حسابرسی داخلی شرکت‌ها چگونه انجام می‌شود؟ راهنمای جامع برای ارتقای حاکمیت شرکتی و مدیریت ریسک

مفاهیم پایه حسابرسی داخلی

برای درک چگونگی انجام حسابرسی داخلی، ابتدا باید با مفاهیم اساسی آن آشنا شویم.

1. تعریف حسابرسی داخلی

حسابرسی داخلی یک فعالیت مستقل و عینی اطمینان‌بخش و مشاوره‌ای است که برای افزودن ارزش و بهبود عملیات یک سازمان طراحی شده است. این فعالیت به سازمان کمک می‌کند تا با اتخاذ رویکردی سیستماتیک و منظم برای ارزیابی و بهبود اثربخشی فرآیندهای مدیریت ریسک، کنترل و حاکمیت شرکتی، به اهداف خود دست یابد.

به عبارت ساده‌تر، حسابرسان داخلی چشمان و گوش‌های هیئت مدیره و مدیریت ارشد هستند که به طور مستقل بررسی می‌کنند آیا شرکت به درستی عمل می‌کند، آیا ریسک‌ها به خوبی مدیریت می‌شوند و آیا اهداف در حال دستیابی هستند.

2. اهداف حسابرسی داخلی

اهداف اصلی حسابرسی داخلی عبارتند از:

• ارزیابی کنترل‌های داخلی: بررسی و ارزیابی اثربخشی و کارایی سیستم‌های کنترل داخلی سازمان برای اطمینان از صحت و قابلیت اطمینان اطلاعات مالی و عملیاتی.
• مدیریت ریسک: کمک به سازمان در شناسایی، ارزیابی، و مدیریت ریسک‌های کلیدی (مالی، عملیاتی، استراتژیک، اعتباری، بازار، فناوری اطلاعات و…).
• حاکمیت شرکتی: ارزیابی و بهبود فرآیندهای حاکمیت شرکتی، از جمله اخلاق، مسئولیت‌پذیری، و شفافیت.
• بهبود عملیات: شناسایی فرصت‌هایی برای بهبود کارایی و اثربخشی عملیات، کاهش هزینه‌ها، و افزایش بهره‌وری.
• رعایت قوانین و مقررات: اطمینان از رعایت قوانین، مقررات، سیاست‌ها و رویه‌های داخلی و خارجی.
• حفاظت از دارایی‌ها: بررسی سیستم‌ها و فرآیندها برای حفاظت از دارایی‌های سازمان در برابر سوءاستفاده، تقلب و اتلاف.
• کشف و پیشگیری از تقلب: شناسایی نشانه‌های تقلب و کمک به طراحی کنترل‌هایی برای پیشگیری از آن.

3. تفاوت حسابرسی داخلی و خارجی

اگرچه هر دو نوع حسابرسی به اعتبار و صحت اطلاعات مالی می‌پردازند، اما تفاوت‌های کلیدی دارند:

4. اصول اخلاقی حسابرسی داخلی

حسابرسان داخلی باید به چهار اصل اخلاقی کلیدی پایبند باشند:

• صداقت (Integrity): انجام کار با صداقت، مسئولیت‌پذیری و رعایت استانداردهای حرفه‌ای.
• عینیت (Objectivity): ارائه ارزیابی‌های بی‌طرفانه و عدم اجازه دادن به سوگیری یا نفوذ دیگران.
• رازداری (Confidentiality): حفاظت از اطلاعات به دست آمده در طول حسابرسی و عدم افشای آن‌ها.
• صلاحیت (Competency): انجام خدمات حسابرسی داخلی که حسابرسان دارای دانش، مهارت و تجربه لازم برای آن هستند.

ساختار و جایگاه حسابرسی داخلی در سازمان

برای اینکه حسابرسی داخلی مؤثر باشد، باید از جایگاه سازمانی مناسب، استقلال کافی و حمایت مدیریت ارشد برخوردار باشد.

1. موقعیت سازمانی و گزارش‌دهی

• گزارش‌دهی به هیئت مدیره/کمیته حسابرسی: برای حفظ استقلال و عینیت، واحد حسابرسی داخلی باید مستقیماً به هیئت مدیره یا کمیته حسابرسی (و نه به مدیر عامل یا مدیر مالی) گزارش دهد. این ساختار اطمینان می‌دهد که حسابرسان داخلی تحت فشار مدیریت عملیاتی قرار نمی‌گیرند.
• گزارش‌دهی اداری به مدیر عامل/مالی: در برخی سازمان‌ها، رئیس حسابرسی داخلی ممکن است برای مسائل اداری (مانند بودجه، پرسنل) به مدیر عامل یا مدیر مالی گزارش دهد، اما گزارش‌های عملکردی و یافته‌های حسابرسی باید مستقیماً به هیئت مدیره یا کمیته حسابرسی ارائه شوند.

