| التعامل مع عميل التدقيق الصعب |
بقلم: علاء عبدالعزيز أبونبعه
MACC, CIA, CPA, CRMA, CICP
خبير في التدقيق الداخلي والرقابة والحوكمة
سألني أحد الزملاء عن كيفية التعامل مع عملاء التدقيق([1]) الذين يرفضون معالجة الملاحظات الهامة الواردة في تقارير نشاط التدقيق الداخلي([2])، ولأن هذا السؤال هام، وفي نظري الكثير من الزملاء يواجهون مثل هذا الرفض بين الحين والآخر؛ أحببت الكتابة عن هذا الموضوع الهام.
قبل الإجابة على هذا السؤال الهام؛ أفضل مناقشة السبب الجذري لنشوء هذا الرفض.
الرفض قد لا يكون وليد مرحلة "ما بعد إصدار التقرير" (مرحلة المتابعة) وإنما قد يكون قبل ذلك، وأحد الأسباب الرئيسية لذلك: عدم وجود اتفاق مسبق وموثق بين "فريق التدقيق الداخلي" و "عميل التدقيق" على مستويات تقييم أهمية ملاحظات نشاط التدقيق الداخلي، لذلك نجد تفاوت كبير بينهما في كثير من الأحيان فيما يتعلق بأهمية الملاحظة، فما قد يكون "مرتفع الأهمية" أو "الخطورة" في نظر المدقق الداخلي قد لا يكون كذلك في نظر العميل. والمصيبة الأكبر لما يكون هذا التفاوت موجود بين أعضاء فريق التدقيق الداخلي.
لتجنب حدوث هذه المشكلة أنصح بالتالي:
1) لتجنت المشكلة بين أعضاء فريق التدقيق الداخلي (مثلاً: بين مشرف المهمة ومدير التدقيق الداخلي) يفضل دائما الاتفاق المسبق على مستويات التقييم في مرحلة التخطيط للمهمة، ومن ثم توثيق ذلك في أوراق العمل.
2) لتجنت المشكلة بين فريق التدقيق الداخلي وعميل التدقيق يفضل دائما الاتفاق المسبق على مستويات التقييم في بداية مهمة التدقيق الداخلي وبالذات في اجتماع البداية (Kick-off meeting)، ومن ثم توثيق هذا الاتفاق في محضر الاجتماع.
وفي هذا السياق قد يتبادر إلى ذهن القارئ: "ماذا لو لم يتم الاتفاق في البداية؟". في نظري هذا أيضاً يحدث كثيراً وخصوصاً عند عدم تحديد وتوثيق مستويات قبول المخاطر أو شهية المخاطر من قبل الإدارة العليا في المؤسسة ومن ثم اعتمادها من مجلس الإدارة.
معيار التدقيق رقم 2120 -إدارة المخاطر- نص على أنه: "يجب على نشاط التدقيق الداخلي تقييم فاعلية عمليات إدارة المخاطر والمساهمة في تحسينها"، وفي الإرشاد التنفيذي لهذا المعيار تم الإشارة إلى ضرورة قيام الرئيس التنفيذي للتدقيق الداخلي والمدققون الداخليون بالوصول إلى فهم واضح لشهية المخاطرة الخاصة بالمؤسسة ودرجة اتساقها مع رؤية وأهداف المؤسسة من خلال الفهم الكامل لاستراتيجيات عمل المؤسسة والمخاطر التي حددها مجلس الإدارة، وذلك لهدفين رئيسيين:
1) ربط خطط التدقيق الداخلي بها.
2) جعل استجابات المخاطر التي يقومون بالتوصية بها متوافقة مع درجة استعداد المؤسسة لتقبل المخاطر.
لذلك أنصح بضرورة تحديد ومن ثم توثيق مستويات قبول المخاطر أو شهية المخاطر من قبل الإدارة العليا في المؤسسة ومن ثم اعتمادها من مجلس الإدارة بتوصية من لجنة التدقيق أو لجنة إدارة المخاطر (إن وجدت) أو حتى من الإدارة التنفيذية في المؤسسة. نشاط التدقيق الداخلي قد يساعد بهذا الأمر كثيراً من خلال تقديم النصيحة والمعلومات ذات الصلة.
وفي هذا السياق قد يتبادر التالي إلى ذهن القارئ:
1) "هل يحق لعميل التدقيق الإشارة إلى رفضه للملاحظة أو التوصية أو كلاهما معا ضمن تعليقه أو رده على ملاحظات وتوصيات نشاط التدقيق الداخلي؟"
2) "ماذا لو قبل عميل التدقيق المخاطر المترتبة على عدم معالجة الملاحظة؟".
للإجابة على السؤال الأول أسأل: "هل يجب فرض قبول الملاحظة والتوصية على عميل التدقيق؟"، الجواب قطعاً لا، فلعميل التدقيق الحق في رفض أي ملاحظة أو توصية، ولا مانع من إصدار تقرير التدقيق الداخلي متضمناً هذا الرفض، وللجنة التدقيق أو مجلس الإدارة القرار النهائي برفض أو قبول ذلك. بالأخير يجب على جميع العاملين في مهنة التدقيق الداخلي إدراك أن كل ما يصدر عن نشاط التدقيق الداخلي وكل ما يصدر من لجنة التدقيق من توصيات تعتبر غير ملزمة للإدارة التنفيذية، وتصبح ملزمة فقط عندما تعتمد توصيات لجنة التدقيق الخاصة بقبول نتائج نشاط التدقيق الداخلي من مجلس الادارة أو في حال وجود تفويض مسبق بذلك للجنة، لأنه بالأخير ليس للجنة التدقيق أي سلطة مباشرة على الرئيس التنفيذي للمؤسسة إلا من خلال مجلس الادارة.
قبل الإجابة على السؤال الثاني؛ أود الإشارة إلى هذا أيضاً يحدث كثيراً، وأود تذكير القارئ الكريم أن الغرض الأساسي من كل ما يصدر عن نشاط التدقيق الداخلي، من خلال مختلف أنواع التبليغات([3])، هو تطمين الإدارة العليا ومجلس الإدارة وتقديم المشورة لهم فيما يتعلق بعمليات حوكمة المؤسسة وإدارة المخاطر والرقابة، وفي حال رأى الرئيس التنفيذي للتدقيق الداخلي بأن الإدارة العليا قد قبلت بمستوى من المخاطر يعتبر غير مقبول من قبل المؤسسة، فينبغي عليه أن يناقشه أولاً مع الإدارة العليا ليفهم وجهة نظرها، وفي حال لم يستطع كل منهما الوصول إلى تسوية، فإن المعيار رقم 2060 -إبلاغ الإدارة العليا ومجلس الإدارة- والمعيار رقم 2600 –التبليغ عن قبول المخاطر- يوجه الرئيس التنفيذي للتدقيق الداخلي بإبلاغ الأمر إلى مجلس الإدارة. أما إذا كانت هذه القضايا ملحة ولا يمكن تأجيلها إلى حين اجتماع مجلس الإدارة فمن الأفضل له أن يقوم بالترتيبات اللازمة للإبلاغ عاجلاً.
من المقولات الجميلة لـلاري هارينجتون، الرئيس السابق لمعهد المراجعين الداخليين: " في نهاية اليوم نحن لا نحصل على رواتبنا بناء على تقارير التدقيق التي نكتبها أو بناء على ما نتوصل إليه من نتائج، نحن نحصل على رواتبنا بناء ما فعلناه لجعل مؤسساتنا أفضل ". ولذلك يجب على كل مدقق داخلي العمل على المحافظة على سمعة النشاط الطيبة من خلال العناية بجودة مخرجاته، والتخطيط السليم لتنفيذ مهام التدقيق الداخلي المختلفة، والعمل على تحسين خدماته بشكل مستمر.
([1]) يفضل تجنب استخدام مصطلحات مثل: "مديري الأنشطة الخاضعة للتدقيق" و "المُدقق عليهم" (Auditee) في البلاغات المختلفة التي تصدر عن نشاط التدقيق الداخلي لأنها قد تكون مستفزة وتعزز النظرة السلبية لنشاط التدقيق الداخلي، ويفضل استبدالها بـ "عملاء التدقيق".
([2]) تم استخدام كلمة "نشاط" لأنه يمكن تقديم خدمات التدقيق الداخلي من قبل إدارة أو وحدة مستقلة في المؤسسة أو من قبل طرف خارجي يتم التعاقد معه (Outsourcing) أو خليط بينهما.
([3]) في معايير التدقيق الداخلي لم يتم استخدام مصطلح "تقرير" وبالإنجليزية "Report" للإشارة إلى نتائج مهام التدقيق الداخلي التأكيدية والاستشارية وتم استخدام بدلاً منها مصطلح "إبلاغ " (Communication) والسبب أن النتائج يمكن ابلاغها للمعنيين بالنتائج بشكل شفوي أو كتابي، والشكل الكتابي قد يكون مطبوع أو إلكتروني وقد يكون على شكل رسم بياني أو صورة، والإبلاغ قد يكون بشكل رسمي أو غير رسمي. مصطلح "ابلاغ" أعطى الكثير من المرونة للمدققين عند توصيل نتائج أعمال التدقيق الداخلي للعملاء.