معلومات موضوع المراجعة

كيف تعمل العلاقة بين موضوع المراجعة ومعلوماته والمعايير

أبدأ بالتمييز الذي يضيع كثيراً في الممارسة. موضوع المراجعة (Subject Matter) هو الواقع الأساسي محل الفحص: نشاط الشركة في إدارة الانبعاثات، أو فاعلية الرقابة الداخلية، أو الأداء المالي للسنة. أما معلومات موضوع المراجعة (SMI) فهي ما تنتجه الإدارة من قياس أو وصف لذلك الواقع: تقرير الانبعاثات بأرقامه، أو وصف الإدارة لتصميم الرقابة، أو البيانات المالية. والمعايير (Criteria) هي المسطرة التي تُقاس بها المعلومة لإنتاج الاستنتاج.

ISAE 3000 المعدَّل يعالج هذه العناصر الثلاثة بوصفها كتلة واحدة، ويشترط في الفقرة .24 أن تكون المعايير ملائمة ومتاحة للمستخدمين المستهدفين. وتزيد الفقرات .24 إلى .40 من تفصيل هذه الملاءمة: الصلة، الاكتمال، الموثوقية، الحياد، والقابلية للفهم. لكن الذي يحدث على أرض الممارسة شيء آخر.

من واقع خبرتنا، يفتح المدقق خطاب الارتباط، فيجد فقرة معايير منسوخة من قالب المكتب، تشير إلى "المعايير الداخلية للمنشأة" أو "إطار التقرير المعتمد من الإدارة"، ويمضي في الاختبار. لا أحد يسأل: هل هذه المعايير تناسب فعلاً ما يُبلَّغ عنه؟ هذا ما أسميه "إجراءات صورية" — معايير اعتُمدت ولم تُختبر للملاءمة قط، وتحمل وزن الاستنتاج كله.

أرى هذا بوضوح خاص في ارتباطات الاستدامة وقياس مؤشرات الأداء (KPIs). الإدارة تأتي بمنهجية داخلية لقياس الانبعاثات، أو احتساب نسبة دوران الموظفين، أو تتبّع رضا العملاء، ويقبلها المدقق على أنها "متاحة" بمفهوم ISAE 3000، فينتقل إلى الاختبار. لكن المعايير المتاحة ليست بالضرورة معايير ملائمة. هذا تمييز جوهري، والخلط بينهما هو السبب في أن كثيراً من تقارير ISAE 3000 لا تصمد أمام فحص جاد.

مثال عملي: ارتباط تأكيد على انبعاثات الغازات الدفيئة

العميل: شركة صناعية تابعة لمجموعة سعودية، تنشر تقرير استدامة طوعياً، إيرادات 480 مليون ريال، السنة 2025، مُبلِّغة وفق "منهجية الانبعاثات الموحَّدة" التي وضعتها إدارة الاستدامة الداخلية.

الخطوة 1: تحديد العناصر الثلاثة بدقة

موضوع المراجعة: نشاط المنشأة في توليد وإدارة انبعاثات الغازات الدفيئة (GHG) خلال 2025. معلومات موضوع المراجعة (SMI): تقرير الانبعاثات المنشور في الصفحات 22 إلى 31 من تقرير الاستدامة، الأرقام الكمية بالطن المكافئ من ثاني أكسيد الكربون. المعايير المطبقة: المنهجية الداخلية الموحَّدة للمجموعة، مع إشارة إلى بروتوكول GHG كمرجع عام.

ملاحظة التوثيق في ملف التخطيط: "العناصر الثلاثة محددة. المعايير وضعتها الإدارة داخلياً وأشارت إلى GHG Protocol كمرجع عام دون تطبيق كامل."

الخطوة 2: اختبار ملاءمة المعايير وفق ISAE 3000.24

هنا تبدأ المهنية الحقيقية. الفقرة .24 تُلزمني بأن أُقيِّم: هل المنهجية الداخلية تستوفي خصائص المعايير الملائمة؟ في القراءة الأولى للمنهجية، اكتشفت أنها تغطي Scope 1 و Scope 2 بتفصيل، لكنها تستثني Scope 3 صراحةً، رغم أن سلسلة التوريد تمثّل جزءاً جوهرياً من بصمة المنشأة.

هذا يفتح سؤالاً لا مفرّ منه: هل معايير تستثني جزءاً جوهرياً من الواقع تُعدّ مكتملة بمفهوم الفقرات .24-.40؟ في رأيي لا، لأن خاصية الاكتمال (Completeness) تتطلب أن تُغطي المعايير كل ما هو ذو صلة بقرار المستخدم المستهدف، وتقرير لا يتضمن Scope 3 يُعطي صورة جزئية للقارئ المهتم بالأثر المناخي.

