1.1.2. إجراء اجتماعات مع مسؤولي الوحدات التنظيمية

1. بالإضافة إلى مراجعة المستندات الأساسية، فإنه من الضروري إجراء اجتماعات مع الأطراف المختلفة من أجل اكتمال فهم أنشطة الوحدات التنظيمية والبيئة التنظيمية والرقابية ذات الصلة، بالإضافة إلى أبرز التحديات والمخاطر الخاصة بها، وفيما يلي قائمة بالأطراف التي من الممكن النظر في إجراء الاجتماعات معهم وآلية التواصل الممكنة:

2. آلية التواصل: قد يتم التواصل مع الأطراف المختلفة من خلال ما يلي:

• اجتماعات مباشرة

• استبيانات

• جلسات عصف ذهني

1.1.3. تحديد (أو تحديث) مجال التدقيق (Audit Universe)

1. بمجرد الانتهاء من فهم الاستراتيجيات والأهداف الرئيسية، يتم تحديد مجال التدقيق (Audit Universe)، أو تحديث مجال التدقيق الحالي، ويمثل مجال التدقيق قائمة بجميع الوحدات القابلة للتدقيق داخل الجهة، وقد تكون الوحدات الخاضعة للتدقيق أي موضوع، أو مشروع، أو وحدة تنظيمية، أو عملية، أو كيان، أو أي مجال آخر.

2. إن تحديد أو تحديث مجال التدقيق يساعد في تسهيل عملية تحديد وتقييم المخاطر، حيث إنها تمثل خطوة أساسية نحو تحديد الوحدات القابلة للتدقيق والتي لديها مستويات من المخاطر تستدعي إدراجها ضمن مهام التدقيق الداخلي المخطط لها.

3. يجب على المعنيين وحدة التدقيق التشاور مع الإدارة العليا للتأكد من أن مجال التدقيق الذي تم الوصول إليه، يعكس بشكل دقيق نموذج أعمال الجهة. ويجب الأخذ بعين الاعتبار أن مجال التدقيق يجب أن يتم تحديثه بشكل دوري ليعكس التغيرات الداخلية والخارجية في أعمال الجهة، والتي قد تؤدي إلى نشوء مخاطر جديدة يجب أخذها بعين الاعتبار.

1.2. إجراء تقييم المخاطر

إن عملية تقييم المخاطر على مستوى الجهة تُمكّن وحدة التدقيق من التركيز على أبرز المخاطر وتحديد مهام التدقيق التي يمكن إدارتها في الوقت المناسب وذات القيمة المضافة والتي تعكس أولويات الجهة.

1.2.1. تحديد المخاطر

1. يتم من خلال هذا الإجراء تحديد المخاطر المرتبطة بمجال التدقيق الذي تم تحديده مسبقاً من قبل وحدة التدقيق الداخلي بالإضافة إلى تحديد فئات المخاطر ذات الصلة.

2. لتحديد أبرز المخاطر، يجب على وحدة التدقيق الداخلي تحديد وفهم الأهداف والاستراتيجيات التنظيمية عالية المستوى، بالإضافة إلى أهداف العمل المحددة والاستراتيجيات والمبادرات المتبعة لتحقيق هذه الأهداف.

3. في حال أن الجهة قامت بتطبيق إدارة المخاطر المؤسسية والتي نشأ عنها سجلاً شاملاً للمخاطر، قد يقوم موظفي التدقيق الداخلي باستخدام نتائج ومخرجات عملية إدارة المخاطر المؤسسية كمدخل في عملية تقييم المخاطر إلا أنه، تماشياً مع مبدأ الموضوعية في وثيقة أخلاقيات المهنة ومعيار الاستقلالية والموضوعية، يجب على المدققين الداخليين القيام بعملهم للتحقق من أن جميع المخاطر الرئيسية قد تم توثيقها وأن الأهمية النسبية للمخاطر تنعكس بدقة.

4. قد توصي بعض الأطر والنُهج أو تتطلب استخدام فئات مخاطر معينة، وفي حال كانت الجهة تتبع إطار عمل لإدارة المخاطر المؤسسية، فيجب على وحدة التدقيق الداخلي مواءمة فئات المخاطر مع تلك المدرجة ضمن إطار العمل. في حالة عدم وجود إطار عمل أو فئات مخاطر، يمكن لوحدة التدقيق الداخلي إجراء مناقشات وتبادل أفكار مع الوحدات التنظيمية في الجهة حول المخاطر ذات الصلة بالجهة من خلال البدء بتصنيف فئات المخاطر الشائعة في معظم الجهات، مثل المخاطر الاستراتيجية والتشغيلية، والامتثال، والمخاطر المالية والقانونية.

5. وحدة التدقيق الداخلي مسؤولة عن تقييم "عمليات إدارة المخاطر" في الجهة ومدى فعاليتها، بما في ذلك تلك المتعلقة بمخاطر الاحتيال. نظراً لاحتمال ظهور مخاطر احتيال جديدة في أي وقت، يجب على المدققين الداخليين أيضًا تقييم مخاطر الاحتيال عند التخطيط لكل مهمة التأكيد. يعد العصف الذهني مع مجموعة متنوعة من أصحاب المصلحة في الجهة جزءًا أساسياً في عملية تقييم مخاطر الاحتيال.

6. يقوم العديد من مدراء التدقيق بإجراء تقييم مخصص ومستقل لمخاطر الاحتيال، كما أن المعلومات التي يتم اكتشافها من خلال أي من هذه العمليات، يجب دمجها في التقييم الشامل للمخاطر وخطة التدقيق الداخلي.

1.2.2. تحليل المخاطر

1. يتم تحليل المخاطر التي تم تحديدها من حيث احتمالية وقوعها وتأثيرها المحتمل، الأمر الذي يساعد على تحديد مستوى مخاطر الأعمال الخاصة بجميع الوحدات ضمن مجال التدقيق من خلال جمع نتائج التأثير مع احتمالية الحدوث.

2. تحديد معايير التقييم: يتمثل النشاط الأول في عملية تقييم المخاطر في تحديد مجموعة مشتركة من معايير التقييم ليتم تطبيقها عبر الوحدات التنظيمية ومجال التدقيق في الجهة، وعادة ما يتم تقييم المخاطر من حيث التأثير والاحتمالية.

3. احتمالية وقوع الخطر: الاحتمالية هي مدى تكرار حدوث المخاطر، حيث إن بعض الأحداث قد تقع مرة واحدة، وأخرى أن تقع يومياً، فبالتالي يتطلب تحليل المخاطر تقييم مدى تكرار وقوعها. فيما يلي جدول إرشادي للمساعدة في تصنيف الاحتمالية:

ملاحظة: تختلف احتمالية الحدوث الموضحة في الجدول السابق من جهة معنية إلى أخرى وفقاً لاختلاف بيئة العمل.

4. أثناء تقييم احتمالية حدوث الخطر يجب الأخذ بعين الاعتبار بعض العوامل كما يلي:

• التكرار: ما مدى تكرار حدوث الخطر في الفترات السابقة.

• التغيرات: الأخذ بعين الاعتبار التغيرات في بيئة العمل متمثلة في وجود عمليات مستحدثة أو تعيين موظفين جدد، وغيرها من المتغيرات التي قد تؤدي إلى تعرض الجهة لحدوث الخطر.

• تعقيد العمليات: مدى تعقيد عمليات الجهة.

5. مراجعة البيانات الداخلية والخارجية تساعد موظفي وحدة التدقيق في تقييم احتمالية وتأثير المخاطر. تتضمن مصادر بيانات حدوث المخاطر تقارير التدقيق الداخلي والخارجي وتقارير تحليل البيانات المالية والتشغيلية، حيث إن الاعتماد على البيانات الحالية يعزز الموضوعية في تقييم المخاطر، ومن الضروري تقييم مدى ملاءمة البيانات في ظل الظروف الحالية والمتوقعة.

6. كما أنه يتم تقييم احتمالية حدوث المخاطر من خلال الاجتماع مع الموظفين المعنيين والحصول على المدخلات ذات الصلة.

7. أثر وقوع الخطر: يتم تقييم أثر وقوع الخطر من خلال إعداد مصفوفة معايير تقييم أثر المخاطر وفيما يلي مثال توضيحي:

1.2.3. تقييم المخاطر

1. أثناء عملية تقييم المخاطر، يجب على المدققين الداخليين الأخذ بعين الاعتبار كل مما يلي:

• المخاطر المتأصلة: وهي المخاطر الناتجة عن طبيعة النشاط بغض النظر عن الضوابط الرقابية المتبعة.

• المخاطر المتبقية: وهي المخاطر التي تبقى بعد الأخذ في الاعتبار جميع الضوابط الرقابية المعمول بها.

2. تقييم المخاطر المتأصلة: يمكن تصنيف المخاطر المتأصلة من خلال ناتج جمع الاحتمالية والأثر، وفيما يلي مصفوفة تقييم المخاطر المتأصلة.

3. تقييم المخاطر المتبقية: من أجل إجراء تقييم المخاطر المتبقية، يجب على فريق التدقيق الداخلي إجراء تحليل تفصيلي للضوابط الرقابية المتعلقة بالمخاطر التي تم تحديدها مسبقاً. يتم تحليل الضوابط الرقابية لجميع المخاطر المتأصلة التي تم تصنيفها على أنها مخاطر شديدة أو هامة أو معتدلة، في حين أنه قد يتم التغاضي عن إجراء تحليل للضوابط الرقابية فيما يتعلق بالمخاطر التي تم تصنيفها كمخاطر منخفضة.

4. تشمل الضوابط الرقابية الخاصة بالحد من المخاطر جميع السياسات والإجراءات والممارسات والعمليات المتبعة للتأكيد بالشكل الكافي على القيام بإدارة تلك المخاطر.

5. يتم تحليل وتقييم الضوابط الرقابية الخاصة بالمخاطر من خلال اتباع المصفوفة التالية:

6. ينبغي توثيق الضوابط الرقابية للحد من المخاطر في سجلات المخاطر على أن تصنف وفقاً لفعالية تصميمها في الحد من المخاطر وذلك من خلال الحصول على بعض العينات التي تساعد فريق العمل على فهم تصميم هذه الضوابط، أما من جهة فعاليتها فيتم اختباره لاحقاً خلال مرحلة تنفيذ أعمال التدقيق.

7. يتم احتساب المخاطر المتبقية على أنها محصلة الجمع بين تصنيف المخاطر (الفصل 4.1) وبين تصنيف إجراءات الرقابة (الفصل 4.2)، ويستخدم الناتج عن هذه العملية في تحديد مستوى الدور المطلوب - طبقاً للمصفوفة المذكورة أدناه - للتعامل مع المخاطر المتبقية.

8. تأكيد نتائج تقييم المخاطر مع الإدارة التنفيذية: على وحدة التدقيق الداخلي الأخذ بعين الاعتبار مدخلات أصحاب المصلحة خلال عملية إعداد خطة التدقيق الداخلي، ويتم الاستفادة من هذه المدخلات خلال عملية تقييم المخاطر. ويجب ضمان أن يظل نشاط التدقيق الداخلي مستقلاً وموضوعيًا وغير متحيز.

9. يجب على مدير وحدة التدقيق الاجتماع مع الإدارة العليا لمراجعة نتائج تقييم المخاطر وذلك بهدف التأكد من الشمولية والفهم المتبادل، ومناقشة أسباب أي اختلافات جوهرية في تصورات أو تصنيفات المخاطر.

10. تقرير تقييم المخاطر: بعد الانتهاء من عملية تقييم المخاطر تقوم وحدة التدقيق الداخلي بإعداد تقرير نتائج تقييم المخاطر موضحاً أهم المعلومات والتي تتضمن على سبيل المثال لا الحصر ما يلي:

• نتائج المخاطر المتبقية لجميع الوحدات ضمن مجال التدقيق.

• أبرز المخاطر على مستوى الوحدات التنظيمية.

• الخريطة الحرارية: يمكن وصف نتائج تقييم المخاطر بمستويات المخاطر لكل وحدة ضمن مجال التدقيق بيانياً في خريطة حرارية بهدف المساعدة في إظهار ترتيب الأولويات. تعد الخرائط الحرارية مفيدة بشكل خاص في العروض التقديمية المرئية للإدارة العليا.

11. مراقبة المخاطر وإعادة تقييمها: على وحدة التدقيق الداخلي إجراء مراقبة مستمرة للمخاطر التي تم تحديدها مسبقاً وإعادة تقييمها بشكل دوري بغرض إعادة ترتيب الأوليات، كما أنه من الضروري التعرف على أية مخاطر جديدة قد تنتج عن التغير في بيئة العمل والتي قد تؤثر على تحقيق أهداف الجهة. بالإضافة إلى ذلك، يجب على فريق التدقيق أثناء تنفيذ مهام التدقيق وفق الخطة السنوية، إعادة تقييم المخاطر حيث إنه قد يتم اكتشاف عدم فعالية الضوابط الرقابية التي تم توثيقها سابقاً في عملية تقييم المخاطر وبالتالي سوف يؤثر على نتائج تقييم تلك المخاطر.

12. التدقيق المستمر (Continuous Audit): قد يوجد بعض الجهات التي تعتمد بشكل كبير على الأنظمة الإلكترونية نظراً لطبيعة عملها والتي قد ينتج عنها عدد كبير من المعاملات اليومية (مثال: هيئات المرور والمواصلات والبلديات، وغيرها)، لذلك، على نشاط التدقيق الداخلي، بعد الانتهاء من عملية تقييم المخاطر والحصول على فهم شامل لأبرز المخاطر والضوابط الرقابية المتبعة للحد من تلك المخاطر والتي قد يكون أغلبها ضمن الأنظمة المستخدمة، النظر في تطبيق عملية التدقيق المستمر بغرض تقييم تلك المخاطر والضوابط الرقابية وتحقيق أقصى درجة من الكفاءة الممكنة في أعمال التدقيق. لمزيد من التفاصيل حول التدقيق المستمر، يرجى الرجوع إلى الملحق رقم (1).

1.3. إعداد خطة التدقيق

1.3.1. خطة التدقيق الشاملة (من 3 إلى 5 سنوات)

1. يتم إعداد خطة التدقيق الشاملة والتي تتضمن أنشطة التدقيق لفترة من (3) إلى (5) سنوات ويتم إعدادها بناءً على العديد من المدخلات متضمنة ما يلي:

• نتائج عملية تقييم المخاطر وترتيب الأولويات بناءً على متوسط تقييم المخاطر المتبقية لكل وحدة ضمن مجال التدقيق.

