حسابرسی داخلی مبتنی بر ریسک چیست؟

مقدمه

حسابرسی داخلی مبتنی بر ریسک، روشی است که بخش حسابرسی داخلی استفاده می‌کند برای ارائه اطمینان‌بخشی از اینکه ریسک‌ها مدیریت‌شده‌اند. به‌عبارت‌دیگر، فرآیندهای مدیریت ریسک در یک سطح قابل‌قبول توسط هیئت‌مدیره به‌طور مؤثر و کارآمد در نظر گرفته‌شده است. حسابرسی داخلی مبتنی بر ریسک، آنچه سازمان و اهداف آن را تهدید می‌کند، بررسی می‌کند.این ریسک‌ها شامل ریسک مالی، عملیاتی و استراتژیک، چه در درون سازمان و چه در برون سازمان خواهد بود.

حسابرسی داخلی مبتنی بر ریسک

حسابرسی داخلی مبتنی بر ریسک، روشی را فراهم می‌کند که اطمینان می‌دهد که ریسک‌های سازمان مدیریت‌شده‌اند.

حسابرسی داخلی مبتنی بر ریسک یکی از پیشنهادهایی است که به هیئت‌مدیره و کمیته حسابرسی، بر مبنای حاکمیت شرکتی ارائه‌شده است. این پیشنهادها بیشتر به‌عنوان «اطمینان‌بخشی»، شناخته‌شده است که شامل این فرصت است که نشان می‌دهد چرا اطمینان‌بخشی نمی‌تواند، در قسمتی یا همه مراحل کار داده شود. استفاده از واژه «اطمینان بخشی» شامل این احتمال است که حسابرسی داخلی مبتنی بر ریسک تمام خطراتی را که به‌درستی مدیریت نشده‌اند پیدا کند و در غیر این صورت اطمینان بخشی نمی‌تواند داده شود.

در اجرای حسابرسی داخلی مبتنی بر ریسک، اطمینان‌بخشی موردنیاز توسط هیئت‌مدیره برای بخش‌های مختلف (برای مثال، بهداشت و ایمنی، کنترل کیفیت، بیمه، حسابرسان برون‌سازمانی) در نظر گرفته می‌شود و این کار باید در منشور مرجع حسابرسی داخلی منعکس‌شده باشد. برآورده کردن نیازهای هیئت‌مدیره مسئولیت بخش حسابرسی داخلی است.

ارتباط بین حسابرسی داخلی و مدیریت ریسک

ارتباط بین حسابرسی داخلی و مدیریت ریسک

مدیریت، مسئول تعیین ریسک‌های درون‌سازمانی و برون‌سازمانی است. در هیچ راهنمایی فهرستی جداگانه از ریسک‌های مورداستفاده برای حسابرسی داخلی وجود ندارد. ریسک‌ها باید توسط مدیران سازمان شناسایی شوند. اگر حسابرسی داخلی نمی‌داند مدیریت همه ریسک‌های قابل‌توجه را شناسایی کرده است، باید برای ریسک‌های مشخص نشده با مدیریت بحث کند. اگر این مسئله را حل‌وفصل نکند، باید آن را برای مدیریت ارشد و کمیته حسابرسی به شکل مناسب گزارش کند.

حسابرسی داخلی نباید در هرگونه فعالیت‌های مدیریت ریسک، مشارکت داشته باشد؛ زیرا ممکن است استقلال و بی‌طرفی خود را از دست بدهد.

گزارش حسابرسی داخلی معمولاً به این موضوع می‌پردازد که آیا کنترل‌ها به‌درستی اعمال‌شده‌اند و گزارشی را تهیه می‌کند. توصیه‌هایی که به‌وسیله حسابرسان داخلی انجام می‌شود و انتظار می‌رود مدیران آن را بپذیرند، می‌تواند نتیجه این فرض باشد که حسابرسی داخلی، مسئول کنترل‌ها، با دلالت بر مدیریت ریسک است.

نقش اصلی حسابرسی داخلی فراهم کردن اطمینان بخشی به مدیریت و هیئت‌مدیره در مورد اثربخشی مدیریت ریسک است.

