معرفی ۲۰ ریسک کلیدی در حسابرسی داخلی

برای آنکه امکان یک ارزیابی جامع استراتژیک فراهم شود، درک عمیق محرک‌های ریسک و اثرات احتمالی شان بر سازمان بسیار مهم است. این درک، مدیران حسابرسی داخلی را قادر می‌سازد ریسک‌های کلیدی سازمان را از سایر ریسک‌های مترتب بر آن متمایز کند. پس از شناسایی ریسک‌های کلیدی، نوشتار حاضر اطلاعات بینش افزایی درخصوص این موارد فراهم می‌آورد: یک) حسابرسی داخلی چگونه باید از عهده رسیدگی به این ریسک‌ها برآید، و دو) شناسایی این ریسک‌ها چگونه می‌تواند در طول حسابرسی، سازمان را برای کسب مهارت‌ها و تخصص‌های ضروری جهت حصول اطمینان از دستیابی به نتایج مورد انتظار به گونه‌ای کارآمد، اثربخش، و ارزش افزا به واسطه حسابرسی داخلی یاری دهد. به‌عنوان یک نقشه راهنما، ۲۰ ریسک مهم در قالب مفهومی با عنوان «رادار ریسک» ارائه شده است. چنین راداری معرف دو طیف از ریسک‌ها است:الف. «ریسک‌های کلیدی شناسایی شده» که حسابرسی داخلی باید از وجود آنها آگاهی کامل داشته باشد، در برابر «ریسک‌های نوظهوری» که هنوز به تمامیت بر دامنه گیرایی رادار ظاهر نشده‌اند. ب. «ریسک‌های استثنایی یا استاندارد نشده» که باید تنها برای یک پروژه حسابرسی مد نظر قرار گیرد، در برابر آن ریسک‌هایی که احتمال «وقوع مستمرشان» باید به مثابه بخشی از برنامه حسابرسی استراتژیک همواره مورد توجه قرار گیرد. در کنار شناسایی ریسک‌های نوظهور در مقابل ریسک‌های شناسایی شده، «رادار ریسک» سطح پایش ریسک‌های کلیدی را مشخص می‌کند. برای نمونه، راهبری فناوری اطلاعات، تجزیه و تحلیل داده‌ها، و به کارگیری داده‌های حجیم مولد ریسک‌هایی هستند که باید به‌صورت مستمر توسط حسابرسان داخلی حرفه‌ای به مثابه بخشی از فعالیت‌های راهبری سازمان مورد توجه ویژه قرار گیرند. از سویی دیگر، ریسک‌های استثنایی یا استاندارد نشده باید با توجه به رویدادهای محرک (برای مثال، ادغام یا تحصیل) یا به واسطه بررسی باریک‌بینانه ذی‌نفعان (برای مثال، پروژه در حال اجرا در سطح کل سازمان) باید مدنظر حسابرسان داخلی قرار گیرد.

مطالعات اخیر، تاکید ویژه‌ای بر عدم درک عمومی از نقش حسابرسان داخلی در سازمان‌ها داشته‌اند. به‌صورت سنتی، وظایف حسابرسی داخلی بر موضوعات مرتبط با رعایت قوانین و سیستم‌های کنترل داخلی متمرکز بوده و خلق ارزش و فراهم‌آوری بینش عمیق درخصوص ریسک‌های سازمان، نوعا اولویت حسابرسی داخلی نبوده است.  یک واحد حسابرسی داخلی مدرن باید از طریق درک ریسک‌های کلیدی و شناسایی پیش‌فعالانه ریسک‌های نوظهور، برای سازمان ارزش افزوده بیافریند. با این کار، حسابرسی داخلی سازمان را در تخصیص کارآ و اثربخش منابع برای کاهش اثرات منفی ریسک‌ها یاری داده و نقش استراتژیک خود را توسعه می‌دهد. در این نوشتار، ریسک‌های کلیدی‌ای که حسابرسی داخلی در زمان تدوین برنامه استراتژیک سالانه حسابرسی باید مورد توجه قرار دهد، به‌صورت ویژه برجسته شده‌اند. این کار به حسابرسی داخلی کمک می‌کند تا موضوعات را اولویت‌بندی کرده و نقش استراتژیک و ارزش افزای خود را در درون سازمان بهبود بخشد. برای شناسایی و جهت‌دهی توجهات به ریسک‌های کلیدی و توسعه نقش استراتژیک در سازمان، حسابرسی داخلی باید: الف. ریسک‌های بااهمیت کلیدی مترتب بر کسب وکار را به خوبی درک کند. حسابرسی داخلی باید درک عمیقی از استراتژی کسب وکار و عملیات در تمامی سطوح سازمان داشته باشد. پس از حصول چنین درکی، حسابرسان داخلی می‌توانند از تخصص خود در شناسایی ریسک‌های نوظهور، آموزش، و همکاری با سازمان از هر فرصتی بهره گیرند.ب. به کارگیری فناوری را مزیت خود قرار دهد. حسابرسی داخلی باید روش‌ورزی‌های خود را با افزایش فزاینده به کارگیری فناوری در اجرای حسابرسی‌ها همراه کند. این امر نه‌تنها منجر به افزایش کارآیی ارائه خدمات حسابرسی داخلی می‌شود، بلکه همچنین با فرآهم آوردن بینش عمیق برای کسب‌وکار، اعتبار حسابرسی داخلی در سازمان را افزایش خواهد داد. پ. مطمئن شود که فعالیت‌های آن برای کسب وکار ارزش افزوده می‌آفریند. حسابرسی داخلی باید اطمینان یابد که فعالیت‌هایش نه‌تنها اطمینان‌بخشی به ارمغان می‌آورد، بلکه همچنین برای کسب وکار بینش‌آفرین بوده و می‌تواند به‌عنوان اهرمی برای بهبود فرآیندها یا حصول مزیتی رقابتی عمل کند.  ت. منشا تقاضا برای اطمینان‌بخشی را مورد توجه ویژه قرار دهد. حسابرسی داخلی در طول ایجاد و توسعه برنامه حسابرسی مبتنی بر ریسک خود باید این موضوع را مد نظر قرار دهد که چه کسی خواهان اطمینان‌بخشی درخصوص ریسکی مشخص است. پس از آنکه این کار برای یک بار صورت پذیرفت، حسابرسی داخلی باید توانایی خود درخصوص فرآهم آوردن بینش عمیق‌تر و فراتر از درک جاری ذی‌نفع از موضوع کنونی را مورد ارزیابی قرار دهد.

 در قسمت بعدی، ریسک‌های مورد بحث در این نوشتار شامل «دیجیتال‌سازی، انقلاب چهارم صنعتی، و اینترنت اشیا»، «محاسبات ابری»، «قانون حفاظت از داده‌های عمومی اتحادیه اروپا»، «امنیت سایبری»، «تداوم فعالیت و واکنش به بحران»، «مدیریت سرمایه درگردش»، «اندازه‌گیری‌های مالی خارج از چارچوب اصول پذیرفته شده همگانی حسابداری»، «استفاده از داده‌های حجیم و تجزیه و تحلیل داده‌ها»، «مدیریت خزانه‌داری»، «پروژه‌ها و ابتکارات در سطح سازمان»، «مدیریت موثر استعدادها»، «محیط کسب وکار و قوانین گمرکی»، «هم‌راستایی عملیات با اهداف و استراتژی سازمان»، «سیستم‌های مدیریت هم‌راستایی با قوانین، حسابرسی فرهنگ و اخلاق سازمانی»، «اثربخشی و کارآیی فرآیندهای عملیاتی»، «ادغام‌، تحصیل و واگذاری»، «مدیریت یکپارچه ریسک سازمان و پایش مستمر»، «راهبری فناوری اطلاعات»، «برون‌سپاری و مدیریت روابط با اشخاص ثالث»، و «رعایت قوانین مالیاتی» به اختصار و در چند بخش تشریح خواهد شد.