94901908 Managementul Riscurilor Si Auditul Intern

7/18/2019 94901908 Managementul Riscurilor Si Auditul Intern

http://slidepdf.com/reader/full/94901908-managementul-riscurilor-si-auditul-intern-5697620ef1922 1/27

Audit intern

Managementul riscurilor

Audit intern - control intern - managementul riscurilor

Controlul intern cuprinde un set de cinci componente inter-

corelate care fac parte din procesul managerial1. Aceste componente se

regăsesc într-o măsură mai mare sau mai mică, în funcţie de

dimensiune, în toate organizaţiile2. Iată despre ce este vorba

• !ediul de control"

• #valuarea riscurilor"

• Activităţile de control"

• Informaţiile $i comunicarea"

• !onitorizarea.

Mediul de control „dă tonul” într-o organizaţie in%uenţ&nd în mod

decisiv atitudinea oamenilor faţă de control. Altfel spus, mediul de

control reprezintă fundamentul tuturor celorlalte componente,

asigur&nd disciplina. 'rintre factorii( care in%uenţează mediul de control

se regăsesc integritatea, valorile etice, competenţa personalului

anga)at, *loso*a managementului $i maniera sa de acţiune,

desemnarea autorităţii $i responsabilităţilor, etc.

Evaluarea riscurilor. A$a cum indicam într-unul din capitolele

precedente ale lucrării de faţă, *ecare organizaţie este e+pusă unor

riscuri a căror probabilitate $i impact trebuie evaluate. precondiţie

pentru evaluarea riscurilor constă în stabilirea obiectivelor corelate at&t

1 www.coso.org/publications/executive_summary_integrated_framework.htm

2 aterialul este reali!at "n ba!a unei selec#ii efectuate din $. %obro#eanu& '.$. %obro#eanu& (udit intern& )ditura*nfoega& 2++,& pag. -, , 0i 1 1- $. %obro#eanu& '.$. %obro#eanu& (udit concepte 0i practici& )ditura )conomic3& 2++2& pag. 145614-



pe verticală c&t $i pe orizontală în cadrul unei organizaţii. #valuarea

riscurilor presupune identi*carea acestora $i analiza lor prin prisma

pericolului pe care-l reprezintă vis-a-vis de obiectivele organizaţiei.

Astfel, se constituie ceea ce numim fondul de riscuri ce trebuieadministrate. nele organizaţii, îndeosebi cele mari, au creat o

structură operaţională distinctă care să realizeze acest proces comple+,

cunoscută sub denumirea de managementul riscurilor organizaţiei

#/!0. otodată, dat *ind faptul că circumstanţele economice,

legislative etc. sunt în continuă sc3imbare, sunt necesare mecanisme

noi pentru a identi*ca $i controla riscurile asociate acestor sc3imbări.

Activităţile de control re%ectă politicile $i procedurile de controlaplicate la nivelul întregii organizaţii incluz&nd, spre e+emplu, aprobări,

autorizări, e+aminări, reconcilieri, etc.

Informaţiile şi comunicarea. 4istemele informaţionale produc

informaţii necesare pentru derularea cotidiană a afacerilor, cum ar *

rapoarte privitoare la aspecte *nanciare, operaţionale, etc. 5ără o

comunicare e*cace, at&t pe verticală c&t $i pe orizontală, orice sistem

informaţional este lipsit de valoare.Monitorizarea. 4istemele de control intern trebuie monitorizate, în

sensul de a * evaluate prin prisma performanţelor sale de-a lungul

timpului. 6n lipsa unei astfel de monitorizări, e*cienţa $i e*cacitatea

controalelor interne nu ar * cunoscute $i, în consecinţă, nu ar putea *

corectate de*cienţele, după cum nu ar putea * consolidate punctele

sale forte. Aria de acoperire $i frecvenţa acestor evaluări depinde de

procesul de evaluare a riscurilor $i de e*cacitatea procedurilor de

monitorizare.

7in nefericire, e+istă o seamă de a$teptări nerealiste privind

performanţele controlului intern, în sensul că se presupune că acesta

poate garanta succesul afacerilor organizaţiei sau că poate garanta

credibilitatea informaţiilor contabile din raportările *nanciare. 8ici una,

nici cealaltă dintre a$teptările e+puse mai sus nu sunt rezonabile

5 )ngl. )nterprise 7isc anagement



deoarece, la r&ndul său, controlul intern nu este o soluţie magică

pentru toate problemele unei organizaţii. 7a, controlul intern poate

spri)ini organizaţia să-$i atingă obiectivele, dar nu poate transforma un

manager incompetent, într-unul competent. 4au, referitor lacredibilitatea raportărilor *nanciare, controlul intern nu poate „pune

lacăte” creativităţii contabile ori elimina pentru totdeauna gre$elile

inerente de calcul.

Auditului intern în aceste circumstanţe îi revine un rol important

legat de monitorizare evaluarea continuă a e*cienţei $i e*cacităţii

controlului intern. 7e aici survin $i confuziile legate de suprapunerea

auditului intern cu controlul intern. 'rivit din afara organizaţiei, în bazacomponentelor controlului intern prezentate mai sus, un observator ar

putea asocia auditul intern drept o structură din întregul univers al

controlului intern. 7ar, analizat prin prisma rolului )ucat în interiorul

organizaţiei, auditul intern nu se poate )udeca pe sine cu credibilitate.

'rin urmare, este absolut obligatoriu ca cele două structuri să *e

separate una aplică, cealaltă monitorizează $i evaluează.

6n con)uncţie cu publicarea raportului C4 9Enterprise risk

management – Integrated framework :, IIA a emis un g3id adresat

$e*lor departamentelor de audit care prezintă recomandările privind

relaţiile auditului intern cu #/! din cadrul organizaţiilor lor;. 'rintre

altele, scopul acestui g3id vizează stabilirea unei linii de demarcaţie

clare între managementul riscurilor $i responsabilităţile auditului intern

vis-a-vis de cele două.

