الدليل الشامل لإعداد خطة تدقيق داخلي استراتيجية مبنية على المخاطر

Arab Internal Auditors سبتمبر 16, 2025

الدليل الشامل لإعداد خطة تدقيق داخلي استراتيجية مبنية على المخاطر

 


 

في بيئة الأعمال الحديثة التي تتسم بالديناميكية والتغير السريع، لم تعد وظيفة التدقيق الداخلي مجرد أداة للتحقق من الالتزام بالسياسات والإجراءات. بل تطورت لتصبح شريكًا استراتيجيًا يضيف قيمة حقيقية للمنشأة من خلال تقديم تأكيدات موضوعية ورؤى استباقية حول المخاطر الأكثر أهمية. حجر الزاوية في هذا التحول هو اعتماد نهج "التدقيق المبني على المخاطر"، والذي يضمن تركيز موارد التدقيق المحدودة على المجالات التي تشكل التهديد الأكبر لأهداف المنشأة الاستراتيجية.

يقدم هذا المقال منهجية متكاملة وخطوات عملية لإعداد وتطوير خطة تدقيق داخلي مبنية على المخاطر، بما يتماشى مع "معايير التدقيق الداخلي العالمية" والإرشادات الصادرة عن معهد المدققين الداخليين (IIA).

المرحلة الأولى: التأسيس - فهم عميق للمنشأة وسياقها

قبل البدء في تحديد المخاطر، يجب على وظيفة التدقيق الداخلي بناء فهم شامل وعميق للمنشأة. هذه الخطوة ليست مجرد إجراء تمهيدي، بل هي الأساس الذي تُبنى عليه الخطة بأكملها. وفقًا للمعيار 9.1، يجب على الرئيس التنفيذي للتدقيق فهم عمليات الحوكمة وإدارة المخاطر والرقابة في المنشأة.

يشمل هذا الفهم عدة جوانب رئيسية:

  • الأهداف والاستراتيجيات: كيفية تحديد المنشأة لأهدافها الاستراتيجية واتخاذ القرارات التشغيلية لتحقيقها.
  • الحوكمة والثقافة الأخلاقية: الآليات التي تتبعها المنشأة للإشراف على إدارة المخاطر والرقابة، وكيفية تعزيزها لثقافة النزاهة والأخلاق.
  • إدارة المخاطر والرقابة: كيفية تحديد وتقييم المخاطر الهامة، واختيار العمليات الرقابية المناسبة للتخفيف منها.

لتحقيق هذا الفهم، يمكن للمدققين الداخليين الاعتماد على مصدرين رئيسيين:

1.     مراجعة الوثائق الأساسية: توفر الوثائق التنظيمية نظرة ثاقبة حول العمليات والمخاطر المحتملة ونقاط الرقابة. وتشمل هذه الوثائق:

o        الخطة الاستراتيجية ومؤشرات الأداء الرئيسية.

o        محاضر اجتماعات مجلس الإدارة والإدارة العليا ولجان المخاطر.

o        تقييمات المخاطر على مستوى المنشأة وسجلات المخاطر.

o        تقارير المدققين الخارجيين والجهات الرقابية.

2.     التواصل مع أصحاب المصلحة الرئيسيين: يعد التواصل المستمر والفعال أمرًا حيويًا. يجب على الرئيس التنفيذي للتدقيق عقد اجتماعات منتظمة مع:

o        مجلس الإدارة واللجان التابعة له: لفهم توقعاتهم والمستجدات في المنشأة والمخاطر المحتملة.

o        الإدارة العليا والتنفيذية: للحصول على رؤاهم حول أولويات الأعمال والتحديات التشغيلية.

o        مقدمو خدمات التأكيد الآخرون: مثل إدارات المخاطر والالتزام والمدققين الخارجيين، وذلك لتنسيق الجهود وتجنب الازدواجية.

المرحلة الثانية: جوهر الخطة - تحديد وتقييم وترتيب أولويات المخاطر

بعد بناء فهم راسخ للمنشأة، تبدأ عملية تحديد وتقييم المخاطر التي تمثل قلب النهج المبني على المخاطر.

1. إنشاء أو مراجعة "عالم التدقيق" (Audit Universe)

عالم التدقيق هو قائمة أو فهرس شامل لجميع الوحدات القابلة للتدقيق داخل المنشأة. قد تكون هذه الوحدات عبارة عن إدارات، عمليات، أنظمة، مشاريع، كيانات قانونية، أو حتى أطراف ثالثة هامة. يساعد عالم التدقيق على:

  • تبسيط عملية تحديد وتقييم المخاطر بشكل منهجي في جميع أنحاء المنشأة.
  • ضمان تغطية شاملة لجميع جوانب عمليات المنشأة.
  • يجب أن يكون عالم التدقيق وثيقة حية يتم تحديثها باستمرار لتعكس أي تغييرات في هيكل المنشأة أو استراتيجيتها.

