پالس حسابرسی داخلی : توصیف هم ترازی در یک فضای ریسک پویا

خلاصه اجرایی

در اواخرسال سال 2019  تحقیقی  بشکل پرسش نامه آنلاین  ،توسط مرکز اجرایی حسابرسی (AEC)انجمن حسابرسان داخلی IIA  با عنوان ،پالس  حسابرسی:توصیف هم ترازی در یک فضای ریسک پویا ،حاوي اطلاعاتی در خصوص مشکلات موجود و یا نوظهور در حرفه حسابرسی داخلی انجام شد . 512 نفر در این بررسي شركت كردند که 447 نفر آنها مدیران اجرایی حسابرسی داخلی(CEAs) و الباقی سایر مدیران و 85درصد پاسخ دهندگان از آمریکا، 10 در صد از کانادا و مابقی از سایر کشورها بودند. نتیجه این بررسی  بشرح زیر می باشد. 

در طول دهه گذشته، سرعت ظهور ریسک‌های جدید به صورت عجیبی افزایش یافته است  و شرکت‌ها و سازمانها را مجبور کرده  تا با استراتژی‌های جدید، خود را سازگار و اولویت‌های خود را دوباره تعریف کنند ،تا قادر به ادامه فعالیت و رشد در محیطی پر از ریسک‌های پیچیده و فزاینده باشند.

رشد فزاینده چالش‌هایی از قبیل تکنولو ژی‌های مخرب، عدم قطعیت‌های ژئوپلتیکی و شرایط اقتصاد جهانی، اهداف سازمانها را تهدید می‌کنند و کلیه بازیگران در مدیریت ریسک را مجبور می‌کند تا همواره آگاه و آماده باشند. اعضای هیئت مدیره، کارمندان سایبری حرفه‌ای را به تیمشان اضافه می‌کنند و از مدیریت اجرایی‌شان اطلاعات بهتری در خصوص مدیریت ریسک ،خصوصاً در ارتباط با امنیت سایبری (فضای مجازی) درخواست می‌کنند. آن‌ها همچنین آگاه هستند که باید دانش خود را در خصوص تبعات و اثرات ریسک‌ها و فرصت‌ها، ارتقاء دهند. تقویت نظارت بر اجرای استراتژی‌ها و مدیریت ریسک از اولویت‌های اولیه هیات مدیره هامی‌باشد. بر اساس بررسی که توسط انجمن ملی مدیران شركتها در سال 2018-2019 انجام گردید ،هیئت مدیره و مدیران اجرایی، به حمایت از حسابرسی داخلی برای همکاری در بخش مدیریت ریسک ادامه داده‌اند و این امر از رشد همکاران در بخش حسابرسی داخلی پیداست. تعداد مدیران اجرایی حسابرسی CEAs که افزایش تعداد کارکنان را گزارش کرده اند دو برابر تعداد مدیرانی بوده است که کاهش اعلام کرده اند.همراستایی دیدگاه‌های مدیریت اجرایی و هیئت مدیره و حسابرسان داخلی در خصوص ریسک، به منظور خدمت رسانی موفق حسابرسی داخلی و این که به عنوان منبعی ضروری و با ارزش افزوده محسوب گردد،بسیار حائز اهمیت است.حسابرسی داخلی می‌بایست هم راستا با هیئت مدیره و مدیریت اجرایی فعالیت کند، همچنین ضروریست که انها شناختی از دیدگاه ذینفعان نسبت به ریسک‌ها و فرصت‌ها داشته باشند. شروع و خاتمه این امر اطمینان از این موضوع است که هیئت مدیره، اطلاعات کامل و صحیحی از اینکه پایه تصمیمات خود را کجا بنا کند. مدیران  حسابرسی داخلی می‌بایست برای مباحث رهنمون گر آماده باشند، چرا که ممکن است مدیریت در شناخت ریسکهای  خاصی تأخیر داشته باشد . همچنین در صورتی که مدیریت به نحو مناسبی بر موضوع متمرکز نباشد، انها می‌بایست قدرت بیان مطالب و اظهار نظر داشته باشد.