Astfel, principalele activităţi ale auditului intern în relaţia cu #/!

sunt

• furnizarea unei asigurări cu privire la procesele de management al

riscurilor"

• furnizarea unei asigurări cu privire la faptul că riscurile sunt

evaluate corect"

•

evaluarea proceselor de management al riscurilor" www.theiia.org **(& 8he role of internal audit in enterprise6wide risk management& 2++5

http://www.theiia.org/





• evaluarea raportărilor privitoare la riscurile esenţiale<"

• analiza managementului riscurilor esenţiale.

'rivitor la rolul legitim pe care-l are auditul intern, IIA subliniază

• facilitarea identi*cării $i evaluării riscurilor"

• consilierea conducerii pentru a adopta măsuri de protecţie

împotriva riscurilor"

• coordonarea activităţilor #/!"

• consolidarea raportărilor privind riscurile"

• menţinerea $i dezvoltarea cadrului #/!"

•

dezvoltarea strategiei de management a riscurilor supuseaprobării consiliului de administraţie.

otodată, IIA avertizează asupra rolurilor pe care auditul intern nu

trebuie să $i le asume=

• stabilirea apetitului pentru risc"

• impunerea proceselor de management al riscurilor"

• asigurarea managementului cu privire la riscuri

• adoptarea deciziilor privind măsurile de contracarare a riscurilor"

• implementarea acestor măsuri în numele managementului"

Studiu de caz Keos

>eos este o companie care distribuie consumabile pentru te3nica

de calcul. 4istemul de procesare a comenzilor provenite de la clienţi,

respectiv a facturării produselor livrate adoptat de >eos este următorul

• 7ra. >ate, operator la departamentul de v&nzări, înregistrează

comenzile într-un registru de comenzi, pre-numerotat, emis patru

e+emplare 1 original $i trei copii0 pentru *ecare comandă, numai

după ce a interogat baza de date referitoare la registrul de v&nzări.

Interogarea are drept scop asigurarea că limitele de credit alocate pe

clientul respectiv nu sunt depă$ite. Clienţii noi sunt supu$i în

- )ngl.6 key risks, 7eamintim c3& "n acest context& responsabilitatea pentru stabilirea apetitului pentru risc al conducerii revine)7.



prealabil procesului de stabilire a limitelor de creditare, operaţiune

efectuată de către managerul departamentului de v&nzări"

• 'rimul e+emplar originalul0 al comenzii este reţinut la serviciul de

v&nzări, iar cele trei copii sunt trimise la depozit pentru a *autorizată livrarea. 7epozitul selectează produsele comandate $i le

ambalează. Comenzile pentru produsele care nu se găsesc în stoc

sunt înregistrate într-un *$ier de a$teptare $i sunt procesate în

momentul în care stocurile sunt primite. #+emplarele doi $i trei ale

comenzii sunt trimise clientului împreună cu produsele livrate,

cer&nd clientului să semneze e+emplarul doi $i să-l restituie

agentului de distribuţie >eos. Cea de-a patra copie este trimisă laserviciul de contabilitate $i este confruntată cu e+emplarul doi

returnat de client.

• 7etaliile e+emplarului patru sunt introduse de către dra. 43aron,

operator registrul v&nzări, în *$ierul privind registrul de v&nzări.

'rogramul prevede o serie de c3ei de control pentru a preveni riscul

de a nu introduce gre$it codul clientului sau al produselor livrate. 6n

caz de eroare, programul respinge înregistrarea $i solicită corectarea

informaţiilor. Apoi, programul emite automat factura, în dublu

e+emplar, care cuprinde toate informaţiile referitoare la client $i

preţul produselor livrate acestuia. 'rimul e+emplar al facturii este

trimis clientului, iar e+emplarul al doilea este ata$at e+emplarelor de

comandă doi $i patru. /egistrul de v&nzări este actualizat automat,

iar la *nalul *ecărei zile, programul generează o listă a tuturor

facturilor emise în ziua respectivă.

• 'rogramul generează un raport de v&nzări la *nalul *ecărei

săptăm&ni, iar suma totală este confruntată de 43aron cu valoarea

înregistrată pentru aceea$i perioadă în registrul de v&nzări. 'e bază

lunară, programul emite o situaţie comple+ă privind analiza

creanţelor $i maturitatea acestora pe *ecare client. 43aron are

responsabilitatea de a transmite clienţilor situaţia privind datoriile lorfaţă de >eos, de a avertiza clienţii care nu-$i ac3ită datoriile la



scadenţă $i de a conveni cu ace$tia mecanisme de ree$alonare a

plăţilor. analiză a creanţelor relevă faptul că durata de încasare a

acestora s-a mărit de la (? la = zile pe parcursul anului curent, de$i

politicile >eos prevăd o scadenţă de (@ de zile.Cerinţe

1. Identi*caţi de*cienţele de control intern referitoare la

procedurile >eos privind sistemul descris.

2. 7escrieţi procedurile care ar permite reducerea perioadei de

încasare a creanţelor de către >eos.

Strategia de audit RBA8

9 :trategie de audit ba!at3 pe riscuri 6 engl. 7isk ;ased (uditing <7;(=



1. Strategia de audit RBA

om începe discuţia noastră în acest capitol prin a sublinia că

strategia /BA $i planul de audit sunt două componente str&ns legate

între ele, fapt recunoscut de altfel $i de standardele de audit intern„eful departamentului de audit intern trebuie să elaboreze un plan de

audit pe baza riscurilor n.n. /BA0 pentru a determina priorităţile

activităţilor auditului intern în conformitate cu obiectivele organizaţiei”?

sau „programul misiunilor de audit intern trebuie să aibă la bază

evaluarea, cel puţin anuală, a riscurilor”1@.

6n ciuda cerinţelor normelor profesionale, practicile de elaborare a

planurilor de audit intern $i a programelor de misiune sunt variate,ma)oritatea acestora *ind ancorate la o strategie tradiţională de audit

care plasează în centrul atenţiei auditului intern una sau mai multe

dintre următoarele variante auditul pe procese, pe funcţii, pe meserii,

pe teme, auditul de conformitate, auditul operaţional, etc. Aceste

abordări tradiţionale vizau auditarea internă a tot ce era posibil. Da

polul opus, strategia prevăzută de standardele internaţionale de audit

intern E /BA E implică o selecţie $i o prioritizare a activităţilor $i

misiunilor de audit intern pe baza unei evaluări a riscurilor, astfel înc&t

auditul intern să servească într-adevăr obiectivelor organizaţiei.

4c3imbarea de strategie produce efecte asupra modului în care se

desfă$oară activitatea de audit intern, efecte pe care le discutăm at&t

aici, dar $i în cadrul altor paragrafe si capitole ale lucrării noastre.

FriGt3s11 prezintă următoarele precondiţii necesare pentru a

putea aplica strategia /BA

• rganizaţia cunoa$te toate riscurile inerente semni*cative,

adică cele situate peste nivelul apetitului pentru risc"

• rganizaţia $i-a evaluat riscurile, astfel înc&t acestea pot *

prioritizate în funcţie de pericolul pe care-l reprezintă"

4 :tandardul de performan#3 **(: 2+1+& >lanificarea1+ :tandardul de aplicare **(: 2+1+.(1& isiunile de audit11 %. ?riffiths& 7isk based internal auditing an introduction& 2++-& pag. 2-



• rganizaţia $i-a de*nit apetitul pentru risc, astfel înc&t

riscurile inerente $i cele reziduale12 pot * evaluate $i

clasi*cate în funcţie de acesta.

Da r&ndul lor precondiţiile pot * satisfăcute numai dacă• Da nivelul organizaţiei, consiliul a adoptat un set adecvat de

politici de control intern"

• Apetitul pentru risc a fost aprobat de către consiliu"

• 7irectorii e+ecutivi au fost instruiţi corespunzător pentru a avea

abilităţile cerute pentru identi*carea riscurilor, evaluarea lor,

pentru proiectarea, punerea în aplicare $i monitorizarea

sistemelor de control care asigură implementarea politicilor

adoptate de consiliu.

#tapele /BA sunt

1. e+aminarea registrului riscurilor $i determinarea riscurilor

asupra cărora auditorii vor trebui să formuleze o opinie cu

privire la gradul de control e+ercitat"

2. elaborarea planului de audit anual0 $i obţinerea aprobării

comitetului de audit asupra acestuia"

(. realizarea misiunilor de audit care vor furniza baza pentru

opiniile auditorilor"

. actualizarea universului de audit !" şi riscuri, pe măsură ce

sunt obţinute informaţii suplimentare.

6n practică, obţinerea unei asigurări cu privire la registrul riscurilor

este realizată de obicei o singură dată sau p&nă în momentul în careauditorii capătă încrederea că registrul riscurilor poate * utilizat ca o

bază credibilă în etapele următoare. #tapa a doua este realizată anual,

sub rezerva că planul de audit poate * revizuit $i modi*cat în cursul

anului. #tapa a treia are o frecvenţă mult mai mare, determin&nd $i

frecvenţa etapei a patra. 'rimele două etape sunt prezentate în cadrul

12 >entru detalii privind riscurile inerente 0i re!iduale ve!i paragraful 9.2.2.1 @ lista cu procesele <domeniile= auditabile.



acestui capitol, urm&nd ca ultimele două etape *e prezentate distinct,

în cadrul capitolului următor al lucrării.

2. Prima etapă: Eaminarea registrului riscurilor 1!

biectivele acestei etape vizează obţinerea unei asigurări cu

privire la faptul că riscurile situate peste nivelul apetitului pentru risc au

fost identi*cate $i evaluate corect de către conducere, cu scopul de a

stabili credibilitatea folosirii ulterioare a registrului de riscuri.

6n acest sens, auditorii interni aplică următoarele proceduri de audit

• discuţii interviuri, c3estionare, mese rotunde etc.0 cu

managementul e+ecutiv $i consiliul de administraţie cu privire lariscurile la care este e+pusă entitatea. Auditorii urmăresc astfel să

se convingă de faptul că toată conducerea înţelege importanţa

riscurilor $i întreprinde eforturi de ameliorare a acestora"

• documentarea următoarelor aspecte

o obiectivele organizaţiei"

o metodele utilizate de către conducere pentru a evalua

riscurile semni*cative precum $i alocarea responsabilităţilorpentru diferite procese din cadrul organizaţiei"

o scala de evaluare utilizată pentru dimensionarea relevanţei

riscurilor"

o declaraţia consiliului privind de*nirea apetitului său pentru

risc"

o maniera în care riscurile vor * integrate în procesele

decizionale"

o registrul riscurilor.

• #+aminarea documentelor obţinute"

• 5ormularea unei concluzii cu privire la credibilitatea $i

posibilitatea utilizării registrului riscurilor pentru acţiunile

ulterioare. 7acă auditorii interni a)ung la concluzia că, pentru a *

15 %. ?riffiths& 7isk based internal auditing an introduction& 2++-& pag. +64



credibil $i utilizabil, registrul riscurilor necesită a)ustări sau

corecţii minore, trebuie să solicite consiliului de administraţie $i

managementului e+ecutiv să le opereze. 6n cazul în care registrul

nu poate * deloc utilizat sau nu e+istă, auditorii pot lua înconsiderare spri)inirea organizaţiei în construirea sau corectarea

registrului, în funcţie de caz. 'aragrafele H.2.1. $i H.2.2. de mai )os

detaliază activitatea auditorilor în cazul în care registrul riscurilor

nu e+istă în cadrul organizaţiei. 7ecizia auditorilor interni în acest

ultim caz trebuie luată în acord cu sugestiile comitetului de audit

care trebuie informat printr-un raport asupra faptului că registrul

riscurilor nu e+istă sau nu este utilizabil.

2.1. Registrul riscurilor: con"inut #i te$nici de ela%orare

/egistrul riscurilor reprezintă o listă completă a riscurilor de

obicei o bază de date0 identi*cate de conducerea organizaţiei, care

ameninţă atingerea obiectivelor organizaţiei. 7acă în cadrul organizaţiei

e+istă o funcţie de management al riscurilor, atunci construirea $i

actualizarea acestei baze de date este responsabilitatea acesteia.

#vident, volumul de muncă al auditorilor interni este mult redus dacă

managementul riscurilor e+istă $i funcţionează corespunzător.

6n lipsa managementului riscurilor, auditorii interni pot spri)ini $i

consilia conducerea superioară consiliul0 în ceea ce prive$te în*inţarea

registrului de riscuri, evaluarea riscurilor $i determinarea apetitului

pentru risc. 7at *ind faptul că e+istă numeroase organizaţii care se

situează în cea de-a doua ipostază, în continuare, vom e+pune

activităţile auditorilor interni aplicabile în conte+tul acestora.

Construirea registrului riscurilor nu este o sarcină tocmai u$oară. C3iar

dacă se presupune că auditorii interni nu poartă responsabilitatea

construirii registrului riscurilor, a evaluării riscurilor $i a determinării

apetitului pentru risc, înţelegerea acestui proces a)ută auditorii interni

să poată evalua credibilitatea registrului de riscuri obţinut.

6n ceea ce prive$te registrul riscurilor, răspunsul la întrebarea„registrul riscurilor include toate riscurile semni*cative” este crucial.



'unctul de pornire constă în a formula, pe baza propriei e+perienţe,

anticipările privind riscurile potenţiale care ameninţă obiectivele,

pentru a le putea discuta ulterior în înt&lnirile cu persoanele relevante

din cadrul organizaţiei. 5iecărui risc anticipat, îi sunt ata$ate apoiprocesele de control care, prezumabil, reduc riscurile respective sau,

mai bine zis, le controlează. 7etaliind, la un nivel imediat inferior,

procesele de control devin, la r&ndul lor obiective, ameninţate de alte

riscuri, ameliorate de alte controale, etc. Ierar3iz&ndu-le astfel, într-o

abordare logică, din aproape în aproape, pot * identi*cate, pe r&nd,

toate riscurile $i se poate construi registrul riscurilor. Ane+a 1 prezintă

un e+emplu de ierar3izare în acest sens. Această manieră deidenti*care a riscurilor, de$i di*cilă de aplicat dar, reţinem că odată

construit, registrul riscurilor nu trebuie dec&t actualizat, ulterior E deci

„c3inul” nu durează la in*nitJ0 este facilă de urmărit $i de înţeles de

către consiliu, respectiv u$or de utilizat de către auditorii interni în

elaborarea planurilor anuale de audit. 7e reţinut faptul că procesele de

control indicate în cadrul acestei ierar3ii sunt cele ce pot ameliora

riscurile considerate, nu cele pe care le aplică organizaţia. 6n mod*resc, între acestea $i cele utilizate de organizaţie, ar trebui să e+iste o

apropiere foarte mare, însă pot e+ista situaţii ce pot * descoperite

astfel0 în care nu sunt procese de control care să amelioreze anumite

riscuri, după cum pot * identi*cate controale inutile. otu$i, această

dezvoltare arborescentă poate deveni foarte comple+ă, motiv pentru

care este necesară structurarea ei astfel înc&t să *e utilizabilă.

4tructurarea acesteia trebuie să ţină cont de două aspecte riscurile

care ameninţă procesele superioare1; din ierar3ie, respectiv procesele

de control care, prezumabil, le ameliorează.

nii auditori interni preferă construirea registrului riscurilor

plec&nd direct de la sursă consiliul de administraţie $i persoanele

relevante din cadrul organizaţiei. 7e$i, această procedură directă

economise$te foarte mult timp preţios, prezintă dezavanta)ul că, unele

1 >rocesul din ierarhie este compus din secven#a risc6proces de control <sub6obiectiv=.



riscuri pot răm&ne neidenti*cate, dat *ind faptul că auditorii nu mai au

o bază de confruntare pregătită de ei anterior. 6n rest, procedura de

ierar3izare, etc. răm&ne aplicabilă. 7e principiu, e+istă trei proceduri

utilizate cu scopul de a identi*ca riscurile• Interviul"

• 4eminariile de identi*care a riscurilor engl. E risK LorKs3ops0"

• #videnţele contabile.

Interviul. /ezultatele unui interviu re%ectă punctul de vedere

individual e+primat de către cel intervievat referitor la riscurile la care

obiectivele organizaţiei sunt e+puse. 'rintre avanta)ele aceste proceduri

se numără u$urinţa stabilirii unei întrevederi cu o singură persoană

faţă de un grup de persoane, respectiv confortul mai mare al

intervievatului în e+primarea punctelor sale de vedere pe care într-un

seminar poate nu $i le-ar e+prima desc3is. 'rintre dezavanta)ele

utilizării acestei proceduri pot * enumerate di*cultatea de a omogeniza

punctele de vedere individuale e+primate $i de a clasi*ca riscurile astfel

obţinute.

#eminariile de identi$care a riscurilor. /ezultatele seminariilor se

concretizează într-o listă de riscuri care pun în pericol obiectivele

organizaţiei, respectiv o dimensionare a probabilităţii $i consecinţei

acestora. n avanta) al utilizării acestei proceduri constă în faptul că

persoanele interacţionează $i creează idei noi.

Evidenţele conta%ile. #+aminarea *ecărei claseMpoziţii din

situaţiile *nanciare sau din evidenţele contabile, precum $i aevenimentelor ata$ate acestora poate scoate la iveală o serie de riscuri

importante.

6n acest moment registrul riscurilor, *e a)ustat cu rezultatele

procedurilor e+puse mai sus, *e obţinut în e+clusivitate în baza

acestora, trebuie transpus într-o bază de date computerizată pentru a

facilita clasi*carea $i utilizarea lui ulterioară.