• مدخلات الإدارة العليا قد تطلب الإدارة العليا بعض مهام تتعلق بخدمات التأكيد والاستشارات، والتي يجب أخذها بعين الاعتبار أثناء إعداد خطة التدقيق الشاملة، وقد تتعلق هذه المتطلبات بعمليات لم تظهر ضمن الأولويات العليا في نتائج تقييم المخاطر.

2. تتضمن خطة التدقيق الشاملة مهام التدقيق خلال الفترة الزمنية والتوقيت المبدئي المتوقع والإطار الزمني لكل منها، بالإضافة إلى النطاق المبدئي للتدقيق والموارد المطلوبة.

3. يجب أن تتمتع خطة التدقيق الشاملة بالمرونة الكافية لاستيعاب أي تغيّرات قد تطرأ، ويتم اعتماد هذه الخطة من قبل لجنة التدقيق في الجهة. في حال حدوث أي تعديلات ناتجة عن إعادة تقييم للمخاطر، فإن هذا التعديل يجب أن ينعكس في خطة التدقيق الشاملة، كما ويجب أن يتم اعتماد الخطة المحدثة من لجنة التدقيق والمخاطر. في حال عدم وجود لجنة مراجعة في الجهة يجب عرض الخطة الشاملة واعتمادها من رئيس مجلس الإدارة أو من رئيس الجهة.

1.3.2. خطة التدقيق السنوية

1. تأتي خطة التدقيق السنوية تطبيقاً لخطة التدقيق الشاملة مع إضافة بعض التعديلات، في حال تطلب الأمر، ويتم اعتمادها بشكل سنوي من قبل لجنة التدقيق والمخاطر في الجهة، وفي حال عدم وجود لجنة يكون الاعتماد من قبل رئيس الجهة، وقد تشمل الخطة السنوية على العناصر التالية وذلك على سبيل المثال لا الحصر:

2. وتيرة مهام التدقيق والتوقيت: حيث إنه لا يمكن التدقيق على جميع الوحدات ضمن مجال التدقيق في كل دورة تدقيق، حيث إنه يعتمد تكرار التدقيق على نتائج تقييم المخاطر، حيث يجب على مدير وحدة التدقيق النظر في أي من مهمات التدقيق والتي سوف تعزز قدرة الجهة على تحقيق أهدافها وأي من هذه المهام سوف تضيف أكبر قيمة ممكنة.

على مدير وحدة التدقيق تحديد مدى تكرار عملية التدقيق وفق ما يراه مناسباً وبما يتوافق مع بيئة العمل في الجهة، ويعتمد تكرار التدقيق على مستوى المخاطر المتبقية المحدد في عملية تقييم المخاطر، حيث إنه على سبيل المثال:

3. الاعتبارات الواجب مراعاتها عند إعداد خطة التدقيق: فيما يلي أمثلة للاعتبارات الواجب أخذها بعين الاعتبار أثناء إعداد خطة التدقيق السنوية:

4. استفادة التدقيق الداخلي من أعمال مقدمي خدمات التأكيد الآخرين: يتم تكليف التدقيق الداخلي من قبل المعايير الدولية للممارسة المهنية للتدقيق الداخلي بتوفير خدمات تأكيد بشأن كفاية الحوكمة وإدارة المخاطر والضوابط ذات الصلة، ويوجد لدى العديد من الجهات، طرفًا آخر لتقديم خدمات التأكيد مثل مشاريع تقنية المعلومات وجودة عمليات التصنيع والصحة والسلامة البيئية والرقابة على التقارير المالية والامتثال مع التشريعات والأنظمة، لذلك من الضروري الاستفادة من عمل مقدمي خدمات التأكيد الآخرين أثناء إعداد خطة التدقيق وذلك لتحقيق ما يلي:

• تقليل ازدواجية العمل والحد من الإرهاق الناتج عن التدقيق وتعطيل الأعمال.

• تحسين مدى تغطية أعمال التدقيق، والحفاظ على موارد التدقيق الداخلي للعمليات ذات المخاطر المرتفعة.

• ضمان أكثر دقة من خلال إشراك ذوي الخبرة في الأنشطة محل التدقيق.

• زيادة التعاون الاستراتيجي والشفافية وحوكمة أفضل لتحقيق أهداف الجهة.

نظرًا لأن مقدمي خدمات التأكيد (الداخليين والخارجيين) ووحدة التدقيق الداخلي قد يكون لديهم أهداف مختلفة، فمن الضروري إدارة التوقعات مسبقًا فيما يتعلق بأهداف التدقيق وموضوعية وكفاءة فريق العمل ودقة عمليات التقييم والاختبارات التي سوف يتم تنفيذها والجدول الزمني المتوقع.

5. خريطة التأكيد (Assurance Map): من أجل تحقيق أقصى استفادة ممكنة من أعمال مقدمي خدمات التأكيد الآخرين تقوم وحدة التدقيق الداخلي بإعداد خريطة التأكيد من خلال تنسيق ومواءمة عملية تغطية المخاطر الخاصة بالجهة، حيث إن ذلك يُمكن مقدمي خدمات التأكيد من بناء إطار تأكيد قوي ورفع كفاءة وفعالية أنشطة التأكيد.

إن عملية إعداد خريطة التأكيد قد تتم بناءً على طلب من الإدارة العليا؛ وبشكل محدد، من قبل لجان التدقيق أو المخاطر أو من خلال المبادرة الذاتية للتدقيق الداخلي، ويجب أن يكون إعداد خريطة التأكيد جهدًا تعاونيًا، يشمل كل الأطراف المقدمة لخدمات التأكيد. يتم إعداد خريطة التأكيد من خلال الخطوات التالية:

أ. فهم مخاطر الجهة: فهم شامل لمخاطر الجهة من خلال الاطلاع على استراتيجية الجهة، نتائج تقييم المخاطر، السياسات، تقارير الأداء، محاضر مجلس الإدارة، محاضر لجنة التدقيق والمخاطر (إن وجد لجنة)، وغيرها من التقارير الأخرى. ويتم ذلك خلال عملية تقييم المخاطر أثناء تطوير الخطة، ولكن قد يتم تحديث سجلات المخاطر بشكل دوري.

ب. تنظيم المخاطر في فئات محددة بهدف تسهيل عملية العرض على مستوى عالٍ، يجب أن تتوافق فئات المخاطر مع الأهداف الإستراتيجية للجهة، وقد تغطي فئات المخاطر الإضافية المجالات أو العمليات التشغيلية، ومخاطر الامتثال والإبلاغ وغيرها.

ت. تحديد مقدمي خدمة التأكيد: قد يتم تحديد مقدمي خدمات التأكيد داخل الجهة من خلال نموذج خطوط الدفاع الثلاثة، الذي يميز مصادر إدارة المخاطر إلى ثلاث مجموعات داخلية رئيسية (أو خطوط دفاع) بناءً على الأدوار والمسؤوليات الأساسية. إضافة إلى ذلك، يجب أن يتحقق التدقيق الداخلي من استخدام الجهة لمقدمي خدمات تأكيد خارجيين وأن يحدد إلى أي مدى ينبغي تضمين أنشطة مزودي التأكيد الخارجي في خريطة التأكيد. وقد يتضمن مزودي خدمات التأكيد الخارجيين ما يلي:

• أجهزة الرقابة العليا

• مستشارو إدارة المخاطر المؤسسية

• مكاتب المحاماة

• مستشارو تكنولوجيا المعلومات (المقارنة المعيارية، الحماية من الفيروسات، الصيانة)

ث. جمع المعلومات وتوثيق مدى شمولية خدمات التأكيد: يتم إدراج فئات المخاطر في خريطة التأكيد، ثم يتم وضع معلومات إضافية لتوثيق تغطية مزودي خدمات التأكيد للمخاطر المدرجة.

ج. التحديث المستمر على خريطة التأكيد لتعكس أية متغيرات.

6. فريق العمل: يتوجب على مدير وحدة التدقيق الداخلي التأكد من كفاءة وكفاية الموارد البشرية وقدرتها على إتمام عملية التدقيق الداخلي بالإضافة إلى وجود المهارات الأساسية اللازمة لتنفيذ مهام التدقيق في الوقت المحدد وبالجودة المطلوبة، كما ويجب الأخذ في عين الاعتبار وجود بعض الأنشطة التي يتطلب التدقيق عليها وجود كفاءات ومهارات متخصصة، على سبيل المثال التدقيق على أنشطة التأمين، والمشاريع، والمجالات الطبية، وغيرها.

عند تحديد الموارد اللازمة لتنفيذ مهام التدقيق، يتعين تقييم النقاط التالية:

• عدد ومستوى خبرة المدققين المكلفين بمهام التدقيق بناءً على تقييم طبيعة ومستوى الصعوبة ومحددات الوقت والموارد المتاحة لهذه المهام.

• عند اختيار فريق التدقيق ينبغي الأخذ في الاعتبار مستوى المعرفة والمهارات والكفاءات الأخرى للمدققين الذين سيقع عليهم الاختيار.

• احتياجات المدققين التدريبية، حيث تمثل كل مهمة من مهام التدقيق أحد أسس تدريب أعضاء وحدة التدقيق الداخلي.

• تحديد احتياجات وحدة التدقيق الداخلي من الموارد الخارجية حيث الحاجة إلى مهارات وكفاءات إضافية.

عند تشكيل فرق العمل لتنفيذ مهام التدقيق، يجب الأخذ بعين الاعتبار مدى أتمتة عمليات النشاط الخاضع للتدقيق وذلك بهدف إدراج مدقق مختص بتكنولوجيا المعلومات ضمن الفريق بغرض تزويد فريق العمل بنتائج تقييم الضوابط الرقابية في النظام وبالتالي يعزز من قدرة الفريق على تحديد جوانب التركيز وحجم العينة الواجب اختيارها وبالتالي رفع كفاءة تنفيذ أعمال التدقيق.

7. مدخلات الإدارة العليا: تقوم وحدة التدقيق بالحصول على مدخلات وتعقيب الإدارة العليا على مسودة خطة التدقيق السنوية وأخذها بعين الاعتبار للتأكد من أن الخطة تعكس بشكل مناسب أولويات الجهة وأن الإدارة تدعم تنفيذ الخطة.

8. تحديث خطة التدقيق الداخلي:

• قد يتبين من خلال إجراءات التدقيق وتنفيذ عملية التدقيق الداخلي على الأنشطة المختلفة، أن بعض الأنشطة قد تعرضت لنسبة مخاطر أعلى أو أقل مما تم تقييمه مسبقاً، كما أنه قد يتبين أيضاً عدم كفاءة بعض الإجراءات الرقابية. ونظراً لأن خطة التدقيق الداخلي تتسم بالمرونة والاستجابة للتغيرات المحيطة، فإنه يمكن تعديل خطة التدقيق الداخلي في حال وجود تغيير جوهري في تقييم درجة المخاطر المختلفة والذي ينتج من خلال إجراءات التدقيق الداخلي.

• ينبغي اعتماد أي تعديل على الخطة السنوية من الإدارة العليا، على أن يتم إظهار التعديل وسببه، وتجدر الإشارة إلى أن أسباب تعديل خطة التدقيق السنوية قد تكون نتيجة لأي تغيرات سواء كانت داخلية أو خارجية منها على سبيل المثال لا الحصر:

  • تغيرات في الهيكل التنظيمي أو التشغيلي لنشاط معين أو مجال أو إدارة معينة.
  • تغييرات في القوانين والتشريعات ذات الصلة بعمل الجهة.
  • التغييرات في استراتيجية وتوجهات الجهة.
  • التغيرات الإدارية.
  • التغيرات في المخاطر والعوامل المشاركة في تقييم المخاطر.
  • التغيرات في السياسات، والإجراءات، والأنظمة، والتكنولوجيا.

الفصل الثاني: مرحلة التنفيذ

يتضمن الإطار العام لتنفيذ مهام التدقيق الداخلي على المراحل التالية:

برامج توكيد وتحسين الجودة

فيما يلي ملخص للمدخلات الرئيسية ومخرجات مرحلة تنفيذ مهام التدقيق:

2.1. تخطيط مهمة التدقيق

فيما يلي الخطوات الرئيسية لتخطيط مهام التدقيق:

2.2.1. التحضير لمهمة التدقيق:

1. يتم عقد اجتماع تنسيقي بين أعضاء فريق العمل قبل إجراء الاجتماع الافتتاحي مع الوحدة التنظيمية محل التدقيق، ويجب أن يتم توثيق محضر الاجتماع، على أن تتم مناقشة ما يلي:

2. يجب إعداد "مذكرة نطاق التدقيق" آخذين بعين الاعتبار أهم العمليات وأبرز المخاطر التي تم تحديدها مسبقاً في عملية تقييم المخاطر والنطاق الوارد في خطة التدقيق السنوية، بالإضافة إلى مناقشة نتائج عملية فهم النشاط وتحديث نطاق التدقيق ليعكس أية معلومات إضافية تم الوصول إليها أثناء فهم النشاط وأبرز العمليات والأنظمة والمخاطر التي قد يتم التركيز عليها أثناء عملية التدقيق والوصول إلى موافقة مشتركة حول النطاق والأهداف، بالإضافة إلى توضيح النقاط التي سوف لا تخضع للتدقيق والأسباب ذات الصلة. إضافة إلى ذلك يجب الأخذ بعين الاعتبار توقعات الإدارة العليا والإدارة التنفيذية.

3. مذكرة نطاق التدقيق يجب أن تتضمن ما يلي:

• أهداف التدقيق.

• العمليات والمبادرات والمشروعات والأنشطة الخاضعة للتدقيق.

• آلية التدقيق المتبعة أثناء تنفيذ المهمة.

• طبيعة وتوقيت إجراءات التدقيق.

• تحديد طبيعة إجراءات التدقيق التي سيتم تطبيقها بما في ذلك مراجعة العمليات واختبار إجراءات الرقابة واختبار المعاملات وغيرها.

• المستندات المطلوبة والتحليلات التي ينبغي إعدادها من قبل الوحدة التنظيمية محل التدقيق ويتم ذلك من خلال تحديث قائمة المتطلبات.

• بروتوكولات ووسائل التواصل وإصدار التقارير، مع توضيح الإجراءات المتبعة لمعالجة حالات القصور ضمن الجدول الزمني المطلوب لإدخالها في عملية المتابعة.

• توضيح أعضاء فريق التدقيق الداخلي الذين سوف يعملون على تنفيذ المهمة.

• والموعد المقترح للاجتماع الافتتاحي.

4. بعد مناقشة مذكرة نطاق التدقيق واعتمادها داخلياً من قبل إدارة التدقيق، يتم إرسال نموذج نطاق التدقيق للإدارة المعنية مع خطاب رسمي من خلال القنوات المتفق عليها ولا بد من الحصول على إفادة وتأكيد من الوحدة التنظيمية محل التدقيق باستلام الخطاب.