الخطوة 3: ماذا يفعل الممارس عند هذه النقطة؟

أمامي ثلاثة مسارات، وكل واحد منها له تبعات حقيقية. المسار الأول: تعديل الاستنتاج بفقرة تأكيد إضافية أو تحفّظ يوضح أن المعايير المطبقة تستثني Scope 3. المسار الثاني: الانسحاب من نطاق Scope 3 صراحةً في خطاب الارتباط وفي التقرير، فيقتصر الاستنتاج على Scope 1 و 2. المسار الثالث: العودة إلى الإدارة وطلب تعديل المعايير لتشمل قياساً تقريبياً لـ Scope 3، حتى لو بمستوى تأكيد محدود.

ما اخترته في هذا الارتباط هو مزيج من الثاني والثالث: قَصْر الاستنتاج رسمياً على Scope 1 و 2، مع ملاحظة في تقرير التأكيد توضح أن المعايير لا تغطي Scope 3 وأن المنشأة تعمل على تطويرها للسنة المقبلة. هذا قرار قابل للنقاش، وأعرف ممارسين محترمين كانوا سيختارون المسار الأول.

ملاحظة التوثيق: "تم تقييم ملاءمة المعايير وفق ISAE 3000.24-.40. الاستنتاج: المعايير ملائمة في حدود ما تغطيه، ولكنها غير مكتملة لاستثنائها Scope 3. القرار: قَصْر النطاق وإفصاح صريح. تمت الموافقة من الشريك. التاريخ: [التاريخ]."

الخطوة 4: التوثيق الذي يحمي الاستنتاج

ملف الارتباط يجب أن يحوي ثلاث وثائق على الأقل: تقييم مكتوب لملاءمة المعايير، نقاش موثَّق مع الإدارة حول الفجوات المكتشفة، وقرار الشريك بشأن المسار المختار. هذا ما يميّز ملفاً يصمد أمام فحص SOCPA عن ملف يبدو منظماً ولكنه فارغ مهنياً.

ما الذي يخطئ فيه الممارسون فعلاً

هنا أنتقل من الحالة المثالية إلى ما أراه يتكرر في ملاحظات الفحص.

الخلط بين موضوع المراجعة ومعلوماته

الممارس يكتب في خطاب الارتباط: "موضوع المراجعة هو تقرير الانبعاثات للسنة المنتهية في 31 ديسمبر 2025". هذا خطأ تعريفي. تقرير الانبعاثات هو SMI، وليس موضوع المراجعة. موضوع المراجعة هو نشاط المنشأة في توليد الانبعاثات. الفرق ليس لفظياً، لأنه يحدد ما الذي يُختبر وما الذي يُستنتج بشأنه. عندما يخلط الملف بينهما، تنهار سلسلة الاستنتاج.

قبول المعايير لمجرد توفّرها

الفقرة .24 تتحدث عن معايير ملائمة، ليس عن معايير "متاحة" فقط. لكن في ممارستي، أرى ملفات تستشهد بأن المنهجية الداخلية للمنشأة "متاحة للمستخدمين المستهدفين" وكأن ذلك يكفي. الإتاحة شرط، لا غاية. المعايير قد تكون متاحة ومنشورة على موقع المنشأة، ولا تستوفي خصائص الملاءمة المطلوبة في الفقرات .24-.40. حسب خبرتي في هذا المجال، هذا أكثر مصدر لإعادة فتح الملفات في فحوصات SOCPA لارتباطات التأكيد.

التعامل مع المعايير كبند روتيني في خطاب الارتباط

في تطرف كبير مني أقول: معظم خطابات ارتباط ISAE 3000 التي أراها تنسخ فقرة المعايير حرفياً من ارتباط سابق، ولا أحد يفتح هذه الفقرة قبل التوقيع. هذا ما أسميه "حبراً على ورق" — نص يبدو ملزماً ولا يلزم أحداً فعلاً، لأن الفريق لم يقرأه ولم يختبره ولم يتأكد من ملاءمته للارتباط الحالي.