2.2. &imensionarea rele'an"ei riscurilor

Av&nd construit registrul riscurilor, pasul următor trebuie să

vizeze spri)inirea consiliului în ceea ce prive$te ra*narea registrului

riscurilor prin identi*carea tuturor riscurilor „semni$cative” prin

raportare la apetitul pentru risc. 7imensionarea relevanţei riscurilor /0

este realizată prin prisma celor două variabile componente ale *ecărui

risc consecinţa C0 $i probabilitatea '0. Aritmetic, relaţia de calcul este

e+primată astfel

/eamintim că, dacă în cadrul organizaţiei e+istă un departament demanagement al riscurilor, aceasta evaluare ar * responsabilitatea

acestuia.

6n cele ce urmează vom prezenta un model de cuanti*care a

relevanţei riscurilor, cu menţiunea că modelul nu este infailibil, el

put&nd * adaptat sau modi*cat, în funcţie de preferinţele auditorilor

pentru o măsurare mai e+actă sau mai grosieră.

C&teva precizări legate de modelul de cuanti*care a semni*caţieiriscurilor

1. am utilizat o scală de dimensionare pe cinci nivele, *ecărui nivel

ata$&ndu-i valori numerice cuprinse între 1 $i ;, detaliată în tabelul

1. de mai )os.

R = C x P



abelul 1. 7imensionarea relevanţei riscului

Dacă se produce riscul,

(onsecin"ele acestuia ar f:

SAU,

Pro%a%ilita

tea risculuieste:

Rele'an"

a riscului:

1 2 ( N1+26nc3iderea organizaţiei totală sau

parţială pe un orizont de timp

lung ;0

5oarte

ridicată

;0

5oarte

mare 2;0

Imposibilitatea organizaţiei de a-

$i atinge obiectivele sale ma)ore

pe un orizont de timp îndelungat

0

/idicată

0

!are

1<0

Imposibilitatea organizaţiei de a-

$i atinge unele obiective pe o

perioadă de timp limitată (0

!edie

(0

!edie

?0

Apariţia unor pagube fără să *e

afectată atingerea obiectivelor

ma)ore ale organizaţiei 20

/edusă

20

/edusă

0

Apariţia unor pagube minore, fără

a * afectată atingerea

obiectivelor organizaţiei 10

5oarte

redusă

10

5oarte

redusă 10

2. momentul dimensionării relevanţei riscurilor înainte sau după

evaluarea proceselor de control ata$ate acestora

Diteratura de specialitate $i practicile relevă preferinţe diferite

pentru momentul măsurării relevanţei riscurilor. 8ormele profesionale

de audit intern recomandă dimensionarea riscurilor at&t înainte, c&t $i

după ce procesele de control au fost evaluate. /eţinem de aici

următoarele

• &iscul inerent '%rut( a%solut), este riscul dimensionat înainte

de a evalua e*cacitatea $i e*cienţa controalelor interne"



• &iscul rezidual 'net( controlat), este riscul dimensionat după

ce au fost evaluate e*cienţa $i e*cacitatea controalelor

interne ale organizaţiei.

6n timp ce riscul inerent va servi pentru formularea planului deaudit anual $i identi*carea misiunilor de audit ce vor * întreprinse,

riscul rezidual este determinat pe parcursul misiunilor de audit, pentru

a evalua e*cacitatea $i e*cienţa controalelor efective asupra riscurilor

respective.

#valuarea semni*caţiei riscurilor inerente modelul poate *

utilizat apoi $i pentru riscul rezidual0 prin prisma apetitului pentru risc

poate * realizată prin realizarea unei matrice, pentru *ecare risc, astfel înc&t prin combinaţia probabilităţii cu consecinţa riscurilor, consiliul să

poată decide asupra riscurilor acceptabile, respectiv inacceptabile din

punctul său de vedere. Altfel spus, consiliul î$i de*ne$te astfel apetitul

pentru risc. abelul 2 de mai )os, prezintă un model de evaluare a

semni*caţiei riscurilor inerente prin referinţă la apetitul pentru risc al

consiliului.

abelul 2. 4emni*caţia riscurilor inerente

raportate la apetitul pentru risc al consiliului

Consecinţa riscului inerent: ! " # $

P r o % a % i l i t a t e

r i s c u

l u i i n e r e n t 2; 2@ 1; 1@ ;

! 2@ 1< 12 H !" 1; 12 ? < "# 1@ H < ! #$ ; ! " # $



4ă presupunem că, în ansamblu, consiliul î$i de*ne$te apetitul

pentru risc astfel riscurile inerente a căror relevanţă se a%ă în

intervalul 1- sunt riscuri acceptabile. Altfel spus, toate celelalte riscuri

ale căror relevanţă depă$e$te pragul valoric reprezintă un interespentru auditori.

). Etapa a doua: Ela%orarea planului de audit

biectivele urmărite de auditori în cadrul acestei etape vizează

• 7eterminarea riscurilor care vor * incluse în planul de audit"

• Alocarea acestor riscuri misiunilor de audit"

• #laborarea planului de audit5iltrarea riscurilor din registru pentru identi*carea celor care vor *

incluse în planul de audit anual se realizează prin raportarea la apetitul

pentru risc al conducerii drept criteriu prioritar.

Astfel, riscurile care se situează sub nivelul apetitului pentru risc

al conducerii nu vor necesita o atenţie din partea auditorilor $i, drept

urmare, nu vor * incluse în planul de audit. 6n ceea ce prive$te riscurile

situate peste nivelul apetitului pentru risc, pot e+ista următoarele

situaţii cu privire la care auditorii interni vor decide menţinerea sau

eliminarea lor din planul de audit

• /iscurile pe care conducerea le consideră că, din diverse motive, nu

vor putea * ameliorate astfel înc&t să *e reduse la nivelul apetitului

pentru risc, motiv pentru care le acceptă. 6n cazul în care e+istă

programe contingente pentru aceste riscuri ele vor face obiectul

unor misiuni de audit. 6n consecinţă, aceste riscuri vor putea *

incluse în planul de audit.

• /iscurile pentru care au fost adoptate măsuri de prevenire de tipul

transferului de e+emplu, asigurarea împotriva riscurilor0. Inclusiv

acestea vor putea * menţinute în planul de audit, deoarece auditorii

vor dori probabil să se convingă, în conte+tul unei misiuni, dacă

toate riscurile de acest gen au fost transferate $i dacă transferul estee*cient $i e*cace ca mecanism de protecţie.



• /iscurile pe care conducerea este decisă să le elimine prin diverse

acţiuni sau programe. Asupra acestor riscuri auditorii vor decide

dacă le păstrează sau nu în planul de audit. !enţinerea lor în plan

poate * )usti*cată de faptul că acţiunile conducerii de eliminare ariscului respectiv, pot genera alte riscuri, iar auditorii vor dori să se

convingă că aceste sunt controlate corespunzător.

• /iscurile e+aminate $i evaluate de o terţă parte de e+emplu, de

către auditorii e+terni0 care furnizează o asigurare directă consiliului

de administraţie asupra gradului de control e+ercitat de organizaţie

asupra acestora. 6n astfel de cazuri, strategia $i politicile interne ale

organizaţiei reprezintă un punct de spri)in în adoptarea unei deciziiasupra menţinerii sau eliminării lor din planul de audit.

• /iscurile care au fost aduse în limita apetitului pentru risc, fapt

dovedit de rapoartele misiunilor de audit intern anterioare. 6n funcţie

de intervalul de timp care a trecut de la *nalul acelor misiuni,

precum $i de rezultatele relevate de programele de monitorizare

post-audit cu privire la implementarea măsurilor corective, auditorii

vor decide dacă păstrează sau nu în planul de audit aceste riscuri.

oate celelalte riscuri care au rămas vor * incluse în planul de audit.

Alocarea riscurilor pe misiuni de audit are ca punct de plecare registrul

riscurilor, actualizat cu rezultatele procesului de *ltrare precedent.

Criteriile de alocare cel mai frecvent utilizate sunt

• 'erioada de timp $i resursele necesare pentru o misiune de audit

cu c&t mai multe riscuri $i procese alocate pe o misiune, cu at&t

mai lungă $i mai costisitoare va * misiunea de audit0"

• 'ersoanele ce se intenţionează a * intervievate în conte+tul

misiunii"

• Docaţia proceselor auditabile, etc.

#+istă $i companii care preferă gruparea riscurilor pe misiuni,

după ce obţin o listă cu toate procesele auditabile denumită universul

auditului0 $i gruparea lor ulterioară în funcţie de locaţie sau alte criterii



particulare. 6n ceea ce prive$te prioritizarea misiunilor de audit $i

includerea acestora în planul anual, auditul intern trebuie să formuleze

un raţionament rezonabil, ţin&nd cont de resursele *nanciare,

materiale, umane $i fondul de timp avut la dispoziţie. 8u esteobligatoriu ca toate misiunile identi*cate să *e incluse într-un singur

plan anual, dacă toate considerentele de mai sus nu permit acest lucru.

#ste motivul pentru care, unele companii operează cu planuri de audit

multi-anuale. 7e asemenea, companiile care abia în*inţează funcţia de

audit intern fac faţă unor constr&ngeri considerabile, mai ales în ceea

ce prive$te resursa umană. 'entru stabilirea priorităţilor în realizarea

misiunilor ce vor * incluse în planul de audit, în practică se folosesc maimulte modele, *ecare dintre ele *ind elaborat în funcţie de

particularităţile proprii *ecărei companii. 6n cele ce urmează vom

încerca e+punerea unui model, folosindu-ne de e+emplul din paragraful

precedent.

Astfel, auditorii pot conveni următoarea situaţie

• 'entru riscurile inerente a căror relevanţă este cuprinsă în

intervalul O1-P, nu vor * întreprinse niciodată misiuni de audit

intern"

• 'entru riscurile inerente a căror relevanţă se situează în intervalul

O;-?P se vor realiza misiuni de audit o dată la *ecare trei ani"


O1@-12P se vor realiza misiuni de audit o dată la *ecare doi ani"


O1;-2;P se vor realiza misiuni anuale de audit.

4cala de mai sus poate * detaliată sau restr&nsă în funcţie de

preferinţele auditorilor. 6n această manieră, se pot dezvolta planuri de

audit mai scurte dec&t un an, planuri anuale sau multianuale, după

necesităţile auditului intern $i ale organizaţiei respective. Auditul intern

trebuie să obţină acordul conducerii organizaţiei asupra prioritizării

misiunilor.



6n acest moment, baza de date necesară elaborării planului de

audit este pregătită. 'lanul de audit va trebui să conţină informaţii

referitoare la

•

!isiunile de audit ce vor * întreprinse"• 'erioada de timp preconizată pentru misiunile de audit c&nd vor

începe, c&te zile vor dura, c&nd se vor *naliza0"

• /iscurile $i procesele de control asociate acestora ce vor face

obiectul misiunilor"

• 8umele auditorilor ce vor participa în cadrul misiunilor cel puţin

numele $e*lor de misiuni0, etc.

'lanul de audit trebuie aprobat de către comitetul de audit $i consiliul

de administraţie al organizaţiei. 6n plus, comitetului de audit i se poate

transmite un raport care să conţină detalii referitoare la

• /iscurile $i procesele ce vor face obiectul misiunilor de audit

cuprinse în planul de audit"

• /iscurile $i controalele asupra cărora auditorii interni vor formula

o opinie pe baza rezultatelor cumulate din misiunile de revizuire $i

din misiunile de audit din perioadele precedente"

• Activităţile de consultanţă ce vor * acordate de către auditul

intern conducerii organizaţiei cu scopul reducerii riscurilor

reziduale la nivele inferioare apetitului pentru risc"

• /iscurile neacoperite, datorită politicilor organizaţiei sau limitării

resurselor"

• Asigurarea că planul de audit este în conformitate cu cartaauditului intern.

Ane+a 2 prezintă cerinţele informaţionale $i modelul planului de

audit prevăzute de Qotăr&rea CA5/ HHM2@@= privitoare la normele de

audit intern.



!. Pro%leme de discu"ie #i studii de caz

!.1. Pro%leme de discu"ie

1. 7iscutaţi avanta)ele $i dezavanta)ele strategiei /BA comparativ

cu strategiile tradiţionale de audit.2. Care sunt efectele utilizării strategiei /BA asupra planului anual

de audit

(. 4emni*caţia riscurilor este sinonimă cu relevanţa lor 7iscutaţi.

. #valuarea calitativă poate * utilizată în dimensionarea

relevanţei riscurilor

;. 7iscutaţi procedura de audit „$edinţe de evaluare a riscurilor”.

!.2. Studiu de caz Sunn* +otel

Partea ,

4unnR Qotel este o companie 3otelieră de ; stele, care oferă

servicii de cazare at&t turi$tilor, c&t $i oamenilor de afaceri care

vizitează Sas3ington-ul. /ecentele modi*cări legislative aplicabile

societăţilor cotate la bursa din 8eL TorK E iar 4unnR este cotată E

impun companiilor consolidarea guvernanţei corporative $itransmiterea unor rapoarte periodice privind performanţele înregistrate

în acest sens. Anul trecut, consiliul de administraţie al 3otelului tocmai

a înc3eiat implementarea unui proces de restructurare a companiei în

baza a recomandărilor primite de la un grup de consultanţi e+terni pe

probleme privind consolidarea guvernanţei corporative. Astfel, 3otelul

dispune de un departament de audit intern, garnisit cu personal

adecvat care raportează consiliului de administraţie $i se subordoneazădirect comitetului de audit, constituit din ; membri nee+ecutivi ai

consiliului de administraţie. 7na. Uane 43ine, $eful departamentului de

audit intern, a decis cu consultarea comitetului de audit, ca încep&nd cu

anul acesta, auditul intern să-$i sc3imbe strategia, urm&nd să adopte

strategia bazată pe riscuri. 7vs. sunteţi un auditor intern al acestui

departament $i aţi fost desemnat, împreună cu alţi < colegi, să



formulaţi planul de audit, bazat pe riscuri, pentru anul acesta. Qotelul

nu dispune de un departament specializat în managementul riscurilor.

Cerinţe

1. Indicaţi activităţile ce vor * necesare să le întreprindeţi pentru a îndeplini sarcina atribuită.

2. 'recizaţi care sunt informaţiile c3eie care v-ar permite elaborarea

registrului riscurilor.

Partea a ,,-a

'e baza unui telefon, aţi reu$it să stabiliţi o înt&lnire cu directorul

general al 3otelului $i cu $eful contabil. 'e parcursul înt&lnirii, aţi reu$it

să obţineţi următoarele informaţii cu privire la activităţile desfă$uratede clientul dvs.

Cazarea. Qotelul are <@ de camere, a căror clasi*care este

prezentată în tabelul de mai )os. Cifrele cu privire la gradul de ocupare

reprezintă un instrument important de dimensionare a succesului

afacerii. 6n medie, camerele au avut un grad de ocupare de =V pe o

perioadă de 12 luni. Conducerea este îngri)orată de faptul că în 12 luni

tariful de găzduire a scăzut în anul anterior cu circa =<V. Fradul deocupare variază pe parcursul anului de la ;@V în lunile de iarnă, la ?@V

în lunile de primăvarăMvară, respectiv începutul toamnei.

&ip camere 'r( &ari)ul

pe *i

+rad de

ocupare

Camere single cu baie 1; =@ =;Camere single cu du$ 1@ <@ ==

Camere single cuc3iuvetă

; ;@ H1

otal camere single (@Camere duble cu baie 1= H@ =@Camere duble cu du$ ? =@ ==Camere duble cu

c3iuvetă

<@ H2

otal camere duble (@

otal camere <@ =6n plus faţă de aceste informaţii mai a%aţi următoarele



• 5iecare cameră este dotată cu televizor, cafetieră, frigider

conţin&nd băuturi îmbuteliate în sticle $i cutii, 3alate de du$,

presă $i telefon"

• arifele de cazare sunt cele indicate în tabelul de mai sus, cumenţiunea că se pot aplica tarife diferite în următoarele cazuri

o arife speciale pentru LeeK-end $i tarife reduse pentru

cazări săptăm&nale"

o 6n cazul în care camerele single nu sunt disponibile,

camerele duble pot * puse la dispoziţie la tariful unei

camere single"

o arife speciale de sezon.

• Conducerea 3otelului intenţionează să amena)eze camere de baie

pentru camerele care sunt dotate numai cu c3iuvete. Ducrările de

amena)are vor începe foarte cur&nd în cursul e+erciţiului curent.

• Contabilul $ef vă informează că în anul anterior, veniturile din

activitatea de înc3iriere a camerelor au fost de circa 1,@;@,@@@W.

&estaurant. Qotelul are un restaurant cu <@ de mese. Conducerea

3otelului vă informează că de$i ma)oritatea oaspeţilor servesc micul

de)un în 3otel, gradul de ocupare a restaurantului de către oaspeţi0 în

anul precedent a fost de circa 2@V la pr&nz, respectiv <;V în cursul

serii. #ste permis $i accesul în restaurant al persoanelor care nu sunt

cazate în 3otel. Conducerea estimează că pragul de rentabilitate pentru

activitatea restaurantului este la o capacitate de utilizare de ;;V, însă

dore$te o cre$tere a capacităţii de utilizare a restaurantului care a fostde =;V în anul precedent, incluz&nd oaspeţii $i consumatorii din afara

3otelului0. !eniul oferit a fost modi*cat, iar de cur&nd a fost anga)at un

bucătar specializat în prepararea m&ncărurilor tradiţionale din regiune.

eniturile din activitatea restaurantului s-au ridicat la circa 2,@@,@@@W

în anul precedent, incluz&nd veniturile din asigurarea micului de)un.

Contabilul $ef vă informează că restaurantul reprezintă componenta de

activitate care aduce cel mai mult pro*t 3otelului. 8oului meniu i seface publicitate în presa locală. nul dintre motivele pentru care



conducerea acordă o atenţie sporită restaurantului, este concurenţa

făcută de un 3otel din împre)urime, care a *nalizat recent un proiect de

modernizare $i a reu$it să atragă o parte din clientelă datorită

restaurantului atractiv pe care l-a amena)at.*ucătăria. Conducerea 3otelului a început să adopte masuri

pentru reducerea pierderilor din bucătărie. Au fost introduse măsuri de

control al porţiilor, iar responsabilitatea pentru aprovizionarea cu

produse alimentare a fost recent acordată unui nou $ef, sub

supraveg3erea directă a contabilului $ef.

*arul. #+istă trei baruri în 3otel, $i o gamă variată de băuturi puse

la dispoziţia oaspeţilor 3otelului $i a clienţilor din afară. nul din barurieste amplasat în salonul de oaspeţi. Barurile reprezintă una dintre

activităţile foarte pro*tabile ale 3otelului.

#ervicii suplimentare. Qotelul oferă servicii suplimentare pentru

nunţi, recepţii, înt&lniri de afaceri, mese rotunde, etc.

#istemul conta%il. Qotelul utilizează un sistem contabil

computerizat. Compania are o reţea mică de calculatoare ac3iziţionate

cu doi ani în urmă la un cost de (@.@@@W. Calculatoarele sunt distribuitela recepţie, restaurant, baruri, biroul directorului, $i biroul $efului

contabil. 4istemul utilizează un program ac3iziţionat de la o companie

de softLare de renume. 6n afară de administratorul de sistem, $eful

contabil are su*ciente cuno$tinţe de informatică pentru a supraveg3ea

operarea sistemului. Cea mai frecventă $i importantă înregistrare se

face la recepţie, care activează sistemul informatic la sosirea unui

client. 8umărul camerei este utilizat pentru înregistrarea tuturor

serviciilor utilizate de către client. Astfel, atunci c&nd clientul serve$te

masa la restaurant, numărul camerei este prezentat pe bonul de masă

semnat de client. procedură importantă de control utilizată de către

restaurant constă în codi*carea meniului care are în corespondenţă un

*$ier de coduri pe calculator pentru *ecare fel de m&ncare din meniu

precum $i preţul standard aferent. 5iecare c3elner are un c3itanţier $i

are obligaţia să întocmească c&te patru copii pentru *ecare c3itanţă,



dintre care una pentru bucătărie, una pentru casieria restaurantului,

una pentru serviciul de contabilitate $i una o reţine pentru el însu$i.

C3elnerii introduc numărul de comenzi pentru un anumit fel de

m&ncare la *ecare masă, folosind codurile speci*ce pentru *ecare felde m&ncare prevăzut în meniu $i comandat de către client, precum $i

numărul camerei clientului care este găzduit de 3otel. 7irectorul de

restaurant introduce pe calculator detaliile cu privire la toate felurile de

m&ncare servite în restaurant, făc&nd distincţie între cele ac3itate cas3

$i cele trecute în contul clientului pentru nota *nală. Banii încasaţi în

cas3 sunt vărsaţi în casieria restaurantului. Cel mai important

instrument de control în activitatea barurilor constă în utilizarea unuisistem automat care solicită barmanului sa introducă codul băuturilor

comandate $i suma încasată, restul de plată *ind calculat automat de

către calculator.

Cerinţe

1. Identi*caţi obiectivele strategice ale companiei 4unnR Qotel.

2. Indicaţi riscurile potenţiale $i controalele aferente care ar putea

ameliora aceste riscuri.(. rganizaţi o $edinţă de analiză a riscurilor cu conducerea

3otelului pentru a evalua riscurile inerente.

. 7eterminaţi domeniile auditabile ce vor * incluse în planul de

audit $i prioritatea lor.



Anea 1. ,erar$izarea riscurilor

XXXXXXXXXXXXX.

BI#CID 4/A#FIC AD

/FA8IYAZI#Ie+pus următoarelor riscuri

/I4C 1 /I4C 2 /I4CnXXXX

XXXXXXXXX.

Controlate prin următoarele procese de control

',C)

Controale care devin( la r-ndul lor( 'su%)o%iective(ameninţate de următoarele riscuri 'r)

'C1 'C2 'C( 'CnXX

/1 /2 /( /n

XXXX.. Ameliorate prin controale( care devin su%

o%iective / etc.



Anea 2. Procedura „ plan de audit ” 1

Scopul:

6ntocmirea planului de audit intern în conformitate cu

cerinţele standardelor de audit intern.

Premise:

'lanul de audit intern reprezintă cadrul de acţiune pentru

7epartamentul de Audit Intern $i se întocme$te de către

$eful acestui departament.

Procedura:

e) Departament Audit

-ntern

1. 6ntocme$te planul anual de

audit intern

2. 6ntocme$te referatul

cuprinz&nd criteriile de selectare

a misiunilor de audit.Comitetul de Audit (. Analizează $i aprobă planul

anual de audit.Consiliul de

Administraţie

. Analizează $i aprobă planul

anual de audit.

otă: ,lanul anual de audit intern poate $ modi$cat 0n cursul anului 0n

condiţiile reiterării procedurii.

1- A'(B7 99/2++,& www.cafr.ro



P.A' D/ AUD-& -'&/R'

Pe anul ((((((((((

'r(

Crt

&ema

misiunii de

audit

0%iecti

1e

Perioad

asupusă

auditării

Unitate

aauditat

ă

Perioada

des)ă2urării

misiunii

de

audit

@ 1 2 ( ;1

2

(

C

n

ef 7epartament Audit Intern,

94901908 Managementul Riscurilor Si Auditul Intern

Documents

Transcript of 94901908 Managementul Riscurilor Si Auditul Intern