کمیته ی حسابرسی چگونه باید به ERM بنگرد؟
ERM غالباً بر ریسکهای کسب و کار، جاییکه کمیته ی حسابرسی تمرکز خود را بر ریسکهای گزارش شده ی مالی و عمومی محدود کرده است، تمرکز دارد. درهرحال این تمرکز محدود با گذشت زمان تا حدودی میتواند توسعه یابد. NYSE، نیازمندیها را فهرست بندی کرده و مشخص کرده زمانیکه وظایف و مسئولیتهای کمیته ی حسابرسی را بیان میکند، اساسنامه ی کمیته باید اذعان دارد که کمیته سیاستهای مدیریتی را از نظر ارزیابی ریسک و مدیریت ریسک مورد بحث قرار دهد. ERM، زمینه ای را برای این بحث فراهم کرده است. بعنوان مثال، یک فرآیند ارزیابی ریسک کسب و کار، بینش های تازهای را برای ریسکهای موجود و تازه برای حرکت به موقع و آشکارسازی ممکن فراهم میکند. از آنجا که ارزیابی ریسک بخشی از کنترل داخلی است، و بررسی کنترل داخلی باید بر مبنای ریسک باشد، ممکن است کمیته ی حسابرسی بخواهد درمورد اثرگذاری این فرآیند تحقیق کند. فرآیند ارزیابی ریسک کسب و کار نیز اولین مرحله ی موثر برای پیاده سازی ERM است.
زمانیکه درمورد مدیریت و ارزیابی ریسک با مدیریت ارشد بحث میکنیم، کمیته ی حسابرسی باید:
- درمورد موقعیت سازمان در برابر حوادث احتمالی آینده (مانند اتلافات فاجعه بار، کلاهبرداری، اعمال غیرقانونی، دادخواهی و غیره) بحث کند.
- ارزیابی مدیریتی ریسکهای مالی گزارش شده را بداند و از شنوندگان خارجی بپرسی آیا با ارزیابی موافق هستند؟
- نقاط نرم مربوط به گزارشات مالی را که موجب افزایش ریسکهای اساسی میشود، مانند ذخایر، پیشامدهای غیرمترقبه، ارزش یابی ها، نواحی آشکارسازی و محاسبات که نیازمند قضاوتی اساسی است، بداند.
- میزان خودارزیابی، کنترل درجای نهادی و فرآیندی را بداند تا ریسکهای گزارش شده ی مالی را مدیریت کند.
- ارزیابی یک شنوندهی داخلی و طرح شنونده بر مبنای آن ارزیابی را بفهمد.
- درمورد اینکه آیا مدیرانی که مسئول تشخیص، ارزیابی، مدیریت و کنترل ریسکهای اساسی هستند وجود دارند و اینکه آیا کمیته باید هر از چندگاه با آنها ملاقات کند تا درمورد فعالیتهای شان برای گزارشات مالی و عمومی بحث کند، بداند.
- نتایج ارزیابیهای ریسک کسب و کار مدیریت و مفهوم گزارشات مالی و عمومی را بداند.
البته، کمیته ی حسابرسی می تواند فعالیتهای بالا را برای بیان سایر جنبه های ارزیابی و مدیریت ریسک توسعه دهد. درهرحال، بیشتر کمیته های موردنظر، دستان شان پر از مسائل مالی و عمومی گزارش شده است. بنابراین کانون تمرکز، تاکید بر نقاط بالایی است. سایر کمیته های مدیریتی مانند کمیته ی مالی، یا یک کمیته ی مختص ریسک، ممکن است بر سایر ریسکهای کسب و کار در فعالیتهای مربوطه شان تاکید کنند.
- چگونه هیئت مدیره باید نظارت بر پیاده سازی ERM را به کار بندد؟
COSO در خلاصه ی اجرای چارچوب ERM به موارد زیر اشاره میکند:
هیئت مدیره باید درمورد وضعیت مدیریت ریسک کسب و کار با مدیریت ارشد گفتکو کند و سرپرستی مورد نیاز را فراهم کند. هیئت مدیره باید تضمین کند که از مهمترین ریسک ها اگاه است و همینطور اینکه مدیریت عملیات ها انجام میشود و اینکه چگونه مدیریت موثر ریسک کسب و کار را تضمین میکند.
به همان میزان که یک شرکت نیازمند یک فرآیند است تا مواد با کیفیت را با قیمتی ارزان از تهیه کنندگان فراهم کند، نیازمند فرآیندی نیز هست تا ریسک هایش را به سطحی قابل قبول کاهش دهد. مدیریت ریسک بدون یک فرآیند، تنها یک کار نیمه ای و فعالیتی واکنشی است که در کسب و کار تکه تکه شده است. زیربنای ERM با هدف القای نظم و مقررات برای بهبود پیوستهی قدرت سازمان در مدیریت ریسکهای مقدم یک جایگزین تهیه کرد. از آنجا که ERM به سوی توانایی های مدیریتی ریسک که مکرر، تعریف شده و مدیریت شده هستند راهبری میکند، میتواند به هیئت مدیره در فهم بهتر ظرفیت ریسک مدیریت و در دستبابی به اطمینان در گزارش مدیریت در ریسک و عملکرد مدیریتی ریسک کمک کند.
