از آن زمان، بررسیهای متعدد ملی و بینالمللی یافتههایی را در زمینه اصول راهبری کلی منتشر کردهاند؛ اما در این بررسیها مشخص نشده که آیا مدیریت ریسک و حسابرسی داخلی باید ادغام شوند، بهصورت مستقل عمل کنند یا اینکه با ایجاد ساختاری متناسب با نیازمندیهای خاص هر سازمان، تعامل هماهنگشدهای را ایجاد کنند.
با توجه به اینکه مدافعان مدیریت ریسک و حسابرسی داخلی، دیدگاههایی سخت و محکم، اما در تضاد با یکدیگر دارند، این واقعیت که چالش و بحث مزبور امروزه همچنان ادامه دارد، دلیلی است که پاسخ این پرسش بهسادگی پیدا نخواهد شد.
در الگوهای راهبری امروزی بهطور همگانی پذیرفته شده که واحدهای مدیریت ریسک و حسابرسی داخلی از اجزای کلیدی هستند.
نقشهای مربوط اینگونه تعریف میشوند:
• مدیریت ریسک- فعالیتهای هماهنگ برای هدایت و کنترل سازمان با توجه به ریسک.۱
• حسابرسی داخلی- حسابرسی داخلی فعالیتی اطمینانبخش و مشاورهای مستقل بوده که بهمنظور ارزشافزایی و بهبود عملیات سازمان طراحی شده است. حسابرسی داخلی با ایجاد رویکردی منظم و اصولی، به سازمان کمک میکند که برای دستیابی به اهداف، اثربخشی فرایندهای راهبری، مدیریت ریسک و کنترل را ارزیابی کرده و بهبود بخشد.۲
عوامل پیچیده
با توجه به این تعریفها، آشکار است که مسئولیت مدیریت ریسک در سازمان براساس مدیریت عملیاتی استوار است؛ در حالیکه حسابرسی داخلی، از مدیریت عملیاتی مستقل بوده و فعالیتهای اطمینانبخشی و مشاورهای را انجام میدهد که بهصورت مستقل برای ارزیابی اثربخشی فرایندهای ایجادشده بهوسیله مدیریت عملیاتی، طراحی شدهاند.
ساده بهنظر میرسد… اما آیا به واقع چنین است؟
مسائلی که موجب ابهام موضوع میشوند، بهوسیله عواملی مانند موارد زیر ایجاد میگردند:
• ساختارهای سازمانی حاصل از الگوهای راهبری متفاوت، در مقایسه با چارچوبهای کلی به اصلاح نیاز دارند.
• ابهام مربوط به نقشها و مسئولیتهای واحدهای مدیریت ریسک و حسابرسی داخلی؛ این مورد، بیشتر از ساختارهای گزارشدهی داخلی ضعیفی ناشی میشود که در خصوص مسئولیتهای هر واحد دچار سردرگمی است.
• هر واحد پشتوانه واحد دیگر است. بهعنوان مثال، اگر روشهای واحد مدیریت ریسک محدود بوده یا کامل نباشند، برای حسابرسی داخلی دشوار است که در ارتباط با روشهای این واحد اظهارنظر سازندهای ارائه دهد.
• سطح آگاهی و درک مدیریت عملیاتی از نقشها و مسئولیتهای واحدهای مدیریت ریسک و حسابرسی داخلی، و
• استفاده از چارچوبهای متفاوت مدیریت ریسک و حسابرسی داخلی و تعیین اینکه چه کسی متولی این چارچوبها میباشد.
این مقاله به بررسی نقشها و مسئولیتهای واحدهای مدیریت ریسک و حسابرسی داخلی میپردازد.
پیادهسازی مدیریت ریسک
مدیریت ریسک، در بالاترین سطح یک سازمان، عبارت از استقرار موافقتنامهةای طراحیشده برای دستیابی به راهبردهای تعریفشده از طریق فرایندی است که به ارزیابی تجربههای سازمان پرداخته و معیارهایی را پیادهسازی میکند که بهوسیله آنها بتوان ریسکها و فرصتها را تا سطح موردنظر مدیریت کرد.
