طراحی و استقرار کنترل های داخلی

صفحه اصلی / خدمات / طراحی و استقرار کنترل های داخلی

محیط داخلی 
محیط داخلی، روش سازمان را تعیین می‌کند و بر تمایل به ریسک، نگرش نسبت به مدیریت ریسک و ارزش‌های اخلاقی تأثیر می‌گذارد. در نهایت، روش شرکت توسط هیئت مدیره تعیین می‌شود. یک هیئت مدیره نامتعادل، فاقد دانش و تجربه فنی مناسب، تنوع و صداهای قوی و مستقل، بعید است که روش مناسبی را تعیین کند. کاری که مدیران در کمیته‌های هیئت مدیره انجام می‌دهند نیز می‌تواند سهم قابل توجهی در روش داشته باشد، به ویژه عملکرد کمیته‌های حسابرسی و ریسک. با این حال، الگوی شایسته‌ای که توسط اعضای هیئت مدیره ایجاد می‌شود، ممکن است با شکست مدیریت در بخش‌ها یا واحدهای تجاری تضعیف شود. مکانیسم‌های کنترل مدیریت اجرایی ممکن است کافی نباشند یا به درستی اجرا نشوند. مدیران اجرایی ممکن است از مسئولیت‌های خود آگاه نباشند یا ممکن است در اعمال صحیح آنها کوتاهی کنند. به عنوان مثال، آنها ممکن است نادیده گرفتن کنترل‌ها توسط کارکنان را تحمل کنند یا بر دستیابی به نتایج به جای مدیریت مسئولانه ریسک‌ها تأکید کنند.​​​​​​​​​​​​​​

تعیین هدف
​​​​​​​هیئت مدیره باید اهدافی را تعیین کند که از مأموریت سازمان پشتیبانی کنند و با ریسک‌پذیری آن سازگار باشند. اگر هیئت مدیره بخواهد اهداف را به طور مؤثر تعیین کند، باید از خطرات ناشی از دنبال کردن اهداف مختلف آگاه باشد. خطرات کارآفرینی، خطراتی هستند که از انجام فعالیت‌های تجاری، مانند خطرات ناشی از یک سرمایه‌گذاری بزرگ تجاری یا فعالیت‌های رقیب، ناشی می‌شوند. هیئت مدیره همچنین باید ریسک‌پذیری را در نظر بگیرد و دیدگاه سطح بالایی از میزان ریسکی که حاضر به پذیرش آن است، داشته باشد. تحمل ریسک - تنوع قابل قبول در مورد اهداف فردی - باید با ریسک‌پذیری همسو باشد. یکی از مواردی که هیئت مدیره باید در نظر بگیرد این است که چگونه می‌توان از جنبه‌های خاصی از سیستم‌های کنترل برای اهداف استراتژیک استفاده کرد. به عنوان مثال، می‌توان از یک آیین‌نامه اخلاقی به عنوان بخش مهمی از جایگاه سازمان به عنوان مسئول اجتماعی استفاده کرد. با این حال، چارچوب تجاری انتخاب شده می‌تواند برای پنهان کردن اهداف غیرقانونی یا غیراخلاقی استفاده شود. به عنوان مثال، مشکلات انرون توسط یک ساختار پیچیده و یک مدل تجاری که درک آن دشوار بود، پنهان شده بود.​​​​​​​

شناسایی رویداد
سازمان باید رویدادهای داخلی و خارجی که بر دستیابی به اهدافش تأثیر می‌گذارند را شناسایی کند. راهنمای COSO بین رویدادهایی که تأثیر منفی دارند و نشان‌دهنده ریسک هستند و رویدادهایی که تأثیر مثبت دارند و فرصت‌هایی هستند که باید به تنظیم استراتژی بازخورد دهند، تمایز قائل می‌شود. برخی از سازمان‌ها ممکن است فاقد فرآیندی برای شناسایی رویداد در حوزه‌های مهم باشند. ممکن است فرهنگی وجود داشته باشد که هیچ‌کس انتظار ندارد چیزی اشتباه پیش برود. تمایز بین ریسک‌های استراتژیک و عملیاتی نیز در اینجا مهم است. سازمان‌ها باید هم به رویدادهایی که می‌توانند عملیات را مختل کنند و هم به خطراتی که برای دستیابی به اهداف استراتژیک وجود دارد، توجه کنند. تمرکز بیش از حد بر عوامل داخلی، که این مدل به خاطر آن مورد انتقاد قرار گرفته است، می‌تواند منجر به تمرکز بر ریسک‌های عملیاتی و عدم تجزیه و تحلیل کافی خطرات استراتژیک شود.​​​​​​​ کسب‌وکارها همچنین باید فرآیندهایی را برای شناسایی خطرات ناشی از رویدادهای یکباره و روندهای تدریجی‌تر که می‌توانند منجر به تغییرات در ریسک شوند، داشته باشند. اغلب رویدادهای یکباره با پیامدهای ریسک قابل توجه می‌توانند به راحتی قابل شناسایی باشند - به عنوان مثال، یک خرید بزرگ تجاری. ERM به دلیل بحث در مورد ریسک‌ها در درجه اول از نظر رویدادها، به ویژه رویدادهای ناگهانی با پیامدهای عمده، مورد انتقاد قرار گرفته است. منتقدان ادعا می‌کنند که این راهنما به اندازه کافی بر تغییرات آهسته‌ای که می‌توانند منجر به ریسک‌های مهم شوند - به عنوان مثال، تغییرات در فرهنگ داخلی یا احساسات بازار - تأکید نمی‌کند.

ارزیابی ریسک
احتمال و تأثیر ریسک‌ها به عنوان مبنایی برای تعیین نحوه مدیریت آنها ارزیابی می‌شوند. مدیران علاوه بر ترسیم احتمال و تأثیر ریسک‌های منفرد، باید چگونگی ارتباط متقابل ریسک‌های منفرد را نیز در نظر بگیرند. راهنمای COSO بر اهمیت استفاده از ترکیبی از روش‌های ارزیابی ریسک کیفی و کمی تأکید می‌کند. علاوه بر ارزیابی سطوح ریسک ذاتی، سازمان باید ریسک‌های باقیمانده پس از انجام اقدامات مدیریت ریسک را نیز ارزیابی کند. با این حال، مدل ERM به دلیل تشویق رویکردی بیش از حد ساده به ارزیابی ریسک مورد انتقاد قرار گرفته است. ادعا می‌شود که این مدل رویکردی را تشویق می‌کند که تحقق ریسک را به عنوان یک نتیجه واحد می‌بیند. این نتیجه می‌تواند یک نتیجه مورد انتظار یا می‌تواند نتیجه بدترین حالت باشد. بسیاری از ریسک‌ها در صورت تحقق، طیف وسیعی از نتایج ممکن را خواهند داشت - به عنوان مثال، آب و هوای نامساعد - و ارزیابی ریسک باید این طیف را در نظر بگیرد.​​​​​​​


