خلاصه اجرایی
در اواخرسال سال 2019 تحقیقی بشکل پرسش نامه آنلاین ،توسط مرکز اجرایی حسابرسی (AEC)انجمن حسابرسان داخلی IIA با عنوان ،پالس حسابرسی:توصیف هم ترازی در یک فضای ریسک پویا ،حاوي اطلاعاتی در خصوص مشکلات موجود و یا نوظهور در حرفه حسابرسی داخلی انجام شد . 512 نفر در این بررسي شركت كردند که 447 نفر آنها مدیران اجرایی حسابرسی داخلی(CEAs) و الباقی سایر مدیران و 85درصد پاسخ دهندگان از آمریکا، 10 در صد از کانادا و مابقی از سایر کشورها بودند. نتیجه این بررسی بشرح زیر می باشد.
در طول دهه گذشته، سرعت ظهور ریسکهای جدید به صورت عجیبی افزایش یافته است و شرکتها و سازمانها را مجبور کرده تا با استراتژیهای جدید، خود را سازگار و اولویتهای خود را دوباره تعریف کنند ،تا قادر به ادامه فعالیت و رشد در محیطی پر از ریسکهای پیچیده و فزاینده باشند.
رشد فزاینده چالشهایی از قبیل تکنولو ژیهای مخرب، عدم قطعیتهای ژئوپلتیکی و شرایط اقتصاد جهانی، اهداف سازمانها را تهدید میکنند و کلیه بازیگران در مدیریت ریسک را مجبور میکند تا همواره آگاه و آماده باشند. اعضای هیئت مدیره، کارمندان سایبری حرفهای را به تیمشان اضافه میکنند و از مدیریت اجراییشان اطلاعات بهتری در خصوص مدیریت ریسک ،خصوصاً در ارتباط با امنیت سایبری (فضای مجازی) درخواست میکنند. آنها همچنین آگاه هستند که باید دانش خود را در خصوص تبعات و اثرات ریسکها و فرصتها، ارتقاء دهند. تقویت نظارت بر اجرای استراتژیها و مدیریت ریسک از اولویتهای اولیه هیات مدیره هامیباشد. بر اساس بررسی که توسط انجمن ملی مدیران شركتها در سال 2018-2019 انجام گردید ،هیئت مدیره و مدیران اجرایی، به حمایت از حسابرسی داخلی برای همکاری در بخش مدیریت ریسک ادامه دادهاند و این امر از رشد همکاران در بخش حسابرسی داخلی پیداست. تعداد مدیران اجرایی حسابرسی CEAs که افزایش تعداد کارکنان را گزارش کرده اند دو برابر تعداد مدیرانی بوده است که کاهش اعلام کرده اند.همراستایی دیدگاههای مدیریت اجرایی و هیئت مدیره و حسابرسان داخلی در خصوص ریسک، به منظور خدمت رسانی موفق حسابرسی داخلی و این که به عنوان منبعی ضروری و با ارزش افزوده محسوب گردد،بسیار حائز اهمیت است.حسابرسی داخلی میبایست هم راستا با هیئت مدیره و مدیریت اجرایی فعالیت کند، همچنین ضروریست که انها شناختی از دیدگاه ذینفعان نسبت به ریسکها و فرصتها داشته باشند. شروع و خاتمه این امر اطمینان از این موضوع است که هیئت مدیره، اطلاعات کامل و صحیحی از اینکه پایه تصمیمات خود را کجا بنا کند. مدیران حسابرسی داخلی میبایست برای مباحث رهنمون گر آماده باشند، چرا که ممکن است مدیریت در شناخت ریسکهای خاصی تأخیر داشته باشد . همچنین در صورتی که مدیریت به نحو مناسبی بر موضوع متمرکز نباشد، انها میبایست قدرت بیان مطالب و اظهار نظر داشته باشد.
اهدف این گزارش ،فراهم کردن دانش و راه و روشی جهت کمک به حسابرسان داخلی است که بتوانند مدیران اجرایی و هیئت مدیره را درخصوص 4 ریسک مهم آگاه کنند: این 4 ریسک مهم عبارتست از: 1)اطلاعات و امنیت سایبری، 2)ریسکهای شخص ثالث، 3)ریسکهای نوظهور و غیرمعمول و 4)فعالیت مدیریت و هیئت مدیره.
اطلاعات پرسشنامه نشان دهنده عدم توازن در فضای ریسکها ی فوق بوده و نیاز است که مدیران اجرایی حسابرسی این نگرانیها را با کمیته حسابرسیشان مطرح و برطرف کنند.
1)امنیت فضای مجازی و محافظت دیتا: امنیت سایبری
حسابرسی داخلی باید تلاشهای خود را برای ارائه خدمات اطمینان بخشی و مشورتی در این زمینه بهبود بخشد. این نیازمند ایجاد روابط محکم با CIOها و CISOها و سرعت بخشیدن به تلاش در زمینه ساخت تیمهای سایبری زیرک ازطریق آموزش و استخدامهای جدید یا همکاری خارج سازمانی می باشد. مدیران اجرایی حسابرسی باید در مورد داشتن برنامه حسابرسی مناسب که منعکس کننده اهمیت خدمات اطمینان بخشی سایبر ی و فناوری اطلاعات باشد ، اگاه باشند و در مورد هر حوزه ای که مدیر اجرایی حسابرسی احساس میکند که حسابرسی داخلی باید خود را در آن زمینه تقویت کند به گفتگو بپردازد.
در حالیکه فضای مجازی و فناوري اطلاعات (IT) حدود 20% متوسط تصمیمات حسابرسی را پوشش میدهند، این مشکلات کلیدی به طور مداوم توسط هیئت مدیره به عنوان فاکتورهایی با ریسک پایین و همانند موضوعات گزارش گری عملیاتی، مالی و تطبیق با قوانین در نظر گرفته میشود. به علاوه ،مدیران اجرایی حسابرسی گزارشی مبنی بر رشد آهسته در دانش فناوری اطلاعات (IT) و مهارتهای دنیای مجازی کارمندان را تهیه میکنند و شکاف بین تلاش حوزه حسابرسی داخلی در زمینه امنیت فضای مجازی و سطحی که مدیران اجرایی حسابرسی باور دارند که آنها باید در خصوص امنیت فضای مجازی بایدبطورگستره فراهم سازند، مشخص نمایند
یک مورد اقدام بالقوه مدیران اجرایی حسابرسی داخلی، متوازن نمودن علاقه روبه افزایش هیئت مدیره و وارد شدن به مشکلات امنیت فضای مجازی به منظور بروزرسانی و تطبیق روشهای حسابرسی و همچنین برداشتن گامهایی در جهت رفع چنین شکافهایی در حوزه چنین ریسک کلیدی میباشد. ضمناً مدیران اجرایی حسابرسی داخلی میبایست کلیه انتخابها را مدنظرقرار دهد، به عنوان مثال ،هم سپاری به منظور افزایش مهارت سایبری کارمندان را میتوان نام برد. بحثهای صادقانه با کمیته حسابرسی در خصوص موانع حوزه ی حسابرسی داخلی، این اطمینان را میدهد که مشکلات آتی سایبری موردتوجه قرار گرفتهاند.
2)ریسکهای شخص ثالث
ارتباط شخص ثالث ،بخشی از اکوسیستم ریسک های هر سازمانی است و سازمانهایی که نتوانند به طور صحیح به ریسکهای شخص ثالث رسیدگی کنند در معرض مخاطره هستند. حسابرسی داخلی باید به هیئت مدیره و مدیریت اجرایی در زمینه ریسک های ضعف یا عدم وجود کنترل در روابط شخص ثالث آموزش دهد و با کمیته حسابرسی و مدیریت برای تعریف نقشی که حسابرسی داخلی بایستی برای اطمینان بخشی در این حوزه مهم ایفا نماید همکاری نزدیک داشته باشد.
نظارت سازمانی بر روابط شخص ثالث، توسط نیمی ازمدیران اجرایی حسابرسی به عنوان ضعف دیده میشود. پاسخهای نظر سنجی به طور واضحی نگرانی مدیران اجرایی حسابرسی داخلی در خصوص نحوه انتخاب و نظارت شخص ثالث را نشان میدهد و اینکه اگر سازمانها حوزه فروشندگان را به درستی مدیریت نکنند ،چگونه آسیب خواهند دید. یک مورد توصیه شده برای مدیران اجرایی حسابرسی این است که به ذینفعان آموزش دهند که روابط شخص ثالث جزئی از اکوسیستم ریسک سازمان است و نباید آن را به صورت جداگانه در نظر گرفت. همچنین مدیران اجرایی حسابرسی باید حساسیت در خصوص کنترلهای ضعیف بر روی ریسکهای شخص ثالث را در کمیته حسابرسی افزایش دهند. این روابط، نیازمند همان سطحي از مدیریت ریسک است که سایر ریسکهایی که بر سازمان به طور مستقیم تأثیر میگذارند، نیاز به مدیریت دارند
3)ریسکهای نوظهور و غیر عادی
تهدیدات ناشی از ریسکهای نوظهور و غیرعادی با توجه به این که فناوری سرعت بلوغ و امکان آسیب رسانی آنان را افزایش داده است در حال رشد می باشند. مدیران اجرایی حسابرسیها باید در مورد ریسکهای نوظهور و غیر عادی که میتوانند روی سازمانها تأثیربالقوه بگذارند، آموزش دریافت نمایند. مدیران اجرایی حسابرسی باید هنگامی که سازمان فقط به اطمینان بخشی مدیریتی در مورد کاهش ریسک های نوظهور و غیرعادی متکی می باشد سخن بگویند. مدیران اجرایی حسابرسی باید شاخصهای ریسک های کلیدی قویتری را برای اطمینان بخشی از فرایند هایی که به منظور شناسایی، نظارت و کاهش ریسک های نوظهور و غیرعادی در نظر بگیرند.
گزارشات مدیران اجرایی حسابرسی نشان میدهد که هیئت مدیره در خصوص شناسایی و ارزیابی ریسکهای نوظهور و غیر عادی بیشتر به مدیریت متوسل میشوند تا حسابرسی داخلی ، در حالیکه اکثرمدیران اجرایی حسابرسی ادعا میکنند که سازمانها، قدرت شناسایی و ارزیابی چنین ریسکهایی را دارند. تقریباً نیمی از آنها می گویند که این تقریباً عادی است که ظهور چنین ریسکهایی مدیریت را در طی یک سال متعجب و شگفت زده نماید . هشدار به هیئت مدیره در خصوص سوء استفاده احتمالی، در زمان بروز ریسکهای نوظهور و غیرمعمول اولین گام برای بازکردن درب به سوی حسابرسی داخلی در جهت ایفای نقش بزرگتری (در زمان بروز چنین ریسکهایی) میباشد. مدیران اجرایی حسابرسی میبایست از نظارت شاخصهای کلیدی ریسک (KRI) که شامل پیش زمینههای ظهور ریسکهای نوظهور هستند، حمایت کنند.
4)هیئت مدیره و فعالیت مدیریتی
امروز بیشتر از گذشته برای تأمین نظارت پیشبینانه صحیح، قانون گذاران و سهامداران بر هیات مدیره فشاروارد میکنند. آنها در صورتی میتوانند به بهترین شکل ممکن این کار را انجام دهند که اطلاعاتی که تصمیمات خود را بر آن پایه گذاری میکنند دقیق و کامل باشد. مدیران اجرایی حسابرسی باید در مورد کلیه اطلاعاتی که به هیئت مدیره میرود اطمینان فراهم کنند و هیئت مدیره و مدیریت اجرایی را در مورد مزایایی که اطمینان بخشی مستقل میتواند فراهم آورد، آگاه سازند.
امروزه مدیریت چالشهای پیش روی حسابرسان داخلی– که پیچیده، شتاب یافته و جهانی می باشند- به چابکی، نوآوری و گفتگوی مؤثر با هیئت مدیره و مدیریت اجرایی نیاز دارد. این امر به یک الزام اساسی نیاز خواهد داشت تا این اطمینان حاصل شود که اطلاعاتی که هیات مدیره در اختیار دارد دقیق، کامل، به موقع، شفاف و قابل اعتماد است. برای اینکه حسابرسی داخلی بتواند جایگاه خود را در این دنیای جدید پیدا کند، باید با شهامت صدای خود را بلند کنند.
بیش از نیمی از پاسخ دهندگان می گویند که حسابرسی داخلی هرگز و یا به ندرت، در مورد اطلاعاتی که توسط مدیریت به هیئت مدیره ارائه میگردد اطمینان و اطمینان بخشی را فراهم نمیآورد. همزمان اعضای هیئت مدیره می گویند که کیفیت اطلاعات ارائه شده توسط مدیریت میبایست بهبود یابد ضمناً گوناگونی وظایف و مسئولیتهای کمیته ممکن است مانع دسترسی هیئت مدیره به یافتهها و دیدگاههای حسابرسی داخلی در خصوص حوزههای ریسکی کلیدی همانند امنیت سایبری گردد.
مدیران اجرایی حسابرسی باید آمادگی اطمینان بخشی به اطلاعاتی که به هیئت مدیره میرود را داشته باشند، همچنین تلاش کنند تا در کمیتههای کلیدی دیگر هیئت مدیره ،همانند فناوری اطلاعات، ریسک و کمیتههای جـبران خدمات حضور یابند تا اطمینان حاصل کنند که دیدگاههای حسـابرسی داخـلی به وضـوح به هیئـت مدیره اعلام شدهاند.
استفاده از این گزارش
با استفاده از افزایش بینش فراهم شده توسط این گزارش ، مدیران اجرایی حسابرسی میتوانند ذینفعان را از عدم توانایی بالقوه در این حوزههای کلیدی ریسک آگاه کنند و از راههای توصیه شده برای شناسایی و رسیدگی به هر گونه ضعف یا سوء استفاده که ممکن است در سازمانشان وجود داشته باشد، بهره مند سازند. با بحث و گفتگو با کمیته حسابرسی، نگرانیهای موجود جهت اقدام و رسیدگی ثبت خواهند شد. همانند سالهای گذشته، نتایج پرسشنامه، اطلاعات با ارزشی در خصوص برنامههای حسابرسی، کارمندان و برون سپاری ارائه میدهد . این گزارش حاوی روند سه ساله برنامه حسابرسی بر اساس نوع سازمان میباشد. هر حوزهای از ریسک سوء استفاده، نه تنها ریسکهای واضح سازمان را نمایش میدهد، بلکه اطمینان به اینکه حسابرسی داخلی نیز تضعیف شده باشد را نیز نمایان میسازد. همانند اغلب موارد بحرانی، حسابرسی داخلی در مقابل سؤال اجتناب ناپذیر "حسابرسی داخلی کجا بود؟" قربانی خواهد شد. مدیران اجرایی حسابرسی میتوانند در مواقعی که ضعف کنترلی یا سوء استفادهای شناخته نمیشود و یا زمانیکه ریسکها به درستی شناسایی نمیشوند در مقابل چنین انتقاداتی صدای خود را بلند کرده و ازخود محافظت کنند. از این گذشته، ریسکی که به گفتگو گذاشته نشود تنها یک ریسک مفروض است