چنین میتوان گفت که بالاترین سطح ریسکی که یک سازمان با آن روبهرو میشود، شکست در دستیابی به هدفها است. این شکست میتواند بهعلت ناتوانی در شناسایی فرصتها و تبدیل آن به موفقیت، یا رویداد حادثههای نامطلوب، و یا اجرای فعالیتها به شیوهای ناکارامد و بیاثر باشد که مانع از دستیابی به هدفها میشوند.
اگر سطح ریسکی که یک سازمان خود را برای پذیرش آن آماده کرده، تعریف نشده باشد، امکان گرفتن تصمیمهایی که ناشی از نبود درک صحیح از دستیابی به راهبردها باشد، وجود دارد. از آنجاییکه مهمترین ریسکهایی که هر سازمان با آن روبهرو میشود، نتیجه تصمیمگیری اعضای هیئتمدیره یا اعضای راهبری آن سازمان است، بسیار مهم میباشد که پیامهای صحیحی در سازمان ارسال شود. برای مثال، سطح ریسکی که سازمان آماده پذیرش آن است، باید در وجود سازمان نهادینه شود و در تمامی سطوح قابل درک باشد. پیامی که لازم است مخابره شود، باید از سطح ریسک قابلقبول و همچنین تفاوت مسئولیت مدیریت ریسک در سطوح مختلف سازمان درک لازم را فراهم کند. مدیریت ریسک فقط یک نظریه نیست و لازم است بهوسیله هر یک از اعضای سازمان نیز درک و بهکار گرفته شود.
واگذاری مسئولیت مدیریت ریسک در سطوح مختلف یک سازمان میتواند به این معنی باشد که ریسک در بخشها یا واحدهایی مورد شناسایی قرار میگیرد که برای آنها دارای اهمیت است؛ ولی ممکن است تاثیر اندکی بر دستیابی به هدفهای کلی سازمان داشته باشند. برای اطمینان از رخداد این موضوع، باید بین ریسکهای شناساییشده در رابطه با راهبردهای کلی سازمان و نیز ریسکهای شناساییشده در داخل یک واحد تاثیرگذار بر هدفها و راهبردهای کلی، ارتباط روشنی وجود داشته باشد که بهطور موثر بهوسیله هیئتمدیره در فاصلههای زمانی مشخص مدنظر قرار گیرد.
نقشهای مدیریت و حسابرسی داخلی در مدیریت ریسک
برای راهبری، الگوهای گوناگونی وجود دارد؛ اما الگوهایی که بهصورت عمومی پذیرفته شدهاند، دو جزو اصلی هر ساختار راهبری هستند؛ اثربخشی روشهای مدیریتی مدیریت ریسک و نظارت حسابرسان داخلی درخصوص کارایی این روشها.
در استانداردها، راهنماییهایی در خصوص چگونگی تقسیمبندی مسئولیت برای اجرای نقشهای مزبور، ارائه شده است.
استاندارد بینالمللی مدیریت ریسک، ایزو ۳۱۰۰۰ (ISO 31000 -AS/NZS 31000: 2009) مسئولیتهای مدیریت را با شفافیت کامل تعریف کرده است.
مدیریت باید:
• خطمشیهای مدیریت ریسک را تعیین و از آنها حمایت کند؛
• اطمینان پیدا کند که فرهنگ سازمانی و خطمشیهای مدیریت ریسک در راستای یکدیگر قرار دارند؛
• شاخصهای عملکرد مدیریت ریسک را در راستای شاخصهای عملکرد سازمان تعیین کند؛
• هدفهای مدیریت ریسک را با هدفها و راهبردهای سازمان همسو کند؛
• از رعایت قوانین و مقررات اطمینان به دست آورد؛
• مسئولیتها را به سطوح مناسبی در سازمان واگذار کند؛
• از تخصیص منابع لازم به مدیریت ریسک اطمینان حاصل کند؛
• در خصوص مزایای مدیریت ریسک با سهامداران گفتگو کند؛ و
• اطمینان پیدا کند که چارچوب مدیریت ریسک همچنان مناسب است.۳
هر چند، ایزو ۳۱۰۰۰ به تعریف مسئولیتهای سازمانی (در مقابل مسئولیتهای مدیریت) پرداخته و این دربرگیرنده همه کارکنان سازمان و دیگر ذینفعانی است که نفع و تعهدی در اطمینان از اثربخشی روشهای مدیریت ریسک دارند.
