Audit Intern - Universitatea Nicolae Titulescu

Gheorghe Sandu

Audit intern - suport de curs -

EDITURA UNIVERSITĂŢII „NICOLAE TITULESCU”

BUCUREŞTI

2015

Acest material este destinat uzului studenţilor, forma de învăţământ la distanţă.

Conţinutul cursului este proprietatea intelectuală a autorului /autorilor; designul, machetarea

şi transpunerea în format electronic aparţin Departamentului de Învăţământ la Distanţă al

Universităţii „Nicolae Titulescu” din Bucureşti.

Acest curs este destinat uzului individual. Este interzisă multiplicarea, copierea sau

difuzarea conţinutului sub orice formă.

Acest manual a fost analizat si aprobat in sedinta Departamentului de Finante si Contabilitate din data de 29 septembrie 2014.

UNIVERSITATEA „NICOLAE TITULESCU” DIN BUCUREŞTI

DEPARTAMENTUL PENTRU ÎNVĂŢĂMÂNTUL LA DISTANŢĂ

Gheorghe Sandu

Audit intern

Editura Universităţii „Nicolae Titulescu”

Calea Văcăreşti, nr. 185, sector 4, Bucureşti

Tel./fax: 0213309032/0213308606

Email: [email protected]

ISBN: 978-606-751-114-7

5

1 Controlul intern şi sistemul de management

1.1 Controlul intern - funcţie a managementului

1.2. Funcţia de control

1.3 Semnificaţia noţiunii de control

1.4. Controlul intern

2 Obiectivele, structura şi principiile controlului intern

2.1 Obiectivele controlului intern

2.2 Structura controlului intern

2.3 Principiile controlului intern

3 Auditul intern – o formă de control intern

3.1 Funcţia de audit intern

3.2 Aria de aplicabilitate şi obiectivele auditului intern

3.3 Criteriile de evaluare a auditului intern

4 Auditul intern şi guvernanţa corporativă

4.1 Guvernanţa corporativă

4.2 Necesitatea existenţei comitetului de audit şi a funcţiei de audit intern

4.3 Responsabilităţile comitetului de audit

4.4 Structura comitetului de audit

4.5 Implementarea funcţiei de audit intern

5 Deontologia profesională a auditorilor interni

5.1 Codul de etică

5.2 Structura codului de etică

5.3 Principii fundamentale

5.4 Cadrul conceptual pentru identificarea, evaluarea şi contracararea ameninţărilor

6 Normele auditului intern

6.1 Cadrul de referinţă al practicilor profesionale

6.2 Standarde de calificare

6.3 Standarde de funcţionare

6.4 Utilitatea normelor

7 Auditul intern şi riscurile de management

7.1 Implicarea auditul intern în managementul riscurilor

7.2 Armonizarea modelelor de audit intern şi de management al riscurilor

7.3 Identificarea riscurilor

7.4 Evaluarea riscurilor

7.5 Toleranţa la risc

7.6 Răspunsul la risc – controlarea riscurilor

7.7 Instrumente de control intern

7.8 Gruparea instrumentelor de control intern după modul de acţiune împotrina riscurilor

7.9 Revizuirea şi raportarea riscurilor

7.10 Comunicare şi învăţare

7.11 Entitatea extinsă şi mediul

8 Instrumentele auditului intern

8.1 Sondajele statistice

8.2 Interviurile

8.3 Instrumentele informatice

8.4 Verificări şi comparări diverse

8.5 Observarea fizică

8.6 Naraţiunea

6

8.7 Organigrama funcţională

8.8 Grila de analiză a sarcinilor

8.9 Pista de audit

8.10 Utilizarea instrumentelor

9 Planificarea auditului intern

9.1 Definirea planificării

9.2 Activităţi preliminare misiunii

9.3 Lucrări pregătitoare pentru planificarea activităţilor de audit

9.4 Planul de audit

10 Organizarea auditului intern

10.1 Organizarea misiunii de audit intern

10.2 Organizarea compartimentului de audit intern

10.2.1 Structuri posibile

10.2.2 Competenţele auditorilor

10.3 Organizarea muncii auditorilor

10.3.1 Carta auditului intern

10.3.2 Planul de audit

10.3.3 Manualul de audit intern

10.3.4 Dosarele de audit şi documentele de lucru

10.3.5 Documentarea

10.4 Eficacitatea organizării compartimentului de audit intern

11 Finalizarea auditului

11.1 Şedinţa de închidere

11.2 Elaborarea proiectului de raport

11.3 Structura raportului de audit intern

11.4 Transmiterea proiectului Raportului auditorilor interni

11.5 Reuniunea de conciliere

11.6 Elaborarea Raportului de audit intern final

11.7 Difuzarea Raportului auditorilor interni

11.8 Urmărirea recomandărilor

11.9 Supervizarea misiunii de audit intern

Întrebări pentru verificarea cunoştinţelor

Bibliografie

7

Introducere

Acest curs este adresat studenţilor Facultăţii de Ştiinţe Economice care urmează

cursurile învăţământului deschis la distanţă (IDD). Cursul îşi propune să prezinte principalele

noţiuni specifice auditului intern al societăţilor comerciale. Cursul este util studenţilor care

după absolvire vor ocupa funcţii de conducere şi celor care vor realiza audit intern în

societăţile comerciale.

Auditul intern este o activitate care aparţine sistemului de control intern al societăţilor

comerciale, iar controlul intern este una din funcţiile principale ale managerilor. Nu este o

activitate obligatorie decât pentru societăţile care trebuie să-şi auditeze situaţiile financiare.

Însă orice manger poate să-şi organizeze o activitate de audit intern.

Pentru că nu s-a înţeles foarte bine care este obiectul activităţii de audit intern, mulţi

mangeri ai unor societăţi comerciale care sunt obligate să-şi auditeze situaţiile financiare,

înfiinţează un compartiment de audit intern fără să aibă control intern. Unul din obiectivele

importante ale auditului intern este să ofere informaţii despre modul de funcţionare a

controlului intern. Dacă nu există control intern acest obiectiv nu mai poate fi îndeplinit de

auditul intern. De fapt se confundă funcţiile controlului intern cu cele ale auditului intern.

Legea 31/1990, modificată şi completată, susţine această confuzie prin prevederile referitoare

la auditul intern.

În primul capitol sunt prezentate funcţiile şi importanţa controlului şi a controlui intern

în primul rând. În capitolul al doilea sunt prezentate obiectivele controlului intern, obiective

care trebuie cunoscute de auditorul intern, deoarece trebuie să verifice dacă sunt îndeplinite.

Capitolul al treilea evidenţiază legătura dintre controlul intern şi auditul intern. În capitolul al

patrulea este prezentată importanţa auditului intern pentru guvernaţa corporativă şi modul

cum sunt dezvoltate relaţiile dintre conducerea societăţii şi compartimentul de audit intern.

În capitolul cinci sunt prezentate principalele cerinţe referitoare la deontologia

profesională. Sunt prezentate principalele cerinţe ale codului deontologic şi riscurile cu care

se pot confrunta şi pe care trebuie să le depăşească auditorii.

Normele după care îşi desfăşoară activitatea auditorii interni sunt prezentate în capitolul

şase. Aceste norme au caracter internaţional şi trebuie privite ca un ghid ale cărui prevederi

trebuie să le respecte auditorii interni. Aceste norme pot fi completate şi adaptate de fiecare

entitate în funcţie de cerinţele şi specificul activităţii sale. Ele reprezintă un etalon folosit la

controlul calităţii activităţii auditorilor interni şi ca un instrument pentru creşterea încrederii

în activitatea de audit inten.

Un obiectiv important al auditului intern este prezentat în capitolul şapte. Identificarea

şi evaluarea riscului de management au devenit astăzi activităţi foarte importante pentru

auditul intern. Managementul aşteaptă de la auditorii interni inclusiv recomandări pentru

diminuarea riscului.

În capitolul opt sunt prezentate principalele instrumente pe care le folosesc auditorii

interni. Fiecare auditor poate folosi metoda şi instrumentele care sunt adecvate atingerii

obiectivului specific fiecărei misiuni.

Activitatea de planificare a auditului intern este prezentată în capitolul nouă. Este una

din etapele cele mai importante ale misiunii de audit. Planul de audit cuprinde lucrările care

trebuie realizate pentru atingerea obiectivului şi resursele necesare pentru realizarea acestor

lucrări.

8

Organizarea şi realizarea lucrărilor de audit sunt prezentate în capitolul zece. Tot aici

sunt prezentate organizarea muncii auditorilor interni, carta auditului intern, manualul de

audit intern, modul cum se întocmesc dosarele de audit şi documentele de lucru, modul cum

se realizează documentarea.

În capitolul unusprezece sunt prezentate activităţile specifice încheierii misiunii de

audit intern: şedinţa de închidere, elaborarea proiectului de raport, transmiterea proiectului

raportului, reuniunea de conciliere, elaborarea raportului de audit intern final, difuzarea

raportului, urmărirea recomandărilor, supervizarea misiunii de audit intern.

9

Capitolul 1

Controlul intern şi sistemul de management

1.1 Controlul intern - funcţie a managementului


1.3 Semnificaţia noţiunii de control


1.1 Controlul intern funcţie a managementului

Managementului unei entităţi este preocupat de studierea proceselor conducerii şi a

legăturilor care apar în legătură cu acestea, în vederea descoperirii legilor şi principiilor care

le guvernează, a conceperii de noi sisteme, metode, tehnici şi modalităţi de conducere mai

potrivite, în scopul creşterii eficienţei activităţilor desfăşurate de entitate.

Procesul de management cuprinde activităţi relativ independente care se succed într-o

anumită ordine în timp şi care sunt efectuate de orice subiect conducător ce exercită o

influenţă raţională asupra obiectului condus în vederea stabilirii obiectivelor şi a realizării lor.

Cunoaşterea şi înţelegerea funcţiilor managementului constituie o premisă pentru însuşirea şi

utilizarea judicioasă a sistemelor, metodelor, tehnicilor, procedurilor şi modalităţilor proprii

managementului.

Procesul tipic de management se poate structura, în funcţie de modul în care sunt

concepute şi exercitate atributele sale, în trei etape principale:

• faza previzională, în care se elaborează strategiile şi se iau deciziile specifice;

• faza operaţională, caracterizată preponderent prin asigurarea cu personal adecvat,

organizarea activităţilor, proceselor şi îndestularea cu celelalte resurse necesare realizării

obiectivelor planurilor şi prognozelor entităţii;

00:50

Timp necesar: 50 minute

Citind acest capitol veţi putea răspunde la următoarele întrebări:

1. Ce legătură există între managementul şi controlul activităţilor

unei entităţi?

2. Care sunt semnificaţiile noţiunii de control?

3. Care este definiţia, importanţa şi domeniul de acţiune al

controlului intern?

10

• faza finală, de culegere, măsurare şi interpretare a rezultatelor proceselor,

caracterizată preponderent prin exercitarea funcţiei de evaluare - control, în concordanţă cu

obiectivele şi criteriile stabilite în prima fază.

Plecând de la obiectivele şi sarcinile specifice managementului, se definesc funcţiile

pe care le îndeplineşte managementul într-o entitate:

funcţia de previziune: definirea obiectivelor; identificarea căilor de

îndeplinire a acestora (faza previzională);

funcţia de organizare: delimitarea ariei de acţiune; alocarea resurselor şi a

responsabilităţilor (faza operaţională);

funcţia de coordonare: stabilirea sarcinilor, activităţilor, proceselor;

panificarea resurselor umane; selecţia şi recrutarea forţei de muncă;

perfecţionarea şi dezvoltarea profesională (faza operaţională);

funcţia de antrenare şi motivare: influenţarea comportamentului

subordonaţilor şi orientarea spre rezultate (faza operaţională);

funcţia de control: evaluarea operativă şi postoperativă a rezultatelor (faza

finală).


În literatura de specialitate, funcţia de control este definită ca fiind ansamblul

acţiunilor de evaluare a rezultatelor entităţii, subunităţilor şi a fiecărui salariat, de identificare

a abaterilor de la obiectivele, normele şi standardele stabilite iniţial, a cauzelor care le-au

generat, precum şi de adoptare a măsurilor care asigură eliminarea abaterilor, menţinându-se

echilibrul dinamic al entităţii.

Pentru a fi eficient, procesul de control trebuie să fie continuu, acordând o atenţie

sporită elementelor strategice şi perioadelor critice, decisive pentru obţinerea rezultatelor

aşteptate. Aceasta funcţie încheie ciclul de management.

Controlul este procesul de măsurare a performanţei, de monitorizare a proceselor şi de

informare a conducerii când există pericolul de a nu se îndeplini obiectivele propuse.

Informaţiile oferite de control managementului reprezintă un mijloc şi o condiţie pentru

luarea unor decizii corecte.

Care sunt etapele procesului de management?

Care sunt funcţiile managementului?

11

1.3. Semnificaţia noţiunii de control

Noţiunea de control reprezintă din punct de vedere semantic o analiză permanentă sau

periodică a unei activităţi, proces, a unei situaţii, cu scopul de a urmări desfăşurarea acestora.

Într-o accepţiune mai largă controlul este înţeles ca fiind un mod de a domina, a stăpâni sau a

supraveghea ceva, pe cineva, astfel încât să conducă şi să dirijeze evenimentele în direcţia

dorită. Frecvent, termenul de control se foloseşte pentru a desemna o supraveghere a

funcţionării unor sisteme sau desfăşurării unor procese.

Pentru a fi înţeles corect, trebuie să luăm în considerare cele două sarcini importante

ale controlului: de orientare, stăpânire a acţiunilor pe care le desfăşoară entitatea şi de

verificare a modului de utilizare a resurselor alocate pe destinaţiile stabilite, stabilindu-se

dacă rezultatele obţinute sunt conforme cu obiectivele.

Sensul de „stăpânire“ dat controlului este strâns legat de evoluţia teoriilor organizării

entităţilor. Diversitatea acestor teorii ne atrage atenţia că mediul în care se realizează

controlul este complex. Din acest punct de vedere, controlul este considerat ca o relaţie

socială, pusă în evidenţă în primul rând când trebuie să stabilească îndeplinirea sarcinilor.

Controlul intern a apărut şi s-a dezvoltat împreună cu activitatea de conducere. Evoluţia

sa a fost favorizată de mediul care l-a făcut necesar şi util, de evoluţia evenimentelor tehnice,

economice şi sociale. Existenţa sa este condiţionată de existenţa activităţii de conducere.

Conducătorii sunt intetresaţi să cunoască dacă deciziile lor sunt îndeplinite aşa cum se

aşteapă. Dacă entităţile sunt mici această verificare o fac chiar conducătorii. Atunci cînd

entităţile sunt mari activitatea de control este cedată unor persoane specializate.

Conducerea unei entităţi este o activitate complexă. Ea este realizată de una sau mai

multe persoane. Scopul conducerii este să creeze toate condiţiile care să permită îndeplinirea

scopurilor pentru care a fost constituită entitatea. Conducerea stabileşte obiectivele, alocă

resursele necesare, organizează activităţile, procesele pentru îndeplinirea obiectivelor şi

urmăreşte rezultatele obţinute. La cele mai multe din aceste activităţi, procese conducătorii nu

participă direct, dar răspunde pentru rezultatele obţinute. Conducerea este interesată să ştie

cine, cum, când îndeplineşte obiectivele stabilite. Fiecărei persoane dintr-o entitate i se alocă

o anumită responsabilitate. Ideal ar fi ca manifestarea ei să ducă la confirmarea aşteptărilor

conducerii. Aceasta depinde însă de comportamentul fiecărei persoane din entitate. Astăzi,

specialiştii caracterizează controlul intern ca un sistem de reglare a comportamentelor celor

care desfăşoară o activitate într-o entitate.

Controlul intern trebuie să satisfacă nevoile conducerii, dar în acelaşi timp trebuie să

fie realizat cu costuri cât mai mici, altfel spus, să aducă valoare adăugată. Pentru aceasta

controlul trebuie să fie bine organizat şi condus, trebuie să dispună de metode, proceduri şi

instrumente specifice de lucru. Acestea s-au transformat de-a lungul timpului datorită

evoluţiilor tehnologice, economice şi sociale şi a experienţei acumulate de entităţi. Controlul

12

intern a evoluat aplicându-se atât întreprinderilor cât şi instituţiilor publice sau organizaţiilor

non-profit.

