Issued: July 2009 صدر سنة 2009
PA 2010-2 السلطة الفلسطينية 2010-2
Revised: المنقحة :
Page 1 of 4 الصفحة 1 من 4
2009 The Institute of Internal Auditors
2009 معهد المراجعين الداخليين
Practice Advisory 2010-2: الممارسة الاستشارية 2010-2 :
Using the Risk Management Process in Internal Audit Planning باستخدام عملية إدارة المخاطر في التدقيق الداخلي التخطيط
Primary Related Standard ذات الأولية الموحدة
2010 – Planning 2010 -- التخطيط
The chief audit executive must establish risk–based plans to determine the priorities of the رئيس مراجعة الحسابات التنفيذية يجب أن تضع الخطط على أساس المخاطر لتحديد أولويات
internal audit activity, consistent with the organization's goals. نشاط المراجعة الداخلية ، بما يتسق مع أهداف المنظمة.
1. 1. Risk management is a critical part of providing sound governance that touches all the إدارة المخاطر هو جزء أساسي لتوفير الإدارة السليمة التي تمس جميع
organization's activities. أنشطة المنظمة. Many organizations are moving to adopt consistent and holistic risk هناك منظمات عديدة تتحرك لاعتماد خطر متسقة وشاملة
management approaches that should, ideally, be fully integrated into the management of the نهج الإدارة التي ينبغي ، من الناحية المثالية ، أن تندمج اندماجا كاملا في إدارة
organization. منظمة. It applies at all levels — enterprise, function, and business unit — of the وينطبق ذلك على جميع المستويات -- المؤسسة ، وظيفة ، وحدة الأعمال -- من
organization. منظمة. Management typically uses a risk management framework to conduct the إدارة وعادة ما يستخدم إطارا لإدارة المخاطر لإجراء
assessment and document the assessment results. تقييم وثيقة نتائج التقييم.
2. 2. An effective risk management process can assist in identifying key controls related to فعال لعملية إدارة المخاطر يمكن أن تساعد في تحديد الضوابط الرئيسية ذات الصلة
significant inherent risks. كبير المخاطر الكامنة. Enterprise risk management (ERM) is a term in common use. إدارة مخاطر المؤسسات (إدارة مخاطر المؤسسات) هو مصطلح شائع الاستعمال. The أل
Committee of Sponsoring Organizations (COSO) of the Treadway Commission defines ERM لجنة المنظمات الراعية (COSO) للجنة تريدواي تعرف إدارة مخاطر المؤسسات
as “a process, effected by an entity's board of directors, management, and other personnel, بأنها "عملية ، تنفذ من قبل كيان مجلس إدارة ، والإدارة ، وغيرهم من الموظفين ،
applied in strategy setting and across the enterprise, designed to identify potential events المطبقة في إعداد استراتيجية وعبر المؤسسة ، مصممة لتحديد الأحداث المحتملة
that may affect the entity, and manage risk to be within its risk appetite, to provide التي قد تؤثر في الكيان ، وإدارة المخاطر لتكون في إطار الرغبة في المخاطرة ، لتوفير
reasonable assurance regarding the achievement of entity objectives.” Implementation of تأكيد معقول فيما يتعلق بتحقيق أهداف الكيان. "تنفيذ
controls is one common method management can use to manage risk within its risk الضوابط واحد مشترك هو أسلوب إدارة يمكن استخدامها لإدارة المخاطر ضمن نطاق المخاطر
appetite. شهية. Internal auditors audit the key controls and provide assurance on the management مراجعي الحسابات لمراجعة الحسابات الداخلية والضوابط الأساسية وتوفير الضمانات للإدارة
of significant risks. من مخاطر كبيرة.
3. 3. The IIA's International Standards for the Professional Practice of Internal Auditing في اتفاقات الاستثمار الدولية والمعايير الدولية للممارسة المهنية للتدقيق الداخلي
( Standards ) defines control as “any action taken by management, the board, and other (المعايير) وتعرف الرقابة بأنها "أي إجراء تتخذه الإدارة ، وعلى متن الطائرة ، وغيرها
parties to manage risk and increase the likelihood that established objectives and goals will الأطراف لإدارة المخاطر وزيادة احتمال أن تكون الأهداف والغايات المحددة وسوف
be achieved. يمكن تحقيقه. Management plans, organizes, and directs the performance of sufficient خطط الإدارة ، وينظم ، ويوجه أداء كافية
actions to provide reasonable assurance that objectives and goals will be achieved.” إجراءات لتقديم ضمانات معقولة بأن الأهداف والغايات سوف تتحقق ".
