انواع کنترل ها در سیستم کنترل های داخلی
کنترل های داخلی مجموعه ای از فرآیندها، سیاستها و رویه هایی هستند که توسط هیئت مدیره، مدیریت و سایر کارکنان یک سازمان طراحی و پیاده سازی میشوند تا اطمینان معقولی از دستیابی به اهداف عملیاتی، گزارشگری مالی و رعایت قوانین و مقررات حاصل شود. انواع کنترل ها در سیستم کنترل های داخلی، آن هایی هستند که بیشترین نقش را در جلوگیری از تقلب، اشتباهات مالی و سوءاستفاده از دارایی ها ایفا میکنند. در ادامه، به توضیح تفصیلی انواع کنترل ها می پردازیم:
۱. تفکیک وظایف (Segregation of Duties)
تفکیک وظایف یکی از سنگ بناهای سیستم کنترل داخلی مؤثر است و هدف اصلی آن، کاهش فرصت برای یک فرد جهت ارتکاب و پنهان سازی تقلب یا خطا است. این اصل بر این پایه استوار است که هیچ فرد واحدی نباید مسئول تمام جنبه های یک تراکنش مالی، از شروع تا پایان، باشد. وظایف اصلی که باید تفکیک شوند عبارتند از:
- تصویب (Authorization): اختیار صدور مجوز برای شروع یک تراکنش.
- ثبت (Recording): مسئولیت ثبت تراکنش در سیستم های حسابداری.
- حفظ دارایی (Custody): نگهداری و دسترسی فیزیکی به دارایی های مرتبط با تراکنش.
- تطبیق (Reconciliation): بررسی و مقایسه سوابق برای اطمینان از صحت آنها.
مثال عملی درخصوص تفکیک وظایف :
در فرآیند خرید، فردی که درخواست خرید را تصویب میکند (مثلاً مدیر دپارتمان) نباید همان فردی باشد که سفارش خرید را صادر میکند (مسئول تدارکات). همچنین، فردی که کالا را دریافت میکند (مسئول انبار) نباید همان کسی باشد که فاکتور را ثبت میکند و پرداخت را تأیید میکند (حسابدار). در نهایت، فردی که چک پرداخت را صادر میکند نیز باید از این فرآیندها جدا باشد. این تفکیک مانع از آن میشود که یک نفر بتواند کالایی را سفارش دهد، آن را دریافت کند، پرداخت آن را تأیید کند و در نهایت به صورت غیرمجاز وجه آن را اختلاس کند.
۲. کنترلهای تاییدی (Authorization Controls)
کنترلهای تاییدی به فرآیندهایی اشاره دارند که اطمینان میدهند تراکنشها و فعالیتها تنها پس از تصویب و مجوز توسط فرد یا افرادی که دارای اختیارات لازم هستند، صورت میگیرند. این کنترلها بر اساس سطوح مسئولیت و اهمیت تراکنشها طراحی میشوند. هدف از آنها اطمینان از مطابقت معاملات با سیاستها، رویه ها و اهداف استراتژیک سازمان و جلوگیری از انجام تراکنش های غیر ضروری یا غیرمجاز است.
مثال عملی درخصوص کنترلهای تاییدی :
- پرداخت ها: تمامی پرداختهای بالای مبلغ مشخصی (مثلاً ۵۰۰ دلار) باید توسط مدیر مالی یا مدیرعامل تأیید شوند. پرداختهای کمتر ممکن است توسط مدیر حسابداری تأیید شود.
- خریدها: هر خرید جدیدی باید توسط مدیر بخش مربوطه تأیید شود و خریدهای بزرگتر از بودجه تعیین شده نیاز به تأیید سطوح بالاتر مدیریت (مثلاً مدیرعامل یا هیئت مدیره) دارند.
- دسترسی به سیستمها: اعطای دسترسی به سیستمهای مالی یا تغییر مجوزهای کاربری باید توسط مدیر IT یا بخش امنیت اطلاعات و با تأیید مدیریت ارشد انجام شود.