اهدف  این گزارش ،فراهم کردن دانش و راه و روشی جهت کمک به حسابرسان داخلی است که بتوانند مدیران اجرایی و هیئت مدیره را درخصوص 4 ریسک مهم آگاه کنند: این 4 ریسک مهم عبارتست از: 1)اطلاعات و امنیت سایبری، 2)ریسک‌های شخص ثالث، 3)ریسک‌های نوظهور و غیرمعمول و 4)فعالیت مدیریت و هیئت مدیره.

 اطلاعات پرسشنامه نشان دهنده عدم توازن در فضای ریسک‌ها ی فوق بوده و نیاز است که مدیران اجرایی حسابرسی  این نگرانی‌ها را با کمیته حسابرسی‌شان مطرح و برطرف کنند. 

1)امنیت فضای مجازی و محافظت دیتا: امنیت سایبری

حسابرسی داخلی باید تلاش‌های خود را برای ارائه خدمات اطمینان بخشی و مشورتی در این زمینه بهبود بخشد. این نیازمند ایجاد روابط محکم با CIOها و CISOها و سرعت بخشیدن به تلاش در زمینه ساخت تیم‌های سایبری زیرک ازطریق آموزش و استخدام‌های جدید یا همکاری خارج سازمانی می باشد. مدیران اجرایی حسابرسی باید در مورد داشتن برنامه حسابرسی مناسب که منعکس کننده اهمیت خدمات  اطمینان بخشی سایبر ی و فناوری اطلاعات باشد ، اگاه باشند  و در مورد هر حوزه ای که مدیر اجرایی حسابرسی احساس می‌کند که حسابرسی داخلی باید خود را در آن زمینه تقویت کند به گفتگو بپردازد.

در حالیکه فضای مجازی و فناوري اطلاعات (IT) حدود 20% متوسط تصمیمات حسابرسی را پوشش می‌دهند، این مشکلات کلیدی به طور مداوم توسط هیئت مدیره به عنوان فاکتورهایی با ریسک پایین و همانند موضوعات گزارش گری عملیاتی، مالی و تطبیق با قوانین در نظر گرفته می‌شود. به علاوه ،مدیران اجرایی حسابرسی گزارشی مبنی بر رشد آهسته در دانش فناوری اطلاعات (IT) و مهارت‌های دنیای مجازی کارمندان را تهیه  می‌کنند  و شکاف بین تلاش حوزه حسابرسی داخلی در زمینه امنیت فضای مجازی و سطحی که مدیران اجرایی حسابرسی  باور دارند که آن‌ها باید در خصوص امنیت فضای مجازی بایدبطورگستره فراهم سازند، مشخص نمایند

یک مورد اقدام بالقوه مدیران اجرایی حسابرسی داخلی، متوازن نمودن علاقه روبه افزایش هیئت مدیره و وارد شدن به مشکلات امنیت فضای مجازی به منظور بروزرسانی و تطبیق روش‌های حسابرسی و همچنین برداشتن گام‌هایی در جهت رفع چنین شکاف‌هایی در حوزه چنین ریسک کلیدی می‌باشد. ضمناً مدیران اجرایی حسابرسی داخلی می‌بایست کلیه انتخاب‌ها را مدنظرقرار دهد، به عنوان مثال ،هم سپاری به منظور افزایش مهارت سایبری کارمندان را میتوان نام برد. بحث‌های صادقانه با کمیته حسابرسی در خصوص موانع حوزه ی حسابرسی داخلی، این اطمینان را می‌دهد که مشکلات آتی سایبری موردتوجه قرار گرفته‌اند.

2)ریسک‌های شخص ثالث 

ارتباط شخص ثالث ،بخشی از اکوسیستم ریسک های هر سازمانی است و سازمانهایی که نتوانند به طور صحیح به ریسک‌های شخص ثالث رسیدگی کنند در معرض مخاطره هستند. حسابرسی داخلی باید به هیئت مدیره و مدیریت اجرایی در زمینه ریسک های ضعف یا عدم وجود کنترل در روابط شخص ثالث آموزش دهد و با کمیته حسابرسی و مدیریت برای تعریف نقشی که حسابرسی داخلی بایستی برای اطمینان بخشی در این حوزه مهم ایفا نماید همکاری نزدیک داشته باشد.

