يُعتمد دليل ميثاق ومنهجية التدقيق الداخلي للحكومة الاتحادية المرفق بهذا القرار.

يُلغى قرار مجلس الوزراء رقم (1) لسنة 2013 باعتماد ميثاق ومنهجية التدقيق الداخلي للحكومة الاتحادية.

يُعمل بهذا القرار من تاريخ صدوره، ويُنشر في الجريدة الرسمية.

في ميثاق ومنهجية التدقيق الداخلي يقصد بالكلمات والمفردات التالية المعاني الموضحة قرين كل منها مالم يقض سياق النص بغير ذلك:

في إطار سعيها لتطوير معايير وأسس وقواعد التدقيق الداخلي في الحكومة الاتحادية وفقاً للمعايير الدولية المهنية وأفضل الممارسات، قامت الوزارة بتطوير هذا الدليل حيث يوفر إطار عمل موحد لأنشطة وعمليات التدقيق الداخلي في الحكومة الاتحادية بهدف دعم مكاتب التدقيق الداخلي في كافة الجهات الاتحادية، ومساعدة المدققين الداخليين على أداء عملهم عبر الالتزام بأفضل المعايير المهنية مثل معايير معهد المدققين الداخليين. وعليه، فهذا الدليل ملزم لكافة الجهات الاتحادية.

أخذت وزارة المالية، عند إعداد هذا الدليل، بالاعتبار أن تكون الهيكلية مرنة وشاملة لكافة المراحل الضرورية للمحافظة على إدارة فاعلة للتدقيق وتقييم المخاطر قائمة على منهجية مهنية للتدقيق الداخلي يمكن تطبيقها والاسترشاد بها من قبل كافة الجهات الاتحادية بغض النظر عن حجمها أو طبيعة عملها وعليه، فلا يمكن اعتبار هذا الدليل مرجعاً شاملاً لكافة تفاصيل عمليات التدقيق.

وضماناً للإستخدام الصحيح والفهم الكامل لهذا الدليل، يجب الرجوع بشكل مستمر إلى الأبواب والفصول المختلفة فيه بحسب المرحلة أو العملية المراد تنفيذها.

ثم إعداد هذا الدليل بما يتوافق مع الإطار المهني الدولي لممارسة أعمال التدقيق الداخلي والمعايير والارشادات الدولية للممارسات المهنية للتدقيق الداخلي كما هي محددة من هيئات دولية مثل معهد المدققين الداخليين، مع مراعاة خصوصيات وبيئة العمل في الحكومة الاتحادية بدولة الإمارات العربية المتحدة.

يجب على المدققين في الجهات الاتحادية أن يكونوا على دراية بمحتويات هذا الدليل قبل البدء بتنفيذ أي عمليات تدقيق داخلي، ذلك أن هذا الدليل يتضمن الأطر والقواعد الخاصة بنشاط التدقيق الداخلي التي تم اعتمادها في الحكومة الاتحادية.

يقوم التدقيق الداخلي بأداء نشاط مستقل وموضوعي وفقاً للمعايير المهنية الصادرة عن هيئات دولية، ويقدم تأكيدات وخدمات استشارية بهدف إضافة قيمة للجهة وتحسين عملياتها، حيث يساعد هذا النشاط في تحقيق أهداف الجهة الاتحادية من خلال اتباع أسلوب منهجي منظم لتقييم وتحسين فاعلية عمليات الحوكمة وإدارة المخاطر والرقابة.

تهدف رسالة التدقيق الداخلي إلى تعزيز وحماية قيم الجهة الاتحادية من خلال تقديم التأكيد والمشورة الموضوعية المستندة إلى تقييم درجة المخاطر.

إن الأهداف الرئيسية لمكتب التدقيق الداخلي هي تقديم تأكيدات للإدارة العليا بالجهة الاتحادية عن كفاءة وفعالية السياسات والإجراءات المتبعة لإدارة المخاطر الرئيسية إضافة لتقييم كفاءة إدارة المخاطر، والضوابط الرقابية، وعمليات الحوكمة وتقديم التوصيات والاستشارات المستقلة لمساعدتها على الاضطلاع بواجباتها ومسؤولياتها.

وفقاً للمعايير الدولية للتدقيق الداخلي معيار رقم 1000 في شأن الأهداف، الصلاحيات والمسؤوليات فإنه يجب تحديد الهدف من التدقيق الداخلي قبل المباشرة بعملية التدقيق وتماشياً مع معيار رقم 2210 في شأن أهداف المهمة فإنه يتم تحديد الأهداف عن طريق ما يلي:

- إجراء تقييم أوّلي للمخاطر ذات العلاقة بالنشاط الذي يتم التدقيق عليه، ويجب أن تعكس أهداف مهمة التدقيق نتائج ذلك التقييم

- الأخذ بعين الاعتبار عند تحديد أهداف مهمة التدقيق احتمال وجود أخطاء جوهرية أو عمليات احتيال أو حالات عدم تقيد أو مخاطر أخرى.

- وجود مقاييس ملائمة ضروري لتقييم الحوكمة وإدارة المخاطر والضوابط الرقابية ويجب أن يتأكد المدققون الداخليون إلى أي مدى قامت الإدارة العليا بوضع مقاييس لتحديد ما إذا كانت الأهداف والغايات تم تحقيقها، وإذا كانت المقاييس ملائمة فإنه يجب على المدققين الداخليين استعمالها في تقييمهم، وأما إذا كانت غير ملائمة فإنه فيجب على المدققين الداخليين أن يحددوا مقياس التقييم المُناسب من خلال النقاش مع الإدارة العليا.

- عدم الخضوع للشروط والظروف التي تهدد قدرة نشاط التدقيق الداخلي أو مدير مكتب التدقيق على الاضطلاع بمسؤوليات التدقيق الداخلي على نحو غير متحيز، وحتى يتسنى تحقيق درجة الاستقلالية اللازمة للأداء الفعال لمسؤوليات نشاط التدقيق الداخلي يكون لمدير مكتب وفريق عمل التدقيق الداخلي إمكانية الوصول المباشر وبدون أي قيود إلى الإدارة العليا، ويمكن تحقيق ذلك من خلال الارتباط المزدوج بحيث يتبع مكتب التحقيق الداخلي إدارياً لأعلى منصب إداري في الجهة الاتحادية "الإدارة العليا" ويتبع فنياً لجنة التدقيق وذلك وفقاً للإطار الدولي للمارسات المهنية الخاص بالتدقيق الداخلي، يجب أن يتم التحكم في المصادر التي تهدد الاستقلالية على مستوى المدقق الداخلي منفرداً وعلى مستوى مصالح مهمات التدقيق والمستويين الوظيفي والتنظيمي "معيار رقم 1100 في شأن الاستقلالية والموضوعية".

- يعتبر مفهوم الاستقلالية بشكل عام حجر الزاوية في أي عملية رقابية أو تقييمية، حيث يشير مفهوم الاستقلالية إلى البعد عن تضارب العلاقة أو المصالح التي تتطلب من المدقق أن يكون مستقلاً عن الأنشطة التي يقوم بالتدقيق عليها وأن يكون بعيداً عن تأثير الجهة التي يتولى مراجعة عملياتها وأن يكون بعيداً عن تأثير مصالحه الشخصية في الجهة، وهذا يعني شعور الممارسين بأنهم قادرين على اتخاذ قراراتهم بدون ضغوط أو انصياع لمن تكون القرارات لها تأثير عليهم.

- وبناءً على ما سبق فإنه يجب أن يمتنع المدققون الداخليون عن تقييم العمليات التي كانوا مسؤولين عنها فيما سبق بحيث أنه من المرجح أن تضعف موضوعية المدقق الداخلي عندما يكون بصدد تقديم خدمات تأكيد تتعلق بنشاط كان مسؤولاً عن أدائه خلال السنة السابقة، كما أنه يجب أن يقوم طرف خارجي عن نشاط التدقيق الداخلي بالإشراف على أي مهام تأكيد تتعلق بالوظائف التي كان مدير مكتب التدقيق الداخلي يتولى مسؤولية ما تتعلق بها.

- بالرغم مما سبق فإن ذلك لا يمنع المدققين الداخليين أن يقدموا خدمات استشارية تتعلق بالعمليات التي كانوا مسؤولين عنها فيما سبق، إلا إذا كانت هناك أي معوقات محتملة لاستقلالية وموضوعية المدققين الداخليين تتعلق بخدمات استشارية مقترحة، فيجب في هذه الحالة إبداء الإفصاحات اللازمة للإدارة العليا.

لمكتب التدقيق الداخلي صلاحية غير مقيدة وغير محددة للاطلاع على كافة الأنشطة، والسجلات، والوثائق والأصول والممتلكات والأنظمة الإلكترونية بصورة فعلية، والاتصال المباشر بكافة المستويات الإدارية بما يمكنه من أداء مهمته على أكمل وجه، وكذلك يملك المكتب صلاحية تحديد طبيعة وكيفية ونطاق وتوقيت أعمال التدقيق الداخلي المختلفة وفق نطاق العمل المشار إليه أدناه.

يتولى مكتب التدقيق الداخلي "وفقاً للمعايير الدولية للتدقيق الداخلي رقم 1000 في شأن الأهداف، الصلاحيات والمسؤوليات" أعمال التدقيق الداخلي في الجهة الاتحادية، كما يشتمل نطاق عمل التدقيق الداخلي على العديد من خدمات التأكيد والخدمات الاستشارية، وفيما يلي أمثلة على كل منها:

1 – خدمات التأكيد وتتضمن على سبيل المثال لا الحصر ما يلي:

بهدف تدقيق الالتزام إلى مراجعة بعض الأنشطة المالية أو التشغيلية للجهة الاتحادية بغرض تحديد مدى توافقها مع شروط وقواعد وأنظمة محددة، ومن مسؤوليات التدقيق الداخلي تحديد ما إذا كانت أنظمة الرقابة الداخلية كافية وفعالة، والتحقق من التزام الإدارات التي يتم التدقيق عليها بالمتطلبات التشريعية والقوانين ذات العلاقة.

يهدف هذا النوع من التدقيق إلى مراجعة منهجية الأنشطة التشغيلية لدى الجهة الاتحادية مقارنةً بأهداف محددة، ويمكن أن يعبر عنها كتدقيق القيمة المضافة المحصلة مقارنة بالموارد المستخدمة أو التدقيق الإداري، ويسمح هذا النوع من التدقيق بتقييم الأداء وتحديد الفرص المتاحة بغرض التطوير وإصدار التوصيات بهذا الشأن.

إن تدقيق نظم تقنية المعلومات وأمنها قد تم تصميمه لمراجعة مواطن القوة والضعف بالسياسات الحالية لهذه النظم ووسائل إخراج النتائج وتحديد أوجه القصور في المهارات والمعرفة بين استراتيجية الجهة الاتحادية وتلك الخاصة بمدراء نظم تقنية المعلومات، وذلك بغرض تقديم الاستشارات والتوصيات الخاصة بأنظمة الرقابة الداخلية لكل مستويات الإدارة، إلا أنه من المهم أيضاً التأكيد على توازن المخاطر مع الاستثمار في أنظمة الرقابة الداخلية في ظل بيئة نظم تقنية المعلومات المليئة بالمفاجآت والتغيرات، كما يمكن الاستعانة بمتخصصين في هذا المجال عند الحاجة.

خدمات الاستشارات هي عن أنشطة تقدم المشورة والخدمات المتعلقة بها والتي يتم الاتفاق علي طبيعتها ونطاقها مع طالب الخدمة، ويكون الهدف الرئيسي منها توفير قيمة مضافة لعمليات الجهة الاتحادية وتحسين إجراءات الحوكمة وإدارة المخاطر والرقابة وذلك دون أن تناط أي مسؤوليات إدارية أو تنفيذية بالمدقق الداخلي في هذا السياق، مثال على ذلك تقديم النصح والإرشاد والتدريب.

(الإرشاد التطبيقي رقم 1000/أ/1 - 2)

كما ينبغي أخذ بعض المبادئ في الحسبان عند القيام بأي أعمال استشارية وفقاً (الإرشاد التطبيقي رقم 11000/أ/1 - 1) منها على سبيل المثال لا الحصر:

أ- القيمة المضافة والمتوقعة من الخدمة المقدمة.

ب- التوافق مع مفهوم التدقيق الداخلي.

ج- خدمات التدقيق الداخلي التي تتعدى خدمات التأكيد والخدمات الاستشارية.

د- العلاقة بين خدمات التأكيد والخدمات الاستشارية.

تتضمن تلك الخدمات الاستشارية على سبيل المثال لا الحصر ما يلي:

- النظم المتبعة في السياسات العامة، ومدى التزامها بالقوانين والأنظمة والتعليمات والإجراءات ذات الصلة.

- مدى سلامة وتكامل المعلومات والبيانات المالية وغير المالية والتقارير ومدى الاعتماد عليها في اتخاذ القرارات.

- الأساليب والنظم المستخدمة التي تكفل حماية أصول وممتلكات الجهة الاتحادية، والتحقق من الأسس المتبعة في تقييمها، والإفصاح عنها في القوائم المالية، والوجود الفعلي لها.

- مدى فاعلية واقتصادية توظيف الموارد المتاحة للجهة الاتحادية.

- مدى فاعلية نظم إدراة المخاطر في الجهة الاتحادية للتحقيق من سلامة أساليب تحديدها وتقييمها، وكذلك التحقق من إدارتها بكفاءة (تجدر الإشارة إلى أن مسؤولية إعداد سجل المخاطر وإدارة المخاطر تقع على عاتق الإدارة المعنية بالجهة الاتحادية – الإرشاد التطبيقي 3/2100).

- التحقق من كفاية وفاعلية عناصر آليات الرقابة والحوكمة المؤسسية التي تمارس من قبل الأطراف ذات العلاقة بالجهة الاتحادية، وأتساقها مع أعمال الجهة الاتحادية.

- التحقق من وجود المستوى الملائم من الأدوات الرقابية بنظم الحاسب الآلي المطبقة، واكتمال وصحة توثيق تلك الأنظمة، وتحقيقها لأهداف المستخدمين والإدارة، وكذلك تقييم مدى حسن استخدام الموارد المتاحة.

- المشاركة في تقييم المخاطر وإعطاء المشورة بكيفية تطوير الضوابط الفعالة للمشاريع الجديدة أو أنظمة الحاسوب المعدلة.

- القيام بالمراجعة اللازمة قبل القيام وبعد الانتهاء من مشاريع تطوير أنظمة وبرامج الحاسوب ذات الآثار المهمة على عمل الجهة الاتحادية في الوقت المناسب.

- موضوعات أخرى محددة ذات علاقة بطبيعة أعمال التدقيق، وذلك بناءً على تكليف من الإدارة العليا.

تحدد مهام ومسؤوليات نشاط التدقيق الداخلي تحديداً واضحاً ضمن ميثاق التدقيق الداخلي بما يتماشى مع رسالة التدقيق الداخلي والعناصر الإلزامية من الإطار الدولي للممارسات المهنية وهي كالتالي:

1- القيام بأعمال التدقيق الداخلي وفقاً للأسس والقواعد والمعايير المتعارف عليها قانونياً (التزام) ومالياً (التأكيد) وإدارياً (التشغيل) للتحقق من مدى التزام الإدارات بتطبيق كافة النظم واللوائح المالية والإدارية والتشغيلية المعمول بها في الجهات الاتحادية.

2- اتباع المعايير المهنية ومعايير أخلاقيات المهنية التي يصدرها معهد المدققين الداخليين (IIA)، وأي تغييرات ذات علاقة تصدر مستقبلاً.

3- إعداد خطة التدقيق الداخلي الاستراتيجية والسنوية بالتشاور مع الإدارة العليا.

4- إعداد تقييم للمخاطر التي قد تؤثر على أهداف وأنشطة وعمليات المكتب وتطوير السياسات والإجراءات الكفيلة بالحد منها.

5- دراسة التقارير المقدمة من الجهات الرقابية للتحقق من مدى التزام الإدارات بتطبيق كافة النظم واللوائح المالية والإدارية المعمول بها في الحكومة الاتحادية.

6- المساعدة في التحقيق في أعمال الغش والتلاعب المشتبه به، وإعلام الإدارة بالنتائج مع عدم الإخلال باختصاص ديوان المحاسبة.

7- تقديم تقرير شامل للإدارة العليا حول نتائج التدقيق ونتائج دراسة ومتابعة تقارير الجهات الرقابية الأخرى وتقييم كفاءة العمل في الإدارات وتقديم الاقتراحات والتوصيات المناسبة.

8- مساعدة الجهة على الاحتفاظ بنظم فعالة في الرقابة الداخلية من خلال تقييم كفاءة وفعالية هذه النظم، وتقديم الاقتراحات الفعالة باتجاه التحسين المستمر.

9- التنسيق مع الإدارات خلال مرحلة التخطيط ومتابعة تنفيذ التوصيات والملاحظات الواردة في تقارير ديوان المحاسبة.

10- اقتراح معايير رقابية إضافية أو أي أمور تؤدي إلى التطوير والتحسين المستمر وإضافة قيمة للجهة.

11- الامتناع عن أداء أي مسؤوليات إدارية أو تنفيذية ذات علاقة بتصميم نظم الرقابة الداخلية أو تنفيذها. والتي من شأنها التأثير على استقلاليته وموضوعيته تجاهها، كما الامتناع عن تولي أي مسؤولية أو صلاحية تنفيذية للأعمال التي يقوم بتدقيقها، ولا يمنع ذلك من إبداء الرأي والمشورة حيال النظم قبل وبعد تطبيقها أو اقتراح معايير رقابية إضافية، وعلى وجه الخصوص عملية تقييم المخاطر، والتي تعتبر من مسؤولية الإدارة المعنية.

ليتمكن مكتب التدقيق الداخلي من أداء مهامه وواجباته بالكفاءة المهنية المطلوبة، يجب مراعاة الأمور التالية:

- امتلاك المدققين الداخليين المعرفة والمهارات والكفاءات الأخرى اللازمة لتنفيذ المسؤوليات المنوطة بكل منهم، ويتعين على نشاط التدقيق الداخلي ككل أن يمتلك أو يكتسب المعلومات والمهارات والكفاءات الأخرى اللازمة لتنفيذ مسؤولياته. "معيار التدقيق الداخلي رقم 1200 في شأن المهارات والعناية المهنية اللازمة".

- يجب على مدير مكتب التدقيق الحصول على المشورة والمساعدة من أشخاص مؤهلين إذا كان المدققون الداخليون يفتقدون إلى المعرفة والخبرات ومختلف المهارات اللازمة لتنفيذ كل أو جزء من مهمة التدقيق.

"معيار التدقيق الداخلي رقم 1210/ت/1".

