تركز معظم المقالات المكتوبة عن التدقيق الداخلي وإدارة المخاطر على دور التدقيق الداخلي في التأكد من الإدارة الفعالة للمخاطر داخل خطوط الدفاع الأولى والثانية. ويتم منح القليل من الاهتمام لإدارة المخاطر داخل الخط الثالث نفسه.
اطلب سجل المخاطر من أي رئيس تنفيذي للتدقيق الداخلي الموجودة في وظيفة التدقيق الداخلي الخاصة به فهناك احتمالية بأنه سيعرض لك فيها المخاطر المتعلقة بعالم التدقيق. كل هذا جيد باستثناء حقيقة أن التدقيق الداخلي ليس جزءاً من عالم التدقيق. ومن المتوقع أن تحدد الإدارة مجموعةً من الضوابط للتأكد من أن الأعمال تسير كما هو مخطط. يتم تنفيذ التقييم الذاتي للرقابة بشكل منتظم أو تنفيذ ما شابه ذلك من الأساليب لرصد الفعالية المستمرة لهذه الضوابط. باختصار، هذا ما يتوقعه التدقيق الداخلي عند تدقيق أي وحدة من وحدات الأعمال. ولكن هل يطبق التدقيق الداخلي نفس المعايير؟ الإرشاد التطبيقي رقم ٢١٢٠-٢: إدارة المخاطر الخاصة بنشاط التدقيق الداخلي١ تؤكد أن “نشاط التدقيق الداخلي ليس بمنأى عن المخاطر. فهو يحتاج إلى اتخاذ الخطوات اللازمة لضمان أنه يقوم بإدارة المخاطر الخاصة به”. فأين سجل المخاطر الخاص بإدارة التدقيق الداخلي، بما في ذلك تقييم المخاطر الجسيمة، والضوابط، والمخاطر المتبقية؟ أين التقييم الذاتي للرقابة الخاص بإدارة التدقيق الداخلي؟ هل هناك عملية لإدارة المخاطر التي أُنشئت في إطار وظيفة التدقيق الداخلي؟ تكون هذه العملية عادةً مثلها مثل أي عملية من عمليات إدارة المخاطر، وينبغي أن تتضمن المراحل الآتية:
- تحديد المخاطر: ما هي المخاطر التي تواجه التدقيق الداخلي؟
- تقييم المخاطر: ما مدى خطورة تلك المخاطر؟ يتم تقييمها غالباً من خلال تطبيق مصفوفة الاحتمال والتأثير.
- تخفيف المخاطر: قبول المخاطر أو تخفيفها أو نقلها بناءاً على خطورتها.
- رصد المخاطر: البحث عن المخاطر الجديدة، والتغييرات التي تطرأ على تقييم المخاطر للمخاطر القائمة وفاعلية الإجراءات التي يتم اتخاذها لتخفيف المخاطر.
نأخذ مثالاً على المخاطر المتعلقة بالأفراد وهي مجموعة فرعية من المخاطر التشغيلية. عندما يسأل الرئيس التنفيذي للتدقيق الداخلي عن المخاطر المتعلقة بالأفراد، فقد يتبادر إلى ذهنه التوظيف ونقص المهارات وما إلى ذلك. كل تلك المخاطر التي قد تؤثر على تنفيذ خطة التدقيق في الوقت المناسب. ولكن هذا جانب واحد فقط من المخاطر المتعلقة بالأفراد. والجانب الآخر هو الخطر الذي يواجه موظفي التدقيق الداخلي أو يظهر أثناء أدائهم وظائفهم. تساعد السيناريوهات التالية التي يستند معظمها إلى الحوادث التي ظهرت في الأخبار إلى رفع مستوى الوعي لهذا النوع من المخاطر المتعلقة بالأفراد.
المساعدة الطبية
يتم إرسال مدقق داخلي من الولايات المتحدة لتدقيق شركة تابعة في المناطق الريفية في الصين. في مساء يوم وصوله، تعرَّض لتمزق في الزائدة الدودية وكان يحتاج إلى علاج طبي عاجل. فكر في:
- من سيُحضر المدقق إلى المستشفى ويساعد في الترجمة؟
- من سيبلغ الشركة؟
- من سيتولى مسؤولية تأمين الممتلكات الشخصية وأصول الشركة (أجهزة الكمبيوتر المحمول والهواتف الذكية) من غرفة الفندق؟
- من سيأذن بسداد أي مدفوعات إذا كانت المستشفى ترغب في تسلم الرسوم نقداً؟
نقطة البداية:
ماذا تنص المعايير؟
تنصح المعايير١ الرؤساء التنفيذيين للتدقيق بالتصدي للمخاطر المتعلقة بإدارة التدقيق الداخلي وأهدافها وتحديد ثلاث فئات للمخاطر:
١. فشل التدقيق: وهذا يشير إلى عدم قدرة إدارة التدقيق الداخلي أو “فشلها” في تحديد التوصيات أو تقديمها لمنع فشل الرقابة. والسؤال المطروح عادةً هو “أين كان المدققون الداخليون؟” تشمل أسباب فشل التدقيق التقييمات السيئة للمخاطر وإجراءات التدقيق المصممة بشكلٍ غير صحيح والمدققين ممن ليس لديهم مهارات في المجال الذي يقومون فيه بالتدقيق وما إلى ذلك.
٢. تأكيد خاطئ: يحدث هذا عندما ترى الإدارة أن المدققين الداخليين يغطون مجالاً أو مخاطر معينة في حين أن الأمر ليس كذلك. من المهم أن يتم التأكد من أن المخاطر التي تم تدقيقها واضحة وأن تدخُّل التدقيق الداخلي في المشاريع محدد بوضوح.
