Risk Based Internal Audit

Risk Based Internal Audit رطاخملا ىلع زكترملا يلخادلا قيقدتلا... ام رطاخملا ىلع زكترملا يلخادلا قيقدتلا وھ ؟ • a methodology that links internal auditing to an organisation’s overall ris

Trang 1

Risk Based Internal Audit

رطاخملا ىلع زكترملا يلخادلا قيقدتلا

Trang 2

What is Risk Based Internal Audit?

؟رطاخملا ىلع زكترملا يلخادلا قيقدتلا وھ ام

Trang 3

What is RBIA?

ام رطاخملا ىلع زكترملا يلخادلا قيقدتلا وھ

؟

• a methodology that links internal auditing to an organisation’s overall risk management framework

• that allows internal audit to provide assurance to the board that risk

The Institute of Internal Auditors defines Risk Based Internal Auditing (RBIA) as:

• that allows internal audit to provide assurance to the board that risk management processes are managing risk effectively , in relation to the risk appetite

فرعي دھعم

نيققدملا نيلخادلا

) IIA ( قيقدتلا يلخادلا

زكترملا ىلع

رطاخملا ىلع

هنأ

:

• ةيجھنم لمعت

ىلع طبر

قيقدتلا يلخادلا

راطإب ةرادإ

رطاخملا صاخلا

ةأشنملاب

.

• امم حمﺴي

قيقدتلل يلخادلا

ريفوتب تاديكأت

سلجمل ةرادلإا

نأب تايلمع

ةرادإ

رطاخملا مھاﺴت

لكشب لاعف

يف ةرطيﺴلا

ىلع رطاخم

هأشنملا نمضو

دودح

ةردقلا ىلع

لمحتلا

Trang 4

The Internal Auditor will provide Assurance on:

لوح تاديكأت يلخادلا ققدملا مدقي ::

Risk management processes:

– Design

– Effectiveness Management of ‘key’ risks

– Effectiveness of the controls and other responses to them

classification of risks

تايلمع ةرادإ

رطاخملا :

– ةحﺻ اھميمصت

– ةيلاعف ةرادإ

” رطاخملا ةيﺴيئرلا

“

– ةيلاعف تاءارجلإا

ةيباقرلا

قرطو ةحفاكم

رطاخملا

– ةيلومش ةقدو

ةيافكو ريراقت

رطاخملا قرطو

اھفينصت

Trang 5

In order for RBIA to be effective, directors need to ensure that the

risk management framework includes the following:

دب لاف ؛ًلااعف رطاخملا ىلع زكترملا يلخادلا قيقدتلا نوكي نأ لجا نم ةرادلإل

ايلعلا

RBIA Requirements

RBIA Requirements بولسلأا مادختسا تابلطتم

دب لاف ؛ًلااعف رطاخملا ىلع زكترملا يلخادلا قيقدتلا نوكي نأ لجا نم ةرادلإل

ايلعلا

امم دكأتلا نم يلي

:

Trang 6

• Directors and managers have identified and assessed the risks threatening their organization’s objectives and have developed a system of internal control, to reduce this threat to below the risk appetite, or report to the board where this is not possible.

• مت فرعتلا ىلع

رطاخملا يتلا

ددھت قيقحت

ةأشنملا اھفادھلأ

اھمييقتو نم

لبق

ةرادلإا دقو

مت ريوطت ماظن

يباقر يلخاد

لاّعف ةرطيﺴلل

ىلع اھراثآ

ةيبلﺴلا

اميو

لقي نع

ىوتﺴم ةردقلا

ىلع

،لمحتلا يفو

لاح مدع

ةردقلا ىلع

قيقحت

،كلذ

غلابلإا اھنع

سلجمل ةرادلإا

.

Trang 7

• The inherent risks are recorded and assessed in some way that permits them to be ranked in order of threat.

• ليجﺴت مييقتو

رطاخملا ةلﺻأتملا

ةقيرطب حمﺴت

اھيبترتب ًاعبت

اھتيمھلا

• The board has approved a risk appetite for the organization on such a basis that risks can be easily identified as being above, or below, the risk appetite.

• دامتعا تايوتﺴم

ةردقلا ىلع

لمحتلا نم

لبق سلجم

ةرادلإا بولسأب

حضاو

نكمي هعم

ديدحت اميف

اذإ تناك ةرطاخملا

لقأ وأ

ىلعأ نم

ةردقلا ىلع

لمحتلا

ةلوھﺴب

Trang 8

• The responsibility for providing assurance on the risk management framework is defined This will include defining the responsibilities of management, external audit, internal audit and any other function that provide assurance.

any other function that provide assurance.

• ديدحت ماھم

تاھجلا ةلوؤﺴملا

نع دكأتلا

نم ةيلاعف

راطإ ةيجھنمو

ةرادإ

،رطاخملا امبو

لمشي ةيلوؤﺴم

لك نم

ةرادلإا قيقدتلاو

يجراخلا

قيقدتلاو

يلخادلا ةيأو

ةرادإ ىرخأ

اھيدل ماھم

ةيباقر

Trang 9

Traditional Approach versus Risk Based internal approach::

جھنملا

رطاخملا ىلع زكترملا يلخادلا قيقدتلا عم ةنراقم يديلقتلا

Traditional IA Approach

يديلقتلا يلخادلا قيقدتلا

Risk Based IA Approach

Audit plan based on the audit cycle (Time duration)

قيقدتلا ةرود ىلع ًاءانب قيقدتلا ةطخ دعت )

ةينمزلا ةدملا

آ ذنم ةدحولل تمت ةرايز رخ (

Audit plan based on the results of the business units Risk Evaluation Risky areas are covered first and more frequently.

تادحولل رطاخملا مييقت جئاتن ىلع ًاءانب قيقدتلا ةطخ دعت

تادحولا ةيطغت متي ثيح رثكلأا

ًةروطخ ًلاوأ

Important Risks might not be covered in the audit

program

رطاخملا ضعب ةيطغت متي لا دق ةماھلا

قيقدتلا جمانرب يف

Provides assurance that Important risks are being managed properly

رطاخملا نأب اديكأت يطعي ةماھلا

بولطملا لكشلاب رادت

Focus on deficiencies in controls and cases of non

compliance with P & P.

زكري

لا ىلع روصق

يف مدع تلااحو ةيباقرلا تاءارجلإا

تاسايسلاب مازتللاا لمعلا تاءارجإو

Focus on risks that are not properly controlled and / or overly controlled

ىلع زكري رطاخملا

ريغ رطاخملا زاربإو اھيلع ةرطيسملا

رطيسملا

نم رثكأ لكشب اھيلع مزلالا

An understanding of Business Unit operations is built

through time consuming process mapping exercises

and might rely on outdated P & P manuals

لذب دھجو تقو نييفاضإ

متي ثيح تادحولا لمع مھفل

ىلع دامتعلاا لحارم عبتت

لمعلا ريس ليلحتو

ةلدأ

تاءارجإو تاسايس لمعلا

) يتلاو دق

ةثدحم ريغ نوكت

(

In depth understanding of the business unit operations through Risk assessment workshops and with the participation of the BU management.

مھف تادحولا لمعل ربكأ مييقت لمع تاشرو للاخ نم

تادحولا ءاردم ةكراشمبو رطاخملا

Trang 10

Traditional Approach versus Risk Based internal approach::

جھنلا رطاخملا ىلع زكترملا يلخادلا قيقدتلا لباقم يديلقتلا

Traditional IA Approach

يديلقتلا يلخادلا قيقدتلا

Risk Based IA Approach

IA resources are spread over all business units / activities

تادحولا عيمج ىلع يلخادلا قيقدتلا دراوم عيزوت

ةطشنلأاو اھب ةطبترملا رطاخملا ةجرد نع رظنلا ضغب

More efficient use of IA resources by concentrating on Risky units / areas

زيكرتلا للاخ نم يلخادلا قيقدتلا دراومل لثملأا مادختسلاا

تادحولا ىلع /

ةروطخ رثكلأا قطانملا

Disagreement with the BU management on the importance of the findings raised by IA

تاظحلام ةيمھأ ىلع تادحولا تارادإ عم قفاوتلا مدع

قيقدتلا

The importance of risks is established during the Risk Assessment phase and in agreement between IA the BU management

قافتلإا متي مييقت ةلحرم للاخ رطاخملا ةيمھأ ىلع

نيب ام قافتلإابو رطاخملا تارادإو يلخادلا قيقدتلا

تادحولا

Disagreement with the business unit management over the action plans leading to delays in implementation

قيبطت ططخ ىلع تادحولا تارادإ عم قفاوتلا مدع

تايصوتلا امبو

ىلإ يدؤي اھقيبطت يف رخأتلا

Facilitate consensus with line management on the needed action plans thus improving timely and effective implementation of corrective measures

قيبطت ةطخ ىلع تارادلإا ةقفاوم ىلع لوصحلا ةعرس

تايصوتلا ھقيبطت ىلإ يدؤي امبو

ريخأت نود ا

Trang 11

RBIA Stages

لحارم رطاخملا ىلع زكترملا يلخادلا قيقدتلا

:

Annual Audit Planning

ةيونﺴلا قيقدتلا ةطخ دادعإ Audit Visits

قيقدتلا تارايز ذيفنت

Trang 12

RBIA Stages

رطاخملا ىلع زكترملا يلخادلا قيقدتلا لحارم :

Throughput

لمعلا مجح

Value of Transactions

تايلمعلا ةميق

Complexity

ديقعت ىدم تايلمعلا ةميق

ةذفنملا

Stability

رارقتسلإا

Management

ةرادلإا

Control Environment

ةيباقرلا ةئيبلا

Time Since Last Audit

رخآ ذنم ةرتفلا قيقدت

ديقعت ىدم تايلمعلا

Annual Audit Planning

ةطخ دادعإ ةيونسلا قيقدتلا

Trang 13

RBIA Stages

رطاخملا ىلع زكترملا يلخادلا قيقدتلا لحارم :

ىلولأا ةلحرملا

First Stage

طيطختلا

ةمھملا ذيفنتل

Planning قيقدتلا ةمھم ذيفنت ةيناثلا ةلحرملا

Audit Visits قيقدتلا تارايز ذيفنت

قيقدتلا ةمھم ذيفنت

Execution

جئاتنلا غيلبت Reporting

مدقتلا ةبقارم Monitoring Progress

ةيناثلا ةلحرملا

Second Stage

ةثلاثلا ةلحرملا

Third Stage

ةعبارلا ةلحرملا

Fourth Stage

Trang 14

ىلولأا ةلحرملا :

ةمھملل طيطختلا

Planning

ءاضعأ عم ةلباقملا

ةركذم دادعإ

طيطختلا /

قاطن

لمعلا

عضو جمانرب

قيقدتلا

Preparing Audit Program

ةيلولأا ةعجارملا

Preliminary desk

review

ءاضعأ عم ةلباقملا عضوم ةدحولا قـيقدتلا

Pre–Audit Meeting with auditee

لمعلا

Drafting and agreeing the Planning / Scope Memorandum

Trang 15

ةيناثلا ةلحرملا :

ةمھملا ذيفنت

Execution

Executing the audit program and gathering evidence

موقي ةلحرملا هذھ يف ققدملا

و قيقدتلا جمانرب ذيفنتب ةلدلأا عمج

Compliance

• Conducting compliance tests (Tests of Controls) to check whether the existing internal controls are being applied as prescribed

• ذيفنت تاﺻوحف مازتللإا

) ةيباقرلا تاءارجلإا تاﺻوحف (

ةيباقرلا تاءارجلإا نأ نم دكأتلل ةيلاحلا

لمعت امك

Compliance

Tests

تاصوحف

مازتللإا

• ذيفنت تاﺻوحف مازتللإا

) ةيباقرلا تاءارجلإا تاﺻوحف (

ةيباقرلا تاءارجلإا نأ نم دكأتلل ةيلاحلا

لمعت

امك

بجي

Updating the

Risk Profile

تانايب ثيدحت

رطاخملا ةيعضو

• Compliance tests results are reflected on the risk profile and in case some of the mitigating controls are not working as intended, additional risks (weaknesses) are highlighted.

•

لمعت لا ةيباقرلا تاءارجلإا ضعب نأ نيبت لاح يفو رطاخملا ةيعضو ىلع ماازتللإا تاﺻوحف جئاتن سكعت

رطاخملا ديدحت متي ،بجي امك )

ةقلاعلا تاذ فعضلا طاقن (

Substantive

Tests

تاصوحف

ققحتلا

• Substantive tests are conducted -while concentrating on important weaknesses – to check whether risk have occurred and measure the resulting outcome.

•

ةراﺴخلا سايقو رطاخملا تعقو اذإ امم دكأتلل ةماھلا فعضلا طاقن ىلع ققحتلا تاﺻوحف زيكرت متي

اھنع ةمجانلا

Trang 16

ةثلاثلا ةلحرملا :

جئاتنلا غيلبت Reporting

ةيﺴيئر فادھأ ةثلاث قيقدتلا ريراقتل

Communicate

غلابلإا

• Communicating the audit findings

Convince

عانقلإا

• Convincing the Management by the results

Gain the Results

جئاتن ىلع لوصحلا

• Moving the Management

to change and make the

ةمجانلا رئاﺴخلاو رطاخملا زاربا

اھنع ) تدجو نإ (

ةحرتقملا تايﺻوتلا رثأ حيضوت

ةيباقرلا ةئيبلاو رطاخملا ىلع

هذھ ةفلكت عم اھتنزاومو

تايﺻوتلا

findings

• رابخلإا )

ملاعلإا (

هدجو امع

ةيلمع للاخ نيققدملا مھتاجاتنتسإو قيقدتلا

Management by the results and the value of the

recommendations

Highlighting the risks and related losses (if any)

•

جئاتنلا ةحصب ةرادلإا عانقإ

مت يتلا تايصوتلا ةميقو

اھل لصوتلا ةمجانلا رئاﺴخلاو رطاخملا زاربا

اھنع )

تدجو نإ (

to change and make the

necessary improvements

Showing the impact of

recommendations on the

mitigation of risks and the

Control Environment

•

رييغتلا وحن ةرادلإا كيرحت

ةمزلالا تانيسحتلا ءارجإو

ةحرتقملا تايﺻوتلا رثأ حيضوت

ةيباقرلا ةئيبلاو رطاخملا ىلع

هذھ ةفلكت عم اھتنزاومو

تايﺻوتلا

Trang 17

ةعبارلا ةلحرملا :

مدقتلا ةعباتم Monitoring Progress

Complying to the IIA standards, the chief audit executive must establish a

follow-up process to monitor and ensure that management actions have been effectively implemented or that senior management has accepted the risk of not taking action (2500 A1)

ًاقيبطت ريياعمل

قيقدتلا يلخادلا

ةرداصلا نع

دھعم نيققدملا

،نييلخادلا هنإف

ىلع

ريدم

ةرئاد قيقدتلا

يلخادلا ينبت

ةيلآ لمع

ةعباتمل دكأتلاو

نم نا

تاءارجلإا

ةيحيحصتلا

) تايﺻوتلا (

دق مت اھقيبطت ةيلاعفب

وأ نأ ةرادلإا ايلعلا

دق تلبق ةرطاخمب

مدع قيبطت

ءارجلإا

يحيحصتلا

) رايعملا

2500 A1 (

Trang 18

Internal Audit Rating Policy

مييقتلا ةسايس

Trang 19

Rating Matrix مييقتلا ةفوفصم

Key Controls

Working

Within Acceptable Gap

1%-20%

Above Acceptable

20%-40%

Above Acceptable

>40%

Above Acceptable

Định dạng
Số trang	20
Dung lượng	365,62 KB