در داخل چارچوب حسابرسی مبتنی بر ریسک، حسابرسی داخلی تنها می‌تواند اطمینان‌بخشی را در مورد این‌که چارچوب مدیریت ریسک مناسب است، فراهم نماید، تمام‌کارهای دیگر به‌عنوان مشاوره است.

مراحل حسابرسی داخلی مبتنی بر ریسک:

مراحل حسابرسی داخلی مبتنی بر ریسک:

۱- ارزیابی ریسک سازمان

مدیریت ریسک طی یک نظام ساختارمند در سازمان شکل‌گرفته و اجرایی می‌شود. در این نظام نگرش‌ها و رویکردهای مدیران و کارکنان، فرآیندها و رویه‌های اجرایی، ارتباطی و کنترلی، دانش و مهارت‌های افراد و ارتباطات آن‌ها برای شناسایی، ارزیابی و واکنش به ریسک طرح‌ریزی می‌شود. در اولین مرحله از حسابرسی مبتنی بر ریسک باید طی ارزیابی بلوغ مدیریت ریسک، میزان قابلیت اطمینان و کیفیت خروجی‌های فرآیند مدیریت ریسک شناسایی و تعیین گردد. درصورتی‌که فرآیند مدیریت ریسک، نظام‌مند بوده و به شیوه مطلوبی ریسک را شناسایی و پایش کند، حسابرسی مبتنی بر ریسک نیز با اطمینان بیشتری انجام خواهد شد. لیکن در صورت ضعف در فرآیند مدیریت ریسک، نتایج این فرآیند به‌عنوان ورودی حسابرسی مبتنی بر ریسک چندان قابل‌اطمینان نخواهد بود.

۲- تنظیم کردن یک برنامه برای انجام حسابرسی داخلی

در این مرحله بر اساس اهداف تعیین‌شده برای حسابرسی، برنامه‌ریزی فعالیت‌های حسابرسی طی یک دوره زمانی مشخص انجام می‌شود. انتظارات مدیریت برای دریافت خدمات اطمینان بخشی و مشاوره‌ای، تعیین‌کننده اهداف حسابرسی خواهند بود. ورودی دیگر این مرحله نیز فعالیت‌ها و حوزه‌های دارای ریسک بالاتر نسبت به سایر حوزه‌ها است. خود فرآیند مدیریت ریسک نیز نیازمند اطمینان بخشی است که باید در برنامه حسابرسی سالانه، حسابرسی این فرآیند نیز جزو فعالیت‌ها قرار گیرد.

۳- انجام دادن حسابرسی داخلی مبتنی بر ریسک و بازخوردهای نتایج حسابرسی

طی این مرحله مجموعه‌ای از فعالیت‌ها که در برنامه حسابرسی طرح‌ریزی‌شده‌اند، اجرایی می‌گردد تا وضعیت اثربخشی فعالیت‌های مواجهه با ریسک، مورد ارزیابی قرار گیرد. طی این فعالیت‌ها مشخص می‌گردد که کنترل‌ها در کاهش تأثیرات نامطلوب ریسک‌ها تا چه میزان مؤثر عمل نموده‌اند.  در این مرحله مشخص می‌گردد که مدیریت تا چه حد ریسک‌ها را به‌درستی شناسایی و ارزیابی نموده و نسبت به آن‌ها واکنش مطلوبی نشان داده‌اند. همچنین واکنش‌های مدیریت تا چه حد بااشتهای ریسک سازمان تطابق داشته است. علاوه بر این باید تعیین شود که واکنش به ریسک مؤثر بوده است لیکن اقدامات کنترلی افراطی انجام‌نشده است.

 به‌نحوی‌که ریسک‌های ذاتی در محدوده اشتهای ریسک سازمان بدون واکنش رهاشده‌اند. به‌عبارت‌دیگر نیازی به واکنش نسبت به این ریسک‌ها نبوده است. اگر سازمان نسبت به این ریسک‌ها واکنش‌های غیرضروری اعمال نماید، حسابرسان باید نسبت به آن واکنش نشان دهند. حسابرسان در این مرحله مطمئن می‌شوند که مدیران فرآیند مدیریت ریسک را تحت کنترل داشته و بر نظارت و بهبود مستمر آن اهتمام دارند. همچنین گزارشگری ریسک در سازمان به‌صورت مؤثر و مطلوبی انجام می‌شود.