علیرضا آقائی قهی

حسابدار رسمی

برداشت گروه‌های مختلف از معنای کنترل داخلی یکسان نیست. هرگروه مطابق نیاز، اصطلاحات و تعاریف متفاوتی ایجاد کرده است که هم در عمل و هم در ادبیات مربوط به کنترل داخلی به کار می‌رود. هرچند برداشت‌های متفاوت درباره کنترل داخلی، ضروری است. اما تنوع معانی، مانع از برداشتی مشترک از کنترل داخلی می‌شود. مدیران عملیاتی، مدیران مالی، اعضای هیات‌مدیره، حسابرسان داخلی و مستقل، تدوین‌کنندگان قوانین و مقررات، سرمایه‌گذاران و اعتباردهندگان اغلب برداشت‌های متفاوتی از کنترل داخلی دارند. به‌رغم گوناگونی دیدگاه‌ها، اتفاق نظرهایی نیز وجود دارد. ولی در هر حال این اتفاق نظرها سبب شده که تعاریف و اصطلاحات کنترل داخلی در ۵ جزء به‌عنوان اجزای تشکیل‌دهنده کنترل داخلی تهیه شوند.

استانداردهای حسابرسی اجزای کنترل داخلی را به ۵ بخش شامل محیط کنترلی، ارزیابی ریسک، فعالیت‌های کنترلی، اطلاعات و ارتباطات و نظارت تقسیم‌بندی می‌کند. جدای از اهمیت هریک از این بخش‌ها، در این یادداشت تمرکز بیشتر بر ارزیابی ریسک است.واحدهای اقتصادی با انواع ریسک‌های برخاسته از عوامل درون سازمانی یا برون‌سازمانی روبه‌رو‌ هستند که باید آنها را ارزیابی کنند. یکی از پیش‌شرط‌های لازم برای ارزیابی ریسک، تعیین اهدافی است که در سطوح مختلف با هم پیوند خورده‌اند و از سازگاری درونی برخوردارند. ارزیابی ریسک به معنای شناسایی و تجزیه و تحلیل ریسک‌های مرتبط با اهداف واحد اقتصادی است و مبنایی منطقی برای چگونگی اداره و مهار ریسک‌ها فراهم می‌سازد. از آنجا که شرایط و اوضاع اقتصادی، صنعتی و عملیاتی و همچنین مقررات در حال تغییر هستند پس برای شناسایی و اداره ریسک‌های برخاسته از این تغییرات باید سازوکارهای مناسبی وجود داشته باشد. ریسک‌ها بر توان واحد اقتصادی برای ادامه حیات، رقابت موفق در عرصه صنعت، حفظ قدرت مالی، کسب اعتبار نزد عموم، حفظ کیفیت محصولات و خدمات و روحیه کارکنان اثر می‌گذارند. تاکنون روش عملی برای کاهش ریسک‌ها تا سرحد صفر یافت نشده است.در واقع دست زدن به فعالیت‌های تجاری اساسا متضمن پذیرش ریسک است. مدیریت باید به‌طور معقول میزان ریسک قابل پذیرش را تعیین و سعی کند در عمل ریسک را در محدوده تعیین شده مهار کند.

مدیریت برای اینکه بتواند ریسک‌های واحد تجاری را مدیریت کند، باید علاوه بر دانش تشخیص ریسک‌ها راه‌هایی برای تعیین و شناسایی ریسک‌های بالقوه واحد تجاری انجام دهد. تعریف چارچوبی نظام‌مند برای فهمیدن ریسک‌های بالقوه و تسلط بر آنها نشان‌دهنده خلاقیت و دانش بالای مدیریت در حوزه ریسک است. تکنیک‌های بسیاری برای شناسایی ریسک‌ها وجود دارد ولی هدف کلی همه این تکنیک‌ها شناسایی و پوشش این ریسک‌ها است.عمده عواملی که در ارزیابی ریسک در واحدهای اقتصادی امکان دارد نادیده گرفته شود می‌تواند ناشی از ریسک‌های محیطی، ریسک‌های فرآیندی(عملیاتی) و ریسک‌های اطلاعاتی باشد.ریسک محیطی متاثر از نیرو‌هایی است که مرتبط با عملیات سازمان بوده و در خارج از سازمان بر عملیات سازمان تاثیر‌گذار است و باید در انتخاب اهداف، عملیات مشتریان، نیازهای مرتبط با آنها در یک چارچوب سازماندهی شده مورد توجه قرار گیرد. سازمان می‌تواند با ایجاد خلاقیت در مدیریت ریسک این موارد را در کنترل خود قرار دهد. از دسته عوامل مربوط به این ریسک‌ها می‌توان به عملکرد رقبا، شناسایی نیازهای مشتریان، انتظارات سهامداران، قوانین و مقررات، نوآوری در تکنولوژی و دسترسی به سرمایه اشاره کرد.ریسک‌های فرآیندی یا عملیاتی ریسک‌هایی هستند که به عملیات روزمره سازمان بر‌می‌گردد و بی‌توجهی به عوامل آن باعث تخریب عملکرد سازمان و اختلال در تداوم فعالیت آن در آینده می‌شود. این ریسک‌ها از منظر تعریف به اهداف کلان و راهبری واحدهای اقتصادی مربوط می‌شود ولی در عمل اهداف اجرایی و جزئی را نیز در بر می‌گیرد. این ریسک‌ها می‌تواند شامل نبود حاکمیت شرکتی، نبود اهداف عملیاتی شفاف و نبود چشم‌انداز آتی، گزارشگری مالی متقلبانه است.

ریسک‌های اطلاعاتی نشات گرفته از اطلاعاتی است که به‌عنوان تصمیم‌گیری انتخاب می‌شوند. اطلاعاتی که به منظور تصمیم‌گیری انتخاب می‌شود باید از قابلیت اتکا کافی برخوردار بوده و نیز به موقع ارائه شود تا تصمیم‌گیری‌های مدیریت را در ارزیابی ریسک سهولت بخشد. ریسک اطلاعات برای تصمیم‌گیری می‌تواند ناشی از تعریف ناصحیح اهداف اصلی شرکت، گزارشگری نا‌صحیح عملیات ( اعم از تولید و عرضه)، نا‌مناسب بودن اهداف عام و خاص در مدل کسب‌و‌کار، گزارش نا‌مناسب از تخصیص اشتباه منابع و طولانی بودن چرخه عملیات باشد. بی‌توجهی به قوانین و استانداردهای گزارشگری و استفاده از اطلاعات دارای تحریف با اهمیت و بی‌توجهی به فواصل زمانی گزارشگری می‌تواند باعث بروز گزارش‌هایی برای تصمیم‌گیری شود که از قابلیت اتکا کافی برخوردار نیست. این گزارش‌ها می‌تواند در قالب بودجه‌ها، ظرفیت‌ها، انحرافات و... باشد. بی‌توجهی به مقوله ارزش بالای اطلاعات برای تصمیم‌گیری، موجب افزایش ریسک اطلاعات برای تصمیم‌گیری و اتخاذ تصمیمات ناصحیح در ارزیابی ریسک‌ها توسط مدیریت می‌شود.موارد اشاره شده در ارزیابی ریسک‌ها اگرچه کامل نیست ولی عمده مسائل مربوط به ریسک‌ها در راستای همین موارد شکل می‌گیرد. نبود واحد مدیریت ریسک در شرکت‌ها و بی‌توجهی به ارزیابی ریسک‌ها اعم از برون‌سازمانی و درون سازمانی موجب مختل شدن نظام اجرایی فعالیت‌ها می‌شود و در رسیدن سازمان به اهداف اصلی را دچار مشکل می‌کند.