- أن يتمتع المدققون الداخليون بالمعرفة الكافية التي تمكنهم من تقييم مخاطر الاحتيال والكيفية التي تدير بها الجهة تلك المخاطر إلا أنه ليس متوقعاً منهم أن تكون لديهم نفس خبرة الشخص الذي تكون مسؤوليته الرئيسية اكتشاف الاحتيال والتحقيق فيه. "معيار التدقيق الداخلي رقم 1210/ت/2".

- أن يكون لدى المدققين الداخليين معرفة كافية بأهم مخاطر تكنولوجيا المعلومات والضوابط الرقابية المتعلقة بها، وكذلك تكون لديهم معرفة بتقنيات التدقيق المعتمدة على التكنولوجيا المتوفرة من أجل إنجاز أعمالهم. إلا أنه ليس من المتوقع أن يكون لدى جميع المدققين الداخليين نفس الخبرة التي يتمتع بها المدقق الداخلي الذي تكون مسؤوليته الأساسية تدقيق نظام المعلومات. "معيار التدقيق الداخلي رقم 1210/ت/3".

ملاحظة: في حال حاجة مكتب التدقيق الداخلي في أي من الجهات الاتحادية لتخصيص بنود معينة فيما يتعلق بمهام وواجب المكتب أو نطاق عملهم، فإنه يمكن إضافة تلك الأمور في ملحق للميثاق المعتمد في هذا الدليل، ويجب اعتماد الملحق من الإدارة العليا.

- تتبع مكاتب التدقيق الداخلي بالجهات الاتحادية للإدارة العليا مباشرة وذلك وفقاً للهياكل التنظيمية المعتمدة في الحكومة الاتحادية.

- يتم رفع كافة التقارير الفنية إلى الإدارة العليا، أما التقارير الإدارية فيتم رفعها إلى الإدارات المختصة في كل جهة اتحادية وفقاً لاختصاصات كل إدارة.

- تكون سلطة تعيين وفصل، أو إنهاء خدمة، مدراء مكاتب التدقيق الداخلي من اختصاص الإدارة العليا في كل جهة اتحادية وفق أحكام قانون الموارد البشرية في الحكومة الاتحادية.

على جميع المدققين الداخليين التقيد بقواعد السلوك المهني الواردة في المرسوم بقانون اتحادي رقم (11) لسنة 2008 وتعديلاته بشأن الموارد البشرية في الحكومة الاتحادية ولائحته التنفيذية والمعايير الدولية للتدقيق الداخلي "معيار رقم 1100 في شأن الاستقلالية والموضوعية – 1110 في شأن الاستقلالية التنظيمية – 1120 في شأن الموضوعية على المستوى الفردي و1130 في شأن التأثير على الاستقلالية" وعليهم بشكل خاص التقيد بما يلي:

- تجنب القيام بأي عمل لا يتفق مع موضوعية التدقيق الداخلي ومسؤولياته والامتناع عن أي تصرف أو إعلان عن أي مسألة تقع ضمن نطاق أعمال التدقيق الداخلي إلا للجهات ذات الاختصاص ما لم يكن هناك التزام قانوني أو مهني للقيام بذلك.

- عدم الاشتراك في أي عمل أو نشاط يؤثر سلباً على سمعة التدقيق الداخلي.

- امتلاك المعرفة والمهارات والكفاءات الأخرى اللازمة لتنفيذ المسؤوليات المنوطة بكل منهم.

- الالتزام بالصدق والأمانة والموضوعية والعناية الدائمة في تأدية مهامهم ومسؤولياتهم.

- الولاء في كل الأمور المتعلقة بمصالح الجهة الاتحادية وتجنب أي أعمال غير قانونية أو تتنافى مع قواعد السلوك المهني والأخلاقي.

- عدم قبول عطايا أو هدايا من أي موظف أو عميل أو موّرد أو أي شخص له مصالح عمل مع الجهة الاتحادية، بشكل قد يخل بحيادهم أو يؤثر على القرارات المهنية المتعلقة بمهامهم.

- المبادرة فوراً بإعلام مدير المكتب في حال وجود دلائل لدى المدققون الداخليون بأن حيادهم قد يتأثر، سواء بسبب مصالح تابعة لهم في الأعمال التي يجري التدقيق عليها أو خلاف ذلك، مع الأخذ بالاعتبار أنه لا يجوز لهم، في أي حال من الأحوال، أن يحتفظوا بصفتهم الشخصية بأصل البيانات والمستندات والمعلومات التي تمت مراجعتها أو جمعها خلال تأدية مهامهم، كما لا يجوز لهم حفظ البيانات والمستندات والمعلومات المذكورة في أماكن غير مناسبة أو بشكل غير مناسب، كذلك عليهم الالتزام بسرية هذه البيانات وعدم الإفصاح عنها لأي شخص غير مخول بالاطلاع عليها أو استلامها أو حفظها، ولا يجوز لهم، في أي ظرف من الظروف، سواء كان ذلك خلال فترة خدمتهم أو بعد انقضائها، نشر هذه البيانات، بغض النظر عن مرور الزمن عليها.

- استقلال نشاط التدقيق الداخلي، كما يجب على المدققين الداخليين أداء أعمالهم بموضوعية.

- الحياد وعدم الانحياز، وأن يجتنبوا كل من شأنه أن يجعلهم في وضعية تضارب المصالح.

- امتناع المدققون الداخليون عن تقييم العمليات التي كانوا مشرفين عليها فيما سبق. ومن المتوقع أن تتأثر موضوعية المدقق الداخلي إذا ما قدم خدمات تأكيد متعلقة بنشاط كان مسؤولاً عنه خلال السنة السابقة.

- وضع المهمات التأكيدية المتعلقة بوظائف تحت إشراف مدير مكتب التدقيق تحت إشراف طرف من خارج نشاط التدقيق الداخلي.

- تقديم خدمات تأكيد في المجالات التي سبق أن قدم فيها خدمات استشارية، بشرط ألا تؤثر الخدمات الاستشارية سلباً على موضوعيته وبشرط أن يتم التعامل بطريقة تتناسب مع الموضوعية عند تخصيص الموارد اللازمة للمهمة الجديدة.

- تقديم خدمات استشارية متعلقة بعمليات كانوا مشرفين عليها فيما سبق شرط عدم توليهم أي مسؤوليات إدارية أو تنفيذية، بالمقابل، وفي جميع الحالات لا يجوز للمدققين تقديم خدمات استشارية في حالة اعتماد قرار الإدارة العليا بشكل أساسي على توصياتهم فقط، وفي جميع الأحوال يجب مراعاة الاستقلالية والمهنية والعناية اللازمة عند تقديم أي خدمات استشارية تطلبها الإدارة العليا وتوضيح دور التدقيق الداخلي واستقلاليته بشكل واضح عند تقديم التوصيات بذلك الشأن.

تشكل الإدارة العليا لجنة التدقيق والمخاطر، إذا دعت الحاجة، من أعضاء الإدارة العليا الذين لا يتولون أي مهام تنفيذية، على أن تكون غالبية أعضاء اللجنة من الأعضاء المستقلين وألاّ يقل عدد أعضائها عن ثلاثة، كما يجب أن يكون من بين أعضائها أحد الخبراء في الشؤون المالية والمحاسبية ويجوز تعيين عضو أو أكثر من خارج الجهة في حال عدم توافر العدد الكافي من أعضاء الإدارة العليا غير التنفيذيين.

يحظر على أي موظف سابق في مكتب التدقيق الداخلي المسؤول عن تدقيق حسابات الجهة الاتحادية أو في ديوان المحاسبة وكان مكلف بتدقيق حسابات الجهة أن يكون عضواً في لجنة التدقيق والمخاطر، وذلك لمدة سنة واحدة اعتباراً من تاريخ انتهاء صفته كموظف أو من تاريخ انتهاء أي مصلحة مالية له في مكتب التدقيق، أيهما يقع لاحقاً.

تعقد اللجنة اجتماعاتها على الأقل أربع مرات في السنة أو كلما دعت الحاجة، ويجوز للعضو الحضور شخصياً، أو المشاركة في الجلسة عبر الاتصال الهاتفي أو التصوير المرئي وكذلك يجوز للعضو اعتماد القرارات والتوصيات بالتمرير.

تخضع اللجنة لرقابة الإدارة العليا بالجهة من خلال متابعتها لأداء اللجنة للتحقق من التزامها بالأعمال الموكلة إليها ويجب على اللجنة أن ترفع تقاريرها الخطية إلى الإدارة العليا بشفافية مطلقة، كما يجب على اللجنة تقييم أدائها بشكل سنوي للتأكد من كفاءة الأداء وفعاليته ومجالات التطوير والتحسين فيها وترفع بذلك توصياتها إلى الإدارة العليا.

تكون مدة العضوية باللجنة ثلاث سنوات بحد أقصى قابلة للتجديد لمدة أخرى مماثلة لمرة واحدة، إلا إذا ارتأت الإدارة العليا غير ذلك، ويجب تجديد مدة العضوية أو تعيين أعضاء جدد بقرار من الإدارة العليا.

تتولى لجنة التدقيق والمخاطر المهام والواجبات التالية:

1- التنسيق مع الإدارة العليا في سبيل أداء مهامها.

2- مراقبة سلامة البيانات المالية السنوية، ونصف السنوية، وربع السنوية، للجهة ومطابقتها مع المعايير المعتمدة في الحكومة الاتحادية ومراجعتها كجزء من عملها العادي خلال السنة، وعليها التركيز بشكل خاص على ما يلي:

أ- أي تغيير في السياسات والمبادئ المحاسبية.

ب- إبراز النواحي الخاضعة لتقدير الإدارة.

ج- التعديلات الجوهرية الناتجة عن التدقيق.

د- افتراض استمرارية عمل الجهة.

هـ- التقيد بالمعايير المحسبية المعتمدة وقواعد إعداد الحسابات الختامية.

3- رفع التوصيات إلى الإدارة العليا بشأن تعيين أو فصل مدير المكتب.

4- تقديم التوصيات إلى الإدارة العليا بشأن تعيين أو فصل مدقق الحسابات الخارجي، والموافقة على أتعابه وفترة تعيينه.

5- مراقبة استقلالية ومدى موضوعية مدقق الحسابات الخارجي بشكل مستمر والاجتماع معه مرة في السنة على الأقل ومناقشة طبيعة ونطاق عملية التدقيق ومدى فعاليتها.

6- التأكد من قيام المدقق الخارجي برفع تقرير سنوي إلى الإدارة العليا خلال ثلاثة أشهر على الأكثر من تاريخ انتهاء السنة المالية متضمناً البيانات والملاحظات الناتجة عن التدقيق وتوصياته.

7- التأكد من وجود التنسيق فيما بين مكتب التدقيق الداخلي ومدقق الحسابات الخارجي في حال الهيئات والجهات التي ينص عليها قانون إنشائها على تعيين مدقق خارجي أو التي يدقق عليها ديوان المحاسبة في حال الوزارات والجهات الاتحادية الأخرى، والتأكد من توفر الموارد اللازمة لمكتب التدقيق الداخلي ومراجعة ومراقبة فعالية ذلك المكتب.

8- التعاون مع ديوان المحاسبة والرد على الملاحظات الواردة ضمن تقريره الصادر، وعرضها على الإدارة العليا.

9- مراجعة رسالة مدقق الحسابات الخارجي (تقرير الملاحظات والفجوات) في حال الهيئات والجهات التي ينص قانون إنشائها على تعيين مدقق خارجي أو ديوان المحاسبة في حال الوزارات والجهات الاتحادية الأخرى وأي استفسارات جوهرية يطرحها المدقق على الإدارة بخصوص السجلات المحاسبية أو الحسابات المالية أو أنظمة الرقابة وردها.

10- التأكد من رد الإدارة العليا في الوقت المطلوب على الملاحظات المطروحة في تقرير ديوان المحاسبة، أو مدقق الحسابات الخارجي (تقرير الملاحظات والفجوات).

11- إجراء تقييم سنوي، لكفاية سياسات إدارة المخاطر والرقابة الداخلية المتعلقة بالأهداف المالية والتشغيلية والانضباط الموضوعي من قبل الإدارة التنفيذية في الجهة الاتحادية.

12- إجراء تقييم سنوي، لفعالية إدارة التدقيق الداخلي ومدى تطابق عملها مع هذا الدليل ومع الإطار المهني المعتمد لممارسة أعمال التدقيق الداخلي، وعلى اللجنة إجراء تقييم سنوي حول الحاجة لوجود مكتب للتدقيق الداخلي في حالة عدم وجوده.

13- مراجعة السياسات والإجراءات المالية والمحاسبية في الجهة.

14- مراجعة تقارير أنظمة الرقابة المالية والرقابة الداخلية وإدارة المخاطر والحوكمة.

15- مناقشة نظام الرقابة الداخلية مع الإدارة، والتأكد من أداء الإدارة لواجبها في إنشاء نظام فعال للرقابة الداخلية.

16- إدراك واستيعاب تأثير التغيرات في تكنولوجيا المعلومات على نشاط وعمل الجهات المعنية بغرض مواكبة التطورات والبقاء بمستوى المؤسسات العالمية.

17- التحقيق المبدئي في أي مخالفات مالية ممكنة أو غيرها من المخالفات والتأكد من وضع المقاييس الملائمة كنتيجة لتلك التحقيقات، وكذلك النظر في نتائج التحقيقات الرئيسية في مسائل الرقابة الداخلية التي تكلفها بها الإدارة العليا.

18- وضع الضوابط التي تمكن موظفي الجهة من الإبلاغ عن أي مخالفة محتملة في التقارير المالية أو الرقابة الداخلية أو غيرها من المسائل بشكل سري والخطوات الكفيلة بإجراء تحقيقات مستقلة وعادلة لتلك المخالفات.

19- مراقبة مدى تقيد الجهة بقواعد السلوك المهني.

20- ضمان تطبيق قواعد العمل الخاصة بمهامها والصلاحيات الموكلة إليها من قبل الإدارة العليا.

21- الموافقة على متطلبات تنفيذ العمل التي يحددها مدير مكتب التدقيق الداخلي بما في ذلك الموارد البشرية ونوعية المهارات المطلوبة وإستخدام خبراء واستشاريين من طرف خارجي.

22- تقديم تقرير سنوي شامل ومفصل للإدارة العليا.

23- النظر في أي موضوعات أخرى تحددها الإدارة العليا بحيث لا تتعارض مع القوانين النافذة والمعايير الدولية.

تهدف منهجية التدقيق الداخلي لإيجاد إطار تشغيلي موحد لأنشطة وعمليات التدقيق الداخلي في الحكومة الاتحادية من خلال توفير إرشادات للمعايير والسياسات والإجراءات التشغيلية التي يتوجب على المدققين الداخليين الالتزام بها أثناء تأدية وظائفهم وذلك بما يتفق مع الإطار المهني المعتمد لممارسة أعمال التدقيق الداخلي والتوجيهات والمعايير الصادرة عن معهد المدققين الداخليين إضافة إلى المساعدة في تحقيق ما يلي:

- وضع إرشادات للتخطيط والأداء وإعداد تقارير أعمال التدقيق الداخلي.

- وضع إجراءات عمل على مستوى الاجراءات الرئيسية تهدف إلى مساعدة موظفي التدقيق الداخلي على أداء مهامهم.

- إضفاء صفة رسمية على السياسات الإدارية والتنظيمية لمكاتب التدقيق الداخلي لدى الجهات الاتحادية.

- تعريف المسؤولية والصلاحيات والمساءلة لنشاط التدقيق الداخلي.

- المساعدة على تحقيق التناسق في تنفيذ أنشطة التدقيق الداخلي.

- وضع إطار لمنهجية موحدة لعملية التدقيق الداخلي وتقييم المخاطر في الحكومة الاتحادية.

- توفير مادة مرجعية للمساعدة في تدريب موظفي التدقيق الداخلي.

إن معيار نجاح نشاط التدقيق الداخلي في القيام بمهامه، هو مدى استفادة الإدارات الأخرى والأنشطة المدقق عليها من عملية التدقيق، وذلك عن طريق قياس القيمة التي ساهم التدقيق الداخلي في إضافتها للإدارة المدقق عليها، من خلال دراسة وفهم أسباب المشاكل والأخطاء والتركيز على كيفية العلاج الجذري لتلك المشاكل وعدم الاكتفاء برصدها فقط.

وفقاً لأفضل الممارسات المهنية المتعارف عليها دولياً، فإن مهام التدقيق الداخلي يتم تنفيذها وفقاً للمراحل الموضحة أدناه:

المرحلة الأولى: التخطيط: تشتمل هذه المرحلة على العناصر التالية:

العنصر الأول: التحليل الاستراتيجي.

العنصر الثاني: تقييم المخاطر.

العنصر الثالث: إعداد خطة التدقيق الإستراتيجية، الشاملة.

المرحلة الثانية: التنفيذ: تشتمل هذه المرحلة على ما يلي:

المرحلة الأولى: تخطيط المهمة.

المرحلة الثانية: العمل الميداني.

المرحلة الثالثة: إعداد وإصدار التقرير.

المرحلة الرابعة: المراقبة والمتابعة.

يستند مفهوم التخطيط القائم على المخاطر على المعايير الدولية للممارسة المهنية للتدقيق الداخلي الصادرة عن معهد المدققين الداخليين، وتتطلب المعايير من مدير مكتب التدقيق الداخلي وضع خطة قائمة على المخاطر لتحديد أولويات نشاط التدقيق الداخلي بما يتفق مع أهداف الجهة الاتحادية "معيار رقم 2010 في شأن التخطيط".

ومن أجل تطوير خطة مبنية على تقييم موثق للمخاطر، يتشاور مدير المكتب مع الإدارة العليا والإدارة التنفيذية وغيرهم من الأطراف المعنية للوقوف على رأيهم وتوقعاتهم وبهدف اكتساب فهم واضح لاستراتجيات الجهة، وأهداف العمل الرئيسية، والمخاطر المرتبطة، وأساليب إدارة المخاطر، كما يجب عليه مراجعة وتعديل الخطة حسب الاقتضاء والاستجابة للتغيرات في أعمال، ومخاطر، وعمليات، وبرامج، ونظم الجهة الاتحادية والضوابط الرقابية فيها.

تتضمن مرحلة التخطيط "وفقاً للمعايير الدولية للتدقيق الداخلي" معيار رقم 2010 المشار إليه أعلاه العناصر التالية:

وفيما يلي شرح تفصيلي لكل عنصر من العناصر المذكورة أعلاه:

تهدف عملية التحليل الاستراتيجي للتوصل إلى درجة من الفهم المبدئي للأهداف الاستراتيجية والتشغيلية للإدارة وكذلك البيئة المحيطة بها بما تتضمنه من تحديات وفرص بالإضافة إلى كيفية تعامل تلك الإدارة مع التحديات والمخاطر التي قد تواجهها، ومن أهم عمليات وإجراءات التحليل الاستراتيجي التي يتم القيام بها ما يلي:

يساعد الاطلاع على المعلومات الأساسية في التوصل إلى فهم مبدئي لأنشطة وعمليات الإدارات في الجهة الاتحادية والبيئة المحيطة بها، ومن أهم المعلومات الأساسية التي يمكن الاطلاع عليها ودراستها ما يلي:

- الهيكل التنظيمي للإدارة والسياسات والإجراءات المتبعة.