4. 4. Two fundamental risk concepts are inherent risk and residual risk (also known as current مفهومين المخاطر الأساسية هي المخاطر الكامنة والمخاطر المتبقية (المعروف أيضا باسم الحالي
risk). خطر). Financial/external auditors have long had a concept of inherent risk that can be المالية / مراجعي الحسابات الخارجيين لطالما كان لمفهوم الخطر الكامن الذي يمكن أن
summarized as the susceptibility of information or data to a material misstatement, تلخيصها على النحو قابلية المعلومات أو البيانات إلى الأخطاء المادية ،
assuming that there are no related mitigating controls. على افتراض أنه لا توجد ضوابط تخفيف ذات الصلة. The Standards define residual risk معايير تحديد المخاطر المتبقية
as “the risk remaining after management takes action to reduce the impact and likelihood of كما "المخاطر المتبقية بعد إدارة يتخذ إجراءات للحد من تأثيرها واحتمال
an adverse event, including control activities in responding to a risk.” Current risk is often حدث ضار ، بما في ذلك أنشطة المكافحة في التصدي لهذا الخطر. "المخاطر الحالية في كثير من الأحيان
defined as the risk managed within existing controls or control systems. يعرف بأنه لإدارة المخاطر في إطار الضوابط الموجودة أو أنظمة التحكم.
5. 5. Key controls can be defined as controls or groups of controls that help to reduce an ويمكن التحكم مفتاح يمكن تعريفه بأنه مجموعة من الضوابط أو الضوابط التي تساعد على الحد من
otherwise unacceptable risk to a tolerable level. على خلاف ذلك خطرا غير مقبول على مستوى يمكن تحمله. Controls can be most readily conceived as ويمكن التحكم بها بسهولة تصور أن يكون أكثر و
organizational processes that exist to address risks. العمليات التنظيمية التي توجد للتصدي للمخاطر. In an effective risk management في إدارة فعالة للمخاطر
process (with adequate documentation), the key controls can be readily identified from the عملية (مع وثائق كافية) ، يمكن أن يكون من السهل التحكم الرئيسية التي تم تحديدها من
difference between inherent and residual risk across all affected systems that are relied الفرق بين الخطر الكامن والمتبقية في جميع النظم المتضررة التي اعتمدت
upon to reduce the rating of significant risks. بناء على تقييم لتقليل من مخاطر كبيرة. If a rating has not been given to inherent risk, إذا كان التصنيف لم يعط لخطر كامن ،
the internal auditor estimates the inherent risk rating. والمدقق الداخلي ويقدر تقييم المخاطر الكامنة. When identifying key controls (and عند تحديد الضوابط الرئيسية (و
Issued: July 2009 صدر سنة 2009
PA 2010-2 السلطة الفلسطينية 2010-2
Revised: المنقحة :
Page 2 of 4 الصفحة 2 من 4
2009 The Institute of Internal Auditors
2009 معهد المراجعين الداخليين
assuming the internal auditor has concluded that the risk management process is mature بافتراض أن المراجع الداخلي قد خلص إلى أن إدارة المخاطر عملية ناضجة
and reliable), the internal auditor would look for: ويمكن الاعتماد عليها) ، فإن المراجع الداخلي للبحث عن :
Individual risk factors where there is a significant reduction from inherent to residual risk عوامل الخطر الفردية ، حيث يكون هناك تخفيض كبير من المخاطر الملازمة لالمتبقية
(particularly if the inherent risk was very high). (خصوصا إذا كان الخطر الكامن عالية جدا). This highlights controls that are important هذا يسلط الضوء على الضوابط التي تعتبر مهمة
to the organization. إلى المنظمة.
Controls that serve to mitigate a large number of risks. عناصر التحكم التي تؤدي إلى التخفيف من عدد كبير من المخاطر.
6. 6. Internal audit planning needs to make use of the organizational risk management process, المراجعة الداخلية احتياجات التخطيط للاستفادة من عملية إدارة المخاطر التنظيمية ،
where one has been developed. حيثما يكون قد تم تطويرها. In planning an engagement, the internal auditor considers في التخطيط والمشاركة ، والمدقق الداخلي وترى
the significant risks of the activity and the means by which management mitigates the risk to مخاطر كبيرة من النشاط والوسائل التي تخفف من إدارة المخاطر التي تتعرض لها
an acceptable level. مستوى مقبول. The internal auditor uses risk assessment techniques in developing the المدقق الداخلي يستخدم تقنيات تقييم المخاطر في تطوير
internal audit activity's plan and in determining priorities for allocating internal audit نشاط المراجعة الداخلية على خطة وفي تحديد الأولويات لتخصيص المراجعة الداخلية للحسابات
resources. الموارد. Risk assessment is used to examine auditable units and select areas for review تقييم المخاطر يستخدم لفحص وحدات قابلة للمراجعة وتحديد مجالات للمراجعة
to include in the internal audit activity's plan that have the greatest risk exposure. أن تدرج في نشاط المراجعة الداخلية للخطة التي لديها أكبر في التعرض للخطر.
7. 7. Internal auditors may not be qualified to review every risk category and the ERM process in مراجعي الحسابات الداخلية قد لا يكون مؤهلا لاستعراض كل فئة من فئات المخاطر وعملية في إدارة مخاطر المؤسسات
the organization (eg, internal audits of workplace health and safety, environmental auditing, المنظمة (على سبيل المثال ، عمليات المراجعة الداخلية للصحة والسلامة في أماكن العمل ، ومراجعة الحسابات البيئية ،
or complex financial instruments). أو الأدوات المالية المعقدة). The chief audit executive (CAE) ensures that internal رئيس تنفيذي لمراجعة الحسابات (كامبردج) يضمن الداخلية
auditors with specialized expertise or external service providers are used appropriately. المدققين ذوي الخبرة المتخصصة أو مقدمي الخدمات الخارجيين وتستخدم بشكل مناسب.
8. 8. Risk management processes and systems are set up differently throughout the world. عمليات إدارة المخاطر ونظم يتم إعداد مختلف أنحاء العالم. The أل
maturity level of the organization related to risk management varies among organizations. مستوى النضج للمنظمة تتعلق بإدارة المخاطر تتباين فيما بين المنظمات.
Where organizations have a centralized risk management activity, the role of this activity أين المنظمات التابعة لها مركزية لإدارة المخاطر النشاط ، ودور هذا النشاط
includes coordinating with management regarding its continuous review of the internal ويشمل التنسيق مع الإدارة بشأن استعراضها المستمر للداخلية
control structure and updating the structure according to evolving risk appetites. هيكل للمراقبة وتحديث الهيكل وفقا لتطور شهية المخاطر. The risk خطر
management processes in use in different parts of the world might have different logic, إدارة العمليات في استخدامها في أنحاء مختلفة من العالم قد يكون منطقا مختلفا ،
structures, and terminology. هياكل ، والمصطلحات. Internal auditors therefore make an assessment of the المدقق الداخلي ولذلك إجراء تقييم لل
organization's risk management process and determine what parts can be used in المنظمة في عملية إدارة المخاطر وتحديد ما هي أجزاء يمكن أن تستخدم في
developing the internal audit activity's plan and what parts can be used for planning تطوير نشاط المراجعة الداخلية على خطة وقطع ما يمكن أن تستخدم للتخطيط
individual internal audit assignments. فرد مهام المراجعة الداخلية.
9. 9. Factors the internal auditor considers when developing the internal audit plan include: العوامل والمدقق الداخلي وترى عند وضع خطة لمراجعة الحسابات الداخلية ما يلي :
Inherent risks — Are they identified and assessed? المخاطر الكامنة -- هل هي التي تم تحديدها وتقييمها؟
Residual risks — Are they identified and assessed? المخاطر المتبقية -- هل هي التي تم تحديدها وتقييمها؟
Mitigating controls, contingency plans, and monitoring activities — Are they linked to the التخفيف من ضوابط ، وخطط الطوارئ ، وأنشطة الرصد -- هل هي مرتبطة
individual events and/or risks? الأحداث الفردية و / أو المخاطر؟
Risk registers — Are they systematic, completed, and accurate? سجلات المخاطر -- هل هم المنهجي والانتهاء ، ودقيقة؟
Documentation — Are the risks and activities documented? وثائق -- هل من المخاطر والأنشطة الموثقة؟
In addition, the internal auditor coordinates with other assurance providers and considers بالإضافة إلى ذلك ، والمدقق الداخلي وينسق مع مقدمي الضمانات الأخرى ، وترى
planned reliance on their work. يعتزم الاعتماد على عملهم. Refer to The IIA's Practice Advisory 2050-2: Assurance وأشير إلى اتفاقات الاستثمار الدولية في الممارسة الاستشارية 2050-2 : توكيد
Maps. الخرائط.
