ماتریس ریسک-کنترل: راهنمای جامع برای حسابرسان داخلی

مقدمه‌ای بر ماتریس ریسک-کنترل در حسابرسی داخلی

ماتریس ریسک-کنترل یکی از کاربرگ‌های مهم و محوری در فرایند اجرای حسابرسی داخلی است. این ابزار به حسابرسان داخلی کمک می‌کند تا به صورت نظام‌مند، ریسک‌های مرتبط با اهداف عملیاتی را شناسایی کرده، کنترل‌های موجود را ارزیابی و اثربخشی آن‌ها را بیازمایند. رهنمودهای پیاده‌سازی استانداردهای بین‌المللی حسابرسی داخلی، به‌ویژه در استاندارد شماره 2130 با عنوان «کنترل»، برای نخستین بار به این ماتریس اشاره کرده و بر اهمیت آن تأکید ورزیده‌اند.

کاربردهای کلیدی ماتریس ریسک و کنترل

بر اساس استانداردها، ماتریس ریسک و کنترل می‌تواند در موارد زیر به حسابرس داخلی کمک شایانی کند:

• شناسایی اهداف عملیاتی و ریسک‌های دستیابی به آن‌ها
• تعیین اهمیت ریسک‌ها، با در نظر گرفتن تأثیر و احتمال وقوع آن‌ها
• تعیین واکنش‌های مناسب به ریسک‌های مهم (مانند قبول، پیگیری، انتقال، کاهش و یا پرهیز)
• شناسایی کنترل‌های کلیدی که مدیریت به منظور مدیریت ریسک، از آن‌ها استفاده می‌کند
• ارزیابی کفایت طراحی کنترل‌ها برای آزمون اثربخشی آن‌ها
• آزمون کنترل‌هایی که از نظر طراحی مناسب بوده‌اند، برای تعیین اینکه آیا در عمل، اهداف مورد نظر را برآورده کرده‌اند یا خیر.

کاربرد این ماتریس نشان می‌دهد که نتایج گام‌های مهمی در حسابرسی داخلی در این کاربرگ انعکاس یافته و جمع‌بندی می‌شود.

اولویت‌بندی فعالیت‌ها با استفاده از ماتریس ریسک و کنترل

برای اولویت‌بندی فعالیت‌ها، لازم است نکات و اقدامات زیر مورد توجه قرار گیرد تا زمینه لازم برای این کار فراهم شود.

مفهوم ریسک و شناسایی آن

استانداردهای حسابرسی داخلی، ریسک را «امکان وقوع یک رویداد که بر تحقق اهداف تأثیر خواهد گذاشت» تعریف کرده‌اند. همچنین، استاندارد ISO 31000 ریسک را «تأثیر عدم قطعیت بر اهداف» تعریف می‌کند. کمیته COSO نیز بیان داشته که ریسک با عدم اطمینان گره خورده و بر توانایی سازمان در دستیابی به استراتژی‌ها و اهداف کسب‌وکار اثر می‌گذارد. بنابراین، پیش‌نیاز ارزیابی ریسک، شناسایی اهداف سازمان است.

طبق مدل ارزیابی ریسک COSO، ریسک‌ها در چهار گروه کلی بررسی می‌شوند:

• استراتژیک: مخاطرات مؤثر بر سودآوری، بقا و شهرت سازمان.
• عملیاتی: رویدادهای مؤثر بر دستیابی به معیارهای کارایی، اثربخشی و صرفه اقتصادی.
• گزارش‌دهی: قابلیت اعتماد گزارشات، اطلاعات و داده‌ها.
• رعایتی: تطبیق با الزامات قانونی و مقررات حاکم بر سازمان.

ماتریس ریسک و کنترل در عمل

با توجه به اینکه در حسابرسی داخلی، اولویت‌بندی فعالیت‌ها بر اساس ریسک باقیمانده انجام می‌شود، استانداردهای حسابرسی داخلی (شماره 2130) و COSO استفاده از ماتریس ریسک-کنترل را برای شناسایی ریسک‌ها توصیه نموده‌اند. حسابرسان داخلی می‌توانند از طریق مصاحبه با مدیریت، بررسی برنامه‌های سازمانی، خط‌مشی‌ها، مشاهده فرایندها و استفاده از پرسشنامه‌های کنترل داخلی، اطلاعات لازم برای تکمیل این ماتریس را به دست آورند و کفایت طراحی کنترل‌ها را ارزیابی کنند.

یک کاربرگ ریسک و کنترل نمونه (بر اساس نمایه شماره 5 کتاب) معمولاً شامل ستون‌هایی برای اهداف، عوامل ریسک، و اقدامات و فعالیت‌های کنترلی است. در ستون پاسخ، مشخص می‌شود که آیا برای هر ریسک شناسایی‌شده، کنترل مناسبی وجود دارد یا خیر. این تحلیل به حسابرس اجازه می‌دهد تا یک ارزیابی مقدماتی از اثربخشی طرح کنترل داخلی و سطح ریسک باقیمانده به دست آورد.

لزوم تدوین نظام ارزیابی ریسک مناسب

استاندارد شماره 2010 حسابرسی داخلی بیان می‌دارد که طرح کلی حسابرسی داخلی باید اطمینان دهد که حوزه‌هایی با ریسک‌های بزرگتر که می‌توانند بر تحقق اهداف سازمانی تأثیر بگذارند، پوشش داده می‌شوند. علاوه بر این، استاندارد 2600 مدیر حسابرسی داخلی را ملزم می‌کند در صورتی که مدیریت سطحی از ریسک را پذیرفته که برای سازمان قابل قبول نیست، موضوع را با مدیریت ارشد و هیئت‌مدیره در میان بگذارد. برای اجرای موفق این استانداردها، درک نگرش سازمان نسبت به انواع ریسک‌های قابل پذیرش، امری ضروری است.

منبع: بخشی از کتاب «حسابرسی داخلی-ارزیابی ریسک، راهبری و کنترل» تالیف عظیم رهنورد واقف (دکترای مدیریت کسب و کار، حسابدار رسمی، حسابرس داخلی خبره)