‫‪2‬‬

‫الاطار املتاكمل لنظام‬

‫الرقابة واخملاطرومناذهجا‬

‫‪47‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫أساسيات التدقيق الداخلي‬ ‫‪48‬‬
 ‫مناذج الرقابة‬
‫الرقابة ادلاخلية – الإطار املتاكمل‬
‫مناذج رقابية أخرى‬
‫توجهيات أخرى من كوسو ‪ COSO‬بشأن الرقابة ادلاخلية‬
‫مناذج اإدارة اخملاطر‬
‫اإدارة خماطر املؤسسة ‪ – ERM‬الإطار املتاكمل‬
‫أيزو ‪ 31000 ISO‬اإدارة اخملاطر – املبادئ والإرشادات‬
‫مناذج خماطر تقنية املعلومات والرقابة علهيا‬
‫اإطار ‪GAIT‬‬
‫اإطار ‪ISACA‬‬
‫اإطار ‪COBIT‬‬
‫اإطار ‪Val IT‬‬
‫اإطار ‪RISK IT‬‬
‫اإطار ‪800-37 NIST SP‬‬
‫اس تخدام املدققني ادلاخليني لامنذج الرقابة واخملاطر‬
‫املعايري والإرشادات املهنية ذات الصةل‬

‫‪49‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫متثل الرقابة ادلاخلية عنرصا همم يف نظام حومكة املنشأة والقدرة عىل اإدارة اخملاطر‪ ،‬وتعد الساس اذلي‬
‫يدمع حتقيق أهداف املنشأة وتعزيز وحمية قميهتا ‪ .‬فال شك أن الفشل التنظميي للمنشأة ‪ ،‬يؤدي‪ -‬عادة اإىل‬
‫فرض قواعد ومتطلبات اإضافية ‪ ،‬ابلإضافة اإىل الوقت املستنفد والتاكليف اليت تتحملها املنشأة يف سبيل‬
‫الالزتام ابلقواعد الرقابية ‪ .‬لكن هذا يطمس حقيقة أن النوعية السلمية من أساليب الرقابة ادلاخلية ‪،‬اليت متكن‬
‫املنشأة من الإس تفادة من الفرص‪ ،‬ويف الوقت نفسه جتنب التحدايت‪،‬ميكن أن توفر الوقت واملال‪ ،‬وتضيف‬
‫قميةللمؤسسة وحتافظة علهيا ‪ .‬و توفر مزية تنافس ية‪ ،‬حيث ميكن أن يكون ابس تطاعة املنشأة ذات الرقابة‬
‫ادلاخلية الفعاةل‪ ،‬اإدارة اخملاطرة بشلك أفضل‪.‬‬
‫اإن ضمن وجود نظام فعال ومتاكمل لإدارة اخملاطر والرقابة ادلاخلية‪ ،‬جيب أن يكون هو اجلزء الرئيس‬
‫والساس من الرقابة الشامةل اليت متارسها اجلهة التنظميية‪ .‬لقد اتضح من خالل الزمات املالية اخملتلفة اليت‬
‫حدثت يف الس نوات الخرية‪ ،‬أن بعض املنشأت ‪ -‬أتضح أن نظم اإدارة اخملاطر والرقابة ادلاخلية اكنت ضعيفة‬
‫وغري فعاةل ‪ .‬وإان هذه املنشأت مل تكن تدرك اخملاطر اليت اكنت تتعرض لها ‪ .‬فقبل سلسةل الزمات املالية‬
‫الخرية ‪ ،‬اكن العديد من املنشأت تركز‪ -‬بشلك مبالغ فيه ‪-‬عىل أساليب اإعداد التقارير املالية ‪ .‬ولقد سلطت‬
‫هذه الزمات الضوء عىل حقيقة مؤداها ‪ :‬أن العديد اخملاطر اليت أثرت عىل املنشأت‪ ،‬ترجع اإىل أس باب أخرى‬
‫خبالف اإعداد التقارير املالية‪ ،‬وتتضمن العمليات التشغيلية واملؤثرات اخلارجية ‪ .‬اإن التوجه حنو نظم اإدارة‬
‫اخملاطر والرقابة ادلاخلية‪ ،‬جيب أن يتضمن منظورا أوسع يأخذ يف حسابه تأثر املنشأت ابلعديد من املتغريات‬
‫اليت غالبا ما تكون خارج نطاق س يطرهتا ‪ .‬اإن وجود نظام فعال لإدارة اخملاطر والرقابة ادلاخلية‪ ،‬جيب أن‬
‫يكون هو اجلزء الرئيس والساس من نظام جيد للحومكة يف لك مس توى يف املنشأة‪ ،‬ويشمل مجيع العمليات‪.‬‬

‫مناذج الرقابة‬
‫نتيجة لزتايد ألنشطة يف اجملالت اخملتلفة وتوسع معلياهتا أدّى اإىل منو جحم الوحدات الإدارية وتواجدها‬
‫يف أماكن متباعدة مما تعذر حتقيق الرقابة املبارشة عليه‪ ،‬ابلإضافة اإىل خضامة جحم املوارد اليت حتصلها أو تقوم‬
‫ابإنفاقها أدّى اإىل زايدة أمهية توافر نظام حممك للرقابة ادلاخلية ‪ .‬ابلضافة اىل التطورات يف ثورة املعرفة‬
‫واملعلومات اس تدعى اىل الطلب عىل مفاهمي جديد واليات جديد ملواكبة هذه التطورات مما حدى مبعهد‬
‫املدققني ادلاخليني ومنظمة تريدواي القاء الضوء عىل الاجتاهات احلديثة يف الرقابة ادلاخلية ‪ ،COSO‬وما ىه‬
‫املقومات الاساس ية لنظام الرقابة ادلاخلية‪ ،‬وما يه انواع الرقابة وفق ‪ ،COSO‬والطرق العرصية لتقيمي نظام‬

‫أساسيات التدقيق الداخلي‬ ‫‪50‬‬

 ‫الرقابة ادلاخلية ابحد الطرق والوسائل املتوفرة ودهدف ايضا اىل وفف لهيلك نظام الرقابة ادلاخلية مع‬
‫حتديد مشالك التطبيق واقرتاح وسائل معاجلة هذه املشالك ‪.‬‬
‫ومع تطبيق منوج جلنة رعاية املنظمت (‪ )COSO‬يف القواعد الارشادية فان اللجنة ل هتدف فقط اىل‬
‫حتديث مفهوم الرقابة ادلاخلية ولكهنا حتاول ايضا ان تسامه يف الوعي العام للرقابة ادلاخلية ‪.‬‬
‫ُطور مناذجا للمخاطر حيث تُم ِّث ّل هذه الامنذج‬
‫لقد بدأت اجلهات املرجعية حول العامل بداية من عام ‪ 1992‬ت ّ ِّ‬
‫الساس املفاهميي للتدقيق ادلاخيل بتعريفها ملكوانت الرقابة ادلاخلية اليت يتعني تقيمي معلية مبادئ اإدارة‬
‫اخملاطر‪ .‬وسوف نقدم يف هذا الفصل نظرة عامة لكرث مناذج اخملاطر والرقابة اس تخداما وقبول عىل مس توى‬
‫العامل وسوف نرشح كيف يس تطيع املدققون ادلاخليون اس تخداهما‪.‬‬

‫أن اخملاطر والرقابة جزء ل يتجزأ من معلية احلومكة‪ ،‬فال يوجد منوذج للحومكة حيظى ابلقبول عىل مس توى‬
‫العامل بل رمبا مل يوجد أبدا منوذج كهذا‪ .‬تعمتد حومكة املؤسسات كثريا عىل قوانني لك دوةل وترشيعاهتا وعىل‬
‫املمرسات التقليدية للرشاكت وإاىل درجة قد ل يكون من املمكن معها تصور وجود منوذج عاملي يف املس تقبل‬
‫املنظور‪.‬‬
‫الرقابة ادلاخلية – الإطار املتاكمل‬
‫لقد اختلفت بيئةة العةمل والبيئةة التشةغيلية بشةلك كبةري يف العرشةين سة نة الخةرية منةذ اإطةالق الإطةار‬
‫الفيل حبيث أفبحت أكةرث تعقيةدا‪ ،‬منقةادة ابلتكنولوجيةا‪ ،‬وأكةرث عوملةة‪،‬و يف نفةس الوقةت أفةبح أ ةاب‬
‫املصاحل )‪ )Stakeholders‬أكةرث ارتباطةا ةا ويبحثةون عةن شةفافية أكة وأكةرث مسةاءةل لااهةة نظةام الرقابةة‬
‫ادلاخلية اذلي يدمع قرارات العمل واحلومكة يف املؤسسات‪.‬‬
‫قدمت جلنة كوزو تعديال عىل الإطار املتاكمل للرقابة ادلاخلية (‪ ،)Framework‬حيث تعتقةد جلنةة كةوزو‬
‫أن الإطار سوف ميكن املؤسسات من تطوير نظام الرقابة ادلاخلية واحملافظة عليه وأن يعمل بكفاءة وفاعلية‪ ،‬و‬
‫زايدة احامتلية حتقيق الهداف املؤسس ية‪ ،‬والتكيف مع بيئة العمل والبيئة التشغيلية ‪ ،‬اس تجابة ملوجةة فضةا‬
‫التقارير املالية يف الولايت املتحدة يف مثانينيات القرن العرشين اجمتعت مخسة مةن املؤسسةات املتصصصةة معةا‬
‫لتكوين "جلنة املؤسسات الراعية للجنة تريدواي" ("‪ "COSO‬أو "جلنة كوسو" عىل سبيل الاختصار)‪ .‬عنةد‬
‫مناقش هتا حلالت اهنيةار الرقابةة الةيت أدت اإىل هةذه الفضةا اكتشةفت هةذه املؤسسةات أن املفةاهمي التقليديةة‬

‫‪51‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫للرقابة ادلاخلية مل تكن اكفية واكن دلى كثري من املؤسسةات الةيت تورطةت يف هةذه الفضةا اإجةراءات رقابيةة‬
‫سلمية؛ وقد حد الاهنيار اإما لن الإدارة اكنت تفتقر اإىل الااهة وإاما لن املؤسسة مل تفهةم بصةورة اكمةةل‪ ،‬ومل‬
‫تتعامل مع اخملاطر الاكمنة يف منوذج أعملها‪ .‬وابختصار فاإن رقابة أي مؤسسةة أمةر أكة بكمةري مةن الإجةراءات‬
‫وحدها‪ .‬وجيب أن تس توعب الرقابة ادلاخلية لك ما تقتضيه رقابة اخملاطر اليت هتدد اكفة نوايح املؤسسة‪.‬‬

‫ّعرف تقرير ) ‪ ( COSO‬الرقابة ادلاخلية ووفف مكوانته وقدم املعايري اليت ميكن تقيمي النظم الرقابيةة‬
‫عىل أساسها ‪ .‬وقةد عةرض التقريةر ارشةادا للتقريةر العةام عةن الرقابةة ادلاخليةة‪ ،‬كةم قةدم املةواد الةيت ميكةن ان‬
‫يس تخدهما لك من الادارة واملةدققني وغةريمه مةن أجةل تقيةمي نظةام الرقابةة ادلاخليةة ‪.‬واكن الهةدفني الرئيسة يني‬
‫للتقريرهم‬
‫‪ .1‬انشاء تعريف عام للرقابة ادلاخلية واذلي خيدم العديد من الاطراف‬
‫‪ .2‬تقدمي معيار واذلي عىل اساسه تس تطيع املنظمت تقيةمي نظمهةا الرقابيةة‪ ،‬وحتديةد الكيفيةة الةيت‬
‫ميكن ا حتسني هذه النظم‪.‬‬
‫وقد ّعرف تقرير ) ‪ ( COSO‬الرقابة ادلاخلية عةىل أهنةا "معليةة تتةأثر مةن قبةل أعضةاء دلةس ادارة‬
‫الرشكة‪ ،‬والادارة‪ ،‬وغريمه من املس تخدمني‪ ،‬مصممة لزتويد تأكيد معقول ابلنس بة لتحقيق أهداف يف اجملالت‬
‫(‪)1‬‬
‫التالية‪:‬‬

‫‪ ‬كفاءة وفاعلية العمليات التشغيلية‪.‬‬

‫‪ ‬موثوقية الابالغ املايل‪.‬‬
‫‪ ‬الالزتام ابلقوانني والترشيعات املطبقة‪.‬‬
‫(‪)2‬‬
‫أما ابلنس بة لنظام الرقابة ادلاخلية فاإنه يتكون من مخسة مكوانت متداخةل مع بعضها البعض ويه‪:‬‬
‫)‪: (1‬بيئة الرقابة‬

‫‪)1( www.coso.org‬‬

‫‪)2( www.coso.org‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪52‬‬

 ‫)‪ (2‬تقيمي اخملاطر‬
‫)‪ (3‬الانشطة الرقابية‬
‫)‪ (4‬املعلومات والتصالت‬
‫)‪ (5‬املراقبة‪.‬‬
‫وتزود بيئةة الرقابةة الاسةاس للمكةوانت الاخةرى‪ ،‬فهة ي تضةم عوامةل ممةل فلسةفة الادارة‪ ،‬واسةلوب‬
‫التشةةغيل‪ ،‬وس ياسةةات وممارسةةات امل ةوارد البرشةةية‪ ،‬وامانةةة واس ة تقامة املةةو‪،‬فني وق ةميهم الاخالقيةةة‪ ،‬والهةةيلك‬
‫التنظميي‪ ،‬واهامتم وتوجيه دلس الادارة ‪.‬مفثال‪ ،‬ميكن تقيمي فلسفة الادارة واسلوب تشةغيلها عةن طريةق ة‬
‫طبيعة خماطر الاعمل اليت تقبلها الادارة‪ ،‬وتكرار تداخلها مع املساعدين‪ ،‬وموقفهم جتاه الابالغ املايل‪.‬‬
‫ويتكون تقيمي اخملاطر من تشصي اخملةاطر وحتليلهةا‪ ،‬حيةث يتضةمن تشةصي اخملةاطر ة العوامةل‬
‫اخلارجية ممل التطورات التكنولوجية‪ ،‬واملنافسة‪ ،‬والتغريات الاقتصادية‪ ،‬وعوامل داخليةة ممةل نوعيةة وجةودة‬
‫املس تخدمني‪ ،‬وطبيعة أنشطة املنشأة‪ ،‬وخصائ معلية معاجلة نظام املعلومات ‪.‬ويتضمن حتليل اخملاطر وتقةدير‬
‫احامتلية حدوهثا‪ ،‬والخذ بعني الاعتبار كيفية معاجلة اخملاطر‪.‬‬
‫تتألف أنشطة الرقابة من الس ياسات والاجراءات اليت تضةمن قيةام املةو‪،‬فني بتنفيةذ توجهيةات الادارة‪.‬‬
‫وتتضمن انشطة الرقابة مراجعةات نظةام الرقابةة‪ ،‬والضةوابط الرقابيةة لةنظم‬
‫املعلومات‪ ،‬وتش متل الضوابط الرقابية التطبيقية‪ .‬والضوابط الرقابيةة العامةة‬
‫يه تةةا الةةيت تغطةةي ترصةة ادلخةةول‪ ،‬وال ديةةات‪ ،‬وتطةةوير النظةةام‪.‬‬
‫والضوابط الرقابية التطبيقية يه اليت متنةع دخةول الاخطةاء يف النظةام‪ ،‬أو‬
‫اكتشاف وتصحيح الاخطاء املوجودة يف النظام‪.‬‬
‫تقةةوم الادارة مبراقبةةة نظةةام الرقابةةة عةةن طريةةق مراجعةةة اخملرجةةات‬
‫املتودلة عن أنشطة الرقابة العادية‪ ،‬والقيام بتقياميت خافة ‪.‬وتشمل انشطة الرقابة العادية مقارنة الافول املادية‬
‫مع البياانت املسجةل‪ ،‬وورش التدريب‪ ،‬والاختبارات من قبةل املةدققني ادلاخليةني واخلةارجيني‪ ،‬وعةادة مةا ية‬

‫‪53‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫الابالغ عن العيوب وأوجه التقصري اليت ي اكتشافها خالل انشطة الرقابة العادية اىل املرشف املسةؤول‪ ،‬بيةامن‬
‫العيوب واوجه التقصري اليت ي اكتشافها خالل التقياميت اخلافة عادة ية ايصةالها اىل مسة توايت اداريةة أعةىل‬
‫يف املنظمة ‪.‬وقد عرف تقرير )‪ (COSO‬العيوب واوجه التقصري عىل أهنا "تا احلةالت الةيت تكةون داخةل‬
‫نظام الرقابة ادلاخلية واليت تس تحق الاهامتم‪.‬‬
‫(‪)1‬‬
‫مكوانت الرقابة ادلاخلية ‪Internet Control Component COSO‬‬
‫تتألف من مخسة أجزاء مرتابطة‪ .‬وتشلك اإطةارا دلرجةة عاليةة مةن الكفةاءة للتحقيةق وتقيةمي نظةام الرقابةة‬
‫ادلاخلية اليت وضعت لس تخداهما يف العمل التجارية‪ .‬وذكرت هذه العنارص التالية(‪: )2‬‬

‫أول‪ :‬بيئة الرقابة ‪Control Environment‬‬

‫تعت البيئة الرقابية أساس للمكوانت الخرى اذا اهنا توفر الانظباطية والهيلكة وايضا املنةا اذلي يةؤثر‬
‫عىل الكيفية اليت ي ا وضع الاسرتاتيجيات والاهداف فضال عن أهنا تقوم مبراقبة الانشطة املهيلكة‪.‬‬
‫حتدد البيئة الرقابية اسلوب املنشاة وتؤثر عىل الوعي الرقايب ملو‪،‬فهيةا‪ ،‬وتتكةون بيئةة الرقابةة مةن عوامةل‬
‫متعددة ‪ ،‬ولكن تتوقف لك هده العوامةل عةىل موقةف الإدارة العليةا مةن مفهةوم و أمهيةة الرقابةة و املعتقةدات‬
‫الخالقية املرتبطة مبفهوم الرقابة‪.‬‬

‫‪)1( www.coso.org‬‬

‫)‪(2‬‬
‫‪2004 Powers Resoyces Corporation-Powers CIA Review- part one p.e-6‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪54‬‬

 ‫وابلتايل ميكن تقس مي العوامل اليت تتكون مهنا الرقابةة اإىل عوامةل ذات فةةل مبةارشة ابلإدارة و عوامةل‬
‫أخرى مرتبطة بتنظمي املؤسسة نفسها‪ .‬وتمتثل تا العوامل املرتبطة مبارشة ابلإدارة يف‪:‬‬

‫‪ .1‬الااهة والقمي الخالقية (الااهة الشصصية واملهنية والقمي الاخالقيةة لةالدارة واملةو‪،‬فني ) تعتة الااهةة‬
‫الشصصية واملهنية والقمي الاخالقية لالدارة واملو‪،‬فني يه اليت حتدد افضليات وقمي الاحاكم التقديرية الةيت‬
‫ترتمج اىل معايري سلوكية‪ .‬وجيب عةىل الادارة واملةو‪،‬فني ا‪،‬هةار املواقةف ادلامعةة للرقابةة ادلاخليةة يف مجيةع‬
‫الاوقات ويف لك احناء املنشأة‪.‬‬

‫‪ .2‬الكفةةاءة‪ :‬تشةةمل الكفةةاءة مس ة توى ادلرايةةة واملهةةارة املطلوبةةة للمسةةاعدة يف ومةةني اداء نظةةا واخةةال‬
‫واقتصادي بكفاءة وفعالية وومني فهم جيدا ملسؤوليات الافراد املتعلقة ابلرقابة ادلاخلية‪.‬ويتعني عىل املدراء‬
‫واملةو‪،‬فني الاحتفةةاس مبسة توى مةةن الكفةاءة يسةةمح هةةم بفهةم امهيةةة تطةوير وتطبيةةق رقابةة داخليةةة جيةةدة‬
‫واحملافظة علهيا واداء واجباهتم سعيا اىل حتقيق الاهداف العامة للرقابة ادلاخلية واهداف املنشأة‪.‬‬

‫‪ .3‬اجتاهات الإدارة‪ :‬واملقصود بذكل فلسفة الادارة واسةلو ا التشةغييل حبيةث تعكةس موافقهتةا ادلامعةة جتةاة‬
‫الرقابة ادلاخليةة يف جيةع الاوقةات واسة تقاللها وكفاءهتةا وان تكةون قةدوة‪ .‬كةم تقةوم الادارة بوضةع قواعةد‬
‫للسةةلوك وتقيةةمي الاداء ممةةا يةةدمع الرقابةةة ادلاخليةةة والسةةلوك الاخةةال ‪.‬ذلكل جيةةب تةةذكري املةةو‪،‬فني دوراي‬
‫ابلزتاهمم مبوجب قواعد سلوك تنفيذية تصةدرها الادارة العليةا‪،‬كم ان تقيةمي الاداء يعتة ايضةا مةن الامةور‬
‫الهامة‪.‬وجيب ان يستند التقيمي العام لالداء اىل تقيمي العديةد مةن العوامةل احلرجةة مبةا فهيةا تطبيةق ضةوابط‬
‫رقابية فعاةل واحملافظة علهيا‪.‬‬

