تعريف نظام الرقابة الداخلية

نظام الرقابة الداخلية (Internal Control System): هو نظام تصممه وتطبقه الإدارة والمسؤولون عن الحوكمة لتقديم تأكيد معقول (Reasonable Assurance) بتحقيق أهداف الشركة في ثلاث مجالات (يشار إليها اختصاراً بـ CFO).

  • الامتثال (Compliance - C): الامتثال للقوانين واللوائح.
  • التقارير المالية (Financial Reporting - F): دقة وموثوقية التقارير المالية.
  • العمليات (Operations - O): كفاءة وفعالية العمليات التشغيلية.
مكونات الرقابة الداخلية (نموذج CRIME)

يتكون نظام الرقابة من خمسة عناصر أساسية تعمل معاً:

المكون (CRIME)الوصف
البيئة الرقابية (Control Environment)هي الأساس، وتشمل ثقافة الإدارة، والتزامها بالنزاهة، وتدريب الموظفين، وفصل المهام (Segregation of Duties).
تقييم المخاطر (Risk Assessment)قدرة الشركة على تحديد وتحليل المخاطر التي قد تمنعها من تحقيق أهدافها.
الأنشطة الرقابية (Control Activities)الإجراءات الفعلية التي تُطبق، مثل الاعتمادات، والمقارنات، والرقابة المادية على الأصول (يختصرها المحاضر في CAR CAP).
نظام المعلومات (Information System)كيفية نقل البيانات والتقارير داخل المؤسسة لضمان وصول المعلومات الصحيحة لمن يحتاجها.
المتابعة (Monitoring)تقييم جودة أداء الرقابة الداخلية بمرور الوقت، وغالباً ما يقوم بها قسم المراجعة الداخلية.
حدود الرقابة الداخلية (Limitations)

الرقابة لا تمنع الأخطاء بنسبة 100% بسبب:

  • الأخطاء البشرية (Human Error): السهو أو الخطأ غير المقصود.
  • التواطؤ (Collusion): اتفاق أكثر من موظف للتحايل على النظام.
  • التكلفة مقابل المنفعة: أحياناً تكون تكلفة تطبيق الرقابة أعلى من الفائدة المرجوة منها.
  • تجاوز الإدارة (Management Override): قدرة المديرين على كسر القواعد.
طرق تسجيل وفهم النظام للمراجع

يستخدم المراجع عدة طرق لتوثيق فهمه لنظام الرقابة بالشركة:

  • المذكرات التفسيرية (Narrative Notes): وصف كتابي مفصل للنظام.
  • خرائط التدفق (Flow Charts): رسم بياني يوضح تسلسل العمليات.
  • استبيانات الرقابة الداخلية (Questionnaires): قوائم أسئلة (نعم/لا) لتقييم وجود نقاط الرقابة.
تقييم الرقابة الداخلية (ICQ vs. ICEQ)
النوعالوصف
ICQ (Internal Control Questionnaire)قائمة أسئلة تركز على وجود الرقابة من عدمه، وتكون الإجابة عليها عادة بـ "نعم" أو "لا".
ICEQ (Internal Control Evaluation Questionnaire)تركز على فعالية الرقابة في منع الأخطاء. الأسئلة هنا تكون مفتوحة (Open-ended) مثل "كيف تضمن الشركة..."، مما يتيح للمراجع فهم البدائل الرقابية التي قد لا تتبع النمط التقليدي.
اختبار الرقابة (Test of Controls) وأدلة المراجعة

اختبار الرقابة (Test of Controls): اختبار يهدف للتأكد من مدى فعالية الرقابة الداخلية ونجاحها في منع وقوع الأخطاء أو اكتشافها وتصحيحها بعد وقوعها.

ملاحظة: لا يقوم المراجع بهذا الاختبار إلا إذا كان تقييمه المبدئي للنظام يوحي بأنه "جيد" ويستحق الاعتماد عليه.

