انواع کنترل ها در سیستم کنترل های داخلی
کنترلهای داخلی مجموعهای از فرآیندها، سیاستها و رویههایی هستند که توسط هیئت مدیره، مدیریت و سایر کارکنان یک سازمان طراحی و پیادهسازی میشوند تا اطمینان معقولی از دستیابی به اهداف عملیاتی، گزارشگری مالی و رعایت قوانین و مقررات حاصل شود. انواع کنترل ها در سیستم کنترل های داخلی، آنهایی هستند که بیشترین نقش را در جلوگیری از تقلب، اشتباهات مالی و سوءاستفاده از داراییها ایفا میکنند. در ادامه، به توضیح تفصیلی انواع کنترل ها میپردازیم:
۱. تفکیک وظایف (Segregation of Duties)
تفکیک وظایف یکی از سنگ بناهای سیستم کنترل داخلی مؤثر است و هدف اصلی آن، کاهش فرصت برای یک فرد جهت ارتکاب و پنهانسازی تقلب یا خطا است. این اصل بر این پایه استوار است که هیچ فرد واحدی نباید مسئول تمام جنبههای یک تراکنش مالی، از شروع تا پایان، باشد. وظایف اصلی که باید تفکیک شوند عبارتند از:
- تصویب (Authorization): اختیار صدور مجوز برای شروع یک تراکنش.
- ثبت (Recording): مسئولیت ثبت تراکنش در سیستمهای حسابداری.
- حفظ دارایی (Custody): نگهداری و دسترسی فیزیکی به داراییهای مرتبط با تراکنش.
- تطبیق (Reconciliation): بررسی و مقایسه سوابق برای اطمینان از صحت آنها.
مثال عملی:
در فرآیند خرید، فردی که درخواست خرید را تصویب میکند (مثلاً مدیر دپارتمان) نباید همان فردی باشد که سفارش خرید را صادر میکند (مسئول تدارکات). همچنین، فردی که کالا را دریافت میکند (مسئول انبار) نباید همان کسی باشد که فاکتور را ثبت میکند و پرداخت را تأیید میکند (حسابدار). در نهایت، فردی که چک پرداخت را صادر میکند نیز باید از این فرآیندها جدا باشد. این تفکیک مانع از آن میشود که یک نفر بتواند کالایی را سفارش دهد، آن را دریافت کند، پرداخت آن را تأیید کند و در نهایت به صورت غیرمجاز وجه آن را اختلاس کند.
۲. کنترلهای تأییدی (Authorization Controls)
کنترلهای تأییدی به فرآیندهایی اشاره دارند که اطمینان میدهند تراکنشها و فعالیتها تنها پس از تصویب و مجوز توسط فرد یا افرادی که دارای اختیارات لازم هستند، صورت میگیرند. این کنترلها بر اساس سطوح مسئولیت و اهمیت تراکنشها طراحی میشوند. هدف از آنها اطمینان از مطابقت معاملات با سیاستها، رویهها و اهداف استراتژیک سازمان و جلوگیری از انجام تراکنشهای غیرضروری یا غیرمجاز است.
مثال عملی:
- پرداختها: تمامی پرداختهای بالای مبلغ مشخصی (مثلاً ۵۰۰ دلار) باید توسط مدیر مالی یا مدیرعامل تأیید شوند. پرداختهای کمتر ممکن است توسط مدیر حسابداری تأیید شود.
- خریدها: هر خرید جدیدی باید توسط مدیر بخش مربوطه تأیید شود و خریدهای بزرگتر از بودجه تعیینشده نیاز به تأیید سطوح بالاتر مدیریت (مثلاً مدیرعامل یا هیئت مدیره) دارند.
- دسترسی به سیستمها: اعطای دسترسی به سیستمهای مالی یا تغییر مجوزهای کاربری باید توسط مدیر IT یا بخش امنیت اطلاعات و با تأیید مدیریت ارشد انجام شود.
۳. کنترلهای تطبیقی (Reconciliation Controls)
کنترلهای تطبیقی شامل فرآیندهای منظم بررسی و مقایسه دو یا چند مجموعه از سوابق مستقل برای شناسایی، بررسی و رفع مغایرتها است. این کنترلها به شناسایی خطاها، از قلم افتادگیها یا حتی تقلبهایی که ممکن است در ثبت سوابق رخ داده باشند، کمک میکنند. تطبیق باید به صورت دورهای (روزانه، هفتگی، ماهانه) انجام شود و توسط فردی مستقل از فرآیند ثبت سوابق اصلی صورت گیرد.
مثال عملی:
- تطبیق بانکی: مقایسه مانده حساب بانکی در صورتحساب بانک با مانده حساب نقدی در دفاتر حسابداری شرکت. موارد مغایرت شامل چکهای در جریان، سپردههای در راه و اشتباهات بانکی یا شرکت میشود که باید ردیابی و اصلاح گردند.
- تطبیق حسابهای دریافتنی: مقایسه گزارش مشتریان از بدهیهایشان با مانده حسابهای دریافتنی در دفاتر شرکت.