‫‪ .4‬الهيلك التنظميي‪ :‬يوفر الهيلك التنظميي حتديد الصةالحيات واملسةؤوليات اذ تةرتبط التفويضةات وحماسة بة‬
‫املسةةؤولية ابلطريقةةة الةةيت ية ةةا تفةويض تةةا الصةةالحيات واملسةةؤوليات يف املنشةةأة ول ميكةةن وجةةود‬
‫تفويضات او حماس بة مسؤولية بدون شلك من اشاكل التبليغ ‪.‬ذلكل يتعني وضع خطةو مالةةة للتبليةغ ‪.‬‬
‫ويف ‪،‬روف اس تثنائية قد يتعني وضع خطو تبليغ اخرى ابلضافة اىل خطو التبليغ العادية‪.‬‬

‫‪ .5‬س ياسةةات وممارسةةات املةةوارد البرشةةية‪ :‬تشةةمل س ياسةةات وممارسةةات املةوارد البرشةةية اجةراءات التعيةةني‬
‫والتوجية والتدريب والتعلمي والتقيمي والرتقيات والتعويضات والتظلمت‪ .‬ويعت املو‪،‬فني احد اجلوانب الهامة‬

‫‪55‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫للرقابة ادلاخلية اذ انه من الرضوري وجود مو‪،‬فني أكفأ وموضع ثقة لتوفري رقابةة فعةاةل‪،‬ذلكل فةان اسةاليب‬
‫تعيني وتقيمي وتدريبوترقية وتعويض املو‪،‬فني تعت جزاء هامة من العملية الرقابية‪.‬وقرارات التعيني جيةب ان‬
‫تتضمن ما يؤمن توافر التاهيل واخل ة املالةة لداء الاعمل وتقدمي التةدريب الةالزم سةواء اكن اساسة يا او‬
‫عىل راس العمل وكذكل التدريب السلويك‪.‬‬
‫الاممةل املمتة حول لك هدف من الاهداف واملكوانت‬
‫ممال‪ )1( :‬استيفاء متطلبات حماس بة املسؤولية‬
‫قامت دوائر خدمات ارشاد السفن و نوعية املياه وتطوير اس تخدام الطرق البحرية واستامثر وفيانة البىن‬
‫التحتية(اجلسور‪،‬السدود‪،‬القنوات‪..‬اخل) ابنشاء دائرة تكون مسؤوةل عن ادارة سالمة النقل البحري‪.‬‬
‫املراقبة‪/‬املتابعة‬ ‫املعلومات‬ ‫النشطة الرقابية‬ ‫تقدير اخملاطر‬ ‫بيئة الرقابة‪.‬‬
‫والتصال‬
‫‪ .1‬عدد احلواد‬ ‫‪ .1‬ابالغ عن حواد‬ ‫من اخملاطر احملمتةل ‪ .1‬ارشاد السفن‬ ‫مت تعيني مدير‬
‫واخملالفات البيئية‬ ‫افطدام السفن‬ ‫معرفة مرشدين‬ ‫تشغيل للك دائرة افطدام السفن‬
‫‪ .2‬نتاجئ حتليل عدد‬ ‫حبريني ذوي كفاءة‪ .‬لتحذير السفن‬ ‫خدمات يكون وترسب مواد سامة‬
‫من عينات املاء‬ ‫الاخرى‪.‬‬ ‫‪ .2‬وضع عوامات‬
‫تبليغه مبارشة اىل او حمروقات‬
‫‪ .3‬لك هذا يساعد‬ ‫‪ .2‬ابالغ السفن‬ ‫طافية لالرشاد‪.‬‬
‫ي‬
‫عىل‬ ‫بأحوال الطقس‬ ‫املدير العام‪ ،‬متتع وانفجارات قد تقع ‪ .3‬انشاء منارات‬
‫‪ .4‬مراقبة فعالية‬ ‫البرصي من ‪ .3‬نرش اسمء من‬ ‫املدراء ابملهارات يف السدود‪،‬اذا تبني ‪.4‬‬
‫ارشاد السفن‬ ‫تسببوا يف احدا‬ ‫اجلو‬ ‫ان سبب هذه‬ ‫املالةة ودلدهم‬
‫‪ .5‬انشاء منارات‬ ‫فالحيات اختاذ الاحدا اهمل ‪ .5‬حتليل عينات املاء تلو وما يه‬
‫‪ .6‬وضع عالمات‬ ‫العقوابت‬ ‫بعض القرارات فاهنا تواجه‬
‫ارشادية‬ ‫‪ .4‬الاجراءات‬ ‫وعىل عمل بقواعد مسؤوليات جس مية‪.‬‬
‫العالجية املتخذة‪.‬‬
‫السلوك املناسب‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪56‬‬

 ‫اثنيا‪ :‬تقيمي اخملاطر ‪Risk Assessment‬‬
‫ويه معليةةة التعةةرف عةةىل اخملةةاطر و بتحديةةد وحتليةةل اخملةةاطر املتعلقةةة‬
‫بتحقيةةق أهةةداف املؤسسةةة‪ ،‬و التعةةرف عةةىل احةةامتل حةةدوهثا‪ ،‬وحمةةاوةل‬
‫ختفةةيض حةةدة تأثرياهتةةا اإىل مسة توايت مقبةةوةل‪ ،‬ويشةةمل تعريةةف وحتليةةل‬
‫اخملاطر ذات العالقة لتحقيةق الاهةداف وحتديةد الكيفيةة الةيت تةدار ةا‬
‫هذه اخملاطر وتعريف اخملاطر املرتبطةة ابلتنفيةذ و حتديةد وحتليةل‪ ،‬وإادارة‬
‫اخملاطر اليت تؤثر عىل أهداف املنشأة‪ .‬وتشمل ‪:‬‬

‫التعرف عىل اخملاطر‬ ‫•‬

‫‪ ‬اهداف املنشأة‬
‫‪ ‬الشامةل‬
‫‪ ‬الناجتة عن عوامل خارجية‬
‫تقيمي اخملاطر‬ ‫•‬
‫‪ ‬امهيهتا‬
‫‪ ‬اخامتل تكرارها‬
‫مكية اخملاطر املمكن حتملها‬ ‫•‬
‫‪ ‬اخلسةةائر املاليةةة ميكةةن احةةامتق وذكل طبةةق جملموعةةة مةةن املتغ ةريات(جحم املوا نزةةة‪ ،‬ادلعايةةة‬
‫العكس ية‪..‬اخل)‬
‫تطوير حلول ملواهجة اخلطر‬ ‫•‬
‫‪ ‬حلول النقل ‪ ،‬التحمل ‪ ،‬املعاجلة والاهناء‬
‫‪ ‬الضوابط الرقابية‬

‫‪57‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫حتديد اخملاطر ‪Identify risks‬‬
‫وذكل مةةن خةةالل مقارابهتةةا ابلهةةداف الرئيسة ية للمنشةةاة‪ .‬وحين ةةذ جيةةرى دراسةةة اخملةةاطر املرتبطةةة ةةذه‬
‫الاهداف وتقيميها مبا يؤدي اىل عدد فغري من اخملاطر الرئيس ية‪.‬‬
‫ويعت حتديد اخملاطر الرئيس ية امرا يف غاية الامهية ليس فقط ملعرفة اجلوانب الاكرث امهية اليت جيب ان‬
‫ختص لها موارد تقيمي اخملاطر ولكن ايضا لتحديد مسؤولية ادارة اخملاطر‪.‬‬
‫وقد يكةون اداء املنشةاة يف خطةر بسةبب عوامةل داخليةة او خارجيةة عةىل مسة توى املنشةاة والنشةا‬
‫وجيةةب ان وخةةذ معليةةة تقيةةمي اخملةةاطر ابلعتبةةار اكفةةة اخملةةاطر الةةيت قةةد حتةةد (مبةةا فهيةةا خمةةاطر التالعةةب‬
‫والفساد)‪،‬ذلكل فانه من املهم ان ي حتديد اخملاطر بطريقة شامةل وان يكون ذكل بشلك متكرر ومس متر وغالبةا‬
‫ما يكون ذكل ممتم لعملية التصطيط‪ .‬ومةن املفيةد غالبةا عنةد حتديةد اخملةاطر دراسة هتا بأسةلوب (فةفحة بيضةاء‬
‫جديدة) وليس درد ربطها مبا س بق الاطالع عليه وهةو اسةلوب يسةهل التعةرف عةىل ايةة تغةريات تكةون قةد‬
‫طرأت عىل فورة خماطر(مرتفع ‪ ،‬متوسط ‪ ،‬منصفض) املنشاة بسبب تغريات يف البيئة الاقتصادية والترشةيعية‬
‫و‪،‬روف التشغيل ادلاخلية واخلارجية وبسبب ادخال اهداف جديدة او تعديل بعضها‪.‬‬

‫تقيمي اخملاطر داخل املنشاة ‪Risk assessment within the facility‬‬

‫عنةةد دراسةةة وسةةائل مواهجةةة اخملةةاطر يه التعةةرف عةةىل شةةهية اخملةةاطر حلةةدوهثا داخةةل املنشةةاة او جحةةم‬
‫الاخطار اذلي تكةون املنشةاة مسة تعدة للتعةرض ق قبةل ان تقةرر اختةاذ الاجةراءات الالزمةة‪ .‬عةىل ان تؤخةذ‬
‫قرارات مواهجة اخملاطر ابلتوازي مع التعرف عىل مكية اخملاطر اليت ميكن احامتق‪.‬‬
‫وتتباين شهية اخملاطر داخل اي منشاة طبقا لالمهيةة املتصةورة لتبةك اخملةاطر‪.‬ممال اخلسةائر املاليةة الةيت‬
‫ميكن احامتلها قد تتباين طبقا جملموعة من املمزيات مهنا جحم املوازنةة ‪ ،‬مصةادر اخلسةائر وخمةاطر اخةرى مرتافقةة‬
‫ممل ادلعاية السلبية‪ .‬ويعت حتديد شهية اخملاطر او التعرف علهيا من املوضوعات اذلاتية ولكنه ابلرمغ مةن ذكل‬
‫يعت مرحةل هامة مضن مراحل فياغة اسرتاتيجية اخملاطر بشلك عام‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪58‬‬

 ‫تطوير وسائل املواهجة ‪Developing means of confrontation‬‬
‫نتيجة الاجراءات التالية تكون املنشاة قادرة عىل تكوين فكرة عن اخملاطر اليت تواهجها وابلتةايل ميكةن لهةا‬
‫دراسة خمتلف الوسائل ملواهجة تا اخملاطر‪.‬‬
‫وميكن تقس مي وسائل اخملاطر اىل اربعة فئات‪ .‬ففي بعض احلالت ميكن نقةل اخملةاطر او حتملهةا او اهنا‪.‬هةا‪.‬‬
‫ومع ذكل ففي معظم الاحوال فانه يتعني معاجلة اخملاطر‪.‬وعىل املنشأة تطبيق نظام رقابة داخلية فعةال والالةزتام‬
‫به حىت ميكن جعل اخملاطر يف حدود مقبوةل‪.‬‬

‫الاممةل املمتة حول لك هدف من الاهداف واملكوانت‬

‫ممال‪ 2 :‬استيفاء متطلبات حماس بة املسؤولية‬
‫قام مدير دائرة الرايضة يف العام املايض بوضع الاهداف حبيث تزداد مبةزاوةل الرايضةة بنسة بة ‪ %15‬يف السة نوات‬
‫القادمة‬
‫املراقبة‪/‬املتابعة‬ ‫املعلومات‬ ‫النشطة الرقابية‬ ‫تقدير اخملاطر‬ ‫بيئة الرقابة‪.‬‬
‫والتصال‬
‫يعت التحقق من‬ ‫ميكن تقليل هذه جيب تسلمي هذا‬ ‫ان عةةدم حتديةةد الاهةةداف‬ ‫نظرا للسمعة‬
‫اخملاطر بتحديد التقرير يف موعده كفاية او عدم‬ ‫الطيبة اليت يمتتع يةةؤدي عةةدم حتقيقهةةا وعةةدم‬
‫توارخي الابالغ احملدد وفقا لامنذج كفاية التقرير‬ ‫التبليةةغ يف الاوقةةات احملةةددة‬ ‫ا املدير فقد‬
‫املالمئ وكذكل التبليغ وعىل التقرير وماهية املعلومات‬ ‫وثقت به اللجنة بسةةةةبب رابةةةةة املةةةةدير يف‬
‫املذكورة به وتا‬ ‫مناذج التبليغ اليت ان حيدد اهداف‬ ‫التنفيذية وابلتايل وجيةةل الابةةالغ عةةن تقريةةره‬
‫المنو وكيفية قياسها الناقصة ‪...‬اخل لك‬ ‫توحض نوعية‬ ‫مل تعقد اجامتعاهتا حةىت يةمتكن مةن القةةول ابنةةه‬

‫‪59‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫ذكل ميكن ان‬ ‫واس باب قياسها‬ ‫قد حقةق منةوا يف الاهةداف املعلومات اليت‬ ‫املعتادة ملراجعة‬
‫ذا الاسلوب‪،‬كم يكون شالك من‬ ‫بنس ة بة‪ %15‬بةةدون حتديةةد جيب ابالاها‪.‬‬ ‫مدى تقدميه يف‬
‫جيب ان تتوافر اكفة اشاكل املراقبة‪.‬‬ ‫للكيفية اليت تقاس ا نسة بة‬ ‫دالت معهل‪.‬‬
‫بياانت ادلمع‪.‬‬ ‫المنةةون فهةةو يس ة تطيع القةةول‬
‫ان نسةةة بة المنةةةو راجعةةةة اىل‬
‫زايدة عدد الرايضةيني وعةدد‬
‫سةةاعات مةزاوةل الرايضةةة او‬
‫عدد املراكز وبةذكل تتنةاق‬
‫جةةةةودة املعلومةةةةات املبلغةةةةة‬
‫بشلك كبري‪.‬‬

‫‪Control Activities‬‬ ‫اثلثا‪ :‬انشطة الرقابة‬

‫يه س ياسات واجراءات موضوعة ملواهجة اخملاطر اليت توفر‬
‫تأكيد معقول خبصوص أهداف الرقابة ادلاخلية بطريقة مالةة‪ ،‬وإادارة‬
‫اخملاطر بفعالية‪ .‬وتتعلق تا النشطة ابلرقابة عىل التشغيل‪ ،‬والرقابة‬
‫عىل اإعداد التقارير املالية‪ ،‬و الرقابة علىاللزتام‪.‬‬
‫وهت أنشطة الرقابة عىل التشغيل وادارة ومتابعة تشغيل املؤسسة‪،‬‬
‫بيامن هتدف أنشطة الرقابة عىل اإعداد التقارير املالية اإىل تأكيد اإعداد‬
‫تقارير مالية ميكن الوثوق ا ‪ ،‬أما أنشطة الرقابة عىل الالزتام فاإهنا‬
‫هتدف اإىل التأكد من الالزتام ابلقوانني اليت تطبقها املؤسسة ويه الس ياسات والاجراءات املس تعمةل‬
‫ابملوافقات‪ ،‬الصالحيات‪ ،‬املراجعة‪ ،‬التسوايت‪ ،‬املراقبة‪ ،‬حمية الافول والفصل بني املهام‪ .‬فه ي تساعد عىل‬
‫التأكد من أن الترصفات الرضورية ي اختاذها ملقابةل اخملاطر املتعلقة بتحقيق أهداف املنشأة‪ .‬والنشطة الرقابية‬
‫لها أهداف عديدة وي تطبيقها عند مس توايت تنظميية و‪،‬يفة متعددة‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪60‬‬

 ‫وي ممارسة الانشطة الرقابية يف اكفة احناء املنشأة وعىل خمتلف املس توايت ويف اكفة الاختصافات‪.‬‬
‫ويه تشمل مجموعة متنوعة من الضوابط الرقابية الوقائية والاكشفة لنوايح الاحنراف ممل‪-:‬‬
‫اجراءات التفويض والصالحيات واملوافقات‬ ‫‪.1‬‬
‫الفصل بني ابملهام الو‪،‬يفية (التفويض‪ ،‬التشغيل ‪ ،‬التسجيل ‪...‬اخل)‬ ‫‪.2‬‬
‫معليات التحقق‬ ‫‪.3‬‬
‫تسوية ارفدة احلساابت‬ ‫‪.4‬‬
‫مراجعة الاداء التشغييل‬ ‫‪.5‬‬
‫مراجعة العمليات التشغيلية والانشطة‬ ‫‪.6‬‬
‫الرقابة عىل اس تخدام الافول‬ ‫‪.7‬‬
‫الارشاف (توزيع املهام ‪ ،‬املراجعة واملوافقة ‪ ،‬الارشاد والتدريب)‬ ‫‪.8‬‬

‫ويتعني عىل املنشات ان حتقق توازان معقول بني تطبيق وعدم تطبيق الانشطة الرقابية‪.‬كم تعت‬
‫الاجراءات التصحيحية م رضوري لالنشطة الرقابية حىت تتحقق اهداف املنشاة‪.‬‬
‫الانشطة الرقابية يه س ياسات واجراءات موضوعة ي تطبيقها ملواهجة اخملاطر وحتقق اهداف املنشاة‪.‬‬
‫وحىت تكون الانشطة الرقابية فعاةل يف حاجة اىل ما ييل‪-:‬‬
‫ان تكون مالةة (مبعىن وجود الاداء الرقابية املناس بة يف املاكن املناسب واهنا تعادل اخملاطر‬ ‫‪.1‬‬
‫اليت تواهجها)‪.‬‬
‫ان تعمل ابنتظام طوال خطة زمنية موضوعة (مبعىن ان يراعي مجيع املو‪،‬فني الالزتام ا ول‬ ‫‪.2‬‬
‫جيب جتاوزها يف حال اياب كبار املو‪،‬فني او عندما يزيد جحم العمل)‪.‬‬
‫ان تك‬ ‫‪.3‬‬
‫ون منصفضة التاكليف(مبعىن انه جيب الا تزيد تاكليف تطبيق الضوابط الرقابية عن الفوائد‬ ‫‪.4‬‬
‫املرجوة منه)‪.‬‬
‫ان تكون شامةل ومعقوةل ومتداخةل يف اهداف املنشاة بشلك عام‪.‬‬ ‫‪.5‬‬

‫‪61‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫تتضمن الانشطة الرقابية مجموعة من الس ياسات والاجراءات املتنوعة‬
‫‪ .1‬اجراءات التفويض واملوافقات‬
‫ان املوافقة عىل املعاملالت التجارية والاحدا وتنفيذها يقوم ا اشخاص يعملون داخل نطاق‬
‫فالحياهتم ويه الوس يةل الرئيس ية لضمن تنقيذ املعامالت والاحدا الصحيحة وفقا ملا هدفت‬
‫اليه الادارة‪ .‬وجيب ان تتضمن اجراءات التفويض الرشو التفصيلية اليت ي مبوج اا تفويض‬
‫الصالحيات كم ان الالزتام برشو التفويض يعين قيام املو‪،‬فني ابلترصف طبقا للتوجهيات‬
‫وداخل احلدود اليت وضعهتا الادارة والترشيعات‪.‬‬

‫‪ .2‬الفصل بني املهام الو‪،‬يفية(التفويض ‪ ،‬التشغيا ‪ ،‬التسجيل ‪ ،‬املراجعة)‬

‫لتقليل خماطر الاخطاء والهدر او اخملالفات وكذكل خماطر عدم اكتشاف تا املشالك فانه ل‬
‫جيب ان يقوم خش واحد او دائرة واحدة ابعمل الرقابة عىل اكفة املراحل الرئيس ية‬
‫للمعامالت او الاحدا ‪.‬وبدل من ذكل يتعني توزيع املهام واملسؤوليات بطريقة نظامية عىل‬
‫عدد من الافراد لضمن توافر مراجعة فعاةل ومتوازنة‪.‬تتضمن املهام الرئيس ية التفويض ابجراء‬
‫تسجيل ‪ ،‬تشغيل ‪ ،‬ومراجعة او تدقيق املعامالت‪.‬أن التواطؤ ميكن ان جيد من او يدمر‬
‫فعالية الانشطة الرقابية ادلاخلية‪.‬وقد يكون دلى احدى املنشات الصغرية عدد قليل جدا من‬
‫املو‪،‬فني لتطبيق تا الانشطة الرقابية بشلك اكمل ‪ .‬ويف هذه احلاةل جيب ان تكون الادارة‬
‫عىل عمل ابخملاطر وان تعمل ىل وضع ضوابط رقابية اخرى ملواهجهتا‪.‬وقد يساعد تدوير‬
‫املو‪،‬فني عىل ضمن الا يقوم خش واحد ابلتعامل يف اكفة املراحل ‪ .‬وكذكل تشجيع‬
‫املو‪،‬فني عىل القيام ابجازاهتم الس نوية او ان يطلب مهنم ذكل عىل تفليل اخملاطر ابجراء‬
‫تدوير مؤقت للمهام الو‪،‬يفية‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪62‬‬

