ریسک خاموش در ساختار حاکمیت شرکتی

سعید خورشیدی* ریسک‌های سازمانی همیشه از تصمیم‌های پرخطر یا خطاهای بزرگ آغاز نمی‌شوند. بسیاری از بحران‌ها حاصل انباشت تدریجی ضعف‌هایی هستند که چون در کوتاه‌مدت مساله‌ای ایجاد نمی‌کنند، از رادار نظارت خارج می‌مانند. فقدان یا ضعف مستندسازی فرآیندها از همین جنس است. مساله‌ای که در سطح عملیات، با جمله «کار راه می‌افتد» توجیه می‌شود، اما در سطح حاکمیت شرکتی، به‌تدریج حافظه نهادی، پاسخگویی و قابلیت کنترل را فرسایش می‌دهد. این همان ریسک خاموش است؛ بی‌صدا، تجمعی و پرهزینه.

مساله اصلی، نبود سند به‌معنای شکلی آن نیست؛ مساله، جابه‌جایی مرکز ثقل کنترل است. وقتی فرآیندها تعریف و تثبیت نشده‌اند، کنترل از سیستم به اشخاص منتقل می‌شود. کار انجام می‌شود، تصمیم گرفته می‌شود و خروجی تحویل می‌‌شود، اما این حرکت بیش از آنکه محصول طراحی سیستم باشد، متکی به تجربه، نفوذ و حافظه افراد کلیدی است. چنین وضعیتی توهم کنترل ایجاد می‌کند: چون فعالیت جریان دارد، مدیریت احساس تسلط می‌کند، درحالی‌که با خروج یا جابه‌جایی چند نفر، منطق عملیاتی سازمان نیز دچار اختلال می‌شود.

این وضعیت را می‌توان بر روی طیفی از بلوغ سازمانی توضیح داد. در سازمان‌های افرادمحور، دانش و اختیار در ذهن اشخاص متمرکز است و کنترل به روابط شخصی وابسته است. در مرحله فرآیندمحور، رویه‌ها وجود دارند، اما اجرا همچنان به افراد گره خورده و سیستم‌ها نقش پشتیبان دارند. در سازمان‌های سیستم‌محور، کنترل در منطق فرآیندها و قواعد نهادینه شده و افراد جایگزین‌پذیر می‌شوند. تشخیص جایگاه سازمان ساده است: اگر با خروج چند فرد کلیدی، کار متوقف می‌شود، مرکز ثقل کنترل هنوز روی اشخاص قرار دارد.

پیامد این عدم بلوغ، به‌طور مستقیم در حسابرسی نمایان می‌شود. طبق ISA۳۱۵، حسابرس مستقل برای ارزیابی ریسک تحریف بااهمیت باید فرآیندها و کنترل‌های داخلی واحد تجاری را درک کند. وقتی این فرآیندها قابل تشریح و اتکا نیستند، حسابرس ناگزیر می‌شود از حسابرسی مبتنی بر اتکای سیستمی به سمت تغییر رویکرد و اتکای بیشتر بر آزمون‌های ماهوی حرکت کند. نتیجه، افزایش حجم رسیدگی‌ها، رشد هزینه حسابرسی و کاهش توان شناسایی ریسک‌های ساختاری است؛ وضعیتی که بیش از آنکه ضعف حسابرس باشد، بازتاب طراحی ضعیف کنترل‌های داخلی است.

در گزارشگری مالی نیز نبود رویه‌های تثبیت‌شده، ویژگی‌های کیفی اطلاعات طبق IFRS- از جمله قابلیت اتکا، مقایسه‌پذیری و ثبات رویه- را تضعیف می‌کند. تغییر حسابدار، مدیر مالی یا تیم اجرایی، می‌تواند به تغییر نانوشته روش‌های حسابداری بینجامد؛ تغییری که نه‌تنها قابلیت مقایسه را از بین می‌برد، بلکه تاییدپذیری و اعتمادپذیری اطلاعات مالی را نیز مخدوش می‌سازد. در چنین شرایطی، کیفیت گزارشگری به اشخاص وابسته می‌شود، نه به منطق پایدار سیستم.