2. تحديد وتوثيق المخاطر الرئيسية

تركز هذه الخطوة على تحديد المخاطر التي قد تعيق المنشأة عن تحقيق أهدافها. من الضروري استخدام تقنيات متنوعة لضمان عدم إغفال أي مخاطر هامة، خاصة تلك التي يصعب تحديدها بالطرق التقليدية:

  • المخاطر الناشئة ومخاطر الاحتيال: يمكن استخدام الاستطلاعات والمقابلات وورش العمل (مثل جلسات العصف الذهني) للحصول على مدخلات حول هذه المخاطر.
  • فئات المخاطر: يساعد تصنيف المخاطر (مثل استراتيجية، وتشغيلية، ومالية، والامتثال) في ضمان الاتساق والموثوقية في تحليلها وإيصالها.
  • المجالات عالية المخاطر: يتطلب المعيار 9.4 أن تغطي الخطة مجالات محددة مثل حوكمة تقنية المعلومات، ومخاطر الاحتيال، وفعالية برامج الامتثال والأخلاقيات. بالإضافة إلى ذلك، أصبحت مخاطر الاستدامة (البيئية والاجتماعية والحوكمة - ESG) ومخاطر الأطراف الثالثة ذات أهمية متزايدة.

3. قياس المخاطر

بمجرد تحديد المخاطر، يجب تقييمها لتحديد أهميتها النسبية. يتضمن ذلك:

  • التمييز بين المخاطر الكامنة والمتبقية: المخاطر الكامنة (Inherent Risk) هي المخاطر الموجودة قبل تطبيق أي ضوابط، بينما المخاطر المتبقية (Residual Risk) هي ما يتبقى بعد تطبيق استجابات الإدارة. يركز التدقيق على المخاطر المتبقية الأعلى.
  • تقييم الأثر والاحتمالية: يتم تقييم كل خطر بناءً على عاملين رئيسيين: "الأثر" (Impact) أو حجم الضرر الذي قد يحدث، و"الاحتمالية" (Likelihood) أو فرصة حدوثه.
  • الخريطة الحرارية (Heat Map): هي أداة مرئية فعالة تُستخدم لعرض نتائج تقييم المخاطر، حيث تُظهر المخاطر مصنفة حسب أثرها واحتماليتها، مما يسهل تحديد الأولويات.

المرحلة الثالثة: من التقييم إلى التنفيذ - بناء خطة التدقيق

بناءً على نتائج تقييم المخاطر، تبدأ عملية صياغة الخطة الفعلية. يوضح الشكل 1 في الدليل دورة تطوير خطة التدقيق، والتي تشمل عدة مراحل متداخلة.

1. تقدير الموارد المطلوبة

يجب أن تحدد خطة التدقيق الموارد البشرية والمالية والتكنولوجية اللازمة لإنجازها بنجاح.

  • تقييم المهارات: يجب على الرئيس التنفيذي للتدقيق مقارنة الكفاءات (المعرفة والمهارات والقدرات) المتاحة لدى فريق التدقيق مع المهارات المطلوبة لتنفيذ مهام التدقيق المخطط لها.
  • سد الفجوات: إذا كانت هناك فجوات في المهارات، يمكن سدها من خلال التدريب، أو الاستعانة بخبراء من خارج القسم، أو التعاقد مع مقدمي خدمات خارجيين.
  • حساب الساعات المتاحة: يجب تقدير إجمالي ساعات العمل المتاحة للمهام التدقيقية بعد استبعاد أوقات الإجازات والتدريب والاجتماعات والمهام الإدارية الأخرى.

2. تحديد تواتر وتوقيت المهام

لا يمكن تدقيق جميع المجالات في كل دورة. يتم تحديد تواتر المهام بناءً على مستوى المخاطر:

  • المناطق عالية المخاطر: قد يتم تدقيقها سنويًا أو كل 12-18 شهرًا.
  • المناطق منخفضة المخاطر: قد يتم تدقيقها كل 2-3 سنوات، أو قد لا يتم تدقيقها على الإطلاق.
  • الخطط الديناميكية: في ظل بيئة المخاطر سريعة التغير، تتبنى العديد من وظائف التدقيق خططًا "متجددة" أو "ديناميكية" يتم تحديثها بشكل ربع سنوي أو مستمر بدلاً من الالتزام بخطة سنوية جامدة.

3. التنسيق مع مقدمي خدمات التأكيد الآخرين

لتجنب ازدواجية الجهود وتحقيق أقصى استفادة من الموارد، يجب على الرئيس التنفيذي للتدقيق التنسيق مع خطوط الدفاع الأخرى والمدققين الخارجيين.

  • نموذج الخطوط الثلاثة (Three Lines Model): يوفر هذا النموذج إطارًا لفهم الأدوار والمسؤوليات وتنسيق الأنشطة بين الإدارة (الخط الأول)، ووظائف إدارة المخاطر والالتزام (الخط الثاني)، والتدقيق الداخلي (الخط الثالث).
  • خريطة التأكيدات (Assurance Map): هي أداة توثق تغطية التأكيدات عبر المنشأة، حيث تربط فئات المخاطر الهامة بمصادر التأكيد المختلفة، مما يكشف عن أي فجوات أو تداخل في التغطية.

المرحلة الرابعة: الصياغة، العرض، والموافقة

تتوج كل الجهود السابقة في مسودة خطة التدقيق المقترحة، والتي يتم عرضها للحصول على الملاحظات والموافقة النهائية.

1. صياغة مسودة الخطة

يجب أن تكون وثيقة الخطة شاملة وواضحة، وتحتوي عادةً على الأقسام التالية:

  • ملخص تنفيذي: نظرة عامة موجزة عن المخاطر الرئيسية والمهام المخطط لها والجدول الزمني.
  • ملخص تقييم المخاطر: وصف للعملية والنتائج، بما في ذلك الخريطة الحرارية.
  • نظرة عامة على مهام التدقيق: قائمة بالمهام المقترحة، وأهدافها ونطاقها المبدئي، والجدول الزمني المقترح.
  • خطة الموارد والميزانية: تحديد الموارد البشرية والمالية اللازمة.
  • التغطية والاستثناءات: شرح للمناطق التي ستتم تغطيتها والمناطق المستبعدة، خاصة تلك ذات المخاطر العالية التي لم يتم تضمينها بسبب قيود الموارد.

2. عرض الخطة وطلب الملاحظات

قبل تقديم الخطة إلى مجلس الإدارة، يناقشها الرئيس التنفيذي للتدقيق مع الإدارة العليا. الهدف هو التأكد من أن الخطة تعكس أولويات المنشأة بشكل مناسب، ومعالجة أي مخاوف، والحصول على دعم الإدارة لتنفيذ الخطة.

3. التواصل للحصول على الموافقة النهائية

الخطوة الأخيرة هي عرض الخطة على مجلس الإدارة أو لجنة التدقيق. يجب على الرئيس التنفيذي للتدقيق شرح العلاقة بين المخاطر التي تواجه المنشأة والخطة المقترحة والموارد المطلوبة لتنفيذها. يجب أن تتم الموافقة على الخطة رسميًا من قبل مجلس الإدارة.

المرحلة الخامسة: وثيقة حية - التواصل المستمر والتحديثات

خطة التدقيق ليست وثيقة ثابتة تُعد مرة واحدة في السنة. بل يجب أن تكون ديناميكية ومستجيبة للتغييرات.

  • التقييم المستمر للمخاطر: يتطلب المشهد سريع التغير للمخاطر تقييمها بشكل متكرر، وربما مستمر.
  • أسباب تحديث الخطة: هناك العديد من الأسباب التي قد تستدعي تعديل الخطة، مثل عمليات الاستحواذ، التغييرات في القوانين واللوائح، ظهور مؤشرات مخاطر غير متوقعة، أو تنفيذ أنظمة جديدة.
  • الإبلاغ عن التغييرات: يجب إبلاغ مجلس الإدارة والإدارة العليا بأي تغييرات جوهرية في الخطة أو متطلبات الموارد والحصول على موافقتهم.

الخاتمة

إن إعداد خطة تدقيق داخلي مبنية على المخاطر هو عملية استراتيجية تتطلب فهمًا عميقًا وتعاونًا مستمرًا وتقييمًا ديناميكيًا. عندما يتم تنفيذها بشكل صحيح، فإنها تحول وظيفة التدقيق الداخلي من مجرد وظيفة رقابية إلى مستشار استراتيجي موثوق به، مما يضمن تركيز جهودها على حماية وتعزيز قيمة المنشأة من خلال معالجة المخاطر الأكثر أهمية.

 

#التدقيق_الداخلي #إدارة_المخاطر #التدقيق_المبني_على_المخاطر #خطة_التدقيق #حوكمة_الشركات #الرقابة_الداخلية #تقييم_المخاطر #المراجعة_الداخلية #الامتثال #مدقق_داخلي

التدقيق الداخلي، خطة التدقيق المبني على المخاطر، إدارة المخاطر والتدقيق، كيفية إعداد خطة التدقيق، معايير التدقيق الداخلي، حوكمة الشركات، تقييم المخاطر، الرقابة الداخلية، معهد المدققين الداخليين (IIA)، عالم التدقيق (Audit Universe)