‫الجزء الثاني‬

‫الرقابة الداخلية واملخاطر‬

‫محتويات الجزء الثاني‬
‫• تعريف الرقابة الداخلية‬
‫• انواع الضوابط الرقابية‬
‫• اطار ادارة املخاطر والرقابة‬
‫• ادارة املخاطر‬
‫• املراجعة الداخلية واملخاطر‬
‫• الخطوط الثالثة‬
‫• حاالت عملية‬
 ‫الرقابة‬
‫• تمثل الحوكمة االطار العام الذي يوجه املنظمة لتحقيق اهدافها‪.‬‬
‫• ادارة املخاطر والرقابة مكونان رئيسيان للحوكمة‬
‫• الرقابة وادارة املخاطر من مسؤوليات االدرة العليا بينما الحوكمة مسؤولية مجلس االدارة‬
‫• يجب أن يقوم نشاط التدقيق الداخلي بتقييم عمليات الحوكمة وإدارة املخاطر والرقابة‬
‫واالسهام في تحسينها وذلك من خالل اتباع أسلوب منهجي منظم وقائم على املخاطر‪.‬‬
 ‫الحوكمة وادارة املخاطروالرقابة‬

‫الحوكمة هي مزيج من العمليات والهيكليات التي يعتمدها املجلس من اجل التوجيه والرقابة على املنظمة‬

‫ادارة املخاطر هي تحديد أي احداث محتملة وتقييمها والتحكم بها‬

‫الرقابة هي اي تصرف تتخذه االدارة او مجلس االدارة بهدف ادارة املخاطر وضمان تحقيق اهداف املنظمة‬
 ‫عملية الرقابة‬
‫وضع املعايير‬

‫قياس اآلداء‬

‫مقارنة األداء مع املعايير املوضوعة‬

‫تقييم األداء واتخاذ اإلجراءات الصحيحة‬

‫املتابعة والتغذية العكسية‬

 ‫أنواع الضوابط الرقابية‬

‫الضوابط الرادعة‬ ‫الضوابط التصحيحية‬ ‫الضوابط الكشفية‬ ‫الضوابط الوقائية‬

‫‪Detrrent Controls‬‬ ‫‪Corrective Controls‬‬ ‫‪Detective Controls‬‬ ‫‪Preventive Controls‬‬

‫الضوابط التي تشكل ردعا‬ ‫الضوابط التي تعمل على التأكد‬ ‫الضوابط التي يتم من خاللها‬ ‫الضوابط التي يتم من خاللها‬
‫لألفراد منعا لقيامهم بأية‬ ‫من أن اإلجراءات التصحيحية‬ ‫اكتشاف األخطاء واالنحرافات‬ ‫اكتشاف األخطاء واالنحرافات‬
‫انحرافات أو تجاوزات‬ ‫لالنحرافات قد تم اتخاذها‬ ‫عند وقوعها‬ ‫قبل حدوثها‬

‫الحواجز‪.‬‬ ‫النسخ االحتياطية‪.‬‬ ‫مطابقة كشف الحساب‪.‬‬ ‫الفصل بين املهام‪.‬‬

‫لوحات التحذير‪.‬‬ ‫منع استمرار العملية‪.‬‬ ‫التدقيق الداخلي‪.‬‬ ‫املوظفين االكفاء‪.‬‬
 ‫فصل املهام املتعلقة بتكنلوجيا املعلومات‬
‫الوصف‬ ‫الوظيفة (الدور)‬
‫مسؤول عن كتابة واختبار وتوثيق البرامج الحاسوبية‪ ،‬لديهم القدرة على تعديل البرامج وملفات البيانات وضوابط النظام‪.‬‬
‫يجب أال يكون لدى هذه املجموعة القدرة على الوصول إلى الحواسيب والبرامج املستخدمة ً‬ ‫البرمجة‬
‫فعليا في عملية املعالجة‪.‬‬
‫مسؤولون عن عملية تشغيل أنظمة الحاسوب‪ ،‬والتأكد من أن اآلالت والحاسوب تعمل بشكل سليم (يعمل مشغل الحاسوب عادة من غرفة الخادم أو مركز‬
‫املعلومات)‪.‬‬
‫ً‬
‫يتضمن الدور أيضا املحافظة على السجالت وتسجيل األحداث‪ ،‬وتسجيل كل عملية نسخ احتياطي يتم إجراؤها‪ ،‬وكل عطل يصيب آلة من اآلالت أو أي توقف‬ ‫العمليات‬
‫غير طبيعي ألحد البرامج‪.‬‬
‫يجب أال تقوم هذه املجموعة بأي أعمال برمجة ويجب أال تكون قادرة على تعديل أي برنامج‪.‬‬