Controlul intern este legat de domeniul ştiintelor umane. Acestea nu tratează un obiect

care s-ar oferi obiectiv observatorului, ci o construcţie intelectuală care caută să descrie

anumite practici, încercând, în acelaşi timp, să prescrie reguli de comportament care ar fi mai

bune decât altele. El este produsul muncii cercetătorilor şi practicienilor care îşi proiectează

în el concepţiile, experienta şi preferinţele.

Noţiunea de „control“ este întâlnită în ştiinţele managementului încă de la începutul

secolului al XX-lea. Taylor în anul 1911 şi Fayol în anul 1918 atribuiau conducerii unei

societăţi comerciale şi funcţia de control. Prin acest control se comparau relizările cu nivelul

normelor prestabilite. Odată cu extinderea standardizării producţiei şi a muncii, rolul de

supraveghere a posteriori a producţiei a fost substituit cu cel de „control bugetar“, devenind

un instrument al politicii previzionale al entităţii. Dezvoltarea şi modificarea mediului

economic, sporirea dimensiunilor entităţilor şi a complexităţii activităţilor şi proceselor

acestora, apariţia unor forme noi de concurenţă, extinderea globalizării şi dereglementarea tot

mai largă a pieţelor, schimbarea rapidă a tehnologiilor etc. au dus la apariţia unor exigenţe

noi pentru controlul într-o entitate. De la controlul îndeplinirii unor norme s-a ajuns la

controlul comportamentului entităţii ca sistem.

Entitatea poate fi privită ca o unitate globală în care se disting trei subsisteme

principale: tehnologic, de conducere şi decizie, de informare. Ea îşi construieşte un sistem

unitar de apărare, ca răspuns la manifestarea factorilor specifici mediului în care

functionează. Acest sistem este cunoscut sub denumirea de control intern sau control propriu

şi priveşte, la modul general, ansamblul regulilor şi procedurilor care se pun în aplicare în

interesul şi pentru asigurarea protecţiei entităţii.


Orice proces de management, asociat unui ciclu managerial, cuprinde şi activitatea de

control-evaluare. Exercitarea aceastei cerinţe a conducerii presupune evaluarea rezultatelor,

compararea lor cu obiectivele stabilite, depistarea cauzelor care au favotizat apariţia

abaterilor pozitive şi negative şi adoptarea unor decizii cu caracter corectiv sau profilactic1.

Mijloacele specifice prin care sunt puse în practică cerinţele acestei funcţii sunt rapoartele,

dările de seamă, informările, vizitele, deplasările etc.2

Controlul exercitat de manager pe parcursul derulării procesului de management şi la

finalul ciclului managerial trebuie să se desfăşoare în condiţiile respectării unor cerinţe

minime: să fie constructiv, să cunoască şi să facă cunoscută starea reală a entităţii; să fie

continuu, să identifice cauzele abaterilor de la starea aşteptată, să ofere informaţiile necesare

conducerii care să-i permită adoptarea unor decizii bune şi iniţierea acţiunilor care să ducă la

îmbunătăţirea activităţii subordonaţilor.

1 Ion VERBONCU, Ştim să conducem?, Editura Economică, 2005, pag. 53

2 Iulian CEAUŞU, Enciclopedia managerială, Editura ATTR, pag. 77

13

Controlul permite conducerii să aibă mai mult curaj, asigurându-se că strategia sa se

pune în practică în mod corect sau se dovedeşte eficace. Controlul face schimbarea mai puţin

riscantă, dar o şi favorizează. Plusvaloarea adusă entităţii de control intern nu este dată de

documentul (raportul) în care sunt consemnate rezultatele verificărilor şi recomandările

corectoare propuse, acesta fiind doar un mijloc de comunicare. Valoarea controlului intern

este dată de progresul pe care poate să-l genereze în entitatea pe care o serveşte. Controlul

este creator de valoare atunci când determină economisirea de resurse sau sporirea gradului

de utilizare a acestora, propune valorificarea unor oportunităţi favorabile entităţii, contribuie

la diminuarea sau evitarea pierderilor potenţiale ce pot afecta entitatea3. Controlul într-o

entitate este definit ca un „proces care, înaintea unei acţiuni, orientează, pe parcursul

desfăşurării acţiunii ajustează şi la terminarea acţiunii evaluează rezultatele obţinute şi trage

concluziile utile“4.

Elementele prezentate ne sugerează ideea că managerii sunt interesaţi să deţină

controlul asupra activităţilor entităţilor pe care le conduc. Se pune întrebarea „ce se poate

face pentru a deţine un control cât mai bun asupra activităţilor?“ pe care le conduc.

„Comitetul de Sponsorizare a Organizaţiilor Comisiei Treadway“5 creat de senatul SUA a

propus, pentru a răspunde la această întrebare, un cadru de control cu ajutorul căruia să se

facă o anumită ordine în ansamblul de mijloace şi practici pe care fiecare manager le

utilizează pentru a-şi administra cât mai bine activităţile şi pentru a-şi atinge obiectivele.

Senatorul Treadway publică rezultatele cercetărilor făcute de comitet în anul 1992 sub titlul

„Cadrul controlului intern“6. Controlul de care am discutat a fost numit control intern şi a fost

definit astfel: „Controlul intern este un proces implementat de Consiliul de Administraţie,

conducerea şi personalul unei organizaţii destinat să ofere o asigurare rezonabilă în ceea ce

priveşte realizarea obiectivelor“. Din definiţie reţinem:

controlul intern este aplicat de toate entităţile (organizaţiile);

definiţia nu se referă numai la societăţile comerciale;

controlul intern nu oferă o asigurare absolută, ci una rezonabilă de realizare a

obiectivelor, fiind un mijloc care permite entităţii să-şi atingă scopul mai

bine.

Când dorim să proiectăm sau să analizăm controlul intern trebuie să ţinem cont de

următoarele aspecte:

a) dimensiunea culturală;

b) dimensiunea universală;

c) dimensiunea relativă.

3 Xavier de PHILY, în Cuvânt înainte la Theorie et pratique de l’audit intern, de Jacques RENARD, Edition

d’Organisation, Paris, 2002 4 Patrick BOISSELIER, Contrôle de gestion, Edition d’Vuibert, 1999

5 Committe of Sponsoring Organisation of the Treadway Commission

6 The Internal Control Framework

14

a) Dimensiunea culturală

Controlul intern va fi adaptat cadrului cultural al entităţii. Luând în considerare

situaţiile extreme ce se pot întâlni în realitate, putem identifica două grupe de organizaţii care

delimitează intervalul de manifestare culturală:

Entităţile care sunt înfiinţate recent şi sunt în plină dezvoltare. Aceste entităţi sunt

preocupate de cucerirea pieţei, dezvoltarea activităţilor, creşterea volumului vănzărilor. În

aceste entităţi timpul de reacţie este scurt, pentru că orice ocazie nu trebuie pierdută. Timpul

de satisfacere a cererii pieţii şi de luare a deciziei este redus la minim. Controlul intern este în

aceste condiţii puţin limitativ, concentrându-se asupra problemelor esenţiale, acţionând cu

flexibilitate pentru a permite desfăşurarea rapidă a tranzacţiilor. Sunt evitate procedurile

lungi, organizări complexe sau sisteme informaţionale cu o circulaţie greoaie a informaţiei.

Sistemul de control intern trebuie să ofere totuşi informaţiile strict necesare, fără însă ca

acestea să devină insuficiente şi controlul intern absent.

La cealaltă extremă se află entităţile complexe, ajunse la maturitate, ale căror riscuri

sunt direct proporţionale cu importanţa afacerilor. Controlul intern acordă multă atenţie

preciziei procedurilor, organizării activităţii de control, exhaustivităţii informaţiilor.

Dispozitivele folosite trebuie să fie precise, complete şi complexe.

Între aceste extreme se găsesc marea majoritate a entităţilor. Controlul intern trebuie

construit ţinând seama de mediul cultural al fiecărei entităţi.

b) Dimensiunea universală

Controlul intern se poate organiza în toate entităţile, poate cuprinde toate activităţile

unei entităţi, este dotat cu aceleaşi dispozitive, este apreciat cu aceleaşi instrumente şi cu

aceeaşi metodă.

c) Dimensiunea relativă

Universalitatea controlului intern este însoţită de relativitate în aplicare. Controlul

intern nu este un scop în sine. Controlul intern nu se realizează doar de dragul de a face

control intern. Controlul intern trebuie să fie eficace, să aibă proceduri adecvate scopului

pentru care a fost realizat, să ofere informaţiile strict necesare şi utile, să nu creeze disfuncţii

sau costuri nejustificate. Nu trebuie să se uite că el trebuie să fie un instrument în slujba

conducerii şi nu un mijloc de afirmare a intereselor celor numiţi să-l realizeze.

15

Vocabular:

● fazele procesului de management;

● funcţiile managementului;

● control (managerial);

● control intern;

● dimensiunea culturală a controlului;

● dimensiunea universală a controlului;

● dimensiunea relativă a controlului.

Care sunt principalele sarcini ale controlului?

Care sunt principalele trăsături ale controlului intern?

Care sunt aspectele specifice de care trebuie să ţinem cont

când dorim să proiectăm sau să analizăm controlul intern?

16

Capitolul 2

Obiectivele, structura şi principiile controlului intern





Obiectivul general al controlului intern este să vegheze asupra factorilor care

condiţionează continuitatea activităţii entităţii şi realizarea obiectivelor propuse. Acest

obiectiv general este divizat în obiective particulare. Această definiţie globală în funcţie de

obiective evidenţiază:

Controlul intern nu este o creaţie statică; el îşi adaptează procedurile la cerinţele în

continuă schimbare ale entităţii şi iniţiază ori susţine în acelaşi timp transformările

ce au loc în entitate;

Toate nivelurile de conducere sunt implicate în controlul intern;

Controlul intern oferă o asigurare rezonabilă că poate contribui la atingerea

obiectivelor entităţii. Controlul intern nu a fost conceput pentru a garanta reuşita

organizaţiei, ci pentru a creşte probabilitatea reuşitei.

Pentru a atinge acest obiectiv general, se atribuie obiective permanente controlului

intern. Acestea pot fi grupate astfel:

a) secuitatea activelor;

b) calitatea informaţiilor;

c) respectarea normelor generale şi specifice;

d) optimizarea alocării resurselor.

a) Securitatea activelor

00:50


Parcurgând acest capitol vom afla:

Care sunt obiectivele principale ale controlului intern;

Care este structura controlului intern;

Care sunt principiile controlului intern.

17

Un bun sistem de control intern trebuie să contribuie la conservarea patrimoniului

entităţii. Aceste preocupări, care se referă la imobilizările corporale, stocuri, imobilizările

necorporale, trebuie să aibă în vedere şi alte elemente care sunt importante pentru entitate.

Printre acestea menţionăm:

Personalul entităţii, partea cea mai preţioasă a patrimoniului; personalului îi

sunt asociate anumite riscuri care trebuie identificate şi evaluate de controlul

intern (securitate, risc social etc.);

Imaginea entităţii, care poate fi afectată de un control inadecvat al

operaţiunilor (accidente de mediu etc.);

Informaţiile confidenţiale ale entităţii (tehnologice, comerciale, management

etc.). Lipsa controlului intern asupra circulaţiei informaţiilor, poate constitui

una din cauzele care încurajează scurgerea informaţiilor în exteriorul entităţii.

b) Calitatea informaţiilor

Imaginea entităţii se reflectă în informaţiile pe care le oferă în exterior. În interior

informaţiile trebuie să susţină deciziile conducerii. Controlul intern trebuie să urmărească să

fie emise informaţii fără greşeli şi omisiuni. Pentru aceasta informaţiile trebuie să fie:

- fiabile şi controlabile;

- exhaustive;

- pertinente,

- disponibile.

Informaţii fiabile şi controlabile

Informaţiile care circulă în entitate trebuie să fie de bună calitate şi exacte. Sistemul

informaţional trebuie să asigure exactitatea informaţiilor şi să ofere posibilitatea verificării

lor. Pentru aceasta trebuie să existe probe care să certifice această calitate a informaţiei, care

să ofere garanţii celor care doresc să verifice dacă informaţiile sunt exacte. Probele se află în

documentele gestionate de compartimentul de contabilitate, în documentele compartimentelor

de producţie (înregistrările presiunii, temperaturii, debitelor etc.), în documentele

compartimentului de marketing (evenimente de promovare, km parcurşi etc.) etc.

Informaţii exhaustive

Informaţiile trebuie să fie complete. Sistemul de control intern trebuie să vegheze ca

sistemul informaţional să ofere datele aşteptate, să se asigure că sunt culese toate informaţiile

primare necesare, că acestea sunt prelucrate şi prezentate conform procedurilor.

Informaţii pertinente

Informaţiile care circulă în entitate trebuie să satisfacă cerinţele obiective de

informare a beneficiarilor, trebuie să fie utile. Nu abundenţa informaţiilor este esenţială, ci

18

capacitatea acestora de a satisface aşteptările beneficiarilor. Controlul intern trebuie să

contribuie la dimensionarea fluxului de informaţii astfel încât acesta să contribuie la sporirea

cunoştinţelor şi la uşurarea muncii.

Informaţii disponibile

Informaţiile trebuie să fie oferite la termenele stabilite şi să fie uşor accesibile şi uşor

de folosit. Controlul intern reprezintă unul din factorii care contribuie la îndeplinirea acestor

cerinţe.

c) Respectarea normelor generale şi specifice

Controlul intern trebuie să certifice gradul de conformitatea la aplicarea legilor,

hotărârilor, regulamentelor, contractelor. Trebuie în acelaşi timp să descopere performanţele

slabe, erorile sau insuficienţele determinate de nerespectarea instrucţiunilor, precum şi

cauzele care au dus la apariţia lor: slaba comunicare, lipsa controlului, neclaritatea sarcinilo

etc.

d) Optimizarea alocării resurselor

Controlul intern trebuie să constate dacă resursele entităţii sunt utilizate în mod optim,

dacă entitatea are mijloacele necesare pentru a-şi pune în aplicare politca.

Controlul intern trebuie să supravegheze şi să evalueze eficacitatea sistemului de

management al riscurilor din entitate.


Obiectivul general al controlului intern cuprinde mai multe obiective specifice,

individualizate în funcţie de domeniul de activitate supus controlului. Lucrările de specialitate

menţionează trei forme de control intern: controlul strategic, controlul de gestiune şi controlul

operaţional.

Controlul strategic este preocupat de modul cum sunt aplicate procedurile de

planificare, de modul cum sunt fixate şi ajustate opţiunile strategice, de modul cum sunt

îndeplinite obiectivele strategice. Controlul strategic trebuie să aibă metode şi proceduri

pentru a evalua concordanţa dintre obiectivele şi strategiile entităţii, pentru analiza

activităţilor ce se întreprind pentru îndeplinirea obiectivelor strategice şi pentru evaluarea

rezultatelor. Întrucât planurile şi prognozele se concep pentru intervale de 3-10 ani, controlul

intern strategic trebuie să aibă continuitate şi stabilitate pentru a-şi putea îndeplini sarcinile cu

care a fost investit.

Controlul de gestiune informaţii despre elaborarea şi aplicarea planurilor şi

programelor anuale şi despre rezultatele obţinute în urma desfăşurării acestora, concepute ca

19

părţi ale obiectivelor strategice. Informaţiile oferite de controlul de gestiune trebuie să

contribuie la elaborarea deciziilor de pilotaj. Controlul de gestiune trebuie să aibă la

dispoziţie metode şi proceduri adecvate pentru colectarea şi prelucrarea informaţiilor, pentru

evaluarea performanţelor în comparaţie cu cele propuse şi posibile la momentul dat.

Controlul operaţional are ca obiectiv să culeagă informaţii despre derularea

programelor de activitate curentă, sesizând abaterile pozitive sau negative de la obiectivel

propuse, identificând în acelaşi timp cauzele care le-au determinat. Controlul intern

operaţional propune şi măsuri de îmbunătăţire a activităţii şi de folosire mai bună a resurselor

dispnibile în entitate.


Controlul managerial a generat anumite adevăruri fundamentale care sunt menţionate în

continuare sub formă de principii. Controlul este un subsistem al sistemului de management

şi principiile sale sunt similare celor identificate la celelalte funcţii ale managementului.

Acesta principii, pot fi grupate în trei categorii, care reflectă scopul şi natura, structura şi

procesul controlului.

