حسابرسی فناوری اطلاعات

ارزیابی بلوغ ریسک

نخستین مرحله در حسابرسی مبتنی بر ریسک، ارزیابی بلوغ ریسک است.  ارزیابی بلوغ ریسک با اهداف زیر انجام می شود:

  • ارزیابی بلوغ ریسک سازمان
  • گزارش به مدیریت و کمیته حسابرسی در خصوص نتایج ارزیابی ها
  • توافق در خصوص استراتژي حسابرسی

 

برای تحقق اهداف فوق الذکر فعالیت های زیر جهت ارزیابی سطوح بلوغ ریسک در سازمان انجام می شود.

 

1- بحث و تبادل نظر در خصوص فهم از بلوغ ریسک با هیات مدیره و مدیران ارشد

طی این فعالیت، وضعیت سازمان و فهم آن از ریسک مورد ارزیابی قرار می گیرد. فعالیت های صورت گرفته برای ارتقای سطح بلوغ ریسک شناسایی و بررسی می شود. دوره های آموزشی، برنامه های فرهنگ سازی، تکمیل پرسشنامه ها و انجام مصاحبه های مدیریت ریسک برخی از این فعالیت ها می باشند. همچنین درک مدیریت از وضعیت بلوغ ریسک مورد سنجش قرار می گیرد. میزان رضایتمندی مدیریت از وضعیت جاری مدیریت ریسک نشان دهنده بخشی از این درک است. اینکه مدیران سازمان تا چه حد در شناسایی و ارزیابی ریسک مشارکت نموده و در نظارت و پایش آن نقش فعالی بر عهده دارند. مجموعه فعالیت های صورت گرفته در سازمان در خصوص مدیریت ریسک، تعیین کننده یک وضعیت کلی در خصوص بلوغ ریسک سازمان خواهد بود.

 

2- گردآوری مستندات در خصوص سوابق مدیریت ریسک در سازمان

شناسایی و جمع آوری مستندات زیر می تواند در فرآیند ارزیابی بلوغ ریسک در سازمان موثر واقع گردد:

  • اهداف سازمان
  • روش و تکنیک های ارزیابی ریسک ها در سازمان
  • تعریفی از اشتهای ریسک سازمان مورد تایید هیات مدیره شرکت برای ارزیابی و رتبه بندی ریسک های ذاتی و ریسک های باقیمانده
  • فرآیند پیگیری ریسک های شناسایی شده
  • مدیران چگونه ریسک را در تصمیم گیری ها مورد توجه قرار می دهند
  • فرآیند گزارش دهی ریسک و نتایج ارزیابی و پایش آن در سازمان
  • منابع اطلاعات مورد استفاده توسط مدیران برای اطمینان بخشی فرآیند مدیریت ریسک
  • شناسنامه ریسک سازمان
  • ارزیابی فعلی هیات مدیره از سطح بلوغ ریسک در سازمان
  • هر مستندی دیگری که بیان کننده تعهد سازمان به مدیریت ریسک باشد.

 

3- انجام ارزیابی های بلوغ ریسک

استفاده از مستندات و اطلاعات گردآوری شده برای ارزیابی سطح بلوغ ریسک در سازمان. در این مرحله وضعیت بلوغ ریسک در سازمان در قالب یکی از پنج مرحله زیر تعیین می گردد.

  • نا آشنا نسبت به ریسک (Naïve)
  • آگاه نسبت به ریسک (Risk Aware)
  • ریسک را تعریف کرده (Risk Defined)
  • ریسک را مدیریت کرده (Risk Managed)
  • توانمند بواسطه ریسک (Risk Enabled)

 

4- گزارش به مدیریت و کمیته حسابرسی در خصوص نتایج ارزیابی ها

در این مرحله نتایج ارزیابی ها و اطمینان بخشی ها در خصوص فرآیند مدیریت ریسک در اختیار مدیریت ارشد و کمیته حسابرسی قرار می گیرد. نتایج این ارزیابی ها مشخص می کند که آیا فرآیند مدیریت ریسک در سازمان برای کاهش تاثیرات نامطلوب ریسک ها موثر خواهد بود یا خیر. در سازمان هایی که در سطح اولیه از مدیریت ریسک قرار گرفته اند، در خصوص اثربخشی مدیریت ریسک و کنترل های داخلی نمی توان اطمینان بخشی مناسبی را ارائه داد.

 

5- همکاری با مدیریت برای شناسایی اقدامات پیشنهادی آنها با توجه به نتایج ارزیابی ها

مدیریت براساس نتایج حاصله طی ارزیابی، تصمیم هایی را اتخاذ خواهد کرد. حسابرسان داخلی در نقش مشاوره ای خود می توانند به مدیریت ارشد کمک کنند تا اقداماتی را در راستای ارتقای سطح بلوغ ریسک در سازمان تعریف کند.

 

6- تصمیم گیری در خصوص استراتژی حسابرسی

استراتژی حسابرسی براساس نتایج ارزیابی ها تعیین شده و تایید مدیریت نیز در این خصوص دریافت می گردد. استراتژی های حسابرسی، براساس سطح بلوغ سازمان تعیین می گردند. سازمان هایی که در سطح اول یا دوم بلوغ قرار گرفته اند نمی توانند استراتژی ها را به درستی اجرا کنند. با افزایش سطح بلوغ سازمان، امکان بهره برداری بهتر از استراتژی های حسابرسی میسر خواهد شد. با توجه به سطح بلوغ ریسک در سازمان استراتژی های زیر پیشنهاد می شود:

 

   ناآشنا نسبت به ریسک

  • گزارش اینکه فرآیندی رسمی برای مدیریت ریسک وجود ندارد.
  • مشاوره برای بهبود بلوغ فرآیند مدیریت ریسک
  • تهیه برنامه حسابرسی براساس چارچوب های دیگر (به غیز از چارچوب حسابرسی مبتنی بر ریسک)
  • اطمینان بخشی در خصوص کنترل ها

 

  آگاه نسبت به ریسک

  • گزارش در خصوص ضعف فرآیند مدیریت ریسک
  • مشاوره برای بهبود بلوغ فرآیند مدیریت ریسک
  • تهیه برنامه حسابرسی براساس چارچوب های دیگر (به غیز از چارچوب حسابرسی مبتنی بر ریسک)
  • اطمینان بخشی در خصوص کنترل ها

 

  ریسک را تعریف کرده

  • گزارش ضعف های فرآیند مدیریت ریسک
  • مشاوره به مدیریت ریسک
  • اطمینان بخشی در خصوص سیاست ها و رویه های مدیریت ریسک

 

  ریسک را مدیریت کرده

  • برنامه حسابرسی مبتنی بر ریسک
  • مشاوره در خصوص بهبود مدیریت ریسک
  • اطمینان بخشی در خصوص سیاست ها و رویه های مدیریت ریسک

 

  توانمند بواسطه ریسک

  • اطمینان بخشی در خصوص فرآیندهای مدیریت ریسک و اقدامات رویارویی با ریسک
  • برنامه حسابرسی مبتنی بر ریسک
  • مشاوره حسب نیاز

نظر دهید