سازمانها باید:
• عملکرد مدیریت ریسک را با شاخصهایی که بهصورت دورهای مورد بررسی قرار میگیرند، ارزیابی کنند؛
• بهصورت دورهای میزان پیشرفت و انحراف از برنامه مدیریت ریسک را مورد ارزیابی قرار دهند؛
• بهصورت دورهای بررسی کنند که آیا چارچوب، سیاست و یا برنامه مدیریت ریسک با توجه به فضای داخلی و خارجی سازمان، همچنان مناسب است؛
• در مورد ریسک، پیشرفت برنامه مدیریت ریسک و اینکه سیاست مدیریت ریسک چقدر مورد توجه قرار میگیرد، گزارشگری کنند؛ و
• اثربخشی چارچوب مدیریت ریسک را بررسی کنند.۴
مادامی که تعهد به ایجاد و حفظ چارچوب مدیریت ریسک بر عهده مدیریت است، تعهد به آزمون اثربخش بودن چارچوب مدیریت ریسک نیز بر عهده سازمان است. اینکه این مورد چگونه باید انجام شود، در ایزو ۳۱۰۰۰ بیان نشده؛ اما وجه فرق آنها بدینگونه است که مسئولیت مدیریت ریسک بر عهدۀ مدیریت و مسئولیت سازمان برای نظارت بر ریسک دارای اهمیت است. نظارت میتواند بهوسیله پیادهسازی ساختار ایجادشده بهوسیله مدیریت، از طریق بررسی مستقل (بهعنوان مثال توسط حسابرسی داخلی و یا سایرین)، و یا ترکیبی از هر دو بهدست آید.
در مروری بر مسئولیتهای حسابرسی داخلی در «استانداردهای بینالمللی رویههای حرفهای حسابرسی داخلی» که بهوسیله انجمن حسابرسان داخلی (IIA) منتشر شده، اینگونه آمده که حسابرسی داخلی باید اثربخشی را ارزیابی و به بهبود فرایندهای مدیریت ریسک کمک کند.
در استاندارد ۲۱۲۰، نقش حسابرسی داخلی با جزئیات بیشتری توضیح داده شده است و این شامل:
۲۱۲۰٫ A1– فعالیت حسابرسی داخلی باید ریسک مرتبط با سامانههای راهبری، عملیات و اطلاعات سازمان را با توجه به موارد زیر ارزیابی کند:
• قابلیت اعتماد و درستی اطلاعات مالی و عملیاتی،
• اثربخشی و کارایی عملیات،
• حفاظت داراییها، و
• رعایت قوانین، مقررات و الزامات.
۲۱۲۰٫C3 – حسابرسان داخلی هنگام کمک به مدیریت در ایجاد و بهبود فرایندهای مدیریت ریسک، باید از قبول هرگونه مسئولیت مدیریتی خودداری کنند.۵
اگرچه ایزو۳۱۰۰۰ و استانداردهای حسابرسی داخلی بهوسیله سازمانهای جداگانهای منتشر شدهاند، اما در هر دو مفاهیم مرتبط با ریسک مکمل یکدیگر بوده و شرایطی را فراهم میکنند تا استقلال آن در زمان انجام حسابرسی داخلی حفظ شود.
یکی از موارد مرتبط با حسابرسی داخلی، ماهیت ارتباط آن با واحد مدیریت ریسک و در حالتی است که ارزیابی اثربخشی مدیریت ریسک جزئی از مسئولیتهایش باشد. این کار نیازمند مستقل بودن از واحدهای مورد بررسی و نقش مشاورهایشان به سازمانها است؛ جاییکه تجربه و تخصص آنها میتواند فوایدی با خود بههمراه داشته باشد.
انجمن حسابرسان داخلی در ژانویه ۲۰۰۹ سندی مشورتی حرفهای را (که نسبت به نسخههای پیشین آن بروزرسانی شده است) منتشر کرد. در این سند تعریف شده که نقش حسابرس داخلی چگونه باید در ساختار گستردهتر مدیریت ریسک قرار گیرد که هم استقلال آن حفظ شود و هم حسابرسی داخلی را در خصوص افزایش ظرفیت مشاورهای خود توانمند کند. در شکل ۱ چگونگی پیشبینی انجمن حسابرسان داخلی در دستیابی حسابرسی داخلی به هدفهای خود و نیز محدودهای از مدیریت ریسک که حسابرسی داخلی نباید وارد آن شود، توصیف شده است.
