روش های ارزیابی ریسک
روش های ارزیابی ریسک:
روش های ارزیابی ریسک متداول برای شناسایی،مستند سازی و ارزیابی ریسک” رویکرد ریسک-خاص”،”رویکرد ریسک مبتنی بر فرایند “و”رویکرد عامل ریسک” است.
مدیران حسابرسی داخلی،می توانند رویکرد خود برای ارزیابی ریسک کل سازمان را با توجه به نیاز خود،تعدیل کنند.
و یا ترکیبی از رویکردهای مذکور را مورد استفاده قرار دهند.
در انتخاب رویکرد و معیار ارزیابی ریسک،باید بازخورد مدیران ارشد و هیات مدیره(و کمیته های مربوط به هر کدام)در نظر گرفته شود.
ارزیابی های ریسک،به طور معمول شامل هر دو روش کمی و کیفی است.
برای تسهیل فعالیت حسابرسی داخلی،انتخاب های فراوانی برای نرم افزار وجود دارد تا ارزیابی ریسک را به نحوی انجام گردد.
که نتایج آن،شامل هر دو نوع داده های کمی و کیفی باشد.
روش های ریسک-خاص می تواند از پایین به بالا در نظر گرفته شود،چرا که شامل ریسک های قابل حسابرسی،در ارتباط است.
ریسک هایی که در ارتباط با اهداف کسب و کار است.
معمولا از طریق برگزاری جلسات با مدیریت که به طور ویژه به این هدف مرتبط باشد.
شناسایی و بر اساس معیارهای ترکیبی(مانند احتمال وقوع و تاثیر)و ارزیابی امتیازهای ریسک ترکیبی برای واحدهای قابل حسابرسی،به شکل جداگانه محاسبه می شوند.
این رویکرد با فراوانی بالایی برای ارزیابی های ریسک مرتبط با هر کار حسابرسی استفاده می شود.
اما اگر این روش در سطح سازمانی گسترده شود،ممکن است پیچیده و غیر اثر بخش باشد.
زیرا در سطح سازمان تعداد واحدهای قابل حسابرسی و ریسک ها بیار گسترده است.نسخه ساده ای از این رویکرد،در پیوست نشان داده شده است.
روش های ریسک مبتنی بر فرایند مشابه رویکرد ریسک خاص است.
حسابرسان داخلی و مدیریت،با توجه به فرایندهای کسب و کار در کل سازمان به عنوان یک واحد قابل حسابرسی،کار را شروع می کنند.
ریسک های اصلی مربوط به هر یک از فرایند ها مشخص می شوند.
به علاوه،حسابرسان داخلی در تلاش هستند تا مشخص کنند،کدام یک از فرایندها نقش کلیدی در دستیابی به اهداف ایفا می کنند.
و ریسک ها تا چه به طور اثر بخش در آن فرایندها،مدیریت می شوند.
روش های عامل ریسک از بالا به پایین در نظر گرفته می شود،زیرا به شرایط سطح بالا که بین اکثر واحدهای قابل حسابرسی مشترک است،توجه می کند.
این روش ها،معمولا به هنگام ارزیابی ریسک جامع سازمان استفاده می شود،چرا که دیدگاهی در سطح کلان را فراهم می کند.
حسابرسان داخلی،عوامل مشترک بین تمام واحدهای قابل حسابرسی را که بر توانایی سازمان در دستیابی به اهدافش موثر است،شناسایی می کنند.
عوامل ریسک خودشان ریسک نیستند،بلکه شرایطی هستند که وابسته به وجود ریسک اند،در واقع،شرایطی هستند.
که نشان می دهند ریسک های مهم به احتمال زیاد به وقوع می پیوندند.
فهرست عوامل ریسک بالقوه،ممکن است گسترده شده فرایند ارزیابی ریسک را پچیده تر کند.
مدیران حسابرسی داخلی،می توانند از طریق گروه بندی عوامل ریسک در طبقاتی مانند راهبردی،رعایتی،عملیاتی و مالی،این فرایند را ساده کنند.
در برخی سازمان ها،مدیریت ارشد و هیات مدیره،در مورد عوامل ریسکی که معتقدند برای دستیابی به اهداف بسیار مربوط هستند.
توصیه هایی به حسابرسان داخلی ارائه می کنند.
برخی از عوامل ریسک،ممکن است با طبقات متعددی پیوند داشته باشند.
با این حال،طبقه بندی عوامل ریسک،ممکن است هنگام خلاصه کردن ارزیابی ریسک برای ارائه به مدیریت ارشد و هیات مدیره،راحت تر باشد.
نمونه عوامل ریسک و طبقه بندی آن شامل موارد زیر هستند:
- سطح نسبی فعالیت(برای مثال تعداد معاملات)
- اهمیت(مقدار درآمد یا هزینه)
- نقد شوندگی دارایی های مورد استفاده
- تاثیر بر برند(انتظار عمومی و شهرت)
- ناکامی در دستیابی به اهداف
- صلاحیت،عملکرد و جابه جایی مدیریت
- شناخت ضعف ها(نتایج نا مطلوب کارهای قبلی)
- میزان تغییردر سیستم ها،خط مشی ها،رویه ها،قراردادها،ارتباطات.