در این میان، نباید تصور کرد که راه‌حل صرفا نوشتن فرآیندها روی کاغذ است. در بسیاری از سازمان‌ها، کنترل‌ها در منطق سیستم‌های اطلاعاتی، گردش‌کارهای دیجیتال و ERPها پیاده‌سازی می‌شوند؛ کنترل‌هایی که حتی از مستندات نوشتاری هم قوی‌ترند، زیرا امکان تخطی را به‌صورت ساختاری محدود می‌کنند. اما اینجا یک خطر پنهان وجود دارد. اگر منطق طراحی، پیکربندی و کنترل‌های سیستم مستند نباشد، سیستم به یک جعبه سیاه تبدیل می‌شود؛ با تغییر پیمانکار، مهاجرت نرم‌افزار یا خروج چند کارشناس کلیدی، بخش مهمی از دانش سازمانی از بین می‌رود. قاعده ساده این است: یا فرآیند را بنویس، یا آن را در سیستم بساز و در حالت بالغ، هر دو کار را هم‌زمان انجام بده.

البته مستندسازی بدون هزینه نیست. هم هزینه مستقیم دارد و هم هزینه ضمنی؛ از جمله کاهش چابکی و افزایش بار تصمیم‌گیری. برای بسیاری از سازمان‌ها، به‌ویژه در مراحل ابتدایی رشد، مستندسازی جامع نه ممکن است و نه به‌صرفه. راه‌حل، مستندسازی مبتنی بر ریسک است، نه بوروکراسی فراگیر.

یک رویکرد اجرایی حداقلی می‌تواند از سه گام تشکیل شود: شناسایی فرآیندهای بحرانی که بیشترین اثر را بر ریسک، گزارشگری مالی، انطباق یا تداوم فعالیت دارند؛ مستندسازی حداقلی و کاربردی همین فرآیندها، آن‌گونه که واقعا اجرا می‌شوند و در نهایت، بهبود تدریجی و مستمر متناسب با بلوغ سازمان.

برای شروع، پاسخ به چند پرسش ساده اما کلیدی کفایت می‌کند: کدام فرآیندها اگر فردا مختل شوند، سازمان را دچار بحران می‌کنند؟ چه تعداد از افراد، تمام دانش یک فرآیند را در اختیار دارند؟ و اگر امروز یک حسابرس بپرسد «دقیقا کار چگونه انجام می‌شود؟»، پاسخ سازمان چیست؟

اما چالش اصلی همیشه فنی نیست؛ مساله اغلب به فرهنگ و قدرت سازمانی بازمی‌گردد. فرض رایج این است که با مستندسازی، رفتارها به‌طور خودکار اصلاح می‌شوند. در عمل، چنین نیست. در بسیاری از سازمان‌ها مستندات وجود دارند، اما نادیده گرفته می‌شوند. دلیل اصلی، نه ضعف فنی، بلکه مقاومت فرهنگی است. مستندسازی شفافیت ایجاد می‌کند، دامنه اختیار سلیقه‌ای را محدود می‌سازد و قدرت اطلاعاتی را توزیع می‌کند و دقیقا به همین دلیل، گاهی با مقاومت پنهان مدیران مواجه می‌شود. در چنین فضایی، دور زدن سیستم به هنجار تبدیل می‌شود و مستندات به پوسته‌ای بی‌اثر فروکاسته می‌شوند.

از این نقطه به بعد، موضوع دیگر صرفا مدیریتی نیست، بلکه به سطح حاکمیت شرکتی ارتقا می‌یابد. فقدان مستندسازی در فرآیندهای کلیدی، تنها یک ریسک عملیاتی نیست؛ در بسیاری از موارد، نشانه‌ای از قصور است. هیات‌مدیره‌ای که حافظه نهادی، شفافیت فرآیندی و کنترل‌پذیری را مطالبه نمی‌کند، عملا نقش نظارتی خود را به‌درستی ایفا نمی‌کند. در این میان، نقش کمیته حسابرسی در پیوند دادن کیفیت فرآیندها، کنترل‌های داخلی و استقلال حسابرسی داخلی حیاتی است.

تحمیل نقش طراحی فرآیند به حسابرسی داخلی نیز یکی از خطاهای ساختاری رایج است. حسابرس داخلی باید ناظر مستقل باشد، نه معمار سیستم. این تعارض نقش، نه‌تنها استقلال را مخدوش می‌کند، بلکه یکی از دلایل مزمن ناکارآمدی نظام کنترل داخلی در بسیاری از سازمان‌هاست. در نهایت، خطر اصلی نبود مستندسازی این نیست که امروز مشکلی ایجاد می‌کند؛ خطر آن است که سازمان را به آینده بدهکار می‌سازد. سازمانی که مرکز ثقل کنترل را بر اشخاص بنا کرده، امروز پابرجاست، اما این پایداری عاریتی است. فردا، با خروج افراد کلیدی، موعد سررسید این بدهی پنهان فرا می‌رسد و سازمان باید هزینه سال‌ها غفلت را یکجا بپردازد.

* کارشناس حوزه مالی، حسابرسی و مدیریت ریسک