. مقدمه
حسابرسی داخلی در مسیری قرار دارد که در چند سال آینده نیاز خواهد داشت در روش¬ها، ابزار و تکنیک¬های سنتی خود به منظور رویارویی با الزامات قانونی جدید برای راهبری شرکتی و استاندارد¬های جدید مدیریت ریسک، تغییراتی ایجاد نماید. این الزامات جدید به¬گونه¬ای طراحی شده¬اند تا اطمینان بیشتری از توانایی سازمان در مدیریت ریسک فراهم ¬نماید که تغییرات عمده در عملکرد حسابرسی داخلی و حمایت از آن توسط هیئت مدیره را می¬طلبد.
رویدادهای تاسف بار اقتصادی و اجتماعی همچون انرون، بحران بانکی سال ۲۰۰۸، طوفان کاترینا، تخلیه زباله¬های نفتی در آب ، کوه المپ در مقدونیه، یونان و غیره، بارها رخ داده است. چنین روادیدهایی ناشی از فقر راهبری در سازمان¬های خصوصی و دولتی می¬باشد. بخش عمده¬ی شکست راهبری ناشی از مدیریت نامناسب ریسک است. ( به طور مثال نظارت ناکارآمد حسابرسی داخلی).
رهنمود¬های بین المللی مدیریت ریسک در ایزو ۳۱۰۰۰ سال ۲۰۰۹ ، با عنوان: "مدیریت ریسک: اصول و رهنمودها"، به صورت استاندارد تدوین شد. این استاندارد راهنمای عملی و به روز شده ای را برای کلیه سازمان¬ها، اعم از خصوصی و عمومی، به منظور بهبود و افزایش توانایی سازمان¬ها در مدیریت ریسک فراهم می¬کند. تدوین استانداردهای فوق براساس استانداردهای اولیه¬ی مدیریت ریسک و نیز موفقیت¬های عملی سازمان¬هایی چون گروه صنعتی هایدرو وان و بی اچ پی بیلیتون که از روش¬های فوق بهره گرفتند، صورت پذیرفته است. گروه صنعتی هایدرو وان جهت اجرای مدیریت ریسک سازمانی ( ERM )، نسخه قدیمی ایزو ۳۱۰۰۰ را در سال ۲۰۰۰ با بکارگیری استاندارد مدیریت ریسک ۴۳۶۰ AS / NZS به عنوان الگو شروع نمود.
موفقیت¬ها و چالش¬های مدیریت ریسک آن¬ها به خوبی مستند شده است . مدل آن¬ها که عمدتا بر پایه استفاده از کارگاه¬های آموزشی ریسک، اولویت بندی ریسک¬ها و تخصیص منابع قرار دارد، بر اساس یک مدل آسان اما کارآمد عمل می¬کند. رئیس اجرایی حسابرسی (داخلی)، کارکنان واحدهای حسابرسی (داخلی) و مدیریت ریسک را از یکدیگر تفکیک کرده و دو رویه¬ی متفاوت را در تطابق با روش¬های پذیرفته شده مشارکت حسابرسی داخلی در ERM توسط انجمن حسابرسی داخلی در پیش می¬گیرد(IIA ۲۰۰۴ و ۲۰۱۱). مدل گروه صنعتی هایدرو وان بالاترین منابع ریسک را مشخص کرده و جهت بازنگری و چاره اندیشی آن را به مدیریت ارشد و هیئت مدیره ارایه می¬دهد.
معیارهای ریسک در سطح هیئت مدیره به عنوان مبنایی جهت تشخیص، تجزیه و تحلیل و ارزیابی ریسک تعیین شده و مورد توافق قرار مي¬گيرند. حسابرسی داخلی از این ریسک مدون شده به عنوان مبنایی حائز اهمیت برای برنامه ریزی حسابرسی داخلی بهره ¬می¬گیرد.
اخیرا، بسیاری از کشورهای بزرگ، مقررات و آیین¬ نامه¬هایی را جهت راهبری شرکتی تعريف کرده¬اند (بطور مثال کینگ III در آفریقای جنوبی ، آیین تركيب در UK و ASX در استرالیا). تمامي موارد بيان شده نیازمند آن است که اطلاعات کافی براي هیئت مدیره¬ی سازمان فراهم شده باشد تا بتواند برای سهامداران به صورت مستند اجراي موثر مديريت ریسک را بيان نمايد و یا در غير اين صورت (در صورت عدم اجرای اثربخش مدیریت ریسک) ضعف¬های آن ¬را افشا سازد. عموما این مقررات و آیین نامه¬ها مستلزم افشاء توسط هیئت مدیره است: (مدیران بورس اوراق بهادار کانادا ، ۲۰۱۰)
• اطلاعات درباره¬ی ریسک¬های ناشر و اشاره به مهمترين آن¬ها؛
• مشاوره در مورد چگونگي یکپارچه¬ شدن مدیریت ریسک با دیگر فرایندهای تجاری مهم سازمان به ویژه مدیریت راهبردی ؛
• سیاست سازمان در برخورد با مدیریت ریسک ؛ و
• ارزیابی هیئت مدیره از اثر بخشی سیاست¬ها و روش¬های مدیریت ریسک، شامل چارچوب و فرآیند مدیریت ریسک.
