حسابرسی ریسک مالی: ضرورت، فرآیند و کاربردها در مدیریت نوین سازمان

حسابرسی ریسک مالی حسابرسی ها به کسب‌وکارها کمک می‌کند تا درباره میزان عملکرد مالی آن‌ها و کارهایی که می‌توانند برای بهبود انجام دهند، اطلاعات بیشتری کسب کنند.

اگرچه انواع حسابرسی وجود دارد، یک کسب و کار می تواند جذب حسابرس برای ارزیابی ریسک های احتمالی آن را بسیار مفید بداند.

اگر حسابرس ریسک هستید یا ایده پیوستن به این حوزه برای شما جالب است.

یادگیری بیشتر در مورد حسابرسی ریسک می تواند به شما کمک کند تا در این نقش برتر باشید.

در این مقاله، حسابرسی ریسک را تعریف می‌کنیم، انواع ریسک‌هایی را که ممکن است حسابرسی کنید.

فهرست می‌کنیم و نکاتی را برای بهبود شایستگی شما در انجام این نوع حسابرسی ارائه می‌کنیم.

مراحل انجام حسابرسی ریسک مالی و چارچوب‌های استاندارد

حسابرسی ریسک مالی برای اثربخشی نیازمند برنامه‌ریزی و اجرای گام‌به‌گام است. چارچوب‌های استاندارد مدیریت ریسک – مانند کوزو (COSO ERM) و استاندارد بین‌المللی مدیریت ریسک ISO 31000 – راهنمای مفیدی برای طی این مراحل فراهم می‌کنند. به طور کلی، مراحل اصلی انجام حسابرسی ریسک مالی به شرح زیر است:

1. تعریف دامنه حسابرسی (Planning & Scope Definition): در ابتدا باید محدوده حسابرسی و اهداف آن مشخص شود. حسابرس با مدیران و واحدهای مرتبط گفت‌وگو کرده و حوزه‌هایی را که قرار است تحت پوشش حسابرسی قرار گیرد تعیین می‌کند. در این مرحله همچنین سطح ریسک قابل قبول (Risk Tolerance) سازمان در نظر گرفته می‌شود تا تمرکز حسابرسی بر ریسک‌هایی باشد که فراتر از آستانه قابل قبول مدیریت هستند. تعیین دامنه جامع اما مشخص، مبنای یک حسابرسی کارآمد است.

2. شناسایی و طبقه‌بندی ریسک‌ها (Risk Identification & Classification): حسابرس با استفاده از روش‌هایی مانند مصاحبه با مدیران، بررسی سوابق و داده‌های تاریخی، تحلیل فرآیندها و محیط کسب‌وکار به شناسایی طیف ریسک‌های بالفعل و بالقوه می‌پردازد. سپس این ریسک‌ها بر اساس احتمال وقوع و میزان تاثیرشان طبقه‌بندی و اولویت‌بندی می‌شوند خروجی این گام می‌تواند یک فهرست یا ماتریس ریسک باشد که مهم‌ترین ریسک‌های مالی سازمان را برجسته می‌سازد.

3. ارزیابی کنترل‌های موجود (Evaluate Existing Controls): در این مرحله، کنترل‌ها و سازوکارهای فعلی مدیریت ریسک توسط حسابرس بررسی می‌شود. هدف آن است که مشخص شود سازمان برای هر یک از ریسک‌های شناسایی‌شده چه تدابیری اندیشیده و این تدابیر تا چه حد اثربخش هستند. حسابرس به دنبال کشف شکاف‌ها یا ضعف‌ها در کنترل‌های داخلی است؛ برای مثال ممکن است معلوم شود برخی ریسک‌های مهم فاقد کنترل بازدارنده کافی هستند یا رویه‌های کنترلی موجود به درستی اجرا نمی‌شوند. این ارزیابی مبنایی برای توصیه‌های بهبود خواهد بود.

