ریسک کنترل: چارچوب، ارزیابی و پاسخ

۱. ریسک کنترل چیست؟

ریسک کنترل (Control Risk) عبارت است از ریسک اینکه یک تحریف بااهمیت یا شکست عملیاتی توسط کنترل‌های داخلی یک سازمان به موقع پیشگیری، یا شناسایی و اصلاح نشود.

ارزیابی ریسک کنترل، فرآیندی برای سنجش موارد زیر است:

• طراحی کنترل‌های داخلی: آیا کنترل طراحی‌شده، ریسکی که برای آن ایجاد شده را پوشش می‌دهد؟
• اثربخشی کنترل‌های داخلی: کنترل تا چه حد به خوبی ریسک مورد نظر را مدیریت می‌کند؟

۲. هدف از ارزیابی ریسک کنترل

هدف اصلی ارزیابی ریسک کنترل، شناسایی نقاط ضعف در کنترل‌های داخلی است که می‌تواند منجر به خطا، تقلب یا ناکارآمدی فرآیندها شود. این ارزیابی به اهداف زیر کمک می‌کند:

• تعیین حوزه‌های تمرکز حسابرسی: مشخص می‌کند کدام بخش‌ها به آزمون‌های محتوا یا رویه‌های بیشتر نیاز دارند.
• ارزیابی کفایت کنترل‌های داخلی: بررسی می‌کند که آیا کنترل‌ها برای دستیابی به اهداف سازمان در زمینه‌های زیر کافی هستند یا خیر:
  • گزارشگری مالی
  • انطباق با قوانین و مقررات
  • کارایی عملیاتی
  • حفاظت از دارایی‌ها

۳. مراحل کلیدی در ارزیابی ریسک کنترل

1. مرحله ۱: درک فرآیند: ترسیم جریان فرآیند و شناسایی فعالیت‌ها، سیستم‌ها و پرسنل مسئول کلیدی.
2. مرحله ۲: شناسایی کنترل‌های کلیدی: تعیین کنترل‌های حیاتی که از تحریف‌های بااهمیت پیشگیری یا آن‌ها را شناسایی می‌کنند.
3. مرحله ۳: ارزیابی طراحی کنترل: سنجش اینکه آیا کنترل، همان‌طور که طراحی شده، به طور مؤثر ریسک‌های شناسایی‌شده را کاهش می‌دهد.
4. مرحله ۴: آزمون اثربخشی عملیاتی: انجام آزمون کنترل برای تأیید عملکرد مداوم و قابل اعتماد آن.
5. مرحله ۵: ارزیابی ریسک باقی‌مانده: ارزیابی ریسک‌های باقی‌مانده پس از آزمون کنترل‌ها و طبقه‌بندی آن‌ها به سطوح کم، متوسط یا زیاد.
6. مرحله ۶: ارتباط با برنامه‌ریزی حسابرسی: استفاده از نتایج ریسک کنترل برای برنامه‌ریزی تمرکز، دامنه و عمق آزمون‌های حسابرسی.

۴. چارچوب‌ها

الف) چارچوب COSO (پرکاربردترین)

کمیته سازمان‌های حامی کمیسیون تردوی (COSO) یک چارچوب ساختاریافته برای کنترل‌های داخلی ارائه می‌دهد که در سطح جهانی استفاده می‌شود. این چارچوب دارای پنج جزء اصلی است:

• محیط کنترلی: فرهنگ یکپارچگی، اخلاق، حاکمیت و پاسخگویی.
• ارزیابی ریسک: شناسایی و تحلیل ریسک‌هایی که ممکن است بر اهداف تأثیر بگذارند.
• فعالیت‌های کنترلی: سیاست‌ها و رویه‌هایی که تضمین می‌کنند دستورالعمل‌های مدیریت اجرا می‌شوند.
• اطلاعات و ارتباطات: جریان اطلاعات مرتبط در سراسر سازمان.
• فعالیت‌های نظارتی: ارزیابی‌های مستمر و اقدامات اصلاحی.

ب) ISO 31000 (چارچوب مدیریت ریسک)

این استاندارد دیدگاه گسترده‌تری از مدیریت ریسک ارائه می‌دهد و ارزیابی کنترل را در مدیریت ریسک سازمانی (ERM) ادغام می‌کند. ISO 31000 بر موارد زیر تأکید دارد:

• تعیین بستر (Context)
• شناسایی، تحلیل و ارزیابی ریسک
• پاسخ به ریسک و بهبود مستمر

ج) چارچوب COBIT (برای کنترل‌های فناوری اطلاعات)

در محیط‌هایی با فناوری سنگین، چارچوب COBIT (اهداف کنترلی برای اطلاعات و فناوری‌های مرتبط) به ارزیابی موارد زیر کمک می‌کند:

• حاکمیت فناوری اطلاعات
• امنیت اطلاعات
• یکپارچگی داده‌ها و کنترل‌های سیستمی

۵. مثال: ماتریس ارزیابی ریسک کنترل

جدول زیر نمونه‌ای از یک ماتریس ارزیابی ریسک کنترل را نشان می‌دهد:

۶. خروجی‌های ارزیابی ریسک کنترل

نتایج و دستاوردهای این فرآیند عبارتند از:

• رتبه‌بندی ریسک کنترل (کم/متوسط/زیاد) برای هر فرآیند.
• خلاصه‌ای از شکاف‌های کنترلی و توصیه‌ها برای بهبود.
• حوزه‌های تمرکز حسابرسی برای آزمون‌های محتوای دقیق.
• برنامه اقدام مدیریتی برای تقویت کنترل‌های ضعیف.

۷. یکپارچه‌سازی با حسابرسی داخلی مبتنی بر ریسک (RBIA)

ارزیابی ریسک کنترل (CRA) مستقیماً به برنامه‌ریزی حسابرسی داخلی مبتنی بر ریسک (RBIA) کمک می‌کند:

• فرآیندهای با ریسک ذاتی بالا + ریسک کنترل بالا: این حوزه‌ها به اولویت‌های اصلی حسابرسی تبدیل می‌شوند.
• فرآیندهای با ریسک ذاتی پایین + کنترل‌های قوی: شدت حسابرسی در این بخش‌ها کاهش می‌یابد یا به بازبینی‌های نظارتی محدود می‌شود.

۸. بهترین شیوه‌ها

• انجام مرور کلی فرآیند (Walkthrough) به صورت سالانه برای فرآیندهای کلیدی.
• استفاده از ابزارهای خودارزیابی کنترلی (CSA) برای اطمینان‌بخشی در خط اول.
• یکپارچه‌سازی تحلیل داده‌ها برای آزمون مستمر اثربخشی کنترل‌ها.
• نگهداری یک ماتریس ریسک و کنترل (RCM) متمرکز.