راهنمای جامع مدیریت ریسک واحد حسابرسی داخلی (۲۰۲۴)

مقدمه

هدف

هدف این مقاله، تشریح چگونگی مدیریت بهتر ریسک‌ها توسط واحدهای حسابرسی داخلی است.

پیش‌زمینه

مدیریت ریسک مؤثر برای موفقیت هر سازمانی ضروری است. سازمان‌های مختلف به طور فعال ریسک‌ها را با نظارت مناسب در سطح هیئت مدیره شناسایی و مدیریت می‌کنند. برای مثال، «اصول و توصیه‌های راهبری شرکتی ASX» (۲۰۱۹)، نهادهای فهرست‌شده را ملزم می‌کند که یک کمیته هیئت مدیره یا کمیته‌های اختصاصی برای نظارت بر ریسک و بازبینی چارچوب مدیریت ریسک نهاد داشته باشند. این نهادها همچنین ملزم به افشای ریسک‌های بااهمیت خود در گزارش‌های سالانه هستند. به طور مشابه، نهادهای بخش دولتی استرالیا (فدرال / ایالتی و منطقه‌ای / دولت محلی) ملزم به حفظ چارچوب‌های مدیریت ریسک مؤثر از طریق سیاست‌ها، دستورالعمل‌های خزانه‌داری، مقررات و سایر سازوکارها هستند.

مدیریت ریسک مؤثر تنها در سطح هیئت مدیره یا مدیران اجرایی حاصل نمی‌شود. این امر نیازمند مشارکت تمام واحدهای تجاری، بخش‌ها و وظایف یک سازمان، از جمله واحد حسابرسی داخلی است.

بررسی موضوع

مسئله

استاندارد ISO 31000 «مدیریت ریسک – راهنما» ریسک را به عنوان «اثر عدم قطعیت بر اهداف» تعریف می‌کند. واحدهای حسابرسی داخلی نیز مانند سازمان‌ها، اهدافی دارند که تحت تأثیر عدم قطعیت قرار می‌گیرند. با این حال، واحدهای حسابرسی داخلی بیشتر یا تمام وقت خود را صرف بررسی فرآیندهای راهبری، مدیریت ریسک و کنترل سازمان خود می‌کنند. اما چند وقت یک‌بار واحدهای حسابرسی داخلی به درون خود نگاه می‌کنند تا ارزیابی کنند که آیا ریسک‌ها و کنترل‌های کلیدی خودشان به طور مؤثر مدیریت می‌شوند؟

چگونه یک واحد حسابرسی داخلی می‌تواند، به نقل از تعریف حسابرسی داخلی در استانداردهای جهانی حسابرسی داخلی، به تحقق اهداف خود «با ارائه یک رویکرد سیستماتیک و منظم برای ارزیابی و بهبود اثربخشی فرآیندهای راهبری، مدیریت ریسک و کنترل» در خودِ واحد حسابرسی داخلی کمک کند؟ این مقاله به بررسی این موضوع می‌پردازد که چگونه واحدهای حسابرسی داخلی می‌توانند به طور فعال ریسک‌هایی را که ممکن است بر موفقیت آن‌ها تأثیر بگذارد، شناسایی، ارزیابی و به آن‌ها پاسخ دهند.

تاریخچه

مفهوم مدیریت ریسک واحد حسابرسی داخلی جدید نیست. در سال ۲۰۰۹، انجمن حسابرسان داخلی (IIA) رهنمود عملیاتی ۲-۲۱۲۰ (که اکنون منسوخ شده) را منتشر کرد که نشان می‌داد چگونه واحد حسابرسی داخلی «از ریسک‌ها مصون نیست و باید اقدامات لازم را برای اطمینان از مدیریت ریسک‌های خود انجام دهد.»

بسیاری از واحدهای حسابرسی داخلی این رهنمود را با نگهداری و به‌روزرسانی دوره‌ای ثبت ریسک‌های خود – به صورت مستقل یا به عنوان بخشی از یک سیستم مدیریت ریسک سازمانی گسترده‌تر – به کار گرفتند. در واحدهای حسابرسی داخلی بزرگتر مانند سازمان‌های جهانی یا مؤسسات مالی بزرگ، افراد مشخصی برای شناسایی، نظارت و گزارش ریسک‌های واحد حسابرسی داخلی منصوب می‌شوند.

ریسک‌های پیش روی واحد حسابرسی داخلی

ریسک‌هایی که واحد حسابرسی داخلی در اجرای مأموریت خود با آن‌ها روبرو می‌شود، ممکن است بر اثربخشی و اعتبار مدیر اجرایی حسابرسی و همچنین تک‌تک حسابرسان داخلی تأثیر بگذارد. ریسک‌هایی که ممکن است یک واحد حسابرسی داخلی را تحت تأثیر قرار دهند عبارتند از:

• ریسک‌های استراتژیک:
  • مدیریت ذینفعان: ناتوانی در شناسایی و برآورده کردن انتظارات ذینفعان کلیدی.
  • پروژه‌ها و ابتکارات استراتژیک: عدم موفقیت در برنامه‌ریزی و اجرای ابتکارات بزرگ به شیوه‌ای سیستماتیک (مانند پیاده‌سازی سیستم مدیریت حسابرسی جدید).
  • ساختار سازمانی: ساختار سازمانی واحد حسابرسی داخلی از دستیابی به اهداف استراتژیک و تجاری به شیوه‌ای کارآمد پشتیبانی نمی‌کند.
  • ارتباطات داخلی: عدم درک یا پاسخگویی به موقع به نگرانی‌های تیم حسابرسی داخلی.
  • برند و اعتبار: عدم موفقیت در ایجاد، ترویج و حفظ برند، اعتبار و اعتمادی که با مأموریت واحد حسابرسی داخلی همسو باشد.
• ریسک‌های عملیاتی:
  • فرهنگ: عدم تعریف و تقویت فرهنگی که اعضای تیم حسابرسی داخلی باید مطابق با ارزش‌های سازمانی و مأموریت واحد حسابرسی داخلی زندگی کنند.
  • تمرکز بر ریسک: عدم همسویی برنامه حسابرسی داخلی با استراتژی سازمان و ریسک‌های کلیدی.
  • مدیریت تغییر: مقاومت تیم حسابرسی داخلی در برابر تغییر یا مدیریت ضعیف ابتکارات تغییر.
  • مدیریت افراد: عدم موفقیت در جذب و نگهداری کارکنان واجد شرایط برای تضمین سطح بهینه نیروی انسانی و برنامه‌ریزی جانشینی کافی.
  • اطمینان‌بخشی کاذب: این فرض که مشارکت واحد حسابرسی داخلی در یک فعالیت سازمانی لزوماً اطمینان قطعی به سازمان ارائه می‌دهد.
  • تقلب و رفتار غیراخلاقی: رفتار متقلبانه توسط تیم حسابرسی داخلی مانند جعل کاربرگ‌ها یا ارائه گزارش نادرست به کمیته حسابرسی.
• ریسک‌های مالی:
  • تنظیم بودجه: استفاده از داده‌های ناقص یا نادرست برای تخمین منابع مالی مورد نیاز در طول برنامه‌ریزی حسابرسی داخلی.
  • محدودیت‌های بودجه: فراتر رفتن از بودجه واحد حسابرسی داخلی که توسط کمیته حسابرسی تصویب شده است.
• ریسک‌های انطباق:
  • استانداردها: عدم انطباق با «استانداردهای جهانی حسابرسی داخلی».
  • قوانین و مقررات: عدم انطباق با الزامات مانند الزامات حسابرسی داخلی بخش دولتی، استانداردهای احتیاطی یا اصول راهبری شرکتی.

استانداردهای IIA چگونه به مدیریت ریسک‌های حسابرسی داخلی کمک می‌کنند؟

«استانداردهای جهانی حسابرسی داخلی» بیان می‌کنند که «راهنمای عملکرد حرفه‌ای جهانی حسابرسی داخلی بوده و به عنوان مبنایی برای ارزیابی و ارتقای کیفیت واحد حسابرسی داخلی عمل می‌کنند.» این استانداردها، اگرچه به صراحت بیان نشده، پاسخ‌های متنوعی به ریسک‌های بالقوه‌ای که واحدهای حسابرسی داخلی با آن مواجه هستند، ارائه می‌دهند. موارد زیر را در نظر بگیرید:

• ریسک عدم شناسایی یا مدیریت سوگیری‌های بالقوه هنگام انجام کار حسابرسی: از طریق استاندارد ۲.۱ «بی‌طرفی فردی» به آن پرداخته می‌شود.
• ریسک از دست دادن داده‌ها یا سوء استفاده از داده‌ها توسط حسابرسان داخلی: از طریق استاندارد ۵.۲ «حفاظت از اطلاعات» به آن پرداخته می‌شود.
• ریسک عدم همسویی فعالیت‌های حسابرسی داخلی با انتظارات ذینفعان: از طریق استاندارد ۸.۱ «تعامل با هیئت مدیره» و استاندارد ۱۱.۱ «ایجاد روابط و ارتباط با ذینفعان» به آن پرداخته می‌شود.
• ریسک اینکه بودجه، کارکنان یا منابع فناوری حسابرسی داخلی توانایی آن را برای ارائه مؤثر برنامه حسابرسی داخلی محدود کند: از طریق استانداردهای ۱۰.۱ «مدیریت منابع مالی»، ۱۰.۲ «مدیریت منابع انسانی» و ۱۰.۳ «منابع فناورانه» به آن پرداخته می‌شود.

این فهرست جامع نیست، اما ارزش انطباق با استانداردها را از منظر مدیریت ریسک برجسته می‌کند.

رویکردی سیستماتیک و منظم برای مدیریت ریسک واحد حسابرسی داخلی

چارچوب‌های مدیریت ریسک معمولاً فعالیت‌های اصلی مدیریت ریسک را به پنج مرحله زیر تقسیم می‌کنند که می‌توان آن‌ها را برای مدیریت ریسک‌های واحد حسابرسی داخلی نیز به کار برد:

1. شناسایی (Identify): تمام ریسک‌های بالقوه‌ای که واحد حسابرسی داخلی ممکن است با آن‌ها مواجه شود را شناسایی کنید. از منشور حسابرسی داخلی شروع کنید و بپرسید «چه چیزی ممکن است اشتباه پیش برود؟»
2. ارزیابی (Assess): ریسک‌ها را بر اساس احتمال وقوع و تأثیر آن‌ها دسته‌بندی و ارزیابی کنید. می‌توانید از ماتریس احتمال/پیامد برای رتبه‌بندی ریسک استفاده نمایید.
3. اولویت‌بندی (Prioritise): ریسک‌ها را بر اساس اهمیت آن‌ها رتبه‌بندی کنید تا ریسک‌هایی که مشکل کمی ایجاد می‌کنند، اولویت پایینی داشته باشند.
4. مدیریت (Manage): با پذیرش، اجتناب، مدیریت یا به اشتراک گذاشتن ریسک به آن پاسخ دهید. کنترل‌های مناسب را برای مدیریت ریسک‌ها شناسایی و توسعه دهید.
5. نظارت (Monitor): به طور مداوم هم بر عملکرد کنترل‌ها و هم بر محیط عملیاتی برای شناسایی ریسک‌های جدید بالقوه نظارت کنید. نظارت مستمر کلید مدیریت ریسک مؤثر است.

عوامل حیاتی موفقیت

برخی عواملی که به احتمال زیاد ارزش حاصل از مدیریت ریسک‌های واحد حسابرسی داخلی را به حداکثر می‌رسانند عبارتند از:

• لحن مدیریت (Tone at the Top): حمایت مدیر اجرایی حسابرسی حیاتی است.
• مشارکت تیم: کل تیم حسابرسی داخلی را در فرآیند طوفان فکری درگیر کنید.
• تمرکز بر ریسک‌های کلیدی: تعداد ریسک‌های موجود در ثبت ریسک را محدود کنید تا تمرکز حفظ شود.
• تخصیص منابع کافی: عملکرد مدیریت ریسک را با کارکنان توانمند به اندازه کافی تأمین منابع کنید.
• بهبود مستمر: مسائل مربوط به کنترل را جدی بگیرید تا به طور مداوم از تجربیات گذشته بیاموزید.

نتیجه‌گیری

مدیریت ریسک‌های خودِ واحد حسابرسی داخلی یک جنبه حیاتی برای حفظ اثربخشی، اعتبار و انطباق آن با استانداردها است. با اتخاذ یک رویکرد سیستماتیک برای شناسایی، ارزیابی، مدیریت و نظارت بر ریسک‌های خود، واحدهای حسابرسی داخلی نه تنها از عملیات خود محافظت می‌کنند، بلکه نمونه‌ای برای کل سازمان در زمینه شیوه‌های مدیریت ریسک صحیح هستند.

منبع: © ۲۰۲۲ – The Institute of Internal Auditors – Australia, White Paper: Managing Internal Audit Function Risks