نرم افزارحسابداری صدگان

رابطه مدیریت ریسک و حسابرسی داخلی- متناقض یا مکمل؟

0 2,687

حسابداراپ

مقدمه 
از زمانی که اولین بحثهای معاصر در خصوص راهبری شرکتی آغاز شد، نقشهای مدیریت ریسک و حسابرسی داخلی هم به‌عنوان بخشی از ساختارهای راهبری کلی سازمانها موضوع بحثهای مستمری بوده که از حدود ۲۰ سال پیش آغاز شده است.



از آن زمان، بررسی‌های متعدد ملی و بین‌المللی یافته‌هایی را در زمینه اصول راهبری کلی منتشر کرده‌اند؛ اما در این بررسی‌ها مشخص نشده که آیا مدیریت ریسک و حسابرسی داخلی باید ادغام شوند، به‌صورت مستقل عمل کنند یا اینکه با ایجاد ساختاری متناسب با نیازمندی‌های خاص هر سازمان، تعامل هماهنگ‌‌شده‌ای را ایجاد کنند.
با توجه به اینکه مدافعان مدیریت ریسک و حسابرسی داخلی، دیدگاههایی سخت و محکم، اما در تضاد با یکدیگر دارند، این واقعیت که چالش و بحث مزبور امروزه همچنان ادامه دارد، دلیلی است که پاسخ این پرسش به‌سادگی پیدا نخواهد شد.
در الگوهای راهبری امروزی به‌طور همگانی پذیرفته شده که واحد‌های مدیریت ریسک و حسابرسی داخلی از اجزای کلیدی هستند.
نقشهای مربوط این‌گونه تعریف می‌شوند:
• مدیریت ریسک- فعالیت‌های هماهنگ برای هدایت و کنترل سازمان با توجه به ریسک.۱
• حسابرسی داخلی- حسابرسی داخلی فعالیتی اطمینان‌بخش و مشاوره‌ای مستقل بوده که به‌منظور ارزش‌افزایی و بهبود عملیات سازمان طراحی شده است. حسابرسی داخلی با ایجاد رویکردی منظم و اصولی، به سازمان کمک می‌کند که برای دستیابی به اهداف، اثربخشی فرایندهای راهبری، مدیریت ریسک و کنترل را ارزیابی کرده و بهبود بخشد.۲

عوامل پیچیده   
با توجه به این تعریفها، آشکار است که مسئولیت مدیریت ریسک در سازمان براساس مدیریت عملیاتی استوار است؛ در حالی‌که حسابرسی داخلی، از مدیریت عملیاتی مستقل بوده و فعالیت‌های اطمینان‌بخشی و مشاوره‌ای را انجام می‌دهد که به‌صورت مستقل برای ارزیابی اثربخشی فرایندهای ایجادشده به‌وسیله مدیریت عملیاتی، طراحی شده‌اند.
ساده به‌نظر می‌رسد… اما آیا به واقع چنین است؟
مسائلی که موجب ابهام موضوع می‌شوند، به‌وسیله عواملی مانند موارد زیر ایجاد می‌گردند:
• ساختارهای سازمانی حاصل از الگوهای راهبری متفاوت، در مقایسه با چارچوبهای کلی به اصلاح نیاز دارند.
• ابهام مربوط به نقش‌ها و مسئولیت‌های واحد‌های مدیریت ریسک و حسابرسی داخلی؛ این مورد، بیشتر از ساختارهای گزارش‌دهی داخلی ضعیفی ناشی می‌شود که در خصوص مسئولیت‌های هر واحد دچار سردرگمی است.
• هر واحد پشتوانه واحد دیگر است. به‌عنوان مثال، اگر روشهای واحد مدیریت ریسک محدود بوده یا کامل نباشند، برای حسابرسی داخلی دشوار است که در ارتباط با روشهای این واحد اظهارنظر سازنده‌ای ارائه دهد.
•  سطح آگاهی و درک مدیریت عملیاتی از نقشها و مسئولیتهای واحدهای مدیریت ریسک و حسابرسی داخلی، و
• استفاده از چارچوبهای متفاوت مدیریت ریسک و حسابرسی داخلی و تعیین اینکه چه کسی متولی این چارچوبها می‌باشد.
این مقاله به بررسی نقش‌ها و مسئولیت‌های واحد‌های مدیریت ریسک و حسابرسی داخلی می‌پردازد.

