إنتقل إلى المحتوى الرئيسي
الإصدار: 1.0.0

مسار التدقيق إلى التقييم والمخاطر

استخدم هذا المسار عندما يؤدي التدقيق إلى نتيجة مرتبطة بضابط فاشل داخل تقييم.

  1. يجهز مسؤول الحساب المستخدمين والأدوار والإدارات والمسميات الوظيفية والأطر والضوابط والأصول والمخاطر والسياسات.
  2. ينشئ مالك الضابط أو مسؤول الامتثال التقييم.
  3. يتم إسناد ضوابط التقييم إلى الملاك.
  4. يقيم الملاك كل ضابط ويرفعون الأدلة.
  5. ينشئ المدقق تدقيقاً ويربطه بالتقييم.
  6. ينشئ المدقق النتائج ويربط كل نتيجة بالضابط الفاشل داخل التقييم.
  7. لا تغلق النتيجة مباشرة: النتيجة الجوهرية تحتاج إلى قضية أو خطر مرتبط، ويجب رفع دليل معالجة، وإجراء الإغلاق يعني الإرسال للتحقق.
  8. يتحقق المدقق من النتيجة.
  9. عند التحقق، يعاد فتح الضابط المرتبط فقط لإعادة التقييم، وتعود حالته إلى لم يتم التقييم، ويحدد تاريخ استحقاق لإعادة التقييم الموجهة.
  10. إذا كان التقييم مكتملاً أو مغلقاً، يعاد إلى قيد التنفيذ بسبب الضابط المتأثر.
  11. يعيد مالك الضابط تقييم الضابط المتأثر فقط ويرفع الدليل المحدث.
  12. حفظ إعادة التقييم يزيل علامة إعادة التقييم.
  13. بعد ذلك يمكن تحديث أو إغلاق الخطر أو المعالجة أو القضية بناءً على حالة الضابط المصححة.

هذا المسار يمنع إنشاء تقييم كامل جديد عند فشل ضابط واحد، ويحافظ على الترابط بين التدقيق والامتثال والمخاطر.

أدلة تشغيل حالات الاستخدام من البداية إلى الإغلاق

هذه الأدلة مخصصة لمسؤولي العملاء الذين يديرون أعمال الحوكمة والمخاطر والامتثال والتدقيق والسياسات والموردين والتقارير داخل مساحة إدارة SaaS. تركز الأدلة على التشغيل العملي، والمسؤوليات، والقرارات، والأدلة، والإغلاق.

استخدم هذه الأدلة عندما تحتاج إلى تنفيذ دورة عمل كاملة، وليس مجرد تحديث صفحة واحدة.

1. تنفيذ تقييم امتثال من البداية إلى الإغلاق

الغرض

استخدم هذا الدليل لتخطيط تقييم الامتثال وإطلاقه ومتابعته ومراجعته وإغلاقه. الهدف هو الوصول إلى موقف امتثال موثوق مدعوم بالأدلة، مع ملاك واضحين، واستثناءات مراجعة، ومعالجات متفق عليها للفجوات.

المتطلبات السابقة

  • اعتماد نطاق التقييم، مثل الإدارة أو العملية أو الموقع أو المنتج أو الخدمة.
  • اختيار الإطار أو المعيار أو مجموعة الضوابط الداخلية المناسبة.
  • تحديد مالك التقييم وملاك الضوابط والمراجعين والمعتمدين.
  • فهم تواريخ الاستحقاق وتوقعات المراجعة وقواعد التقييم ومتطلبات الأدلة.
  • توفر نتائج التقييمات السابقة والمشكلات والمخاطر ونتائج التدقيق والاستثناءات المقبولة ذات الصلة.

الخطوات

  1. أنشئ التقييم بعنوان واضح ونطاق ومالك وفترة تقييم وتاريخ استحقاق ومراجع.
  2. اختر مجموعة الضوابط أو المتطلبات التي تنطبق على نطاق التقييم.
  3. أسند كل ضابط أو متطلب إلى المالك الصحيح. لا تسند كل البنود إلى شخص واحد إلا إذا كان هو المالك الفعلي للردود.
  4. أكد خيارات الرد المستخدمة، مثل ممتثل أو ممتثل جزئيا أو غير ممتثل أو غير منطبق أو لم يتم التقييم.
  5. أضف تعليمات لجودة الأدلة، بما في ذلك نوع المستند أو الاعتماد أو السجل أو التفسير المتوقع.
  6. أطلق التقييم وأبلغ الملاك بتواريخ الاستحقاق والتوقعات.
  7. تابع تقدم الإنجاز حسب المالك ومجموعة المتطلبات وتاريخ الاستحقاق.
  8. راجع الردود المقدمة من حيث الاكتمال والاتساق وجودة الأدلة.
  9. أعد الردود الضعيفة للتوضيح عندما لا يدعم الدليل الإجابة.
  10. ضع علامة المراجعة فقط عندما يكون الرد والتفسير والدليل كافيين.
  11. لكل بند غير ممتثل أو ممتثل جزئيا، قرر هل يتحول إلى خطر أو مشكلة أو نتيجة تدقيق أو استثناء سياسة أو فجوة مقبولة.
  12. أكد ملاك المعالجة وتواريخ الاستهداف للفجوات التي تتطلب إجراء.
  13. راجع نتيجة الامتثال الإجمالية والفجوات الرئيسية والردود المتأخرة والردود غير المدعومة.
  14. احصل على اعتماد المراجع المسؤول أو مالك الحوكمة.
  15. أغلق التقييم فقط بعد اكتمال الردود والمراجعات والقرارات وسجلات المتابعة المطلوبة.

القرارات

  • هل نطاق التقييم محدد بما يكفي لإنتاج نتائج مفيدة؟
  • هل كل رد مدعوم بدليل أو تفسير واضح؟
  • هل يجب معالجة الفجوة أو قبولها أو تصعيدها أو إعادة تصنيفها؟
  • هل توجد ردود مصنفة كغير منطبقة من دون سبب قابل للدفاع؟
  • هل يمكن إغلاق التقييم مع وجود معالجة مفتوحة، أم يجب إكمال المعالجة أولا؟

المخرجات

  • تقييم مكتمل بردود تمت مراجعتها.
  • نتيجة امتثال أو موقف امتثال حسب النطاق.
  • أدلة مرفقة أو مشار إليها للمتطلبات المهمة.
  • قائمة بالبنود غير الممتثلة والممتثلة جزئيا وغير المنطبقة.
  • مخاطر أو مشكلات أو نتائج تدقيق أو استثناءات أو إجراءات متابعة.
  • اعتماد الإغلاق وسجل التقييم.

المتابعة

  • متابعة تقدم المعالجة حتى تحقيق تواريخ الاستهداف.
  • مراجعة الفجوات المقبولة في تاريخ المراجعة التالي.
  • مقارنة النتائج مع التقييمات السابقة لتحديد تغير الاتجاهات.
  • استخدام النتائج في تقارير الإدارة وتجهيزات التدقيق.
  • جدولة دورة التقييم التالية قبل أن تصبح الأدلة الحالية قديمة.

الأخطاء الشائعة

  • البدء قبل تأكيد الملاك والنطاق.
  • قبول إجابات نعم أو لا من دون دليل.
  • استخدام غير منطبق كاختصار للمتطلبات الصعبة.
  • إغلاق التقييم مع بقاء قرارات رئيسية بلا حسم.
  • إنشاء سجلات متابعة مكررة للفجوة نفسها.
  • عرض نتيجة امتثال من دون شرح البنود غير المدعومة أو المستبعدة.

2. تحويل عدم الامتثال إلى خطر أو مشكلة أو نتيجة تدقيق

الغرض

استخدم هذا الدليل عندما يكشف تقييم أو مراجعة أو حادث أو تدقيق عن عدم امتثال، ويجب على المسؤول اختيار سجل المتابعة الصحيح. الهدف هو حفظ سياق الامتثال مع تحديد المالك الصحيح ودرجة الخطورة وتاريخ الاستحقاق ومسار الحوكمة.

المتطلبات السابقة

  • توثيق المتطلب غير الممتثل بوضوح.
  • وجود دليل أو تفسير يوضح سبب عدم تحقيق المتطلب.
  • معرفة العملية أو الإدارة أو المورد أو الأصل أو السياسة أو الضابط المتأثر.
  • فهم الأثر العملي ودرجة الاستعجال.
  • إمكانية تحديد المالك المسؤول.

الخطوات

  1. اقرأ بند عدم الامتثال وتأكد من المتطلب الذي لم يتم تحقيقه.
  2. راجع الدليل وتعليقات المراجع وأي سجلات سابقة ذات صلة.
  3. حدد هل تمثل الحالة تعرضا مستقبليا أم خللا معروفا يحتاج إلى تصحيح أم ملاحظة تأكيد.
  4. اختر خطر عندما يكون القلق الرئيسي هو أثر أو تعرض محتمل في المستقبل.
  5. اختر مشكلة عندما يكون الخلل معروفا وتحتاج الجهة إلى إجراء تصحيحي.
  6. اختر نتيجة تدقيق عندما تكون الملاحظة جزءا من تدقيق رسمي أو مراجعة تأكيد.
  7. اكتب عنوانا محايدا يصف الفجوة من دون لوم.
  8. أضف مصدر التقييم والمتطلب والدليل والمالك والمنطقة المتأثرة ودرجة الخطورة وتاريخ الاستهداف.
  9. حدد نتيجة المعالجة أو العلاج المتوقعة.
  10. أسند السجل إلى مالك مسؤول وأي مساهمين داعمين.
  11. أرسل السجل للمراجعة إذا كان الاعتماد مطلوبا.
  12. حدث بند عدم الامتثال الأصلي بقرار المتابعة والمرجع.
  13. تابع سجل المتابعة حتى يتم قبوله أو معالجته أو إغلاقه.

القرارات

  • هل الأفضل إدارة الفجوة كتعرّض مستقبلي أم عدم مطابقة قائم أم ملاحظة تدقيق رسمية؟
  • هل الأثر مرتفع بما يكفي للتصعيد؟
  • هل تحتاج الفجوة إلى سجل واحد أم عدة سجلات مترابطة؟
  • هل يلزم تنفيذ معالجة، أم يمكن قبول الفجوة مع تبرير؟
  • من يملك صلاحية اعتماد القبول أو الإغلاق؟

المخرجات

  • سجل متابعة واحد مصنف بشكل صحيح.
  • ارتباط واضح بين عدم الامتثال الأصلي وإجراء المتابعة.
  • مالك ودرجة خطورة وتاريخ استحقاق ونتيجة متوقعة.
  • أدلة داعمة وتعليقات مراجعة.
  • تحديث سجل التقييم أو المراجعة بالقرار المتخذ.

المتابعة

  • مراجعة التقدم قبل تاريخ الاستحقاق.
  • تصعيد البنود المتأخرة أو الحرجة.
  • تأكيد الأدلة قبل الإغلاق.
  • تحديث نتيجة التقييم إذا غيّرت المعالجة حالة الامتثال.
  • إدراج البنود المهمة في تقارير الإدارة.

الأخطاء الشائعة

  • إنشاء خطر بينما الموضوع مجرد مهمة ذات حل معروف.
  • إنشاء مشكلة من دون تسجيل متطلب الامتثال الذي لم يتحقق.
  • إنشاء سجلات متعددة للفجوة نفسها من دون غرض واضح.
  • إغلاق التقييم المصدر من دون تسجيل قرار المتابعة.
  • قبول فجوة من دون مالك أو تاريخ انتهاء أو تاريخ مراجعة.

3. إدارة خطر حرج حتى القبول أو الإغلاق

الغرض

استخدم هذا الدليل لإدارة خطر حرج من التعرف عليه وتحليله إلى معالجته ومراقبته واتخاذ قرار إداري بشأنه ثم قبوله أو إغلاقه. الهدف هو إبقاء المسؤولية واضحة وضمان عدم ترك التعرض الشديد من دون إدارة.