2.2.2. الاجتماع الافتتاحي وفهم النشاط:

1. الاجتماع الافتتاحي: يتم عقد اجتماع افتتاحي مع الوحدة التنظيمية محل التدقيق قبل بداية عملية التدقيق، ويجب التنسيق مع الوحدة التنظيمية محل التدقيق وتوضيح أهمية حضور كل من مدير الوحدة التنظيمية محل التدقيق ومسؤولي العمليات المختلفة للاجتماع. يهدف الاجتماع الافتتاحي إلى تعريف الوحدة التنظيمية بفريق العمل ونطاق عمل الفريق والمدة الزمنية التي سوف يستغرقها فريق العمل في أداء مهمته، بالإضافة إلى التنسيق مع الوحدة التنظيمية لبدء عملية التدقيق الفعلية وتسهيل كافة الإجراءات الإدارية والبدء في عملية فهم الأنشطة والعمليات. يجب أن يتم إرسال أجندة الاجتماع مسبقاً للإدارة المعنية متضمنة ما يلي:

• تعريف مهام التدقيق الداخلي.
• مناقشة نطاق العمل المبدئي.
• مناقشة المدة الزمنية المطلوبة للانتهاء من عملية التدقيق.
• معرفة الهيكل الإداري والتنظيمي والفني للإدارة محل التدقيق.
• الاستفسار عما إذا كانت قد حدثت أي تغييرات منذ وضع خطة التدقيق السنوية.
• مراجعة أوراق العمل من مهام التدقيق الداخلي الأخيرة على الوحدة التنظيمية محل التدقيق لجمع معلومات حول العمليات والضوابط التي كانت موجودة خلال المهمة الأخيرة.
• الاتفاق على كافة النواحي الإدارية والتنظيمية المطلوبة مثل المدة الزمنية لعملية التدقيق، مكان التدقيق، المنسق المعني، أسلوب التواصل وما إلى ذلك.
• معرفة الأهداف والمبادرات والخطط المتعلقة بعمل الوحدة التنظيمية محل التدقيق بصفة عامة وأنشطة العمليات محل التدقيق بصفة خاصة.
• أي أمور أساسية أخرى متعلقة بعملية التدقيق من الناحية الفنية أو الإدارية.

يجب على فريق التدقيق إعداد محضر الاجتماع لتوثيق ما تم عرضه ومناقشته والاتفاق بشأنه خلال الاجتماع الافتتاحي واعتماده من الوحدة التنظيمية محل التدقيق والمدقق المعني.

2. إجراء فهم للنشاط: لتحديد المخاطر التي يمكن أن تؤثر على تحقيق أهداف العمل، يجب على المدققين الداخليين الحصول على فهم للإدارة أو العملية نطاق التدقيق. قد يتم ذلك من خلال ما يلي:

• إعداد خريطة سير العمليات التي تصور المدخلات والمخرجات (مثل الأنشطة وسير العمل ومعالجة المعلومات الهامة) وتساعد خرائط التدفق على التالي:

  • فهم الأنظمة والمعلومات التي يجب مراعاتها عند تحديد أهداف المهمة ونطاقها، وأين توجد المعلومات المهمة (على سبيل المثال، نظام واحد أو أنظمة متعددة).
  • وما هي المعلومات ذات الصلة بنطاق المهمة، وكيف سيتم تقييمها أثناء التدقيق (على سبيل المثال، من خلال الاختبار المعتاد وفحص العينات، تحليلات البيانات، مؤشرات الأداء الرئيسية).
  • من لديه القدرة على الوصول إلى المعلومات الهامة.
  • الخطوات الواردة في إجراءات العمل التي قد تفتقر إلى ضوابط رقابية فعالة أو تصميم الضوابط الرقابية غير ملائم، أو حيث قد تكون هناك فرص لتحسين العملية.

• قد يعتمد فريق التدقيق على خرائط تدفق العمليات الموثقة (إن وجد)، إذا تم التحقق من أنها دقيقة ومحدثة.

• إجراء جولة تفصيلية (Process Walkthrough) بهدف التحقق من فهم كافي للعمليات والأنظمة والضوابط الرقابية ذات الصلة.

• إجراء الاجتماعات مع المسؤولين عن العمليات ومالكي العمليات، بالإضافة إلى الاطلاع على الهيكل التنظيمي التفصيلي والمهام الموكلة إلى الوحدة التنظيمية محل التدقيق، وكذلك الاطلاع على البيانات التي تم الحصول عليها مسبقاً خلال مرحلة تقييم المخاطر.

• نظرًا لأهمية مخاطر الاحتيال، تطلب معيار التدقيق الداخلي، الأخذ بعين الاعتبار مخاطر الاحتيال عند إعداد أهداف مهمة التأكيد. إن إجراء جلسات العصف الذهني لسيناريوهات مخاطر الاحتيال تمنح المدققين الداخليين مجموعة متنوعة من وجهات النظر التي يمكن من خلالها النظر في الحوافز أو الضغوط التي قد تؤدي إلى الاحتيال، وفرص ارتكاب الاحتيال (أي نقاط ضعف الرقابة)، والطرق التي يمكن للإدارة والآخرين تجاوزها و/أو التحايل على الضوابط.

3. يجب على فريق التدقيق توثيق جميع المعلومات التي يتم تجميعها خلال عملية فهم النشاط والتي يجب أن توضح على الأقل ما يلي:

2.2.3. مصفوفة المخاطر والضوابط الرقابية (Risk and Control Matrix):

1. أثناء عملية فهم النشاط محل التدقيق يتم إعداد "مصفوفة المخاطر والضوابط الرقابية" هي آلية لتحديد وتقييم المخاطر التي قد تؤثر على أهداف العمل في النشاط نطاق التدقيق، بالإضافة إلى أي الضوابط الرقابية ذات الصلة. يمكن إنشاء مصفوفة المخاطر والضوابط الرقابية في شكل جدول بصيغة إكسيل (MS Excel) أو مستند بصيغة (MS Word) أو عبر برنامج تدقيق إلكتروني.

2. يجب الاستناد على سجلات المخاطر التي تم تطويرها أثناء عملية تقييم المخاطر كأساس لإعداد مصفوفة المخاطر والضوابط الرقابية وإضافة أية مخاطر جديدة أو معلومات لم تُدرج ضمن سجلات المخاطر سابقاً.

3. تتضمن مصفوفة المخاطر والضوابط الرقابية توضيح الربط بين المخاطر والأهداف التشغيلية للنشاط، والضوابط الرقابية لكل من المخاطر المدرجة ونتائج تقييم المخاطر والضوابط الرقابية من حيث التصميم والفعالية. فيما يلي مثال عن هيكل مصفوفة المخاطر والضوابط الرقابية:

4. يتم تحديث مصفوفة المخاطر بشكل مستمر طول فترة التدقيق وذلك بهدف تحديث الضوابط الرقابية من حيث الفعالية وإضافة التفاصيل التي تساهم في إرشاد كافي لفريق التدقيق الداخلي في المهام مستقبلاً بالإضافة إلى عملية عادة تقييم المخاطر.

2.2.4 إعداد برنامج التدقيق

1. يقوم فريق التدقيق بإعداد برنامج تدقيق تفصيلي عن الإجراءات التي سيتم تنفيذها أثناء العمل الميداني والتي تهدف إلى التحقق من كفاية وكفاءة وفعالية الضوابط الرقابية فيما يتعلق بجميع المخاطر التي تم تحديدها والاتفاق على تغطيتها ضمن نطاق العمل، ويجب الربط بين المخاطر وإجراءات التدقيق الواردة في برنامج التدقيق.

يجب أن يتم أخذ الأمور التالية في عين الاعتبار عند إعداد برنامج التدقيق:

• أن تكون كافة إجراءات التدقيق المدرجة في برنامج التدقيق وفقا لنطاق العمل الذي تم الاتفاق عليه مسبقاً وتم مناقشته مع الوحدة التنظيمية محل التدقيق خلال مرحلة التخطيط والاجتماع الافتتاحي.
• الأخذ بعين الاعتبار كافة الملاحظات التي تمت إثارتها من قبل، سواء كانت في تقارير تم إصدارها للإدارة من قبل التدقيق الداخلي أو من أي جهة أخرى.
• التأكد من أن جميع المخاطر التي تم تحديدها خلال عملية تقييم المخاطر وخلال عملية فهم النشاط قد تم إدراجها ضمن خطوات برنامج التدقيق.
• أن يتم تحديد طبيعة وتوقيت ومدى تنفيذ خطوات إجراء التدقيق، على سبيل المثال ما إذا كانت العينة التي يتم اختيارها يتم توزيعها على مدار العام، أم اختيار عينات من نهاية العام فقط أم عينة من كل شهر، إلخ.
• من المهم أن يتم إعداد برنامج التدقيق وتوثيقه بطريقة تضمن فهم جميع أعضاء فريق العمل لما يجب القيام به.
• التأكد من أن خطوات التدقيق المدرجة ببرنامج التدقيق تشمل كافة التوقعات والنقاط المطلوب تغطيتها والتي تم تحديدها خلال الاجتماعات الداخلية للفريق أو الاجتماعات التي تمت مع الوحدة التنظيمية محل التدقيق خلال مرحلة تقييم المخاطر أو خلال مرحلة التخطيط لعملية التدقيق.

2. يجب اعتماد برنامج التدقيق من قبل مدير وحدة التدقيق الداخلي (أو المسؤول عن نشاط التدقيق الداخلي أو من ينوب عنه) قبل بدء العمل الميداني للتدقيق. بالإضافة إلى ذلك، في حال تطلب تعديل برنامج التدقيق خلال العمل الميداني بناءً على المعلومات والمعرفة التي اكتسبها فريق العمل، يمكن تعديل برنامج التدقيق، واعتماده داخلياً.

2.2 العمل الميداني

1. وفقا للمعايير الدولية للتدقيق الداخلي، على المدققين الداخليين تحديد وتحليل وتقييم وتوثيق المعلومات الكافية لتحقيق أهداف المهمة.

2. أثناء تنفيذ مهام التدقيق، على المدققين الداخليين التفكير والبحث بشكل استراتيجي عن المعلومات وأدلة التدقيق التي سوف تساعد في تحقيق أهداف المهمة، كما أنه في كل خطوة من خطوات عملية التدقيق، يجب أن يطبق المدققون الداخليون الشك المهني لتقييم ما إذا كانت المعلومات كافية ومناسبة لتوفير أساس معقول لصياغة الاستنتاجات و / أو التوصيات، أو ما إذا كان يجب جمع معلومات إضافية.

3. فيما يلي إرشادات حول العناصر الأساسية لتنفيذ مهمة التدقيق:

• نظراً لتنوع أساليب تنفيذ إجراءات التدقيق، يجب على فريق التدقيق الداخلي اختيار الأساليب الأكثر توافقاً مع طبيعة واحتياجات المهمة، قد يتم استخدام الأساليب التالية في الحصول على أدلة التدقيق أو تحليل البيانات والأداء:

• عند الانتهاء من إجراءات التدقيق، قد يتم تسجيل نتائج الاختبارات في عمود يضاف إلى مصفوفة المخاطر والضوابط الرقابية، والتي يتم توثيقها عادة كورقة عمل. تتضمن المدخلات في المصفوفة عمومًا "رقم مرجعي" بأوراق عمل إضافية توثق تفاصيل إجراءات التدقيق والتحليلات التي تم تنفيذها، والنتائج وأي دعم إضافي لاستنتاجات المدقق الداخلي.
• يجب على المدققين الداخليين تحديد معلومات كافية وموثوقة وذات صلة ومفيدة لتحقيق أهداف المهمة.

تزداد كفاية وموثوقية المعلومات عندما تكون المعلومات حديثة ومؤكدة وتم الحصول عليها مباشرة من قبل فريق التدقيق أو من طرف ثالث مستقل، كما تكون المعلومات أيضًا أكثر موثوقية عندما يتم جمعها من نظام ذو ضوابط رقابية فعالة وكافية.

4. تحليل الأسباب الجذرية: أثناء تنفيذ إجراءات التدقيق، قد يقوم المدققون الداخليون بإجراء تحليل السبب الجذري لتحديد السبب الكامن وراء حدوث خطأ، أو مشكلة، أو فرصة ضائعة أو حالة عدم الامتثال، حيث تمكّن تحليلات الأسباب الجذرية من إضافة رؤى تعمل على تحسين فعالية وكفاءة عمليات الحوكمة وإدارة المخاطر والرقابة في الجهة، كما تساهم في تكوين التوصيات المناسبة.

5. أوراق العمل: أوراق العمل توثق بشكل عام معلومات كافية حول تحليلات المهمة والنتائج والاستنتاجات التي توصل إليها المدقق وذلك لتمكين القارئ من فهم أساس الاستنتاجات، كما توضح أوراق العمل مجتمع الاختبار وعملية اختيار العينات وطريقة اختيارها، كما يجب وضع أرقام مرجعية تربط بين أوراق العمل.

يتم استخدام أوراق العمل الخاصة بمهام التدقيق لتوثيق المعلومات الناتجة خلال المهمة، بما في ذلك إجراءات التخطيط؛ اختبار وتحليل وتقييم البيانات؛ وصياغة النتائج والاستنتاجات. ويمكن الاحتفاظ بأوراق العمل ورقياً أو إلكترونيًا أو كليهما، كما أن استخدام برامج التدقيق الداخلي تؤدي إلى تعزيز الاتساق والكفاءة في توثيق أوراق العمل وسهولة الرجوع إليها متى دعت الحاجة.

قد تتضمن أوراق العمل العناصر التالية:

• الفهرس أو الرقم المرجعي.
• العنوان الذي يحدد العملية قيد المراجعة.
• تاريخ أو فترة المهمة.
• نطاق العمل المنجز.
• مصدر البيانات المتضمنة في ورقة العمل.
• وصف مجتمع العينة، بما في ذلك حجم العينة وطريقة الاختيار.
• تفاصيل الاختبارات والتحليلات التي أجريت.
• الاستنتاجات بما في ذلك الأرقام المرجعية في ورقة العمل الخاصة بملاحظات التدقيق.

• اسم المدقق (المدققين) الذين قاموا بعمل بالاختبار وتوثيق ورقة العمل.
• اسم المشرف الذي قام بمراجعة أوراق العمل.