پیاده‌سازی مدیریت ریسک
مدیریت ریسک، در بالاترین سطح یک سازمان، عبارت از استقرار موافقت‌نامه‌ةای طراحی‌شده برای دستیابی به راهبردهای تعریف‌شده از طریق فرایندی است که به ارزیابی تجربه‌های سازمان پرداخته و معیارهایی را پیاده‌سازی می‌کند که به‌وسیله آنها بتوان ریسکها و فرصتها را تا سطح موردنظر مدیریت کرد.
چنین می‌توان گفت که بالاترین سطح ریسکی که یک سازمان با آن روبه‌رو می‌شود، شکست در دستیابی به هدفها است. این شکست می‌تواند به‌علت ناتوانی در شناسایی فرصت‌ها و تبدیل آن به موفقیت، یا رویداد حادثه‌های نامطلوب، و یا اجرای فعالیت‌ها به شیوه‌ای ناکارامد و بی‌اثر باشد که مانع از دستیابی به هدفها می‌شوند.
اگر سطح ریسکی که یک سازمان خود را برای پذیرش آن آماده کرده، تعریف نشده باشد، امکان گرفتن تصمیمهایی که ناشی از نبود درک صحیح از دستیابی به راهبردها باشد، وجود دارد. از آنجایی‌که مهمترین ریسکهایی که هر سازمان با آن روبه‌رو می‌شود، نتیجه تصمیم‌گیری اعضای هیئت‌مدیره یا اعضای راهبری آن سازمان است، بسیار مهم می‌باشد که پیامهای صحیحی در سازمان ارسال شود. برای مثال، سطح ریسکی که سازمان آماده پذیرش آن است، باید در وجود سازمان نهادینه شود و در تمامی سطوح قابل درک باشد. پیامی که لازم است مخابره شود، باید از سطح ریسک قابل‌قبول و همچنین تفاوت مسئولیت مدیریت ریسک در سطوح مختلف سازمان درک لازم را فراهم کند. مدیریت ریسک  فقط یک نظریه نیست و لازم است به‌وسیله هر یک از اعضای سازمان نیز درک و به‌کار گرفته شود.
واگذاری مسئولیت مدیریت ریسک در سطوح مختلف یک سازمان می‌تواند به این معنی باشد که ریسک‌ در بخشها یا واحدهایی مورد شناسایی قرار می‌گیرد که برای آنها دارای اهمیت است؛ ولی ممکن است تاثیر اندکی بر دستیابی به هدفهای کلی سازمان داشته باشند. برای اطمینان از رخداد این موضوع، باید بین ریسک‌های شناسایی‌شده در رابطه با راهبردهای کلی سازمان و نیز ریسکهای شناسایی‌شده در داخل یک واحد تاثیرگذار بر هدفها و راهبرد‌های کلی، ارتباط روشنی وجود داشته باشد که به‌طور موثر به‌وسیله هیئت‌مدیره در فاصله‌های زمانی مشخص مدنظر قرار گیرد.

