ریسک‌های قابل توجه برای حسابرسان داخلی در سال ۲۰۱۹

۲. حفاظت از داده‌ها و راهبردهای پس از تصویب قانون مربوط به آن

طی ماه‌های گذشته بحث‌های فشرده‌ای درخصوص «قوانین عمومی حفاظت از داده‌ها (GDPR)» در اتحادیه اروپا مطرح بوده که پس از تصویب آن، جرایم سنگینی برای عدم تطابق عملیات شرکت‌ها با این قوانین درنظر گرفته شده است. در همین راستا، نتایج پیمایش حاضر نشان می‌دهد که ۵۸ درصد مدیران، رعایت قوانین مذکور را جزو پنج اولویت اصلی خود برای سال ۲۰۱۹ تعیین کرده‌اند. تصویب این قانون تاثیرات پر دامنه‌ای داشته است؛ برای نمونه، فیس‌بوک پس از این تغییر، حدود ۲/ ۲ میلیارد کاربر خود را مجبور به بازبینی سیاست‌های حریم خصوصی کرد. در اوایل سال ۲۰۱۸، موضوع همکاری این شرکت با یک شرکت فعال در زمینه تحلیل نتایج انتخابات و ارائه اطلاعات مربوط به ۸۷ میلیون کاربر به آن شرکت از طرف فیس‌بوک به نفع دونالد ترامپ، تنها در ۱۰ روز، باعث افت ۷۰ میلیارد دلاری ارزش سهام فیس‌بوک شد.

بدون شک، رعایت قوانین مربوطه یکی از نگرانی‌های اصلی سازمان‌ها در این حوزه است؛ اما، مطابقت این قوانین با عملیات کسب‌وکارها رویدادی نیست که تنها برای یک بار صورت گیرد و بعد نادیده گرفته شود. در نتیجه، به نظر می‌رسد این موضوع برای مدت‌ها در مرکز توجه باقی مانده و سازمان‌ها را تحت تاثیر قرار دهد. امروزه، نه تنها از منظر مطابقت با قوانین، بلکه جهت حفظ اعتماد مشتریان، شرکت‌ها و سازمان‌ها نیازمند حفاظت بیشتر از حریم خصوصی کاربران/ مشتریان و مدیریت بهتر داده‌ها هستند. رویترز گزارش داد که پس از ماجرای رسوایی فیس‌بوک، کمتر از ۵۰‌درصد آمریکایی‌ها به رعایت قوانین این کشور درخصوص به اشتراک‌گذاری داده‌های شخصی توسط فیس‌بوک باور دارند. در نهایت، رعایت قوانین نباید تنها نگرانی سازمان‌ها باشد؛ بلکه سلب اعتماد مشتریان اصلی‌ترین ریسک در حوزه حفاظت از داده‌ها خواهد بود. مدیر یک شرکت ارتباطات و مخابرات سوئدی معتقد است که این قانون برای مدت طولانی در برنامه کاری حسابرسان قرار خواهد داشت. وی باور دارد که این قانون تمامی کسب‌وکارها را تحت تاثیر قرار داده و الزامات بیشتری درخصوص حفاظت و مدیریت بهتر داده‌ها نه تنها از جنبه قانون‌گذاری، بلکه از منظر افزایش اعتماد مشتریان فراهم می‌کند.  از دیدگاه حسابرسی داخلی، برای آن گروه از سازمان‌هایی که تا‌کنون اقدامات قابل توجهی جهت هم راستایی با این قوانین نکرده‌اند نیز زمان رعایت قوانین فرا رسیده است؛ این امر به خصوص برای شرکت‌هایی اهمیت دارد که درآمدها آنها بر محور داده‌ها و استفاده‌های مختلف از آن می‌چرخد. حسابرسان داخلی باید از ایجاد راهبرد مناسب برای راهبری استانداردهای مرتبط اطمینان حاصل کرده و بر مدیریت صحیح داده ها، استفاده درست از آنها و هم‌راستایی عملیات جاری و راهبرد تعیین شده سازمان، نظارت کافی داشته باشند.