- رأي وتوقعات الإدارة العليا والإدارة التنفيذية والأطراف المعنية الأخرى.

- تقارير الجهات الرقابية (الداخلية والخارجية) السابقة.

- التغييرات الجوهرية في بيئة العمل مثل الإدارة، البيئة المحيطة، القوانين واللوائح المنظمة، الخ.

تعتبر المقابلات مع المسؤولين عن الأنشطة المدقق عليها من أهم الوسائل التي تساعد على اكتمال عملية فهم الأنشطة وبيئة العمل، حيث أنها تتيح الفرصة للحصول على المعلومات اللازمة من ذوي الخبرة وأصحاب الاختصاص في كل مجال من المجالات.

ويتمثل الهدف من عملية إجراء المقابلات في فهم الأهداف الاستراتيجية والتشغيلية والبيئة المحيطة والمخاطر التي قد تواجه تحقيق أهداف الإدارة المعنية بالإضافة إلى الإجراءات المتخذة لمواجهة أو الحد من آثار المخاطر والمعوقات التي قد تتعرض لها الإدارة المدقق عليها.

يتم حصر كافة البيانات في ضوء الاجتماعات مع مسؤولي الأنشطة وكذلك المعلومات الأساسية التي تم الاطلاع عليها، للوصول إلى فهم كامل لما يلي:

- الأهداف.

- الاستراتيجيات.

- العمليات والأنشطة.

- المبادرات.

- نقاط القوة والضعف.

- الفرص والتهديدات.

كما يراعى استشارة مستشار قانوني متخصص في كل المسائل التي تنطوي على أي اعتبارات قانونية، إرشاد تطبيقي رقم 2100 – 5.

إدارة المخاطر وظيفة حساسة من وظائف الإدارة التنفيذية حيث تعتبر خطوة محورية في عملية ترشيد توزيع الموارد واتخاذ القرارات اللازمة نحو تحقيق أهداف الجهة الاتحادية، إن الإدارة التنفيذية هي المسؤولة عن عملية تقييم وإدارة المخاطر والحد منها وعن أنظمة الرقابة الداخلية المطبقة في الجهة الاتحادية.

يقوم مكتب التدقيق الداخلي "وفقاً للمعايير الدولية للتدقيق الداخلي، "معيار رقم 2120 في شأن إدارة المخاطر" بتقييم المخاطر لغرض وضع خطة التدقيق فقط وتصنيف الأنشطة وفقاً للمخاطر المتعلقة بها وهذا لا يعفي الإدارة التنفيذية والوحدة التنظيمية المختصة، إن وجدت، والإدارة المعنية بالجهة الاتحادية من القيام بواجبها تجاه إدارة المخاطر المؤسسية والتي تتطلب إعداد سجل المخاطر، وتقييم وإدارة المخاطر وتحديث السجل باستمرار.

يقوم المكتب بتقييم المخاطر لأغراض مهام التدقيق بناءً على المعلومات التي تم الحصول عليها خلال مرحلة التحليل الاستراتيجي، وبالاعتماد على رأي الإدارة المدقق عليها وذلك عن طريق الحصول على التغذية الراجعة "feedback" من تلك الإدارة والتي تعتبر المسؤول الأول والمصدر الرئيسي عن تحديد وتقييم وإدارة المخاطر المتعلقة بأنشطتها.

يقوم المكتب بتقييم المخاطر للنشاط الذي يتم مراجعته والتحقق من وجود أنظمة الرقابة الداخلية وفعاليتها وفي حالة عدم وضوح أو توثيق عملية تقييم المخاطر، فإنه يجوز لمكتب التدقيق الداخلي أن يقدم المشورة للإدارة المعنية دون التأثير على استقلاليته.

يجوز لمكتب التدقيق الداخلي أن يساعد الجهة الاتحادية عن طريق تقديم المشورة بشأن تصميم وتطوير أنظمة الرقابة الداخلية واستراتيجيات الحد من المخاطر، إلا أن مسؤولية اختيار أنظمة الرقابة الداخلية والاستراتيجيات تقع على عاتق الإدارة العليا في حين أن مسؤولية الالتزام والتطبيق تقع على عاتق الإدارة التنفيذية.

يتعين على الجهة الاتحادية تقييم مخاطرها باستمرار، إن تقييم مخاطر الأعمال على نطاق الجهة الاتحادية ككل مع الأخذ بالحسبان أهدافها واستراتيجيتها المعتمدة يمكن أن يساهم إلى حد كبير في تعزيز قدرة الإدارة العليا والتنفيذية على تحديد وفهم وإدارة المخاطر الرئيسية التي تعيق تحقيق أهدافها، ويوفر عملية منظمة ستصبح حجر الأساس لتحديد أولويات المخاطر والتركيز على المجالات التي تستحق الرصد والاهتمام من قبل الإدارة العليا.

علاوة على ذلك، فإن هذه العملية تبني الثقة والمعرفة التي تجعل الإدارة أكثر خبرة في فهم المخاطر التي تتحملها وكيفية إدارتها وما ينبغي القيام به لإدارة تلك المخاطر بأسلوب أكثر فعالية ونجاح.

من المسؤوليات الرئيسية لمكتب التدقيق الداخلي التأكد من إعداد خطة التدقيق السنوية من واقع خطة التدقيق الشاملة وبناءً على معلومات موثوقة وكاملة ودقيقة عن عمليات وأنشطة ومخاطر الجهة الاتحادية، حيث أن توافر القدر الكافي من المعلومات عن المخاطر التي تتعرض لها الجهة الاتحادية لدى مكتب التدقيق الداخلي هو جزء أساسي وحيوي لعملية إعداد خطة التدقيق السنوية.

- فهم استراتيجية الإدارة وأهدافها.

- تكوين فهم مبدئي للعمليات الرئيسية والمخاطر للجهة المعنية، والعمل على اتساقها مع استراتيجية الجهة الاتحادية وأهدافها من جهة ومع استراتيجية الحكومة الاتحادية من جهة أخرى.

- فهم مدى فعالية أنظمة الرقابة الداخلية على المستويات المختلفة للجهة المعنية مثل الإطار العام للحوكمة ولائحة قواعد السلوك المهني والفصل بين المهام المتعارضة واستمرارية الأعمال وخطة التعافي من الكوارث وعمليات إعداد التقارير المالية في نهاية الفترات المحددة لذلك، وبرامج منع واكتشاف الاحتيال...إلخ.

- فهم مدى فعالية أنظمة الرقابة الداخلية على العمليات الرئيسية والموثقة في السياسات والإجراءات.

- تحديد نطاق تقييم المخاطر بمساهمة كل أصحاب العلاقة.

- تقييم وتحديد الأولويات الخاصة بالمخاطر الرئيسية من قبل أصحاب العلاقة.

- إصدار تقارير عن نتائج تقييم المخاطر بغرض التركيز على عمليات الجهة الاتحادية ذات المخاطر العالية.

إن المخاطر الرئيسية ترتبط بظروف وأحداث وأعمال مهمة أو بعدم إنجاز تلك الأعمال الهامة مما قد يؤثر سلباً على قدرة الجهة الاتحادية على تحقيق أهدافها.

إن عملية تقييم المخاطر الناجحة تعتمد على ثلاث خطوات أساسية ينبغي على فريق عمل التدقيق الداخلي تطبيقها وهي:

تعتمد المنهجية المتبعة لتحديد المخاطر على سياق تقييم المخاطر المتبع، مع الإشارة إلى أنه لا بد من مراعاة الأمور التالية في اختيار منهجية تحديد المخاطر:

- تبادل الأفكار بين فريق العمل، ويمكن تطبيق ذلك مثلاً من خلال ورش العمل التي تعتبر وسيلة مفضلة لتحقيق تبادل الأفكار والخبرات، حيث أنها تبني الالتزام وتأخذ في الاعتبار مختلف وجهات النظر والتجارب المختلفة.

- ينبغي استخدام التقنيات مثل الرسومات البيانية وتحليلات الأنظمة ومراجعة تصاميم الأنظمة ودراسات المخاطر والنماذج التشغيلية في حال كانت النتائج المحتملة غير مرغوب فيها، وكان استخدام هذه التقنيات مجدياً من حيث التكلفة.

- للحالات الأقل وضوحاً، كتحديد المخاطر الاستراتيجية، يمكن استخدام طريقة الاحتمالات ووضع سيناريو "ماذا لو" وطريقة "تحليل السيناريوهات المختلفة".

- عندما تكون الموارد المتاحة لتحديد وتحليل المخاطر محدودة، يتعين تعديل الهيكل والمنهجية لتحقيق نتائج فعالة في إطار ميزانية التدقيق المحددة، على سبيل المثال، في حالة ضيق الوقت المخصص لتحديد المخاطر، يمكن التركيز على عدد أقل من العمليات الرئيسية على الصعيد العام أو استخدام الاستبيانات.

في كثير من الظروف يعتبر تحديد المخاطر مفيد وفعّال على مستويات متعددة، ففي مرحلة تحديد نطاق التدقيق الأوّلي أو التمهيدي، يمكن تحديد المخاطر على مستويات العمليات العليا ومن ثم الوصول إلى الأولويات المبدئية، بينما في المراحل اللاحقة يتم تحديد وتحليل المخاطر على مستوى العمليات الفرعية.

يتطلب تحليل المخاطر الأخذ بعين الاعتبار كل من مصادر الخطر ونتائجه الإيجابية والسلبية واحتمالية حدوثه والتأثير الناتج عنه.

الاحتمالية هي فرصة حدوث شيء ما، حيث أن بعض الأحداث قد تقع مرة واحدة، والبعض الآخر قد يحدث دائماً وبشكل يومي تقريباً، ويتطلب تحليل المخاطر تقييم تكرار حدوثها، وفيما يلي مثال إرشادي يمكن استخدامه للمساعدة في تصنيف هذه الاحتمالية:

الفترة المحددة لقياس مدى احتمالية ظهور الخطر هي مرة كل سنة، وقد تطول أو تقصر هذه الفترة بناءً على طبيعة أو ظروف الخطر.

هذا ويمكن تقييم احتمالية حدوث الخطر من خلال العوامل التالية:

- درجة التعقيد، كم هي درجة تعقيد العملية من حيث المهام المتعددة أو التكنولوجيا، على أن يتم الأخذ في الاعتبار درجة تعقيد العمليات أو البيئة التي تعمل فيها الجهة الاتحادية.

- قابلية التأثر، ما مدى قابلية تعرض الجهة الاتحادية للخطر، على أن يتم الأخذ في الاعتبار تأثير توظيف الأشخاص الجدد أو العمليات الجديدة وعدد أصحاب العلاقة المعنيين والمستوى العالي من التغيير...إلخ.

- التكرار، ما مدى حدوث الخطر في مرات سابقة، على أن يتم الأخذ في الاعتبار تاريخ الخطر سواء في الجهة الاتحادية أو على مستوى الحكومة الاتحادية بشكل عام.

يتضمن الجدول التالي مثالاً إرشادياً "للأغراض التوضيحية فقط" كيفية تحديد درجة تأثير الخطر المتوقعة على الأهداف التشغيلية "استمرارية الأعمال" والتقارير المالية وغيرها في حال وقوع أي من الأخطار المذكورة في الجدول:

الخطر هو تهديد أو حالة عدم تأكد متعلقة بالنتائج المستقبلية لأحداث حالية، وبالتالي فإن الخطر هو احتمالية حدوث تأثير سلبي أو ضرر يعيق أو يحول دون تحقيق الجهة الاتحادية لأهدافها الاستراتيجية والتشغيلية والامتثال والتقارير.

كما يمكن تعريف الخطر بأنه الأثر الناتج عن وجود أخطاء مادية وجوهرية في الجهة الاتحادية والتي لم يتم اكتشافها بعد انتهاء عملية التدقيق مما قد يسبب أضرار لتلك الجهة قد تتعلق بفقدان فرصة كان يمكن تحقيقها.

يتم تقييم المخاطر التالية:

الخطر المتأصل: هو الخطر الناتج عن طبيعة النشاط بغض النظر عن إجراءات الرقابة المتبعة وكذلك البيئة المحيطة والأخطاء البشرية.

من خلال المصفوفة أدناه، يمكن تصنيف المخاطر باحتساب الناتج من جمع تصنيف النتيجة أو الأثر واحتمالية الحدوث، والمصطلحات على الجانب الأيمن من المصفوفة تحدد المقصود بكل مستوى من مستويات الخطر.

جميع المخاطر المتأصلة التي يتم تصنيفها على أنها مخاطر شديدة أو هامة أو معتدلة تتطلب تحليل مفصل للإجراءات الرقابية لتحديد الخطر المتبقي.

بالنسبة للمخاطر المنخفضة، فمن غير الضروري إجراء تحليلات إضافية لها، وفي هذه الحالة يجب أن يتم توثيق

أسباب عدم إجراء تحليلات إضافية لهذه المخاطر وذلك لاستكمال جميع نواحي تحليل المخاطر.

وعند هذه النقطة يتم الأخذ في الاعتبار وجود ومدى فاعلية الإجراءات الرقابية لتقليل أثر هذه المخاطر باستخدام المعايير الموضحة في جدول تصنيف الإجراءات الرقابية.

تشمل الممارسات والإجراءات الرقابية الخاصة بالحد من المخاطر جميع السياسات والإجراءات والممارسات والعمليات المتبعة لتوفير تأكيدات معقولة عن قيام الجهة الاتحادية بإدارة مخاطرها.

في حالة وجود ممارسات وإجراءات رقابية للحد من المخاطر إلا أنها غير مطبقة وغير فعّالة، فهذا يعني أن إجراءات الرقابة "غير كافية"، وبناءً على ذلك فلا بد من تصنيف الرقابة في المستوى "5" فأكثر؛ حتى تكون هذه الممارسات والإجراءات فعّالة، يجب أن تعمم وتفعّل وأن تتم مراقبتها.

⃰ مدى التصنيف يجب أن يتيح إظهار التفاوت في مواطن قوة وضعف الإجراءات الرقابية.

المخاطر المتبقية هي المخاطر التي تبقى متواجدة في مواجهة عمليات الجهة الاتحادية بعد الأخذ في الاعتبار جميع أنظمة الرقابة الداخلية المعمول بها، يوضح جدول أدناه المخاطر المتبقية والمستوى المطلوب من الاهتمام الذي ينبغي أن يولى للمخاطر، والحالات التي تستلزم وضع خطط علاجية أو تصحيحية.

يتم احتساب المخاطر المتبقية على أنها محصلة الجمع بين تصنيف تقييم المخاطر المتأصلة وبين تصنيف تقييم إجراءات الرقابة، ويستخدم الناتج عن هذه العملية في تحديد مستوى دور الإدارة المطلوب – طبقاً للمصفوفة المذكورة أدناه – للتعامل مع المخاطر المتبقية.

يتضح من المصفوفة أعلاه مدى ارتباط الخطر المتأصل والخطر المتبقي بمهام التدقيق الداخلي، حيث إن المنطقة الخاصة "بالمراجعة المستمرة" في المصفوفة أعلاه تظهر أن درجة المخاطر المتأصلة عالية إلا أن أنظمة الرقابة الجيدة، بالتالي أي خلل في إجراءات الرقابة الخاصة بالحد من المخاطر في هذه المنطقة يمكن أن يكون له تأثير فوري وجوهري على الجهة الاتحادية.

أما المنطقة الخاصة "بالمراجعة الدورية"، فهي تظهر أن درجة المخاطر المتأصلة ضعيفة إلى متوسطة غير أن إجراءات الرقابة ضعيفة، بالتالي، أي ارتفاع في درجة المخاطر في ظل أنظمة الرقابة الحالية يمكن أن يكون له تأثير فوري وجوهري على الجهة الاتحادية.

أما فيما يتعلق بالمخاطر في منطقة "الإدارة النشطة"، فيجب توجيه اهتمام الإدارة لها كما يجب مراقبتها عن كثب من قبل مكتب التدقيق الداخلي.

هناك العديد من العوامل التي تؤثر على عملية تقييم المخاطر والتي ينبغي على المدقق الداخلي أخذها في الحسبان خلال جميع خطوات ومراحل عملية تقييم المخاطر وتختلف تلك العوامل باختلاف نشاط الإدارة المدقق عليها، مع ملاحظة أن تلك العوامل تعتبر عوامل استرشاديه ولا يمكن اعتبارها قائمة شاملة لكافة العوامل:

- مدى وجود تشريعات أو قوانين ولوائح تحكم عمل الإدارة.

- الميزانية المعتمدة للمبادرات المتعلقة بعمل الإدارة.

- مدى جوهرية وعدد الملاحظات على أداء الأنشطة الواردة في تقارير التدقيق المختلفة.

- مدى تعقد العمليات والإجراءات.

- حجم المعاملات اليومية.

- مدى الاعتماد على أنظمة المعلومات في المعاملات اليومية.

- عدد العاملين بالإدارة.

- حجم التغيرات في الإدارة والموظفين.

- مدى وجود ووضوح الإجراءات المتبعة.

- مدى وجود إجراءات رقابة متبعة في الإدارة.

- العلاقات مع الأطراف الخارجية، عملاء أو موردين أو بنوك أو غيرهم.

- الكفاءة الفنية للموظفين.

- مدى وجود تقارير دورية ومدى كفاءة تلك التقارير.

- المخاطر الناتجة عن عمليات الاحتيال.

- أي تقارير رقابية أخرى.

نظراً للتغيرات العالمية المستمرة فضلاً عن التغيرات في بيئة العمل المحيطة، وحيث أن الجهات الاتحادية لها دور رئيسي في الحكومة الاتحادية، فإنها تخضع لتلك التغييرات المستمرة مما يكون له أثر كبير على المخاطر التي قد تتعرض لها الجهات الاتحادية، وعليه تظهر الحاجة إلى تقييم المستمر لتلك المخاطر مما سيؤدي إلى إعادة ترتيب الأولويات للأنشطة الخاضعة للتدقيق وبالتالي سيكون له انعكاس على خطة التدقيق الداخلي السنوية.