پندار سیستم

نقشهای مدیریت و حسابرسی داخلی در مدیریت ریسک   
برای راهبری، الگو‌های گوناگونی وجود دارد؛ اما الگو‌هایی که به‌صورت عمومی پذیرفته شده‌اند، دو جزو اصلی هر ساختار راهبری هستند؛ اثربخشی روشهای مدیریتی مدیریت ریسک و نظارت حسابرسان داخلی درخصوص کارایی این روشها.
در استانداردها، راهنماییهایی در خصوص چگونگی تقسیم‌بندی مسئولیت برای اجرای نقشهای مزبور، ارائه شده است.
استاندارد بین‌المللی مدیریت ریسک، ایزو ۳۱۰۰۰ (ISO 31000 -AS/NZS 31000: 2009) مسئولیتهای مدیریت را با شفافیت کامل تعریف کرده است.
مدیریت باید:
• خط‌مشی‌های مدیریت ریسک را تعیین و از آنها حمایت کند؛
• اطمینان پیدا کند که فرهنگ سازمانی و خط‌مشی‌های مدیریت ریسک در راستای یکدیگر قرار دارند؛
• شاخصهای عملکرد مدیریت ریسک را در راستای شاخصهای عملکرد سازمان تعیین کند؛
•  هدفهای مدیریت ریسک را با هدفها و راهبردهای سازمان همسو کند؛
• از رعایت قوانین و مقررات اطمینان به دست آورد؛
• مسئولیتها را به سطوح مناسبی در سازمان واگذار کند؛
• از تخصیص منابع لازم به مدیریت ریسک اطمینان حاصل کند؛
• در خصوص مزایای مدیریت ریسک با سهامداران گفتگو کند؛ و
• اطمینان پیدا کند که چارچوب مدیریت ریسک همچنان مناسب است.۳
هر چند، ایزو ۳۱۰۰۰ به تعریف مسئولیتهای سازمانی (در مقابل مسئولیتهای مدیریت) پرداخته و این دربرگیرنده همه کارکنان ‌سازمان و دیگر ذینفعانی است که نفع و تعهدی در اطمینان از اثربخشی روشهای مدیریت ریسک دارند.
سازمانها باید:
• عملکرد مدیریت ریسک را با شاخصهایی که به‌صورت دوره‌ای مورد بررسی قرار می‌گیرند، ارزیابی کنند؛
• به‌صورت دوره‌ای میزان پیشرفت و انحراف از برنامه مدیریت ریسک را مورد ارزیابی قرار دهند؛
• به‌صورت دوره‌ای بررسی کنند که آیا چارچوب، سیاست و یا برنامه مدیریت ریسک با توجه به فضای داخلی و خارجی سازمان،‌ همچنان مناسب است؛
• در مورد ریسک، پیشرفت برنامه مدیریت ریسک و اینکه  سیاست‌ مدیریت ریسک چقدر مورد توجه قرار می‌گیرد، گزارشگری کنند؛ و
• اثربخشی چارچوب مدیریت ریسک را بررسی کنند.۴
مادامی که تعهد به ایجاد و حفظ چارچوب مدیریت ریسک بر عهده مدیریت است، تعهد به آزمون اثربخش بودن چارچوب مدیریت ریسک نیز بر عهده سازمان است. اینکه این مورد چگونه  باید انجام شود، در ایزو ۳۱۰۰۰ بیان نشده؛ اما وجه فرق آنها بدینگونه است که مسئولیت مدیریت ریسک بر عهدۀ مدیریت و مسئولیت سازمان برای نظارت بر ریسک دارای اهمیت است. نظارت می‌تواند به‌وسیله پیاده‌سازی ساختار ایجادشده به‌وسیله مدیریت، از طریق بررسی مستقل (به‌عنوان مثال توسط حسابرسی داخلی و یا سایرین)، و یا ترکیبی از هر دو به‌دست آید.