پاسخ به ریسک
مدیریت، اقدامات مناسبی را برای همسو کردن ریسک‌ها با تحمل ریسک و اشتهای ریسک انتخاب می‌کند. این مرحله را می‌توان بر اساس چهار پاسخ اصلی - کاهش، پذیرش، انتقال یا اجتناب - در نظر گرفت. با این حال، ممکن است ریسک‌ها بدون در نظر گرفتن تصویر کلی سازمان، به صورت جداگانه مورد بررسی قرار گیرند. مدیریت پرتفوی و تنوع‌بخشی به بهترین شکل در سطح سازمانی اجرا می‌شوند و راهنمای COSO بر اهمیت در نظر گرفتن دیدگاه پرتفوی از ریسک تأکید می‌کند. پاسخ‌های ریسک انتخاب شده باید واقع‌بینانه باشند و هزینه‌های پاسخگویی و همچنین تأثیر بر ریسک را در نظر بگیرند. محیط یک سازمان بر پاسخ‌های ریسک آن تأثیر می‌گذارد. به عنوان مثال، سازمان‌های با مقررات بالا، پاسخ‌ها و کنترل‌های ریسک پیچیده‌تری نسبت به سازمان‌های با مقررات کمتر خواهند داشت. اصل ALARP - تا حد امکان کم و منطقی - در اینجا اهمیت پیدا کرده است، به ویژه در بخش‌هایی که ریسک‌های سلامت یا ایمنی به طور بالقوه جدی هستند، اما اجتناب‌ناپذیرند. بخشی از مرحله پاسخ به ریسک، طراحی یک سیستم صحیح از کنترل‌های داخلی خواهد بود. راهنمای COSO نشان می‌دهد که ترکیبی از کنترل‌ها، از جمله پیشگیری و تشخیص و کنترل‌های دستی و خودکار، مناسب خواهد بود.​​​​​​​


فعالیت‌های کنترلی
سیاست‌ها و رویه‌ها باید به گونه‌ای عمل کنند که پاسخ‌های ریسک مؤثر باشند. پس از طراحی، کنترل‌های موجود باید به درستی عمل کنند. کوزو مدل مدیریت ریسک سازمانی (ERM) را با راهنمایی در «کنترل داخلی - چارچوب یکپارچه» تکمیل کرده است. آخرین پیش‌نویس این چارچوب در دسامبر ۲۰۱۱ منتشر شد. این راهنما تأکید می‌کند که فعالیت‌های کنترلی وسیله‌ای برای رسیدن به هدف هستند و توسط افراد انجام می‌شوند. در این راهنما آمده است: «این صرفاً مربوط به دستورالعمل‌های سیاستی، سیستم‌ها و فرم‌ها نیست، بلکه افراد در هر سطح از سازمان هستند که بر کنترل داخلی تأثیر می‌گذارند.» از آنجا که عنصر انسانی بسیار مهم است، نتیجه می‌شود که بسیاری از دلایل شکست کنترل‌ها به دلیل مشکلات مربوط به نحوه استفاده مدیران و کارکنان از کنترل‌ها است. این موارد شامل عدم اجرای کنترل‌ها به دلیل جدی گرفته نشدن آنها، اشتباهات، تبانی بین کارکنان یا دستور مدیریت به کارکنان برای نادیده گرفتن کنترل‌ها است. بنابراین، راهنمای کوزو بر اهمیت تفکیک وظایف، برای کاهش احتمال اقدام متقلبانه یک فرد و افزایش احتمال کشف خطاها تأکید می‌کند. این راهنما همچنین بر لزوم انجام کنترل‌ها در تمام سطوح سازمان، در مراحل مختلف فرآیندهای کسب‌وکار و در محیط فناوری تأکید می‌کند.


اطلاعات و ارتباطات
سیستم‌های اطلاعاتی باید تضمین کنند که داده‌ها در قالب و چارچوب زمانی شناسایی، جمع‌آوری و منتقل می‌شوند که مدیران و کارکنان را قادر به انجام مسئولیت‌هایشان می‌سازد. اطلاعات ارائه شده به مدیریت باید مرتبط و با کیفیت مناسب باشد. همچنین باید تمام اهداف نشان داده شده در بالای مکعب را پوشش دهد. باید با کارکنان ارتباط برقرار شود. اطلاع‌رسانی در مورد حوزه‌های ریسک مرتبط با فعالیت‌های کارکنان، وسیله‌ای مهم برای تقویت محیط داخلی با گنجاندن آگاهی از ریسک در تفکر کارکنان است. مانند سایر کنترل‌ها، عدم جدی گرفتن ارائه اطلاعات و ارتباطات می‌تواند عواقب نامطلوبی داشته باشد. به عنوان مثال، اگر به نظر برسد که یک واحد تجاری عملکرد خوبی دارد، مدیریت ممکن است بر ارائه اطلاعات مورد نیاز توسط آن واحد تجاری اصرار نکند. همچنین، اگر سیستم گزارش‌دهی به استثنا وجود داشته باشد، آنچه که به اندازه کافی مهم است که گزارش شود، به قضاوت مدیران عملیاتی واگذار می‌شود که ممکن است تمایلی به گزارش مشکلات نداشته باشند. مدیریت ارشد ممکن است به موقع از مشکلات بالقوه مطلع نشود.

نظارت
سیستم مدیریت باید نظارت و در صورت لزوم اصلاح شود. راهنمای نظارت از زمان راهنمای اولیه COSO به طور قابل توجهی توسعه یافته است. در سطح هیئت مدیره، راهنمای Turnbull در مورد دامنه بررسی منظم و سالانه مدیریت ریسک بسیار مهم بوده است. بازیگران کلیدی در ارزیابی جداگانه، کمیته حسابرسی و بخش حسابرسی داخلی هستند. اینکه آیا نظارت جداگانه می‌تواند بدون بخش حسابرسی داخلی به طور مؤثر انجام شود، باید یک سوال کلیدی باشد که هنگام تصمیم‌گیری در مورد ایجاد یک واحد حسابرسی داخلی در نظر گرفته شود. هنگامی که یک سازمان از سطح خاصی از اندازه و پیچیدگی فراتر می‌رود، باور اینکه به یک واحد حسابرسی داخلی نیازی نخواهد بود، دشوار می‌شود.

​​​​​​​چارچوب COSO 2013 در سال ۲۰۱۷ دوباره به‌روزرسانی شد و نام آن به «مدیریت ریسک سازمانی - ادغام با استراتژی و عملکرد» تغییر یافت. این به‌روزرسانی بر ریسک در فرآیندها و مدیریت عملکرد متمرکز بود. این مکعب همچنین به یک ساختار مارپیچ به‌روزرسانی شد. با این حال، مکعب COSO همچنان مفید است زیرا همچنان چارچوبی برای بهبود مدیریت ریسک و کنترل داخلی ارائه می‌دهد. COSO همچنان به ارائه راهنمایی‌های به‌روز شده‌ای ادامه می‌دهد که منعکس‌کننده محیط‌های در حال تغییر است که سازمان‌ها در آن فعالیت می‌کنند. انتشارات اخیر شامل «راهنمایی در مورد مدیریت ریسک‌های سایبری در عصر دیجیتال» (۲۰۱۹)، «بلاکچین و کنترل داخلی» (۲۰۲۰) و «مدیریت ریسک سازمانی برای رایانش ابری» (۲۰۲۱) بوده‌اند.