2. استقلال و بی‌طرفی

• استقلال سازمانی: حسابرسی داخلی باید از فعالیت‌هایی که مورد حسابرسی قرار می‌گیرند، مستقل باشد. این بدان معناست که حسابرسان داخلی نباید مسئولیت‌های عملیاتی داشته باشند یا در طراحی و اجرای کنترل‌هایی که بعداً خودشان ارزیابی می‌کنند، دخیل باشند.
• بی‌طرفی فردی: حسابرسان داخلی باید در انجام وظایف خود بی‌طرف و بدون سوگیری باشند. آن‌ها نباید در موقعیت‌هایی قرار گیرند که منافع شخصی یا روابط آن‌ها با مدیریت، بر قضاوت حرفه‌ای‌شان تأثیر بگذارد.

3. کمیته حسابرسی

• نقش حیاتی: کمیته حسابرسی، که معمولاً متشکل از اعضای مستقل هیئت مدیره است، نقش نظارتی کلیدی بر فعالیت‌های حسابرسی داخلی دارد.
• مسئولیت‌ها:

• تصویب منشور حسابرسی داخلی.
• تأیید برنامه حسابرسی داخلی.
• بررسی گزارش‌های حسابرسی داخلی و اطمینان از اجرای توصیه‌ها.
• نظارت بر عملکرد رئیس حسابرسی داخلی.
• اطمینان از استقلال و منابع کافی برای واحد حسابرسی داخلی.

4. منشور حسابرسی داخلی

• سند رسمی: منشور حسابرسی داخلی یک سند رسمی است که توسط هیئت مدیره یا کمیته حسابرسی تصویب می‌شود و هدف، اختیارات، و مسئولیت‌های واحد حسابرسی داخلی را مشخص می‌کند.
• محتوا: این منشور شامل مواردی مانند:

• جایگاه سازمانی حسابرسی داخلی.
• اختیارات دسترسی به سوابق، پرسنل و دارایی‌ها.
• مسئولیت‌های اصلی حسابرسی داخلی.
• استانداردهای حرفه‌ای که حسابرسان داخلی باید از آن‌ها پیروی کنند.

• اهمیت: منشور حسابرسی داخلی، چهارچوب قانونی و عملیاتی برای فعالیت‌های حسابرسی داخلی را فراهم می‌کند و استقلال آن را تضمین می‌نماید.

فرآیند گام به گام انجام حسابرسی داخلی

انجام یک حسابرسی داخلی مؤثر، شامل یک فرآیند سیستماتیک و چند مرحله‌ای است.

گام 1: برنامه‌ریزی حسابرسی

این مرحله، پایه و اساس موفقیت هر حسابرسی است.

• تعیین اهداف و دامنه حسابرسی (Defining Objectives and Scope):

• هدف: مشخص کردن اینکه حسابرسی به دنبال چه چیزی است (مثلاً ارزیابی کنترل‌های داخلی در فرآیند خرید، بررسی رعایت مقررات مالیاتی).
• دامنه: تعیین مرزهای حسابرسی (مثلاً کدام بخش‌ها، کدام فرآیندها، کدام دوره زمانی مورد بررسی قرار می‌گیرند).
• این اهداف و دامنه باید با نیازهای مدیریت و هیئت مدیره همخوانی داشته باشند.

• شناسایی و ارزیابی ریسک‌ها (Risk Identification and Assessment):

• حسابرسان داخلی با همکاری مدیریت، ریسک‌های کلیدی مرتبط با اهداف حسابرسی را شناسایی و ارزیابی می‌کنند. این ریسک‌ها می‌توانند شامل ریسک‌های عملیاتی، مالی، فناوری اطلاعات، رعایت، و تقلب باشند.
• تمرکز حسابرسی بر حوزه‌هایی با ریسک بالاتر، کارایی حسابرسی را افزایش می‌دهد (رویکرد مبتنی بر ریسک).

• تهیه برنامه حسابرسی (Developing the Audit Program):

• یک برنامه حسابرسی تفصیلی شامل گام‌های اجرایی، روش‌های جمع‌آوری شواهد، ابزارهای مورد استفاده، و زمان‌بندی برای هر مرحله از حسابرسی تهیه می‌شود.
• این برنامه به عنوان یک راهنما برای تیم حسابرسی عمل می‌کند.