در مروری بر مسئولیتهای حسابرسی داخلی در «استانداردهای بین‌المللی رویه‌های حرفه‌ای حسابرسی داخلی» که به‌وسیله انجمن حسابرسان داخلی (IIA) منتشر شده، اینگونه آمده که حسابرسی داخلی باید اثربخشی را ارزیابی و به بهبود فرایندهای مدیریت ریسک کمک کند.
در استاندارد ۲۱۲۰، نقش حسابرسی داخلی با جزئیات بیشتری توضیح داده شده است و این شامل:
 ۲۱۲۰. A1– فعالیت حسابرسی داخلی باید ریسک مرتبط با سامانه‌های راهبری، عملیات و اطلاعات سازمان را با توجه به موارد زیر ارزیابی کند:
• قابلیت اعتماد و درستی اطلاعات مالی و عملیاتی،
• اثربخشی و کارایی عملیات‌،
• حفاظت داراییها، و
• رعایت قوانین، مقررات و الزامات.
۲۱۲۰.C3 – حسابرسان داخلی هنگام کمک به مدیریت در ایجاد و بهبود فرایندهای مدیریت ریسک، باید از قبول هرگونه مسئولیت مدیریتی خودداری کنند.۵
اگرچه ایزو۳۱۰۰۰  و استانداردهای حسابرسی داخلی به‌وسیله سازمانهای جداگانه‌ای منتشر شده‌اند، اما در هر دو مفاهیم مرتبط با ریسک مکمل یکدیگر بوده و شرایطی را فراهم می‌کنند تا استقلال آن در زمان انجام حسابرسی داخلی حفظ شود.
یکی از موارد مرتبط با حسابرسی داخلی، ماهیت ارتباط آن با واحد مدیریت ریسک و در حالتی است که ارزیابی اثربخشی مدیریت ریسک جزئی از مسئولیت‌هایش باشد. این کار نیازمند مستقل بودن از واحد‌های مورد بررسی و نقش مشاوره‌ایشان به سازمانها است؛ جایی‌که تجربه و تخصص آنها می‌تواند فوایدی با خود به‌همراه داشته باشد.
انجمن حسابرسان داخلی در ژانویه ۲۰۰۹ سندی مشورتی حرفه‌ای را (که نسبت به نسخه‌های پیشین آن بروزرسانی شده است) منتشر کرد. در این سند تعریف شده که نقش حسابرس داخلی چگونه باید در ساختار گسترده‌تر مدیریت ریسک قرار گیرد که هم استقلال آن حفظ شود و هم حسابرسی داخلی را در خصوص افزایش ظرفیت مشاوره‌ای خود توانمند کند. در شکل ۱ چگونگی پیش‌بینی انجمن حسابرسان داخلی در دستیابی حسابرسی داخلی به هدفهای خود و نیز محدوده‌ای از مدیریت ریسک که حسابرسی داخلی نباید وارد آن شود، توصیف شده است.
نمودار ذکرشده خلاصه‌ای از وظایفی را که حسابرسی داخلی می‌تواند یا نمی‌تواند بپذیرد، ارائه می‌کند. بخش میانی نمودار جایی است که باید به دقت بررسی شود؛ زیرا نبود اطمینان در مورد چگونگی تداخل و ارتباط واحد‌های مدیریت ریسک و حسابرسی داخلی را دربرمی‌گیرد.