نظارت پویشگرانه و پیشبینانه نیاز به درگیری موثر هیئت مدیره در سیاست گزاری و ارزیابی ریسک و قاعده سازی استراتژی دارد. هیئت های مدیره با فعالیتهای کمیته های مختلفشان، با ارزش دادن به ارزیابی مدیریتی ریسکهای سازمان، موجب بهبود کیفیت فرآیند نظارت میشوند. زمانیکه ریسکها مشخص وسرچشمهی آنها تعیین شد، هیئت مدیره باید تضمین کند که مدیریت گزینه های سازمان برای مدیریت ریسکهای حیاتی را که منجر به سیاستهای تعیین مسئولیتها، اختیارات و پاسخگویی ها میشود، بررسی میکند. بعنوان مثال، در میان سایر موارد، هیئت مدیره باید موارد زیر را برآورده کند:
- رشد و نوآوری مورد تشویق و پاداش قرار گیرد بدون آنکه موجب ایجاد ریسک غیر قابل قبول شود.
- ظرفیت ریسک ذاتی در رفتار فرصت طلبانه ی سازمان، در ایجاد محصولات و بازارهای جدید مشخص، درک و مدیریت شود.
- مرزها و محدودیتهای تعریف شده بطور شخصی مانع رفتارهایی شوند که خارج از استراتژی و غیر قابل قبول است.
- سنجشهای عملکردی و اهداف موجب تشویق زیاد رفتارهای مخاطره آمیز نشوند.
- زمان انتخاب استراتژیها برای بهینه کردن ریسک و پاداش به کار، یک نگرش گستردهی کسب وکار بجای یک نگرش محدود و عملی بکار بسته شود.
- کنترلها، بررسی ها و تعادلهای موثر داخلی در نواحی با ریسک بالا موجود باشند.
نظارت موثر همچمنین واکنشی و تعاملی است. هیئت مدیره باید بداند که مدیریت توانایی های مناسب درجا برای اجرای پاسخهای ریسک مورد تأیید را دارد. باید به میزان کافی بر مالکیت ریسک و پاسخگویی کارکنان تمرکز داشت تا مدیریت مناسب ریسک و فرآیندهای کنترل، توسط کارکنان کارآمد طراحی و اجرا شود. صاحبان ریسک، شخص،گروه، شغل یا واحدی که مجاز به تصمیم گیری و عمل کردن در محدودهی مقرر است تا یک یا چند ریسک مقدم را مدیریت کنند، باید به موقع تعیین شوند تا هر ریسک کلیدی نامی بدنبال داشته باشد. تواناییهای درجا برای ریسکهای اساسی ، نسبت به ریسکهای کم اهمیت تر باید پختگی بالاتری داشته باشد. بنابراین هیئت مدیره باید تضمین کند که مدیریت، منابع کافی مختص مدیریت این ریسکها را تعیین کرده است.
نمونه هایی از سوالاتی که مدیران ممکن است از مدیریت درمورد ERM بپرسند در زیر آمده است.
درمورد استراتژی:
- آیا مدیریت، هیئت مدیره را در طول فرآیند فرموله کردن استراتژی و بحث درمورد ظرفیت ریسک مدیریت دخیل میکند؟
- آیا مدیریت، هیئت مدیره را موقع اتخاذ تصمیم برای پذیرش یا رد ریسک های مهم دخیل میکند؟
- آیا شرکت ریسک های مهمی را که هیئت مدیره درک نمیکند انجام میدهد (مثلاً اگر یک واحد عملیاتی یا گروه محصول، نسبت به هماوردانشان بازده بیشتر بدست میآورند، بدلیل آن است که نسبت به آنها ریسک اساسی تر میکنند)؟
- آیا ریسک های اساسی موجود در مدل کسب و کار شرکت، بطور کامل توسط کارکنان و با دانش، مهارت، ابزار و اطلاعات مورد نیاز، فهمیده و مدیریت میشود؟آنرا چگونه مییابید؟
- آیا هیئت ریسک های مقدم کسب و کار را میداند و چگونه به آنها توجه میکند؟
- آیا ریسک های کلیدی شرکت لیست شده اند؟ آیا لیست امروزی است؟
- آیا زمان کافی در طول جلسات هیئت مدیره برای بحث درمورد ریسک های کلیدی هست و اینکه آیا تفاوتهای قابل توجه در قابلیت ها برای مدیریت این ریسکها وجود دارد؟
درمورد سیاست:
- چگونه مدیریت بدون ایجاد ریسک های غیرقابل پذیرش،به رشد و نوآوری کمک میکند؟ بعنوان مثال، آیا مرزهای تعریف شده و حدودی وجود دارد که بطور واضح رفتارهایی را که خارج از استراتژی و محدوده هاست را تعیین کند؟
