عباس وفادار *

عباس شجاعی **

بخش سوم

تلاش در چنین اندازه‌ای نمی‌تواند به طور موردی و به صورت مجزا انجام شود؛ بلکه باید از بالا به پایین و در قالب یک برنامه مدیریت کنترل داخلی در سطح کل سازمان صورت پذیرد و شامل موارد زیر باشد: • در سطح مدیر امور مالی هدایت و نظارت شود.

• تمام بخش‌های مربوط در سازمان و همه فرآیندهای کلیدی که گزارشگری مالی را تحت تاثیر قرار می‌دهند، بدون توجه به جایگاه آنها، دربر‌گرفته‌شوند.

• چارچوب کنترل داخلی یکنواختی برای ارزیابی ریسک‌ها و فرموله کردن هدف‌ها و فعالیت‌های کنترلی مناسب برای آن ایجاد و اجرا شود.

• استانداردها و رویکردهایی را برای مستندسازی، ارزیابی طراحی کنترل‌ها و آزمون اثربخشی کنترل‌ها ارائه دهد.

• به وضعیت انطباق سازمان به طور مستمر نظارت کند.

• انطباق پایدار را از طریق آموزش و آگاهی دادن ترویج کند.

• پروتکل‌های ارتباطی را برای مطلع کردن هیات مدیره و مدیران اجرایی از موضوعات کنترل داخلی و اقدامات انجام شده برای بازسازی کنترل‌ها، ارائه دهد.

• از فناوری مناسب برای تسهیل دستیابی به موارد یادشده استفاده کند.

نبود برنامه مدیریت کنترل‌ داخلی گسترده در سطح سازمان، به دلایل زیر تهدیدهایی را در اجرای دستورالعمل کنترل داخلی سازمان بورس ایجاد خواهد کرد:

• نبود برنامه مدیریت کنترل داخلی گسترده در سطح سازمان منجر به ابهام جدی در مورد پایبندی مدیریت شرکت به کنترل‌های داخلی اثربخش می‌شود. اگر یک سازمان نتواند نشان دهد که چنین برنامه‌ای وجود دارد، باید نسبت به این موضوع که راهبران شرکت بر ایجاد محیط کنترلی اثربخش تمرکز و اهتمام دارند، شک کرد.

• بدون برنامه مدیریت کنترل داخلی برای هدایت اقدامات در سطح سازمان، یک شرکت نه تنها قادر به کشف نقاط ضعف با اهمیت کنترل‌های داخلی نخواهدشد بلکه توانایی آن در انجام تطبیق پایدار در سال‌های بعد نیز با ابهام مواجه خواهدبود.

• یکی از کارکردهای کلیدی برنامه مدیریت کنترل داخلی، مطلع ساختن مدیران اجرایی از وضعیت کنترل‌های داخلی شرکت و نتیجه اقدامات انجام شده برای رعایت الزامات دستورالعمل کنترل داخلی سازمان بورس است. بی‌اطلاعی مدیران اجرایی از موارد پیش گفته، منجر به اجرایی نشدن این دستورالعمل خواهدشد.

۲. نبود برنامه رسمی مدیریت ریسک در سطح شرکت.

اساس موفقیت هر برنامه مدیریت کنترل داخلی، وجود یک برنامه مدیریت ریسک سازمان است. برنامه مدیریت ریسک سازمان، دربرگیرنده فرآیندی رسمی و مستمر است که برای تشخیص دادن ریسک‌های کلیدی مرتبط با گزارشگری مالی طراحی شده و این ریسک‌ها را به حوزه‌ها و فعالیت‌های سازمان ارتباط دهد. می‌توان گفت که اکثریت قریب به اتفاق شرکت‌های بورسی و فرابورسی از داشتن چنین برنامه‌ای بی‌بهره‌اند و در نتیجه، به جای تجزیه و تحلیل جامع و منظم ریسک‌های سازمان، تنها پس از مواجه شدن با این ریسک‌ها به آنها می‌پردازند. یک برنامه مدیریت ریسک اثربخش باید بتواند موارد زیر را برآورده سازد:

• ریسک‌های خاص گزارشگری مالی را که ناشی از پیامدهای مدل کسب و کار، خط مشی‌ها و عملیات سازمان باشد، تعیین کند. هدف از این کار، تهیه فهرستی از تمامی ریسک‌های محتمل نبوده، بلکه تشخیص و اولویت دهی به ریسک‌ها با توجه به محیط عملیاتی و ویژگی‌های منحصر به فرد شرکت است.

