ورودی فرآیند تهیه برنامه حسابرسی مبتنی بر ریسک، شناسنامه ریسک است. در شناسنامه ریسک سازمان، ریسک ها با استفاده از تکنیک های متداول مدیریت ریسک، شناسایی می شوند. ریسک های شناسایی شده به عنوان مبنایی برای برنامه ریزی فعالیت های حسابرسی مبتنی بر ریسک مورد استفاده قرار می گیرند. براین اساس برای تهیه برنامه حسابرسی مبتنی بر ریسک باید اقدامات زیر صورت گیرد.
شناسایی واکنش های مدیریت ریسک که باید در محدوده حسابرسی قرار گیرد.
در تدوین برنامه حسابرسی مبتنی بر ریسک، پس از اینکه ریسک ها شناسایی شدند، به ازای هر ریسک براساس اشتهای ریسک سازمان، واکنش یا واکنش هایی تعریف می شود. به صورت کلی واکنش های چهارگانه زیر در خصوص ریسک های شناسایی شده قابل تعریف و اتخاذ هستند:
- اجتناب از ریسک: در برخی موارد فعالیت هایی که می توانند ریسک یا ریسک هایی برای سازمان به همراه داشته باشند فراتر از سطح ریسک پذیری سازمان بوده و امکان اعمال کنترل های مناسب برای رویارویی با آنها نیز وجود ندارد، در این صورت ممکن است سازمان از فعالیت مربوطه اجتناب کرده تا با ریسک مو اجه نشود.
- انتقال ریسک: ممکن است سازمان ریسک بپذیرد و برای کاهش تاثیرات نامطلوب آن مجموعه ای از اقدامات را اعمال کند. این کنترل ها باعث می شود تا ریسک از سطح ریسک ذاتی (Individual Risk) به سطح ریسک باقیمانده (Residual Risk) تقلیل یابد.
- اشتراک ریسک: ممکن است برای کاهش تاثیرات نامطلوب ریسک، با انجام فعالیت هایی از جمله بیمه کالاها، اموال یا فعالیت ها یا برونسپاری اقدامات ریسک با یک سازمان بیرونی به اشتراک گذارده شود.
- پذیرفتن ریسک: در مواردی نیز ریسک نسبت به سطح اشتهای ریسک پذیری سازمان پایین تر بوده به نحوی که سازمان تاثیرات نامطلوب ریسک را می پذیرد و اقدامی برای کاهش آن انجام نمی دهد.
به ازای ریسک های شناسایی شده، مجموعه ای از اقدامات فوق ممکن است تعریف شوند. این واکنش ها و اقدامات می توانند در محدوده برنامه حسابرسی قرار گیرند. ارزیابی تمامی اقدامات و کنترل ها در برنامه حسابرسی میسر نیست چرا که بواسطه محدودیت منابع حسابرسی باید اقدامات با اولویت بالاتر در برنامه قرار گیرند.
گروه بندی و اولویت بندی ریسک ها
حسابرسان در تهیه برنامه حسابرسی مبتنی بر ریسک ممکن است با تعداد زیادی از ریسک ها روبرو باشند. به عبارت دیگر لیست ریسک های سازمان ممکن است شامل تعداد زیادی ریسک باشد. در این صورت ضروری است تا ریسک ها طبقه بندی شده و اولویت بندی گردند تا حسابرسان بتوانند تمرکز بالاتری بر ریسک های کلیدی داشته باشند. طبقه بندی ریسک ها می تواند براساس یکی از محورهای اصلی زیر انجام شود:
- واحد سازمانی: در این شیوه ممکن است ریسک ها براساس واحد مربوطه آنها مانند مدیریت مالی، مدیریت فنی یا مدیریت منابع انسانی طبقه بندی شوند.
- کارکرد: ریسک ها می توانند براساس کارکردها و فرآیندهای سازمان از جمله خرید، اموال، فروش یا تولید طبقه بندی گردند. در این حالت ممکن است به ازای هر کارکرد چند واحد سازمانی درگیر باشند.
- هدف: ریسک ها می توانند براساس اهداف سازمان طبقه بندی شوند. در این حالت ریسک های مرتبط با هر هدف در یک گروه قرار می گیرند. ممکن است ریسک های مرتبط با هر هدف از واحدهای سازمانی و کارکردهای مختلفی تشکیل شده باشد.
ریسک ها همچنین می توانند براساس مواردی از جمله معیارهای زیر اولویت بندی شوند. ضرورت اولویت بندی به این دلیل است که حسابرس بتواند فعالیت های اطمینان بخشی خود را با توجه به منابع محدود بر بخش هایی مشخص و با اولویت متمرکز سازد.
- اندازه ریسک ذاتی. ریسک های بزرگتر و با شدت بالاتر در اولویت هستند.
- میزانی که واکنش می تواند ریسک را کاهش دهد. واکنش هایی که تاثیر بیشتری بر کاهش ریسک ها دارند در اولویت هستند.
- تعداد و کیفیت سایر فعالیت های اطمینان بخشی در خصوص ریسک و واکنش های آن. ریسک ها و واکنش هایی که توسط سایر مراجع مورد اطمینان بخشی قرار می گیرند در اولویت کمتری هستند.
- ریسک ها و واکنش هایی که کمیته حسابرسی نیازمندی های اطمینان بخشی بالاتری دارد و در دوره های زمانی مشخص انتظار دارد وضعیت اطمینان بخشی آنها مشخص شده باشند.
برقراری ارتباط بین ریسک ها و تکالیف حسابرسی
با استفاده از دو روش می توان ارتباط بین ریسک ها و تکالیف حسابرسی را برقرار نمود:
- در روش اول ابتدا ریسک ها گروه بندی شده، سپس منابع حسابرسی به هر گروه از ریسک ها تخصیص می یابند. این روش از این لحاظ که تضمین کننده پوشش صد در صدی ریسک ها است، مورد تایید بوده، لیکن ممکن است استفاده کارا از منابع حسابرسی میسر نباشد چرا که هر گروه یا تیم حسابرسی به یک گروه از ریسک تخصیص یافته که برای اطمینان بخشی این گروه از ریسک ها نیازمند انجام فعالیت های گسترده شناخت است.
- در روش دوم، یک تیم حسابرسی به یک واحد سازمانی مشخص تخصیص یافته و مسئولیت اطمینان بخشی ریسک های واحد مربوطه را بر عهده دارد. در این حال باید کنترل شود تا تمامی ریسک ها به صورت کامل تحت پوشش قرار گرفته اند یا خیر. این روش کارایی بالاتری دارد چرا که منابع بر یک واحد سازمانی تمرکز کرده و نیازمند حرکت بین واحدهای مختلف نیستند.
تنظیم برنامه حسابرسی
تعداد روزهای مورد نیاز برای هر فعالیت حسابرسی تعیین شود و مشخص گردد که هر با منابع در دسترس چه تعداد فعالیت حسابرسی قابل انجام هستند. البته در برنامه اولیه حسابرسی براساس اولویت های تعیین شده حجم مشخصی از کار بدست می آید. حال می توان در خصوص شیوه انجام کار تصمیم گرفت. در این حالت ممکن است تعداد منابع در دسترس واحد حسابرسی داخلی افزایش یابد یا اینکه از برخی از برنامه های در دسترس اجتناب گردد و اقدامات به نحوی طرح ریزی شود که با منابع در دسترس تناسب داشته باشد.
البته مدیریت واحد حسابرسی و کمیته حسابرسی باید نسبت به عواقب اجتناب از اجرای برخی از اقدامات مطلع گردد.
گزارش به مدیریت و کمیته حسابرسی
برنامه دوره ای حسابرسی باید به کمیته حسابرسی ارائه شده و تاییده کمیته دریافت شود. در گزارش ارائه شده به کمیته موارد زیر مورد توجه قرار گیرد:
- جزییات ریسک هایی که برای اطمینان بخشی در نظر گرفته شده اند.
- جزییات ریسک هایی که برای ارائه خدمات مشاوره به مدیریت در نظر گرفته شده اند.
- محدودیت های موجود خصوصاً محدودیت های منابع و تاثیر آن بر اقدامات حسابرسی
- ریسک هایی که با توجه به محدودیت ها مورد اطمینان بخشی قرار نمی گیرند.
![\"\"](\"https://hesfa.ir/wp-content/uploads/2018/09/RBIA.jpg\")