- تطبیق موجودی کالا: مقایسه موجودی ثبتشده در سیستم انبار با شمارش فیزیکی موجودی در انبار.
- تطبیق فاکتورهای فروش و درآمد: مقایسه فاکتورهای صادرشده با گزارش درآمدهای ثبتشده.
۴. کنترلهای دسترسی (Access Controls)
کنترلهای دسترسی به مکانیزمهایی اطلاق میشود که دسترسی به داراییهای فیزیکی (مانند پول نقد، موجودی انبار، تجهیزات) و اطلاعات (مانند پایگاههای داده، فایلها، سیستمهای نرمافزاری) را محدود به افراد مجاز میکنند. این کنترلها برای محافظت از داراییها در برابر استفاده، تغییر یا تخریب غیرمجاز ضروری هستند و نقش حیاتی در امنیت اطلاعات دارند.
مثال عملی:
- سیستمهای اطلاعاتی:
- رمز عبور قوی و احراز هویت دو مرحلهای (MFA): الزام به استفاده از رمزهای عبور پیچیده که به صورت دورهای تغییر میکنند و همچنین استفاده از کدهای تأییدی از طریق تلفن یا اپلیکیشن برای ورود به سیستم.
- سطوح دسترسی مبتنی بر نقش (Role-Based Access Control – RBAC): اعطای دسترسی به سیستمها و دادهها فقط بر اساس نیاز شغلی (Need-to-Know basis). مثلاً، یک حسابدار حسابهای پرداختنی فقط به ماژول پرداختها دسترسی دارد، نه ماژول حقوق و دستمزد.
- قفل کردن خودکار صفحه نمایش: پس از یک دوره عدم فعالیت، صفحه نمایش به صورت خودکار قفل شود.
- داراییهای فیزیکی:
- کارتهای دسترسی یا بیومتریک: استفاده از کارتهای هوشمند یا اثر انگشت برای ورود به مناطق حساس مانند اتاق سرور یا خزانهداری.
- قفل و کلید: قفل کردن درب اتاقهای حاوی اسناد مهم یا داراییهای با ارزش.
۵. کنترلهای فیزیکی (Physical Controls)
کنترلهای فیزیکی یکی از انواع کنترل ها است که شامل تدابیری برای حفاظت از داراییهای ملموس سازمان در برابر سرقت، آسیب، استفاده غیرمجاز یا از بین رفتن هستند. این کنترلها به خصوص برای داراییهای با ارزش بالا یا حساس (مانند وجه نقد، موجودی کالا، تجهیزات IT، اسناد محرمانه) اهمیت دارند.
مثال عملی:
- امنیت فیزیکی ساختمان:
- دوربینهای مداربسته (CCTV): نظارت بر ورود و خروج، انبارها و مناطق حساس.
- سیستمهای اعلام سرقت و سنسورهای حرکتی: هشدار در صورت ورود غیرمجاز.
- نگهبانان امنیتی: حضور فیزیکی برای نظارت و واکنش به حوادث.
- حفاظت از داراییهای خاص:
- گاوصندوق و خزانهداری: نگهداری وجه نقد، اوراق بهادار و اسناد مهم در محفظههای امن.
- شمارهگذاری اموال (Asset Tagging): برچسبگذاری و ثبت تمامی داراییها برای ردیابی و جلوگیری از سرقت.
- قفل کردن و محدود کردن دسترسی به انبارها: اطمینان از اینکه فقط پرسنل مجاز به موجودی کالا دسترسی دارند.
- حفاظت از دادهها:
- اتاقهای سرور امن: دسترسی محدود، کنترل دما و رطوبت، سیستمهای اطفاء حریق برای حفاظت از سرورها و تجهیزات شبکه.
- پشتیبانگیری فیزیکی (Offsite Backup): نگهداری نسخههای پشتیبان از اطلاعات حیاتی در مکانی امن و جداگانه.
۶. کنترلهای خودکار در سیستمهای نرمافزاری (IT-Based Controls)
کنترلهای خودکار یکی از انواع کنترل ها است که در سیستمهای نرمافزاری، کنترلهایی هستند که در داخل برنامههای کامپیوتری و سیستمهای اطلاعاتی تعبیه شدهاند. این کنترلها به صورت خودکار و بدون نیاز به دخالت انسانی اجرا میشوند و هدف آنها اطمینان از صحت، دقت، کامل بودن و امنیت دادهها در طول فرآیندهای سیستمی است. این نوع کنترلها به طور فزایندهای اهمیت یافتهاند، زیرا بسیاری از عملیات سازمانها به صورت دیجیتالی انجام میشوند.
مثال عملی:
- کنترلهای ورودی (Input Controls):
- اعتبارسنجی دادهها (Data Validation): سیستم تنها اجازه ورود اعداد در فیلدهای عددی و تاریخ در فیلدهای تاریخ را میدهد.
- بررسی محدوده (Range Check): اطمینان از اینکه مقادیر وارد شده در یک محدوده قابل قبول هستند (مثلاً، میزان حقوق نمیتواند منفی باشد).
- بررسی کامل بودن (Completeness Check): اطمینان از اینکه تمامی فیلدهای الزامی پر شدهاند.
- کنترلهای پردازش (Processing Controls):
- محاسبات خودکار: سیستم به صورت خودکار مالیات بر ارزش افزوده یا تخفیف را محاسبه میکند تا خطای انسانی کاهش یابد.
- ردیابی تراکنش (Audit Trail): ثبت خودکار تمامی تغییرات اعمال شده بر دادهها و توسط چه کسی (تاریخ، زمان، کاربر).
- کنترلهای یکپارچگی پایگاه داده (Database Integrity Controls): تضمین اینکه دادهها در طول فرآیند پردازش خراب نمیشوند.
- کنترلهای خروجی (Output Controls):
- رمزگذاری گزارشها: رمزگذاری گزارشهای حساس قبل از ارسال از طریق ایمیل.
- کنترلهای توزیع: اطمینان از اینکه گزارشها فقط به افراد مجاز ارسال میشوند.
۷. کنترلهای مستندسازی (Documentation Controls)
کنترلهای مستندسازی به فرآیندها و سیاستهایی اشاره دارند که سازمانها برای ایجاد، نگهداری و مدیریت اسناد و مدارک مربوط به عملیات و تراکنشها به کار میبرند. مستندسازی مناسب، اساس یک سیستم کنترل داخلی قوی است و به اثبات صحت تراکنشها، ردیابی فرآیندها و فراهم آوردن شواهد برای حسابرسی کمک میکند.
مثال عملی:
- سیاستها و رویهها: تمامی سیاستها و رویههای عملیاتی و مالی (مانند سیاست خرید، رویههای پرداخت، دستورالعملهای ثبت حسابداری) باید به صورت مکتوب و بهروز نگهداری شوند.
- مدارک تراکنش:
- فاکتورهای فروش و خرید: نگهداری نسخههای اصلی تمامی فاکتورها.
- رسیدهای پرداخت و دریافت: ثبت دقیق تمامی وجوه دریافتشده و پرداختشده.
- قراردادها: نگهداری تمامی قراردادهای با مشتریان، تأمینکنندگان و کارکنان.
- مجوزها: تمامی تأییدیهها و مجوزهای داخلی برای تراکنشهای خاص باید مستند شوند.
- حفظ سوابق (Record Retention): ایجاد و پیروی از سیاستهایی برای مدت زمان نگهداری اسناد و مدارک، چه به صورت فیزیکی و چه دیجیتالی، بر اساس الزامات قانونی و نیازهای عملیاتی.
۸. بازبینی مدیریت (Management Review)
بازبینی مدیریت یکی از انواع کنترل ها است که یک کنترل کلیدی محسوب می شود که در آن مدیران ارشد به صورت دورهای و منظم، عملکرد سازمان را در جنبههای مختلف مالی و عملیاتی بررسی میکنند. این فرآیند به شناسایی سریع مغایرتها، انحرافات از بودجه یا اهداف، و سایر مسائل غیرعادی کمک میکند. بازبینی مدیریت نه تنها به کشف خطاها و تخلفات کمک میکند، بلکه فرصتهایی را برای بهبود فرآیندها و تصمیمگیری استراتژیک فراهم میآورد.
مثال عملی :
- مقایسه عملکرد با بودجه: مدیران مالی و اجرایی به صورت ماهانه یا فصلی گزارشهای مالی واقعی را با بودجههای مصوب مقایسه میکنند تا انحرافات قابل توجه را شناسایی کنند.
- تحلیل واریانس: بررسی دلایل تفاوتهای عمده بین نتایج واقعی و پیشبینیشده در گزارشهای هزینهای، درآمدی و عملیاتی.
- بررسی گزارشهای استثنا (Exception Reports): مرور گزارشهایی که تراکنشهای غیرعادی یا خارج از حد مجاز را نشان میدهند (مثلاً، پرداختهای تأیید نشده، ورودهای دادهای مشکوک).
- نظارت بر شاخصهای کلیدی عملکرد (KPIs): بررسی منظم KPIهای مالی و عملیاتی (مانند حاشیه سود، نرخ تبدیل، بهرهوری) برای اطمینان از دستیابی به اهداف و شناسایی مناطق نیازمند بهبود.
- بازبینی گزارشهای حسابرسی داخلی: بررسی یافتهها و توصیههای حسابرسان داخلی و اطمینان از اجرای اقدامات اصلاحی.
این انواع کنترل ها ، ستونهای فقرات یک سیستم کنترل داخلی کارآمد را تشکیل میدهند و با همکاری یکدیگر، به سازمانها در محافظت از داراییهایشان، اطمینان از صحت اطلاعات مالی و رعایت قوانین و مقررات کمک میکنند.
———————————————————————————-
برای دریافت مشاوره درخصوص طراحی سیستمهای کنترل داخلی با ما در تماس باشید :
تلفن ۱ : ۰۲۱۸۸۱۹۱۴۸۲
تلفن ۲ : ۰۲۱۸۸۱۹۱۴۸۳
فکس : ۸۸۲۰۵۷۶۶ ۲۱ ۹۸++
Email: Info@ArghamNegar.com
Loading...