۳. کنترلهای تطبیقی (Reconciliation Controls)
کنترلهای تطبیقی شامل فرآیندهای منظم بررسی و مقایسه دو یا چند مجموعه از سوابق مستقل برای شناسایی، بررسی و رفع مغایرتها است. این کنترلها به شناسایی خطاها، از قلم افتادگی ها یا حتی تقلبهایی که ممکن است در ثبت سوابق رخ داده باشند، کمک میکنند. تطبیق باید به صورت دوره ای (روزانه، هفتگی، ماهانه) انجام شود و توسط فردی مستقل از فرآیند ثبت سوابق اصلی صورت گیرد.
مثال عملی درخصوص کنترلهای تطبیقی :
- تطبیق بانکی: مقایسه مانده حساب بانکی در صورتحساب بانک با مانده حساب نقدی در دفاتر حسابداری شرکت. موارد مغایرت شامل چکهای در جریان، سپرده های در راه و اشتباهات بانکی یا شرکت میشود که باید ردیابی و اصلاح گردند.
- تطبیق حسابهای دریافتنی: مقایسه گزارش مشتریان از بدهیهایشان با مانده حسابهای دریافتنی در دفاتر شرکت.
- تطبیق موجودی کالا: مقایسه موجودی ثبتشده در سیستم انبار با شمارش فیزیکی موجودی در انبار.
- تطبیق فاکتورهای فروش و درآمد: مقایسه فاکتورهای صادرشده با گزارش درآمدهای ثبت شده.
۴. کنترلهای دسترسی (Access Controls)
کنترلهای دسترسی به مکانیزم هایی اطلاق میشود که دسترسی به دارایی های فیزیکی (مانند پول نقد، موجودی انبار، تجهیزات) و اطلاعات (مانند پایگاه های داده، فایلها، سیستم های نرمافزاری) را محدود به افراد مجاز میکنند. این کنترلها برای محافظت از داراییها در برابر استفاده، تغییر یا تخریب غیرمجاز ضروری هستند و نقش حیاتی در امنیت اطلاعات دارند.
مثال عملی درخصوص کنترلهای دسترسی :
- سیستمهای اطلاعاتی:
- رمز عبور قوی و احراز هویت دو مرحله ای (MFA): الزام به استفاده از رمزهای عبور پیچیده که به صورت دوره ای تغییر میکنند و همچنین استفاده از کدهای تأییدی از طریق تلفن یا اپلیکیشن برای ورود به سیستم.
- سطوح دسترسی مبتنی بر نقش (Role-Based Access Control – RBAC): اعطای دسترسی به سیستمها و داده ها فقط بر اساس نیاز شغلی (Need-to-Know basis). مثلاً، یک حسابدار حسابهای پرداختنی فقط به ماژول پرداختها دسترسی دارد، نه ماژول حقوق و دستمزد.
- قفل کردن خودکار صفحه نمایش: پس از یک دوره عدم فعالیت، صفحه نمایش به صورت خودکار قفل شود.
- دارایی های فیزیکی:
- کارتهای دسترسی یا بیومتریک: استفاده از کارتهای هوشمند یا اثر انگشت برای ورود به مناطق حساس مانند اتاق سرور یا خزانهداری.
- قفل و کلید: قفل کردن درب اتاقهای حاوی اسناد مهم یا دارایی های با ارزش.
۵. کنترلهای فیزیکی (Physical Controls)
کنترل های فیزیکی یکی از انواع کنترل ها است که شامل تدابیری برای حفاظت از دارایی های ملموس سازمان در برابر سرقت، آسیب، استفاده غیرمجاز یا از بین رفتن هستند. این کنترلها به خصوص برای دارایی های با ارزش بالا یا حساس (مانند وجه نقد، موجودی کالا، تجهیزات IT، اسناد محرمانه) اهمیت دارند.
مثال عملی درخصوص کنترلهای فیزیکی :
- امنیت فیزیکی ساختمان:
- دوربین های مدار بسته (CCTV): نظارت بر ورود و خروج، انبارها و مناطق حساس.
- سیستمهای اعلام سرقت و سنسورهای حرکتی: هشدار در صورت ورود غیرمجاز.
- نگهبانان امنیتی: حضور فیزیکی برای نظارت و واکنش به حوادث.
- حفاظت از دارایی های خاص:
- گاوصندوق و خزانه داری: نگهداری وجه نقد، اوراق بهادار و اسناد مهم در محفظه های امن.
- شماره گذاری اموال (Asset Tagging): برچسب گذاری و ثبت تمامی دارایی ها برای ردیابی و جلوگیری از سرقت.
- قفل کردن و محدود کردن دسترسی به انبارها: اطمینان از اینکه فقط پرسنل مجاز به موجودی کالا دسترسی دارند.
- حفاظت از داده ها:
- اتاق های سرور امن: دسترسی محدود، کنترل دما و رطوبت، سیستم های اطفاء حریق برای حفاظت از سرورها و تجهیزات شبکه.
- پشتیبان گیری فیزیکی (Offsite Backup): نگهداری نسخههای پشتیبان از اطلاعات حیاتی در مکانی امن و جداگانه.
۶. کنترلهای خودکار در سیستم های نرمافزاری (IT-Based Controls)
کنترلهای خودکار یکی از انواع کنترل ها است که در سیستمهای نرمافزاری، کنترلهایی هستند که در داخل برنامه های کامپیوتری و سیستمهای اطلاعاتی تعبیه شده اند. این کنترلها به صورت خودکار و بدون نیاز به دخالت انسانی اجرا میشوند و هدف آنها اطمینان از صحت، دقت، کامل بودن و امنیت داده ها در طول فرآیندهای سیستمی است. این نوع کنترلها به طور فزاینده ای اهمیت یافته اند، زیرا بسیاری از عملیات سازمانها به صورت دیجیتالی انجام میشوند.
مثال عملی درخصوص کنترلهای خودکار :
- کنترلهای ورودی (Input Controls):
- اعتبار سنجی داده ها (Data Validation): سیستم تنها اجازه ورود اعداد در فیلدهای عددی و تاریخ در فیلدهای تاریخ را میدهد.
- بررسی محدوده (Range Check): اطمینان از اینکه مقادیر وارد شده در یک محدوده قابل قبول هستند (مثلاً، میزان حقوق نمیتواند منفی باشد).
- بررسی کامل بودن (Completeness Check): اطمینان از اینکه تمامی فیلدهای الزامی پر شدهاند.
- کنترلهای پردازش (Processing Controls):
- محاسبات خودکار: سیستم به صورت خودکار مالیات بر ارزش افزوده یا تخفیف را محاسبه میکند تا خطای انسانی کاهش یابد.
- ردیابی تراکنش (Audit Trail): ثبت خودکار تمامی تغییرات اعمال شده بر دادهها و توسط چه کسی (تاریخ، زمان، کاربر).
- کنترلهای یکپارچگی پایگاه داده (Database Integrity Controls): تضمین اینکه دادهها در طول فرآیند پردازش خراب نمیشوند.
- کنترلهای خروجی (Output Controls):
- رمز گذاری گزارشها: رمز گذاری گزارشهای حساس قبل از ارسال از طریق ایمیل.
- کنترلهای توزیع: اطمینان از اینکه گزارشها فقط به افراد مجاز ارسال میشوند.
۷. کنترلهای مستند سازی (Documentation Controls)
کنترلهای مستند سازی به فرآیندها و سیاستهایی اشاره دارند که سازمانها برای ایجاد، نگهداری و مدیریت اسناد و مدارک مربوط به عملیات و تراکنشها به کار میبرند. مستندسازی مناسب، اساس یک سیستم کنترل داخلی قوی است و به اثبات صحت تراکنشها، ردیابی فرآیندها و فراهم آوردن شواهد برای حسابرسی کمک میکند.