كما أنه من خلال تنفيذ خطة التدقيق الداخلي السنوية، فإنه من الممكن أن يؤدي تنفيذ التدقيق على بعض الأنشطة إلى الحصول على بيانات أخرى إضافية لم تلاحظ في مرحلة تجميع أو تحليل أو تقييم المخاطر، بالإضافة إلى إمكانية اكتشاف عدم فعالية إجراءات الرقابة المعتمدة من خلال الإدارة العليا لمواجهة بعض المخاطر التي تتعرض لها الأنشطة مما سيزيد من إمكانية تعرض تلك الأنشطة للمخاطر وبالتالي إعادة تقييم المخاطر المتعلقة بهذا النشاط.

وبناءً على ما سبق، فإنه يجب إعادة تقييم الخطر بشكل دوري وتعديل خطة التدقيق الداخلي بناءً على النتائج، ويتم تحديد الفترة اللازمة لإعادة تقييم الخطر من قبل مدير المكتب وفقاً لاحتياجات كل جهة اتحادية.

يقصد باستراتيجية التدقيق الشاملة الخطة التي يضعها المكتب بهدف إنجاز عملية التدقيق خلال الفترة المحددة، ولتحقيق ذلك، يقوم مدير المكتب بتوزيع العمل بين فريق التدقيق بحسب طبيعة الأنشطة والعمليات التي سيتم تدقيقها طوال فترة الخطة والتي تكون عادة من (3) إلى (5) سنوات عن طريق برنامج تنفيذي يعكس أهداف الخطة على شكل إجراءات وخطوات عملية يمكن متابعتها والإشراف على تنفيذها.

تغطي استراتيجية التدقيق النطاق والتوقيت والتوجيه المتوقع للتدقيق ومسيرة عملية التدقيق ابتداءً من معرفة طبيعة نشاط الإدارة التي سيتم التدقيق عليها إلى إعداد التقرير، تكون هذه الخطة بمثابة خارطة طريق ترشد لتطوير خطة التدقيق السنوية التي تكون عادةً الأكثر تفصيلاً، وعليه يجب أن تحتوي خطة التدقيق الاستراتيجية الشاملة على تفاصيل كافية للاسترشاد بها عند وضع خطة التدقيق السنوية بحيث تكون واضحة وكافية لإعداد الخطة السنوية حتى لو في حال تغيير موظفي المكتب.

بالإضافة إلى ذلك يراعى أن تكون مرنة بما يكفي لاستيعاب أي تغيرات قد تطرأ، ويتم اعتمادها من الإدارة العليا، وفي حالة حدوث تعديلات ناتجة عن إعادة تقييم المخاطر فإن هذا التعديل يجب أن ينعكس في خطة التدقيق الداخلي الاستراتيجية (الشاملة)، كما يجب أن يعتمد أيضاً من الإدارة العليا، وينبثق عن الخطة الاستراتيجية كل من خطة التدقيق السنوية وميزانية التدقيق.

خطة التدقيق السنوية تأتي تطبيقاً لخطة التدقيق الاستراتيجية (الشاملة) مع إضافة التعديلات، إذا تطلب الأمر، ويتم اعتمادها بشكل سنوي وتعميمها على الإدارات المعنية في الجهة وبناءً على خطة التدقيق السنوية يتم إعداد ميزانية التدقيق، وعليه تعتبر خطة التدقيق السنوية ترجمة لخطة التدقيق الاستراتيجية الشاملة إلى برنامج شامل تفصيلي للعمل الذي سيتم إنجازه بواسطة الفريق فهي تحدد الإجراءات التفصيلية للمراجعة التي تمكن الفريق من الحصول على أدلة الإثبات الكافية والملائمة لتحقيق أهداف المراجعة ولذلك يجب أن تكون هذه الخطة مكتوبة.

تتضمن خطة التدقيق السنوية التفاصيل لطبيعة وتوقيت ونطاق إجراءات المراجعة المتعلقة بالأنشطة والعمليات التي سيتم تدقيقها، ويتوقف شكل ونطاق تفاصيل الخطة على الحكم المهني لمدير المكتب حيث تتفاوت هذه التفاصيل تبعاً لاختلاف حجم وتعقيد النشاط والعملية الخاضعة للتدقيق وعلى الأهمية النسبية وعلى خبرة الفريق.

يقصد بطبيعة ونطاق وتوقيت إجراءات المراجعة ما يلي:

طبيعة إجراءات المراجعة: هي إجراءات مراجعة خاصة التي يتم استخدامها وتطبيقها على عناصر ومفردات معينة.

نطاق إجراءات المراجعة: هي عدد العناصر والمفردات التي سيتم تطبيق الإجراء عليها، مثل حجم العينة، وعدد الاختبارات المختلفة التي سيتم إنجازها.

توقيت إجراءات المراجعة: يتمثل في الوقت المناسب والملائم للقيام بإنجاز كل إجراء من إجراءات المراجعة.

- الحصول على الفهم الكامل لطبيعة النشاط وبيئة ومخاطر الأعمال المتعلقة به.

- مستويات الأهمية النسبية المحددة لأغراض المراجعة.

- التقديرات الخاصة بالمخاطر الضمنية الملازمة ومخاطر الرقابة الداخلية.

- توقيت اختبارات الرقابة الداخلية والاختبارات الأساسية.

- المخاطر التي تتطلب انتباها وعناية خاصة مثل الأخطاء الجسيمة وحالات الغش أو وجود أطراف مرتبطة.

- المجالات المحاسبية المعقدة ومن ضمنها المجالات التي تحتوي على تقديرات محاسبية.

- الحاجة لاشتراك مراجعين أخرين أو خبراء في عملية المراجعة.

- إعادة النظر في خطة وبرنامج المراجعة كلما دعت الضرورة لذلك أثناء فترة المراجعة.

- التوثيق الكامل لخطة المراجعة وما يستجد عليها من تغيير أو تحديث أثناء عملية المراجعة.

تحقق الخطة عدداً من المزايا أهمها توفير التعليمات لفريق العمل وأداة للرقابة على الوقت المستنفذ في كل خطوة من خطوات المراجعة، والخطة التي يتم إعدادها واستخدامها بشكل جيد تمثل ما يأتي:

1- دليل إثبات على التخطيط الملائم لأعمال المراجعة.

2- السماح لأعضاء الفريق بتقييم النطاق المقترح لعمليات التدقيق وإمكانية إجراء أي تعديلات على إجراءات التدقيق قبل القيام بتنفيذها.

3- إرشاد أعضاء الفريق الأقل خبرة حيث توضح الخطة خطوات التدقيق التي يجب أن يقوم بها كل عضو في الفريق.

4- دليل إثبات على إنجاز العمل حيث يوقع كل عضو في الفريق على الإجراء الذي قام بتنفيذه لإثبات القيام بذلك العمل بشكل كامل.

5- دليل إثبات على أنه تم مراعاة مخاطر الرقابة الداخلية عند إعداد الخطة.

إن اختيار المخاطر وتحديد الاختبارات ومدى تطبيقها يتطلب مهارات وأحكام مهنية عالية المستوى، وعليه ينبغي أن تشمل خطة التدقيق السنوية جميع المخاطر الرئيسية بشرط ألا تكون مبالغ فيها أو غير مناسبة من حيث كمية الجهد المطلوب لتنفيذها، كما ينبغي على مدير مكتب التدقيق الداخلي أن يضع المعايير التي على أساسها سوف يتم اختيار المخاطر والاختبارات ومناقشتها مع لجنة التدقيق.

من الطبيعي اختيار جميع المخاطر المتبقية ذات التصنيف العالي ضمن نطاق الاختبارات السنوية، وأن يتم أيضاً تغطية واختبار جميع الإجراءات الرقابية مرة واحدة على الأقل كل ثلاث سنوات، وينبغي تحديد الوقت التقديري لتنفيذ خطة التدقيق السنوية بحيث تشمل الدرجات الوظيفية والمهارات المختلفة المطلوبة، ومن ثم تقديمها للمراجعة والاعتماد من قبل لجنة التدقيق.

يتعين على مدير مكتب التدقيق الداخلي تبادل المعلومات وتنسيق الأنشطة مع الجهات الخارجية والداخلية التي تقدم خدمات التأكيد والاستشارات المرتبطة بمجال أعمال نشاط التدقيق، وذلك لضمان التغطية اللازمة للأعمال وتلافي ازدواجية الجهود، "معيار التدقيق الداخلي رقم 2050 في شأن التنسيق والاعتماد".

يتم أخذ نتائج عملية تقييم المخاطر في الحسبان عند إعداد خطة التدقيق السنوية بغرض التأكد من تغطية كافة المخاطر المتعلقة بالأنشطة، كما يجب توزيع جهود التدقيق الداخلي بطريقة سليمة لضمان الأنشطة التي تتعرض لمخاطر عالية مع الأخذ في الاعتبار الأهداف العامة للجهة المعنية.

هناك العديد من الأسس التي يتم اتباعها لضمان إضافة القيمة إلى الجهة الاتحادية وتلبية توقعات الإدارة العليا من مكتب التدقيق الداخلي بالإضافة إلى تغطية الأنشطة التي تتعرض لمخاطر عالية والتي يكون لها تأثير كبير على تحقيق أهداف الجهة الاتحادية، وتتمثل تلك الأسس فيما يلي:

- نتائج عملية تقييم المخاطر.

- توجهات الإدارة العليا والإدارة التنفيذية.

كما يجب أن يتم ترتيب أولوية الأنشطة الخاضعة لعملية التدقيق وفقاً للعائد والقيمة المضافة المتوقعة منها، بحيث تكون قيمة العائد من التدقيق على تلك الأنشطة أكبر من التكلفة المتوقعة للانتهاء من عملية التدقيق وتتمثل تلك التكلفة في قيمة الوقت المستغرق من المدققين الداخليين في الانتهاء من التدقيق على تلك الأنشطة.

يجب مراعاة أن تكون خطة التدقيق مرنة بما يكفي لاستيعاب أي تغيرات قد تطرأ خلال عملية التخطيط والتنفيذ، ويمكن تحقيق ذلك بإضافة وقت احتياطي يمثل نسبة معينة من وقت التدقيق الفعلي لمواجهة أي تغير.

وحتى يتسنى تقدير الوقت المستغرق في عملية التدقيق بشكل دقيق، يجب مراعاة التوقيت اللازم لإجراء كافة العمليات التالية بالإضافة إلى الوقت الاحتياطي الذي تم الإشارة إليه مسبقاً:

- الوقت اللازم للتخطيط لعملية التدقيق.

- الوقت اللازم لتنفيذ عملية التدقيق.

- الوقت اللازم للانتهاء من إعداد التقارير.

- الوقت اللازم لمناقشة الملاحظات والتقارير مع الإدارة المدقق عليها.

- الوقت اللازم لتحديث خطة التدقيق في حالة وجود تغييرات.

- الوقت اللازم للتدريب والتطوير.

- الوقت اللازم للقيام بالإجراءات الإدارية المتعلقة بتنفيذ التدقيق، مثل وقت الانتقال، إجراء المقابلات، والزيارات مع الموظفين، إعداد متطلبات التدقيق وغيرها

وعلى مدير مكتب التدقيق الداخلي التأكد من كفاءة وكفاية الموارد البشرية وقدرتها على إتمام عملية التدقيق الداخلي بالإضافة إلى وجود المهارات الأساسية اللازمة للانتهاء من تلك العمليات في الوقت المحدد، كما يجب الأخذ في الحسبان وجود بعض الأنشطة التي يتطلب التدقيق عليها وجود كفاءات ومهارات متخصصة، على سبيل المثال التدقيق على أنشطة التأمين تحتاج إلى خبرة في مجال التأمين، والتدقيق على نشاط المشاريع يحتاج إلى خبرة في مجال المشروعات الإنشائية وهكذا.

يجب اعتماد خطة التدقيق السنوية من الإدارة العليا، كما يجب أن تشمل تلك الخطة على ما يلي:

1- الأنشطة المقترح التدقيق عليها خلال السنة.

2- توقيت كل نشاط على حدة، أي توزيع الأنشطة على الوقت المحدد للخطة المعتمدة.

3- الفترة الزمنية اللازمة لكل نشاط، تاريخ البدء وتاريخ الانتهاء.

قد يتبين من خلال إجراءات التدقيق وتنفيذ عملية التدقيق الداخلي على الأنشطة المختلفة، أن بعض الأنشطة قد تعرضت للمخاطر أعلى أو أقل مما تم تقييمه مسبقاً، كما أنه قد يتبين أيضاً عدم كفاءة بعض الإجراءات الرقابية.

ونظراً لأن خطة التدقيق الداخلي تتسم بالمرونة والاستجابة للتغيرات المحيطة، فإنه يمكن تعديل خطة التدقيق الداخلي في حالة وجود تغيير جوهري في تقييم درجة تعرض الأنشطة للمخاطر المختلفة والذي ينتج من خلال إجراءات التدقيق الداخلي.

في جميع الأحوال، ينبغي اعتماد أي تعديل على الخطة السنوية من الإدارة العليا، على أن يتم بيان التعديل وسببه، وتجدر الإشارة إلى أن أسباب تعديل خطة التدقيق السنوية قد تكون نتيجة لأي تغيرات سواء كانت داخلية أو خارجية منها على سبيل المثال لا الحصر:

- تغيرات في الهيكل التنظيمي أو التشغيلي لنشاط معيّن أو مجال أو وحدة معيّنة.

- تغيرات في الهيكل المالي أو التشغيلي أو التنظيمي للجهات الاتحادية.

- التغيرات الإدارية.

- التغيرات في المخاطر والعوامل المشاركة في المخاطر.

- التغيرات في السياسات والإجراءات والأنظمة والتكنولوجيا.

يتضمن الإطار العام لتنفيذ مهام التدقيق الداخلي في الحكومة الاتحادية المراحل الرئيسية التالية:

1- مرحلة تخطيط المهمة.

2- مرحلة العمل الميداني.

3- مرحلة إعداد وإصدار التقرير.

4- مرحلة المراقبة والمتابعة.

النجاح في تنفيذ عملية التخطيط بشكل جيد يضمن، لحد كبير، نجاح المهمة ككل، وحتى يتم التأكد من القيام بالتخطيط للمهمة بشكل كاف ينبغي على فريق التدقيق الداخلي القيام بالمهام الرئيسة التالية:

- اجتماع فريق التدقيق الداخلي المرشح تكليفه لتنفيذ المهمة لمناقشة ما يلي:

1- أهداف ونطاق مهمة التدقيق.

2- أهداف وأغراض فريق التدقيق الداخلي.

3- توقعات أصحاب المصالح من المهمة والمهمات ذات الطبيعة الخاصة.

- تحديد نطاق العمل.

- تحديد فريق العمل والاجتماع المبدئي مع الفريق.

- إجراء اتصال أولي مع الإدارة المعنية للاتفاق على الأمور المتعلقة بمهمة التدقيق.

- إرسال خطاب تخطيط مهمة التدقيق للإدارة التي سيتم التدقيق عليها.

- الاجتماع الافتتاحي مع الإدارة لترتيب الحصول على المعلومات المطلوبة وفهم النشاط.

- التأكيد على الفهم المشترك للنطاق العام لمهمة التدقيق والهدف منه مع الإدارة التي سيتم التدقيق عليها.

- الاطلاع على أي تقارير أخرى متعلقة بالتدقيق على النشاط محل التدقيق.

- عمل برنامج تدقيق أولي للمهمة.

- إعداد ميزانية مهمة التدقيق.

- وضع برنامج تدقيق مفصل للمهمة وفقاً لأهداف ونطاق عمل المهمة.

- التحقق من أن برنامج التدقيق التفصيلي يتماشى مع نطاق وهدف مهمة التدقيق.

كما ينبغي أخذ المعايير التالية في الاعتبار خلال كافة مراحل التخطيط والتنفيذ وكذلك التقارير والمتابعة:

- أهداف الإدارة المعنية.

- منهجية التدقيق الداخلي.

- توقعات الإدارة العليا وكافة الجهات المقدم إليها التقرير.

- أي بيانات أو ملاحظات أخرى متوفرة.

- متطلبات وشروط تقديم الخدمات.

- مؤشرات قياس الأداء.

والمخرجات الرئيسية لهذه المرحلة تتلخص بالآتي:

- خطاب تخطيط التدقيق.

- نموذج نطاق التدقيق.

- برنامج التدقيق التفصيلي.

وفيما يلي شرح لبيان الخطوات التي قد يقوم فريق التدقيق بها لتنفيذ بعض من المهام الرئيسية المذكورة أعلاه:

وفقاً للمعايير الدولية للتدقيق الداخلي، معيار رقم 2230 في شأن تخصيص الموارد اللازمة لمهمة التدقيق يتم إجراء ما يأتي:

- تحديد فريق العمل وفقاً لطبيعة كل نشاط على حدة، بحيث يجب أن تكون الخبرة الشخصية والنواحي الفنية والمهنية التي يتمتع بها أعضاء فريق العمل تتفق مع طبيعة النشاط الذي سوف يتم التدقيق عليه وأن يتم مراعاة وجود خبرات في مجال نظم المعلومات في فريق التدقيق في حالة اعتماد النشاط على أنظمة الحاسب الآلي، ومع مراعاة وجود خبرات في مجال البناء والمقاولات في حالة كان النشاط يرتبط بالتعامل مع المقاولين من الباطن وأعمال البناء وما شابه ذلك.

- عقد اجتماع تنسيقي مع فريق العمل قبل زيارة الإدارة محل التدقيق، ويجب أن يتم توثيق محضر الاجتماع، على أن تتم مناقشة ما يلي:

1- نطاق العمل والتأكد من وجود فهم كامل وواضح لهذا النطاق.

2- توقيت العمل وتاريخ البدء بالنشاط.

3- المسؤوليات والمهام المتعلقة بكل فرد في الفريق.

4- تحديد إجراءات التدقيق التي تحتاج إلى تدخل مدير مكتب التدقيق الداخلي أو من ينوب عنه.

5- تحديد أساليب الاتصال مع الإدارة المعنية وحل الخلافات.

6- تحديد آلية سير العمل والاجتماعات الأخرى المتعلقة بالمهمة.

7- أي أمور أخرى متعلقة بالمهمة.

يتم عقد اجتماع افتتاحي مع الإدارة المعنية قبل بداية عملية التدقيق، ويجب التنسيق مع الإدارة المعنية والتنبيه نحو ضرورة حضور كل من مدير الإدارة ومسؤولي الأنشطة محل عملية التدقيق، ويكون الهدف الرئيس من الاجتماع الافتتاحي هو تعريف الإدارة بنطاق عمل الفريق والمدة التي سوف يستغرقها فريق العمل في أداء مهمته، وكذلك التنسيق مع الإدارة لبدء عملية التدقيق الفعلية وتسهيل كافة الإجراءات الإدارية بالإضافة إلى البدء في عملية فهم الأنشطة، وترسل الأجندة مسبقاً للإدارة المعنية وتكون أجندة هذا الاجتماع كما يلي:

- التعريف بمهام التدقيق الداخلي.

