ریسک های کلیدی حسابرسی داخلی 2026: راهنمای جامع

حسابرسی داخلی: ریسک‌های کلیدی سال ۲۰۲۶

در چشم‌انداز ریسک امروزی که به سرعت در حال تحول است، حسابرسی داخلی با نسل جدیدی از تهدیدات روبرو است که نیازمند تمرکز دقیق‌تر و چابکی بیشتری نسبت به گذشته است. در چنین محیطی، انتظارات از واحدهای حسابرسی داخلی هرگز تا این حد بالا نبوده است: آن‌ها باید مسیر پیش رو را روشن کنند و به سازمان‌ها در مدیریت عدم قطعیت، سازگاری با تغییرات، ایجاد تاب‌آوری و بهره‌برداری از فرصت‌ها کمک کنند. اولین قدم برای مدیریت این عدم قطعیت، شناخت ریسک های کلیدی حسابرسی داخلی 2026 است.

هر ساله، واحد حسابرسی داخلی باید از منابع (محدود) خود برای رسیدگی به ریسک‌هایی استفاده کند که بیشترین اهمیت را برای سازمان دارند. KPMG ریسک‌های کلیدی زیر را که با گزارش «ریسک در کانون توجه ۲۰۲۶» کنفدراسیون اروپایی مؤسسات حسابرسی داخلی (ECIIA) همسو است، شناسایی و گردآوری کرده است. این ریسک‌های کلیدی می‌توانند توسط حسابرسان داخلی برای اولویت‌بندی فعالیت‌ها در سال پیش رو مورد استفاده قرار گیرند.

هدف ما از این مقاله، ارائه یک نمای کلی و واضح از این ریسک‌های در حال تحول به واحدهای حسابرسی، به همراه ملاحظات عملی برای چگونگی پاسخگویی مؤثر تیم‌ها است. این ریسک‌های برتر باید در یک برنامه حسابرسی انعطاف‌پذیر و پویا گنجانده شوند؛ برنامه‌ای که ضمن رسیدگی به ریسک‌های حیاتی بلندمدت، نسبت به تحولات جدید و سریع نیز پاسخگو باشد.

چشم‌انداز ریسک: مروری بر ریسک‌های تثبیت‌شده و نوظهور

هر یک از این ریسک‌ها شایسته توجه هستند، اما ما تأکید ویژه‌ای بر شش ریسکی داریم که انتظار می‌رود در آینده نزدیک تشدید شوند. اگرچه لیست ما یک لیست جامع از حوزه‌های کلیدی نیست، اما می‌تواند به عنوان نقطه شروعی مناسب برای واحد حسابرسی داخلی عمل کند تا هنگام ارزیابی پروفایل ریسک و محیط کنترلی سازمان در دوره‌های آینده، از آن بهره‌برداری کند. با شناسایی و ادغام این ریسک‌ها در ارزیابی ریسک حسابرسی و چرخه برنامه‌ریزی سالانه، تیم‌های حسابرسی داخلی بلندپرواز و تاب‌آور می‌توانند چابک و آینده‌نگر باقی بمانند.

• حاکمیت داده و حریم خصوصی
• هوش مصنوعی و تحول دیجیتال
• امنیت سایبری
• محیط زیست، جامعه و حاکمیت (ESG)
• زنجیره تأمین
• تنش‌های ژئوپلیتیکی و اقتصاد کلان
• انطباق و تغییرات قانونی
• سرمایه انسانی
• مدیریت تداوم کسب‌وکار و تاب‌آوری
• حاکمیت سازمانی و گزارشگری شرکتی

نقش حسابرسی داخلی در ریسک‌های نوظهور

هوش مصنوعی (AI) و تحول دیجیتال

هوش مصنوعی (AI) و تحول دیجیتال به سرعت در حال تغییر شکل چشم‌انداز کسب‌وکار هستند و انتظار می‌رود تا سال ۲۰۲۹ به دومین حوزه ریسک حیاتی برای واحدهای حسابرسی داخلی تبدیل شوند. در حالی که این فناوری‌ها پتانسیل تحول‌آفرینی – از جمله خودکارسازی وظایف روتین، بهبود تصمیم‌گیری و ایجاد کارایی‌های جدید – را ارائه می‌دهند، ریسک‌های پیچیده‌ای را نیز به همراه دارند که نیازمند حاکمیت دقیق و بررسی اخلاقی است.