خلط المسؤول عن المعلومة بمعدّها

ISAE 3000 يميّز بدقة بين الطرف المسؤول (Responsible Party) ومعدّ المعلومة. الإدارة قد تُعدّ تقرير الانبعاثات، لكن المسؤول عنه ربما يكون مجلس الإدارة أو لجنة الاستدامة. الملفات التي تخلط بين الاثنين تُضعف الحوكمة الورقية للارتباط، لأن التوثيق يصبح غير قادر على الإجابة عن سؤال: من يملك سلطة تصحيح هذه المعلومة لو ظهر خطأ جوهري؟

نقاش مهني: هل نقبل معايير المنشأة أم ندفع نحو مرجع مستقل؟

هذا خلاف مهني حقيقي بين ممارسين أحترمهم. يقول بعض الزملاء إن الـ SMI ما دامت قابلة للفحص (Auditable)، فمسألة المعايير محلولة، ويكفي توثيق أن الإدارة وضعتها وأنها متاحة. لا أتفق مع هذا الموقف، لأن قابلية الفحص ليست بديلاً عن الملاءمة. أستطيع أن أفحص أي رقم وأقدّم استنتاجاً عنه، لكن إن كانت المعايير لا تناسب موضوع المراجعة، فالاستنتاج لن يخدم المستخدم المستهدف، بل سيُضلّله.

الموقف المقابل له منطقه: في ارتباطات كثيرة، خاصة الاستدامة وKPIs الإدارية، لا يوجد مرجع مستقل واضح. الممارس مضطر للتعامل مع ما تضعه المنشأة. وهذا صحيح جزئياً. لكن حتى في هذه الحالات، دور المدقق ليس قبول المعايير الموضوعة بل اختبار ملاءمتها وفق .24-.40، وحين تَقصُر، إما تعديلها أو تعديل الاستنتاج. القبول الصامت ليس خياراً مهنياً.

من وجهة نظري المتواضعة، الممارس الذي يدفع باتجاه مرجع مستقل (GHG Protocol كاملاً، GRI، ESRS) كلما أمكن، يحمي ارتباطه من ملاحظات الفحص ويحمي المهنة من التحوّل إلى ختم على ما تختاره الإدارة.

لماذا تتعامل معظم ارتباطات ISAE 3000 مع المعايير كخانة تُملأ

السبب الأول ضغط الأتعاب. اختبار ملاءمة المعايير وفق .24-.40 يستهلك وقتاً حقيقياً، ولا يظهر في فاتورة العميل كبند منفصل. السبب الثاني، وهو الأخطر، ما أسميه أثر المنهجية كدرع: حين يستخدم المكتب قالباً موحداً لخطاب الارتباط، تصبح فقرة المعايير المنسوخة هي الإجابة الفعلية بصرف النظر عن ملاءمتها للارتباط الحالي. القالب يحمي الفريق من سؤال "لماذا قبلت هذه المعايير؟" لأن الإجابة الجاهزة هي "لأن القالب يقول كذا".

هذا يُنتج ارتباطات تبدو متينة شكلياً وفارغة جوهرياً. الفقرات منقولة، والمعايير مذكورة، والاستنتاج صادر، ولكن لو سألت الممارس: "اشرح لي لماذا هذه المعايير ملائمة لهذا الارتباط بالذات؟" لن يستطيع الإجابة دون العودة إلى الملف ومحاولة بناء مبرر بأثر رجعي.

أعتقد أن السنوات القادمة ستكون قاسية على هذا النمط، خاصة مع توسع ESG وارتباطات التأكيد على البيانات غير المالية. الجهات المستفيدة باتت تقرأ تقارير التأكيد بعناية أكبر، وملاحظة فحص واحدة على ملاءمة المعايير قد تُكلّف المكتب ارتباطه التالي مع نفس العميل.

شروط مرتبطة

الإطار المعياري للتأكيدات — الإطار الأوسع الذي يُعرّف العلاقة بين موضوع المراجعة، ومعلوماته، والمعايير، والأطراف المعنية في ارتباطات ISAE 3000.

معايير مناسبة — الخصائص الخمس (الصلة، الاكتمال، الموثوقية، الحياد، القابلية للفهم) التي يشترطها ISAE 3000.24-.40 في المعايير المطبقة.

استنتاج التأكيد — الحكم المهني الذي يُصدره الممارس حول SMI، ويعتمد سلامته كلياً على ملاءمة المعايير المختبرة.

المسؤول عن المعلومة — الطرف الذي يحمل مسؤولية موضوع المراجعة، وقد يختلف عن الجهة التي أعدّت المعلومة فعلياً.

البيانات المالية — أحد أشكال SMI في ارتباطات التدقيق المالي، حيث المعايير عادةً IFRS أو SOCPA، والمسؤول عادةً مجلس الإدارة.

---