 ‫‪ .3‬الرقابة عىل اس تخدام الافول والسجالت‬
‫يكون اس تخدام الافول والسجالت مقصورا عىل املو‪،‬فني املرصح هم بذكل لهنم‬
‫مسؤولني عن اجازاهتم واس تخداهمم لتا الافول اذ ان تفييد اس تخدام الافول يقلل من‬
‫خماطر الاس تخدام غري املرصح به او اخلسائر ‪ .‬كم يساعد عىل حتقيق توجهيات الادارة ‪.‬‬
‫وتتوقف درجة التقييد عىل مدى او اماكنية تعرض الافول للرسقة واخملاطر املتصورة‬
‫للصسارة او الاس تخدام غري املالمئ وجيب ان يعاد النظر دوراي يف درجة التقييد ‪ .‬وعند‬
‫حتديد مدى او اماكنية تعرض الافل للرسقة فانه جيب دراسة الافل من حيث اماكنية‬
‫نقهل او استبداق‪..‬اخل ‪.‬‬

‫‪ .4‬التحقق‬
‫ي التحقق من املعامالت املالية والاحدا الهامة قبل وبعد حدوهثا‪ .‬ممال ذكل عند اس تالم‬
‫مكيات بضاعة معينة فانه جيب التحقق من المكية اليت مت توريدها مبقارابهتا مع المكية املطلوبة‪.‬‬
‫كم جيب التحقق بعد ذكل من ة المكية املذكورة ابلفواتري مبقارابهتا مع مكية البضاعة املس تلمة‬
‫‪ .‬كم جيب ايضا التحقق من اخملزون ابجراء جرد فعيل‪.‬‬

‫‪ .5‬تسوية ارفدة احلساابت‬

‫حيث ي تسوية السجالت مع املستندات املالةة بشلك دوري ممال ذكل تسوية السجالت‬
‫احملاسبية املتعلقة حبساابت البنوك مع كشوف حساابت البنوك املعنية‪.‬‬
‫‪ .6‬مراجعة الاداء التشغييل‬
‫ت مراجعة الاداء التشغييل دوراي وذكل مبقارنة مع مجموعة من املعايري ومن مث ي تقيمي فعالية‬
‫الاداء وكفائتة‪.‬‬

‫‪63‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫‪ .7‬مراجعة معليات التشغيل والانشطة‬
‫من الرضوري مراجعة معليات التشغيل اذا ان هذا النوع من املراجعة لعمليات التشغيل‬
‫الفعلية لحدى املنشات جيب ان تمتزي بوضوح عن مراقبة الضوابط الرقابية ادلاخلية ‪.‬‬

‫‪ .8‬الارشاف (توزيع املهام ‪ ،‬املراجعة واملوافقة ‪ ،‬الارشاد والتدريب)‬

‫يساعد الارشاف احملمك عىل ضمن اجناز الانشطة الرقابية ادلاخلية‪ .‬ويتضمن توزيع املهام‬
‫ومراجعهتا واملوافقة علهيا خبصوص معل اح املو‪،‬فني‪-:‬‬

‫‪ ‬ابالغ املهام واملسؤوليات احملددة للك مو‪،‬ف بشلك واحض‪.‬‬

‫‪ ‬املراجعة املنتظمة لعمل لك مو‪،‬ف اىل احلد الالزم‪.‬‬
‫‪ ‬املوافقة عىل العمل عند نقا حرجة لضمن انس يابه‪.‬‬

‫ان قيام املرشفني بتفويض مو‪،‬فني للقيام ابلعمل ل جيب ان يعفهيم من حماسبهتم عن ذكل‬
‫املسؤوليات واملهام الو‪،‬يفية‪.‬‬
‫مما س بق نس تنتج ما ييل‪-:‬‬

‫‪ ‬ان الانشطة الرقابية من ‪ 3-1‬يه انشطة وقائية‪.‬‬

‫‪ ‬الانشطة من ‪ 6 - 4‬يه انشطة اكشفة‪.‬‬
‫‪ ‬الانشطة ‪7‬و‪ 8‬فهم انشطة وقائية واكشفة ‪.‬‬
‫الاممةل املمتة حول لك هدف من الاهداف واملكوانت‬
‫ممال‪ )3( :‬استيفاء متطلبات الالزتام ابلنظمة والقوانني‬
‫تراب البدلية برشاء مواد‪ ،‬عن طريق عقد حكو ‪ ،‬وتراب يف نرش رشو واجراءات العطاء وان ي‬
‫فتح اكفة مظاريف العطاءات املقدمة اىل هناية فرتة العطاء وعندها ي فتح مجيع مظاريف العطاءات يف حضور‬

‫أساسيات التدقيق الداخلي‬ ‫‪64‬‬

 ‫جلنة العطاءات ‪ ،‬وسف ي حتليل تا العطاءات ومقارابهتا لتحديد العطاء الافضل ‪.‬‬

‫املراقبة‪/‬‬ ‫املعلومات والتصال‬ ‫النشطة‬ ‫تقدير اخملاطر‬ ‫بيئة الرقابة‪.‬‬

‫الرقابية‬
‫املتابعة‬
‫ميكن للتدقيق‬ ‫اجراءات نرش‬ ‫‪.1‬ممكن احد اعضاء لتصفيف ااثر‬ ‫تشكيل فريق يتوىل‬
‫ادلاخيل‬ ‫رشو العطاء وتقيمي‬ ‫اللجنة تزويد احد اخملاطر يتعني‬ ‫تنفيذ هذه العملية من‬
‫مقد العطاءات تطبيق اجراءات العطاءات املقدمة‬ ‫مو‪،‬فني اكفاء‪ ،‬وقد‬
‫‪ .1‬مراجعة ملف‬ ‫ابسعار املنافسني‬
‫العطاءات‬ ‫الفائز‬ ‫عن‬ ‫والاعالن‬ ‫اكفة‬ ‫مع‬ ‫تتطابق‬ ‫وقعوا عىل تعهد بفيد‬
‫للفوز ابلعطاء‪.‬‬
‫‪ .2‬متابعة‬ ‫ثيق‬ ‫و‬‫ت‬‫و‬ ‫ثيقها‪،‬‬‫و‬‫ت‬ ‫جيب‬ ‫ا‬‫و‬ ‫لل‬‫ا‬‫و‬ ‫نني‬ ‫ا‬‫و‬ ‫الق‬ ‫‪.2‬اختيار العطاء غري‬ ‫ابته ليست هم عالقة‬
‫الشاكوي‬ ‫باب قبول ‪ /‬رفض‬ ‫اس‬ ‫املتعلقة ابلعقود‪.‬‬ ‫الصحيح‪.‬‬ ‫ل من قريب او من‬
‫الواردة‬ ‫العطاءات عند تقيميها‪.‬‬ ‫بعيد مع اي من‬
‫املقدمني للعطاء ‪.‬‬

‫رابعا‪ :‬املعلومات والتبليغ ‪Information and Communication‬‬

‫أن التسجيل الفةوري والتصةنيف املةالمئ للمعةامالت املاليةة ةالاحةدا‬
‫من الامور الاساس ية حىت تكتسب املعلومةات صصةداقية وتكةون ذات‬
‫عالقةةة‪،‬اذا جيةةب ان تكةةون املعلومةةات وثيقةةة الصةةةل ابملوضةةوع وحمةةددة‬
‫ومعروفة جيدا ومث تبليغها ابلشلك والاطار الزمين املناسةب لةي يةمتكن‬
‫املو‪،‬فني من القيام ابداء رقابهتم ادلاخلية ومسؤولياهتم الاخرى ‪.‬‬
‫ده هدا املكون بتحديد املعلومات املالةةة لتحقيةق أهةداف املؤسسةة ‪،‬‬
‫والوفول اإلهيا وتشغيلها وتوفيلها خملتلف املس توايت الإدارية ابملؤسسةة‪،‬‬
‫عن طريق قنوات مفتوحة لالتصالت تسمح بتدقيق تا املعلومات و اإعداد التقارير‪ .‬تتضمن انظمة املعلومات‬
‫انواعا حمددة ذلكل الضوابط الرقابية من الانشطة التكنولوجيا املعلومات من مجموعتني‪:‬‬

‫‪65‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫‪ .1‬الضوابط الرقابية العامة ويه الهيلكة والس ياسات والاجراءات اليت تطبق عىل اكفة انظمةة تكنولوجيةا‬
‫املعلومات او قطاع كبري مهنةا ابملنشةاة للتاكةد مةن سةري معلياهتةا التشةغيلية ابلطريقةة املناسة بة ‪ .‬وتعمةل‬
‫الضوابط العامة عىل انشاء البيئة اليت تعمل فهيا الانظمة والضوابط التطبيقية‪.‬‬
‫الفئات الهامة من الضوابط يه‪:‬‬
‫‪ .1‬ختطيط وادارة ال امج الامنية عىل مس توى املنشأة مبا يوفر اطارا ودورة مس مترة من النشا‬
‫ملواهجة اخملاطر وكذكل تطوير الس ياسة الامنية وتوزيع املسةؤوليات ومراقبةة كفايةة الضةوابط‬
‫املتعلقة ابهجزة احلاسوب داخل املنشأة‪.‬‬
‫‪ .2‬ضوابط اس تخدام اهجزة احلاسوب ويه تعمل عىل تقييد او الكشف عةن حمةاولت ادلخةول‬
‫الغةةري مرصةةح اىل املصةةادر احلاسةةوبية(ممل البياانت‪،‬ال امج‪،‬املعةةدات‪،‬واملرافق احلاسةةوبية)‬
‫وابلتايل حمية هذه املصادر من اية تعديالت غري مرصح به والكشف عن هذه احملاولت‪.‬‬
‫‪ .3‬ضوابط تطوير وفيانة وتعديل ال امج مبا مينع تعديل ال امج او اس تخدام برامج غةري مرصةح‬
‫ا‪.‬‬
‫‪ .4‬ضوابط برامج الانظمةة ويه تعمةل عةىل تقيةد ومراقبةة حمةاولت ادلخةول اىل الة امج اقويةة‬
‫وامللفات احلساسة اليت تةتحمك يف اهجةزة احلاسةوب ‪ ،‬كةم تعمةل عةىل حميةة التطبيقةات الةيت‬
‫تدمعها الانظمة‪.‬‬
‫‪ .5‬الفصل بني املهام الو‪،‬يفية ويه وضع الس ياسات والاجراءات والهيالك التنظمييةة ملنةع انفةراد‬
‫مو‪،‬فةةا واحةةد ابلس ة يطرة عةةىل اجلوانةةب الهامةةة لعمليةةات تشةةغيل احلاسةةوب وابلتةةايل قيامةةة‬
‫بترصفات غري مرصح ق ةا أو حماولتةه الوفةول بةدون اذن بةذكل اىل الافةول والسةجالت‬
‫احملاسبية‪.‬‬
‫‪ .6‬ضوابط اس مترارية اخلدمات حيث يظهرامهيهتا عند وقوع احدا غري متوقعةة اذ يسةاعد عةىل‬
‫ومني اس مترار العمليات التشغيلية احلرجة بةدون انقطةاع او اسة تنئافها فةورا وحميةة البيةاانت‬
‫احلرجة واملعلومات احلساسة‪.‬‬
‫‪ .2‬الضوابط الرقابية التطبيقية‪ :‬ويه الهيلكة والس ياسات والاجراءات اليت تطبق عىل الانظمة التطبيقية‬
‫لك عىل حدة ويه تتعلق مبارشة بتطبيقات المكبيةوتر ‪،‬وية تصةممي ذكل الضةوابط بشةلك عةام ملنةع وقةوع‬
‫الاخطاء واخملالفات وتصحيحها اثناء تدفق البياانت خالل انظمة املعلومات‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪66‬‬

 ‫وميكن تقسة مي الضةوابط الرقابيةة التطبيقيةة وطريقةة تةدفق البيةاانت خةالل انظمةة املعلومةات اىل ثالثةة‬
‫مراحل من دورة املعاجلة‪-:‬‬

‫‪ .1‬املدخالت‪ :‬ويه هذه املرحةل ي الترص ابلبيةاانت وحتويلهةا اىل شةلك مةن اشةاكل املعاجلةة‬
‫الاوتوماتيكية وادخالها يف ال امج التطبيقي بطريقة دقيقة ومكمتةل ويف توقيت حمدد‪.‬‬

‫‪ .2‬املعاجلة‪ :‬ويه مرحةل ي فهيا معاجلة البياانت بشلك مالمئ ابس تخدام اهجزة احلاسةوب كةم ية‬
‫حتديث امللفات بطريقة يحة‪.‬‬

‫‪ .3‬اخملرجات‪ :‬ويف هذه املرحةل تعكس امللفات والتقارير الناجتة عن الة امج التطبيقيةة املعةامالت‬
‫املالية والاحدا الةيت وقعةت ابلفعةل‪.‬كم تعكةس بشةلك دقيةق نتةاجئ املعاجلةة‪ .‬وية يف هةذه‬
‫املرحةل رقابة التقارير وتوزيعها عىل املو‪،‬فني املرصح هم ابلطالع علهيا‪.‬‬

‫ان الضوابط العامة والتطبيقية يه ضوابط متةداخةل يف بعضةها الةبعض و هةم مطلوبةة لضةمن تشةغيل‬
‫اكمل ودقيق‪ .‬ونظرا لن تكنولوجيا املعلومات تتغري بشلك رسيع فةان الضةوابط املرتافقةة معهةا جيةب ان تتطةور‬
‫بشلك دامئ لي تظل ذكل الضوابط فعاةل‪.‬‬

‫التبليغ‬
‫ان التبليغ الفعال جيب ان يتدفق ع املنشاة ابزول وفعودا ويتخلل هيلكها واجزاءهةا ابلاكمةل ‪ ،‬وجيةب‬
‫ان تصل رساةل واحضة اىل مجيع املو‪،‬فني من الادارة العليا برضورة اخذ املسؤوليات الرقابية مأخذ اجلد‪ ،‬وعىل‬
‫املو‪،‬فني ان يتفهموا ادوارمه يف نظام الرقابة ادلاخلية وكيفية ارتبةا انشةطهتم الفرديةة بعمةل الاخةرين ‪ ،‬فضةال‬
‫عن احلاجة اىل وجود اتصالت فعال مع الاطراف اخلارجية‪.‬‬

‫‪67‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫تعت املعلومات يه اساس التبليغ واذلي جيب ان يفي بتوقعات اجملموعات والافةراد حةىت ميكةهنم القيةام‬
‫مبسؤولياهتم بفعالية‪ .‬ومن الرضوري ان ي التبليغ الفعال يف مجيع الاجتاهات متدفقا اىل الاسفل مث اىل الاعةىل‬
‫ع اكفة ارجاء املنشأة ومن خالل مجيع اجزاء هيلكها‪.‬‬

‫عىل الادارة ان تكون داةا عىل عمل ودراية بأخر التطورات والاحدا حول الرقابة ادلاخليةة وخماطرهةا‬
‫وو‪،‬ائفها وكذكل الاحدا واملوضوعات الاخرى ذات العالقة ‪ .‬وجيب علهيا ايضا ابةالغ مو‪،‬فهيةا ابملعلومةات‬
‫ايل يريدها ورادها فهيا واجتاهات تا املعلومات ‪ ،‬كم جيب ان يعمةل التبليةغ عةىل ايقةاس الةوعي بأمهيةة الرقابةة‬
‫ادلاخلية الفعاةل وايضاح شةهية خمةاطر املنشةأة وبيةان قةدرة املنشةأة عةىل احةامتق واسةتيعاب املةو‪،‬فني لدوارمه‬
‫ومسؤولياهتم يف تفعيل ودمع اجزاء الرقابة ادلاخلية‪.‬‬

‫وابلضافة اىل التبليغ ادلاخيل فانةه جيةب عةىل الادارة ان تتاكةد مةن وجةود وسةائل اكفيةة لالتصةال مةع‬
‫الاطراف اخلارجية واحلصول مهنم عىل املعلومات ‪ ،‬اذ ميكن لالتصالت اخلارجية تقدمي مةدخالت (معلومةات)‬
‫رمبا يكون لها اثرا ابلغ الامهية عىل قدرة املنشأة يف حتقيق اهدافها‪.‬‬

‫الاممةل املمتة حول لك هدف من الاهداف واملكوانت‬

‫ممال‪ )4( :‬معليات التشغيل النظامية‪،‬الاخالقية واليت ت بفعالية‬
‫تراب البدلية يف زايدة عدد الزايرات اليت يقوم ا امجلهور اىل املتاحف ‪ ،‬ولتحقيق هذا الهةدف تقةرتح‬
‫البدلية بناء متاحف جديدة وختفيض اسعار بطاقات ادلخول للمتاحف ‪ ،‬ولي يكون املوضةوع اقتصةاداي وفعةال‬
‫وي بكفةاءة فانةه يتعةني عةىل الادارة دراسةة وتقيةمي مةا اذا اكن ميكةن حتقيةق الاهةداف و تبلةغ تاكليةف ذكل‬
‫الاقرتاح ‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪68‬‬

 ‫املعلومةةةةةةةةةةةةةةات املراقبة‪ /‬املتابعة‬ ‫النشطة الرقابية‬ ‫تقدير اخملاطر‬ ‫بيئة الرقابة‬
‫والتصال‬
‫حتليةةةل اسةةة باب‬ ‫توثيةةةةةةق وقةةةةةةائع‬ ‫لتصفيف ااثر اخملةاطر‬ ‫حتتةةةةةاج البدليةةةةةة مةةةةةةن اخملةةةةةةاطر‬
‫زايدة الانفاق عم‬ ‫الاجامتعةةةةةةةةةات‪،‬‬ ‫يتعةةني رقابةةة املوا نزةةة‬ ‫للتاكةةةةةد مةةةةةن ان احملمتةل‬
‫هةةةةةةةو مقةةةةةةةدر‬ ‫وتقةةةةارير متابعةةةةة‬ ‫ومقارابهتةةةا ابلفعةةةيل ‪،‬‬ ‫هيلكهةةةا التنظميةةةي‬
‫عةةةةةةةةةدم‬ ‫‪‬‬
‫وتاكليةةف الفوائةةد‬ ‫املوا نزةةةةة ومةةةةدى‬ ‫ومالحظةةات التقةةدم‬ ‫مناسةةةةةةةةةةةب دلمع‬
‫حدو الزايرات‬
‫النامجة عن وخري‬ ‫تقدم العمل‪.‬‬ ‫وطلةةةةةب ت يةةةةةرات‬ ‫الارشاف عةةةةةةةةىل‬
‫النتةةةةةةاجئ‬ ‫‪‬‬
‫العمةةةل او وخةةةري‬ ‫لةةةةةةزايدة الانفةةةةةةاق‬ ‫تصةةةةةممي وانشةةةةةاء العكس ة ية للمقةةرتح‬
‫سةةةةةداد بعةةةةةض‬ ‫املقدر‪.‬‬ ‫وختطيط وتشةغيل يةةؤدي اىل تنةةاق‬
‫املبالغ‪.‬‬ ‫املتاحف اجلديدة‪ .‬الايرادات‬

‫خامسا‪ :‬املراقبة والرفيد ‪Monitoring‬‬

‫من الرضوري مبرور الوقت مراقبة انظمة الرقابة ادلاخليةة لتقيةمي جةودة‬
‫اداءهةا ‪ ،‬دهة هةدا املكةون ابملتابعةة املسة مترة والتقيةمي ادلوري خملتلةف‬
‫مكوانت نظام الرقابة ادلاخليةة وميكةن اجةراء هةذه املراقبةة مةن خةالل‬
‫انشةطة روتينيةة ومعليةات تقيةمي منفصةةل او مةز مةهنم‪ .‬ويعمتةد تكةرار‬
‫ونطاق التقيمي ادلوري عىل نتاجئ املتابعة املس مترة ‪ ،‬واخملةاطر ذات فةةل‬
‫بنظام الرقابة ادلاخلية ‪.‬‬

‫‪ .1‬املراقبة املس مترة‬

‫‪69‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫املراقبة املس مترة للرقابةة ادلاخليةة ية بناءهةا داخةل الانشةطة الرقابيةة الاعتياديةة واملتكةررة ابملنشةأة ‪،‬‬
‫وتتضمن املراقبة املس مترة انشطة دوريةة اداريةة وارشافيةة واجةراءات اخةرى يقةوم ةا املو‪،‬فةون يف سةبيل اداء‬
‫هماهمم الو‪،‬يفية‪ ،‬وتتضمن خمالفات انظمة الرقابة ادلاخلية سواء اكنت هةذه اخملالفةات اخالقيةة ‪ ،‬غةري اقصةادية ‪،‬‬
‫غري فعاةل أو غري مؤثرة‪.‬‬
‫‪ .2‬معليات التقيمي املنفصةل‬
‫يتوقةةف نطةةاق معليةةات التقيةةمي املنفصةةةل ومةةدى تكرارهةةا بصةةفة اساسة ية عةةىل تقيةةمي اخملةةاطر وفعاليةةة‬
‫اجراءات املراقبة املس مترة ‪ .‬وتتناول معليات تقيمي منفصةل حمددة تقيةمي فعاليةة نظةام الرقابةة ادلاخليةة مبةا يةؤمن‬
‫حتقيق الرقابة ادلاخلية للنتاجئ املرجوة استنادا اىل اساليب واجةراءات حمةددة مسة بقا‪.‬وجيب ابةالغ املسة توى‬
‫الاداري عن جوانب القصور يف الرقابة ادلاخلية‪.‬‬

‫ووفقا لتقرير ‪ COSO‬فان تا املكوانت تعت مقاييس ميكن عىل أساسها تقيمي فعالية نظةم الرقابةة ادلاخليةة‪،‬‬
‫كم أهنا تتضمن اإرشادات تطبيقية خبصوص العوامل الةيت ميكةن أن تؤخةذ يف الاعتبةار عنةد تقيةمي فعاليةة نظةم‬
‫الرقابة ادلاخلية ابملؤسسة‪ ،‬وإاشارة اإىل ذكل الإرشاد التطبيقي ل يتضمن قاةة شةامةل بةلك تةا العوامةل‪ ،‬وانةه‬
‫درد نقطة بداية‪ ،‬وان بعض تا العوامل غري موضوعية بدرجة عالية وتتطلب ممارسة درجةة كبةرية مةن التقةدير‬
‫الشصيص‪.‬‬

‫ان وضع النظمة الرقابية وتطويرها هو أحد مس وليات الإدارة املهمة‪ .‬وتقوم الإدارة مبراقبة أداء النشةطة‬
‫الرقابية للتأكد من أهنا تعمل وفق الغرض مهنا وأنه ي تعديلها بطريقة مالةة ملقابةل التغري يف الظروف‪.‬‬

‫واملراقبة يه معلية تقةومي جةودة أداء الرقابةة ادلاخليةة مبةرور الوقةت‪ .‬ويه تتضةمن تقةومي تصةممي وتنفيةذ‬
‫النشطة الرقابية أول بأول واختاذ أي اإجةراءات تصةحيحية‪ .‬وية حتقيةق ذكل عةن طريةق أنشةطة مسة مترة‪ ،‬أو‬
‫اإجراء تقوميات مس تقةل أو عن طريق امجلع بني السلوبني‪ .‬ويف كثري من املنشأت يقوم املدقق ادلاخةيل للمنشةأة‬
‫أو أفراد يقومون بنفس الو‪،‬يفة ابملسامهة يف مراقبة الداء داخل املنشأة‪ .‬وقد تشةمل مراقبةة النشةطة الرقابيةة‬
‫اس تخدام معلومات من مصةادر خارجيةة ممةل شةاكوى الةزابئن وتعليقةات اجلهةات الرقابيةة الةيت تةوحض وجةود‬
‫مشالك أو تلقي الضوء عىل نواح حتتاج اإىل حتسني‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪70‬‬

 ‫ينبغي مراقبة اإدارة خماطر اجلهات لتقيمي أداء عنارصهةا عةىل مةر الةزمن‪ .‬وميكةن حتقيةق ذكل عةن طريةق‬
‫املراقبة املس مترة للنشطة والتقياميت املنفصةل أو مز من الثنني‪ .‬تس تدعي أوجه القصور يف نظام اإدارة خماطر‬
‫اجلهات رضورة الإبالغ عهنا اإىل مس توى الإدارة املناسب اب إلضافة اإىل الإبالغ عن المور اجلدية وتقدمي تقارير‬
‫عهنا ل إالدارة العليا أو دلس الإدارة دف حتسني أداء اجلهة‪.‬‬

‫قد تتغري أهداف اجلهة مبرور الزمن‪ .‬ومن املرحج أيضا أن تتغري حافظة اخملاطر اليت تواهجها اجلهة وأمهيهتا‬
‫النسبية مبرور الزمن‪ .‬حيث أن الاس تجابة للمخاطر اليت اكنت ذات فعالية يف السابق قد تصةبح غةري فعةاةل أو‬
‫يس تحيل تنفيذها يف الوقت احلايل‪ ،‬و قد تصبح النشطة الرقابية اقل فعالية أو تزول أمهيهتا‪ .‬ذلا حتتاج الإدارة‬
‫ملراقبة فعالية نظام اإدارة اخملاطر ابس مترار من اجل حتديد مدى فعالية النظام ومدى مالةته‪.‬‬

‫ختتلف معلية تقيمي فعالية اإدارة اخملاطر يف النطاق والتكرار ‪ ،‬وهذا يتوقف عةىل أمهيةة مجموعةات اخملةاطر‬
‫وأمهية الاس تجابة للمخاطر والرقاابت ذات الصةل يف اإدارة تا اخملاطر‪ .‬عندما تتخذ الإدارة القرار لإجراء تقيمي‬
‫شامل لإطار اإدارة اخملاطر‪ ،‬ينبغي توجيه الاهامتم ملعاجلة لك جوانب هذه العملية مبةا فهيةا حتديةد الإسةرتاتيجية‪.‬‬
‫ومع ذكل‪ ،‬تشلك النشطة الإدارية املنتظمة ممل حتديث جسالت اإدارة اخملاطر و" ة سةالمة" الإجةراءات‬
‫التنظميية والتشغيلية جزءا من مراقبة معلية اإدارة اخملاطر‪.‬‬
‫‪ .1‬التقوميةةات املسة مترة واملنفصةةةل‪ :‬التقوميةةات املسة مترة أو املنفصةةةل تسةمح لة إالدارة بتحديةةد اإن اكنةةت الرقابةةة‬
‫ادلاخلية تقوم بو‪،‬يفهتا أم ل‪.‬‬
‫‪ .2‬تقارير الإبالغ‪ :‬نواق الرقابة ادلاخلية ي حتديدها وإابالاها يف وقهتةا للطةراف املسة وةل لختةاذ الإجةراء‬
‫التصحيحي‪.‬‬

‫الاممةل املمتة حول لك هدف من الاهداف واملكوانت‬

‫‪71‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫ممال‪ )5( :‬حمية الافول‬
‫دلى البدلية بعض املس تودعات واخملازن زمس تودعات الوقود‪.‬وتفتيض الس ياسة املتبعة عىل ان تةا اللةوازم يه‬
‫لالس تخدامات البدلية فقط وليست لالس تخدامات الشصصية‪.‬‬
‫ّ‬
‫ويوحض المنوذج ادانه تقرير الإدارة عن فعالية الرقابة ادلاخلية‬
‫املعلومات والتصال املراقبة‪ /‬املتابعة‬ ‫تقدير اخملاطر النشطة الرقابية‬ ‫بيئة الرقابة‬
‫مراقبة تفتيش ية‬ ‫ان تقةةارير البضةةاعة‬ ‫لتصفيةةف ااثر اخملةةاطر‬ ‫توجةةد خمةةاطر‬ ‫تكةةةون س ياسةةةات‬
‫ومعليةةات جةةرد‬ ‫التالفةةةة والفروقةةةات‬ ‫يتعةةني انشةةاء اس ة يجة‬ ‫مةةةةن حمةةةةاوةل‬ ‫املةةةةوارد البرشةةةةية‬
‫مفةةةةةةةةةةةةةا ء‬ ‫اليت لوحظةت اثنةاء‬ ‫واسةةةةةةةةوار حةةةةةةةةول‬ ‫الةةبعض القيةةام‬ ‫اجلديةةةدة فعةةةاةل يف‬
‫ومتابعة حلراكت‬ ‫اجلةةةةرد وموافقةةةةات‬ ‫املسة تودعات واخملةةازن‬ ‫برسةةةقة مةةةواد‬ ‫تعةةةةةني الكةةةةةوادر‬
‫املسةةةةة تودعات‬ ‫واجراءات الامةداد‬ ‫او وضةةةةةةع حراسةةةةةةة‬ ‫واسةةةة تخدامه‬ ‫الو‪،‬يفيةةةة املالةةةةة‬
‫او اختبةةةةةارات‬ ‫(الرشةةةةةاء)ميكهنا ان‬ ‫مةةزودة بةةالكب عةةىل‬ ‫بطريقةةةة غةةةري‬ ‫والاحتفاس ةا يف‬
‫لمن اخملازن‪.‬‬ ‫تةةةةةوفر معلومةةةةةات‬ ‫املةةةةداخل ‪،‬ومراجعةةةةة‬ ‫مالةةةةةةةةةةة او‬ ‫سبيل تشغيل تا‬
‫تتعلق ابلهدف‪.‬‬ ‫جسالت اللوازم‪.‬‬ ‫بيعها‪.‬‬ ‫املس تودعات‪.‬‬

‫حتتفظ الرشكة بنظام للرقابة ادلاخلية عىل اإعداد التقةارير املاليةة‪ ،‬مت تصةمميه ليةوفر تأكيةدا معقةول لإدارة‬
‫ملكةوانت التاليةة‪:‬‬
‫الرشكة وجمللس الإدارة خبصوص اإعداد قوامئ ماليةة ميكةن الوثةوق ةا و يتكةون النظةام مةن ا ّ‬
‫(بيئة الرقابة‪ ،‬وتقيمي اخملاطر‪ ،‬وأنشطة الرقابة‪ ،‬واملعلومات والتصالت واملتابعة)‪.‬‬

‫وتتضمن بيئة الرقابة هيالك تنظمييا موثقا وحتديدا للمسؤوليات وس ياسات وإاجراءات حمةددة تتضةمن‬
‫قواعد للسلوك لتشجيع املمرسات الخالقية‪ ،‬واختيار وتدريب وتطوير املوارد البرشية‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪72‬‬

 ‫ويتةابع املةدققون ادلاخليةون تشةغيل نظةام الرقابةة ادلاخليةة وإاعةداد تقةارير خبصةوص ذكل تتضةمن نتةةاجئ‬
‫توفياهتم ل إالدارة وجمللس الإدارة وتتخذ الإجراءات املصححة الالزمة ملعاجلة أوجةه القصةور يف الرقابةة الةيت ية‬
‫اكتشافها وحتسني النظام‪ .‬وتقوم جلنة التدقيق اليت تتكون ابلاكمل مةن مةدراء خةارجيني اب إلرشاف عةىل معليةة‬
‫اإعداد التقارير املالية‪.‬‬

‫وتوجد حدود مالزمة لفعالية أي نظام رقابة داخلية تتضمن اإماكنية التواطؤ بني العاملني أو ختطي نوايح‬
‫الرقابة بواسطة بعض املس توايت الإدارية‪ .‬وابلتايل فاإن أي نظام فعال للرقابة ادلاخليةة يسة تطيع أن يةوفر فقةط‬
‫تأكيدا معقول خبصوص اإعداد القوامئ املالية‪ .‬وابلإضافة ذلكل فاإن فعالية نظام الرقابةة ادلاخليةة ميكةن أن تتغةري‬
‫نتيجة تغيري الظروف‪.‬‬

‫وقد قيّمت الرشكة نظاهما للرقابة ادلاخلية عىل اإعداد التقارير املالية يف ‪ 00 /12/31‬وفقا ملقاييس نظةام‬
‫الرقابةة ادلاخليةة الفعةال عةىل اإعةداد التقةارير املاليةة الةيت تضةمهنا تقريةر ) ‪ COSO‬الرقابةة ادلاخليةة – اإطةار‬
‫متاكمل)‪ .‬واعامتدا عىل ذكل التقيمي تعتقد الرشكة أن نظاهما للرقابة ادلاخلية عىل اإعداد التقارير املالية يتوافق مةع‬
‫تا املقاييس يف ‪.00 /12/31‬‬

‫رشكة ‪XYZ‬‬

‫توقيع املدير التنفيذي‬

‫‪73‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫التارخي‬ ‫توقيع املدير املايل‬

‫ويف حاةل وجود نقا ضعف هامة فاإنه يشار اإلهيا عن طريق تعديل امجلةل الخرية‬
‫ومن خالل ما تقدم ابرى أن تقوم الإدارة ابإعداد تقرير عن فعالية نظام الرقابة ادلاخليةة يف املنشةأة حبيةث‬
‫يعمل ذكل عىل تدعمي فعالية ذكل النظام وجيعل اإماكنية حةدو الغةا الإداري والتالعةب يف اإعةداد التقةارير‬
‫املالية أكرث فعوبة‪.‬‬

‫أما من انحية مكوانت التقرير فال توجد حاجة اإىل اإعةداد منةاذج منطيةة لتقةارير الإدارة عةن فعاليةة نظةام‬
‫الرقابة ادلاخلية ولكن من الرضوري أن يتضمن التقرير ما ييل‪:‬‬
‫اعرتاف اإدارة املنشأة مبسؤوليهتا عن تصممي نظام فعال للرقابة ادلاخلية عىل اإعداد التقارير املاليةة‪ ،‬واحملافظةة‬ ‫‪‬‬

‫عليه‪.‬‬
‫اإشارة اإىل أن نظام الرقابة ادلاخلية يوفر تأكيدا معقول وليس مطلقا ضد التحريفات أو اخلسائر اجلوهرية‬ ‫‪‬‬

‫اليت تع ّ عهنا التقارير املالية‪.‬‬

‫تغري فعالية النظام نتيجة تغري الظروف وعدم ضمن اس مترار تا الفعالية يف املس تقبل‪.‬‬ ‫اإماكنية ّ‬ ‫‪‬‬

‫فعالية النظام‪.‬‬ ‫اإشارة اإىل دور املدققني ادلاخليني خبصوص‬ ‫‪‬‬

‫اإشارة اإىل مكوانت النظام اليت توجد فهيا نقا ضعف‪ ،‬ووفف تا النقا اإذا اكنت هامة‪ ،‬وحتديةد مةا‬ ‫‪‬‬

‫اإذا اكنت تتلقى الاهامتم املالمئ من الإدارة ‪.‬‬

‫حتديدا للمقاييس اليت ي عىل أساسها تقومي فعالية نظام الرقابة ادلاخلية‪ ،‬ورأي الإدارة عن فعالية النظام‪.‬‬ ‫‪‬‬

‫تواقيع لك من املدير التنفيذي واملدير املايل للمنشأة‪.‬‬ ‫‪‬‬

‫ورخي اإعداد التقرير‪.‬‬ ‫‪‬‬

‫وتصف كوسو ‪ COSO‬أمه مكون وهو البيئة الرقابية عىل النحو التايل‪:‬‬
‫البيئة الرقابية‪ :‬اإن أساس أي معل جتاري هو القاةون عليه – سمهتم الفردية من الااهة والقمي الخالقية‬

‫أساسيات التدقيق الداخلي‬ ‫‪74‬‬

 ‫والكفاءة‪ ،‬والبيئة اليت يعملون فهيا‪ .‬ومه احملرك اذلي يدفع املؤسسة والساس اذلي يس تقر عليه لك‬
‫يشء‪.‬‬
‫حتتوي البيئة الرقابية عىل س بعة عوامل يه‪:‬‬
‫‪ ‬الااهة والقمي الخالقية‪.‬‬
‫‪ ‬الالزتام ابلكفاءة‪.‬‬
‫‪ ‬دور دلس الإدارة وجلنة التدقيق‪.‬‬
‫‪ ‬فلسفة الإدارة وأسلوب العمل‪.‬‬
‫‪ ‬الهيلك التنظميي‪.‬‬
‫‪ ‬حتديد املسؤوليات و تفويض الصالحيات‪.‬‬
‫‪ ‬س ياسات وممارسات املوارد البرشية‪.‬‬

‫ويتقارب تعريف الرقابة ادلاخلية مضن فهرس "املعايري ادلولية للممرسة املهنية للتدقيق ادلاخيل" كثريا مع‬
‫تعريف كوسو ‪ COSO‬اإذ اإن العوامل اليت يدرهجا الفهرس يف تعريف البيئة الرقابية متطابقة‪ ،‬ابس تثناء عوامل‬
‫دلس الإدارة‪.‬‬

‫البيئة الرقابية‬
‫اجتاه وأفعال دلس الإدارة والإدارة فامي يتعلق بأمهية الرقابة يف املؤسسة‪ .‬توفر البيئة الرقابية الانضبا‬
‫والهيلك الالزمني لتحقيق الهداف الساس ية لنظام الرقابة ادلاخلية‪ .‬وتشمل البيئة الرقابية العنارص التالية‪:‬‬

‫الااهة والقمية الخالقية‪.‬‬ ‫‪‬‬

‫فلسفة الإدارة وأسلوب العمل‪.‬‬ ‫‪‬‬

‫الهيلك التنظميي‪.‬‬ ‫‪‬‬

‫حتديد املسؤوليات و تفويض الصالحيات‪.‬‬ ‫‪‬‬
‫س ياسات وممارسات املوارد البرشية‪.‬‬ ‫‪‬‬
‫كفاءة العاملني‪.‬‬ ‫‪‬‬

‫‪75‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫اإن ألفا‪،‬ا ممل الااهة والقمي الخالقية والكفاءة والاجتاه والفلسفة وأسلوب العمل تبني أن حمرك كوسو‬
‫‪ COSO‬اذلي يدفع املؤسسة والساس اذلي يس تقر عليه لك يشء يشمل أش ياء كثرية غري مادية‪.‬‬

‫كم س بق وانقش نا يف الفصل الول‪ ،‬فقد أفبحت العنارص غري امللموسة واذلاتية بطبعها يف الرقابة ادلاخلية‬
‫يطلق علهيا الضوابط املعنوية (‪ )Soft Controls‬واليت ل ميكن اختبارها ابلطرق التقليدية للتدقيق ممل‪ :‬رمس‬
‫خرائط التدفق‪ ،‬وأساليب مجع العينات‪ ،‬واختبار املعامالت اليت تركز بصورة حرصية عىل اإجراءات الرقابة‬
‫املادية (‪ .)Hard Controls‬مع ذكل فقد اكن اهنيار الضوابط املعنوية مسؤول عن التقارير املالية املضلةل يف‬
‫مثانينيات القرن العرشين وأوائل القرن احلادي والعرشين‪ .‬وابملثل فقد اكنت ثقافة اجلشع يف وول سرتيت يه‬
‫املسؤوةل عن اهنيار النظام املايل العاملي يف عام ‪.2008‬‬

‫بيامن اكن اإطار كوسو ‪ COSO‬يو ِّفّر مهنجية أقوى للرقابة ادلاخلية فرض كذكل حتداي كبريا عىل همنة‬
‫التدقيق ادلاخيل‪ .‬اإذ اإنه لتوفري أعىل مس توى من التأكيد اكن املدققون ادلاخليون حباجة لدوات وأساليب‬
‫جديدة؛ وسوف نناقا هذه الساليب اجلديدة – اليت تعمتد عىل التقيمي اذلايت للمخاطر والرقابة – يف الفصل‬
‫الثالث‪ .‬حيث مت اإفساح اجملال أمام التدقيق ادلاخيل ليصبح الضمنة اليت هت ابلسرتاتيجيات والداة‬
‫الاستشارية اليت نعرفها اليوم‪.‬‬

‫وإاجمل ميكن القول أن الضوابط املعنوية دلى أي مؤسسة متثل ثقافهتا مكؤسسة‪ .‬والثقافة – اإضافة اإىل‬
‫عوامل الرقابة امللموسة عىل مس توى املؤسسة بأمكلها ممل الهيلك التنظميي– متثل البيئة الرقابية ويه أمه‬
‫عنارص الرقابة‪.‬‬

‫ومع أن البيئة الرقابية يه الساس فاإن البناء عىل هذا الساس هو اجلزء النشط من معلية الرقابة اليت‬
‫تعكسها العنارص الربعة الخرى‪ .‬وميكن تلصي هذه العنارص ابإ جياز كم ييل‪:‬‬