- بيان مواطن القيم المضافة التي يمكن أن يضيفها فريق التدقيق الداخلي للإدارة.

- مناقشة نطاق العمل.

- مناقشة المدة المطلوبة للانتهاء من عملية التدقيق.

- معرفة الهيكل الإداري والتنظيمي والفني للإدارة محل التدقيق.

- الاتفاق على كافة النواحي الإدارية والتنظيمية المطلوبة مثل مدة التدقيق، مكان التدقيق، المنسق، أسلوب المراسلات وما شابه ذلك.

- معرفة الأهداف والمبادرات والخطط المتعلقة بعمل الإدارة بصفة عامة والنشاط محل التدقيق بصفة خاصة.

- أي أمور جوهرية أخرى متعلقة بالنشاط من الناحية الفنية أو الإدارية.

ملاحظة: يجب إعداد محضر اجتماع لتوثيق ما تم عرضه ومناقشته والاتفاق بشأنه في الاجتماع الافتتاحي واعتماده من الإدارة التي سيتم التدقيق عليها والمدقق المعني.

تتم إجراءات فهم النشاط محل التدقيق بوسائل متعددة تتضمن الاجتماعات مع المسؤولين عن الأنشطة الفرعية والقائمين بالعمل، بالإضافة إلى الاطلاع على الهيكل التنظيمي التفصيلي والمهام الموكلة إلى الإدارة فيما يتعلق بالنشاط محل التدقيق، وكذلك الاطلاع على البيانات التي تم الحصول عليها مسبقاً خلال عملية التحليل الاستراتيجي ومرحلة تقييم المخاطر وفيما يلي البيانات الرئيسة المطلوب فهمها بصورة كاملة حتى يتسنى وضوح الصورة بشكل كامل قبل البدء في عملية التدقيق وهي على سبيل المثال على النحو التالي:

- موقع الإدارة على الهيكل التنظيمي والمهام التفصيلية.

- الأنشطة الرئيسية والفرعية والمبادرات والخدمات للإدارة.

- كافة إجراءات العمل اليومية الروتينية وغير الروتينية.

- كافة نقاط الرقابة المتبعة للتأكد من كفاءة وسلامة الإجراءات.

- القوانين والتشريعات التي تنظم عمل الإدارة.

- عدد الموظفين موزعاً على المستويات الإدارية المختلفة.

- التقارير الصادرة والواردة من وإلى الإدارة فيما يتعلق بالنشاط محل التدقيق وتوقيت إصدار أو استلام تلك التقارير.

- مدى وجود جهات رقابية أخرى تقوم بأي إجراءات رقابية على النشاط محل التدقيق.

- مدى الاعتماد على نظام الحاسب الآلي أم أن كافة الإجراءات يتم تنفيذها يدوياً.

- نقاط القوة والضعف من وجهة نظر مسؤولي النشاط.

- الصلاحيات الممنوحة للموظفين.

- علاقات العمل التي تربط الإدارة المعنية بالإدارات الأخرى في الجهة أو أي جهات خارجية.

كما يمكن لمدراء مكاتب وموظفي التدقيق الداخلي استخدام أساليب التقييم الذاتي لعمليات الرقابة في تقييم عمليات إدارة المخاطر وعمليات الرقابة بالجهة، وكذلك يمكن للمدققين الداخلين استخدام برامج التقييم الذاتي لعمليات الرقابة في جمع المعلومات اللازمة فيما يتعلق بالإجراءات والضوابط الرقابية، "الإرشاد التطبيقي رقم 2120/ت/1".

وهناك طريقة منهجية تتبع في أعمال استقصاء التقييم الذاتي وورش العمل اللازمة لها يطلق عليه "التقييم الذاتي لعمليات الرقابة" تمثل مدخلاً مفيداً وفعالاً يُمكن من تعاون مدير المكتب وموظفو التدقيق الداخلي في تقييم الإجراءات الرقابية ويهدف الى إدماج أهداف العمل والمخاطر المختلفة مع عمليات الرقابة، ولذلك فإن الطريقة المذكورة يطلق عليها أيضاً "التقييم الذاتي لعمليات الرقابة وإدارة المخاطر".

ومن ضمن مميزات طريقة التقييم الذاتي أن يكتسب نشاط التدقيق الداخلي معلومات أكثر بشأن عمليات الرقابة المتبعة والاستفادة من كافة المعلومات والبيانات المتوفرة في بيان نقاط الضعف الهامة في الإجراءات والضوابط الرقابية. "الإرشاد التطبيقي رقم 2120/ت/1".

وهناك ثلاثة أشكال أساسية لبرامج التقييم الذاتي لعمليات الرقابة وهي:

- ورش العمل.

- الاستقصاءات.

- التحليل.

ورش العمل: تهدف لتسهيل عملية جمع المعلومات والبيانات من فرق العمل المختلفة التي تمثل كافة المستويات في الإدارات محل التدقيق، ويتم تحديد شكل تلك الفرق وتشكيلها على أساس الأهداف أو المخاطر أو الإجراءات والضوابط الرقابية.

الاستقصاء: يتضمن العديد من الأسئلة والتي معظمها بسيط، بحيث تكون الإجابة عليها بـ (نعم) أو (لا) وما إلى ذلك من الأسئلة التي يسهل فهمها والإجابة عليها، ويتم استخدام طريقة الاستقصاء في حالة صعوبة إجراء ورش العمل نتيجة لكبر عدد الفرق أو اختلاف المستويات الوظيفية وبيئة العمل بشكل كبير أو إذا كانت الثقافة السائدة من شأنها إعاقة المناقشات الصريحة أو في حالة صعوبة الحصول على المعلومة خلال ورش العمل.

التحليل: تشمل التحليلات التي يقوم بها فريق التدقيق الداخلي معظم الأساليب الأخرى التي تتبعها المجموعات والوحدات الإدارية في جمع وعرض البيانات والمعلومات المتعلقة بإجراءات العمل وتنفيذها وأنشطة إدارة المخاطر وإجراءات الرقابة، ويكون الهدف من تلك التحليلات التوصل إلى رأي أو تقدير شامل وصحيح وسليم وفي الوقت المناسب، ومن الممكن الجمع بين تلك التحليلات وبين كافة البيانات والمعلومات الأخرى لتعزيز فهم الضوابط الرقابية والأنشطة المختلفة.

لتنفيذ هذه المرحلة يتوقع من فريق التدقيق الداخلي للقيام بالخطوات التالية:

أولا: تحديد النطاق العام لمهمة التدقيق وفقاً للمخاطر التي تم تحديدها خلال مرحلة تقييم المخاطر، وقد يشمل نطاق التدقيق الأمور التالية:

- طبيعة مهمة التدقيق على سبيل المثال قد تكون مهمة عالية المستوى، أو مهمة لمراجعة واسعة النطاق لأحد عمليات الجهة الاتحادية، أو مهمة تحليل تفصيلي للمخاطر وإجراءات الرقابة لجزء معين من أحد عمليات الجهة الاتحادية، وهكذا.

- العمليات الفرعية أو المبادرات أو الوظائف أو الأنشطة التي سوف تكون محور تركيز مهمة التدقيق.

- تحديد النواحي التي ستخضع للتدقيق وتلك التي لن تخضع للتدقيق.

- المخاطر الرئيسية التي تؤثر على العمليات أو المبادرات أو الوظائف أو الأنشطة الخاضعة للتدقيق.

- الخصائص ذات العلاقة بالعمليات والمبادرات والوظائف والأنشطة.

- الإجراءات التحليلية التي ستنفذ.

- توقعات الإدارة العليا والإدارة التنفيذية أو أي أطراف خارجية من المهمة، إن وجدت.

ثانياً: المصادقة على الفهم المشترك للنطاق العام لمهمة التدقيق.

بناءً على المعلومات التي تم الوصول إليها من الخطوات أعلاه ونتائج عملية تقييم المخاطر، يجب على فريق التدقيق الداخلي المصادقة على الفهم المشترك للنطاق العام للمهمة وإعداد نموذج نطاق التدقيق والذي يتضمن الأمور التالية:

- العمليات والمبادرات والوظائف والأنشطة التي سوف تشملها مهمة التدقيق.

- الأخذ بعين الاعتبار الأمور التي استرعت انتباه فريق التدقيق الداخلي خلال مرحلة الفهم العام للعمليات ومنهجية التدقيق التي سوف يتم اتباعها، على سبيل المثال، إذا تضمنت منهجية التدقيق القيام بإجراءات تحليلية ينبغي الإشارة إلى هذه الإجراءات وذلك لتسهيل المناقشات مع الإدارة فيما يخص توافر وصحة البيانات المطلوبة وحق الوصول إليها.

- طبيعة وتوقيت ومدى إجراءات التدقيق: ينبغي على فريق التدقيق الداخلي تحديد طبيعة إجراءات التدقيق الممكن تطبيقها بما في ذلك مراجعة العمليات واختبار إجراءات الرقابة واختبار المعاملات وما شابه ذلك.

- المستندات المعدة من قبل أصحاب العلاقة: يجب على فريق التدقيق الداخلي خلال هذه المرحلة تحديد التحليلات والمستندات التي ينبغي إعدادها من قبل أصحاب العلاقة، وعليه فينبغي على فريق التدقيق الداخلي مناقشة صيغة وتوقيت هذه المستندات مع أصحاب العلاقة.

- النتائج والتقارير المتوقع أن تسفر عنها مهمة التدقيق: ينبغي التوافق مع الإدارة على التوقعات المتعلقة بالتقارير.

- بروتوكولات الجدول الزمني ووسائل الاتصال وإصدار التقارير: مثلاً توضيح الإجراءات المتبعة في حال لم تسلم الإدارات خطط العمل لمعالجة حالات القصور ضمن الجدول الزمني المطلوب لإدخالها في عملية المتابعة.

- أعضاء فريق التدقيق الداخلي: تحديد أعضاء فريق التدقيق الداخلي الذين سيعملون على تنفيذ المهمة، وتجدر الإشارة لضرورة تكليف أعضاء فريق التدقيق الداخلي الذين يمتلكون المهارات والكفاءات المطلوبة لتنفيذ المهمة.

ثالثاً: يجب إطلاع فريق التدقيق الداخلي على نموذج نطاق التدقيق ومناقشته فيما بينهم، والتأكد من وجود فهم واضح ومشترك بين جميع أعضاء الفريق المكلف بالمهمة.

رابعاً: يرسل نموذج نطاق التدقيق للإدارة المعنية مع خطاب رسمي من خلال القنوات المقبولة ولا بد من الحصول على إفادة تأكيد من الإدارة محل المراجعة باستلام الخطاب.

يعتبر الاطلاع على كافة تقارير التدقيق على النشاط محل التدقيق من أهم الوسائل التي تساعد على فهم النشاط ونقاط الضعف المتعلقة بالنشاط محل التدقيق، كما أنه يعطى فكرة عامة عن طبيعة البيانات والملاحظات التي تم تقديمها إلى الإدارة من قبل، وبالتالي فإنه يساعد في فهم واقع الإدارة قبل البدء في عملية التدقيق حتى تتم تغطية كافة جوانب القصور وكذلك الجوانب التي تحتاج إلى تركيز خلال عملية التدقيق حتى يتسنى التوصل إلى صورة كاملة وإصدار تقارير تؤثر في طبيعة العمل وتضيف القيمة المرجوة إلى كافة الإدارات التي يتم التدقيق عليها.

يعتبر برنامج التدقيق "وفقاً للمعايير الدولية للتدقيق الداخلي "معيار رقم 2240" في شأن برنامج عمل مهمة التدقيق" بمثابة خطة الإجراءات التفصيلية التي يتم إجراء عملية التدقيق على ضوئها، كما يعتبر نتاج عملية فهم النشاط، لأن برنامج التدقيق يجب إعداده على ضوء فهم النشاط، وبالتالي فإن مرحلة فهم النشاط وإعداد برنامج التدقيق تعتبر من أهم المراحل التي يتم تنفيذ كافة مراحل التدقيق على ضوئها، فكلما تم التوصل إلى فهم للنشاط بصورة دقيقة كلما كان برنامج التدقيق الذي يتم وضعه أقرب الى الواقع والتنفيذ.

- يجب أن يتم أخذ ما يلي في الحسبان عند إعداد برنامج التدقيق:

1- أن تكون كافة إجراءات التدقيق المدرجة في برنامج التدقيق وفقاً لنطاق العمل الذي تم الاتفاق عليه مسبقاً وتم مناقشته مع الإدارة خلال مرحلة التخطيط والاجتماع الافتتاحي.

2- التأكد من إدراج كافة الأمور التي استرعت انتباه الفريق خلال عملية تقييم المخاطر وكذلك خلال عملية التدقيق والاجتماع الافتتاحي.

3- التأكد من إدراج خطوات مراجعة مرتبطة ببرنامج التدقيق تغطي كافة الملاحظات التي أثارها التدقيق الداخلي من قبل، سواء كانت في تقارير تم إصدارها للإدارة مسبقاً من قبل التدقيق الداخلي أو من أي جهة أخرى.

4- التأكد من أن جميع المخاطر التي تم الإشارة إليها خلال عملية تقييم المخاطر والاجتماع الافتتاحي قد تم إدراجها ضمن خطوات برنامج التدقيق.

5- أن يتم تحديد طبيعة وتوقيت ومدى تنفيذ خطوات إجراء التدقيق على سبيل المثال ما إذا كانت العينة التي يتم اختيارها يتم توزيعها على مدار العام، أم اختيار مفردات من نهاية العام فقط أم مفردة من كل شهر وهكذا.

6- التأكد من أن خطوات التدقيق المدرجة ببرنامج التدقيق قد شملت كافة التوقعات والنقاط المطلوب تغطيتها والتي تم إثارتها خلال الاجتماعات الداخلية للفريق أو الاجتماعات التي تمت مع الإدارة المعنية خلال مرحلة تقييم المخاطر أو خلال مرحلة التخطيط لعملية التدقيق.

- وفقاً للإرشاد التطبيقي "رقم1210 /ت/2"، فانه ينبغي الأخذ في الاعتبار إضافة بعض الخطوات المتعلقة بمدى وجود مؤشرات عن عملية احتيال، حيث أن مسؤولية التدقيق الداخلي تجاه عملية الاحتيال تتمثل في بذل العناية المهنية اللازمة، وذلك إلى الحد الذي يتناسب مع مدى احتمالات وجود الاحتيال في الأنشطة التي يتم تغطيتها في سياق الأداء المعتاد لمهام التدقيق الداخلي، وينبغي أن يتحلى المدققون الداخليون بمعرفة وافية عن الاحتيال تكفي لفهم المؤشرات التي تدل على احتمال ارتكاب الاحتيال، وأن يتنبهوا إلى الثغرات التي تفتح الباب أمام الاحتيال، وأن يقوموا بتقييم مدى الحاجة إلى المزيد من التحقيقات وإخطار الجهات المعنية بذلك.

- كما ينبغي إخطار الإدارة العليا بذلك واتباع التشريعات والقوانين المعمول بها في الدولة بذلك الخصوص.

قبل البدء في تنفيذ برنامج التدقيق التفصيلي، يتعين على أعضاء فريق التدقيق الداخلي مراجعة نموذج نطاق التدقيق والتأكد مما يلي:

- توافق تفاصيل برنامج التدقيق مع نطاق التدقيق المذكور في "نموذج نطاق التدقيق".

- التأكد من أن برنامج التدقيق التفصيلي يشمل جميع التوقعات والمسائل المطلوب تغطيتها والتي استرعت انتباه فريق التدقيق الداخلي خلال القيام بأنشطة التخطيط وأنشطة تقييم المخاطر، أو أنشطة تقييم المخاطر الأخرى التي تم تنفيذها من قبل إدارة الجهة.

يتعين بعد ذلك على فريق التدقيق الداخلي أن يناقش مع الإدارة المسؤولة أي تعديلات مهمة في نطاق التدقيق والتي ستنعكس على برنامج العمل التفصيلي، ومن ثم اتخاذ أحد القرارين إما بتعديل برنامج العمل حتى يتوافق مع نطاق التدقيق المتفق عليه أو تحديث "نموذج نطاق التدقيق" ليتوافق مع النطاق المعدل.

يقوم مدير المكتب بإعداد ميزانية التدقيق السنوية والتي يجب أن توضح الأمور التالية على سبيل المثال لا الحصر:

- عدد ساعات التدقيق الكلية أو الإجمالية للسنة المالية.

- عدد الساعات المخصصة لتنفيذ كل مهمة من مهام التدقيق؛ موزعة على كل مدقق مكلف بتلك المهمة بما في ذلك الوقت المخصص للمراجعة وضمان جودة عمل الفريق.

- الوقت المتوقع لبداية وانتهاء كل مهمة.

- أنواع التقارير الواجب إصدارها وتاريخ كل منها.

- تاريخ حضور الجرد والمواقع المخطط زيارتها.

يكون فريق التدقيق الداخلي أو المدقق الداخلي المكلف بمهمة التدقيق مسؤولاً عن إدارة ميزانية التدقيق وعن تقديم توضيحات لتبرير أي اختلاف بين الساعات الفعلية والساعات المقدرة، ولذا فإنه من المهم ملاحظة ومراقبة الأسباب التي من الممكن أن تؤدي إلى اختلاف الساعات الفعلية عن الساعات المقدرة.

تعتبر مرحلة العمل الميداني "وفقاً للمعايير الدولية للتدقيق الداخلي معيار رقم 2300 في شأن تنفيذ مهام التدقيق الداخلي" وهي مرحلة قيام فريق مكتب التدقيق الداخلي بإجراء اختبارات وفحوصات على إجراءات الرقابة وتسجيل النتائج وصياغة التوصيات الرئيسة والهامة، وتهدف عملية الفحص أو الاختبار في التدقيق الداخلي إلى الحصول على الأدلة والبيانات لتحقيق أهداف عملية التدقيق الداخلي.

وفيما يلي إرشادات بأهم الأمور التي يمكن لفريق العمل القيام بها لتنفيذ المهمة وهي على النحو الآتي:

يوجد أساليب متنوعة لتطبيق إجراءات التدقيق والتي يمكن استخدامها بمفاهيم مختلفة، لذا يجب اختيار الأساليب الأكثر توافقاً مع ظروف واحتياجات مهمة التدقيق، وفيما يلي بعض الأساليب التي يمكن أن يستخدمها فريق التدقيق الداخلي في الحصول على أدلة التدقيق أو تحليل البيانات والأداء:

- الاستقصاءات (الاستبيانات).

- الاختبارات.

- القياسات.

- الدراسات.

- الرسوم البيانية.

- المقابلات.

- العصف الذهني.

- التحليلات الإحصائية.

- أساليب التدقيق المدعومة بالحاسب الآلي.