۳- دیجیتالی‌سازی، خودکارسازی، و حسابرسی داخلی: ریسک‌های سازگاری با فناوری

صرف هزینه و تلاش برای افزایش کارآیی مزایایِ «خودکارسازی (اتوماسیون)» یا «دیجیتال‌سازی» فرآیندها، به شرط دستیابی کامل به ظرفیت‌های بالقوه آن، می‌تواند منجر به تغییرات بااهمیتی در نتایج حاصل از فعالیت کسب وکارها شود؛ اما هم زمان، سازمان‌ها باید ریسک‌های چنین تغییراتی را مدنظر قرار دهند. ۳۶‌درصد از مدیران حسابرسی داخلی شرکت‌کننده در این پیمایش بر این باورند که ریسک چنین اقداماتی، جزو پنج حوزه ریسک اول مترتب بر سازمان آنها خواهد بود. سرعت نو آوری و حفظ توان رقابت با سایر کسب‌وکارها، به خصوص در صنایعی که با مشتریان و مصرف‌کنندگان نهایی ارتباط مستقیمی دارند، همواره یکی از نگرانی‌های مدیران سازمان‌ها بوده است. اما، منظور از دیجیتال‌سازی به واقع چیست؟

دیجیتال‌سازی مفهومی گسترده بوده و دربرگیرنده همه فرآیندهای پیاده‌سازی سیستم‌های «برنامه‌ریزی منابع سازمان (ERP)»، «مدیریت ارتباط با مشتری (CRM)»، و سایر سیستم‌های نرم افزاری مانند SAP، جهت تمرکز و یکپارچه‌سازی داده‌ها و فرآیندها به واسطه فناوری‌های خودکار و یکپارچه است. اهمیت پیاده‌سازی و سازگاری با چنین سازوکارهایی به حدی است که به کارگیری آنها، خروجی اقتصاد بریتانیا را از محل افزایش بهره‌وری، به‌صورت تخمینی، سالانه ۱۰۰ میلیارد پوند افزایش خواهد داد. از سویی دیگر، «خودکارسازی»، «صنعتی‌سازی»، «هوش مصنوعی»، و سایر فناوری‌های نوین می‌توانند عدم اطمینان قابل‌توجهی برای سازمان‌ها ایجاد کنند. برای نمونه، اگر قرار به انجام کارها توسط روبات‌ها باشد، رفتار کارکنان سازمان به سرعت تغییر خواهد کرد. به علاوه، مولفه‌های ریسک بااهمیت دیگری نیز سازمان‌ها را تهدید می‌کنند. برای مثال، ایجاد اختلال یا وجود خطا در الگوریتم نرم‌افزارهای محاسبه خودکار سیستم‌های وام‌دهی بانک‌ها می‌تواند منجر به تحمیل هزینه‌های سنگین به استفاده‌کنندگان شود. یکی از مدیران حسابرسی داخلی شاغل در صنعت خدمات مالی بریتانیا در مصاحبه خود عنوان کرده است: «ما در پاسخ به تغییرات فناوری و نوآوری بسیار چابک عمل می‌کنیم. شرکت ما در حال سازگاری با فناوری‌های هوش مصنوعی، روبوتیک و تجزیه تحلیل‌های مبتنی بر داده‌های عظیم است؛ اما ریسک‌های مرتبط با این فناوری‌ها به خوبی در سازمان درک نشده و مورد توجه قرار نگرفته است.»

حسابرسان داخلی باور دارند که مدیریت ارشد و هیات مدیره باید به‌طور کامل درخصوص ریسک‌های سازگاری با فناوری‌های جدید آگاهی یابند.

طرفداران این فرآیند در سازمان‌ها مزایای قابل توجه چنین برنامه‌هایی را بدون توجه و طرح مشکلات بالقوه تبلیغ می‌کنند؛ در حالی که لایه دوم دفاعی سازمان باید اقدام به شناسایی، ارزیابی و اطلاع‌رسانی چنین ریسک‌هایی (مانند عدم ارائه گزارش‌های تفصیلی تجزیه و تحلیل هزینه- منفعت، سوگیری‌های انسانی، خطاهای الگوریتم‌ها، و عدم انجام آزمون‌های کافی) به مدیر ارشد سازمان کند، حسابرسی داخلی باید در جست‌و‌جوی شواهدی مبتنی بر «شناسایی صحیح ریسک‌های احتمالی»، «وجود برنامه‌های مشخص برای مدیریت آنها» و «برجسته‌سازی هرگونه نقاط ضعف بااهمیت» در انطباق با چارچوب مدیریت ریسک سازمان باشد.