‫تقيمي اخملاطر‪ :‬جيب عىل املؤسسة أن تعرف أهدافها اليت جيب حماذاهتا بشلك عامودي من أعىل لسفل‬ ‫‪‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪76‬‬

 ‫و بشلك افقي خالل املؤسسة‪ .‬كم جيب عىل املؤسسة أن تقوم بطريقة مهنجية بتحديد اخملاطر اليت‬
‫هتدد حتقيق هذه الهداف وتقيميها وإادارهتا‪.‬‬
‫أنشطة الرقابة‪ :‬جيب تطبيق س ياسات وإاجراءات رقابية لضمن التنفيذ الفعال لإجراءات اإدارة اخملاطر‪.‬‬ ‫‪‬‬

‫املعلومات والتصال‪ :‬و هم رضوري لي يقوم الفراد بتنفيذ وإادارة ورقابة العمليات بفاعلية‪.‬‬ ‫‪‬‬

‫املراقبة‪ :‬املراقبة املس مترة رضورية لي تس تطيع املؤسسة التفاعل مع التغري بديناميكية‪ .‬والتقياميت‬ ‫‪‬‬
‫املس تقةل رضورية لتوفري تأكيد أن العنارص قد مصمت جيدا وتعمل بفاعلية‪.‬‬

‫هذه املكوانت الربعة يه جوهر معلية اإدارة اخملاطر‪ .‬وقد استشهد معظم املهمتني ابإطار كوسو ‪COSO‬‬
‫بوففه واحدا من أمه بواعث حركة اإدارة خماطر املؤسسة اليت سنناقشها لحقا يف هذا الفصل‪.‬‬

‫مناذج رقابية أخرى‬

‫مت اإدراج مفاهمي اإطار كوسو ‪ COSO‬يف أول قانون للحومكة يف اململكة املتحدة يف عام ‪( 1992‬ويشار‬
‫اإليه معوما ابمس "تقرير اكدبوري" ‪ )Cadbury Report‬ويف "معايري الرقابة" للمعهد الكندي للمحاس بني‬
‫املعمتدين (ويشار اإليه معوما ابمس "تقرير كوكو" ‪ )CoCo Report‬يف عام ‪ 1995‬ويف عدد من تقارير الرقابة‬
‫ادلاخلية الخرى وترشيعاهتا يف العديد من ادلول منذ ذكل احلني‪.‬‬

‫لقد جشع قانون ساربيا‪-‬أوكسيل (‪ )Sarbanes-Oxley‬لعام ‪ 2002‬يف الولايت املتحدة اس تخدام مفاهمي‬
‫كوسو ‪ .COSO‬وقد اشرتطت مادة ‪ 404‬من هذا القانون تقيمي الإدارة للرقابة ادلاخلية عىل التقارير املالية عىل‬
‫أن يشهد عىل ذكل رشكة تدقيق احلساابت للرشكة‪ .‬كم اندى القانون ابإنشاء دلس ل إالرشاف عىل حماس بة‬
‫الرشاكت احلكومية تتوىل اإفدار "معايري" التدقيق‪ .‬واكنت املعايري اليت تتعلق ذه الشهادة تقتيض من الإدارة‬
‫أن تعمتد يف تقيميها عىل اإطار كوسو أو أي اإطار أخر يس توعب مجيع املواضيع العامة لكوسو ‪.COSO‬‬

‫‪77‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫وعىل الرمغ من أن قانون ساربيا‪-‬أوكسيل ‪ Sarbanes-Oxley‬ل ينطبق اإل عىل الرشاكت العامة يف‬
‫الولايت املتحدة فقد مت وضع قوانني وترشيعات مماثةل يف ادلول الخرى‪ .‬كم تبنَّت كثري من املؤسسات‬
‫احلكومية واملؤسسات غري الرحبية قواعد مماثةل‪ .‬وقد اس تخدمت معظم املؤسسات اإطار كوسو ‪COSO‬‬
‫بوففه من معايري تقيمي هذه املؤسسات‪.‬‬

‫ومن املفارقات أن مادة ‪ 404‬قد أ َّدت يف البداية اإىل زايدة الرتكزي عىل اإجراءات الرقابة مع تدين الاهامتم‬
‫ابلبيئة الرقابية لكن مع مرور الوقت شق مفهوم الرقابة ادلاخلية ‪ -‬اذلي أدركه املدققون ادلاخليون التقدميون‬
‫منذ زمن طويل‪ -‬طريقه اإىل اجلهود املبذوةل لالمتثال لقانون ساربيا‪-‬أوكسيل والترشيعات املمثةل‪ .‬تفكر‬
‫املؤسسات واجلهات التنظميية يف خمتلف أحناء العامل بصورة مزتايدة يف الرقابة ادلاخلية يف ضوء اإطار كوسو‬
‫‪ COSO‬وتطبقه عىل مجيع فئات الهداف وليس عىل التقارير املالية وحدها‪.‬‬

‫عىل الرمغ من أن اإطار كوسو ‪ COSO‬قد نشأ يف الولايت املتحةدة فةاإن مفاهميةه تعةد مركزيةة فةامي يتعلةق‬
‫بامنذج الرقابة السلطوية وترشيعاهتا يف خمتلف أحناء العامل ومن الإنصاف أن نعده منوذج الرقابة املقبول عامل ًّيا ‪.‬‬

‫توجهيات أخرى من كوسو ‪ COSO‬بشأن الرقابة ادلاخلية‬

‫لقةةد اكن تقريةةر كوسةةو ‪ COSO‬الول ميثةةل اإطةةارا مفاهمي ًّيةا وهةةو يقةةدم للمسة تخدمني مجموعةةة مةةن املفةةاهمي‬
‫واملصطلحات النفيسة لكنه ليس دليال للتطبيق ومنوذجا أدوات التقيمي ا َلذل ْين مت تقدميهم يف اجملدل الثاين منةه مةا‬
‫هم اإل نقطتا انطالق حممتلتان ويرتك اخليار للمس تخدمني يف قسةم كبةري منةه ليقةرروا مةدى أمهيةة تطبيةق هةذه‬
‫املفاهمي‪.‬‬

‫لقد أوجد النضال املبكر لالمتثال لقانون ساربيا‪-‬أوكسيل حاجة دلليل ذي خصوفية أك وقد أفبح ذكل‬
‫يحا بصفة خافة مع اقرتاب الوقت اذلي أفبح فيه اإلزاميا عىل الرشاكت الفةغر الامتثةال للقةانون واكنةت‬
‫هذه الرشاكت تفتقر اإىل موارد للتوثيق والاختبار الشامل لإجراءات الرقابة اليت اكنت ت يف الايم الوىل مةن‬
‫الامتثال‪ .‬أنتج معهد التدقيق ادلاخيل مطبوعات عديدة توفر توجهيات خافة بناء عىل فهم يح لإطار كوسو‬

‫أساسيات التدقيق الداخلي‬ ‫‪78‬‬

 ‫‪ COSO‬لكن مل تكن هذه التوجهيات مرجعية ومل يكن لها تأثري كبري عىل هجود الامتثال‪.‬‬

‫يف عام ‪ 2006‬نرشت كوسو ‪" COSO‬الرقابة ادلاخلية عةىل التقةارير املاليةة – توجهيةات للرشةاكت العامةة‬
‫الصغرية"‪ .‬وعىل الرمغ من عنوانه ومبادئه العرشين واملهنجيات لتطبيق لك مبدأ والمةمةل عةىل طريقةة تطبيقهةا‪،‬‬
‫فاإن فلهتا مجيعا يه نفسها ابلنس بة للمؤسسات الكبرية وباكفة فئات الهداف‪ .‬مث يف عام ‪ 2009‬نرشت كوسةو‬
‫‪" COSO‬توجهيات بشةأن مراقبةة نظةم الرقابةة ادلاخليةة"‪ .‬و تةا الةوثيقتني مفيةد للمةدققني ادلاخليةني ل سة امي‬
‫لنشطة التدقيق ادلاخيل اجلديدة اليت حتتاج اإىل توجهيات ملموسة‪.‬‬

‫مناذج اإدارة اخملاطر‬

‫اإدارة خماطر املؤسسة ‪– Enterprice Risk Management‬‬
‫الإطار املتاكمل‬
‫كم س بق أن ذكران فقد ساعد اإطار كوسو ‪ COSO‬للرقابة يف دفع احلركة ابجتاه اإدارة اخملاطر عىل مسة توى‬
‫املؤسسة بأمكلها‪ .‬ومع تزايد الاهامتم وجتربة املؤسسات ملهنجيات عديدة تبني أنه اكن يوجد التبةاس بةني املفةاهمي‬
‫واملصطلحات فامي بيهنا‪ .‬اكن ذكل يش به ما اكن عليه احلال قبل اإطةار كوسةو ‪ COSO‬الرقةايب عنةدما اكن لةلك‬
‫مجموعة فهمها اخلاص للرقابةة ادلاخليةة‪ .‬لإجيةاد فهةم مشةرتك ومصةطلحات مشةرتكة خبصةوص اإدارة اخملةاطر عةىل‬
‫مس توى املؤسسة بأمكهل قامت كوسو ‪ COSO‬يف البداية بتطبيةق منوذهجةا الرقةايب عةىل مؤسسةة متةارس اإدارة‬
‫اخملاطر عىل مس توى املؤسسة بأمكلها وتعديل المنوذج وفقا ذلكل‪ .‬اكنت النتيجة عبارة عن اإطار أكرث مشول اكن‬
‫يس توعب الإطار الرقايب ولكنه مل يكن حيل حمهل‪.‬‬

‫عةرف‬
‫مث نرشت كوسو ‪ COSO‬عام ‪" 2004‬اإدارة خمةاطر املؤسسةة – الإطةار املتاكمةل"‪ .‬وهةذا الإطةار يُ ّ ِّ‬
‫اإدارة اخملاطر بطريقة مماثةل للطريقة اليت يُ ّ ِّعرف ا "الرقابة ادلاخلية – الإطةار املتاكمةل" الرقابةة ادلاخليةة‪ ،‬عةدا‬
‫عن تطبيق اإدارة خماطر املؤسسة يف بيئة اإسرتاتيجية وعىل مس توى املؤسسة كةلك‪ .‬كةم أن الغةرض منةه اإدارة‬
‫اخملاطر حبيث تصبح يف حدود مدى قابلية املؤسسة لتحمةل اخملةاطر‪ .‬كةم يضةيف هةذا الإطةار فئةة رابعةة مةن‬
‫الهةةداف ويه فئةةة "الهةةداف الإسةرتاتيجية" ويُ َو ِّّسةع هةةدف اإعةةداد التقةةارير املاليةةة ليشةمل تقةةارير العمليةةات‬

‫‪79‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫ادلاخلية واخلارجية والتقارير املالية‪ .‬وت ّ ُِّعرف كوسو ‪ COSO‬اإدارة خماطر املؤسسة عىل النحو التايل‪:‬‬

‫"اإدارة خماطر املؤسسة يه معلية ت من جانب دلس اإدارة املؤسسة وإادارهتا وغريمه من‬
‫املو‪،‬فني ي تطبيقها يف بيئة اإسرتاتيجية دخل املؤسسة كلك‪ ،‬دف حتديد الحدا احملمتةل اليت‬
‫قد تؤثر يف املؤسسة وإادارة اخملاطر لتكون يف حدود اإطار مقدار اخملاطر اليت ميكن لتوفري‬
‫ضمانت معقوةل فامي يتعلق بتحقيق أهداف املؤسسة‪".‬‬

‫كم أن الاطار يف الهناية يتوسع من املكوانت امخلسة للرقابة ادلاخلية ليشمل املكوانت الامثنية لإدارة خمةاطر‬
‫املؤسسة وذكل عىل النحو التايل‪:‬‬

‫البيئة ادلاخلية‪ :‬ويه البيئة الرقابية مع املفاهمي الإضافية اليت تمتثل يف فلسفة اإدارة اخملاطر وقابلية حتملها‬ ‫‪‬‬
‫ومتثل أساسا لطريقة فهم وتعامل العاملني ابملؤسسة مع اخملاطر والرقابة‪.‬‬
‫حتديد الهداف‪ :‬وهذا هو الول بني املكوانت الربعةة الةيت حيتودهةا عنرصة "تقيةمي اخملةاطر" يف اإطةار‬ ‫‪‬‬
‫الرقابةةة وابلنس ة بة لي مؤسسةةة متةةارس اإدارة اخملةةاطر عةةىل مس ة توى املؤسسةةة بأمكله ةا تكتسةةب هةةذه‬
‫العنارص أمهية تكفي لن تكون مكوانت مس تقةل يف حد ذاهتا‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪80‬‬

 ‫حتديد احلد ‪ :‬من الفروق ذات املغزى أن التعرف عىل اخملاطر يصبح التعرف عىل احلد ‪ .‬وقد‬ ‫‪‬‬
‫تكون الحدا عبارة عن خماطر أو فرص‪ .‬وي رد الفرص مرة أخرى اإىل معلية حتديد‬
‫الاسرتاتيجيات أو الهداف أما اخملاطر في حتويلها اإىل اب معلية اإدارة اخملاطر‪.‬‬

‫تقيمي اخملاطر‪ :‬ي تقيمي اخملاطر من حيث احامتلهتا وتأثريها‪ ،‬سواء عىل أساس فطري أو متبق‪.‬‬ ‫‪‬‬

‫الاس تجابة للمخاطر‪ :‬تشمل الاس تجابة للمخاطر وجتنب اخملاطر و‪/‬أو قبولها واحلد مهنا ومشاركهتا‪.‬‬ ‫‪‬‬
‫وجيب أن حتاذي الاس تجابة للمخاطر املتبقية مع قدرة املؤسسة عىل حتمل اخملاطر وقابليهتا ذلكل‪.‬‬

‫أنشطة الرقابة‪ :‬جيب تطبيق س ياسات وإاجراءات لضمن التنفيذ الفعال إلجراءات اإدارة اخملاطر‪.‬‬ ‫‪‬‬

‫املعلومات والتصال‪ :‬و هم رضوري لي يقوم الفراد بتنفيذ وإادارة ورقابة العمليات ب‪.‬‬ ‫‪‬‬

‫املراقبة‪ :‬املراقبة املس مترة رضورية لي تس تطيع املؤسسة التفاعل مع التغري بديناميكية‪ .‬والتقياميت‬ ‫‪‬‬
‫املس تقةل رضورية لتوفري تأكيد بأن العنارص قد مصمت بشلك جيد وتعمل ب‪.‬‬

‫حيتوي اجملدل الثاين من اإطار كوسو ‪ COSO‬لإدارة خماطر املؤسسة عىل مناذج لعدد من أدوات التقيمي‬
‫املفيدة ولكنه ممل سلفه عبارة عن اإطار مفاهميي وليس دليال للتطبيق‪ .‬وجد معظم العاملني ابإدارة اخملاطر‬
‫توجهيا معل ًّيا أك يف املعيار السرتايل النيوزيلندي لإدارة اخملاطر ‪ 4360‬واذلي نُرش يف عام ‪ 1999‬ومت حتديثه‬
‫يف عام ‪ .2004‬ويف عام ‪ 2009‬مت استيعاب هذا املعيار يف أول معيار عاملي حقيقي لإدارة اخملاطر وهو املعيار‬
‫أيزو ‪.31000‬‬

‫‪81‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫أيزو ‪ 31000 ISO‬اإدارة اخملاطر – املبادئ والإرشادات‬
‫تُعد املنظمة ادلوليةة للمقةاييس (أيةزو ‪ )ISO‬شة بكة مةن املعاهةد الوطنيةة للمقةاييس تنترشة يف ‪ 162‬دوةل‬
‫وتقوم ابإفدار معايري مقبوةل عامل ًّيا للصناعات والعمليات والنشطة الخرى‪ .‬واملعيةار أيةزو ‪ 31000 ISO‬لةيس‬
‫بنفس خصوفية معايري اليزو هذا لنه ين عىل أنه لي تكون اإدارة اخملاطر ف َّعةاةل جيةب تعةديلها مبةا يناسةب‬
‫جحم لك مؤسسة واجملةال العةامةل بةه والثقافةة والبيئةة القانونيةة ‪ /‬التنظمييةة‪ .‬كةم جيةب اسةتيعابه يف الس ياسةات‬
‫والإجراءات احلالية ل إالدارة واليت س تصتلف من مؤسسة لخرى‪ .‬وهو يوفر بدل من ذكل مجموعة من ‪ 11‬مبةدأ‬
‫جوهراي وإاطارا لإدارة اخملاطر ومعلية رفيعة املس توى رضورية لإدارة اخملاطر وفقا لفضل املمرسات‪.‬‬ ‫ًّ‬

‫جيةةب أن تنطبةةق املبةةادئ الحةةد عرش ة اجلوهريةةة ملعيةةار أيةةزو ‪ 31000 ISO‬عةةىل اكفةةة املس ة توايت يف‬
‫املؤسسة‪ .‬وتشمل هذه املبادئ أن اإدارة اخملاطر جيب أن ختلق القمية وحتمهيا وجيب أن تكون معدةل مبا يناسب‬
‫املؤسسة وأن تس توعب يف معليةات املؤسسةة وفةنع القةرار ةا وأن تكةون مهنجيةة وديناميكيةة ومتجاوبةة مةع‬
‫التغيري وأن تراعي العوامل البرشية والثقافية‪.‬‬

‫ويبني المنوذج ‪ 1-2‬العالقات بني هذه املبادئ وإاطار اإدارة اخملاطر ومعلية اإدارة اخملاطر‪.‬‬

‫وتصب هذه املبادئ اخلافة ابإدارة اخملاطر يف اإلزام والزتام قوي ومس تدام من جانب الإدارة‪ ،‬كةم هةو مبةني‬
‫يف مقة قسم الإطار يف منوذج ‪ .1-2‬وابتباع اجتاه السهم خالل اب هذا القسم يتفاعل الإلةزام مةع تصةممي اإطةار‬
‫اإدارة اخملاطر‪ .‬وبعد ذكل جيب تطبيق الإطار ومتابعته وتعديهل ابس مترار ليتناسب مع الظروف املتغرية كم جيةب‬
‫حتسينه ابس مترار‪.‬‬

‫مت توس ة يع لك عنرص ة مةةن عنةةارص مبةةادئ وإاطةةار ومعليةةة اإدارة اخملةةاطر ابلتفصةةيل يف املعيةةار أيةةزو ‪ISO‬‬
‫‪ 31000‬فعةةىل سةةبيل املثةةال يشةةمل تصةةممي اإدارة اخملةةاطر عنةةارص عديةةدة مهنةةا س ياسةةة لإدارة اخملةةاطر وتوزيةةع‬
‫للمسؤوليات وختصي موارد اكفية وحماذاة اإدارة اخملاطر مع أهداف املؤسسة وثقافهتا وأليات التصال ادلاخةيل‬
‫واخلاريج‪ .‬كم يبني املعيار ابلتفصيل ما ينبغي اإدراجه يف لك عنرص من هذه العنارص‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪82‬‬

 ‫منوذج ‪1-2‬‬
‫العالقات بني مبادئ وإاطار ومعلية اإدارة اخملاطر‬

‫توجد قيمة‬ ‫أ)‬

‫اإللزام وااللتزام‬
‫جزء ال يتج أز من‬ ‫ب)‬
‫تحديد السياق (‪)3-5‬‬ ‫عمليات المؤسسة‬
‫(‪)2-4‬‬
‫تقييم المخاطر (‪)4-5‬‬ ‫جزء من صنع‬ ‫ج)‬
‫القرار‬
‫التعرف على المخاطر‬ ‫تصميم إطار‬
‫(‪)2-4-5‬‬
‫االتصال والتشاور (‪)2-5‬‬ ‫تتعامل مع‬ ‫د)‬
‫البيان والمراجعة (‪)6-5‬‬

‫إلدارة المخاطر‬ ‫الغموض تعامالً‬

‫يحا‬
‫صر ً‬
‫(‪)3-4‬‬
‫تحليل المخاطر (‪)3-4-5‬‬ ‫منهجية ومنظمة‬ ‫هـ)‬
‫تطبيق إدارة‬ ‫التحسين‬ ‫وفي الوقت‬
‫المناسب‬
‫المخاطر‬ ‫المستمر لإلطار‬
‫تقييم المخاطر (‪)4-4-5‬‬ ‫تالئم المؤسسة‬ ‫و)‬
‫(‪)4-4‬‬ ‫(‪)6-4‬‬
‫تراعي العوامل‬ ‫ز)‬
‫متابعة‬ ‫البشرية والثقافية‬
‫التعامل مع المخاطر (‪)5-5‬‬ ‫تعمل على‬ ‫ح)‬
‫ومراجعة اإلطار‬
‫التحسين والتعزيز‬
‫(‪)4-4‬‬ ‫المستمر للمؤسسة‬

‫عملية إدارة المخاطر‬ ‫إطار إدارة المخاطر‬ ‫مبادئ إدارة المخاطر‬

‫(بند ‪)5‬‬ ‫(بند ‪)4‬‬ ‫(بند ‪)3‬‬

‫احلقةةوق حمفو‪،‬ةةة © أيةةزو‪ .‬مت طباعةةة هةةذه املةةادة مةةن املعيةةار أيةةزو ‪ 2009 :31000 ISO‬بترصة مةةن املعهةةد‬
‫المريي الوطين للمقاييس لصاحل املنظمة ادلولية للمقاييس (أيزو)‪ .‬ل جيةوز نسةأ أو اإنتةاج أي جةزء مةن هةذه‬
‫املادة بأي فورة سواء اكنت بواسطة نظام اإلكرتوين لالسرتجاع أو غري ذكل ول جيوز نرشها عةىل الإنرتنةت أو‬
‫عىل أي ش بكة عامة أو بواسطة المقار الصناعية أو غري ذكل‪ ،‬اإل مبوافقةة خطيةة مسة بقة مةن املعهةد المةريي‬
‫الةةوطين للمقةةاييس‪ .‬ميكةةن رشاء نسةةأ مةةن املعيةةار أيةةزو ‪ 2009 :31000 ISO‬مةةن املعهةةد الم ةريي الةةوطين‬
‫للمقةاييس وعنوانةه (‪ )25 West 43rd Street, New York, NY 10036‬هةةاتف ر ‪642-4900‬‬
‫(‪ ،)212‬املوقع الإلكرتوين‪.http://webstore.ansi.org :‬‬

‫‪83‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫جيب تفصيل اإدارة اخملاطر مبا يتناسب مع املؤسسة وجيب استيعابه يف اإدارهتةا وثقافهتةا ومعلياهتةا‪ .‬ولهةذا كةم‬
‫ابرى يف قسم العملية يف منوذج ‪ ،1-2‬جيب أن جيري التصةال والتشةاور مةع اكفةة اجلهةات ادلاخليةة واخلارجيةة‬
‫فاحبة املصلحة يف لك مرحةل من مراحل العملية‪ .‬وابملثل جيب متابعة العملية ومراجعهتا ابس مترار‪.‬‬

‫تبدأ العملية نفسها بتعريةف السة ياقني ادلاخةيل واخلةاريج لإدارة اخملةاطر ‪ -‬وكةذكل معةايري اخملةاطر‪ -‬تعريفةا‬
‫واحضا‪ .‬ويشمل الس ياق اخلاريج أش ياء ممل البيئة التنظميية والتنافسة ية بيةامن يشةمل السة ياق ادلاخةيل أشة ياء‬
‫ممل ثقافة املؤسسة وأهدافها ومعلياهتا‪ .‬كم تشمل معةايري اخملةاطر أشة ياء ممةل طريقةة حتديةد مسة توى اخملةاطر‬
‫ومس توى اخملاطر املقبول‪.‬‬

‫ومتثل اإدارة اخملاطر مضن هذين الس ياقني قلب معلية اإدارة اخملاطر وتبدأ بتحديةد أحةدا اخملةاطر الةيت قةد‬
‫تؤثر عىل حتقيق الهداف ومصدر لك حد وسببه والعواقب الإجيابية أو السةلبية احملةمتةل حلدوثةه‪ .‬وبعةد ذكل‬
‫جيري حتليل لك حد خماطر يف ضوء احامتل حدوثه وأمهيةة عواقبةه‪ .‬بنةاءا عةىل هةذا التحليةل ُحتلةل أحةدا‬
‫اخملاطر مبقارابهتا مبعايري اخملاطر اليت مت حتديدها سابقا وبناءا عىل هذا التقيمي ي ترتيب اخملةاطر وفقةا لولويةة لك‬
‫مهنا وي اختيار طريقة مناس بة للتعامل مع اخملاطر‪ .‬يشمل التعامةل مةع اخملةاطر (ويطلةق علهيةا يف اإطةار كوسةو‬
‫‪" COSO‬الاسة تجابة للمخةةاطر") خيةةارات ممةةل جتنةةب اخملةةاطر أو تقبّلهةةا أو احلةد مةةن احةةامتلت حةةدوهثا و‬
‫عواق اا أو مشاركهتا مع طرف أخر أو زايدهتا ملالحقة فرفة معينةة‪ .‬وجيةب أن يةؤدي التعامةل مةع اخملةاطر اإىل‬
‫جعل اخملاطر املتبقية يف حدود قدرة املؤسسة عىل حتمل اخملاطر‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪84‬‬

 ‫يعرف املعيةار أيةزو ‪ 31000 ISO‬مصةطلحات اإدارة اخملةاطر الةيت‬‫كم هو احلال مع اإطار كوسو ‪ّ ،COSO‬‬
‫متاثل مصطلحات اإطار كوسو ‪ ،COSO‬ومن احملمتل أن حتظى ابلقبول عىل مسة توى العةامل‪ .‬ية تعريةف معظةم‬
‫هذه املصطلحات بطريقة مماثةل ملا يف اإطةار كوسةو ‪ COSO‬ويشة يع اسة تخداهما بواسةطة مةدراء اخملةاطر‪َّ .‬‬
‫لكةن‬
‫هناك مصطلحني خمتلفني وجيدر بنا التعليق علهيم‪.‬‬

‫اخملاطر‪ :‬وفقا لتعريف املعيار أيزو ‪ ،31000 ISO‬يه "تةأثري عةدم اليقةني عةىل الهةداف"‪ .‬قةد يكةون‬ ‫‪‬‬
‫هةةذا التةةأثري سةةلب ًّيا أو اإجياب ًّيةةا ويشةةمل نتةةاجئ تزيةةد احةةامتلت و‪/‬أو عواقةةب حتقةةق الهةةداف‪ .‬وكوسةةو‬
‫‪ COSO‬وكثري من مديري اخملاطر ل يعرفون اإل بأهنا سلبية‪.‬‬

‫اجتةةاه اخملةةاطر‪ :‬وفقةةا لتعريةةف املعيةةار أيةةزو ‪ ،31000 ISO‬هةةو "مهنجيةةة املؤسسةةة يف تقيةةمي اخملةةاطر‬ ‫‪‬‬
‫ومالحقهتا أو خوضها أو الابتعاد عهنا يف الهناية‪ ".‬وتس تخدم كوسو ‪ COSO‬وكثري من مديري اخملاطر‬
‫مصطلحي "قابلية اخملاطر" و"حتمل اخملاطر" الذلين ميكن ابلطبيعة قيةاس مكيةهتم‪ .‬مةع أن قيةاس المكيةة‬
‫رمبا يكون مفيدا فاإنه يصعب القيام به عةىل أرض الواقةع‪ .‬ويتجنةب املعيةار أيةزو ‪ 31000‬هةذه الصةعوبة‬
‫ابس تخدام مصطلح "اجتاه اخملاطر" الكرث معومية‪.‬‬

‫وهن ةاك اخةةتالف أخةةر جيةةدر بنةةا أن نةةذكره فاملعيةةار أيةةزو ‪ 31000 ISO‬يبةةني أن اإدارة اخملةةاطر جيةةب أن‬
‫تتناسةةب مةةع ثقافةةة املؤسسةةة ولكنةةه يفةةرتض أن الثقافةةة متةةنح الولويةةة لإدارة اخملةاطر‪ .‬لكةةن يف اإطةةاري كوسةةو‬
‫‪ COSO‬هيم تعد البيئة الرقابية ‪ /‬البيئة ادلاخلية مكوان مس تقال جيب اإدارته وتقيميه عىل حةدة‪ .‬وهةذا الفةارق‬
‫همم لن كثريا من رشاكت اخلدمات املالية اليت أدَّت ممارساهتا اإىل الاهنيار املايل العاملي يف ‪ 2009-2008‬اكنةت‬
‫متتا معليات رمسية ممتازة لإدارة اخملاطر ومع أن مديري اخملةاطر يف هةذه املؤسسةات قةد قةدموا لهةا معلومةات‬
‫دقيقة بشأن مس توى اخملاطر‪ ،‬فقد اختارت هذه الرشاكت اخملاطر لن ثقافهتةا وخططهةا التعويضةية اكنةت تة ن‬
‫الةةرع عةةىل املةةدى القصةةري عةةىل حسةةاب الإدارة املةةتعقةل للمخةةاطر‪ .‬يف هةةذا اخلصةةوص قةةد يةةوفر اإطةةارا كوسةةو‬
‫‪ COSO‬توجهيا أفضل للمدققني ادلاخليني‪.‬‬

‫‪85‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫مناذج خماطر تقنية املعلومات والرقابة علهيا‬
‫معظم املؤسسات تدرك أمهية ومغزى مساهمت تقنيةة املعلومةات يف حتقيةق أهةداف الرشةاكت‪ .‬كةم تعةرف‬
‫هذه املؤسسات أيضا وتدرك اخملةاطر املرتبطةة ابعةامتد اإدارات الرشةكة عةىل تقنيةة املعلومةات‪ .‬اإن حومكةة تقنيةة‬
‫املعلومات متكن املؤسسات من تعظمي مساهمت تقنية املعلومات وحتقيق مزية تنافس ية للرشكة‪ .‬لتحقيق الفوائةد‬
‫املذكورة للتقنية يلزم وجود اإطار من ضوابط تقنية املعلومات مةملم أن كوسةو ‪ COSO‬هةو اإطةار اإدارة خمةاطر‬
‫املؤسسة‪.‬‬

‫اإطار ‪GAIT‬‬
‫هو "دليل تقيمي خماطر تقنية املعلومات" الصادر عن معهد التةدقيق ادلاخةيل وهةو سلسةةل مةن الدةل الةيت‬
‫تصف العالقات بني خماطر العمل وأمه الضوابط داخل معليات الرشكة والضوابط اللية وغريهةا مةن الو‪،‬ةائف‬
‫احلرجة لتقنية املعلومات وأمه الضوابط داخل الضوابط العامة لتقنية املعلومات‪ .‬ادلليل الول يف هةذه السلسةةل‬
‫هو التدريب عىل الإطار ذاته‪.‬‬

‫اإن مهنجية ‪ GAIT‬متثل مهناجا قاةا عىل اخملاطر لتقيمي نطاق الضوابط العامةة لتقنيةة املعلومةات مضةن تقيةمي‬
‫الإدارة للرقابة ادلاخلية اليت تقتضهيا مادة ر ‪ 404‬من قةانون سةاربيا‪-‬أوكسةيل ‪" .Sarbanes-Oxley‬املبةادئ‬
‫الربعة اليت متثل أساس الطريقة‪ ،‬تتفق مع الطريقة الواردة يف معيار التدقيق ر (‪ )5‬اخلةاص ي ةات ا إلرشاف‬
‫احملاس يب عىل الرشاكت العامة‪ ،‬ويه‪:‬‬

‫جيب أن يكون التعرف عىل اخملاطر والضوابط املتعلقة ا يف معلية الرقابة العامة عىل تقنية املعلومات‬ ‫‪.1‬‬
‫(يف اإدارة التغيري ممال والنرش وأمن الوفول والعمليات) وفقا للمهنجية حتديد اخملاطر من أعىل لسفل‬
‫والقامئ عىل اخملاطر واملس تخدم للتعرف عىل احلساابت املهمة واخملاطر اليت هتدد هذه احلساابت وأمه‬
‫الضوابط يف معليات املؤسسة‪.‬‬

‫خماطر معلية الرقابة العامة عىل تقنية املعلومات اليت جيب التعرف علهيا يه تا اليت تؤثر عىل‬ ‫‪.2‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪86‬‬

 ‫الو‪،‬ائف احليوية لتقنية املعلومات يف التطبيقات املهمة مال ًّيا والبياانت ذات الصةل ا‪.‬‬

‫خماطر معلية الرقابة العامة عىل تقنية املعلومات اليت جيب التعرف علهيا توجد يف العمليات وعىل‬ ‫‪.3‬‬
‫طبقات خمتلفة من تقنية املعلومات‪ :‬كود برامج التطبيق وقواعد البياانت ونظم التشغيل والش باكت‪.‬‬

‫ي تقليل اخملاطر اليت تتضمهنا معليات الرقابة العامة عىل تقنية املعلومات بتحقيق أهداف الرقابة عىل‬ ‫‪.4‬‬
‫تقنية املعلومات وليس بواسطة الضوابط الفردية‪.‬‬

‫ودليل املمرسة املعنون " اإطار ‪ GAIT‬لتقيمي نق الرقابة العامة عىل تقنية املعلومات" هو مهنجية الغةرض‬
‫مهنا حتديد أ ّي من أوجه النق يف الرقابة العامة عىل تقنية املعلومات اليت مت التعرف علهيا يف تقياميت مةادة ر‬
‫‪ 404‬ميثل مواطن ضعف ملموسة أو أوجه نق هممة‪.‬‬

‫دليل املمرسة املعنون "اإطار ‪ GAIT‬خملاطر املؤسسة وتقنية املعلومةات" يسةاعد يف التعةرف عةىل ضةوابط‬
‫تقنية املعلومات ذات المهية احلرجة لتحقيق أهداف الرشكة وغاايهتا‪.‬‬
‫اإطار ‪ISACA‬‬
‫ما هو ‪ISACA‬؟‬
‫يه مجعية نظم املعلومات والتدقيق والتحمك أنشئ من قبل معهد البحو ادلاخلية ملؤسسة التةدقيق يف‬
‫عام ‪ )1(1991‬؛ وقد فدر تنقيح يف عام ‪ .1994‬القصد السايس من ساك هو "توفري التوجيه ملةدقق ادلاخةيل‬
‫عةةىل الضةوابط ادلاخليةةة ذات الصةةةل لةةنظم املعلومةةات وتكنولوجيةةا املعلومةةات)" و مةةا يه الضةوابط ادلاخليةةة‬
‫والغرض مهنا؟ وقد عرف‪ SAC‬نظام الرقابة ادلاخلية عىل أنه "مجموعة من العمليات والو‪،‬ائف‪ ،‬والنشطة‪،‬‬
‫والنظم الفرعية‪ ،‬والشخاص اذلين اجمتعوا معا أو مت فصلهم من أجل ضمن حتقيق الااراض والاهداف (‪. )1‬‬

‫‪)1( WWW.COSO.ORG‬‬

‫‪87‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫وعىل مر الس نوات قامت ‪( ISACA‬اليت اكنةت تعةرف سةابقا ابمس (مجعيةة رقابةة وتةدقيق نظةم املعلومةات)‬
‫وتعرف الن ابختصار امسها فقط) فه ي مجعية نظةم املعلومةات والتةدقيق والةتحمك أنشةئت مةن قبةل معهةد البحةو‬
‫ادلاخلية ملؤسسة التةدقيق يف عةام ‪ )1(1991‬؛ وقةد فةدر تنقةيح يف عةام ‪ .1994‬القصةد السةايس مةن سةاك هةو‬
‫"توفري التوجيه ملدقق ادلاخيل عىل الضوابط ادلاخلية ذات الصةل لنظم املعلومات وتكنولوجيةا املعلومةات)" و مةا يه‬
‫الضوابط ادلاخلية والغرض مهنا؟ وقةد عرفةت نظةام الرقابةة ادلاخليةة عةىل أنةه "مجموعةة مةن العمليةات والو‪،‬ةائف‪،‬‬
‫والنشةةطة‪ ،‬والةةنظم الفرعيةةة‪ ،‬والشةةخاص اذليةةن اجمتع ةوا معةةا أو مت فصةةلهم مةةن أجةةل ضةةمن حتقيةةق الاا ةراض‬
‫والاهداف (‪. )2‬‬
‫لقةد عةرف تقريةر )‪ ( SAC‬نظةام الرقابةة ادلاخليةة ووفةف مكوانتةه‪ ،‬وقةدم عةدة تصةنيفات للضةوابط‬
‫الرقابية‪ ،‬كم وفف أهداف الرقابة واخملاطر‪ ،‬وعرف دور املدقق ادلاخيل‪.‬وقد قدم التقرير ارشادا لالسة تخدام‪،‬‬
‫واملعاجلةةة‪ ،‬وحميةةة مصةةادر تكنولوجيةةا املعلومةةات‪ ،‬كةةم انقةةا أاثر الاحتسةةاب مةةن قبةةل املس ة تخدم الهنةةا ‪،‬‬
‫والتصالت والتكنولوجيا اجلديدة ‪ .‬وقد عرف التقرير نظام الرقابةة ادلاخليةة عةىل أنةه "مجموعةة مةن العمليةات‬
‫والو‪،‬ائف‪ ،‬والنشطة‪ ،‬والنظم الفرعية‪ ،‬والشخاص اذلين اجمتعوا معا أو مت فصةلهم مةن أجةل ضةمن حتقيةق‬
‫الااراض والاهداف ‪ .‬وقد ركز التقرير عىل دور وأثر نظم املعلومةات احملوسة بة عةىل نظةام الضةوابط الرقابيةة‬
‫ادلاخلية‪ .‬وقد ركز عىل احلاجة اىل تقيمي اخملاطر‪ ،‬والخذ بعني الاعتبار التاكليف واملنافع‪ ،‬وبناء ضةوابط رقابيةة‬
‫يف النظم بدل من اإضافهتا بعد التطبيق ‪ .‬ومبوجب‬
‫‪ -1‬بيئة الرقابة وتشمل بيئة الرقابة عىل الهيلك التنظميي‪ ،‬واطار الرقابةة‪ ،‬والس ياسةات والاجةراءات‪،‬‬
‫والتأيرات اخلارجية‪.‬‬
‫‪ -2‬النظم اليدوية واملؤمتتة وتتكون النظم املؤمتتة من نظم وتطبيقةات ال ديةات )‪ ،(Software‬وقةد‬
‫قدم التقرير مخس خطط تصنيفية للضوابط الرقابية ادلاخلية يف نظم املعلومات‪:‬‬
‫‪ ‬املانعة والاكشفة واملصححة‬
‫‪ ‬الاختيارية وغري الاختيارية‬

‫‪)1( WWW.COSO.ORG‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪88‬‬

 ‫‪ ‬التطوعية والاجبارية‬
‫‪ ‬اليدوية واملؤمتتة‬
‫‪ ‬التطبيق والضوابط الرقابية العامة‬
‫تركز هذه اخلطط عىل مىت تطبق الرقابة‪ ،‬وما اذا اكن ابلإماكن ختطي الرقابة يف ال ديات‪.‬‬
‫‪ -3‬الاجراءات الرقابية‪.‬‬
‫أما ابلنس بة لهداف الرقابة واخملاطر‪ ،‬فان اخملاطر تشة متل عةىل الاحتيةال والاخطةاء والاخةتاللت يف‬
‫الاعمل‪ ،‬والاس تخدام غري الكفء والفاعل للموارد ‪.‬فالهداف الرقابية ختفض من هذه اخملةاطر وتضةمن وتأكةد‬
‫ةةة وسةةالمة املعلومةةات والزتاهمةةا ابلق ةوانني الرقابيةةة ابلنس ة بة للمةةدخالت والعمليةةات التشةةغيلية واخملرجةةات‬
‫وال ديات‪.‬‬
‫أما مقاييس المان فتشمل الضوابط الرقابية للبيةاانت والمةور املتعلقةة ابللةزتام والتطةابق والتوافةق مةع‬
‫القوانني والترشيعات‪ ،‬واملعايري احملاسبية ومعايري التدقيق‪ ،‬والس ياسات والاجراءات ادلاخلية‪.‬‬
‫أما ابلنس بة دلور ومسؤوليات املدققني ادلاخليني فتشمل ضةمن وتأكيةد مالءمةة نظةام الرقابةة ادلاخليةة‪،‬‬
‫ومصداقية البياانت‪ ،‬والاس تخدام الكفؤ ملوارد املنظمة ‪.‬كم أن املدققني ادلاخليةني هممتةني أيضةا مبنةع واكتشةاف‬
‫الغا والاحتيال‪ ،‬وتنس يق الانشطة مةع املةدقيني اخلةارجيني ‪.‬ان تاكمةل همةارات التةدقيق ونظةام املعلومةات‪،‬‬
‫وتفهةم تةأثري تكنولوجيةا املعلومةات عةىل معليةة التةدقيق مسةأةل رضوريةة ابلنسة بة للمةدقيني اخلةارجيني ‪.‬فهةؤلء‬
‫املهنيون يؤدون الن معليات التدقيق املايل والتشغييل ونظم املعلومات‪.‬‬
‫دراسة الرقابة عىل النظمة وقابليهتا للتدقيق ‪SAC‬‬
‫‪ :SAC‬يه اإطار ملناقشة اخملاطر وضوابط الرقابة واعتبارات التدقيق املتعلقة ابلتكنولوجيا وأنظمة املعلومات‪.‬‬

‫• ي تقدمي درجة معقوةل من التأكةد حةني ية اإرسةاء ضةوابط رقابيةة دديةة مةن حيةث التلكفةة لتقليةل‬
‫اخملاطرة املمتثةل بعدم حتقيق أهداف املؤسسة وغاايهتا ابملس توى املطلوب‪.‬‬
‫• تعرف الهداف ‪ Objectives‬بأهنا بيان ابلإجنازات اليت تراب املؤسسة بتحقيقها‪.‬‬

‫‪89‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫• الغةاايت ‪ Goals‬يه أهةةداف حمةددة جيةةب أن تكةون قةةابةل للتحديةد والقيةةاس والتحقيةق وأن تكةةون‬
‫منسجمة مع الهداف العامة للمؤسسة‪.‬‬

‫

‬ ‫
‬
‫مكوانت نظام الرقابة ادلاخلية‬

‫األنظمة‬
‫اليدوية‬ ‫اول‪ :‬بيئة الرقابة‬
‫واألنظمة‬
‫المؤتمتة‬
‫الهيلكية التنظميية يقصد ا مسؤولية لك مدير يف اختاذ القرارات وإارسةاء س ياسةة املؤسسةة‪ ،‬ووضةع‬ ‫‪.1‬‬
‫حدود لتا السلطة‬
‫عنارص اإطار الرقابة‪:‬‬ ‫‪.2‬‬
‫‪ ‬الفصل بني الواجبات غري املتوافقة‬
‫‪ ‬جدارة العاملني وابزاههتم‬
‫‪ ‬املس توايت املناس بة من السلطة واملسؤولية‬
‫‪ ‬ربط لك معلية بشص واحد مسؤول عهنا‬
‫‪ ‬توافر مس توى اكف من املوارد‬
‫‪ ‬ا إلرشاف‬
‫الس ياسات والإجراءات ي توثيقها توثيقا جيدا واليت حتدد نطاق معل لك قسم‬ ‫‪.3‬‬
‫املؤثرات اخلارجية من املتطلبات الئامتنية‪ ،‬والقوانني والنظمة‪ ،‬والرشو اليت تن علهيا العقود‪،‬‬ ‫‪.4‬‬
‫والعراف السائدة‪ ،‬ورشو الاحتادات العملية‬

‫اثنيا‪ :‬النظمة اليدوية والنظمة املؤمتتة‬

‫يقصد ا معاجلة املعلومات وتبليغها وختزيهنا ونقلها‪ .‬ويتضمن ذكل‪:‬‬
‫‪ .1‬برديات النظمة‬

‫أساسيات التدقيق الداخلي‬ ‫‪90‬‬

 ‫‪ .2‬أنظمة التطبيقات‬
‫‪ ‬النظمة املركزية‬
‫‪ ‬النظمة التشغيلية‬
‫‪ ‬أنظمة املس تخدمني الهنائيني والنظمة اخلافة ابلقسام‬

‫اثلثا‪ :‬اإجراءات الرقابة‬

‫‪ .1‬الضوابط الرقابية العامة املتعلقة بأنظمة املعلومات‪:‬‬
‫‪ ‬معليات احلاسب‬
‫‪ ‬المن املادي والرمقي‬
‫‪ ‬تغيري ال امج‬
‫‪ ‬تطوير ال امج‬
‫‪ ‬التصالت‬
‫‪ .2‬الضوابط الرقابية اخلافة ابلتطبيقات حبيث "تضمن املعاجلة املرخصة وادلقيقة والتامة للتعامالت بدءا‬
‫من معلية اإدخال املعلومات مرورا بعملية معاجلهتا واابهتاء بعملية اإخراهجا"‪.‬‬
‫‪ .3‬الضةوابط الرقابيةةة التعويضةةية‪ :‬تسة تخدم "للتغلةب عةةىل نقطةةة ضةةعف موجةودة يف تطبيةةق أخةةر مةةن‬
‫تطبيقات الرقابة العامة‪ ،‬أو للتصفيف من أثرها"‪.‬‬

‫أما مقاييس المان فتشمل الضوابط الرقابية للبيةاانت والمةور املتعلقةة ابللةزتام والتطةابق والتوافةق مةع‬
‫القوانني والترشيعات‪ ،‬واملعايري احملاسبية ومعايري التدقيق‪ ،‬والس ياسات والاجراءات ادلاخلية‪.‬‬
‫أما ابلنس بة دلور ومسؤوليات املدققني ادلاخليني فتشمل ضةمن وتأكيةد مالءمةة نظةام الرقابةة ادلاخليةة‪،‬‬
‫ومصداقية البياانت‪ ،‬والاس تخدام الكفؤ ملوارد املنظمة ‪.‬كم أن املدققني ادلاخليةني هممتةني أيضةا مبنةع واكتشةاف‬
‫الغا والاحتيال‪ ،‬وتنس يق الانشطة مةع املةدقيني اخلةارجيني ‪.‬ان تاكمةل همةارات التةدقيق ونظةام املعلومةات‪،‬‬
‫وتفهةم تةأثري تكنولوجيةا املعلومةات عةىل معليةة التةدقيق مسةأةل رضوريةة ابلنسة بة للمةدقيني اخلةارجيني ‪.‬فهةؤلء‬

‫‪91‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫املهنيون يؤدون الن معليات التدقيق املايل والتشغييل ونظم املعلومات‪.‬‬
‫وتقوم بتوفري اإرشادات معلية ومعايري وأدوات أخرى ف َّعاةل مجليةع املؤسسةات الةيت تسة تخدم تقنيةة املعلومةات‬
‫ومن خالل اإرشاداهتا وخدماهتا الشامةل ّتعرف ‪ ISACA‬أدوار املتصصصةني يف حومكةة وأمةن وتةدقيق وتأكيةد جةودة‬
‫تقنيةةة املعلومةةات عةةىل مسة توى العةةامل‪ .‬وإاطةةارات "الهةةداف الرقابيةةة لتقنيةةة املعلومةةات والتقنيةةات املرتبطةةة ةةا" أو‬
‫‪ COBIT‬عةىل سةبيل الاختصةار) و ‪ Val IT‬و ‪ RISK IT‬مةن العالمةات املسةجةل لةة‪ ISACA‬والةيت حتظةى‬
‫ابحرتام املتصصصني اذلين يس تخدموهنا عىل مس توى العامل‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪92‬‬

 ‫اإطار ‪COBIT‬‬
‫ما هو ‪COBIT‬؟‬
‫يه هي ة تعرف ابمس معهد تكنولوجيا املعلومات واحلمك انشئت عام ‪ 1996‬من قبل ‪ COBIT‬لتدقيق‬
‫نظم املعلومات ومؤسسة التحمك‪ .‬ويركز يف املقام الول عىل كفةاءة وفعاليةة نظةم رفةد املعلومةات و يؤكةد عةىل‬
‫دور وتأثري تكنولوجيا املعلومات من حيث فلته الس يطرة عىل العمليات التجارية" ومةا يه الضةوابط ادلاخليةة‬
‫والغرض مهنا؟‬
‫هو اإطار عام يقرتح طريقة لإدارة الة ‪ IT .‬دف ضمن توفيل خدمة الة ‪ IT‬الىت تلةى احتياجةات العمةل‬ ‫‪-1‬‬
‫‪ )1( ...‬والة ‪ COBIT‬تعزتم تزويد الإدارة ابإجاابت عىل الس ةل التالية‪:‬‬
‫ما ىه املشلكة ؟‬ ‫‪-‬‬
‫ما هو احلل؟‬ ‫‪-‬‬
‫ما ىه مش متالهتا ؟‬ ‫‪-‬‬
‫كيف يعمل‪.‬‬ ‫‪-‬‬
‫كيف أقوم بتنفيذه ‪.‬‬ ‫‪-‬‬
‫هو اذلى ميزي ‪ 34‬معلية من معليةات الةة ‪ IT‬وجيمعهةا أربعةة دةالت‪ .‬ومةدعوم بواسةطة ‪ 318‬تفصةيل‬ ‫‪-2‬‬
‫لرقابة الاهداف ولك واحدة من الة ‪ 34‬معلية تشري اإىل مصادرنظم املعلومات ‪ .‬وإاىل (اجلودة – المةان )‬
‫املطلوبة للمعلومات‪.‬‬
‫يزودان مبعيار مقبوق – قابل للتطبيق لتحقيق مس توى جيد من أمن املعلومةات وممارسةات للةتحمك هتةدف‬ ‫‪-3‬‬
‫اإىل دمع احتياجات الإدارة حتديد ومراقبة املس توى املالمئ لمن املعلومات ‪ .‬والتحمك فهيا اإطةار عةىل‬
‫مس توى املنظمة ‪.‬‬
‫بشلك أمعق فاإن الة ‪ COBIT‬هتدف اإىل الوفول اإىل اإجاابت وحلةول ملشةالك وخمةاوف الإدارة ملقةاييس‬ ‫‪-4‬‬
‫الداء(ما ىه مؤرشات الداء اجليد‪ .‬حتديةد كيفيةة السة يطرة عةىل عنةارص الةة ‪ ) IT ...‬ومةا ىه العنةارص‬
‫املهمة؟ و ما ىه عنارص النجاح احلرجة للتحمك الة) ‪ ) IT‬ومقاييس الوعى ‪ ...‬ما ىه اخملاطر الىت تعيةق‬
‫تنفيةةذ أهةةدافنا ‪ .Benchmarking ...‬ومةةا اذلى يفعةةهل الخةةرون ؟ وكيةةف نقةةوم ابلةةاقياس املقا نرةةة ‪.‬‬

‫‪)1( www.coso.org‬‬

‫‪93‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫ويس تخدم لقياس الوقت احلارض والمن ومعليةة الةتحمك‪ .‬وقةد عرفةت الرقابةة ادلاخليةة ابهنةا" الس ياسةات‬
‫والإجراءات واملمرسةات ‪ ،‬وية تصةممي الهيةالك التنظمييةة لتةوفري تأكيةدات معقةوةل بةأن يتحقةق العةمل‬
‫والهداف وأن الحدا غري املراوب فهيا ومنع وقوعه أو الكشف عن وتصحيحها(‪ ." )2‬و يركز أساسا‬
‫عىل نظم املعلومات بكفاءة وفعالية الرفد‪ .‬ويشدد التقرير عىل دور وتأثري تكنولوجيا املعلومات من حيةث‬
‫فلته الس يطرة عىل العمليات التجارية‪ .‬وميكن اس تخدام هذا المنوذج من قبل الإدارة ملراقبة وضع س ياسةة‬
‫واحضة واملمرسات اجليدة من أجل الس يطرة عىل تكنولوجيا املعلومات‪.‬‬

‫من يس تخدم ‪COBIT‬؟‬

‫‪ .1‬اإلدارة (لتحقيق التوازن بني اخملاطر والرقابة)‬
‫‪ .2‬املس تخدمني (للحصول عىل ضمن المن واملراقبة)‬
‫‪ .3‬املدققني(لإثبات رأدهم)‬

‫دالت ‪ COBIT‬يه‪:‬‬
‫‪ .1‬التصطيط والتنظمي‬
‫‪ .2‬اقتناء وتنفيذ‬
‫‪ .3‬نديره الاستامثر‬
‫‪ .4‬تسلمي وادلمع‬
‫‪ .5‬الرفد والتقيمي‪.‬‬

‫تقرير ‪COBIT‬‬
‫لقةةد كيفةةت وثيقةةة )‪ (COBIT‬تعريفهةةا للرقابةةة مةةن الوثيقةةة )‪ (COSO‬عةةىل أن الس ياسةةات‪،‬‬
‫والاجراءات‪ ،‬واملمرسات‪ ،‬والهيالك التنظميية تُصمم لزتويد تأكيد معقةول بةأن أهةداف املنشةأة سةوف تتحقةق‪،‬‬

‫‪)2( www.coso.org‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪94‬‬

 ‫وأن الهداف غري املراوب فهيا سوف متنع أو تكتشف ومن ّمث تصحح‪.‬‬
‫فقد فةنفت مصةادر تكنولوجيةا املعلومةات )‪ (COBIT‬أهنةا البيةاانت‪،‬تطبيةق الةنظم‪ ،‬والتكنولوجيةا‪،‬‬
‫والإماكنيات التسهيلية‪ ،‬والاشخاص ‪ .‬وقد عرفت البياانت يف مفهوهما الواسع بأهنا ل حتتوي فقط عىل الاعداد‬
‫واملراجع والتوارخي ولكن أيضا عىل الاش ياء ممل الرسوم البيانية والصوت‪.‬‬
‫ومةةن أجةةل حتقيةةق أهةةداف املنظمةةة‪ ،‬حتتةةاج املعلومةةات أن تتطةةابق مةةع معةةايري معينةةة والةةيت ذكرهتةةا‬
‫)‪ (COBIT‬عىل أهنا متطلبات املنظمة من املعلومات‪ ،‬ويه اجلودة ومسةؤولية الئةامتن والمةان ومةن هةذه‬
‫املتطلبات الواسعة اس تصرج التقرير س بع مجموعةات متةداخةل للمعةايري لغةرض تقيةمي مةدى درجةة تلبيةة مصةادر‬
‫تكنولوجيا املعلومات ملتطلبات املنظمة من املعلومات ‪.‬وتتلص هذه املعايري‬
‫الفاعلية‬ ‫‪-1‬‬
‫والكفاءة‪،‬‬ ‫‪-2‬‬
‫الرسية‬ ‫‪-3‬‬
‫الكمل‬ ‫‪-4‬‬
‫الوجود‬ ‫‪-5‬‬
‫الالزتام والتطابق‬ ‫‪-6‬‬
‫موثوقية املعلومات‬ ‫‪-7‬‬
‫كم فنفت الوثيقة معليات تكنولوجيا املعلومات يف اربعة دالت ويه‪:‬‬
‫‪ .1‬التصطيط والتنظمي‬
‫‪ .2‬الامتالك والتنفيذ‬
‫‪ .3‬التسلمي واملساندة‬
‫‪ .4‬املراقبة‪.‬‬
‫وقةةد اشةة متلت وثيقةةة )‪ (COBIT‬عةةىل تعةةاريف لةةلك مةةن أهةةدف الرقابةةة ادلاخليةةة وتكنولوجيةةا‬
‫املعلومات‪.‬وذكل مضن أربعة دالت للعمليات‪ ،‬و‪ 32‬بيان رقايب عايل املس توى لهةذه العمليةات‪ ،‬و‪ 271‬هةدف‬
‫رقايب ذكر يف هذه العمليات الثنني والثالثني‪ ،‬وإارشادات تدقيق ربطت مع الاهداف الرقابية‪.‬‬

‫‪95‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

‫"اإطار ‪ COBIT‬اإطار حلومكة تقنية املعلومات ومجموعة من الدوات ادلامعة ميكّن املديرين مةن سةد الفجةوة‬
‫بني متطلبات الرقابة والقضااي الفنية وخماطر الرشكة‪ .‬كم ان اإطةار ‪ COBIT‬ميكّةن مةن نشةةر س ياسةة واحضةة‬
‫وممارسات جيدة للرقابة عىل تقنية املعلومات يف خمتلف أحناء املؤسسات كةم يؤكةد هةذا الإطةار عةىل الامتثةال‬
‫التنظميي ويساعد املؤسسات يف زايدة القمية اليت تكتس اا من تقنية املعلومات وميكّةن حمةاذاة وتبسة يط تطبيةق‬
‫اإطار ‪ ."COBIT‬ورمبا يكون هذا الإطار هو أكرث الإطر املس تخدمة حلومكة تقنية املعلومات وضوابطها عنةدما‬
‫يتعلق المر ابلتدقيق ادلاخيل لتقنية املعلومات‪ .‬ومن املهم فهم النشطة واخملاطر اليت تتضةمهنا تقنيةة املعلومةات‬
‫وجيب اإدارهتا‪ .‬عادة ما ي ترتي اةا حسةب دةالت املسةؤولية ويه‪ :‬التصطةيط والبنةاء والإدارة و املراقبةة‪ .‬هةذه‬
‫اجملالت داخل اإطار ‪ COBIT‬يه‪:‬‬

‫التصطيط والتنظمي )‪ – Plan & Organize (PO‬يةوفر هةذا اجملةال الاجتةاه لتسةلمي احلةل وتسةلمي‬ ‫‪‬‬
‫اخلدمات‪.‬‬
‫الامتالك والتطبيق )‪ – Acquire & Implement (AI‬يوفر هذا اجملال احللول وميررهةا لتحويلهةا‬ ‫‪‬‬
‫اإىل خدمات‪.‬‬
‫التسةةلمي وادلمع )‪ – Deliver & Support (DS‬يس ة تقبل هةةذا اجملةةال احللةةول وجيعلهةةا فةةاحلة‬ ‫‪‬‬
‫لس تخدام املس تخدمني‪.‬‬
‫املراقبة والتقيمي )‪ – Monitor & Evaluate (ME‬يراقب هذا اجملال مجيع العمليات لضمن الالزتام‬ ‫‪‬‬
‫ابلجتاه اذلي مت توفريه‪.‬‬
‫يغطي دال التصطيط والتنظمي الإسرتاتيجية والتكتيك‪ ،‬وخيت ابلتعرف عىل أفضل طريقة تسهم ا تقنيةة‬
‫املعلومات يف حتقيق أهداف الرشكة‪ .‬جيب تنظمي حتقيق الر‪.‬ية الإسرتاتيجية وتوفيهل وإادارته‪ .‬كةم جيةب وجةود‬
‫تنظمي مناسب وبنية تكنولوجية حتتية مناسة بة ومتطابقةة‪ .‬وهةذا اجملةال يتنةاول منوذجيةا السة ةل التاليةة املتعلقةة‬
‫ابلإدارة‪:‬‬
‫‪ ‬هل توازي تقنية املعلومات اإسرتاتيجية الرشكة؟‬
‫‪ ‬هل جيري اس تغالل املؤسسة ملواردها عىل الوجه الممل؟‬
‫‪ ‬هل يفهم لك من ابملؤسسة أهداف تقنية املعلومات؟‬

‫أساسيات التدقيق الداخلي‬ ‫‪96‬‬

 ‫هل اخملاطر املتعلقة بتقنية املعلومات مفهومة وي اإدارهتا؟‬ ‫‪‬‬
‫هل تتناسب جودة نظم تقنية املعلومات مع احتياجات الرشكة؟‬ ‫‪‬‬

‫يقر دال الاكتساب والتطبيق بأنه لي ي حتقيق إاسةرتاتيجية تقنيةة املعلومةات جيةب التعةرف عةىل حلةول‬
‫تقنية املعلومات أو تطويرها أو اكتسا ا وتطبيقها وددها كذكل يف معلية املؤسسة‪ .‬اإضافة اإىل ذكل يغطةي هةذا‬
‫اجملال التغيريات يف النظم املوجةودة وفةيانة هةذه الةنظم وذكل للتأكةد مةن اسة مترار احللةول يف الوفةاء بأهةداف‬
‫الرشكة‪ .‬يتناول هذا اجملال منوذجيا الس ةل التالية املتعلقة ابلإدارة‪:‬‬

‫هل من احملمتل أن تقدم املشاريع اجلديدة حلول تليب احتياجات الرشكة؟‬ ‫‪‬‬
‫هل من احملمتل تسلمي املشاريع اجلديدة يف الوقت املقرر ويف حدود املزيانية املقررة؟‬ ‫‪‬‬
‫هل س تعمل النظم اجلديدة بشلك مناسب عند تطبيقها؟‬ ‫‪‬‬
‫هل سي اإجراء التغيريات بدون تعطيل للعمليات الراهنة دلى الرشكة؟‬ ‫‪‬‬

‫وخيت دال التسلمي وادلمع ابلتقدمي الفعيل للخدمات املطلوبة‪ ،‬واذلي يشمل تسلمي اخلدمات وإادارة المةن‬
‫والاسة مترارية وادلمع اخلةةد للمسة تخدمني وإادارة منشةةأت البيةةاانت والعمليةةات‪ .‬ويتنةةاول هةةذا اجملةةال منوذجيةةا‬
‫الس ةل التالية املتعلقة ابلإدارة‪:‬‬

‫هل ي تقدمي خدمات تقنية املعلومات مبا يتفق مع أولوايت الرشكة؟‬ ‫‪‬‬
‫هل ي ترش يد تاكليف تقنية املعلومات؟‬ ‫‪‬‬
‫هل القوة العامةل قادرة عىل اس تخدام نظم تقنية املعلومات بشلك م ر وبأمان؟‬ ‫‪‬‬
‫هل تتوفر درجة اكفية من رسية وسالمة وحتقيق أمن املعلومات؟‬ ‫‪‬‬