این تغییرات نیازمند پاسخی مناسب از سوی حرفه حسابرسی داخلی است، شامل :
۱. ایفا کننده¬ی یک نقش در مدیریت ریسک باشند و نه اینکه به صورت مستقل نظاره¬گر تلاش¬های مدیریت باشند؛
۲. حمایت از مدیریت ریسک با اطمینان بخشی از اعمال کنترل¬های مربوط به نقاط بحرانی. ؛
۳. توسعه تكنيك¬هاي جديد به منظور نظارت، بررسی و ارتباطات با هدف بهبود اثربخشی هر دوي مدیریت ریسک و راهبری سازمان؛
۴. با همکاران خود در سراسر جهان برای تغییر در الزامات، آموزش و عملکرد حسابرسان داخلی به منظور رویارویی با نوآوری، چالش های مهم و گسترده همکاری نمایند.
بدیهی است که نقش¬هاي جدید برای حسابرسی داخلی همانند نقش¬های سنتی مي¬بايستي مورد نظارت قرار گيرد تا از تطابق عملکرد با انتظارات اطمینان حاصل شود. همچنین به منظور اطمینان¬بخشی به سهامداران، الزام کلیدی ایزو ۳۱۰۰۰، داشتن رویکردهای صریح و روشن جهت ارتباطات داخلی و خارجی لازم و ضروري خواهد بود. ایزو ۳۱۰۰۰ راهنمایی¬ مورد نياز در اين زمينه را فراهم می¬کند.
اين مقاله به بررسی الزامات راهبری جدید، آخرین استانداردهاي مدیریت ریسک و مفاهیم حسابرسی داخلی می¬پردازد. نتیجه¬گیری¬هاي اصلی مقاله با (قلم) ایتالیک در متن، همچنان كه پیش می¬رویم، نشان داده شده است.
۲. مدیریت ریسک و سازمان¬ها – گرایش¬های اخیر
در ارتباط با مفاهیم ریسک و تمهیدات کلی مدیریت ریسک در سازمان¬ها اخیرا پیشرفت¬ها و گرایش¬هایی صورت گرفته است که تاثیر قابل توجهی بر فعالیت حسابرسی داخلی می¬گذارد.
۲.۱ فواید ریسک کردن
در حال حاضر ریسک به عنوان " تاثیر عدم اطمینان در دستیابی به اهداف" در نظر گرفته می شود (ایزو ۲۰۰۹). ریسک می¬تواند با هر یک از پیامد¬های مثبت یا منفی یا هر دوی آن¬ها مشخص شود و این پیامد-ها می¬بایست با اهدف سازمان مرتبط شود. به عنوان مثال، نتایج سودمند می¬تواند سبب افزایش رضایت مشتری از محصولات یا خدمات به عنوان نتیجه¬ی ' کنترل' (" میزان تعدیل ریسک") باشد، همانند گروه¬های متمرکز در ارتباط با کالا و یا خدمات جدید. این کنترل¬ها احتمال دستیابی به نتایج بهتر را افزایش می¬دهد. نتیجه¬گیری ۱: مدیریت ریسک در ارتباط با کاهش دامنه و احتمال پیامدهای زیان¬بار و در عین حال بهبود و افزایش احتمال پیامدهای مفید که ممکن است از تصمیمات برخواسته باشد، عمل می¬کند.
۲.۲ تمرکز حسابرسی داخلی می¬بایست روی توانایی سازمان برای مدیریت ریسک و نه تنها کنترل¬ها باشد.
پیشنهاد تجدید نظر در قانون ساربینز اکسلی در ایالات متحده آمریکا با تغییر تمرکز حسابرسی از کنترل¬ها به مدیریت ریسک مطرح شده است ( لیچ ، ۲۰۱۱). علت ارائه¬ی این پیشنهاد شکست سازمان¬ها در بحران بانکی سال ۲۰۰۸ و دیگر شکست های مالی اخیر می¬باشد که دلیل آن شکست کنترل¬های موجود نبود، بلکه نشات گرفته از ضعف کنترل¬های مناسب در نتیجه عدم تشخیص، تجزیه و تحلیل، ارزیابی و بهبود ریسک¬ها به صورت موثر بود. نتیجه¬گیری ۲: تمرکز حسابرسی داخلی و دیگر واحدهای نظارتی و بررسی کننده می¬بایست نه تنها بر اثر بخشی کنترل¬ها، بلکه ایجاد اطمینان در اثربخشی مدیریت ریسک باشد. مدیریت ریسک باید همواره در ارتباط با دستیابی به اهداف سازمانی قابل درک باشد و بنابراین کنترل ها عامل دستیابی به این اهداف هستند. حسابرسی¬های داخلی مدیریت ریسک باید مبنایی جهت ارزیابی کلی سازمان از مدیریت ریسک خود ایجاد نماید تا به نوبه خود نقطه شروعی برای هر گونه بررسی برون سازمانی مدیریت ریسک و ارتباطات بیرونی مرتبط با ریسک باشد.
۲.۳ مدیریت ریسک نیاز به تصمیم¬گیری مشخص و پایدار مدیریت دارد.
مدیریت ریسک باید با برنامه¬ریزی راهبردی و دیگر فرآیندهای مدیریت به طور کامل یکپارچه شود. از آنجا که ریسک تاثیر عدم اطمینان در دستیابی به اهداف است، تعیین اهداف وابسته ( به عنوان مثال برای طرح¬های تجاری، برنامه¬ها و پروژه¬ها) نیز باید با مدیریت ریسک درآمیخته شود. به دلیل اینکه: (شبکه بین المللی راهبری شرکتی ، ۲۰۱۰ ) .
"ریسک پذیری یک عنصر جدایی ناپذیر از راهبرد، محرک حیاتی در دستیابی به اهداف و همچنین بخشی از تصمیم¬گیری هر شرکت است. راهبرد و ریسک مفاهیم نوینی نیستند، اگر¬چه مشخص شده ریسک موضوعی است که توسط نهادهای نظارتی و قانونی در بسیاری از مراجع صلاحیتدار، زیاد مورد توجه قرار گرفته است. ... توانایی ارزیابی و پاسخگویی به چگونگی مدیریت ریسک یک شرکت، ارتباطی فراتر از سهامداران و هیئت مدیره ایجاد می¬نماید که خود برگرفته از اثر¬گذاری شرکت بر تمامی ذی¬نفعان شامل کارکنان و جوامعی که شرکت در آن به تجارت می¬پردازد و در موارد خاص، بازارهای ملی یا بین المللی می¬باشد."
به عقیده¬ی نویسنده پرداختن به موضوع¬" اثرگذاری بر همه ذی¬نفعان " ¬الزام کلیدی برای موفقیت در جهان امروزی است که دارای ارتباطات اجتماعی لحظه¬ای است و بر سازمان¬ها تاثیر¬گذار می¬باشد.
در بررسی بحران بانکی سال ۲۰۰۸، شکست¬های مدیریت ریسک مشخص شد. آنچه اتفاق افتاد برای بسیاری از سازمان های دیگر نیز قابل اعمال است و شامل موارد زیر می¬باشد: ( هیئت ثبات مالی ،۲۰۰۹)
• بی¬میلی یا ناتوانی اعضای هیئت مدیره و مدیران ارشد در ادراک، اندازه گیری و پایبندی به سطح ریسک قابل پذیرش سازمان ، .... دراغلب موارد ریسک¬های به وقوع پیوسته درون سازمانی با ریسک-های قابل ادراک توسط هیئت مدیره متفاوت بود.
• تمهیدات داخلی از جمله پاداش مدیریت که در تضاد یا تعارض با اهداف سازمانی است.
• زیرساخت¬های نامناسب و اغلب پراکنده که مانع از تشخیص، تجزیه و تحلیل، ارزیابی و ارتقای اثربخش ریسک می¬گردد.
نتیجه¬گیری ۳: فرآیندهای مدیریت ریسک باید با سیستم¬های مدیریت سازمان یکپارچه شود تا موثر واقع گردد. از آنجائیکه رویه¬های اخیر معطوف به فعالیت¬های مدیریت ریسک به منظور تهیه گزارش¬های راهبردی معنا¬دار و قابل اطمینان است، این امر مستلزم به کارگیری مدیریت ریسکی سازگار و جامع و نیز استفاده مناسب از خدمات اطمینان بخشی حسابرسان داخلی در سراسر سازمان می¬باشد. در پاسخ به شکست¬های اخیر، تمرکز بر بهبود راهبری سازمان¬ها بوده است که " اثربخشی بیشتر مدیریت ریسک " را نتیجه می¬دهد.
۳ . ایزو ۳۱۰۰۰ سال ۲۰۰۹، مدیریت ریسک - اصول و رهنمود¬ها
ایزو ۳۱۰۰۰ منعکس کننده¬ی بهترین تجربه¬ی اخیر است و تکامل آن از طریق یک فرایند چهار ساله و با حضور هزاران متخصص مدیریت ریسک از سراسر جهان جهت دستیابی به یک استاندارد مورد توافق حاصل شد. استاندارد فوق شامل راهکارهایی در¬خصوص چگونگی پیاده¬سازی و بهبود چارچوب مدیریت ریسک است. استاندارد مذکور در دوره¬ای توسعه یافت که چارچوب¬های رقیب بسیاری چون کوزو ۲۰۰۴ ، استانداردهای مدیریت پروژه ، اهداف کنترلی اطلاعات و فناوری مرتبط با آن (کوبیت) ، و غیره وجود داشت. بر¬خلاف سایر استانداردها، استاندارد ایزو مختص هیچ کشور، کاربرد یا نوع خاصی از ریسک نیست. این استاندارد نگاهی رو به جلو دارد و منعکس کننده ویژگی¬های بهترین تجربه در سازمان-های پیشرو است. صنعت معدن و بخش¬های مرتبط با منابع مثال¬هایی هستند که به طور کلی نیازمند مدیریت ریسک بسیار موثر جهت ایجاد بازده سرمایه¬گذاری می¬باشند، تا از " مجوز فعالیت " خود محافظت نموده و استاندارد¬های مناسب ایمنی را برای کارمندان خود و عموم همسایگان فراهم نمایند. بزرگترین شرکت استخراج معدن جهان شرکت بی اچ پی بیلیتون است و سیاست¬های مدیریت ریسک آن ( حدود ۲۰۰۷) در شکل ۱ نشان داده شده است. شکل مذکور تقریبا تمامی الزامات کلیدی عملکرد¬ مدیریت ریسک گنجانده شده در ایزو ۳۱۰۰۰ را نمایش می¬دهد. در این بخش نوآوری¬های کلیدی موجود در ایزو ۳۱۰۰۰ همراه با مفاهیم حسابرسی داخلی ارایه شده است.
۳.۱ یکپارچه کردن مدیریت ریسک با سیستم¬های مدیریت و تصمیم گیری سازمانی
"سازمان¬ها به صورت مداوم در حال توسعه، پیاده سازی و بهبود مستمر چارچوبی هستند كه هدف آن یکپارچه¬ کردن فرآیند مدیریت ریسک با راهبري کلی سازمان، راهبرد و برنامه¬ریزی، مدیریت، فرایندهای گزارشگری ، سیاست¬ها، ارزش¬ها و فرهنگ سازمانی است" (ایزو ۲۰۰۹).
هر ریسک می¬بایست داراي يك مالك تعيين كننده باشد، کسی که ریسک را نشان می¬دهد و تصمیم¬گیری درخصوص آن ریسک را رهبری می¬نماید. به عبارت دیگر ریسک¬ها متعلق به یک تصمیم گیرنده می¬باشند و نه یک گروه جداگانه مانند حسابرس داخلی یا بخش مدیریت ریسک و این مطلب یکی از مهمترین نوآوری¬ها در ایزو ۳۱۰۰۰ است. مدیریت ریسک با فرماندهی، کنترل و ساختار گزارشگری سازمان کاملا یکپارچه می¬شود و يك فعالیت مستقل نیست.
هر سازمان با توجه به ماموریت، چشم انداز و اهداف خود، ساختار سازمانی را برای دستیابی به رسالت و اهداف خود تشکیل می¬دهد. نمودارهای سازمانی یک نمونه¬ی بارز این ساختار سازمانی است. ایزو ۳۱۰۰۰ معتقد است مدیریت ریسک تنها يكي از موارد قابل¬¬ توجه در ميان انبوه مواردي است كه توسط هر يك از مديران سازمانی در زمان تصميم¬گيري استفاده مي¬شود. در جهت حمایت از تصمیم گیری، مدیریت ریسک با سایر ملزومات تصمیم گیری مانند منابع انسانی، بودجه بندی، اجرای وظایف تخصیص یافته و سیاست¬های اخلاقی رایج پیوند می¬خورد. مدیریت ریسک به منظور اطمینان¬بخشی از تشخیص، تجزیه و تحلیل، ارزیابی، بهبود و بازبینی عدم قطعیت¬های مرتبط با تصمیم گیری¬ها اجرا و پیاده¬سازی می-شود تا از این طریق نظارت منتج به کنترل پایدار حاصل گردد. نتیجه¬گیری ۴: حسابرس داخلی نبایست به نمایندگی از سازمان به ارزیابی ریسک بپردازد. نقش آنها یاری رساندن به تصمیم¬گیرندگان در دستیابی به مناسب¬ترین راهکارهای بهبود ریسک و سپس، نظارت و بررسی ریسک¬ها و کنترل¬ آن می¬باشد. اصطلاح " ارزیابی ریسک¬ها " در این مقاله به معنای اجرای معیارها و رهنمود¬هایی برای ارزیابی ریسک است که در ایزو ۳۱۰۰۰ بیان شده است. این مطلب به این دلیل است که ارزیابی بخشی از وظیفه¬ی مدیریت بوده و از جمله وظایف حسابرسی داخلی نمی باشد.
نتیجه گیری۲ و۴ بدین معناست که عملکرد سنتی حسابرسی داخلی در ارزیابی ریسک دیگر مورد نیاز نمی¬باشد و در واقع از آن جهت که مسئولیت پذیری و پاسخگویی مدیریت را کاهش می¬دهد، مطلوب نیست. ارزیابی ریسک توسط حسابرس داخلی به صورت سنتی روی طراحی برنامه حسابرسی و نه حمایت از تصمیم گیری متمرکز بوده است. شکل۲ فرآیند مدیریت ریسک ایزو را برای استفاده توسط تمامی تصمیم گیرندگان نشان می¬دهد( ایزو۳۱۰۰۰، سال ۲۰۰۹ ). در شکل۲ خروجی فرایند ارزیابی ریسک توسط مالک ریسک می¬تواند به طور مستقیم به عنوان نقطه شروع برای حسابرسی داخلی و نیز توسعه برنامه حسابرسی داخلی سالانه مورد استفاده قرار گیرد. همچنین در شکل۲ خروجی دیگر فرآیند مدیریت ریسک، یک برنامه بهبود ریسک است که با توجه به ایزو ۳۱۰۰۰ شامل موارد زیر است :
• " دلایل انتخاب راهکارهای بهبود شامل دستیابی به مزایای مورد انتظار؛
• افرادی که مسئول تصویب واجرای طرح هستند؛
• اقدامات پیشنهادی؛
• منابع مورد نیاز شامل پیشامد¬های احتمالی؛
• اندازه¬گیری عملکرد و محدودیت¬ها؛
• الزامات گزارشگری و نظارت؛ و
• جدول زمانبندی. "
بنابراین فرآیند مدیریت ریسک استفاده شده بوسیله¬ی تصمیم گیرنده تمامی ورودی¬های اساسی مورد نیاز برای برنامه¬ریزی حسابرسی¬های داخلی را در برمی¬¬گیرد. بنیاد تحقیقاتی انجمن حسابرسان داخلی ، به صراحت راهنمای بکارگیری استاندارد¬های استرالیا در زمینه " خدمات اطمینان بخشی" را به رسمیت می¬شناسد. نتیجه¬گیری ۵ : حسابرسی داخلی اطلاعات موردنیاز جهت برنامه¬ریزی حسابرسی ( و نیز برنامه¬های حسابرسی سالانه) را از فرآیند مدیریت ریسک انجام شده توسط تصمیم گیرندگان که مالک و پاسخگوی ریسک¬ها هستند، به دست می¬آورد.
اینکه طی چه مدت زمانی حسابرسی داخلی خود را با تغییرات از نقش¬های سنتی به نقش جدید "حمایت از مالک ریسک/ تصمیم گیرنده" تطبیق دهد، نامشخص است. با این حال روشن است که اساس عملکرد آ¬ن¬ها در ارایه¬ی نظارت و بررسی بی¬طرفانه، مستقل و اطمینان بخش ریسک¬ها، مدیریت ریسک و کنترل¬ها بدون تغییر باقی می¬ماند. بسیاری از تکنیک¬های جدید نیازمند آزمون مجدد و بازبینی هستند.
۳.۲ چارچوب مدیریت ریسک
ایزو ۳۱۰۰۰ پیشنهاد می¬کند سازمان¬ها نیاز به یک چارچوب و سیستم مشخص مدیریتی دارند تا قابلیت تطبیق مناسب اهداف سازمانی با مدیریت ریسک فراهم شود. فرایند کلیدی مدیریت ریسک در شکل ۲ نشان داده شده است. ( ایزو ۲۰۰۹ ). این فرآیند توسط هر تصمیم¬گیرنده به منظور تصمیم¬گیری مورد استفاده قرار می¬گیرد. چارچوب مدیریت ریسک ایزو ۳۱۰۰۰ عمدتا به منظور اطمینان¬دهی در مورد این است که فرایند مورد استفاده قرار می¬گیرد و اثربخش است.
چارچوب مدیریت ریسک بیان شده در ایزو ۳۱۰۰۰ بر¬پایه بهبود مستمر با استفاده از روش سنتی (PDCA ) می¬باشد (دیمینگ ، ۱۹۸۶). پرفروش¬ترین کتاب دانشگاهی اخیر در مورد مدیریت ریسک واحد اقتصادی ( فریزر ، ۲۰۱۰ ) به توصیف عناصر کاربردی ERM پرداخته است. روشن است که ERM و چارچوب مدیریت ریسک ایزو ۳۱۰۰۰ پیش از این به صورت کاربردهای عملی و پس از این به شکل اصول و دستورالعمل¬ها، مشابه یکدیگر هستند. انتظار می¬رود که اجرای رهنمود¬های ایزو برای چارچوب مدیریت ریسک در تعامل با طرح¬های در¬حال اجرای ERM تکامل یابد. نتیجه¬گیری ۶ : ERM و استاندارد مدیریت ریسک ISO ۳۱۰۰۰ در تعامل مشترک با هم هستند و پایه و اساس مدیریت ریسک در سازمان¬ها خواهند بود.
شکل ۳ (CSA ، ۲۰۱۱ ) نشان ¬دهنده¬ی نمونه¬ای از چارچوب مدیریت ریسک برای یک سازمان است و شامل کمیته¬ها و فعالیت¬های درگیر در اجرای چارچوب و نیز بهبود مستمر آن می¬باشد. شکل فوق برگرفته از برودلیف ۲۰۰۸ و استاندارد¬های مدیریت ریسک انجمن استاندارد¬های کانادا با افزودن ارتباط راهبری شرکتی می¬باشد.
در شکل ۳ مربع "بررسی و بهبود " در قسمت انتهایی سمت راست، مربوط به عملکرد سنتی حسابرسی داخلی در" اطمینان¬بخشی کنترل "، همراه با دیگر بررسی¬های صورت گرفته از راهبری، تکامل مدیریت ریسک و پیشرفت در اجرای چارچوب می¬باشد. این بررسی¬ها ورودی مربع بالایی سمت راست با عنوان " ماموریت و تعهد " است که منجر به بهبود مستمر چرخه می¬شود.
در شکل ۳، چارچوب از کاربرد فرآیند مدیریت ریسک 'مرکزی ' حمایت می¬نماید. شکل مشخص کننده-ی نیاز به آموزش جهت اجرای چارچوب، کمیته مدیریت ریسک متشکل از اعضای هیئت مدیره و سایر فعالیت ها و کمیته¬ها به منظور پیاده سازی و بهبود مستمر چارچوب می¬باشد. همچنین شکل ۳ نشان دهنده¬ی یکی ازعناصر کلیدی ERMیعنی ماموریت و تعهد برای مدیریت ریسک از واحد¬های راهبری سازمان است. نتیجه¬گیری ۷ : مدیریت ریسک اثربخش نیازمند بیان واضح و روشن از اهدف و اختیارات هیئت¬مدیره و مدیران ارشد می¬باشد. این الزام دراستانداردهای مدیریت ریسک کانادا مورد تاکید قرار گرفته است و به عنوان یک اصل اساسی نشان دهنده¬ی رویه¬ی عملی برای بیان این تعهد می¬باشد(CSA ، ۲۰۱۱ ). شکل ۱ همچنین نشان دهنده¬ی چگونگی بیان ماموریت و تعهد توسط سیاست¬های مدیریت ریسک سازمان است.
۳.۳ ایزو ۳۱۰۰۰ بیان مفهوم " ایجاد زمینه " در ارتباط با طراحی چارچوب مدیریت ریسک
زمینه مورد بحث با " تعریف پارامترهای بیرونی و داخلی و مدنظر قرار دادن آن¬ها در مدیریت ریسک و تعیین اهداف و معیارهای ریسک جهت سیاست گذاری مدیریت ریسک" ایجاد می¬شود. این مرحله در طراحی چارچوب به منظور اطمینان بخشی از تطابق چارچوب (که برای هر سازمان متفاوت خواهد بود)، با محیط سازمانی، مشخصات ریسک و گذشته آن است. به عنوان مثال، یک سازمان دولتی مشمول نظارت سیاسی که تغییرات سریع جهت گیر¬ی¬های سیاسی را تجربه کرده است خواستار چارچوب مدیریت ریسک شفاف بوده که در زمان تصمیم¬گیری¬ها نیز برای آن¬ها ایجاد محدودیت نکند.
