کمیته ­ی حسابرسی چگونه باید به ERM بنگرد؟

ERM غالباً بر ریسک­های کسب و کار، جاییکه کمیته­ ی حسابرسی تمرکز خود را بر ریسک­های گزارش ­شده­ ی مالی و عمومی محدود کرده است، تمرکز دارد. درهرحال این تمرکز محدود با گذشت زمان تا حدودی می­تواند توسعه یابد. NYSE، نیازمندی­ها را فهرست­ بندی کرده و مشخص کرده زمانیکه وظایف و مسئولیت­های کمیته­ ی حسابرسی را بیان می­کند، اساسنامه ­ی کمیته باید اذعان دارد که کمیته سیاست­های مدیریتی را از نظر ارزیابی ریسک و مدیریت ریسک مورد بحث قرار دهد. ERM، زمینه­ ای را برای این بحث فراهم کرده است. بعنوان مثال، یک فرآیند ارزیابی ریسک کسب و کار، بینش­ های تازه­ای را برای ریسک­های موجود و تازه برای حرکت به موقع و آشکارسازی ممکن فراهم می­کند. از آنجا که ارزیابی ریسک بخشی از کنترل داخلی است، و بررسی کنترل داخلی باید بر مبنای ریسک باشد، ممکن است کمیته­ ی حسابرسی بخواهد درمورد اثرگذاری این فرآیند تحقیق کند. فرآیند ارزیابی ریسک کسب و کار نیز اولین مرحله ­ی موثر برای پیاده­ سازی ERM است.

زمانیکه درمورد مدیریت و ارزیابی ریسک با مدیریت ارشد بحث می­کنیم، کمیته­ ی حسابرسی باید:

  • درمورد موقعیت سازمان در برابر حوادث احتمالی آینده (مانند اتلافات فاجعه­ بار، کلاهبرداری، اعمال غیرقانونی، دادخواهی و غیره) بحث کند.
  • ارزیابی مدیریتی ریسک­های مالی گزارش شده را بداند و از شنوندگان خارجی بپرسی آیا با ارزیابی موافق هستند؟
  • نقاط نرم مربوط به گزارشات مالی را که موجب افزایش ریسک­های اساسی می­شود، مانند ذخایر، پیشامدهای غیرمترقبه، ارزش یابی­ ها، نواحی آشکارسازی و محاسبات که نیازمند قضاوتی اساسی است، بداند.
  • میزان خودارزیابی، کنترل درجای نهادی و فرآیندی را بداند تا ریسک­های گزارش شده­ ی مالی را مدیریت کند.
  • ارزیابی یک شنونده­ی داخلی و طرح شنونده بر مبنای آن ارزیابی را بفهمد.
  • درمورد اینکه آیا مدیرانی که مسئول تشخیص، ارزیابی، مدیریت و کنترل ریسک­های اساسی هستند وجود دارند و اینکه آیا کمیته باید هر از چندگاه با آن­ها ملاقات کند تا درمورد فعالیت­های شان برای گزارشات مالی و عمومی بحث کند، بداند.
  • نتایج ارزیابی­های ریسک کسب و کار مدیریت و مفهوم گزارشات مالی و عمومی را بداند.

البته، کمیته­ ی حسابرسی می­ تواند فعالیت­های بالا را برای بیان سایر جنبه­ های ارزیابی و مدیریت ریسک توسعه دهد. درهرحال، بیشتر کمیته­ های موردنظر، دستان شان پر از مسائل مالی و عمومی گزارش شده است. بنابراین کانون تمرکز، تاکید بر نقاط بالایی است. سایر کمیته­ های مدیریتی مانند کمیته ­ی مالی، یا یک کمیته­ ی مختص ریسک، ممکن است بر سایر ریسک­های کسب و کار در فعالیت­های مربوطه ­شان تاکید کنند.

  1. چگونه هیئت مدیره باید نظارت بر پیاده­ سازی ERM را به کار بندد؟

COSO در خلاصه­ ی اجرای چارچوب ERM به موارد زیر اشاره می­کند:

هیئت مدیره باید درمورد وضعیت مدیریت ریسک کسب و کار با مدیریت ارشد گفتکو کند و سرپرستی مورد نیاز را فراهم کند. هیئت مدیره باید تضمین کند که از مهم­ترین ریسک ­ها اگاه است و همینطور اینکه مدیریت عملیات­ ها انجام می­شود و اینکه چگونه مدیریت موثر ریسک کسب و کار را تضمین می­کند.

به همان میزان که یک شرکت نیازمند یک فرآیند است تا مواد با کیفیت را با قیمتی ارزان از تهیه­ کنندگان فراهم کند، نیازمند فرآیندی نیز هست تا ریسک­ هایش را به سطحی قابل قبول کاهش دهد. مدیریت ریسک بدون یک فرآیند، تنها یک کار نیمه­ ای و فعالیتی واکنشی است که در کسب و کار تکه تکه شده است. زیربنای ERM با هدف القای نظم و مقررات برای بهبود پیوسته­ی قدرت سازمان در مدیریت ریسک­های مقدم یک جایگزین تهیه کرد. از آنجا که ERM به سوی توانایی ­های مدیریتی ریسک که مکرر، تعریف شده و مدیریت شده هستند راهبری می­کند، می­تواند به هیئت مدیره در فهم بهتر ظرفیت ریسک مدیریت و در دستبابی به اطمینان در گزارش مدیریت در ریسک و عملکرد مدیریتی ریسک کمک کند.