‫يقر دال املراقبة والتقيةمي بةأن اكفةة معليةات تقنيةة املعلومةات جيةب تقيميهةا بصةفة دوريةة مةع مةرور الوقةت‬
‫للتحقق من جودهتا وامتثالها لرشو الرقابةة‪ .‬حيةث يتنةاول هةذا اجملةال تقيةمي الداء و مراقبةة الرقابةة ادلاخليةة‬
‫والامتثال التنظميي واحلومكة ويتناول منوذجيا الس ةل التالية اليت تتعلق ابلإدارة‪:‬‬

‫‪97‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫هل ي قياس أداء تقنية املعلومات لكتشاف املشالك قبل فوات الوان؟‬ ‫‪‬‬
‫هل تعمل الإدارة عىل أن تكون الضوابط ادلاخلية ف َّعاةل وذات كفاءة؟‬ ‫‪‬‬
‫هل ميكن ربط أداء تقنية املعلومات بأهداف الرشكة؟‬ ‫‪‬‬
‫هل تتوفر ضوابط اكفية خافة ابلرسية والسالمة والتوفر لمن املعلومات؟‬ ‫‪‬‬

‫وع هذه اجملالت الربع فقد حدد اإطار ‪ 34 COBIT‬معلية من معليات تقنيةة املعلومةات ية اسة تخداهما‬
‫بصورة عامة‪ .‬ومع أن معظم املشةاريع ةا مسةؤوليات حمةددة للتصطةيط والبنةاء والإدارة واملراقبةة خافةة بتقنيةة‬
‫املعلومات ومع أن معظمها يوجد به نفس العمليات اجلوهرية فةاإن قةةل مهنةا ق نفةس هةيلك العمليةات أو يطبةق‬
‫مجيع معليات ‪ COBIT‬الربعة والثالثني‪ .‬يوفر اإطار ‪ COBIT‬قاةة اكمةل من العمليات اليت ميكن اسة تخداهما‬
‫للتحقق من اكامتل النشطة واملسؤوليات ولكن ل يلزم تطبيقهةا مجيعةا وميكةن امجلةع بيهنةا طبقةا لحتياجةات لك‬
‫مرشوع‪.‬‬

‫ي ربط لك معلية من العمليات الربعة والثالثني املذكورة بأهداف الرشكة وأهةداف تقنيةة املعلومةات الةيت‬
‫ي دمعها‪ .‬كم ي توفري معلومات بشأن كيفية قياس هذه الهداف وأمه النشطة والإجنازات واملسؤول عهنا‪.‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪98‬‬

 ‫اإطار ‪Val IT‬‬
‫اإطار ‪ Val IT‬هو اإطار للحومكة ومطبوعات دامعة تتناول حومكة استامثرات العمل الةيت تعمتةد عةىل تقنيةة‬
‫املعلومات‪ .‬يتكون هذا الإطار من مجموعة من املبادئ الإرشادية كم ي تعريف عدد من العمليات اليت تتفق مةع‬
‫هذه املبةادئ مكجموعةة مةن املبةادئ الإداريةة املهمةة‪ .‬اإطةار ‪ Val IT‬يدمعةه مطبوعةات وأدوات تطبيةق ويةوفر‬
‫توجهيات ملا ييل‪:‬‬

‫تعريف العالقة بني تقنية املعلومات والرشكة ودوائر املؤسسة اليت تتحمل مسؤوليات خت احلومكة‪.‬‬ ‫‪‬‬
‫اإدارة حقيبة استامثرات الرشكة اليت تعمتد عىل تقنية املعلومات‪.‬‬ ‫‪‬‬
‫تعظمي جودة حالت العمل لستامثرات الرشكة اليت تعمتد عىل تقنية املعلومات مع الرتكزي بصفة خافةة‬ ‫‪‬‬
‫عىل تعريف أمه املؤرشات املالية وقياس جحم الفوائد غري امللموسة والتقيمي الشامل للمخاطر السلبية‪.‬‬

‫ويتناول اإطار ‪ Val IT‬الافرتاضات والتاكليف واخملاطر والنتةاجئ املرتبطةة حبقيبةة متوازنةة مةن الاسةتامثرات‬
‫اليت تعمتد عىل تقنية املعلومات‪ ،‬كم يوفر قدرة عىل القياس املقةارن‪ ،‬وميكّةن الرشةاكت واملؤسسةات مةن تبةادل‬
‫اخل ات بشأن أفضل ممارسات اإدارة القمية‪.‬‬

‫اإطار ‪RISK IT‬‬

‫هذا الإطار ميثل مجموعة من املبادئ الإرشادية وإاطارا ملساعدة الرشاكت عىل حتديد خماطر تقنيةة املعلومةات‬
‫وإادارهتا وتنظميها‪ .‬وكثريا جدا مةا ية اةض الطةرف عةن خمةاطر تقنيةة املعلومةات (أي خمةاطر الرشةكة املتعلقةة‬
‫ابس تخدام تقنية املعلومات) أما اخملاطر الخرى اليت تتعرض لها الرشكة – ممل خماطر السوق وخماطر الئةامتن‬
‫وخماطر العمليات– فقد مت استيعا ا منةذ زمةن طويةل يف معليةات فةنع القةرار ابلرشةاكت‪ .‬لكةن خمةاطر تقنيةة‬
‫املعلومات متت اإحالهتا اإىل املتصصصني التقنيني خارج ارفة دلس الإدارة عىل الةرمغ مةن أهنةا تنمتةي لةنفس فئةة‬
‫اخملاطر اليت تنمتي لها اخملاطر الخرى اليت هتدد الرشكة وهذا يعد اإخفاقا يف حتقيق الهداف الإسرتاتيجية‪.‬‬

‫‪99‬‬ ‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر‬

 ‫ويبني منوذج ‪ 2-2‬العالقة بني اإطار ‪ RISK IT‬وإاطار ‪ Val IT‬وإاطار ‪.COBIT‬‬

‫منوذج ‪2-2‬‬
‫العالقة بني اإطارات ‪ RISK IT‬و ‪ Val IT‬و ‪COBIT‬‬

‫‪RISK IT‬‬ ‫إطار‬ ‫‪Val IT‬‬ ‫إطار‬

‫التعرف على‬
‫إدارة القيمة‬ ‫إدارة المخاطر‬
‫المخاطر والفرص‬

‫أحداث تتعلق‬
‫بتقنية المعلومات‬

‫إدارة عملية‬
‫تقنية المعلومات‬
‫‪COBIT‬‬ ‫إطار‬

‫الرتكزي عىل النشطة املتعلقة بتقنية املعلومات‬

‫أساسيات التدقيق الداخلي‬ ‫‪100‬‬

 ‫جيري العمل حاليا يف ‪ ISACA‬مجلةع اإطةارات ‪ RISK IT‬و ‪ Val IT‬و ‪ COBIT‬معةا (الإفةدار احلةايل‬
‫‪ )4.1‬يف اإفةدار واحةةد مةن ‪ COBIT‬وهةةو الإفةدار ر ‪ 5‬الصةةادر يف أواخةر ‪ .2011‬يعةةد اإطةةار ‪COBIT‬‬
‫وغريه من الإطارات ذات الصةل لة‪ ISACA‬يه الإطةارات الكةرث اسة تخداما مةن جانةب القطةاع اخلةاص عةىل‬
‫مس توى العامل‪.‬‬

‫اإطار ‪800-37 NIST SP‬‬

‫إاضافة اإىل ‪ ،ISACA‬قام املعهد الوطين للمقاييس والتقنية يف الولايت املتحدة بتطوير اإطار لإدارة اخملةاطر‬
‫يطلق عليه اإطار ‪ ،800-37 NIST SP‬وهذا الإطار اخلاص ابإدارة اخملاطر واملبني يف منوذج ‪ ،3-2‬يوفر معلية‬
‫منضةةبطة ومنظمةةة لتاكمةةل أمةةن املعلومةةات وأنشةةطة اإدارة اخملةةاطر يف دورة حيةةاة تط ةوير النظةةام‪ .‬ولةةيس مةةن‬
‫املدها أن اإطار ‪ NIST‬يس تخدم وينرش بشلك موسع داخل الواكلت الفيدرالية يف الولايت املتحدة‪.‬‬

‫تشمل خطوات اإطار اإدارة اخملاطر [وثيقة ‪:]800-37 NIST‬‬

‫تصنيف نظام املعلومات واملعلومات اليت مت معاجلهتا وختزيهنا ونقلها بواسطة ذكل النظام بناء عىل حتليةل‬ ‫‪‬‬
‫للاثر‪.‬‬
‫اختيار مجموعة أ ّولية من الضوابط المنية عند خط الساس لنظام املعلومات بناء عىل التصنيف المين‬ ‫‪‬‬
‫وتفصيل واس تكمل خةط أسةاس الضةوابط المنيةة عنةد الرضةورة بنةاء عةىل تقيةمي املؤسسةة للمخةاطر‬
‫والظروف احمللية‪.‬‬
‫تطبيق الضوابط المنية ووفف كيفية تو‪،‬يف هةذه الضةوابط يف نظةام املعلومةات والبيئةة الةيت يعمةل‬ ‫‪‬‬
‫فهيا‪.‬‬
‫تقيمي الضوابط المنية ابس تخدام طرق تقيمي مناسة بة لتحديةد مةدى تطبيةق الضةوابط بطريقةة يحةة‬ ‫‪‬‬
‫وتشغيلها طبقا للمراد ا وإانتاج النتيجة املرجوة خبصوص تلبية الاحتياجات المنية للنظام‪.‬‬

‫منوذج ‪3-2‬‬

‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر ‪101‬‬

 ‫‪NIST SP 800-37‬‬
‫اإطار اإدارة اخملاطر‬

‫مدخالت المؤسسة‬ ‫الوصف الهيكلي‬

‫القوانين والتوجيهات بشأن السياسة األهداف‬
‫نظرة عامة‬ ‫النماذج الهيكلية المرجعية‬
‫والغايات اإلستراتيجية‬ ‫على العملية‬ ‫هياكل الشرائح والحلول‬
‫األولويات وتوفر الموارد‬ ‫عمليات الرسالة واألعمال‬
‫اعتبارات سلسلة اإلمداد‬ ‫حدود نظم المعلومات‬
‫نقطة االنطالق‬

‫الخطوة األولى‬
‫تصنيف‬
‫الخطوة الثانية‬ ‫نظام المعلومات‬ ‫الخطوة السادسة‬
‫اختيار‬ ‫مراقبة‬
‫الضوابط األمنية‬ ‫الضوابط األمنية‬
‫إطار إدارة‬
‫المخاطر‬
‫الخطوة الثالثة‬ ‫الخطوة الخامسة‬
‫تطبيق‬ ‫ترخيص‬
‫الضوابط األمنية‬ ‫الخطوة الرابعة‬ ‫نظام المعلومات‬
‫تقييم‬
‫الضوابط األمنية‬

‫ترخي معليات نظام املعلومات بناء عىل حتديد اخملاطر اليت هتدد معليات املؤسسة وأفةولها وأفرادهةا‬ ‫‪‬‬
‫واملؤسسات الخرى والمة والنامجة عن تشغيل نظام املعلومات واختاذ قرار بأن اخملاطر املقبوةل‪.‬‬

‫مراقبة الضوابط المنية يف نظام املعلومات بصةورة مسة مترة تشةمل تقيةمي الضةوابط وتوثيةق التغيةريات‬ ‫‪‬‬
‫اليت يشهدها النظام أو بيئة تشةغيهل وإاجةراء حتلةيالت لةلاثر المنيةة للتغيةريات املرتبطةة ورفةع تقةارير‬

‫أساسيات التدقيق الداخلي‬ ‫‪102‬‬

 ‫بشأن حاةل النظام للمسؤولني اخملتصني يف املؤسسة‪.‬‬

‫اس تخدام املدققني ادلاخليني لامنذج الرقابة واخملاطر‬

‫لقد اش متل هذا الفصل عىل نظرة عامة عةىل أكةرث منةاذج الرقابةة واخملةاطر اسة تخداما وقبةول عةىل مسة توى‬
‫العامل‪ .‬وكةم ذكةران يف املقدمةة فقةد مت تطةوير كثةري مةن الةامنذج املمثةةل يف خمتلةف ادلول‪ .‬وينبغةي عةىل املةدققني‬
‫ادلاخليني اذلين يقميون يف دول قامت بتطوير الامنذج اخلافة ا اسة تخدام تةا الةامنذج بةل قةد تفةرض علةهيم‬
‫ذكل اجلهات التنظميية اليت يتبعوهنا‪.‬‬

‫كيةةف ينبغةةي عةةىل املةةدققني ادلاخليةةني اسة تخدام هةةذه الةةامنذج؟ يتوقةةف اسة تخداهمم لهةةا‪ ،‬بةةلك حةةال مةةن‬
‫الحوال‪ ،‬عىل طبيعة المنوذج ذاته‪.‬‬

‫اإن اإطاري كوسو ‪ COSO‬املتاكملني هم اإطاران مفاهمييان فهم يقدمان للمس تخدم فهما واحضا ملاهية الرقابة‬
‫ادلاخلية وإادارة اخملاطر‪ ،‬كم يقدمان املصطلحات الالزمة لتسهيل املناقشةة‪ .‬كةم خية ان املةدقق مبةا جيةب تقيميةه‬
‫فعىل سبيل املثال ين اإطار الرقابة عىل أن العنارص امخلس مجيعا وفئةات الهةداف الةثال مجيعةا تةدخل يف‬
‫الرقابة ادلاخلية ولهذا جيب تقيمي هذه الش ياء مجيعا‪ .‬ول ينطبق ذكل عىل همام التدقيق الفردية بل ينطبق عىل‬
‫املؤسسة كلك‪ .‬وإاذا مل يقم نشا التدقيق ادلاخيل بأي يشء عىل الإطالق لتقيمي البيئة الرقابية مةمال فةاإن ذكل‬
‫يعت قصورا يف نطاق معهل‪ .‬وجيب توعيةة الهي ةة الإداريةة بةذكل وعلهيةا اإمةا قبةول هةذا القصةور وإامةا عالجةه‬
‫والقضاء عليه‪.‬‬

‫مع ذكل فاإن اإطاري كوسو ‪ COSO‬ليسا دلييل تطبيق‪ ،‬فهم ل خي ان نشا التدقيق ادلاخيل بكيفية تقيمي‬
‫الرقابة ادلاخلية أو اإدارة اخملاطر‪ .‬أما واثئق كوسةو ‪ COSO‬الخةرى املشةار اإلهيةا أعةاله فهة ي أكةرث خصوفةية‬

‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر ‪103‬‬

‫وأقرب اإىل أدةل التطبيق كم يه حال املعيار أيزو ‪ .31000 ISO‬ولهذا السبب يةرى كثةري مةن مةدراء اخملةاطر‬
‫أن املعيار أيزو ‪ 31000 ISO‬أعظم فائدة مةن اإطةار كوسةو ‪ COSO‬لإدارة خمةاطر املؤسسةة‪ ،‬واختةاره معهةد‬
‫التدقيق ادلاخيل بصفته أسةاس دلةيهل الفةين املعنةون "تقيةمي كفايةة اإدارة اخملةاطر ابسة تخدام املعيةار أيةزو ‪ISO‬‬
‫‪."31000‬‬

‫مع ذكل ىت هذه الامنذج الكرث خصوفية ينبغي اسة تخداهما مبرونةة اإذ عنةدما حتةاول املؤسسةات تطبيقهةا‬
‫جبمود فكمةريا مةا ينةتج عهنةا ممارسةة تتطلةب مةوارد كثيفةة ونظريةة يف معظمهةا وقميهتةا حمةدودة‪ .‬وسةوف يواجةه‬
‫املدققون ادلاخليون اذلين يطبقوهنا جبمود مقاومة م رة من جانةب الإدارة‪ .‬وكةم يشةري املعيةار ‪ 31000‬بشةلك‬
‫عام جيب تعديل المنوذج مبا يتناسب مع املؤسسة‪.‬‬

‫تنطبق نفس املبةادئ عةىل اإطةارات معهةد التةدقيق ادلويل ‪ IIA‬و ‪ ISACA‬و ‪ .NIST‬يةوفر اإطةار معهةد‬
‫التدقيق ادلويل أربعة مبادئ‪ ،‬وإاطار ‪ COBIT‬مفصل نسةبيا ويةوفر أنشةطة تةرتبط بعمليةات تقنيةة املعلومةات‬
‫مفصةل ابملهام ملراحهل الس تة وينبغي أل تس تخدم هذه الإطةارات‬ ‫الربعة والثالثني‪ ،‬بيامن يوفر اإطار ‪ NIST‬قاةة ّ‬
‫جبمةةود أو تطبيقهةةا قرسةا عةةىل لك مؤسسةةة حةةىت لةةو مل تكةةن تناسة اا‪ .‬وبةةدل مةةن ذكل ينبغةةي اسة تخدام هةةذه‬
‫الإطارات مبرونة وينبغي تعديلها لتناسب اس تخدام املؤسسة لتقنية املعلومات ونرشها لهةا‪ .‬وينبغةي تعةديل هةذه‬
‫الإطارات لي تناسب تقنية املعلومات يف املؤسسة‪.‬‬

‫ينطبق ذكل أيضا عىل الامنذج املمثةل اليت ي تطويرها يف خمتلف دول العامل كم تنطبق نفس املبةادئ عنةدما‬
‫يقوم مدقق داخيل بتوفري خدمات الاستشارة‪ .‬فعىل سبيل املثال ميكن أن تكون مناذج اخملاطر مفيدة جدا عند‬
‫تقدمي املشورة ل إالدارة ويه تقةوم ابإنشةاء معليةة لإدارة خمةاطر املؤسسةة‪ .‬وجيةب مراعةاة اكفةة هةذه العنةارص يف‬
‫المنوذج اخملتار وإان اكن ل ينبغي ابلرضورة تبنهيا وإاذا مت تبنهيا فيجب تعديلها مبا يناسب املؤسسة‪.‬‬

‫وابختصار فاإن مناذج الرقابة واخملاطر مفيدة للغاية ابلنس بة للمةدققني ادلاخليةني طاملةا مت اسة تخداهما بشةلك‬

‫أساسيات التدقيق الداخلي‬ ‫‪104‬‬

 ‫مناسب ويه توفر فهما ومصطلحات مشرتكة وميكن اس تخداهما مكعايري ملا سي تقيميه ولكن ينبغي داةا تعةديلها‬
‫مبا يناسب املؤسسة‪.‬‬

‫املعايري و الارشادات املهنية ذات الصةل‬

‫املعايري‬
‫‪ :2120‬اإدارة اخملاطر‬
‫‪ :2130‬الرقابة‬
‫‪ :2201‬اعتبارات التصطيط‬

‫أوراق بيان الرأي‬

‫دور التدقيق ادلاخيل يف اإدارة اخملاطر عىل مس توى املؤسسة بأمكلها‬

‫الراء الاستشارية بشأن املمرسة‬

‫رأي استشاري ‪ :2-2010‬اس تخدام معلية اإدارة اخملاطر يف التصطيط للتدقيق ادلاخيل‬
‫رأي استشاري ‪ :1-2120‬تقمي كفاية معليات اإدارة اخملاطر‬
‫رأي استشاري ‪ :1-2130‬تقيمي كفاية معليات الرقابة‬
‫رأي استشاري ‪ :1-2200‬ختطيط املهام‬
‫رأي استشاري ‪ :2-2200‬اس تخدام مهنجية من أعىل لسفل ويعمتد عىل اخملاطر لتحديد الضوابط اليت جيب‬
‫اس تخداهما يف أي هممة للتدقيق ادلاخيل‬
‫أدةل املمرسة‬
‫تقيمي كفاية اإدارة اخملاطر‬
‫تدقيق البيئة الرقابية‬
‫يج يت اإي يج‪ :1‬ضوابط تقنية املعلومات‬
‫الفصل الثاني‪ :‬نماذج الرقابة والمخاطر ‪105‬‬
 ‫يج اإي أي يت خملاطر املؤسسة وتقنية املعلومات‬

‫مكتبة مؤسسة أحبا معهد التدقيق ادلاخيل‬

‫يف وقت كتابة هذا الكتةاب‪ ،‬يوجةد ‪ 55‬مطبوعةة لهةا عالقةة ابخملةاطر والرقابةة متةوفرة مةن مكتبةة مؤسسةة‬
‫أحبا معهد التدقيق ادلاخيل‪ .‬ير الاطالع عىل الرابط التايل للمزيد من املعلومات‪:‬‬
‫‪.http://www.theiia.org/bookstore — Managing and Auditing IT Vulnerabilities‬‬

‫أساسيات التدقيق الداخلي‬ ‫‪106‬‬