وفيما يخص تدقيق نظم تقنية المعلومات، فإن أساليب وأنواع فحص البيانات بواسطة برمجيات التدقيق الحديثة تكاد تكون غير محدودة، فعلى سبيل المثال تحتوي برمجيات التدقيق على العديد من الأوامر التي توفر للمدقق احتياجاته لتدقيق المعاملات بغرض اكتشاف الاحتيال، مثل وجود معاملات مكررة أو معاملات مفقودة أو غير عادية، وفيما يلي بعض الأمثلة على هذه الأمور:

- مقارنة عناوين الموردين بعناوين الموظفين لتحديد ما إذا كان هناك موظفين يوردون للجهة المعنية.

- البحث عن أرقام الشيكات المكررة لاكتشاف ما إذا كان هناك نسخ أخرى مطبوعة من نفس الشيك.

- تحليل تتابع جميع المعاملات لتحديد الشيكات أو الفواتير المفقودة.

- تحديد الموردين ممن لهم أكثر من رمز أو أكثر من عنوان بريدي.

- تحديد الموردين ممن لهم نفس العنوان البريدي.

- ترتيب المدفوعات حسب قيمتها لتحديد المعاملات التي تقل أو تزيد قليلاً عن حد معين للصرف، وذلك لاختبار حدود تفويض السلطة فيما يتعلق بالشؤون المالية والمشتريات والموارد البشرية.

كما يمكن أيضا استخدام أساليب التدقيق المدعومة بالحاسب الآلي لتنفيذ العديد من إجراءات التدقيق والتي تشمل أي مما يأتي:

- اختبار المعاملات المقيدة والأرصدة مثل إعادة احتساب الفائدة.

- إجراءات التدقيق التحليلية مثل تحديد التناقضات أو التغيرات المهمة.

- اختبارات الالتزام بالضوابط العامة مثل اختبار تكوين وتفعيل نظام التشغيل أو اختبار الإجراءات الخاصة بمكتبات البرامج.

- استخدام برامج اختيار العينات لاستخراج البيانات بغرض تدقيقها.

- اختبارات الالتزام بضوابط التطبيقات مثل اختبار عمل أحد ضوابط البرمجة.

يجب على فريق التدقيق الداخلي "وفقاً للمعايير الدولية للتدقيق الداخلي "معيار رقم 2310 في شأن تحديد المعلومات" أن يقوم بجمع المعلومات الموثوق بها والكافية وذات المنفعة والعلاقة لتحقيق أهداف التدقيق، وعليه ينبغي على فريق التدقيق الداخلي القيام بما يلي:

- جمع المعلومات والأدلة الكافية عن جميع الأمور المتعلقة بأهداف التدقيق ونطاق العمل.

- استخدام إجراءات التدقيق التحليلية والمستندية لتحديد واختبار المعلومات.

ينبغي أن تكون المعلومات كافية وموثوق بها وذات منفعة وصلة لتوفير أساس قوي لملاحظات وتوصيات التدقيق، وذلك كما يلي:

كافية: عندما يكون دليل التدقيق واقعي ومقنع بما فيه الكفاية بحيث يصل الشخص الطبيعي صاحب الدراية لنفس النتيجة.

موثوق بها: عندما يستطيع الآخرين التحقق من دليل التدقيق وكفاءته وأنه قد تم استخدام إجراءات تدقيق ملائمة للحصول عليه.

ذات صلة: عندما يكون الدليل الذي تم الحصول عليه مرتبط بشكل مباشر بمجالات التدقيق التي تم اختبارها، كما أن التوصيات ينبغي أن تكون متوافقة مع أهداف التدقيق.

ذات منفعة: عندما يساند الدليل فريق التدقيق الداخلي في تكوين رأي عن مدى تحقيق الجهة الاتحادية لأهدافها وأغراضها.

يمكن تعريف عملية اختيار العينات في التدقيق الداخلي بأنها عملية اختيار وفحص جزء من مجموعة من المعاملات والبنود والأرصدة بغرض الحصول على معلومات أو تقييم أو استنتاجات بشأن المجموعة ككل، وتسمى مجموعة البيانات بأكملها التي تختار منها العينة "المجتمع" بينما تسمى البنود الفردية التي تشكل المجتمع والمتاحة للاختيار "العينة الممثلة للمجتمع".

يجب أن توضح خطة التدقيق الأسلوب المتبع لاختيار العينات التي سيتم اختبارها، حيث أنه في أثناء العمل الميداني، يمكن لفريق التدقيق أن يعتمد على الوسائل الفنية لأخذ العينات من أجل الوصول إلى استنتاجات عن العمليات قيد الاختبار، وينبغي دائماً قبل بدء العمل الميداني تحديد النطاق وكمية الأدلة الواجب جمعها لتلبية هدف التدقيق أو دعم الاستنتاجات والملاحظات.

تستند طريقتا أخذ العينات التقديرية منها والإحصائية على قاعدة أن كل دليل يساند تأكيداً معيناً لا يحتاج إلى فحص لتثبيت صحة التأكيد، إن نوع منهجية العينات المستخدمة مسألة تقديرية، ولذلك فإن هذا القرار يجب أن يتخذ من قبل أعضاء فريق التدقيق ذوي الخبرة، مثل رئيس الفريق ومدير التدقيق، ومن البديهي الحاجة إلى اختبارات أكثر كلما زادت درجة خطورة النتائج.

مع ازدياد استعمال تكنولوجيا المعلومات، ينبغي على مدير مكتب التدقيق أن يقرر ما إذا كانت طريقة أخذ العينات هي الأكثر كفاءةً وفاعليةً للحصول على دليل، هذه الزيادة في استخدام تكنولوجيا المعلومات تثير موضوع بأنه قد تكون هناك حالات يمكن فيها فحص كل المعاملات باستخدام برامج التحقيق في الملف وقواعد البيانات أو أساليب أخرى لسحب المعلومات.

يجب على فريق التدقيق الداخلي الأخذ بعين الاعتبار أنه من خلال اختيار بعض العينات، فإن هناك احتمالية وجود مخاطرة بأن تكون العينة المختارة لا تمثل المجتمع بشكل كامل ودقيق، بمعنى آخر، إن مخاطر التدقيق في اختيار العينة يتعلق باحتمال أن يتم الوصول إلى استنتاج غير صحيح وغير معبر عن المجتمع ككل، ويكون ذلك نتيجة لما يلي:

احتمال أن تقدم معلومات لا تمثل المجتمع، وذلك نتيجة للعشوائية في اختيار العينة، ويكمن هذا الخطر في كل عينة بغض النظر عن كيفية اختيارها، وحتى يتسنى تخفيض هذا الخطر، يجب ممارسة الحكم المهني وإتباع إجراءات مناسبة لاختيار عينة التدقيق.

كما في حالة خطر الخطأ في اختيار العينة، كل عينة معرضة لخطر الخطأ الذي لا يتعلق باختيار العينة، إن الخطأ الذي لا يتعلق باختيار العينة يمكن أن يؤثر على تمثيل العينة، كما يمكنه أيضاً أن يتعلق بكل أو بعض نواحي العينة، وهي تشمل استخدام أساليب غير ملائمة لأخذ العينات والتحديد غير الصحيح للمجتمع وأخطاء في اختيار العينة وغيرها، بعبارة أخرى، إن خطر الخطأ غير المتعلق باختيار العينة قد ينطوي على كل الأخطاء الممكنة والتجاوزات وسوء التقدير الذي قد يولد استدلال غير صحيح من العينة.

حتى يتسنى تخفيف مخاطر اختيار العينة، تولي مكاتب التدقيق أهميةٌ أكبر للتخطيط الكافي والإشراف والتنفيذ الصحيح لخطة التدقيق الداخلي.

وفي جميع الأحوال يجب على فريق التدقيق الداخلي أن يوضح هذه المخاطر للإدارة العليا والإدارة التي يتم التدقيق عليها.

يعتمد حجم العينة المختارة على الأسلوب المستخدم في تحديد العينة وهو إما أسلوب إحصائي أو أسلوب تقديري (غير إحصائي)، ولا يوجد فرق بين اختيار العينة باتباع الأسلوب الإحصائي واختيار العينة باتباع الأسلوب غير الإحصائي في تنفيذ خطة اختيار العينة، ولا يؤثر الأسلوب المستخدم على كفاية الدليل الذي يتم الحصول عليه ورد فعل التدقيق تجاه الخطأ المكتشف، ويجب الاختيار بين الأسلوبين وفقاً لتقييم مميزات وسلبيات كل أسلوب على حده.

إن اختيار العينة الإحصائي طريقة علمية لتحديد حجم العينة واختيار البنود التي سوف يتم فحصها، وخلافاً لاختيار العينة التقديري، فإنه يقدم وسيلةً لتقييم دقة خطر اختيار العينة، أي مدى دقة تمثيل العينة للمجتمع، ومدى الاعتماد والثقة، أي احتمال تمثيل العينة للمجتمع، كما أن اختيار العينة الإحصائي يعطي تقديراً محتملاً لمعدل الحدوث أو لمبلغ نقدي، إن ميزة هذا الأسلوب هي في أن الاعتماد على النتائج يحدد من خلال استخدام نظرية الاحتمال، أي أنه باتباع إجراءات محددة لاختيار العينة وحساب النتائج، يمكن لمكتب التدقيق أن يستخدم نموذجاً إحصائياً لقياس خطر الخطأ في اختيار العينة.

إن اختيار العينة التقديري هو أسلوب غير موضوعي لتحديد حجم العينة واختيار العينة، وإن غير الموضوعية لا تعتبر دائماً ضعفاً، وبناءً على نتائج عمليات أخرى، قد يتمكن موظفو التدقيق من اختبار أكثر المعاملات ماديةً وخطورةً وتأكيد أنواع المعاملات الخاضعة لمستوى مخاطر مرتفع، ففي اختيار العينة التقديري أي غير الإحصائي يعتمد مكتب التدقيق فقط على حكمه لتقييم خطر اختيار العينة وتقييم المجموعة، ومع أن خطر خطأ اختيار العينة لا يمكن قياسه في العينة التقديرية، يقوم مكتب التدقيق بالسيطرة عليه بإتباع إرشادات وإجراءات معينة.

يجب الأخذ في الاعتبار العوامل التالية، والتي من شأنها تقليل خطر اختيار العينات:

1- تحديد ومعرفة المجتمع محل عملية الفحص وتحليل مفرداته بطرق سليمة، حيث أن استنتاجات التدقيق تعتمد بشكل أساسي على نتيجة اختبار المفردات الممثلة للمجتمع.

2- ربط العينات المختارة بأهداف التدقيق.

3- معاملة مفردات المجتمع بصورة متساوية بشأن احتمالية الاختيار.

تشمل أساليب اختيار العينة ما يلي:

- الاختيار العشوائي.

- الاختيار النظامي.

- الاختيار عبر التجميع.

- الاختيار غير المنظم.

- الاختيار التقديري.

يشار إلى الاختيارات الثلاثة الأولى بصورة عامة بأنها أساليب قائمة على العشوائية، وتؤكد هذه الأساليب بصورة معقولة بأن كل وحدة عينة لديها احتمال محدد مسبقاً بأن يتم اختيارها، كما أنها تتجنب التحيز غير المقصود في الاختيار، ومن ناحية أخرى، إن وسائل الاختيار غير المنظم والتقديري تعتبر أساليب اختيار غير عشوائي، ويجب استخدام أساليب الاختيار العشوائي في أخذ العينات الإحصائية، وفيما يلي مزيد من الشرح لهذه الأساليب.

إن الاختيار العشوائي يبعد عوامل غير الموضوعية من الاختيار بما في ذلك التحيز الواعي أو غير الواعي الذي قد يؤثر على احتمال اختيار أو عدم اختيار وحدات عينات معينة، ومع أن هناك دائماً خطر بأن لا تكون العينة ممثلة للمجتمع، فإن الاختيار العشوائي عبر إبعاده التحيز، ينطوي على مخاطر أقل بالنسبة لخطأ أخذ العينة من أساليب الاختيار الأخرى، وعليه يجب أن تؤخذ في الاعتبار عندما تكون المخاطر كبيرةً وملحوظةً.

هناك طرق عديدة لاختيار عينات عشوائية، منها ما يلي:

- الوسائل الروتينية لبرامج الاختيار العشوائي، وتشمل أي وسائل روتينية في برامج التدقيق التي يمكن أن تستخرج عينات من سجلات الإدارات قيد التدقيق.

- نتائج محوسبة للرقم العشوائي، التي يمكن أن تقدم قوائم من أعداد عشوائية من مجموعة مختارة من المجتمع.

الاختيار النظامي هو اختيار العينات بطريقة ثابتة ونمطية من المجتمع ككل، حيث يتم تقسيم المجتمع إلى بنود متشابهة ويتم اختيار عامل ثابت من كل بند من البنود يتم تكراره في كافة البنود الأخرى، على سبيل المثال يمكن تقسيم مجتمع ما إلى عشرة بنود ثم يتم اختيار العشرة معاملات الأواخر من كل بند من البنود الممثلة للمجتمع، هذا الأسلوب لا يبدو من الناحية الفكرية سليماً كالاختيار العشوائي بسبب احتمال أن تكون العينة المختارة نظامياً متحيزةً بسبب طريقة ترتيب الوحدات.

الاختيار عبر التجميع يتم عندما يكون المجتمع متنوع وغير متجانس إلى درجة يصعب فيها اللجوء إلى الاختيار النظامي، ويتم اللجوء إليه في حالة قابلية المجتمع إلى التقسيم والتوزيع على مجموعات أو بنود فرعية، وتتم عملية الاختيار عبر التجميع على عدة مراحل:

المرحلة الأولى: تصنيف المجتمع إلى مجموعات فرعية أو بنود متماثلة.

المرحلة الثانية: اختيار عينة من المجموعات الفرعية أو البنود بطريقة عشوائية بحيث تكون العينة المختارة ممثلة للمجتمع ككل.

المرحلة الثالثة: الاختيار العشوائي من كل مجموعة فرعية أو بند للمفردات الممثلة للمجموعة الفرعية أو البند الذي تم اختياره لتمثيل المجتمع ككل.

ويطلق على هذا النوع من أساليب اختيار العينات أسلوب اختيار العينات متعدد المراحل، وهو ليس دقيقاً كباقي الأساليب وخصوصاً الاختيار العشوائي.

الاختيار غير المنظم هو اختيار عينة بدون اتباع أي أسلوب منظم أو مهيكل، كما أنه ينطوي على اختيار بنود متوفرة فوراً واتباع الأسلوب السهل بدلاً من الأسلوب المنطقي، مثلاً أخذ عينة غير منظمة لأوامر شراء يشمل اختيار عينة من أوامر الشراء المتوفرة فوراً دون أخذ عوامل كالبنود والمبالغ أو تواريخ أوامر الشراء في الاعتبار وغيرها من العوامل.

الهدف هو الحصول على تقريب لعينة عشوائية، ومن مميزاتها أنه قد يكون تطبيقه أكثر سهولةً من أي وسيلة أخرى، خاصةً إذا لم تتوفر برامج التدقيق وكانت وحدات العينات غير مرقمة أو منظمة بشكل يسهل الاختيار العشوائي.

وعند استخدام هذا الأسلوب، يجب أن يهتم مكتب التدقيق بأن لا يُدخل عن وعي منه أي تحيز في الاختيار، مثال، التجنب غير الواعي لأول وآخر صفحة في قائمة المجموعة.

في أسلوب الاختيار التقديري أي غير الإحصائي، يتولى موظفو مكتب التدقيق اختيار عينات التدقيق على أساس تقديرهم وحكمهم الشخصي، ومع أنه ينظر إلى هذا الاختيار كأسلوب ضعيف لأخذ العينات، إلا أنه لا يزال ممكن استخدامه لمساندة هذه الإدارة في اختيار أمثلة على أوجه النقص لتأييد ادعاء المدققين بأن النظام ضعيف.

يمكن استخدام الاختيار التقديري عندما تكون المجموعة متماثلة، مثل نظام معلومات في هذه الحالة يعامل فيه كل بند بنفس الطريقة المحدة بموجب نظام المعلومات المعني.

ينبغي على فريق التدقيق الداخلي "وفقاً للمعايير الدولية للتدقيق الداخلي معيار رقم 2320 في شأن التحليل والتقييم" الالتزام بأن كل استنتاج أو ملحوظة يتم التوصيل إليها مبنية على تحليل واقعي وتقييم معقول ومقبول للبيانات التي تم الحصول عليها، على أن تكون تلك البيانات كافية وموثوق بها وذات صلة ومنفعة كما تم الإشارة إلى ذلك أعلاه، كما ينبغي استخدام إجراءات التدقيق لاختبار وتقييم المعلومات بغرض دعم نتائج التدقيق.

ولتحديد مدى إمكانية الاستعانة بإجراءات التدقيق التحليلية، ينبغي على فريق التدقيق الداخلي أخذ العوامل التالية بالاعتبار:

- توفير المعلومات ومدى الوثوق بها.

- مدى الدقة في توقع نتائج إجراءات التدقيق التحليلية.

- توفر المعلومات والقدرة على مقارنتها بمصادر أخرى.

- أهمية المجال الذي تتم مراجعته.

- مدى كفاية أنظمة الرقابة الداخلية المطبقة.

- مدى دعم إجراءات التدقيق الأخرى لنتائج التدقيق.

وبعد تقييم هذه العوامل، ينبغي على فريق التدقيق الداخلي أن يأخذ في اعتباره استخدام إجراءات تدقيق إضافية، إن لزم الأمر، لتحقيق أهداف التدقيق.

ينبغي "وفقاً للمعايير الدولية للتدقيق الداخلي "معيار رقم 2330 في شأن توثيق المعلومات" أن تتم عملية التوثيق بكفاءة تامة، بحيث يتم توثيق كافة مراحل التدقيق التي تمت منذ بداية عملية التخطيط والمراسلات مع الإدارات المعنية وحتى مرحلة إصدار واعتماد التقرير، على أن تغطي عملية التوثيق ما يلي:

- فهم النشاط.

- تقييم تصميم أنظمة الرقابة الداخلية.

- نتائج الاختبارات.

- ملخص الأمور المهمة.

- توثيق إجراءات الرقابة.

ينبغي أن يوثق فريق التدقيق الداخلي المعلومات اللازمة لتأييد استنتاجات ونتائج مهمة التدقيق، بحيث يقوم فريق التدقيق الداخلي بإعداد وتوثيق مستندات التدقيق، بينما يقوم المدقق الداخلي المسؤول عن المهمة أو مدير مكتب التدقيق الداخلي بمراجعتها.

ينبغي أن تحتوي وثائق التدقيق على المعلومات التي تم الحصول عليها والتحليلات التي تم القيام بها والتي تعتبر الأساس في تأييد نتائج وتوصيات تقرير التدقيق.