• تاثیر بالقوه هر ریسک تشخیص داده شده بر یکپارچگی گزارشگری مالی را ارزیابی کند.

• هر ریسک خاص را با یک یا چند فرآیند کسب و کار یا حوزه‌های محیط کنترلی که ریسک در آن به وقوع می‌پیوندد، مرتبط سازد.

• مسوولیت پایش و کنترل یک ریسک یا مجموعه‌ای از ریسک‌ها را به افراد مناسب برای انجام آن تخصیص دهد.

• دربر گیرنده فعالیت‌هایی برای پایش و گزارش دهی در مورد شرایط ریسک‌های در حال تغییر باشد.

• پروتکل‌های ارتباطی رسمی در مورد عملکرد کنترل و تغییرات در وضعیت ریسک سازمان ایجاد کند.

۳. کنترل‌های ناکافی در ارتباط با ثبت مبادلات غیر‌متعارف، پیچیده و غیرعادی. فعالیت‌های ادغام و تحصیل، تجدید ارزیابی دارایی‌ها، توقف فعالیت، حسابداری ابزارهای مالی و حسابداری مزایای بازنشستگی در زمره معاملات غیرعادی و بسیار پیچیده قرار می‌گیرند و می‌توانند منجر به خطرهای قابل ملاحظه در گزارشگری مالی شوند. در بسیاری از سازمان‌ها دانش فنی حسابداری برای ثبت درست این معاملات پیچیده وجود ندارد و حتی کارکنان باصلاحیت نیز بعید به نظر می‌رسد تجربه کافی برای حسابداری این دسته از معاملات پیچیده را که به ندرت اتفاق می‌افتند، داشته ‌باشند.

خطا در ثبت چنین معاملاتی می‌تواند منجر به تجدید ارائه گزارش‌های مالی شرکت شود که خود یک ضعف کنترل داخلی تلقی می‌شود.

چیزی که مشکل را بزرگ‌تر می‌کند این است که بسیاری از شرکت‌ها فرآیندهای خود را به میزان کافی مستندسازی نمی‌کنند. بنابراین در صورت وقوع چنین معاملات پیچیده‌ای، مدیریت قادر به بررسی این معاملات نخواهد بود. به طور کلی مستندسازی ناکافی کنترل‌های داخلی می‌تواند از ارزیابی اثربخشی کنترل‌ها بر معاملات پیچیده، جلوگیری کند.

۴. نبود کنترل‌های اثربخش حاکم بر محیط فن‌آوری اطلاعات. باید فناوری‌های توانمندساز برای اجرا و گزارش‌دهی معاملات، در سازمان‌های مدرن وجود داشته ‌باشد؛ زیرا فناوری نقش اساسی در محیط کنترلی بازی می‌کند. اما باید توجه داشت هر چه شرکت‌ها برای انجام و مستند سازی معاملات، بیشتر به فناوری وابسته می‌شوند، حفظ و نگهداری فناوری، خود به مقوله‌ای پیچیده تبدیل می‌شود. باید توجه داشت که این اولین بار است که شرکت‌ها به موجب دستورالعمل کنترل داخلی موظف می‌شوند که کنترل‌های خود در محیط فناوری اطلاعات را در حجم و عمق گسترده‌ و به طور سیستماتیک ارزیابی و آزمون کنند و در صورت انجام آن، با موارد کنترلی فراگیری مواجه خواهند شد که ممکن است دارای ایراد باشد. هر چه محیط فناوری اطلاعات پیچیده‌تر باشد و توجه کمتری به کنترل‌های فناوری اطلاعات شده‌ باشد، احتمالا ایرادات بیشتری وجود خواهد داشت و حل و فصل آن، چالش‌های بیشتری به‌دنبال داشته و مدت زمان بیشتری را طلب می‌کند. با توجه به استفاده گسترده فناوری در پردازش معاملات، وجود اشکال در طراحی و اجرای آن می‌تواند به شکل‌های گوناگون، فرآیند گزارشگری مالی را با خطر مواجه سازد. حوزه‌هایی از فناوری اطلاعات که در آنها می‌تواند نقاط ضعف فراگیر وجود داشته‌باشد، به شرح زیر است:

• مدیریت توسعه سیستم، اجرا، نگهداری و تغییر.

• کنترل‌های تبدیل اطلاعات و رابط سیستم‌ها.

• فناوری‌های امنیتی، پروتکل‌ها و مدیریت.

• ارائه‌کنندگان برون‌سازمانی خدمات فناوری اطلاعات.

۵. فرآیندهای غیر اثربخش گزارشگری مالی و آماده سازی موارد افشا. تغییرات رو به افزایش در قوانین و مقررات در سال‌های گذشته منجر به افزایش و پیچیدگی موارد افشای اطلاعات مالی شده و اثری از کاهش در آن نیست. باید پذیرفت که برخی شرکت‌ها، مهارت‌های فنی حسابداری که برای تهیه و ارائه موارد افشای مالی مورد نیاز است را در اختیار ندارند. از آنجا که بسیاری از شرکت‌ها فرآیندی جدی و محکم برای جمع‌آوری و سازمان‌دهی اطلاعات مورد نیاز برای تهیه موارد و افشای اطلاعات مالی را تعریف نکرده‌اند، این مشکل در آنها بیشتر می‌شود. در شرکت‌هایی هم که چنین فرآیندی را ایجاد کرده‌اند، ممکن است این فرآیند را به میزان کافی مستندسازی نکرده یا طراحی کنترل‌های مربوط به آن را ارزیابی و آزمون نکرده‌باشند. معمولا بسیاری از شرکت‌ها در این حوزه به کمک حسابرسان مستقل‌شان اتکا می‌کنند. با این حال، در اجرای دستورالعمل کنترل داخلی سازمان بورس، فرآیند تهیه و افشای اطلاعات مالی به علاوه کامل بودن و صحیح بودن موارد افشا، باید در ارزیابی کنترل‌های داخلی به طور خاص مورد توجه قرار گیرند. بر این اساس، بسیاری از شرکت‌ها باید خود را برای ایجاد ظرفیت‌های تخصصی حسابداری که فرآیند افشا را تکمیل می‌کند، تجهیز کنند.

۶. نبود کنترل‌های رسمی حاکم بر فرآیند بستن حساب‌ها. فرآیند بستن حساب‌ها به عنوان آخرین مرحله برای تولید گزارش‌های رسمی مالی، یک فعالیت دارای ریسک ذاتی است که به واسطه پیچیدگی‌های فراوانش، ریسک آن حتی بیشتر هم می‌شود. در این فرآیند، شرکت‌ها باید اطلاعات را از منابع مختلف دریافت کرده، تجزیه و تحلیل و در نهایت تجمیع و تلفیق کنند، عملیات تطبیق را انجام دهند و اصلاحات لازم را در حساب‌ها اعمال و در عین حال، بسیاری از موارد را که به میزان بسیاری مبتنی بر انجام قضاوت است، در مدت زمان بسیار محدودی انجام دهند. در این شرایط، توجه شرکت‌ها به طور کامل معطوف به بستن سریع حساب‌ها است و اجرای روش‌های دقیق کنترل‌ داخلی در این حوزه، به فراموشی سپرده می‌شود. به منظور پرهیز از خسارات ناشی از فرآیند ضعیف کنترلی بستن حساب‌ها که در تضاد با مفاد دستورالعمل کنترل داخلی سازمان بورس است، شرکت‌ها ابتدا باید یک فرآیند رسمی برای اجرا و مستندسازی فعالیت‌های بستن حساب‌ها و نیز فعالیت‌های کنترلی مربوط به آن وضع کنند. این فرآیند باید در تمامی شرایط، حتی وقتی که محدودیت زمانی شدید برای بستن حساب‌ها وجود دارد، اجرا شود. با این اقدامات، فرآیند بستن حساب‌ها با جزئیات کافی مستندسازی می‌شود و مدیریت قادر خواهد بود تا طراحی کنترل‌های فرآیند بستن حساب‌ها را به گونه‌ای موثر ارزیابی و اثربخشی آن را آزمون کند.