- حساسیت نسبت به تقلب
- پیچیدگی عملیات
- میزان اتکا برشخص ثالث
- اثر بخشی کنترل های داخلی،محیط کنترلی
- میزان مشمولیت قانون و مقررات،ملاحظات مربوط به رعایت قوانین
- فاصله ی زمانی آخرین ارزیابی یا حسابرسی
پیوست نمونه ای از روش ها ریسک،با استفاده از رویکرد عامل ریسک ارائه می کند.
چقدر اهمیت این ریسکها برای سازمان است؟
اهمیت ریسکها برای سازمان میتواند بسیار متفاوت باشد و بستگی به نوع فعالیتها، صنعت، اولویتها و اهداف سازمان دارد. برای برخی سازمانها، ریسکها ممکن است بهطور مستقیم و جدی به عملکرد و بقای آنها تأثیر بگذارند، در حالیکه برای دیگران ممکن است ریسکها کمتر اهمیت داشته باشند.
چه تدابیری برای کاهش یا از بین بردن ریسکها اتخاذ میشود؟
برای کاهش یا از بین بردن ریسکها، سازمانها میتوانند به روشها و تدابیر متنوعی اقدام کنند. برخی از این تدابیر عبارتند از:
- تعیین راهکارهای جایگزین: شناسایی راهکارهای جایگزین و ممکن برای کاهش ریسکها، از جمله استفاده از فناوریهای مدرن، تغییر استراتژیها، یا اصلاح فرآیندهای عملیاتی.
- استفاده از بیمه: تأمین بیمه برای پوشش مالی در برابر خسارات ناشی از ریسکها، مانند بیمه تأمین اجتماعی، بیمه سازمانی، و بیمه مسئولیت مدنی.
- مدیریت موثر منابع: استفاده بهینه از منابع مالی، انسانی، و فیزیکی به منظور مدیریت و کاهش ریسکها.
- آموزش و آگاهیبخشی: آموزش کارکنان درباره ریسکها و روشهای مدیریت آنها، و تشویق آنها به گزارش هر گونه موضوع یا شرایطی که ممکن است به ریسکها اضافه کنند.
- توسعه طرحها و برنامههای بحرانی: توسعه طرحها و برنامههای بحرانی برای مقابله با ریسکها و حفاظت از فعالیتها و داراییهای سازمان در صورت وقوع رخدادهای ناخواسته.
- استفاده از تکنولوژی: بهرهگیری از فناوریهای مدرن مانند سیستمهای هوش مصنوعی، تحلیل دادهها، ردیابی موقعیت و امنیت اطلاعات برای تشخیص و پیشبینی ریسکها.
- برنامهریزی ریسک: تعیین و تحلیل ریسکها، و توسعه برنامههای مستقل و یا تدابیر اصلاحی برای مدیریت و کاهش آنها.
- استفاده از استانداردها و رویهها: رعایت استانداردها، قوانین، و رویههای مناسب در سازمان به منظور ایجاد یک فرهنگ مدیریت ریسک مؤثر.
چگونه ریسکها را در سازمان ارزیابی و رتبهبندی میکنید؟
ارزیابی و رتبهبندی ریسکها یک فرآیند حیاتی برای مدیریت ریسکها در سازمان است. برای انجام این کار میتوانید از روشها و فرآیندهای زیر استفاده کنید:
- شناسایی ریسکها: ابتدا باید تمامی ریسکهای ممکن که میتوانند به سازمان تأثیر بگذارند، شناسایی شوند. این شامل ریسکهای مرتبط با محصولات یا خدمات، فرآیندها، مشتریان، محیط زیست، قوانین و مقررات، و سایر عوامل است.
- ارزیابی احتمال و تأثیر: هر ریسک باید بر اساس احتمال وقوع و تأثیر آن بر سازمان ارزیابی شود. احتمال وقوع ریسک میتواند از پایین، متوسط تا بالا برآیند و تأثیر آن میتواند از کم، متوسط تا بالا باشد.
- رتبهبندی ریسکها: با در نظر گرفتن احتمال و تأثیر، ریسکها باید بر اساس میزان اهمیت و فوریت خود رتبهبندی شوند. این امر میتواند بهصورت کمی (با استفاده از مدلهای ریاضی مانند ماتریس احتمال و تأثیر) یا کیفی (با استفاده از تجربه و تخمین مدیران) صورت گیرد.
- تعیین استراتژیهای مدیریت ریسک: پس از رتبهبندی ریسکها، استراتژیهای مناسب برای مدیریت هر ریسک مشخص میشود. این شامل قبول، انتقال، کاهش، یا اجتناب از ریسک میتواند باشد.
- پایش و بازبینی مداوم: باید یک فرآیند پایش و بازبینی مداوم برای ریسکها و استراتژیهای مدیریت آنها تعیین شود. این امر به اطمینان از اینکه ریسکها در طول زمان تحت کنترل هستند و استراتژیهای مدیریت بهطور موثر عمل میکنند، کمک میکند.