المتطلبات السابقة

  • وصف حدث الخطر وسببه ونتيجته بوضوح.
  • تحديد مالك الخطر والمنطقة العملية المتأثرة.
  • تقييم الاحتمالية والأثر والحرجية مبدئيا.
  • معرفة الضوابط والحوادث وفجوات الامتثال ومخاطر الموردين ونتائج التدقيق ذات الصلة.
  • فهم مسار التصعيد وصلاحية القبول.

الخطوات

  1. أنشئ أو راجع سجل الخطر بعنوان ووصف دقيقين.
  2. وثق السبب والنتيجة المحتملة والمنطقة المتأثرة والضوابط الحالية.
  3. قيّم الاحتمالية والأثر الأصليين قبل احتساب أثر الضوابط الحالية.
  4. سجل الضوابط الحالية وقيّم مدى فعاليتها.
  5. قيّم الاحتمالية والأثر المتبقيين بعد مراعاة الضوابط الحالية.
  6. أكد سبب اعتبار الخطر حرجا وهل يحتاج إلى تصعيد فوري.
  7. اختر أسلوب المعالجة: تقليل أو تجنب أو نقل أو مشاركة أو قبول أو مراقبة.
  8. عند التقليل، أنشئ إجراءات معالجة بملاك وتواريخ استحقاق ومراحل ومعايير نجاح.
  9. عند القبول، وثق التبرير العملي وفترة القبول والضوابط التعويضية وتاريخ المراجعة والمعتمد.
  10. حدد مراجعات دورية حسب درجة الخطورة وليس حسب سهولة الجدولة.
  11. حدث الحالة وملاحظات التقدم والأدلة واكتمال المعالجة.
  12. أعد تقييم الخطر بعد مراجعة أدلة المعالجة.
  13. قرر هل المستوى المتبقي مقبول أم يحتاج إلى معالجة إضافية أم يجب أن يبقى مفتوحا.
  14. أغلق الخطر فقط عندما لا يعود قائما، أو تمت معالجته بالكامل، أو لديه قبول رسمي ساري.

القرارات

  • هل الخطر حرج فعلا، أم أن الدرجة مرتفعة بسبب معلومات ضعيفة؟
  • هل يلزم تصعيد فوري بسبب تعرض نظامي أو مالي أو تشغيلي أو متعلق بالسلامة أو السمعة؟
  • هل المعالجة واقعية ضمن الإطار الزمني المتفق عليه؟
  • هل للقبول سبب عملي صحيح ومعتمد مخول؟
  • هل يجب إبقاء الخطر مفتوحا بعد المعالجة لأن التعرض المتبقي لا يزال مرتفعا؟

المخرجات

  • سجل خطر حرج مكتمل مع مبررات التقييم.
  • خطة معالجة أو قرار قبول.
  • إجراءات مسندة وتواريخ استحقاق وملاك.
  • سجل مراجعات ومسار قرارات.
  • أدلة تدعم اكتمال المعالجة أو القبول.
  • تقييم متبق محدث وحالة نهائية.

المتابعة

  • مراجعة المخاطر الحرجة حسب التكرار المتفق عليه.
  • تصعيد مواعيد المعالجة الفائتة فورا.
  • إعادة تقييم الخطر عند تغير ظروف العمل.
  • تجديد القبول أو إغلاقه قبل انتهاء مدته.
  • إدراج المخاطر الحرجة في تقارير الإدارة حتى إغلاقها أو تخفيضها.

الأخطاء الشائعة

  • تسجيل درجة حرجة من دون شرح المبررات.
  • قبول الخطر بشكل غير رسمي عبر التعليقات بدلا من قرار معتمد.
  • التعامل مع القبول كأنه دائم.
  • إغلاق الخطر لأن الإجراءات اكتملت من دون إعادة تقييم التعرض المتبقي.
  • ترك المخاطر الحرجة من دون تواريخ مراجعة أو ظهور للإدارة العليا.