مالک چارچوب کیست؟  
مدیریت ریسک مفهومی طراحی‌شده برای استفاده به‌وسیله سازمان به‌منظور مدیریت و کنترل ریسک است. به این ترتیب، مالکیت چارچوب باید بر عهده افرادی از سازمان باشد که ریسک را مدیریت می‌کنند و بر اثربخشی کنترل‌ها نظارت دارند.
نقش حسابرسی داخلی روشن است؛ ارزیابی مناسب بودن چارچوب‌، فرایندهای مدیریت ریسک و محیط کنترل به‌منظور تشخیص شکاف‌های موجود و گزارش آنها به مدیرمسئول؛ تا قادر باشد در خصوص موارد تشخیص‌داده‌شده، تصمیمهای مناسبی بگیرد. وجود اختلاف‌نظر بین وظایف حسابرسی داخلی و مسئولیتهای مدیریت ریسک، کاملا احتمال دارد. حسابرسی داخلی  مسئولیت دارد در مواردی که پاسخ ارائه‌شده به کمیته حسابرسی کافی نیست، گزارش داده و ارزیابی کند که آیا پاسخ سازمان مناسب بوده است یا خیر.

ساختارهای سازمانی- تاثیر بر نقشها
هنگام ارزیابی نقشهای مدیریت ریسک و حسابرسی داخلی در هر سازمان، در نظر گرفتن تفاوت موجود در ساختار گزارش‌دهی درون‌سازمانی لازم است. این ساختارها بیشتر اوقات تاثیر درخور‌توجهی بر ایفای موثر اصول راهبری و ابلاغ نقش‌های مرتبط با مدیریت ریسک و حسابرسی داخلی دارند.
ساختارهای موجود در استرالیا در دسته‌بندی زیر قرار می‌گیرند:
• شرکتهای بزرگ- شامل شرکتهای مشمول توصیه‌ها و اصول شورای راهبری شرکتی استرالیا هستند که به هیئت‌مدیره‌ای متشکل از مدیران موظف و غیرموظف، گزارش می‌دهند؛
• شرکتهای کوچک‌ومتوسط (SMEs)- شامل شرکتهای خصوصی و خانوادگی هستند که به هیئت‌مدیره‌ای متشکل از افراد ذینفع در عملیات شرکتی و فاقد استقلال مدیران غیرموظف، گزارش می‌دهند؛
• سازمانهای غیرانتفاعی- که هیئت‌مدیره آنها بیشتر از داوطلبان تشکیل می‌شود؛
• سازمانهای دولتی- که با گروهی از مدیران موظف که به یک مدیرکل گزارش می‌دهند، اداره می‌شوند. مدیر مذکور نیز به‌نوبه خود به وزیر مسئول گزارش می‌دهد.
• مقامهای قانونی- که تابع الزامات خاص قانونی هستند و همواره از طریق مدیرموظف و هیئت‌مدیره متشکل از طرفهای ذینفع به وزیر مسئول گزارش می‌دهند؛ و
• دولت محلی- که در آن یک مدیرکل مسئول تمام فعالیتهای درون شورا و ملزم به ارائه گزارش به شورا و سازمان دولتی مسئول در ایالت است.
ساختار‌ها و مسئولیت‌های متفاوت، مشکلاتی را در خصوص چگونگی موقعیت واحدهای مدیریت ریسک و حسابرسی داخلی در برخی از سازمان‌ها ایجاد می‌‌کند. با توجه به نقش مربوط، سردرگمی به‌وجود می‌آید- مدیریت ریسک ابزار مدیریتی و حسابرسی داخلی ابزار سازمانی است- و این موجب شرایطی می‌شود که مدیریت، تمرکز حسابرسی داخلی را از حوزه‌های خاصی از ریسک دور کند. از این رو، ضروری است که حسابرسی داخلی در انجام ارزیابی کفایت مدیریت ریسک از واحد مدیریت مستقل باقی بماند- اگر مدیریت تاثیر قابل‌توجهی بر آنچه که حسابرسی داخلی قادر به انجام آن است، داشته باشد، امکان بروز زمینه‌های ناکارامدی، تقلب و دور شدن از حسابرسی داخلی موشکافانه، وجود دارد.
برای مثال، بحثی که در حال حاضر در شرکتهای دولتی وجود دارد، با توجه به مسئولیت مدیرکل برای مدیریت تمام فعالیتهای عملیاتی بوده که در قانون مشخص شده است. برخی بر این عقیده‌اند که مدیر‌کل باید تمام فعالیت‌های عملیاتی، از جمله ابلاغ فعالیتهایی را که توسط مدیریت ریسک و حسابرسی داخلی انجام می‌شود، مدیریت کند. این رویکرد، جدای از تخلف در زمینه استانداردهای حسابرسی داخلی با به خطر انداختن استقلال حسابرسی داخلی، بدان معنی است که مدیرکل می‌تواند حسابرسی داخلی را هدایت و از حوزه‌های پرریسک دور کند.
دیدگاه بسیار بهتر از این ساختار سازمانی برای حسابرسی داخلی، جهت گیری آن از کمیته حسابرسی در چارچوب گسترده و مورد توافق میان کمیته حسابرسی و مدیرکل است که در عین‌حال حسابرسی داخلی را به‌منظور تعیین یک برنامه کاری مستقل از نفوذ مدیرکل، با قابلیت انعطاف‌پذیری باقی می‌گذارد. مدیریت ریسک، واحدی خواهد بود که مدیرکل در راستای اطمینان‌بخشی از عملکرد موثر مدیریت ریسک، با آن همکاری خواهد کرد.

