وظیفه حسابرسی داخلی دفتر خانوادگی: دامنه، خطوط گزارشدهی و تدابیر حفظ استقلال
دفاتر خانوادگی با پیچیدگی قابل توجه—بهویژه آنهایی که ثروت چندنسلی را در چندین حوزه قضایی، ابزارهای سرمایهگذاری و ارائهدهندگان خدمات مدیریت میکنند—به یک وظیفه حسابرسی داخلی رسمی برای پشتیبانی از حاکمیت، مدیریت ریسک و انطباق نظارتی نیاز دارند. طراحی این وظیفه باید اطمینان دهد که بهصورت مستقل از مدیریت خط عمل میکند و در عین حال تضمین عینی از مؤثر بودن کنترلهای داخلی، کاهش ریسک و فرآیندهای حاکمیتی ارائه میدهد. این مقاله روش تعریف دامنه مأموریت حسابرسی داخلی، خطوط گزارشدهی و تدابیر حفظ استقلال را بهگونهای که با انتظارات نظارتی و مدل سه خط مؤسسه حسابرسان داخلی همراستا باشد، شرح میدهد.
وظیفه حسابرسی داخلی در یک دفتر خانوادگی باید بر پایه منشور رسمی که توسط هیئت مدیره یا نهاد حاکم معادل تصویب شده است، ایجاد شود. این منشور باید هدف، اختیارات، دامنه و مسئولیتهای وظیفه را مطابق با استانداردهای دفتر حسابرس ارزی (OCC) برای کنترل داخلی و حاکمیت حسابرسی تعریف کند. بر اساس کتابچههای OCC با عناوین Internal Control و Internal and External Audits، منشور باید بهصراحت دسترسی نامحدود وظیفه حسابرسی داخلی به تمام سوابق، پرسنل و اموال فیزیکی لازم برای انجام وظایفش را اعطا کند. همچنین باید مشخص کند که سرپرست حسابرسی داخلی بهصورت عملکردی به کمیته حسابرسی و بهصورت اداری به یک مدیر ارشد—معمولاً مدیرعامل یا رئیس هیئت مدیره—گزارش میدهد.
موقعیت ساختاری حسابرسی داخلی باید با پروفیل ریسک دفتر همراستا باشد. برای دفاتری که پرتفویهای امانات، سرمایهگذاری خصوصی یا املاک را مدیریت میکنند، این وظیفه باید در سطحی قرار گیرد که بتواند بر تصمیمات استراتژیک تأثیر بگذارد و اطلاعات بهموقع را بهدست آورد. OCC تأکید میکند که موقعیت سازمانی و روابط گزارشدهی حسابرسی داخلی برای اثربخشی و عینیت آن حیاتی است. در مواردی که دفتر خانوادگی تحت نظارت نظارتی عمل میکند—مانند زیرمجموعههای مشاور سرمایهگذاری ثبتشده—مأموریت حسابرسی داخلی ممکن است مشمول الزامات اضافی تحت قوانین SEC برای مشاوران سرمایهگذاری ثبتشده، از جمله قانون برنامه انطباق Advisers Act، باشد.
دامنه حسابرسی داخلی باید مبتنی بر ریسک و پویا باشد و تمام فعالیتهای تجاری مهم، سیستمها و کنترلها را پوشش دهد. بر اساس راهنمایی OCC، این دامنه باید شامل ماهیت و گستره کسبوکارها، خطوط محصول، خدمات و عملکردها نسبت به پروفیل ریسک دفتر باشد. این شامل فرآیندهای مدیریت سرمایهگذاری، اداره امانات و املاک، انطباق مالیاتی، امنیت سایبری، ریسک طرفهای ثالث (مانند ارائهدهندگان خدمات دفتر خانوادگی، نگهدارندگان، مشاوران حقوقی) و نظارت بر تراکنشهای مرتبط با طرفهای مرتبط میشود.