نظارت سازمانی بر روابط شخص ثالث، توسط نیمی ازمدیران اجرایی حسابرسی  به عنوان ضعف دیده می‌شود. پاسخ‌های نظر سنجی به طور واضحی نگرانی مدیران اجرایی حسابرسی داخلی در خصوص نحوه انتخاب و نظارت شخص ثالث را نشان می‌دهد و اینکه اگر سازمانها حوزه فروشندگان را به درستی مدیریت نکنند ،چگونه آسیب خواهند دید. یک مورد توصیه شده برای مدیران اجرایی حسابرسی  این است که به ذینفعان آموزش دهند که روابط شخص ثالث جزئی از اکوسیستم ریسک سازمان است و نباید آن را به صورت جداگانه در نظر گرفت. همچنین مدیران اجرایی حسابرسی  باید حساسیت در خصوص کنترل‌های ضعیف بر روی ریسک‌های شخص ثالث را در کمیته حسابرسی افزایش دهند. این روابط، نیازمند همان سطحي از مدیریت ریسک است که سایر ریسک‌هایی که بر سازمان به طور مستقیم تأثیر می‌گذارند، نیاز به مدیریت دارند

3)ریسک‌های نوظهور و غیر عادی

تهدیدات ناشی از ریسک‌های نوظهور و غیرعادی با توجه به این که فناوری سرعت بلوغ و امکان آسیب رسانی آنان را افزایش داده است در حال رشد می باشند. مدیران اجرایی حسابرسی‌ها باید در مورد ریسکهای نوظهور و غیر عادی که می‌توانند روی سازمانها تأثیربالقوه بگذارند، آموزش دریافت نمایند. مدیران اجرایی حسابرسی باید هنگامی که سازمان فقط به اطمینان بخشی مدیریتی در مورد کاهش ریسک های نوظهور و غیرعادی متکی می باشد سخن بگویند. مدیران اجرایی حسابرسی باید شاخص‌های ریسک های کلیدی قوی‌تری را برای اطمینان بخشی از فرایند هایی که به منظور شناسایی، نظارت و کاهش ریسک های نوظهور و غیرعادی در نظر بگیرند.

گزارشات مدیران اجرایی حسابرسی نشان می‌دهد که هیئت مدیره در خصوص شناسایی و ارزیابی ریسک‌های نوظهور و غیر عادی بیشتر به مدیریت متوسل می‌شوند تا حسابرسی داخلی ، در حالیکه اکثرمدیران اجرایی حسابرسی  ادعا می‌کنند که سازمان‌ها، قدرت شناسایی و ارزیابی چنین ریسک‌هایی را دارند. تقریباً نیمی از آنها می گویند که این تقریباً عادی است که ظهور چنین ریسک‌هایی مدیریت را در طی یک سال متعجب و شگفت زده نماید . هشدار به هیئت مدیره در خصوص سوء استفاده احتمالی، در زمان بروز ریسک‌های نوظهور و غیرمعمول اولین گام برای بازکردن درب به سوی حسابرسی داخلی در جهت ایفای نقش بزرگتری (در زمان بروز چنین ریسک‌هایی) می‌باشد. مدیران اجرایی حسابرسی  می‌بایست از نظارت شاخص‌های کلیدی ریسک (KRI) که شامل پیش زمینه‌های ظهور ریسک‌های نوظهور هستند، حمایت کنند.

4)هیئت مدیره و فعالیت مدیریتی

امروز بیشتر از گذشته برای تأمین نظارت پیشبینانه صحیح، قانون گذاران و سهامداران بر هیات مدیره فشاروارد می‌کنند. آن‌ها در صورتی می‌توانند به بهترین شکل ممکن این کار را انجام دهند که اطلاعاتی که تصمیمات خود را بر آن پایه گذاری می‌کنند دقیق و کامل باشد. مدیران اجرایی حسابرسی باید در مورد کلیه اطلاعاتی که به هیئت مدیره می‌رود اطمینان فراهم کنند و هیئت مدیره و مدیریت اجرایی را در مورد مزایایی که اطمینان بخشی مستقل می‌تواند فراهم آورد، آگاه سازند.

امروزه مدیریت چالش‌های پیش روی حسابرسان داخلی– که پیچیده، شتاب یافته و جهانی می باشند- به چابکی، نوآوری و گفتگوی مؤثر با هیئت مدیره و مدیریت اجرایی نیاز دارد. این امر به یک الزام اساسی نیاز خواهد داشت تا این اطمینان حاصل شود که اطلاعاتی که هیات مدیره در اختیار دارد دقیق، کامل، به موقع، شفاف و قابل اعتماد است. برای اینکه حسابرسی داخلی بتواند جایگاه خود را در این دنیای جدید پیدا کند، باید با شهامت صدای خود را بلند کنند.

بیش از نیمی از پاسخ دهندگان می گویند که حسابرسی داخلی هرگز و یا به ندرت، در مورد اطلاعاتی که توسط مدیریت به هیئت مدیره ارائه می‌گردد اطمینان و اطمینان بخشی را فراهم نمی‌آورد. همزمان اعضای هیئت مدیره می گویند که کیفیت اطلاعات ارائه شده توسط مدیریت می‌بایست بهبود یابد ضمناً گوناگونی وظایف و مسئولیت‌های کمیته ممکن است مانع دسترسی هیئت مدیره به یافته‌ها و دیدگاه‌های حسابرسی داخلی در خصوص حوزه‌های ریسکی کلیدی همانند امنیت سایبری گردد.

مدیران اجرایی حسابرسی باید آمادگی اطمینان بخشی به اطلاعاتی که به هیئت مدیره می‌رود را داشته باشند، همچنین تلاش کنند تا در کمیته‌های کلیدی دیگر هیئت مدیره ،همانند فناوری اطلاعات، ریسک و کمیته‌های جـبران خدمات حضور یابند تا اطمینان حاصل کنند که دیدگاه‌های حسـابرسی داخـلی به وضـوح به هیئـت مدیره اعلام شده‌اند.

استفاده از این گزارش

با استفاده از افزایش بینش فراهم شده توسط این گزارش ، مدیران اجرایی حسابرسی می‌توانند ذینفعان را از عدم توانایی بالقوه در این حوزه‌های کلیدی ریسک آگاه کنند و از راه‌های توصیه شده برای شناسایی و رسیدگی به هر گونه ضعف یا سوء استفاده که ممکن است در سازمانشان وجود داشته باشد، بهره مند سازند. با بحث و گفتگو با کمیته حسابرسی، نگرانی‌های موجود جهت اقدام و رسیدگی ثبت خواهند شد. همانند سال‌های گذشته، نتایج پرسشنامه، اطلاعات با ارزشی در خصوص برنامه‌های حسابرسی، کارمندان و برون سپاری ارائه می‌دهد . این گزارش حاوی روند سه ساله برنامه حسابرسی بر اساس نوع سازمان می‌باشد. هر حوزه‌ای از ریسک سوء استفاده، نه تنها ریسک‌های واضح سازمان را نمایش می‌دهد، بلکه اطمینان به اینکه حسابرسی داخلی نیز تضعیف شده باشد را نیز نمایان می‌سازد. همانند اغلب موارد بحرانی، حسابرسی داخلی در مقابل سؤال اجتناب ناپذیر "حسابرسی داخلی کجا بود؟" قربانی خواهد شد. مدیران اجرایی حسابرسی می‌توانند در مواقعی که ضعف کنترلی یا سوء استفاده‌ای شناخته نمی‌شود و یا زمانیکه ریسک‌ها به درستی شناسایی نمی‌شوند در مقابل چنین انتقاداتی صدای خود را بلند کرده و ازخود محافظت کنند. از این گذشته، ریسکی که به گفتگو گذاشته نشود تنها یک ریسک مفروض است