مثال عملی درخصوص کنترلهای مستند سازی :
- سیاستها و رویه ها: تمامی سیاستها و رویه های عملیاتی و مالی (مانند سیاست خرید، رویه های پرداخت، دستورالعملهای ثبت حسابداری) باید به صورت مکتوب و به روز نگهداری شوند.
- مدارک تراکنش:
- فاکتورهای فروش و خرید: نگهداری نسخه های اصلی تمامی فاکتورها.
- رسیدهای پرداخت و دریافت: ثبت دقیق تمامی وجوه دریافت شده و پرداخت شده.
- قراردادها: نگهداری تمامی قراردادهای با مشتریان، تأمین کنندگان و کارکنان.
- مجوزها: تمامی تأییدیه ها و مجوزهای داخلی برای تراکنش های خاص باید مستند شوند.
- حفظ سوابق (Record Retention): ایجاد و پیروی از سیاستهایی برای مدت زمان نگهداری اسناد و مدارک، چه به صورت فیزیکی و چه دیجیتالی، بر اساس الزامات قانونی و نیازهای عملیاتی.
۸. بازبینی مدیریت (Management Review)
بازبینی مدیریت یکی از انواع کنترل ها است که یک کنترل کلیدی محسوب می شود که در آن مدیران ارشد به صورت دوره ای و منظم، عملکرد سازمان را در جنبه های مختلف مالی و عملیاتی بررسی میکنند. این فرآیند به شناسایی سریع مغایرتها، انحرافات از بودجه یا اهداف، و سایر مسائل غیرعادی کمک میکند. بازبینی مدیریت نه تنها به کشف خطاها و تخلفات کمک میکند، بلکه فرصتهایی را برای بهبود فرآیندها و تصمیم گیری استراتژیک فراهم میآورد.
مثال عملی درخصوص بازبینی مدیریت :
- مقایسه عملکرد با بودجه: مدیران مالی و اجرایی به صورت ماهانه یا فصلی گزارش های مالی واقعی را با بودجه های مصوب مقایسه میکنند تا انحرافات قابل توجه را شناسایی کنند.
- تحلیل واریانس: بررسی دلایل تفاوت های عمده بین نتایج واقعی و پیش بینی شده در گزارش های هزینه ای، درآمدی و عملیاتی.
- بررسی گزارش های استثنا (Exception Reports): مرور گزارش هایی که تراکنش های غیرعادی یا خارج از حد مجاز را نشان میدهند (مثلاً، پرداختهای تأیید نشده، ورودهای دادهای مشکوک).
- نظارت بر شاخص های کلیدی عملکرد (KPIs): بررسی منظم KPIهای مالی و عملیاتی (مانند حاشیه سود، نرخ تبدیل، بهرهوری) برای اطمینان از دستیابی به اهداف و شناسایی مناطق نیازمند بهبود.
- بازبینی گزارش های حسابرسی داخلی: بررسی یافته ها و توصیه های حسابرسان داخلی و اطمینان از اجرای اقدامات اصلاحی.
این انواع کنترل ها ، ستون های فقرات یک سیستم کنترل داخلی کارآمد را تشکیل میدهند و با همکاری یکدیگر، به سازمانها در محافظت از داراییهایشان، اطمینان از صحت اطلاعات مالی و رعایت قوانین و مقررات کمک میکنند.
منبع مورد استفاده در انواع کنترل ها در سیستم کنترل های داخلی
برای دریافت مشاوره و نیز آگاهی کامل از شرایط ارائه خدمات حسابداری با ما در تماس باشید :
مطالب مرتبط با انواع کنترل ها در سیستم کنترل های داخلی :
Loading...