فرکانس و عمق ممیزیها باید بر اساس میزان ریسک تنظیم شود: حوزههای پرریسک—مانند موقعیتهای متمرکز، استراتژیهای مشتقه یا ساختارهای صندوقهای فرامرزی—باید به صورت سالانه یا با دفعات بیشتر بررسی شوند؛ حوزههای کمریسک—مانند عملکردهای پشتیبانی اداری—میتوانند در یک دوره چندساله مورد بازبینی قرار گیرند. دامنه نیز باید شامل اثربخشی فعالیتهای کنترلی باشد، از جمله جداسازی وظایف، آستانههای مجوزدهی و روشهای تطبیق. در مواردی که دفتر به عملکردهای برونسپاریشده (مثلاً حسابداری، نظارت بر انطباق) وابسته است، ممیزی داخلی باید کافی بودن نظارت را ارزیابی کند، از جمله بررسی گزارشهای سازمان خدمات (مانند SOC 1 یا SOC 2).
عملکرد ممیزی داخلی باید از نظر عملکردی به کمیته حسابرسی گزارش دهد تا استقلال حفظ شود و ارتقاء به موقع مسائل مهم تضمین گردد. این خط گزارشدهی به مدیر ارشد ممیزی امکان میدهد نتایج و توصیهها را بهصورت مستقیم به کمیته ارائه کند بدون دخالت مدیریت. از نظر اداری، این عملکرد باید به یک مدیر ارشد—معمولاً مدیرعامل یا رئیس هیئت مدیره—گزارش دهد تا تخصیص منابع، نیروی انسانی و هماهنگی عملیاتی تسهیل شود.
کمیته حسابرسی مسئول تصویب منشور ممیزی داخلی، برنامه سالانه و بودجه، و ارزیابی عملکرد مدیر ارشد ممیزی است. کمیته باید بهصورت جداگانه از مدیریت با ممیزی داخلی ملاقات کند تا موارد حساس از جمله تضادهای احتمالی یا محدودیتهای دامنه را بررسی نماید. کتابچه راهنمای Corporate and Risk Governance منتشر شده توسط OCC اشاره میکند که هیئتمدیرهها و کمیتهها باید کافی بودن عملکرد ممیزی داخلی را در چارچوب گستردهتر حاکمیت ریسک ارزیابی کنند، از جمله استقلال حسابرسان و کیفیت نتایج ممیزی.
استقلال از طریق تدابیر ساختاری، رویهای و فرهنگی حفظ میشود. از نظر ساختاری، مدیر ارشد ممیزی نباید هیچ مسئولیت عملیاتی داشته باشد و نباید به مدیریت خطی گزارش دهد. از نظر رویهای، این عملکرد باید دسترسی بدون محدودیت به تمام سوابق، سیستمها و پرسنل داشته باشد و بتواند در صورت لزوم بدون تأیید پیشین مدیریت، با کارشناسان یا مشاوران خارجی همکاری کند. تیم ممیزی داخلی نباید مأمور اجرای کنترلها یا طراحی سیستمها شود—اینها مسئولیتهای خطی تحت مدل سه خط هستند.
مدل Three Lines Model منتشر شده توسط Institute of Internal Auditors روشن میکند که ممیزی داخلی (خط سوم) تضمین مستقل از اثربخشی خط اول (واحدهای تجاری) و خط دوم (وظایف ریسک و انطباق) ارائه میدهد. برای حفظ بیطرفی، پرسنل ممیزی داخلی باید از ممیزی حوزههایی که پیش از آن بهعنوان مدیر یا مسئول پیادهسازی فعالیت داشتهاند، به مدت حداقل یک سال خودداری کنند. ارزیابی عملکرد مدیر ارشد ممیزی باید صرفاً توسط کمیته حسابرسی انجام شود و در صورت لزوم با ورودی از اعضای مستقل هیئتمدیره.
دفاتر خانوادگی معمولاً با ادغام ممیزی داخلی با نظارت بر انطباق، تهیه مالیات یا پشتیبانی عملیاتی، اثرگذاری آن را تضعیف میکنند. ممیزی داخلی نباید وظایف مدیریتی مانند تهیه صورتهای مالی، انجام بررسی دقیق سرمایهگذاریهای جدید یا تدوین سیاستها را انجام دهد. هنگامی که ممیزی داخلی بهعنوان تیم عملیاتی واقعی به کار گرفته میشود، بیطرفی آن به خطر میافتد و نظارت نظارتی افزایش مییابد.