أدلة المراجعة (Audit Evidence): يتم الحصول عليها من خلال طريقتين أساسيتين:

  • اختبارات الرقابة (TOC): لفحص فعالية النظام.
  • إجراءات التحقق الأساسية (Substantive Procedures): للتحقق من صحة الأرقام والمعالجات المحاسبية في القوائم المالية.
الإجراءات المستخدمة في اختبارات الرقابة (AEIOU)

استخدم المحاضر الحروف المتحركة (AEIOU) لتلخيص الإجراءات:

الإجراءالوصف
الاستفسار (Inquiry)سؤال الموظفين (يصلح للرقابة وللتحقق الأساسي).
الفحص (Inspection)فحص المستندات للتأكد من وجود توقيعات أو أختام اعتماد.
الملاحظة (Observation)مراقبة عملية تتم أمام المراجع، مثل ملاحظة جرد المخزن.
إعادة الأداء (Re-performance)أن يقوم المراجع بنفسه بإجراء رقابي للتأكد من فاعليته، مثل محاولة إدخال فاتورة تتجاوز الحد الائتماني للعميل للتأكد من أن السيستم سيرفضها.

ملاحظة: الإجراءات التحليلية (Analytical Procedures) وإعادة الحساب (Re-calculation) لا تستخدم عادة في اختبارات الرقابة، بل في إجراءات التحقق الأساسية.

الرقابة في بيئة تكنولوجيا المعلومات (IT Controls)

تنقسم الرقابة في الأنظمة المحوسبة إلى قسمين:

الرقابة العامة (General Controls): هي الضوابط التي تحكم البيئة التقنية بالكامل في الشركة.

  • كلمات المرور للدخول إلى النظام.
  • الرقابة المادية على غرف السيرفرات (الأبواب المغلقة).
  • النسخ الاحتياطي للبيانات (Back-up).
  • معايير تصميم وتطوير البرمجيات داخل الشركة.

رقابة التطبيقات (Application Controls): هي ضوابط مخصصة لكل تطبيق أو برنامج (مثل برنامج الحسابات) لضمان دقة المعالجة.

  • ضوابط الإدخال (Input Controls): مثل منع إدخال حروف في حقل التاريخ، أو التأكد من مطابقة كود المورد لاسمه.
  • ضوابط الاكتمال (Completeness): مثل مراجعة عدد الفواتير المدخلة يدوياً ومطابقتها بما يظهره السيستم.
  • ضوابط المعالجة (Processing Controls): مثل ظهور رسائل تحذيرية عند محاولة إغلاق البرنامج قبل إتمام عملية الترحيل.
خطاب الإدارة (Management Letter) والتواصل مع المسؤولين عن الحوكمة (TCWG)

خطاب الإدارة (Management Letter): هو خطاب يرسله المراجع للإدارة لتوضيح نقاط الضعف (Deficiencies) التي اكتشفها في نظام الرقابة، مع تقديم توصيات لتحسينها.

يتكون الخطاب عادة من:

  • غلاف (Cover Letter): يوضح فيه المراجع مسؤوليته، وأن هذه العيوب هي ما تم اكتشافه خلال المراجعة فقط وليست حصراً لكل مشاكل الشركة.
  • ملحق (Appendix): جدول يحتوي على وصف لكل خلل (Deficiency) والتوصية المقترحة لعلاجه (Recommendation).

التواصل مع المسؤولين عن الحوكمة (Those Charged with Governance - TCWG): معيار 260 يفرض التواصل مع لجنة المراجعة (Audit Committee) أو مجلس الإدارة لعدة أسباب:

  • مساعدتهم في فهم المسائل المتعلقة بالمراجعة.
  • ضمان إزالة أي عوائق تقابل المراجع.
  • الحصول على معلومات منهم تساعد في عملية المراجعة.
  • مساعدتهم في أداء مسؤوليتهم في الإشراف على التقارير المالية.