۴- توسعه پایدار: محیط زیست و اخلاق اجتماعی

انتظار رعایت مسوولیت‌های اجتماعی و زیست‌محیطی توسط سازمان‌ها به‌صورت فزاینده‌ای از سوی نهادهای قانون‌گذار و عموم مردم در حال افزایش است.

این موضوع، باعث ایجاد چالش‌هایی در گزارشگری (با توجه به الزامات) توسعه پایدار شده و تصمیمات راهبردی سازمان‌ها برای دستیابی به اهداف توسعه‌ای و رشد آتی‌شان را نیز تحت تاثیر قرار داده است. بر مبنای نتایج تحقیق حاضر، ۲۷ درصد پاسخ‌دهندگان، مسائل توسعه پایدار را در مجموعه حوزه‌های پرریسک خود قرار داده و ۸ درصد نیز آن را در قالب پنج ریسک اول سازمان خود در نظر گرفته‌اند. «رهنمود گزارشگری غیرمالی اتحادیه اروپا» که از سال ۲۰۱۷ اجرایی شده است، شرکت‌های سهامی عام و بانک‌های دارای بیش از ۵۰۰ کارمند را ملزم به ارائه گزارش‌هایی درخصوص پیاده‌سازی راهبردهای مختلف، ریسک‌های مترتب بر آنها و نتایج عملیاتی حاصل از اقدامات خود کرده است. این گزارش‌ها باید دربرگیرنده اطلاعاتی موثر درخصوص سیاست‌های شرکت‌ها و سازمان‌ها با موضوعاتِ «حفاظت از محیط زیست»، «مسوولیت اجتماعی و رفتار با کارکنان»، «احترام به حقوق بشر»، «مبارزه با پولشویی و رشوه‌خواری» و «حفظ تنوع‌ جنسیتی و نژادی در هیات مدیره» باشند. افزایش تقاضا برای مسوولیت‌پذیری اجتماعی بیشتر و حفاظت از حقوق بشر توسط شرکت‌ها، چالش‌هایی را برای آنها ایجاد کرده است.  گزارش‌های غیرمالی اجباری باید به‌صورت سالانه منتشر شده و دربرگیرنده اقداماتی جهت شناسایی ریسک‌های ناظر بر رعایت حقوق بشر در عملیات سازمان و نحوه مدیریت آنها باشد.

مدیر حسابرسی داخلی یکی از شرکت‌های خرده‌فروشی در ایتالیا در این خصوص بیان داشته است «بحث‌های مهمی پیرامون نقش جدید حسابرسی داخلی در توسعه پایدار وجود دارد. در حال حاضر، گزارش‌های غیرمالی برای شرکت‌های سهامی عام اجباری شده است، در نتیجه آن، باید پرسید نقش جدید حسابرسان داخلی چه می‌تواند باشد؟ گفت‌وگوهای زیادی درخصوص این موارد میان اعضای حرفه در جریان است.» سازمان‌ها اکنون باید اقدامات خود درخصوص شناسایی و کاهش ریسک‌های مرتبط با توسعه پایدار را گزارش کرده و از رهنمودهای استانداردهای گزارشگری توسعه پایدار بین‌المللی جهت دستیابی به این هدف بهره گیرند. حسابرسی داخلی می‌تواند سازمان را در کسب اطمینان از رعایت مستمر چنین الزاماتی یاری کرده و در صورت نیاز، مدارک و مستندات مرتبط با ادعا‌های مندرج در گزارش‌های غیرمالی را از منظر «صحت»، «کفایت»، «به روز بودن» و «کارکرد عملیاتی» بررسی کند. به‌عنوان اقدامی عمیق‌تر، حسابرسان داخلی می‌توانند گزارش‌های توسعه پایدار در صنایع مشابه با فعالیت‌های شرکت را جهت شناسایی بهترین رویه‌های گزارشگری مورد بررسی و بهینه کاوی قرار دهند.