خطای رایج دیگر محدود کردن دسترسی به اطلاعات یا پرسنل است. مدیریت ممکن است در ارائه دسترسی به اعضای خانواده، مشاوران مورد اعتماد یا سیستمهای اختصاصی مقاومت کند. برای رفع این مشکل، منشور ممیزی داخلی باید بهصراحت حق دسترسی را اعطا کند و از تمام کارکنان و اعضای هیئتمدیره بخواهد با درخواستهای ممیزی همکاری کنند. در صورتی که مقاومت ادامه یابد، مدیر ارشد ممیزی باید موضوع را مستقیماً به کمیته حسابرسی ارجاع دهد و در صورت عدم حل، به کل هیئتمدیره منتقل کند.
یک دفتر خانوادگی را در نظر بگیرید که داراییهای 1.2 میلیارد دلاری را در سه نهاد حقوقی مدیریت میکند: یک شرکت سرمایهگذاری خانوادگی، یک شرکت تراست و یک بنیاد خصوصی. عملکرد ممیزی داخلی که توسط دو متخصص انجام میشود، برنامه سالانهای را بر پایه ماتریس ریسک که عوامل حوزه قضایی، تمرکز دارایی، مواجهه با طرفهای سوم و مواجهه نظارتی را وزن میدهد، تدوین میکند. حوزههای پرریسک شامل کنترلهای امانتی شرکت تراست، سرمایهگذاریهای صندوقهای فرامرزی و انطباق اعطای کمکهای بنیاد میباشند. این موارد برای بازبینیهای فصلی برنامهریزی شدهاند، در حالی که عملکردهای اداری (مانند منابع انسانی، تسهیلات) به صورت دو ساله بازبینی میشوند.
مدیر ارشد ممیزی بهصورت اداری به رئیس هیئتمدیره گزارش میدهد و بهصورت عملکردی به کمیته حسابرسی. کمیته حسابرسی بهصورت فصلی با ممیزی داخلی در جلسه اجرایی ملاقات میکند و گزارشهای مکتوبی از تمام مأموریتها دریافت مینماید. هنگامی که ممیزی داخلی یک نقص کنترلی در فرآیند بررسی تضاد منافع شرکت تراست شناسایی میکند، این یافته مستقیماً به کمیته ارجاع میشود؛ سپس کمیته مدیریت را ملزم به اجرای یک جریان کاری تأییدیه بازنگریشده و آموزش مجدد پرسنل میکند. تیم ممیزی داخلی جریان کاری جدید را طراحی یا اجرا نمیکند—این مسئولیت خطی باقی میماند—بهطوری که استقلال حفظ شود.
منابع
چه عواملی دامنه مناسب وظیفه حسابرسی داخلی در یک دفتر خانوادگی را تعیین میکنند؟
دامنه باید ماهیت و پیچیدگی کسبوکارها، خطوط محصول، خدمات و عملکردهای دفتر را نسبت به پروفیل ریسک آن منعکس کند، از جمله ساختارهای سرمایهگذاری، عملیات امانات و وابستگیهای طرفهای ثالث. این دامنه باید تمام حوزههای مالی و عملیاتی مهم را بر اساس برنامهای مبتنی بر ریسک پوشش دهد.
وظیفه حسابرسی داخلی برای حفظ استقلال به چه کسی باید گزارش دهد؟
این وظیفه باید بهصورت عملکردی به کمیته حسابرسی (یا نهاد حاکم معادل) و بهصورت اداری به مدیرعامل یا رئیس هیئت مدیره گزارش دهد. این گزارشدهی دوگانه، عینیت را حفظ میکند و در عین حال حمایت عملیاتی و دسترسی به منابع لازم را تضمین مینماید.
چه تدابیر ساختاری استقلال وظیفه حسابرسی داخلی را محافظت میکنند؟
استقلال از طریق تصویب رسمی منشور توسط هیئت مدیره، دسترسی مستقیم به کمیته حسابرسی بدون مداخله مدیریت، دسترسی آزاد به سوابق و پرسنل، و ارزیابی عملکرد توسط کمیته حسابرسی (نه توسط مدیریت خط) حفظ میشود.