‫مسؤولون عن تنصيب وإعادة وتحديث وإدارة ومراقبة وصيانة قواعد البيانات وأمنها‪ ،‬يتضمن هذا الدور تطوير وتصميم استراتيجيات قواعد البيانات‪،‬‬
‫ومراقبة األنظمة‪ ،‬وتحسين أداء قاعدة البيانات وقدرتها‪ ،‬والتخطيط ملتطلبات التوسيع املستقبلية‪ ،‬يمكن ً‬
‫أيضا لهذه املجموعة تخطيط وتنسيق وتنفيذ‬ ‫مديرالبيانات‬
‫إجراءات األمن لحماية قاعدة البيانات‪ .‬يجب أن تكون هذه املجموعة مستقلة عن مشغلي الحواسب‪.‬‬

‫مسؤولون عن تحليل وتصميم وتنفيذ أنظمة املعلومات‪ ،‬يقيم محللو األنظمة مالءمة نظم املعلومات من حيث النتائج املرجوة والتنسيق مع املستخدمين‬
‫تحليل األنظمة‬
‫النهائيين لهذه األنظمة‪ ،‬وموردي البرمجيات واملبرمجين‪ ,‬يجب أن تكون هذه املجموعة مستقلة عن املبرمجين ومشغلي الحواسيب‪.‬‬
 ‫أمثلة لفصل املهام للعمليات التشغيلية‬
‫الفصل بين املهام‬ ‫العملية‬
‫فصل مهام تخطيط االنتاج‪ ،‬وتحديد مستويات املخزون‪ ،‬واملسؤولية عن املخزون‪ ،‬وتسجيل املخزون‪ ،‬ومحاسبة التكاليف‪ ،‬ومطابقة طلبات املواد مع تقارير االنتاج‪.‬‬ ‫االنتاج‬
‫الفصل بين املوافقة على األجور‪ ،‬والحسومات‪ ،‬والتوظيف‪ ،‬والتسريح من العمل‪ ،‬وتحضير جدول الرواتب‪ ،‬وتوزيع الشيكات‪ ،‬ومطابقة الشيكات املصروفة مع سجالت‬
‫الرواتب‬
‫الرواتب وسجالت املوارد البشرية‬
‫الفصل بين املوافقة على منح االئتمان للعميل‪ ،‬واملوافقة على عملية البيع‪ ،‬واملسؤولية عن البضاعة واملسؤولية عن النقدية‪ ،‬وتسجيل عمليات البيع‪ ،‬ومطابقة‬
‫الحسابات املستحقة مع وايصاالت القبض‪.‬‬
‫أحد املوظفين مخول بتعديل الحسابات املستحقة بينما يقوم موظف آخر بتسجيل الدفعات على حسابات العمالء‪ ،‬لو لم يكن هناك فصل للمهام هنا يمكن ملوظف‬
‫واحد أن يقوم بأخذ املبالغ املقبوضة وتعديل الحساب املستحق للعميل إلخفاء النقود التي أخذها‪.‬‬
‫املبيعات والذمم املدينة‬
‫أحد املوظفين مسؤول عن ايصاالت الدفع بينما ملوظف آخر الصالحية لشطب دين العميل‪ ،‬إن لم يكن هناك فصل للمهام يمكن ملوظف واحد أن يقوم بشطب لدين‬
‫وتحصيل النقود وأخذها‪.‬‬
‫أحد املوظفين مسؤول عن تحضير اإليداع املصرفي بينما يقوم شخص آخر بمطابقة الحساب املصرفي‪ .‬دون وجود فصل للمهام هنا يمكن لشخص واحد تحويل‬
‫االموال إلى حساب آخر والتغطية على هذا األمر بتسجيل بنود تسوية‪.‬‬
‫الفصل بين املسؤولية عن البدء بعملية الشراء‪ ،‬واستالم وتفقد البضاعة املستلمة‪ ،‬والتأكد من أن كمية البضاعة املسجلة تطابق كمية البضاعة املوجودة في الواقع‪.‬‬
‫هناك موظف مسؤول عن إصدار طلبات الشراء بينما هناك موظف آخر مسؤول عن تسجيل البضاعة التي تم استالمها‪ .‬إن لم يكن فصل للمهام فيمكن ملوظف واحد‬
‫املشتريات والذمم املدينة‬
‫إنشاء طلب شراء من مورد وهمي باستخدام صندوق بريد مأجور ثم تحضير استالم وهمي وإرسال فاتورة بالبريد‪ ،‬مما يؤدي إلى تسديد الشركة لفاتورة لم تقم بطلبها‬
‫ً‬
‫أصال‪.‬‬
 ‫مكونات نظام الرقابة الداخلية وفق ‪COSO‬‬