۷. نبود روش‌ها و رویه‌های حسابداری روزآمد، یکنواخت، کامل و مستند شده. هر چه روش‌ها و رویه‌های حسابداری شرکت‌ها به روزتر، یکنواخت‌تر و کامل‌تر باشند، ارزیابی و مستندسازی آنها ساده‌تر است و خطرهای مرتبط با آنها بهتر توسط شرکت کنترل می‌شود. در بسیاری از شرکت‌ها، باوجود اینکه کسب و کار آنها دستخوش تغییر می‌شود و استانداردهای حسابداری نیز تغییر می‌کنند، هیچ اقدامی برای بررسی سیستماتیک روش‌ها ورویه‌های حسابداری و تجدید نظر در مورد آنها صورت نمی‌پذیرد. همچنین باید توجه داشت که ممکن است روش‌ها و رویه‌های حسابداری در یک شرکت و بخش‌های مختلف آن به صورت یکنواخت طراحی یا به کار گرفته نشوند که نتیجه آن، ناتوانی در پوشش دادن مجموعه کامل فرآیندهای مربوط به گزارشگری مالی یا نبود دستورالعمل‌ها در سطح شرکت است. شرکت‌هایی که فعالیت آنها در حوزه‌های جغرافیایی بیشتری گسترده ‌است، بیشتر در معرض خطر ناشی از ضعف در روش‌ها و رویه‌های حسابداری قرار می‌گیرند. وجود دستورالعمل‌های قوی در مورد روش‌ها و رویه‌های حسابداری در شرکت‌ها می‌تواند حفاظ محکمی در مقابل خطاهای ناشی از این گونه موارد باشد.

۸. ناتوانی در ارزیابی و آزمون کنترل‌های حاکم بر فرآیند‌های برون‌سپاری شده. بسیاری از شرکت‌ها درسال‌های اخیر به طور فزاینده‌ای فرآیندهای اساسی کسب و کار خود را که تاثیر بالقوه‌ای بر گزارشگری مالی آنان دارد، برون سپاری کرده‌اند. به عنوان مثال می‌توان به سیستم سفارش فروش، حقوق و دستمزد، موجودی کالا و وصول مطالبات اشاره کرد. هنگامی که شرکت‌ها فعالیت‌های خود را برون‌سپاری می‌کنند، مسوولیت کنترل‌های داخلی مربوط به این فعالیت‌ها را نیز به طور ضمنی به مجری این فعالیت‌ها واگذار می‌کنند. در عمل، مدیران اجرایی به ندرت انتظارات خود در مورد عملکرد کنترل داخلی مربوط به فعالیت‌های برون‌سپاری شده را به طورشفاف در متن قراردادهای منعقده برای برون‌سپاری فعالیت‌ها درج می‌کنند و به همین دلیل، مستندسازی و ارزیابی این فرآیندها برای هیات مدیره شرکت‌ها و نیز حسابرسی آن توسط حسابرسان مستقل شرکت، امکان‌پذیر نخواهدبود. نتیجه این کار، نبود شفافیت در محیط‌های کنترل داخلی مربوط به فرآیندهای برون سپاری شده است که مانع از اجرای فرآیند ارزیابی در مورد آنها در اجرای دستورالعمل کنترل داخلی سازمان بورس می‌شود. بدیهی است اگر شرکتی نتواند اطلاعات کافی برای ارزیابی کنترل‌های حاکم بر فرآیندهای برون‌سپاری شده به‌دست آورد، مدیریت نخواهد توانست در مورد اثربخشی این کنترل‌ها گزارش دهد.

۹. درک ناکافی اعضای هیات‌مدیره و کمیته حسابرسی از خطر و کنترل. با توجه به مسوولیت‌های هیات مدیره شرکت‌ها در دستورالعمل کنترل داخلی، از اعضای هیات مدیره و کمیته حسابرسی شرکت‌ها انتظار می‌رود که با ماهیت خطر گزارشگری مالی و کارکرد کنترل‌های داخلی به طور کامل آشنا باشند. اگر هیات مدیره و کمیته حسابرسی شرکت نتوانند ثابت کنند که اعضای آن با مفاهیم ریسک و کنترل و نیز فرآیند مستندسازی، ارزیابی و آزمون کنترل‌های داخلی آشنا هستند و تعهد و پایبندی به اجرای دستورالعمل دارند و به طور مستمر برای کشف و حل و فصل مسائلی که ممکن است محیط کنترل داخلی شرکت را به خطر بیندازد تلاش می‌کنند، کیفیت انجام فرآیند ارزیابی کنترل‌های داخلی توسط آنان در‌هاله‌ای از ابهام خواهد بود.

با ۹ تهدیدی که شرکت‌ها در اجرای دستورالعمل کنترل داخلی سازمان بورس، آن هم فقط در حوزه کنترل‌های داخلی حاکم بر گزارشگری مالی و نه در حوزه همه کنترل‌های داخلی با آنها مواجهند، آشنا شدیم. به موجب تحقیقی که موسسه حسابرسی دیلویت در بیش از ۸۰۰ شرکت مشمول بخش ۴۰۴ قانون سربانس‌- ‌اکسلی انجام داده‌ است، بیشتر این شرکت‌ها برآورد درستی از حجم کار مورد نیاز برای انجام مستندسازی، ارزیابی و آزمون کنترل‌های داخلی حاکم بر گزارشگری مالی نداشته‌اند و در اجرای این کار با ۹ تهدید پیش‌گفته مواجه بوده‌اند.