نمودار ذکرشده خلاصهای از وظایفی را که حسابرسی داخلی میتواند یا نمیتواند بپذیرد، ارائه میکند. بخش میانی نمودار جایی است که باید به دقت بررسی شود؛ زیرا نبود اطمینان در مورد چگونگی تداخل و ارتباط واحدهای مدیریت ریسک و حسابرسی داخلی را دربرمیگیرد.
مالک چارچوب کیست؟
مدیریت ریسک مفهومی طراحیشده برای استفاده بهوسیله سازمان بهمنظور مدیریت و کنترل ریسک است. به این ترتیب، مالکیت چارچوب باید بر عهده افرادی از سازمان باشد که ریسک را مدیریت میکنند و بر اثربخشی کنترلها نظارت دارند.
نقش حسابرسی داخلی روشن است؛ ارزیابی مناسب بودن چارچوب، فرایندهای مدیریت ریسک و محیط کنترل بهمنظور تشخیص شکافهای موجود و گزارش آنها به مدیرمسئول؛ تا قادر باشد در خصوص موارد تشخیصدادهشده، تصمیمهای مناسبی بگیرد. وجود اختلافنظر بین وظایف حسابرسی داخلی و مسئولیتهای مدیریت ریسک، کاملا احتمال دارد. حسابرسی داخلی مسئولیت دارد در مواردی که پاسخ ارائهشده به کمیته حسابرسی کافی نیست، گزارش داده و ارزیابی کند که آیا پاسخ سازمان مناسب بوده است یا خیر.
ساختارهای سازمانی- تاثیر بر نقشها
هنگام ارزیابی نقشهای مدیریت ریسک و حسابرسی داخلی در هر سازمان، در نظر گرفتن تفاوت موجود در ساختار گزارشدهی درونسازمانی لازم است. این ساختارها بیشتر اوقات تاثیر درخورتوجهی بر ایفای موثر اصول راهبری و ابلاغ نقشهای مرتبط با مدیریت ریسک و حسابرسی داخلی دارند.
ساختارهای موجود در استرالیا در دستهبندی زیر قرار میگیرند:
• شرکتهای بزرگ- شامل شرکتهای مشمول توصیهها و اصول شورای راهبری شرکتی استرالیا هستند که به هیئتمدیرهای متشکل از مدیران موظف و غیرموظف، گزارش میدهند؛
• شرکتهای کوچکومتوسط (SMEs)- شامل شرکتهای خصوصی و خانوادگی هستند که به هیئتمدیرهای متشکل از افراد ذینفع در عملیات شرکتی و فاقد استقلال مدیران غیرموظف، گزارش میدهند؛
• سازمانهای غیرانتفاعی- که هیئتمدیره آنها بیشتر از داوطلبان تشکیل میشود؛
• سازمانهای دولتی- که با گروهی از مدیران موظف که به یک مدیرکل گزارش میدهند، اداره میشوند. مدیر مذکور نیز بهنوبه خود به وزیر مسئول گزارش میدهد.
• مقامهای قانونی- که تابع الزامات خاص قانونی هستند و همواره از طریق مدیرموظف و هیئتمدیره متشکل از طرفهای ذینفع به وزیر مسئول گزارش میدهند؛ و
• دولت محلی- که در آن یک مدیرکل مسئول تمام فعالیتهای درون شورا و ملزم به ارائه گزارش به شورا و سازمان دولتی مسئول در ایالت است.