6. أساليب اختيار العينات: يجب أن توضح خطة التدقيق الأسلوب المتبع لاختيار العينات التي سيتم اختبارها، بحيث يتمكن فريق التدقيق من استخدام تلك الوسائل الفنية لأخذ العينات والوصول إلى الاستنتاجات والملاحظات. ينبغي تحديد النطاق وكمية الأدلة الواجب جمعها قبل بدء العمل الميداني. لمزيد من التفاصيل حول آلية اختيار العينات يرجى الرجوع إلى الملحق رقم (2).

7. الإشراف على أعمال التدقيق: ينبغي أن يتم الإشراف على أعمال التدقيق بعناية للتأكد من تحقيق الأهداف وضمان الجودة وتطوير الموظفين، حيث يبدأ الإشراف منذ بداية مرحلة التخطيط ويستمر خلال مراحل الاختبار والتقييم والتواصل والمتابعة، وتتضمن عملية الإشراف ما يلي:

• التأكد من أن المدقق لديه المعرفة والمهارات والكفاءات المطلوبة للقيام بالتدقيق.
• تقديم التعليمات المناسبة خلال مرحلة تخطيط التدقيق ومراجعة واعتماد برامج التدقيق.
• التأكد من تنفيذ برامج التدقيق المعتمدة.
• تحديد ما إذا كانت أوراق العمل تؤيد الاستنتاجات والنتائج والتوصيات المقترحة.
• التأكد من أن تقرير التدقيق الداخلي موضوعي ودقيق وواضح وتم إعداده في الوقت المحدد.
• التأكد من تحقيق أهداف مهمة التدقيق.
• توفير فرصة للمدققين لتطوير معرفتهم ومهاراتهم وكفاءاتهم الأخرى.

يتم الأخذ بعين الاعتبار مدى كفاءة وخبرة أعضاء فريق التدقيق ومدى صعوبة المهمة عند الإشراف على أعمال التدقيق، قد يقوم المدقق المسؤول عن الإشراف بإعداد سجل بجميع الملاحظات الناتجة عن أعمال الإشراف، والتحقق من أنه تم الرد على جميع استفسارات المشرف على المهمة.

يساهم الإشراف على التدقيق الفعّال بإزالة الاختلافات في الحكم المهني على الأمور الأساسية ويسمح بتوثيق وجهات النظر المختلفة في أوراق العمل، كما إن توثيق عملية الإشراف تؤدي إلى:

• التأكد من وجود مستندات مؤيدة لتقرير التدقيق وأن كافة إجراءات التدقيق قد تم تنفيذها وفق الخطة.
• تقديم الدليل على القيام بالإشراف على التدقيق، وهذا يتضمن تسجيل التاريخ على كل ورقة عمل واعتمادها بعد مراجعتها.
• توضيح استخدام أساليب إشراف أخرى، على سبيل المثال استخدام لائحة الاستبيان الخاصة بمراجعة واكتمال أوراق العمل أو إعداد مذكرة توضح طبيعة ونتائج أعمال الإشراف.

مسؤولية الإشراف على أعمال التدقيق هي من مسؤولية مدير وحدة التدقيق، إلا أنه يمكن له أن يفوض تلك المسؤولية لمدققين لديهم الخبرة والكفاءة المهنية اللازمة للإشراف.

2.3 إعداد وإصدار التقارير

1. تعتبر عملية إعداد وإصدار تقارير التدقيق الداخلي، وفقا للمعايير الدولية للتدقيق الداخلي، من أهم مهام ومسؤوليات مدير وحدة التدقيق الداخلي، حيث يقوم برفع نتائج التدقيق إلى المستويات الإدارية المناسبة القادرة على اتخاذ القرارات المتعلقة بمعالجة الملاحظات الناتجة عن أعمال التدقيق.

2. يجب أن تتسم تقارير التدقيق الداخلي بما يلي:

• دقيقة ومبنية على حقائق ولا تتضمن أخطاء.
• موضوعية وغير ناتجة عن أي تحيز ومبنية على تقييم متزن لجميع الحقائق والظروف ذات الصلة.
• واضحة ومنطقية ويمكن فهمها بسهولة، ويفضل تجنب المفردات التقنية المعقدة وإدراج جميع المعلومات المهمة وذات الصلة.
• مختصرة، تستهدف صلب الموضوع وتتجنب الدخول في تفاصيل غير مهمة وإضافية أو فيها تكرار، ولكن تحتوي على المعلومات اللازمة لفهم القارئ.
• بناءة، ومفيدة للإدارة الخاضعة للتدقيق وتساهم في تحقيق التحسين والتطوير المرجو.
• كاملة، وتحتوي على جميع المعلومات الداعمة للملاحظة والاستنتاجات.
• تصدر في الوقت المناسب بما يساهم في فعالية عملية اتخاذ القرار.

3. ينبغي أن يحتوي تقرير التدقيق الداخلي على العناصر التالية:

• نطاق وأهداف مهمة التدقيق الداخلي المتفق عليها.
• المنهجية التي تم اتباعها خلال عملية التدقيق.
• تصنيف الملاحظات وفقا لأهميتها.
• جدول تصنيف البيئة الرقابية.
• محددات نطاق العمل (Scope Limitations).
• إنجازات الوحدة التنظيمية وأية جوانب إيجابية يجب التنويه عنها للقارئ.
• الملاحظات والأثر المتعلق بها، مع وجود أمثلة بقدر الإمكان لدعم الملاحظة.
• توصيات التدقيق الداخلي لإعداد إجراءات تصحيحية للملاحظات أو لتحسين الفجوات التي تم تحديدها.
• رد الوحدة التنظيمية محل التدقيق وخطة عملها والإجراءات التصحيحية التي سوف يتم اتخاذها لمعالجة الملاحظات الواردة في التقرير، ويجب إدراج رد الوحدة التنظيمية كما هو، سواء كان بالموافقة أو الاعتراض على الملاحظة الواردة بالتقرير.

4. أثناء إعداد ملاحظات التدقيق، يجب أن تتضمن الملاحظة العناصر التالية:

• المعايير (السند): المقاييس والتوقعات المستخدمة في التقييم أو التأكيد، أي ما ينبغي أن يكون.
• الحالة: الحالة الفعلية التي وجدها المدقق خلال القيام بالاختبار (ما هو موجود فعلاً).
• السبب: السبب الجذري لوجود الاختلاف بين الحالة الفعلية والمتوقعة (لماذا يوجد اختلاف).
• الأثر: الخطر الذي تتعرض له الجهة المعنية بسبب ذلك الاختلاف (أثر الاختلاف).

• التوصيات: التوصيات المقترحة لمعالجة الملاحظات.

5. تحديد درجة خطورة الملاحظات: ينبغي على فريق التدقيق الداخلي عند تحديد درجة خطر الملاحظة الأخذ بعين الاعتبار أثر الملاحظة المحتمل على العمليات التشغيلية للجهة وقوائمها المالية. يوضح الجدول التالي آلية تصنيف الملاحظات وفقاً لأهميتها في تقرير التدقيق الداخلي:

يجب الاسترشاد بالمعايير الواردة أعلاه حيث إنها معايير عامة، ولكن في حال أن بعض الجهات ارتأت ضرورة إضافة معايير تفصيلية بما يتماشى مع متطلباتها وطبيعتها، يجب ضمان أن المعايير التفصيلية يتم إعدادها في سياق المعايير الواردة أعلاه.

تقوم وحدة التدقيق الداخلي أيضاً بتقييم فعالية البيئة الرقابية الحالية، وفيما يلي جدول توضيحي حول تصنيف نتائج تقييم البيئة الرقابية:

6. يجب أن يتم عقد اجتماع ختامي مع الوحدة التنظيمية محل التدقيق لمناقشة نتائج العمل الميداني للتدقيق، ويجب أن يتم ترتيب ذلك الاجتماع مسبقا على أن يتم توضيح موعد الاجتماع بعد انتهاء العمل الميداني وكذلك الموعد المناسب لتلقي رد الوحدة التنظيمية محل التدقيق على النتائج بعد إرسال نسخة مبدئية من التقرير للإدارة محل التدقيق للمناقشة.

7. عملية إعداد وإصدار تقرير التدقيق الداخلي: فيما يلي خطوات عملية إعداد وإصدار تقرير التدقيق الداخلي بعد الانتهاء من العمل الميداني لمهمة التدقيق:

إعداد التقرير المبدئي ← مراجعة التقرير المبدئي ← الاجتماع الختامي ← إصدار تقرير التدقيق الداخلي ← خطة التنفيذ المتفق عليها ← التقرير النهائي وعرض النتائج

8. مدير وحدة التدقيق الداخلي مسؤول عن مراجعة واعتماد التقرير النهائي قبل الإصدار وتحديد الجهات التي سوف يتم إرسال التقرير لها داخل الجهة.

أثناء تحديد الجهات المعنية باستلام نتائج تقارير التدقيق، يجب الأخذ بعين الاعتبار ما يلي:

• بروتوكولات الاتصال والتواصل في الجهة، لضمان حصول الأفراد على مستوى المسؤولية المناسب على نسخة من التقرير.
• توقعات الإدارة العليا المتعلقة بعمليات رفع نتائج التدقيق.

• لضمان الاتساق، قد تقوم وحدة التدقيق الداخلي بوضع قائمة توزيع محددة للأطراف والوحدات التنظيمية التي ستتلقى التقارير، بالإضافة إلى مستويات الإدارة التي يجب تضمينها في قائمة التوزيع لنتائج المهمة المتعلقة بمجال مسؤوليتهم.
• يحدد مدير وحدة التدقيق الداخلي شكل وصيغة التقرير الذي يجب استخدامه لكل جهة/منصب سوف يتلقى التقرير. على سبيل المثال، قد يتلقى بعض المستلمين ملخصا تنفيذيًا، بينما يتلقى الآخرون تقريرا كاملاً.
• قد يكون من المناسب تسليم النتائج عبر اجتماع مع عرض تقديمي وفرصة للمناقشة.

9. فيما يلي الأطر الزمنية لإصدار التقارير والحصول على ردود الوحدة التنظيمية محل التدقيق وإصدار الاستبيان ما بعد التدقيق:

10. الخطأ والسهو في تقارير التدقيق: الخطأ هو عبارة عن إدراج معلومات مهمة غير صحيحة بشكل غير متعمّد، أو السهو عنها وعدم إدراجها عن غير قصد. في حال اكتشاف سهو أو خطأ جوهري في تقرير التدقيق الداخلي الصادر، على مدير وحدة التدقيق الداخلي الأخذ بعين الاعتبار إصدار تقرير معدل يحدد به المعلومات التي تم تصحيحها، على أن يتم توزيعه على جميع الجهات التي استلمت التقرير الأول، كما يجب على مدير وحدة التدقيق الداخلي تحديد الأسباب التي أدت الى حدوث مثل هذه الأخطاء والعمل على وضع الضوابط اللازمة لتجنب حدوثها مستقبلاً.

11. الاعتبارات القانونية في تقارير التدقيق الداخلي: ينبغي على فريق التدقيق الداخلي جمع الأدلة وإصدار الأحكام التحليلية ورفع نتائج أعمالهم والتأكد من اتخاذ الإجراءات التصحيحية المناسبة، كما ينبغي عليهم توخي الحذر عند إدراج النتائج وإبداء الآراء في تقارير التدقيق الداخلي والمخاطبات وأوراق العمل فيما يتعلق بالقانون والانتهاكات القانونية والمسائل القانونية الأخرى، وعليه فمن الأفضل لوحدة التدقيق الداخلي وضع السياسات والإجراءات المتعلقة بمعالجة هذه الأمور والعمل عن قرب مع الأطراف القانونية.

12. عند إبلاغ نتائج مهمة التدقيق إلى أطراف خارج الجهة، يجب أن يتضمن التبليغ القيود على تداول واستعمال هذه النتائج.

13. أعمال المتابعة

• يقوم مدير وحدة التدقيق الداخلي بإعداد آلية للمتابعة مع الوحدة التنظيمية محل التدقيق تتعلق بمدى التزامها بتطبيق خطط معالجة الملاحظات الواردة بتقارير التدقيق ورفع تقارير دورية (ربع سنوية) بنتائج أعمال المتابعة.
• يجب على وحدة التدقيق الداخلي إعداد سجل بجميع الملاحظات الواردة في التقارير وملخص عن كل منها وخطط التنفيذ المتفق عليها مع الوحدة التنظيمية والتوقيت المستهدف المتفق عليه لإغلاق الملاحظة، ويجب تحديثه بشكل مستمر.
• قبل بداية أعمال المتابعة الدورية، يتم التواصل مع الوحدات التنظيمية ذات الصلة لتجهيز حالة تنفيذ خطط المعالجة والمستندات الداعمة ذات الصلة.
• تتولى الوحدة التنظيمية مسؤولية تنفيذ الإجراءات التصحيحية، أخذاً بعين الاعتبار مستوى الجهد والتكلفة المطلوبة لتصحيحها وقياس مدى صعوبة الإجراءات التصحيحية وإمكانية تطبيقها.
• يتم مراقبة تقارير التدقيق الداخلي وخطة عمل الوحدة التنظيمية من خلال التالي:
  • وضع إطار زمني لرد الوحدة التنظيمية محل التدقيق على ملاحظات التدقيق.
  • تقييم رد الوحدة التنظيمية.
  • التحقق من الرد، إن أمكن.
  • القيام بمتابعة التدقيق.
  • التواصل مع أصحاب العلاقة المعنين فيما يتعلق بالرد وخطط عمل الوحدة التنظيمية غير المرضية بما في ذلك تحمل المخاطر ذات الصلة.
  • رفع تقارير دورية للجنة التدقيق والمخاطر أو رئيس الجهة عن مدى التزام الإدارات المعنية بتنفيذ خطط معالجة الملاحظات الواردة بتقارير التدقيق.
• من أجل فعالية أعمال المتابعة قد يتم تطوير مؤشرات أداء على الوحدات التنظيمية تتعلق بنسبة إغلاق الملاحظات ويتم قياسها بشكل دوري ورفع التقارير ذات الصلة.

الباب الرابع: برنامج التأكيد وتحسين الجودة

1. وفق الممارسات المهنية الدولية لمعهد المدققين الداخليين يتم تعريف برنامج التأكيد وتحسين الجودة على أنه عملية تقييم مستمر ودوري لأعمال التدقيق والاستشارات التي يقوم بها نشاط التدقيق الداخلي. وتتألف هذه التقييمات المستمرة والدورية من عمليات دقيقة وشاملة؛ متضمنة الإشراف المستمر وفحص أعمال التدقيق الداخلي؛ بالإضافة إلى عملية التحقق الدورية من الامتثال مع معايير التدقيق الداخلي. ويشمل ذلك أيضًا القياسات والتحليلات المستمرة لمؤشرات الأداء (على سبيل المثال، نسبة إنجاز خطة التدقيق، والتوصيات المقبولة، ونسبة رضا العملاء).

2. ينبغي على مدير وحدة التدقيق الداخلي إعداد برنامج تأكيد وتحسين الجودة، بحيث يشمل كافة جوانب نشاط التدقيق الداخلي.

3. إن برنامج التأكيد وتحسين الجودة يجب أن يؤدي إلى توصيات لإجراء تحسينات مناسبة لنشاط التدقيق الداخلي بناءً على نتائج التقييم، وعملية التقييم تساهم فيما يلي:

• تقييم مدى الامتثال مع معايير التدقيق الداخلي.
• تقييم ملائمة ميثاق التدقيق، والسياسات والإجراءات وأهداف نشاط التدقيق الداخلي.
• مدى المساهمة في تحسين عمليات الحوكمة وإدارة المخاطر والضوابط الرقابية.
• مدى اكتمال تغطية مجال التدقيق.
• المخاطر التي تؤثر على عمليات نشاط التدقيق الداخلي.
• تقييم ما إذا كان نشاط التدقيق الداخلي يضيف قيمة ويحسن عمليات الجهة ويساهم في تحقيق الأهداف.

4. لتحقيق تغطية شاملة لجميع جوانب نشاط التدقيق الداخلي، يجب تطبيق برنامج التأكيد وتحسين الجودة بشكل فعال على المستويات التالي:

• التقييم الداخلي:

  تتكون تقييمات الجودة الداخلية من جزأين مترابطين: المراقبة المستمرة والتقييم الذاتي الدوري.

  أ. المراقبة المستمرة: إن المراقبة المستمرة تساهم في التأكيد على أن العمليات الحالية لنشاط التدقيق تعمل بفعالية لضمان تقديم الجودة المرجوة لكل مهمة تدقيق على حدة. يتم تحقيقه بشكل أساسي من خلال أنشطة المراقبة المستمرة والتي تتضمن التخطيط لمهام التدقيق والإشراف، وممارسات العمل القياسية، وإجراءات أوراق العمل والاعتمادات ذات الصلة، ومراجعات التقارير.

  ب. التقييم الذاتي الدوري: يتم من خلال التقييم الذاتي التركيز على الجوانب التالية:

  • الامتثال لميثاق التدقيق والمعايير.
  • جودة أعمال التدقيق، بما في ذلك الالتزام بمنهجية التدقيق الداخلي لمهام محددة يتم اختيارها.

• جودة أعمال الإشراف على مهام التدقيق.
• البنية التحتية التي تدعم نشاط التدقيق الداخلي، بما في ذلك السياسات والإجراءات.
• القيمة المضافة من قبل وحدة التدقيق الداخلي للجهة.
• تحقيق مستهدفات مؤشرات الأداء الرئيسية لنشاط التدقيق.

التقييمات الذاتية الدورية قد تشمل إجراء مقابلات واستبيانات لأصحاب المصلحة، بالإضافة إلى إجراء المقارنات المعيارية لنشاط التدقيق مع أفضل الممارسات ذات الصلة.

• التقييم الخارجي:

  يجب إجراء التقييمات الخارجية مرة واحدة على الأقل كل خمس سنوات، وهناك طريقتان لإجراء التقييمات الخارجية:

  • التقييم الخارجي الكامل: يتضمن التقييم الخارجي الكامل استخدام مقيم أو فريق تقييم مؤهل ومستقل لإجراء التقييم.
  • التقييم الذاتي مع التحقق المستقل (الخارجي): يتضمن التقييم الذاتي مع التحقق المستقل (الخارجي) استخدام مقيم أو فريق تقييم مؤهل ومستقل لإجراء التحقق المستقل من التقييم الذاتي الذي أكمله نشاط التدقيق الداخلي.

5. استخدام عبارة "ملتزم بالمعايير الدولية للممارسة المهنية للتدقيق الداخلي": يتم الإشارة إلى أن نشاط التدقيق الداخلي يلتزم بالمعايير الدولية للممارسة المهنية للتدقيق الداخلي فقط إذا كانت مدعومة بنتائج برنامج التأكيد وتحسين الجودة.

في حال أن عدم الالتزام بمبادئ أخلاقيات المهنة والمعايير تؤثر على النطاق الكلي لنشاط التدقيق أو عملياته، فيجب على مدير وحدة التدقيق الداخلي أن يفصح عن حالات عدم الالتزام وتأثيره إلى الإدارة العليا.

الباب الخامس: الملحقات

الملحق رقم (1): التدقيق المستمر (Continuous Audit)

1. مقدمة:

• إن اختبارات كفاءة وفعالية الضوابط الرقابية من قبل نشاط التدقيق الداخلي مبني على المخاطر وغالبًا ما يتم إجراؤه بعد فترة من حدوث أنشطة الأعمال، ويتم إجراء اختبارات التدقيق بناءً على أخذ العينات ويتضمن التدقيق على السياسات، والإجراءات، والاعتمادات والتسويات.
• إن اتباع الأسلوب التقليدي لأعمال التدقيق تمنح المدققين الداخليين نطاقا ضيقًا للتقييم، وفي بعض الأحيان يكون قد فات الأوان ليكون ذا قيمة حقيقية فيما يتعلق بتحديد الفجوات وحالات عدم الامتثال وتحسين عمليات الجهة. التدقيق المستمر هو آلية تستخدم لإجراء عمليات تقييم للمخاطر والضوابط الرقابية ذات الصلة بصورة تلقائية على أساس أكثر تواترا.
• إن التدقيق المستمر يركز على اختبار مدى انتشار المخاطر وفعالية الضوابط الرقابية ذات الصلة، كما أن وجود إطار عمل وإجراءات تفصيلية إلى جانب الممكنات التكنولوجيا، هي المفتاح لتمكين مثل هذا النهج.
• يوفر التدقيق المستمر طريقة أخرى لفهم المخاطر والضوابط ويعزز أخذ العينات من المراجعات الدورية إلى إجراء الاختبار المستمر.
• إن تطبيق التدقيق المستمر لا يحل محل التدقيق التقليدي، بل يجب استخدامه كأداة في تنفيذ إجراءات تدقيق معيارية معينة لتعزيز فعالية نشاط التدقيق الداخلي. فعلى سبيل المثال، قد يتم تطبيق التدقيق المستمر من خلال إجراء تحليل الاتجاه على حسابات المصروفات لتحديد الانحرافات أو الدوافع وتنبيه فريق التدقيق إلى مشكلة محتملة.

2. كيفية التطبيق:

قد يكون تنفيذ نموذج التدقيق المستمر صعبًا في البداية، حيث إنها عملية تتطور مع نضج نشاط التدقيق الداخلي في الجهة. يتم تطبيق التدقيق المستمر من خلال الخطوات الرئيسية التالية:

الملحق رقم (2): اختيار العينات

1. يمكن تعريف عملية اختيار العينات في التدقيق الداخلي بأنها عملية اختيار وفحص جزء من مجموعة من المعاملات والبنود بهدف الحصول على معلومات أو تقييم أو استنتاجات حول المجموعة ككل، وتسمى مجموعة البيانات بأكملها التي تختار منها العينة بـ "المجتمع" بينما تسمى البنود الفردية التي تشكل المجتمع والمتاحة للاختيار بـ "العينة الممثلة للمجتمع".

لا تحتاج الأدلة التي تدعم تأكيدات معينة إلى إجراء فحص لتثبيت صحة التأكيد، إن نوع منهجية العينات المستخدمة مسألة تقديرية ويتم اختياره من قبل أعضاء فريق التدقيق ذوي الخبرة، مثل رئيس الفريق ومدير وحدة التدقيق الداخلي، وترفع الحاجة إلى إجراء اختبارات كلما زادت درجة خطورة النتائج.

2. ينبغي على مدير وحدة التدقيق التحقق ما إذا كانت طريقة أخذ العينات هي الأكثر كفاءة وفعالية للحصول على الأدلة والأخذ بعين الاعتبار مختلف الأنظمة الإلكترونية والتقنيات المستخدمة لإجراء التدقيق كبرامج التحقيق في الملفات وقواعد البيانات وغيرها.

3. يجب على فريق التدقيق الداخلي الأخذ بعين الاعتبار أنه من خلال اختيار بعض العينات، فإن هناك احتمالية وجود مخاطرة بعدم شمولية العينة المختارة لكافة العناصر المرتبطة بالتحقيق، وتتمثل هذه المخاطر بما يلي:

• خطأ في اختيار العينة:

  هناك احتمال في كل عينة أن تقدم معلومات لا تمثل المجموع. إن هذه الاحتمالية الناتجة عن العشوائية في اختيار العينة هو خطر يكمن في كل عينة بغض النظر عن كيفية اختيارها. ويجب على وحدة التدقيق ممارسة الحكم المهني وإتباع إجراءات مناسبة لاختيار عينة التدقيق بهدف خفض نسبة هذه المخاطر.

• خطأ لا يتعلق باختيار العينة:

  يمكن أن يؤثر هذا الخطأ على تمثيل العينة وقد يتعلق بكل أو بعض نواحي العينة المختارة. وهي تشمل استخدام أساليب غير ملائمة لأخذ العينات والتحديد غير الصحيح للمجموع وأخطاء في اختيار العينة وغيرها. قد ينطوي هذا الخطر على كل الأخطاء الممكنة والتجاوزات وسوء التقدير الذي قد يولد استدلال غير صحيح من العينة.

  حتى يتسنى تخفيف مخاطر أخذ العينات، يجب أن تقوم وحدة التدقيق الداخلي بالتحقق من سلامة وكفاءة عملية التخطيط والإشراف والتنفيذ الصحيح لخطة التدقيق الداخلي.

• حجم العينة

يعتمد حجم العينة المختارة على الأسلوب المستخدم في تحديد العينة، إما أسلوب إحصائي أو أسلوب تقديري (غير إحصائي)، ولا يوجد فرق بين اختيار العينة باتباع الأسلوب الإحصائي أو اتباع الأسلوب غير الإحصائي في تنفيذ خطة اختيار العينة. لا يؤثر الأسلوب المستخدم على كفاية الدليل الذي يتم الحصول عليه ورد فعل التدقيق تجاه الخطأ المكتشف، ويتم الاختيار بين الأسلوبين وفقا لتقييم مميزات وسلبيات كل أسلوب على حده.

• الأسلوب الإحصائي لاختيار العينة

  إن اختيار العينة الإحصائي هو طريقة علمية لتحديد حجم العينة واختيار البنود التي سوف يتم التحقق منها، وخلافاً لاختيار العينة التقديري، فإنه يقدم وسيلة لتقييم دقة خطر اختيار العينة، أي مدى دقة تمثيل العينة للمجتمع، ومدى الاعتماد والثقة، أي احتمال تمثيل العينة للمجتمع. كما أن اختيار العينة الإحصائي يعطي تقديرا محتملا لمعدل الحدوث أو لمبلغ نقدي. إن ميزة هذا الأسلوب هي أن الاعتماد على النتائج يحدد من خلال استخدام نظرية الاحتمال، أي أنه باتباع إجراءات محددة لاختيار العينة واحتساب النتائج، يمكن لوحدة التدقيق أن تستخدم نموذجاً إحصائياً لقياس خطر الخطأ في اختيار العينة.

• الأسلوب التقديري لاختيار العينة (غير الإحصائي)

  إن اختيار العينة التقديري هو أسلوب غير موضوعي لتحديد حجم العينة واختيارها. قد يتمكن موظفو التدقيق من خلال هذا الأسلوب على اختبار أكثر المعاملات ماديةً وخطورةً وتأكيد أنواع المعاملات الخاضعة لمستوى مخاطر مرتفع. ففي أخذ العينة التقديري، تعتمد وحدة التدقيق فقط على حكمها لتقييم خطر أخذ العينة وتقييم المجموعة. ومع أن خطر خطأ أخذ العينة لا يمكن قياسه في العينة التقديرية، تقوم وحدة التدقيق بالسيطرة عليه من خلال اتباع إرشادات وإجراءات معينة.

• اختيار العينة

  يجب الأخذ في عين الاعتبار العوامل التالية عند اختيار العينة:

  • تحديد ومعرفة المجتمع الذي يتم اختيار عينة منه حيث إن استنتاجات التدقيق تستند على عينة مأخوذة من هذا المجموع.
  • ربط العينات بأهداف التدقيق.
  • معاملة مفردات المجتمع بشكل متساوي عند اختيار العينة.

• أساليب اختيار العينة

  تشمل أساليب اختيار العينة ما يلي:

  الاختيار العشوائي

  الاختيار النظامي

  الإختيار عبر التجميع

  الاختيار الغير المنظم

  الإختيار التقديري

  أ. الاختيار العشوائي
  إن الاختيار العشوائي للعينات يتجنب العوامل التي تؤثر على الموضوعية والتحيّز خلال عملية الاختيار التي قد تؤثر على احتمال اختيار أو عدم اختيار وحدات معينة. وبالرغم من وجود خطر عدم تمثل العينة للمجموع، فإن الاختيار العشوائي عبر إبعاده للتحيّز، ينطوي على مخاطر أقل مقارنة بأساليب الاختيار الأخرى. وعليه، يجب أن تؤخذ في عين الاعتبار عندما تكون مخاطر الأعمال كبيرة وملحوظة.

  تتعدد طرق الاختيار العشوائية، منها:
  1. الوسائل الروتينية لبرامج الاختيار العشوائي، أي وسائل روتينية في برامج التدقيق التي يمكن أن تستخرج عينات من سجلات الجهة والوحدة التنظيمية محل التدقيق.
  2. أنظمة تولّد أرقام عشوائية، والتي يمكن أن تقدم قوائم من أعداد عشوائية من مجموعة مختارة من المجموعة.

  ب. الاختيار النظامي
  الاختيار النظامي هو اختيار العينات بطريقة ثابتة ونمطية من المجتمع ككل، حيث يتم تقسيم المجتمع إلى بنود متشابهة ويتم اختيار عامل ثابت من كل بند من البنود يتم تكراره في كافة البنود الأخرى، على سبيل المثال يمكن تقسيم مجتمع ما إلى عشرة بنود ثم يتم اختيار العشرة معاملات الأواخر من كل بند من البنود الممثلة للمجتمع، لا يتمتع هذا الأسلوب بدرجة العشوائية ذاتها التي يتمتع بها الأسلوب العشوائي وذلك بسبب احتمال أن تكون العينة المختارة نظامية متحيزة بسبب طريقة ترتيب الوحدات.