مسئولیتهای متفاوت، وظایف مکمل
دیدگاه‌های متفاوتی درخصوص چگونگی ساختارسازی رابطه بین مدیریت ریسک و حسابرسی داخلی وجود دارد و سازمان‌هایی وجود دارند که در آنها:
• مدیریت ریسک و حسابرسی داخلی دو واحد جداگانه هستند و گزارشهای خود را به کمیته‌های جداگانه حسابرسی و ریسک اعلام می‌کنند؛
• مدیریت ریسک و حسابرسی داخلی به‌عنوان دو واحد جداگانه هستند و گزارشهای خود را به کمیته‌ها‌ی مشترک حسابرسی و ریسک اعلام می‌کنند؛
• مدیریت ریسک و حسابرسی داخلی با مسئولیت یک شخص ادغام شده‌اند؛ اگرچه دو واحد جدا از هم هستند، ولی گزارشهای خود را به کمیته‌ مشترک حسابرسی و ریسک اعلام می‌کنند؛ و
• واحدهای مدیریت ریسک و حسابرسی داخلی در یک بخش واحد ادغام شده‌اند (که البته نادر است و تعارضهایی را با استاندارد‌‌های حسابرسی داخلی به‌وجود می‌آورد) و گزارشهای خود را به کمیته‌ مشترک حسابرسی و ریسک اعلام می‌کنند.
هیچ تردیدی وجود ندارد که هر یک از این ساختارها (و نیز سایر ساختارها) می‌توانند کارکرد اثربخشی داشته باشند؛ البته با فرض اینکه کارکنان مرتبط قادر به تشخیص این مطلب هستند که وظایف جداگانه‌ای دارند که در عین مکمل بودن، هدفهای متفاوتی را دنبال می‌کنند.
مشکلات زمانی ایجاد می‌شوند که به‌عنوان نمونه، مقامهایی که با مفاهیم حسابرسی داخلی و مدیریت ریسک آشنا نیستند، ساختارهای خاصی را پایه‌ریزی کرده و به این نکته توجه ندارند که یک مورد را نمی‌توان به تمامی شرایط تعمیم داد. انعطاف‌پذیری در برخی از ساختارها ایجاد شده است؛ به‌طور مثال شورای راهبری شرکتی استرالیا به‌دنبال تاسیس یک کمیته حسابرسی است۶، اما تاکنون درخصوص ادغام و یا جداسازی کمیته‌های حسابرسی و ریسک بحثی را مطرح نکرده است. اگرچه شرایطی هم وجود دارد که در آن ساختارهای خاص مورد پذیرش قرار می‌گیرند؛ مانند برخی از سیاستهایی که به‌وسیله دولت به تصویب رسیده و طی آنها تاسیس کمیته‌ای مشترک برای حسابرسی و ریسک درخواست شده است. این ساختار دوم بدان معنی است که مدیریت ریسک و حسابرسی داخلی با اجبار در داخل ساختاری قرار می‌گیرند که ادغام آن‌ها را در سازمان نتیجه می‌دهد.
نکته مهم این است که کدام مورد عملکرد بهتری دارد. سازمانهایی دیده شده‌اند که بر جداسازی واحد‌های مدیریت ریسک و حسابرسی داخلی اصرار دارند؛ البته عملکرد خوب آن همچنان جای گفتگو دارد. همچنین، ساختار‌های موثر‌ی دیده شده‌اند که در آن واحد‌های مدیریت ریسک و حسابرسی داخلی گرد هم آمده‌اند تا از ارتباط مداوم و تبادل ایده‌ها در حمایت از نقشهای مربوط، اطمینان به‌دست آورند.
با این حال، شرایطی وجود دارد که واحد‌های مدیریت ریسک و حسابرسی داخلی به‌طور موثر عمل نمی‌کنند؛ مانند ابلاغیه‌های مدیریت به حسابرسی داخلی به‌منظور دور کردن توجه آنها از نواحی پرریسک. این وضعیت خطرناک است و به‌همین دلیل بیشتر اوقات توصیه می‌شود که صرف‌نظر از ساختار، سازوکارهایی باید وجود داشته باشد که حسابرسی داخلی را به عملکرد مستقل قادر نموده و راههای گزارشدهی به‌منظور ایجاد ارتباط مستقیم با کمیته حسابرسی، وجود داشته باشد.

