با توجه به جریانهای دنیای تجارت در سالهای اخیر، اگر تنها یک درس باشد که اقتصاد یاد گرفته باشد، آن درس پی بردن به اهمیت موضوع مدیریت ریسک قوی و مؤثر است. امروزه در سراسر جهان سرمایهگذاریهای قابلتوجهی بهمنظور تقویت برنامههای مدیریت ریسک انجام میشود.
با وجود این، شاهد شکستهایی هم در این زمینه هستیم؛ مانند کاهش سوداوری، تعرض به اطلاعات حساس و قدمهای اشتباه نظارتی که در نتیجه آن میلیونها تن از مشتریان متضرر شده و میلیاردها دلار از دست دادهاند.
در واکنش به این امر، شرکتها بهطور فزایندهای به حسابرسان داخلی برای شناسایی و کاهش این خطرها متکی شدهاند. حسابرسان داخلی بهدلیل درکشان از فرایندهای کسبوکار سازمان و ریسکهای مرتبط و همچنین تعامل مستمرشان با واحدهای بازرگانی و مدیریتی سازمان، برای رسیدگی به این مسئولیت مهم دارای موقعیت برجستهای هستند. با این تفاسیر، این پرسش مطرح خواهد شد که نقش حسابرسان برای ایجاد مقاومت در برابر ریسکهای تهدیدکننده سازمان چیست؟
رویکرد منظم حسابرسی مبتنی بر ریسک
تمرکز حسابرسان داخلی همواره بر حوزه ریسک بوده، اما آنچه هماکنون در حال تغییر است، چگونگی ارزیابی این ریسکها بهوسیله حسابرسان است. برنامه حسابرسی سنتی بیشتر براساس سوءظنها یا خطدهی مدیریت بود که بیشتر مواقع به تصمیمگیریهای اشتباه محدود میشد. این برنامههای حسابرسی بهدلیل آنکه تغییرهای مستمر ریسکها را در نظر نمیگرفت، به تخصیص نامناسب منابع میانجامید. بهطور مشابه، اگر فهرستی از ریسکهای مختلف در صنایع بهخوبی تهیه شده باشد، ضعف اصلی آنها در نظر نگرفتن ویژگیهای منحصربهفرد و تاریخچه ریسک هر سازمان خواهد بود.
برنامه حسابرسی مؤثر مبتنی بر ریسک با مشاهده ریسکهای سازمان از میان منشور هدفهای راهبردی، بر تمام محدودیتهای ذکرشده غلبه کرده و به حسابرس امکان میدهد که حسابرسی هدفمندتر و کارامدتری داشته باشد. همچنین، این برنامه حسابرسی از طریق ارتباط ریسکهای سازمان با هدفهای تجاری سازمان، باعث خواهد شد تا بتوان برنامههای کاهشِ ریسک دقیقتر، سریعتر و واضحتری را تدوین کرد.
پیادهسازی طرح حسابرسی مبتنی بر ریسک
برخلاف نظر عموم، حسابرسیهای مبتنی بر ریسک با بررسی خود ریسکها آغاز نمیشود. اگر بخواهیم دنیایی را متصور شویم که مجموعهای از ریسکها بهصورت مجزا در آن اتفاق میافتد، درخواهیم یافت که این کار برای تصمیمگیری مفید و عملی نیست و باعث به هدر رفتن وقت و صرف منابع روی آن دسته از خطرهایی میشود که برای سازمان بیربط هستند.
طرح حسابرسی مبتنی بر ریسک مؤثر و کارامد با توجه به هدفهای سازمان آغاز میشود، از اینرو که ریسکها تنها در سایه آنها معنی پیدا میکنند. برای مثال، فرض میکنیم هدف یک فرد ماندن در خانه و تماشای تلویزیون است، او در این روز نگرانی پنچر شدن لاستیک ماشینش را ندارد، بلکه نگرانی اصلی او مسائلی مانند مزاحمت بچهها، پختن غذا یا تماسهای تلفنی خواهد بود؛ زیرا اینها موارد خطرهایی هستند که هدف اصلی او را که تماشای تلویزیون است، تهدید میکنند.
جمعآوری دادههای مرتبط با ریسک
دادههای مربوط به برنامهریزی منابع سازمانی (ERP) و فهرستهای جامعی که ریسکهای مرتبط با صنایع مختلف را در بر دارد، براساس دادههای تاریخی است؛ با فرض اینکه آینده همانند گذشته خواهد بود اما همه چیز بهندرت بههمان شیوه سابق دو بار اتفاق میافتد. در عوض، حسابرسان در این زمینه باید توجه خود را به منابع انسانی سازمان معطوف کنند. کارکنان، نمایانگر پویاترین، بهروزترین و مهمترین منابع اطلاعاتی ریسک سازمان هستند؛ زیرا آنها هر روز با خطرهای سازمان مواجه بوده و توانایی پیشبینی ظهور یک خطر جدید یا وقوع یک خطر بالقوه را دارا هستند.
برای رسیدن به این منظور، حسابرسان باید در وهله اول کار را با مشورت مدیریت ارشد سازمان برای شناسایی هدفهای راهبردی سازمان و ریسکهای مرتبط با آن هدفها آغاز و در مرحله بعد باید گفتگوهای خود را به سطح وسیعتری از افراد سازمان گسترش دهند؛ از قبیل کارکنان عملیاتی، بخش خرید، بخش حقوقی سازمان و دیگر کارکنان سازمان که وظیفه آنها دستیابی به هدفهای سازمان است- هر چه با افراد بیشتری مصاحبه انجام شود، بینش عمیق و جامعتری خواهیم داشت.
هنگام انجام مصاحبه، حسابرسان باید از پرسیدن پرسشهای کلیشهای مانند اینکه «چه چیز باعث بیخوابی شما میشود؟» خودداری کنند؛ آنها باید هدفها و ریسکهای مرتبط با آن را برای افراد تشریح کرده و از کارکنان بخواهند چگونگی دستیابی به آن هدفها بهوسیله سازمان را توصیف کنند. همچنین باید از آنها خواسته شود تا ریسکهای دیگری که مورد بحث قرار نگرفته، ولی رسیدن به هدفهای سازمان را به خطر میاندازد، شناسایی و معرفی کنند.
روش دیگری که حسابرسان برای جمعآوری داده میتوانند بهکار ببندند، استفاده از پرسشنامه است. با معرفی مقیاس ۱ الی ۵ برای هر جواب میتوانیم پاسخها را بهصورت کمی برای تحلیلهای بعدی در اختیار داشته باشیم.جدول ۱، نمونهای از این پرسشنامه را نشان میدهد.
پس از جمعآوری دادههای مربوط به ریسک، حسابرسان آماده هستند تا:
• نقشه (ارتباط) ریسکها به هدفها را ترسیم کنند،
• الگوهای ریسک را شناسایی کنند، و
• این الگوها را براساس هدفهای سازمان طبقهبندی کنند.
ترسیم نقشه ریسکها به هدفها
درمیان حسابرسان، گرایش غالب تمرکز بر ریسکهایی است که در نظرسنجیها و بررسیها بیشترین تعداد پاسخ یا بالاترین رتبه را داشته باشند.برای مثال، اگر ۹۵ درصد پاسخدهندگان به پرسشنامه، خطر «الف» را بهعنوان جدیترین تهدید برای سازمان انتخاب کرده باشند، حسابرسان ممکن است احساس کنند که باید تمام منابع خود را صرف تدوین برنامه حسابرسی کنند تا خطرناکترین تهدید سازمان را کاهش بدهند. اما هر کدام از ریسکها نهتنها بهصورت مجزا عمل نمیکنند، بلکه با دیگر ریسکها و حتی با هدفهای سازمان بهصورت الگوهای پیچیدهای تعامل دارند؛ بنابراین مهم است که بتوان این ارتباطها و همبستگیها را درک کرد.
اگر هدف حسابرس گزارشگری مالی صحیح باشد، نظرسنجیها ممکن است نشان دهد که این هدف با سطح بالایی از ریسکِ «فقدان تجربه کارکنان حسابداری» یا با سطح متوسط از ریسکِ «ضعف در حاکمیت شرکتی» تهدید میشود.
حسابرس همچنین ممکن است ریسکهایی را که در ظاهر ارتباط چندانی با هدف موردنظر ما ندارد اما آن را مورد تهدید قرار میدهد، پیدا کند. برای مثال، برنامههای فروش و بازاریابی تهاجمی را میتوان یافت که اثرات قوی بر گزارشگری مالی دارند. برای رسیدن به سطح فروش هدف، اگر به تمام سازمان فشار زیادی تحمیل شود، گزارشهای مالی با شناسایی درامد نابهنگام یا نامناسب به خطر خواهند افتاد. یک مثال معمول از این ریسک، اقدام فریبکارانه۱ است بدین صورت که شرکت تولیدهای مازاد خود را در پایان دوره برای توزیعکنندگان حمل کرده و در آغاز دوره مالی بعد آنها را برمیگرداند.
