خامساً: تقدير خطر الرقابة الداخلية 

تعرف المخاطر الرقابية بأنها المخاطر الناتجة عن حدوث خطأ في أحد الأرصدة أو في نوع معين من المعاملات ، قد يكون جوهرياً إذا اجتمع مع خطأ في أرصدة أخرى أو نوع آخر من المعاملات ولا يمكن منعه أو اكتشافه في وقت مناسب عن طريق إجراءات الرقابة الداخلية ، بمعنى أن المخاطر الرقابية قياس لتقديرات المراجع الاحتمالية أن الأخطاء (التحريفات) الزائدة عن المقدار المقبول في دورة أو جزء من المعاملات لن تمنع أو تكتشف بواسطة الرقابة الداخلية للعميل.

ويعتبر هذا الخطر دالة لفعالية إجراءات الرقابة الداخلية، حيث أنه كلما كانت الرقابة الداخلية أكثر فعالية كان هناك احتمال عدم وجود أخطاء أو اكتشافها بواسطة هذا الهيكل أو كان معامل الخطر الذي يمكن تحديده للمخاطر الرقابية أقل، ونظراً للحدود اللازمة لأي نظام رقابة داخلية فإنه لا مفر من وجود هذا الخطر.

وعموماً فإن تحديد المراجع لمخاطر الرقابة الداخلية ومجالات الضعف في نظام الرقابة الداخلية يعتمد إلى حد كبير على الحكم الشخصي للمراجع ، ويعرف ضعف الرقابة الداخلية الذي يؤدي إلى تقدير مرتفع لمخاطر المراجعة بأنه غياب أو عدم فاعلية إجراءات الرقابة ، والتي تؤدي إلى وجود خطأ أو عدم انتظام في القوائم المالية ، وتتحدد الأهمية النسبية لهذا الخطر بمقدار أثره على القوائم. ويترتب على ذلك ضرورة قيام المراجع بتحديد احتمال حدوث خطأ أو أوجه عدم انتظام لا تكتشف في الوقت المناسب وتؤثر جوهرياً على عناصر القوائم المالية .

عرفت معايير التدقيق الدولية خطر الرقابة بأنه خطر وجود تحريف في رصيد حساب ما أو في نوع معين من العمليات ، وقد يكون هذا التحريف جوهرياً سواء وجد منفرداً أو وجد مع تحريفات في أرصدة أو عمليات أخرى، ولا يمكن منع هذا التحريف أو اكتشافه وتصحيحه في الوقت المناسب من خلال نظم الرقابة الداخلية في المنشأة يطلق على خطر الرقابة مع الخطر الحتمي CR.IR خطر الشركة محل التدقيق Risk Auditee" أو خطر الحدوث Risk occurrence" انطلاقاً من أنهما يمثلان خطر وجود تحريف قبل عملية التدقيق ولا يملك المدقق أي تحكم بهما، إلا أنه يقدرهما في سبيل تحديد مستوى خطر التدقيق ، حيث يعتمد نموذج خطر التدقيق بشكل أساسي على فكرة أن خطر الاكتشاف الذي يقدره المدقق يتأثر بالخطر الحتمي وخطر الرقابة، بينما ينجم كل من الخطر الحتمي وخطر الرقابة عن الشركة محل التدقيق، في حين يتعلق خطر الاكتشاف بالمدقق فقط، فالخطر الحتمي يعود لأنشطة الشركة محل التدقيق، متأثراً بعوامل خارجية، وخطر الرقابة هو داخلي بشكل كامل، فهو ينشأ عن قرارات الإدارة حول الرقابة الداخلية المطلوبة، ولا يستطيع المدقق التأثير على هذين الخطرين ولكنه يقوم فقط بتقديرهما، من أجل تحديد حجم و وطبيعة ونطاق إجراءات التدقيق المطلوبة لتخفيض خطر الاكتشاف للمستوى المقبول. 

ويعرف تقييم خطر الرقابة الداخلية بأنه توقع المدقق لمدى قدرة الرقابة الداخلية على منع التحريفات الجوهرية من الحدوث أصلاً، أو قدرتها على اكتشاف تلك التحريفات وتصويبها في حال حدوثها وعلى المدقق فهم نظام الرقابة الداخلية من حيث تصميمه وكيفية تطبيقه، وذلك ليقوم بعملية تقدير أولية لخطر الرقابة كجزء من عملية التقدير الكلية لخطر التحريفات الجوهرية ، حيث أن المدقق يقوم باستخدام هذا التقدير الأولي لخطر الرقابة في التخطيط لعملية التدقيق، وهذا ما يتم بالتأكيد بعد التأكد من أن المنشأة صالحة للتدقيق، وإن فهم الرقابة الداخلية وتقدير خطر الرقابة يمر بالمراحل التالية : 

1. فهم الرقابة الداخلية من حيث التصميم والتطبيق.

2. تقدير خطر الرقابة في كل عملية من العمليات الهدف حيث يكون (مرتفع، متوسط، منخفض).

3. التخطيط ومن ثم إجراء اختبارات الرقابة وتقييم النتائج، ويتم تحديد حجمها وفق مستوى الخطر المقدر ومراجعة مدى ملائمة مستوى خطر الرقابة المقدر.

4. تقدير خطر الاكتشاف وتنفيذ الإجراءات الجوهرية مع الأخذ بالاعتبار لخطر الرقابة المقدر وعناصر الخطر الأخرى.