4. نشر سياسة ومتابعة الإقرارات

الغرض

استخدم هذا الدليل لإعداد سياسة واعتمادها ونشرها والتواصل بشأنها ومتابعة الإقرارات المطلوبة من الموظفين أو أصحاب المصلحة. الهدف هو ضمان وصول النسخة المعتمدة الحالية إلى الجمهور الصحيح وإظهار تقدم الإقرارات.

المتطلبات السابقة

  • تحديد مالك السياسة والمعتمد ودورة المراجعة.
  • اكتمال محتوى السياسة ومواءمته مع الإجراءات أو المعايير ذات الصلة.
  • تحديد الجمهور المستهدف حسب الإدارة أو الدور أو الموقع أو المجموعة.
  • الاتفاق على تاريخ السريان وتاريخ المراجعة وتاريخ استحقاق الإقرار.
  • جاهزية أي تدريب أو استثناءات أو مستندات داعمة ذات صلة.

الخطوات

  1. أنشئ أو حدث سجل السياسة بالعنوان والمالك والتصنيف والنسخة والملخص.
  2. أرفق أو أدخل محتوى السياسة المعتمد.
  3. حدد تاريخ السريان وتاريخ المراجعة ومتطلب الإقرار.
  4. حدد الجمهور المستهدف بدقة. أدرج فقط من يُتوقع منهم قراءة السياسة والإقرار بها.
  5. أرسل السياسة للمراجعة والاعتماد.
  6. عالج تعليقات المراجعين واحصل على الاعتماد النهائي.
  7. انشر السياسة في تاريخ السريان أو تاريخ الإصدار المتفق عليه.
  8. أبلغ الجمهور المستهدف بتعليمات الإقرار وتاريخ الاستحقاق بوضوح.
  9. تابع اكتمال الإقرارات حسب مجموعة الجمهور وحالة كل فرد.
  10. أرسل تذكيرات قبل تاريخ الاستحقاق.
  11. صعّد الإقرارات المتأخرة إلى المديرين المناسبين أو مالك السياسة.
  12. سجل الاستثناءات عندما يجب استبعاد شخص من الجمهور.
  13. أغلق دورة الإقرار بعد معالجة أهداف الاكتمال والتصعيدات.

القرارات

  • هل هذه سياسة جديدة أم تعديل رئيسي أم تحديث بسيط؟
  • هل يحتاج الجمهور إلى إقرار فقط، أم توعية، أم تدريب رسمي؟
  • هل يجب إبقاء النسخة السابقة متاحة للرجوع؟
  • ما حد الاكتمال المقبول قبل إعلان الإغلاق؟
  • كيف سيتم تصعيد الإقرارات المتأخرة؟

المخرجات

  • سياسة منشورة بنسخة معتمدة وتاريخ سريان.
  • جمهور مستهدف محدد.
  • حالة الإقرار حسب المستخدم والمجموعة وتاريخ الاستحقاق.
  • سجل التذكيرات والتصعيدات.
  • استثناءات أو استبعادات مع التبرير.
  • ملخص اكتمال للمراجعة الإدارية أو التدقيق.

المتابعة

  • مراجعة اكتمال الإقرارات بعد تاريخ الاستحقاق.
  • المتابعة مع المديرين عند تكرار عدم الاستجابة.
  • تجديد الإقرارات بعد التعديلات الرئيسية على السياسة.
  • مراجعة السياسة قبل تاريخ المراجعة التالي.
  • استخدام نتائج الإقرارات في حزم أدلة الامتثال والتدقيق.

الأخطاء الشائعة

  • النشر من دون اعتماد نهائي.
  • استهداف جمهور واسع جدا مما يخلق بنودا متأخرة غير ضرورية.
  • تغيير السياسة بعد النشر من دون ضبط النسخة.
  • عرض الاكتمال من دون احتساب الاستبعادات.
  • اعتبار الإقرار دليلا على الفهم عندما يكون التدريب مطلوبا أيضا.

5. تأهيل مورد وتقييم مخاطر الطرف الثالث

الغرض

استخدم هذا الدليل لتأهيل مورد وتقييم مخاطر الطرف الثالث وتوثيق الاعتمادات وإعداده للمتابعة المستمرة. الهدف هو فهم الاعتماد على الخدمة، وتعرض البيانات، والتزامات الامتثال، والخطر المتبقي قبل العلاقة أو أثناءها.

المتطلبات السابقة

  • تحديد مالك العمل ومالك العلاقة مع المورد.
  • معرفة وصف خدمة المورد والغرض العملي منها.
  • فهم درجة الأهمية وحساسية البيانات ومستوى الوصول والاعتماد على المورد.
  • جاهزية أسئلة العناية الواجبة ومتطلبات الأدلة.
  • معرفة متطلبات العقد والتجديد والمراجعة والاعتماد عند انطباقها.

الخطوات

  1. أنشئ سجل المورد بالاسم الرسمي ووصف الخدمة والمالك والإدارة والحالة وبيانات التواصل.
  2. صنف أهمية المورد بناء على الاعتماد العملي وتعرض البيانات وأهمية الخدمة وصعوبة الاستبدال.
  3. حدد نوع المعلومات أو العملية أو الأصل أو الخدمة التي يدعمها المورد.
  4. اختر استبيان أو تقييم العناية الواجبة المناسب.
  5. أسند التقييم إلى مالك المورد أو المراجع الداخلي المسؤول.
  6. اطلب الأدلة المطلوبة مثل الشهادات والسياسات وتقارير التأكيد وتفاصيل التأمين ومعلومات الاستمرارية وإفادات الأمن.
  7. راجع الردود من حيث الاكتمال والاتساق.
  8. سجل المخاطر أو الفجوات أو الأدلة الناقصة كبنود متابعة.
  9. قيّم مستوى خطر المورد قبل الضوابط أو الالتزامات المخططة وبعدها.
  10. قرر هل يتم الاعتماد أو الاعتماد بشروط أو الرفض أو الإيقاف المؤقت أو التصعيد.
  11. سجل قرار الاعتماد والشروط والمالك وتاريخ المراجعة التالي.
  12. أضف مهام متابعة للتجديدات وإعادة التقييم والأدلة المنتهية أو المشكلات المفتوحة.
  13. حافظ على تحديث حالة المورد مع انتقال العلاقة من التأهيل إلى نشطة أو معلقة أو منتهية أو مؤرشفة.

القرارات

  • هل المورد حرج للعمليات؟
  • هل يتعامل المورد مع معلومات حساسة أو يدعم نشاطا منظما؟
  • هل نقص الأدلة مقبول لاعتماد مؤقت؟
  • هل توجد شروط يجب تحقيقها قبل الاعتماد الكامل؟
  • كم مرة يجب إعادة تقييم المورد؟

المخرجات

  • ملف مورد مكتمل.
  • تصنيف الأهمية ودرجة الخطر.
  • تقييم عناية واجبة مكتمل.
  • أدلة وتعليقات مراجعة.
  • قرار اعتماد مع شروط عند الحاجة.
  • مخاطر أو مشكلات أو إجراءات مفتوحة.
  • تواريخ المراجعة والتجديد والمتابعة التالية.

المتابعة

  • إعادة تقييم الموردين ذوي الخطر العالي والحرج حسب الجدول.
  • متابعة انتهاء صلاحية الأدلة وتواريخ التجديد.
  • مراقبة مشكلات المورد المفتوحة حتى الإغلاق.
  • تحديث درجة الخطر عند تغير نطاق الخدمة أو تعرض البيانات.
  • مراجعة الموردين المنتهية علاقتهم للتأكد من عدم بقاء التزامات نشطة.

الأخطاء الشائعة

  • التعامل مع جميع الموردين كأنهم بالمستوى نفسه من الخطر.
  • اعتماد مورد من دون تعيين مالك داخلي مسؤول.
  • قبول عناية واجبة غير مكتملة من دون شروط.
  • نسيان إعادة تقييم الموردين بعد تغير النطاق.
  • ترك الموردين المنتهية علاقتهم بحالة نشطة.

6. تجهيز حزمة أدلة تدقيق

الغرض

استخدم هذا الدليل لتجهيز حزمة أدلة كاملة للتدقيق الداخلي أو الخارجي أو مراجعة الجهة الرقابية أو التأكيد الإداري أو اختبار الضوابط. الهدف هو تقديم أدلة منظمة وحديثة وقابلة للمراجعة تدعم نطاق التدقيق.

المتطلبات السابقة

  • تأكيد نطاق التدقيق وفترته وقائمة الطلبات وتاريخ الاستحقاق.
  • تحديد الضوابط والسياسات والمخاطر والتقييمات والمشكلات والموردين والتقارير المطلوبة.
  • تعيين ملاك الأدلة.
  • فهم توقعات جودة الأدلة.
  • تأكيد قواعد التعامل مع الأدلة الحساسة أو المقيدة.

الخطوات

  1. راجع طلب التدقيق وقسمه إلى فئات أدلة.
  2. أنشئ قائمة تحقق للأدلة تتضمن المالك وتاريخ الاستحقاق والحالة والمراجع.
  3. اجمع السياسات الحالية وأوصاف الضوابط والاعتمادات ونتائج التقييمات وسجلات المخاطر وأدلة إغلاق المشكلات ومراجعات الموردين والتقارير ذات الصلة.
  4. تأكد من أن كل بند يطابق فترة التدقيق ونطاقه.
  5. أزل النسخ المكررة والقديمة إلا إذا كانت مطلوبة لإظهار التاريخ.
  6. أضف تفسيرات للأدلة التي قد لا تكون واضحة بذاتها.
  7. تأكد من أن المعلومات الحساسة مناسبة للمراجع المقصود.
  8. راجع اكتمال الأدلة مقابل قائمة التحقق.
  9. أعد البنود الضعيفة أو الناقصة إلى الملاك بطلبات واضحة.
  10. نظم الحزمة النهائية حسب رقم طلب التدقيق أو الضابط أو العملية أو الموضوع.
  11. سجل موافقة المراجع قبل مشاركة الحزمة.
  12. تابع طلبات التدقيق الإضافية والتوضيحات وإعادة التقديم.
  13. احتفظ بالحزمة النهائية وسجل القرارات للرجوع لاحقا.

القرارات

  • هل يثبت كل دليل الضابط أو النشاط خلال الفترة المطلوبة؟
  • هل الدليل نهائي ومعتمد وحديث؟
  • هل يجب تلخيص المعلومات الحساسة أو حجبها أو تقييدها؟
  • هل يلزم تفسير يساعد المدقق على فهم الدليل؟
  • هل تم الإفصاح عن الفجوات المفتوحة مع خطط المعالجة المرتبطة؟

المخرجات

  • قائمة تحقق للأدلة مع حالة الاكتمال.
  • حزمة أدلة منظمة.
  • ردود الملاك وموافقة المراجع.
  • قائمة بالأدلة الناقصة أو المستبعدة أو المتأخرة.
  • سجل توضيحات وسجل تقديم نهائي.

المتابعة

  • متابعة أسئلة التدقيق والطلبات الإضافية.
  • تحويل ملاحظات التدقيق إلى نتائج أو مشكلات أو مخاطر عند الحاجة.
  • إعادة استخدام الأدلة المقبولة في التقييمات المستقبلية عندما تظل صالحة.
  • تحديث الضوابط الضعيفة أو السجلات الناقصة بعد إغلاق التدقيق.
  • الاحتفاظ بالحزمة النهائية وفق قواعد الاحتفاظ الداخلية.

الأخطاء الشائعة

  • تقديم دليل خارج فترة التدقيق.
  • إرسال مسودات أو مستندات غير معتمدة كأدلة نهائية.
  • تقديم مواد كثيرة لا علاقة لها بالطلب.
  • عدم شرح الاستثناءات أو الأدلة الناقصة.
  • فقدان تتبع الأدلة المعدلة بعد أسئلة المدقق.

7. بناء حزمة تقارير إدارية

الغرض

استخدم هذا الدليل لإعداد حزمة تقارير إدارية تلخص حالة الحوكمة والمخاطر والامتثال والتدقيق والسياسات والموردين والمعالجات لعرضها على القيادة. الهدف هو تقديم قرارات واتجاهات واستثناءات وإجراءات مطلوبة بوضوح.

المتطلبات السابقة

  • معرفة جمهور التقرير وتاريخ الاجتماع وفترة التقرير والقرارات المطلوبة.
  • الاتفاق على المجالات والمقاييس وملاك التقارير المطلوبة.
  • مراجعة ملاك البيانات لسجلاتهم من حيث الاكتمال.
  • تحديث المخاطر الحرجة والبنود المتأخرة وعدم الامتثال الرئيسي ونتائج التدقيق وتعرض الموردين وحالة إقرارات السياسات.
  • توفر إجراءات الاجتماع السابق للمقارنة.

الخطوات

  1. حدد غرض التقرير: اطلاع أو قرار أو تصعيد أو اعتماد أو مراجعة أداء.
  2. أكد فترة التقرير وتاريخ الإقفال.
  3. اجمع المقاييس الرئيسية للامتثال والمخاطر والمشكلات والتدقيق والموردين والسياسات والحوادث عند الحاجة والإجراءات المفتوحة.
  4. تحقق من الملاك وتواريخ الاستحقاق والحالات والتقييمات وأدلة الإغلاق قبل العرض.
  5. أبرز التغيرات منذ التقرير السابق، وليس الأرقام الحالية فقط.
  6. افصل بنود المعلومات عن القرارات المطلوبة.
  7. لخص المخاطر الحرجة والمعالجات المتأخرة ونتائج التدقيق الرئيسية والموردين ذوي الخطر العالي ومناطق انخفاض الإقرار.
  8. أضف تعليقا يشرح سبب تغير الأرقام.
  9. حدد القرارات المطلوبة من الإدارة، مثل القبول أو التمويل أو إعادة ترتيب الأولويات أو التصعيد أو اعتماد الإغلاق.
  10. راجع المسودة مع ملاك المجالات قبل الإصدار.
  11. انشر الحزمة النهائية لجمهور الاجتماع.
  12. سجل القرارات وملاك الإجراءات بعد الاجتماع.
  13. تابع إجراءات الإدارة في دورة التقرير التالية.

القرارات

  • ما المقاييس المفيدة لقرارات القيادة بدلا من التفاصيل التشغيلية؟
  • هل الاتجاهات تتحسن أم مستقرة أم تتدهور؟
  • ما البنود التي تحتاج إلى تصعيد لأنها متأخرة أو حرجة أو متكررة أو متوقفة؟
  • ما المخاطر أو الفجوات التي تتطلب قبولا؟
  • ما الإجراءات التي يجب إسنادها قبل الاجتماع التالي؟

المخرجات

  • حزمة تقرير إداري لفترة التقرير.
  • ملخص تنفيذي بالرسائل الرئيسية.
  • مقاييس واتجاهات واستثناءات وقرارات مطلوبة.
  • قائمة إجراءات بملاك وتواريخ استحقاق.
  • سجل اعتمادات وتصعيدات وبنود مقبولة.

المتابعة

  • إرسال المهام وتواريخ الاستحقاق المتفق عليها إلى ملاك الإجراءات.
  • تحديث السجلات بقرارات الإدارة.
  • متابعة إجراءات الإدارة المتأخرة بشكل منفصل عن المهام التشغيلية العادية.
  • مقارنة نتائج الفترة التالية بالحزمة الحالية.
  • إيقاف المقاييس التي لا تدعم القرارات واستبدالها بمؤشرات أكثر فائدة.

الأخطاء الشائعة

  • عرض أعداد خام من دون شرح الأثر.
  • إدراج تفاصيل تشغيلية كثيرة للمراجعين التنفيذيين.
  • استخدام بيانات قديمة لم يراجعها الملاك.
  • إخفاء البنود المتأخرة أو الحرجة في الملاحق.
  • ترك قرارات الاجتماع خارج السجلات التشغيلية.