ينبغي أن يتم الإشراف على أعمال التدقيق بعناية للتأكد من تحقيق الأهداف وضمان الجودة وتطوير الموظفين، حيث يبدأ الإشراف منذ بداية مرحلة التخطيط ويستمر خلال مراحل الاختبار والتقييم والتواصل والمتابعة، وتتضمن عملية الإشراف ما يلي:

- التأكد من أن المدقق لديه المعرفة والمهارات والكفاءات المطلوبة للقيام بالتدقيق.

- تقديم التعليمات المناسبة خلال مرحلة تخطيط التدقيق والموافقة على برامج التدقيق.

- التأكد من تنفيذ برامج التدقيق المعتمدة، وفي حالة التعديل عليها ينبغي أن يكون مبرر ومعتمد.

- تحديد ما إذا كانت أوراق العمل تؤيد استنتاجات ونتائج وتوصيات التدقيق.

- التأكد من أن تقرير التدقيق موضوعي ودقيق وواضح وبنّاء وتم الانتهاء من إعداده في الوقت المحدد.

- التأكد من تحقيق أهداف مهمة التدقيق.

- توفير فرصة للمدققين لتطوير معرفتهم ومهاراتهم وكفاءاتهم الأخرى.

ينبغي توثيق عملية الإشراف والاحتفاظ بما يثبت القيام بها، ويعتمد مدى الإشراف على مهنية وخبرة أعضاء فريق التدقيق ومدى صعوبة المهمة، وفي هذه الحالة، قد يقوم المدقق المسؤول عن الإشراف بإعداد سجل بالمسائل الناتجة عن أعمال الإشراف التي تحتاج لتوضيحات، ملاحظات التدقيق، كما يجب التأكد عند اكتمال الرد على ملاحظات التدقيق من وجود المستندات المؤيدة الخاصة بالرد على تلك الملاحظات.

إن الإشراف على التدقيق بشكل مناسب يؤدي إلى إزالة الاختلافات في الحكم المهني على الأمور الهامة، ويسمح بتوثيق وجهات النظر المختلفة في أوراق العمل، كما إن توثيق عملية الإشراف تؤدي إلى:

- التأكد من وجود مستندات مؤيدة لتقرير التدقيق وأن كافة إجراءات التدقيق قد تم تنفيذها.

- تقديم الدليل على القيام بالإشراف على التدقيق، وهذا يتضمن توقيع وتسجيل التاريخ على كل ورقة عمل بعد مراجعتها.

- توضيح استخدام أساليب إشراف أخرى، على سبيل المثال استخدام لائحة الاستبيان الخاصة بمراجعة واكتمال أوراق العمل أو إعداد مذكرة توضح طبيعة ومدى ونتائج أعمال الإشراف.

يشير "المعيار رقم 2340 من معايير التطبيق" إلى أن مسؤولية الإشراف على أعمال التدقيق هي من مسؤولية مدير مكتب التدقيق إلا أنه يمكن له أن يفوض مدققين لديهم الخبرة للإشراف على أعمال التدقيق، وفي جميع الأحوال يجب التأكد من تفويض هذه الصلاحية بشكل صحيح ولمن لديهم الخبرة والكفاءة المهنية لما لذلك من انعكاس مباشر على جودة تنفيذ ومخرجات مهمة التدقيق.

يتمثل الهدف الرئيس من عملية التقارير "وفقاً للمعايير الدولية للتدقيق الداخلي معيار رقم 2400 في شأن تبليغ النتائج"، "ومعيار التدقيق الداخلي رقم 2410 في شأن معايير التبليغ" في رفع نتائج التدقيق إلى المستويات الإدارية المناسبة القادرة على اتخاذ القرارات المتعلقة بمعالجة الملاحظات الناتجة عن أعمال التدقيق، كما أنه الوسيلة المعتمدة الرئيسية لإضافة القيمة إلى الإدارات المدقق عليها، ويجب أن تكون تقارير التدقيق الداخلي موضوعية ودقيقة وواضحة ومختصرة وبناءة وأن يتم الانتهاء منها في الوقت المناسب، كما ينبغي أن يحتوي تقرير التدقيق الداخلي على:

1- نطاق وأهداف مهمة التدقيق الداخلي المتفق عليها.

2- المنهجية التي تم اتباعها خلال عملية التدقيق.

3- الملاحظات التي تم اكتشافها خلال عملية التدقيق والتأثير المالي أو التشغيلي أو الاستراتيجي المتعلق بها، مع وجود أمثلة بقدر الامكان لدعم الملاحظة.

4- توصية التدقيق الداخلي لوضع إجراءات تصحيحية للملحوظة التي تم اكتشافها أو لتحسين نقاط الضعف التي تم إثارتها في الملاحظة.

5- رد الإدارة وخطة عملها والإجراءات التصحيحية للملاحظات الواردة بالتقرير، ويجب إدراج رد الإدارة كما هو، سواء كان بالموافقة أو الاعتراض على الملاحظة الواردة بالتقرير.

كما يجب أن يتم عقد اجتماع ختامي مع الإدارة المعنية لمناقشة نتائج العمل الميداني للتدقيق، ويجب أن يتم ترتيب ذلك الاجتماع مسبقاً على أن يتم توضيح موعد الاجتماع بعد انتهاء العمل الميداني وكذلك الموعد المناسب لتلقي رد الإدارة على نتائج العمل الميداني للتدقيق بعد إرسال نسخة مبدئية من التقرير للإدارة المدقق عليها للمناقشة.

تتبع الخطوات التالية في عملية إعداد وإصدار تقرير التدقيق الداخلي بعد الانتهاء من العمل الميداني لمهمة التدقيق.

عند إعداد التقرير، ينبغي على فريق التدقيق الداخلي القيام بالخطوات التالية:

- جمع ومراجعة كافة نتائج التدقيق التي تم استخلاصها خلال عملية التدقيق والتي تم اكتشافها من خلال تنفيذ برنامج التدقيق.

- تصنيف الملاحظات حسب أهميتها وتحديد النقاط التي يجب إدراجها بالتقرير.

- مراجعة كافة المستندات والتقارير المؤيدة للملاحظة قبل إدراجها والتأكد من كفاية المستندات المؤيدة للملاحظات الواردة بالتقرير.

- مراجعة المسؤولين عن تنفيذ كافة الإجراءات بالإدارة المعنية للتأكد من صحة المعلومات التي سوف يتم إدراجها بالتقرير.

- إمكانية مناقشة أي أطراف أخرى لها علاقة بتنفيذ النشاط محل التدقيق داخل أو خارج الإدارة المعنية.

- التأكد من توثيق كافة البيانات والمستندات والمعلومات والاجتماعات التي تمت مع موظفي الإدارة المدقق عليها.

- مراعاة استخدام نموذج موحد لإعداد التقارير المبدئية.

ينبغي أن يقوم مدير مكتب التدقيق الداخلي بمراجعة التقرير المبدئي والتوقيع عليه بالمراجعة حيث إن اكتمال عملية المراجعة تعد توثيقاً لموافقته عليه وتعكس اكتمال المراجعة، كما يجب أن يقوم مدير مكتب التدقيق الداخلي بالاستفسارات اللازمة والاطلاع على البيانات الجوهرية التي تمكنه من التحقق من صحة الملاحظات المدرجة بالتقرير، بعد ذلك يقوم مدير مكتب التدقيق الداخلي بإرسال التقرير المبدئي للإدارة المدقق عليها ونسخة للقطاع المعني للاطلاع على الملاحظات الواردة في التقرير والرد عليها للتوصل إلى توافق على خطة تنفيذ التوصيات المقترحة لمعالجة الملاحظات الواردة في التقرير.

ينبغي أن يجتمع فريق التدقيق الداخلي مع مدير الإدارة والمسؤولين عن النشاط محل التدقيق لمناقشة الملاحظات التي تم إدراجها في التقرير المبدئي للتدقيق الداخلي بغرض الإجماع على صحة محتوياته قبل إرساله، حيث يتيح هذا الاجتماع الفرصة للقيام بما يلي:

- مناقشة الملاحظات المدرجة في التقرير المبدئي والتركيز على مراجعة نتائج التدقيق.

- إيجاد حلول لأي اختلاف في وجهات النظر.

- عرض الفوائد من الخدمات التي قام فريق التدقيق الداخلي بتقديمها.

- الاتفاق على خطة التنفيذ وأنشطة متابعة الملاحظات الواردة بالتقرير، على أن تكون متوافقة مع البروتوكولات التي تم وضعها خلال عملية التخطيط.

كما أن الهدف الأساسي لعقد الاجتماع الختامي لمناقشة التقرير قبل إرسال نسخة نهائية منه هو التأكد من أن جميع الملاحظات والمعلومات والتحليلات المتضمنة في التقرير صحيحة، فقد لا تتفق الإدارة مع الأثر الناجم عن بعض الملاحظات إلا أنه يجب أن يكون هناك موافقة تامة على وجود الملاحظة ذاتها وبعبارة أخرى، فإنه يتحتم على مكتب التدقيق الداخلي التأكد من الصحة التامة من المحتويات والاستنتاجات في تقرير التدقيق الداخلي قبل صدوره.

يجب على مدير مكتب التدقيق الداخلي التأكد من الاحتفاظ بمحاضر اجتماعات تفصيلية لتوثيق رد الإدارة التي تم التدقيق عليها على الملاحظات التي تم مناقشتها وعلى التقرير ككل.

بعد استكمال كافة مراجعات التقرير المطلوبة، على فريق التدقيق الداخلي أن يصدر تقرير التدقيق الداخلي بالنتائج التفصيلية والتوصيات بحسب البروتوكولات المتفق عليها مع مدير الإدارة والمسؤولين عن النشاط محل التدقيق.

يكون توزيع تقرير التدقيق الداخلي عادةً محدوداً بطبيعته ويمكن أن يتضمن مدير الإدارة والمسؤوين عن النشاط محل التدقيق وبعض أفراد الإدارة بغرض الحصول على رد الإدارة والخطة المقترحة لمعالجة الملاحظات الواردة بالتقرير.

قد تختلف ردود الإدارة من حيث الشكل والمضمون، إلا أنه يجب مراجعة هذه الردود لتقرير ما إذا كان هناك حاجة للعودة للإدارة للتوضيح، ويجب على مكتب التدقيق الداخلي إبداء المشورة في ردود وفاعلية خطط عمل الإدارة، في حال كانت هذه الردود والخطط غير متلائمة مع الملاحظة، يجب إعادة مناقشة الإدارة للتوضيح وتعديل الردود، إن أمكن.

في حال أصرت الإدارة على الرد بشكل سلبي أو عدم وضع خطط لمعالجة الملاحظات، فيجب على مدير مكتب التدقيق الداخلي رفع هذه الحالة إلى لجنة التدقيق بعد استلام ردود الإدارة وخطط العمل المقترحة من قبل الإدارة، وفي هذه الحالة تتم مراجعة التقرير وما إذا كان هناك حاجة للعودة للإدارة للتوضيح، كذلك يجب أن توضح خطة التنفيذ تاريخ التنفيذ المتوقع وتحديد المسؤول عن التنفيذ.

يقوم فريق التدقيق الداخلي عند التأكد من جدوى الردود بإصدار التقرير، ويتم توزيع تقرير التدقيق الداخلي النهائي على كل من الإدارة العليا ولجنة التدقيق والإدارة التنفيذية؛ ويتم عرض ملخص عن نتائج مهمة التدقيق في اجتماعات لجنة التدقيق والإدارة التنفيذية كما هو متفق عليه مع الإدارة خلال مرحلة التخطيط.

ينبغي أن تتضمن تقارير التدقيق الداخلي أهداف ونطاق مهمة التدقيق بالإضافة إلى الملاحظات والتأثيرات المتعلقة بها وكذلك التوصيات وخطط عمل الإدارة المتفق عليها، وقد يختلف شكل ومحتوى التقرير وفقاً لنوع مهمة التدقيق أو الإدارة الخاضعة للتدقيق، إلا أنه ينبغي أن يحتوي التقرير، على الأقل، على غرض ونطاق عمل ونتائج مهمة التدقيق.

وقد يتضمن تقرير التدقيق الداخلي ملخص، يشمل عرض متوازن لمحتوى التقرير، ومعلومات عامة، حيث تحدد هذه المعلومات الجهات والأنشطة التي تم تدقيقها وبعض المعلومات التوضيحية الأخرى، كما قد يتضمن إيضاحات عن حالة الملاحظات والاستنتاجات والتوصيات الواردة في التقارير السابقة، بالإضافة إلى الإشارة إلى الأسباب التي أدت إلى القيام بمهمة التدقيق، إما وفقاً لخطة التدقيق أو وفقاً لطلب خاص.

كما توضح فقرة الغرض من التدقيق أهداف التدقيق، كما يجوز عند الضرورة، توضيح أسباب القيام بمهمة التدقيق وماذا كانت النتائج المتوقعة منها.

وتحدد فقرة نطاق تدقيق الأنشطة العملية التي تم تدقيقها وتوضح طبيعة ومدى أعمال التدقيق المنفذة، كما قد تحتوي على معلومات إضافية مثل الفترة التي شملتها مهمة التدقيق.

كما ينبغي أن تحتوي النتائج على ما يلي:

- الخطر.

- الملاحظة والتوصية الخاصة بتحسين العملية التي تم تدقيقها.

- تصنيف الملاحظات وفقاً لأهميتها.

- خطط عمل الإدارة.

- تاريخ انتهاء تنفيذ خطط عمل الإدارة.

- جدول تصنيف إجراءات الرقابة.

تعتبر الملاحظات الواردة في التقرير ملخصاً للحقيقة، وينبغي أن تدرج الملاحظات الضرورية والهامة والتي تؤثر فعلاً على مقدرة الجهة على تحقيق أهدافها لتأييد استنتاجات التدقيق في تقرير التدقيق النهائي، كما يمكن حل الملاحظات الأقل أهمية بشكل غير رسمي.

تمثل الملاحظة مقارنة بين ما ينبغي أن يكون وما هو موجود فعلاً، وسواء كان هناك اختلاف بينهما أم لم يكن، فإن على فريق التدقيق الداخلي رفع نتائج مهمة التدقيق، وفي حال عدم وجود اختلاف بين ما هو موجود فعلاً وبين ما ينبغي أن يكون، فمن الأفضل ذكر ذلك بالتقرير على أنه أداء جيد، وينبغي أن تتضمن الملاحظات الأمور التالية:

- المعايير: المقاييس والتوقعات المستخدمة في التقييم أو التأكيد، أي ما ينبغي أن يكون.

- الحالة: الحالة الفعلية التي وجدها المدقق خلال القيام بالاختبار، أي ما هو موجود فعلاً.

- السبب: سبب وجود الاختلاف بين الحالة الفعلية والمتوقعة، أي لماذا يوجد اختلاف.

- الأثر: الخطر الذي تتعرض له الجهة الاتحادية بسبب الاختلاف بين ما هو موجود وما يجب أن يكون، أي تحديد أثر الاختلاف على عمليات الجهة التي يتم التدقيق عليها.

- التوصية: توضيح كيفية معالجة موضوع الملاحظة وتلافي تكرارها مستقبلاً أي معالجة الاختلاف.

ينبغي على فريق التدقيق الداخلي عند تحديد درجة خطر الملاحظة أن يأخذ في الاعتبار أثر الملاحظة المحتمل على العمليات التشغيلية للجهة المعنية وقوائمها المالية، كما قد تحتوي الملاحظات على إنجازات الإدارة وأمور متعلقة بنتائج التدقيق ومعلومات مؤيدة للملاحظات إذا كانت غير مدرجة في مكان آخر بالتقرير.

وتجدر الإشارة إلى أن مكتب التدقيق الداخلي يقوم في هذه المرحلة باختبار وإصدار التقارير عن فعالية إجراءات الرقابة التي تم تحديدها خلال مرحلة تقييم المخاطر ومرحلة التخطيط.

الجدول التالي يوضح نظام التصنيف الممكن اتباعه بشأن فعالية إجراءات الرقابة:

* يجب على فريق التدقيق الداخلي تقييم مدى التزام الإدارة التي يتم التدقيق عليها بإجراءات الرقابة المعتمدة.

ينبغي أن تكون تقارير التدقيق الداخلي ومراسلات التدقيق الداخلي دقيقة وموضوعية وواضحة وبناءة ومختصرة ومكتملة ويتم رفعها في الوقت المناسب، وفيما يلي توضيح لهذه الصفات:

يجب أن تكون المعلومات الواردة في الملاحظة دقيقة، فلا يجب أن يقوم المدققين الداخليين بالتعميم من خلال القول ببساطة أن إحدى الممارسات "تضعف إجراءات الرقابة" أو "لا توفر رقابة كافية"، فيجب أن يشرحوا كيف تُضعف الممارسة إجراءات الرقابة أو لا توفر رقابة كافية، ويجب مناقشة الملاحظات مع الأطراف التي تم التدقيق عليها للتأكد من أن جميع المعلومات اللازمة قد تم الحصول عليها، ويجب توثيق نتائج هذه المناقشة في مذكرة العمل الميداني.

يجب أن تكون المعلومات الواردة في الملاحظة منصفة ونزيهة وغير متحيزة، وهي نتاج تقييم متوازن لكل الحقائق والظروف المتعلقة بها، وينبغي أن تصاغ الملاحظات والاستنتاجات والتوصيات دون وجود أي تأثير غير مرغوب فيه من أطراف أخرى أو دون وجود أي مصلحة شخصية.

يجب أن تكون المعلومات الواردة في الملاحظة مفهومة ومنطقية، ويتم تفعيل الوضوح بتجنب المفردات التقنية المعقدة وإدراج كل المعلومات المهمة وذات الصلة.

يجب أن تكون المعلومات الواردة في الملاحظة تستهدف صلب الموضوع وتتجنب الدخول في تفاصيل غير مهمة وزائدة عن الحاجة أو فيها تكرار وإسهاب، إن هذه التقارير هي نتاج العمل المستمر على مراجعة وتحرير طريقة عرضها، ويكون الهدف هو الوصول إلى تقارير ذات أفكار مبتكرة ومبدعة وبأسلوب واضح ومختصر.

- بناءه:

يجب أن تكون المعلومات الواردة في الملاحظة مفيدة ومساعدة للجهة المعنية ولأصحاب العلاقة وتؤدي إلى التطوير، إن محتوى ولهجة عرض التقرير ينبغي أن تكون مفيدة وإيجابية وتضيف إلى المعنى وتسهم في تحقيق أهداف الجهة الاتحادية.

أي لا تفتقر إلى أي أمر يكون من الضروري وصوله للقارئ، وأن تحتوي على كافة المعلومات المهمة وذات العلاقة التي تؤيد الاستنتاجات والتوصيات.

