اجزای سیستم کنترل داخلی

یک سیستم کنترل داخلی جامع متشکل از چند جزء کلیدی است که در کنار هم چارچوبی یکپارچه برای کنترل‌های سازمان فراهم می‌آورند. طبق چارچوب معروف COSO، اجزای سیستم کنترل داخلی شامل پنج عنصر اصلی به شرح ذیل می باشد :

محیط کنترلی:

فرهنگ سازمانی، ارزش‌های اخلاقی و جو حاکم بر شرکت است که توسط مدیریت ارشد شکل می‌گیرد و زیربنای سایر اجزای کنترل داخلی محسوب می‌شود. محیط کنترلی قوی بدین معناست که «لسان مدیریت» و رفتار رهبران سازمان بر اهمیت یکپارچگی، درستکاری و رعایت مقررات تأکید دارد. این جزء شامل ساختار سازمان، شیوه رهبری، میزان شایستگی و آموزش کارکنان، و تعهد مدیریت به اصول کنترل داخلی است. اگر محیط کنترلی مناسب و مثبتی برقرار باشد، سایر کنترل‌های داخلی نیز اثربخشی بیشتری خواهند داشت؛ چرا که کارکنان در چنین محیطی اهمیت پیروی از رویه‌های کنترلی را درک می‌کنند و نسبت به آن متعهدترند.

ارزیابی ریسک:

یک شرکت باید به طور مستمر مخاطراتی را که اهداف آن را تهدید می‌کنند شناسایی و ارزیابی کند. فرآیند ارزیابی ریسک شامل شناسایی رویدادهای بالقوه (داخلی یا خارجی) است که می‌توانند بر عملیات، گزارشگری یا انطباق با مقررات تأثیر منفی بگذارند. سپس احتمال وقوع و شدت تأثیر هر ریسک سنجیده می‌شود تا سازمان تصویر روشنی از پروفایل ریسک خود داشته باشد. با تکیه بر این ارزیابی، مدیریت تصمیم می‌گیرد کدام ریسک‌ها نیازمند کنترل‌های بیشتری هستند و چه اقدامات پیشگیرانه یا واکنشی باید برای آنها اتخاذ شود. وجود یک مکانیزم ارزیابی ریسک پویا کمک می‌کند که سیستم کنترل داخلی همواره متناسب با مهم‌ترین تهدیدهای پیش روی سازمان تنظیم گردد.

فعالیت‌ها و اقدامات کنترلی:

این جزء شامل سیاست‌ها، رویه‌ها و کنترل‌های مشخصی است که برای کاهش ریسک‌ها و دستیابی به اطمینان معقول از تحقق اهداف وضع می‌شوند. فعالیت‌های کنترلی در سطوح مختلف سازمان اجرا می‌گردند و انواع گوناگونی دارند. از جمله مهم‌ترین کنترل‌ها می‌توان به کنترل‌های پیشگیرانه مثل تفکیک وظایف، محدودیت دسترسی‌ها، تأییدیه‌های چندسطحی و آموزش‌های بازدارنده اشاره کرد که جلوی وقوع تخلف یا اشتباه را از ابتدا می‌گیرند.

در کنار آن‌ها کنترل‌های کشف‌کننده قرار دارند؛ مانند تطبیق و مغایرت‌گیری حساب‌ها، بررسی‌های دوره‌ای مدیران، نظارت‌های سیستمی و ممیزی داخلی که رخدادهای غیرمعمول یا اشتباهات رخ‌داده را شناسایی می‌کنند تا برای اصلاح اقدام شود. مستندسازی مناسب معاملات و عملیات، نگهداری سوابق، و اعمال کنترل‌های فیزیکی (مانند انبارگردانی و حفاظت فیزیکی از اموال) نیز بخشی از فعالیت‌های کنترلی به‌شمار می‌روند. ترکیب متوازن کنترل‌های پیشگیرانه و کشف‌کننده در کنار کنترل‌های دستی و خودکار، ستون فقرات سیستم کنترل داخلی را شکل می‌دهد و به جلوگیری از انحرافات کمک می‌کند.

اطلاعات و ارتباطات:

کنترل داخلی اثربخش نیازمند سیستم‌های اطلاعاتی و کانال‌های ارتباطی کارا است. این جزء اطمینان حاصل می‌کند که اطلاعات مرتبط، دقیق و به‌هنگام در سراسر سازمان جریان می‌یابد و به دست افرادی می‌رسد که برای انجام وظایف کنترلی خود به آن نیاز دارند. گزارش‌های مالی و عملیاتی باید به گونه‌ای تهیه شوند که مدیریت بتواند وضعیت عملکرد سازمان و ریسک‌های موجود را به‌درستی درک کند. همچنین، سیاست‌ها و رویه‌های کنترلی باید به طور شفاف به کارکنان ابلاغ شود و یک خط ارتباطی باز برای گزارش تخلفات یا مشکلات وجود داشته باشد (مثلاً سازوکار گزارش‌دهی ناشناس موارد تخلف یا سامانه دریافت بازخورد از کارکنان). در مجموع، جزء اطلاعات و ارتباطات تضمین می‌کند که «دانش کنترلی» در سازمان جاری است؛ بدین معنی که هم تصمیم‌گیران ارشد داده‌های لازم برای نظارت را در اختیار دارند و هم کارکنان از انتظارات کنترلی سازمان آگاه‌اند و موارد لازم را به سطوح بالا گزارش می‌کنند.

نظارت (پایش) عملکرد کنترل‌ها:

هیچ کنترل داخلی بدون نظارت مستمر کارآمد نخواهد بود. جزء نظارت شامل فرآیندهایی است که برای ارزیابی منظم اثربخشی سایر کنترل‌ها انجام می‌شود. نظارت می‌تواند به صورت جاری توسط مدیران در خلال فعالیت‌های روزمره صورت گیرد (مانند بازبینی و تطبیق اسناد، کنترل‌های سوپروایزری، تهیه گزارش‌های انحرافات و شاخص‌های کلیدی عملکرد) یا به صورت مستقل و دوره‌ای از طریق واحدهایی نظیر حسابرسی داخلی و بازرسی انجام شود.

هدف نظارت، کشف نقاط ضعف سیستم کنترل داخلی و اطلاع‌رسانی آن به مدیران مربوطه است تا اقدامات اصلاحی لازم انجام گیرد. برای مثال، واحد حسابرسی داخلی ممکن است هر ساله بخش‌های مختلف شرکت را ممیزی داخلی کرده و اطمینان یابد که کنترل‌های مصوب به درستی اجرا می‌شوند و کافی هستند. نتایج فعالیت‌های نظارتی باید مستند و به مدیریت ارشد گزارش شود و در صورت وجود نواقص جدی در کنترل‌ها، اقدامات اصلاحی و تقویتی در طراحی سیستم صورت پذیرد. به کمک نظارت مداوم، سازمان می‌تواند از عملکرد موثر و پایدار سیستم کنترل داخلی خود اطمینان حاصل کند و در برابر تغییرات و چالش‌های نوظهور واکنش مناسب نشان دهد.

———————————————————————————-