سیستم‌های هوش مصنوعی به طور فزاینده‌ای در فرآیندهای اصلی کسب‌وکار تعبیه می‌شوند و بر تصمیماتی که بر مشتریان، کارمندان و نتایج استراتژیک تأثیر می‌گذارند، اثرگذارند. بدون نظارت قوی، این سیستم‌ها می‌توانند عواقب ناخواسته‌ای ایجاد کنند، مانند:

• سوگیری الگوریتمی: منجر به نتایج تبعیض‌آمیز در استخدام، اعطای وام یا خدمات مشتری می‌شود.
• اتکای بیش از حد به اتوماسیون: که ممکن است قضاوت انسانی را تضعیف کرده و آسیب‌پذیری‌های سیستمی ایجاد کند.
• مسائل کیفیت داده: جایی که داده‌های ورودی با کیفیت پایین یا مغرضانه منجر به خروجی‌های ناقص هوش مصنوعی شده و اعتماد و اثربخشی را تضعیف می‌کند.

نقش حسابرسی داخلی

برای گنجاندن این موضوع در برنامه حسابرسی خود، یک یا چند مورد از موارد زیر را در نظر بگیرید:

• حسابرسی شفافیت، سوگیری‌ها و عدالت الگوریتمی: منطق تصمیم‌گیری و قابلیت ردیابی در مدل‌های هوش مصنوعی را بررسی کنید.
• ارائه اطمینان‌بخشی در مورد هوش مصنوعی: به طور مستقل استحکام، توضیح‌پذیری و همسویی اخلاقی مدل را تأیید کنید.
• مشاوره در مورد «هوش مصنوعی مسئولانه»: از توسعه سیاست‌ها و بهترین شیوه‌های هوش مصنوعی در نوآوری و مدیریت ریسک حمایت کنید.
• امکان اطمینان‌بخشی در لحظه (Real-time): از ابزارهای هوش مصنوعی برای نظارت مستمر بر کنترل‌ها و سیگنال‌های ریسک استفاده کنید.
• تقویت آگاهی از ریسک هوش مصنوعی: شناسایی کنید که ریسک‌های هوش مصنوعی در کجا به دلیل آگاهی پایین نادیده گرفته می‌شوند و در مورد نقش‌ها، مسئولیت‌ها و مسیرهای ارجاع واضح‌تر مشاوره دهید.

تنش‌های ژئوپلیتیکی و اقتصاد کلان

عدم قطعیت ژئوپلیتیکی به یکی از ویژگی‌های تعیین‌کننده محیط کسب‌وکار جهانی تبدیل شده است. از تنش‌های تجاری و درگیری‌های مسلحانه گرفته تا تغییر اتحادها و رژیم‌های تحریمی، تحولات ژئوپلیتیکی می‌توانند به سرعت و به طور قابل توجهی عملیات، زنجیره‌های تأمین، تعهدات قانونی و ثبات مالی یک سازمان را مختل کنند. این ریسک‌ها اغلب غیرقابل پیش‌بینی هستند و می‌توانند به سرعت تشدید شوند و سازمان‌ها را در صورت عدم آمادگی و مکانیسم‌های پاسخگویی مناسب، در معرض خطر قرار دهند.

نقش حسابرسی داخلی

برای گنجاندن این موضوع در برنامه حسابرسی خود، موارد زیر را در نظر بگیرید:

• حسابرسی مواجهه ژئوپلیتیکی: جغرافیاها و تأمین‌کنندگان پرریسک را در دامنه حسابرسی خود بگنجانید و بررسی کنید که آیا کنترل‌هایی برای مدیریت تحریم‌ها، محدودیت‌های تجاری و بی‌ثباتی منطقه‌ای وجود دارد یا خیر.
• بررسی برنامه‌های بحران و تداوم فعالیت: آزمایش کنید که آیا رویه‌های تداوم کسب‌وکار و پاسخ به بحران تحت سناریوهای ژئوپلیتیکی به‌روز و مؤثر هستند یا خیر.
• ارزیابی مدیریت ریسک شخص ثالث: تأیید کنید که بررسی دقیق فروشندگان شامل عوامل ریسک ژئوپلیتیکی است و برنامه‌های اضطراری برای تأمین‌کنندگان حیاتی وجود دارد.

مدیریت تداوم کسب‌وکار (BCM) و تاب‌آوری

در محیط کسب‌وکار غیرقابل پیش‌بینی امروز، سازمان‌ها با طیف گسترده‌ای از تهدیدات روبرو هستند که می‌توانند عملیات را مختل کرده و بقای بلندمدت را تهدید کنند. به همین دلیل، حسابرسی داخلی باید تداوم کسب‌وکار و تاب‌آوری را نه تنها به عنوان نگرانی‌های عملیاتی، بلکه به عنوان حوزه‌های ریسک استراتژیک در نظر بگیرد. با ارزیابی مستقل طراحی و اثربخشی چارچوب‌های تداوم، حسابرسی داخلی اطمینان می‌دهد که سازمان برای پاسخگویی و بازیابی از اختلالات آماده است.

نقش حسابرسی داخلی

برای گنجاندن این موضوع در برنامه حسابرسی خود، موارد زیر را در نظر بگیرید:

• ارزیابی کامل بودن و به‌روز بودن برنامه‌های تداوم کسب‌وکار (BCPs): بررسی کنید که آیا BCPها در برابر سناریوهای واقعی مانند حملات سایبری، بلایای طبیعی و اختلالات زنجیره تأمین، جامع و آزموده شده‌اند.
• تأیید پوشش از طریق تحلیل تأثیر کسب‌وکار (BIA): ارزیابی کنید که آیا BCP تمام فرآیندهای حیاتی کسب‌وکار، پرسنل کلیدی، فروشندگان ضروری و زیرساخت‌های فناوری اطلاعات را پوشش می‌دهد.
• ارزیابی استراتژی‌های پشتیبان‌گیری و بازیابی: تأیید کنید که رویه‌های پشتیبان‌گیری با قاعده 3-2-1 (سه نسخه، دو نوع رسانه، یک نسخه خارج از سایت) و استانداردهایی مانند ISO 27001 مطابقت دارد.
• آزمایش اهداف زمان بازیابی (RTOs) و اهداف نقطه بازیابی (RPOs): بررسی کنید که آیا RTO و RPO واقع‌بینانه، همسو با نیازهای کسب‌وکار و از طریق آزمون‌های واقعی بازیابی تأیید شده‌اند.
• بررسی پروتکل‌های ارجاع و ارتباطات بحران: اطمینان حاصل کنید که مسیرهای ارجاع، نقش‌های تیم بحران و رویه‌های ارتباطی داخلی به وضوح تعریف و مستند شده‌اند. حسابرسی داخلی می‌تواند این موارد را با NIST SP 800-34 یا ISO 22301 محک بزند.

امنیت سایبری

امنیت سایبری همچنان بر چشم‌انداز ریسک سازمان‌ها تسلط دارد و به طور مداوم به عنوان نگرانی اصلی مدیران ارشد حسابرسی (CAEs) رتبه‌بندی می‌شود. با تسریع تحول دیجیتال، حجم داده‌های حساس در شبکه‌ها به طور تصاعدی افزایش می‌یابد. این ردپای دیجیتالی در حال گسترش، سازمان‌ها را در برابر تهدیدات سایبری، از حملات باج‌افزاری و فیشینگ گرفته تا تهدیدات داخلی و نفوذ از طریق اشخاص ثالث، آسیب‌پذیرتر می‌کند.

با توجه به این موضوع، انجمن حسابرسان داخلی (IIA) یک الزام موضوعی اجباری در زمینه امنیت سایبری را معرفی کرده است که از فوریه ۲۰۲۶ لازم‌الاجرا می‌شود. این الزام یک استاندارد جهانی برای نحوه ارزیابی حاکمیت، مدیریت ریسک و کنترل‌های امنیت سایبری توسط حسابرسی داخلی تعیین می‌کند.

نقش حسابرسی داخلی

برای گنجاندن این موضوع در برنامه حسابرسی خود، موارد زیر را در نظر بگیرید:

• اعمال چارچوب‌ها: از ISO 27001، NIS2 یا DORA برای بررسی حاکمیت، مدیریت هویت، آموزش، حفاظت از داده‌ها و پاسخ به حوادث استفاده کنید.
• تأیید حریم خصوصی داده‌ها: بررسی کنید که آیا داده‌های شخصی به صورت ایمن جمع‌آوری، ذخیره، نگهداری و حذف می‌شوند و آیا دسترسی اشخاص ثالث به درستی مدیریت می‌شود (مانند انطباق با GDPR).
• ارزیابی پاسخ به حوادث: تأیید کنید که برنامه‌های پاسخ آزمایش، مستند و بهبود یافته‌اند – شامل آمادگی برای ارجاع و بحران.
• به چالش کشیدن ریسک‌های نوظهور: بررسی کنید که سازمان چگونه با تهدیداتی مانند دیپ‌فیک، حملات مبتنی بر هوش مصنوعی و پیکربندی‌های نادرست ابری مقابله می‌کند.

سرمایه انسانی و انطباق با مقررات

تغییرات سریع در قوانین و مقررات همچنان یکی از مهم‌ترین چالش‌های پیش روی سازمان‌هاست. با معرفی الزامات جدید توسط دولت‌ها و نهادهای نظارتی، سازمان‌ها باید در رویکرد خود به انطباق، چابک، آگاه و پیشگیرانه عمل کنند. عدم انطباق می‌تواند منجر به جریمه‌های مالی سنگین، اختلالات عملیاتی و آسیب به اعتبار شود.

از سوی دیگر، سرمایه انسانی نیز به یک حوزه ریسک کلیدی تبدیل شده است. چالش‌هایی مانند جذب و نگهداشت استعدادها، مدیریت مهارت‌ها در عصر دیجیتال و اطمینان از سلامت روانی کارکنان، نیازمند توجه ویژه واحد حسابرسی داخلی است.

نقش حسابرسی داخلی

برای گنجاندن این موضوع در برنامه حسابرسی خود، موارد زیر را در نظر بگیرید:

• نظارت بر تحولات قانونی: قوانین نوظهور (مانند VOR, DSA, CSRD) را ردیابی کرده و تأثیر آنها را بر کنترل‌های داخلی و چارچوب‌های ریسک ارزیابی کنید.
• ارزیابی چارچوب‌های انطباق: آزمایش کنید که آیا سیاست‌ها و رویه‌ها به‌روز، به خوبی یکپارچه و پاسخگوی مقررات در حال تغییر هستند.
• اعتبارسنجی انطباق با مقررات: پایبندی به یک مقررات خاص را تأیید کنید و بررسی کنید که آیا سازمان با الزامات مندرج در چارچوب انطباق مطابقت دارد.

منبع: این مقاله بر اساس گزارش KPMG با عنوان “Internal Audit: key risk areas 2026” تهیه و ترجمه شده است.