ساختارها و مسئولیتهای متفاوت، مشکلاتی را در خصوص چگونگی موقعیت واحدهای مدیریت ریسک و حسابرسی داخلی در برخی از سازمانها ایجاد میکند. با توجه به نقش مربوط، سردرگمی بهوجود میآید- مدیریت ریسک ابزار مدیریتی و حسابرسی داخلی ابزار سازمانی است- و این موجب شرایطی میشود که مدیریت، تمرکز حسابرسی داخلی را از حوزههای خاصی از ریسک دور کند. از این رو، ضروری است که حسابرسی داخلی در انجام ارزیابی کفایت مدیریت ریسک از واحد مدیریت مستقل باقی بماند- اگر مدیریت تاثیر قابلتوجهی بر آنچه که حسابرسی داخلی قادر به انجام آن است، داشته باشد، امکان بروز زمینههای ناکارامدی، تقلب و دور شدن از حسابرسی داخلی موشکافانه، وجود دارد.
برای مثال، بحثی که در حال حاضر در شرکتهای دولتی وجود دارد، با توجه به مسئولیت مدیرکل برای مدیریت تمام فعالیتهای عملیاتی بوده که در قانون مشخص شده است. برخی بر این عقیدهاند که مدیرکل باید تمام فعالیتهای عملیاتی، از جمله ابلاغ فعالیتهایی را که توسط مدیریت ریسک و حسابرسی داخلی انجام میشود، مدیریت کند. این رویکرد، جدای از تخلف در زمینه استانداردهای حسابرسی داخلی با به خطر انداختن استقلال حسابرسی داخلی، بدان معنی است که مدیرکل میتواند حسابرسی داخلی را هدایت و از حوزههای پرریسک دور کند.
دیدگاه بسیار بهتر از این ساختار سازمانی برای حسابرسی داخلی، جهت گیری آن از کمیته حسابرسی در چارچوب گسترده و مورد توافق میان کمیته حسابرسی و مدیرکل است که در عینحال حسابرسی داخلی را بهمنظور تعیین یک برنامه کاری مستقل از نفوذ مدیرکل، با قابلیت انعطافپذیری باقی میگذارد. مدیریت ریسک، واحدی خواهد بود که مدیرکل در راستای اطمینانبخشی از عملکرد موثر مدیریت ریسک، با آن همکاری خواهد کرد.
مسئولیتهای متفاوت، وظایف مکمل
دیدگاههای متفاوتی درخصوص چگونگی ساختارسازی رابطه بین مدیریت ریسک و حسابرسی داخلی وجود دارد و سازمانهایی وجود دارند که در آنها:
• مدیریت ریسک و حسابرسی داخلی دو واحد جداگانه هستند و گزارشهای خود را به کمیتههای جداگانه حسابرسی و ریسک اعلام میکنند؛
• مدیریت ریسک و حسابرسی داخلی بهعنوان دو واحد جداگانه هستند و گزارشهای خود را به کمیتههای مشترک حسابرسی و ریسک اعلام میکنند؛
• مدیریت ریسک و حسابرسی داخلی با مسئولیت یک شخص ادغام شدهاند؛ اگرچه دو واحد جدا از هم هستند، ولی گزارشهای خود را به کمیته مشترک حسابرسی و ریسک اعلام میکنند؛ و
• واحدهای مدیریت ریسک و حسابرسی داخلی در یک بخش واحد ادغام شدهاند (که البته نادر است و تعارضهایی را با استانداردهای حسابرسی داخلی بهوجود میآورد) و گزارشهای خود را به کمیته مشترک حسابرسی و ریسک اعلام میکنند.
هیچ تردیدی وجود ندارد که هر یک از این ساختارها (و نیز سایر ساختارها) میتوانند کارکرد اثربخشی داشته باشند؛ البته با فرض اینکه کارکنان مرتبط قادر به تشخیص این مطلب هستند که وظایف جداگانهای دارند که در عین مکمل بودن، هدفهای متفاوتی را دنبال میکنند.
مشکلات زمانی ایجاد میشوند که بهعنوان نمونه، مقامهایی که با مفاهیم حسابرسی داخلی و مدیریت ریسک آشنا نیستند، ساختارهای خاصی را پایهریزی کرده و به این نکته توجه ندارند که یک مورد را نمیتوان به تمامی شرایط تعمیم داد. انعطافپذیری در برخی از ساختارها ایجاد شده است؛ بهطور مثال شورای راهبری شرکتی استرالیا بهدنبال تاسیس یک کمیته حسابرسی است۶، اما تاکنون درخصوص ادغام و یا جداسازی کمیتههای حسابرسی و ریسک بحثی را مطرح نکرده است. اگرچه شرایطی هم وجود دارد که در آن ساختارهای خاص مورد پذیرش قرار میگیرند؛ مانند برخی از سیاستهایی که بهوسیله دولت به تصویب رسیده و طی آنها تاسیس کمیتهای مشترک برای حسابرسی و ریسک درخواست شده است. این ساختار دوم بدان معنی است که مدیریت ریسک و حسابرسی داخلی با اجبار در داخل ساختاری قرار میگیرند که ادغام آنها را در سازمان نتیجه میدهد.