- آیا فعالیتهای کارآفرینی و فعالیتهای کنترلی کسب و کار در تعادل هستند تا هیچ یک بطور نامتناسبی نسبت به دیگری قوی نباشد؟ آیا ریسکهای موجد در رفتارهای فرصت طلبانه فهمیده و مدیریت میشود؟ آن را چگونه میبینید؟
درمورد اجرا:
- آیا مدیریت، شبهات موجود در استراتژی اش برای دستیابی به اهداف کار و اهداف عملکردی را میداند؟ آن را چگونه میبینید؟
- آیا اطمینان کافی وجود دارد که پاسخهای ریسک و فعالیتها و اطلاعات کنترلی مروبطه، و فرآیندهای ارتباطی، بطور موثر عمل کنند؟ آن را چگونه می یابید؟
- آیا طرح های پیشامدهای غیرمترقبه، در جا هستند تا در مواقع بحران پاسخ دهند؟ آن را چگونه میبینید؟
- آیا یک سیستم هشدار زودرس یا تیم اجرایی برای ریسکهای “ماموریت بحرانی” موجود است؟
- آیا فرآیندهای درجای موثر برای شناسایی پیوسته ی ریسک، اندازه گیری تأثیر آن، و بررسی قابلیتهای مدیریت ریسک، وجود دارد؟ (بعنوان مثال، اطلاعات، فعالیتهای کنترلی مربوطه، فرآیندهای ارتباطی و فعالیتهای مانیتورینگ)؟ آن را چگونه میبینید؟
- آیا مدیرانی وجود دارند که مسئول شناسایی، ارزیابی و مدیریت ریسکهای اساسی باشند که مدیران بتوانند هر ازگاهی با آنها ملاقات کنند.
درمورد شفافیت:
- آیا یک فرآیند موثر برای گزارش معتبر ریسکها و عملکرد مدیریت ریسک وجود دارد؟ آن را چگونه میبینید؟
- آیا یک ساختار سازمانی درجا وجود دارد تا از فرآیند گزارش دهی مدیریت ریسک حمایت کند؟ چگونه آن را میبینید؟
هدف هیئت مدیره از اینکه سوالاتی را به مدیریت حول مدیریت ریسک رهنمون میکند این است که ریسکهایی را که سازمان در زمینه ی اهداف کسب و کار با آن مواجه است بفهمد و بداند آیا استراتژی ها و قابلیتهای مناسب در جا برای مدیریت این ریسکها وجود دارد. چارچوب ERM کوزو ابزار محکزنی مناسبی را برای مدیران فراهم میکند تا با استفاده از آن بر فعالیتهای نظارتی شان درمورد مدیریت تمرکز و مدیریت کنند. این ارزیابی باید حداقل سالیانه اتفاق بیفتد.
با گذشت زمان، بهترین راه برای متعهد کردن هیئت مدیره از طریق اطلاعات است. این لزوماً بدین معنا نیست که همان گزارشات تهیه شده برای مدیریت اجرایی را برای هیئت مدیره فراهم کنیم. درحالیکه اطلاعات کلی قانون مدیریت ریسک که به هیئت مدیره داده میشود نباید بسیار دقیق باشد، سطح جزییات اغلب موضوع دلخواه کارکنان است. هدف گزارشات مدیریت ریسک به هیئت مدیره، این است که مدیران را در موقعیتی قرار دهد تا نقش نظارتی خود را به انجام رسانند. در ادامه تعدادی از نمونه های گزارشات مدیریت ریسک آمده که به طولانی کردن حافظه ی هیئت مدیره کمک میکند.
- خلاصه ی سطح بالایی از ریسکهای اصلی یک کسب و کار در مجموع، که به واحد عملیاتی، موقعیت جغرافیایی، گروه محصول و غیره، تقسیم بندی میشود، به همراه تفاوتهای قابل توجه در قابلیت های مدیریت ریسک.
- خلاصه ای از بهترین و بدترین سرمایه گذاریهای انجام شده و دلایل آن
- گزارشی از مشکلات یا ریسکهای موجود که نیازمند توجه فوری هستند
- خلاصه ای از حوادث ریسکی مهم مانند اعتراضات شدید در برابر سیاست ها و حدود تعیین شده
- خلاصه ای از تغییرات اساسی در متغیرهای کلیدی ورای کنترل مدیریت (مانند نرخ سود، نرخ تبادل و غیره) و تأثیر بر درآمدها، نقدینگی، سرمایه و طرح کار
- خلاصه ای از جایگاه بهبود نوآوریها
همانطور که در پاسخ به سوال 45 به آن اشاره شده، برخی از این گزارشات ممکن است شبیه به گزارشات دریافت شده توسط مدیریت اجرایی باشد.