10. 10. The internal audit charter normally requires the internal audit activity to focus on areas of ميثاق التدقيق الداخلي تتطلب عادة ونشاط المراجعة الداخلية للتركيز على مجالات
high risk, including both inherent and residual risk. مخاطر عالية ، بما في ذلك على حد سواء الكامنة والمخاطر المتبقية. The internal audit activity needs to المراجعة الداخلية للحسابات النشاط يحتاج إلى
identify areas of high inherent risk, high residual risks, and the key control systems upon تحديد مجالات المخاطر الكامنة ، وارتفاع المخاطر المتبقية ، وبناء على أنظمة التحكم الرئيسية
which the organization is most reliant. فيه لهذه المنظمة هو الأكثر اعتمادا. If the internal audit activity identifies areas of إذا كان نشاط المراجعة الداخلية ويحدد مجالات
unacceptable residual risk, management needs to be notified so that the risk can be غير مقبول المخاطر المتبقية ، يتعين على الإدارة أن يخطر ذلك أن الخطر يمكن أن يكون
Issued: July 2009 صدر سنة 2009
PA 2010-2 السلطة الفلسطينية 2010-2
Revised: المنقحة :
Page 3 of 4 الصفحة 3 من 4
2009 The Institute of Internal Auditors
2009 معهد المراجعين الداخليين
addressed. موجهة. The internal auditor will, as a result of conducting a strategic audit planning والمدقق الداخلي وسوف ، نتيجة لإجراء تخطيط المراجعة الاستراتيجية
process, be able to identify different kinds of activities to include in the internal audit العملية ، ويكون قادرا على تحديد أنواع مختلفة من الأنشطة لتشمل في المراجعة الداخلية للحسابات
activity's plan, including: النشاط في الخطة ، بما في ذلك :
Control reviews/assurance activities — where the internal auditor reviews the adequacy مراقبة الاستعراضات / أنشطة الضمان -- حيث المدقق الداخلي استعراض مدى كفاية
and efficiency of the control systems and provides assurance that the controls are وكفاءة نظم التحكم ويوفر ضمانة بأن الضوابط هي
working and the risks are effectively managed. العمل والمخاطر إدارة فعالة.
Inquiry activities — where organizational management has an unacceptable level of التحقيق الأنشطة -- حيث الإدارة التنظيمية ومستوى غير مقبول من
uncertainty about the controls related to a business activity or identified risk area and the عدم اليقين بشأن ضوابط تتعلق بالنشاط التجاري أو تحديد المخاطر والمنطقة
internal auditor performs procedures to gain a better understanding of the residual risk. المدقق الداخلي ينفذ إجراءات لاكتساب فهم أفضل للمخاطر متبقية.
Consulting activities — where the internal auditor advises organizational management in استشارات الأنشطة -- حيث تنصح المراجع الداخلي في الإدارة التنظيمية
the development of the control systems to mitigate unacceptable current risks. تطوير نظم الرقابة للتخفيف من المخاطر الحالية غير مقبولة.
Internal auditors also try to identify unnecessary, redundant, excessive, or complex controls مراجعي الحسابات الداخلية أيضا في محاولة لتحديد ضوابط وغير ضرورية والزائدة والمفرطة ، أو معقدة
that inefficiently reduce risk. ان الحد من المخاطر غير فعال. In these cases, the cost of the control may be greater than the في هذه الحالات ، قد تكون تكلفة السيطرة يكون أكبر من
benefit realized and therefore there is an opportunity for efficiency gains in the design of the المنفعة المتحققة ، وبالتالي هناك فرصة لتحقيق مكاسب الكفاءة في تصميم
control. السيطرة.
11. 11. To ensure relevant risks are identified, the approach to risk identification is systematic and لضمان المخاطر ذات الصلة التي تم تحديدها ، والنهج لتحديد المخاطر بشكل منهجي و
clearly documented. موثقة بوضوح. Documentation can range from the use of a spreadsheet in small وثائق يمكن أن تتراوح من استخدام لوحة جدولية في المشاريع الصغيرة
organizations to vendor supplied software in more sophisticated organizations. المنظمات لبائع البرمجيات المتوفرة في مؤسسات أكثر تطورا. The crucial وحاسمة
element is that the risk management framework is documented in its entirety. العنصر هو أن إطار إدارة المخاطر هو موثق في مجملها.
12. 12. The documentation of risk management in an organization can be at various levels below وثائق من إدارة المخاطر في مؤسسة يمكن أن تكون على مختلف المستويات أدناه
the strategic level of the risk management process. على المستوى الاستراتيجي من عملية إدارة المخاطر. Many organizations have developed risk العديد من المنظمات قد وضعت للخطر
registers that document risks below the strategic level, providing documentation of تسجيلات الوثيقة أدناه أن المخاطر على المستوى الاستراتيجي ، وتوفير وثائق
significant risks in an area and related inherent and residual risk ratings, key controls, and مخاطر كبيرة في منطقة والمتعلقة المتأصلة المتبقية وتصنيفات المخاطر ، والضوابط الأساسية ، و
mitigating factors. العوامل المخففة. An alignment exercise can then be undertaken to identify more direct links ويمكن ممارسة المحاذاة ثم يجب اتخاذه لتحديد المزيد من الروابط المباشرة
between risk “categories” and “aspects” described in the risk registers and, where بين خطر "فئات" و "الجوانب" ووصف في السجلات للخطر ، وحيثما
applicable, the items already included in the audit universe documented by the internal audit ينطبق ذلك ، في البنود المدرجة بالفعل في هذا الكون لمراجعة الحسابات وثقت به التدقيق الداخلي
activity. النشاط.