مؤلفه مدیریت ریسک سازمانیفعالیت‌های نظارت بر ریسک هیئت مدیره
حاکمیت شرکتی و فرهنگ• تناسب استراتژی واحد تجاری، همسویی آن با ماموریت، چشم‌انداز و ارزش‌های اصلی و ریسک ذاتی در آن استراتژی را ارزیابی می‌کند.
• نقش و ساختار مدیریت ریسک هیئت مدیره، از جمله کمیته‌های فرعی برای واحد تجاری را تعریف می‌کند.
• با مدیریت برای تعریف مناسب بودن مدیریت ریسک سازمانی تعامل می‌کند.
• بر ارزیابی فرهنگ واحد تجاری نظارت می‌کند و مدیریت هرگونه شکاف مشاهده شده را برطرف می‌کند.
• یک طرز فکر آگاه از ریسک را ترویج می‌دهد که بلوغ واحد تجاری را با فرهنگ آن همسو می‌کند.
• بر همسویی عملکرد تجاری، ریسک‌پذیری و مشوق‌ها/جبران خسارت نظارت می‌کند تا بین دستاوردهای استراتژی کوتاه‌مدت و بلندمدت تعادل برقرار کند.
• سوگیری‌های بالقوه و تمایلات سازمانی مدیریت را به چالش می‌کشد و نقش نظارتی مستقل و بی‌طرفانه خود را ایفا می‌کند.
• استراتژی، مدل عملیاتی، صنعت و مسائل و چالش‌های مؤثر بر واحد تجاری را درک می‌کند.
• نحوه نظارت بر ریسک توسط مدیریت را درک می‌کند.
استراتژی و تعیین هدف• انتظاراتی را برای ادغام مدیریت ریسک سازمانی در فرآیندهای مدیریت استراتژیک، از جمله برنامه‌ریزی استراتژی، تخصیص سرمایه و غیره تعیین می‌کند.
• اشتهای ریسک را مورد بحث و درک قرار می‌دهد و بررسی می‌کند که آیا با انتظاراتش همسو است یا خیر.
• با مدیریت در بحث و گفتگو شرکت می‌کند تا تغییرات در زمینه کسب‌وکار که ممکن است بر استراتژی تأثیر بگذارد و ارتباط آن با ریسک‌های جدید، نوظهور یا آشکار را درک کند.
• مدیریت را تشویق می‌کند تا در مورد ریسک‌های ذاتی در استراتژی و فرضیات اساسی کسب‌وکار فکر کند.
• مدیریت را ملزم می‌کند تا درک خود را از ظرفیت ریسک واحد تجاری برای تحمل رویدادهای بزرگ و غیرمنتظره نشان دهد.
عملکرد• استراتژی و مفروضات اساسی واحد تجاری را در مقایسه با دیدگاه پرتفوی از ریسک بررسی می‌کند.
• انتظارات مربوط به گزارش ریسک، از جمله معیارهای ریسک گزارش شده به هیئت مدیره را در رابطه با اشتهای ریسک واحد تجاری و افشاگری‌های گزارش ریسک خارجی بنگاه اقتصادی تعیین می‌کند.
• نحوه شناسایی و اطلاع‌رسانی مدیریت از شدیدترین ریسک‌ها را، همانطور که در دیدگاه پرتفوی واحد تجاری نشان داده شده است، درک می‌کند.
• مهمترین ریسک‌ها، از جمله ریسک‌های نوظهور، و تغییرات قابل توجه در دیدگاه پرتفوی از ریسک و به طور خاص واکنش‌ها و اقدامات مدیریت را بررسی و درک می‌کند.
• سناریوهای محتملی را که می‌توانند دیدگاه پرتفوی را تغییر دهند، درک می‌کند.
بررسی و تجدید نظر• از مدیریت در مورد هرگونه ریسکی که در عملکرد واقعی (چه مثبت و چه منفی) آشکار می‌شود، سوال می‌کند.
• از مدیریت در مورد فرآیندهای مدیریت ریسک سازمانی سوال می‌کند و مدیریت را برای اثبات مناسب بودن و عملکرد آن فرآیندها به چالش می‌کشد.
اطلاعات، ارتباطات و گزارش‌دهی• اطلاعات، داده‌های زیربنایی و قالب‌های (نمودارها، چارت‌ها، منحنی‌های ریسک و سایر تصاویر) مورد نیاز برای اجرای نظارت هیئت مدیره را شناسایی می‌کند.
• به اطلاعات و بینش‌های داخلی و خارجی که منجر به نظارت مؤثر بر ریسک می‌شود، دسترسی پیدا می‌کند.
• از حسابرسی داخلی، حسابرسان خارجی و سایر طرف‌های مستقل در مورد برداشت‌ها و مفروضات مدیریت، اطلاعات دریافت می‌کند.