به موجب این تحقیق، اگر این ۹ تهدید حل ناشده باقی بمانند، مدیران شرکت‌ها نمی‌توانند ادعا کنند که کنترل‌های داخلی حاکم بر گزارشگری مالی آنها اثربخش است و حتی منجر به اظهار نظر مردود حسابرسان خواهد شد. حال به کشور خودمان بازگردیم. به طور قطع شرکت‌های ایرانی بورسی و فرابورسی در این مورد با تهدیدهای بیشتری مواجه خواهند بود به خصوص هنگامی که قرار باشد اثربخشی همه کنترل‌ها مورد آزمون قرار گیرد! حال این سوال مطرح می‌شود که آیا شرکت‌های بورسی و فرابورسی اساسا در سال ۱۳۹۱ تدابیر لازم برای از بین بردن این تهدید‌ها را اتخاذ کرده‌اند تا بتوانند فرآیند مستند‌سازی، ارزیابی و آزمون کلیه کنترل‌های داخلی را انجام دهند و در گزارش خود ادعا کنند که این کنترل‌ها به گونه‌ای اثربخش عمل می‌کنند؟! یا این که اساسا این شرکت‌ها برآورد درستی از حجم کار مورد نیاز در این زمینه نداشته و حتی نمی‌دانند با چه تهدید‌هایی مواجهند و چه باید بکنند؟ پاسخ کاملا مشخص است: بیشتر این شرکت‌ها حتی نمی‌دانند با چه تهدید‌هایی در این راه مواجهند چه برسد به اینکه تدابیری برای از بین بردن آنها در سال ۱۳۹۱ اتخاذ کرده باشند. علاوه برآن، بیشتر این شرکت‌ها ابزار لازم برای اجرای این کار را در اختیار ندارند و حتی نمی‌دانند که آن را چگونه باید انجام دهند! حال در این شرایط، الزام شرکت‌های بورسی و فرابورسی به ارائه گزارش کنترل‌های داخلی برای سال ۱۳۹۱ چه فایده‌ای خواهد داشت؟ پاسخ کاملا روشن است: هیچ. با توجه به موارد پیش‌گفته و موضع جامعه حسابداران رسمی ایران مبنی بر عدم امکان انجام حسابرسی کنترل داخلی تا زمان تدوین استاندارد مربوطه توسط سازمان حسابرسی، این الزام تنها منجر به ارائه گزارش‌های بی‌خاصیت و حتی گمراه‌کننده و از همه مهم‌تر، لوث شدن این موضوع بسیار مهم می‌شود که تاثیر منفی بر قابلیت اجرای صحیح آن در آینده خواهد داشت.

باید دانست که همین دشواری‌های فراوان و مخارج سنگین اجرای صحیح آن است که باعث شده این فرآیند به غیر از کشور آمریکا و آن هم در شرکت‌هایی که سهام آنها در بورس‌های آمریکا معامله می‌شود و سهام شناور قابل معامله آنها در این بورس‌ها بیش از ۷۵ میلیون دلار است، اجرایی نشود. نکته قابل توجه این است که حتی در کشور آمریکا نیز که سال‌ها از اجرای آن می‌گذرد، هنوز موضوعی چالش‌برانگیز است و حتی در مناقشات سیاسی در سطح شعارهای تبلیغاتی کاندیداهای ریاست‌جمهوری این کشور مطرح می‌شود. حتی در سال ۲۰۱۲ تلاش‌هایی در این کشور صورت گرفته تا دامنه شمول آن، محدود‌تر هم بشود.

حال این سوال مطرح می‌شود که چه باید کرد؟ لازم است به منظور جلوگیری از تبعات منفی پیش‌گفته، سازمان بورس به عنوان اولین گام و هر چه سریع‌تر، اجرای این دستورالعمل را دست کم به مدت یک سال به تعویق بیندازد. در مورد چگونگی اجرای صحیح این دستورالعمل، در بخش بعدی این نوشتار بحث خواهد شد.

*حسابدار رسمی، کارشناس رسمی دادگستری و مدرس دانشگاه تهران

**عضو پیوسته انجمن حسابداران خبره رسمی انگلستان (ACCA)