• تخصیص منابع (Resource Allocation):

• تعیین تعداد حسابرسان مورد نیاز، مهارت‌های لازم، و بودجه زمانی برای انجام حسابرسی.
• اطمینان از اینکه تیم حسابرسی دارای صلاحیت‌های لازم برای انجام حسابرسی در دامنه مشخص شده است.

• جلسه افتتاحیه (Opening Meeting):

• برگزاری جلسه‌ای با مدیریت بخش مورد حسابرسی برای معرفی تیم حسابرسی، توضیح اهداف و دامنه حسابرسی، و ایجاد یک فضای همکاری.

گام 2: اجرای حسابرسی

در این مرحله، تیم حسابرسی به جمع‌آوری و تحلیل شواهد می‌پردازد.

• جمع‌آوری شواهد (Evidence Collection):

• حسابرسان شواهد کافی، مرتبط و قابل اعتماد را برای پشتیبانی از یافته‌ها و نتایج خود جمع‌آوری می‌کنند.
• انواع شواهد: اسناد و مدارک (فاکتورها، قراردادها، گزارش‌ها)، سوابق الکترونیکی، مشاهدات فیزیکی، مصاحبه با کارکنان، تأییدیه‌ها از اشخاص ثالث.

• تکنیک‌های حسابرسی (Audit Techniques):

• بررسی اسناد و مدارک (Document Review): بررسی صحت و کامل بودن سوابق مالی و عملیاتی.
• مصاحبه (Interviews): صحبت با کارکنان و مدیران برای درک فرآیندها، کنترل‌ها و چالش‌ها.
• مشاهده (Observation): مشاهده مستقیم فرآیندهای عملیاتی (مثلاً نحوه انجام انبارگردانی).
• بازاجرا (Re-performance): انجام مجدد یک فرآیند یا محاسبه توسط حسابرس برای تأیید صحت آن.
• روش‌های تحلیلی (Analytical Procedures): تحلیل روابط بین داده‌های مالی و غیرمالی برای شناسایی ناهنجاری‌ها یا روندهای غیرعادی.
• نمونه‌گیری (Sampling): انتخاب نمونه‌ای نماینده از تراکنش‌ها یا اسناد برای بررسی.

• بررسی کنترل‌های داخلی (Reviewing Internal Controls):

• ارزیابی طراحی و اثربخشی کنترل‌های داخلی موجود در فرآیندهای مورد حسابرسی.
• آیا کنترل‌ها به درستی طراحی شده‌اند؟ آیا به طور مؤثر عمل می‌کنند؟

• مستندسازی (Documentation – Working Papers):

• تمام شواهد جمع‌آوری شده، تحلیل‌ها، و نتایج حسابرسی باید به دقت در اوراق کار (Working Papers) مستند شوند.
• اوراق کار باید به اندازه‌ای کامل باشند که یک حسابرس دیگر بتواند کار انجام شده را درک و تأیید کند.

گام 3: گزارش‌دهی حسابرسی

این مرحله شامل برقراری ارتباط با یافته‌ها و توصیه‌ها به مدیریت و هیئت مدیره است.

• تهیه پیش‌نویس گزارش (Draft Report Preparation):

• حسابرسان داخلی یک پیش‌نویس از گزارش حسابرسی تهیه می‌کنند که شامل یافته‌ها (مشکلات، نقاط ضعف)، تأثیرات آن‌ها، و توصیه‌های عملی برای بهبود است.
• یافته‌ها باید با شواهد کافی پشتیبانی شوند.

• بحث با مدیریت (Discussion with Management):

• پیش‌نویس گزارش با مدیریت بخش مورد حسابرسی به اشتراک گذاشته می‌شود تا نظرات آن‌ها دریافت شود و هرگونه سوءتفاهم برطرف گردد.
• مدیریت فرصت می‌یابد تا در مورد یافته‌ها توضیح دهد و برنامه عملی خود را برای اجرای توصیه‌ها ارائه دهد.

• گزارش نهایی حسابرسی (Final Audit Report):

• گزارش نهایی شامل:

• مقدمه: هدف و دامنه حسابرسی.
• یافته‌ها (Findings): مشکلات یا نقاط ضعف شناسایی شده (شامل وضعیت موجود، معیارهای مورد انتظار، تأثیر، و علت).
• توصیه‌ها (Recommendations): اقدامات عملی و مشخص برای رفع یافته‌ها و بهبود فرآیندها.
• پاسخ مدیریت (Management Response): برنامه عملی مدیریت برای اجرای توصیه‌ها، شامل مسئولیت‌ها و زمان‌بندی.
• نتیجه‌گیری کلی: ارزیابی کلی از وضعیت کنترل‌ها و ریسک‌ها در حوزه مورد حسابرسی.

• این گزارش به هیئت مدیره و کمیته حسابرسی ارائه می‌شود.

گام 4: پیگیری و نظارت

کار حسابرس داخلی با ارائه گزارش نهایی به پایان نمی‌رسد.

• اطمینان از اجرای توصیه‌ها (Ensuring Implementation of Recommendations):

• حسابرسان داخلی به طور منظم وضعیت اجرای توصیه‌های ارائه شده در گزارش‌های قبلی را پیگیری می‌کنند.
• آن‌ها با مدیریت همکاری می‌کنند تا اطمینان حاصل شود که اقدامات اصلاحی به درستی و در زمان مقرر انجام شده‌اند.

• گزارش‌دهی وضعیت پیگیری (Reporting Follow-up Status):

• نتایج پیگیری به هیئت مدیره و کمیته حسابرسی گزارش می‌شود. این گزارش‌ها نشان می‌دهند که کدام توصیه‌ها اجرا شده‌اند، کدام در حال اجرا هستند و کدام هنوز اجرا نشده‌اند.

• اهمیت: این مرحله اطمینان می‌دهد که یافته‌های حسابرسی به بهبودهای واقعی در سازمان منجر می‌شوند و ارزش حسابرسی داخلی را به حداکثر می‌رساند.

انواع حسابرسی داخلی

حسابرسی داخلی می‌تواند در حوزه‌های مختلفی انجام شود و بر اساس هدف، به انواع گوناگونی تقسیم می‌شود:

1. حسابرسی عملیاتی

• هدف: ارزیابی کارایی و اثربخشی فرآیندهای عملیاتی یک سازمان.
• مثال: بررسی فرآیند خرید، فرآیند تولید، فرآیند فروش، یا فرآیند خدمات مشتری برای شناسایی نقاط ضعف، کاهش هزینه‌ها و بهبود بهره‌وری.
• تمرکز: بر روی “چگونه” کارها انجام می‌شوند و “آیا” می‌توان آن‌ها را بهتر انجام داد.

2. حسابرسی مالی

• هدف: ارزیابی صحت و قابلیت اطمینان سوابق و گزارش‌های مالی.
• مثال: بررسی صحت ثبت تراکنش‌ها، تهیه صورت‌های مالی، رعایت استانداردهای حسابداری، و کنترل‌های مربوط به فرآیندهای مالی (مانند دریافت‌ها و پرداخت‌ها).
• تمرکز: بر روی یکپارچگی و صحت اطلاعات مالی. (تفاوت با حسابرسی خارجی در هدف و مخاطب است).

3. حسابرسی رعایت

• هدف: اطمینان از رعایت قوانین، مقررات، سیاست‌ها و رویه‌های داخلی و خارجی.
• مثال: بررسی رعایت قوانین مالیاتی، مقررات سازمان تامین اجتماعی، قوانین کار، مقررات زیست‌محیطی، یا سیاست‌های داخلی شرکت (مانند سیاست‌های مربوط به هزینه‌های سفر). که البته در این مورد می توان از یک مشاور رسمی مالیاتی نیز بهره برد.
• تمرکز: بر روی “آیا” سازمان از قوانین و مقررات پیروی می‌کند.

4. حسابرسی فناوری اطلاعات

• هدف: ارزیابی کنترل‌ها و ریسک‌های مرتبط با سیستم‌های اطلاعاتی و فناوری.
• مثال: بررسی امنیت شبکه، کنترل‌های دسترسی به داده‌ها، طرح‌های بازیابی فاجعه (Disaster Recovery Plans)، و کنترل‌های مربوط به توسعه و نگهداری نرم‌افزار.
• تمرکز: بر روی امنیت، قابلیت اطمینان، و کارایی سیستم‌های IT.

5. حسابرسی عملکرد

• هدف: ارزیابی کارایی، اثربخشی و صرفه اقتصادی برنامه‌ها، فعالیت‌ها یا بخش‌های سازمان.
• مثال: بررسی اینکه آیا یک برنامه خاص (مثلاً برنامه آموزش کارکنان) به اهداف خود دست یافته است و آیا منابع به صورت کارآمد استفاده شده‌اند.
• تمرکز: بر روی نتایج و دستاوردها.

6. حسابرسی تقلب

• هدف: شناسایی، بررسی و پیشگیری از تقلب و سوءاستفاده.
• مثال: بررسی تراکنش‌های مشکوک، تحلیل الگوهای غیرعادی، و مصاحبه با افراد برای کشف تقلب.
• تمرکز: بر روی کشف و جلوگیری از اقدامات غیرقانونی.