نتیجه‌گیری
اگر بخواهیم به‌دنبال پاسخی برای پرسش اصلی این مقاله باشیم، از آنجایی که هیچ پاسخ درست یا نادرستی وجود ندارد، ناامیدی را به‌همراه خواهد داشت. همچنین، رویه واحدی وجود ندارد که با توجه به چگونگی رابطه‌ مدیریت ریسک و حسابرسی داخلی، ساختارسازی شود.
شرایط را می‌توان به شمشیربازانی که دوبه‌دو در حال آموزش هستند، تشبیه کرد. آموزشهای آنها براساس قوانین شمشیربازی است؛ هر یک از آنها برای بهبود مهارتهای خود به دیگری نیاز دارد و به‌طور مستمر برای مقابله با رقیب، در رقابت واقعی یکدیگر را آزمون می‌کنند.
صرف‌نظر از اینکه مدیریت ریسک و حسابرسی داخلی به‌صورت مجزا عمل می‌کنند و یا تطابق نزدیکی با هم دارند، ضروری است که بر هم نفوذ داشته و به‌طور مداوم آگاهی و دانش محیطی را که درآن قرار دارند، توسعه بخشند. آنها باید در چارچوب مشابه مدیریت ریسک فعالیت کنند و در ارتباط با ماهیت ذاتی هرکدام و شدت و نوع ریسک، به‌طور مستمر بحث و گفتگو داشته باشند.
آیا آنها از هم مستقل هستند یا با یکدیگر همکاری دارند؟ این کاملاً روشن است؛ حسابرسی داخلی باید حدی از استقلال را حفظ کند تا بتواند در ارزیابیهای انتقادی خود از اثربخشی مدیریت ریسک و کفایت محیط کنترل، اطمینان به‌دست آورد.
آیا آنها در سازمان ساختار گزارشدهی یکسانی دارند؟ این موضوع به‌طور کامل روشن نیست و به این بستگی دارد که کدام حالت پاسخ بهتری می‌دهد.
برای سازمانهایی با ساختار بزرگتر، دو واحد مجزا بهترین حالت خواهد بود و در سازمانهای با ساختار کوچکتر، ممکن است مناسب ترین حالت گزارشدهی واحد‌ها از طریق مسیرهای گزارشدهی یکسان باشد؛ این روشی سودمندتر بوده و در غیر این صورت، دستیابی به آن مشکل است.


ترجمه: مرتضی اسدی و نیلوفر اصغری

مجله حسابرس


محل تبلیغ شما

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.