4. آزمون و اعتبارسنجی (Testing): حسابرس ریسک جهت کسب شواهد عینی، آزمون‌هایی را طراحی و اجرا می‌کند. این آزمون‌ها می‌تواند شامل مطابقت‌دهی (Compliance Testing) – مانند بررسی اسنادی برای انطباق با رویه‌ها – و آزمون‌های اثربخشی کنترلی – مانند تست عملی عملکرد یک کنترل معین در شرایط واقعی – باشد. هدف این است که ارزیابی اولیه کنترل‌ها با شواهد عملی تایید (یا رد)‌ شود. برای نمونه، اگر سیاست حد اعتباری برای مشتریان وجود دارد، حسابرس ممکن است نمونه‌ای از پرونده‌های اعتباری را بررسی کند تا ببیند آیا این سیاست در عمل رعایت شده و موثر بوده است یا خیر.

5. تجزیه‌وتحلیل نتایج و برنامه اقدام (Analysis & Action Plan): پس از جمع‌آوری شواهد و ارزیابی کنترل‌ها، حسابرس یافته‌های خود را تحلیل کرده و شدت هر ریسک با در نظر گرفتن کنترل‌های موجود سنجیده می‌شود. سپس برنامه‌ها و توصیه‌های کنترلی جدید یا اصلاحی برای ریسک‌های پر اولویت تدوین می‌گردد. در این مرحله، چارچوب‌هایی نظیر استاندارد COSO ERM می‌توانند مفید باشند که بر پنج جزء وابسته به هم (محیط کنترلی، ارزیابی ریسک، فعالیت‌های کنترلی، اطلاعات و ارتباطات، و نظارت) تاکید دارند. همچنین استاندارد ISO 31000 رهنمود می‌دهد که فرآیند مدیریت ریسک باید سیستماتیک، شفاف و قابل اعتماد باشد. حسابرس با الهام از این استانداردها پیشنهاداتی عملی ارائه می‌کند؛ مانند پیاده‌سازی کنترل‌های جدید، بهبود رویه‌ها، آموزش کارکنان یا استفاده از ابزارهای نرم‌افزاری جهت پایش بهتر ریسک‌ها.

6. گزارش‌دهی و پیگیری (Reporting & Monitoring): نتیجه نهایی حسابرسی ریسک مالی، گزارش حسابرسی است که در آن فهرست ریسک‌های شناسایی‌شده، ارزیابی وضعیت مدیریت هر ریسک و توصیه‌های مشخص ارائه می‌شود. این گزارش معمولاً در جلسه اختتامیه به مدیریت ارشد، کمیته حسابرسی یا هیئت‌مدیره ارائه می‌گردد تا اقدامات اصلاحی مورد توافق و اجرا قرار گیرد اما کار در اینجا پایان نمی‌یابد؛ پایش مستمر ریسک‌ها و اقدامات اصلاحی ضروری است سازمان باید بر اجرای توصیه‌های ارائه‌شده نظارت کند و حسابرسان داخلی می‌توانند در دوره‌های بعد مجدداً اثربخشی تغییرات را ممیزی و ارزیابی نمایند. به بیان دیگر، حسابرسی ریسک مالی باید بخشی از چرخه مداوم مدیریت ریسک سازمان باشد تا اطمینان حاصل شود که با تغییر شرایط، ریسک‌های جدید شناسایی و کنترل می‌شوند.

تفاوت حسابرسی ریسک مالی با سایر انواع حسابرسی

حسابرسی ریسک مالی از نظر ماهیت، اهداف و دامنه با انواع دیگر حسابرسی تفاوت‌های مشخصی دارد. در جدول زیر، تفاوت میان حسابرسی ریسک مالی و چند نوع رایج حسابرسی نشان داده شده است:

حسابرسی ریسک چیست؟

حسابرسی ریسک شامل بررسی صورت های مالی، پروژه یا کسب و کار برای تعیین هرگونه تهدید بالقوه است.

این فرآیند یک روش عالی برای ارزیابی اثربخشی سیستم مدیریت ریسک یک سازمان است.

برای صورتهای مالی، حسابرسان این نوع ارزیابی ریسک را به طور خاص برای شناسایی و اصلاح هرگونه تحریف انجام می دهند.یک

کاربردهای حسابرسی ریسک مالی در شرکت‌ها، سازمان‌ها و نهادهای مالی

حسابرسی ریسک مالی به عنوان یک ابزار راهبردی در انواع سازمان‌ها به‌کار گرفته می‌شود و مزایا و کاربردهای گسترده‌ای دارد:

• بهبود نظام مدیریت ریسک در شرکت‌ها: یکی از کاربردهای اصلی حسابرسی ریسک مالی، کمک به شرکت‌ها در شناسایی زودهنگام مشکلات و پیشگیری از بحران‌ها است. حسابرسی ریسک با ارزیابی دوره‌ای ریسک‌ها، به سازمان‌ها امکان می‌دهد قبل از تبدیل شدن تهدیدات به زیان واقعی، اقدامات اصلاحی را انجام دهند. این کار باعث تقویت کنترل‌های داخلی، بهبود فرآیندهای مالی و عملیاتی و کاهش احتمال تقلب و اشتباه می‌شود همچنین وجود گزارش حسابرسی ریسک در شرکت‌های بزرگ، اعتماد سهامداران، سرمایه‌گذاران و اعتباردهندگان را افزایش می‌دهد؛ زیرا نشان می‌دهد مدیریت به طور فعال مخاطرات را زیر نظر دارد.

• عمل به الزامات حاکمیت شرکتی و مقررات: در بسیاری از صنایع (به ویژه صنایع مالی)، نظارت بر مدیریت ریسک بخشی از الزامات قانونی و حاکمیت شرکتی است. برای مثال، در بانک‌ها بر اساس مقررات کمیته بال (Basel) و دستورالعمل‌های بانک مرکزی، لازم است که فرآیندهای مدیریت ریسک اعتباری، نقدینگی و بازار به طور منظم توسط واحد مستقلی مانند حسابرسی داخلی بررسی شوند. حسابرسی ریسک مالی در نهادهای مالی نظیر بانک‌ها و شرکت‌های بیمه از اجزای حیاتی نظارت به‌شمار می‌آید. چنان‌که تحقیقات نشان می‌دهد در بخش بانکی، مدیریت ریسک اعتباری بخش مهمی از حسابرسی‌ها است و حسابرسی دقیق این فرآیندها می‌تواند ریسک نکول و سایر خطرات مالی را به حداقل برساند. همچنین در شرکت‌های بیمه، حسابرسی ریسک مالی با بررسی ذخایر بیمه‌ای و روش‌های برآورد خسارت، به مدیریت بهتر ریسک بیمه‌ای کمک می‌کند.

• افزایش شفافیت و اعتماد عمومی: گزارش‌های حسابرسی ریسک مالی می‌تواند به عنوان بخشی از گزارشگری مسئولانه سازمان منتشر شود و به ذینفعان اطمینان دهد که شرکت در مدیریت مخاطرات خود فعال است. این امر به خصوص برای نهادهای مالی که با سپرده‌ها یا سرمایه‌های مردم سروکار دارند حائز اهمیت است. حسابرسی ریسک با افشای صادقانه نقاط ضعف و قوت سیستم‌های مدیریت ریسک، اعتماد عمومی و نظارتی را تقویت می‌کند. شرکت‌هایی که ریسک‌های خود را به خوبی شناسایی و مدیریت می‌کنند، در بلندمدت از هزینه‌های ناشی از غافلگیری‌های ناگوار مالی در امان مانده و شهرت بهتری در بازار کسب می‌کنند.

• تصمیم‌گیری آگاهانه و برنامه‌ریزی بهتر: نتایج حسابرسی ریسک مالی به هیئت‌مدیره و مدیریت ارشد دیدگاه جامعی درباره پروفایل ریسک سازمان می‌دهد. این اطلاعات به آن‌ها کمک می‌کند تا در تصمیم‌گیری‌های استراتژیک (مانند سرمایه‌گذاری‌های جدید، توسعه کسب‌وکار یا ورود به بازارهای نو) جنبه‌های ریسکی را مدنظر قرار دهند. به عبارتی، حسابرسی ریسک مالی نقش یک مشاور امین را ایفا می‌کند که مدیریت را از پیامدهای بالقوه تصمیمات مالی آگاه می‌سازد. سازمان‌ها می‌توانند با تکیه بر توصیه‌های حسابرسان ریسک، برنامه‌های اضطراری (Contingency Plans) تدوین کرده و آماده واکنش به شرایط پیش‌بینی‌نشده باشند.

در مجموع، حسابرسی ریسک مالی در سازمان‌ها و نهادهای مالی نقشی پیشگیرانه، بهبوددهنده و اطمینان‌بخش دارد. امروزه بسیاری از شرکت‌های پیشرو، حسابرسی ریسک را به عنوان بخشی از سازوکارهای حاکمیت شرکتی خود نهادینه کرده‌اند تا مطمئن شوند نه تنها وضعیت مالی کنونی‌شان صحیح است، بلکه برای آینده و مخاطرات پیش‌رو نیز آمادگی کافی دارند. به بیان طنزآمیز، حسابرسی ریسک مالی مثل چکاپ پزشکی دوره‌ای برای سلامت مالی شرکت است؛ مشکلات پنهان را آشکار می‌کند و راهنمایی لازم برای درمان یا پیشگیری را ارائه می‌دهد.

منابع، مراجع حرفه‌ای و استانداردهای بین‌المللی مرتبط

در حوزه حسابرسی ریسک مالی، منابع و استانداردهای معتبر متعددی وجود دارد که می‌توانند به عنوان راهنما مورد استفاده قرار گیرند. در ادامه به چند نمونه مهم اشاره می‌کنیم:

• چارچوب مدیریت ریسک بنگاه COSO (Enterprise Risk Management – COSO): چارچوب کوزو که توسط کمیته سازمان‌های حامی کمیسیون تردوی منتشر شده، یکی از مشهورترین راهنماها برای مدیریت و ارزیابی ریسک در سطح سازمانی است. نسخه به‌روز COSO ERM بر همسویی مدیریت ریسک با استراتژی و عملکرد سازمان تأکید دارد و شامل مؤلفه‌هایی نظیر محیط راهبری، تعیین اشتهای ریسک، شناسایی رویدادهای ریسکی، ارزیابی ریسک، واکنش به ریسک و نظارت است .بسیاری از شرکت‌های بزرگ و موسسات حسابرسی، از اصول COSO برای طراحی برنامه‌های حسابرسی مبتنی بر ریسک بهره می‌برند.

• استاندارد بین‌المللی مدیریت ریسک ISO 31000:2018: این استاندارد که توسط سازمان بین‌المللی استاندارد (ISO) منتشر شده، یک چارچوب جامع و قابل انطباق برای مدیریت ریسک در هر نوع سازمان ارائه می‌دهد. ISO 31000 اصولی را معرفی می‌کند که اطمینان حاصل شود فرآیند مدیریت ریسک منظم، شفاف و معتبر است هرچند ISO 31000 مستقیماً درباره حسابرسی صحبت نمی‌کند، اما حسابرسان ریسک می‌توانند از واژگان و فرآیندهای تعریف‌شده در آن (نظیر شناسایی، تحلیل، ارزیابی و کاهش ریسک) به عنوان مبنای کار خود استفاده کنند.

• استانداردهای بین‌المللی حسابرسی (ISA) و استانداردهای حرفه‌ای حسابرسی داخلی: استانداردهای بین‌المللی حسابرسی منتشرشده توسط IFAC (فدراسیون بین‌المللی حسابداران) چند استاندارد کلیدی مرتبط با ارزیابی ریسک در حسابرسی صورت‌های مالی دارند (مثل ISA 315 شناسایی و ارزیابی ریسک تحریف بااهمیت). اگرچه این استانداردها معطوف به حسابرسی مالی هستند، اما تکنیک‌های ارزیابی ریسک مطرح‌شده در آن‌ها برای حسابرسان ریسک نیز سودمند است. همچنین «موسسه حسابرسان داخلی» (IIA) در چارچوب استانداردهای بین‌المللی حرفه‌ای عمل حسابرسی داخلی (IPPF) و رهنمودهای عملی، مفاهیم حسابرسی مبتنی بر ریسک را ترویج کرده است. راهنمای عملی «تدوین برنامه حسابرسی داخلی مبتنی بر ریسک» از IIA نمونه‌ای از منابعی است که به واحدهای حسابرسی داخلی در تمرکز بر ریسک‌های اولویت‌دار کمک می‌کند.

• مقررات و دستورالعمل‌های صنعت مالی (مانند Basel III): به طور خاص در صنعت بانکداری، کمیته بال برای نظارت بانکی مجموعه‌ای از اصول را برای کنترل‌های داخلی و عملکرد حسابرسی داخلی در حوزه مدیریت ریسک بانکی منتشر کرده است. مثلاً اصل ۱۳ کمیته بال تصریح می‌کند که واحد حسابرسی داخلی بانک باید به طور مستقل اثربخشی سیستم‌های کنترل و مدیریت ریسک را ارزیابی کند. همچنین دستورالعمل «حسابرسی داخلی مبتنی بر ریسک» در برخی کشورها (مانند هند) بانک‌ها را ملزم کرده تا رویکرد حسابرسی خود را کاملاً بر پایه ریسک‌های کلیدی تنظیم کنند. اینگونه مقررات صنعت مالی، مرجع مهمی برای حسابرسان ریسک به شمار می‌آید و باعث می‌شود خروجی کار آن‌ها برای نهادهای ناظر نیز قابل پذیرش و اعتماد باشد.

• کتب و مقالات علمی و حرفه‌ای: ادبیات دانشگاهی نیز در زمینه حسابرسی ریسک مالی در حال گسترش است. مقالاتی در ژورنال‌های حسابداری و مدیریت ریسک منتشر شده که نقش حسابرسی در کاهش ریسک‌های مالی را بررسی کرده‌اند. همچنین کتب آموزشی درباره «مدیریت ریسک مالی و حسابرسی آن» تألیف شده‌اند که می‌توانند برای حسابرسان و مدیران ریسک منبع الهام باشند. استفاده از این منابع کمک می‌کند تا حسابرسی ریسک مالی بر پایه بهترین تجربیات و یافته‌های روز دنیا انجام شود و صرفاً یک چک‌لیست ثابت نباشد.

در پایان، تاکید می‌شود که حسابرسی ریسک مالی یک حوزه پویا و در حال تحول است. ریسک‌های مالی با تغییر محیط کسب‌وکار، فناوری‌ها، مقررات و شرایط اقتصاد کلان، پیوسته تغییر می‌کنند. بنابراین، حسابرسان ریسک مالی باید با بهره‌گیری از منابع معتبر فوق و به‌روزرسانی دانش خود، آمادگی مواجهه با چالش‌های نوظهور را داشته باشند. به تعبیر یکی از منابع معتبر: «چارچوب‌های ISO 31000 و COSO ERM هر دو اصول یکسانی را برای مدیریت ریسک ارائه می‌کنند و سازمان‌ها می‌توانند با به‌کارگیری این اصول، یک رویکرد منسجم و اثربخش برای شناسایی و پاسخ‌گویی به ریسک‌های خود توسعه دهند.» این رویکرد منسجم وقتی با حسابرسی دقیق و مستقل همراه شود، تضمینی برای تاب‌آوری مالی سازمان‌ها در برابر طوفان‌های ریسک خواهد بود.