نظارت پویشگرانه و پیش­بینانه نیاز به درگیری موثر هیئت مدیره در سیاست گزاری و ارزیابی ریسک و قاعده سازی استراتژی دارد. هیئت ­های مدیره با فعالیت­های کمیته­ های مختلفشان، با ارزش دادن به ارزیابی مدیریتی ریسک­های سازمان، موجب بهبود کیفیت فرآیند نظارت می­شوند. زمانیکه ریسک­ها مشخص وسرچشمه­ی آن­ها تعیین شد، هیئت مدیره باید تضمین کند که مدیریت گزینه ­های سازمان برای مدیریت ریسک­های حیاتی را که منجر به سیاست­های تعیین مسئولیت­ها، اختیارات و پاسخگویی ­ها می­شود، بررسی می­کند. بعنوان مثال، در میان سایر موارد، هیئت مدیره باید موارد زیر را برآورده کند:

  • رشد و نوآوری مورد تشویق و پاداش قرار گیرد بدون آنکه موجب ایجاد ریسک غیر قابل قبول شود.
  • ظرفیت ریسک ذاتی در رفتار فرصت طلبانه ­ی سازمان، در ایجاد محصولات و بازارهای جدید مشخص، درک و مدیریت شود.
  • مرزها و محدودیت­های تعریف شده بطور شخصی مانع رفتارهایی شوند که خارج از استراتژی و غیر قابل قبول است.
  • سنجش­های عملکردی و اهداف موجب تشویق زیاد رفتارهای مخاطره آمیز نشوند.
  • زمان انتخاب استراتژی­ها برای بهینه­ کردن ریسک و پاداش به کار، یک نگرش گسترده­ی کسب وکار بجای یک نگرش محدود و عملی بکار بسته شود.
  • کنترل­ها، بررسی ها و تعادل­های موثر داخلی در نواحی با ریسک بالا موجود باشند.

نظارت موثر همچمنین واکنشی و تعاملی است. هیئت مدیره باید بداند که مدیریت توانایی­ های مناسب درجا برای اجرای پاسخ­های ریسک مورد تأیید را دارد. باید به میزان کافی بر مالکیت ریسک و پاسخگویی کارکنان تمرکز داشت تا مدیریت مناسب ریسک و فرآیندهای کنترل، توسط کارکنان کارآمد طراحی و اجرا شود. صاحبان ریسک، شخص،گروه، شغل یا واحدی که مجاز به تصمیم گیری و عمل کردن در محدوده­ی مقرر است تا یک یا چند ریسک مقدم را مدیریت کنند، باید به موقع تعیین شوند تا هر ریسک کلیدی نامی بدنبال داشته باشد. توانایی­های درجا برای ریسک­های اساسی ، نسبت به ریسک­های کم اهمیت ­تر باید پختگی بالاتری داشته باشد. بنابراین هیئت مدیره باید تضمین کند که مدیریت، منابع کافی مختص مدیریت این ریسک­ها را تعیین کرده است.

نمونه­ هایی از سوالاتی که مدیران ممکن است از مدیریت درمورد ERM بپرسند در زیر آمده است.

درمورد استراتژی:

  • آیا مدیریت، هیئت مدیره را در طول فرآیند فرموله کردن استراتژی و بحث درمورد ظرفیت ریسک مدیریت دخیل می­کند؟
  • آیا مدیریت، هیئت مدیره را موقع اتخاذ تصمیم برای پذیرش یا رد ریسک­ های مهم دخیل می­کند؟
  • آیا شرکت ریسک ­های مهمی را که هیئت مدیره درک نمی­کند انجام می­دهد (مثلاً اگر یک واحد عملیاتی یا گروه محصول، نسبت به هماوردانشان بازده بیشتر بدست می­آورند، بدلیل آن است که نسبت به آن­ها ریسک اساسی ­تر می­کنند)؟
  • آیا ریسک ­های اساسی موجود در مدل کسب و کار شرکت، بطور کامل توسط کارکنان و با دانش، مهارت، ابزار و اطلاعات مورد نیاز، فهمیده و مدیریت می­شود؟آنرا چگونه می­یابید؟
  • آیا هیئت ریسک­ های مقدم کسب و کار را می­داند و چگونه به آن­ها توجه می­کند؟
  • آیا ریسک­ های کلیدی شرکت لیست شده­ اند؟ آیا لیست امروزی است؟
  • آیا زمان کافی در طول جلسات هیئت مدیره برای بحث درمورد ریسک ­های کلیدی هست و اینکه آیا تفاوت­های قابل توجه در قابلیت­ ها برای مدیریت این ریسک­ها وجود دارد؟

درمورد سیاست:

  • چگونه مدیریت بدون ایجاد ریسک ­های غیرقابل پذیرش،به رشد و نوآوری کمک می­کند؟ بعنوان مثال، آیا مرزهای تعریف شده و حدودی وجود دارد که بطور واضح رفتارهایی را که خارج از استراتژی و محدوده­ هاست را تعیین کند؟
  • آیا فعالیت­های کارآفرینی و فعالیت­های کنترلی کسب و کار در تعادل هستند تا هیچ یک بطور نامتناسبی نسبت به دیگری قوی نباشد؟ آیا ریسک­های موجد در رفتارهای فرصت طلبانه فهمیده و مدیریت می­شود؟ آن را چگونه می­بینید؟

درمورد اجرا:

  • آیا مدیریت، شبهات موجود در استراتژی ­اش برای دستیابی به اهداف کار و اهداف عملکردی را می­داند؟ آن را چگونه می­بینید؟
  • آیا اطمینان کافی وجود دارد که پاسخ­های ریسک و فعالیت­ها و اطلاعات کنترلی مروبطه، و فرآیندهای ارتباطی، بطور موثر عمل ­کنند؟ آن را چگونه می یابید؟
  • آیا طرح ­های پیشامدهای غیرمترقبه، در جا هستند تا در مواقع بحران پاسخ دهند؟ آن را چگونه میبینید؟
  • آیا یک سیستم هشدار زودرس یا تیم اجرایی برای ریسک­های “ماموریت بحرانی” موجود است؟
  • آیا فرآیندهای درجای موثر برای شناسایی پیوسته­ ی ریسک، اندازه­ گیری تأثیر آن، و بررسی قابلیت­های مدیریت ریسک، وجود دارد؟ (بعنوان مثال، اطلاعات، فعالیت­های کنترلی مربوطه، فرآیندهای ارتباطی و فعالیت­های مانیتورینگ)؟ آن را چگونه میبینید؟
  • آیا مدیرانی وجود دارند که مسئول شناسایی، ارزیابی و مدیریت ریسک­های اساسی باشند که مدیران بتوانند هر ازگاهی با آن­ها ملاقات کنند.

درمورد شفافیت:

  • آیا یک فرآیند موثر برای گزارش معتبر ریسک­ها و عملکرد مدیریت ریسک وجود دارد؟ آن را چگونه میبینید؟
  • آیا یک ساختار سازمانی درجا وجود دارد تا از فرآیند گزارش ­دهی مدیریت ریسک حمایت کند؟ چگونه آن را میبینید؟

هدف هیئت مدیره از اینکه سوالاتی را به مدیریت حول مدیریت ریسک رهنمون می­کند این است که ریسک­هایی را که سازمان در زمینه­ ی اهداف کسب و کار با آن مواجه است بفهمد و بداند آیا استراتژی­ ها و قابلیت­های مناسب  در جا برای مدیریت این ریسک­ها وجود دارد. چارچوب ERM کوزو ابزار محک­زنی مناسبی را برای مدیران فراهم می­کند تا با استفاده از آن­ بر فعالیت­های نظارتی ­شان درمورد مدیریت تمرکز و مدیریت کنند. این ارزیابی باید حداقل سالیانه اتفاق بیفتد.

با گذشت زمان، بهترین راه برای متعهد کردن هیئت مدیره از طریق اطلاعات است. این لزوماً بدین معنا نیست که همان گزارشات تهیه شده برای مدیریت اجرایی را برای هیئت مدیره فراهم کنیم. درحالیکه اطلاعات کلی قانون مدیریت ریسک که به هیئت مدیره داده می­شود نباید بسیار دقیق باشد، سطح جزییات اغلب موضوع دلخواه کارکنان است. هدف گزارشات مدیریت ریسک به هیئت مدیره، این است که مدیران را در موقعیتی قرار دهد تا نقش نظارتی خود را به انجام رسانند. در ادامه تعدادی از نمونه­ های گزارشات مدیریت ریسک آمده که به طولانی کردن حافظه ­ی هیئت مدیره کمک می­کند.

  • خلاصه­ ی سطح بالایی از ریسک­های اصلی یک کسب و کار در مجموع، که به واحد عملیاتی، موقعیت جغرافیایی، گروه محصول و غیره، تقسیم­ بندی می­­شود، به همراه تفاوت­های قابل توجه در قابلیت­ های مدیریت ریسک.
  • خلاصه ­ای از بهترین و بدترین سرمایه­ گذاری­های انجام شده و دلایل آن
  • گزارشی از مشکلات یا ریسک­های موجود که نیازمند توجه فوری هستند
  • خلاصه­ ای از حوادث ریسکی مهم مانند اعتراضات شدید در برابر سیاست­ ها و حدود تعیین شده
  • خلاصه­ ای از تغییرات اساسی در متغیرهای کلیدی ورای کنترل مدیریت (مانند نرخ سود، نرخ تبادل و غیره) و تأثیر بر درآمدها، نقدینگی، سرمایه و طرح کار
  • خلاصه­ ای از جایگاه بهبود نوآوری­ها

همانطور که در پاسخ به سوال 45 به آن اشاره شده، برخی از این گزارشات ممکن است شبیه به گزارشات دریافت شده توسط مدیریت اجرایی باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *