والقوانين والأنظمة والضوابط المطبقة.
* المساهمة في تطوير وتحديث سياسات وإجراءات التدقيق الداخلي والعمل بموجبها.
* إدارة عمليات التدقيق الداخلي والتحقق من تنفيذها وفقا للأسس والمعايير ذات الصلة.
* إعداد تقارير التدقيق الداخلي ورفعها لمدير التدقيق الداخلي.
* المشاركة في تطوير وتحديث نظام التدقيق الداخلي بهدف تحسين كفاءة التدقيق الداخلي.
* المساهمة في عمليات تقييم كفاءة وفعالية نظام التدقيق الداخلي والضوابط الداخلية واقتراح الإجراءات اللازمة لتحسينها.
* القيام بأعمال تقييم المخاطر وإعداد مسودة لسجل تقييم المخاطر.
* إعداد برامج التدقيق الداخلي للأنشطة محل التدقيق.
* اقتراح نماذج العمل المطلوب العمل بها في مكتب التدقيق الداخلي وفقا لمنهجية التدقيق الداخلي للحكومة الاتحادية وفي ضوء معايير التدقيق الداخلي.
* إعداد ملفات وأوراق العمل وتنظيمها بشكل يتلائم مع متطلبات كل نشاط من الأنشطة المدقق عليها.
* الحصول على كافة البيانات والمستندات المؤيدة للملاحظات المدرجة بمسودة تقرير التدقيق الداخلي.
* إعداد مسودة تقرير التدقيق الداخلي.
أحكام تنظيمية عامة:
* يجب على كافة الموظفين المعنيين الاطلاع على هذا الميثاق والمنهجية وأية تعديلات تدخل عليه لاحقا.
* مراجعة الميثاق والمنهجية بشكل دوري للتحديث والتطوير بناءا على اقتراح من وزير المالية، تمهيدا للاعتماد.
* يجب تطبيق التشريعات المعمول بها في الحكومة الاتحادية بشأن السياسات الخاصة بالاحتفاظ بأوراق العمل.