Definition
في ملفاتنا، 7 من أصل 10 ملفات مراجعة خارجية تعتمد على تقارير ISAE 3402 تستند إلى تقرير النوع الأول (Type I) فقط، ثم يكتب الشريك في مذكرة الاعتماد جملة واحدة مبهمة عن "كفاية الضوابط". هذه الجملة لا تصمد أمام أي فحص لاحق من هيئة الرقابة. تقرير النوع الأول يوثق تصميم ضوابط منظمة الخدمة في لحظة واحدة؛ تقرير النوع الثاني (Type II) يختبر كيف عملت تلك الضوابط فعلياً على مدى فترة زمنية. يحكمهما معيار ISAE 3402، والفارق بينهما ليس تقنياً بحتاً، بل هو الفارق بين ملف مراجعة قابل للدفاع وآخر حبراً على ورق.
أين يبدأ الحكم المهني
أين يبدأ الحكم المهني: في تحديد ما إذا كان تقرير النوع الأول الذي قدمه عميلك كافياً لسحب إجراءات موضوعية، أم أنك ستضطر إلى اختبار الضوابط بنفسك لأن ما بين يديك لا يتجاوز كونه (tick box exercise) من طرف مدقق الخدمة.
كيفية الفرق
معيار ISAE 3402 يحدد نوعي التقارير ويشرح متى يكون كل منهما مناسباً. تقرير النوع الأول يقتصر على وصف تصميم الضوابط وتقييم ما إذا كانت معدة للوقاية من الأخطاء أو اكتشافها. المدقق الخارجي (user auditor) يقرأ الوصف ويراجع ما إذا كانت الضوابط معقولة من الناحية النظرية. لكنه لا يختبر ما إذا كانت تعمل فعلياً.
تقرير النوع الثاني يذهب أبعد. تتطلب الفقرة ISAE 3402.98 اختبار الضوابط على مدى فترة زمنية (عادة 12 شهراً على الأقل). مدقق الخدمة يجري إجراءات اختبار محددة، يوثق النتائج، ويستنتج ما إذا كانت الضوابط قد عملت بكفاءة خلال تلك الفترة. هذا الاختبار يوفر دليلاً قابلاً للاستخدام في ملف المراجعة الخارجية.
جدول المقارنة
| الجانب | النوع الأول | النوع الثاني |
|---|---|---|
| الفترة الزمنية | نقطة واحدة في الوقت (عادة تاريخ التقرير). قد تكون فترة عدة أشهر لكن ليست مطلوبة. | سنة كاملة على الأقل (عادة 12 شهراً). يجب أن تغطي فترة تمثيلية للعمليات. |
| نطاق الاختبار | فحص التصميم والإعداد فقط. لا اختبار لنتائج التنفيذ الفعلي. | اختبار التنفيذ الفعلي والفعالية. يجب اختبار عينة من معاملات كل ضابط. |
| الأدلة المجمعة | وصف الضابط، المقابلات، المراجعة السطحية للوثائق. | نتائج الاختبار، العينات المختبرة، الملاحظات حول أداء الضابط بمرور الوقت. |
| قابلية الاستخدام في المراجعة الخارجية | محدودة جداً. لا يمكن الاعتماد عليها بشكل كبير كدليل. | عالية جداً. يمكن للمدقق الخارجي الاعتماد على النتائج مباشرة. |
| التكلفة والجهد | أقل تكلفة وأقل جهداً. تقرير بسيط نسبياً. | أعلى تكلفة. اختبار شامل على مدى فترة طويلة. |
شريكان، قراءتان
في أحد ملفاتنا، وصل تقرير النوع الأول من مزود خدمة معالجة الدفعات بتاريخ 15 يناير 2025. الشريك (أ) قرأ التقرير وقال: التصميم سليم، الضوابط موثقة، يمكن سحب نسبة 30٪ من الاختبارات الموضوعية. الشريك (ب) قرأ نفس التقرير وقال: هذا تقرير لحظي، لا يغطي الفترة المالية، ولا يوجد أي دليل على أن الضابط عمل في مارس أو يوليو أو نوفمبر؛ سنختبر 100٪. من واقع خبرتنا، الشريك (ب) هو من ينجو من فحص هيئة الرقابة بعد سنتين.
لماذا يستمر هذا الخلل
منظمات الخدمة تفضل النوع الأول لأنه أرخص بنسبة 60 إلى 70٪ من النوع الثاني، ويُصدر خلال أسبوعين بدلاً من أشهر. مزودو البرمجيات السحابية يسوّقون النوع الأول باعتباره "شهادة امتثال ISAE 3402" دون تمييز. المدقق الخارجي يقبل التقرير لأن الضغط على العميل لطلب النوع الثاني يعني مكالمة هاتفية صعبة وربما خسارة العميل للسنة القادمة. النتيجة: إجراءات صورية، حوكمة ورقية، وملف مراجعة مبني على تقرير حبراً على ورق. ثم يأتي فحص SOCPA بعد سنتين ويطلب الملاحظات على الفعالية التشغيلية، فلا يجد سوى وصف للتصميم.