أن يتم أولاً توضيح الملاحظة، ومن ثم يتم استيضاح أي معلومات إضافية، والتي يعد من الضروري تضمينها لتفسير الوضع بشكل صحيح، ومن المهم جداً عند كتابة الملاحظات، والتي تشمل العديد من الاستثناءات أو القضايا العالقة، أو تكون التعليقات منظمة بشكل صحيح وبترتيب منطقي، ويجب عرض التوصيات بنفس تسلسل بنود الملاحظات الواردة في التقرير.

الخطأ هو عبارة عن إدراج معلومات مهمة غير سليمة بشكل غير متعمد أو السهو عنها وعدم إدراجها عن غير قصد، وفي حالة اكتشاف سهو أو خطأ جوهري في تقرير التدقيق الداخلي، فعلى مدير مكتب التدقيق الداخلي الأخذ بعين الاعتبار إصدار تقرير معدل يحدد به المعلومات التي تم تصحيحها، على أن يتم توزيعه على جميع الجهات التي استلمت التقرير الأول.

ينبغي على فريق التدقيق الداخلي جمع الأدلة وإصدار الأحكام التحليلية ورفع نتائج أعمالهم والتأكد من اتخاذ الإجراءات التصحيحية المناسبة، كما ينبغي عليهم توخي الحذر عند إدراج النتائج وإبداء الآراء في تقارير التدقيق الداخلي والمخاطبات وأوراق العمل فيما يتعلق بالقانون والانتهاكات القانونية والمسائل القانونية الأخرى، وعليه فمن الأفضل لمكتب التدقيق الداخلي وضع السياسات والإجراءات المتعلقة بمعالجة هذه الأمور والعمل عن قرب مع الأطراف القانونية.

يقوم مكتب التدقيق الداخلي بتطوير آلية للمتابعة مع الإدارة المعنية تتعلق بمدى التزامها بتطبيق خطط معالجة الملاحظات الواردة بتقارير التدقيق ورفع تقارير دورية بنتائج أعمال المتابعة.

تتولى الإدارة المعنية مسؤولية تنفيذ الإجراءات التصحيحية، كما يجب أن يتم الأخذ في الاعتبار درجة الجهد والتكلفة المطلوبة لتصحيح الملاحظات الواردة بالتقرير، كما يجب قياس مدى صعوبة الإجراءات التصحيحية وإمكانية تطبيقها.

تتم مراقبة تقارير التدقيق الداخلي وخطة عمل الإدارة المعنية من خلال التالي:

- وضع إطار زمني لرد الإدارة على ملاحظات التدقيق.

- تقييم رد الإدارة.

- التحقق من الرد، إن أمكن.

- القيام بمتابعة التدقيق.

- إجراء التواصل مع المستوى الإداري المناسب فيما يتعلق بالرد وخطط عمل الإدارة غير المرضية بما في ذلك تحمل الإدارة للمخاطر.

- إرسال تقرير المتابعة إلى كل من الإدارة العليا والإدارة المعنية والقطاع المعني بالجهة الاتحادية.

- رفع تقارير دورية للجنة التدقيق عن مدى التزام الإدارات المعنية بتنفيذ خطط معالجة الملاحظات الواردة بتقارير التدقيق.

ينبغي على مدير المكتب تطوير والمحافظة على برنامج لضمان وتحسين الجودة، بحيث يغطي كافة جوانب نشاط التدقيق الداخلي، وفي هذا السياق يمكن عمل الآتي:

- تقييم دوري للجودة والمراقبة الداخلية المستمرة لها، "معيار التدقيق الداخلي رقم 1300 في شأن برنامج ضمان وتحسين الجودة".

- مراجعة مستمرة لأداء نشاط التدقيق الداخلي، ومراجعة دورية تنفذ بواسطة أشخاص تتوفر لديهم المعرفة بأصول ممارسة التدقيق الداخلي والمعايير الدولية المهنية لممارسة التدقيق الداخلي.

- التقييم الداخلي والخارجي على السواء "معيار التدقيق الداخلي رقم 1300 في شأن برنامج ضمان وتحسين الجودة"، كما يمكن عمل التقييم الداخلي من خلال توزيع استبيانات على الإدارات المدقق عليها لتقييم أداء فريق التدقيق.

- إجراء تقييم خارجي على الأقل مرة واحدة كل خمس سنوات بواسطة مراجع أو فريق مراجعة مؤهل ومستقل من خارج الجهة الاتحادية.

يجب على موظفي التدقيق الداخلي في الحكومة الاتحادية التحلي بالصفات والسمات الشخصية التالية:

1-الصدق، والصراحة، والاستقامة وامتلاك القدرة على تقبل الأفكار ووجهات النظر البديلة، بالإضافة إلى اللباقة وقوة الملاحظة والقدرة على فهم طبيعة عمل وظروف الجهة التي يدقق عليها وعلى التعامل مع المواقف المختلفة وأن يتحلى بالمثابرة والتركيز على إنجاز الأعمال المستهدفة، والقدرة على الحسم واتخاذ القرار، والاعتماد على النفس عند التعامل بفعالية مع الأخرين.

2- المؤهل العلمي:

يجب أن يكون المدقق حاصلاً على الحد الأدنى من التعليم وهو شهادة البكالوريوس، وبالقدر الكافي من المهارات لتأهيله لاكتساب المعرفة والمهارات اللازمة لعملهم، على النحو المبين في بند المعرفة والمهارات الموضح أدناه.

3- الخبرة العملية في مجال التدقيق الداخلي:

والمقصود بها الخبرة التي تؤدي لتطوير المعرفة والمهارات للشخص، ويجب أن تكون هذه الخبرة في نفس المجال وبحد أدنى من عدد السنوات تحدده الوظيفية التي سيعين عليها، كما يجب مراعاة أن تكون الخبرة مكتسبة لدى جهات معروفة بمهنيتها وكفاءتها في هذا المجال.

4- التدريب على التدقيق:

يجب التأكد من أن فريق عمل التدقيق قد أكمل تدريباً كافياً في التدقيق الداخلي يمكنه من تطوير معرفته ومهاراته، ويمكن أن تقوم الجهة بتدريب موظفيها بنفسها بواسطة خبرائها أو إسناد مهمة التدريب لجهة خارجية، وعلى مدير المكتب الاحتفاظ ببرنامج متكامل للتدريب والحرص على توفير التدريب المتخصص لموظفي المكتب من وقت لآخر.

5- المعرفة والمهارات:

يجب أن تتوافر لدى المدققين بشكل عام المعرفة والمهارات الكافية في النواحي التالية:

أ- أساسيات التدقيق وإجراءاته وفنونه ومنها: تخطيط وتنظيم العمل بكفاءة، تنفيذ التدقيق وفقاً للجدول الزمني المقرر له، اختيار الأولويات والتركيز على الأمور بالغة الأهمية، جمع المعلومات اللازمة بكفاءة عن طريق المقابلات الشخصية والاستماع لذوي العلاقة، وملاحظة ومراجعة الوثائق والسجلات والبيانات والتحقق من دقة المعلومات التي تم جمعه والتأكد من وجود دليل كافٍ عند توثيق الملاحظات التي قد يتم اكتشافها وتجميعها وتصنيفها حسب أهميتها وإعداد تقارير التدقيق والحفاظ على سرية وأمن المعلومات التي يطلع عليها أثناء عمليات التدقيق والمقدرة على التواصل مع الآخرين بمهنية وبكفاءة وطلاقة.

ب- نظام الإدارة والوثائق المرجعية التي يتم التدقيق استناداً لها وبالرجوع الدائم إليها وبالقياس والمقارنة معها:

فهم المجال الذي سيتم إجراء التدقيق عليه وكيفية تطبيق نظم الإدارة على الجهات المختلفة صغيرة كانت أو كبيرة، صناعية كانت أو خدمية والإلمام بما يتطلبه التطبيق الكامل لبنود المواصفات القياسية أو الوثائق اللازمة والتي سيتعامل معها المدقق وستكون المرجع الذي يستند إليه طوال عملية التدقيق بكاملها مثل المواصفة القياسية الدولية "آيزو" أو أي مواصفة قياسية دولية أخرى.

ج- القدرة على فهم أحوال الإدارة التي سيتم التدقيق عليها، أي أن يكون لدى المدقق القدرة على التعامل مع ظروف مختلفة في عملية التدقيق مثل حجم الإدارة التي سيتم التدقيق عليها وأقسامها المختلفة وطبيعة أداء العمليات داخلها والمصطلحات اللغوية المستخدمة والخاصة بهذه العمليات إضافة لفهم العادات والتقاليد أو الجو العام الثقافي والاجتماعي.

د- الوعي والإلمام بالقوانين والتشريعات واللوائح التنظيمية والتي سيتم التدقيق عليها، والإلمام بالعقود والاتفاقيات المحلية والدولية وأي متطلبات إلزامية تلتزم بها الجهة.

- تطوير خطة التدقيق الاستراتيجية وعرضها على لجنة التدقيق لاعتمادها.

- مراجعة خطة التدقيق الاستراتيجية في بداية كل عام للتأكد من المخاطر وأنه لم يطرأ أي تغييرات في النظم التي قد تؤثر على تقييم المخاطر والحصول على موافقة لجنة التدقيق على التغييرات في خطة التدقيق الاستراتيجية.

- تطوير وتقديم خطة التدقيق السنوية للعام الحالي إلى الإدارة العليا للاعتماد.

- مراقبة تنفيذ خطة التدقيق السنوية واقتراحات التعديلات عليها حسب الحاجة ومن ثم الموافقة على هذه التعديلات.

- حضور الاجتماعات واللقاءات ذات الصلة بأنشطة الإدارة بما في ذلك عقد الورش واللقاءات للتوعية بأهمية خدمات التدقيق الداخلي في الجهة.

- تحليل وإعداد جدول تقييم المخاطر لأنشطة وعمليات الإدارة التي يتم التدقيق عليها.

- إعداد الميزانية السنوية لمكتب للتدقيق الداخلي.

- ضبط عملية التوظيف الخاصة بالتدقيق الداخلي لتسهيل اختيار الموظفين ذوي الخبرة والمعرفة اللازمتين.

- التأكد من التزام فريق التدقيق الداخلي بدليل التدقيق الداخلي.

- توفير الخبرات الفنية اللازمة للمهام الموكلة، وتحديث قاعدة المعلومات والمهارات اللازمة لتنفيذ مهام التدقيق بشكل دوري.

- توزيع مهام التدقيق المدرجة في خطة التدقيق على المدققين الداخليين حسب الخبرة والكفاءة.

- التحقق من مدى كفاءة وفعالية السياسات والأنظمة والضوابط المطبقة ومدى الالتزام بها.

- إعداد التقارير الدورية ورفعها للجنة التدقيق.

- إصدار التقرير المبدئي ليتم مراجعته والتعليق عليه من قبل الإدارة محل التدقيق.

- مراجعة ملاحظات الإدارة التي تم الحصول عليها واتخاذ اللازم بشأنها.

- إصدار التقرير النهائي لمدير الإدارة التي خضعت للتدقيق مع نسخة للجنة التدقيق.

- التخطيط لمهام متابعة التدقيق للعمليات التي اكتملت خلال العام.

- رفع تقرير إلى لجنة التدقيق عن حالات المتابعة.

- دراسة التقارير الواردة من الجهات الرقابية الأخرى بالحكومة الاتحادية وتحديد الإجراءات اللازمة لتلافي الملاحظات ومتابعة تنفيذها من قبل الإدارات المختلفة بالجهة الاتحادية.

- ضمان التطوير المهني المناسب لموظفي التدقيق الداخلي بما في ذلك التدريب المناسب وتقديم الاستشارات والتوجيهات وتطبيق نظام تقييم للأداء يمتاز بالشفافية.

- المشاركة في إعداد خطة التطوير المهني لكل موظف والتي تتضمن الحصول على المؤهلات المهنية اللازمة، والبرامج التدريبية المناسبة، وتحديد نقاط الضعف التي يجب العمل عليها.

- مراجعة واعتماد تقييمات الموظفين بعد كل مهمة تدقيق ومناقشتها مع الموظفين والاتفاق على خطط التطوير.

- المشاركة في إعداد الخطة الاستراتيجية للتدقيق.

- مراجعة خطة التدقيق الاستراتيجية في بداية كل عام للتأكد من المخاطر وأنه لم يطرأ أي تغييرات في النظم التي قد تؤثر على تقييم المخاطر.

- المشاركة في إعداد الخطة السنوية للتدقيق فيما يتعلق بمهام التدقيق المالي والتشغيلي والالتزام والأداء وتقنية المعلومات وتقديمها إلى مدير المكتب للمراجعة والاعتماد.

- إدارة عمليات التدقيق الداخلي والتحقق من تنفيذها وفقاً للأسس والمعايير ذات الصلة.

- تنفيذ خطط التدقيق السنوية وفقاً للجدول الزمني المحدد لذلك.

- تجميع، تحليل، تقييم المخاطر وإعداد مسودة لسجل تقييم المخاطر لأغراض تنفيذ مهمة التدقيق.

- إعداد برامج التدقيق الداخلي للأنشطة محل التدقيق.

- تنفيذ أعمال التدقيق الداخلي والإشراف على عمل المدققين العاملين ضمن فريقه وتقييم أدائهم.

- مراجعة أوراق العمل التي يتم إعدادها من المدققين وتوفير الدعم الفني اللازم لهم.

- التأكد من الحصول على كافة البيانات والمستندات المؤيدة للملاحظات المدرجة بتقرير التدقيق الداخلي المبدئي.

- إعداد تقارير التدقيق الداخلي ورفعها لمدير المكتب.

- المساهمة في تطوير وتحديث سياسات وإجراءات التدقيق الداخلي والعمل بموجبها.

- المشاركة في تطوير وتحديث نظام التدقيق الداخلي بهدف تحسين كفاءة التدقيق الداخلي.

- المساهمة في عمليات تقييم كفاءة وفعالية نظام التدقيق الداخلي والضوابط الداخلية واقتراح الإجراءات اللازمة لتحسينها.

- اقتراح نماذج العمل المطلوب العمل بها في مكتب التدقيق الداخلي وفقاً لمنهجية التدقيق الداخلي للحكومة الاتحادية وفي ضوء معايير التدقيق الداخلي.

- إعداد ملفات وأوراق العمل وتنظيمها بشكل يتلاءم مع متطلبات كل نشاط من الأنشطة المدقق عليها والتأكد من حفظها في الملف المناسب "الدائم أو المؤقت الجاري".

- تنفيذ المهام الخاصة بناءً على طلب مدير التدقيق.

- تقديم تقرير بصورة منتظمة إلى المدقق الرئيسي عن حالة كل مهمة تدقيق.

- المشاركة في تنفيذ المهام الخاصة بناءً على طلب مدير المكتب أو المدقق الداخلي الرئيسي.

- حضور اجتماع فريق التدقيق الداخلي.

- حضور اجتماعات التخطيط الافتتاحية

- المشاركة في عملية تقييم المخاطر.

- المشاركة في إعداد برنامج التدقيق الداخلي والذي يتضمن استراتيجية الاختبارات.

- القيام باختبارات لفحص أنظمة الرقابة الداخلية التي تم تحديدها خلال مرحلة التخطيط، والاستنتاج عن فعاليته.

- تحديد المعلومات الكافية والتي تعتمد على الحقائق الموثوق بها والمفيدة وذات العلاقة لتحقيق أهداف التدقيق.

- توثيق العمل المنجز خلال عملية فهم طبيعة النشاط أو الإدارة محل التدقيق.

- التأكد من إعداد المستندات الكافية وحفظها بالملفات سواء الدائمة أو المؤقتة الجارية، لفهم الأنشطة التي سيتم تدقيقها.

- توثيق وتأكيد الملاحظات التي تم اكتشافها ورد الإدارة عليها.

- إعداد قائمة التدقيق الداخلي الخاصة بأوجه القصور.

- المشاركة في إعداد تقرير التدقيق الداخلي المبدئي.

- حضور الاجتماعات الختامية لمناقشة الملاحظات المرفوعة والتوصيات المقترحة.

- المشاركة في مهام متابعة الملاحظات والتوصيات للتأكد من تنفيذ الإجراءات التصحيحية بشكل سليم ومطابقتها مع ما ورد بالتقرير.

يجب على موظف التدقيق الداخلي العامل في الحكومة الاتحادية عند قيامه بأداء مهامه الالتزام بالمبادئ الأساسية للممارسة المهنية للتدقيق الداخلي المنصوص عليها في الإطار الدولي للممارسة المهنية لأعمال التدقيق الداخلي الصادر عن معهد التدقيق الداخلي وهي على النحو التالي:

- أداء عمله بنزاهة.

- امتلاك الكفاءة اللازمة وبذل العناية المهنية اللازمة.

- الموضوعية والتحرر من أي تأثيرات على استقلاليته "أي يكون مستقل".

- التوافق مع استراتيجيات وأهداف ومخاطر الجهة التي يعمل لديها.

- تناسب المركز الوظيفي مع المهام الموكولة له وامتلاك الموارد الكافية.

- الجودة والتحسن المستمر في أداء العمل.

- التواصل بشكل فعّال باستخدام كافة قنوات التواصل المتاحة.

- تقديم تأكيد مرتكز على المخاطر.

- ذو بصيرة، ومبادر وذو نظرة مستقبلية، أي بعد النظرة وأخذ الأمور المستقبلية بالاعتبار.

- دعم تطوير وتحسين الجهة التي يعمل لديها.

- يجب على كافة الموظفين المعنيين الاطلاع على هذا الدليل وأي تعديلات تطرأ عليه لاحقاً.

- يتم مراجعة الدليل كل سنة أو أكثر للتحديث والتطوير بناءً على مقترحات الجهات الاتحادية أو لتضمين التعديلات والتحديثات على المعايير والممارسات المهنية، على أن تعتمد أي تعديلات من قبل السلطة التي اعتمدت هذا الدليل.

- يجوز لمكاتب التدقيق الداخلي في الجهات الاتحادية تطوير إجراءات عمل ونماذج تفصيلية خاصة بها لمساعدة فريق عمل المكتب على أداء مهامه مع ضرورة مراعاة أن تكون الإجراءات ضمن الإطار العام لميثاق ومنهجية التدقيق الداخلي المعتمدة في هذا الدليل.

- يجب على مدير المكتب، وكما هو متعارف عليه في مهنة التدقيق الداخلي، الاحتفاظ بملف دائم آخر جاري للسنة الحالية.

- يجب الاحتفاظ بالمستندات والسجلات الخاصة بالعمل وفقاً للتشريعات الاتحادية ذات العلاقة.

- يجب مراعاة المرونة والسرعة في عملية تعيين المدققين الداخلين أو التعهيد المؤقت لخدمات بعض المدققين لضمان توافر الخبرات والمهارات اللازمة لأداء العمل وتنفيذ خطة التدقيق السنوية.