ما المقصود بتدقيق الامتثال؟

تدقيق الامتثال هو عملية مراجعة نزيهة لأنشطة المؤسسة وسجلاتها للتحقق من الالتزام بالسياسات والمعايير واللوائح الداخلية والخارجية. ويمكن أن يشمل ذلك مجالات مثل الأمن الإلكتروني، وخصوصية البيانات، والتقارير المالية والصحة والسلامة.

غالبًا ما تُجرى عمليات تدقيق الامتثال كجزء من نظام إدارة الامتثال بالمؤسسة. نظام إدارة الامتثال، أو CMS، هو نظام متكامل يُستخدم لتلبية المتطلبات التنظيمية والسياسات الداخلية ومعايير المجال.

بالإضافة إلى عمليات تدقيق الامتثال الدورية، قد يتضمن نظام إدارة الامتثال الفعال أيضًا مجلس إدارة يركز على إنشاء ثقافة الامتثال في المؤسسة؛ ومديرًا لقسم الامتثال لوضع سياسات وإجراءات الامتثال أو تنفيذها؛ ومراقبة الامتثال، والتي تستلزم مراقبة العمليات لتحديد مجالات عدم الامتثال.

اكتسبت عمليات التدقيق مكانة بارزة في المجتمع خلال الثورة الصناعية الأولى، حيث تطورت الشركات وسعى المستثمرون للحصول على ضمانات بشأن سلامة أوضاعها المالية من خلال تدقيق السجلات المالية. وفي منتصف القرن التاسع عشر، سنّت المملكة المتحدة قانونًا يفرض إجراء عمليات تدقيق في الشركات، ما ساعد على بدء وضع لوائح الامتثال التي لا تزال سارية حتى يومنا هذا.¹

لا تقتصر متطلبات الامتثال الحالية على فحص البيانات المالية، بل تشمل مجالات متنوعة، مثل حماية المعلومات الحساسة أو التزام المؤسسات باللوائح البيئية.

ولمعرفة أهمية عمليات تدقيق الامتثال، تجدر الإشارة أولاً إلى مجال الامتثال في الوقت الحالي.

في جميع أنحاء العالم، تفرض الحكومات والمؤسسات على مختلف مجالاتها مجموعة كبيرة ومتنوعة من متطلبات الامتثال لتحقيق مصلحة المستهلكين والموظفين والمستثمرين وغيرهم من الأطراف المعنية. يمكن أن يؤدي انتهاك هذه المتطلبات إلى فرض عقوبات وغرامات هائلة وإلحاق الضرر بالسمعة.

على سبيل المثال، يمكن أن تُفرض على الشركات التي تنتهك اللائحة العامة لحماية البيانات في الاتحاد الأوروبي انتهاكًا جسيمًا غرامات تصل إلى 20 مليون يورو أو 4% من إيراداتها السنوية في جميع أنحاء العالم، أيهما أعلى.

يمكن أن تساعد عمليات تدقيق الامتثال المؤسسات على تحقيق أهداف أعمالها مع تجنب مثل هذه العواقب المكلفة. ويمكنها تمكين المؤسسات من تحديد ما إذا كانت تتبع أفضل ممارساتها لإدارة المخاطر، وتحديد ما إذا كانت معرضة لخطر عدم الامتثال، والكشف عن الحالات التي تتطلب اتخاذ إجراءات تصحيحية. كما توفر عمليات التدقيق ضمانات للأطراف المعنية فيما يتعلق بجهود الامتثال التنظيمي التي تبذلها المؤسسة.

غالبًا ما يُستخدم مصطلح تدقيق الامتثال للإشارة على وجه التحديد إلى التدقيق الخارجي الذي يُجريه مدققون خارجيون مستقلون. ومع ذلك، يمكن أن تندرج عمليات التدقيق الداخلي—التي ينفذها مدقق داخلي أو فريق تدقيق من داخل الشركة—ضمن عمليات تدقيق الامتثال.

غالبًا ما تركز عمليات تدقيق الامتثال الداخلي على امتثال الشركة لسياساتها وإجراءاتها الخاصة، بالإضافة إلى تحسين الكفاءة في عمليات الأعمال وأنشطة إدارة المخاطر. أما عمليات التدقيق الخارجي غالبًا ما تُجرى بهدف طمأنة الأطراف المعنية الخارجية بأن الشركة تلتزم بالمعايير الخارجية، مثل اللوائح الحكومية.

وفي كلتا الحالتين، ينبغي إجراء عمليات التدقيق بطريقة نزيهة بحيث يمكن استخدام نتائجها (الاستنتاجات والتوصيات الواردة في تقرير التدقيق) لمساعدة المؤسسات ومسؤولي الامتثال على الحفاظ على الامتثال المستمر وتحديد مخاطر الامتثال المحتملة.

يمكن لإجراءات التدقيق تقييم مدى التزام الشركات بمعايير الامتثال في المجالات والتخصصات المختلفة. ويشمل ذلك ما يلي:

• الأمن الإلكتروني
• خصوصية البيانات وحمايتها
• التقارير المالية والأمن
• الممارسات البيئية والاجتماعية وحوكمة الشركات (ESG)
• الصحة والسلامة

يمكن أن تساعد عمليات تدقيق ممارسات الأمن الإلكتروني في المؤسسات على ضمان اتخاذ التدابير المناسبة لإدارة التهديدات الإلكترونية والاستجابة لها، بدءًا من التصيد الاحتيالي وحتى البرامج الضارة.

أحد المعايير المستخدمة بشكل شائع في عمليات تدقيق الأمن الإلكتروني هو إطار عمل الأمن الإلكتروني الصادر عن المعهد الوطني الأمريكي للمعايير والتقنية (NIST CSF). يوضح هذا المعيار الإرشادات وأفضل الممارسات التي يمكن لمؤسسات القطاع الخاص اتباعها لتحسين أمن المعلومات وإدارة مخاطر الأمن الإلكتروني. ويغطي هذا الإطار مجموعة من تدابير الأمن الإلكتروني بما في ذلك تقييم المخاطر وإدارة الهوية والتحكم في الوصول والتخطيط للاستجابة وأنشطة التعافي.

ومن المعايير الرئيسية الأخرى التي تدعم عمليات تدقيق الأمن الإلكتروني معيار ISO/IEC 27001، المعروف أيضًا باسم ISO 27001. معيار أمن المعلومات العالمي، الذي جرى تطويره بالتعاون بين المنظمة الدولية للمعايير واللجنة الكهروتقنية الدولية، هو مجموعة من المتطلبات الخاصة بأنظمة إدارة أمن المعلومات داخل المؤسسات. وهو يوفر بالفعل إطار عمل للمؤسسات لإدارة بياناتها الحساسة وغيرها من المعلومات وحمايتها، ما يقلل من مخاطر اختراق أمن البيانات، والهجمات الإلكترونية والحوادث الأمنية الأخرى.

بالإضافة إلى ذلك، يوجد تدقيق للأمن الإلكتروني مصمم خصوصًا لمقدمي الخدمات. أصبحت تقارير مراقبة تنظيم الخدمات (SOC) تقارير مستقلة تابعة لجهات خارجية وصادرة عن جهات تقييم معتمدة من المعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA) تهدف إلى معالجة المخاطر المرتبطة بخدمات التعهيد. يعمل تقرير مراقبة تنظيم الخدمات 2 على تقييم الضوابط الداخلية التي وضعتها المؤسسات لحماية بيانات العملاء، كما يقدم تفاصيل حول طبيعة تلك الضوابط الداخلية.

في حين أن عمليات تدقيق الأمن الإلكتروني تشمل عادةً فحص تدابير حماية البيانات في المؤسسة، فإن عمليات التدقيق المستندة إلى قوانين ولوائح معينة تركز بشكل خاص على هذا المجال. وتشمل هذه العمليات عمليات التدقيق المتوافقة مع القوانين التي تحمي معلومات المستهلكين وخصوصية البيانات الصحية.

تشمل القوانين التي تنطبق على المستهلكين بشكل عام اللائحة العامة لحماية البيانات الصادرة عن الاتحاد الأوروبي (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA). وللامتثال للائحة العامة لحماية البيانات (GDPR)، يتعين على الشركات استخدام طرق قانونية لنقل البيانات الشخصية ومعالجتها؛ وحماية البيانات الشخصية في أثناء تخزينها ونقلها؛ واحترام حقوق المقيمين في دول الاتحاد الأوروبي—على النحو المنصوص عليه في القانون—فيما يتعلق بجمع البيانات الشخصية واستخدامها وحيازتها.

وللامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA)، يجب على الشركات الالتزام بالإرشادات التي تتناول أنواعًا متعددة من البيانات الشخصية للمقيمين في كاليفورنيا، بما في ذلك تاريخ الميلاد ورقم رخصة القيادة ورقم جواز السفر ومعلومات الحساب المصرفي وأرقام بطاقات الائتمان أو بطاقات الخصم.

ومن الأنواع الرئيسية لعمليات تدقيق الامتثال في مجال خصوصية الرعاية الصحية تدقيق الامتثال لقانون  إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA). يُطلب من الجهات التي ينطبق عليها هذا القانون الأمريكي—بما في ذلك مقدمو الرعاية الصحية مثل الأطباء والمستشفيات، بالإضافة إلى شركات التأمين الصحي—والشركات التابعة لها تنفيذ مجموعة من الضوابط التقنية والإدارية والمادية المصممة لحماية المعلومات الصحية المحمية (PHI) والحفاظ عليها.

يمكن أن تساعد عمليات تدقيق البيانات المالية والضوابط الأمنية بالمؤسسات على تقييم مدى امتثالها للقوانين مثل قانون Sarbanes-Oxley (SOX) وقوانين المجال مثل معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS).

قانون SOX هو قانون أمريكي يهدف إلى منع الاحتيال في الشركات. وهو يُلزم الشركات العامة بتنفيذ ضوابط داخلية لحماية البيانات المالية من التلاعب؛ وتقديم تقارير دورية إلى لجنة الأوراق المالية والبورصات (SEC) تثبت فعالية الضوابط الأمنية ودقة الإفصاحات المالية؛ واجتياز عملية تدقيق سنوية مستقلة لبياناتها المالية وضوابطها.

معيار PCI DSS هو مجموعة من المتطلبات الأمنية التي تهدف إلى حماية بيانات حاملي البطاقات—مثل أرقام الحسابات الأساسية (PANs) والأسماء وتواريخ انتهاء الصلاحية ورموز الخدمة—وغيرها من المعلومات الحساسة طوال دورة حياتها.

يتطلب الامتثال لمعيار PCI DSS إعداد الشركات ومقدمي الخدمات لتقارير سنوية، وتقارير إضافية بعد التغييرات المهمة التي تطرأ على بيئة بيانات حامل البطاقة. يتضمن التحقق من الامتثال أيضًا التقييم المستمر للوضع الأمني للمؤسسة، والمعالجة المستمرة للتصدي لأي ثغرات في السياسة الأمنية أو التقنيات أو الإجراءات.

يمكن أن تحدد عمليات تدقيق الممارسات البيئية والاجتماعية وحوكمة الشركات (ESG) ما إذا كانت الشركات تمتثل للقوانين وأُطر العمل الطوعية المتعلقة بالتأثيرات البيئية والاجتماعية. ويشمل ذلك توجيه إعداد تقارير استدامة الشركات (CSRD) الصادر عن الاتحاد الأوروبي، ولوائح وكالة حماية البيئة الأمريكية، والمبادرة العالمية لإعداد التقارير (GRI)، ومعايير مجلس معايير محاسبة الاستدامة (SASB).

تعمل عمليات تدقيق السلامة على تقييم مدى التزام المؤسسات بالقوانين واللوائح المصممة لحماية صحة الموظفين وسلامتهم. ومن المعايير الرئيسية معيار ISO 45001، وهو معيار عالمي للصحة والسلامة طورته المنظمة الدولية للمعايير، وفي الولايات المتحدة، قواعد السلامة في مكان العمل التي وضعتها ونفذتها إدارة السلامة والصحة المهنية (OSHA). 

قد تختلف طبيعة تدقيق الامتثال باختلاف نوع التدقيق وبرنامج الامتثال والمؤسسة والمجال. ومع ذلك، توجد خطوات يتبعها مدققو الامتثال عادةً في أثناء عملية تدقيق الامتثال. ويشمل ذلك ما يلي:

الخطوة الأولى: التخطيط لعملية التدقيق

حدد نطاق عملية التدقيق وأهدافها والموارد التي ستتطلبها. قد يساعدك استخدام قائمة مراجعة لتدقيق الامتثال تحدد الخطوات اللازمة.

الخطوة الثانية: مراجعة المستندات

راجع سياسات الشركة وإجراءاتها بالإضافة إلى أي مستندات أخرى ذات صلة، مثل السجلات والعقود المختلفة.

الخطوة الثالثة: إجراء مزيد من البحث

اعقد مقابلات مع الموظفين و/أو المديرين. وإذا لزم الأمر، فراقب العمليات والعمليات الداخلية.

الخطوة الرابعة: إعداد تقرير تدقيق الامتثال

وثّق النتائج والاستنتاجات والتوصيات المتعلقة بالتحسين المستمر أو الإجراءات التصحيحية.

الخطوة الخامسة: بدء المتابعة

تابع التقدم المحرز في تنفيذ التدابير أو الإجراءات الموصى بها.

يمكن أن تساعد حلول البرامج المؤسسات على تتبع مدى التزامها بمتطلبات الامتثال والاستعداد لعمليات تدقيق الامتثال. توفر الحلول الرائدة إمكانات مثل ما يلي: