Upload
danaila-ovidiu
View
55
Download
2
Embed Size (px)
DESCRIPTION
Manual Audit Intern de la Universitatea Nicolae Titulescu Bucuresti
Citation preview
Gheorghe Sandu
Audit intern - suport de curs -
EDITURA UNIVERSITĂŢII „NICOLAE TITULESCU”
BUCUREŞTI
2015
Acest material este destinat uzului studenţilor, forma de învăţământ la distanţă.
Conţinutul cursului este proprietatea intelectuală a autorului /autorilor; designul, machetarea
şi transpunerea în format electronic aparţin Departamentului de Învăţământ la Distanţă al
Universităţii „Nicolae Titulescu” din Bucureşti.
Acest curs este destinat uzului individual. Este interzisă multiplicarea, copierea sau
difuzarea conţinutului sub orice formă.
Acest manual a fost analizat si aprobat in sedinta Departamentului de Finante si Contabilitate din data de 29 septembrie 2014.
UNIVERSITATEA „NICOLAE TITULESCU” DIN BUCUREŞTI
DEPARTAMENTUL PENTRU ÎNVĂŢĂMÂNTUL LA DISTANŢĂ
Gheorghe Sandu
Audit intern
Editura Universităţii „Nicolae Titulescu”
Calea Văcăreşti, nr. 185, sector 4, Bucureşti
Tel./fax: 0213309032/0213308606
Email: [email protected]
ISBN: 978-606-751-114-7
5
1 Controlul intern şi sistemul de management
1.1 Controlul intern - funcţie a managementului
1.2. Funcţia de control
1.3 Semnificaţia noţiunii de control
1.4. Controlul intern
2 Obiectivele, structura şi principiile controlului intern
2.1 Obiectivele controlului intern
2.2 Structura controlului intern
2.3 Principiile controlului intern
3 Auditul intern – o formă de control intern
3.1 Funcţia de audit intern
3.2 Aria de aplicabilitate şi obiectivele auditului intern
3.3 Criteriile de evaluare a auditului intern
4 Auditul intern şi guvernanţa corporativă
4.1 Guvernanţa corporativă
4.2 Necesitatea existenţei comitetului de audit şi a funcţiei de audit intern
4.3 Responsabilităţile comitetului de audit
4.4 Structura comitetului de audit
4.5 Implementarea funcţiei de audit intern
5 Deontologia profesională a auditorilor interni
5.1 Codul de etică
5.2 Structura codului de etică
5.3 Principii fundamentale
5.4 Cadrul conceptual pentru identificarea, evaluarea şi contracararea ameninţărilor
6 Normele auditului intern
6.1 Cadrul de referinţă al practicilor profesionale
6.2 Standarde de calificare
6.3 Standarde de funcţionare
6.4 Utilitatea normelor
7 Auditul intern şi riscurile de management
7.1 Implicarea auditul intern în managementul riscurilor
7.2 Armonizarea modelelor de audit intern şi de management al riscurilor
7.3 Identificarea riscurilor
7.4 Evaluarea riscurilor
7.5 Toleranţa la risc
7.6 Răspunsul la risc – controlarea riscurilor
7.7 Instrumente de control intern
7.8 Gruparea instrumentelor de control intern după modul de acţiune împotrina riscurilor
7.9 Revizuirea şi raportarea riscurilor
7.10 Comunicare şi învăţare
7.11 Entitatea extinsă şi mediul
8 Instrumentele auditului intern
8.1 Sondajele statistice
8.2 Interviurile
8.3 Instrumentele informatice
8.4 Verificări şi comparări diverse
8.5 Observarea fizică
8.6 Naraţiunea
6
8.7 Organigrama funcţională
8.8 Grila de analiză a sarcinilor
8.9 Pista de audit
8.10 Utilizarea instrumentelor
9 Planificarea auditului intern
9.1 Definirea planificării
9.2 Activităţi preliminare misiunii
9.3 Lucrări pregătitoare pentru planificarea activităţilor de audit
9.4 Planul de audit
10 Organizarea auditului intern
10.1 Organizarea misiunii de audit intern
10.2 Organizarea compartimentului de audit intern
10.2.1 Structuri posibile
10.2.2 Competenţele auditorilor
10.3 Organizarea muncii auditorilor
10.3.1 Carta auditului intern
10.3.2 Planul de audit
10.3.3 Manualul de audit intern
10.3.4 Dosarele de audit şi documentele de lucru
10.3.5 Documentarea
10.4 Eficacitatea organizării compartimentului de audit intern
11 Finalizarea auditului
11.1 Şedinţa de închidere
11.2 Elaborarea proiectului de raport
11.3 Structura raportului de audit intern
11.4 Transmiterea proiectului Raportului auditorilor interni
11.5 Reuniunea de conciliere
11.6 Elaborarea Raportului de audit intern final
11.7 Difuzarea Raportului auditorilor interni
11.8 Urmărirea recomandărilor
11.9 Supervizarea misiunii de audit intern
Întrebări pentru verificarea cunoştinţelor
Bibliografie
7
Introducere
Acest curs este adresat studenţilor Facultăţii de Ştiinţe Economice care urmează
cursurile învăţământului deschis la distanţă (IDD). Cursul îşi propune să prezinte principalele
noţiuni specifice auditului intern al societăţilor comerciale. Cursul este util studenţilor care
după absolvire vor ocupa funcţii de conducere şi celor care vor realiza audit intern în
societăţile comerciale.
Auditul intern este o activitate care aparţine sistemului de control intern al societăţilor
comerciale, iar controlul intern este una din funcţiile principale ale managerilor. Nu este o
activitate obligatorie decât pentru societăţile care trebuie să-şi auditeze situaţiile financiare.
Însă orice manger poate să-şi organizeze o activitate de audit intern.
Pentru că nu s-a înţeles foarte bine care este obiectul activităţii de audit intern, mulţi
mangeri ai unor societăţi comerciale care sunt obligate să-şi auditeze situaţiile financiare,
înfiinţează un compartiment de audit intern fără să aibă control intern. Unul din obiectivele
importante ale auditului intern este să ofere informaţii despre modul de funcţionare a
controlului intern. Dacă nu există control intern acest obiectiv nu mai poate fi îndeplinit de
auditul intern. De fapt se confundă funcţiile controlului intern cu cele ale auditului intern.
Legea 31/1990, modificată şi completată, susţine această confuzie prin prevederile referitoare
la auditul intern.
În primul capitol sunt prezentate funcţiile şi importanţa controlului şi a controlui intern
în primul rând. În capitolul al doilea sunt prezentate obiectivele controlului intern, obiective
care trebuie cunoscute de auditorul intern, deoarece trebuie să verifice dacă sunt îndeplinite.
Capitolul al treilea evidenţiază legătura dintre controlul intern şi auditul intern. În capitolul al
patrulea este prezentată importanţa auditului intern pentru guvernaţa corporativă şi modul
cum sunt dezvoltate relaţiile dintre conducerea societăţii şi compartimentul de audit intern.
În capitolul cinci sunt prezentate principalele cerinţe referitoare la deontologia
profesională. Sunt prezentate principalele cerinţe ale codului deontologic şi riscurile cu care
se pot confrunta şi pe care trebuie să le depăşească auditorii.
Normele după care îşi desfăşoară activitatea auditorii interni sunt prezentate în capitolul
şase. Aceste norme au caracter internaţional şi trebuie privite ca un ghid ale cărui prevederi
trebuie să le respecte auditorii interni. Aceste norme pot fi completate şi adaptate de fiecare
entitate în funcţie de cerinţele şi specificul activităţii sale. Ele reprezintă un etalon folosit la
controlul calităţii activităţii auditorilor interni şi ca un instrument pentru creşterea încrederii
în activitatea de audit inten.
Un obiectiv important al auditului intern este prezentat în capitolul şapte. Identificarea
şi evaluarea riscului de management au devenit astăzi activităţi foarte importante pentru
auditul intern. Managementul aşteaptă de la auditorii interni inclusiv recomandări pentru
diminuarea riscului.
În capitolul opt sunt prezentate principalele instrumente pe care le folosesc auditorii
interni. Fiecare auditor poate folosi metoda şi instrumentele care sunt adecvate atingerii
obiectivului specific fiecărei misiuni.
Activitatea de planificare a auditului intern este prezentată în capitolul nouă. Este una
din etapele cele mai importante ale misiunii de audit. Planul de audit cuprinde lucrările care
trebuie realizate pentru atingerea obiectivului şi resursele necesare pentru realizarea acestor
lucrări.
8
Organizarea şi realizarea lucrărilor de audit sunt prezentate în capitolul zece. Tot aici
sunt prezentate organizarea muncii auditorilor interni, carta auditului intern, manualul de
audit intern, modul cum se întocmesc dosarele de audit şi documentele de lucru, modul cum
se realizează documentarea.
În capitolul unusprezece sunt prezentate activităţile specifice încheierii misiunii de
audit intern: şedinţa de închidere, elaborarea proiectului de raport, transmiterea proiectului
raportului, reuniunea de conciliere, elaborarea raportului de audit intern final, difuzarea
raportului, urmărirea recomandărilor, supervizarea misiunii de audit intern.
9
Capitolul 1
Controlul intern şi sistemul de management
1.1 Controlul intern - funcţie a managementului
1.2. Funcţia de control
1.3 Semnificaţia noţiunii de control
1.4. Controlul intern
1.1 Controlul intern funcţie a managementului
Managementului unei entităţi este preocupat de studierea proceselor conducerii şi a
legăturilor care apar în legătură cu acestea, în vederea descoperirii legilor şi principiilor care
le guvernează, a conceperii de noi sisteme, metode, tehnici şi modalităţi de conducere mai
potrivite, în scopul creşterii eficienţei activităţilor desfăşurate de entitate.
Procesul de management cuprinde activităţi relativ independente care se succed într-o
anumită ordine în timp şi care sunt efectuate de orice subiect conducător ce exercită o
influenţă raţională asupra obiectului condus în vederea stabilirii obiectivelor şi a realizării lor.
Cunoaşterea şi înţelegerea funcţiilor managementului constituie o premisă pentru însuşirea şi
utilizarea judicioasă a sistemelor, metodelor, tehnicilor, procedurilor şi modalităţilor proprii
managementului.
Procesul tipic de management se poate structura, în funcţie de modul în care sunt
concepute şi exercitate atributele sale, în trei etape principale:
• faza previzională, în care se elaborează strategiile şi se iau deciziile specifice;
• faza operaţională, caracterizată preponderent prin asigurarea cu personal adecvat,
organizarea activităţilor, proceselor şi îndestularea cu celelalte resurse necesare realizării
obiectivelor planurilor şi prognozelor entităţii;
00:50
Timp necesar: 50 minute
Citind acest capitol veţi putea răspunde la următoarele întrebări:
1. Ce legătură există între managementul şi controlul activităţilor
unei entităţi?
2. Care sunt semnificaţiile noţiunii de control?
3. Care este definiţia, importanţa şi domeniul de acţiune al
controlului intern?
10
• faza finală, de culegere, măsurare şi interpretare a rezultatelor proceselor,
caracterizată preponderent prin exercitarea funcţiei de evaluare - control, în concordanţă cu
obiectivele şi criteriile stabilite în prima fază.
Plecând de la obiectivele şi sarcinile specifice managementului, se definesc funcţiile
pe care le îndeplineşte managementul într-o entitate:
funcţia de previziune: definirea obiectivelor; identificarea căilor de
îndeplinire a acestora (faza previzională);
funcţia de organizare: delimitarea ariei de acţiune; alocarea resurselor şi a
responsabilităţilor (faza operaţională);
funcţia de coordonare: stabilirea sarcinilor, activităţilor, proceselor;
panificarea resurselor umane; selecţia şi recrutarea forţei de muncă;
perfecţionarea şi dezvoltarea profesională (faza operaţională);
funcţia de antrenare şi motivare: influenţarea comportamentului
subordonaţilor şi orientarea spre rezultate (faza operaţională);
funcţia de control: evaluarea operativă şi postoperativă a rezultatelor (faza
finală).
1.2. Funcţia de control
În literatura de specialitate, funcţia de control este definită ca fiind ansamblul
acţiunilor de evaluare a rezultatelor entităţii, subunităţilor şi a fiecărui salariat, de identificare
a abaterilor de la obiectivele, normele şi standardele stabilite iniţial, a cauzelor care le-au
generat, precum şi de adoptare a măsurilor care asigură eliminarea abaterilor, menţinându-se
echilibrul dinamic al entităţii.
Pentru a fi eficient, procesul de control trebuie să fie continuu, acordând o atenţie
sporită elementelor strategice şi perioadelor critice, decisive pentru obţinerea rezultatelor
aşteptate. Aceasta funcţie încheie ciclul de management.
Controlul este procesul de măsurare a performanţei, de monitorizare a proceselor şi de
informare a conducerii când există pericolul de a nu se îndeplini obiectivele propuse.
Informaţiile oferite de control managementului reprezintă un mijloc şi o condiţie pentru
luarea unor decizii corecte.
Care sunt etapele procesului de management?
Care sunt funcţiile managementului?
11
1.3. Semnificaţia noţiunii de control
Noţiunea de control reprezintă din punct de vedere semantic o analiză permanentă sau
periodică a unei activităţi, proces, a unei situaţii, cu scopul de a urmări desfăşurarea acestora.
Într-o accepţiune mai largă controlul este înţeles ca fiind un mod de a domina, a stăpâni sau a
supraveghea ceva, pe cineva, astfel încât să conducă şi să dirijeze evenimentele în direcţia
dorită. Frecvent, termenul de control se foloseşte pentru a desemna o supraveghere a
funcţionării unor sisteme sau desfăşurării unor procese.
Pentru a fi înţeles corect, trebuie să luăm în considerare cele două sarcini importante
ale controlului: de orientare, stăpânire a acţiunilor pe care le desfăşoară entitatea şi de
verificare a modului de utilizare a resurselor alocate pe destinaţiile stabilite, stabilindu-se
dacă rezultatele obţinute sunt conforme cu obiectivele.
Sensul de „stăpânire“ dat controlului este strâns legat de evoluţia teoriilor organizării
entităţilor. Diversitatea acestor teorii ne atrage atenţia că mediul în care se realizează
controlul este complex. Din acest punct de vedere, controlul este considerat ca o relaţie
socială, pusă în evidenţă în primul rând când trebuie să stabilească îndeplinirea sarcinilor.
Controlul intern a apărut şi s-a dezvoltat împreună cu activitatea de conducere. Evoluţia
sa a fost favorizată de mediul care l-a făcut necesar şi util, de evoluţia evenimentelor tehnice,
economice şi sociale. Existenţa sa este condiţionată de existenţa activităţii de conducere.
Conducătorii sunt intetresaţi să cunoască dacă deciziile lor sunt îndeplinite aşa cum se
aşteapă. Dacă entităţile sunt mici această verificare o fac chiar conducătorii. Atunci cînd
entităţile sunt mari activitatea de control este cedată unor persoane specializate.
Conducerea unei entităţi este o activitate complexă. Ea este realizată de una sau mai
multe persoane. Scopul conducerii este să creeze toate condiţiile care să permită îndeplinirea
scopurilor pentru care a fost constituită entitatea. Conducerea stabileşte obiectivele, alocă
resursele necesare, organizează activităţile, procesele pentru îndeplinirea obiectivelor şi
urmăreşte rezultatele obţinute. La cele mai multe din aceste activităţi, procese conducătorii nu
participă direct, dar răspunde pentru rezultatele obţinute. Conducerea este interesată să ştie
cine, cum, când îndeplineşte obiectivele stabilite. Fiecărei persoane dintr-o entitate i se alocă
o anumită responsabilitate. Ideal ar fi ca manifestarea ei să ducă la confirmarea aşteptărilor
conducerii. Aceasta depinde însă de comportamentul fiecărei persoane din entitate. Astăzi,
specialiştii caracterizează controlul intern ca un sistem de reglare a comportamentelor celor
care desfăşoară o activitate într-o entitate.
Controlul intern trebuie să satisfacă nevoile conducerii, dar în acelaşi timp trebuie să
fie realizat cu costuri cât mai mici, altfel spus, să aducă valoare adăugată. Pentru aceasta
controlul trebuie să fie bine organizat şi condus, trebuie să dispună de metode, proceduri şi
instrumente specifice de lucru. Acestea s-au transformat de-a lungul timpului datorită
evoluţiilor tehnologice, economice şi sociale şi a experienţei acumulate de entităţi. Controlul
12
intern a evoluat aplicându-se atât întreprinderilor cât şi instituţiilor publice sau organizaţiilor
non-profit.
Controlul intern este legat de domeniul ştiintelor umane. Acestea nu tratează un obiect
care s-ar oferi obiectiv observatorului, ci o construcţie intelectuală care caută să descrie
anumite practici, încercând, în acelaşi timp, să prescrie reguli de comportament care ar fi mai
bune decât altele. El este produsul muncii cercetătorilor şi practicienilor care îşi proiectează
în el concepţiile, experienta şi preferinţele.
Noţiunea de „control“ este întâlnită în ştiinţele managementului încă de la începutul
secolului al XX-lea. Taylor în anul 1911 şi Fayol în anul 1918 atribuiau conducerii unei
societăţi comerciale şi funcţia de control. Prin acest control se comparau relizările cu nivelul
normelor prestabilite. Odată cu extinderea standardizării producţiei şi a muncii, rolul de
supraveghere a posteriori a producţiei a fost substituit cu cel de „control bugetar“, devenind
un instrument al politicii previzionale al entităţii. Dezvoltarea şi modificarea mediului
economic, sporirea dimensiunilor entităţilor şi a complexităţii activităţilor şi proceselor
acestora, apariţia unor forme noi de concurenţă, extinderea globalizării şi dereglementarea tot
mai largă a pieţelor, schimbarea rapidă a tehnologiilor etc. au dus la apariţia unor exigenţe
noi pentru controlul într-o entitate. De la controlul îndeplinirii unor norme s-a ajuns la
controlul comportamentului entităţii ca sistem.
Entitatea poate fi privită ca o unitate globală în care se disting trei subsisteme
principale: tehnologic, de conducere şi decizie, de informare. Ea îşi construieşte un sistem
unitar de apărare, ca răspuns la manifestarea factorilor specifici mediului în care
functionează. Acest sistem este cunoscut sub denumirea de control intern sau control propriu
şi priveşte, la modul general, ansamblul regulilor şi procedurilor care se pun în aplicare în
interesul şi pentru asigurarea protecţiei entităţii.
1.4. Controlul intern
Orice proces de management, asociat unui ciclu managerial, cuprinde şi activitatea de
control-evaluare. Exercitarea aceastei cerinţe a conducerii presupune evaluarea rezultatelor,
compararea lor cu obiectivele stabilite, depistarea cauzelor care au favotizat apariţia
abaterilor pozitive şi negative şi adoptarea unor decizii cu caracter corectiv sau profilactic1.
Mijloacele specifice prin care sunt puse în practică cerinţele acestei funcţii sunt rapoartele,
dările de seamă, informările, vizitele, deplasările etc.2
Controlul exercitat de manager pe parcursul derulării procesului de management şi la
finalul ciclului managerial trebuie să se desfăşoare în condiţiile respectării unor cerinţe
minime: să fie constructiv, să cunoască şi să facă cunoscută starea reală a entităţii; să fie
continuu, să identifice cauzele abaterilor de la starea aşteptată, să ofere informaţiile necesare
conducerii care să-i permită adoptarea unor decizii bune şi iniţierea acţiunilor care să ducă la
îmbunătăţirea activităţii subordonaţilor.
1 Ion VERBONCU, Ştim să conducem?, Editura Economică, 2005, pag. 53
2 Iulian CEAUŞU, Enciclopedia managerială, Editura ATTR, pag. 77
13
Controlul permite conducerii să aibă mai mult curaj, asigurându-se că strategia sa se
pune în practică în mod corect sau se dovedeşte eficace. Controlul face schimbarea mai puţin
riscantă, dar o şi favorizează. Plusvaloarea adusă entităţii de control intern nu este dată de
documentul (raportul) în care sunt consemnate rezultatele verificărilor şi recomandările
corectoare propuse, acesta fiind doar un mijloc de comunicare. Valoarea controlului intern
este dată de progresul pe care poate să-l genereze în entitatea pe care o serveşte. Controlul
este creator de valoare atunci când determină economisirea de resurse sau sporirea gradului
de utilizare a acestora, propune valorificarea unor oportunităţi favorabile entităţii, contribuie
la diminuarea sau evitarea pierderilor potenţiale ce pot afecta entitatea3. Controlul într-o
entitate este definit ca un „proces care, înaintea unei acţiuni, orientează, pe parcursul
desfăşurării acţiunii ajustează şi la terminarea acţiunii evaluează rezultatele obţinute şi trage
concluziile utile“4.
Elementele prezentate ne sugerează ideea că managerii sunt interesaţi să deţină
controlul asupra activităţilor entităţilor pe care le conduc. Se pune întrebarea „ce se poate
face pentru a deţine un control cât mai bun asupra activităţilor?“ pe care le conduc.
„Comitetul de Sponsorizare a Organizaţiilor Comisiei Treadway“5 creat de senatul SUA a
propus, pentru a răspunde la această întrebare, un cadru de control cu ajutorul căruia să se
facă o anumită ordine în ansamblul de mijloace şi practici pe care fiecare manager le
utilizează pentru a-şi administra cât mai bine activităţile şi pentru a-şi atinge obiectivele.
Senatorul Treadway publică rezultatele cercetărilor făcute de comitet în anul 1992 sub titlul
„Cadrul controlului intern“6. Controlul de care am discutat a fost numit control intern şi a fost
definit astfel: „Controlul intern este un proces implementat de Consiliul de Administraţie,
conducerea şi personalul unei organizaţii destinat să ofere o asigurare rezonabilă în ceea ce
priveşte realizarea obiectivelor“. Din definiţie reţinem:
controlul intern este aplicat de toate entităţile (organizaţiile);
definiţia nu se referă numai la societăţile comerciale;
controlul intern nu oferă o asigurare absolută, ci una rezonabilă de realizare a
obiectivelor, fiind un mijloc care permite entităţii să-şi atingă scopul mai
bine.
Când dorim să proiectăm sau să analizăm controlul intern trebuie să ţinem cont de
următoarele aspecte:
a) dimensiunea culturală;
b) dimensiunea universală;
c) dimensiunea relativă.
3 Xavier de PHILY, în Cuvânt înainte la Theorie et pratique de l’audit intern, de Jacques RENARD, Edition
d’Organisation, Paris, 2002 4 Patrick BOISSELIER, Contrôle de gestion, Edition d’Vuibert, 1999
5 Committe of Sponsoring Organisation of the Treadway Commission
6 The Internal Control Framework
14
a) Dimensiunea culturală
Controlul intern va fi adaptat cadrului cultural al entităţii. Luând în considerare
situaţiile extreme ce se pot întâlni în realitate, putem identifica două grupe de organizaţii care
delimitează intervalul de manifestare culturală:
Entităţile care sunt înfiinţate recent şi sunt în plină dezvoltare. Aceste entităţi sunt
preocupate de cucerirea pieţei, dezvoltarea activităţilor, creşterea volumului vănzărilor. În
aceste entităţi timpul de reacţie este scurt, pentru că orice ocazie nu trebuie pierdută. Timpul
de satisfacere a cererii pieţii şi de luare a deciziei este redus la minim. Controlul intern este în
aceste condiţii puţin limitativ, concentrându-se asupra problemelor esenţiale, acţionând cu
flexibilitate pentru a permite desfăşurarea rapidă a tranzacţiilor. Sunt evitate procedurile
lungi, organizări complexe sau sisteme informaţionale cu o circulaţie greoaie a informaţiei.
Sistemul de control intern trebuie să ofere totuşi informaţiile strict necesare, fără însă ca
acestea să devină insuficiente şi controlul intern absent.
La cealaltă extremă se află entităţile complexe, ajunse la maturitate, ale căror riscuri
sunt direct proporţionale cu importanţa afacerilor. Controlul intern acordă multă atenţie
preciziei procedurilor, organizării activităţii de control, exhaustivităţii informaţiilor.
Dispozitivele folosite trebuie să fie precise, complete şi complexe.
Între aceste extreme se găsesc marea majoritate a entităţilor. Controlul intern trebuie
construit ţinând seama de mediul cultural al fiecărei entităţi.
b) Dimensiunea universală
Controlul intern se poate organiza în toate entităţile, poate cuprinde toate activităţile
unei entităţi, este dotat cu aceleaşi dispozitive, este apreciat cu aceleaşi instrumente şi cu
aceeaşi metodă.
c) Dimensiunea relativă
Universalitatea controlului intern este însoţită de relativitate în aplicare. Controlul
intern nu este un scop în sine. Controlul intern nu se realizează doar de dragul de a face
control intern. Controlul intern trebuie să fie eficace, să aibă proceduri adecvate scopului
pentru care a fost realizat, să ofere informaţiile strict necesare şi utile, să nu creeze disfuncţii
sau costuri nejustificate. Nu trebuie să se uite că el trebuie să fie un instrument în slujba
conducerii şi nu un mijloc de afirmare a intereselor celor numiţi să-l realizeze.
15
Vocabular:
● fazele procesului de management;
● funcţiile managementului;
● control (managerial);
● control intern;
● dimensiunea culturală a controlului;
● dimensiunea universală a controlului;
● dimensiunea relativă a controlului.
Care sunt principalele sarcini ale controlului?
Care sunt principalele trăsături ale controlului intern?
Care sunt aspectele specifice de care trebuie să ţinem cont
când dorim să proiectăm sau să analizăm controlul intern?
16
Capitolul 2
Obiectivele, structura şi principiile controlului intern
2.1 Obiectivele controlului intern
2.2 Structura controlului intern
2.3 Principiile controlului intern
2.1 Obiectivele controlului intern
Obiectivul general al controlului intern este să vegheze asupra factorilor care
condiţionează continuitatea activităţii entităţii şi realizarea obiectivelor propuse. Acest
obiectiv general este divizat în obiective particulare. Această definiţie globală în funcţie de
obiective evidenţiază:
Controlul intern nu este o creaţie statică; el îşi adaptează procedurile la cerinţele în
continuă schimbare ale entităţii şi iniţiază ori susţine în acelaşi timp transformările
ce au loc în entitate;
Toate nivelurile de conducere sunt implicate în controlul intern;
Controlul intern oferă o asigurare rezonabilă că poate contribui la atingerea
obiectivelor entităţii. Controlul intern nu a fost conceput pentru a garanta reuşita
organizaţiei, ci pentru a creşte probabilitatea reuşitei.
Pentru a atinge acest obiectiv general, se atribuie obiective permanente controlului
intern. Acestea pot fi grupate astfel:
a) secuitatea activelor;
b) calitatea informaţiilor;
c) respectarea normelor generale şi specifice;
d) optimizarea alocării resurselor.
a) Securitatea activelor
00:50
Timp necesar: 50 minute
Parcurgând acest capitol vom afla:
Care sunt obiectivele principale ale controlului intern;
Care este structura controlului intern;
Care sunt principiile controlului intern.
17
Un bun sistem de control intern trebuie să contribuie la conservarea patrimoniului
entităţii. Aceste preocupări, care se referă la imobilizările corporale, stocuri, imobilizările
necorporale, trebuie să aibă în vedere şi alte elemente care sunt importante pentru entitate.
Printre acestea menţionăm:
Personalul entităţii, partea cea mai preţioasă a patrimoniului; personalului îi
sunt asociate anumite riscuri care trebuie identificate şi evaluate de controlul
intern (securitate, risc social etc.);
Imaginea entităţii, care poate fi afectată de un control inadecvat al
operaţiunilor (accidente de mediu etc.);
Informaţiile confidenţiale ale entităţii (tehnologice, comerciale, management
etc.). Lipsa controlului intern asupra circulaţiei informaţiilor, poate constitui
una din cauzele care încurajează scurgerea informaţiilor în exteriorul entităţii.
b) Calitatea informaţiilor
Imaginea entităţii se reflectă în informaţiile pe care le oferă în exterior. În interior
informaţiile trebuie să susţină deciziile conducerii. Controlul intern trebuie să urmărească să
fie emise informaţii fără greşeli şi omisiuni. Pentru aceasta informaţiile trebuie să fie:
- fiabile şi controlabile;
- exhaustive;
- pertinente,
- disponibile.
Informaţii fiabile şi controlabile
Informaţiile care circulă în entitate trebuie să fie de bună calitate şi exacte. Sistemul
informaţional trebuie să asigure exactitatea informaţiilor şi să ofere posibilitatea verificării
lor. Pentru aceasta trebuie să existe probe care să certifice această calitate a informaţiei, care
să ofere garanţii celor care doresc să verifice dacă informaţiile sunt exacte. Probele se află în
documentele gestionate de compartimentul de contabilitate, în documentele compartimentelor
de producţie (înregistrările presiunii, temperaturii, debitelor etc.), în documentele
compartimentului de marketing (evenimente de promovare, km parcurşi etc.) etc.
Informaţii exhaustive
Informaţiile trebuie să fie complete. Sistemul de control intern trebuie să vegheze ca
sistemul informaţional să ofere datele aşteptate, să se asigure că sunt culese toate informaţiile
primare necesare, că acestea sunt prelucrate şi prezentate conform procedurilor.
Informaţii pertinente
Informaţiile care circulă în entitate trebuie să satisfacă cerinţele obiective de
informare a beneficiarilor, trebuie să fie utile. Nu abundenţa informaţiilor este esenţială, ci
18
capacitatea acestora de a satisface aşteptările beneficiarilor. Controlul intern trebuie să
contribuie la dimensionarea fluxului de informaţii astfel încât acesta să contribuie la sporirea
cunoştinţelor şi la uşurarea muncii.
Informaţii disponibile
Informaţiile trebuie să fie oferite la termenele stabilite şi să fie uşor accesibile şi uşor
de folosit. Controlul intern reprezintă unul din factorii care contribuie la îndeplinirea acestor
cerinţe.
c) Respectarea normelor generale şi specifice
Controlul intern trebuie să certifice gradul de conformitatea la aplicarea legilor,
hotărârilor, regulamentelor, contractelor. Trebuie în acelaşi timp să descopere performanţele
slabe, erorile sau insuficienţele determinate de nerespectarea instrucţiunilor, precum şi
cauzele care au dus la apariţia lor: slaba comunicare, lipsa controlului, neclaritatea sarcinilo
etc.
d) Optimizarea alocării resurselor
Controlul intern trebuie să constate dacă resursele entităţii sunt utilizate în mod optim,
dacă entitatea are mijloacele necesare pentru a-şi pune în aplicare politca.
Controlul intern trebuie să supravegheze şi să evalueze eficacitatea sistemului de
management al riscurilor din entitate.
2.2 Structura controlului intern
Obiectivul general al controlului intern cuprinde mai multe obiective specifice,
individualizate în funcţie de domeniul de activitate supus controlului. Lucrările de specialitate
menţionează trei forme de control intern: controlul strategic, controlul de gestiune şi controlul
operaţional.
Controlul strategic este preocupat de modul cum sunt aplicate procedurile de
planificare, de modul cum sunt fixate şi ajustate opţiunile strategice, de modul cum sunt
îndeplinite obiectivele strategice. Controlul strategic trebuie să aibă metode şi proceduri
pentru a evalua concordanţa dintre obiectivele şi strategiile entităţii, pentru analiza
activităţilor ce se întreprind pentru îndeplinirea obiectivelor strategice şi pentru evaluarea
rezultatelor. Întrucât planurile şi prognozele se concep pentru intervale de 3-10 ani, controlul
intern strategic trebuie să aibă continuitate şi stabilitate pentru a-şi putea îndeplini sarcinile cu
care a fost investit.
Controlul de gestiune informaţii despre elaborarea şi aplicarea planurilor şi
programelor anuale şi despre rezultatele obţinute în urma desfăşurării acestora, concepute ca
19
părţi ale obiectivelor strategice. Informaţiile oferite de controlul de gestiune trebuie să
contribuie la elaborarea deciziilor de pilotaj. Controlul de gestiune trebuie să aibă la
dispoziţie metode şi proceduri adecvate pentru colectarea şi prelucrarea informaţiilor, pentru
evaluarea performanţelor în comparaţie cu cele propuse şi posibile la momentul dat.
Controlul operaţional are ca obiectiv să culeagă informaţii despre derularea
programelor de activitate curentă, sesizând abaterile pozitive sau negative de la obiectivel
propuse, identificând în acelaşi timp cauzele care le-au determinat. Controlul intern
operaţional propune şi măsuri de îmbunătăţire a activităţii şi de folosire mai bună a resurselor
dispnibile în entitate.
2.3 Principiile controlului intern
Controlul managerial a generat anumite adevăruri fundamentale care sunt menţionate în
continuare sub formă de principii. Controlul este un subsistem al sistemului de management
şi principiile sale sunt similare celor identificate la celelalte funcţii ale managementului.
Acesta principii, pot fi grupate în trei categorii, care reflectă scopul şi natura, structura şi
procesul controlului.
2.3.1 Principiile referitoare la scopul şi natura controlului
a) Controlul se face întotdeauna cu un scop. Sarcina principală a controlului este să
constate dacă activităţile şi rezultatele entităţii se realizează la nivelul planficat şi aşteptat, iar
atunci atunci când aceasta nu se întâmplă, trebuie să măsoare abaterile şi să identifice
posibilităţile de eliminare a acestora precum şi a factorilor care le-au determinat (identificarea
şi evaluarea riscurilor).
b) Concluziile controlului sunt puternic influenţate de viitor. Datorită decalajelor în
timp între manifestarea cauzei care produce abaterea, sesizarea abaterii, adoptarea deciziei de
corectare a abaterii şi producerea efectului acţiunii de corectare a abaterii, sistemul de control
trebuie să-şi elaboreze concluziile bazându-se pe anticiparea evenimentelor viitoare. Aceasta
oferă managerilor posibilitatea să identifice abaterile indezirabile (de la nivelul planificat)
înainte ca ele să se producă şi să întreprindă în timp util acţiunile de prevenire a abaterilor.
Fig. 1
20
c) Principiul responsabilitaţii controlului. Responsabilitatea managerilor de a
monitoriza şi stăpâni procesele pentru realizarea obiectivelor entităţii, este transmisă parţial
echipei de control. Aceasta poartă răspunderea pentru cantitatea şi calitatea informaţiilor
oferite, pentru prezentarea lor în timp util, pentru propunerile de îmbunătăţire a stării
existente, pentru capacitatea de a oferi informaţii pertinente despre mediul extern.
d) Principiul eficienţei controlului. Controlul este justificat numai dacă este generator
de valoare adăugată. Cheltuielile cu controlul trebuie să fie mai mici decât avantajele produse
de acesta. Oportunitatea controlului trebuie analizată periodic, pentru a adapta controlul la
cerinţele în continuă schimbare ale entităţii.
e) Principiul controlului indirect. Cu cât responsabilităţile unui manager sunt mai mari,
cu atât scade posibilitatea acestuia de a realiza un controlul direct asupra proceselor entităţii.
El foloseşte pentru aceasta informaţiile culese şi oferite de specialiştii care realizează
controlul. Se acordă atenţie informaţiilor generale esenţiale ce caracterizează entitatea şi
evoluţia ei, informaţiilor care sunt utile la fundamentarea deciziile.
2.3.2 Principiile referitoare la structura controlului
Principiile care urmează sunt menite să scoată în evidenţăa modul în care sistemele şi
tehnicile de control pot fi concepute pentru a îmbunătăţi calitatea controlului intern.
a) Principiul reflectării planurilor activităţilor. Cu cât planurile sunt mai clare, mai
complete şi mai integrate, cu atât obiectivele controalelor vor fi mai uşor de stabilit şi de
realizat. Concluziile controalelor vor putea mai exacte, mai concise şi mai utile managerilor.
b) Principiul adecvării organizaţionale. Sistemul de control trebuie să fie adecvat
sistemului de organizare a entităţii, a centrelor de responsabilitate. Cu cât structura
organizatorică este mai clară şi responsabilităţile mai bine definite, controlul va putea să
constate mai uşor cum sunt îndeplinite sarcinile şi obiectivele planificate, unde există abateri
şi care sunt cauzele lor, ce măsuri sunt adecvate pentru eliminarea lor.
c) Principiul personalizarii controalelor. Informaţiile oferite de control trebuie să fie
adecvate destinatarului. Ele trebuie culese, prelucrate şi prezentate în aşa fel încât să fie utile
celor care le folosesc pentru fundamentarea deciziilor. Numărul informaţiilor, conţinutul şi
forma lor de prezentare trebuie să fie elaborate astfel încât să satisfacă nevoia de informaţie,
dar în acelaşi timp informaţiile şi forma lor de prezentare trebuie să fie inteligibile şi uşor de
folosit. Tehnicile de control şi informatiile culese trebuie să fie adaptate nevoilor fiecărui
manager. Excesul de informaţii este inutil, iar deficitul poate duce la luarea unor decizii
greşite.
2.3.3 Principiile referitoare la procesul de control
a) Principiul standardelor. Controlul este recomandabil să se facă după metode,
proceduri, norme recunoscute de entitate. Aceasta duce la formarea unui mediu în care
controlul se poate realiza în condiţii optime.
Echipei de control i se alocă de către conducerea entităţii responsabilităţi specifice,
regulile după care se face controlul sunt cunoscute de cei controlaţi, obiectivele controlului şi
21
informaţiile pe care trebuie să le culeagă echipa sunt anerior stabilite, metodele şi procedurile
de control sunt aprobate de conducere, concluziile şi propunerile sunt prezentate într-un
anumit format predefinit.
b) Principiul punctului critic al controlului. Controlul va acorda atenţie elementelor pe
care conducerea le consideră la momentul respectiv importante. Evenimentele interne sau
exterioare entităţii pot orienta controlul spre anumite procese, activităţi sau evenimente
semnificative în acel moment pentru entitate. În condiţii normale planul de control este
întocmit astfel încât să ofere conducerii informaţiile esenţiale pentru entitate.
c) Principiul excepţiei. Controlul trebuie să ofere managerilor informaţii care să
surprindă abaterile importante de la obiectivele stabilite prin bugete şi plan. Concluziile
controlului vor evidenţia excepţiile referitoare la funcţionarea normală a entităţii, pentru a
avertiza conducerea că este necesar să acorde atenţie abaterii respective.
Acest principiu se poate confunda cu principiul punctului critic al controlului, pentru că
ele au o oarecare înrudire. Totuşi, punctul critic al controlului tratează problema recunoaşterii
punctelor care trebuie ţinute sub observaţie, în timp ce principiul excepţiei tratează problema
observării mărimii abaterilor în aceste puncte critice.
d) Principiul flexibilitaţii controlului. Planul de control este întocmit ţinând cont de
prevederile planurilor de activitate ale entităţii, urmărind şi comparând realizările cu
obiectivele stabilite prin plan. În condiţiile în care conducerea modifică prevederile planului,
se va modifica, dacă se consideră necesar, şi planul de control. Planul modificat poate stabili
sarcini diferite, modificări ale obiectivelor pe care trebuie să le ia în consideraţie echipa de
control. Uneori transformările dintr-o entitate pot diminua sarcinile de control pentru anumite
procese şi schimba obiectivele controlului.
e) Principiul acţiunii. Controlul este justificat numai dacă abaterile sesizate de acesta
(previzibile sau reale) permit intervenţia conducerii pentru corectarea lor înainte de a-şi
produce efectele sau pentru eliminarea lor grabnică.
Controlul este o risipă de resurse dacă nu este urmat de acţiuni corective. Controlul
poate propune intervenţii pentru eliminarea factorilor care au generat abaterile, dar ele se vor
aplica numai prin voinţa conducerii.
Vocabular: control intern, control strategic, control managerial, control
operaţional.
22
1. Care sunt obiectivele principale ale controlului intern?
2. Care sunt elementele la a căror securitate poate contribui
controlul intern?
3. Care sunt obiectivele controlului intern referitoare la calitatea
informaţiilor dintr-o entitate?
4. Ce obiective îşi propune controlul intern referitoare la
respectarea normelor generale şi specifice?
5. Ce obiective îşi propune controlul intern referitoare la
optimizarea alocării resurselor?
6. Care este structura controlului intern?
7. Care sunt principiile controlului intern referitoare la scopul şi
natura controlului?
8. Care sunt principiile controlului intern referitoare la structura
controlului?
9. Care sunt principiile controlului intern referitoare la procesul de
control?
23
Capitolul 3
Auditul intern – o formă de control intern
3.1 Funcţiile auditului intern
3.2 Aria de aplicabilitate şi obiectivele auditului intern
3.3 Criteriile de evaluare a auditului intern
3.1 Funcţiile auditului intern
Activitatea de audit intern a apărut şi s-a dezvoltat datorită utilităţii pe care o asigură
beneficiarilor, datorită capacităţii de a satisface anumite nevoi ale utilizatorilor. Rolul
auditului intern a sporit spectaculos în ultimele două decenii datorită creşterii mărimii
entităţilor şi a complexităţii activităţilor desfăşurate de acestea. Existenţa lui este justificată
de valoarea nou creată, de surplusul de valoare de care se bucură utilizatorul acestor servicii.
Surplusul de valoare se obţine prin diminuarea sau eliminarea riscurilor. Cunoaşterea
modului cum răspunde sistemul (format din entitatea respectivă sau componente ale acesteia)
la semnalele trimise de conducere este esenţială pentru evoluţia normală a entităţii, pentru
realizarea obiectivelor propuse de conducere. Pentru ca entitatea să obţină ieşirile dorite
trebuie să-şi corecteze în mod continuu intrările şi funcţionarea sistemului (entităţii).
Informaţiile despre modul de funcţionare a componentelor sistemului sunt oferite de sistemul
de control. Misiunea auditului intern este de a oferi informaţii despre modul de funcţionare a
sistemului ca întreg (inclusiv a sistemului de control intern).
Atunci când entităţile nu sunt mari şi conducerile acestora au capacitatea să valorifice
fără dificultate informaţiile oferite de controlul intern şi să urmărească cum îşi îndeplineşte
controlul intern misiunea, entitatea poate să nu organizeze activitatea de audit intern.
Afirmaţia nu este adevărată pentru entităţile care utilizează fonduri publice şi/sau
administrează active aparţinând patrimoniului public, deoarece acestea sunt obligate să
organizeze auditul intern. Există şi entităţi cu capitalul privat, care sunt obligate, datorită
naturii operaţiunilor pe care efectuează, să organizeze activitatea de audit intern. În această
grupă intră băncile, societăţile de asigurări etc.
00:50
Timp necesar: 50 minute
Parcurgând acest capitol vom afla:
Care sunt funcţiile auditului intern;
Care este aria de aplicabilitate a auditului intern;
Care sunt obiectivele auditului intern;
Care sunt criteriile de evaluare a auditului intern.
24
Auditul intern este un serviciu care susţine efortul conducerii entităţii de a-şi realiza
obiectivele. Auditorii interni se bucură de încrederea conducerii entităţii şi la rândul lor oferă
conducerii motive de încredere. Auditul intern oferă conducerii sfaturi credibile şi informaţii
care susţin eforturile acesteia pentru prevenirea şi detectarea erorilor, pentru eliminarea
risipei, pentru prevenirea şi detectarea fraudei, pentru cunoaşterea şi aplicarea legilor şi
normelor proprii, pentru îndeplinirea obiectivelor entităţii.
Auditul intern este un instrument forte important folosit de conducere pentru
ameliorarea performanţelor sistemului de control intern. El contribuie la descoperirea
activităţilor, operaţiunilor, elementelor care au importanţă deosebită (cheie) în cadrul entităţii.
Auditul intern este un agent al schimbării în cadrul entităţii, oferind conducerii evaluări
pertinente, analize, recomandări privind riscurile care pot să ameninţe entitatea.
Auditul intern reprezintă o activitate de evaluare realizată în cadrul unei entităţi, în
interesul entităţii, de persoane din interiorul entităţii. Între obiectivele sale includ, printre
altele:
examinarea, evaluarea şi monitorizarea sistemelor contabil şi de control intern7 şi a
eficienţei lor;
asigurarea conducerii că sunt aplicate normele interne şi politicile entităţii, că
sistemul de informare a conducerii este fiabil; că procedurile stabilite sunt aplicate şi
funcţionează;
acordarea asistenţei de specialitate membrilor echipei de conducere pentru
îndeplinirea funcţiilor de control specifice, pentru ameliorarea rezultatelor compartimentelor
pe care le conduc;
informarea conducerii la vârf despre disfuncţiile identificate şi oferirea de propuneri
pentru soluţionarea acestora etc.
Auditul intern este o componentă a funcţiei de conducere. Auditul intern urmăreşte,
măsoară şi verifică ieşirile din sistem, le compară cu cele aşteptate şi acolo unde există
abateri de la acestea, identifică cauzele care le-au determinat şi propune măsuri de corectare.
Auditorul intern stabileşte un diagnostic (care arată cum funcţionează sistemele), evidenţiază
simptomele (alertează conducerea), propune măsuri pentru sporirea securităţii activelor şi
pentru îmbunătăţirea fiabilităţii informaţiilor oferite conducerii şi a celor care circulă în
entitate, pentru sporirea eficienţei operaţiunilor şi a competitivităţii entităţii.
3.2 Aria de aplicabilitate şi obiectivele auditului intern
Aria de aplicabilitate şi obiectivele auditului intern variază considerabil de la o
entitate la alta şi depind de dimensiunea şi structura entităţii, precum şi de cerinţele
conducerii acesteia. De regulă, activităţile de audit intern îşi propun unul sau mai multe din
obiectivele următoare:
7 Audit financiar 2000, Standardul de audit nr. 610, Considerarea auditului intern, pag. 201
25
Verificarea sistemelor contabil şi de control intern. Conducerea entităţii este
responsabilă pentru stabilirea sistemelor adecvate de contabilitate şi de control intern şi de
aceea trebuie să le acorde o atenţie corespunzătoare continuă. Când entitatea este mare şi
activităţile sale sunt complexe, conducerea entităţii atribuie o parte din aceste responsabilităţi
auditului intern, care trebuie să verifice cum funcţionează aceste sisteme, să urmărească
operaţiunile desfăşurate de acestea şi să emită recomandări pentru îmbunătăţirea activităţii
lor.
Examinarea situaţiilor financiare, pe care conducerea entităţii le certifică în faţa
asociaţilor sau acţionarilor, administratorilor fondurilor publice, a altor beneficiari externi.
Examinarea altor informaţii financiare şi operaţionale oferite conducerii şi folosite de aceasta
la luarea deciziilor. Aceste elemente pot include verificarea metodelor şi mijloacelor utilizate
pentru a identifica, măsura, clasifica şi raporta astfel de informaţii, ca şi investigarea unor
probleme specifice, inclusiv verificarea detaliată a tranzacţiilor, soldurilor, balanţelor şi
procedurilor.
Revizuirea eficienţei operaţiunilor sistemului de control intern, inclusiv a
controalelor nonfinanciare asupra entităţii.
Verificarea modului cum se respectă legile, reglementările şi alte cerinţe externe
entităţii, precum şi respectarea politicilor şi directivelor manageriale şi a altor cerinţe interne.
În mod curent auditorii includ între obiectivele auditului intern:
exactitatea înregistrărilor contabile;
securitatea activelor;
preîntâmpinarea risipei, erorilor şi fraudei;
conformitatea cu procedurile de control stabilite;
însuşirea şi aplicarea politicilor conducerii;
evaluarea încrederii în situaţiile financiare şi alte informaţii oferite conducerii;
adecvarea şi eficienţa sistemului de control;
eficienţa operaţiunilor.
Activitatea auditorilor pentru realizarea acestor obiective poate fi influenţată de factori
din interiorul cât şi din exteriorul entităţii (fig. 3.1.).
Între factorii interni menţionăm:
relaţiile interpersonale între auditori, relaţiile cu persoanele din conducere,
relaţiile cu subordonaţii şi cu colaboratorii;
mediul intern: condiţiile în care se prestează serviciul; regulamentele care
stabilesc modul de organizare şi desfăşurare a auditului intern; responsabilităţile şi drepturile
auditorilor interni (fişa postului); procedurile de realizare a auditului etc.
Între factorii externi menţionăm:
mediul extern: opinia publică; administraţia financiară, poliţia (secţia fraude);
auditul extern etc.;
26
factori profesionali: normele profesionale; literatura şi publicaţiile preocupate de
audit; literatura şi publicaţiile preocupate de contabilitate etc.
3.3 Criteriile de evaluare a auditului intern
Pentru înţelegerea şi evaluarea preliminară a funcţiei auditului intern se folosesc mai
multe criterii de referinţă, între care menţionăm:
a) aria de aplicabilitate a funcţiei: natura şi gradul de cuprindere al auditului intern.
Auditorul extern trebuie să analizeze modul în care conducerea pune în aplicare
recomandările auditorului intern;
b) statutul auditorului intern: poziţia specifică a auditorului intern în cadrul
entităţii şi efectul pe care îl are aceasta asupra capacităţii sale de a fi obiectiv. Într-o situaţie
ideală, auditul intern va raporta celui mai înalt nivel al conducerii şi nu va avea alte
responsabilităţi operaţionale. Orice constrângeri sau restricţii exercitate asupra auditului
intern de către conducere vor trebui luate în considerare cu grijă. Mai precis, este necesar ca
auditorii interni să fie liberi să comunice complet cu auditorul extern;
c) competenţa auditorului intern: dacă auditul intern este realizat de persoane care
au pregătirea tehnică şi competenţa adecvată; auditorul extern poate, de exemplu, să
revizuiască politicile de angajare şi pregătire a persoanelor care se ocupă cu auditul intern,
precum şi experienţa şi calificarea profesională a acestora.
Auditul
intern
Factori din
interiorul entităţii
Factori din
exteriorul entităţii F
acto
ri in
terp
erso
nali
Fac
tori
de
med
iu
Factori de m
ediu
Factori
profesionali
Auditori
Superiori
Subordonaţi
Colaboratori
Condiţiile de muncă
Regulamentele
Sistemul de stimulare
Opinia publică
Poliţia (secţia fraude)
Auditul extern
Normele profesionale
Literatura şi publicaţiile referitoare la audit
Literatura şi publicaţiile referitoare la contabilitate
Fişa postului
Procedurile de audit
Fig. 3.1.
Factori care influenţează auditul intern
27
d) atenţia acordată menţinerii profesionalismului: dacă auditul intern este
corespunzător planificat, supervizat, revizuit şi documentat. Se vor lua în considerare
existenţa manualelor de audit, programelor şi documentelor de lucru adecvate.
Vocabular: audit intern, aria de aplicabilitate
10. Care sunt obiectivele auditului intern?
11. Care este aria de aplicabilitate a auditului intern?
12. Care sunt factorii care pot să influenţeze realizarea
obiectivelor auditului intern?
13. Care sunt criteriile de evaluare a activităţii auditorilor interni?
28
Capitolul 4
Auditul intern şi guvernanţa corporativă
4.1 Guvernanţa corporativă
4. 2 Necesitatea existenţei comitetului de audit şi a funcţiei de audit intern
4.3 Responsabilităţile comitetului de audit
4.4 Structura comitetului de audit
4.5 Implementarea funcţiei de audit intern
4.1 Guvernanţa corporativă
Guvernanţa corporativă sau conducerea corporativă (corporate governance)
este sistemul prin care o companie este condusă şi controlată.
Guvernanţa corporativă reprezintă modalităţile prin care furnizorii de resurse financiare
ai unei companii se asigură că vor primi beneficiile la care se aşteaptă făcând această
investiţie.
Guvernanţa corporativă poate fi definită ca ansamblul relaţiilor unei companii cu
acţionarii săi, sau mai pe larg, cu societatea pe ansamblu.
Guvernanţa corporativă specifică distribuţia drepturilor şi responsabilităţilor dintre
diferitele categorii de persoane implicate în companie cum ar fi: consiliul de administraţie,
directorii, acţionarii şi alte categorii, şi stabileşte regulile şi procedeele de luare a deciziilor
privind activitatea unei companii. [OECD aprilie 1999 preluată din Cadbury Cod, 1992,
pagina 15]
Guvernanţa corporativă este un set de reguli conform cărora firmele sunt conduse şi
controlate, este rezultatul unor norme, tradiţii şi modele comportamentale dezvoltate de
fiecare sistem legislativ.
Guvernanţa corporativă se referă la promovarea corectitudinii, transparenţei şi
responsabilităţii la nivel de companie.
00:50
Timp necesar: 50 minute
Parcurgând acest capitol vom afla:
Care este semnificaţia şi importanţa noţiunii de guvernanţă
corporativă;
Care este rolul şi structura comitetului de audit;
Care sunt responsabilităţile comitetului de audit;
Care sunt etapele de aplicare a funcţiei de audit intern.
29
Guvernanţa corporativă studiază modul în care companiile pot deveni mai eficiente prin
folosirea unor structuri instituţionale cum ar fi actele constitutive, organigramele şi cadrul
legislativ. În cele mai multe cazuri se limitează la studii privind modul în care deţinătorii de
acţiuni pot să asigure şi să motiveze directorii companiilor astfel încât să primească
beneficiile aşteptate de pe urma investiţiilor lor. (www.encycogov.com, Mathiesen, 2002).
Conceptul de „Guvernanţa corporativă“ (CG) a apărut în 1992 în raportul Cadbury din Marea
Britanie. Guvernanţa corporativă este definită ca fiind managementul întregului sistem de
relaţii între consiliu de conducere, management, acţionari şi alţi „stakeholderi“.
4. 2 Necesitatea existenţei comitetului de audit şi a funcţiei de audit intern
In ultimii ani au aparut, la nivel mondial, numeroase reglementari privind guvernanţa
corporativă, în cadrul cărora se menţionează obligativitatea existenţei unui comitet de audit.
De exemplu, în Statele Unite, legea Sarbanes-Oxley din 2002 obligă companiile listate
pe toate bursele (NYSE, NASDAQ etc.) să aibă comitete de audit. În Marea Britanie,
legislaţia referitoare la guvemanţă corporativă, din iulie 2003 obligă, de asemenea, toate
societăţile listate să aibă comitet de audit. IOSCO (Organizaţia Internaţională a Burselor de
Valori) şi DECO (Organizaţia pentru Cooperare şi Dezvoltare Economica) au arătat că văd in
comitetul de audit un instrument puternic, care poate îmbunătăţi transparenta şi fiabilitatea
raportării financiare. La nivel european, articolul 41 al Directivei a 8-a (2006/43/EC din 17
mai 2006) impune şi existenţa unui comitet de audit pentru entitaţile de interes public în toate
statele membre.
In ţara noastră, obligativitatea existenţei unui comitet de audit este introdusă de legea
441 din 27 noiembrie 2006. In cazul societăţilor pe acţiuni ale căror situaţii financiare anuale
fac obiectul unei obligaţii legale de auditare financiară este obligatorie crearea unui comitet
de audit în cadrul consiliului de administraţie, respectiv în cadrul consiliului de supraveghere
pentru societăţile care au un sistem dualist de administrare.
Experienţa internaţională, demonstrează că organizaţiile care au avut o abordare
strategică şi au ştiut să utilizeze potenţialul acestor două elemente la adevarata lor valoare au
avut un avantaj competitiv, care a avut un impact semnificativ asupra investitorilor şi, în
final, asupra valorii acţiunilor. Existenţa unui comitet de audit si a auditului intern activ, a
adaugat un plus de valoare organizaţiei, au contribuit la îmbunatăţirea performanţelor şi au
contribuit la atingerea obiectivelor acestora.
Problema cu care se confruntă multe societaţi în acest moment, atât în Romania, cât şi
la nivel global, este că nici reglementarile legale şi nici lucrările de specialitate nu oferă
detalii despre modalitatea practică în care ar putea fi implementate şi modul în care ar trebui
să funcţioneze comitetul de audit şi funcţia de audit intern.8
Soluţia poate fi obţinută prin definirea corectă a obiectivelor organizaţiei şi a
aşteptărilor pe care aceasta le are de la comitetul de audit şi de la funcţia de audit intern.
Prezentăm în continuare rolul pe care ar trebui să îl joace comitetul de audit şi o
8 Nadir ALI, Implementarea strategică a comitetului de audit şi a funcţiei de audit intern, Audit financiar, nr.
4/2007, pag. 31
30
modalitate de implementare a funcţiei de audit intern.
4.3 Responsabilităţile comitetului de audit
In sens larg, rolul comitetului de audit este de a oferi asistenţă consiliului de
administraţie.
Comitetul de audit reprezintă o punte de legatură între conducerea organizaţiei şi
acţionarii acesteia. Atribuţiile principale ale comitetului de audit se refera la raportarea
financiară, managementul riscului, sistemul de control intern, relaţia cu auditul extern,
coordonarea şi supervizarea auditului intern, probleme de conformitate, regularitate şi etică
(figura 4.1).
4.3.1 Raportarea financiara
Comitetul de audit este de regula responsabil, în numele consiliului de
administraţie, de asigurarea integritatii situatiilor financiare ale societatii. Acest rol important
include verificarea inainte de publicare a situatiilor financiare şi a altor informatii importante,
care pot avea impact pe piata. Timpul pentru aceste verificari şi activitaţi de monitorizare,
trebuie introdus ca etapa distincta in calendarul de elaborare şi publicare a situatiilor
financiare şi a altor materiale publice.
Aceste verificari trebuie sa fie suficiente pentru a permite comitetului de audit sa
explice celorlalţi membri ai consiliului de administraţie modul în care societatea işi propune
sa raporteze rezultatele financiare. Prin urmare pentru a putea analiza situatiile financiare in
mod eficient, membrii comitetului trebuie sa inteleaga conceptele contabile care afecteaza
raportarea şi, de asemenea, trebuie sa implice in mod constructiv conducerea şi auditorul
extern in abordarea unor aspecte din domenii complexe sau subiective. Exista cazuri in care,
Auditul intern
Conformitate,
regularitate şi etică
Controlul intrn
Manangementul
riscului
Auditul extern
Raportarea financiară
Comitetul de
audit
Fig. 4.1 Atribuţiile comitetului de audit
31
din lipsa de experienta in domeniul financiar, comitetul de audit apeleaza la experţi externi cu
rol consultativ.
4.3.2 Managementul riscurilor şi controalele interne
Un sistem de control bine proiectat şi implementat ofera mediul propice pentru
derularea eficienta a operaţiunilor entitaţii. Una dintre sarcinile principale ale comitetului de
audit este de a asigura integritatea sistemului de control intern al societaţii.
Procesul de gestionare a riscurilor incepe cu stabilirea strategiilor şi de evaluarea
riscurilor de afaceri şi include controalele interne pe care conducerea le-a implementat in
vederea gestionarii şi diminuarii acestor riscuri. Riscurile nu trebuie privite doar in sensul
negativ.
Acestea reprezinta evenimente viitoare incerte - atat pozitive, cat şi negative - care pot
afecta organizaţia in diverse moduri (fluxurile de trezorerie, profitabilitatea, profitul
acţionarilor, reputaţia etc.). Riscul deriva atat din posibilitatea ca societatea sa fie afectata de
un eveniment negativ, cat şi din posibilitatea ca societatea sa nu foloseasca in interesul sau o
oportunitate, in sens pozitiv. Consiliul de administrape, conducerea şi comitetul de audit
indeplinesc roluri diferite, dar interdependente in ceea ce priveşte riscurile.
Responsabilitatea consiliului de administraţie este de a stabili parametrii de
determinare a strategiei societaţii - inclusiv apetitul la risc al societaţii - şi de a aproba
politicile aferente strategiei respective.
Conducerea organizaţiei este responsabila pentru elaborarea de proceduri de
gestionare a riscurilor, inclusiv definirea profilului de fisc, in conformitate cu politica stabilita
de consiliul de administraţie. Conducerea este cea care defineşte şi implementeaza sistemul
de control intern pentru gestionarea riscurilor şi este responsabila pentru funcţionarea
acestuia. Rolul comitetului de audit este de a revizui strategia societatii şi profilul de risc şi de
a verifica daca acestea corespund cu activitatile şi procedurile de gestionare a riscurilor
implementate de conducere, inclusiv cele care afecteaza raportarea financiara. Comitetul de
audit trebuie sa inteleaga sistemul de control intern asupra raportarii financiare implementat
de catre conducere. Acesta include controale asupra integritaţii evidentelor si sistemelor
financiar - cantabile, precum şi controale care asigura prezentarea justa a informatiilor
financiare conform standardelor cantabile.
4.3.3 Auditul extern
Comitetul de audit reprezinta principalul punct de legatura dintre societate şi auditorul
extern. Rolul său include prezentarea catre consiliul de administraţie a recomandarilor privind
numirea unui anumit auditor, convenirea asupra onorariilor de audit, revizuirea ariei de
aplicabilitate a lucrărilor de audit şi verificarea independentei auditorului extern. De
asemenea, comitetul de audit va lucra in stransa legatura cu auditorul extern in vederea
realizarii in bune conditii a auditului. Auditorul extern va discuta toate problemele
identificate cu comitetul de audit.
4.3.4 Reglementare, conformitate şi etică
32
De regula, in afara de aspectele legate de integritatea informatiilor financiare publicate,
comitetul de audit supraveghează şi aspectele ce ţin de conformitate. Prin urmare, membrii
comitetului trebuie sa cunoasca mai mult decat procesul de raportare financiara. Comitetul
trebuie sa ineleaga nu numai controalele interne referitoare la raportarea financiara, ci şi
cerinţele legale, alte reglementari specifice din domeniile de activitate relevante, politicile
interne, alte cerinţe ale actionarilor, precum şi aspectele etice. Toate acestea pot avea impact
financiar sau pot afecta imagine a societatii respective. Imaginea unei societati este un factor
esential in determinarea valorii acesteia. Tot mai multe consilii de administraţie aloca resurse
pentru programe de etica şi a devenit o practica obişnuita ca societaţile sa adopte un cod de
conduita formal, ce prezinta principiile emise de consiliu in ce priveşte practicile acceptabile
de afaceri.
De regula, comitetul de audit nu este responsabil pentru stabilirea standardelor de etica.
Aceasta ar trebui sa fie responsabilitatea consiliului de administraţie. Comitetul de audit
trebuie sa se implice in asigurarea respectarii principiilor de etica. In anumite situaţii,
comitetul de audit poate analiza cazurile specifice de nerespectare a principiilor de etica sau
suspiciuni de fraudă şi poate dispune investigatii interne in acest gens.
4.3.5 Auditul intern
Traditional, functia de audit intern era subordonată, de regula, conducerii şi directorului
general. In prezent, se pune tot mai mult accent asupra unei linii de raportare direct catre
comitetul de audit. O relaţie pozitiva puternica cu auditul intern poate oferi membrilor
comitetului de audit o viziune asupra elementelor de control relevante pentru activitatea
acestora. Prin urmare, comitetul de audit trebuie să înţeleaga capacitatea tehnica a funcţiei de
audit intern, calificarile, resursele, aria de aplicabilitate, inclusiv orice limitari impuse de
catre conducere, precum şi constatarile rezultate in urma examinărilor efectuate.
Cornitetul de audit este responsabil pentru aprobarea cartei de audit intern, a planurilor
de audit, a evaluarii riscurilor.
De asemenea, comitetul de audit supervizează activitaţile operaţionale, raportarea,
personalul şi structura functiei de audit intern. In plus, acesta se asigura ca nu exista restrictii
in ce priveşte aria de acoperire a activitaţilor auditului intern. Periodic, cornitetul de audit
trebuie sa evalueze eficacitatea şi performanta funcţiei de audit intern, faţă de criterii
predefinite.
Comitetul de audit este cel care efectueaza selecţia şi nurnirea Directorului de Audit
Intern şi, de asemenea, îi stabileşte nivelul salarial. Comitetul de audit trebuie sa fie singurul
in masura sa înlocuiasca din funcţie Directorul de Audit Intern. Numai in acest fel funcţia de
audit intern poate fi independenta şi libera de presiuni din partea conducerii organizaţei. In
practica, este de asemenea important ca Directorul de audit intern sa aiba acces permanent la
membrii cornitetului de audit, pentru a le prezenta problemele identificate. Pentru a asigura
independenta şi obiectivitatea auditului intern, comitetul de audit trebuie sa se asigure ca
acesta dispune de resurse financiare şi de o infrastructura adecvata desfaşurarii activitatii
conform planului de audit.
4.4 Structura comitetului de audit
33
De regula, un comitet de audit cuprinde de la 2 la 6 membri, selectati de regula dintre
membrii consiliului de administratie.
Conform Legii 441/2006, toti membrii comitetul de audit trebuie sa fie administratori
neexecutivi, din care cel putin unul sa fie expert in raportare financiara. Membrii comitetului
de audit sunt numiti de consiliul de administratie.
De asemenea, consiliul de administratie stabileşte durata mandatului, nivelul
remuneraţiilor şi numeşte preşedintele comitetului de audit. Comitetul de audit are dreptul sa
angajeze consultanţi externi pentru a putea aborda problemele mai complexe.
Atributele membrilor comitetului de audit trebuie sa includă:
capacitatea de întelegere a modului de organizare şi funcţionare a entităţii, a
obiectului de activitate, de cunoaştere a produselor şi serviciilor acesteia;
integritate, disponibilitate din punct de vedere al timpului şi energiei, spirit iscoditor
şi raţionament independent;
Capacitatea de a oferi perspective noi şi diferite, precum şi sugestii constructive;
Cunoştinte financiare (capacitatea de a citi şi înţelege situaţiile financiare şi politicile
contabile).
Periodic, comitetul de audit trebuie să se autoanalizeze şi să asigure cursuri de pregătire
pentru membrii noi, precum şi cursuri de dezvoltare a aptitudinilor membrilor existenţi.
4.5 Implementarea funcţiei de audit intern
In trecut, auditul intern a fost asimilat funcţiei de cenzor, cu atribuţii limitate la
verificarea legalităţii şi regularităţii întocmirii situatiilor financiare şi a modului de gestionare
a patrimoniului organizatiei.
Ca urmare, auditul intern „tradiţional“ are ca obiectiv principal verificarea tranzactiilor,
a situatiilor financiare şi se concentreaza pe identificarea iregularitatilor şi corectarea
efectului acestora. Acest tip de audit intern se axeaza pe trecut, iar rezultatele se
materializeaza in constatari şi recomandari.
Intr-un mediu economic dinamic, consecintele auditului intern „tradiţional“, axat pe
trecut sunt:
Creşterea birocratiei, prin introducerea unui numar din ce in ce mai mare de controale
interne;
De la an la an, fiecare audit aduce din ce in ce mai puţina valoare;
Procesele auditate devin necompetitive şi greoaie;
Auditorii interni sunt priviţi şi tind sa se comporte ca „politişti“ ai organizaţiei;
Auditul tinde sa acopere doar aspectele financiar-contabile;
Creşte diferenţa între aşteptările acţionarilor şi beneficiile aduse de auditul intern în
realitate.
34
Un audit intern „tradiţional“, axat pe trecut, este similar cu a conduce un autovehicul
privind în oglinda retrovizoare.
In schimb, auditul intern bazat pe risc, priveşte spre viitor. Intrebările care se pun nu
mai sunt limitate la gestiunea patrimoniului organizaţiei şi la legalitatea intocmirii situaţiilor
financiare.
In loc sa verifice tranzactiile si contabilizarea acestora, auditorul intern va identifica
riscurile afacerii şi va evalua eficacitatea şi eficienta mecanismelor prin care societatea
gestioneaza aceste riscuri. Majoritatea tehnicilor de gestionare a riscului se bazeaza pe
controalele interne, iar auditorul intern trebuie sa priveasca spre viitor şi sa işi puna intrebarea
„Cat de bine sunt gestionate aceste riscuri?“ în loc de „A fost patrimoniul gestionat
corespunzator?“ şi „Sunt situaţiile financiare corect întocmite?“.
Aceasta evoluţie a auditului intern necesita şi o schimbare atat in mentalitatea
auditorilor, cat şi in modul in care aceştia sunt percepuţi de catre organizaţie. Daca in mod
tradiţional, auditorul intern era vazut ca un „poliţist“ al organizatiei, acum el trebuie sa fie
perceput ca un „partener de afaceri“.
Atat pe plan mondial, cat şi in tara noastra au fost publicate lucrari ştiintifice, articole şi
materiale care ofera o perspectiva vastă asupra rolului şi importanţei auditului intern. Totuşi,
implementarea cu succes a unei functii strategice de audit intern implica resurse şi costuri
semnificative, dar mai ales o abordare corectă. Exista numeroase exemple care demonstreaza
ca cele mai multe organizaţii au dificultaţi in a aplica in practica aceste concepte şi nu reuşesc
sa implementeze o funcţie de audit intern capabila sa adauge cu adevarat valoare. In procesul
de implementare a functiei de audit intern, abordarea tactica trebuie sa rezulte din strategie, şi
nu invers. De cele mai multe ori, infiintarea functiei de audit intern are loc ca raspuns la o
necesitate tactica de moment. Sub presiunea urgenţei implementarii pot fi trecute cu vederea
aspecte strategice importante. Rezultatul final poate fi in mod nefericit o functie de audit
intern - tactica, aflata in cautarea unei strategii.
Implementarea cu succes a unei functii eficiente de audit intern presupune parcurgerea
a zece etape, strategice şi tactice (figura 3)
Tradiţional
Bazat pe risc
Poliţist
Atitudine şi percepţie
Risc
financiar
Risc
total
Fig. 4.2 Rolul auditului intern
Partener
Ari
a de
cupri
nder
e
35
4.5.1 Definirea aşteptărilor
Pentru a crea o functie eficienta de audit intern, organizatia trebuie sa determine modul
in care aceasta funţiie va furniza serviciul dorit. Prin acest proces, entitatea trebuie sa
defineasca rezultatele pe care se aşteapta sa le obţina de la noua funcţie.
Aceste rezultate pot sa includă:
managementul riscului;
evaluarea controalelor interne;
conformitatea cu legile şi reglementarile relevante;
capacitatea de a raspunde la evenimente urgente;
valoarea neta generata de investiţia in auditul intern;
promovarea culturii de management al riscului în organizaţie;
rol consultativ in probleme complexe;
mediu pentru dezvoltarea viitorilor manageri;
reducerea onorariilor cu auditul, prin colaborarea cu auditorul extern.
Dupa crearea funcţiei de audit intern, aşteptarile organizaţiei trebuie reanalizate şi
ajustate periodic.
STRATEGIC TACTIC
1. Definirea
aşteptărilor
2. Definirea
misiunii
3. Dezvoltarea planului
4. Evaluarea riscului şi planul de
audit
5. Stabilirea
bugetului
6. Începutul muncii de teren
7. Evaluarea experienţei necesare
8. Dezvoltarea infrastructurii, metodologiei şi a
tehnologiei
36
9. Stabilirea protocoalelor de comunicare
10. Evaluarea
performanţelor
Fig. 3 Etapele de aplicare a funcţiei de audit intern
Adaptat după Nadir ALI, Implementarea strategiei comitetului de audit şi a funcţiei de
audit intern, Audit financiar, nr. 4/2007
4.5.2 Definirea misiunii
Dupa definirea aşteptarilor de la funcţia de audit intern, Directorul de Audit Intern
trebuie sa colaboreze cu conducerea şi cu Comitetul de Audit pentru a defini misiunea
funcţiei de audit intern. Misiunea (sau statutul) auditului intern, ca un document formal, are
rolul de a descrie obiectivele acestei funcţii şi furnizeaza baza pentru evaluarea
performanţelor auditului intern.
Misiunea auditului intern delimiteaza autoritatea şi responsabilitaţile acestei funcţii şi
reflecta prioritaţile conducerii si ale Comitetului de Audit.
În funcţie de entitate, mărimea statutului (misiunii) şi nivelul detaliilor pot fi diferite,
dar fiecare trebuie să specifice măsura în care resursele auditului intern vor fi alocate spre
auditul „tradiţional“ sau către activităţile care adaugă valoare.
O misiune care nu îşi propune îndeplinirea aşteptărilor entităţii şi care nu este definită
în mod clar şi direct poate împiedica atingerea performantelor entităţii.
Diagrama de mai jos ilustreaza orientarea activităţii auditului intern, în funcţie de
modificarile aşteptărilor entităţii.
Tradiţional Echilibrat Actual (progresiv)
ORIENTAREA AUDITULUI INTERN
Axat pe
tranzacţii
Îmbunătăţirea
controlului
intern
Îmbunătăţirea
proceselor
Consilierea
conducerii
Facilitarea
autoevaluării
riscurilor
Managementul
riscului de
conformitate
Limitat
Acoperirea relativă a riscului Cuprinzător
Managementul
riscului
organizaţiei
Audit
financiar de
conformitate
Detectarea
erorilor şi
fraudei
Analiza
proceselor şi
celor mai bune
practici
Consultanţă
asupra
riscului
Managementul
continuu al
riscului
REZULTATELE ACTIVITĂŢII AUDITULUI INTERN
37
Este evident faptul ca şi capacitaţile tehnice, profesionale ale auditorilor interni trebuie
sa evolueze odata cu creşterea complexitatii aşteptarilor.
Nu exista un singur raspuns corect in ceea ce priveşte decizia unei organizatii de a
stabili misiunea auditului intern. Aceasta decizie depinde de mediul economic, apetitul pentru
risc şi nivelul de asigurare urmărit.
4.5.3 Dezvoltarea strategiei auditului
Strategia auditului defineşte obiectivele noii funcţii, beneficiarii principali ai acesteia şi
valoarea adăugată pe care o va crea în prezent şi in viitor. Strategia auditului defineşte
necesitaţile de investitii şi resurse umane atât iniţiale, cât şi pe un orizont de 3-5 ani.
Strategia auditului reprezintă şi un criteriu pe baza caruia vor fi măsurate deciziile şi
rezultatele viitoare. Acesta ar trebui analizată şi actualizată anual, iar modificările trebuie
aprobate de Comitetul de Audit.
O iniţiativă de afaceri care nu este susţinuta de un plan de afaceri solid va fi pusa sub
semnul întrebării de catre auditul intern. In mod similar, o funcţie de audit intern fără un plan
dă naştere la suspiciuni.
4.5.4 Evaluarea riscurilor şi elaborarea planului de audit
Pentru a putea fi controlabile, este esenţială o abordare sistematica a analizei riscurilor
de afaceri.
Riscul trebuie privit din toate perspectivele care afecteaza organizaţia.
Auditul intern nu trebuie sa se refere doar la riscurile financiare, ci şi la cele strategice,
operationale, IT, de resurse umane, reputaţionale, de mediu etc. Evaluarea riscurilor îi
permite auditorului intern sa ia in considerare modul in care evenimentele posibile pot afecta
atingerea obiectivelor organizaţiei.
Evaluarea riscurilor incepe cu definirea universului auditului. Acesta include toate
structurile organizaţiei, procesele şi domeniile de activitate.
Apoi, auditorul trebuie sa inteleaga modul de funcţionare al organizaţiei in contextul
mediului in care activeaza, precum şi principalele obiectivele de afaceri. In etapa urmatoare,
auditorul trebuie sa identifice riscurile inerente la care este expusa organizaţia, prin discutii
cu factorii implicaţi.
Ca urmare a evaluarii riscurilor, auditorul este in masura sa identifice ariile care
prezinta cel mai mare risc
Pe baza acestei evaluari, auditorul elaboreaza planul operational de audit, care acopera,
de regula, o perioada de un an. Efortul de audit va fi alocat pe diferitele componente ale
universului auditului in funţie de nivelul riscului identificat.
Evaluarea riscului, precum şi planul de audit trebuie prezentate şi supuse aprobarii
Comitetului de Audit.
38
Trebuie acordata o atenţie deosebita legaturii dintre competentele tehnice necesare
pentru executarea planului şi cele existente in departamentul de audit intern. Limitele
auditului trebuie sa fie reprezentate de nivelul riscurilor, nu de disponibilitatea competenţelor.
4.5.5 Stabilirea bugetului
Dupa finalizarea etapelor 1-4, vor fi disponibile suficiente informaţii pentru a permite
elaborarea bugetului pe termen lung şi mediu. Bugetul trebuie sa ofere funcţiei de audit intern
suficiente resurse pentru a-şi putea duce la indeplinire planul de audit aprobat, dar este
recomandabil sa includa şi un grad de flexibilitate pentru a putea raspunde schimbarilor
survenite în afacere. Ideal, bugetul strategic ar trebui sa acopere o perioada de 3-5 ani şi sa ia
in calcul evoluţia viitoare a organizaţiei,aşteptarile, misiunea şi planul strategic al auditului
intern, costurile pregatirii profesionale, dar şi viteza de rotaţie a salariatilor departamentului
de audit intern.
Bugetul trebuie sa corespunda mai întâi strategiei şi, apoi, tacticilor.
4.5.6 Munca în teren
Inceperea muncii de teren trebuie sa se realizeze cât mai curand posibil. De multe ori,
organizatiile urmaresc sa aiba implementata toata infrastructura şi sa finalizeze recrutarea
inainte de a incepe munca de audit pe teren. Aceasta poate fi o eroare majora. Acţionarii,
conducerea şi comitetul de audit doresc rezultate cat mai repede, şi nu sunt dispuşi sa aştepte
până cand totul este pregatit in cele mai mici detalii.
O lansare rapida a funcţiei de audit s-ar concretiza prin finalizarea a 3-5 misiuni de
audit in zonele cele mai riscante, in primele 100 zile de la infiintarea formală a
Departamentului de Audit Intern.
Insa trebuie avut in vedere ca este posibil ca membrii unui departament de audit intern
nou infiintat sa nu posede experienta necesara pentru a finaliza cu succes primele misiuni de
audit. In acest caz, multe societati apeleaza la resurse externe pentru inceput, urmand ca
acestea sa transfere treptat cunotintele necesare catre auditorii interni ai societatii, pana cand
aceştia işi vor dezvolta capacitatea de a-şi desfaşura activitatea independent.
4.5.7 Evaluarea experienţei necesare
Evaluarea experientei necesare in cadrul functiei de audit intern se bazeaza pe
obiectivele stabilite de catre comitetul de audit, misiunea departamentului şi planificarea
strategica, care trebuie definite in fazele iniţiale ale procesului. De multe ori, conducerea
entităţii şi comitetul de audit se concentreaza asupra numarului de angajaţi ai departamentului
de audit intern şi mai putin asupra cunoştintelor şi experienţei acestora, necesare pentru
gestionarea riscurilor prioritare.
In condiţile economice din Romania, atragerea unor auditori interni competenti, care sa
prezinte un mix de capacitaţi tehnice, experienta profesionala practica şi abilitaţi personale
adecvate este un obiectiv dificil de atins. Procesul de recrutare si selectie a unui director de
audit intern sau a unor auditori cu experienta poate sa dureze cateva luni.
39
In anumite situatii, nu se justifica angajarea permanenta a unor astfel de resurse, mai
ales a celor specializate, care, de regula, implica şi costuri mai mari. De exemplu, o entitate
poate sa nu aiba nevoie de un auditor intern specializat in IT angajat cu contract permanent de
muncă. In aceste conditii, poate fi mai eficient pentru entitatea respectiva sa apeleze la
resurse externe experimentate pentru durate mai scurte de limp.
O problema cu care se confrunta departamentele de audit intern este viteza de rotaţie a
personalului. Este ştiut ca auditorii interni constituie o sursa importanta de specialişti cu
experienta, datorita faptului ca, in general, sunt bine pregatiţi profesional, au caştigat
experienta in mai multe domenii ale afacerii, au avut expunere la persoane din conducere şi
dovedesc calitaţi deosebite de lucru cu oamenii. De asemenea, şi auditorii interni vad aceasta
profesie ca o rampă de lansare pentru o poziţie de conducere in cadrul organizaţiei. In
consecinţă, ar trebui sa existe un plan de succesiune in cadrul auditului intern, pentru a
asigura continuitatea in eventualitatea plecarii unor membrii experimentaţi.
Procesul de implementare a funcţiei de audit intern nu este liniar. Deciziile strategice şi
tactice trebuie luate simultan.
4.5.8 Dezvoltarea infrastructurii, metodologiei şi a tehnologiei
O altă eroare in crearea unui departament de audit intern consta in inceperea procesului
prin investirea unor fonduri prea mari in infrastructura. Aceste investitii ar trebui determinate
numai de obiectivele şi de profilul de risc al organizatiei. Inainte de efectuarea investitiilor in
infrastructura, este foarte important sa fie definite:
metodologia de evaluare a riscului;
procedura de planificare a auditului, procesul de documentare şi verificare;
modul de adoptare a celor mai bune practici;
procesul de asigurare a calităţii auditului;
procesul de comunicare, monitorizare şi rezolvare a problemelor identificate;
gestionarea resurselor umane.
Tehnologiile existente pot imbunatati dramatic eficienta, calitatea şi consecventa
procesului de audit. Infrastructura de audit intern poate fi dezvoltata in totalitate de catre
organizatie sau poate fi obtinuta din exterior. De exemplu, exista pe piata o serie de aplicatii
pentru gestionarea electronica a documentelor de audit, proiectate special pentru auditul
intern. Prin utilizarea acestor aplicatii se poate renunţa la dosarele clasice pe suport de hartie,
iar timpul pentru documentarea muncii de audit se poate reduce semnificativ, permitand
auditorilor sa se concentreze asupra muncii efective.
In cadrul functiei de audit intern trebuie sa existe şi un proces intern de asigurare a
calitatii, pentru a asigura conformitatea activitatii auditului intern atat cu metodologia interna
a societatii, cat şi cu Standardele de Audit Intern şi Normele Profesionale ale Auditului Intern
adoptate de CAFR.
4.5.9 Stabilirea protocoalelor de comunicare
40
Studii recente arata ca in multe organizatii exista probleme de comunicare intre
conducerea executiva şi auditul intern. Exista o legatura puternica intre comunicare şi modul
in care conducerea organizaţiei percepe activitatea şi performanţa auditului intern. Din acest
motiv, este esenţial ca departamentul de audit intern sa comunice eficient cu toţi factorii
relevanţi din organizaţie. Auditul intern trebuie sa intre in dialog permanent cu conducerea,
chiar şi in afara misiunilor de audit planificate, dezvoltand o legatura puternica şi clara intre
misiunea auditului intern şi problemele şi riscurile strategice ale organizaţiei. Directorul de
Audit Intern trebuie sa defineasca linii şi proceduri clare de comunicare cu toate
componentele organizaţiei şi sa monitorizeze permanent modul in care se desfaşoara
comunicarea. Activitatea auditului intern trebuie sa fie transparenta, pentru ca numai astfel se
poate comunica contribuţia pozitiva adusa organizaţiei si se poate obţine sprijinul intregii
organizaţii.
4.5.10 Evaluarea performanţelor
Pentru a fi credibil, auditul intern trebuie sa demonstreze rezultate concrete. In acest
scop, este necesarr un sistem de evaluare a performanţelor strâns legat de aşteptarile,
obiectivele şi misiunea acestei functii. Este important ca performanţele auditului intern sa fie
masurate periodic in relaţie cu aşteptările consiliului de administraţie, ale comitetului de audit
şi ale conducerii. Un instrument util pentru masurarea performanţei auditului intern este
"Balanced Scorecard", dezvoltat de profesorii Robert Kaplan şi David Norton în 1992 şi care
este în prezent utilizat de mii de organizaţii in toata lumea. Fiecare organizaţie trebuie sa işi
dezvolte un model specific de evaluare, in funcţie de obiectivele, misiunea şi planul strategic
de audit.
Cheia implementarii cu succes a unei funcţii de audit intern consta in combinarea
cadrului strategic cu execuţia tactica şi cooperarea la nivelul intregii organizatii. In acest
context, definirea unui comitet de audit eficace şi competent este o condiţie esenţiala pentru
implementarea unei funcţii de audit intern.
Vocabular: guvernanţă corporativă; comitet de audit.
1. Care este semnificaţia şi importanţa noţiunii de guvernanţă
corporativă?
2. Care este rolul şi structura comitetului de audit?
3. Care sunt responsabilităţile comitetului de audit?
4. Care sunt etapele de aplicare a funcţiei de audit intern?
5. Care sunt misiunile care pot fi încredinţate spre îndeplinire
auditului intern?
41
Capitolul 5
Deontologia profesională a auditorilor interni
5.1 Codul de etică
5.2 Structura codului de etică
5.3 Principii fundamentale
5.4 Cadrul conceptual pentru identificarea, evaluarea şi contracararea ameninţărilor
5.1 Codul de etică
Există două organisme9, care elaborează norme internaţionale referitoare la profesia
contabilă. Primul organism este Consiliul pentru Standardele Intrernaţionale de Contabilitate
(International Accounting Standards Board - IASB), care elaboreaza Standardele
Internaţionale de Contabilitate (IAS) şi Standardele Internaţionale de Raportare Financiară
(IFRS).
Pe langa IASB, exista un al doilea organism care elaboreaza norme internaţionale, şi
anume Federaţia Internaţională a Contabililor (International Federation of Accountants -
IFAC). Acest organism normalizator, regulator, elaboreaza norme în mai multe domenii:
Standardele Internaţionale de Audit (ISA), Codul de Etică pentru Auditori Profesionişti,
Standardele Internaţionale de Educaţie, Standardele Internaţionale de Contabilitate pentru
Sectorul Public (IPSAS), Standardul International pentru Misiunile de Revizuire (ISRE).
Acestea sunt normele internaţionale. Pe lângă acestea există şi directivele, care sunt
norme europene, şi care nu au statut de norme internaţionale. Noua Directivă a 8-a reia
anumite norme internaţionale, precizând în special aspecte cum ar fi controlul extern, care
trebuie efectuat de un organism de audit. Nici normele americane nu sunt norme
internaţionale, ci se refera la regulamente şi la entităţi de reglementare americane.
9 François Mèchin, Principii, reguli şi incompatibilităţi în asigurarea independenţei şi obiectivităţii
auditului, Noutăţi şi tendinţe în practica europeană a auditului financiar, CAFR, Bucureşti, Ed. C.N.I. Coresei,
2007, pag. 56
00:50
Timp necesar: 50 minute
Parcurgând acest capitol vom afla:
De ce este necesar un cod de etica pentru auditorii interni;
Care este structura codului de etică al auditorilor interni;
Care sunt principiile fundamentale după care trebuie să-şi modeleze
comportamentul auditorii interni;
Care sunt ameninţările cu care se confruntă auditoria interni în
timpul activităţii şi cum pot fi ele identificate, evaluate şi
contracarate.
42
Misiunea Federaţiei Internaţionale a Contabililor (IFAC), aşa cum este stabilită prin
statutul său, este „dezvoltarea şi îmbunătăţirea la nivel mondial a profesiei contabile pe bază
de standarde armonizate, capabilă să ofere servicii uniforme de o calitate ridicată în interesul
public. Pentru realizarea misiunii sale, Consiliul IFAC a înfiinţat Comitetul pentru Etică al
IFAC, pentru a elabora şi publica, sub autoritatea sa, standarde etice de o înaltă calitate şi alte
materiale în sprijinul profesioniştilor contabili din întreaga lume. Codul de Etică stabileşte
cerinţe etice pentru profesioniştii contabili. Un organism membru al IFAC sau o firmă nu
poate aplica standarde mai puţin exigente decât cele stabilite în aceste norme. Codul de etica
al IFAC constituie o norma internaţionala şi organismele IFAC sau cabinetele nu sunt
acreditate să adopte decât normele care ţin de IFAC.
De ce este necesar un Cod de etica pentru auditori? Auditorii profesionişti, sunt plătiţi
de clienţi, de entităţile pentru care realizează misiunea de audit, dar misiunea auditorilor este
o misiune de interes public. Auditorii nu lucrează numai pentru clienţi, ci pentru ansamblul
publicului, pentru public în întregul său.
5.2 Structura codului de etică
Codul de etica al IFAC contine trei părţi: prima parte enunţă principiile generale,
care se aplică tuturor profesioniştilor contabili. Tuturor profesioniştilor contabili, adica şi
auditorilor, şi celor care se ocupă cu elaborarea situaţiilor financiare, dar şi directorilor
financiari sau directorilor contabili din diferite entităţi. Acest Cod de etica nu se referă numai
la auditori, ci şi la toţi profesioniştii contabili, inclusiv salariaţiilor diverselor entităţi. Aceasta
este o abordare nouă, pentru că până acum existau coduri de etică numai pentru auditori sau
numai pentru contabilii profesionişti.
A doua parte a Codului se referă la contabilii aparţinand unei profesii liberale, cei care
exercită meseria de auditor, dar şi pe cea de contabil. Şi, cea de-a treia parte, se refera la
salariaţii contabili ai entităţilor. Pentru fiecare dintre aceştia există norme de etică puţin
diferite.
Principiile generale ale Codului de etică sunt enunţate sub forma unor cadre
conceptuale şi nu sub forma regulilor. Diferenţa dintre un cadru conceptual şi o regulă a
Codului este importantă. IFAC precizează că propune un cadru conceptual, pentru că de la un
cadru conceptual este mai greu unui auditor şă se abată decat de la o simplă regulă. Astfel, se
poate şti mult mai uşor dacă principiile sunt respectate sau nu.
Principiile Codului de etica se referă la integritate sau la cinstea, la onestitatea
auditorilor, ceea ce nu înseamnă numai a oferi informaţii adevărate, ci şi a nu răspândi
informaţii false.
Un al doilea principiu este cel al obiectivităţii, absenţa prejudecăţilor. Judecata
auditorului ar trebui să fie total independentă.
Al treilea principiu se referă la competenţă şi la conştiinţa profesională. Acesta este
un principiu, care conţine multe reguli importante care trebuie respectate. El se referă, de
asemenea, la cea de-a 8-a normă a învăţământului (IES 8), la termenul de trei ani minimum
de studii pentru a respecta principiul competenţei.
43
Urmează principiul confidenţialităţii sau al secretului profesional. Confidenţialitatea
nu este numai secretul profesional: ea se referă şi la a nu utiliza în interesul propriu informaţii
care au fost obţinute în cadrul misiunii de audit.
Al cincilea principiu este cel referitor la comportamentul profesional, la aplicarea
regulilor şi regulamentelor astfel încât să apară riscul de discreditare a profesiunii.
Acestea sunt principii generale, definite in partea A a Codului IFAC.
Partea B cuprinde regulile referitoare contabilii a căror activitate este inclusă în
domeniul profesiilor liberale. Aceştia pot exercita atât profesia de auditor cât şi profesia de
contabil. Ei lucrează în mod independent şi nu sunt salariaţii unei entităţi. În această parte se
insistă pe constrângerile puternice asociate misiunii auditorilor şi misiunii contabililor.
Aceste principii sunt mult mai puternice şi mai severe pentru auditori decât pentru ceilalţi
profesionişti contabili.
In partea B există multe exemple în care auditorul sau contabilul liber-profesionist
poate fi pus în dificultate la aplicarea principiilor generale. Auditorul trebuie să fie atent la
modul de obţinere a unei misiuni de audit, pentru că dacă o obţine printr-o relaţie, aceasta l-ar
putea împiedica mai târziu să fie obiectiv. Poate să apară un conflict de interese într-o
misiune de audit, dacă există prea multe legături familiale sau legături cu conducătorii
entităţii. Trebuie, de asemenea, ca auditorul să respecte regulile de etică în relaţiile
profesionale cu ceilalţi auditori, cu ceilalţi contabili profesionişti.
Referitor la onorarii, nu trebuie ca un auditor sau un expert contabil să accepte un
onorariu prea mic sau prea mare, relativ la competenţele sale. Calitatea de auditor nu oferă
dreptul denigrării altui auditor, nu permite să se facă publicitate negativă altui profesionist,
indiferent de motiv. Un auditor care primeşte avantaje sau bunuri de la entitate pe care o
auditează, se îndepărtează de la scopul aplicării corecte a principiilor de etică.
Partea C, partea a treia a Codului de etică, se referă la independenţa liber -
profesioniştilor care exercită o profesie de audit. Aceasta parte cuprinde jumătate din paginile
Codului de etică, adică jumatate din Codul de etică IFAC se referă la independenţa misiunii
de auditor. Independenţa se referă la comportamentul auditorului, la independenţa în gândire,
la percepţia publicului asupra independenţei auditorului, în a cărui conştiinţă trebuie să apară
ca fiind independent. Chiar dacă auditorul este convins că este independent, dacă publicul nu
este convins de aceasta, misiunea nu este reuşită. Auditorul trebuie să fie, dar să şi apară ca
fiind independent. In aceeaşi masură trebuie ca şi societăţile de audit să fie şi să apară ca
independente.
In partea a treia a Codului IFAC se acordă atenţie profesioniştilor contabili salariaţi.
Profesioniştii salariaţi pot respecta aceleaşi reguli de etică ca şi cele ale profesioniştilor
independenţi. Există reguli de aplicare diferite, dar cadrul, conceptul ramâne acelaşi.
Manifestarea interesului personal reprezintă unul din pericolele care pot afecta independenţa
profesioniştilor salariaţi, directorilor salariaţi sau contabililor şefi. Dacă salariatul are acţiuni
la o entitate, există riscul să folosească informaţiile deţinute în profitul său personal. Trebuie
să existe reguli care să prevadă că nu se pot vinde sau cumpera acţiuni fără să fie informată
conducerea entităţii, de exemplu. Reprezentarea, intimidarea, familiaritatea sunt alte riscuri
44
care se exercită asupra profesioniştilor salariaţi sau asupra celor independenţi. Legislaţia ar
trebui să protejeze profesioniştii salariaţi atunci când aceştia ar trebui să denunţe faptele care
contravin regululor de etică ale entităţii şi pentru care deunţ ar pute fi concediaţi.
5.3 Principii fundamentale
Un profesionist contabil (auditor) trebuie să respecte următoarele principii
fundamentale10
:
(a) integritate;
(b) obiectivitate;
(c) competenţa profesională şi atenţia cuvenită;
(d) confidenţialitate;
(e) comportament profesional.
Integritate
Principiul integrităţii impune ca obligaţie tuturor auditorilor să fie drepţi şi oneşti în
relaţiile profesionale şi de afaceri. Integritatea implică, de asemenea, tranzacţii corecte şi
juste.
Un auditor nu trebuie să participe la emiterea rapoartelor, evidenţelor, comunicatelor
sau altor informaţii atunci când apreciază că acestea:
Obiectivitate
Principiul obiectivităţii impune ca obligaţie tuturor auditorilor profesionişti de a nu îşi
compromite raţionamentul profesional sau de afaceri din cauza vreunor îndoieli, conflicte de
interese sau din cauza influenţei nedorite a unor alte persoane.
Un auditor profesionist nu trebuie să ajungă în vreo situaţie care i-ar putea afecta
obiectivitatea. Trebuie să evite relaţiile care influenţează în mod nejustificat raţionamentele
sale profesionale.
Competenţa profesională şi atenţia cuvenită
Principiul competenţei profesionale şi al atenţiei cuvenite impune următoarele obligaţii
auditorilor profesionişti:
(a) să-şi menţină cunoştinţele şi aptitudinile profesionale la un nivel care să le permită
să asigure clienţii sau angajatorii că primesc servicii profesionale competente; şi
(b) să acţioneze cu conştiinciozitate în conformitate cu standardele tehnice şi
profesionale aplicabile, atunci când oferă servicii profesionale .
10
Codul etic pentru auditorii profesionişti, Audit financiar 2006, Standarde, Codul etic, Editura Irecson, pag. 25
45
Furnizarea unor servicii profesionale competente presupune deţinerea unor cunoştinţe şi
aptitudini profesionale competitive şi aplicarea lor aşa cum cer principiile fundamentale.
Competenţa profesională parcurge două etape:
(a) Obţinerea unui nivel de competenţă profesională;
(b) Menţinerea competenţei profesionale.
Pentru a produce un serviciu profesional competent, auditorul trebuie să cunoască şi să
înţelegă noutăţile relevante în plan profesional şi în mediul de afaceri. Pregătirea profesională
continuă, dezvoltă şi menţine capacităţile auditorului de a desfăşura o activitate competentă.
Conştiinciozitatea este inclusă în responsabilitatea auditorului de a acţiona în misiuni cu
atenţie, meticulozitate şi la momentul potrivit.
Un auditor profesionist trebuie să se asigura că cei care îşi desfăşoară activitatea sub
autoritatea sa au pregătirea profesională necesară şi beneficiază de supravegherea adecvată.
Acolo unde este cazul, un auditor profesionist trebuie să îi facă pe clienţi, angajatori şi
alţi utilizatori ai serviciilor sale, să fie conştienţi de limitele inerente auditului, pentru a evita
înţelegerea eronată a opiniei exprimate la sfârşitul auditului.
Confidenţialitate
Principiul confidenţialităţii impune auditorilot profesionişti obligaţia să se abţină de la:
(a) Dezvăluirea în afara entităţii angajatoare a unor informaţii confidenţiale obţinute în
timpul misiunii fără o autorizare specifică şi adecvată, cu excepţia cazului în care a fost
autorizat în mod special să facă publică o anumită informaţie sau numai dacă există o
obligaţie legală sau profesională de a dezvălui acele informaţii; şi
(b) Folosirea informaţiilor confidenţiale dobândite în timpul misiunii în avantajul lor
personal sau în avantajul unor terţe părţi.
Un auditor profesionist trebuie, de asemenea, să păstreze confidenţialitatea
informaţiilor prezentate de către un posibil client sau angajator.
Un auditor profesionist trebuie, de asemenea, să păstreze confidenţialitatea
informaţiilor în cadrul entităţii angajatoare.
Un auditor profesionist trebuie să ia toate măsurile necesare pentru a se asigura că
persoanele aflate sub controlul său şi cele care îi oferă consultanţă sau asistenţă respectă
confidenţialitatea.
Necesitatea respectării principiului confidenţialităţii continuă şi după încheierea
misiunii de audit. Atunci când auditorul schimbă entitatea angajatoare sau obţine un nou
client, el este îndreptăţit să folosească experienţa anterioară. Profesionistul contabil nu
trebuie, totuşi, să folosească sau să divulge din informaţiile confidenţiale dobândite, ori
primite în misiunile anterioare.
În următoarele situaţii profesioniştii contabili sunt sau pot fi obligaţi să divulge
informaţii confidenţiale, ori dezvăluirea unor astfel de informaţii este adecvată:
(a) atunci când divulgarea este autorizată de entitatea auditată;
46
(b) atunci când divulgarea este autorizată prin lege, de exemplu:
- pentru a furniza documente sau alte probe în cursul unor proceduri judiciare; şi
- pentru a aduce la cunoştinţa autorităţilor publice autorizate eventuale încălcări ale
legii;
(c) în cazul în care există o obligaţie profesională sau un drept de a le divulga, atunci
când aceasta nu este interzisă prin lege:
- pentru a se conforma controlului calităţii unui organism membru sau al unui organism
profesional;
- pentru a răspunde unei anchete sau unei investigaţii din partea unui organism membru
sau a unui organism de reglementare.
- pentru a proteja interesele profesionale ale unui profesionist contabil în cursul
procedurilor judiciare; şi
- pentru a respecta standardele tehnice şi cerinţele etice.
Comportamentul profesional
Principiul comportamentului profesional impune auditorilor profesionişti obligaţia să
respecte legile şi reglementările relevante şi să evite acţiunile care pot discredita persoana sa
cât şi profesia. Acestea sunt acţiunile care ar determina o persoană raţională şi informată, care
cunoaşte toate informaţiile relevante, să aprecieze că buna reputaţie a profesiei este afectată
în mod negativ.
În cadrul strategiei lor de promovare şi de marketing şi a activităţii pe care o
efectuează, auditorii profesionişti nu trebuie să furnizeze informaţii eronate despre profesia
lor.
Profesioniştii contabili trebuie să fie cinstiţi, loiali şi nu trebuie:
(a) să facă revendicări exagerate pentru serviciile pe care le pot oferi, calificările pe
care le posedă şi experienţa pe care o deţin; sau
(b) să ofere referinţe compromiţătoare sau comparaţii nefundamentate cu referire la
activitatea desfăşurată de alţi auditori.
Regulile de conduită descriu aplicarea celor patru principii fundamentale într-un mod
clar şi practic, şi pot fi rezumate în felul următor:
- a îndeplini într-un mod corect misiunile;
- a respecta legea;
- a nu participa la activităţi ilegale;
- a respecta etica;
- a fi imparţial;
- a nu accepta nimic care poate să compromită decizia beneficiarilor auditului;
- a evidenţia faptele semnificative;
47
- a proteja informaţiile şi a nu avea nici un beneficiu personal;
- a nu face decât ceea ce se poate face şi a-şi îmbunătăţi competenţele;
- a respecta Normele.
5.4 Cadrul conceptual pentru identificarea, evaluarea şi contracararea
ameninţărilor
Circumstanţele în care acţionează auditorii profesionişti pot conduce la apariţia unor
ameninţări specifice la adresa conformităţii cu principiile fundamentale. Este în interesul
public existenţa unui cadru conceptual care îi cere auditorului să identifice, să evalueze şi să
răspundă acestor ameninţări conform principiilor fundamentale, şi nu doar să respecte un set
de reguli specifice care pot fi arbitrare. Pentru conformitatea cu principiile fundamentale,
Codul oferă un cadru general în sprijinul auditorului profesionist pentru identificarea,
evaluarea şi contracararea ameninţărilor. Dacă ameninţările identificate sunt semnificative,
auditorul trebuie să aplice măsuri de protecţie pentru a le elimina sau le reduce la un nivel
acceptabil, astfel încât conformitatea cu principiile fundamentale să nu fie compromisă.
Un auditor profesionist trebuie să ia în calcul atât factorii calitativi cât şi cantitativi
atunci când apreciază importanţa unei ameninţări. În cazul în care nu poate aplica măsuri de
protecţie adecvate, auditorul trebuie să refuze sau să întrerupă serviciul profesional respectiv.
Un auditor poate, în mod involuntar, să nu respecte o prevedere a acestui Cod. O
asemenea încălcare involuntară a Codului, în funcţie de natura şi semnificaţia sa, poate să nu
compromită conformitatea cu principiile fundamentale enunţate, dacă, odată ce a fost
descoperită, aceasta a fost corectată prompt şi s-au luat măsurile de protecţie necesare.
Ameninţări şi măsuri de protecţie
Conformitatea cu principiile fundamentale poate fi, teoretic, ameninţată de o
mare varietate de situaţii. Multe ameninţări se încadrează în următoarele categorii:
(a) Ameninţările generate de interesul propriu apar atunci când auditorul sau un
membru al familiei acestuia are un interes financiar sau de alt gen în legătură cu entitatea
auditată;
(b) Ameninţările generate de reprezentare pot apărea atunci când auditorul promovează
un raţionament sau o opinie care la un anumit moment pot compromite obiectivitatea;
(c) Ameninţările generate de familiaritate pot apărea atunci când, în virtutea unei relaţii
strânse, un auditor simpatizează prea mult cu interesele altor părţi; şi
(d) Ameninţările generate de intimidare apar atunci când un profesionist contabil poate
fi împiedicat să acţioneze obiectiv prin intermediul unei ameninţări, reale sau presupuse.
Măsurile de protecţie care pot elimina sau reduce la un nivel acceptabil acest gen
de ameninţări se împart în două mari categorii:
(a) măsuri de protecţie create de profesie, legislaţie sau reglementare;
48
(b) măsuri de protecţie aferente mediului de activitate.
Măsurile de protecţie create de profesie, legislaţie sau reglementare includ, dar nu sunt
limitate la:
profesie;
voltare profesională continuă;
întocmite de un profesionist contabil de către o terţă parte împuternicită prin lege.
Anumite măsuri de protecţie pot spori probabilitatea de identificare sau de eliminare a
comportamentului lipsit de etică. Astfel de măsuri de protecţie, care pot fi generate de
profesie, de legislaţie, reglementări sau de entitatea angajatoare, includ dar nu sunt limitate la:
entitatea angajatoare, de profesie sau de un organism de reglementare, care îi împuternicesc
pe colegi, angajatori sau persoane din public să atragă atenţia asupra unui comportament
neprofesional sau lipsit de etică.
Natura măsurilor de protecţie care urmează să fie aplicate se vor adapta circumstanţelor.
Soluţionarea conflictelor etice
În evaluarea conformităţii cu principiile fundamentale, unui auditor i se poate cere să
rezolve un conflict în aplicarea acestora.
În cazul iniţierii unui proces oficial sau neoficial de soluţionare a unui conflict, un
auditor profesionist trebuie să ia în considerare următoarele, fie individual, fie împreună cu
altele, ca parte a unui proces de soluţionare:
(a) fapte relevante;
(b) aspecte etice implicate;
(c) principii fundamentale legate de problema în cauză;
(d) proceduri interne stabilite; şi
(e) modalităţi de acţiune alternative.
Având în vedere aceste aspecte, un auditor profesionist trebuie să determine
modalităţile adecvate de acţiune care respectă principiile fundamentale identificate.
În cazul în care o anumită situaţie implică un conflict cu o organizaţie sau în cadrul
unei organizaţii, un auditor trebuie, de asemenea, să ia în considerare consultarea cu
49
persoanele însărcinate cu guvernarea organizaţiei, cum ar fi Consiliul de administraţie sau
comitetul de audit.
În cazul în care un conflict semnificativ nu poate fi rezolvat, un auditor poate solicita
consultare profesională din partea organismului profesional relevant sau a consilierilor
juridici, şi să obţină astfel îndrumări pe probleme etice, fără a încălca clauza de
confidenţialitate. De exemplu, un auditor poate întâlni un caz de fraudă, a cărei raportare ar
duce la încălcarea obligaţiei auditorului de a păstra confidenţialitatea. Auditorul trebuie să ia
în considerare obţinerea de consultanţă juridică pentru a determina dacă există vreo cerinţă de
a raporta acest lucru.
Dacă, după epuizarea tuturor posibilităţilor relevante, conflictul etic rămâne nerezolvat,
un auditor trebuie, acolo unde este posibil, să refuze să mai continue asocierea cu problema
care a generat conflictul. Auditorul poate determina că, în situaţia respectivă, este mai indicat
să se retragă din echipa misiunii sau dintr-o sarcină specifică, sau să renunţe deopotrivă la
acea misiune, companie sau organizaţie angajatoare.
Vocabular: codul de etică al auditorilor interni; integritate; obiectivitate;
competenţă profesională; confidenţialitate; comportament professional.
14. De ce este necesar un cod de etica pentru auditorii interni?
15. Care este structura codului de etică al auditorilor interni?
16. Care sunt principiile fundamentale după care trebuie să-şi
modeleze comportamentul auditorii interni?
17. Care sunt ameninţările cu care se confruntă auditoria interni
în timpul activităţii şi cum pot fi ele identificate, evaluate şi
contracarate?
50
Capitolul 6
Normele auditului intern
6.1 Cadrul de referinţă al practicilor profesionale
6.2 Standarde de calificare
6.3 Standarde de funcţionare
6.4 Utilitatea normelor
6.1 Cadrul de referinţă al practicilor profesionale
Auditul intern este o profesie, o profesie care s-a conturat de-a lungul anilor, incercând
să răspundă mereu necesităţilor în continuă schimbare pe care le au entităţile. Auditul intern,
axat la începuturile sale pe problemele contabile, a devenit astăzi un instrument puternic de
depistare a principalelor riscuri ale entităţilor. Foarte aproape, până acum câţiva ani, de
funcţia contabilă şi financiară, acesta este în prezent subordonat conducătorilor entităţilor şi
întreţine o relaţie stransă şi continuă cu comitetul de audit. Şi unul şi celălalt sunt de altfel
perfect complementari: comitetul de audit, de fapt, garantează şi consacră independenţa
auditului intern, la rândul său, auditul intern oferă comitetului de audit o analiză imparţială şi
profesionistă asupra riscurilor entităţii şi contribuie la îmbunătăţirea informării sale şi a
Consiliului în ceea ce priveşte nivelul de securitate al entităţii. Ambii participă, fiecare in
felul său, la bun a guvernare a entităţilor.
00:50
Timp necesar: 50 minute
Parcurgând acest capitol vom afla:
Care sunt normele după care îşi orientează activitatea auditorii
interni;
Care sunt elementele cadrului de referinţă al practicelor
profesionale ale auditorului intern;
Care sunt obiectivele normelor auditului intern;
Care sunt principalele prevederi ale standardelor de calificare
referitoare la auditorii interni şi serviciile de audit intern;
Care sunt principalele prevederi ale standardelor de funcţionare
referitoare la gestionarea auditului intern;
Care sunt factorii care justifică necesitatea şi utilitatea
normelor de audit intern.
51
Auditul intern este o profesie care se bazează pe un cadru de referinţă recunoscut în
lumea întreagă, chiar dacă, datorită varietăţii mediilor în care este practicat, acesta trebuie să
se adapteze pentru a lua în calcul particularităţile legislative şi de reglementare ale fiecarei
ţări, regulile specifice care guvernează anumite sectoare de activitate (sectorul bancar, de
exemplu) sau pur şi simplu marimea şi cultura entităţilor.
Codul deontologic
Act
ivit
ate
de
asig
ura
re
Norm
e de
apli
care
Norme de calificare
Norm
e de ap
licare
Activ
itate de co
nsiliere
Norme de funcţionare
Modalităţi practice de aplicare
Sprijin pentru dezvoltarea profesională
Cadrul de referinţă cuprinde:
● definiţia auditului intern (adoptată în luna iunie a anului 1999 de Consiliul de
Administraţie al IIA), care precizeaza că auditul intern efectuează misiuni de asigurare şi de
consiliere; că domeniile sale de responsabilitate sunt riscul, controlul intern şi guvernarea
entităţii; că finalitatea sa este aceea de a aduce un plus de valoare entităţilor;
● codul deontologic, care furnizează auditorilor interni principiile şi valorile ce le
permit să-şi orienteze practica profesională în funcţie de contextul lor specific;
● normele profesionale pentru practica auditului intern care îi ghidează pe auditorii
interni în vederea îndeplinirii misiunii lor şi în gestionarea activităţii lor;
● modalitatile practice de aplicare (MPA) care comentează şi explică normele şi
recomandă cele mai bune practici;
● sprijinul pentru dezvoltarea profesională, constituit în principal din lucrari şi articole
de doctrină, din documente ale colocviilor şi conferinţelor, precum şi ale seminariilor.
Cunoaşterea şi aplicarea acestui cadru de referinţă oferă entităţilor şi organismelor de
reglementare o asigurare privind nivelul de profesionalism al auditorilor interni.
Principiile şi regulile prevăzute de codul deontologic şi de norme au un caracter
obligatoriu. Nerespectarea acestora înseamnă nu numai să te situezi în afara profesiei, ci mai
ales să te privezi de un mijloc de a fi mai eficace şi, deci, mai credibil. Amatorismul nu mai
are ce căută în auditul intern; doar o abordare sistematică şi metodică poate aduce un plus de
valoare entităţilor.
Modalităţile practice de aplicare nu au aceeaşi putere executorie. Acestea reprezintă
totuşi referinţa în domeniu şi se recomandă cu tărie punerea lor în aplicare, admiţând totuşi
posibilitatea unor adaptări în funcţie de legile şi reglementările naţionale.
52
În ceea ce priveşte documentele clasificate la rubrica „sprijin pentru dezvoltarea
profesională“, acestea pot fi utilizate în caz de nevoie, fără a reprezenta totuşi o referinţă în
domeniu.
Normele auditului intern îşi propun:
- să definească principiile de bază;
- să furnizeze un cadru de referinţă;
- să stabilească criterii de apreciere;
- să fie un factor de îmbunătăţire.
Cerinţele codului deontologic au fost prezentate în capitolul anterior.
6.2 Standarde de calificare
Acestea se referă la auditorii interni şi serviciile de audit intern. Se compun din patru
articole principale, ele însele împărţite în mai multe articole subsidiare şi norme de
implementare.
Norma 1000. Misiune, competenţe şi responsabilităţi.
Aceasta defineşte misiunea, competenţa şi responsabilităţile. Natura misiunilor trebuie
să fie definite în mod formal în Carta de audit, să fie stabilite în concordanţă cu normele şi să
fie aprobate de consiliul de administraţie. Acest document este întocmit înainte de intrarea în
funcţiune a serviciului de Audit Intern.
Modalitatea Practică de Aplicare (MPA) 1000-1 precizează modalităţile de redactare a
Cartei, conţinutul şi difuzarea ei. Modalitatea Practică de Aplicare (MPA) 1000.C1-1 prezintă
caracteristicile Auditului Intern şi importanţa principiilor directoare la realizarea misiunilor
de consiliere.
Norma 1100. Independenţă şi obiectivitate
Aceasta prezintă principiul independenţei şi îl dezvoltă în trei articole. Se precizează
astfel sensul care trebuie acordat cuvântului „independenţă“. Acestei cerinţe i se asociază
„obiectivitatea“. Nu există o adevarată independenţă fără obiectivitate.
Norma 1200. Competenţe şi conştiinţă profesională
Regăsim aici prezentarea anumitor principii enunţate în Codul deontologic. Cerinţele
referitoare la acestea sunt prezentate în Modalitatea Practică de Aplicare (MPA) 1200-1. Nu
trebuie să confundăm competenţele individuale ale auditorilor cu competenţele globale ale
serviciului.
Auditorii interni trebuie să deţină cunoştinţele, priceperea şi celelalte competenţe
necesare exercitării responsabilităţilor lor individuale. Serviciul de audit intern trebuie să
deţină sau să dobândească în mod colectiv cunoştinţele, priceperea şi celelalte competenţe
necesare exercitării responsabilităţilor care le revin.
Auditorii interni trebuie să îşi exercite activitatea cu conştiinciozitatea şi priceperea
care se aşteaptă din partea unui auditor intern prudent şi competent. Conştiinţa profesională
nu implică infailibilitatea.
Norma 1300 Program de asigurare şi îmbunătăţire a calităţii
Responsabilul pentru activitatea de audit intern trebuie să elaboreze şi să actualizeze un
program de asigurare şi îmbunătăţire a calităţii care să acopere toate aspectele legate de
activitatea de audit intern şi să monitorizeze permanent eficacitatea acestuia. Acest program
include evaluări interne şi externe ale calităţii şi o monitorizare internă permanentă. Fiecare
53
parte a programului trebuie să fie concepută astfel încât să ajute activitatea de audit intern să
aducă un plus de valoare şi să îmbunătăţească activităţile entităţii, şi să ofere o asigurare că
activitatea de audit intern se desfăşoară în conformitate cu Standardele şi cu Codul Etic.
6.3 Standarde de funcţionare
Normele cuprind şase articole care se referă la gestionarea auditului intern, natura
activităţii, planificarea misiunii, realizarea misiunii, comunicarea rezultatelor, supravegherea
aplicării propunerilor şi acceptarea riscurilor evidenţiate în raportul de audit de către
conducere.
Norma 2000 – Gestionarea activităţii de audit intern
Responsabilul pentru activitatea de audit intern trebuie să gestioneze în mod eficient
activitatea de audit intern astfel încât să garanteze că ea aduce un plus de valoare entităţii.
Activitatea de audit intern se planifică. Aceasta permite administrarea resurselor şi
comunicarea cu conducerea. Auditul intern trebuie să aibă propriile sale proceduri şi auditorii
interni trebuie să colaboreze cu auditorii externi.
Responsabilul cu activitatea de audit intern trebuie să prezinte periodic
managementului şi Consiliului de administraţie informaţii referitoare la scopul, autoritatea,
responsabilitatea şi funcţionarea compartimentului de audit intern, în conformitate cu planul
stabilit.
Norma 2100 – Natura activităţii
Activitatea de audit intern trebuie să evalueze şi să contribuie la îmbunătăţirea sistemelor de
management al riscurilor, control intern şi de guvernanţă a entităţii folosind o abordare
sistematică şi metodică.
Activitatea de audit intern trebuie să ajute entitatea la identificarea şi evaluarea
expunerilor la riscurile semnificative şi să contribuie la îmbunătăţirea sistemelor de
management al riscurilor şi de control.
Activitatea de audit intern trebuie să ajute entitatea să-şi dezvolte un control intern
eficient, evaluând eficacitatea şi eficienţa acestuia şi încurajând îmbunătăţirea lui continuă.
Activitatea de audit intern trebuie să evalueze şi să facă recomandări adecvate pentru
îmbunătăţirea procesului de guvernanţă corporativă.
Norma 2200 – Planificarea misiunii
Auditorii interni trebuie să elaboreze şi să înregistreze un plan pentru fiecare misiune,
incluzând aria de aplicabilitate, obiectivele, calendarul şi alocarea resurselor pentru acesta.
Norma 2300 – Realizarea misiunii
Auditorii interni trebuie să identifice, analizeze, evalueze şi culeagă informaţii
suficiente pentru atingerea obiectivelor misiunii. Trebuie să identifice informaţiile suficiente,
fiabile, pertinente şi utile pentru atingerea obiectivelor misiunii, să-şi bazeze concluziile şi
rezultatele misiunii lor pe analize şi evaluări corespunzătoare, să obţină informaţiile relevante
în vederea justificării concluziilor şi rezultatelor misiunii.
Norma 2400 – Comunicarea rezultatelor
Auditorii interni trebuie să comunice rezultatele misiunii. Comunicarea trebuie să
includă obiectivele şi aria de aplicabilitate ale misiunii, precum şi concluziile, recomandările
şi planurile de acţiune aplicabile. Comunicarea trebuie să fie corectă, obiectivă, clară,
concisă, constructivă, completă şi realizată în timp util. Responsabilul pentru activitatea de
audit intern trebuie să difuzeze rezultatele părţilor îndreptăţite.
54
Norma 2500 – Monitorizarea evoluţiei
Responsabilul pentru activitatea de audit intern trebuie să stabilească un program de
urmărire a aplicării propunerilor auditorilor interni, acceptate de conducere, prin care să se
garanteze că deciziile luate de management au fost aplicate în mod eficient sau că
managementul a acceptat să-şi asume riscul de a nu întreprinde nici o măsură.
Norma 2600 – Acceptarea riscurilor de către management
Atunci când responsabilul pentru activitatea de audit intern consideră că managementul
a acceptat un nivel al riscului rezidual care poate fi semnificativ pentru entitate, responsabilul
pentru activitatea de audit intern trebuie să discute acest aspect cu managementul. Dacă nu
pot lua o decizie cu privire la riscul rezidual, managerul entităţii şi responsabilul pentru
activitatea de audit intern trebuie să se adreseze consiliului de administraţie pentru
soluţionarea acestei situaţii.
6.4 Utilitatea normelor
Normele de audit intern au fost îmbunătăţite mereu pentru a le spori utilitatea.
Necesitatea existenţei unor norme cât mai clare şi precise este dată de:
• principiile fundamentale, acceptate de comunitatea internaţională a auditorilor, oferă
unitate obiectivelor şi metodei auditului intern; contribuie la crearea funcţiei de audit intern
care, fără acestea, ar risca să nu fie decât o însumare de practici diverse şi eteroclite;
• principiile fundamentale au permis nu doar crearea funcţiei ci şi dezvoltarea ei
continuă, îmbogăţirea metodei pe baza comentariile şi modalităţilor de aplicare asociate
acestor principii;
• definind un program de asigurare a calitaţii şi obligând auditorii să-l respecte, normele
au ridicat auditul intern la nivelul activităţilor organizate şi certificate;
• existenţa normelor permite auditorilor interni să-şi exercite funcţia cu mai multă
autoritate; este un indiciu că această activitate are standarde de calitate, ceea ce oferă
încredere în serviciile oferite.
Vocabular: cadrul de referinţă al practicilor profesionale; norme de aplicare;
norme de calificare; norme de funcţionare; modalităţi practice de aplicare.
1. Care sunt normele după care îşi orientează activitatea auditorii interni?
2. Care sunt elementele cadrului de referinţă al practicelor profesionale ale
auditorului intern?
3. Care sunt obiectivele normelor auditului intern?
4. Care sunt principalele prevederi ale standardelor de calificare referitoare la
auditorii interni şi serviciile de audit intern?
5. Care sunt principalele prevederi ale standardelor de funcţionare referitoare la
gestionarea auditului intern?
6. Care sunt factorii care justifică necesitatea şi utilitatea normelor de audit intern?
55
Capitolul 7
Auditul intern şi riscurile de management
7.1 Implicarea auditul intern în managementul riscurilor
7.2 Armonizarea modelelor de audit intern şi de management al riscurilor
7.3 Identificarea riscurilor
7.4 Evaluarea riscurilor
7.5 Toleranţa la risc
7.6 Răspunsul la risc – controlarea riscurilor
7.7 Instrumente de control intern
7.8 Gruparea instrumentelor de control intern după modul de acţiune împotrina
riscurilor
7.9 Revizuirea şi raportarea riscurilor
7.10 Comunicare şi învăţare
7.11 Entitatea extinsă şi mediul
7.1 Implicarea auditul intern în managementul riscurilor
În orice entitate, cât şi în mediul în care aceasta acţionează, există incertitudini şi
ameninţări referitoare la realizarea obiectivelor. Orice manager este preocupat de gestionarea
ameninţările, sau de fructificarea oportunităţile. Dacă incertitudinea este o realitate cotidiană,
atunci şi reacţia la incertitudine poate devini o preocupare permanentă.
Auditul intern poate contribui la implementarea managementului riscurilor, aducând motivaţii
specifice11
.
a) Auditul intern poate contribui la modificarea stilului de management
11
Metodologie de implementare a standardului de control intern „managementul riscurilor“, Unitatea Centrală
de Armonizare a Sistemelor de Management Financiar şi Control, MFP, ianuarie 2007, www.mfinante.ro
00:10050
Timp necesar: 100 minute
Parcurgând acest capitol vom afla:
Cum poate contribui auditul intern la îmbunătăţirea
managementului riscurilor;
Cum se armonizează auditul intern cu cerinţele managementului
riscurilor;
Cum acţionează auditorii interni pentru identificarea şi evaluarea
riscurilor de management.
56
Contribuind la identificarea riscurilor, auditul intern oferă managerilor posibilitatea să
adopte un stil de management reactiv, să conceapă şi să implementeze măsuri susceptibile de
a atenua manifestarea riscurilor. Reacţia orientată spre viitor permite organizaţiei să
stăpânească, în limite acceptabile, riscurile trecute, ceea ce este acelaşi lucru cu creşterea
şanselor de a-şi atinge obiectivele. Stăpânirea riscurilor reale (riscurile care s-au manifestat
deja, dar care sunt negestionate corespunzator şi care pot apare şi în viitor) este o garanţie că
sistemele de control intern sunt eficace. Tratarea riscurilor reale permite entităţii să nu se mai
confrunte în viitor, în aceeaşi măsură, cu acele riscuri cu care s-a confruntat în trecut. Din
păcate, este destul de răspandită concepţia conform căria eficacitatea acţiunii manageriale
constă în limitarea efectelor riscurilor materializate.
Limitarea la managementul reactiv este, totuşi, insuficientă pentru un management
performant. Nici o organizaţie nu poate fi condusă numai după principiul „văzând şi facând”.
La fel de importantă este şi identificarea posibilelor ameninţări, înainte ca ele să-şi
materializeze şi să producă consecinţe nefavorabile asupra obiectivelor stabilite. Aceasta
înseamnă a adopta un stil de management proactiv. Managementul proactiv are la bază
principiul „este mai bine să previi, decât să constaţi un fapt împlinit”.
În entităţile care beneficiază de un audit intern performant, „scrutarea orizontului“ nu se
limitează la viitorul imediat, ci ia în considerare şi perspective mai îndepărtate. În aceste
situaţii, managementul proactiv devine un management prospectiv, în care managementul
încearcă să identifice acele riscuri potenţiale, acele riscuri care pot aparea ca urmare a
modificărilor de strategie sau de mediu. Organizaţia trebuie pregătită pentru a accepta
schimbarea. Auditul intern susţine mangementul entităţii să excludă expectativa şi să
promoveaze acţiunea şi previziunea.
b) Auditul intern poate facilita realizarea eficientă şi eficace a obiectivelor organizaţiei
Revizuirea periodică a riscurilor de către auditul intern, poate conduce la realocarea
resurselor, în concordanţă cu modificarea ierarhiilor şi, implicit a priorităţilor. Susţinerea
eforturilor managementului riscurilor poate orienta concentrarea resurselor în zonele de
interes actuale ale entităţii.
Cunoaşterea ameninţărilor permite o ierarhizare a acestora în funcţie de eventualitatea
materializării lor, amploarea impactului acestora asupra obiectivelor şi de costurile pentru
reducerea şansele de apariţie sau limitarea efectele nedorite. Stabilirea unor ierarhii constituie
suportul introducerii unei ordini de priorităţi în alocarea resurselor, în majoritatea cazurilor
limitate, în urma unei analize „cost-beneficiu“ sau, mai general, „efort-efect“. Este esenţial ca
organizaţia să-şi concentreze eforturile spre ceea ce este cu adevarat important, şi nu să-şi
disperseze resursele în zone nerelevante pentru scopurile sale.
c) Auditul intern asigură condiţiile de bază pentru un control intern sănătos
Dacă auditul intern cuprinde ansamblul măsurilor stabilite de conducere pentru a se
obţine asigurări rezonabile că obiectivele controlului intern şi ale entităţii vor fi atinse, rezultă
că auditul intern este unul din mijloacele importante prin care se realizează acest lucru,
deoarece urmăreşte tocmai gestiunea ameninţărilor ce ar putea avea impact negativ asupra
obiectivelor. Cu alte cuvinte, dacă se urmăreşte consolidarea controlului intern, este
57
indispensabilă implementarea auditul intern. Planul de acţiune (activităţile ce trebuie
desfăşurate pentru realizarea obiectivelor) trebuie urmat de planul ce cuprinde măsurile ce
atenuează manifestarea riscurilor şi de planul de tratare a situaţiilor dificile (riscuri
materializate).
7.2 Armonizarea modelelor de audit intern şi de management al riscurilor
Managementul riscurilor este un atribut al conducerii, este realizat cu participarea
personalului entităţii şi constă în: definirea strategiei specifice; identificarea şi evaluarea
riscurilor ce pot afecta entitatea şi activităţile ce se desfăşoară în cadrul acesteia, ţinând cont
de parteneriate şi de mediu; controlul riscurilor astfel încât acestea să se încadreze în limitele
toleranţei la risc; monitorizarea, revizuirea şi raportarea continuă a situaţiei riscurilor,
beneficiindu-se de experienţa acumulată (proces de învăţare), pentru a se obţine o garanţie
rezonabilă cu privire la realizarea obiectivelor entităţii.
Managementului riscurilor nu este un proces linear, componentele lui interacţionând
continuu. Gestionarea unui risc poate avea un impact asupra altor riscuri sau măsurile
identificate ca fiind eficace pentru controlarea unui risc se pot dovedi benefice şi în
controlarea altor riscuri. De asemenea, modelul încearcă să sugereze că managementul
riscurilor nu are în vedere o entitate izolată ci, aşa cum se întâmplă în realitate, o entitate
integrată în mediul său de existenţă.
Mediul economic şi social
Parlament Astepţările factorilor interesaţi
Guvern Condiţii economice
Legi şi alte reglementări Contextul internaţional
Entitatea extinsă
•Entitate afiliată • Entităţi partenere
•Entitate subordonată •Alte entităţi incidente
Entitatea
Identificarea riscurilor Evaluarea riscurilor
Monitorizarea, revizuirea şi
raportarea riscurilor
Atitudinea faţă de risc.
Controlul riscurilor
Proces de
învăţare
Modelul de management al riscurilor
58
Managementul riscului este un proces continuu de învăţare din experienţe trecute,
proprii sau ale altora. Ceea ce este extrem de important în demersul de a se ajunge la un
management al riscurilor eficace este consolidarea permanenta a unei culturi
organizaţionale a riscurilor.
Modelul auditului intern trebuie să fie adaptat modelului de management al riscului
pentru că activitatea sa urmăreşte tocmai identificarea, evaluarea şi stabilirea impactului
riscurilor.
7.3 Identificarea riscurilor
Pentru a se gestiona riscurile într-o entitate, este necesar, înainte de toate, să se
cunoască aceste riscuri, adică să fie identificate. Identificarea riscurilor constituie primul pas
în construirea profilului riscurilor unei organizaţii. Riscurile trebuie identificate la orice nivel
unde se sesizeaza că există consecinţe asupra atingerii obiectivelor şi pot fi luate măsuri
specifice de soluţionare a problemelor, ridicate de respectivele riscuri.
Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a caror realizare
este afectată de materializarea lor. Din această cauză existenţa unui sistem de obiective clar
definite în entitate constituie premisa esenţială pentru identificarea şi definirea riscurilor. Se
face definirea clară a sistemului de obiective, începând cu cele generale şi terminând cu cele
individuale, şi numai după aceea se identifică ameninţările şi oportunităţile.
În raport de situaţia în care se află organizaţia, identificarea riscurilor se poate afla într-
una din urmatoarele ipostaze:
• Identificarea iniţială a riscurilor caracteristică organizaţiilor noi sau care nu şi-au
identificat anterior riscurile, într-o manieră structurată.
De asemenea, această situaţie se întâlneşte în cazul demarării unui nou proiect sau
atunci când o activitate nouă este introdusă în entitate.
• Identificarea permanentă a riscurilor caracteristică organizaţiilor în care s-a
consolidat managementul riscurilor. Identificarea continuă este necesară pentru cunoaşterea
riscurilor care nu s-au manifestat anterior datorită circumstanţelor, a schimbării
circumstanţelor în care se manifestă riscurile identificate anterior, precum şi pentru stabilirea
riscurilor care s-au manifestat în trecut, dar care nu mai prezintă, în prezent, importanţa
pentru organizaţie.
Rriscul este o problemă (situaţie, eveniment etc.) care poate să apară, dar care nu a
aparut încă. Riscul este o posibilitate, şi nu un fapt împlinit. Riscul este o incertitudine, şi nu
ceva sigur. Riscurile au o cauză şi un efect asupra obiectivelor. Există o cauză pentru fiecare
risc şi un efect dacă riscul se materializează. Efectul (consecinţa) este impactul. Cauza este o
situaţie care există (circumstanţa) şi care favorizează apariţia riscului.
Riscul inerent este riscul specific ce ţine de realizarea obiectivului, fără a se interveni
prin măsuri de atenuare a riscurilor (controlul intern).
Riscul rezidual este riscul ce rămâne după ce s-au pus în operă măsurile de atenuare a
riscurilor inerente sau, cu alte cuvinte, riscurile remanente controlului intern. Riscul rezidual
59
este consecinţa faptului că riscurile inerente nu pot fi controlate în totalitate. Oricâte măsuri s-
ar lua, incertitudinea rămâne. Mai mult decât atât, amploarea măsurilor de ţinere sub control a
riscurilor inerente este limitată, deoarece resursele posibil de antrenat sunt ele însele limitate.
Identificarea riscurilor nu este întotdeauna o operatiune strict obiectivă ci, în primul
rând, o problemă de percepţie. De fapt, se poate afirma că nu se operează cu riscuri în sine, ci
cu percepţii asupra riscurilor.
Pentru a atenua subiectivismul în perceperea riscurilor este recomandat să se recurgă la
două metode complementare de identificare a riscurilor cu care se confruntă entitatea:
- Autoevaluarea riscurilor. Metoda are avantajul că fiecare grup, care participă la o
activitate omogena a organizaţiei, cunoaşte mult mai bine problemele cu care se confruntă în
realizarea obiectivelor proprii. Totodată, atunci când membrii colectivului sunt puşi în
situaţia de a descoperi ei înşişi riscurile, ei tind să devină mai conştienţi şi mai responsabili în
gestionarea acestora.
Dezavantajul metodei constă în faptul că fiind implicaţi direct în activitate,
subiectivismul în perceperea riscurilor este mai accentuat. Se întâmplă să se identifice riscuri
nerelevante, dar care în percepţia colectivă par importante şi invers.
Rolul auditului intern al acelei activităţi este esenţial în autoevaluare. Având o viziune
de ansamblu a activităţii pe care o coordonează, percepe mai bine riscurile generale şi
intercondiţionarile dintre riscurile individuale.
De asemenea, acesta identifică acele riscuri care afectează activitatea grupului, dar pe
care nu le poate controla la nivelul său fiind necesară intervenţia managementului de nivel
imediat superior.
Pentru început, dar şi pentru procesul de revizuire continuă, este bine ca entitatea să-şi
formeze un grup de persoane care să capete abilităţi în identificarea riscurilor. Aceste
persoane pot asista colectivele de autoevaluare.
- Desemnarea unei echipe de audit intern, proprie sau cu serviciul externalizat, care
să analizeze toate operaţiunile şi activităţile organizaţiei în corelare cu obiectivele şi să
identifice riscurile asociate. Echipa trebuie să realizeze un profil al riscurilor organizaţiei.
Avantajul acestei metode constă în atenuarea subiectivismului şi în corelarea riscurilor
pe diferite nivele. Dezavantajul îl reprezintă faptul că anumite riscuri, aparent neimportante,
pot fi ignorate.
Riscurile identificate trebuie grupate. Nu există o grupare standard, fiecare organizaţie
poate adopta propriul sistem de grupare a riscurilor cu scopul de a le administra
corespunzător. Apartenenţa la o clasa de probleme, nivelele de responsabilitate în gestionarea
riscurilor, congruenţa măsurilor ce trebuie luate etc, pot constitui elemente în bază cărora să
se facă această grupare.
După amploarea impactului riscurile pot fi strategice sau operaţionale (în unele
abordări apar şi riscurile intermediare sau de program). De asemenea, unele riscuri îşi au
originea în mediul extern organizaţiei (riscuri externe), iar altele sunt proprii organizaţiei
60
însăşi (riscuri interne). De asemenea, pot fi privite prin prisma naturii activităţii, caz în care,
acestea pot fi riscuri: legislative, juridice, financiare, profesionale, sociale, comerciale,
informaţionale, de funcţionare, de mediu, de imagine (credibilitate), patrimoniale etc.
7.4 Evaluarea riscurilor
Odată riscurile identificate se trece la a doua etapă, de evaluare a riscurilor.
Evaluarea riscurilor presupune evaluarea probabilităţii de materializare a riscurilor şi a
impactului (consecinţelor) asupra obiectivelor în cazul în care acestea se materializează.
Combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului constituie
expunerea la risc, în baza căreia se realizează profilul riscurilor.
Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor unei organizaţii care, în
funcţie de tolerabilitatea la risc, permite stabilirea celor mai adecvate modalităţi de tratare a
riscurilor şi delegarea responsabilităţii de gestionare a riscurilor celor mai potrivite nivele
decizionale.
A ierarhiza însemnă a compara, iar pentru a compara trebuie concepută o metodă
unitară de evaluare a probabilităţii şi a impactului riscurilor ca şi a rezultantei compunerii lor
numită, aşa după cum s-a arătat, expunere la risc.
Există riscuri care pot fi cuantificate şi pentru care există suficiente date stocate în
documentele entităţii cum ar fi, spre exemplu, riscurile financiare, de personal sau de
fiabilitate a aparaturii, dar şi riscuri care nu pot fi cuantificate cum ar fi, spre exemplu,
riscurile legate de credibilitate.
Din fericire există un element comun, şi anume: percepţia noastră asupra riscurilor care
ne ajută. Fără îndoială, orice metodă bazată pe percepţie este subiectivă, dar, în lipsă de
altceva, este un mare pas înainte în comparaţie cu situaţia în care riscurile sunt tratate intuitiv
şi întâmplător, uneori chiar fără să fim conştienţi că facem acest lucru.
Metoda bazată pe percepţie are însă o justificare obiectivă. Nu atât nivelele evaluate ale
riscurilor au importanţă, cât mai ales dacă riscurile sunt percepute sau nu ca tolerabile. Cu
alte cuvinte, deviaţia expunerii la risc faţă de tolerabilitatea la risc este relevantă deoarece
aceasta creează motivaţia pentru găsirea metodelor cele mai adecvate de gestionare a
riscurilor.
Evaluarea riscurilor constă în parcurgerea următoarelor etape:
a) evaluarea probabilităţii de materializare a riscului identificat;
b) evaluarea impactului asupra obiectivelor în cazul în care riscul s-ar materializa;
c) evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact.
a) Evaluarea probabilităţii de materializare a riscului identificat
61
Se obţine o evaluare destul de bună a probabilităţii de materializare a unor riscuri prin
analiza circumstanţelor. Metoda analizei circumstanţelor are la bază un postulat simplu: dacă
există aceleaşi cauze vor exista aceleaşi efecte. Nu trebuie redus totul la experienţa proprie.
Uneori este suficient să cunoaştem corelaţiile stabilite de alţii şi să înţelegem pe cele ce apar
în situaţii noi.
Într-o entitate sau/şi în mediul cu care interacţionează pot exista, la un moment dat,
condiţii (stări de fapt, circumstanţe) care favorizează apariţia riscului şi condiţii care
defavorizează apariţia acestuia. Prin urmare, dacă se face o analiză a cauzelor care
favorizează apariţia riscurilor se poate face o apreciere a şanselor de materializare a acestora.
Fără îndoială analiza circumstanţelor conduce la o evaluare a probabilităţii cu un grad
mai mare de relativitate. Dar acesta nu constituie un impediment major, atâta timp cât
evaluarea are la bază informaţii şi analize pertinente.
Atunci când se recurge la metoda analizei circumstanţelor, domeniul în care funcţia de
probabilitate ia valori se poate înlocui cu o scală de evaluare.
Această scală de evaluare a probabilităţii de materializare a riscurilor poate fi de tipul:
Probabilitatea de materializare a riscului
Apreciere
calitativă Scăzută Medie Ridicată
Apreciere
cantitativă 0,5% 2% 5%
Aprecierea în termeni cantitativi ai probabilităţii (%) depinde de natura riscului şi de
atitudinea faţă de risc a evaluatorului. Probabilitatea poate lua valori de la zero până la 1,00
(100%).
Prin introducerea acestei scale, în urma analizei circumstanţelor, am identificat un
instrument cu ajutorul căruia putem să apreciem posibilitatea de materializare a riscului
(scăzută, medie sau ridicată). În acest fel am simplificat mult efortul de evaluare a
probabilităţii de materializare a riscurilor. Chiar şi evaluările cantitative ale probabilităţilor
pot fi realizate cu această scală.
La evaluările cantitative trebuie să se recurgă ori de câte ori este posibil. Ele cer o
fundamentare mai riguroasă şi mai obiectivă decât în cazul evaluării calitative.
Pe măsură ce organizaţia se familiarizează cu problematica riscurilor, iar managementul
riscurilor devine o componentă de bază a managementului general al organizaţiei, se poate
trece la o evaluare mai analitică ce presupune utilizarea unei scale în cinci trepte.
b). Evaluarea impactului asupra obiectivelor în cazul materializării riscurilor
62
Impactul reprezintă efectul produs asupra obiectivelor (rezultatelor) aşteptate, care
poate fi, în funcţie de natura riscului, negativ sau pozitiv. Impactul măsoară consecinţele
asupra obiectivelor urmărite dacă riscurile s-ar materializa.
Impactul poate fi exprimat în termeni cantitativi sau calitativi. Numai unele riscuri se
pretează la evaluări cantitative, pentru multe dintre ele fiind posibilă doar evaluarea calitativă.
Evaluările cantitative ale impactului trebuie făcute ori de câte ori este posibil, deoarece
sunt mult mai relevante, dar în final pentru obţinerea unei imagini unitare asupra riscurilor ce
pot afecta entitatea, evaluările cantitative vor fi transpuse şi sub formă calitativă.
În unele situaţii, mai ales când este vorba de obiective strategice, iar organizaţiile sunt
complexe (similar, proiecte complexe, activităţi complexe), evaluarea impactului devine
dificilă şi necesită studii de impact.
Impactul oricărui risc este caracterizat prin consecinţele produse. Alături de consecinţe
calitative, prezentate descriptiv, pot fi identificate şi consecinţe exprimate în termeni de buget
(costuri), de efort (timp de muncă) şi de timp (întârzieri posibile în termenul de realizare a
obiectivelor). Nu este obligatoriu ca evaluarea impactului să se facă prin toate aceste
componente. Uneori nu este posibil, iar alteori nu este relevant.
În multe cazuri în entitate sunt fixate obiective măsurabile începând de la nivelul
programelor (bugetarea pe programe) şi terminând cu sarcinile individuale. Fiecărui obiectiv i
se ataşează indicatori de rezultate ce pot fi cuantificaţi şi monitorizaţi. Impactul riscurilor este
exprimat în acest caz prin efectul pe care îl are materializarea riscurilor asupra indicatorilor
referitori la rezultate.
Pentru aprecierea impactului se folosesc scale de evaluare. Aceste scale oferă un
instrument cu ajutorul căruia se poate măsura importanţa materializarea riscurilor
(impactului) asupra obiectivelor entităţii. Pentru etalonarea scalei se folosesc unităţi
canatitative sau calitative.
Scală de evaluare calitativă a impactului
Ridicat I
M
P
A
C
T
Mediu
Scăzut
Numărul diviziunilor de etalonare a scalei sunt stabilite de fiecare entitate, pentru
fiecare grup de riscuri sau activităţi.
În cazul evaluărilor cantitative scala va fi exprimată în unităţile specifice folosite pentru
exprimarea obiectivului afectat (lei, kg., m2, ore etc.) De exemplu: devalorizarea monedei
naţionale cu 2% ar putea determina entităţii X, care realizează importuri din produsul Y, dacă
s-ar concretiza riscul, o pierdere de 10.000 ron. În acest caz impactul este măsurat în lei.
63
Scala va fi etalonată în lei şi se va desfăşura de la zero la nivelul maxim posibil al impactului
(pierderii).
c) Evaluarea expunerii la risc
Expunerea la risc reprezintă consecinţele, ca o combinaţie de probabilitate şi impact, pe
care le poate resimţi o entitate în raport cu obiectivele prestabilite în cazul în care riscul s-ar
materializa.
Expunerea la risc nu este o măsură a consecinţelor, ci o măsură probabilistică a
acestora. Expunerea la risc este un concept probabilistic, deoarece exprimă o combinaţie între
probabilitate şi impact. Ca urmare, ea are semnificaţie numai înaintea producerii riscului.
După manifestare, riscul nu mai este o incertitudine, ci devine un fapt împlinit, iar în termenii
teoriei probabilităţilor aceasta înseamnă că probabilitatea de apariţie (materializare) a riscului
este 1 (eveniment sigur). În aceste condiţii expunerea la risc este de fapt impact.
De asemenea, în definiţie se precizează că expunerea la risc este o combinaţie între
probabilitate şi impact. Scala de evaluare a expunerii la risc nu mai este unidimensională, ca
în cazul probabilităţii sau impactului, ci una bidimensională sau, cu alte cuvinte, de tip
matricial. Liniile matricei descriu variaţia probabilităţii, iar coloanele variaţia impactului.
Expunerea la risc apare la intersecţia liniilor cu coloanele.
Dacă organizaţia a adoptat scalele de evaluare calitativă în trei trepte pentru
probabilităţi şi impact, expunerea la risc va fi exprimată în acest caz prin 9 valori (3x3).
Evaluarea expunerii la risc = probabilitatea
* impactul (E=P*I)
Ridicat I
M
P
A
C
T
S*R M*R R*R
Mediu S*M M*M R*M
Scăzut S*S M*S R*S
Probabilitate
Scăzută Medie Ridicată
Tabelul evidenţiază o ierarhizare a riscurilor. Un risc cu expunerea R·R (probabilitate
de apariţie ridicată şi impact ridicat în cazul materializării) nu este echivalent cu un risc
căruia i se asociază expunerea S·S (probabilitate de apariţie scăzută, impactul scăzut în cazul
materializării).
Gruparea riscurilor identificate într-o organizaţie în funcţie de expunerea la risc
conduce la realizarea profilului de risc al organizaţiei.
Atunci când din diferite motive, se optează pentru utilizarea scalelor numerice, ele
trebuie dublate cu scalele calitative. În acest mod se controlează mai bine semnificaţia
informaţiilor (expunerii) obţinute. Dacă la aceasta se adaugă documentaţia riscului (care
64
poate cuprinde, eventual, şi evaluări cantitative) cu siguranţă se poate fundamenta mult mai
bine modelul riscurilor. Trebuie găsit un echilibru între simplificare şi detaliere pentru a nu se
pierde din semnificaţie, pentru că putem fi copleşiţi de amănunte a căror semnificaţie nu o
mai putem controla.
Riscul inerent şi riscul rezidual sunt două ipostaze ale aceluiaşi risc: înainte de
introducerea unui instrument de control intern şi, respectiv, după introducerea unui
instrument de control intern. Prin urmare expunerea la riscul inerent este o măsură a riscului
la care se expune entitatea dacă nu funcţionează sistemul de control intern, iar expunerea la
riscul rezidual este o măsură a riscului rămas după ce au fost implementate instrumentele de
control intern.
Deoarece controlul intern are scopul de a atenua posibilitatea de apariţie a riscului
şi/sau de a atenua impactul asupra obiectivelor între cele două expuneri la risc, există relaţia:
Erisc inerent > Erisc rezidual
Despre sistemele de control intern se poate afirma că sunt adecvate sau nu, dar nu se
poate susţine că nu există. Din această cauză, riscul inerent şi rezidual au un caracter relativ şi
nu absolut. Dacă controlul intern implementat la un moment dat în entitate în raport cu un
anumit risc are drept consecinţa o expunere la risc ce depăşeşte limitele de tolerabilitate,
riscul rezidual anterior este considerat risc inerent în raport cu ajustările şi dezvoltările
sistemului de control intern existent. Sistemul de control intern ajustat şi dezvoltat pentru a
surprinde modificările de circumstanţe se finalizează printr-un nou risc rezidual. Ipostaza de
risc inerent şi rezidual se stabileşte în raport cu controlul intern.
7.5 Toleranţa la risc
Toleranţa la risc reprezintă riscul pe care o entitate este pregătită să o tolereze sau la
care este dispusă să se expună la un moment dat.
Conceptul de toleranţă la risc are semnificaţii diferite în funcţie de natura riscului, care
poate fi o oportunitate sau o ameninţare.
Când se au în vedere oportunităţile, conceptul de toleranţă la risc se referă la a analiza
cât de mult este dispus cineva să rişte în speranţa că va beneficia de pe urma acelor
oportunităţi, iar când se au în vedere ameninţările, toleranţa la risc se referă la expunerea
tolerabilă şi justificabilă care trebuie atinsă în practică.
În interpretarea conceptelor de mai sus nu trebuie uitat faptul că riscul este o
incertitudine. Prin urmare, oportunitatea se poate realiza sau nu, ca de altfel şi ameninţarea.
Expunerea la risc (ca o combinaţie dintre probabilitate şi impact), capătă sens numai în
raport cu nivelul toleranţei la risc. Când expunerea la risc este comparată cu toleranţa la risc,
amploarea măsurilor de control al riscurilor ce trebuie luate devine evidentă. Cu alte cuvinte,
nu valoarea absolută a expunerii la risc este importantă, ci deviaţia expunerii la risc
faţă de toleranţa la risc. Mai simplu spus, esenţial este faptul dacă riscul este perceput
ca tolerabil sau nu.
65
Dacă expunerea la riscul inerent (riscul înainte de aplicarea măsurilor de control intern
al riscurilor) este mai mică sau egală cu toleranţa la risc definită de manageri, nu se impun
măsuri de control al riscurilor, ceea ce înseamnă că riscurile sunt acceptate. În caz contrar,
sunt necesare măsuri de control al riscurilor astfel încât expunerea la riscul rezidual (riscul
care rămâne după aplicarea măsurilor de control al riscurilor) să se încadreze în limitele de
toleranţă la risc stabilite.
Dacă riscurile, atunci când se materializează, conduc la compromiterea (totală sau
parţială) realizării obiectivelor, atunci de ce nu se stabileşte o toleranţă zero la risc? Pentru că
măsurile de control al riscurilor generează costuri (financiare şi/sau de altă natură), iar în
unele situaţii nu pot fi controlate toate circumstanţele care favorizează materializarea
riscurilor. Stabilirea unei limite de toleranţă la risc înseamnă de fapt alegerea unui echilibru
între „costul“ controlului riscurilor şi „costul“ (financiar şi/sau de altă natură) expunerii, în
cazul în care aceasta ar deveni realitate.
Stabilirea limitei de toleranţă la risc este un act major de responsabilitate managerială,
fiindcă prin aceasta se stabileşte expunerea la risc asumata, în corelare cu costurile, de
asemenea asumate, ale măsurilor de control a riscurilor.
Dacă expunerea la risc este o mărime probabilistică măsurată într-un format matricial
(combinaţie de probabilitate şi impact), atunci şi toleranţa la risc are aceleaşi caracteristici.
Asupra tuturor riscurilor, care au nivelul expunerii mai mare decât limita de toleranţă,
trebuie întreprinse măsuri pentru aducerea expunerii acestora la riscurile reziduale sub
această limită de toleranţă.
Profilul de risc creează o imagine globală a organizaţiei din perspectiva riscurilor, însă
utilitatea practică o au tabelele de risc, care sunt structurate astfel încât să devină instrumente
operaţionale ale managementului riscurilor.
Secvenţa din tabelele de risc (numite şi registru de risc), care cuprinde riscurile
identificate, evaluarea expunerii riscurilor inerente şi intensitatea deviaţiei faţă de toleranţa la
risc, se prezintă astfel:
Tabelul riscurilor
Denumire
risc
Riscul inerent
Probabilitate Impact Expunere (E) raportată la
limita de toleranţă (LT)
Riscul 1 Ridicată (R) Ridicată (R) RR > limita de toleranţă
Riscul 2 Medie (M) Scăzută (S) MS < limita de toleranţă
Riscul 3 Scăzută (S) Scăzută (S) SS < limita de toleranţă
Din Tabelul riscurilor reiese că numai Riscul 1 are o expunere mai mare decât limita de
toleranţă la risc. Auditul intern va propune ce măsuri ar trebui luate pentru aducerea expunerii
lui sub limita de toleranţă.
Limita de toleranţă la risc nu este imuabilă. Oricând nivelele superioare de management
au libertatea de a creşte sau a scădea riscul pe care sunt dispuse să şi-l asume în funcţie de
66
circumstanţe şi moment. Dar stabilirea limitelor de toleranţă şi modificarea acestora nu sunt
acte arbitrare, deoarece măsurile de control presupun antrenarea de resurse, iar la nivelul
organizaţiei resursele sunt limitate. Constrângerile interne şi externe (unele riscuri externe nu
pot fi gestionate până la un nivel satisfăcător de către entităţi) joacă un rol important în
stabilirea limitelor de toleranţa la risc.
Privită izolat, din perspectiva fiecărui risc în parte, stabilirea limitelor de toleranţă la
risc nu ridică dificultăţi deosebite, dar cazurile în care se poate proceda astfel sunt rare. La
nivelul entităţii apar intercondiţionări între riscuri, iar resursele ce pot fi alocate măsurilor de
control sunt limitate, fapt ce implică prioritizări.
De asemenea, este necesară realizarea unui echilibru între nivelele manageriale care
gestionează riscurile. Limitele de toleranţă la risc ce trebuie atinse devin ele însele obiective
şi, drept urmare, este necesară realizarea unui echilibru între competenţă, responsabilitate şi
sarcini.
7.6 Răspunsul la risc – controlarea riscurilor
După ce riscurile au fost identificate şi evaluate şi după ce s-au definit limitele de
toleranţă în cadrul cărora entitatea este dispusă, la un moment dat, să-şi asume riscuri este
necesară stabilirea tipului de răspuns la risc pentru fiecare risc în parte.
Etapizarea activităţilor privind riscurile are un caracter mai mult teoretic menit să
faciliteze înţelegerea procesului. În realitate, etapele se întrepătrund în cadrul procesului de
documentare şi analiză a riscurilor. Răspunsul la risc este deja formulat pe parcursul analizei
riscurilor. În esenţă răspunsul la risc nu este altceva decât atitudinea managementului
organizaţiei faţă de posibilele ameninţări sau faţă de eventualele oportunităţi.
Răspunsul la risc depinde de posibilităţile de a controla afacerea. De fapt, se caută
răspunsul la întrebările: riscurile pot fi sau nu controlate de organizaţie?; dacă da, organizaţia
poate controla riscurile până la un nivel satisfăcător?; dacă nu, organizaţia poate externaliza
riscurile sau activităţile generatoare de riscuri?
Controlul riscurilor (ameninţărilor), presupune că, la nivelul entităţii, este posibilă
atenuarea probabilităţii de materializare sau a impactului în cazul în care riscul s-ar
materializa sau a amândurora.
În caz contrar, riscurile sunt necontrolabile dacă organizaţia nu are posibilitatea de a
interveni direct pentru atenuarea probabilităţii şi/sau impactului. Această situaţie se întâlneşte
cel mai frecvent în cazul riscurilor externe generate de mediul (contextul) în care entitatea
funcţionează.
Problema controlării/necontrolării riscurilor este abordată, cel mai adesea, în mod
relativ şi nu absolut, adică în funcţie de toleranţă. În acest context se vorbeşte despre riscuri
care nu pot fi controlate până la un nivel satisfăcător al expunerii sau despre riscuri
controlabile parţial.
În teoria riscurilor s-au identificat câteva strategii alternative pe care managerii le pot
adopta ca răspuns la risc.
67
7.6.1 Acceptarea (tolerarea) riscurilor
Acest tip de răspuns la risc constă în neluarea unor măsuri de control al riscurilor şi este
adecvat pentru riscurile inerente a căror expunere este mai mică decât toleranţa la risc. Se
reaminteşte faptul că nu întotdeauna toleranţa la risc poate fi stabilită nerestricţionat. Sunt
suficiente cazurile în care riscurile nu pot fi controlate intern până la un nivel acceptabil al
expunerii sau, costurile pe care le incumbă măsurile de control sunt disproporţionat de mari
în raport cu beneficiile. În consecinţă, acceptarea intervine atunci când riscurile sunt liber
asumate sau când aplicarea unei alte strategii de răspuns la risc nu este posibilă.
Această opţiune de răspuns la risc trebuie însoţită, mai ales atunci când limita de
toleranţă nu a putut fi stabilită liber, de planuri de gestiune a problemelor dificile care să
abordeze tratarea impactului atunci când riscul se materializează.
Acceptarea (tolerarea) riscurilor este o strategie de răspuns la risc recomandată pentru
riscurile cu expunere scăzută. În cazul riscurilor cu expunere medie sau mare acceptarea
riscurilor este inadecvată şi, de aceea, în astfel de situaţii, opţiunea trebuie temeinic
justificată.
7.6.2 Monitorizarea permanentă a riscurilor
Acest tip de răspuns la risc constă în acceptarea riscului cu condiţia menţinerii sale sub
o permanenta supraveghere. Parametrul supravegheat cu precădere este probabilitatea de
apariţie, deoarece strategia monitorizării se aplica în cazul riscurilor cu impact semnificativ,
dar cu probabilitate mică de apariţie. În esenţă, strategia de monitorizare presupune o
amânare a luării măsurilor de control până în momentul în care circumstanţele determină o
creştere a probabilităţii de apariţie a riscurilor supuse acestui tratament. Avantajul aplicării
unei astfel de strategii de răspuns la risc constă în utilizarea resurselor disponibile la un
moment dat numai pentru riscurile cu expunere mare.
Dezavantajul strategiei constă în faptul că întârzierea în tratarea riscului poate diminua
şansele de a gestiona eficace în viitor riscurile. Din această cauză, aplicarea strategiei de
monitorizare permanentă a riscurilor trebuie precedată de o analiză serioasă a duratei pe care
o presupune implementarea măsurilor de tratare a riscurilor.
Dacă această durată este mare, este de preferat ca momentul de debut al tratării
riscurilor să nu fie amânat. Unei astfel de analize trebuie supuse obligatoriu riscurile cu
probabilitate mică de apariţie, dar cu un impact ridicat dacă obiectivele afectate au caracter
strategic.
7.6.3 Evitarea riscurilor
Această strategie de răspuns la risc constă în eliminarea activităţilor (circumstanţelor)
care generează riscurile. Trebuie menţionat faptul că opţiunea evitării riscurilor este
semnificativ redusă în sectorul public faţă de cel privat. Anumite activităţi se desfăşoară în
sectorul public tocmai pentru că riscurile asociate sunt atât de mari încât nu există altă
posibilitate de a obţine unele rezultate ce ţin de interesul general.
68
Dacă aplicarea strategiei de evitare a riscurilor este limitată în cazul activităţilor ce ţin
de scopul organizaţiei publice, ea poate fi avută în vedere pentru o serie întreagă de activităţi
“suport”, dacă nu există altă cale de a controla riscurile în limite tolerabile.
7.6.4 Transferarea (externalizarea) riscurilor
Această strategie de răspuns la risc constă în încredinţarea gestionării riscului unui
terţ care are expertiza necesară gestionării acelui risc, încheindu-se în acest scop un contract.
Prin aceasta se urmăreşte, pe de o parte, micşorarea expunerii entităţii, iar pe de altă parte,
gestionarea eficace a riscului de către un terţ specializat.
Această opţiune este benefică mai ales în cazul riscurilor financiare şi patrimoniale. Cel
mai cunoscut exemplu de transfer al riscurilor îl constituie contractele de asigurare. În
schimbul unei sume de bani (prima de asigurare) terţul (societatea asiguratoare) preia asupra
să riscul asigurat obligându-se să despăgubească organizaţia care a transferat riscul, în cazul
în care riscul se materializează.
Este important de menţionat că anumite riscuri nu sunt (integral) transferabile. În
particular, nu este posibil să se transfere riscurile legate de credibilitatea entităţii. În faţă
beneficiarilor entitatea rămâne responsabilă, chiar dacă aceasta a contractat unele servicii cu
terţe părţi. Din această cauză relaţiile cu aceste terţe părţi trebuie gestionate cu deosebită
atenţie pentru a se asigura că riscul transferat este cu adevărat gestionat eficace de către terţ.
7.6.5 Tratarea (atenuarea) riscurilor
Aceasta este abordarea cea mai des folosită pentru majoritatea riscurilor cu care se
confrunta entitatea. Opţiunea tratării (atenuării) riscurilor constă în faptul că în timp ce
entitatea va continua să desfăşoare activităţile care generează riscuri, aceasta ia măsuri
(implementează instrumente/dispozitive de control intern) pentru a menţine riscurile în limite
acceptabile (tolerabile).
Raportate la această strategie de răspuns la risc, celelalte strategii menţionate mai sus
pot fi considerate ca fiind excepţii, recurgându-se la ele numai atunci când riscurile nu pot fi
controlate intern până la un nivel satisfăcător, care nu periclitează realizarea obiectivelor. De
aici şi importanţa auditului intern în managementul riscurilor. Acesta, odată implementat, are
menirea să ofere asigurări rezonabile că obiectivele vor fi atinse, ceea ce este acelaşi lucru cu
a afirma că prin control intern se obţin asigurări rezonabile asupra menţinerii riscurilor în
limite acceptabile.
7.6.6 Tratarea situaţiilor dificile
Tratarea situaţiilor dificile constă în elaborarea unor planuri ce urmăresc diminuarea
impactului în cazul în care riscul se materializează.
Strategia tratării situaţiilor dificile nu este o alternativa la celelalte strategii, ci o acţiune
complementară. Prin tratarea situaţiilor dificile se dă un răspuns la întrebarea: Ce facem dacă
măsurile de control intern eşuează şi riscul se produce?
69
Orice risc care este acceptat, monitorizat sau tratat trebuie însoţit de un plan care să
descrie acţiunile ce trebuie întreprinse în cazul în care riscurile se materializează.
Din perspectiva managementului riscurilor, a realiza obiectivele înseamnă:
- a planifica activităţile (acţiunile) ce trebuie să se desfăşoare pentru a realiza
obiectivele propuse (procesul);
- a planifica acţiunile de control intern necesare stăpânirii riscurilor şi a le integra în
planul de activităţi generale (planul A);
- a planifica acţiunile ce trebuie întreprinse dacă riscurile se materializează (planul B).
Procesul, planul A şi planul B sunt elementele esenţiale ale unui management eficace
care a integrat managementul riscurilor.
Măsurile luate, de management în tratarea riscurilor sunt denumite în teoria generală a
controlului intern sub denumirea de dispozitive sau instrumente de control intern.
Dacă riscurile ajung să se materializeze, deci să se transforme în situaţii dificile, cauza
trebuie căutată întotdeauna în “defectul” acestor dispozitive/instrumente de control intern.
Bineînţeles această afirmaţie vizează riscurile care pot fi controlate de organizaţie în limitele
unei toleranţe acceptabile impuse de raportul cost-beneficiu.
7.7 Instrumente de control intern
Diversitatea dispozitivelor/instrumentelor de control intern este considerabilă deoarece
priveşte toate aspectele legate de activităţile entităţii, însă ele pot fi clasificate în şase grupe
mari după cum urmează: obiective; mijloace; sistem de informare; organizare; proceduri;
supervizare.
Fără îndoială, există şi alte tipuri de grupări, dar toate cuprind, în principal, aceleaşi
elemente şi vehiculează aceleaşi noţiuni. De altfel, nu gruparea în sine este importantă ci
fixarea unui cadru de referinţă capabil să sistematizeze problematica controlului intern
(auditilui intern) ca mijloc de control al riscurilor.
• Obiectivele grupează instrumentele/dispozitivele de control intern puse în operă prin
măsurile (acţiunile) ce vizează: definirea clară (obiectivele vagi nu permit clarificarea
sensului acţiunii ce trebuie întreprinsă pentru atingerea lor şi nici identificarea riscurilor care
ameninţă obţinerea rezultatelor dorite); ierarhizarea (obiectivele generale trebuie
descompuse într-un sistem piramidal până la nivelul posturilor clarificându-se astfel sarcinile,
competenţele şi responsabilităţile fiecărui membru al organizaţiei); convergenţa (eliminarea
relaţiilor contradictorii între obievtive şi asigurarea convergenţei obiectivelor subsecvente la
realizarea obiectivelor principale); măsurabilitatea (asocierea unor indicatori obiectivelor
care pot fi măsuraţi şi urmăriţi); monitorizarea prin sistemul informaţional (lipsa
monitorizării face imposibilă coordonarea şi introducerea măsurilor corective); încadrarea în
timp (planificarea pe orizonturi de timp determinate şi corelate); caracterul mobilizator
(obiectivele trebuie să stimuleze iniţiativa fără a deveni însă nerealiste).
Circumstanţele care potenţează apariţia riscurilor îşi au de multe ori originea tocmai în
nerespectarea acestor principii ce guvernează sistemul obiectivelor.
70
• Mijloacele cuprinde grupa de dispozitive/instrumente de control intern implementate
pentru evidenţierea nivelului de adecvare a mijloacelor la obiectivele entităţii. Circumstanţele
care favorizează apariţia unor riscuri ce afectează realizarea obiectivelor constau, de multe
ori, în grave distorsiuni între resurse şi obiective. În categoria resurse sunt incluse resursele
umane, financiare şi tehnice (în accepţiunea cea mai largă).
• Sistemul de informare cuprinde dispozitivele/instrumentele de control intern care
permit auditorilor interni să caracterizeze starea sistemului informaţional şi de pilotaj şi să
constate dacă sistemul este: complet (se referă la toate funcţiile şi activităţile organizaţiei),
fiabil (corectitudinea şi veridicitatea informaţiilor), exhaustiv (cuprinderea tuturor
informaţiilor relevante), pertinent şi util (care satisface necesităţile decizionale), oportun
(furnizarea informaţiilor atunci când este necesar) şi neredundant (abundenţa inutilă a
datelor furnizate). Sunt extrem de frecvente cazurile în care riscurile îşi au cauzele de
manifestare în inadecvarea sistemului informaţional. O analiză generală scoate în evidenţă
faptul că organizaţiile au, în marea lor majoritate, sisteme informaţionale lacunare,
contradictorii, redundante, inerţiale, nestructurate în funcţie de necesităţile diferitelor nivele
manageriale etc.
• Organizarea cuprinde grupa dispozitivelor/instrumentelor de control intern cu
ajutorul cărora se identifică anomaliile sistemului de organizare a entităţii (operaţională,
funcţională, structurală etc.), care constituie circumstanţe favorizante pentru manifestarea
riscurilor.
• Procedurile sunt acele instrumente/dispozitive de control intern prin care se
controlează riscurile generate de necunoaşterea proceselor şi regulilor ce trebuie respectate în
desfăşurarea activităţilor. A munci fără a formaliza modul în care fiecare trebuie să
procedeze, înseamnă a nu exista un control intern eficace, menit să ţină sub control riscurile
şi să se obţină astfel o asigurare rezonabilă că obiectivele vor fi atinse.
Pentru ca procedurile să devină instrumente/dispozitive de control intern eficace
acestea trebuie: să se refere la toate procesele şi activităţile importante; să fie scrise; să fie
actualizate în permanenţă; să fie aduse la cunoştinţa executanţilor; să fie simple şi pe
înţelesul tuturor.
Multe dintre riscuri îşi au cauza în lipsa procedurilor. De câte ori nu se invocă ca
explicaţie pentru un eşec necunoaşterea sau ambiguitatea unor reguli? Managerii au obligaţia
de a face clar pentru cei implicaţi ce trebuie făcut şi cum trebuie făcut, fără a lăsa loc la
interpretări.
• Supervizarea grupează instrumentele/dispozitivele de control intern menite să ţină
sub control riscurile ce rezultă din anomalii în exercitarea controlului ierarhic. Astfel de
instrumente de control intern vizează stilul managerial al responsabililor de pe diferite nivele.
A superviza nu înseamnă a reface munca subordonaţilor, a căuta eroarea cu orice preţ sau a
supraveghea în permanenţa procesele. A superviza înseamnă, în primul rând, a îndruma
(coordona), a încuraja şi, numai în ultimul rând, a verifica. Supervizarea trebuie să se bazeze
pe un sistem informaţional adecvat, să fie universală (să se refere la toate activităţile) şi să
fie consemnată (viza, raport etc.) pentru a putea fi evaluată. La prima vedere ar părea
71
surprinzător, însă sunt frecvente cazurile în care circumstanţele care favorizează apariţia unor
riscuri ţin de o supervizare defectuoasă. Un manager trebuie să se asigure că sectorul de care
este responsabil funcţionează, iar personalul trebuie să aibă convingerea că activitatea
acestuia este supravegheată.
7.8 Gruparea instrumentelor de control intern după modul de acţiune împotriva
riscurilor
Instrumentele/dispozitivele de control intern pot fi analizate şi prin prisma modului în
care acestea acţionează în tratarea riscurilor, deosebindu-se următoarele tipuri:
• Instrumente/dispozitive de control intern preventiv
Aceste instrumente de control intern sunt menite să limiteze posibilitatea ca anumite
riscuri să se materializeze. Cu cât materializarea unor riscuri este mai nedorită, cu atât mai
importantă devine implementarea instrumentelor de control intern preventive. Majoritatea
instrumentelor puse în operă în organizaţie au tendinţa de a aparţine acestei categorii.
Prezentăm câteva dintre acestea: separarea funcţiunilor urmăreşte prevenirea riscurile de
fraudă; procedurile îşi propun prevenirea riscurile de neregularitate şi neconformitate;
mijloacele evidenţiază riscurile care pot să apară ca urmare a insuficienţei resurselor etc.
• Instrumente/dispozitive de control intern cu caracter corectiv
Aceste instrumente sunt concepute pentru a limita impactul riscurilor materializate.
Exemplule: includerea în contracte a unor prevederi care permit recuperarea
supraplăţilor dacă acest risc se produce; asigurarea permite recuperarea financiară în cazul
materializării riscurilor asigurate; planurile de gestionare a situaţiilor dificile, care asigură
revenirea organizaţiilor la situaţia normală, asigurându-i continuitatea etc.
• Instrumente/dispozitive de control intern detective
Aceste instrumente de control intern sunt concepute să identifice riscurile care s-au
materializat pentru a putea fi tratate consecinţele. În general, aceste instrumente de control
intern sunt cunoscute şi sub denumirea de controlul ulterior, deoarece se referă la riscuri
materializate.
S-ar putea obiecta că astfel de instrumente nu aparţin managementului riscului,
deoarece acesta se referă la tratarea riscurilor care pot să apară şi nu a celor materializate.
Obiecţia nu este întemeiată deoarece riscurile pot fi reduse, dar nu eliminate. Prin urmare,
există întotdeauna posibilitatea ca riscurile să se materializeze şi să se transforme în situaţii
dificile. Dar, şi situaţiile dificile trebuie gestionate, iar prin instrumentele de control detectiv
se face acest lucru. Spre exemplu, inventarele sunt instrumente de control intern detectiv
menite să identifice eventualele pierderi de active datorate materializării unor riscuri.
Procesele care cuprind operaţiuni cu efecte patrimoniale (inclusiv bugetare) pot fi
ameninţate de riscuri ce pot afecta două dintre cele mai importante obiective (generale) ale
organizaţiei: securitatea activelor; conformitatea cu legile, actele normative, regulamentele şi
politicile interne. Din această cauză, instrumentele de control intern a riscurilor integrate în
proces au fost completate cu instrumente de control de tip verificare. Logica raportului cost-
72
beneficiu a impus concluzia că nu toate operaţiunile trebuie să fie tratate în acelaşi mod.
Aceasta înseamnă că unele operaţiuni vor fi tratate cu instrumente de control de tip preventiv,
iar altele de tip ulterior (corectiv sau detectiv). De asemenea, unele operaţiuni vor fi verificate
în totalitate pe când pentru altele se va proceda la eşantionări. Legătura dintre operaţiuni,
tipul instrumentelor de control şi riscuri este prezentată sintetic în schema de mai jos:
Probabilitate
ridicată a riscului
Control
preventiv
prin sondaj
Control
preventiv
exhaustiv
Impact scăzut
al riscului
Operaţiuni
bugetare,
financiare,
patrimoniale
Impact ridicat
al riscului
Control
ulterior prin
sondaj
Control
ulterior
exhaustiv
Probabilitate
scăzută a riscului
După Metodologie de implementare a standardului de control intern „managementul
riscurilor“, Unitatea Centrală de Armonizare a Sistemelor de Management Financiar şi
Control, MFP, ianuarie 2007, www.mfinante.ro
Corelaţia între operaţiuni, instrumentele de control şi riscuri
Odată stabilite zonele de risc, obiectivele care sunt afectate de posibila materializare a
riscurilor, circumstanţele care favorizează apariţia riscurilor, responsabilităţile managerilor în
gestionarea riscurilor, strategiile ce trebuiesc adoptate, măsurile de control intern (activităţile
ce trebuie întreprinse pentru diminuarea expunerii la riscuri), se completează Registrul de
riscurilor cu aceste elemente. În acest stadiu Registrul de riscuri va avea următoarea formă:
REGISTRUL RISCURILOR
Nr.
crt
.
Zona
de
risc
(dom
eniu
,
com
par
tim
ente
)
Obie
ctiv
e
Des
crie
rea
risc
uri
lor
Cir
cum
stan
ţele
car
e
favori
zeă
apar
iţia
risc
uri
lor
(cau
ze)
Res
ponsa
bil
ii c
u
ges
tionar
ea r
iscu
rilo
r Riscuri inerente
Inst
rum
ente
le d
e co
ntr
ol
inte
rn
Riscuri
reziduale
Ris
curi
sec
undar
e
Obse
rvaţ
ii
Pro
bab
ilit
atea
Impac
tul
Expuner
ea
Str
ateg
ia a
dopta
tă
Pro
bab
ilit
atea
Impac
tul
Expuner
ea
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
1
2
...
73
7.9 Revizuirea şi raportarea riscurilor
Revizuirea şi raportarea riscurilor este faza ce încheie ciclul care cuprinde identificarea,
evaluarea, controlul, revizuirea şi raportarea riscurilor.
Două motive impun revizuirea şi raportarea riscurilor:
• Monitorizarea modificării profilului riscurilor ca urmare a implementării
instrumentelor de control intern şi a modificării circumstanţelor care favorizează apariţia
riscurilor;
• Obţinerea de asigurări privind eficacitatea gestionării riscurilor şi identificarea nevoii
de a lua măsuri viitoare.
Procesele de revizuire trebuie puse în aplicare pentru a analiza dacă: riscurile persistă;
au apărut riscuri noi; impactul şi probabilitatea riscurilor au suferit modificări; instrumentele
de control intern aplicate sunt eficace; anumite riscuri trebuie aduse la cunoştinţa nivelelor de
management superioare etc.
Rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continuă a
situaţiei riscurilor şi pentru a se sesiza schimbările majore care impun modificarea
priorităţilor.
Revizuirea riscurilor şi a procesului de gestionare a riscurilor sunt două activităţi
distincte care nu se pot substitui reciproc.
Revizuirea trebuie să:
• dea asigurări că toate aspectele procesului de gestionare a riscurilor sunt analizate cel
puţin odată pe an;
• oferă asigurări că riscurile sunt supuse revizuirii cu o frecvenţă corespunzătoare,
stabilită în raport cu modificarea circumstanţelor şi a naturii instrumentelor de control intern
ce urmează a fi implementate;
• stabilească mecanisme de avertizare a nivelelor manageriale superioare în privinţa
noilor riscuri sau a schimbărilor survenite la riscurile deja identificate, astfel încât aceste
schimbări să fie abordate corespunzător.
Revizuirea riscurilor şi a gestionării riscurilor se face, în prima etapă, prin metoda
autoevaluării. Responsabilii de risc (în principal managerii de pe diferitele nivele ierarhice ale
organizaţiei) au obligaţia de a evalua, cel puţin o dată pe an (de regulă la finele exerciţiului
financiar), riscurile din sfera lor de responsabilitate, precum stadiul de implementare a
instrumentelor de control intern preconizate şi eficacitatea lor. De asemenea, responsabilii de
risc au obligaţia de a raporta periodic (trimestrial, semestrial, anual) nivelelor ierarhice
superioare ce activităţi au desfăşurat pentru a actualiza riscurile şi pentru a le menţine la un
nivel corespunzător.
Astfel de rapoarte, cunoscute şi sub numele de Rapoarte de responsabilitate, trebuie
incluse în sistemul de raportare al fiecărei entităţi.
74
Dar practica autoevaluării şi a rapoartelor periodice de responsabilitate nu este
suficientă, deoarece subiectivismul este inerent.
Managerii se află într-o situaţie incomodă atunci când sunt obligaţi să facă publice
problemele cu care se confruntă în propriile arii de responsabilitate. Dacă conducerea
organizaţiei are o viziune sancţionatorie, metoda autoevaluării devine un eşec. Încurajarea
managerului de a vorbi deschis despre riscuri trebuie să devină o politică a fiecărei
organizaţii.
Subiectivismul autoevaluării în procesul de revizuire a riscurilor şi a gestionării
riscurilor este contrabalansat de auditul intern care, prin natura misiunii sale, are obligaţia de
a face evaluări independente (independente de responsabilii executivi) pentru a se obţine
asigurări rezonabile că riscurile sunt identificate şi bine gestionate şi, ca urmare, obiectivele
organizaţiei vor fi atinse.
Trebuie subliniat însă faptul că auditul intern nu se poate substitui nici responsabilităţii
pe care conducerea o are în privinţa riscurilor şi nici unui sistem integrat de revizuire şi
analiză ce trebuie pus în practică de personalul care are atribuţii executive în atingerea
obiectivelor organizaţionale.
Modelul de registru de risc prezentat anterior este minimal. Organizaţiile pot dezvolta
acest model pentru a reflecta şi alte informaţii considerate relevante. Registrul de risc
reprezintă numai sinteza informaţiilor şi deciziilor luate în urma analizei riscurilor. De aceea
toată documentaţia privind riscurile trebuie clasificată şi îndosariată astfel încât atunci când
se face o evaluare a sistemului de management al riscurilor aceasta să fie disponibilă.
Registrul de risc completat corect devine documentul prin care se atesta că în
organizaţie s-a introdus un sistem de management al riscurilor şi că acesta funcţionează. De
asemenea, Registrul riscurilor este documentul de la care porneşte orice auditor extern atunci
când se face o evaluare independentă a managementului riscurilor din cadrul organizaţiei.
7.10 Comunicare şi învăţare
Comunicarea şi învăţarea nu constituie o etapă distinctă în gestionarea
riscurilor, ci reprezintă un proces continuu ce se desfăşoară pe parcursul tuturor fazelor. De
altfel, fără comunicare şi învăţare managementul riscurilor nu ar putea avea loc. Riscurile au
determinări multiple, sunt de cele mai multe ori intercorelate, nu afectează de regulă un
singur obiectiv, iar instrumentele de control al riscurilor pot influenţa mai multe obiective. De
asemenea, lecţiile trecutului trebuie învăţate pentru a nu fi puşi în situaţia de a ignora soluţii
care şi-au dovedit eficacitatea.
Exista câteva aspecte legate de comunicare şi învăţare care trebuie scoase în evidenţă:
• Sesizarea modificărilor survenite în cazul riscurilor identificate depinde de o bună
comunicare. Încurajarea discuţiilor deschise despre riscuri, fără a exista temerea că prin
aceasta managerii îşi vulnerabilizează poziţiile, este o sarcină de importanţă capitală pentru
conducerea organizaţiei.
75
De asemenea, identificarea riscurilor noi depinde atât de menţinerea unei bune reţele de
comunicare între membrii organizaţiei cât şi de continua valorificare a surselor de informaţii
din mediul organizaţional, acestea facilitând sesizarea schimbărilor care vor afecta profilul de
risc al organizaţiei.
• Este foarte important să existe asigurări că fiecare înţelege în mod corespunzător
propriul rol, strategia organizaţiei în domeniul riscurilor şi modul cum responsabilităţile
individuale specifice se încadrează în cadrul general al organizaţiei. Dacă acest lucru nu este
realizat, gestionarea riscurilor nu va putea fi integrată corespunzător şi omogen în organizaţie,
iar riscurile prioritare nu vor fi controlate adecvat. Într-o astfel de situaţie managementul
riscurilor se va cantona la nivelul activităţilor, dar nu va avea valenţele managementului
integrat, singurul capabil să deceleze ceea ce este important pentru organizaţie, în ansamblul
său, la un moment dat şi în circumstanţele date. Nici o organizaţie nu poate controla toate
riscurile, şi nici nu este de dorit. Important este să controleze ceea ce este cu adevărat
prioritar.
• Este necesar să existe asigurări că experienţele sunt învăţate şi comunicate celor care
pot beneficia de pe urma lor. Spre exemplu, dacă o structură componentă a entităţii,
confruntată cu un risc, concepe un instrument de control intern cu ajutorul căruia îl
gestionează în mod eficace, această lecţie învăţată trebuie comunicată şi altora care, la un
moment dat, se pot confrunta cu acelaşi risc. Pentru a face progrese experienţa organizaţiei
trebuie capitalizată.
• Comunicarea cu entităţile partenere (entitatea extinsă) are aceiaşi importanţă, mai ales
dacă entitatea depinde, într-un fel sau altul, de o altă entitate. Neînţelegerea (necunoaşterea)
priorităţilor în gestionarea riscurilor proprii de către entităţile partenere şi, mai ales, eşecurile
înregistrate de acestea se pot repercuta direct asupra managementului riscurilor în entitate.
7.11 Entitatea extinsă şi mediul
Entitatea extinsă este un concept prin care se includ în sfera de interes (din perspectiva
riscurilor) a entităţii şi entităţilor afiliate, subordonate, partenere, precum şi entităţile care,
prin misiunile lor, au legături cu misiunea entităţii. Se observă cu uşurinţă că în conceptul de
entitate extinsă sunt grupate acele entităţi care au legături directe cu entitatea dată. Cu alte
cuvinte, există premisele cunoaşterii mai aprofundate a riscurilor externe provenite din
această direcţie şi chiar premisele stabilirii unei colaborări în controlarea unor astfel de
riscuri. Se poate afirma că entitatea extinsă este un mediu oarecum controlabil.
Multe entităţi (spre exemplu, grupurile) au relaţii cu alte entităţi pe care le controlează
direct (entităţile afiliate) sau indirect. În aceste condiţii, atingerea propriilor obiective va
depinde/afecta atingerea obiectivelor celorlalte entităţi. Cu alte cuvinte, ceea ce face o entitate
va avea un impact direct asupra riscurilor cu care se confruntă entităţile dependente şi, în
consecinţă, eficacitatea legăturilor dintre aceste entităţi este foarte importantă pentru
facilitarea adoptării unei abordări comune asupra gestionării riscurilor care să le permită
atingerea propriilor obiective.
Entităţile subordonate sau aflate în coordonarea lor aplică politicile societăţii - mamă de
care depind direct sau indirect. Prin urmare, modul în care coordonatorii stabilesc ordinea
76
priorităţilor în abordarea riscurilor va afecta şi priorităţile entităţii subordonate, iar modul în
care organizaţiile subordonate gestionează riscurile în procesul de implementare a politicilor
va fi luat în considerare de societatea - mamă în elaborarea viitoarelor politici.
Aproape toate entităţile depind de contractori (prestatori de servicii, furnizori de bunuri,
antreprenori, societăţi care preiau în administrare riscuri transferate etc.). Este important ca
entităţile să analizeze fiecare relaţie importantă cu contractorii şi să se asigure că sunt
comunicate şi înţelese corespunzător priorităţile privind un anumit risc. Deşi sunt absolut
necesare, nu totdeauna sunt suficiente măsurile de control intern de tipul clauzelor
asiguratorii prevăzute în contracte. Ele permit recuperări financiare (satisfac obiectivele
legate de securitatea activelor), dar nu controlează riscurile legate strict de obiectivele
proiectelor.
Dincolo de ce am numit entitate extinsă, există şi alţi factori care contribuie la mediul
în care riscurile sunt gestionate. Aceşti factori pot, fie să genereze riscuri care nu pot fi
controlate de entitate, fie să limiteze modul în care aceasta poate să îşi asume sau să
controleze riscul. Este important ca entitatea să analizeze mediul extins de risc şi să
stabilească modul în care acesta îi afectează strategia de gestionare a riscurilor. De multe ori
organizaţia nu are decât posibilitatea să-şi stabilească planuri pentru situaţii dificile pentru a
acţiona în cazul în care riscurile pe care nu le poate controla s-ar materializa.
O serie de factori care constituie mediul de risc şi de care organizaţiile trebuie să ţină
seama este necesar a fi menţionaţi:
• Legile şi celelalte reglementări pot să afecteze mediul de risc. Entitatea trebuie să
identifice acele norme sub a căror incidenţă intră. Normele nu sunt altceva decât constrângeri
care limitează modul de acţiune al entităţiilor. Spre exemplu, riscul ca personalul să nu-şi
îndeplinească satisfăcător sarcinile nu poate fi controlat în totalitate prin instrumente de
control intern. Organizaţia trebuie să ţină cont de legislaţia muncii pentru a nu se expune
riscului de a suporta sancţiunile legale.
• Un factor al mediului de risc, este chiar Guvernul. Entităţile trebuie să pună în
aplicare hotărârile guvernului, dar acestea reflectă în multe cazuri interesele politice. De
aceea, de multe ori, abordarea unor riscuri de către conducătorii entităţilor este condiţionată
de decizii politice.
• Fiecare entitate este constrânsă şi de aşteptările factorilor interesaţi. În cazul entităţilor
de afaceri factorul interesat cel mai relevant este consumatorul. Anumite măsuri care pot fi
eficace în controlarea anumitor riscuri pot da naştere unor efecte pe care consumatorul nu
este dispus să le accepte.
• Un alt factor de mediu important sunt condiţiile economice. Spre exemplu, în
condiţiile unei economii emergente, constrângerile determinate de o infrastructură slab
dezvoltată afectează proiectele de creştere economică ale entităţilor care doresc să-şi extindă
activitatea în anumite zone.
77
Vocabular: risc de management; ientificarea riscurilor; riscul inerent; riscul
rezidual; evaluarea riscurilor; probabilitatea de manifestare a ariscului; impactul riscului,
expunerea la risc; toleranţă la risc; externalizarea riscurilor; atenuarea riscurilor; registrul
riscurilor.
Întrebări:
1. Cum poate contribui auditul intern la îmbunătăţirea managementului riscurilor?
2. Cum se armonizează auditul intern cu cerinţele managementului riscurilor?
3. Cum acţionează auditorii interni pentru identificarea şi evaluarea riscurilor de
management?
4. Cum procedează auditorii interni pentru identificarea riscurilor de management?
5. Cum procedează auditorii interni pentru evaluarea riscurilor de management?
6. Cum se defineşte şi utilizează toleranţa la risc?
7. Cum se realizează controlul riscurilor?
8. Care sunt instrumentele folosite de auditorii interni pentru identificarea şi
evaluarea riscurilor?
9. Cum realizează auditorii interni revizuirea şi raportarea riscurilor?
10. Care este semnificaţia comunicării şi învăţării referitoare la riscurile de
management?
78
Capitolul 8
Instrumentele auditului intern
8.1 Sondajele statistice
8.2 Interviurile
8.3 Instrumentele informatice
8.4 Verificări şi comparări diverse
8.5 Observarea fizică
8.6 Naraţiunea
8.7 Organigrama funcţională
8.8 Grila de analiză a sarcinilor
8.9 Pista de audit
8.10 Utilizarea instrumentelor
Instrumentele de interogare
8.1 Sondajele statistice
8.1.1 Definiţii
Sondajul statistic este o metoda care ne permite:
- să pornim de la un eşantion;
- eşantionul să fie ales în mod aleatoriu;
- eşantionul să fie ales dintr-o populaţie de referinţă;
- să generalizăm la intreaga populaţie observaţiile referitoare la eşantion.
Populaţia reprezintă ansamblul asupra caruia dorim să efectuăm cercetarea. Acest
ansamblu poate fi compus din indivizi, cifre, obiecte, facturi etc.
Una din dificultăţile întâlnite uneori de auditorii interni este identificarea unei populaţii
omogene, condiţie necesară pentru exactitatea sondajului. Astfel, un set de facturi care ar
conţine atât facturi unitare (1 object = 1 factură) cât şi facturi grupate (1 factură pe decadă) nu
reprezintă o populaţie omogenă asupra căreia putem lucra.
Pe langa acest caracter omogen, populaţia trebuie să fie accesibilă şi să poată fi
exprimată într-un număr finit.
Eşantionul este ales din cadrul populaţiei asupra căreia vom lucra.
Trebuie să fie ales în mod aleatoriu. Pentru aceasta, există mai multe tehnici, de la cele
mai sofisticate (programe informatice de calcul al numerelor aleatorii), până la cele mai
00:100
Timp necesar: 100 minute
Parcurgând acest capitol vom afla care sunt şi cum se folosesc
instrumentele auditului intern.
79
elementare (tragere la sorţi, metoda pas cu pas). În general, se folosesc tabele prestabilite de
numere aleatorii. Eşantionul astfel ales poate ajuta la estimarea unui procent, sau a unei
valori, sau poate fi pur şi simplu de analiză.
În cadrul acestei examinări a eşantionului, vom analiza o caracteristică, adică
elementul ce trebuie studiat. În auditul intern, acesta va fi fenomenul constatat (eroarea,
disfuncţia etc.); această caracteristică poate fi continuă sau discontinuă.
Rezultatul sondajului statistic oferă un nivel de încredere şi un interval de încredere; de
exemplu, există 95 de şanse din 100 ca numărul de facturi greşite să fie cuprins între 3 şi 5 la
mie. In auditul intern nu trebuie să impunem niveluri de încredere foarte ridicate: chiar dacă
constatăm că un fenomen nu este excepţional, acesta merită să fie studiat în profunzime. Dar
în acelaşi timp trebuie să se respecte anumite principii.
Nu trebuie niciodată să pierdem din vedere faptul că mărimea eşantionului nu depinde
de mărimea populaţiei de bază ce va fi studiată, ci de gradul de precizie cerut. Ceea ce
anulează argumentul - mult prea des utilizat - că dacă populaţia de studiat ar fi numeroasă,
eşantionarea statistica l-ar determina pe auditor să analizeze eşantioane mari, de unde o risipă
excesivă de timp în dezavantajul rezultatului aşteptat. Acesta nu este un argument: gradul de
precizie fiind scăzut, eşantioanele vor avea o dimensiune rezonabilă.
8.1.2 Modalităţi de aplicare
Cercetările auditorului intern pot fi de trei tipuri:
- sondaje de depistare: sunt cele pe care auditorul ar trebui să le realizeze atunci când
caută o eroare pe o factură, date inexacte privind salariul, omisiuni în măsurarea cantităţii
fabricate etc. Sondajul de depistare trebuie considerat aşadar un test, un studiu care să permită
identificarea disfuncţiilor;
- sondaje de acceptare: în ce proporţie o procedură este aplicată sau nu? O anumită
regulă de siguranţă este cunoscută sau nu? Aici sondajul are un rol mixt: depistare posibilă,
dacă nu cunoaştem nici un element de răspuns, sau apreciere a ordinului de mărime, dacă am
descoperit o disfuncţie;
- sondaje de estimare a atributelor: sunt în marea lor majoritate pur informative. La
fel este şi studiul informativ al procentului de angajaţi cu vechime mai mare de 20 de ani sau
al procentului de materiale (valori şi cantităţi) a căror durată de viaţă în depozit este mai mare
de trei luni.
Sondajul statistic trebuie efectuat cu precizie şi auditorul trebuie să respecte anumite
principii. Este bine ca auditorul să cunoască cele zece porunci ale sondajului statistic, propuse
de L. SAWYER12
:
1. Nu se utilizeză sondajul decât dacă este adaptat obiectivelor auditului. Nu se fac
sondaje statistice în mod gratuit, pentru „a vedea dacă ...“, „pentru cazul în care...“.
2. Să se cunoască populaţia: auditorul intern nu trebuie să se aventureze în sondaje
statistice efectuate asupra populaţiilor prost definite, incomplete, cu limite neclare.
12
L. B. SAWYER, L' Audit Interne, Publi Union
80
3. Selectarea elementelor de studiat să se facă în mod aleatoriu: utilizarea fără concesii
a unei metode aleatorii este o cerinţă absolută.
4. Să se evite opiniile personale: trebuie alungată din minte orice idee legată de un
anumit rezultat pe care vrem să-l obţinem sau să-l justificăm.
5. Eşantionul trebuie să fie cules aleatoriu, în ciuda configuraţiei specifice a populaţiei.
Un eşantion fără „clienţi importanţi", aceştia reprezentand 10% din populaţia „clienti", nu
trebuie să reprezinte un element de îngrijorare sau de îndoială.
6. Să nu se facă extrapolări hazardate: trebuie acceptat rezultatul în sine şi să evităm
orice deducţie, riscantă prin definiţie.
7. Să nu pierdem din vedere realitatea: lucrând prea mult cu cifrele, putem ajunge să
uităm contextul.
8. Să se efectueze stratificări de fiecare dată când prin acestea se poate restrânge aria de
răspândire a eşantionului: nu trebuie să ezităm să efectuăm mai multe sondaje statistice în
locul unuia singur.
9. Să nu se stabilească niveluri de încredere ridicate, dacă nu este necesar.
10. Să nu ne oprim la rezultatele statistice: să cautăm cauzele.
Pentru auditorul intern sondajul statistic nu este un scop în sine. Nu trebuie numai să
obţinem o informaţie, ci, mai ales, să aflăm cauzele fenomenului dupa ce i-am măsurat
amploarea.
8.2 Interviurile
Interviul este un instrument pe care auditorul intern îl utilizează frecvent, dar o
misiune de audit care nu ar fi efectuată decât cu ajutorul interviurilor nu ar putea fi
considerată o misiune de audit intern. Interviul realizat de auditorul intern nu trebuie
confundat cu tehnicile de cercetare asemănătoare:
- nu este o discuţie şi nici o conversatie;
- nu este un interogatoriu.
Interviul de audit intern nu este o discuţie
Auditorul intern nu este în postura unui ziarist care intervieveaza un om politic, la
cererea sa. Aici, cel care asculta (auditorul) este cel care a solicitat discuţia. Interviul nu poate
fi considerat nici conversaţie, deoarece interviul de audit este organizat şi urmăreşte atingerea
unor obiective, adică obţinerea unui anumit număr de informaţii.
Interviul nu este un interogatoriu în care raportul ar fi cel al unui acuzat în faţa
acuzatorului său. Dimpotriva, atmosfera unui interviu de audit intern trebuie să se
caracterizeze prin colaborare. Acesta este motivul pentru care vă recomandam sa nu folositi
în nici un caz reportofonul, care nu asigură condiţiile unui interviu corect şi îl face sa semene
cu un interogatoriu al poliţiei.
81
In auditul intern, interviul se realizează între părţi cooperante.
Care sunt condiţiile unui interviu corect? Cum trebuie să se desfaşoare?
a) Cele 7 reguli ale unui interviu corect
Acestea se inspira din spiritul obligatoriu de colaborare care trebuie sa se instaleze intre
entitatea auditata şi auditor, intre intervievat şi intervievator.
Regula 1
Trebuie respectata linia ierarhică. Auditorul nu trebuie sa înceapa interviul fara sa-l fi
anuntat pe superiorul ierarhic al interlocutorului sau, in afara cazurilor de urgenţă
exceptionala. De cele mai multe ori, aceasta informare prealabila are loc în timpul reuniunii
de deschidere a misiunii. Dar daca trebuie sa se realizeze un interviu care nu a fast programat
înainte, este foarte important ca aceasta regula sa poata fi respectata.
Regula 2
Reamintirea cu precizie a misiunii şi a obiectivelor ei. Interlocutorul auditorului
trebuie sa cunoasca scopul şi procedura interviului. Ar fi dezastruos daca şi-ar inchipui ca i se
vor pune intrebari-capcana, ca interviul nu este, de fapt, decât un interogatoriu deghizat.
Aşadar, principiul esential care guverneaza orice misiune de audit este cel al transparentei: să
facem tot posibilul sa nu ascundem nici unul din obiectivele urmărite.
Regula 3
Înainte de toate, se vor indica dificultăţile, punctele slabe, anomaliile întâlnite. Cu
alte cuvinte, încă de la început vom situa dialogul la nivelul de cunoaştere al auditorului în
desfaşurarea misiunii sale, reamintind rezultatul tuturor investigatiilor sale recente. Totodata,
se va evita orice digresiune laudativa, de genul celor pe care le întâlnim în naraţiuni.
Regula 4
Este corespondenta logica a Regulii 1: concluziile interviului, rezumate împreuna cu
interlocutorul, trebuie să fie agreate de acesta înainte de a fi comunicate conducerii ierarhice,
oricare ar fi forma de comunicare. Nimic nu ar fi mai rău decat rezultatul unui interviu
comunicat confidenţial conducerii ierarhice, făra ca persoana în cauza sa-şi fi dat acordul
final asupra concluziilor ce trebuie desprinse din cuvintele sale.
Regula 5
Trebuie pastrata metoda de abordare a sistemului, în virtutea principiului ca auditorul
nu judeca oamenii. Aşadar, trebuie sa ne ferim sa adresam întrebari cu caracter subiectiv şi
care incrimineaza persoanele. Pentru ca un interviu sa fie constructiv, cel intervievat trebuie
sa aiba aceeaşi optica: auditorul nu va ezita sa-l aduca pe drumul cel bun daca cumva -lucru
destul de întalnit - acesta din urma deviaza în raspunsurile sale spre întrebari ce vizeaza
persoanele.
Regula 6
Sa ştim sa ascultam, şi ştim cu toţii ca nu este un lucru uşor. Auditorul trebuie sa
vorbeasca mai putin şi sa asculte mai mult; or, primul lucru este mai uşor - şi mai placut -
82
decat al doilea. In timp ce asculta, auditorul trebuie sa fie totuşi un "agent de facilitare", sa
practice din instinct maieutica lui SOCRATE şi sa dirijeze discutia pentru a o mentine la
nivelul dorit. Trebuie sa gaseasca echilibrul - nu foarte la indemana - intre "a şti sa asculti" şi
"a nu spune nimic",
Regula 7
Auditorul care incepe un interviu trebuie sa il priveasca pe interlocutorul său ca pe un
egal. Nu un egal in sensul ierarhic al termenului, ci un egal in desfaşurarea dialogului. Şi ştim
bine ca nu este un lucru uşor pentru un auditor tânăr, care de cele mai multe ori trebuie sa
culeaga informatii de la persoane superioare in grad, uneori de grad mult superior, care sunt
conştiente de aceasta situatie şi chiar abuzeaza de ea. Şi in acest caz, trebuie sa se gaseasca
echilibrul potrivit intre o atitudine prea respectuoasa, chiar servila, şi familiaritatile excesive
şi neavenite. Justa apreciere a contextului şi a personalitatii interlocutorului vor fi foarte
importante in cautarea acestui echilibru; orice pas greşit, in aceasta situatie, poate avea urmari
dezastruoase.
Respectand aceste principii, interviul de audit se desfaşoara in mod normal în 4 etape.
b) Etapele realizării interviului
b1) Pregatirea interviului
Este o regula absolută: un interviu nu se improvizeaza, se pregateşte. Nu este o discuţie
mondenă. A pregati un interviu înseamnă:
● Definirea prealabila a subiectul interviului: care sunt informatiile pe care auditorul
doreşte sa le obţină? Aceste informatii îi pot fi necesare fie pentru a obţine informatii
suplimentare despre domeniul de auditat, fie pentru a aprecia un anumit aspect al controlului
intern, fie pentru a valida o informatie deja primita. Oricare ar fi motivul, definirea
subiectului este, într-adevar, primul lucru pe care trebuie sa-l faca auditorul; acesta nu trebuie
sa-l intervieveze pe d-l X pentru ca "nu se ştie niciodata, poate deţine informaţii interesante...
", ci pentru că are nevoie de informatii precise pentru a raspunde la Chestionarul său de
Control Intern sau la Chestionarul sau de Luare la Cunoştinţă.
● Pregatirea interviului mai inseamna şi cunoaşterea subiectului, ceea ce presupune
doua lucruri importante:
- cunoaşterea persoanei cu care ne vom intalni: care sunt activitatile sale, ce
responsabilitati are, ce loc are in ierarhie... Nu exista efect mai dezastruos decat cel provocat
de un auditor care il va intervieva pe un responsabil fără sa ştie exact ce face şi făra sa aiba
idee despre preocuparile sale majore.
- însă cunoaşterea subiectului inseamna a cunoaşte obiectul discutiei, a dispune de
informatii cantitative legate de activitatea respectiva, a actiona ca şi cum ai fi vizat de aceasta
activitate (cf. observatiile referitoare la chestionarele V.T.T.).
● Pregatirea interviului mai inseamna şi formularea intrebarilor. De această data nu este
vorba de redactarea unui chestionar de control intern. De altfel, de cele mai multe ori
interviul se practica pentru a raspunde la acesta din urma. Este vorba, tinand cant de
83
personalitatea interlocutorului şi de context, de adresarea intrebarilor potrivite pentru a obtine
raspunsul. De aceea, intrebarile vor fi mereu deschise, nu inchise. Nu intrebam "Gardienii îi
controleaza bine pe vizitatorii?" (raspunsul va fi intotdeauna "da"), ci "cum s-a efectuat
controlul vizitatorilor de către gardieni?"
Astfel, chestionarul de Control intern in care găsim intrebarea:
"Exista o procedura de licitaţie pentru alegerea furnizorilor" va aparea in interviu
sub forma "cum se face alegerea şi selecţia furnizorilor?"
Pe lânga forma intrebarilor, auditorul trebuie sa aiba grija sa epuizeze subiectul: toate
întrebarile trebuie sa fie, in principiu, pregatite şi formulate deja; aceasta este activitatea cea
mai importanta a etapei de pregatire. De fapt, nu se vor evita digresiunile şi intrebarile
surpriza: insa acest lucru trebuie sa ramana o exceptie.
In acest stadiu, pregatirea nu este inca finalizata, mai ramane sa se fixeze întâlnirea.
● Fixarea intalnirii este un element indispensabil pentru buna desfăşurare a interviului.
Chiar daca intrevederea a fost anuntata la prima reuniune a misiunii, auditorul nu trebuie sa
se prezinte fără sa se fi anuntat. De asemenea, ar fi o dovada de stangăcie din partea lui sa
"convoace" entitatea auditata: interviul se desfăşoara obligatoriu la sediul celui auditat, in
biroul sau; interlocutorul se simte "ca acasa", iar atmosfera de incredere se instaleaza mai
uşor. In acest moment se poate trece la ; discuţiile introductive.
b2) Lansarea interviului
● Trebuie sa incepem prin a ne prezenta: auditorul se prezinta din nou, arată care este
obiectul misiunii şi ce a facut pana acum in acest sens. Inca de la inceput, precizeaza ce
tehnica va folosi: intrebari formulate in prealabil, notite, explicand ca aceasta este procedura
normala intr-un interviu de Audit Intern.
● Inca de la primele intrebari, auditorul trebuie sa se adapteze interlocutorului sau, sa
gaseasca tonul potrivit, sa evite glumele cu cineva care nu glumeşte, sa destinda atmosfera cu
cel care comunica cu uşurinta... dar, in fiecare caz, trebuie sa se intereseze mai intai de munca
celui auditat inainte de a incepe să pună întrebările.
● La inceputul interviului, auditorul studiaza atitudinea interlocutorului său pentru a
putea adresa intrebarile la momentul potrivit. Adeptii PNL (Programare Neuro-Lingvistica)
au primit un sprijin serios in această observare, deoarece li s-a explicat cum sa observe şi sa
interpreteze gesturile, poziţiile etc. Auditorul se foloseşte de ele nu pentru a-l judeca pe
interlocutorul sau, ci pentru a-şi alege mai bine cuvintele. Căci scopul său este sa obtina
informatii.
b3) Intrebările interviului
Daca intrebarile au fost bine formulate, daca sunt adresate unei persoane receptive,
auditorul va reuşi sa obtina informatiile dorite, cu conditia sa-şi ia două masuri de precauţie:
• Sa verifice intotdeauna daca a inteles bine raspunsul interlocutorului său, repetand
raspunsul retinut pentru a vedea daca este aprobat. Adica "daca am înţeles bine ... "
84
• Sa-l lase intotdeauna pe cel auditat sa se exprime. Sa nu imite jurnaliştii de televiziune
care transforma intrebarile in discurs. Însă a-l lăsa pe interlocutor sa se exprime presupune sa
nu se exprime decat pentru a formula ceea ce se aşteapta de la el. Şi acest lucru este mult mai
greu, deoarece adesea el profită de cea mai mica intrebare pentru a-şi evoca intreaga viata
profesionala; şi ; asta cu atat mai mult cu cat s-a instalat o atmosfera destinsa. Este o intreagă
arta a auditorului de a şti sa-l lase sa vorbeasca atât cat sa obtina informatii în plus, dar şi de a
şti cum sa readuca in discutie subiectul evocat şi eventual sa il opreasca, făra a bloca
discursul.
• Intr-adevar, auditoru nu trebuie sa devina un confesor care asculta nenorocirile şi
problemele interlocutorului sau, mai ales daca acesta incrimineaza diferite persoane sau chiar
conducerea sa. Trebuie ca discursul sa fie intrerupt imediat şi sa se revina la lucrurile
importante, adica la intrebari.
• Raspunsurile vor fi notate, dar făra a intrerupe ritmul interviului: luarea de notite se
face in timpul discutiei, iar momentele de tacere trebuie evitate. Nu este uşor, dar de acest
lucru depinde calitatea interviului.
Interviul nu este gata nici dupa epuizarea tuturor întrebarilor.
b4) Incheierea interviului
● A incheia inseamna a incepe validarea generala, rezumând principalele , probleme
notate pentru a se asigura ca nu exista greşeli de inerpretare şi nici omisiuni.
● A încheia mai inseamna a-l intreba pe interlocutor daca, dupa parerea lui, exista şi
alte probleme care ar merita sa fie discutate sau daca mai sunt şi alte persoane care ar trebui
sa fie interogate sau alte documente care ar trebui sa fie consultate. Aceasta intrebare simpla
poate remedia eventualele lacune ale chestionarului.
● În fine, după ce s-a spus tot ce era de spus, a incheia inseamna a-i multumi
interlocutorului pentru timpul pe care a avut bunavointa sa ni-l acorde pentru interviu.
A efectua un interviu nu este deci un lucru uşor, deoarece necesita o munca serioasa de
pregatire şi capacitatea de a dejuca cele trei simboluri ale activitatii de ascultare:
- sa crezi ca ascultarea este un proces normal, când de rapt, ea cere un efort de voinţă,
- sa crezi ca nu exista diferenta intre a auzi şi a asculta, cand de fapt, numai prima se
face fără efort,
- sa crezi ca orice auditoriu este uniform, cand de fapt, adaptarea la interlocutor este
indispensabila in toate cazurile.
Dacă ştie sa depaşeasca aceste obstacole, auditorul va obtine la fiecare interviu
informatiile care raspund la intrebarile Chestionarului sau de Control Intern.
Dar pentru ca toate acestea sa poata fi exploatate cu eficacitate, este nevoie ca foaia de
interviu sa redea integral raspunsurile la intrebari. In acest scop, este obligatoriu ca notitele sa
fie trecute cat mai repede pe documentul potrivit. Totuşi, daca notele au putut fi scrise destul
de citet pe foaia de interviu, nu va mai trebui sa fie scrise din nou.
85
c) Intrebările scrise
Sunt denumite uneori "chestionare", ceea ce creeaza confuzia cu „chestionarul de
control intern“. Lista întrebarilor scrise poate preceda interviul, aceasta fiind o modalitate de
a-l pregati şi de a reduce timpul petrecut cu intervievatul.
In plus, aceasta metoda permite persoanei care va fi interogata sa beneficieze de un
timp de reflecţie gratie caruia işi va putea imbunatati calitatea răspunsurilor. Structura unei
asemenea liste de intrebari are, in general, forma unor „intrebari inchise", adica cu
posibilitate de raspuns prin „da" sau „nu", dar poate avea şi alta forma, cu conditia ca lista
utilizata sa nu se transforme intr-o „naratiune scrisa". Acest lucru presupune ca intrebarile sa
fie adresate cu exactitate şi concizie, pentru a nu lasa loc de incertitudine. In aceasta consta
dificultatea unei astfel de practici: pe lânga intrebarile simple referitoare la subiecte simple,
numai interviul este cu adevarat capabil sa ofere raspunsuri la întrebările pe care le adreseaza
auditorul.
Mai intâlnim, uneori, practica care consta in trimiterea unor liste cu intrebari scrise, făra
a mai fi urmate de un interviu. Aceasta practica nu este foarte indicata in auditul intern din
cinci motive:
● îl tenteaza pe cel interogat sa raspunda intr-un sens care-i este favorabil;
● metoda, nelasand loc dialogului, se situeaza la antipodul a ceea ce ar trebui sa fie
demersul auditorului;
● nu mai poate fi utilizata daca se pun întrebari mai complexe;
● îi poate oferi auditorului posibilitatea sa-şi formeze o idee, nu foarte obiectiva, despre
auditat şi de care cu greu se va debarasa;
● ofera raspunsuri care nu au nici o valoare atata timp cat nu pot fi validate.
8.3 Instrumentele informatice
Sunt tot mai numeroase şi sunt cu atat mai greu de inventariat cu cat majoritatea
serviciilor de audit intern prefera sa işi creeze propriile lor instrumente decat sa preia
programe informatice putin adaptate funcţiei. Ne vom limita la un clasament al diferitelor
instrumente utilizate, eventual cu cateva comentarii. Se pot defini trei categorii de
instrumente informatice:
a) instrumentele de lucru ale auditorului;
b) instrumentele de realizare a misiunilor;
c) instrumentele de gestiune a serviciului.
a) - Instrumentele de lucru ale auditorului
Suntem in domeniul programelor informatice de pe piata, foarte cunoscute şi pentru
care o simpla enumerare este suficienta:
- programe de procesare text: utilizate in permanenta;
86
- programe de desen (Power point - Flow charting ...), utile mai ales la prezentarea
rapoartelor şi realizarea diagramelor de circulaţie;
- foile de calcul;
- programe pentru reprezentari grafice.
b) Instrumentele de realizare a misiunilor
Aceste instrumente cuprind atât programe achiziţionate de pe piaţă cât şi programe
concepute de compartimentul de audit intern.
b1) Instrumente metodologice: care permit auditorului intern sa conceapă tabelul de
riscuri, sa stabileasca şi sa urmareasca desfaşurarea chestionarului său de control intern sau să
standardizeze foile F.I.A.P. etc.
b2) Instrumente de interogare şi extragere a fişierelor.
Am mai vorbit despre acest procedeu de investigare cu ocazia sondajelor statistice. Să
ne amintim că, pentru a utiliza instrumentele de interogare ce permit extragerea şi analiza
fişierelor, trebuie sa fie respectate trei conditii, ceea ce nu se întâmplă întotdeauna.
Prima condiţie
Sa dispunem de un fişier fiabil care sa contină informatiile pe care dorim sa le
analizam. Ori:
- nu toate informatiile cautate se gasesc într-un fişier informatic,
- atunci cand se gasesc in aceleaşi fişiere informatice, fişierele respective trebuie sa fie
complete şi actualizate. Şi aceasta nu se intampla intotdeauna, deoarece utilizatorii fişierelor
nu au nevoie ca aceste fişiere sa fie complete şi actualizate in mod sistematic Astfel, un fişier
cu clienti poate foarte bine sa contina zeci de clienti „inactivi", pentru care inregistrarile nu
sunt aduse la zi; acesta nu va dauna facturării dacă înregistrările clienţilor „activi“ sunt la zi.
Insa aceasta poate afecta grav munca de cercetare efectuată de auditorul intern asupra
informaţiilor din acest fişier.
A doua condiţie
Sa dispunem de de personal capabil sa le utilizeze şi de instrumente de interogare
adecvate. Aceasta poate fi o problema pentru un serviciu de audit intern. Daca serviciul
dispune de auditori informaticieni, aceştia au competenta de a efectua acest gen de munca pe
care colegii lor le-au incredintat-o. În caz contrar, serviciul de audit intern trebuie sa ceara
ajutorul informaticienilor, a caror timp de munca este foarte bine planificat şi nu au la
dispozitie timpul necesar pentru o munca suplimentara şi al carei obiectiv nu-l înţeleg
întotdeauna.
Am putea spune ca această condiţie este adesea un obstacol în calea utilizării
instrumentului.
A treia condiţie
Obţinerea unei mărimi convenabile pentru raportul calitate/preţ, altfel spus trebuie să se
realizeze interogarea la un cost acceptabil in raport cu beneficiul scontat.
87
Aceste operaţiuni pot fi elementare sau complexe: selectarea datelor, compararea
variabilelor, analiza desfăşurarii evenimentelor, corelari. Consultarea fişierelor informatice
reprezinta astfel un instrument de audit care trebuie folosit împreună cu alte instrumente cum
ar fi:
- instrumente de apreciere a controlului intern. Pe piata exista programe informatice,
dar care nu sunt atat de complete ca modelul descris; exista insa multe alte programe care
corespund acestor necesitati.
- sisteme expert: acestea exista in auditul extern pentru certificarea conturilor şi a
situatiilor financiare pornind de la sisteme de referinta cantabile. In decursul ultimilor ani, s-
au făcut numeroase studii pentru a incerca dezvoltarea unor astfel de sisteme pentru auditul
intern. Inca nu s-a reuşit acest lucru, doar daca putem numi „sisteme expert" nişte simple
chestionare de audit. Motivul principal al acestor eşecuri consta probabil in faptul ca, in
auditul intern, nu exista model fix, spre deosebire de auditul extern.
c) Instrumentele de gestiune a serviciului
Sunt in mare parte concepute chiar de catre serviciu, deoarece variaza in functie de
organizarea şi de modalitatea de gestiune a fiecaruia. Gasim la aceasta rubrică:
● programele de elaborare a planului şi de monitorizare a realizarii acestuia;
● programele de monitorizare a timpului de lucru al auditorilor;
● instrumente de masurare a eficacitatii misiunilor de audit;
● bazele de date continand constatari şi recomandari;
● controlul bugetar al unitatii etc.
Majoritatea acestor instrumente sunt la dispozitia responsabilului auditului intern
deoarece acestea contribuie la gestionarea funcţiei.
8.4 Verificări şi comparări diverse
Acestea nu sunt nişte instrumente propriu-zise, ci mai degraba procedee, utilizate de
auditor în munca de teren. Aceste procedee sunt utilizate:
- de toţi responsabilii însarcinaţi cu verificarea calităţii auditului intern, cât şi de
- auditorii externi.
Auditorii interni nu recurg la ele decât pentru a se asigura de validitatea operatiunilor
efectuate: orice eroare duce la o cercetare cauzală.
a) Verificarile
Sunt diverse: cele mai numeroase sunt verificările aritmetice. Sa atragem atentia asupra
erorilor tot mai numeroase datorate utilizarii foilor de calcul: ajunge ca o eroare iniţială să se
fi strecurat în logica de construcţie a foii de calcul pentru ca aceasta să se repete la infinit.
Din aceasta cauza, auditorii avizaţi utilizeaza programe care le permit sa verifice logica foii
de calcul.
88
Verificarilor aritmetice le putem asimila utilizării procentelor, foarte des folosite în
auditul contabil. Auditorul intern poate recurge şi la acestea, dar cu conditia sa aiba la
dispozitie un sistem de referinţă (absolut sau în timp) care sa-i permita sa identifice abaterile.
Auditorul extern care are la dispozitia sa termeni de comparatie este mai bine pregatit în acest
domeniu decât auditorul intern.
Tot aici includem verificarea existenţei documentelor şi cautarea altor indicii pentru
atingerea obiectivelor de audit, elemente pe care le regăsim când vom vorbi despre observare.
b) Comparările
Comparările reprezintă pentru auditorul intern o tehnica de validare: confirmam
identitatea unei informatii de îndata ce o obtinem din doua surse diferite; este ceea ce numim
„cross control“. De exemplu:
● Stocul contabil şi stocul real.
● Vânzarea de produse unei filiale şi achiziţiile filialei pentru societatea-mamă.
● Intrările şi ieşirile salariaţilor din birou şi situaţia orelor suplimentare.
Aceste validări oferă adeseori informaţii importante, orice diferenţă indicând o
anomalie.
Pentru utilizarea acestor tehnici de comparare, auditorul intern va trebui sa dea dovada
de imaginatie pentru a cauta - daca nu le poate bănui - răspunsurile la chestionarul său de
control intern.
Exemplu
Cu ocazia auditului securitaţii unui centru informatic, auditorul a trebuit să găsească
răspunsul la întrebarile referitoare la personalul centrului: pregatirea profesionala privind
securitatea, fiabilitatea activităţii etc.
Chestionarul său de control intern cuprinde în special urmatoarele întrebări:
- personalul respecta orele de lucru?
- s-a stabilit planul de lucru al fiecaruia? Este cunoscut? Aplicat?
Auditorul a avut ideea de aface urmatoarea comparaţie:
- ora de intrare şi de ieşire a personalului in cauza;
- planificarea concediilor fiecăruia.
Şi s-a descoperit ca un operator venea la Centrul Informatic noaptea in timpul
concediului.
O ancheta mai amanunlita a aratat ca respectivul angajat executa lucrari platite in
interes personal.
Bineinţeles ca se simţea lipsa unui dispozitiv de control intern care ar fi impiedicat
aceasta frauda, insa descoperirea a fost posibila tocmai datorita comparării.
89
c) Confirmarea obţinută de la terţi
Auditorii externi o utilizeaza frecvent pentru a obţine o certificare a informaţiilor din
partea unor persoane din afara entităţii auditate. Auditorii interni o utilizează mai rar şi mai
puţin sistematic, ca mijloc de validare a constatărilor şi observaţiilor. Această confirmare
poate fi solicitată de la terţii cu care entitatea are legături comerciale şi poate lua mai multe
forme:
● Identificarea terţilor
Putem cita câteva exemple, care nu sunt singurele posibile:
- terţii care au un stoc în depozitul entităţii sau terţii la care entitatea are un stoc în
depozitul acestora;
- clienţii / furnizorii, pentru problemele legate de datorii şi creante,
- intermediarii gestionari de portofolii, pentru evidenţa titlurilor financiare;,
- băncile pentru tranzacţiile bancare,
- avocaţii, când dorim să cunoaştem litigiile entităţii aflate în derulare.
În această enumerare, care poate continua, confirmarea bunurilor depozitate la terţi sau
a bunurilor terţilor depozitate în entitate este importantă, deoarece aceste opraţiuni sunt
însoţite de riscuri, din două motive:
● entitatea poate pierde controlul asupra bunurilor depozitate la terţi (dezorganizare a
evidenţei, a urmăririi mişcării activelor etc.);
● nu există un control intern funcţional (confirmare sistematica, proceduri de
inventariere etc.) pentru evitarea riscurilor de însuşire a bunurilor din proprietatea altuia,
pierderea proprietăţii, alocarea responsabilităţilor etc.
● Forme de confirmare
Putem considera că există trei tipuri de confirmare:
- confirmarea pozitivă închisă, sub forma „aveţi un debit de 1 000 lei la entitatea X ?"
- confirmarea pozitiva deschisă: „ce datorii aveţi faţă de entitatea X?"
- confirmarea negativă: „va rugăm să-mi confirmaţi că nu aveţi nici o creanţă la
entitatea Y".
Instrumentele de descriere
8.5 Observarea fizică
Auditorul intern merge pe teren şi a practica observarea fizică. Practica observarii fizice
necesita indeplinirea a trei conditii:
a) Observarea nu trebuie sa fie clandestină, ci transparentă. Auditorul îi informeaza pe
responsabilii in cauza despre vizită şi intentiile sale.
90
b) Observarea nu trebuie sa fie punctuală. Va dura un anumit timp, sau se va relua de
mai multe ori. Observatia va fi suficient de completă pentru a face posibila intelegerea
realităţii fenomenului.
c) Observarea trebuie sa fie intotdeauna validata deoarece este nesigura, cu exceptia
cazului in care este ea însăşi o validare. Într-adevăr, nu numai ca ea poate fi incompleta, dar
poate fi realizata intr-un moment putin favorabil, cand fenomenul de observat nu se
manifesta.
8.5.1 Obiectul observaţiilor
Observarea fizica efectuata de catre auditor este un instrument cu aplicare universala,
deoarece totul este observabil. O misiune de audit care s-ar limita numai la interviuri ar putea
fi considerata drept un sondaj de opinie, nu o misiune de Audit Intern.
8.5.2 Observarea proceselor
Cum are loc întocmirea, controlul şi achitarea dispoziţiilor de plată;
Cum are loc colectarea, verificarea şi înregistrarea facturilor;
Cum are loc identificarea, notificarea, încasarea şi evidenţa plăţii
contribuabililor etc.
La efectuarea acestor observatii, auditorul nu trebuie sa se comporte ca un pândar sau
ca un spion. Entităţile trebuie să cunoască programul de observare. Dacă observarea este
condusă cu atenţie, va identifica cu uşurinta insuficienţele sau disfuncţiile.
8.5.3 Observarea bunurilor
„Observarea“ elementara a bunurilor inseamna a inventaria. Dar pe langa observarea
cantitativa a bunurilor mai exista şi observarea calitativa. Putem constata, de exemplu, ca
reţeaua de calculatoare nu funcţionează uneori. Exista o disfuncţie care indica o sursă de
erori, o lipsă de control pentru moment asupra sistemului informatic ale carei cauze trebuie sa
fie identificate.
Alt exemplu: functionarea dispozitivelor de protectie impotriva incendiilor în spaţiile
de arhivare a documentelor. Şi mai putem da alte numeroase exemple.
8.5.4 Observarea documentelor
Şi aici seria observarilor posibile este aproape infinita: de la documentele
contabile, care sunt primele la care ne gândim, până la notite, proceduri şi diverse documente,
numarul lor este infinit. Acest lucru înseamna ca auditorul nu se va multumi niciodata sa auda
pe cineva afirmand sau explicand care este regula, ci va cere intotdeauna sa vada documentul.
A observa un document nu inseamna numai sa-l citeşti, ci şi sa-i studiezi forma (semnaturile
contractelor, de exemplu).
Şi exista „documente“ care nu se prezinta sub forma de text: planuri, scheme... pe care
este foarte bine sa le observam daca vrem sa ne asiguram ca ceea ce s-a realizat sau construit
este intr-adevar ceea ce s-a prevazut (regularitate).
91
8.5.5 Observarea comportamentelor
Comportamentul oamenilor la locul de munca: astfel auditorul constata (auditul
gestionarii personalului) ca oricine poate avea acces la informaţiile din contabilitate, că
documentele nu sunt ţinute în spaţii securizate în perioada de întrerupere a programului.
Timpul petrecut in deplasare, dificultatile in indeplinirea anumitor sarcini indica uneori
probleme de organizare. Dar aceasta observare se refera şi la comportamentul persoanelor in
timpul unui interviu sau al unui dialog: aşa cum am mai aratat, cunoaşterea programarii
neuro-lingvistice (PNL) poate aduce auditorului indicatii pretioase şi poate sa-l determine sa
aprofundeze o anumita problema.
Domeniul observarilor este deci considerabil, şi esential. Aceste observari se pot realiza
in doua moduri.
8.5.6 Modalităţi de observare
Exista doua categorii de observari: observarea directa şi observarea indirecta.
Observarea directa este cea care permite constatarea imediata a fenomenului:
angajatii nu prezinta legitimatia la intrarea in birouri. Chiar aceasta observare, va aparea pe
FIAP, ea fiind constatata direct de auditor.
Observarea indirecta, dimpotriva, apeleaza la un tert care va observa in locul
auditorului şi care ii va comunica rezultatul observarii sale. Este cazul binecunoscut al
circuitului datoriilor şi creantelor, unde observarea este de doua ori indirecta deoarece:
- rezulta din afirmatia unui client sau a unui furnizor,
- cel mai adesea informatia este transmisa printr-un comisar de conturi sau un auditor
extern.
Observarea indirecta se intalneşte la fel de des in cazul procedurilor penale in care
auditoru cunoaşte faptele, marturiile care ii sunt comunicate, daca acest lucru este posibil din
punct de vedere legal, de catre autoritatile care se ocupa de acea chestiune.
Mai este nevoie sa adaugăm ca trebuie neaparat evitată observarea efectuarn fara ştirea
celul auditat? Vorbim de observare, nu de spionaj.
8.6 Naraţiunea
Exista două tipuri de naraţiune, ambele utilizate în auditul intern: naraţiunea facută de
auditat şi naraţiunea făcută de auditor. Prima este orala, a doua este scrisă. Ceea ce au în
comun este faptul ca nu necesită nici o pregătire şi nu presupun cunoaşterea nici unei tehnici.
Naraţiunea efectuată de auditat este mai bogată, ea aduce cele mai multe informaţii;
naraţiunea efectuată de auditor nu este decât o ordonare a ideilor şi a cunoştintelor.
8.6.1 Naraţiunea facută de auditat
Este instrumentul cel mai simplu posibil, dar care nu trebuie neglijat din acest motiv.
Auditorul il utilizează în mod pasiv, se multumeşte să asculte şi sa noteze - cât poate de bine -
povestirea interlocutorului său. Spre deosebire de interviu, care este pregatit şi efectuat cu un
scop precis, naraţiunea nu are alt scop decât să descrie un cadru general. Acesta este adesea
92
primul contact cu entitatea auditata: "D-le X, explicaţi-mi ce faceţi ". Este bine ca auditorul
intern sa foloseasca înca de la inceput acest procedeu, care dă cuvântul interlocutorului,
deoarece are mai multe avantaje decât dezavantaje.
8.6.1.1 Dezavantajele
Dificultatea de a găsi informaţiile cautate in discursul interlocutorului. Dând cuvantul
cuiva, acesta poate abuzeaza de aceasta ocazie, iar parantezele şi ocolişurile duc la abateri de
la problema esenţiala şi de la expunerea ei logică.
Mai poate fi şi dificultatea de intelegere, daca naratorul foloseşte şi abuzeaza de sigle,
termeni tehnici sau alte locuţiuni prescurtate.
Trecerea timpului poate fi o altă dificultate, avand in vedere ca nu se recomandă
niciodată înregistrarea, dupa cum nu se recomandă nici la interviu. Totul depinde de
priceperea cu care se iau notite şi de aptitudinea de a le transcrie şi de a le interpreta.
8.6.1.2 Avantajele
Primul avantaj este ca naratiunea va crea inca de la inceput o atmosfera destinsa intre
auditor şi auditat: sa-i laşi pe oameni sa vorbeasca este cel mai bun mod de a-i atrage de
partea ta.
Al doilea avantaj, la fel de important, consta in bogatia informatiilor primite. Intr-o
naraţiune găsim întotdeauna mai mult decât ne aşteptăm sa auzim şi multe din informatiile pe
care le transmite sunt de retinut in vederea unei utilizari ulterioare.
Naratiunea nu necesita o pregatire specială nici pentru a o solicita, nici pentru a o
transcrie.
8.6.2 Naraţiunea făcută de auditor
Transcrierea narativa a unei prezentari orale este deja o naratiune a auditorului. Insa
gasim transcrieri narative ale auditorilor pornind de la observatii fizice, de la constatari, de la
concluziile testelor etc., de îndata ce auditorul se limiteaza la a „"povesti“ fenomenul,
rezultatul sau procesul constatat. Nu este nevoie de nici o alta tehnica in afara de cea a unei
redactari de calitate, şi nici de vreo pregatire profesionala speciala.
Naratiunea, mai ales daca este bine structurata şi logica, va fi uşor citita de catre un tert.
Informatiile pot fi comunicate clar, lucru care este intr-adevar unul din avantajele importante
ale acestui mod de exprimare care nu este un instrument primar de descriere deoarece nu
reprezinta decat ordonarea informatiilor obtinute din alte surse.
Insa acesta nu este cel mai bun mod de a transmite informatia deoarece nu prezinta nici
rigoarea, nici logica, nici tehnica celorlalte instrumente inventariate în alte parti.
8.7 Organigrama funcţională
Organigrama ierarhica, dispozitiv esential al Controlului Intern, este concepută şi
aplicată de entitate şi este un document important pentru auditor. Organigrama funcţională,
va fi realizată de auditor, daca acesta considera ca îi este necesară pentru a obţine o imagine
mai clara asupra structurii organizaţiei. Auditorul o schiteaza pornind de la informatiile
93
obtinute prin observare, interviuri, naraţiuni ..., în general chiar de la inceputul misiunii sau la
inceputul etapei de realizare.
Aceasta organigrama se caracterizeaza prin faptul ca acele cuvinte care figureaza in
casute nu sunt nume de persoane (organigrama ierarhica), ci denumiri ale funcţiilor. Cele
doua organigrame nu se confunda deoarece:
- aceeaşi persoana poate avea mai multe funcţii,
- aceeaşi functie poate fi indeplinita de mai multe persoane,
- o functie poate sa nu fie atribuita nimanui,
- o persoana poate sa nu aiba nici o funcţie.
Schitarea unei organigrame functionale permite imbogatirea cunoştintelor obtinute
pornind de la combinarea organigramei ierarhice cu analizele postului. Aceasta reprezinta, in
general, documentul care permite trecerea de la organigrama ierarhica la analiza postului, ea
indicand totalitatea functiilor existente şi permitandu-ne astfel sa le regasim in analizele
posturilor.
Exemplu
Organigrama ierarhica (simplificata) a serviciului financiar- contabil al unei
întreprinderi. Responsabilul compartimentului are în subordinea sa trei colaboratori:
dl. Aurel IONESCU este şeful biroului de contabilitate financiară;
dl. Vasile POPESCU este şeful biroului de contabilitate de gestiune;
d-na Elena LUNGU este şefa biroului financiar, de unde rezulta organigrama ierarhica:
Examinarea funcţionala a Serviciului arata că:
Angajaţii biroului de contabilitate de gestiune se ocupa cu:
- preluarea documentelor primare specifice;
- verificarea şi înregistrarea documentelor primare;
- întocmirea documentelor şi oferirea informaţiilor specifice conducerii;
Angajaţii biroului de contabilitate financiară se ocupă cu:
Serviciul financiar -
contabil
Biroul Contabilitate de
gestiune
Vasile POPESCU
Biroul Contabilitate
financiară
Aurel IONESCU
Biroul financiar
Elena LUNGU
94
- preluarea documentelor primare specifice contabilităţii financiare;
- verificarea şi înregistrarea documentelor primare;
- întocmirea documentelor de sinteză;
- întocmirea situaţiilor financiare.
Angajaţii biroului financiar se ocupă cu:
- determnarea necesarului de resurse financiare;
- identificarea surselor de finanţare;
- asigurarea echilibrului financiar.
Organigrama funcţionala (simpla) va fi:
Corelarea celor doua organigrame, compararea lor cu analizele postului pot duce la
descoperirea unor puncte slabe, a unor disfuncţii, a unor deficienţe de organizare şi de
funcţionare. În cazul de faţă, orice disfunţie în comunicarea dintre biroul de contabilitate de
gestiune şi cel de contabilitate financiară poate determina apariţia unor erori în situaţiile
financiare.
În acest stadiu initial de analiza, organigrama functională permite o prima abordare a
problemei separarii sarcinilor, chestiune importanta pe care auditorul trebuie sa o abordeze.
Dar pentru a efectua o analiza mai profunda a acestei chestiuni, auditorul dispune de un
instrument mai eficace: grila de analiza a sarcinilor, a carei organigrama ierarhica se face în
general dinainte.
8.8 Grila de analiză a sarcinilor
Grila de analiza a sarcinilor face legatura între organigrama functionala şi organigrama
ierarhica şi justifica analizele postului. Avand în vedere ca toate aceste documente reflecta o
situatie la un moment dat, putem spune acelaşi lucru şi despre grila de analiza a sarcinilor,
care reprezinta "fotografia" repartizarii muncii la un anumit moment T. Citirea acesteia va
permite descoperirea fara erori a lipsurilor in materie de separare a sarcinilor şi, deci,
remedierea lor. Aceasta grila reprezinta primul pas in analiza sarcinilor de munca ale
fiecăruia. Cum este structurata? Cum se completeaza?
Obţinerea informaţiilor
financiar - contabile
Obţinerea costurilor
specifice
Obţinerea situaţiilor
financiare
Elaborarea bugetelor
Asigurarea echilibrului
financiar
95
8.8.1 - Structura grilei
Putem concepe o grila pentru fiecare functie importanta sau pentru fiecare proces
elementar: fiecare grila va contine separarea unitara a tuturor operatiunilor legate de functia
sau procesul in cauza. Serviciile de audit bine organizate şi cabinetele de audit extern dispun
de grile stabilite in prealabil, precizand pe fiecare rand al primei coloane, detaliile sarcinilor
elementare (câte sarcini atâtea rânduri). Calitatea unei grile consta in aceasta detaliere initiala
in cursul careia nu trebuie nimic omis din desfaşurarea secvenâiala a operatiunilor. Putem, de
asemenea, sa stabilim in prealabil grile de analiza a sarcinilor:
- pentru functia de cumparare,
- pentru functia de vanzari,
- pentru functia de trezorerie,
- pentru functia de investitii,
- pentru funcţia de contabil etc.
- pentru orice functie ale carei sarcini pot fi enumerate in mod secvential.
În coloana a doua se indica natura sarcinii, referindu-ne la marile categorii in principiu
ireconciliabile, daca se doreşte o separare clara; se indica aşadar daca este vorba de:
- o simpla sarcina de executare, sau de
- autorizare, sau de
- înregistrare contabila, sau
- financiară, sau de
- control (verificare).
Urmatoarele coloane ale grilei sunt destinate indicarii persoanelor vizate.
8.8.2 Modalitatea de utilizare
Pentru fiecare sarcina şi incepand cu prima, auditorul va cauta sa afle cine a efectuat-o.
De fiecare data cand intalneşte o persoana noua, îi noteaza numele in capătul coloanei şi
bifeaza sarcina respectiva: a completa o grila însemna deci identificare şi bifare. Este
prevazuta şi o ultima coloana pentru sarcinile neîndeplinite. Exemplu:
Într-o entitate procedura de plata a facturilor furnizorilor cuprinde 10 operaţiuni:
1. recepţia la serviciul curier,
2. transcrierea facturilor primite,
3. compararea facturi / bonuri de comanda,
4. compararea facturi / bonuri de recepţie,
5. verificarea facturii,
6. contabilizarea,
7. ordinul de plata
96
8. întocmirea cecului
9. semnarea cecului,
10. trimiterea cecului.
Informaţiile culese de auditor îi permit sa completeze grila de analiză a sarcinilor de
mai jos:
Nr.
crt. Sarcini
Res
p. C
uri
er A
.
Res
p. A
chiz
iţii
B.
Conta
bil
D.
Ges
tionar
E.
Împutr
ernic
it F
Neî
ndep
linit
ă
1 Recepţie X
2 Transcriere X
3 Compararea facturilor /
BC
X
4 Compararea facturilor /
BR
X
5 Verificarea facturii X
6 Contabilizare X
7 Ordinul de plată X
8 Intocmirea cecului X
9 Semnarea cecului X
10 Trimiterea cecului X
Simpla citire a acestei grile elementare permite identificarea urmatoarelor puncte slabe:
1. facturile nu sunt transcrise într-un registru la sosire;
2. responsabilul cu achiziţiile - care a facut comanda - indeplineşte sarcini de
verificare control care ţin în mod normal de contabilitate;
3. cecul n-ar trebui sa fie întocmit de catre contabil, ci de catre casier.
Acest exemplu elementar arata:
- ca este foarte uşor sa descifrezi o grila de analiza a sarcinilor, chiar daca ar fi mult mai
97
complexa decat exemplul ales,
- ca nu pot fi trase concluzii decat in cazul in care capetele de coloana indica in mod
clar numele persoanelor, şi nu ale numelui serviciului.
Conceputa astfel, grila de analiza a sarcinilor este folosita şi de organizatori pentru a
masura munca fiecaruia. Ea este, de fapt, adevaratul punct de convergenta intre individ şi
entitate, intre analiza postului primului şi organizarea celei de-a doua, aşa cum arata schema
de mai sus.
8.9 Pista de audit
A fost la origine - şi mai este inca - un instrument de control contabil. Auditorii interni,
urmand exemplul anglo-saxonilor, au utilizat aceeaşi noţiune pentru a denumi un mijloc de
investigare generala.
8.9.1 Concepţia reglementară
Pista de audit este definită ca un ansamblu de proceduri interne permanente care permit:
Persoana
Descrierea postului
Funcţia
Organigrama funcţională
Grila de analiză a sarcinilor
Organigrama ierarhică
Servicii
Organizare
Entitatea
98
reconstituirea înregistrărilor în ordine cronologică;
justificarea fiecarei informaţii pornind de la documentul de sinteza şi pană la sursa,
printr-un parcurs neintrerupt şi reciproc;
inregistrarea elementelor care permit explicarea trecerii de la o decizie la alta şi
obţinerea acestei informaţii intr-o forma uşor de consultat.
Este vorba aşadar de o intoarcere la originea operatiunilor care au condus la
determinarea rezultatului (parcurs de pistă). Pentru a putea realiza acest parcurs in orice
moment, este necesar ca:
documentefe justificative sa fie datate şi păstrate in ordine cronologica (ne putem
imagina complexitatea secventelor de procesare informatica),
regulile de efectuare a copiilor informatice de rezerva sa fie definite,
fişierele informatice care contin elementele în cauza sa fie uşor de utilizat de
auditor.
Astfel concepută, pista de audit apare mai degraba ca un dispozitiv de control intern,
decat ca un instrument la dispozitia auditorului. Aceasta caracteristica din urma este sustinuta
mai mult in conceptia operatională care se refera la toate activitatile, nu numai la cele de tip
exclusiv contabil.
8.9.2 Concepţia operaţională
Conceputa ca un mijloc specific de investigare de catre auditorii interni, pista de audit
sau parcursul de audit este astfel o metoda de testare care se bazeaza pe un document final
sau pe rezultatul unei operatiuni şi care permite intoarcerea la sursa parcurgand toate etapele
intermediare. Aşadar, caracteristicile acestei metode sunt urmatoarele:
Nu vizeaza decat o singură operatiune,
Porneşte de la documentul sau rezultatul final şi se întoarce spre sursa,
Permite controlul - pentru aceasta operatiune determinata - tuturor stadiilor
intermediare, al tuturor elementelor justificative.
Permite efectuarea testului tuturor interfetelor şi, deci, verificarea punctelor
specifice de intersectie pe parcursul operatiunilor. Cere, daca este cazul, validarea şi
constatarea pe teren.
In Auditul Intern, pista de audit poate fi utilizata in toate functiile şi pentru toate
operatiunile.Exemple:
- identificarea retrospectiva a tuturor operatiunilor legate de vanzarea unui produs,
- identificarea retrospectiva a tuturor operatiunilor legate de cumpararea unui material,
- identificarea retrospectiva a tuturor operatiunilor legate de plata unui salariu,
99
- verificarea logicii unei procesări informatice atunci cand datele parcurg secvente
informatizate. În acest caz, pista de audit prezinta caracteristicile specifice al unui audit
informatic,
- identificarea retrospectiva a tuturor operatiunilor legate plata unui impozit etc.
Este un instrument foarte eficient utilizat pentru a ne asigura ca dispozitiile de control
intern au fost aplicate pe tot parcursul procesului şi ca şi-au atins scopul.
Exemplu
Identificarea diferitelor etape ale parcursului de audit pornind de la o înregistrare a
debitului la banca, corespunzând achitării către un furnizor a unei facturi de achiziţionare de
produse.
Trebuie sa se examineze succesiv următoarele etape:
0. cont în bancă debitat cu suma unui cec.
1. examinarea condiţiilor bancare.
2.procedura de întocmire a documentelor de plata (semnmura - trimiterea cecurilor).
3. procedura de realizare a plaţii (bun de plata, scadenle).
4. circuitul facturilor pentru autorizare înainte de plata.
5. procedura de contabilizare afacturilor furnizorilor.
6. procedura de recepţie a facturilor (curier).
7. livrarea marfurilor la solicitant.
8. procedura de recepţie a marfurilor.
9. aviz de recepţie a comenzilor la furnizori.
10. procedura de trimitere a comenzilor (curier, livrarea exemplarelor).
11. procedura de înregistrare a comenzilor.
12. transmiterea comenzii (semnaturi autorizate, circuitul documentelor, controale).
13. decizia de cumparare.
8.10 Utilizarea instrumentelor
Pentru utilizarea cu maximum de eficacitate a instrumentelor de cercetare auditorul
trebuie să ştie să comunice şi să fie curios.
8.10.1 Comunicarea
Daca comunicarea se face cu dificultate, daca se instaleaza neincrederea, nici o tehnica
din lume nu va avea vreun efect, iar instrumentul nu-şi va îndeplini rolul.
În acest caz vom obţine un interviu incomplet, o organigrama eronată, o observaţie
insuficientă sau o diagrama de circulatie carora le vor lipsi unele elemente trecute sub tacere.
Colaborarea intre cele doua parţi este indispensabila şi toate eforturile auditorului trebuie sa
100
se concentreze pentru a o instaura. Insa o buna comunicare nu inseamna nimic daca auditorul
nu incearca sa afle cât mai multe informaţii.
8.10.2 Curiozitatea
Curiozitatea îmbogateşte dialogul la fel de mult ca şi buna comunicare: este esentiala in
elaborarea chestionarului de control intern, in analizele foilor de observaţii, stimuleaza
întrebarile iniţiale şi animă interviul. De asemenea, permite observarea oricarui amănunt din
grilele de analiza a sarcinilor şi din diagramele de circulatie, face posibila monitorizarea de la
un capat la altul al pistei de audit făra a pierde parcursul esenţial şi explorand în detaliu
fiecare etapa a operaţiunilor. Aceasta capacitate de investigare, aceasta curiozitate mereu
treaza, acest scepticism uşor care stimuleaza cercetarea reprezinta una din cheile succesului
in utilizarea instrumentelor şi mijloacelor aflate la dispozitia auditorului.
Vocabular: sondaj statiastic; interviu; observarea fizică; naraţiunea;
organigramă funcţională; pista de audit.
Întrebări
1. Cum se defineşte sondajul statistic ca instrument folosit de auditorii interni?
2. Cum se defineşte interviul ca instrument folosit de auditorii interni?
3. Ce instrumente informatice foloseşte auditorul intern?
4. Cum folosesc auditorii interni verificările şi comparările pentru culegerea probelor?
5. Cum folosesc auditorii interni observarea fizică pentru culegerea probelor?
6. Cum folosesc auditorii interni naraţiunea pentru culegerea probelor?
7. Cum folosesc auditorii interni organigrama funcţională pentru culegerea probelor?
8. Cum folosesc auditorii interni grila de analiză a sarcinilor pentru culegerea
probelor?
9. Cum folosesc auditorii interni pista de audit pentru culegerea probelor?
101
Capitolul 9
Planificarea auditului intern
9.1 Definirea planificării
9.2 Activităţi preliminare misiunii
9.3 Lucrări pregătitoare pentru planificarea activităţilor de audit
9.4 Planul de audit
9.1 Definirea planificării
Planificarea reprezintă o activitate intelectuală în urma căreia se stabilesc obiectivul
acţiunii viitoare, obiectiv compatibil cu constrângerile cunoscute sau previzibile, cu intervalul
de timp în care se doreşte a se realiza obiectivul şi resursele alocate pentru realizarea
scopului.
Planificarea auditului reprezintă procesul prin care auditorul stabileşte
activităţile ce trebuie întreprinse şi resursele ce trebuie alocate pentru realizarea mandatului
primit de la beneficiar. Scopul planificării îl reprezintă stabilirea domeniilor importante
asupra cărora se va concentra auditorul, identificarea problemelor care ar putea deveni
importante odată cu derularea auditului, organizarea auditului (stabilirea sarcinilor,
coordonarea activităţilor celor care participă la realizarea auditului, durata auditului).
Planul de audit constituie un mijloc de orientare a asistenţilor implicaţi în audit,
cărora le oferă instrucţiuni referitoare la activităţile pe care le au de îndeplinit, reprezintă un
mijloc de control şi de ţinere a evidenţei desfăşurării activităţii. Planul de audit poate conţine,
de asemenea, obiectivele auditului desfăşurate pe domenii, alocarea timpului de lucru pe
obiective, domenii şi proceduri de audit.
Întinderea auditului (obiective propuse, durata auditului, resurse materiale şi umane
alocate) se stabileşte în corelaţie cu mărimea entităţii, complexitatea auditului, gradul de
cunoaştere a entităţii, experienţa auditorului.
Planul de audit include, printre altele:
00:50
Timp necesar: 50 minute
Parcurgând acest capitol vom afla:
Care este semnificaţia noţiunii de planificare a auditului intern;
Cum se realizează planificarea auditului intern;
Care sunt structura şi conţinutul planului de audit intern.
102
Obţinerea unei înţelegeri suficiente a activităţii şi structurii de conducere a
entităţii şi a unei înţelegeri suficiente a sistemelor de contabilitate şi de control intern,
inclusiv a funcţiei de gestionare a riscului şi a funcţiei de audit intern;
Luarea în considerare a evaluărilor prognozate pentru riscul inerent şi riscul de
control, acestea însemnând riscul de apariţie a denaturărilor semnificative (risc inerent) şi
riscul ca sistemul de control intern al entităţii să nu prevină sau să nu detecteze astfel de
denaturări la momentul oportun (riscul de control);
Determinarea naturii, duratei şi întinderii procedurilor de audit intern ce urmează
a se aplica;
Planificarea unui audit presupune cunoaşterea strategiei de audit intern şi
elaborarea unui plan de audit pentru a reduce riscul din domeniul auditat la un nivel
acceptabil de scăzut.
Planificarea adecvată permite să se acorde atenţie domeniilor importante ale auditului,
să se identifice posibilele crize, să se organizeze, conducă şi realizeze auditul intern în mod
eficient. Planificarea adecvată sprijină, de asemenea desemnarea adecvată a atribuţiilor între
membrii echipei de audit intern, facilitează conducerea şi supravegherea membrilor echipei,
revizuirea muncii acestora şi asistă, unde este cazul, activităţile făcute de experţi. Natura şi
întinderea activităţilor de planificare va depinde de mărimea şi complexitatea entităţii şi de
modificările care apar pe durata misiunii.
Planificarea nu este o etapă singulară a unui audit, ci mai degrabă un proces continuu
şi repetitiv. La planificarea unui audit, auditorul stabileşte momentul şi ordinea de
desfăşurare a activităţilor. Auditorul planifică o discuţie cu membrii echipei referitoare la
procedurile de evaluare a riscului, obţinerea unei înţelegeri generale a cadrului general de
reglementare şi a cadrului general aplicabil entităţii şi a modului în care entitatea respectă
acest cadru, efectuarea unor proceduri de audit la nivel de aserţiuni pentru clase de
tranzacţii, solduri ale conturilor şi prezentări care răspund la acele riscuri, în cazul auditului
situaţiilor financiare.
9.2 Activităţi preliminare misiunii
Auditorul trebuie să efectueze următoarele activităţi la începutul misiunii de audit:
să evalueze conformitatea misiuni sale de auditor intern cu cerinţele etice,
inclusiv independenţa sa în raport cu misiunea primită;
să stabilească o înţelegere a termenilor misiunii.
Atenţia auditorului referitoare la cerinţele de etică, inclusiv independenţa, apare pe
toată durata efectuării auditului, deoarece apar condiţii noi şi modificări ale celor vechi.
Procedurile iniţiale ale auditorului cu privire la evaluarea cerinţelor etice (inclusiv
independenţa) sunt efectuate înaintea efectuării altor activităţi semnificative pentru misiunea
curentă de audit.
Scopul efectuării acestor activităţi preliminare ale misiunii este de a se asigura că
auditorul a luat în considerare orice evenimente sau împrejurări care pot afecta în mod
103
negativ capacitatea auditorului de a planifica şi efectua misiunea de audit. Efectuarea acestor
activităţi preliminare ajută auditorul să planifice o misiune de audit pentru care:
auditorul are independenţa necesară şi capacitatea de a efectua auditul;
nu sunt aspecte legate de integritatea managementului subunităţii auditate, care
pot afecta dorinţa auditorului de a continua misiunea;
nu există nici o înţelegere cu managementul subunităţii auditate în legătură cu
termenii misiunii.
9.3 Lucrări pregătitoare pentru planificarea activităţilor de audit
În această fază se stabileşte aria de aplicabilitate, cine va conduce auditul, perioada
desfăşurării şi se stabilesc elementele generale ale planului de audit. Lucrările pregătitoare
se referă la:
(a) stabilirea ariei de aplicabilitate (procedurile adecvate pentru îndeplinirea
obiectivelor auditului);
(b) evaluarea obiectivelor ce trebuie raportate de auditor, pentru a planifica
perioada de desfăşurare a auditului, natura verificărilor şi momentul raportării concluziilor,
comunicarea cu managementul şi cu cei însărcinaţi cu guvernanţa;
(c) identificarea factorilor importanţi care trebuie luaţi în considerare la orientarea
activităţilor echipei de audit; sunt evidenţiate activităţile entităţii care pot fi afectate de riscuri
cu expuneri semnificative, sunt surprinse activităţile de control intern care nu şi-au dezvoltat
capacitatea de a evalua evoluţia şi manifestarea riscurilor relevante etc.
Lucrările pregătitoare ajută auditorul să evalueze măsura, momentul şi dimensiunea
resurselor necesare pentru a efectua auditul, stabilind:
(a) resursele angajate pentru anumite domenii de audit specifice, cum ar fi
folosirea membrilor cu experienţă din echipă pentru verificarea activităţilor cu riscuri mari
sau implicarea unor experţi în verificarea activităţilor complexe;
(b) cantitatea resurselor alocate unor domenii specifice de audit, cum ar fi
numărul membrilor echipei desemnaţi să participe la inventarierea gestiunilor semnificative,
bugetul de timp alocat pentru verificarea activităţilor cu riscuri mari etc.
(c) momentul când sunt angajate aceste resurse, cum ar fi stadiul intermediar de
desfăşurare a auditului sau faza de finalizare etc.
(d) modul în care sunt gestionate, îndrumate şi supervizate resursele, cum ar fi
şedinţele cu membrii echipei, verificarea fişelor de observaţii, controlul calităţii lucrărilor de
audit etc.
Odată stabilite aceste elemente, auditorul poate începe elaborarea unui plan mai
detaliat, care să arate cum pot fi îndeplinite obiectivele auditului prin utilizarea eficientă a
resurselor auditorului.
104
9.4 Planul de audit
Planul de audit include natura, momentul şi întinderea procedurilor de audit
care urmează să fie efectuate de membrii echipei de audit intern pentru a obţine suficiente
probe adecvate pentru reducerea riscul la un nivel acceptabil de scăzut. Planul de audit
reprezintă o premisă a efectuării adecvate a procedurilor de audit, un document care poate fi
verificat şi aprobat înainte de efectuarea altor proceduri de audit.
Planificarea auditului intern trebuie să fie conformă cu Carta de audit şi obiectivele
entităţii.
Procesul de planificare presupune stabilirea:
obiectivelor;
programului de lucru al auditorilor;
bugetele de personal şi financiar ;
rapoartelor de activitate.
Obiectivele auditului intern trebuie să poată fi atinse în cadrul unor planuri
operaţionale şi a unor bugete fixate şi, în măsura în care este posibil, ele trebuie să fie
cuantificabile .
Obiectivele trebuie să fie completate cu criterii de măsurare şi un plan de realizare a
acestora. Criteriile de măsurare sunt folosite pentru anticiparea apariţiei riscurilor şi a
efectelor manifestării acestora.
Programul de lucru al misiunilor trebuie să precizeze:
activităţile care trebuie auditate;
data de începere al misiunilor;
timpului necesar pentru desfăşurarea misiunilor, ţinând cont de domeniul
misiunii, natura şi obiectul lucrărilor de audit.
La planificarea misiunii, auditorii interni trebuie să ia în considerare:
obiectivele activităţii care este revizuită şi mijloacele prin care este controlată
desfăşurarea acesteia;
riscurile semnificative legate de activitate, obiectivele misiunii, resursele
utilizate şi sarcinile sale operaţionale, precum şi mijloacele prin care impactul potenţial al
riscului este menţinut la un nivel acceptabil;
adecvarea şi eficacitatea sistemelor de management al riscurilor şi de control al
activităţii, cu referire la un cadru sau model relevant de control;
oportunităţile de îmbunătăţire semnificativă a sistemelor de management al
riscurilor şi de control al activităţii.
105
Elementele care trebuie luate în calcul la stabilirea priorităţilor sunt:
data şi rezultatele misiunii precedente;
evaluările actualizate ale riscurilor şi a eficacităţii proceselor de management al
riscurilor şi a activităţilor de control intern;
solicitările conducerii generale şi ale consiliului de administraţie;
problemele actuale asociate guvernării corporative ;
schimbările importante care s-au produs în entitate şi care au afectat activităţile,
sarcinile operaţionale, programele, sistemele şi controlul intern;
oportunităţile de realizare a beneficiilor din exploatare;
modificările intervenite în cadrul echipei de audit intern (numărul membrilor,
aptitudinile lor profesionale etc.).
Planificarea lucrărilor trebuie să fie suficient de flexibilă pentru a face faţă cererilor de
misiuni neprevăzute.
Auditul intern este integrat în procesul de management al riscurilor; evaluarea riscurilor
şi a eficacităţii procesului de management al riscurilor, acestea reprezentând obiective
prioritare care trebuie avute în vedere la planificarea auditului intern.
Planificarea unui audit este un proces continuu şi repetitiv pe tot parcursul auditului.
Apariţia unor evenimente neaşteptate, modificarea condiţiilor în care se realizează auditul,
obţinerea unor probe neaşteptate pot determina auditorul să modifice planul de audit, natura,
momentul şi procedurile de audit planificate. Pot apărea noi informaţii care diferă în mod
semnificativ de informaţiile disponibile atunci când auditorul a planificat procedurile de
audit. Spre exemplu, auditorul poate obţine probe de audit prin efectuarea unor proceduri de
fond care contrazic probele de audit obţinute prin testarea eficienţei funcţionării controalelor.
În astfel de împrejurări, auditorul reevaluază procedurile de audit planificate, aducându-le în
concordanţă cu expunerile reale ale riscurilor.
Auditorul trebuie să planifice şi natura, momentul şi întinderea activităţilor de
conducere şi supraveghere a membrilor echipei de audit şi verificarea muncii lor. Acestea
pot fi influenţate de mulţi factori, inclusiv mărimea şi complexitatea entităţii, domeniul
auditului, riscul denaturărilor semnificative, capacităţile şi competenţa personalului care
efectuează activitatea de audit.
Auditorul planifică natura, momentul şi întinderea verificărilor şi a supravegherii
membrilor echipei de audit pe baza riscurilor evaluate. Pe măsură ce riscul creşte, creşte şi
întinderea supravegherii membrilor echipei.
Planul de audit are câteva caracteristici, din care cele mai importante sunt:
a) conţinut exhaustiv, ceea ce înseamnă că planul de audit este necesar să cuprindă
toate temele, funcţiile, procesele, şi serviciile care pot fi şi trebuie auditate la un anumit
moment.
Conţinutul exhaustiv al planului de audit are o serie de consecinţe, respectiv:
106
- un plan integral nu poate fi elaborat o singură dată, finalizarea presupunând mai
mulţi ani, prilej care va contribui la completarea şi actualizarea planului
- planul nu va fi terminat niciodată pentru că el va suferi în permanenţă
modificări, completări, îmbogăţire, anulare parţială, adaptare la funcţii noi sau dezvoltare a
obiectivelor deja cuprinse etc.
- abordarea exhaustivă presupune o abordarea largă a problemelor de audit intern
pentru a acoperi toate funcţiile şi procesele organizaţiei.
b) planificarea multianuală şi analiza globală a riscurilor pentru a respecta
planificarea pe mai mulţi ani (de la trei la cinci ani).
Auditarea unei funcţii, unui proces, a unor teme sau servicii nu se face la acelaşi
interval de timp pentru toate, unele fiind supuse auditului anual, altele la doi ani, trei sau cinci
ani, în funcţie de importanţa riscului.
Riscul va fi cel care va determina frecvenţa auditării. Activităţile cu riscuri ridicatre vor
fi auditate mai des, iar cele cu riscuri scăzute mai rar.
c) structura predeterminată a planului de audit intern; acesta va avea o formă unitară
de prezentare, un format standard.
Auditorul trebuie să documenteze planul de audit, inclusiv orice modificări
semnificative făcute pe durata executării auditului. Sunt înregistrate deciziile importante luate
pentru planificarea adecvată a auditului şi sunt comunicate aspectelor semnificative echipei
de audit. Putem da ca exemplu deciziile referitoare la aria de aplicabilitate etc.
Documentarea de către auditor a planului de audit este suficientă pentru a demonstra
natura, momentul aplicării şi întinderea procedurilor planificate pentru evaluarea riscului şi a
celorlalte proceduri de audit. Auditorul poate folosi programe de audit standard sau liste de
verificare pentru audit completate. Totuşi, atunci când sunt folosite astfel de programe sau
liste de verificare, auditorul le întocmeşte în mod adecvat pentru a reflecta împrejurările
deosebite ale angajamentului.
Documentarea de către auditor a oricăror modificări semnificative ale planului detaliat
de audit, evidenţiază soluţia găsită de auditor pentru adaptarea planului de audit la condiţiile
reale de pe teren. Forma şi întinderea documentaţiei depinde de aspecte cum ar fi mărimea şi
complexitatea entităţii, mărimea riscului, natura şi complexitatea probelor, împrejurările
specifice fiecărui audit.
Auditorul poate discuta elementele de planificare cu cei însărcinaţi cu guvernanţa şi
managementul entităţii. Aceste discuţii pot face parte din comunicarea generală necesară cu
cei însărcinaţi cu guvernanţa entităţii sau poate fi făcută pentru a îmbunătăţi eficienţa şi
eficacitatea auditului. Discuţiile cu cei însărcinaţi cu guvernanţa includ de obicei strategia
generală de audit şi momentul auditului, inclusiv orice limitări ale acestuia, sau orice cerinţe
suplimentare. Discuţiile cu managementul apar adesea pentru a facilita conducerea şi
managementul auditului (spre exemplu, pentru a coordona unele proceduri de audit
planificate cu activitaea personalului entităţii). Deşi aceste discuţii apar adesea, elaborarea
planului de audit rămâne în responsabilitatea auditorului.
107
Vocabular: planificare; plan de audit; program de lucru.
Întrebări
1. Care este semnificaţia noţiunii de planificare a auditului intern?
2. Care sunt activităţile preliminare ale misiunii de audit intern?
3. Care sunt lucrările pregătitoare pentru planificarea activităţilor de audit intern?
4. Care sunt elementele pe care trebuie să le cuprindă planul de audit intern?
5. Care sunt principalele caracteristici ale planului de audit intern?
108
Capitolul 10
Organizarea auditului intern
10.1 Organizarea misiunii de audit intern
10.2 Organizarea compartimentului de audit intern
10.2.1 Structuri posibile
10.2.2 Competenţele auditorilor
10.3 Organizarea muncii auditorilor
10.3.1 Carta auditului intern
10.3.2 Planul de audit
10.3.3 Manualul de audit intern
10.3.4 Dosarele de audit şi documentele de lucru
10.3.5 Documentarea
10.4 Eficacitatea organizării compartimentului de audit intern
10.1 Organizarea misiunii de audit intern
Când discutăm de funcţia de audit intern trebuie să avem în vedere atât organizarea
compartimentului de audit intern, cât şi organizarea muncii şi gestionarea competenţelor şi
resurselor necesare pentru efectuarea auditului intern.
Organizarea auditului intern se referă la:
a) organizarea compartimentului de audit intern:
- structuri posibile;
- competenţele auditorilor;
b) organizarea muncii auditorilor:
carta auditului;
planul de audit intern;
manualul de audit intern;
dosarele de audit şi documentele de lucru;
documentarea;
c) eficacitatea organizării compartimentului;
d) comitetul de audit (vezi cap. 4).
00:50
Timp necesar: 50 minute
Parcurgând acest capitol vom afla:
Cum se organizează o misiune de audit intern;
Care se organizează munca auditorilor interni;
Cum se măsoară eficacitatea funcţionării compartimentului de audit
intern.
109
10.2 Organizarea compartimentului de audit intern
10.2.1 Structuri posibile
Adoptarea unei forme de organizare a compartimentului de audit depinde de cultura
organizaţională, de poziţionarea funcţiei de audit intern şi de criteriile alegerii folosite de
managerii entităţii.
În general sunt două criterii importante şi acceptate unanim de literature de specialitate
în ceea ce priveşte organizarea compartimentului de audit intern:
- dimensiunea entităţii (organizaţiei) şi
- adoptarea unui audit centralizat ori a unuia descentralizat.
Dimensiunea entităţii (organizaţiei) este deosebit de importantă la stabilirea
numărului de auditori interni care să răspundă solicitărilor entităţii.
Dacă într-o entitate mică sau mijlocie se poate constitui un compartiment de audit
intern compus din 1 până la 3 persoane, la o mare companie naţională sau multinaţională
compartimentul de audit poate fi format din 20 până la 100 de auditori interni.
Auditul centralizat sau descentralizat reprezintă o opţiune privind localizarea şi
organizarea echipele de auditori interni.
O entitate îşi poate grupa toţi auditorii interni la sediul social al acesteia într-o singură
echipă sau auditorii pot fi grupaţi în atâtea echipe câte unităţi autonome are entitatea. Aceste
criterii pot fi combinate, mai ales în cazul entităţilor mari naţionale sau multinaţionale care, în
funcţie de obiectivele urmărite, pot organiza echipe de auditori interni la nivel local,
concomitent cu o echipă aflată la nivel central (la sediul social al entităţii).
O entitate multinaţională are un audit descentralizat, dacă are o echipă de audit la
sediul acesteia şi servicii de audit intern în fiecare ţară, compartimentul de audit intern fiind
ataşat structurii naţionale (ceea ce este specific unei structuri centralizate).
Cele două tipuri de abordări au avantaje şi dezavantaje, luând în considerare coerenţa
activităţii şi pregătirea profesioanlă, contactul direct şi permanent cu realitatea din teren,
elemente esenţiale pentru o activitate performantă şi pentru îndeplinirea obiectivelor
misiunilor de audit intern.
În cazul auditului centralizat, compartimentul de audit intern este organizat pe misiuni,
fiecare din acestea având câte un responsabil şi un domeniu de competenţă sau funcţie, după
cum urmează:
- mediul industrial sau tehnic;
- marketing, vânzări şi logistică;
- contabilitate şi gestiune;
- informatică şi mediu IT.
Această organizare presupune existenţa unor auditori specializaţi pe activităţi sau pe
funcţii, ceea ce duce la o recrutare anevoioasă şi la costuri suplimentare legate de calificare.
Organizarea compartimentului de audit intern se face pe echipe, formate din auditori
seniori şi juniori, toţi auditorii fiind la dispoziţia entităţii pentru formarea acestor echipe.
Echipele se formează în corelaţie cu obiectivele auditului şi resursele disponibile în
momentul respectiv.
110
Auditorii care desfăşoară astfel de misiuni au o pregătire largă, fiind numiţi
„generalişti“. Pentru misiunile care solicită calificări speciale sunt angajaţi specialişti externi.
Pentru auditul descentralizat este nevoie de un serviciu central de Audit Intern şi de
compartimente în structurile locale, serviciul central având patru misiuni importante:
elaborarea normelor pentru auditul intern;
definirea politicii şi a mijloacelor de pregătire profesională;
verificarea calităţii lucrărilor realizate de auditorii interni;
realizarea de misiuni specifice.
La entităţile de mărime medie auditul intern poate fi organizat sub forma unui mic
compartiment sau funcţia este îndeplinită de un singur auditor, acesta fiind însă direct
subordonat conducătorului entităţii. O entitate care doreşte să aibă audit intern eficient,
trebuie să organizeze un compartiment de audit intern compus din cel puţin trei personae. Se
pot valorifica în acest fel avantajele specializării auditorilor, a competenţei acestora şi se pot
satisface mai bine nevoile entităţii.
10.2.2 Competenţele auditorilor
Profesia de auditor intern a este o profesie recunoscută de societate, fiind menţionată în
Clasificarea ocupaţiilor din Romania la poziţia 241124.
Normele legale în vigoare obligă societăţile comerciale să aibă auditori interni care să fie
membri ai Camerei Auditorilor Financiari din România. Această solicitare nu este realizabilă
şi conducerea Camerei analizează posibilitatea modificării ei. Aceasta nu va schimba însă
aşteptările referitoare la competenţele auditorilor interni.
Recrutarea auditorilor interni se poate face pe două căi: din interiorul organizaţiei, în
majoritatea cazurilor şi din exteriorul acesteia. Prima abordare are în vedere faptul că numai
un bun cunoscător al mediului intern al entităţii poate exercita cu succes mandatul de auditor
intern.
Încrederea în procesul de audit depinde de competenţa celor care desfăşoară auditul.
Această competenţă se bazează pe demonstrarea:
- aptitudinilor personale şi
- capacităţii de a aplica cunoştinţele şi abilităţile acumulate prin studii, de a utiliza
experienţa profesională, de a se instrui în mod continuu, de a valorifica experienţa acumulată
şi împărtăşită de ceilalţi auditori.
Auditorii ar trebui să aibă aptitudini personale care să le permită să acţioneze în
concordanţă cu principiile după care se desfăşoară activităţile de audit. Un auditor ar trebui:
a) să se comporte etic, de exemplu: să fie cinstit, de încredere, sincer, onest şi discret;
b) să fie receptiv, de ex. să fie dornic să ia în considerare idei sau puncte de vedere
alternative;
c) să fie diplomat, de ex. să aibă tact în lucrul cu oamenii;
d) să aibă spirit de observaţie, de ex. să aibă o stare activă de conştientizare a
ambientului fizic şi a activităţilor practice;
e) să fie perceptiv, de ex. stare de conştientizare instinctivă a situaţiilor şi capabil să
înţeleagă situaţiile;
f) să fie flexibil, de ex. se adaptează prompt la situaţii diferite;
g) să fie tenace, de ex. perseverent, concentrat pe îndeplinirea obiectivelor;
111
h) să fie hotarât de ex. să ajungă la concluzii în timp util, bazându-se pe analize şi
raţionamente logice;
i) să aibă siguranţă de sine, de ex. să acţioneaze şi să se manifeste independent, în timp
ce interacţionează cu ceilalţi.
Auditorii ar trebui să aibă cunoştinţe şi abilităţi în urmatoarele domenii:
a) Principii, proceduri şi tehnici de audit: care să permită auditorului să le aplice pe cele
corespunzatoare situaţiilor concrete şi să se asigure că auditurile sunt desfăşurate într-o
manieră consecventă şi sistematică. Un auditor ar trebui să fie capabil să:
- aplice principiile, procedurile şi tehnicile de audit;
- planifice şi să organizeze activitatea în mod eficace;
- efectueze auditul în limitele programului agreat;
- stabilească priorităţile şi să se concentreze pe probleme în funcţie de importanţă;
- colecteze informaţii în mod eficace prin intervievare, ascultare, observare şi
analizarea documentelor, înregistrărilor şi a datelor;
- înţeleagă necesitatea şi consecinţele utilizării eşantionării pentru auditare;
- verifice exactitatea informaţiilor colectate;
- confirme că dovezile de audit sunt suficiente şi adecvate pentru a susţine constatările
şi concluziile auditului;
- evalueze acei factori care pot influenţa credibilitatea constatărilor şi concluziilor
auditului;
- utilizeze documente de lucru pentru a înregistra activităţile auditului;
- pregătească rapoartele de audit;
- menţină confidenţialitatea şi securitatea informaţiilor;
- comunice eficace.
b) Sisteme de management şi documente de referinţă, care să permită auditorului să
înţeleagă domeniul auditului şi să aplice criteriile de audit. Cunoştinţele şi abilităţile în acest
domeniu ar trebui să cuprindă:
- modul de aplicare a sistemelor de management diverselor organizaţii;
- interacţiunea dintre componentele sistemului de management;
- standardele sistemelor de management, procedurile aplicabile sau alte documente ale
sistemului de management utilizate sub formă de criterii de audit;
- recunoaşterea diferenţelor dintre documentele de referinţă şi priorităţile acestora;
- aplicarea documentelor de referinţă pentru diferite situaţii de audit;
- sisteme informatice şi tehnologia informaţiei utilizate pentru autorizarea, securitatea,
difuzarea şi controlul documentelor, datelor şi al înregistrărilor.
c) Situaţii organizaţionale: care să permită auditorilor să înteleagă contextul operaţional
al entităţii. Cunoştintele şi abilităţile în acest domeniu ar trebui să cuprindă:
- mărimea, structura, funcţiile şi relaţiile entităţii;
- procesele generale ale activităţii şi terminologia conexă;
- obiceiurile culturale şi sociale ale auditatului.
d) Legile, reglementările şi alte cerinţe relevante aplicabile disciplinei: care permit
auditorului să cunoască cerinţele care se aplică entităţii auditate şi să lucreze în limitele
acestor cerinţe. Cunoştinţele şi abilităţile în acest domeniu ar trebui să cuprindă:
- coduri, legi şi reglementări locale, regionale şi naţionale;
112
- contracte şi acorduri;
- tratate şi convenţii internaţionale şi
- alte cerinţe la care entitatea subscrie.
10.3 Organizarea muncii auditorilor
10.3.1 Carta auditului intern
Carta auditului intern, are ca scop:
- stabilirea poziţiei serviciului de audit intern în cadrul organizaţiei;
- autorizarea accesului la documente, persoane şi bunuri;
- definirea sferei de activitate a auditului intern.
Carta de audit intern trebuie elaborată în formă scrisă şi aprobată de Consiliul de
administraţie. Acest document dă legitimitate activităţii de audit intern şi contribuie la reuşita
sa.
Carta auditului intern, este difuzată spre cunoaştere la nivelul entităţii,
compartimentelor care vor fi auditate.
10.3.2 Planul de audit
Planul de audit este obligatoriu şi se realizeză pe baza riscurilor specifice entităţii şi cu
scopul ientificării priorităţilor entităţii.
Elaborarea planului de audit va avea în vedere următoarele cinci etape obligatorii:
- realizarea sau actualizarea unei liste complete a misiunilor de audit intern;
- calcularea sau actualizarea coeficientului de risc al fiecărei misuni de audit intern şi
stabilirea priorităţilor şi a periodicităţii misiunilor de audit intern;
- redactarea proiectului de plan;
- ajustarea proiectului în funcţie de resursele disponibile şi de solicitările
managementului;
- aprobarea planului de audit intern de conducerea entităţii sau comitetul de audit.
Planul de audit intern se actualizează anual sau atunci când apar modificări
semnificative care trebuie operate şi care sunt solicitate şi aprobate de conducerea entităţii.
10.3.3 Manualul de audit intern
Manualul de audit intern prezintă sistemul de organizare, regulile de compartiment şi
competenţele auditorilor, obiective minimale ale auditului intern. Manualul de audit trebuie
să contribuie la:
- definirea condiţiilor generale de activitate;
- sprijinirea pregătirii/integrării auditorului intern debutant;
- utilizarea ca sistem de referinţă.
Definirea condiţiilor generale de activitate înseamnă descrierea organigramei
compartimentului de audit intern, precum şi poziţionarea acestuia în entitate. Sunt prezentate
fişele de post pentru toţi auditorii interni, astfel încât aceştia să cunoască sarcinile pe care le
au de îndeplinit, competenţele pe care trebuie să le afirme şi responsabilităţile cărora să le
facă faţă.
Manualul prezintă modul de repartizare a sarcinilor, domeniile de manifestare a
auditorilor, modul de elaborare şi realizare a planului de lucru, de soluţionare a divergenţelor
113
cu partea auditată, dispoziţiile referitoare la deplasările profesionale şi rambursarea
cheltuielilor, condiţii materiale de desfăşurare a activităţii etc.
Sprijinirea pregătirii/integrării auditorului debutant se va face prin punerea la
dispoziţia acestuia a manualului şi se va proceda la facilitarea înţelegerii regulilor cuprinse în
manual. Auditorul debutant se va familiariza cu obiectivele şi particularităţile de funcţionare
ale compartimentului de audit intern şi va înţelege procedurile de lucru ale auditului intern.
Utilizarea ca sistem de referinţă presupune cunoaşterea normelor profesionale în
materie, dar şi cuprinderea normelor specifice compartimentului de audit intern, cu trimiteri
la:
- reguli de angajare şi de desfăşurare a activităţii auditorilor interni potrivit normelor
profesionale, precizări referitoare la încetarea raporturilor de muncă sau de colaborare, reguli
de promovare profesională sau de sancţionare etc.;
- reguli aplicate pentru deplasări şi călătorii, transparenţa fiind necesară, menţionându-
se cu claritate care sunt condiţiile de desfăşurare a deplasărilor sau călătoriile în ţară ori în
străinătate;
- planul de audit, care trebuie să aibă norme de elaborare, revizuire şi aprobare, descrise
corect şi cunoscute de toţi auditorii interni;
- normele referitoare la culegere a probelor, măsurarea riscurilor, întocmirea
documentelor şi a raportului de audit etc.;
- normele de calitate a activităţilor de audit intern.
Manualul de audit intern trebuie să aibă o prezentare simplă, ideile să fie uşor de înţeles
şi aplicat, astfel încât să devenă un ghid în activitatea auditorilor.
10.3.4 Dosarele de audit şi documentele de lucru
Orice misiune de audit intern trebuie să se încheie cu întocmirea unui dosar, compus
din documentele de lucru semnificative. Necesitatea dosarului de audit este determinată de:
- prezentarea probelor justificative pentru susţinerea afirmaţiilor din Raportul de audit
intern;
- utilizarea informaţiilor din dosarul de audit în verificările iterartive; un dosar de audit
intern facilitează cunoaşterea entităţii, a problematicii auditului precedent, soluţiile găsite şi
recomandările făcute;
- utilizarea informaţiilor din dosarul de audit pentru pregătirea profesională a auditorilor
debutanţi.
Dosarele de audit cuprind, în general, două categorii de documente:
- documente cu caracter descriptiv: analize de posturi, organigrame, tabele de riscuri,
diagrame de relaţii, circuit de documente etc.
- documente cu caracter explicativ: foi de lucru precum interviurile, chestionare, tabele
comparative, fişe de calcul, determinarea rezultatului testelor etc.
Cele două tipuri de documente se vor îndosaria/prezenta într-o anumită ordine, auditul
intern având definită o normă de ordonare, specifică fiecărei entităţi.
În practică se utilizează două modele de întocmire a dosarelor, fiecare fiind susceptibil
de critici. Întocmirea dosarelor trebuie să se facă astfel încât:
- să fie standardizate;
- să permită vizualizarea ordonării documentelor din dosar;
114
- să poată fi utilizate şi de către terţi;
- să cuprindă toate explicaţiile necesare înţelegerii operaţiunilor desfăşurate şi
concluziilor formulate;
- să se poată arhiva fără dificultate.
Auditorii interni au obligaţia să înţeleagă că misiunea nu este considerată terminată
decât atunci când dosarul de audit este complet şi ordonat, această activitate făcând parte din
timpul alocat îndeplinirii misiunii de audit intern.
Primul model de întocmire a dosarului de audit intern cuprinde:
- dosarul de analiză, care se constituie pe măsură ce se desfăşoară misiunea şi care
cuprinde documentele explicative elaborate în cursul auditului şi care trebuie păstrate: foi de
interviuri, fişele de anliză şi identificare a problemelor (fişe de anomalii), tabele comparative,
rapoarte ale reuniunilor etc.
În acest dosar ordonarea se face începând cu programul misiunii, urmat de ordinul de
misiune şi apoi restul documentelor.
- dosarul de sinteză conţine ultimile două rapoarte de audit pe acelaşi subiect, precum
şi notele cu privire la monitorizarea şi aplicarea recomandărilor, informaţiile generale
referitoare la temele de discuţie etc.
Al doilea model este reprezentat de un dosar general cuprinzând şapte părţi:
- raportul de audit complet;
- menţionarea şi monitorizarea punctelor slabe imprtante care au fost constatate în
timpul misiunii;
- tabelul riscurilor;
- planificarea şi programarea misiunii;
- informaţii generale referitoare la organigrame şi analize de post, note de serviciu,
documentaţie despre obiectivele unităţii, extrase din rapoartele de audit anterioare
(dacă este cazul);
- recomandări pentru următoarele audituri;
- documente de lucru care se distrug la finalizarea auditului următor.
Documentele de lucru au o caracteristică generală: trebuie prezentate în formă scrisă şi
să aibă un format standard predefinit; toate documentele de lucru trebuie să aibă referinţe
pentru identificarea numerelor din raportul de audit, corespondenţa cu numărul de misiune
din planul de audit intern, anul, secvenţa din cadrul misiunii etc.
Fiecare document de lucru trebuie să aibă un număr de referinţă care trebuie să coincidă
cu documentele corespunzătoare din dosarul de audit.
De asemenea, documentele de lucru vor conţine menţiuni obligatorii, precum numele
entităţii, denumirea serviciului auditat, numele auditorului, data; testele vor indica informaţii
specifice: obiective, structura testelor, documentele sau tranzacţiile examinate, detaliile
despre tranzacţie, rezultatele şi interpretarea acestora etc.
Pentru a îndeplini condiţiile cerute de normele referitoare la calitatea auditului,
documentele de lucru trebuie să fie:
- normalizate;
- datate şi semnate;
- inteligibile;
- adecvate;
115
- simple şi necostisitoare,
- complete.
10.3.5 Documentarea
Documentarea poate avea surse externe sau/şi interne.
Documentarea externă se realizează apelându-se la lucrări şi reviste de specialitate de
audit intern, documente ale organismului profesional, rapoarte, studii, analize etc.
Documentarea internă se realizează folosind informaţii din surse interne aflate la
dispoziţia compartimetului de audit intern.
De regulă, cele mai importante sunt Ghidurile profesionale pe misiuni, care stau la baza
activităţii auditorilor interni.
Ghidurile de audit se întocmesc pe baza chestionarului de audit intern şi a
programului de audit. Pentru fiecare element propus spre verificare în chestionar şi/sau
programul de audit intern, trebuie identificate instrumentele şi mijloacele specifice de
auditare, astfel înât să poată fi identificate şi evaluate riscurile asociate.
Ghidurile sunt necesare din mai multe motive:
- reprezintă un ajutor important pentru toate categoriile de auditori;
- constituie o cale semnificativă de formare a tinerilor auditori;
- activează funcţia de revizuire periodică, corectare şi actualizare.
Documentaţia internă mai cuprinde: metode şi proceduri aflate în vigoare, organigrame
folosite, convenţii colective etc.
Auditorii interni au la dispoziţie mijloace materiale şi financiare pentru desfăşurarea
corespunzătoare a misiunilor de audit.
Printre mijloacele materiale importante menţionăm sistemele informatice, folosite
pentru culegerea, prelucrarea şi stocarea informaţiilor.
10.4 Eficacitatea organizării compartimentului de audit intern
Eficacitatea se referă la două aspecte importante: integrarea în entitate şi organizarea
compartimentului.
Integrarea în entitate a compartimentului de audit intern este reuşită atunci când sunt
întrunite un număr minim de condiţii culturale şi materiale.
Condiţiile culturale sunt propice integrării compartimentului de audit intern în entitate
atunci când se cultivă o percepţie pozitivă asupra importanţei auditului, când auditaţii deţin
informaţii corecte şi suficiente despre misiunea auditului.
Condiţiile materiale se referă la definirea clară a obiectivelor auditului, la asigurarea
metodologiei şi procedurilor de audit adecvate, la existenţa unui sistem eficient de
comunicare, la resursele pentru pregătirea şi ridicarea competenţei auditorilor.
Este importantă şi definirea rolului şefului misiunii de audit, care preia prin delegare
sarcini de la responsabilul compartimentului de audit. Intervenţiile şefului misiunii sunt
relevante şi specifice înainte de începerea misiunii, în timpul acesteia şi după terminarea
misiunii.
Pentru ca auditul intern să funcţioneze bine este nevoie de un mediu de control aşezat şi
funcţional şi de un sistem de comunicare adecvat.
116
Mediul de control include funcţiile de guvernanţă şi de management, precum şi
atitudinile, conştientizarea şi acţiunile celor însărcinaţi cu guvernanţa şi managementul
entităţii referitoare la auditul intern şi importanţa acestuia în entitate.
Mediul de control poate spori sau diminua eficacitatea auditului intern. Un mediu de
control funcţional susţine schimbul de informaţii, favorizează cooperarea, permite elaborarea
şi colectarea de propuneri reciproc interesante şi care se pot implementa uşor.
Comunicarea trebuie să se realizeze pe baza unui plan bine întocmit, care să ducă la
înţelegerea şi cunoaşterea funcţiei de audit şi să acţioneaze pentru îmbunătăţirea mediului de
control.
În planul de comunicare trebuie relevate corect ţintele, comparate obiectivele cu
aşteptările, definite clar mesaje pe categorii de destinatari, alese celor mai potrivite suporturi
de comunicare.
Programul de asigurare şi îmbunătăţire a calităţii cuprinde misiuni de evaluare internă
şi externă a calităţii procesului de organizare a auditului.
Evaluările interne sunt în responsabilitatea şefului compartimentului de audit intern,
care efectuează operaţiunea de supervizare vizând competenţa auditorilor, calitatea
comunicării, respectarea metodologiei de audit şi o alegere raţională a instrumentelor de
investigare, calitatea şi pertinenţa constatărilor şi a observaţiilor, calitatea raportului de audit
şi respectarea termenelor, realismul recomandărilor, aplicabilitatea şi eficacitatea lor.
Evaluările externe se realizează prin revizii de audit, prin care se examinează, cu
preponderenţă: profilul şi competenţa auditorilor, exhaustivitatea planului de audit şi
respectarea acestuia, aplicarea standardelor de audit intern, metodologia, calitatea rapoartelor
de audit şi aplicarea recomandărilor, calitatea manualului de audit intern şi a ghidurilor de
audit, apreciarea auditului intern de către management.
Evaluarea externă se poate realiza de auditori din compartimentul propriu de audit sau
de auditori externi.
Vocabular: structura compartimentului de audit intern; carta auditului intern;
manualul de audit intern; competenţele auditorilor interni; dosarul de audit; documentele de
lucru; documentarea, mediul de control.
Întrebări
1. Care este semnificaţia noţiunii de funcţie de audit intern?
2. Care sunt factorii care influenţează organizarea compartimentului de audit intern?
3. Care sunt competenţele pe care trebuie să le deţină auditorii interni?
4. Care este importanţa şi conţinutul cartei auditorilor interni?
5. Care este importanţa şi conţinutul manualului auditorilor interni?
6. Care este importanţa şi conţinutul dosarelor şi a documentelor de lucru ale
auditorilor interni?
7. Cum realizează auditorii interni documentarea în misiunile de audit intern?
8. Cum se măsoară eficacitatea funcţionării compartimentului de audit intern?
117
Capitolul 11
Finalizarea auditului
11.1 Şedinţa de închidere
11.2 Elaborarea proiectului de raport
11.3 Structura raportului de audit intern
11.4 Transmiterea proiectului Raportului auditorilor interni
11.5 Reuniunea de conciliere
11.6 Elaborarea Raportului de audit intern final
11.7 Difuzarea Raportului auditorilor interni
11.8 Urmărirea recomandărilor
11.9 Supervizarea misiunii de audit intern
11.1 Şedinţa de închidere
Şedinţa de închidere a intervenţiei la faţa locului are drept scop prezentarea opiniei
auditorilor interni, a constatărilor şi a recomandărilor preliminare, precum şi discutarea unui
plan de acţiune, însoţit de un calendar de implementare al acestora. Se întocmeşte o minută a
şedinţei de închidere.
Auditorii interni prezintă entităţii auditate opinia, constatărilor şi recomandărilor
preliminare rezultate în urma aduditului.
Scopul prezentării este ca auditorii să se asigure că atât constatările cât şi recomandările
sunt clare, obiective, fundamentate, relevante. Constatările şi recomandările sunt clare atunci
când sunt uşor de înţeles şi nu determină interpretări contradictorii; sunt obiective, atunci
când nu apără sau prejudiciază vreo una din părţi; sunt fundamentate atunci când fiecare
constatare are la bază probe doveditoare şi o bază legală; sunt relevante atunci când aspectele
00:50
Timp necesar: 50 minute
Parcurgând acest capitol vom afla:
Care se organizează închiderea misiunii de audit intern;
Care sunt cerinţele de care trebuie să ţină cont auditorul la
întocmirea raportului de audit intern;
Care este structura raportului de audit intern;
Cum se definitivează concluziile raprtului de audit intern;
Cum se difuzează raportul, se urmăreşte îndeplinirea
recomandărilor şi controlează calitatea lucrărilor de audit intern.
118
semnalate ajută conducerea entităţii auditate să ia decizii manageriale pentru eliminarea
deficienţelor constatate.
Auditorii planifică şedinţa de închidere, prezintă constatările şi recomandările, fac
rezumatul discuţiilor într-o „Minută a şedinţei de închidere”, pregătesc probele suplimentare
necesare pentru justificarea modificărilor propuse.
Conducătorii entităţii auditate participă la desfăşurarea şedinţei de închidere.
Conducătorii entităţii auditate îşi declară părerile lor în privinţa constatărilor auditorilor, ale
concluziilor entităţii auditate şi recomandărilor, precum şi a corecţiilor de efectuat.
11.2 Elaborarea proiectului de raport
La elaborarea proiectului de Raport de audit intern (raport intermediar) trebuie să fie
respectate următoarele cerinţe:
a) constatările trebuie să aparţină domeniului/obiectivelor misiunii de audit intern şi să
fie susţinute prin documente justificative corespunzătoare;
b) recomandările trebuie să fie în concordanţă cu constatările şi să determine reducerea
riscurilor potenţiale;
c) raportul trebuie să exprime opinia auditorului intern, bazat ă pe constatările
efectuate;
d) se întocmeşte pe baza fişelor de observaţii şi a celorlalte documente de lucru.
La redactarea proiectului Raportului de audit intern, trebuie să fie respectate
următoarele principii:
a) constatările trebuie să fie prezentate într-o manieră pertinentă şi incontestabilă;
b) trebuie evitată utilizarea expresiilor imprecise (se pare, în general, uneori, evident), a
stilului eliptic de exprimare, a limbajului abstract;
c) promovarea unui limbaj cât mai uzual şi a unui stil de exprimare concret;
d) evitarea tonului polemic, jignitor, tendenţios;
e) ierarhizarea constatărilor (numai cele importante vor fi prezentate în sinteză sau la
concluzii);
f) evidenţierea aspectelor pozitive şi a îmbunătăţirilor constatate de la ultima misiune
de audit public intern.
La elaborarea proiectului Raportului de audit intern, auditorul foloseşte dovezile de
audit raportate în Fişele de Identificare şi Analiză a Problemelor (FIAP) şi în Formularul de
constatare şi raportare a iregularităţilor şi a celorlalte documente de lucru.
11.3 Structura raportului de audit intern
Pagina de titlu şi cuprinsul
Reprezintă pagina în care se menţionează denumirea misiunii de audit intern.
Rapoartele vor conţine un cuprins al lucrărilor şi documentelor.
Semnătura
Raportul de audit intern este semnat de fiecare membru al echipei de auditori, pe fiecare
pagină a acestuia. Ultima pagină a raportului este semnată şi de către supervizor.
119
Introducerea
Descrie tipul de audit şi baza legală a misiunii (planul anual de audit, solicitări speciale
etc.).
Prezintă datele de identificare a misiunii de audit intern (ordinul de serviciu, echipa de
auditori, entitatea/structura auditată, durata acţiunii de auditare, perioada auditată).
Descrie activitatea auditată şi prezintă informaţii sintetice cu privire la misiunea de
audit intern.
Prezintă modul de desfăşurare a misiunii de audit intern (caracterul misiunii de audit
intern: sondaj/exhaustiv, documentare; proceduri, metode, tehnici utilizate; documente
materiale examinate în cursul misiunii de audit intern; materiale întocmite în cursul misiunii
de audit intern).
Face referire la recomandările misiunilor de audit intern anterioare care, până la
finalizarea misiuni curente de audit intern, nu au fost implementate.
Stabilirea obiectivelor
Obiectivele de audit prezentate în Raportul de audit intern coincid cu cele înscrise în
programul de audit intern.
Stabilirea metodologiei
Explică tehnicile şi instrumentele de audit public intern folosite pentru a îndeplini
obiectivele misiunii de audit intern.
Constatările şi recomandările auditului
Auditorul trebuie să se pronunţe asupra obiectivelor de audit în ordinea în care au fost
stabilite în Programul de audit intern.
Constatările efectuate trebuie prezentate sintetic, cu trimitere explicită la anexele la
Raportul de audit intern. Sunt prezentate distinct constatările cu caracter pozitiv de
constatările cu caracter negativ, în scopul generalizării aspectelor pozitive, pe de o parte, şi al
identificării căilor de eliminare a deficienţelor stabilite, pe de altă parte.
Concluziile echipei de audit sunt elaborate pe baza constatărilor făcute, având un
caracter fundamentat. Trebuie să fie pertinente şi să nu fie disproporţionate în raport cu
constatările pe care se bazează.
Recomandările din Raportul de audit intern trebuie să fie fezabile şi economice şi să
aibă un grad de semnificaţie important în ceea ce priveşte efectul previzibil asupra entităţii
auditate. Trebuie să aibă un caracter de anticipare şi, pe această bază, de prevenire a
eventualelor disfuncţionalităţi sau tendinţe negative la nivelul entităţii auditate. De asemenea,
trebuie să contribuie la crearea unor sisteme de dezvoltare a activităţii entităţii auditate şi de
creştere a performanţelor managementului.
Prezentarea recomandărilor se va face după următoarea structură:
constatări;
120
criterii, cauze, efecte;
recomandări.
Recomandările vor fi redactate clar, concis pentru fiecare deficienţă constatată.
Recomandările vor fi prezentate în funcţie de priorităţile stabilite în Fişa de Identificare şi
Analiza Problemelor: majore, medii şi minore.
11.4 Transmiterea proiectului Raportului auditorilor interni
Proiectul Raportului se transmite subunităţii auditate, iar aceasta poate trimite în maxim
15 zile obiecţiile sale. Obiecţiile primite trebuie analizate de auditorii interni. Netransmiterea
obiecţiilor în intervalul de timp menţionat, presupune acordul tacit al subunităţii auditate
privind Proiectul de Raport al auditorilor interni. În aceste condiţii reuniunea de conciliere nu
mai este necesară.
Transmiterea proiectului raportului auditorilor interni are scopul de a asigura entităţii
auditate posibilitatea de a analiza Proiectul raportului de audit intern şi de a formula un punct
de vedere la constatările şi recomandările auditorilor.
Proiectul de raport de audit intern transmis la subunitatea auditată trebuie să fie
complet, cu toate dovezile asupra faptelor, opiniilor şi concluziilor la care se face referire.
11.5 Reuniunea de conciliere
În termen de 10 zile de la primirea obiecţiilor, auditorii interni organizează reuniunea
de conciliere cu structura auditată, în cadrul căreia se analizează constatările şi concluziile, în
vederea acceptării recomandărilor formulate. Se întocmeşte o minută privind desfăşurarea
reuniunii de conciliere.
11.6 Elaborarea Raportului de audit intern final
Raportul de audit intern trebuie să includă modificările discutate şi convenite din cadrul
reuniunii de conciliere. Raportul de audit intern va fi însoţit de o prezentare a sintezei
concluziilor reuniunii de conciliere.
Şeful structurii de audit intern trebuie să informeze conducerea superioră despre
recomandările care nu au fost acceptate de conducătorul entităţii auditate. Aceste
recomandări vor fi însoţite de documentaţia de susţinere.
Auditorii trebuie să preia rezultatele concilierii, să le prelucreze şi să le introducă în
raportul de audit intern, pe care trebuie să-l pregătească pentru redactarea finală şi pentru
tipărire.
Auditorii sunt responsabili de calitatea Raportului de audit intern, de întocmirea unei
liste corecte şi complete de difuzare a acestuia.
Structura raportului de audit intern final este asemănătoare cu a raportului interimar de
audi prezentată anterior. Difernţele pot apărea la nivelul elementelor care au fost conciliate cu
parte auditată.
121
11.7 Difuzarea Raportului auditorilor interni
Şeful structurii de audit public intern transmite Raportul de audit intern, finalizat,
împreună cu rezultatele concilierii şi punctul de vedere al entităţii auditate conducătorului
entităţii care a aprobat misiunea, pentru analiză şi avizare. După avizare, Raportul de audit
intern, în copie, va fi comunicat structurii auditate.
Raportul de audit intern final trebuie să fie însoţit de o sinteză a acestuia. La entităţile
mai mici, Raportul de audit intern este transmis spre avizare conducătorului acesteia.
Auditorii transmit Raportul de audit intern, rezultatele concilierii şi punctul de vedere al
entităţii auditate şefului compartimentului de audit intern;
Şeful compartimentului de audit intern semnează şi transmite Raportul de audit intern
conducătorului entităţii sau comitetului de audit. Acesta este însoţit de o informare
cuprinzând recomandările care nu au fost acceptate de auditat, însoţită de documentaţia de
susţinere. Conducătorul entităţii analizează şi aprobă sau respinge Raportul auditorilor. După
aprobare auditorii transmit entităţii auditate o copie a Raportului de audit intern final.
11.8 Urmărirea recomandărilor
Obiectivul acestei etape este asigurarea că recomandările menţionate în Raportul de
audit intern sunt aplicate întocmai, la termenele stabilite şi în mod eficace, iar conducerea a
evaluat riscul de neaplicare a acestor recomandări.
Entitatea auditată trebuie să informeze copartimentul de audit intern asupra modului de
aplicare a recomandărilor conform calendarului de implementare.
Responsabilitatea structurii auditate
Responsabilitatea structurii auditate în aplicarea recomandărilor constă în:
1) elaborarea unui plan de acţiune, însoţit de un calendar privind îndeplinirea
acestuia;
2) transmiterea planului de acţiune, respectiv a calendarului privind îndeplinirea
acestuia compartimentului de audit;
3) stabilirea responsabililor pentru fiecare recomandare;
4) punerea în practică a recomandărilor;
5) comunicarea periodică a stadiului de realizare a acţiunilor;
6) evaluarea rezultatelor obţinute.
Responsabilitatea structurii de audit intern
Compartimentul de audit intern verifică şi raportează comitetului de audit stadiul de
implementare a recomandărilor. În cazul când nu există comitet de audit raportarea se face
conducerii entităţii.
11.9 Supervizarea misiunii de audit intern
Şeful compartimentul de audit intern sau persoana desemnată de acesta este responsabil
de supervizarea misiunii de audit intern.
122
Scopul acţiunii de supervizare este de a se asigura că obiectivele misiunii de audit
intern au fost îndeplinite şi lucrările realizate de auditori au fost de calitate.
Supervizarea misiunii de audit intern:
a) oferă instrucţiunile necesare (adecvate) derulării misiunii de audit intern;
b) verifică executarea corectă a programului misiunii de audit intern;
c) verifică existenţa elementelor probante;
d) verifică dacă redactarea raportului de audit intern, atât cel intermediar cât şi cel final,
este exactă, clară, concisă şi s-a efectuat la termenele fixate.
Dacă şeful compartimentului de audit intern este implicat în misiunea de audit,
supervizarea este asigurată de un auditor intern desemnat de acesta.
Vocabular: şedinţa de închidere; raport de audit intern, structura raportului de
audit intern; constatările auditorului; recomandările auditorului; supervizarea misiuni de audit
intern.
Întrebări
1. Care este scopul şi conţinutul şedinţei de închidere?
2. Care sunt cerinţele ce trebuie respectate la elaborarea raportului de audit intern?
3. Care este structura raportului de audit intern?
4. Care este conţinutul reuniunii de conciliere?
5. Cum se realizează difuzarea raportului de audit intern?
6. Cum se urmăresc îndeplinirea recomandărilor făcute de auditori în raportul de
audit?
7. Cine şi cu ce scop realizează supervizarea misiunii de audit intern?
123
8. Bibliografie
1
Camelia L. DOBROŢEANU,
L. DOBROŢEANU Auditul intern, InfoMega, Bucureşti, 2007
2 HORVÁTH & Partners Controlling, C.H. Beck, Bucureşti, 2007
3
Kenneth A. MERCHANT,
Wim A. Van der STEDE Management Control Systems, Performance
Measurement, Evaluation and Incentivs, Second
Edition, Prentice Hall, 2007
4
Robert R. MOELLER COSO Enterprise Risk Management: Understanding the
New Integrated Enterprise Risk Management
Framework, John Wiley & Sons Inc., 2007
5 Ana MORARIU, Gh.
SUCIU, Flavia STOIAN
Auditul intern şi guvernanţă coorporativă, Ed.
Universitară, 2008
6 Jacques RENARD Teoria şi practica auditului intern, Ministerul Finanţelor,
2003
7
A. RUSOVICI,
S. FARMACHE,
Gh. RUSU
Manager în misiunea de audit, Monitorul Oficial,
Bucureşti, 2008
8 Gheorghe SANDU Bazele auditului financiar, Dareco, 2003
9 *** Audit financiar 2006, Standarde, Codul etic, Irecson,
Bucureşti, 2007
10 *** Standarde de audit intern, CAFR, 2006
11 *** www.theiia.org
12 *** www.coso.org