چالش‌ها و روندهای آینده در حسابرسی داخلی

حسابرسی داخلی نیز مانند سایر حوزه‌ها، با چالش‌ها و روندهای جدیدی روبرو است که باید خود را با آن‌ها تطبیق دهد.

1. چالش‌ها (Challenges)

• حجم بالای داده‌ها (Big Data): مدیریت و تحلیل حجم عظیم داده‌ها برای شناسایی الگوها و ریسک‌ها.
• ریسک‌های امنیت سایبری (Cybersecurity Risks): افزایش تهدیدات سایبری، نیاز به تخصص بیشتر در حسابرسی امنیت اطلاعات.
• تغییرات سریع قوانین و مقررات (Rapid Regulatory Changes): نیاز به به‌روزرسانی مداوم دانش و فرآیندها.
• کمبود استعداد (Talent Gap): یافتن و حفظ حسابرسان داخلی با مهارت‌های تحلیلی، فناوری و ارتباطی مورد نیاز.
• فشار برای کاهش هزینه‌ها: نیاز به انجام حسابرسی‌های مؤثرتر با منابع کمتر.

2. روندهای آینده (Future Trends)

• تحلیل داده‌ها و هوش مصنوعی (Data Analytics and AI/Automation):

• استفاده گسترده‌تر از ابزارهای تحلیل داده برای شناسایی ریسک‌ها، کشف تقلب، و بهبود کارایی حسابرسی.
• به‌کارگیری هوش مصنوعی و اتوماسیون برای انجام وظایف تکراری و افزایش دقت.

• حسابرسی مستمر (Continuous Auditing):

• انجام حسابرسی‌ها به صورت مستمر و در زمان واقعی، به جای دوره‌ای، برای شناسایی زودهنگام مشکلات.

• تمرکز بر امنیت سایبری و حریم خصوصی (Increased Focus on Cybersecurity and Privacy):

• حسابرسان داخلی نقش پررنگ‌تری در ارزیابی کنترل‌های امنیت سایبری و رعایت قوانین حریم خصوصی ایفا خواهند کرد.

• حسابرسی ESG (Environmental, Social, and Governance):

• افزایش تمرکز بر ارزیابی عملکرد سازمان در حوزه‌های زیست‌محیطی، اجتماعی و حاکمیتی.

• مشاوره استراتژیک (Strategic Advisory Role):

• حسابرسی داخلی بیش از پیش به یک مشاور استراتژیک برای هیئت مدیره و مدیریت تبدیل خواهد شد و در تصمیم‌گیری‌های کلیدی نقش خواهد داشت.

• توسعه مهارت‌ها (Skill Development):

• نیاز به توسعه مستمر مهارت‌های حسابرسان داخلی در حوزه‌های فناوری، تحلیل داده، و مهارت‌های نرم.

حسابرسی داخلی، ضامن سلامت و پایداری سازمان

حسابرسی داخلی، یک ستون فقرات حیاتی برای هر سازمان مدرن است. این فرآیند، با ارزیابی مستقل و عینی سیستم‌های کنترل داخلی، مدیریت ریسک، و فرآیندهای حاکمیتی، به هیئت مدیره و مدیریت ارشد اطمینان می‌دهد که شرکت به درستی عمل می‌کند و در مسیر دستیابی به اهداف استراتژیک خود قرار دارد.

از برنامه‌ریزی دقیق و شناسایی ریسک‌ها گرفته تا جمع‌آوری شواهد، گزارش‌دهی یافته‌ها و پیگیری اجرای توصیه‌ها، هر گام در فرآیند حسابرسی داخلی برای افزایش ارزش و بهبود عملیات سازمان ضروری است. در دنیای امروز که ریسک‌ها پیچیده‌تر و سرعت تغییرات بالاتر است، نقش حسابرسی داخلی بیش از هر زمان دیگری حیاتی شده است.

با سرمایه‌گذاری در یک واحد حسابرسی داخلی قوی و توانمند، و اطمینان از استقلال و صلاحیت آن، شرکت‌ها می‌توانند نه تنها از رعایت قوانین و مقررات اطمینان حاصل کنند، بلکه از دارایی‌های خود محافظت کرده، کارایی عملیاتی را بهبود بخشند، و مسیر را برای رشد پایدار و موفقیت بلندمدت هموار سازند. حسابرسی داخلی، در واقع، یک سرمایه‌گذاری در آینده و سلامت سازمان شماست. و مشاوره با یک وکیل مالیاتی در چالش ها نجات بخش اتهامات مالیاتی است.