1. Copyright © 2006, The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin November 2008 Audit Planning Methodology تخطيط وتوثيق عملية التدقيق إعداد حازم فؤاد عليان Senior Auditor

2. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 2 of 74 McGraw-Hill/Irwin Establish engagement objective 1. Understand scope of services and service requirements 2. Identify and orient the audit team Understand business and establish audit strategy Inherent risk 3. Understand the business 4. Assess internal control at the entity level and the risks of fraud 5. Develop the preliminary audit strategy Control risk 6. Understand and evaluate the flow of significant classes of transactions and sources of information and related control 7. Perform test of control 8. Perform the risk assessments and develop substantive audit procedures Perform audit procedures 9. Perform Analytical and data analysis procedures 10. Perform test of details 11. Perform General audit procedures Conclude the audit and assess performance 12. Conclude the audit 13. Assess client satisfaction 14. Assess the performance Audit Methodology

3. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 3 of 74 McGraw-Hill/Irwin 1. Understand scope of services and service requirements  في هذه المرحلة يكون على المدقق أن يتخذ القرار المناسب فيما يتعلق بقبوله لمهمة التدقيق أم لا. ويتم ذلك من خلال فهمه لبيئة العمل التي سيبدأ بها سواء كانت مهمة التدقيق للمرة الأولى أو مستمره ليساعده ذلك في كيفية اتخاذ قرار القبول أو عدم القبول.  لذلك يقوم فريق التدقيق (من خلال الزيارة الميدانية لموقع عمل العميل) بالتعرف على طبيعة الخدمات التي يريد العميل الحصول عليها، وكذلك حجم وطبيعة العمل والقائمين علية وسمعتهم ومركزهم المالي وقدرتهم التنافسية والقدرة على الاستمرار وعلاقة الإدارة مع المدقق السابق من خلال الاتصال بالمدقق السابق وفق الاجراءات المتبعة لذلك.  إن فهم طبيعة التدقيق ونطاقه وحجمه تحدد حجم التحليل الواجب تنفيذه لفهم نشاطات المؤسسة المراد تدقيقها. Establish Engagement Objective

4. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 4 of 74 McGraw-Hill/Irwin 2. Identify and orient the audit team  يقوم أعضاء الفريق بمهام وأدوار مختلفة لتنفيذ مهمة التدقيق. وتتمثل أهم الأدوار في: أدوار منفذين، أدوار خبراء فنيين مشاركين.  تطوير أهداف الفريق: إن الوصول إلى اتفاق مع الفريق حول الأهداف والغايات خلال مرحلة توجيه الفريق يعزز من فهم الفريق للتوقعات.  يقوم المدقق الرئيسي بتحديد فريق العمل الذي سيقوم بمهمة التدقيق. ويتم اختيار فريق العمل بناءاً على خبراتهم في انجاز المهام المشابهة. ويتم تحديد المهام الخاصة بكل فرد من أفراد فريق العمل وفقاً لطبيعة مهمة التدقيق. (نموذج اختيار فريق العمل وتحديد المهام الخاصة بهم) Establish Engagement Objective

5. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 5 of 74 McGraw-Hill/Irwin 2. Identify and orient the audit team Audit Quality Program Orient the Team Team Planning Event Post-Interim Event Warp-Up Fieldwork Execution Fieldwork Execution -------------------------------------- Audit Workflow Establish Engagement Objective

6. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 6 of 74 McGraw-Hill/Irwin  يقوم المدقق باعداد عرض السعر الخاص بمهة التدقيق والذي يتضمن تحديده لأتعاب التدقيق وفقاً للإجراءات الداخلية لكل شركة تدقيق. (نموذج تقدير أتعاب عملية التدقيق)  يجب على فريق التدقيق استخدام الحكم المهني لتحديد الوقت الواجب صرفه على العمليات الرئيسية وتحديد مصادر المعلومات المناسبة.  يتم إرسال عرض السعر للعميل.  في هذه المرحلة يقوم المدقق بإرسال كتاب التعاقد (الاتفاقية) وعادة تكون من نسختين موقعتين من المدقق الشريك أو من ينوب عنه، وُيطلب من العميل توقيع النسختين والاحتفاظ بواحدة. (نموذج لكتاب التعاقد) ”وهنا تبدأعملية التخطيط لمهمة التدقيق“ Establish Engagement Objective

7. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 7 of 74 McGraw-Hill/Irwin 3. Understand the business Understand business and establish audit strategy Nature of Entity Key Business Risk Financial Statement / Internal Control Implications Business Objective, Strategies, CSF’s Key Financial Performance Measures Key Market Forces and Environment Key Stakeholder Influences Significant Risks Internal Control / Fraud Considerations Long Term Short Term

8. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 8 of 74 McGraw-Hill/Irwin 3. Understand the business لفهم الأعمال يجب علينا القيام بما يلي:  التأكد من تحليل أهداف المؤسسة وعوامل النجاح الحيوية لإنجاز هذه الأهداف مع الأخذ بعين الاعتبار أن هناك أهداف ضمنية بالإضافة إلى الأهداف المحددة والمعروفة.  تحديد هيكلية المؤسسة (حسب العملية والوظيفة) والبدء بفهم كيف ترتبط أهداف النشاطات وعوامل النجاح الحيوية بالعمليات.  تحديد عوامل التأثير الداخلية والخارجية والتي تؤثر على أهداف نشاط المؤسسة وعوامل النجاح الحيوية.  تحديد الأخطار الجوهرية المتضمنة في إنجاز أهداف نشاط المؤسسة وعوامل النجاح الحيوية.  فهم بيئة تكنولوجيا المعلومات في المؤسسة.  فهم عملية إدارة المخاطر المتبعة حالياً في المؤسسة وهيكلية إعداد التقارير. Understand business and establish audit strategy

9. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 9 of 74 McGraw-Hill/Irwin 3. Understand the business  يجب أن تعطي عملية فهم البيئة السياسية والاقتصادية التي تعمل بها المؤسسة فرصاً جوهريةً في عملية الفهم، وذلك لأنها قد تؤدي إلى أخطار كبيرة على البيانات المالية أو الأعمال. إن فهم آلية عمل المؤسسة وكيفية تأثير الوضع السياسي وعوامل السوق والعوامل المحيطة الأخرى على تحقيق الأهداف والغايات والإستراتيجيات يمكننا من تحديد أخطار الأعمال والأخطار المتعلقة بالبيانات المالية. يستخدم هذا الفهم لتحديد نتائج وأهمية هذه المخاطر على أهداف السياسات، وعلى الأنشطة والأداء وعلى إدارة العمليات، وعلى التقارير المالية.  تشكل نتائج هذه الخطوة الأساس لتخطيط وتنفيذ التدقيق بما فيها القيام بتقييم المخاطر الضمنية. Understand business and establish audit strategy

10. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 10 of 74 McGraw-Hill/Irwin 3. Understand the business يعتبر فهم الأعمال عنصراً رئيسياً في التدقيق ويتكون من خمس مراحل مبينة في الفقرات التالية:  الحصول على نظرة متعمقة لتنظيم النشاطات في المؤسسة  الحصول على فهم عام للمخاطر  تحديد عوامل النجاح الحيوية  الحصول على فهم عام للعمليات  تحديد العمليات الحيوية والجوهرية Understand business and establish audit strategy

11. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 11 of 74 McGraw-Hill/Irwin 3. Understand the business النموذج العملي لفهم الأعمال في المؤسسة Understand business and establish audit strategy

12. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 12 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud 1. تقييم أنظمة الرقابة على مستوى المؤسسة يجب أن نقوم في جميع عمليات التدقيق بالحصول على فهم كافٍ لأنظمة الرقابة على مستوى المؤسسة ككل من أجل تخطيط وتحديد طبيعة ووقت ومدى إجراءات التدقيق. نقوم بتحديد العوامل ذات العلاقة بأنظمة الرقابة الداخلية على مستوى المؤسسة ككل. 2. الحصول على فهم لعناصر الرقابة الداخلية الخمس بشكل عام، ترتبط الإجراءات الرقابية ذات العلاقة بالتدقيق بأهداف المؤسسة الخاصة بإعداد البيانات المالية للأغراض الخارجية. قد تكون الإجراءات الرقابية المتعلقة بالأهداف التشغيلية وأهداف الالتزام ذات علاقة بالتدقيق إذا ارتبطت بالمعلومات التي نقيمها أو نستخدمها في إجراءات التدقيق. Understand business and establish audit strategy

13. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 13 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud المكونات الخمس لعناصر الرقابة الداخلية هي:  البيئة الرقابية: تحدد الاتجاه العام للمؤسسة، وتؤثر في الإدراك الرقابي للموظفين. وتعتبر البيئة الرقابية الأساس لكل مكونات الرقابة الداخلية الأخرى وتؤثر على الالتزام والتنظيم.  تقييم المخاطر: هو كيفية قيام المؤسسة بتحديد وتحليل الأخطار ذات العلاقة بإنجاز المؤسسة لأهدافها ويشكل الأساس للطريقة الواجب اتباعها لإدارة المخاطر.  المعلومات والاتصال: هي الأنظمة اليدوية والآلية التي تدعم تحديد المعلومات والحصول عليها وتبادلها بشكل معين خلال وقت محدد حتى يتمكن الأفراد من القيام بمسؤولياتهم. Understand business and establish audit strategy

14. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 14 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud  الأنشطة الرقابية: وهي السياسات والإجراءات التي تساعد على التأكد من تنفيذ توجيهات الإدارة.  المراقبة: هي العملية التي يتم خلالها تقييم نوعية أداء أنظمة الرقابة الداخلية خلال فترة معينة. Understand business and establish audit strategy

15. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 15 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud العامل الجوهري لتنفيذ التدقيق هو البيئة الرقابية في المؤسسة. وتشير البيئة الرقابية إلى الوعي والموقف الرقابي الظاهر والضمني للإدارة. يعتبر الفهم المعمق للبيئة الرقابية حيوياً لفريق التدقيق. من خلال المقابلات مع متخذي القرار الرئيسين نستطيع تحديد:  الوعي الرقابي للإدارة وأسلوب العمل.  الأمانة والمعايير الأخلاقية.  الترتيبات الخاصة بمعايير إدارة المؤسسة.  الهيكل التنظيمي وتحديد الصلاحيات والمسؤوليات.  سياسات الموارد البشرية، الممارسات، والالتزام بتأهيل الموظفين. Understand business and establish audit strategy

16. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 16 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud  إذا كان لدى المؤسسة دائرة رقابة داخلية، سنقوم بتحديد نطاق وطبيعة ونوعية عمليات التدقيق التي قاموا بتنفيذها. ويمكننا استخدام نتائج تدقيقهم (بعد مراجعتها) من أجل تنظيم تدقيقنا بشكل كفء.  نقوم بتحليل وتوثيق قضايا الرقابة الداخلية (عوامل الخطر التي تم تحديدها) من أجل تحديد أثر هذه القضايا على التدقيق. بالإضافة إلى ذلك، نقوم بتحديد كيفية تأثير هذه القضايا على المؤسسة. Understand business and establish audit strategy

17. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 17 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud 3. إجراء تحليل إجمالي للمعلومات المالية وغير المالية إن إجراءات التحليل الإجمالي الموجه بشكل جيد تحدد المجالات ذات الخطر المرتفع التي قد تحتاج إلى تركيز إضافي في التدقيق وتحدد المجالات ذات الخطر المنخفض حيث يمكننا التخفيف من جهدنا التدقيقي. ولهذا فإن إجراءات التحليل الإجمالية تصمم لإظهار التغيرات الجوهرية المتوقعة / غير المتوقعة أو غياب هذه التغيرات في المبالغ الرئيسية في البيانات المالية، ومؤشرات الأداء، واتجاهات الربح، والعلاقات المالية. Understand business and establish audit strategy

18. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 18 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud نقوم بالتركيز في إجراء التحليل الإجمالي على نشاطات المؤسسة وليس فقط على حسابات البيانات المالية. ولهذا، نركز على مؤشرات تقييم الأداء، ومبالغ البيانات المالية، والنسب والعلاقات التي تعتبرها الإدارة ضرورية لمراقبة نشاطات المؤسسة. من خلال التركيز على هذه النسب والإحصائيات الأساسية قد نطلع على أمور تهم الإدارة والجهات ذات العلاقة حول التقلبات غير المتوقعة (أو غياب التقلبات المتوقعة) في العلاقات الرئيسية ونكون قادرين بشكل أفضل على تقييم خطر التدقيق الموجود. بالإضافة إلى ذلك، قد نكون قادرين على تحديد مدى نفع المعلومات التي تستخدمها الإدارة لتحليل الأداء وتقديم اقتراحات لتطوير تحليل النشاطات ومقاييس الربحية. Understand business and establish audit strategy

19. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 19 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud 4. فهم أثر تكنولوجيا المعلومات من خلال فهمنا للرقابة الداخلية على مستوى المؤسسة ككل، نقوم بفهم كيفية تأثير تكنولوجيا المعلومات على عناصر الرقابة الداخلية الخمسة. إن استخدام تكنولوجيا المعلومات في المؤسسة قد يؤثر على أي من عناصر الرقابة الداخلية الخمسة ذات العلاقة بإنجاز أهداف إعداد التقارير المالية، والأهداف التشغيلية وأهداف الالتزام وكذلك يؤثر على الوحدات التشغيلية والنشاطات في المؤسسة. Understand business and establish audit strategy

20. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 20 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud إن استخدام تكنولوجيا المعلومات يعطي منافع للقيام برقابة داخلية فعالة وكفؤة لأن تكنولوجيا المعلومات تسمح بتطبيق ثابت لقواعد النشاطات المحددة مسبقاً والقيام بعمليات احتساب معقدة أثناء معالجة حجم كبير من المعاملات والمعلومات. أما الآثار الأخرى لتكنولوجيا المعلومات فهي تعزيز القدرة على توفير المعلومات الدقيقة في الوقت المحدد وتعزيز القدرة للمراقبة على تنفيذ السياسات والإجراءات وتقليل خطر الالتفاف على الإجراءات الرقابية وكذلك تعزيز القدرة على إنجاز فصل فعال للوظائف من خلال تطبيق أنظمة الرقابة. Understand business and establish audit strategy

21. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 21 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud عند تقييم أثر تكنولوجيا المعلومات على الرقابة الداخلية على مستوى المؤسسة نأخذ الأمور التالية بالاعتبار: 1. التنظيم، التعقد، والبنية التحتية لتكنولوجيا المعلومات في المؤسسة. 2. اعتماد المؤسسة على تكنولوجيا المعلومات، مثل البنية التحتية الرئيسية والأنظمة التكنولوجية، بالإضافة إلى اعتماد المؤسسة على المعلومات الناتجة عن الأنظمة. 3. رغبة الإدارة، والتزامها واستثمارها في موارد تكنولوجيا المعلومات بما فيها ربط النشاطات وتكنولوجيا المعلومات بعملية التخطيط وتقييم المخاطر. 4. مدى كفاية وكفاءة موارد تكنولوجيا المعلومات وكفاءتها. Understand business and establish audit strategy

22. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 22 of 74 McGraw-Hill/Irwin 4. Assess internal control at the entity level and the risks of fraud 5. وجود وكفاية السياسات والإجراءات الخاصة بتكنولوجيا المعلومات بما فيها السياسات الخاصة بتطوير الأنظمة والرقابة على المعلومات. 6. عملية تقييم مخاطر تكنولوجيا المعلومات. 7. كفاية أنظمة المعلومات والتكنولوجيا المساندة. 8. اعتماد الإدارة على تكنولوجيا المعلومات للقيام بالنشاطات الرقابية. 9. وجود وملائمة سياسات وإجراءات تطوير أنظمة الرقابة على المعلومات. 10. الرقابة على الأداء والرقابة على تكنولوجيا المعلومات. 11. كفاية ونطاق نشاط تدقيق تكنولوجيا المعلومات. Understand business and establish audit strategy

23. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 23 of 74 McGraw-Hill/Irwin Preliminary Audit Strategy Planning Materiality PM Planning Materiality PM Small Audit Difference s SAD Nominal Amount Small Audit Difference s SAD Nominal Amount Tolerable Error TE Tolerable Error TE Understand business and establish audit strategy 5. Develop the preliminary audit strategy

24. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 24 of 74 McGraw-Hill/Irwin 6. Understand and evaluate the flow of significant classes of transactions and sources of information and related control الخطوة الأولى في التنفيذ هي الاتفاق على نطاق التدقيق ومحوره مع المسؤول عن العملية. يجب أن يتم الاتفاق على نطاق التدقيق قبل البدء بأي عمل تدقيقي. يمكننا تحديد نطاق التدقيق من: 1. التأكد من تركيز أعمال التدقيق بشكل مناسب. 2. التأكد من وجود فهم موحد للمشروع بيننا وبين العميل. 3. توفير إرشاد واضح لفريق التدقيق. 4. التأكد من تحديد احتياجاتنا من الموارد. Understand business and establish audit strategy

25. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 25 of 74 McGraw-Hill/Irwin 6. Understand and evaluate the flow of significant classes of transactions and sources of information and related control فهم عمليات النشاطات: إن الأهداف الرئيسية لهذه العملية هي: 1. الحصول على فهم مفصل للعملية الرئيسية، وعند الحاجة، فهم العمليات المتفرعة، من أجل تحديد المخاطر التي قد تؤثر على محور التدقيق الداخلي (أهداف هذه العمليات) على مستوى وحدة قابلة للتدقيق. 2. تحليل العملية لتحديد فاعليتها. 3. في هذه الخطوة نقوم بعمل مقابلات أو ورشات عمل مع المسؤولين عن العملية ومع الموظفين، ونوثق ونؤكد على فهمنا باستخدام رسومات العمليات و / أو ملاحظات متكاملة. بعد ذلك نستخدم فهمنا لتحديد المخاطر كما هي مفصلة في العمليات الرئيسية. Understand business and establish audit strategy

26. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 26 of 74 McGraw-Hill/Irwin 6. Understand and evaluate the flow of significant classes of transactions and sources of information and related control بعد مراجعة نتائج المعلومات التي تم جمعها نقوم بتحديد: 1. ما هي المعلومات الإضافية المطلوبة عن العمليات الرئيسية. 2. ما هي العمليات المتفرعة التي تحتاج إلى تحليل إضافي. 3. ما هي المعلومات المطلوبة لكل عملية متفرعة. 4. من هم الأشخاص الذين نحتاج إلى لقائهم. Understand business and establish audit strategy

27. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 27 of 74 McGraw-Hill/Irwin 6. Understand and evaluate the flow of significant classes of transactions and sources of information and related control  هذه الخطوة حيوية للتأكد من عدم صرف وقت التدقيق بشكل غير كفء (مثلاً تدقيق العملية إلى مستوى تفصيل غير ضروري عند وجود خطر قليل نسبيا فيما يتعلق بعوامل النجاح الحيوية).  بالإضافة إلى المعلومات التي تم جمعها لفهم عمليات النشاطات، يمكن جمع معلومات إضافية عن طريق ما يلي: 1. مراجعة أدلة المؤسسةوالتعليمات المكتوبة الأخرى. 2. الاستفسار من موظفي المؤسسةالمناسبين (مسؤول العملية). 3. ملاحظة طرق التنفيذ والإجراءات المستخدمة. Understand business and establish audit strategy

28. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 28 of 74 McGraw-Hill/Irwin 6. Understand and evaluate the flow of significant classes of transactions and sources of information and related control يجب أن نميز بين ثلاث مستويات للرقابة:  رقابة استراتيجية: على المستوى الاستراتيجي نقوم بتحديد عوامل النجاح الحيوية للعمليات الرئيسية، وتحديد الأخطار المحيطة بالمؤسسة، وتحديد وضع أنظمة الرقابة الداخلية على مستوى المؤسسة، ونقوم بإعادة تقييم الملاحظات المتعلقة بالعمليات الرئيسية التي حصلنا عليها.  رقابة إدارية: نقوم بتقييم مفهوم الإدارة، والهيكل التنظيمي، والمعلومات الإدارية ودورة التخطيط والرقابة على العمليات الرئيسية. نناقش ونتأكد من أهداف النشاطات والاستراتيجيات للعمليات الأساسية والعمليات الرئيسية المرتبطة بها مع مسؤول العملية ونقوم بتحديد فيما إذا تم فصل هذه الأهداف بشكل مناسب يمكن فهمه على مستوى العمليات الرئيسية. هذا مهم لكي نتمكن من تقييم الأخطار على مستوى العملية الرئيسية. Understand business and establish audit strategy

29. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 29 of 74 McGraw-Hill/Irwin 6. Understand and evaluate the flow of significant classes of transactions and sources of information and related control  رقابة تشغيلية: على مستوى الرقابة التشغيلية سوف نقوم بتقييم تنظيم العمليات وإدارتها. من أجل فهم العمليات الرئيسية، من الضروري إعداد وصف للعملية. يجب أن يعطي وصف العملية صورة واضحة عن العملية والرقابة الموجودة عليها. نقوم بإعداد وصف للعملية باستخدام الكلمات والرسومات.  خلال وصف العملية يجب أن يتم إظهار الأمور التالية: 1. حدود النظام / حدود العملية. 2. مدخلات – مخرجات – مخرجات فرعية. 3. المعايير. 4. القياس / التعليمات / الرقابة. 5. الصلات / خطوط الاتصال. Understand business and establish audit strategy

30. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 30 of 74 McGraw-Hill/Irwin 6. Understand and evaluate the flow of significant classes of transactions and sources of information and related control  تحديد مواصفات كل عملية متفرعة وخصوصاً: 1. أهدافها وعوامل النجاح الحيوية. 2. تدفق المعلومات من العمليات الأخرى والوحدات الخارجية (زبائن، موردين) والوحدات الداخلية (دوائر، لجان، نشاطات). 3. كيفية النقل الرئيسي للمعلومات والتدفق اللاحق للمعلومات الخارجية من العملية للعمليات الأخرى، وللوحدات الخارجية وللوحدات الداخلية. 4. كيف يتم تخزين المعلومات في العملية. 5. عندما يكون ذلك مناسباً، تحديد كيفية تأثر العملية بتكنولوجيا المعلومات والموارد البشرية (الاعتماد على شخص أو مجموعة واحدة من الأشخاص). Understand business and establish audit strategy

31. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 31 of 74 McGraw-Hill/Irwin 7. Perform test of control  خلال مرحلة البحث الأولي، قمنا بتحديد المخاطر في عمليات النشاطات وفي العمليات المتفرعة والنشاطات المختلفة. في الخطوات السابقة، نقوم ببناء ووصف وتحليل وتقييم للرقابة الداخلية وعلاقتها بالأخطار التي تم تحديدها وتقييمها.  تحديد وفهم الإجراءات الرقابية: في هذه الخطوة، نقوم بتحليل آلية عمل أنظمة الرقابة الداخلية. ونقوم بتحديد الإجراءات الرقابية الخاصة بأخطار عمليات النشاطات، العمليات المتفرعة والنشاطات المختلفة.  من أجل تحديد الإجراءات الرقابية نستخدم مجموعة مما يلي: 1. مراجعة أدلة المؤسسة والتعليمات المكتوبة الأخرى. 2. معلومات من الموظفين المناسبين في المؤسسة(المشتركين في العملية). 3. ملاحظة طرق المعالجة والإجراءات المستخدمة. Understand business and establish audit strategy

32. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 32 of 74 McGraw-Hill/Irwin 7. Perform test of control  إجراء فحص أولي (Walk-through): من أجل التأكد من إجراءات الرقابة الداخلية، يتم استخدام الفحص الأولي. يتضمن الفحص الأولي ملاحظة آلية عمل العملية من النقطة التي تبدأ منها أنواع المعاملات الرئيسية وحتى نهاية عملية التسجيل. ويتضمن الفحص الأولي فحص الوثائق وطريقة تدفق المعلومات (بما فيها المعاملات المحاسبية) خلال العملية. ويهدف ذلك إلى تأكيد فهمنا لتصميم العملية والإجراءات الرقابية المرتبطة بها وتحديد فيما إذا كانت العملية تعمل وفقاً لتصميمها وتحديد فيما إذا كانت الإجراءات الرقابية التي تستخدم للقياس والرقابة على العملية قد تم تشغيلها. Understand business and establish audit strategy

33. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 33 of 74 McGraw-Hill/Irwin 7. Perform test of control  نقوم بهذا لتأكيد فهمنا حول: 1. تسلسل في العمليات الحيوية (البدء بالعملية والتسجيل وإجراءات المعالجة، وإعداد التقارير). 2. دقة المعلومات التي حصلنا عليها المتعلقة بالإجراءات الرقابية المانعة والكاشفة على العمليات الحيوية. 3. فيما إذا كانت الإجراءات الرقابية عاملة. 4. فيما إذا كانت الإجراءات الرقابية فعالة.  يحصل المدقق نتيجةً لهذه النشاطات على نظرة متفحصة للرقابة الداخلية في أنشطة العمليات.  يجب أن يتم توثيق كل اللقاءات التي تتم والاتفاق على هذا التوثيق مع الشخص الذي تتم المقابلة معه. في نهاية هذه الخطوة يجب توثيق الملاحظات الناجمة عن الفحص الأولي. Understand business and establish audit strategy

34. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 34 of 74 McGraw-Hill/Irwin 7. Perform test of control  تحليل وتقييم الرقابة الداخلية: في هذه الخطوة، يتم تحليل وتقييم الرقابة الداخلية. الهدف من هذا التحليل والتقييم هو التأكد فيما إذا كانت هناك رقابة على العملية وبكلمات أخرى أنه قد تم تغطية المخاطر.  يتم الحصول على تحليل وتقييم للرقابة الداخلية من خلال:  ملاحظة فيما إذا كانت الإجراءات الرقابية التي تم تحديدها والتأكد منها مبنية في العملية.  التأكد أن النشاطات تتم وفقاً لرقابة داخلية موثقة / مسجلة. نقوم بالتأكد من أن النشاطات تتم وفقاً للرقابة الداخلية من خلال الملاحظة في موقع العمل وإجراء مقابلات مع الموظفين.  التأكد من أن الرقابة الداخلية تناسب العملية بشكل يحقق الأهداف. نتأكد فيما إذا كانت النشاطات التي يتم عملها وفقاً لإجراءات الرقابة الداخلية ترتبط بالعملية. Understand business and establish audit strategy

35. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 35 of 74 McGraw-Hill/Irwin 7. Perform test of control  تُعطي المعلومات المتعلقة بالإجراءات الرقابية المبينة في خطة عمل المدقق الداخلي معلومات مهمة حول فاعلية الإجراءات الرقابية.  إذا لم يكن هناك رقابة داخلية، أو إذا كانت النشاطات لا تتم وفقاً للرقابة الداخلية الموثقة / المسجلة، يجب على المدقق الداخلي وصف ذلك في ملاحظاته. لجميع العمليات، كما يجب على المدقق الداخلي وصف فيما إذا كان هناك ضعف في أنظمة الرقابة وإلى أي مدى. بالإضافة إلى ذلك، يقوم المدقق الداخلي بوصف أنظمة الرقابة الداخلية التي لم يتم الإلتزام بها.  بالاعتماد على الملاحظات، يقوم المدقق الداخلي بإعداد استنتاجاته وتوصياته لكيفية التأكد من أن جميع إجراءات الرقابة الضرورية موجودة وملتزم بها. Understand business and establish audit strategy

36. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 36 of 74 McGraw-Hill/Irwin 7. Perform test of control  فحص أنظمة الرقابة الداخلية في الفقرة السابقة، قمنا بتعيين وتحديد فاعلية الرقابة في تخفيف الأخطار. هدفنا الآن هو تحديد أن الإجراءات الرقابية التي اعتبرت فعالة لمعالجة الأخطار الرئيسية في العملية تعمل وفقاً لتصميمها.  يمكن إنجاز ذلك عن طريق: 1. تحديد أي الإجراءات الرقابية سيتم فحصها. 2. تحديد كيفية فحص إجراءات الرقابة بما فيها استخدام الأسلوب التحليلي وحجم العينة. 3. تنفيذ فحص أنظمة الرقابة. 4. إعادة النظر في تقييمنا الأولي حول فاعلية الإجراءات الرقابية التي تم فحصها للتخفيف من الأخطار التي تم تحديدها.  بعد إتمام عملية الفحص، نقوم برفع أي قضية حول فاعلية عمل الإجراءات الرقابية للإدارة من أجل تطوير خطة عمل مناسبة. Understand business and establish audit strategy

37. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 37 of 74 McGraw-Hill/Irwin 7. Perform test of control  عند اتخاذ القرار حول أي من الإجراءات الرقابية سيتم فحصها، يجب أن نقوم بتحليل مدى جوهرية كل إجراء رقابة. بشكل نموذجي، نقوم بفحص فاعلية الإجراءات الرقابية الخاصة بالأخطار الجوهرية أما الإجراءات الرقابية الخاصة بالأخطار غير الجوهرية فلا نقوم بفحصها. نقوم باختيار الإجراءات الرقابية الرئيسية التي سيتم فحصها باستخدام الخطوط العريضة التالية: 1. الإجراءات الرقابية الفعالة: يجب أن يتم فحص الإجراءات الرقابية التي تعتبر فعالة للتخفيف من الأخطار الجوهرية. 2. الإجراءات الرقابية الفعالة عندما تعمل مع إجراءات رقابية أخرى: إذا كانت مجموعة من الإجراءات الرقابية فعالة لتخفيف الأخطار الجوهرية يجب أن يتم فحص كل إجراء رقابي فعال. Understand business and establish audit strategy

38. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 38 of 74 McGraw-Hill/Irwin 7. Perform test of control  الإجراءات الرقابية غير الفعالة: لا نقوم بفحص هذه الإجراءات الرقابية لأنها لا تساهم في تخفيف أخطار العملية. يساعدنا الفحص التفصيلي في تنفيذ توقعات عملائنا، ويؤدي إلى الحصول على ملاحظات إضافية، ويوفر لنا دليلاً حول فاعلية أو عدم فاعلية الإجراءات الرقابية بالإضافة لتأثيرها على العملية. Understand business and establish audit strategy

39. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 39 of 74 McGraw-Hill/Irwin 7. Perform test of control  تحديد طبيعة الفحص يجب أن نقوم بتحديد الطريقة الأكثر كفاءة وفعالية لإجراء فحصنا. يجب أن تعكس هذه الطريقة ما يلي: 1. الدليل المطلوب (نوعية ومدى) لتحديد أن الإجراءات الرقابية تعمل وفقاً لتصميمها. 2. نوع عملية النشاطات التي يتم مراجعتها (فحص عملية ذات حجم كبير من المعاملات المتكررة كمعالجة الادعاءات قد يتطلب طريقة فحص مختلفة عن عملية ذات حجم أعمال بسيط مثل البحث والتطوير). Understand business and establish audit strategy

40. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 40 of 74 McGraw-Hill/Irwin 7. Perform test of control  تحديد مدى الفحص يستخدم الحكم المهني لاختيار حجم العينة الأنسب بالاستناد إلى خبرة التدقيق، تقييم المخاطر، طبيعة الإجراءات، وإلى حجم الدليل المطلوب. عند تحديد مدى الفحص يجب أخذ العوامل التالية في الاعتبار: 1. إلى أي مدى يتكرر الإجراء الرقابي؟ كلما قلّ التكرار في الإجراء الرقابي يقلّ حجم العينة المطلوبة لتحديد أن الإجراء الرقابي يعمل وفقاً للتصميم. 2. ما هو نوع الدليل الناتج عن الإجراء الرقابي؟ إذا نتج عن الإجراء الرقابي دليل مباشر بسيط أو لم ينتج دليل يؤكد أن الإجراء الرقابي يعمل وفقاً لما هو مفترض (توقيع المسؤول على طلب الشراء) قد لا يوفر فحصنا الدليل المطلوب بأن الإجراء الرقابي يعمل. قد نقرر استخدام دليل مقنع أكثر على أساس محدود Understand business and establish audit strategy

41. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 41 of 74 McGraw-Hill/Irwin 7. Perform test of control 3.ما هو أثر الخطر الذي قد ينتج؟ يرتبط حجم الخطأ بشكل مباشر بحجم الفحص. يجب إعطاء أهمية لمجموعة الإجراءات الرقابية على خطر معين عند تحديد حجم العينة. إذا كان هناك إجراءات رقابية أخرى على الخطر، قد يؤدي ذلك إلى فحص أقل لكل إجراء رقابي على حدى. الأمور الأخرى التي يجب أخذها بالاعتبار هي التعقيد وحجم المعاملات. 4.ما هي فعالية البيئة الرقابية؟ قد تؤثر البيئة الرقابية على فعالية عمل إجراء رقابي محدد. يجب الأخذ بعين الاعتبار احتمال ما يلي: 5.تجاوز الإجراءات الرقابية خلال فترات الضغط. 6.تجاوز الإجراءات الرقابية من قبل الإدارة. 7.استمرار عمل الإجراء الرقابي كما هو مخطط له. Understand business and establish audit strategy

42. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 42 of 74 McGraw-Hill/Irwin 7. Perform test of control  ما هي الخبرات السابقة عن الإجراء الرقابي؟ إذا كان هناك خروج عن الإجراء الرقابي في السابق يجب أن يكون حجم العينة أكبر من أجل تحديد أن الإجراء الرقابي يعمل الآن كما يجب. يجب أن يتم اختيار عينة الإجراءات الرقابية التي سيتم فحصها قبل البدء بالفحص ولا يجوز تغيير العينة التي تم اختيارها فقط لأن النتائج غير متوقعة. قد نقوم باستخدام أدوات تحليلية لاختيار العينة (على سبيل المثال كل المعاملات فوق مبلغ محدد). Understand business and establish audit strategy

43. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 43 of 74 McGraw-Hill/Irwin 7. Perform test of control  إعداد والحصول على موافقة على برنامج التدقيق. نقوم بإعداد برنامج التدقيق الذي يبين ما يلي: 1. الإجراءات الرقابية التي سيتم فحصها. 2. طبيعة الفحص. 3. حجم العينة ومصدر المعلومات التي سيتم فحصها.  هناك العديد من الأشكال المقبولة لبرامج التدقيق شريطة أن يتم وضع الأمور الواردة أعلاه في البرنامج. يجب أن تتم مراجعة برنامج التدقيق واعتماده من قبل الشخص المسؤول عن التدقيق قبل البدء بعملية الفحص. Understand business and establish audit strategy

44. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 44 of 74 McGraw-Hill/Irwin 7. Perform test of control  تنفيذ الفحص يجب أن يتم تنفيذ الفحص وفقاً لبرنامج التدقيق. تهدف كل خطوة في الفحص لتحديد فيما إذا كان الإجراء الرقابي وفقاً لفهمنا يعمل كما خطط له. عند القيام بفحص الإجراءات الرقابية، من الضروري القيام بشكل مستمر بالسؤال هل يمكن أن يحدث الخطر إذا كان الإجراء الرقابي يعمل وفقاً لم تم تصميمه؟ عند القيام بكل فحص، نتأكد بأنه تم الحصول على دليل كافٍ يمكن الاعتماد عليه لتأكيد أن الإجراء الرقابي يعمل كما صمم له. Understand business and establish audit strategy

45. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 45 of 74 McGraw-Hill/Irwin 7. Perform test of control  تقييم النتائج نقوم بالاستنتاج فيما إذا كان الإجراء الرقابي يعمل وفقاً للتصميم وفعالاً في التخفيف من كل خطر. ونقوم بتحديد تأثير الإجراء الرقابي الذي لا يعمل وفقاً للتصميم. ونأخذ بعين الاعتبار استخدام التحليل لتحديد الأثر على المجتمع الإحصائي، إذا كان ذلك مطبقاً. على سبيل المثال إذا تم تحديد أن إجراء رقابي ما يهدف لمنع الدفع مرتين لا يعمل كما صمم له، قد نقوم باستخدام أدوات تحليلية مثل لغة أوامر التدقيق (ACL) لتحديد إذا ما كان هناك دفعات مكررة وأثرها. Understand business and establish audit strategy

46. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 46 of 74 McGraw-Hill/Irwin 7. Perform test of control نموذج عملي Understand business and establish audit strategy

47. Copyright © 2006. The McGraw-Hill Companies, Inc.McGraw-Hill/Irwin 47 of 74 McGraw-Hill/Irwin 7. Perform the risk assessments and develop substantive audit procedures نموذج عملي Understand business and establish audit strategy