ماموریت، چشم‌انداز و ارزش‌های اصلی
​​​​​​​توسعه استراتژی
تدوین اهداف کسب و کار
اجرا و عملکرد
​​​​​​​ارزش افزایش یافته

مولفه های ریسک سازمانی:
حاکمیت شرکتی و فرهنگ
استراتژی و تعیین هدف 
عملکرد
بررسی و تجدید نظر
اطلاعات، ارتباطات و گزارش‌دهی
​​​​​​​

طراحی و استقرار کنترل داخلی از خدماتی است که توسط حیدری و همکاران ارائه می گردد.مطابق استانداردهای حسابرسی مسئولیت طراحی، اعمال و حفظ  کنترل داخلی بر فعالیت شرکت بر عهده هیئت مدیره شرکت می باشد.طراحی و اعمال کنترل های داخلی شرکت مستلزم داشتن دانش لازم در این خصوص می باشد. حیدری و همکاران از توانایی و دانش لازم در این مهم برخوردار بوده و آماده ارائه این خدمت به هیئت مدیره شرکت ها می باشد. این موسسه خدمات طراحی و استقرار کنترل های داخلی را بر مبنای راهنمایی های Committee of Sponsoring Organizations of the Treadway Commission (coso) اجرا می نماید.
​​​​​​​​​​​​​​​​​​​​​
کوزو
کمیته سازمان‌های حامی کمیسیون تردوی (COSO) در اواسط دهه ۱۹۸۰ تأسیس شد، در ابتدا برای حمایت از تحقیقات در مورد علل گزارشگری مالی متقلبانه. ماموریت فعلی آن این است: «کمک به سازمان‌ها برای بهبود عملکرد با توسعه رهبری فکری که کنترل داخلی، مدیریت ریسک، حاکمیت شرکتی و بازدارندگی تقلب را افزایش می‌دهد.» اگرچه راهنمایی‌های کوزو اجباری نیست، اما تأثیرگذار بوده است زیرا چارچوب‌هایی را ارائه می‌دهد که بر اساس آنها می‌توان سیستم‌های مدیریت ریسک و کنترل داخلی را ارزیابی و بهبود بخشید. رسوایی‌های شرکتی، که در شرکت‌هایی که مدیریت ریسک و کنترل داخلی در آنها ناقص بوده است، رخ می‌دهد و تلاش‌ها برای تنظیم رفتار شرکت‌ها در نتیجه این رسوایی‌ها، منجر به محیطی شده است که در آن راهنمایی در مورد بهترین شیوه‌ها در مدیریت ریسک و کنترل داخلی به ویژه مورد استقبال قرار گرفته است.

مدل مدیریت ریسک سازمانی (ERM)
COSO در ابتدا در سال ۱۹۹۲ یک مدل مدیریت ریسک سازمانی (ERM) ایجاد کرد که به شکل هرم بود و بر ارزیابی کنترل‌های موجود تمرکز داشت. این مدل در سال ۲۰۱۳ به مکعب COSO به‌روزرسانی شد که بر طراحی و پیاده‌سازی یک چارچوب مدیریت ریسک تمرکز داشت. مکعب COSO به یک چارچوب پذیرفته‌شده برای استفاده سازمان‌ها تبدیل شد و به عنوان مدلی که می‌توانست در محیط‌های مختلف در سراسر جهان مورد استفاده قرار گیرد، تثبیت شد. کوزو (COSO) در نظر داشت این مکعب، ارتباط بین اهدافی که در بالا نشان داده شده‌اند و هشت مؤلفه نشان داده شده در جلو را که نشان دهنده آنچه برای دستیابی به اهداف مورد نیاز است، نشان دهد. بُعد سوم، واحدهای سازمان را نشان می‌دهد که توانایی مدل را برای تمرکز بر بخش‌هایی از سازمان و همچنین کل آن به تصویر می‌کشد. در زیر هر یک از هشت مؤلفه ذکر شده در جلوی مکعب، تعدادی مسئله وجود دارد که سازمان‌ها مجبور به حل آنها بوده‌اند.​​​​​​​