‫املعلومات واالتصاالت‬ ‫البيئة الرقابية‬

‫املر اقبة‬ ‫االنشطة الرقابية‬ ‫تقييم املخاطر‬
‫& ‪Information‬‬ ‫‪Control‬‬
‫‪Monitoring‬‬ ‫‪Control Activities‬‬ ‫‪Risk Assessment‬‬
‫‪Communication‬‬ ‫‪Environment‬‬
 ‫حاله عملية‬
‫اكتشف املراجع الداخلي لشركة االخوين أنه‪ ،‬لرغبة اإلدارة في إظهار صورة مالية جيدة قبل طرح أسهم إضافية ‪ ،‬بدأت تمارس‬
‫ضغوطا كبيرة على مديري الفروع إلظهار نمو كبير في املبيعات على الرغم من حالة الركود االقتصادي العام‪ ،‬وذلك عن طريق‬
‫تسجيل معامالت املبيعات على أساس فواتير بيع وهمية والذي نتج عنه مغاالة في رصيد املبيعات ورصيد الذمم املدينة‪.‬‬
‫وعليه قرر املراجع الداخلي رفع تقرير للجنة املراجعة ‪ ،‬ولكن قبل رفع التقرير وجد أن عليه أن يتأكد من مدى فعالية أو ضعف‬
‫أنظمة الرقابة الداخلية فيما يخص العمليات اآلتية‪:‬‬
‫‪ . 1‬قيود البيع‬
‫‪ . 2‬حركة البيع وشحن البضائع واملخزون‪.‬‬
‫‪ . 3‬الذمم املدينة التي لم يتم تحصيلها بعد‪.‬‬
‫املطلوب‪:‬‬
‫‪ - 1‬ما هي األخطاء التي ارتكبتها اإلدارة ‪ ،‬واألخطاء التي ارتكبها مديري الفروع؟‬
‫‪ - 2‬أذكر تأثير هذا التصرف على كل من قائمة الدخل وقائمة املركز املالي لو لم يتم معالجته ؟‬
‫‪ - 3‬ما هي إجراءات الرقابة الداخلية التي يجب أن يتحقق من فعاليتها أو ضعفها بخصوص العمليات أعاله؟‬
‫‪ - 4‬ما هي مقترحات املراجع الداخلي بخصوص تقوية أنظمة الرقابة الداخلية ملنع تكرار األخطاء أعاله؟‬
 ‫ادارة املخاطر‬
‫• هي عملية لتحديد وتقييم وادارة االحداث املحتملة والرقابة عليها بهدف التوصل الى تأكيد معقول بشأن‬
‫تحقيق اهداف املنظمة‪.‬‬
‫• الخطوة االولى في ادارة املخاطر هي تحديد كافة املخاطر الداخلية والخارجية‪.‬‬
‫• املخاطر الداخلية مثل تعطل االنظمة التقنية وكفاءة املوظفين والتغيرات االدارية وطبيعة نشاط املنظمة‪.‬‬
‫• املخاطر الخارجية مثل التطور التقني و توقعات املستفيدين او العمالء واملنافسة والتشريعات الجديدة‬
‫والكوارث‪.‬‬
‫• يمكن تحديد هذه املخاطر من خالل ورش العمل‪ ,‬جرد االحداث واملعامالت‪ ,‬املقابالت واالستبيانات‪ ,‬تحليل‬
‫تدفق املعلومات‪ ,‬تتبع الخسائر‪.‬‬
 ‫تقييم املخاطر‬
‫• عملية قياس املخاطر تستخدم تقنيات كمية لتحديد مدى تعرض املنظمة للمخاطر‪.‬‬

‫• تتضمن هذه التقنيات نماذج احصائية لتحديد مدى تكرار وقوع املخاطر وتأثيرها للوصول الى تنبؤات حول‬
‫املخاطر املستقبلية‪.‬‬

‫• تعتمد معظم النماذج املستخدمة في عملية تقييم املخاطر على عاملين‪:‬‬

‫‪ -1‬احتمالية وقوع حدث محدد‬
‫‪ -2‬التأثير املحتمل لوقوع الحدث على اهداف املنظمة‪.‬‬
 ‫درجة أهمية الخطر‬

‫عالي‬ ‫متوسط‬ ‫منخفض‬

‫احتمالية حدوثه عالية‬

‫احتمالية حدوثه عالية‬ ‫ودرجة التأثير منخفضة أو‬ ‫احتمالية حدوثه منخفضة‬
‫ودرجة تأثيره عالية‬ ‫العكس االحتمالية منخفضة‬ ‫ودرجة تأثيره منخفضة‬
‫ودرجة التأثير عالية‬
 ‫منخفض‬ ‫متوسط‬ ‫عالي‬
‫‪RISK‬‬
‫‪L‬‬ ‫‪M‬‬ ‫‪H‬‬
‫عالي‬
‫‪H‬‬
‫احتمالية حدوث الخطر‬

‫متوسط‬
‫‪M‬‬
‫منخفض‬
‫‪L‬‬

‫درجة تأثير الخطر‬

 ‫االستجابة للمخاطر‬
‫هي الوسائل التي تختارها الشركة لتدير بها املخاطر‬ ‫•‬
‫شهية املخاطر ‪Risk Appetite‬‬ ‫•‬
‫وبذلك يمكن تقسيم املخاطر الى‪:‬‬ ‫•‬
‫الخطر املتأصل‬ ‫•‬
‫الخطر املدار‬ ‫•‬
‫الخطر املتبقي‬ ‫•‬
‫انواع تقنيات املخاطر‪:‬‬ ‫•‬
‫تجنب الخطر مثل عدم قبول الكاش او بيع التبغ‬ ‫•‬
‫تخفيض الخطر مثل الرقابة الداخلية‬ ‫•‬
‫نقل الخطر مثل التأمين‬ ‫•‬
‫قبول الخطر مثل عدم جدوى التكلفة او لضرورة تحقيق الربح‬ ‫•‬
‫ملخص ادارة املخاطر‬
 ‫املراجعة الداخلية واملخاطر‬
‫يتمثل دور املراجع الداخلي تجاه املخاطر في التالي‪:‬‬ ‫•‬
‫تقييم فعالية عمليات ادارة املخاطر واملساهمة في تحسينها‪ .‬ويتم ذلك من خالل فهم رؤية املنظمة‬ ‫•‬
‫ورسالتها واهدافها وشهية املخاطر بها ‪.‬‬
‫ال يقوم املراجع الداخلي بعمليات ادارة املخاطر‪.‬‬ ‫•‬
‫تقييم استجابات املنظمة للمخاطر من حيث الكفاية وسالمة التوقيت‪.‬‬ ‫•‬
‫في حال قبول االدارة ملخاطر غير متسقة مع شهية املخاطر للمنظمة فيجب على املراجع الداخلي‬ ‫•‬
‫مناقشة االمر مع االدارة العليا او مجلس االدارة‪.‬‬
 ‫نموذج الخطوط الثالثة‬

‫مجلس اإلدارة‬
‫املساءلة أمام أصحاب املصلحة عن الرقابة التنظيمية‬
‫أدوار مجلس اإلدارة‪ :‬النزاهة والقيادة والشفافية‬
‫مقدمو خدمات التأكيد الخارجيين‬

‫املراجعة الداخلية‬ ‫اإلدارة‬

‫التأكيد املستقل‬ ‫اإلجراءات (بما في ذلك إدارة املخاطر) لتحقيق األهداف التنظيمية‬

‫أدوارالخط الثالث‪:‬‬ ‫أدوارالخط الثاني‪:‬‬ ‫أدوارالخط األول‪:‬‬

‫التأكيد املستقل واملوضوعي واملشورة في جميع األمور‬ ‫تقديم الخبرات والدعم واملر اقبة وطرح التحديات‬ ‫تقديم املنتجات‪/‬الخدمات للعمالء ‪ +‬إدارة‬
‫املتعلقة بتحقيق األهداف‬ ‫بشأن املسائل املتعلقة باملخاطر‬ ‫املخاطر‪.‬‬

‫املواءمة‪ ،‬االتصال‪ ،‬التنسيق‪ ،‬التعاون‪.‬‬ ‫التفويض‪ ،‬التوجيه‪ ،‬املوارد‪ ،‬الرقابة‪.‬‬ ‫مفاتيح الرموز‬
‫املساءلة‪ ،‬التقرير‪.‬‬
 ‫امثلة عملية على املخاطر‬
‫• خطر االحتيال (مؤشرات ‪(Red Flags‬‬
‫• ارتفاع مستوى معيشة مدير املشتريات او رفضه لإلجازة السنوية او الترقية إلدارة اخرى‪.‬‬
‫• وجود عمليات مالية كبيرة ومتعددة في اخر العام املالي‬
‫• قيام املدير بمهام املوظفين‪.‬‬
‫• حرائق املستودعات‪.‬‬
‫• كميات كبيرة من مردودات املبيعات اول العام‪.‬‬
‫• ارتفاع نسبة املشتريات من موردين محددين‪.‬‬
 ‫امثلة عملية على املخاطر‬
‫الخطر‪ :‬استالم مشتريات غير مطابقة للمواصفات‬ ‫•‬
‫األثر ‪H‬‬ ‫االحتمالية ‪M‬‬ ‫•‬
‫الضوابط الرقابية للخطر‪:‬‬ ‫•‬
‫وجود لجان فنية الستالم املشتريات‬ ‫•‬
‫تحديد املواصفات بشكل واضح في العطاء‬ ‫•‬
‫الفصل في املهام بين املشتريات واالستالم‬ ‫•‬
‫التدويراملستمر للموظفين‬ ‫•‬
‫الئحة عقوبات في حالة التجاوزات‬ ‫•‬

‫الخطر ‪ :‬نقص عهدة املخازن‬ ‫•‬

‫األثر ‪H‬‬ ‫االحتمالية ‪L‬‬ ‫•‬
‫الضوابط الرقابية للخطر‪:‬‬ ‫•‬
‫الجرد الدوري و الجرد املفاجئ‬ ‫•‬
‫الرقابة الثنائية على أعمال املخازن‬ ‫•‬
‫توثيق عمليات اإلدخال واإلخراج‬ ‫•‬
‫الفصل في املهام بين الشراء واملخازن‬ ‫•‬
‫• الئحة عقوبات في حالة التجاوزات‬
 ‫امثلة عملية على املخاطر‬
‫الخطر‪ :‬وجود فواتيرشراء وهمية‬ ‫•‬
‫األثر ‪H‬‬ ‫االحتمالية ‪H‬‬ ‫•‬
‫الضوابط الرقابية للخطر‪:‬‬ ‫•‬
‫فصل املهام بين الشراء واالستالم‬ ‫•‬
‫الشراء من خالل لجان املشتريات‬ ‫•‬
‫التدويراملستمر ألعضاء لجان املشتريات‬ ‫•‬
‫تحديد صالحيات وسقوف للشراء املباشر‬ ‫•‬
‫الرقابة الثنائية على املشتريات‬ ‫•‬

‫الخطر‪ :‬خلل أنظمة الحاسوب‬ ‫•‬

‫األثر ‪H‬‬ ‫االحتمالية ‪L‬‬ ‫•‬
‫الضوابط الرقابية للخطر‪:‬‬ ‫•‬
‫خطة طوارئ‬ ‫•‬
‫نظام للصيانة الدورية‬ ‫•‬
‫نسخ احتياطية للمعلومات‬ ‫•‬
‫تأهيل وتدريب املوظفين‬ ‫•‬
 ‫حالة تطبيقية‬
‫حدث حريق كبير في مصانع الفوزان للبالستيك ادى لوفاة واصابة عدد من العمال واحد العمالء الذي دخل بشكل غير رسمي للمصنع‬
‫كما أدى هذا الحريق إلى خسائر ضخمة في معدات و آليات املصنع‪ .‬تقدر الخسائر املترتبة على هذا الحادث بحوالي ‪ 10‬مليون ريال‪.‬‬
‫تم تشكيل لجنة للتحقيق في املوضوع‪ .‬وكانت أهم املالحظات كالتالي‪:‬‬
‫عدم وجود طفايات حريق كافية في املخازن ‪،‬كما أن املوجود من طفايات الحريق منتهية الصالحية‪.‬‬
‫جميع مخارج الطوارئ مغلقة بسالسل ولذلك لم يتم استخدامها اثناء وقوع الحريق‪.‬‬
‫صفارات اإلنذار متعطلة نظرا النتهاء عقد الصيانة‪.‬‬
‫هناك عدد من الوفيات لعمالة على غير كفالة الشركة و تم التعاقد معهم بصورة مؤقتة‪.‬‬
‫ال يوجد حصر كافي لعدد املوجودين في املصنع بسب عدم وجود نظام تسجيل دخول للمصنع‪.‬‬
‫أسالك الكهرباء ممتدة في املصنع بطريقة غير أمنة‪.‬‬
‫لذا ترى اللجنة أن الشركة مسئولة بشكل كامل عن التعويضات للبضائع من حادث الحريق‪.‬‬
‫بعد وصول التقرير تحدث إليك املدير التنفيذي حول هذه املشكلة مستفسرا عن الوسائل التي يمكن تبنيها لتفادي مثل هذه الكارثة‬
‫مستقبال‪.‬‬
‫• املطلوب‪:‬‬
‫• ماهي اهم املخاطر التي تسببت في هذه الكارثة؟‬
‫• كيف يمكن تالفي تكرار هذه الكارثة؟‬
 ‫حاله عملية في إدارة املخاطر‬
‫• إدارة املراجعة الداخلية بجهة حكومية‬
‫• أهداف االدارة‬
‫• توفير برنامج مراجعه الي للتوسع في اعمال املراجعة الداخلية لتشمل كافة العمليات واإلدارات الهامة‬
‫• زيادة عدد موظفي اإلدارة الحاصلين على شهادة ‪CIA‬‬
‫• توظيف مراجعين متخصصين بمراجعة تقنية املعلومات واملشاريع‬
‫• ‪........................................‬‬
‫• املخاطراملتوقعة‬
‫• مخاطر محدودية املوارد املالية لشراء برنامج مراجعة جاهز‬
‫• مخاطر محدودية املوارد لتدريب موظفي اإلدارة على البرنامج االلي‬
‫• مخاطر عدم تجاوز امتحانات شهادة ‪CIA‬‬
‫• مخاطر استقالة موظفي اإلدارة بعد الحصول على شهادة ‪CIA‬‬
‫• ‪........................................‬‬
‫• املطلوب‬
‫• اقتراح أهداف و مخاطرأخرى‬
‫• ربط املخاطرباألهداف‬
‫• اختيارخطرواحد و اقتراح اليه إلدارته‬