13. 13. Some organizations may identify several high (or higher) inherent risk areas. بعض المنظمات قد تحدد ارتفاع عدة (أو أعلى) مناطق الخطر الكامن. While these في حين أن هذه
risks may warrant the internal audit activity's attention, it is not always possible to review all المخاطر التي قد تبرر نشاط المراجعة الداخلية والاهتمام ، فإنه ليس من الممكن دائما لاستعراض جميع
of them. منهم. Where the risk register shows a high, or above, ranking for inherent risk in a حيث سجل للمخاطر يظهر عالية ، أو فوقها ، لترتيب المخاطر الكامنة في
particular area, and the residual risk remains largely unchanged and no action by مجال معين ، والمخاطر المتبقية لم يطرأ تغيير كبير ، وعدم اتخاذ إجراء من قبل
management or the internal audit activity is planned, the CAE reports those areas إدارة أو نشاط المراجعة الداخلية ومن المزمع ، في كامبردج تقارير تلك المناطق
separately to the board with details of the risk analysis and reasons for the lack of, or منفصلة إلى المجلس تفاصيل عن تحليل المخاطر والأسباب التي أدت إلى عدم وجود ، أو
ineffectiveness of, internal controls. عدم فعالية ، والضوابط الداخلية.
14. 14. A selection of lower risk level business unit or branch type audits need to periodically be مجموعة مختارة من انخفاض مستوى المخاطر وحدة الأعمال أو مراجعة فرع النوع تحتاج إلى أن يكون دوريا
included in the internal audit activity's plan to give them coverage and confirm that their risks تدرج في نشاط المراجعة الداخلية خطة لمنحهم التغطية ويؤكد أن المخاطر التي يتعرضون لها
have not changed. لم تتغير. Also, the internal audit activity establishes a method for prioritizing أيضا ، فإن نشاط المراجعة الداخلية يضع أسلوبا لتحديد أولويات
outstanding risks not yet subject to an internal audit. المخاطر المتبقية التي لم تخضع بعد للتدقيق الداخلي.
15. 15. An internal audit activity's plan will normally focus on: وهو نشاط المراجعة الداخلية على خطة وعادة ما تركز على :
Unacceptable current risks where management action is required. غير مقبول من المخاطر الحالية حيث عمل الإدارة هو مطلوب. These would be areas ستكون هذه المناطق
with minimal key controls or mitigating factors that senior management wants audited مع الحد الأدنى من الضوابط الأساسية أو العوامل المخففة التي تريد الإدارة العليا المراجعة
immediately. على الفور.
Issued: July 2009 صدر سنة 2009
PA 2010-2 السلطة الفلسطينية 2010-2
Revised: المنقحة :
Page 4 of 4 الصفحة 4 من 4
2009 The Institute of Internal Auditors
2009 معهد المراجعين الداخليين
Control systems on which the organization is most reliant. نظم الرقابة على التنظيم الذي هو الأكثر اعتمادا.
Areas where the differential is great between inherent risk and residual risk. المجالات التي يكون فيها فرق كبير بين المخاطر الكامنة والمخاطر المتبقية.
Areas where the inherent risk is very high. المجالات التي يكون فيها الخطر الكامن عالية جدا.
16. 16. When planning individual internal audits, the internal auditor identifies and assesses risks عند التخطيط لعمليات المراجعة الداخلية للفرد ، والمدقق الداخلي وتحدد وتقيم المخاطر
relevant to the area under review ذات الصلة في المنطقة قيد الاستعراض
*** ***
_addload(function(){_setupIW();_csi('en','ar','http://www.iiabel.be/Portals/0/Publications/Knowledge%2520centre/PA_2010-2_Using_Risk_Mgmt_Process_in_Internal_Audit_Planning_FINAL_07..pdf');});
[color:0517=#333]النص الإنجليزية الأصلي:</FONT>
2009 The Institute of Internal Auditors
اقتراح ترجمة أفضل
الإثنين نوفمبر 09, 2009 12:48 am