  ت. الاختيار عبر التجميع
  يتم استخدام هذا الأسلوب عندما يكون المجتمع متنوع وغير متجانس إلى حد يصعب فيه استخدام الاختيار النظامي، كما ويتم استخدامه في حال قابلية المجتمع على التقسيم والتوزيع على مجموعات أو بنود فرعية، وتتم هذه العملية على عدة مراحل:

  • المرحلة الأولى: تصنيف المجتمع إلى مجموعات فرعية أو بنود متماثلة.
  • المرحلة الثانية: اختيار عينة من المجموعات الفرعية أو البنود بطريقة عشوائية بحيث تكون العينة المختارة ممثلة للمجتمع ككل.

• المرحلة الثالثة: الاختيار العشوائي من كل مجموعة فرعية أو بند للمفردات الممثلة للمجموعة الفرعية أو البند الذي تم اختياره لتمثيل المجتمع ككل.

يطلق على هذا النوع من أساليب اختيار العينات أسلوب اختيار العينات متعدد المراحل، وهو ليس دقيقاً كباقي الأساليب وخصوصا الاختيار العشوائي.

ث. الاختيار غير المنظم
هو اختيار عينة دون اتباع أي أسلوب منظم أو محدد واختيار بنود متوفرة فوراً، مثلاً، أخذ عينة غير منظمة لأوامر شراء يشمل اختيار عينة من أوامر الشراء المتوفرة فوراً دون أخذ عوامل البنود والمبالغ و / أو تواريخ أوامر الشراء أو غيرها في عين الاعتبار. يتميز هذا الأسلوب بكونه الأكثر سهولة للتطبيق من أية وسيلة أخرى، خاصةً إذا لم تتوفر برامج التدقيق وكانت وحدات العينات غير مرقمة أو منظمة بشكل يسهل الاختيار العشوائي.

ج. الاختيار التقديري (غير الإحصائي)
يقوم موظفو وحدة التدقيق باختيار عينات التدقيق على أساس تقديرهم وحكمهم الشخصي. بالرغم من اعتبار هذا الأسلوب ضعيف لأخذ العينات، إلا أنه قد يتم استخدامه للمساندة في اختيار أمثلة لدعم ملاحظات المدققين بأن النظام ضعيف. يمكن استخدام الاختيار التقديري عندما يعرف بأن المجموعة متماثلة، مثل نظام معلومات يعامل فيه كل بند بنفس الطريقة بموجب النظام.

1.1.2. Holding Meetings with Organizational Unit Officials

1. In addition to reviewing key documents, it is necessary to hold meetings with various parties to fully understand the activities of the organizational units and the relevant organizational and regulatory environment, as well as their most prominent challenges and risks. Below is a list of parties to consider meeting with and possible communication mechanisms:

2. Communication Mechanism: Communication with various parties may be conducted through the following:

• Direct meetings

• Surveys

• Brainstorming sessions

1.1.3. Defining (or Updating) the Audit Universe

1. Once the main strategies and objectives are understood, the Audit Universe is defined, or the current Audit Universe is updated. The Audit Universe represents a list of all auditable units within the entity. Auditable units can be any topic, project, organizational unit, process, entity, or any other area.

2. Defining or updating the Audit Universe facilitates the process of identifying and assessing risks, as it is a fundamental step toward identifying auditable units that have risk levels warranting their inclusion in planned internal audit engagements.

3. Those concerned with the audit unit must consult with senior management to ensure that the defined Audit Universe accurately reflects the entity's business model. It should be noted that the Audit Universe must be updated periodically to reflect internal and external changes in the entity's business, which may lead to new risks that must be taken into account.

1.2. Conducting a Risk Assessment

The entity-level risk assessment process enables the audit unit to focus on the most prominent risks and to define audit engagements that can be managed in a timely and value-added manner, reflecting the entity's priorities.

1.2.1. Risk Identification

1. Through this procedure, risks associated with the previously defined audit universe are identified by the internal audit unit, in addition to identifying relevant risk categories.

2. To identify the most prominent risks, the internal audit unit must identify and understand high-level organizational objectives and strategies, as well as specific business objectives, strategies, and initiatives followed to achieve these objectives.

3. If the entity has implemented enterprise risk management (ERM) which has resulted in a comprehensive risk register, internal audit staff may use the results and outputs of the ERM process as an input in the risk assessment process. However, in line with the principle of objectivity in the Code of Ethics and the standard of independence and objectivity, internal auditors must perform their own work to verify that all major risks have been documented and that the materiality of the risks is accurately reflected.

4. Some frameworks and approaches may recommend or require the use of specific risk categories. If the entity follows an enterprise risk management framework, the internal audit unit should align its risk categories with those included in the framework. In the absence of a framework or risk categories, the internal audit unit can conduct discussions and brainstorming sessions with the organizational units in the entity about risks relevant to the entity by starting with common risk categories found in most entities, such as strategic, operational, compliance, financial, and legal risks.

5. The internal audit unit is responsible for assessing the "risk management processes" in the entity and their effectiveness, including those related to fraud risks. Since new fraud risks can emerge at any time, internal auditors must also assess fraud risks when planning each assurance engagement. Brainstorming with a diverse group of stakeholders in the entity is an essential part of the fraud risk assessment process.

6. Many audit executives conduct a dedicated and independent fraud risk assessment. Information discovered through any of these processes should be integrated into the overall risk assessment and internal audit plan.

1.2.2. Risk Analysis

1. The identified risks are analyzed in terms of their likelihood of occurrence and potential impact. This helps to determine the business risk level for all units within the audit universe by combining the impact results with the likelihood of occurrence.

2. Defining Evaluation Criteria: The first activity in the risk assessment process is to define a common set of evaluation criteria to be applied across the organizational units and the audit universe of the entity. Risks are usually assessed in terms of impact and likelihood.

3. Likelihood of Occurrence: Likelihood is how often risks occur. Some events may occur once, while others may occur daily. Therefore, risk analysis requires assessing how frequently they occur. Below is a guide to help classify likelihood:

Note: The likelihood of occurrence shown in the table above varies from one entity to another according to the different work environments.

4. When assessing the likelihood of a risk, certain factors should be taken into account, as follows:

• Frequency: How often has the risk occurred in previous periods.

• Changes: Taking into account changes in the work environment, such as new processes, new employees, and other variables that could expose the entity to the risk.

• Process Complexity: The complexity of the entity's operations.

5. Reviewing internal and external data helps audit unit staff assess the likelihood and impact of risks. Sources of risk occurrence data include internal and external audit reports and financial and operational data analysis reports. Relying on current data enhances objectivity in risk assessment, and it is essential to evaluate the appropriateness of the data under current and expected conditions.

6. The likelihood of risk occurrence is also assessed by meeting with relevant employees and obtaining relevant inputs.

7. Impact of Occurrence: The impact of a risk is assessed by preparing a risk impact assessment criteria matrix. The following is an illustrative example:

1.2.3. Risk Evaluation

1. During the risk evaluation process, internal auditors must consider each of the following:

• Inherent Risk: The risk arising from the nature of the activity, regardless of the controls in place.

• Residual Risk: The risk that remains after taking into account all implemented controls.

2. Inherent Risk Assessment: Inherent risk can be classified by the sum of likelihood and impact. Below is the inherent risk assessment matrix.

3. Residual Risk Assessment: To conduct a residual risk assessment, the internal audit team must perform a detailed analysis of the controls related to the previously identified risks. The controls for all inherent risks classified as severe, significant, or moderate are analyzed, while the analysis of controls for risks classified as low may be overlooked.

4. Controls for risk mitigation include all policies, procedures, practices, and processes followed to sufficiently ensure that these risks are managed.

5. The controls for risks are analyzed and evaluated by following the matrix below:

6. Risk mitigation controls should be documented in risk registers and classified according to the effectiveness of their design in mitigating risks. This is done by obtaining samples that help the team understand the design of these controls. Their effectiveness is tested later during the audit execution phase.

7. Residual risk is calculated as the sum of the risk classification (Section 4.1) and the control procedure classification (Section 4.2). The result of this process is used to determine the required level of action - according to the matrix below - to address the residual risk.

8. Confirming Risk Assessment Results with Executive Management: The internal audit unit should consider stakeholder input during the preparation of the internal audit plan, and this input is utilized during the risk assessment process. It must be ensured that the internal audit activity remains independent, objective, and unbiased.

9. The head of the audit unit should meet with senior management to review the results of the risk assessment to ensure comprehensiveness and mutual understanding, and to discuss the reasons for any material differences in perceptions or risk classifications.

10. Risk Assessment Report: After completing the risk assessment process, the internal audit unit prepares a risk assessment results report explaining the most important information, which includes, but is not limited to, the following:

• Residual risk results for all units within the audit universe.

• The most prominent risks at the organizational unit level.

• Heat Map: The risk assessment results can be described by the risk levels for each unit within the audit universe graphically in a heat map to help show the order of priorities. Heat maps are particularly useful in visual presentations to senior management.

11. Risk Monitoring and Reassessment: The internal audit unit should continuously monitor the previously identified risks and reassess them periodically to re-prioritize. It is also necessary to identify any new risks that may result from changes in the work environment that could affect the achievement of the entity's objectives. In addition, while executing audit engagements according to the annual plan, the audit team must reassess risks, as it may be discovered that controls previously documented in the risk assessment process are ineffective, which will affect the results of that risk assessment.

12. Continuous Audit: Some entities may rely heavily on electronic systems due to the nature of their work, which can result in a large number of daily transactions (e.g., traffic and transport authorities, municipalities, etc.). Therefore, after completing the risk assessment process and gaining a comprehensive understanding of the most prominent risks and the controls in place to mitigate them, many of which may be within the systems used, the internal audit activity should consider implementing a continuous audit process to assess those risks and controls and achieve the highest possible efficiency in audit work. For more details on continuous audit, please refer to Appendix No. (1).

1.3. Preparing the Audit Plan

1.3.1. Comprehensive Audit Plan (3 to 5 years)

1. The comprehensive audit plan, which includes audit activities for a period of (3) to (5) years, is prepared based on several inputs, including the following:

• The results of the risk assessment process and prioritization based on the average residual risk assessment for each unit within the audit universe.

• Inputs from senior management. Senior management may request some engagements related to assurance and consulting services, which must be taken into account when preparing the comprehensive audit plan. These requirements may relate to processes that did not appear as high priorities in the risk assessment results.

2. The comprehensive audit plan includes audit engagements over the time period, the expected preliminary timing and timeframe for each, as well as the preliminary scope of the audit and the required resources.

3. The comprehensive audit plan should be flexible enough to accommodate any changes that may occur, and this plan is approved by the entity's audit committee. In the event of any amendments resulting from a reassessment of risks, this amendment must be reflected in the comprehensive audit plan, and the updated plan must be approved by the Audit and Risk Committee. If there is no review committee in the entity, the comprehensive plan must be presented to and approved by the Chairman of the Board or the head of the entity.

1.3.2. Annual Audit Plan

1. The annual audit plan is an implementation of the comprehensive audit plan with some amendments, if required, and is approved annually by the Audit and Risk Committee of the entity. If there is no committee, approval is from the head of the entity. The annual plan may include the following elements, for example but not limited to:

2. Frequency and Timing of Audit Engagements: Since it is not possible to audit all units within the audit universe in every audit cycle, the frequency of audits depends on the results of the risk assessment. The head of the audit unit must consider which audit engagements will enhance the entity's ability to achieve its objectives and which of these engagements will add the most possible value.

The head of the audit unit should determine the frequency of the audit process as they see fit and in accordance with the work environment in the entity. The frequency of the audit depends on the level of residual risk identified in the risk assessment process, for example:

3. Considerations for Preparing the Audit Plan: The following are examples of considerations to be taken into account when preparing the annual audit plan:

4. Internal Audit's Use of the Work of Other Assurance Providers: The International Standards for the Professional Practice of Internal Auditing mandate that internal audit provide assurance services on the adequacy of governance, risk management, and related controls. Many entities have other parties providing assurance services, such as on IT projects, manufacturing process quality, environmental health and safety, financial reporting controls, and compliance with laws and regulations. Therefore, it is essential to leverage the work of other assurance providers when preparing the audit plan to achieve the following:

• Reduce duplication of work and minimize audit fatigue and business disruption.

• Improve the scope of audit coverage and conserve internal audit resources for high-risk operations.

• Ensure more accurate results by involving experts in the audited activities.

• Increase strategic collaboration, transparency, and better governance to achieve the entity's objectives.

Since assurance providers (internal and external) and the internal audit unit may have different objectives, it is essential to manage expectations in advance regarding the audit objectives, objectivity and competence of the team, the accuracy of the assessments and tests to be performed, and the expected timeline.

5. Assurance Map: To maximize the benefit from the work of other assurance providers, the internal audit unit prepares an assurance map by coordinating and aligning the coverage of the entity's risks. This enables assurance providers to build a strong assurance framework and enhance the efficiency and effectiveness of assurance activities.

The preparation of an assurance map may be requested by senior management, specifically by audit or risk committees, or through the internal audit's own initiative. The preparation of an assurance map should be a collaborative effort involving all parties providing assurance services. The assurance map is prepared through the following steps:

a. Understanding the Entity's Risks: A comprehensive understanding of the entity's risks is gained by reviewing the entity's strategy, risk assessment results, policies, performance reports, board minutes, audit and risk committee minutes (if a committee exists), and other reports. This is done during the risk assessment process while developing the plan, but risk registers may be updated periodically.

b. Organizing Risks into Specific Categories: To facilitate high-level presentation, risk categories should align with the entity's strategic objectives. Additional risk categories may cover operational areas or processes, compliance risks, reporting, and others.

c. Identifying Assurance Providers: Assurance providers within the entity may be identified through the three lines of defense model, which distinguishes risk management sources into three main internal groups (or lines of defense) based on primary roles and responsibilities. In addition, internal audit should verify the entity's use of external assurance providers and determine the extent to which the activities of external assurance providers should be included in the assurance map. External assurance providers may include:

• Supreme Audit Institutions

• Enterprise Risk Management Consultants

• Law Firms

• IT Consultants (Benchmarking, Virus Protection, Maintenance)

d. Collecting Information and Documenting the Scope of Assurance Services: Risk categories are listed in the assurance map, and then additional information is provided to document the coverage of the listed risks by assurance providers.

e. Continuously Updating the Assurance Map to Reflect Any Changes.

6. Work Team: The head of the internal audit unit must ensure the competence and adequacy of human resources and their ability to complete the internal audit process, as well as the presence of the necessary basic skills to perform audit tasks on time and with the required quality. It is also important to consider that some activities requiring an audit may need specialized competencies and skills, for example, auditing insurance activities, projects, medical fields, and others.

When determining the resources needed to perform audit tasks, the following points must be assessed:

• The number and experience level of auditors assigned to audit tasks based on an assessment of the nature, level of difficulty, time constraints, and available resources for these tasks.