شناسایی الگوهای ریسک
الگوهای ریسک مجموعهای از ریسکهای منفرد هستند که هدفی خاص را در سازمان تهدید میکنند. بسیار مهم است که به این الگوها توجه شود؛ چرا که آنها تصویر بزرگتری را برای ما مجسم میکنند. این الگوها ترکیبی از ریسکهای بزرگتر از مجموع هر کدام از آنها- وقتی بهطور انفرادی اثر میگذارند – را به ما نشان میدهد. برای مثال، اگر فردی در حال رانندگی با موبایل صحبت کند و در همان حال به موسیقی گوش کند، احتمال برخوردش با وسیله نقلیه دیگر بسیار بالا میرود؛ در حالی که اگر هر کدام از این ریسکها بهتنهایی وجود داشته باشد، به مراتب خطر کمتری خواهد داشت تا زمانی که همزمان بهعنوان یک الگو اتفاق بیفتند.
در اصل، الگوهای ریسک به حسابرسان کمک میکند تا آن دسته از خطرهایی که با هم تعامل کرده و موقعیتهای خطرناک را شکل میدهد، شناسایی کنند. برای نمونه، فرض کنید که حسابرسان در طول بررسی نظرسنجیشان پی بردهاند که گزارشگری مالی صحیح با الگوهای ریسک زیر تهدید میشود:
فقدان تجربه حسابداری ۲۰ درصد، حاکمیت شرکتی ضعیف ۴۰ درصد، برنامههای بازاریابی و فروش تهاجمی ۳۰ درصد و آموزش ناکافی ۱۰ درصد. در اینجا ریسک آموزش ناکافی، بهتنهایی کماهمیت بهنظر میرسد؛ اما اگر حسابرسان از آن چشمپوشی کنند و برای حسابرسی یا کاهش آن تلاشی نکنند، این خطر صورتهای مالی را همچنان بهطور بااهمیتی تهدید خواهد کرد.
طبقهبندی الگوهای ریسک براساس هدفهای سازمان
زمانی که حسابرسان الگوهای ریسک را براساس هدفهای سازمان مرتبط و طبقهبندی میکنند، برنامه حسابرسی مبتنی بر ریسک هدفمندتر خواهد شد. در این مرحله مهم است بهخاطر داشته باشیم که حسابرسها نباید بهسمت ریسکهایی با سطح خطر بالا جذب شوند، بلکه باید تمام خطرهایی که مهمترین هدفهای سازمان را به خطر میاندازند را مورد کنکاش قرار دهند. این کار حسابرسان را قادر خواهد ساخت تا هدفمند عمل کرده، ریسکها را با هدفهای راهبردی کسبوکار سازمان مدیریت یکپارچه ساخته و درصد پاسخگویی و شفافیت را افزایش دهند.
نمودار ۱ پنج نمونه از هدفهای مرسوم یک سازمان را نشان میدهد. هر ستون بالای هدفها، الگوهای ریسک مرتبط با هر هدف را نشان میدهد. هر رنگ نیز نماینده یک ریسک فرضی بوده و وجود بیشتر از یک رنگ در یک ستون نشاندهنده الگوی خطری است که از ۲ یا تعداد بیشتری از ریسک برای آن هدف تشکیل شده است .برای مثال، هدف «گزارشگری مالی صحیح» با ۴ ریسک تهدید میشود. ریسک «ب» (در این ستون)، شایعترین ریسک برای این هدف بوده چون حدود۴۰ درصد این الگوی ریسک را تشکیل میدهد.
فناوری بهعنوان یک عامل توانمندساز
بخش بزرگی از حسابرسی مبتنی بر ریسک شامل صحبت کردن با ذینفعان مختلف، شناسایی ریسکها در تمام بخشها، گروههای سازمان و ارزیابی اثربخشی کنترلهایی است که برای کاهش تهدید آن ریسکها در سازمان موجود است. اینها فعالیتهایی وقتگیر و پرهزینه هستند که بهطور معمول از سوی حسابرسان متعدد و با استفاده از چندین برنامه کاربردی، فرایندها، کاربرگها و ابزار و بهطور مستقل انجام میپذیرند. بدون هماهنگی و ارتباط مناسب میان آنها، احتمال دوبارهکاری در طول حسابرسی داخلی سازمان بهوسیله حسابرسان وجود دارد که موجب کاهش بهرهوری و افزایش هزینهها خواهد شد.
اما چه میشود چنانچه سیستمی یکپارچه وجود داشته باشد که تمام فرایندهای حسابرسی، سیستم، ابزار و جریان کاری آنها و حتی موسسههای حسابرسی را هماهنگ کند؟
با افزایش اینگونه ارتباطها در سراسر سازمان، قابلیت کشف ریسکها و انجام عملیات حسابرسی بهبود پیدا کرده و فعالیتهای اضافی و دوبارهکاریها را میتواند به حداقل رساند.
فناوری، زیرساختهای حسابرسی را متمرکز کرده و میتواند بهعنوان نقطهای مرجع برای شناسایی و ارزیابی ریسکها در سازمان، جمعآوری و اشتراکگذاری اطلاعات مرتبط با ریسکها و مدیریت چرخه عمر حسابرسی بهکار گرفته شود. همچنین، حسابرس را قادر میسازد تا بانکهای اطلاعاتی متمرکز ایجاد کند تا در آن تمام دادههای مربوط به ریسکها- همراه با کنترلهای مربوط، ارزیابیها، دادههای حسابرسی و گزارشها- بهطور مؤثری سازماندهی، ذخیره، مدیریت و به اشتراک گذاشته شود.
با چنین بانک اطلاعاتی، حسابرسان داخلی برای شناسایی و درک ریسکها و ارتباط آنها با هدفهای سازمان بهتر تجهیز خواهند شد. آنها همچنین میتوانند دقیقتر نقشه رابطه ریسکها با کنترلها، فرایندها، واحدهای سازمانی و قوانین را ترسیم کنند و این به نوبه خود میتواند حسابرسی را تسهیل نموده، به صورتبندی کردن طرح حسابرسی کمک کرده و زمینه مدیریت کارامد منابع را برای مدیریت حسابرسی فراهم کند.
از آنجا که نظرسنجیها بخش عمدهای از حسابرسی مبتنی بر ریسک را در برمیگیرند، فناوری میتواند با سادهسازی و تسهیل تمامی مراحل آن از طراحی، توزیع، اجرا تا جمعآوری پاسخها از سراسر سازمان، واحدها و مکانهای جغرافیایی (شعب شرکت)، کمک کند. افزون بر این، میتواند فرایند نظارت بر کنترل ریسکها و ایجاد گزارشها را خودکار کرده و این اطمینان را به ما بدهد که یافتهها و حوزههای مشکوک در طول حسابرسی بهطور مناسبی بررسی و حلوفصل میشود. حسابرسان داخلی از این طریق میتوانند در زمان و منابع ارزشمند خود صرفهجویی کرده و نیاز برای صفحات گسترده (EXCEL) دستوپاگیر را حذف کنند. بعضی از ابزار فناوری از قبیل داشبوردها، نقشههای حرارتی ریسک و نمودارها میتوانند شفافیت در حسابرسی را از طریق بینش و دید ارزشمندی که ایجاد میکنند تسهیل کرده و حتی میتوانند گزارش آنها را به سهامداران ارائه کنند. نمونهای از نقشهةای حرارتی ریسک در شکل ۱ نشان داده شده است.
نتیجهگیری
امروزه، حسابرسان داخلی این توانایی را دارند که نهتنها از ارزشها حفاظت کنند، بلکه بتوانند آنرا خلق کنند.مهم است که آنها تمرکز مداوم خود را بر ریسک ها گسترش داده، و برنامه حسابرسی را حول شناسایی ریسکها و الگوهای آن تدوین کنند.این کارباعث خلق فرصتهایی برای حسابرسان داخلی خواهد شد تا بتوانند نقش راهبردیتری در سازمان داشته باشند و همچنین مشورتهایی مبتنی بر ریسک برای شکلدهی راهبرد کلی سازمان ارائه کنند.
در پایان میتوان ۳ عنصر کلیدی را برای داشتن یک طرح خوب حسابرسی مبتنی بر ریسک ذکر کرد:
۱- در هنگام تدوین برنامه، هدفهای راهبردی سازمان و ریسکهای مرتبط را پایه قرار داد، ۲- با مصاحبه از کارکنان، دادههای ورودی را دریافت کرده، الگوهای ریسک را براساس آن و مبتنی بر هدفهای سازمان شکل داد، و ۳- برای تسریع در فرایندها از فناوری استفاده کرد.
ترجمه: رضا شاداب
منبع:حسابرس