راهنمای جامع ارزیابی ریسک تقلب در حسابرسی داخلی

خلاصه مدیریتی

تقلب می‌تواند عملیات را مختل کند، ریسک تطبیق را به همراه داشته باشد، به اعتبار سازمان آسیب بزند و برای سازمان و ذینفعان آن هزینه‌های قابل توجهی به بار بیاورد. مدیریت، با نظارت هیئت‌مدیره، مسئولیت اصلی برقراری و پایش کنترل‌های مؤثر برای پیشگیری و کشف تقلب را به عهده دارد. همزمان، از حسابرسی داخلی انتظار می‌رود که ریسک تقلب را بر مبنای استانداردهای بین‌المللی کار حرفه‌ای حسابرسی داخلی، ارزیابی کند. علاوه بر این، مدیر ارشد حسابرسی داخلی، باید مشکلات قابل توجه ریسک و کنترل، شامل ریسک تقلب را به مدیریت و هیئت‌مدیره، گزارش دهد (استاندارد حسابرسی داخلی شماره ۲۰۶۰ – گزارش‌دهی به مدیریت ارشد و هیئت مدیره).

استانداردها، حسابرسان داخلی را به ارزیابی ریسک تقلب در سطح سازمان و همچنین در سطح یک کار حسابرسی، ملزم می‌کنند. به منظور کسب اطمینان درباره کافی بودن بررسی ریسک‌های مربوط به هر کار حسابرسی، حسابرسان داخلی بایستی ارزیابی ریسک تقلب را به عنوان بخشی از برنامه‌ریزی کار، انجام دهند (استاندارد حسابرسی داخلی شماره 2210.A1).

آشنایی با تقلب و مثلث آن

انجمن بین‌المللی حسابرسان داخلی، تقلب را اینگونه تعریف کرده است: «هرگونه عمل غیرقانونی دارای ویژگی‌های فریبکاری، پنهان‌کاری یا سوءاستفاده از اعتماد.» این تعریف، یک ویژگی منحصربه‌فرد دارد و آن «عمدی بودن» است. اقدامات متقلبانه در سازمان، افرادی را شامل می‌شود که قصد دور زدن کنترل‌ها یا سوءاستفاده از نقاط ضعف را دارند.

همواره سه عامل برای ارتکاب تقلب وجود دارد که به آن «مثلث تقلب» می‌گویند:

• فشار یا انگیزه: یک نیاز واقعی یا درک‌شده که انگیزه‌ای برای تقلب فراهم می‌کند (مانند مشکلات مالی، فشار برای دستیابی به اهداف عملکردی).
• فرصت: ترکیبی از شرایط که توانایی انجام تقلب را به وجود می‌آورد (مانند ضعف کنترل‌های داخلی، نبود تفکیک وظایف).
• توجیه منطقی: توجیه ساختگی و متقاعدکننده‌ای که فرد برای عمل خود می‌سازد (مانند «حق من است» یا «دیگران هم این کار را می‌کنند»).

از بین این سه عامل، «فرصت» تنها موردی است که سازمان‌ها به طور مستقیم می‌توانند آن را کنترل کنند. مدیریت می‌تواند کنترل داخلی را برای کاهش فرصت‌های ارتکاب تقلب یا کشف آن طراحی کند.

فرآیند گام‌به‌گام ارزیابی ریسک تقلب در حسابرسی

فرآیند دقیق ترکیب ارزیابی ریسک و برنامه‌ریزی کار حسابرسی، بسته به نیاز هر سازمان می‌تواند متفاوت باشد. با این حال، این فرآیند، در کل، گام‌های زیر را در بر دارد:

گام اول: گردآوری اطلاعات

برای شناسایی ریسک‌های تقلب، حسابرسان داخلی باید شناخت مناسبی از سازمان و محیط فعالیت آن به دست آورند. این اطلاعات از منابع گسترده‌ای مانند موارد زیر دریافت می‌شود:

• ارزیابی‌ها و بررسی‌های پیشین (مانند ارزیابی ریسک سراسری سازمان).
• سازوکارهای گزارش‌دهی رسمی (مانند خطوط تلفن افشاگران) و مصاحبه با کارکنان.
• بررسی اولیه محیط کنترلی، شامل ساختار سازمانی و ارزش‌های اخلاقی.
• تحقیقات برون‌سازمانی و مطالعه تقلب‌های رخ‌داده در صنایع مشابه.

طبق گزارش انجمن بازرسان خبره تقلب (ACFE)، بیش از ۵۰ درصد از هشدارهای تقلب توسط کارکنان گزارش می‌شود که این امر اهمیت مصاحبه و ارتباط با آن‌ها را نشان می‌دهد.

گام دوم: طوفان فکری در مورد سناریوهای تقلب

پس از گردآوری اطلاعات، حسابرسان داخلی جلسات طوفان فکری برگزار می‌کنند تا سناریوهای تقلب احتمالی را شناسایی کنند. هدف، تشویق مشارکت آزادانه و به اشتراک‌گذاری ایده‌ها بدون محدودیت است. برای مثال، در یک پروژه حسابرسی حساب‌های پرداختنی، سناریوها می‌توانند شامل موارد زیر باشند:

• صدور کارت ساعت‌زنی واهی برای افزایش هزینه‌های پرسنلی.
• ورود تأمین‌کنندگان واهی به سیستم برای پرداخت‌های متقلبانه.
• مخفی کردن عمدی مخارج پرداختنی.
• پرداخت هزینه‌های شخصی کارکنان با منابع سازمان.

گام سوم: ارزیابی و رتبه‌بندی ریسک‌های تقلب

از آنجا که یک پروژه حسابرسی نمی‌تواند تمام ریسک‌ها را پوشش دهد، حسابرسان ریسک‌های شناسایی‌شده را ارزیابی و رتبه‌بندی می‌کنند. یک راهکار مؤثر، تهیه «ماتریس ریسک تقلب» است. در این ماتریس، هر ریسک بر اساس دو معیار اصلی سنجیده می‌شود:

• تأثیر: میزان آسیب مالی، عملیاتی، قانونی و اعتباری که در صورت وقوع تقلب به سازمان وارد می‌شود.
• احتمال: احتمال وقوع آن سناریوی تقلب با توجه به کنترل‌های موجود و محیط عملیاتی.

ریسک‌هایی که بالاترین امتیاز را (تأثیر و احتمال زیاد) کسب می‌کنند، برای بررسی‌های بیشتر در طول پروژه حسابرسی در اولویت قرار می‌گیرند.

نقش حسابرس داخلی در مدیریت ریسک تقلب

حسابرسان داخلی باید دانش کافی برای ارزیابی ریسک تقلب و نحوه مدیریت آن توسط سازمان را داشته باشند (استاندارد 1210.A2). از آنها انتظار می‌رود که با تردید حرفه‌ای و نگرشی بی‌طرفانه، ارزیابی نقادانه و دقیقی از فرآیندها انجام دهند. هشیاری نسبت به تغییرات فرهنگی و ضعف‌های محیط کنترلی، بخشی حیاتی از مسئولیت حسابرس داخلی در این فرآیند است.

منبع: این مقاله برگردان فارسی رهنمود اجرایی «برنامه‌ریزی پروژه حسابرسی: ارزیابی ریسک تقلب» توسط دکتر عظیم رهنورد واقف است.