٣. مخاطر السمعة: بينما يشعر الرؤساء التنفيذيون للتدقيق بالقلق إزاء سمعتهم لكونهم مدققين داخليين، قد تكون هناك تسميات أسوأ كثيراً تنتج عن الأشكال المختلفة لفشل الرقابة في المؤسسة ونوعية موظفي التدقيق الداخلي وسلوكيات المدققين.
المصدر: معايير الإطار الدولي للممارسات المهنية للتدقيق الداخلي
نقطة النهاية:
القوانين والتشريعات المحلية
يتم إرسال مدقق داخلي من أوروبا لتدقيق شركة تابعة في سنغافورة. أثناء انتظار سيارة الأجرة، بصق العلكة وقام ضابط شرطة قريب بتغريمه مبلغ ١٬٠٠٠ دولارٍ سنغافوري (٨٠٠ دولار أمريكي). فكر في:
- هل يتلقى المدققون الداخليون ممن يسافرون إلى الخارج تعليمات بشأن القوانين والتشريعات المحلية؟
- هل هناك اتفاق حول من يجب عليه تحمل تكاليف الغرامات لسوء السلوك الذي لا يكون عملاً إجرامياً في بلده؟
إجراءات الطوارئ
يُجري أحد المدققين الداخليين من المملكة المتحدة حالياً تدقيقاً في أحد مواقع التنقيب عن النفط في روسيا. بينما هو هناك، اندلع حريق داخل الموقع. جميع علامات الطوارئ مكتوبة بالحروف السّيريلية. فكر في:
- هل يتلقى المدققون الداخليون تعليماتٍ بشأن إجراءات الطوارئ المحلية أثناء عملهم في مكان مختلف؟
- هل هناك إجراء عام يتعلق بالكيفية التي ينبغي أن يتصرف بها المدققون الداخليون في حالة وقوع كارثة؟
التهديدات
يجري فريق التدقيق تحقيقات في شبهة تزوير في أحد الفروع. بعد عودتهم من الغداء وجدوا خطاباً في غرفتهم يبلغهم بضرورة المغادرة على الفور وإلا فسوف يتم قتلهم. فكر في:
- من يجب إبلاغه داخل الشركة؟
- هل ينبغي إبلاغ الشرطة؟
- هل ينبغي إجلاء فريق التدقيق عن الموقع أم البقاء والانتهاء من التحقيقات؟
احتيال
يختلس المدقق الداخلي الذي يسافر كثيراً أموالاً من مطالبات نفقته. فكر في:
- المدققون الداخليون يكونون محل ثقة. هل هناك طرق يمكنهم بها إساءة استخدام هذه الثقة؟ هل هناك ضوابط حاكمة؟
- هل يتلقى التدقيق الداخلي نفس المستوى من الفحص الدقيق مثل أعضاء فريق العمل الآخرين عند تقديم المطالبات وما إلى ذلك؟
“إدارة التدقيق الداخلي ليست خالية من المخاطر”
حماية البيانات
يحضر مدقق داخلي ألماني مؤتمراً حول جمعية المدققين الداخليين في الولايات المتحدة. يأخذ معه الكمبيوتر المحمول الخاص بأعماله. أثناء اضطلاعه بمهام التدقيق الأخيرة في ألمانيا، قام بتدقيق الموارد البشرية في شركته بما في ذلك عملية وضع كشف الأجور والرواتب. تم تخزين الكثير من معلومات كشف الأجور والرواتب على الكمبيوتر المحمول الخاص به. يشير حمل الكمبيوتر المحمول إلى الولايات المتحدة إلى نقل هذه المعلومات خارج الاتحاد الأوروبي. قد يكون ذلك انتهاكاً لقانون حماية البيانات الأوروبية ويمكن أن يؤدي إلى مخاطر السمعة. فكر في:
- ما هي المعلومات المخزنة على أجهزة الكمبيوتر المحمولة أو الهواتف الذكية؟
- كيف تتم حماية هذه المعلومات؟
- هل هناك أي قيود على نقل المعلومات إلى دول أخرى؟
تواجه إدارة التدقيق الداخلي أكثر من مجرد المخاطر المتعلقة بالأشخاص. يحتاج الرئيس التنفيذي للتدقيق الداخلي إلى توثيق هذه المخاطر وتحديدها وكيفية التصدي لها. علاوة على ذلك، وفقاً لحجم الإدارة وتعقيد العمليات، يتسنى للرئيس التنفيذي للتدقيق الداخلي ١- تقديم تقييم للمخاطر الجسيمة ووضع الضوابط الحالية للمخاطر المحددة وتحليل الأسباب الجذرية. ٢- جلب الضوابط المعمول بها داخل مستوى المخاطر المقبول. ٣- تنفيذ التقييم الذاتي للرقابة بشكل مستمر لتأكد من فعالية الرقابة.
الخلاصة
يمثل تقييم فاعلية إدارة المخاطر وخط الدفاع الأول جزءاً مهماً من عمل التدقيق الداخلي. ولكن من المهم أيضاً أن يطبق التدقيق الداخلي نفس معايير إدارة المخاطر التي تتوقع مواجهتها أثناء عملية التدقيق على نفسه. يجب أن يكون لدى كل رئيس تنفيذي للتدقيق سجل لإدارة المخاطر المتعلقة بوظيفة التدقيق الداخلي يبين جميع المخاطر التي تواجه التدقيق الداخلي والخطوات اللازمة لإدارة هذه المخاطر.