بر¬خلاف سایر استانداردهای ایزو، ( ایزو ۳۱۰۰۰ ) به صراحت منع استفاده از این استاندارد را جهت تایید بیان کرده است. این به دلیل آن است که چارچوب مدیریت ریسک باید متناسب با زمینه سازمان طراحی شود تا اثربخش باشد. اگرچه عناصر اصلی چارچوب در سازمان¬های گوناگون قابل تشخیص است، این عناصر در تعامل با سیستم¬ مدیریتی مشخص هر سازمان متفاوت با یکدیگر خواهد بود.
سازمان¬ها در حال حاضر موارد بسیاری از فرآیندهای مدیریت ریسک در زمینه¬های مقررات بهداشت و ایمنی، استانداردهای استخدام، اولویت های قانونی و... دارند. در حال حاضر تمامی سازمان ها به مدیریت ریسک می¬پردازند و در نتیجه دارای چارچوب مدیریت ریسک اما به صورت موردی هستند. با این حال، اثربخش بودن آن بعید به نظر می رسد و ایزو ۳۱۰۰۰ امکان بررسی این رویکردهای موجود را تا زمان ارتقا و بهبود آن¬ها فراهم می¬کند. یکی از اهدف ایزو ۳۱۰۰۰، تهیه یک استاندارد به منظور ایجاد توازن با سایر استاندارهایی است که در تعامل با مدیریت ریسک هستند که در نتیجه آن با ایزو ۳۱۰۰۰ همسو و سازگار می¬شوند. نتیجه گیری ۸ : اصلاحات تکمیلی در نقش و عملکرد حسابرسی داخلی به عنوان بخشی از بهبود مستمر چارچوب در مدیریت ریسک به وقوع خواهد پیوست. پیاده سازی مدیریت ریسک اثربخش در یک سازمان در حدود ۳ الی ۵ سال به طول می¬انجامد و در این مدت فرایند بهبود مستمر به روز¬ رسانی شده و تکامل چارچوب را نتیجه می¬دهد. این تغییرات شامل بهبود و تغییر نقش حسابرسی داخلی و عملکرد سایر کارکنان در سازمان می¬باشد که سبب تغییرات منظم و موثر در مدیریت ریسک می¬شود.
۳.۴ تکامل مدیریت ریسک: ایزو ۳۱۰۰۰ اصول اساسی را بیان می¬کند که ERM می¬بایست آن¬ها را مدنظر قرار دهد. همچنین ایزو ۳۱۰۰۰ ، ۵ ویژگی مدیریت ریسک "برتر"را ارائه می کند که عبارتند از:
۱. "بهبود مستمر به واسطه تنظیم اهداف عملکرد سازمانی، سنجش، بررسی و اصلاح آتی فرآیندها، سیستم ها، منابع، توانمندی و مهارت¬ها.
۲. پاسخگویی کامل برای ریسک¬ها، وظایف رفتار ریسک و کنترل¬ها. تعیین افراد کاملاً پاسخگو که مهارتهای مناسب و منابع کافی را برای کنترل¬ها دارا بوده، بر ریسک نظارت کرده کنترل¬ها را بهبود بخشیده و با سهامداران بیرون و داخل در¬خصوص ریسک و مدیریت آن ارتباط موثر برقرار می¬کنند.
۳. کاربرد مدیریت ریسک در تمام تصمیم گیری¬ها، در هر سطحی از اهمیت، می¬بایست ریسک-های موجود و اعمال مدیریت ریسک تا حد مناسب در نظر گرفته شود.
۴. ارتباطات مستمر با سهامداران داخلی و بیرونی، از جمله ارایه¬ی گزارش¬های جامع و مکرر از عملکرد مدیریت ریسک، بخشی از راهبری مناسب تلقی می¬شود.
۵. یکپارچگی کامل در ساختار راهبری سازمان به صورت مرکزیت فرآیندهای مدیریت سازمانی دیده شده است، به¬گونه¬ای که ریسک به عنوان تاثیر عدم اطمینان در دستیابی به اهداف در نظر گرفته شده است. ساختار راهبری و فرایندها براساس مدیریت ریسک می¬باشد. مدیریت ریسک اثربخش توسط مدیران برای دستیابی به اهداف سازمانی ضروری در نظر گرفته شود. "
همچنین ایزو ۳۱۰۰۰ نشان می دهد چگونه می توان عملکرد مدیریت ریسک را در برابر این اقدامات ارزیابی نمود، که معمولا حداقل به صورت سالانه تحت عنوان " ارزشیابی تکامل مدیریت ریسک" انجام می شود. به عنوان مثال فریزر در کانادا، که اداره¬ی ۳ بیمارستان را برعهده داشت، به ارزیابی سالانه از ۲۱ ویژگی¬های تکامل مدیریت ریسک برای اطمینان از اجرای مداوم و بهبود ERM می¬پرداخت (پارکینز ، ۲۰۰۹ ) . روش¬های اساسی و الزامات توسط موسسه اعتبارسنجی کانادا که از مراجع قانون گذار دولت فدرال است، حاصل شده است. این سیستم برای حسابرسی مدیریت ریسک مربوط به مراقبت ¬های بهداشتی برای حداقل یک دهه قبل از ایزو ۳۱۰۰۰ وجود داشته است و یک مثال خوب از بهترین تجربه در حوزه مدیریت ریسک است که پایه و اساس ایزو ۳۱۰۰۰ را فراهم می¬نماید.
نتیجه گیری ۹ : تکامل مدیریت ریسک می بایست مورد ارزیابی قرار گیرد و حداقل به صورت سالیانه گزارش شود. درحالی¬که این اندازه¬گیری تکامل ریسک بهتر است بوسیله¬ی مدیریت انجام ¬شود، تا بصورت روشن و شفاف یک نقش را برای حسابرسی داخلی اثبات ¬کند.
۴ . تحول نقش¬های حسابرسی داخلی
منشور کمیته حسابرسی هیئت مدیره بانک رویال کانادا چنین بیان می¬کند" کمیته می بایست به صورت سالانه به بررسی و ارزیابی کفایت ماموریت¬ها و اثربخشی آنها بپردازد". علاوه بر اينكه مفاد دستور کمیته حسابرسی هیئت مدیره میبایست مطابق با عملکرد حسابرسی داخلی باشد تا شایستگی اثربخشی و ماموریت آن بازبینی و تعیین گردد. پتانسیل لازم جهت تکامل حسابرسی داخلی به واحدی با راهبرد بیشتر در یک مطالعه موردی توسط چادا (۲۰۱۱) مستند شده است. او معتقد است که پس از ERM حسابرسی داخلی درجهان باید با حرکت از کنترل و نظارت به سوی توسعه دو نقش جدید ارائه شده در ذیل به نوآوری و شکوفایی برسد:
۱. تهیه¬ی دیدگاه¬های تجاری مرتبط و با کیفیت بالا و
۲. تبدیل شدن به یک متخصص در زمینه¬ی مدیریت بر طرح¬های راهبردی، چالش¬ها و تغییرات در سازمان
همچنین استدلال¬ می¬کند که حسابرسی داخلی، نیروی انسانی، دانش و تجربه¬ی لازم جهت ایجاد اثربخش دو نقش ذکر شده را داراست.
نتیجه¬گیری ۱۰: حسابرسی داخلی جهت حمایت از پیشرفت مداوم و پیاده سازی اثربخش مدیریت ریسک می¬بایست نقش ها و مسئولیت خود را به روز رسانی نماید. چادا (۲۰۱۱) به منظور شروع برنامه ریزی راهبردی برای نقش های جدید حسابرسی داخلی شش سوال زیر را پیشنهاد می¬نماید:
۱) آیا واحد حسابرسی داخلی شما به انتظارات ذی¬نفعان از خود واقف است؟
۲) آیا اهداف واحد حسابرسی داخلی شما با اهداف سازمان همسو است؟
۳) آیا واحد حسابرسی داخلی شما تعادل معقول میان خدمات مشاوره و اطمینان¬بخشی ایجاد نموده است؟
۴) آیا واحد حسابرسی داخلی شما از ترکیب مناسب نیروی انسانی جهت ارائه خدمات مشاوره و تخصص مورد درخواست سازمان برخوردار است ؟
۵) آیا تعریف مجدد اختیارات برای واحد حسابرسی داخلی شما مورد نیاز است؟
۶) آیا واحد حسابرسی داخلی شما ارتباط مستقیم با مدیران سازمان دارد؟
ارتباط و همسویی حسابرسان داخلی و مستقل مثال بارز از مسائل بسیاری است که باید در نقش در حال تحول حسابرسی داخلی مورد بررسی قرار گیرد. برای اطمینان بخشی به ذی¬نفعان ، حسابرسی مستقل مورد نیاز است. به عقیده نویسنده، شروع حسابرسی¬های مستقل از نتایج کار حسابرسان داخلی از مدیریت ریسک کلی سازمان می¬باشد. با این حال، خروجی عملکرد حسابرسی¬های داخلی مانند اطمینان بخشی در خصوص یکپارچگی مالی، نظارت و بررسی جداگانه داخلی و مستقل درون سازمانی است. ایزو ۳۱۰۰۰ نیازمند سازمان¬هایی است که چارچوب مدیریت ریسک سازمان را با زمینه، ساختار و نقش¬ها و مسئولیت¬ها منطبق نمایند. هر سازمان منحصر به فرد است و مدیریت ریسک و سیاست گذاری نیز چارچوب منحصر به فرد خود را داراست و توسط سیاست¬های سازمان تمایلات خود را به برقراری ارتباط با ذی¬نفعان بیرونی، چیزی بیش از آنچه توسط مقررات مورد نیاز است، هدایت می¬کند.
۵ . نتیجه گیری
الزامات جدید راهبری شرکتی که الزام هیئت مدیره به کسب اطمینان از اثربخشی مدیریت ریسک و همچنین انتشارات ایزو در مورد استاندارد بین المللی مورد توافق در خصوص اصول و رهنمودهای مدیریت ریسک اثربخش می¬باشد، چالش¬ها و فرصت¬هایی را برای حسابرسی داخلی سنتی ایجاد کرده است. در طول چند سال آینده حسابرسی داخلی ملزم به تغییر در نقش و رویکرد خود به منظور افزایش اثربخشی مدیریت ریسک می¬باشد.
نتیجه می گیریم که :
۱. مدیریت ریسک در ارتباط با کاهش دامنه و احتمال پیامدهای زیان¬بار و در¬عین حال بهبود و افزایش احتمال پیامدهای مفید که ممکن است از تصمیمات برخواسته باشد، عمل می¬کند.
۲. تمرکز حسابرسی داخلی و دیگر واحدهای نظارتی و بررسی کننده می¬بایست نه تنها بر اثر بخشی کنترل¬ها، بلکه ایجاد اطمینان در اثربخشی مدیریت ریسک باشد.
۳. فرآیندهای مدیریت ریسک باید با سیستم¬های مدیریت سازمان یکپارچه شود تا موثر واقع گردد.
۴. حسابرس داخلی نبایست به نمایندگی از سازمان به ارزیابی ریسک بپردازد. نقش آنها یاری رساندن به تصمیم¬گیرندگان در دستیابی به مناسب¬ترین راهکارهای بهبود ریسک و سپس، نظارت و بررسی ریسک¬ها و کنترل¬ آن می¬باشد.
۵. حسابرسی داخلی اطلاعات موردنیاز جهت برنامه¬ریزی حسابرسی ( و نیز برنامه¬های حسابرسی سالانه خود را ) از فرآیند مدیریت ریسک انجام شده توسط تصمیم گیرندگان که مالک و پاسخگوی ریسک¬ها هستند به دست می¬آورد.
۶. ERM و استاندارد مدیریت ریسک ایزو ۳۱۰۰۰ در تعامل مشترک با هم هستند و پایه و اساس مدیریت ریسک در سازمان¬ها خواهند بود.
۷. مدیریت ریسک اثربخش نیازمند بیان واضح و روشن از اهداف و اختیارات هیئت¬مدیره و مدیران ارشد می¬باشد.
۸. اصلاحات تکمیلی در نقش و عملکرد حسابرسی داخلی به عنوان بخشی از بهبود مستمر چارچوب در مدیریت ریسک به وقوع خواهد پیوست.
۹. تکامل مدیریت ریسک می بایست مورد ارزیابی قرار گیرد و حداقل به صورت سالیانه گزارش شود.
۱۰. حسابرسی داخلی جهت حمایت از پیشرفت مداوم و پیاده سازی اثربخش مدیریت ریسک می¬بایست نقش¬ها و مسئولیت¬های خود را بروز رسانی کند.
منابع
Aabo, T., J.R.S. Fraser, and B.J. Simkins, ۲۰۰۵, "The Rise and Evolution of the Chief Risk
Officer: Enterprise Risk Management at Hydro One", Journal of Applied Corporate Finance,
۱۷ (۳), ۶۲-۷۵.
Australia Securities Exchange (ASX) Corporate Governance Council, ۲۰۰۷, Corporate
Governance Principles and Recommendations, ۲nd Edition,
http://asx.ice۴.interactiveinvestor.com.au
Broadleaf Capital International, ۲۰۰۸, home page, www.broadleaf.com.au
CSA (Canadian Standards Association), ۲۰۱۱, CSA Q۳۱۰۰۱-۱۱, Implementation guide to
CAN/CSA-ISO ۳۱۰۰۰, Risk management – Principles and guidelines, Toronto
Canadian Securities Administrators (CSA), December ۲۰۱۰, Staff Notice ۵۸-۳۰۶ ۲۰۱۰
Corporate Governance Disclosure Compliance Review
http://www.osc.gov.on.ca/documents/en/Securities-Category۵/csa_۲۰۱۰۱۲۰۳_۵۸-۳۰۶_۲۰۱۰-corp-gov-disclosure.pdf
COSO, (Committee of Sponsoring Organizations of the Treadway Commission), ۲۰۰۴,
Enterprise Risk Management — Integrated Framework (۲۰۰۴),
Chada, Monica, ۲۰۱۱, Developing a Strategic Plan for Your Audit Function, Annual
conference of Canadian Internal Audit Association, Toronto
Deming, W.E., ۱۹۸۶, Out of the Crisis, MIT Press
Financial stability board, ۲۰۰۹ Risk Management Lessons from the Global Banking Crisis of
۲۰۰۸ – http://www.financialstabilityboard.org/publications/r_۰۹۱۰a.pdf
Fraser, John and Betty Simkins, Eds., ۲۰۱۰, Enterprise Risk Management: Today’s Leading
Research and Best Practices for Tomorrow’s Executives, Toronto, Wiley
Institute of Internal Auditors, ۲۰۰۴, The Role of Internal Auditing in Enterprise-wide Risk
Management
Institute of Internal Auditors Research Foundation IIARF, March,۲۰۱۱, White Paper, Internal Auditing's Role in Risk Management
International Corporate Governance Network, ۲۰۱۰, ICGN Corporate Risk Oversight
Guidelines
http://www.icgn.org/files/icgn_main/pdfs/best_practice/icgn_cro_guidelines_(short).pdf
ISO (International Organization for Standardization, ۲۰۰۹ ISO۳۱۰۰۰ Risk Management:
Principles and Guidelines
Leech, Tim, and Leech L., ۲۰۱۱, Preventing the Next Wave of Unreliable Financial
Reporting: Why U.S. Congress Should Amend Section ۴۰۴ of the Sarbanes-Oxley Act, Risk
Oversight Ltd., http://riskoversight.ca/
Mikes, Anette, ۲۰۰۸ ,"Enterprise Risk Management at Hydro One", Harvard Business School
Case Study ۹-۱۰۹-۰۰۱
Mikes, Anette, ۲۰۰۹, "Enterprise Risk Management at Hydro One", Harvard Business School
Multimedia/Video Case Study ۱۱۰-۷۰۷
Parkins, Sandra, ۲۰۰۹, ERM Readiness Assessment Tool, Conference Board of Canada.
Standards Australia, ۲۰۱۰, Delivering Assurance based on ISO ۳۱۰۰۰:۲۰۰۹ Risk management
– principles and guidelines, HB ۱۵۸:۲۰۱۰, Standards Australia, The IIA Research Foundation, The Institute of Internal Auditors Australia, ISBN ۹۷۸ ۰ ۷۳۳۷ ۹۴۸۹ ۶,
http://infostore.saiglobal.com/store/Details.aspx?ProductID=۱۳۹۶۰۴۵, Sydney
Wikipedia, ongoing, Brent Spar(a comprehensive and balanced documentation of the situation and the actions of Shell, the media and Greenpeace). http://en.wikipedia.org/wiki/Brent_Spar