۵- قوانین ضد‌رشوه و مبارزه با فساد

ریسک فساد و پرداخت/ دریافت رشوه از مدت‌ها پیش با کسب وکارها همراه بوده است. با این حال، اصلاحات قانون‌گذاری در سطح دولت‌ها و ایجاد نهادهای بین‌المللی، در کنار تعیین جرائم قابل توجه برای متخلفان، اهمیت این موضوع را برای شرکت‌ها افزایش داده و به یکی از نگرانی‌های آنها تبدیل شده است. در حدود ۲۰ درصد از شرکت‌کنندگان در مرحله مصاحبه این تحقیق اذعان داشته‌اند که در برنامه حسابرسی سالانه خود، زمان مشخصی را برای رهگیری ریسک فساد و رشوه‌خواری اختصاص داده‌اند. در کنار تحولات این حوزه در سطوح بین‌المللی، نهادهای داخلی کشورها و آژانس‌های بین‌المللی از مجرای به اشتراک‌گذاری اطلاعات، به سوی همکاری و تعامل بیشتر برای تعیین مجازات متخلفان پیش می‌روند.

سازمان‌ها باید برای حفاظت از خود در برابر ریسک جرائم قابل توجه، برنامه‌های ضد‌فساد و ضد‌رشوه را از طریق بهبود ارزش‌های اخلاقی و تعهد به مبارزه با رشوه‌خواری تدوین و اجرایی ساخته و به روشنی این موضوع را تصریح کنند که پرداخت/ دریافت رشوه به‌صورت مستقیم یا غیرمستقیم را بر نمی‌تابند. همراه با این تلاش‌ها، قوانین و رهنمودهای موجود در کشورها باید به درستی در سازمان‌ها به کارگرفته شده و رعایت شوند. «سازمان بین‌المللی استانداردسازی (ISO)» در سال ۲۰۱۶ برای اولین بار استاندارد ISO-۳۷۰۰۱ را با عنوان «سیستم مدیریت ضد رشوه» منتشر و مجموعه اقداماتی را که سازمان‌ها با بهره‌گیری از آن قادر به پیشگیری یا کشف پرداخت/ دریافت شوه خواهند بود، معرفی کرد. از طرفی، حسابرسی داخلی نقش حیاتی در ارزیابی اعتبار فعالیت‌های ضد رشوه سازمان در راستای پوشش ریسک این حوزه دارد.

درک میزان برآورد مدیران ارشد و هیات مدیره سازمان از ریسک قابل تحمل در همبستگی با احتمال وقوع اقدامات غیرقانونی بسیار بااهمیت است. تمامی بخش‌هایی (مانند صنایع نفت و گاز، زیرساخت‌و ساخت‌وساز، معدن و استخراج) که قراردادهایی قابل توجه با دولت منعقد می‌کنند، به‌عنوان حوزه‌هایی با ریسک ذاتی و احتمال بالای وقوع فساد و پرداخت/  دریافت رشوه طبقه‌بندی می‌شوند. حسابرسی داخلی باید برنامه و طرح کلی سازمان جهت مبارزه با فساد و پرداخت/ دریافت رشوه را از منظر «کامل بودن»، مورد بررسی قرار دهد. چنین برنامه‌ای باید دربرگیرنده «ارزش‌های سازمان»، «بیانیه عدم تحمل هرگونه اقدام خلاف قانون»، «آیین اخلاق حرفه‌ای برای مشتریان و کارکنان»، «سازوکار ارزیابی ریسک» و «رویه‌ها/  سیاست‌های مشخصی جهت فراهم‌سازی امکان افشای مخفیانه تخلفات» باشد. به علاوه، فرآیند ارزیابی ریسک باید دربرگیرنده بررسی ریسک «کشور»، «بخش اقتصادی»، «مبادلات» و «شرکای تجاری» باشد. هرگونه فاصله و عدم هم راستایی شناسایی شده میان برنامه سازمان با مجموعه قوانین و مقررات باید به هیات مدیره گزارش شود.

قسمت دوم این یادداشت در روز چهارشنبه ۲۳ آبان‌ماه در صفحه ۹ روزنامه چاپ شده است.