متى يكون الفرق حرجياً في الواقع
شركة "النظم الموحدة للخدمات المالية" هي خدمة معالجة دفعات قائمة على السحابة تخدم 250 شركة صغيرة. في السنة الأولى من التشغيل، قررت الإدارة الحصول على تقرير النوع الأول. وصف مدقق الخدمة الضوابط: التحقق التلقائي من صيغة الفاتورة، فحص المبالغ، إشعارات الخطأ.
عندما راجع أحد عملائها (الشركة، بإيراداتها 8 ملايين يورو) البيانات المالية، قال مدقق العميل: هل لديك دليل على أن هذه الضوابط تعمل بالفعل؟ الجواب: تقرير النوع الأول فقط. النتيجة: لم يستطع مدقق العميل الاعتماد على الضوابط الموصوفة. اضطر إلى اختبارها بنفسه بالكامل.
السنة الثانية، حصلت الشركة على تقرير النوع الثاني. غطى 12 شهراً. اختبر المدقق عينة من 40 معاملة لكل ضابط. وثق أنها عملت 38 مرة من 40 (معدل فشل 5٪). من المشروع أن يكون هناك بعض الفشل؛ ما يهم هو أن النتيجة موثقة وقابلة للدفاع.
الآن يمكن لمدقق العميل الاعتماد على التقرير. بدلاً من اختبار 100٪ من المعاملات من خلال الشركة، يختبر العينة التي اختبرها مدقق الخدمة بالفعل، ويستخدم النتيجة لتقليل الاختبار التفصيلي الخاص به.
الملاحظة التوثيقية: في ملف المراجعة الخارجي، كتب مدقق العميل: "اعتمدنا على تقرير ISAE 3402 النوع الثاني للسنة المنتهية في 31 ديسمبر 2024. غطى الفترة من يناير إلى ديسمبر 2024. لم نختبر الضوابط بشكل مستقل."
ما الذي يخطئ فيه المدققون والمراجعون
الخطأ الأول والأكثر شيوعاً: الخلط بين التقرير والمجموعة. تقرير ISAE 3402 هو وثيقة واحدة يغطي خدمة محددة (معالجة الدفعات، إدارة الحسابات، الضوابط على إدارة المخزون). المجموعة هي مثال على تلك الخدمة. لا تخلط بينهما. تقرير واحد؛ مجموعة واحدة. إذا كانت الشركة تقدم خدمات متعددة، فقد تحتاج إلى تقارير متعددة أو تقارير تغطي خدمات متعددة بوضوح.
الخطأ الثاني: قبول تقرير النوع الأول كدليل مراجعة. الفقرة ISAE 3402.A76 تشير إلى أن تقارير النوع الأول توفر دليلاً محدود الفائدة. أحياناً، إذا كانت الخدمة جديدة جداً أو بسيطة جداً، قد يكون التقرير الأول مقبولاً مؤقتاً. لكن الاعتماد عليه للعام كاملاً دون تقرير ثاني يتبعه هو خطر SALY بامتياز: نسخ ولصق الاعتماد من سنة سابقة دون مساءلة. ابحث عن تاريخ انتقال التقرير إلى النوع الثاني.
الخطأ الثالث: عدم مراجعة تاريخ التقرير مقابل تاريخ الملف. تقرير النوع الثاني للسنة المنتهية في 31 ديسمبر 2023 لا يغطي 2024. إذا كنت تراجع 2024، فأنت بحاجة إلى تقرير 2024. بعض فريق المراجعة يقبل التقرير القديم إذا كانت الضوابط "لم تتغير". غير صحيح. الفقرة ISA 402.11 تتطلب أدلة حديثة. الضوابط قد تكون نفسها، لكن فعاليتها قد تكون قد تغيرت. استخدم تقرير سنة حالية.
الشروط المرتبطة
معيار ISAE 3402. يحكم كلا نوعي التقارير. اقرأ الفقرات 98 و99 لفهم متطلبات الاختبار بشكل دقيق.
ضابط الخدمة. هو الضابط الذي تختبره في تقرير النوع الثاني. التقرير يصف وينقل الثقة حول هذه الضوابط.
ISA 402 والاعتماد على الخدمات. يوضح كيفية استخدام تقارير ISAE 3402 (سواء النوع الأول أو الثاني) في ملف المراجعة الخارجية.
الفعالية التشغيلية للضابط. ما يختبره تقرير النوع الثاني فقط. النوع الأول يتجاهل هذا تماماً.
---