نکته مهم این است که کدام مورد عملکرد بهتری دارد. سازمانهایی دیده شدهاند که بر جداسازی واحدهای مدیریت ریسک و حسابرسی داخلی اصرار دارند؛ البته عملکرد خوب آن همچنان جای گفتگو دارد. همچنین، ساختارهای موثری دیده شدهاند که در آن واحدهای مدیریت ریسک و حسابرسی داخلی گرد هم آمدهاند تا از ارتباط مداوم و تبادل ایدهها در حمایت از نقشهای مربوط، اطمینان بهدست آورند.
با این حال، شرایطی وجود دارد که واحدهای مدیریت ریسک و حسابرسی داخلی بهطور موثر عمل نمیکنند؛ مانند ابلاغیههای مدیریت به حسابرسی داخلی بهمنظور دور کردن توجه آنها از نواحی پرریسک. این وضعیت خطرناک است و بههمین دلیل بیشتر اوقات توصیه میشود که صرفنظر از ساختار، سازوکارهایی باید وجود داشته باشد که حسابرسی داخلی را به عملکرد مستقل قادر نموده و راههای گزارشدهی بهمنظور ایجاد ارتباط مستقیم با کمیته حسابرسی، وجود داشته باشد.
نتیجهگیری
اگر بخواهیم بهدنبال پاسخی برای پرسش اصلی این مقاله باشیم، از آنجایی که هیچ پاسخ درست یا نادرستی وجود ندارد، ناامیدی را بههمراه خواهد داشت. همچنین، رویه واحدی وجود ندارد که با توجه به چگونگی رابطه مدیریت ریسک و حسابرسی داخلی، ساختارسازی شود.
شرایط را میتوان به شمشیربازانی که دوبهدو در حال آموزش هستند، تشبیه کرد. آموزشهای آنها براساس قوانین شمشیربازی است؛ هر یک از آنها برای بهبود مهارتهای خود به دیگری نیاز دارد و بهطور مستمر برای مقابله با رقیب، در رقابت واقعی یکدیگر را آزمون میکنند.
صرفنظر از اینکه مدیریت ریسک و حسابرسی داخلی بهصورت مجزا عمل میکنند و یا تطابق نزدیکی با هم دارند، ضروری است که بر هم نفوذ داشته و بهطور مداوم آگاهی و دانش محیطی را که درآن قرار دارند، توسعه بخشند. آنها باید در چارچوب مشابه مدیریت ریسک فعالیت کنند و در ارتباط با ماهیت ذاتی هرکدام و شدت و نوع ریسک، بهطور مستمر بحث و گفتگو داشته باشند.
آیا آنها از هم مستقل هستند یا با یکدیگر همکاری دارند؟ این کاملاً روشن است؛ حسابرسی داخلی باید حدی از استقلال را حفظ کند تا بتواند در ارزیابیهای انتقادی خود از اثربخشی مدیریت ریسک و کفایت محیط کنترل، اطمینان بهدست آورد.
آیا آنها در سازمان ساختار گزارشدهی یکسانی دارند؟ این موضوع بهطور کامل روشن نیست و به این بستگی دارد که کدام حالت پاسخ بهتری میدهد.
برای سازمانهایی با ساختار بزرگتر، دو واحد مجزا بهترین حالت خواهد بود و در سازمانهای با ساختار کوچکتر، ممکن است مناسب ترین حالت گزارشدهی واحدها از طریق مسیرهای گزارشدهی یکسان باشد؛ این روشی سودمندتر بوده و در غیر این صورت، دستیابی به آن مشکل است.
ترجمه: مرتضی اسدی و نیلوفر اصغری
مجله حسابرس