• When selecting the audit team, the level of knowledge, skills, and other competencies of the chosen auditors should be considered.

• The training needs of the auditors, as each audit task serves as a basis for training members of the internal audit unit.

• Determining the internal audit unit's need for external resources where additional skills and competencies are required.

When forming teams to carry out audit tasks, the extent of automation of the audited activity's processes must be taken into account in order to include an IT auditor in the team. This is to provide the team with the results of the evaluation of controls in the system, thereby enhancing the team's ability to identify areas of focus and the size of the sample to be selected, thus increasing the efficiency of audit work execution.

7. Senior Management Input: The audit unit obtains input and feedback from senior management on the draft annual audit plan and takes it into account to ensure that the plan appropriately reflects the entity's priorities and that management supports the plan's implementation.

8. Updating the Internal Audit Plan:

• Through audit procedures and the implementation of the internal audit process on various activities, it may become apparent that some activities have been exposed to a higher or lower risk level than previously assessed. It may also become clear that some control procedures are inefficient. Since the internal audit plan is flexible and responsive to surrounding changes, the internal audit plan can be amended if there is a material change in the assessment of different risk levels resulting from internal audit procedures.

• Any amendment to the annual plan should be approved by senior management, with the amendment and its reason being shown. It should be noted that the reasons for amending the annual audit plan may be the result of any changes, whether internal or external, including but not limited to:

  • Changes in the organizational or operational structure of a specific activity, area, or department.
  • Changes in laws and regulations relevant to the entity's work.
  • Changes in the entity's strategy and directions.
  • Management changes.
  • Changes in risks and factors contributing to risk assessment.
  • Changes in policies, procedures, systems, and technology.

Chapter Two: Execution Phase

The general framework for executing internal audit engagements includes the following phases:

Quality Assurance and Improvement Programs

The following is a summary of the main inputs and outputs of the audit engagement execution phase:

2.1. Audit Engagement Planning

The following are the key steps for planning audit engagements:

2.1.1. Preparing for the Audit Engagement:

1. A coordination meeting is held among the team members before the opening meeting with the audited organizational unit, and minutes of the meeting must be documented, discussing the following:

2. An "Audit Scope Memo" must be prepared, taking into account the most important processes and prominent risks previously identified in the risk assessment process and the scope stated in the annual audit plan, in addition to discussing the results of the activity understanding process and updating the audit scope to reflect any additional information obtained while understanding the activity, prominent processes, systems, and risks that may be focused on during the audit process, and reaching a mutual agreement on the scope and objectives, as well as clarifying the points that will not be subject to audit and the relevant reasons. In addition, the expectations of senior and executive management must be considered.

3. The Audit Scope Memo must include the following:

• Audit objectives.

• Processes, initiatives, projects, and activities subject to audit.

• The audit methodology followed during the engagement.

• Nature and timing of audit procedures.

• Defining the nature of audit procedures to be applied, including process review, control testing, transaction testing, etc.

• Required documents and analyses to be prepared by the audited organizational unit, done by updating the requirements list.

• Communication and reporting protocols, clarifying the procedures for addressing deficiencies within the required timeline for inclusion in the follow-up process.

• Clarification of the internal audit team members who will work on the engagement.

• And the proposed date for the opening meeting.

4. After discussing and internally approving the Audit Scope Memo by the audit department, the audit scope form is sent to the relevant management with an official letter through agreed-upon channels, and confirmation of receipt must be obtained from the audited organizational unit.

2.1.2. Kick-off Meeting and Understanding the Activity:

1. Kick-off Meeting: An opening meeting is held with the audited organizational unit before the start of the audit process. It is necessary to coordinate with the audited organizational unit and clarify the importance of the attendance of both the head of the audited organizational unit and officials of the various operations at the meeting. The opening meeting aims to introduce the team to the organizational unit, the team's scope of work, and the time it will take for the team to perform its task, in addition to coordinating with the organizational unit to start the actual audit process, facilitate all administrative procedures, and begin the process of understanding the activities and operations. The meeting agenda must be sent in advance to the relevant management, including the following:

• Definition of internal audit tasks.
• Discussion of the preliminary scope of work.
• Discussion of the time required to complete the audit process.
• Understanding the administrative, organizational, and technical structure of the audited department.
• Inquiring if any changes have occurred since the annual audit plan was developed.
• Reviewing working papers from recent internal audit engagements on the audited organizational unit to gather information about the processes and controls that were in place during the last engagement.
• Agreeing on all required administrative and organizational aspects such as the duration of the audit, audit location, designated coordinator, communication method, and so on.
• Understanding the objectives, initiatives, and plans related to the work of the audited organizational unit in general and the activities of the audited operations in particular.
• Any other essential matters related to the audit process from a technical or administrative perspective.

The audit team must prepare minutes of the meeting to document what was presented, discussed, and agreed upon during the opening meeting and have it approved by the audited organizational unit and the concerned auditor.

2. Understanding the Activity: To identify risks that could affect the achievement of business objectives, internal auditors must gain an understanding of the management or process within the audit scope. This may be done through the following:

• Preparing process flowcharts that depict inputs and outputs (such as activities, workflows, and processing of important information). Flowcharts help with the following:

  • Understanding the systems and information that must be considered when defining engagement objectives and scope, and where important information resides (e.g., a single system or multiple systems).
  • What information is relevant to the engagement scope and how it will be evaluated during the audit (e.g., through standard testing and sampling, data analytics, key performance indicators).
  • Who has access to important information.
  • Steps in the business procedures that may lack effective controls or have inadequate control design, or where there may be opportunities for process improvement.

• The audit team may rely on documented process flowcharts (if any), if they are verified to be accurate and up-to-date.

• Conducting a Process Walkthrough to verify a sufficient understanding of the processes, systems, and relevant controls.

• Holding meetings with process owners and managers, as well as reviewing the detailed organizational structure and the tasks assigned to the audited organizational unit, and reviewing data previously obtained during the risk assessment phase.

• Due to the importance of fraud risks, the internal audit standard requires considering fraud risks when preparing the objectives of an assurance engagement. Conducting brainstorming sessions on fraud risk scenarios provides internal auditors with a variety of perspectives from which to consider incentives or pressures that could lead to fraud, opportunities to commit fraud (i.e., control weaknesses), and ways in which management and others can override and/or circumvent controls.

3. The audit team must document all information gathered during the process of understanding the activity, which must at least clarify the following:

2.1.3. Risk and Control Matrix (RCM):

1. During the process of understanding the audited activity, a "Risk and Control Matrix" is prepared. It is a mechanism for identifying and assessing risks that may affect the business objectives of the activity within the audit scope, as well as any relevant controls. The Risk and Control Matrix can be created in the form of a table in MS Excel, a document in MS Word, or via an electronic audit program.

2. The risk registers developed during the risk assessment process should be used as a basis for preparing the Risk and Control Matrix, adding any new risks or information not previously included in the risk registers.

3. The Risk and Control Matrix includes clarification of the link between risks and the operational objectives of the activity, the controls for each of the listed risks, and the results of the risk and control assessment in terms of design and effectiveness. Below is an example of the structure of a Risk and Control Matrix:

4. The risk matrix is continuously updated throughout the audit period to update control effectiveness and add details that help provide sufficient guidance for the internal audit team in future tasks, in addition to the risk reassessment process.

2.2.4 Preparing the Audit Program

1. The audit team prepares a detailed audit program of the procedures to be performed during fieldwork, which aims to verify the adequacy, efficiency, and effectiveness of the controls related to all risks identified and agreed to be covered within the scope of work. Risks and audit procedures in the audit program must be linked.

The following matters should be taken into account when preparing the audit program:

• All audit procedures included in the audit program must be in accordance with the scope of work that was previously agreed upon and discussed with the organizational unit under audit during the planning phase and the opening meeting.
• Taking into consideration all previously raised findings, whether in reports issued to management by internal audit or any other party.
• Ensuring that all risks identified during the risk assessment process and during the understanding of the activity have been included within the steps of the audit program.
• The nature, timing, and extent of the audit procedures should be determined, for example, whether the selected sample is distributed throughout the year, samples are selected only from the end of the year, or a sample is taken from each month, etc.
• It is important that the audit program is prepared and documented in a way that ensures all team members understand what needs to be done.
• Ensuring that the audit steps included in the audit program cover all expectations and points required to be covered, which were identified during internal team meetings or meetings held with the organizational unit under audit during the risk assessment phase or during the planning phase of the audit process.

2. The audit program must be approved by the Head of the Internal Audit Unit (or the person responsible for the internal audit activity or their deputy) before starting the audit fieldwork. In addition, if the audit program needs to be modified during fieldwork based on information and knowledge gained by the team, the audit program can be amended and approved internally.

2.2 Fieldwork

1. According to the International Standards for the Professional Practice of Internal Auditing, internal auditors must identify, analyze, evaluate, and document sufficient information to achieve the engagement's objectives.

2. During the execution of audit engagements, internal auditors must think and search strategically for information and audit evidence that will help achieve the engagement objectives. At every step of the audit process, internal auditors must apply professional skepticism to assess whether the information is sufficient and appropriate to provide a reasonable basis for forming conclusions and/or recommendations, or whether additional information should be collected.

3. The following are guidelines on the key elements of performing an audit engagement:

• Given the diversity of methods for performing audit procedures, the internal audit team must choose the methods most compatible with the nature and needs of the engagement. The following methods may be used to obtain audit evidence or analyze data and performance:

• Upon completion of the audit procedures, the test results may be recorded in a column added to the risk and control matrix, which is usually documented as a working paper. Entries in the matrix generally include a "reference number" to additional working papers that document the details of the audit procedures and analyses performed, the results, and any additional support for the internal auditor's conclusions.
• Internal auditors must identify sufficient, reliable, relevant, and useful information to achieve the engagement's objectives.

The sufficiency and reliability of information increase when the information is current, confirmed, and obtained directly by the audit team or from an independent third party. Information is also more reliable when collected from a system with effective and adequate controls.

4. Root Cause Analysis: While performing audit procedures, internal auditors may conduct a root cause analysis to identify the underlying reason for an error, problem, missed opportunity, or non-compliance. Root cause analyses enable the addition of insights that improve the effectiveness and efficiency of the entity's governance, risk management, and control processes, and they also contribute to forming appropriate recommendations.

5. Working Papers: Working papers generally document sufficient information about the engagement's analyses, results, and conclusions reached by the auditor to enable the reader to understand the basis for the conclusions. Working papers also show the test population, the sampling process, and the selection method. Reference numbers should be used to link the working papers.

Working papers for audit engagements are used to document information generated during the engagement, including planning procedures; testing, analyzing, and evaluating data; and formulating results and conclusions. Working papers can be kept in paper form, electronically, or both. The use of internal audit software enhances consistency and efficiency in documenting working papers and makes them easy to refer to when needed.

Working papers may include the following elements:

• Index or reference number.
• Title identifying the process under review.
• Date or period of the engagement.
• Scope of the work performed.
• Source of the data included in the working paper.
• Description of the sample population, including sample size and selection method.
• Details of the tests and analyses performed.
• Conclusions, including reference numbers in the working paper for audit findings.

• Name of the auditor(s) who performed the test and documented the working paper.
• Name of the supervisor who reviewed the working papers.

6. Sampling Methods: The audit plan should specify the method used for selecting samples to be tested, so that the audit team can use those technical means of sampling to reach conclusions and findings. The scope and amount of evidence to be collected should be determined before starting the fieldwork. For more details on the sampling mechanism, please refer to Appendix No. (2).

7. Supervision of Audit Work: Audit work should be carefully supervised to ensure that objectives are achieved, quality is assured, and staff are developed. Supervision begins from the start of the planning phase and continues through the testing, evaluation, communication, and follow-up stages. The supervision process includes the following:

• Ensuring that the auditor has the required knowledge, skills, and competencies to perform the audit.
• Providing appropriate instructions during the audit planning phase and reviewing and approving audit programs.
• Ensuring that approved audit programs are implemented.
• Determining whether the working papers support the proposed conclusions, results, and recommendations.
• Ensuring that the internal audit report is objective, accurate, clear, and prepared in a timely manner.
• Ensuring that the audit engagement objectives are achieved.
• Providing an opportunity for auditors to develop their knowledge, skills, and other competencies.

The proficiency and experience of the audit team members and the difficulty of the engagement are taken into account when supervising audit work. The auditor responsible for supervision may prepare a log of all observations resulting from the supervision work and verify that all inquiries from the engagement supervisor have been answered.

Effective audit supervision helps resolve differences in professional judgment on key issues and allows for the documentation of different viewpoints in the working papers. Documenting the supervision process also leads to:

• Ensuring that there are supporting documents for the audit report and that all audit procedures have been carried out according to the plan.
• Providing evidence of audit supervision, which includes recording the date on each working paper and approving it after review.
• Clarifying the use of other supervision methods, for example, using a checklist for reviewing and completing working papers or preparing a memo explaining the nature and results of the supervision work.

The responsibility for supervising audit work lies with the head of the audit unit, but they may delegate that responsibility to auditors with the necessary experience and professional competence for supervision.

2.3 Reporting and Issuing Reports

1. The process of preparing and issuing internal audit reports, in accordance with the International Standards for the Professional Practice of Internal Auditing, is one of the most important tasks and responsibilities of the Head of the Internal Audit Unit. They report the audit results to the appropriate management levels capable of making decisions regarding the resolution of findings from the audit work.

2. Internal audit reports must be characterized by the following:

• Accurate, fact-based, and free of errors.
• Objective, free from bias, and based on a balanced assessment of all relevant facts and circumstances.
• Clear, logical, and easily understandable. It is preferable to avoid complex technical vocabulary and include all important and relevant information.
• Concise, to the point, and avoids unnecessary details, additions, or repetition, but contains the necessary information for the reader's understanding.
• Constructive, useful to the audited management, and contributes to achieving the desired improvement and development.
• Complete, and contains all information supporting the finding and conclusions.
• Issued in a timely manner to contribute to the effectiveness of the decision-making process.

3. The internal audit report should contain the following elements:

• The agreed-upon scope and objectives of the internal audit engagement.
• The methodology followed during the audit process.
• Classification of findings according to their importance.
• Control environment classification table.
• Scope Limitations.
• Achievements of the organizational unit and any positive aspects that should be highlighted to the reader.
• Findings and their related impact, with examples where possible to support the finding.
• Internal audit recommendations for preparing corrective actions for the findings or for improving the identified gaps.
• Response of the organizational unit under audit, its action plan, and the corrective actions that will be taken to address the findings in the report. The organizational unit's response must be included as is, whether in agreement or disagreement with the finding in the report.

4. When preparing audit findings, the finding must include the following elements:

• Criteria: The standards and expectations used in the evaluation or assertion, i.e., what should be.
• Condition: The actual state found by the auditor during testing (what actually exists).
• Cause: The root cause of the difference between the actual and expected condition (why there is a difference).
• Effect: The risk the concerned entity is exposed to due to that difference (the impact of the difference).

• Recommendations: The proposed recommendations to address the findings.

5. Determining the severity of findings: When determining the risk level of a finding, the internal audit team should consider the potential impact of the finding on the entity's operational processes and its financial statements. The following table illustrates the mechanism for classifying findings according to their importance in the internal audit report:

The criteria mentioned above should be used as guidance as they are general criteria. However, if some entities deem it necessary to add detailed criteria in line with their requirements and nature, it must be ensured that the detailed criteria are prepared within the context of the criteria mentioned above.

The internal audit unit also assesses the effectiveness of the current control environment. Below is an explanatory table on the classification of the control environment assessment results:

6. A closing meeting must be held with the organizational unit under audit to discuss the results of the audit fieldwork. This meeting should be arranged in advance, specifying the meeting date after the fieldwork is completed, as well as the appropriate time to receive the organizational unit's response to the results after sending a draft version of the report to the audited management for discussion.

7. The process of preparing and issuing the internal audit report: The following are the steps for preparing and issuing the internal audit report after completing the audit fieldwork:

Prepare Draft Report ← Review Draft Report ← Closing Meeting ← Issue Internal Audit Report ← Agreed Implementation Plan ← Final Report and Presentation of Results

8. The Head of the Internal Audit Unit is responsible for reviewing and approving the final report before its issuance and determining the entities within the organization to which the report will be sent.

When determining the parties concerned with receiving the audit report results, the following should be taken into account:

• Communication protocols within the entity, to ensure that individuals at the appropriate level of responsibility receive a copy of the report.
• Expectations of senior management regarding the escalation of audit results.

• To ensure consistency, the internal audit unit may establish a specific distribution list for the parties and organizational units that will receive the reports, in addition to the management levels that should be included in the distribution list for engagement results related to their area of responsibility.
• The Head of the Internal Audit Unit determines the form and format of the report to be used for each entity/position that will receive the report. For example, some recipients may receive an executive summary, while others receive a full report.
• It may be appropriate to deliver the results through a meeting with a presentation and an opportunity for discussion.

9. The following are the timeframes for issuing reports, obtaining responses from the organizational unit under audit, and issuing the post-audit survey:

10. Errors and Omissions in Audit Reports: An error is the unintentional inclusion of incorrect material information, or its unintentional omission. If a material omission or error is discovered in an issued internal audit report, the Head of the Internal Audit Unit should consider issuing a revised report specifying the corrected information, to be distributed to all parties that received the original report. The Head of the Internal Audit Unit must also identify the causes of such errors and work to establish the necessary controls to prevent their recurrence in the future.

11. Legal Considerations in Internal Audit Reports: The internal audit team should collect evidence, make analytical judgments, report the results of their work, and ensure that appropriate corrective actions are taken. They should also exercise caution when including results and expressing opinions in internal audit reports, correspondence, and working papers regarding the law, legal violations, and other legal matters. Therefore, it is preferable for the internal audit unit to establish policies and procedures for handling these matters and to work closely with legal parties.

12. When communicating the results of an audit engagement to parties outside the entity, the communication must include restrictions on the distribution and use of these results.

13. Follow-up Activities

• The Head of the Internal Audit Unit shall establish a follow-up mechanism with the audited organizational unit regarding its commitment to implementing plans to address the findings in the audit reports and shall submit periodic (quarterly) reports on the results of the follow-up work.
• The internal audit unit must prepare a register of all findings in the reports, a summary of each, and the implementation plans agreed upon with the organizational unit, along with the agreed-upon target time for closing the finding, and it must be continuously updated.
• Before starting the periodic follow-up work, the relevant organizational units are contacted to prepare the status of the implementation of the remediation plans and the relevant supporting documents.
• The organizational unit is responsible for implementing the corrective actions, taking into account the level of effort and cost required to correct them and measuring the difficulty and feasibility of the corrective actions.
• Internal audit reports and the organizational unit's action plan are monitored through the following:
  • Setting a timeframe for the response of the audited organizational unit to the audit findings.
  • Evaluating the organizational unit's response.
  • Verifying the response, if possible.
  • Conducting a follow-up audit.
  • Communicating with relevant stakeholders regarding unsatisfactory responses and action plans, including the assumption of related risks.
  • Submitting periodic reports to the Audit and Risk Committee or the head of the entity on the extent of the concerned departments' commitment to implementing plans to address the findings in the audit reports.
• For the effectiveness of follow-up activities, key performance indicators may be developed for organizational units related to the percentage of closed findings, which are measured periodically, and relevant reports are submitted.

Chapter Four: Quality Assurance and Improvement Program

1. According to the International Professional Practices Framework of the Institute of Internal Auditors, a quality assurance and improvement program is defined as a continuous and periodic assessment of the audit and consulting work performed by the internal audit activity. These ongoing and periodic assessments consist of detailed and comprehensive processes, including continuous supervision and examination of internal audit work, in addition to periodic verification of compliance with internal audit standards. It also includes the continuous measurement and analysis of performance indicators (e.g., audit plan completion rate, accepted recommendations, and customer satisfaction rate).

2. The Head of the Internal Audit Unit should develop a quality assurance and improvement program that covers all aspects of the internal audit activity.

3. The quality assurance and improvement program should lead to recommendations for appropriate improvements to the internal audit activity based on the assessment results. The assessment process contributes to the following:

• Assessing compliance with internal audit standards.
• Assessing the adequacy of the audit charter, policies, procedures, and objectives of the internal audit activity.
• The extent of contribution to improving governance, risk management, and control processes.
• The completeness of the audit universe coverage.
• Risks affecting the operations of the internal audit activity.
• Assessing whether the internal audit activity adds value and improves the entity's operations and contributes to achieving objectives.

4. To achieve comprehensive coverage of all aspects of the internal audit activity, the quality assurance and improvement program must be effectively applied at the following levels:

• Internal Assessment:

  Internal quality assessments consist of two interrelated parts: ongoing monitoring and periodic self-assessment.

  a. Ongoing Monitoring: Ongoing monitoring helps to ensure that the current processes of the audit activity are operating effectively to ensure the desired quality is delivered for each audit engagement. It is primarily achieved through continuous monitoring activities, which include planning audit engagements, supervision, standard work practices, working paper procedures and related approvals, and report reviews.

  b. Periodic Self-Assessment: The self-assessment focuses on the following aspects:

  • Compliance with the audit charter and standards.
  • The quality of audit work, including adherence to the internal audit methodology for selected specific engagements.

• The quality of supervision of audit engagements.
• The infrastructure supporting the internal audit activity, including policies and procedures.
• The value added by the internal audit unit to the entity.
• Achievement of the key performance indicators for the audit activity.

Periodic self-assessments may include conducting interviews and surveys with stakeholders, in addition to benchmarking the audit activity against relevant best practices.

• External Assessment:

  External assessments must be conducted at least once every five years. There are two ways to conduct external assessments:

  • Full External Assessment: A full external assessment involves using a qualified and independent assessor or assessment team to conduct the assessment.
  • Self-Assessment with Independent (External) Validation: A self-assessment with independent (external) validation involves using a qualified and independent assessor or assessment team to perform an independent validation of the self-assessment completed by the internal audit activity.

5. Using the phrase "Conforms with the International Standards for the Professional Practice of Internal Auditing": It is indicated that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if it is supported by the results of the quality assurance and improvement program.

If non-conformance with the principles of the Code of Ethics and the Standards affects the overall scope of the audit activity or its operations, the Head of the Internal Audit Unit must disclose the non-conformance and its impact to senior management.

Chapter Five: Appendices

Appendix 1: Continuous Audit

1. Introduction:

• Testing the efficiency and effectiveness of controls by the internal audit activity is risk-based and often conducted after business activities have occurred. Audit tests are conducted based on sampling and include auditing policies, procedures, approvals, and reconciliations.
• Following the traditional approach to auditing gives internal auditors a narrow scope of evaluation, and sometimes it is too late to be of real value in identifying gaps, non-compliance, and improving the entity's processes. Continuous auditing is a mechanism used to conduct assessments of risks and related controls automatically on a more frequent basis.
• Continuous auditing focuses on testing the pervasiveness of risks and the effectiveness of related controls. The existence of a framework and detailed procedures, along with technology enablers, is key to enabling such an approach.
• Continuous auditing provides another way to understand risks and controls and enhances sampling from periodic reviews to continuous testing.
• The application of continuous auditing does not replace traditional auditing but should be used as a tool in implementing certain standard audit procedures to enhance the effectiveness of the internal audit activity. For example, continuous auditing may be applied by conducting trend analysis on expense accounts to identify deviations or drivers and alert the audit team to a potential problem.

2. How to Apply:

Implementing a continuous audit model can be challenging at first, as it is a process that evolves with the maturity of the internal audit activity in the entity. Continuous auditing is applied through the following main steps:

Appendix 2: Sampling

1. The process of sampling in internal auditing can be defined as the process of selecting and examining a part of a set of transactions and items in order to obtain information, an evaluation, or conclusions about the set as a whole. The entire set of data from which a sample is selected is called the "population," while the individual items that make up the population and are available for selection are called the "sampling units."

Evidence supporting certain assertions does not require an examination to establish the validity of the assertion. The type of sampling methodology used is a matter of judgment and is chosen by experienced audit team members, such as the team leader and the head of the internal audit unit. The need for testing increases as the severity of the results increases.

2. The head of the internal audit unit should verify whether the sampling method is the most efficient and effective for obtaining evidence and consider the various electronic systems and technologies used to conduct the audit, such as file and database investigation programs.

3. The internal audit team should consider that by selecting some samples, there is a risk that the selected sample may not include all elements related to the investigation. These risks are as follows:

• Sampling Error:

  There is a possibility in every sample that it will provide information that does not represent the population. This possibility, resulting from the randomness of the sample selection, is a risk inherent in every sample regardless of how it is chosen. The audit unit must exercise professional judgment and follow appropriate procedures for selecting the audit sample to reduce this risk.

• Non-Sampling Error:

  This error can affect the representativeness of the sample and may be related to all or some aspects of the selected sample. It includes the use of inappropriate sampling methods, incorrect identification of the population, and errors in sample selection, among others. This risk may involve all possible errors, omissions, and misjudgments that could generate incorrect inferences from the sample.

  To mitigate sampling risks, the internal audit unit must verify the soundness and efficiency of the planning process, supervision, and proper execution of the internal audit plan.

• Sample Size

The size of the selected sample depends on the method used to determine the sample, either a statistical method or a judgmental (non-statistical) method. There is no difference between selecting a sample using a statistical method or a non-statistical method in implementing the sampling plan. The method used does not affect the sufficiency of the evidence obtained or the audit's response to a detected error. The choice between the two methods is based on an evaluation of the pros and cons of each method.

• Statistical Sampling Method

  Statistical sampling is a scientific method for determining sample size and selecting the items to be verified. Unlike judgmental sampling, it provides a means to assess the precision of the sampling risk, i.e., how accurately the sample represents the population, and the reliability and confidence, i.e., the probability that the sample represents the population. Statistical sampling also gives a probable estimate of the occurrence rate or a monetary amount. The advantage of this method is that the reliance on the results is determined through the use of probability theory, meaning that by following specific procedures for sample selection and calculating the results, the audit unit can use a statistical model to measure the risk of sampling error.

• Judgmental Sampling Method (Non-Statistical)

  Judgmental sampling is a subjective method for determining sample size and selection. Through this method, audit staff can test the most material and risky transactions and confirm transaction types subject to a high level of risk. In judgmental sampling, the audit unit relies solely on its judgment to assess sampling risk and evaluate the population. Although sampling error risk cannot be measured in a judgmental sample, the audit unit controls it by following certain guidelines and procedures.

• Sample Selection

  The following factors should be considered when selecting a sample:

  • Identify and know the population from which a sample is being selected, as the audit conclusions are based on a sample taken from this population.
  • Link the samples to the audit objectives.
  • Treat all population items equally when selecting the sample.

• Sampling Methods

  Sampling methods include the following:

  Random Selection

  Systematic Selection

  Cluster Selection

  Haphazard Selection

  Judgmental Selection

  a. Random Selection
  Random sampling avoids factors that affect objectivity and bias during the selection process that could influence the probability of selecting or not selecting certain units. Although there is a risk that the sample may not be representative of the population, random selection, by eliminating bias, involves less risk compared to other selection methods. Therefore, it should be considered when business risks are significant and notable.

  There are several random selection methods, including:
  1. Routine methods of random selection programs, i.e., routine methods in audit programs that can extract samples from the records of the entity and the audited organizational unit.
  2. Systems that generate random numbers, which can provide lists of random numbers from a selected set of the population.

  b. Systematic Selection
  Systematic selection is the selection of samples in a fixed and patterned way from the entire population, where the population is divided into similar items, and a fixed factor is selected from each item, which is repeated in all other items. For example, a population can be divided into ten items, and then the last ten transactions from each item representing the population are selected. This method does not have the same degree of randomness as the random method because of the possibility that the systematically selected sample may be biased due to the way the units are arranged.

  c. Cluster Selection
  This method is used when the population is diverse and heterogeneous to an extent that makes it difficult to use systematic selection. It is also used if the population is divisible and can be distributed into groups or sub-items. This process takes place in several stages:

  • First Stage: Classifying the population into similar subgroups or items.
  • Second Stage: Selecting a sample of subgroups or items randomly so that the selected sample is representative of the entire population.

• Third Stage: Randomly selecting from each subgroup or item the units representing the subgroup or item that was chosen to represent the entire population.

This type of sampling method is called multi-stage sampling, and it is not as precise as other methods, especially random selection.

d. Haphazard Selection
This is the selection of a sample without following any organized or specific method, choosing immediately available items. For example, taking a haphazard sample of purchase orders involves selecting a sample of immediately available purchase orders without considering factors like items, amounts, and/or dates of the purchase orders. This method is characterized by being the easiest to apply compared to any other method, especially if audit programs are not available and the sampling units are not numbered or organized in a way that facilitates random selection.

e. Judgmental Selection (Non-Statistical)
The audit unit staff select audit samples based on their personal estimation and judgment. Although this method is considered a weak sampling method, it may be used to assist in selecting examples to support the auditors' findings that the system is weak. Judgmental selection can be used when the population is known to be homogeneous, such as an information system where every item is treated in the same way under the system.