2.3.1 Principiile referitoare la scopul şi natura controlului

a) Controlul se face întotdeauna cu un scop. Sarcina principală a controlului este să

constate dacă activităţile şi rezultatele entităţii se realizează la nivelul planficat şi aşteptat, iar

atunci atunci când aceasta nu se întâmplă, trebuie să măsoare abaterile şi să identifice

posibilităţile de eliminare a acestora precum şi a factorilor care le-au determinat (identificarea

şi evaluarea riscurilor).

b) Concluziile controlului sunt puternic influenţate de viitor. Datorită decalajelor în

timp între manifestarea cauzei care produce abaterea, sesizarea abaterii, adoptarea deciziei de

corectare a abaterii şi producerea efectului acţiunii de corectare a abaterii, sistemul de control

trebuie să-şi elaboreze concluziile bazându-se pe anticiparea evenimentelor viitoare. Aceasta

oferă managerilor posibilitatea să identifice abaterile indezirabile (de la nivelul planificat)

înainte ca ele să se producă şi să întreprindă în timp util acţiunile de prevenire a abaterilor.

Fig. 1

20

c) Principiul responsabilitaţii controlului. Responsabilitatea managerilor de a

monitoriza şi stăpâni procesele pentru realizarea obiectivelor entităţii, este transmisă parţial

echipei de control. Aceasta poartă răspunderea pentru cantitatea şi calitatea informaţiilor

oferite, pentru prezentarea lor în timp util, pentru propunerile de îmbunătăţire a stării

existente, pentru capacitatea de a oferi informaţii pertinente despre mediul extern.

d) Principiul eficienţei controlului. Controlul este justificat numai dacă este generator

de valoare adăugată. Cheltuielile cu controlul trebuie să fie mai mici decât avantajele produse

de acesta. Oportunitatea controlului trebuie analizată periodic, pentru a adapta controlul la

cerinţele în continuă schimbare ale entităţii.

e) Principiul controlului indirect. Cu cât responsabilităţile unui manager sunt mai mari,

cu atât scade posibilitatea acestuia de a realiza un controlul direct asupra proceselor entităţii.

El foloseşte pentru aceasta informaţiile culese şi oferite de specialiştii care realizează

controlul. Se acordă atenţie informaţiilor generale esenţiale ce caracterizează entitatea şi

evoluţia ei, informaţiilor care sunt utile la fundamentarea deciziile.

2.3.2 Principiile referitoare la structura controlului

Principiile care urmează sunt menite să scoată în evidenţăa modul în care sistemele şi

tehnicile de control pot fi concepute pentru a îmbunătăţi calitatea controlului intern.

a) Principiul reflectării planurilor activităţilor. Cu cât planurile sunt mai clare, mai

complete şi mai integrate, cu atât obiectivele controalelor vor fi mai uşor de stabilit şi de

realizat. Concluziile controalelor vor putea mai exacte, mai concise şi mai utile managerilor.

b) Principiul adecvării organizaţionale. Sistemul de control trebuie să fie adecvat

sistemului de organizare a entităţii, a centrelor de responsabilitate. Cu cât structura

organizatorică este mai clară şi responsabilităţile mai bine definite, controlul va putea să

constate mai uşor cum sunt îndeplinite sarcinile şi obiectivele planificate, unde există abateri

şi care sunt cauzele lor, ce măsuri sunt adecvate pentru eliminarea lor.

c) Principiul personalizarii controalelor. Informaţiile oferite de control trebuie să fie

adecvate destinatarului. Ele trebuie culese, prelucrate şi prezentate în aşa fel încât să fie utile

celor care le folosesc pentru fundamentarea deciziilor. Numărul informaţiilor, conţinutul şi

forma lor de prezentare trebuie să fie elaborate astfel încât să satisfacă nevoia de informaţie,

dar în acelaşi timp informaţiile şi forma lor de prezentare trebuie să fie inteligibile şi uşor de

folosit. Tehnicile de control şi informatiile culese trebuie să fie adaptate nevoilor fiecărui

manager. Excesul de informaţii este inutil, iar deficitul poate duce la luarea unor decizii

greşite.

2.3.3 Principiile referitoare la procesul de control

a) Principiul standardelor. Controlul este recomandabil să se facă după metode,

proceduri, norme recunoscute de entitate. Aceasta duce la formarea unui mediu în care

controlul se poate realiza în condiţii optime.

Echipei de control i se alocă de către conducerea entităţii responsabilităţi specifice,

regulile după care se face controlul sunt cunoscute de cei controlaţi, obiectivele controlului şi

21

informaţiile pe care trebuie să le culeagă echipa sunt anerior stabilite, metodele şi procedurile

de control sunt aprobate de conducere, concluziile şi propunerile sunt prezentate într-un

anumit format predefinit.

b) Principiul punctului critic al controlului. Controlul va acorda atenţie elementelor pe

care conducerea le consideră la momentul respectiv importante. Evenimentele interne sau

exterioare entităţii pot orienta controlul spre anumite procese, activităţi sau evenimente

semnificative în acel moment pentru entitate. În condiţii normale planul de control este

întocmit astfel încât să ofere conducerii informaţiile esenţiale pentru entitate.

c) Principiul excepţiei. Controlul trebuie să ofere managerilor informaţii care să

surprindă abaterile importante de la obiectivele stabilite prin bugete şi plan. Concluziile

controlului vor evidenţia excepţiile referitoare la funcţionarea normală a entităţii, pentru a

avertiza conducerea că este necesar să acorde atenţie abaterii respective.

Acest principiu se poate confunda cu principiul punctului critic al controlului, pentru că

ele au o oarecare înrudire. Totuşi, punctul critic al controlului tratează problema recunoaşterii

punctelor care trebuie ţinute sub observaţie, în timp ce principiul excepţiei tratează problema

observării mărimii abaterilor în aceste puncte critice.

d) Principiul flexibilitaţii controlului. Planul de control este întocmit ţinând cont de

prevederile planurilor de activitate ale entităţii, urmărind şi comparând realizările cu

obiectivele stabilite prin plan. În condiţiile în care conducerea modifică prevederile planului,

se va modifica, dacă se consideră necesar, şi planul de control. Planul modificat poate stabili

sarcini diferite, modificări ale obiectivelor pe care trebuie să le ia în consideraţie echipa de

control. Uneori transformările dintr-o entitate pot diminua sarcinile de control pentru anumite

procese şi schimba obiectivele controlului.

e) Principiul acţiunii. Controlul este justificat numai dacă abaterile sesizate de acesta

(previzibile sau reale) permit intervenţia conducerii pentru corectarea lor înainte de a-şi

produce efectele sau pentru eliminarea lor grabnică.

Controlul este o risipă de resurse dacă nu este urmat de acţiuni corective. Controlul

poate propune intervenţii pentru eliminarea factorilor care au generat abaterile, dar ele se vor

aplica numai prin voinţa conducerii.

Vocabular: control intern, control strategic, control managerial, control

operaţional.

22

1. Care sunt obiectivele principale ale controlului intern?

2. Care sunt elementele la a căror securitate poate contribui

controlul intern?

3. Care sunt obiectivele controlului intern referitoare la calitatea

informaţiilor dintr-o entitate?

4. Ce obiective îşi propune controlul intern referitoare la

respectarea normelor generale şi specifice?

5. Ce obiective îşi propune controlul intern referitoare la

optimizarea alocării resurselor?

6. Care este structura controlului intern?

7. Care sunt principiile controlului intern referitoare la scopul şi

natura controlului?

8. Care sunt principiile controlului intern referitoare la structura

controlului?

9. Care sunt principiile controlului intern referitoare la procesul de

control?

23

Capitolul 3

Auditul intern – o formă de control intern

3.1 Funcţiile auditului intern



3.1 Funcţiile auditului intern

Activitatea de audit intern a apărut şi s-a dezvoltat datorită utilităţii pe care o asigură

beneficiarilor, datorită capacităţii de a satisface anumite nevoi ale utilizatorilor. Rolul

auditului intern a sporit spectaculos în ultimele două decenii datorită creşterii mărimii

entităţilor şi a complexităţii activităţilor desfăşurate de acestea. Existenţa lui este justificată

de valoarea nou creată, de surplusul de valoare de care se bucură utilizatorul acestor servicii.

Surplusul de valoare se obţine prin diminuarea sau eliminarea riscurilor. Cunoaşterea

modului cum răspunde sistemul (format din entitatea respectivă sau componente ale acesteia)

la semnalele trimise de conducere este esenţială pentru evoluţia normală a entităţii, pentru

realizarea obiectivelor propuse de conducere. Pentru ca entitatea să obţină ieşirile dorite

trebuie să-şi corecteze în mod continuu intrările şi funcţionarea sistemului (entităţii).

Informaţiile despre modul de funcţionare a componentelor sistemului sunt oferite de sistemul

de control. Misiunea auditului intern este de a oferi informaţii despre modul de funcţionare a

sistemului ca întreg (inclusiv a sistemului de control intern).

Atunci când entităţile nu sunt mari şi conducerile acestora au capacitatea să valorifice

fără dificultate informaţiile oferite de controlul intern şi să urmărească cum îşi îndeplineşte

controlul intern misiunea, entitatea poate să nu organizeze activitatea de audit intern.

Afirmaţia nu este adevărată pentru entităţile care utilizează fonduri publice şi/sau

administrează active aparţinând patrimoniului public, deoarece acestea sunt obligate să

organizeze auditul intern. Există şi entităţi cu capitalul privat, care sunt obligate, datorită

naturii operaţiunilor pe care efectuează, să organizeze activitatea de audit intern. În această

grupă intră băncile, societăţile de asigurări etc.

00:50



Care sunt funcţiile auditului intern;

Care este aria de aplicabilitate a auditului intern;

Care sunt obiectivele auditului intern;

Care sunt criteriile de evaluare a auditului intern.

24

Auditul intern este un serviciu care susţine efortul conducerii entităţii de a-şi realiza

obiectivele. Auditorii interni se bucură de încrederea conducerii entităţii şi la rândul lor oferă

conducerii motive de încredere. Auditul intern oferă conducerii sfaturi credibile şi informaţii

care susţin eforturile acesteia pentru prevenirea şi detectarea erorilor, pentru eliminarea

risipei, pentru prevenirea şi detectarea fraudei, pentru cunoaşterea şi aplicarea legilor şi

normelor proprii, pentru îndeplinirea obiectivelor entităţii.

Auditul intern este un instrument forte important folosit de conducere pentru

ameliorarea performanţelor sistemului de control intern. El contribuie la descoperirea

activităţilor, operaţiunilor, elementelor care au importanţă deosebită (cheie) în cadrul entităţii.

Auditul intern este un agent al schimbării în cadrul entităţii, oferind conducerii evaluări

pertinente, analize, recomandări privind riscurile care pot să ameninţe entitatea.

Auditul intern reprezintă o activitate de evaluare realizată în cadrul unei entităţi, în

interesul entităţii, de persoane din interiorul entităţii. Între obiectivele sale includ, printre

altele:

examinarea, evaluarea şi monitorizarea sistemelor contabil şi de control intern7 şi a

eficienţei lor;

asigurarea conducerii că sunt aplicate normele interne şi politicile entităţii, că

sistemul de informare a conducerii este fiabil; că procedurile stabilite sunt aplicate şi

funcţionează;

acordarea asistenţei de specialitate membrilor echipei de conducere pentru

îndeplinirea funcţiilor de control specifice, pentru ameliorarea rezultatelor compartimentelor

pe care le conduc;

informarea conducerii la vârf despre disfuncţiile identificate şi oferirea de propuneri

pentru soluţionarea acestora etc.

Auditul intern este o componentă a funcţiei de conducere. Auditul intern urmăreşte,

măsoară şi verifică ieşirile din sistem, le compară cu cele aşteptate şi acolo unde există

abateri de la acestea, identifică cauzele care le-au determinat şi propune măsuri de corectare.

Auditorul intern stabileşte un diagnostic (care arată cum funcţionează sistemele), evidenţiază

simptomele (alertează conducerea), propune măsuri pentru sporirea securităţii activelor şi

pentru îmbunătăţirea fiabilităţii informaţiilor oferite conducerii şi a celor care circulă în

entitate, pentru sporirea eficienţei operaţiunilor şi a competitivităţii entităţii.


Aria de aplicabilitate şi obiectivele auditului intern variază considerabil de la o

entitate la alta şi depind de dimensiunea şi structura entităţii, precum şi de cerinţele

conducerii acesteia. De regulă, activităţile de audit intern îşi propun unul sau mai multe din

obiectivele următoare:

7 Audit financiar 2000, Standardul de audit nr. 610, Considerarea auditului intern, pag. 201

25

Verificarea sistemelor contabil şi de control intern. Conducerea entităţii este

responsabilă pentru stabilirea sistemelor adecvate de contabilitate şi de control intern şi de

aceea trebuie să le acorde o atenţie corespunzătoare continuă. Când entitatea este mare şi

activităţile sale sunt complexe, conducerea entităţii atribuie o parte din aceste responsabilităţi

auditului intern, care trebuie să verifice cum funcţionează aceste sisteme, să urmărească

operaţiunile desfăşurate de acestea şi să emită recomandări pentru îmbunătăţirea activităţii

lor.

Examinarea situaţiilor financiare, pe care conducerea entităţii le certifică în faţa

asociaţilor sau acţionarilor, administratorilor fondurilor publice, a altor beneficiari externi.

Examinarea altor informaţii financiare şi operaţionale oferite conducerii şi folosite de aceasta

la luarea deciziilor. Aceste elemente pot include verificarea metodelor şi mijloacelor utilizate

pentru a identifica, măsura, clasifica şi raporta astfel de informaţii, ca şi investigarea unor

probleme specifice, inclusiv verificarea detaliată a tranzacţiilor, soldurilor, balanţelor şi

procedurilor.

Revizuirea eficienţei operaţiunilor sistemului de control intern, inclusiv a

controalelor nonfinanciare asupra entităţii.

Verificarea modului cum se respectă legile, reglementările şi alte cerinţe externe

entităţii, precum şi respectarea politicilor şi directivelor manageriale şi a altor cerinţe interne.

În mod curent auditorii includ între obiectivele auditului intern:

exactitatea înregistrărilor contabile;

securitatea activelor;

preîntâmpinarea risipei, erorilor şi fraudei;

conformitatea cu procedurile de control stabilite;

însuşirea şi aplicarea politicilor conducerii;

evaluarea încrederii în situaţiile financiare şi alte informaţii oferite conducerii;

adecvarea şi eficienţa sistemului de control;

eficienţa operaţiunilor.

Activitatea auditorilor pentru realizarea acestor obiective poate fi influenţată de factori

din interiorul cât şi din exteriorul entităţii (fig. 3.1.).

Între factorii interni menţionăm:

relaţiile interpersonale între auditori, relaţiile cu persoanele din conducere,

relaţiile cu subordonaţii şi cu colaboratorii;

mediul intern: condiţiile în care se prestează serviciul; regulamentele care

stabilesc modul de organizare şi desfăşurare a auditului intern; responsabilităţile şi drepturile

auditorilor interni (fişa postului); procedurile de realizare a auditului etc.

Între factorii externi menţionăm:

mediul extern: opinia publică; administraţia financiară, poliţia (secţia fraude);

auditul extern etc.;

26

factori profesionali: normele profesionale; literatura şi publicaţiile preocupate de

audit; literatura şi publicaţiile preocupate de contabilitate etc.


Pentru înţelegerea şi evaluarea preliminară a funcţiei auditului intern se folosesc mai

multe criterii de referinţă, între care menţionăm:

a) aria de aplicabilitate a funcţiei: natura şi gradul de cuprindere al auditului intern.

Auditorul extern trebuie să analizeze modul în care conducerea pune în aplicare

recomandările auditorului intern;

b) statutul auditorului intern: poziţia specifică a auditorului intern în cadrul

entităţii şi efectul pe care îl are aceasta asupra capacităţii sale de a fi obiectiv. Într-o situaţie

ideală, auditul intern va raporta celui mai înalt nivel al conducerii şi nu va avea alte

responsabilităţi operaţionale. Orice constrângeri sau restricţii exercitate asupra auditului

intern de către conducere vor trebui luate în considerare cu grijă. Mai precis, este necesar ca

auditorii interni să fie liberi să comunice complet cu auditorul extern;

c) competenţa auditorului intern: dacă auditul intern este realizat de persoane care

au pregătirea tehnică şi competenţa adecvată; auditorul extern poate, de exemplu, să

revizuiască politicile de angajare şi pregătire a persoanelor care se ocupă cu auditul intern,

precum şi experienţa şi calificarea profesională a acestora.

Auditul

intern

Factori din

interiorul entităţii

Factori din

exteriorul entităţii F

acto

ri in

terp

erso

nali

Fac

tori

de

med

iu

Factori de m

ediu

Factori

profesionali

Auditori

Superiori

Subordonaţi

Colaboratori

Condiţiile de muncă

Regulamentele

Sistemul de stimulare

Opinia publică

Poliţia (secţia fraude)

Auditul extern

Normele profesionale

Literatura şi publicaţiile referitoare la audit

Literatura şi publicaţiile referitoare la contabilitate

Fişa postului

Procedurile de audit

Fig. 3.1.

Factori care influenţează auditul intern

27

d) atenţia acordată menţinerii profesionalismului: dacă auditul intern este

corespunzător planificat, supervizat, revizuit şi documentat. Se vor lua în considerare

existenţa manualelor de audit, programelor şi documentelor de lucru adecvate.

Vocabular: audit intern, aria de aplicabilitate

10. Care sunt obiectivele auditului intern?

11. Care este aria de aplicabilitate a auditului intern?

12. Care sunt factorii care pot să influenţeze realizarea

obiectivelor auditului intern?

13. Care sunt criteriile de evaluare a activităţii auditorilor interni?

28

Capitolul 4

Auditul intern şi guvernanţa corporativă


4. 2 Necesitatea existenţei comitetului de audit şi a funcţiei de audit intern





Guvernanţa corporativă sau conducerea corporativă (corporate governance)

este sistemul prin care o companie este condusă şi controlată.

Guvernanţa corporativă reprezintă modalităţile prin care furnizorii de resurse financiare

ai unei companii se asigură că vor primi beneficiile la care se aşteaptă făcând această

investiţie.

Guvernanţa corporativă poate fi definită ca ansamblul relaţiilor unei companii cu

acţionarii săi, sau mai pe larg, cu societatea pe ansamblu.

Guvernanţa corporativă specifică distribuţia drepturilor şi responsabilităţilor dintre

diferitele categorii de persoane implicate în companie cum ar fi: consiliul de administraţie,

directorii, acţionarii şi alte categorii, şi stabileşte regulile şi procedeele de luare a deciziilor

privind activitatea unei companii. [OECD aprilie 1999 preluată din Cadbury Cod, 1992,

pagina 15]

Guvernanţa corporativă este un set de reguli conform cărora firmele sunt conduse şi

controlate, este rezultatul unor norme, tradiţii şi modele comportamentale dezvoltate de

fiecare sistem legislativ.

Guvernanţa corporativă se referă la promovarea corectitudinii, transparenţei şi

responsabilităţii la nivel de companie.

00:50



Care este semnificaţia şi importanţa noţiunii de guvernanţă

corporativă;

Care este rolul şi structura comitetului de audit;

Care sunt responsabilităţile comitetului de audit;

Care sunt etapele de aplicare a funcţiei de audit intern.

http://ro.wikipedia.org/wiki/1992

29

Guvernanţa corporativă studiază modul în care companiile pot deveni mai eficiente prin

folosirea unor structuri instituţionale cum ar fi actele constitutive, organigramele şi cadrul

legislativ. În cele mai multe cazuri se limitează la studii privind modul în care deţinătorii de

acţiuni pot să asigure şi să motiveze directorii companiilor astfel încât să primească

beneficiile aşteptate de pe urma investiţiilor lor. (www.encycogov.com, Mathiesen, 2002).

Conceptul de „Guvernanţa corporativă“ (CG) a apărut în 1992 în raportul Cadbury din Marea

Britanie. Guvernanţa corporativă este definită ca fiind managementul întregului sistem de

relaţii între consiliu de conducere, management, acţionari şi alţi „stakeholderi“.

4. 2 Necesitatea existenţei comitetului de audit şi a funcţiei de audit intern

In ultimii ani au aparut, la nivel mondial, numeroase reglementari privind guvernanţa

corporativă, în cadrul cărora se menţionează obligativitatea existenţei unui comitet de audit.

De exemplu, în Statele Unite, legea Sarbanes-Oxley din 2002 obligă companiile listate

pe toate bursele (NYSE, NASDAQ etc.) să aibă comitete de audit. În Marea Britanie,

legislaţia referitoare la guvemanţă corporativă, din iulie 2003 obligă, de asemenea, toate

societăţile listate să aibă comitet de audit. IOSCO (Organizaţia Internaţională a Burselor de

Valori) şi DECO (Organizaţia pentru Cooperare şi Dezvoltare Economica) au arătat că văd in

comitetul de audit un instrument puternic, care poate îmbunătăţi transparenta şi fiabilitatea

raportării financiare. La nivel european, articolul 41 al Directivei a 8-a (2006/43/EC din 17

mai 2006) impune şi existenţa unui comitet de audit pentru entitaţile de interes public în toate

statele membre.

In ţara noastră, obligativitatea existenţei unui comitet de audit este introdusă de legea

441 din 27 noiembrie 2006. In cazul societăţilor pe acţiuni ale căror situaţii financiare anuale

fac obiectul unei obligaţii legale de auditare financiară este obligatorie crearea unui comitet

de audit în cadrul consiliului de administraţie, respectiv în cadrul consiliului de supraveghere

pentru societăţile care au un sistem dualist de administrare.

Experienţa internaţională, demonstrează că organizaţiile care au avut o abordare

strategică şi au ştiut să utilizeze potenţialul acestor două elemente la adevarata lor valoare au

avut un avantaj competitiv, care a avut un impact semnificativ asupra investitorilor şi, în

final, asupra valorii acţiunilor. Existenţa unui comitet de audit si a auditului intern activ, a

adaugat un plus de valoare organizaţiei, au contribuit la îmbunatăţirea performanţelor şi au

contribuit la atingerea obiectivelor acestora.

Problema cu care se confruntă multe societaţi în acest moment, atât în Romania, cât şi

la nivel global, este că nici reglementarile legale şi nici lucrările de specialitate nu oferă

detalii despre modalitatea practică în care ar putea fi implementate şi modul în care ar trebui

să funcţioneze comitetul de audit şi funcţia de audit intern.8

Soluţia poate fi obţinută prin definirea corectă a obiectivelor organizaţiei şi a

aşteptărilor pe care aceasta le are de la comitetul de audit şi de la funcţia de audit intern.

Prezentăm în continuare rolul pe care ar trebui să îl joace comitetul de audit şi o

8 Nadir ALI, Implementarea strategică a comitetului de audit şi a funcţiei de audit intern, Audit financiar, nr.

4/2007, pag. 31

http://www.encycogov.com/

http://ro.wikipedia.org/wiki/2002

30

modalitate de implementare a funcţiei de audit intern.


In sens larg, rolul comitetului de audit este de a oferi asistenţă consiliului de

administraţie.

Comitetul de audit reprezintă o punte de legatură între conducerea organizaţiei şi

acţionarii acesteia. Atribuţiile principale ale comitetului de audit se refera la raportarea

financiară, managementul riscului, sistemul de control intern, relaţia cu auditul extern,

coordonarea şi supervizarea auditului intern, probleme de conformitate, regularitate şi etică

(figura 4.1).

4.3.1 Raportarea financiara

Comitetul de audit este de regula responsabil, în numele consiliului de

administraţie, de asigurarea integritatii situatiilor financiare ale societatii. Acest rol important

include verificarea inainte de publicare a situatiilor financiare şi a altor informatii importante,

care pot avea impact pe piata. Timpul pentru aceste verificari şi activitaţi de monitorizare,

trebuie introdus ca etapa distincta in calendarul de elaborare şi publicare a situatiilor

financiare şi a altor materiale publice.

Aceste verificari trebuie sa fie suficiente pentru a permite comitetului de audit sa

explice celorlalţi membri ai consiliului de administraţie modul în care societatea işi propune

sa raporteze rezultatele financiare. Prin urmare pentru a putea analiza situatiile financiare in

mod eficient, membrii comitetului trebuie sa inteleaga conceptele contabile care afecteaza

raportarea şi, de asemenea, trebuie sa implice in mod constructiv conducerea şi auditorul

extern in abordarea unor aspecte din domenii complexe sau subiective. Exista cazuri in care,

Auditul intern

Conformitate,

regularitate şi etică

Controlul intrn

Manangementul

riscului

Auditul extern

Raportarea financiară

Comitetul de

audit

Fig. 4.1 Atribuţiile comitetului de audit

31

din lipsa de experienta in domeniul financiar, comitetul de audit apeleaza la experţi externi cu

rol consultativ.

4.3.2 Managementul riscurilor şi controalele interne

Un sistem de control bine proiectat şi implementat ofera mediul propice pentru

derularea eficienta a operaţiunilor entitaţii. Una dintre sarcinile principale ale comitetului de

audit este de a asigura integritatea sistemului de control intern al societaţii.

Procesul de gestionare a riscurilor incepe cu stabilirea strategiilor şi de evaluarea

riscurilor de afaceri şi include controalele interne pe care conducerea le-a implementat in

vederea gestionarii şi diminuarii acestor riscuri. Riscurile nu trebuie privite doar in sensul

negativ.

Acestea reprezinta evenimente viitoare incerte - atat pozitive, cat şi negative - care pot

afecta organizaţia in diverse moduri (fluxurile de trezorerie, profitabilitatea, profitul

acţionarilor, reputaţia etc.). Riscul deriva atat din posibilitatea ca societatea sa fie afectata de

un eveniment negativ, cat şi din posibilitatea ca societatea sa nu foloseasca in interesul sau o

oportunitate, in sens pozitiv. Consiliul de administrape, conducerea şi comitetul de audit

indeplinesc roluri diferite, dar interdependente in ceea ce priveşte riscurile.

Responsabilitatea consiliului de administraţie este de a stabili parametrii de

determinare a strategiei societaţii - inclusiv apetitul la risc al societaţii - şi de a aproba

politicile aferente strategiei respective.

Conducerea organizaţiei este responsabila pentru elaborarea de proceduri de

gestionare a riscurilor, inclusiv definirea profilului de fisc, in conformitate cu politica stabilita

de consiliul de administraţie. Conducerea este cea care defineşte şi implementeaza sistemul

de control intern pentru gestionarea riscurilor şi este responsabila pentru funcţionarea

acestuia. Rolul comitetului de audit este de a revizui strategia societatii şi profilul de risc şi de

a verifica daca acestea corespund cu activitatile şi procedurile de gestionare a riscurilor

implementate de conducere, inclusiv cele care afecteaza raportarea financiara. Comitetul de

audit trebuie sa inteleaga sistemul de control intern asupra raportarii financiare implementat

de catre conducere. Acesta include controale asupra integritaţii evidentelor si sistemelor

financiar - cantabile, precum şi controale care asigura prezentarea justa a informatiilor

financiare conform standardelor cantabile.

4.3.3 Auditul extern

Comitetul de audit reprezinta principalul punct de legatura dintre societate şi auditorul

extern. Rolul său include prezentarea catre consiliul de administraţie a recomandarilor privind

numirea unui anumit auditor, convenirea asupra onorariilor de audit, revizuirea ariei de

aplicabilitate a lucrărilor de audit şi verificarea independentei auditorului extern. De

asemenea, comitetul de audit va lucra in stransa legatura cu auditorul extern in vederea

realizarii in bune conditii a auditului. Auditorul extern va discuta toate problemele

identificate cu comitetul de audit.

4.3.4 Reglementare, conformitate şi etică

32

De regula, in afara de aspectele legate de integritatea informatiilor financiare publicate,

comitetul de audit supraveghează şi aspectele ce ţin de conformitate. Prin urmare, membrii

comitetului trebuie sa cunoasca mai mult decat procesul de raportare financiara. Comitetul

trebuie sa ineleaga nu numai controalele interne referitoare la raportarea financiara, ci şi

cerinţele legale, alte reglementari specifice din domeniile de activitate relevante, politicile

interne, alte cerinţe ale actionarilor, precum şi aspectele etice. Toate acestea pot avea impact

financiar sau pot afecta imagine a societatii respective. Imaginea unei societati este un factor

esential in determinarea valorii acesteia. Tot mai multe consilii de administraţie aloca resurse

pentru programe de etica şi a devenit o practica obişnuita ca societaţile sa adopte un cod de

conduita formal, ce prezinta principiile emise de consiliu in ce priveşte practicile acceptabile

de afaceri.

De regula, comitetul de audit nu este responsabil pentru stabilirea standardelor de etica.

Aceasta ar trebui sa fie responsabilitatea consiliului de administraţie. Comitetul de audit

trebuie sa se implice in asigurarea respectarii principiilor de etica. In anumite situaţii,

comitetul de audit poate analiza cazurile specifice de nerespectare a principiilor de etica sau

suspiciuni de fraudă şi poate dispune investigatii interne in acest gens.

4.3.5 Auditul intern

Traditional, functia de audit intern era subordonată, de regula, conducerii şi directorului

general. In prezent, se pune tot mai mult accent asupra unei linii de raportare direct catre

comitetul de audit. O relaţie pozitiva puternica cu auditul intern poate oferi membrilor

comitetului de audit o viziune asupra elementelor de control relevante pentru activitatea

acestora. Prin urmare, comitetul de audit trebuie să înţeleaga capacitatea tehnica a funcţiei de

audit intern, calificarile, resursele, aria de aplicabilitate, inclusiv orice limitari impuse de

catre conducere, precum şi constatarile rezultate in urma examinărilor efectuate.

Cornitetul de audit este responsabil pentru aprobarea cartei de audit intern, a planurilor

de audit, a evaluarii riscurilor.

De asemenea, comitetul de audit supervizează activitaţile operaţionale, raportarea,

personalul şi structura functiei de audit intern. In plus, acesta se asigura ca nu exista restrictii

in ce priveşte aria de acoperire a activitaţilor auditului intern. Periodic, cornitetul de audit

trebuie sa evalueze eficacitatea şi performanta funcţiei de audit intern, faţă de criterii

predefinite.

Comitetul de audit este cel care efectueaza selecţia şi nurnirea Directorului de Audit

Intern şi, de asemenea, îi stabileşte nivelul salarial. Comitetul de audit trebuie sa fie singurul

in masura sa înlocuiasca din funcţie Directorul de Audit Intern. Numai in acest fel funcţia de

audit intern poate fi independenta şi libera de presiuni din partea conducerii organizaţei. In

practica, este de asemenea important ca Directorul de audit intern sa aiba acces permanent la

membrii cornitetului de audit, pentru a le prezenta problemele identificate. Pentru a asigura

independenta şi obiectivitatea auditului intern, comitetul de audit trebuie sa se asigure ca

acesta dispune de resurse financiare şi de o infrastructura adecvata desfaşurarii activitatii

conform planului de audit.


33

De regula, un comitet de audit cuprinde de la 2 la 6 membri, selectati de regula dintre

membrii consiliului de administratie.

Conform Legii 441/2006, toti membrii comitetul de audit trebuie sa fie administratori

neexecutivi, din care cel putin unul sa fie expert in raportare financiara. Membrii comitetului

de audit sunt numiti de consiliul de administratie.

De asemenea, consiliul de administratie stabileşte durata mandatului, nivelul

remuneraţiilor şi numeşte preşedintele comitetului de audit. Comitetul de audit are dreptul sa

angajeze consultanţi externi pentru a putea aborda problemele mai complexe.

Atributele membrilor comitetului de audit trebuie sa includă:

capacitatea de întelegere a modului de organizare şi funcţionare a entităţii, a

obiectului de activitate, de cunoaştere a produselor şi serviciilor acesteia;

integritate, disponibilitate din punct de vedere al timpului şi energiei, spirit iscoditor

şi raţionament independent;

Capacitatea de a oferi perspective noi şi diferite, precum şi sugestii constructive;

Cunoştinte financiare (capacitatea de a citi şi înţelege situaţiile financiare şi politicile

contabile).

Periodic, comitetul de audit trebuie să se autoanalizeze şi să asigure cursuri de pregătire

pentru membrii noi, precum şi cursuri de dezvoltare a aptitudinilor membrilor existenţi.


In trecut, auditul intern a fost asimilat funcţiei de cenzor, cu atribuţii limitate la

verificarea legalităţii şi regularităţii întocmirii situatiilor financiare şi a modului de gestionare

a patrimoniului organizatiei.

Ca urmare, auditul intern „tradiţional“ are ca obiectiv principal verificarea tranzactiilor,

a situatiilor financiare şi se concentreaza pe identificarea iregularitatilor şi corectarea

efectului acestora. Acest tip de audit intern se axeaza pe trecut, iar rezultatele se

materializeaza in constatari şi recomandari.

Intr-un mediu economic dinamic, consecintele auditului intern „tradiţional“, axat pe

trecut sunt:

Creşterea birocratiei, prin introducerea unui numar din ce in ce mai mare de controale

interne;

De la an la an, fiecare audit aduce din ce in ce mai puţina valoare;

Procesele auditate devin necompetitive şi greoaie;

Auditorii interni sunt priviţi şi tind sa se comporte ca „politişti“ ai organizaţiei;

Auditul tinde sa acopere doar aspectele financiar-contabile;

Creşte diferenţa între aşteptările acţionarilor şi beneficiile aduse de auditul intern în

realitate.

34

Un audit intern „tradiţional“, axat pe trecut, este similar cu a conduce un autovehicul

privind în oglinda retrovizoare.

In schimb, auditul intern bazat pe risc, priveşte spre viitor. Intrebările care se pun nu

mai sunt limitate la gestiunea patrimoniului organizaţiei şi la legalitatea intocmirii situaţiilor

financiare.

In loc sa verifice tranzactiile si contabilizarea acestora, auditorul intern va identifica

riscurile afacerii şi va evalua eficacitatea şi eficienta mecanismelor prin care societatea

gestioneaza aceste riscuri. Majoritatea tehnicilor de gestionare a riscului se bazeaza pe

controalele interne, iar auditorul intern trebuie sa priveasca spre viitor şi sa işi puna intrebarea

„Cat de bine sunt gestionate aceste riscuri?“ în loc de „A fost patrimoniul gestionat

corespunzator?“ şi „Sunt situaţiile financiare corect întocmite?“.

Aceasta evoluţie a auditului intern necesita şi o schimbare atat in mentalitatea

auditorilor, cat şi in modul in care aceştia sunt percepuţi de catre organizaţie. Daca in mod

tradiţional, auditorul intern era vazut ca un „poliţist“ al organizatiei, acum el trebuie sa fie

perceput ca un „partener de afaceri“.

Atat pe plan mondial, cat şi in tara noastra au fost publicate lucrari ştiintifice, articole şi

materiale care ofera o perspectiva vastă asupra rolului şi importanţei auditului intern. Totuşi,

implementarea cu succes a unei functii strategice de audit intern implica resurse şi costuri

semnificative, dar mai ales o abordare corectă. Exista numeroase exemple care demonstreaza

ca cele mai multe organizaţii au dificultaţi in a aplica in practica aceste concepte şi nu reuşesc

sa implementeze o funcţie de audit intern capabila sa adauge cu adevarat valoare. In procesul

de implementare a functiei de audit intern, abordarea tactica trebuie sa rezulte din strategie, şi

nu invers. De cele mai multe ori, infiintarea functiei de audit intern are loc ca raspuns la o

necesitate tactica de moment. Sub presiunea urgenţei implementarii pot fi trecute cu vederea

aspecte strategice importante. Rezultatul final poate fi in mod nefericit o functie de audit

intern - tactica, aflata in cautarea unei strategii.

Implementarea cu succes a unei functii eficiente de audit intern presupune parcurgerea

a zece etape, strategice şi tactice (figura 3)

Tradiţional

Bazat pe risc

Poliţist

Atitudine şi percepţie

Risc

financiar

Risc

total

Fig. 4.2 Rolul auditului intern

Partener

Ari

a de

cupri

nder

e

35

4.5.1 Definirea aşteptărilor

Pentru a crea o functie eficienta de audit intern, organizatia trebuie sa determine modul

in care aceasta funţiie va furniza serviciul dorit. Prin acest proces, entitatea trebuie sa

defineasca rezultatele pe care se aşteapta sa le obţina de la noua funcţie.

Aceste rezultate pot sa includă:

managementul riscului;

evaluarea controalelor interne;

conformitatea cu legile şi reglementarile relevante;

capacitatea de a raspunde la evenimente urgente;

valoarea neta generata de investiţia in auditul intern;

promovarea culturii de management al riscului în organizaţie;

rol consultativ in probleme complexe;

mediu pentru dezvoltarea viitorilor manageri;

reducerea onorariilor cu auditul, prin colaborarea cu auditorul extern.

Dupa crearea funcţiei de audit intern, aşteptarile organizaţiei trebuie reanalizate şi

ajustate periodic.

STRATEGIC TACTIC

1. Definirea

aşteptărilor

2. Definirea

misiunii

3. Dezvoltarea planului

4. Evaluarea riscului şi planul de

audit

5. Stabilirea

bugetului

6. Începutul muncii de teren

7. Evaluarea experienţei necesare

8. Dezvoltarea infrastructurii, metodologiei şi a

tehnologiei

36

9. Stabilirea protocoalelor de comunicare

10. Evaluarea

performanţelor

Fig. 3 Etapele de aplicare a funcţiei de audit intern

Adaptat după Nadir ALI, Implementarea strategiei comitetului de audit şi a funcţiei de

audit intern, Audit financiar, nr. 4/2007

4.5.2 Definirea misiunii

Dupa definirea aşteptarilor de la funcţia de audit intern, Directorul de Audit Intern

trebuie sa colaboreze cu conducerea şi cu Comitetul de Audit pentru a defini misiunea

funcţiei de audit intern. Misiunea (sau statutul) auditului intern, ca un document formal, are

rolul de a descrie obiectivele acestei funcţii şi furnizeaza baza pentru evaluarea

performanţelor auditului intern.

Misiunea auditului intern delimiteaza autoritatea şi responsabilitaţile acestei funcţii şi

reflecta prioritaţile conducerii si ale Comitetului de Audit.

În funcţie de entitate, mărimea statutului (misiunii) şi nivelul detaliilor pot fi diferite,

dar fiecare trebuie să specifice măsura în care resursele auditului intern vor fi alocate spre

auditul „tradiţional“ sau către activităţile care adaugă valoare.

O misiune care nu îşi propune îndeplinirea aşteptărilor entităţii şi care nu este definită

în mod clar şi direct poate împiedica atingerea performantelor entităţii.

Diagrama de mai jos ilustreaza orientarea activităţii auditului intern, în funcţie de

modificarile aşteptărilor entităţii.

Tradiţional Echilibrat Actual (progresiv)

ORIENTAREA AUDITULUI INTERN

Axat pe

tranzacţii

Îmbunătăţirea

controlului

intern

Îmbunătăţirea

proceselor

Consilierea

conducerii

Facilitarea

autoevaluării

riscurilor

Managementul

riscului de

conformitate

Limitat

Acoperirea relativă a riscului Cuprinzător

Managementul

riscului

organizaţiei

Audit

financiar de

conformitate

Detectarea

erorilor şi

fraudei

Analiza

proceselor şi

celor mai bune

practici

Consultanţă

asupra

riscului

Managementul

continuu al

riscului

REZULTATELE ACTIVITĂŢII AUDITULUI INTERN

37

Este evident faptul ca şi capacitaţile tehnice, profesionale ale auditorilor interni trebuie

sa evolueze odata cu creşterea complexitatii aşteptarilor.

Nu exista un singur raspuns corect in ceea ce priveşte decizia unei organizatii de a

stabili misiunea auditului intern. Aceasta decizie depinde de mediul economic, apetitul pentru

risc şi nivelul de asigurare urmărit.

4.5.3 Dezvoltarea strategiei auditului

Strategia auditului defineşte obiectivele noii funcţii, beneficiarii principali ai acesteia şi

valoarea adăugată pe care o va crea în prezent şi in viitor. Strategia auditului defineşte

necesitaţile de investitii şi resurse umane atât iniţiale, cât şi pe un orizont de 3-5 ani.

Strategia auditului reprezintă şi un criteriu pe baza caruia vor fi măsurate deciziile şi

rezultatele viitoare. Acesta ar trebui analizată şi actualizată anual, iar modificările trebuie

aprobate de Comitetul de Audit.

O iniţiativă de afaceri care nu este susţinuta de un plan de afaceri solid va fi pusa sub

semnul întrebării de catre auditul intern. In mod similar, o funcţie de audit intern fără un plan

dă naştere la suspiciuni.

4.5.4 Evaluarea riscurilor şi elaborarea planului de audit

Pentru a putea fi controlabile, este esenţială o abordare sistematica a analizei riscurilor

de afaceri.

Riscul trebuie privit din toate perspectivele care afecteaza organizaţia.

Auditul intern nu trebuie sa se refere doar la riscurile financiare, ci şi la cele strategice,

operationale, IT, de resurse umane, reputaţionale, de mediu etc. Evaluarea riscurilor îi

permite auditorului intern sa ia in considerare modul in care evenimentele posibile pot afecta

atingerea obiectivelor organizaţiei.

Evaluarea riscurilor incepe cu definirea universului auditului. Acesta include toate

structurile organizaţiei, procesele şi domeniile de activitate.

Apoi, auditorul trebuie sa inteleaga modul de funcţionare al organizaţiei in contextul

mediului in care activeaza, precum şi principalele obiectivele de afaceri. In etapa urmatoare,

auditorul trebuie sa identifice riscurile inerente la care este expusa organizaţia, prin discutii

cu factorii implicaţi.

Ca urmare a evaluarii riscurilor, auditorul este in masura sa identifice ariile care

prezinta cel mai mare risc

Pe baza acestei evaluari, auditorul elaboreaza planul operational de audit, care acopera,

de regula, o perioada de un an. Efortul de audit va fi alocat pe diferitele componente ale

universului auditului in funţie de nivelul riscului identificat.

Evaluarea riscului, precum şi planul de audit trebuie prezentate şi supuse aprobarii

Comitetului de Audit.

38

Trebuie acordata o atenţie deosebita legaturii dintre competentele tehnice necesare

pentru executarea planului şi cele existente in departamentul de audit intern. Limitele

auditului trebuie sa fie reprezentate de nivelul riscurilor, nu de disponibilitatea competenţelor.

4.5.5 Stabilirea bugetului

Dupa finalizarea etapelor 1-4, vor fi disponibile suficiente informaţii pentru a permite

elaborarea bugetului pe termen lung şi mediu. Bugetul trebuie sa ofere funcţiei de audit intern

suficiente resurse pentru a-şi putea duce la indeplinire planul de audit aprobat, dar este

recomandabil sa includa şi un grad de flexibilitate pentru a putea raspunde schimbarilor

survenite în afacere. Ideal, bugetul strategic ar trebui sa acopere o perioada de 3-5 ani şi sa ia

in calcul evoluţia viitoare a organizaţiei,aşteptarile, misiunea şi planul strategic al auditului

intern, costurile pregatirii profesionale, dar şi viteza de rotaţie a salariatilor departamentului

de audit intern.

Bugetul trebuie sa corespunda mai întâi strategiei şi, apoi, tacticilor.

4.5.6 Munca în teren

Inceperea muncii de teren trebuie sa se realizeze cât mai curand posibil. De multe ori,

organizatiile urmaresc sa aiba implementata toata infrastructura şi sa finalizeze recrutarea

inainte de a incepe munca de audit pe teren. Aceasta poate fi o eroare majora. Acţionarii,

conducerea şi comitetul de audit doresc rezultate cat mai repede, şi nu sunt dispuşi sa aştepte

până cand totul este pregatit in cele mai mici detalii.

O lansare rapida a funcţiei de audit s-ar concretiza prin finalizarea a 3-5 misiuni de

audit in zonele cele mai riscante, in primele 100 zile de la infiintarea formală a

Departamentului de Audit Intern.

Insa trebuie avut in vedere ca este posibil ca membrii unui departament de audit intern

nou infiintat sa nu posede experienta necesara pentru a finaliza cu succes primele misiuni de

audit. In acest caz, multe societati apeleaza la resurse externe pentru inceput, urmand ca

acestea sa transfere treptat cunotintele necesare catre auditorii interni ai societatii, pana cand

aceştia işi vor dezvolta capacitatea de a-şi desfaşura activitatea independent.

4.5.7 Evaluarea experienţei necesare

Evaluarea experientei necesare in cadrul functiei de audit intern se bazeaza pe

obiectivele stabilite de catre comitetul de audit, misiunea departamentului şi planificarea

strategica, care trebuie definite in fazele iniţiale ale procesului. De multe ori, conducerea

entităţii şi comitetul de audit se concentreaza asupra numarului de angajaţi ai departamentului

de audit intern şi mai putin asupra cunoştintelor şi experienţei acestora, necesare pentru

gestionarea riscurilor prioritare.

In condiţile economice din Romania, atragerea unor auditori interni competenti, care sa

prezinte un mix de capacitaţi tehnice, experienta profesionala practica şi abilitaţi personale

adecvate este un obiectiv dificil de atins. Procesul de recrutare si selectie a unui director de

audit intern sau a unor auditori cu experienta poate sa dureze cateva luni.

39

In anumite situatii, nu se justifica angajarea permanenta a unor astfel de resurse, mai

ales a celor specializate, care, de regula, implica şi costuri mai mari. De exemplu, o entitate

poate sa nu aiba nevoie de un auditor intern specializat in IT angajat cu contract permanent de

muncă. In aceste conditii, poate fi mai eficient pentru entitatea respectiva sa apeleze la

resurse externe experimentate pentru durate mai scurte de limp.

O problema cu care se confrunta departamentele de audit intern este viteza de rotaţie a

personalului. Este ştiut ca auditorii interni constituie o sursa importanta de specialişti cu

experienta, datorita faptului ca, in general, sunt bine pregatiţi profesional, au caştigat

experienta in mai multe domenii ale afacerii, au avut expunere la persoane din conducere şi

dovedesc calitaţi deosebite de lucru cu oamenii. De asemenea, şi auditorii interni vad aceasta

profesie ca o rampă de lansare pentru o poziţie de conducere in cadrul organizaţiei. In

consecinţă, ar trebui sa existe un plan de succesiune in cadrul auditului intern, pentru a

asigura continuitatea in eventualitatea plecarii unor membrii experimentaţi.

Procesul de implementare a funcţiei de audit intern nu este liniar. Deciziile strategice şi

tactice trebuie luate simultan.

4.5.8 Dezvoltarea infrastructurii, metodologiei şi a tehnologiei

O altă eroare in crearea unui departament de audit intern consta in inceperea procesului

prin investirea unor fonduri prea mari in infrastructura. Aceste investitii ar trebui determinate

numai de obiectivele şi de profilul de risc al organizatiei. Inainte de efectuarea investitiilor in

infrastructura, este foarte important sa fie definite:

metodologia de evaluare a riscului;

procedura de planificare a auditului, procesul de documentare şi verificare;

modul de adoptare a celor mai bune practici;

procesul de asigurare a calităţii auditului;

procesul de comunicare, monitorizare şi rezolvare a problemelor identificate;

gestionarea resurselor umane.

Tehnologiile existente pot imbunatati dramatic eficienta, calitatea şi consecventa

procesului de audit. Infrastructura de audit intern poate fi dezvoltata in totalitate de catre

organizatie sau poate fi obtinuta din exterior. De exemplu, exista pe piata o serie de aplicatii

pentru gestionarea electronica a documentelor de audit, proiectate special pentru auditul

intern. Prin utilizarea acestor aplicatii se poate renunţa la dosarele clasice pe suport de hartie,

iar timpul pentru documentarea muncii de audit se poate reduce semnificativ, permitand

auditorilor sa se concentreze asupra muncii efective.

In cadrul functiei de audit intern trebuie sa existe şi un proces intern de asigurare a

calitatii, pentru a asigura conformitatea activitatii auditului intern atat cu metodologia interna

a societatii, cat şi cu Standardele de Audit Intern şi Normele Profesionale ale Auditului Intern

adoptate de CAFR.

4.5.9 Stabilirea protocoalelor de comunicare

40

Studii recente arata ca in multe organizatii exista probleme de comunicare intre

conducerea executiva şi auditul intern. Exista o legatura puternica intre comunicare şi modul

in care conducerea organizaţiei percepe activitatea şi performanţa auditului intern. Din acest

motiv, este esenţial ca departamentul de audit intern sa comunice eficient cu toţi factorii

relevanţi din organizaţie. Auditul intern trebuie sa intre in dialog permanent cu conducerea,

chiar şi in afara misiunilor de audit planificate, dezvoltand o legatura puternica şi clara intre

misiunea auditului intern şi problemele şi riscurile strategice ale organizaţiei. Directorul de

Audit Intern trebuie sa defineasca linii şi proceduri clare de comunicare cu toate

componentele organizaţiei şi sa monitorizeze permanent modul in care se desfaşoara

comunicarea. Activitatea auditului intern trebuie sa fie transparenta, pentru ca numai astfel se

poate comunica contribuţia pozitiva adusa organizaţiei si se poate obţine sprijinul intregii

organizaţii.

4.5.10 Evaluarea performanţelor

Pentru a fi credibil, auditul intern trebuie sa demonstreze rezultate concrete. In acest

scop, este necesarr un sistem de evaluare a performanţelor strâns legat de aşteptarile,

obiectivele şi misiunea acestei functii. Este important ca performanţele auditului intern sa fie

masurate periodic in relaţie cu aşteptările consiliului de administraţie, ale comitetului de audit

şi ale conducerii. Un instrument util pentru masurarea performanţei auditului intern este

"Balanced Scorecard", dezvoltat de profesorii Robert Kaplan şi David Norton în 1992 şi care

este în prezent utilizat de mii de organizaţii in toata lumea. Fiecare organizaţie trebuie sa işi

dezvolte un model specific de evaluare, in funcţie de obiectivele, misiunea şi planul strategic

de audit.

Cheia implementarii cu succes a unei funcţii de audit intern consta in combinarea

cadrului strategic cu execuţia tactica şi cooperarea la nivelul intregii organizatii. In acest

context, definirea unui comitet de audit eficace şi competent este o condiţie esenţiala pentru

implementarea unei funcţii de audit intern.

Vocabular: guvernanţă corporativă; comitet de audit.

1. Care este semnificaţia şi importanţa noţiunii de guvernanţă

corporativă?

2. Care este rolul şi structura comitetului de audit?

3. Care sunt responsabilităţile comitetului de audit?

4. Care sunt etapele de aplicare a funcţiei de audit intern?

5. Care sunt misiunile care pot fi încredinţate spre îndeplinire

auditului intern?

41

Capitolul 5

Deontologia profesională a auditorilor interni

5.1 Codul de etică



5.4 Cadrul conceptual pentru identificarea, evaluarea şi contracararea ameninţărilor

5.1 Codul de etică

Există două organisme9, care elaborează norme internaţionale referitoare la profesia

contabilă. Primul organism este Consiliul pentru Standardele Intrernaţionale de Contabilitate

(International Accounting Standards Board - IASB), care elaboreaza Standardele

Internaţionale de Contabilitate (IAS) şi Standardele Internaţionale de Raportare Financiară

(IFRS).

Pe langa IASB, exista un al doilea organism care elaboreaza norme internaţionale, şi

anume Federaţia Internaţională a Contabililor (International Federation of Accountants -

IFAC). Acest organism normalizator, regulator, elaboreaza norme în mai multe domenii:

Standardele Internaţionale de Audit (ISA), Codul de Etică pentru Auditori Profesionişti,

Standardele Internaţionale de Educaţie, Standardele Internaţionale de Contabilitate pentru

Sectorul Public (IPSAS), Standardul International pentru Misiunile de Revizuire (ISRE).

Acestea sunt normele internaţionale. Pe lângă acestea există şi directivele, care sunt

norme europene, şi care nu au statut de norme internaţionale. Noua Directivă a 8-a reia

anumite norme internaţionale, precizând în special aspecte cum ar fi controlul extern, care

trebuie efectuat de un organism de audit. Nici normele americane nu sunt norme

internaţionale, ci se refera la regulamente şi la entităţi de reglementare americane.

9 François Mèchin, Principii, reguli şi incompatibilităţi în asigurarea independenţei şi obiectivităţii

auditului, Noutăţi şi tendinţe în practica europeană a auditului financiar, CAFR, Bucureşti, Ed. C.N.I. Coresei,

2007, pag. 56

00:50



De ce este necesar un cod de etica pentru auditorii interni;

Care este structura codului de etică al auditorilor interni;

Care sunt principiile fundamentale după care trebuie să-şi modeleze

comportamentul auditorii interni;

Care sunt ameninţările cu care se confruntă auditoria interni în

timpul activităţii şi cum pot fi ele identificate, evaluate şi

contracarate.

42

Misiunea Federaţiei Internaţionale a Contabililor (IFAC), aşa cum este stabilită prin

statutul său, este „dezvoltarea şi îmbunătăţirea la nivel mondial a profesiei contabile pe bază

de standarde armonizate, capabilă să ofere servicii uniforme de o calitate ridicată în interesul

public. Pentru realizarea misiunii sale, Consiliul IFAC a înfiinţat Comitetul pentru Etică al

IFAC, pentru a elabora şi publica, sub autoritatea sa, standarde etice de o înaltă calitate şi alte

materiale în sprijinul profesioniştilor contabili din întreaga lume. Codul de Etică stabileşte

cerinţe etice pentru profesioniştii contabili. Un organism membru al IFAC sau o firmă nu

poate aplica standarde mai puţin exigente decât cele stabilite în aceste norme. Codul de etica

al IFAC constituie o norma internaţionala şi organismele IFAC sau cabinetele nu sunt

acreditate să adopte decât normele care ţin de IFAC.

De ce este necesar un Cod de etica pentru auditori? Auditorii profesionişti, sunt plătiţi

de clienţi, de entităţile pentru care realizează misiunea de audit, dar misiunea auditorilor este

o misiune de interes public. Auditorii nu lucrează numai pentru clienţi, ci pentru ansamblul

publicului, pentru public în întregul său.


Codul de etica al IFAC contine trei părţi: prima parte enunţă principiile generale,

care se aplică tuturor profesioniştilor contabili. Tuturor profesioniştilor contabili, adica şi

auditorilor, şi celor care se ocupă cu elaborarea situaţiilor financiare, dar şi directorilor

financiari sau directorilor contabili din diferite entităţi. Acest Cod de etica nu se referă numai

la auditori, ci şi la toţi profesioniştii contabili, inclusiv salariaţiilor diverselor entităţi. Aceasta

este o abordare nouă, pentru că până acum existau coduri de etică numai pentru auditori sau

numai pentru contabilii profesionişti.

A doua parte a Codului se referă la contabilii aparţinand unei profesii liberale, cei care

exercită meseria de auditor, dar şi pe cea de contabil. Şi, cea de-a treia parte, se refera la

salariaţii contabili ai entităţilor. Pentru fiecare dintre aceştia există norme de etică puţin

diferite.

Principiile generale ale Codului de etică sunt enunţate sub forma unor cadre

conceptuale şi nu sub forma regulilor. Diferenţa dintre un cadru conceptual şi o regulă a

Codului este importantă. IFAC precizează că propune un cadru conceptual, pentru că de la un

cadru conceptual este mai greu unui auditor şă se abată decat de la o simplă regulă. Astfel, se

poate şti mult mai uşor dacă principiile sunt respectate sau nu.

Principiile Codului de etica se referă la integritate sau la cinstea, la onestitatea

auditorilor, ceea ce nu înseamnă numai a oferi informaţii adevărate, ci şi a nu răspândi

informaţii false.

Un al doilea principiu este cel al obiectivităţii, absenţa prejudecăţilor. Judecata

auditorului ar trebui să fie total independentă.

Al treilea principiu se referă la competenţă şi la conştiinţa profesională. Acesta este

un principiu, care conţine multe reguli importante care trebuie respectate. El se referă, de

asemenea, la cea de-a 8-a normă a învăţământului (IES 8), la termenul de trei ani minimum

de studii pentru a respecta principiul competenţei.

43

Urmează principiul confidenţialităţii sau al secretului profesional. Confidenţialitatea

nu este numai secretul profesional: ea se referă şi la a nu utiliza în interesul propriu informaţii

care au fost obţinute în cadrul misiunii de audit.

Al cincilea principiu este cel referitor la comportamentul profesional, la aplicarea

regulilor şi regulamentelor astfel încât să apară riscul de discreditare a profesiunii.

Acestea sunt principii generale, definite in partea A a Codului IFAC.

Partea B cuprinde regulile referitoare contabilii a căror activitate este inclusă în

domeniul profesiilor liberale. Aceştia pot exercita atât profesia de auditor cât şi profesia de

contabil. Ei lucrează în mod independent şi nu sunt salariaţii unei entităţi. În această parte se

insistă pe constrângerile puternice asociate misiunii auditorilor şi misiunii contabililor.

Aceste principii sunt mult mai puternice şi mai severe pentru auditori decât pentru ceilalţi

profesionişti contabili.

In partea B există multe exemple în care auditorul sau contabilul liber-profesionist

poate fi pus în dificultate la aplicarea principiilor generale. Auditorul trebuie să fie atent la

modul de obţinere a unei misiuni de audit, pentru că dacă o obţine printr-o relaţie, aceasta l-ar

putea împiedica mai târziu să fie obiectiv. Poate să apară un conflict de interese într-o

misiune de audit, dacă există prea multe legături familiale sau legături cu conducătorii

entităţii. Trebuie, de asemenea, ca auditorul să respecte regulile de etică în relaţiile

profesionale cu ceilalţi auditori, cu ceilalţi contabili profesionişti.

Referitor la onorarii, nu trebuie ca un auditor sau un expert contabil să accepte un

onorariu prea mic sau prea mare, relativ la competenţele sale. Calitatea de auditor nu oferă

dreptul denigrării altui auditor, nu permite să se facă publicitate negativă altui profesionist,

indiferent de motiv. Un auditor care primeşte avantaje sau bunuri de la entitate pe care o

auditează, se îndepărtează de la scopul aplicării corecte a principiilor de etică.

Partea C, partea a treia a Codului de etică, se referă la independenţa liber -

profesioniştilor care exercită o profesie de audit. Aceasta parte cuprinde jumătate din paginile

Codului de etică, adică jumatate din Codul de etică IFAC se referă la independenţa misiunii

de auditor. Independenţa se referă la comportamentul auditorului, la independenţa în gândire,

la percepţia publicului asupra independenţei auditorului, în a cărui conştiinţă trebuie să apară

ca fiind independent. Chiar dacă auditorul este convins că este independent, dacă publicul nu

este convins de aceasta, misiunea nu este reuşită. Auditorul trebuie să fie, dar să şi apară ca

fiind independent. In aceeaşi masură trebuie ca şi societăţile de audit să fie şi să apară ca

independente.

In partea a treia a Codului IFAC se acordă atenţie profesioniştilor contabili salariaţi.

Profesioniştii salariaţi pot respecta aceleaşi reguli de etică ca şi cele ale profesioniştilor

independenţi. Există reguli de aplicare diferite, dar cadrul, conceptul ramâne acelaşi.

Manifestarea interesului personal reprezintă unul din pericolele care pot afecta independenţa

profesioniştilor salariaţi, directorilor salariaţi sau contabililor şefi. Dacă salariatul are acţiuni

la o entitate, există riscul să folosească informaţiile deţinute în profitul său personal. Trebuie

să existe reguli care să prevadă că nu se pot vinde sau cumpera acţiuni fără să fie informată

conducerea entităţii, de exemplu. Reprezentarea, intimidarea, familiaritatea sunt alte riscuri

44

care se exercită asupra profesioniştilor salariaţi sau asupra celor independenţi. Legislaţia ar

trebui să protejeze profesioniştii salariaţi atunci când aceştia ar trebui să denunţe faptele care

contravin regululor de etică ale entităţii şi pentru care deunţ ar pute fi concediaţi.


Un profesionist contabil (auditor) trebuie să respecte următoarele principii

fundamentale10

:

(a) integritate;

(b) obiectivitate;

(c) competenţa profesională şi atenţia cuvenită;

(d) confidenţialitate;

(e) comportament profesional.

Integritate

Principiul integrităţii impune ca obligaţie tuturor auditorilor să fie drepţi şi oneşti în

relaţiile profesionale şi de afaceri. Integritatea implică, de asemenea, tranzacţii corecte şi

juste.

Un auditor nu trebuie să participe la emiterea rapoartelor, evidenţelor, comunicatelor

sau altor informaţii atunci când apreciază că acestea:

Obiectivitate

Principiul obiectivităţii impune ca obligaţie tuturor auditorilor profesionişti de a nu îşi

compromite raţionamentul profesional sau de afaceri din cauza vreunor îndoieli, conflicte de

interese sau din cauza influenţei nedorite a unor alte persoane.

Un auditor profesionist nu trebuie să ajungă în vreo situaţie care i-ar putea afecta

obiectivitatea. Trebuie să evite relaţiile care influenţează în mod nejustificat raţionamentele

sale profesionale.

Competenţa profesională şi atenţia cuvenită

Principiul competenţei profesionale şi al atenţiei cuvenite impune următoarele obligaţii

auditorilor profesionişti:

(a) să-şi menţină cunoştinţele şi aptitudinile profesionale la un nivel care să le permită

să asigure clienţii sau angajatorii că primesc servicii profesionale competente; şi

(b) să acţioneze cu conştiinciozitate în conformitate cu standardele tehnice şi

profesionale aplicabile, atunci când oferă servicii profesionale .

10

Codul etic pentru auditorii profesionişti, Audit financiar 2006, Standarde, Codul etic, Editura Irecson, pag. 25

45

Furnizarea unor servicii profesionale competente presupune deţinerea unor cunoştinţe şi

aptitudini profesionale competitive şi aplicarea lor aşa cum cer principiile fundamentale.

Competenţa profesională parcurge două etape:

(a) Obţinerea unui nivel de competenţă profesională;

(b) Menţinerea competenţei profesionale.

Pentru a produce un serviciu profesional competent, auditorul trebuie să cunoască şi să

înţelegă noutăţile relevante în plan profesional şi în mediul de afaceri. Pregătirea profesională

continuă, dezvoltă şi menţine capacităţile auditorului de a desfăşura o activitate competentă.

Conştiinciozitatea este inclusă în responsabilitatea auditorului de a acţiona în misiuni cu

atenţie, meticulozitate şi la momentul potrivit.

Un auditor profesionist trebuie să se asigura că cei care îşi desfăşoară activitatea sub

autoritatea sa au pregătirea profesională necesară şi beneficiază de supravegherea adecvată.

Acolo unde este cazul, un auditor profesionist trebuie să îi facă pe clienţi, angajatori şi

alţi utilizatori ai serviciilor sale, să fie conştienţi de limitele inerente auditului, pentru a evita

înţelegerea eronată a opiniei exprimate la sfârşitul auditului.

Confidenţialitate

Principiul confidenţialităţii impune auditorilot profesionişti obligaţia să se abţină de la:

(a) Dezvăluirea în afara entităţii angajatoare a unor informaţii confidenţiale obţinute în

timpul misiunii fără o autorizare specifică şi adecvată, cu excepţia cazului în care a fost

autorizat în mod special să facă publică o anumită informaţie sau numai dacă există o

obligaţie legală sau profesională de a dezvălui acele informaţii; şi

(b) Folosirea informaţiilor confidenţiale dobândite în timpul misiunii în avantajul lor

personal sau în avantajul unor terţe părţi.

Un auditor profesionist trebuie, de asemenea, să păstreze confidenţialitatea

informaţiilor prezentate de către un posibil client sau angajator.

Un auditor profesionist trebuie, de asemenea, să păstreze confidenţialitatea

informaţiilor în cadrul entităţii angajatoare.

Un auditor profesionist trebuie să ia toate măsurile necesare pentru a se asigura că

persoanele aflate sub controlul său şi cele care îi oferă consultanţă sau asistenţă respectă

confidenţialitatea.

Necesitatea respectării principiului confidenţialităţii continuă şi după încheierea

misiunii de audit. Atunci când auditorul schimbă entitatea angajatoare sau obţine un nou

client, el este îndreptăţit să folosească experienţa anterioară. Profesionistul contabil nu

trebuie, totuşi, să folosească sau să divulge din informaţiile confidenţiale dobândite, ori

primite în misiunile anterioare.

În următoarele situaţii profesioniştii contabili sunt sau pot fi obligaţi să divulge

informaţii confidenţiale, ori dezvăluirea unor astfel de informaţii este adecvată:

(a) atunci când divulgarea este autorizată de entitatea auditată;

46

(b) atunci când divulgarea este autorizată prin lege, de exemplu:

- pentru a furniza documente sau alte probe în cursul unor proceduri judiciare; şi

- pentru a aduce la cunoştinţa autorităţilor publice autorizate eventuale încălcări ale

legii;

(c) în cazul în care există o obligaţie profesională sau un drept de a le divulga, atunci

când aceasta nu este interzisă prin lege:

- pentru a se conforma controlului calităţii unui organism membru sau al unui organism

profesional;

- pentru a răspunde unei anchete sau unei investigaţii din partea unui organism membru

sau a unui organism de reglementare.

- pentru a proteja interesele profesionale ale unui profesionist contabil în cursul

procedurilor judiciare; şi

- pentru a respecta standardele tehnice şi cerinţele etice.

Comportamentul profesional

Principiul comportamentului profesional impune auditorilor profesionişti obligaţia să

respecte legile şi reglementările relevante şi să evite acţiunile care pot discredita persoana sa

cât şi profesia. Acestea sunt acţiunile care ar determina o persoană raţională şi informată, care

cunoaşte toate informaţiile relevante, să aprecieze că buna reputaţie a profesiei este afectată

în mod negativ.

În cadrul strategiei lor de promovare şi de marketing şi a activităţii pe care o

efectuează, auditorii profesionişti nu trebuie să furnizeze informaţii eronate despre profesia

lor.

Profesioniştii contabili trebuie să fie cinstiţi, loiali şi nu trebuie:

(a) să facă revendicări exagerate pentru serviciile pe care le pot oferi, calificările pe

care le posedă şi experienţa pe care o deţin; sau

(b) să ofere referinţe compromiţătoare sau comparaţii nefundamentate cu referire la

activitatea desfăşurată de alţi auditori.

Regulile de conduită descriu aplicarea celor patru principii fundamentale într-un mod

clar şi practic, şi pot fi rezumate în felul următor:

- a îndeplini într-un mod corect misiunile;

- a respecta legea;

- a nu participa la activităţi ilegale;

- a respecta etica;

- a fi imparţial;

- a nu accepta nimic care poate să compromită decizia beneficiarilor auditului;

- a evidenţia faptele semnificative;

47

- a proteja informaţiile şi a nu avea nici un beneficiu personal;

- a nu face decât ceea ce se poate face şi a-şi îmbunătăţi competenţele;

- a respecta Normele.

5.4 Cadrul conceptual pentru identificarea, evaluarea şi contracararea

ameninţărilor

Circumstanţele în care acţionează auditorii profesionişti pot conduce la apariţia unor

ameninţări specifice la adresa conformităţii cu principiile fundamentale. Este în interesul

public existenţa unui cadru conceptual care îi cere auditorului să identifice, să evalueze şi să

răspundă acestor ameninţări conform principiilor fundamentale, şi nu doar să respecte un set

de reguli specifice care pot fi arbitrare. Pentru conformitatea cu principiile fundamentale,

Codul oferă un cadru general în sprijinul auditorului profesionist pentru identificarea,

evaluarea şi contracararea ameninţărilor. Dacă ameninţările identificate sunt semnificative,

auditorul trebuie să aplice măsuri de protecţie pentru a le elimina sau le reduce la un nivel

acceptabil, astfel încât conformitatea cu principiile fundamentale să nu fie compromisă.

Un auditor profesionist trebuie să ia în calcul atât factorii calitativi cât şi cantitativi

atunci când apreciază importanţa unei ameninţări. În cazul în care nu poate aplica măsuri de

protecţie adecvate, auditorul trebuie să refuze sau să întrerupă serviciul profesional respectiv.

Un auditor poate, în mod involuntar, să nu respecte o prevedere a acestui Cod. O

asemenea încălcare involuntară a Codului, în funcţie de natura şi semnificaţia sa, poate să nu

compromită conformitatea cu principiile fundamentale enunţate, dacă, odată ce a fost

descoperită, aceasta a fost corectată prompt şi s-au luat măsurile de protecţie necesare.

Ameninţări şi măsuri de protecţie

Conformitatea cu principiile fundamentale poate fi, teoretic, ameninţată de o

mare varietate de situaţii. Multe ameninţări se încadrează în următoarele categorii:

(a) Ameninţările generate de interesul propriu apar atunci când auditorul sau un

membru al familiei acestuia are un interes financiar sau de alt gen în legătură cu entitatea

auditată;

(b) Ameninţările generate de reprezentare pot apărea atunci când auditorul promovează

un raţionament sau o opinie care la un anumit moment pot compromite obiectivitatea;

(c) Ameninţările generate de familiaritate pot apărea atunci când, în virtutea unei relaţii

strânse, un auditor simpatizează prea mult cu interesele altor părţi; şi

(d) Ameninţările generate de intimidare apar atunci când un profesionist contabil poate

fi împiedicat să acţioneze obiectiv prin intermediul unei ameninţări, reale sau presupuse.

Măsurile de protecţie care pot elimina sau reduce la un nivel acceptabil acest gen

de ameninţări se împart în două mari categorii:

(a) măsuri de protecţie create de profesie, legislaţie sau reglementare;

48

(b) măsuri de protecţie aferente mediului de activitate.

Măsurile de protecţie create de profesie, legislaţie sau reglementare includ, dar nu sunt

limitate la:

profesie;

voltare profesională continuă;

întocmite de un profesionist contabil de către o terţă parte împuternicită prin lege.

Anumite măsuri de protecţie pot spori probabilitatea de identificare sau de eliminare a

comportamentului lipsit de etică. Astfel de măsuri de protecţie, care pot fi generate de

profesie, de legislaţie, reglementări sau de entitatea angajatoare, includ dar nu sunt limitate la:

entitatea angajatoare, de profesie sau de un organism de reglementare, care îi împuternicesc

pe colegi, angajatori sau persoane din public să atragă atenţia asupra unui comportament

neprofesional sau lipsit de etică.

Natura măsurilor de protecţie care urmează să fie aplicate se vor adapta circumstanţelor.

Soluţionarea conflictelor etice

În evaluarea conformităţii cu principiile fundamentale, unui auditor i se poate cere să

rezolve un conflict în aplicarea acestora.

În cazul iniţierii unui proces oficial sau neoficial de soluţionare a unui conflict, un

auditor profesionist trebuie să ia în considerare următoarele, fie individual, fie împreună cu

altele, ca parte a unui proces de soluţionare:

(a) fapte relevante;

(b) aspecte etice implicate;

(c) principii fundamentale legate de problema în cauză;

(d) proceduri interne stabilite; şi

(e) modalităţi de acţiune alternative.

Având în vedere aceste aspecte, un auditor profesionist trebuie să determine

modalităţile adecvate de acţiune care respectă principiile fundamentale identificate.

În cazul în care o anumită situaţie implică un conflict cu o organizaţie sau în cadrul

unei organizaţii, un auditor trebuie, de asemenea, să ia în considerare consultarea cu

49

persoanele însărcinate cu guvernarea organizaţiei, cum ar fi Consiliul de administraţie sau

comitetul de audit.

În cazul în care un conflict semnificativ nu poate fi rezolvat, un auditor poate solicita

consultare profesională din partea organismului profesional relevant sau a consilierilor

juridici, şi să obţină astfel îndrumări pe probleme etice, fără a încălca clauza de

confidenţialitate. De exemplu, un auditor poate întâlni un caz de fraudă, a cărei raportare ar

duce la încălcarea obligaţiei auditorului de a păstra confidenţialitatea. Auditorul trebuie să ia

în considerare obţinerea de consultanţă juridică pentru a determina dacă există vreo cerinţă de

a raporta acest lucru.

Dacă, după epuizarea tuturor posibilităţilor relevante, conflictul etic rămâne nerezolvat,

un auditor trebuie, acolo unde este posibil, să refuze să mai continue asocierea cu problema

care a generat conflictul. Auditorul poate determina că, în situaţia respectivă, este mai indicat

să se retragă din echipa misiunii sau dintr-o sarcină specifică, sau să renunţe deopotrivă la

acea misiune, companie sau organizaţie angajatoare.

Vocabular: codul de etică al auditorilor interni; integritate; obiectivitate;

competenţă profesională; confidenţialitate; comportament professional.

14. De ce este necesar un cod de etica pentru auditorii interni?

15. Care este structura codului de etică al auditorilor interni?

16. Care sunt principiile fundamentale după care trebuie să-şi

modeleze comportamentul auditorii interni?

17. Care sunt ameninţările cu care se confruntă auditoria interni

în timpul activităţii şi cum pot fi ele identificate, evaluate şi

contracarate?

50

Capitolul 6

Normele auditului intern






Auditul intern este o profesie, o profesie care s-a conturat de-a lungul anilor, incercând

să răspundă mereu necesităţilor în continuă schimbare pe care le au entităţile. Auditul intern,

axat la începuturile sale pe problemele contabile, a devenit astăzi un instrument puternic de

depistare a principalelor riscuri ale entităţilor. Foarte aproape, până acum câţiva ani, de

funcţia contabilă şi financiară, acesta este în prezent subordonat conducătorilor entităţilor şi

întreţine o relaţie stransă şi continuă cu comitetul de audit. Şi unul şi celălalt sunt de altfel

perfect complementari: comitetul de audit, de fapt, garantează şi consacră independenţa

auditului intern, la rândul său, auditul intern oferă comitetului de audit o analiză imparţială şi

profesionistă asupra riscurilor entităţii şi contribuie la îmbunătăţirea informării sale şi a

Consiliului în ceea ce priveşte nivelul de securitate al entităţii. Ambii participă, fiecare in

felul său, la bun a guvernare a entităţilor.

00:50



Care sunt normele după care îşi orientează activitatea auditorii

interni;

Care sunt elementele cadrului de referinţă al practicelor

profesionale ale auditorului intern;

Care sunt obiectivele normelor auditului intern;

Care sunt principalele prevederi ale standardelor de calificare

referitoare la auditorii interni şi serviciile de audit intern;

Care sunt principalele prevederi ale standardelor de funcţionare

referitoare la gestionarea auditului intern;

Care sunt factorii care justifică necesitatea şi utilitatea

normelor de audit intern.

51

Auditul intern este o profesie care se bazează pe un cadru de referinţă recunoscut în

lumea întreagă, chiar dacă, datorită varietăţii mediilor în care este practicat, acesta trebuie să

se adapteze pentru a lua în calcul particularităţile legislative şi de reglementare ale fiecarei

ţări, regulile specifice care guvernează anumite sectoare de activitate (sectorul bancar, de

exemplu) sau pur şi simplu marimea şi cultura entităţilor.

Codul deontologic

Act

ivit

ate

de

asig

ura

re

Norm

e de

apli

care

Norme de calificare

Norm

e de ap

licare

Activ

itate de co

nsiliere

Norme de funcţionare

Modalităţi practice de aplicare

Sprijin pentru dezvoltarea profesională

Cadrul de referinţă cuprinde:

● definiţia auditului intern (adoptată în luna iunie a anului 1999 de Consiliul de

Administraţie al IIA), care precizeaza că auditul intern efectuează misiuni de asigurare şi de

consiliere; că domeniile sale de responsabilitate sunt riscul, controlul intern şi guvernarea

entităţii; că finalitatea sa este aceea de a aduce un plus de valoare entităţilor;

● codul deontologic, care furnizează auditorilor interni principiile şi valorile ce le

permit să-şi orienteze practica profesională în funcţie de contextul lor specific;

● normele profesionale pentru practica auditului intern care îi ghidează pe auditorii

interni în vederea îndeplinirii misiunii lor şi în gestionarea activităţii lor;

● modalitatile practice de aplicare (MPA) care comentează şi explică normele şi

recomandă cele mai bune practici;

● sprijinul pentru dezvoltarea profesională, constituit în principal din lucrari şi articole

de doctrină, din documente ale colocviilor şi conferinţelor, precum şi ale seminariilor.

Cunoaşterea şi aplicarea acestui cadru de referinţă oferă entităţilor şi organismelor de

reglementare o asigurare privind nivelul de profesionalism al auditorilor interni.

Principiile şi regulile prevăzute de codul deontologic şi de norme au un caracter

obligatoriu. Nerespectarea acestora înseamnă nu numai să te situezi în afara profesiei, ci mai

ales să te privezi de un mijloc de a fi mai eficace şi, deci, mai credibil. Amatorismul nu mai

are ce căută în auditul intern; doar o abordare sistematică şi metodică poate aduce un plus de

valoare entităţilor.

Modalităţile practice de aplicare nu au aceeaşi putere executorie. Acestea reprezintă

totuşi referinţa în domeniu şi se recomandă cu tărie punerea lor în aplicare, admiţând totuşi

posibilitatea unor adaptări în funcţie de legile şi reglementările naţionale.

52

În ceea ce priveşte documentele clasificate la rubrica „sprijin pentru dezvoltarea

profesională“, acestea pot fi utilizate în caz de nevoie, fără a reprezenta totuşi o referinţă în

domeniu.

Normele auditului intern îşi propun:

- să definească principiile de bază;

- să furnizeze un cadru de referinţă;

- să stabilească criterii de apreciere;

- să fie un factor de îmbunătăţire.

Cerinţele codului deontologic au fost prezentate în capitolul anterior.


Acestea se referă la auditorii interni şi serviciile de audit intern. Se compun din patru

articole principale, ele însele împărţite în mai multe articole subsidiare şi norme de

implementare.

Norma 1000. Misiune, competenţe şi responsabilităţi.

Aceasta defineşte misiunea, competenţa şi responsabilităţile. Natura misiunilor trebuie

să fie definite în mod formal în Carta de audit, să fie stabilite în concordanţă cu normele şi să

fie aprobate de consiliul de administraţie. Acest document este întocmit înainte de intrarea în

funcţiune a serviciului de Audit Intern.

Modalitatea Practică de Aplicare (MPA) 1000-1 precizează modalităţile de redactare a

Cartei, conţinutul şi difuzarea ei. Modalitatea Practică de Aplicare (MPA) 1000.C1-1 prezintă

caracteristicile Auditului Intern şi importanţa principiilor directoare la realizarea misiunilor

de consiliere.

Norma 1100. Independenţă şi obiectivitate

Aceasta prezintă principiul independenţei şi îl dezvoltă în trei articole. Se precizează

astfel sensul care trebuie acordat cuvântului „independenţă“. Acestei cerinţe i se asociază

„obiectivitatea“. Nu există o adevarată independenţă fără obiectivitate.

Norma 1200. Competenţe şi conştiinţă profesională

Regăsim aici prezentarea anumitor principii enunţate în Codul deontologic. Cerinţele

referitoare la acestea sunt prezentate în Modalitatea Practică de Aplicare (MPA) 1200-1. Nu

trebuie să confundăm competenţele individuale ale auditorilor cu competenţele globale ale

serviciului.

Auditorii interni trebuie să deţină cunoştinţele, priceperea şi celelalte competenţe

necesare exercitării responsabilităţilor lor individuale. Serviciul de audit intern trebuie să

deţină sau să dobândească în mod colectiv cunoştinţele, priceperea şi celelalte competenţe

necesare exercitării responsabilităţilor care le revin.

Auditorii interni trebuie să îşi exercite activitatea cu conştiinciozitatea şi priceperea

care se aşteaptă din partea unui auditor intern prudent şi competent. Conştiinţa profesională

nu implică infailibilitatea.

Norma 1300 Program de asigurare şi îmbunătăţire a calităţii

Responsabilul pentru activitatea de audit intern trebuie să elaboreze şi să actualizeze un

program de asigurare şi îmbunătăţire a calităţii care să acopere toate aspectele legate de

activitatea de audit intern şi să monitorizeze permanent eficacitatea acestuia. Acest program

include evaluări interne şi externe ale calităţii şi o monitorizare internă permanentă. Fiecare

53

parte a programului trebuie să fie concepută astfel încât să ajute activitatea de audit intern să

aducă un plus de valoare şi să îmbunătăţească activităţile entităţii, şi să ofere o asigurare că

activitatea de audit intern se desfăşoară în conformitate cu Standardele şi cu Codul Etic.


Normele cuprind şase articole care se referă la gestionarea auditului intern, natura

activităţii, planificarea misiunii, realizarea misiunii, comunicarea rezultatelor, supravegherea

aplicării propunerilor şi acceptarea riscurilor evidenţiate în raportul de audit de către

conducere.

Norma 2000 – Gestionarea activităţii de audit intern

Responsabilul pentru activitatea de audit intern trebuie să gestioneze în mod eficient

activitatea de audit intern astfel încât să garanteze că ea aduce un plus de valoare entităţii.

Activitatea de audit intern se planifică. Aceasta permite administrarea resurselor şi

comunicarea cu conducerea. Auditul intern trebuie să aibă propriile sale proceduri şi auditorii

interni trebuie să colaboreze cu auditorii externi.

Responsabilul cu activitatea de audit intern trebuie să prezinte periodic

managementului şi Consiliului de administraţie informaţii referitoare la scopul, autoritatea,

responsabilitatea şi funcţionarea compartimentului de audit intern, în conformitate cu planul

stabilit.

Norma 2100 – Natura activităţii

Activitatea de audit intern trebuie să evalueze şi să contribuie la îmbunătăţirea sistemelor de

management al riscurilor, control intern şi de guvernanţă a entităţii folosind o abordare

sistematică şi metodică.

Activitatea de audit intern trebuie să ajute entitatea la identificarea şi evaluarea

expunerilor la riscurile semnificative şi să contribuie la îmbunătăţirea sistemelor de

management al riscurilor şi de control.

Activitatea de audit intern trebuie să ajute entitatea să-şi dezvolte un control intern

eficient, evaluând eficacitatea şi eficienţa acestuia şi încurajând îmbunătăţirea lui continuă.

Activitatea de audit intern trebuie să evalueze şi să facă recomandări adecvate pentru

îmbunătăţirea procesului de guvernanţă corporativă.

Norma 2200 – Planificarea misiunii

Auditorii interni trebuie să elaboreze şi să înregistreze un plan pentru fiecare misiune,

incluzând aria de aplicabilitate, obiectivele, calendarul şi alocarea resurselor pentru acesta.

Norma 2300 – Realizarea misiunii

Auditorii interni trebuie să identifice, analizeze, evalueze şi culeagă informaţii

suficiente pentru atingerea obiectivelor misiunii. Trebuie să identifice informaţiile suficiente,

fiabile, pertinente şi utile pentru atingerea obiectivelor misiunii, să-şi bazeze concluziile şi

rezultatele misiunii lor pe analize şi evaluări corespunzătoare, să obţină informaţiile relevante

în vederea justificării concluziilor şi rezultatelor misiunii.

Norma 2400 – Comunicarea rezultatelor

Auditorii interni trebuie să comunice rezultatele misiunii. Comunicarea trebuie să

includă obiectivele şi aria de aplicabilitate ale misiunii, precum şi concluziile, recomandările

şi planurile de acţiune aplicabile. Comunicarea trebuie să fie corectă, obiectivă, clară,

concisă, constructivă, completă şi realizată în timp util. Responsabilul pentru activitatea de

audit intern trebuie să difuzeze rezultatele părţilor îndreptăţite.

54

Norma 2500 – Monitorizarea evoluţiei

Responsabilul pentru activitatea de audit intern trebuie să stabilească un program de

urmărire a aplicării propunerilor auditorilor interni, acceptate de conducere, prin care să se

garanteze că deciziile luate de management au fost aplicate în mod eficient sau că

managementul a acceptat să-şi asume riscul de a nu întreprinde nici o măsură.

Norma 2600 – Acceptarea riscurilor de către management

Atunci când responsabilul pentru activitatea de audit intern consideră că managementul

a acceptat un nivel al riscului rezidual care poate fi semnificativ pentru entitate, responsabilul

pentru activitatea de audit intern trebuie să discute acest aspect cu managementul. Dacă nu

pot lua o decizie cu privire la riscul rezidual, managerul entităţii şi responsabilul pentru

activitatea de audit intern trebuie să se adreseze consiliului de administraţie pentru

soluţionarea acestei situaţii.


Normele de audit intern au fost îmbunătăţite mereu pentru a le spori utilitatea.

Necesitatea existenţei unor norme cât mai clare şi precise este dată de:

• principiile fundamentale, acceptate de comunitatea internaţională a auditorilor, oferă

unitate obiectivelor şi metodei auditului intern; contribuie la crearea funcţiei de audit intern

care, fără acestea, ar risca să nu fie decât o însumare de practici diverse şi eteroclite;

• principiile fundamentale au permis nu doar crearea funcţiei ci şi dezvoltarea ei

continuă, îmbogăţirea metodei pe baza comentariile şi modalităţilor de aplicare asociate

acestor principii;

• definind un program de asigurare a calitaţii şi obligând auditorii să-l respecte, normele

au ridicat auditul intern la nivelul activităţilor organizate şi certificate;

• existenţa normelor permite auditorilor interni să-şi exercite funcţia cu mai multă

autoritate; este un indiciu că această activitate are standarde de calitate, ceea ce oferă

încredere în serviciile oferite.

Vocabular: cadrul de referinţă al practicilor profesionale; norme de aplicare;

norme de calificare; norme de funcţionare; modalităţi practice de aplicare.

1. Care sunt normele după care îşi orientează activitatea auditorii interni?

2. Care sunt elementele cadrului de referinţă al practicelor profesionale ale

auditorului intern?

3. Care sunt obiectivele normelor auditului intern?

4. Care sunt principalele prevederi ale standardelor de calificare referitoare la

auditorii interni şi serviciile de audit intern?

5. Care sunt principalele prevederi ale standardelor de funcţionare referitoare la

gestionarea auditului intern?

6. Care sunt factorii care justifică necesitatea şi utilitatea normelor de audit intern?

55

Capitolul 7

Auditul intern şi riscurile de management








7.8 Gruparea instrumentelor de control intern după modul de acţiune împotrina

riscurilor





În orice entitate, cât şi în mediul în care aceasta acţionează, există incertitudini şi

ameninţări referitoare la realizarea obiectivelor. Orice manager este preocupat de gestionarea

ameninţările, sau de fructificarea oportunităţile. Dacă incertitudinea este o realitate cotidiană,

atunci şi reacţia la incertitudine poate devini o preocupare permanentă.

Auditul intern poate contribui la implementarea managementului riscurilor, aducând motivaţii

specifice11

.

a) Auditul intern poate contribui la modificarea stilului de management

11

Metodologie de implementare a standardului de control intern „managementul riscurilor“, Unitatea Centrală

de Armonizare a Sistemelor de Management Financiar şi Control, MFP, ianuarie 2007, www.mfinante.ro

00:10050



Cum poate contribui auditul intern la îmbunătăţirea

managementului riscurilor;

Cum se armonizează auditul intern cu cerinţele managementului

riscurilor;

Cum acţionează auditorii interni pentru identificarea şi evaluarea

riscurilor de management.

56

Contribuind la identificarea riscurilor, auditul intern oferă managerilor posibilitatea să

adopte un stil de management reactiv, să conceapă şi să implementeze măsuri susceptibile de

a atenua manifestarea riscurilor. Reacţia orientată spre viitor permite organizaţiei să

stăpânească, în limite acceptabile, riscurile trecute, ceea ce este acelaşi lucru cu creşterea

şanselor de a-şi atinge obiectivele. Stăpânirea riscurilor reale (riscurile care s-au manifestat

deja, dar care sunt negestionate corespunzator şi care pot apare şi în viitor) este o garanţie că

sistemele de control intern sunt eficace. Tratarea riscurilor reale permite entităţii să nu se mai

confrunte în viitor, în aceeaşi măsură, cu acele riscuri cu care s-a confruntat în trecut. Din

păcate, este destul de răspandită concepţia conform căria eficacitatea acţiunii manageriale

constă în limitarea efectelor riscurilor materializate.

Limitarea la managementul reactiv este, totuşi, insuficientă pentru un management

performant. Nici o organizaţie nu poate fi condusă numai după principiul „văzând şi facând”.

La fel de importantă este şi identificarea posibilelor ameninţări, înainte ca ele să-şi

materializeze şi să producă consecinţe nefavorabile asupra obiectivelor stabilite. Aceasta

înseamnă a adopta un stil de management proactiv. Managementul proactiv are la bază

principiul „este mai bine să previi, decât să constaţi un fapt împlinit”.

În entităţile care beneficiază de un audit intern performant, „scrutarea orizontului“ nu se

limitează la viitorul imediat, ci ia în considerare şi perspective mai îndepărtate. În aceste

situaţii, managementul proactiv devine un management prospectiv, în care managementul

încearcă să identifice acele riscuri potenţiale, acele riscuri care pot aparea ca urmare a

modificărilor de strategie sau de mediu. Organizaţia trebuie pregătită pentru a accepta

schimbarea. Auditul intern susţine mangementul entităţii să excludă expectativa şi să

promoveaze acţiunea şi previziunea.

b) Auditul intern poate facilita realizarea eficientă şi eficace a obiectivelor organizaţiei

Revizuirea periodică a riscurilor de către auditul intern, poate conduce la realocarea

resurselor, în concordanţă cu modificarea ierarhiilor şi, implicit a priorităţilor. Susţinerea

eforturilor managementului riscurilor poate orienta concentrarea resurselor în zonele de

interes actuale ale entităţii.

Cunoaşterea ameninţărilor permite o ierarhizare a acestora în funcţie de eventualitatea

materializării lor, amploarea impactului acestora asupra obiectivelor şi de costurile pentru

reducerea şansele de apariţie sau limitarea efectele nedorite. Stabilirea unor ierarhii constituie

suportul introducerii unei ordini de priorităţi în alocarea resurselor, în majoritatea cazurilor

limitate, în urma unei analize „cost-beneficiu“ sau, mai general, „efort-efect“. Este esenţial ca

organizaţia să-şi concentreze eforturile spre ceea ce este cu adevarat important, şi nu să-şi

disperseze resursele în zone nerelevante pentru scopurile sale.

c) Auditul intern asigură condiţiile de bază pentru un control intern sănătos

Dacă auditul intern cuprinde ansamblul măsurilor stabilite de conducere pentru a se

obţine asigurări rezonabile că obiectivele controlului intern şi ale entităţii vor fi atinse, rezultă

că auditul intern este unul din mijloacele importante prin care se realizează acest lucru,

deoarece urmăreşte tocmai gestiunea ameninţărilor ce ar putea avea impact negativ asupra

obiectivelor. Cu alte cuvinte, dacă se urmăreşte consolidarea controlului intern, este

57

indispensabilă implementarea auditul intern. Planul de acţiune (activităţile ce trebuie

desfăşurate pentru realizarea obiectivelor) trebuie urmat de planul ce cuprinde măsurile ce

atenuează manifestarea riscurilor şi de planul de tratare a situaţiilor dificile (riscuri

materializate).


Managementul riscurilor este un atribut al conducerii, este realizat cu participarea

personalului entităţii şi constă în: definirea strategiei specifice; identificarea şi evaluarea

riscurilor ce pot afecta entitatea şi activităţile ce se desfăşoară în cadrul acesteia, ţinând cont

de parteneriate şi de mediu; controlul riscurilor astfel încât acestea să se încadreze în limitele

toleranţei la risc; monitorizarea, revizuirea şi raportarea continuă a situaţiei riscurilor,

beneficiindu-se de experienţa acumulată (proces de învăţare), pentru a se obţine o garanţie

rezonabilă cu privire la realizarea obiectivelor entităţii.

Managementului riscurilor nu este un proces linear, componentele lui interacţionând

continuu. Gestionarea unui risc poate avea un impact asupra altor riscuri sau măsurile

identificate ca fiind eficace pentru controlarea unui risc se pot dovedi benefice şi în

controlarea altor riscuri. De asemenea, modelul încearcă să sugereze că managementul

riscurilor nu are în vedere o entitate izolată ci, aşa cum se întâmplă în realitate, o entitate

integrată în mediul său de existenţă.

Mediul economic şi social

Parlament Astepţările factorilor interesaţi

Guvern Condiţii economice

Legi şi alte reglementări Contextul internaţional

Entitatea extinsă

•Entitate afiliată • Entităţi partenere

•Entitate subordonată •Alte entităţi incidente

Entitatea

Identificarea riscurilor Evaluarea riscurilor

Monitorizarea, revizuirea şi

raportarea riscurilor

Atitudinea faţă de risc.

Controlul riscurilor

Proces de

învăţare

Modelul de management al riscurilor

58

Managementul riscului este un proces continuu de învăţare din experienţe trecute,

proprii sau ale altora. Ceea ce este extrem de important în demersul de a se ajunge la un

management al riscurilor eficace este consolidarea permanenta a unei culturi

organizaţionale a riscurilor.

Modelul auditului intern trebuie să fie adaptat modelului de management al riscului

pentru că activitatea sa urmăreşte tocmai identificarea, evaluarea şi stabilirea impactului

riscurilor.


Pentru a se gestiona riscurile într-o entitate, este necesar, înainte de toate, să se

cunoască aceste riscuri, adică să fie identificate. Identificarea riscurilor constituie primul pas

în construirea profilului riscurilor unei organizaţii. Riscurile trebuie identificate la orice nivel

unde se sesizeaza că există consecinţe asupra atingerii obiectivelor şi pot fi luate măsuri

specifice de soluţionare a problemelor, ridicate de respectivele riscuri.

Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a caror realizare

este afectată de materializarea lor. Din această cauză existenţa unui sistem de obiective clar

definite în entitate constituie premisa esenţială pentru identificarea şi definirea riscurilor. Se

face definirea clară a sistemului de obiective, începând cu cele generale şi terminând cu cele

individuale, şi numai după aceea se identifică ameninţările şi oportunităţile.

În raport de situaţia în care se află organizaţia, identificarea riscurilor se poate afla într-

una din urmatoarele ipostaze:

• Identificarea iniţială a riscurilor caracteristică organizaţiilor noi sau care nu şi-au

identificat anterior riscurile, într-o manieră structurată.

De asemenea, această situaţie se întâlneşte în cazul demarării unui nou proiect sau

atunci când o activitate nouă este introdusă în entitate.

• Identificarea permanentă a riscurilor caracteristică organizaţiilor în care s-a

consolidat managementul riscurilor. Identificarea continuă este necesară pentru cunoaşterea

riscurilor care nu s-au manifestat anterior datorită circumstanţelor, a schimbării

circumstanţelor în care se manifestă riscurile identificate anterior, precum şi pentru stabilirea

riscurilor care s-au manifestat în trecut, dar care nu mai prezintă, în prezent, importanţa

pentru organizaţie.

Rriscul este o problemă (situaţie, eveniment etc.) care poate să apară, dar care nu a

aparut încă. Riscul este o posibilitate, şi nu un fapt împlinit. Riscul este o incertitudine, şi nu

ceva sigur. Riscurile au o cauză şi un efect asupra obiectivelor. Există o cauză pentru fiecare

risc şi un efect dacă riscul se materializează. Efectul (consecinţa) este impactul. Cauza este o

situaţie care există (circumstanţa) şi care favorizează apariţia riscului.

Riscul inerent este riscul specific ce ţine de realizarea obiectivului, fără a se interveni

prin măsuri de atenuare a riscurilor (controlul intern).

Riscul rezidual este riscul ce rămâne după ce s-au pus în operă măsurile de atenuare a

riscurilor inerente sau, cu alte cuvinte, riscurile remanente controlului intern. Riscul rezidual

59

este consecinţa faptului că riscurile inerente nu pot fi controlate în totalitate. Oricâte măsuri s-

ar lua, incertitudinea rămâne. Mai mult decât atât, amploarea măsurilor de ţinere sub control a

riscurilor inerente este limitată, deoarece resursele posibil de antrenat sunt ele însele limitate.

Identificarea riscurilor nu este întotdeauna o operatiune strict obiectivă ci, în primul

rând, o problemă de percepţie. De fapt, se poate afirma că nu se operează cu riscuri în sine, ci

cu percepţii asupra riscurilor.

Pentru a atenua subiectivismul în perceperea riscurilor este recomandat să se recurgă la

două metode complementare de identificare a riscurilor cu care se confruntă entitatea:

- Autoevaluarea riscurilor. Metoda are avantajul că fiecare grup, care participă la o

activitate omogena a organizaţiei, cunoaşte mult mai bine problemele cu care se confruntă în

realizarea obiectivelor proprii. Totodată, atunci când membrii colectivului sunt puşi în

situaţia de a descoperi ei înşişi riscurile, ei tind să devină mai conştienţi şi mai responsabili în

gestionarea acestora.

Dezavantajul metodei constă în faptul că fiind implicaţi direct în activitate,

subiectivismul în perceperea riscurilor este mai accentuat. Se întâmplă să se identifice riscuri

nerelevante, dar care în percepţia colectivă par importante şi invers.

Rolul auditului intern al acelei activităţi este esenţial în autoevaluare. Având o viziune

de ansamblu a activităţii pe care o coordonează, percepe mai bine riscurile generale şi

intercondiţionarile dintre riscurile individuale.

De asemenea, acesta identifică acele riscuri care afectează activitatea grupului, dar pe

care nu le poate controla la nivelul său fiind necesară intervenţia managementului de nivel

imediat superior.

Pentru început, dar şi pentru procesul de revizuire continuă, este bine ca entitatea să-şi

formeze un grup de persoane care să capete abilităţi în identificarea riscurilor. Aceste

persoane pot asista colectivele de autoevaluare.

- Desemnarea unei echipe de audit intern, proprie sau cu serviciul externalizat, care

să analizeze toate operaţiunile şi activităţile organizaţiei în corelare cu obiectivele şi să

identifice riscurile asociate. Echipa trebuie să realizeze un profil al riscurilor organizaţiei.

Avantajul acestei metode constă în atenuarea subiectivismului şi în corelarea riscurilor

pe diferite nivele. Dezavantajul îl reprezintă faptul că anumite riscuri, aparent neimportante,

pot fi ignorate.

Riscurile identificate trebuie grupate. Nu există o grupare standard, fiecare organizaţie

poate adopta propriul sistem de grupare a riscurilor cu scopul de a le administra

corespunzător. Apartenenţa la o clasa de probleme, nivelele de responsabilitate în gestionarea

riscurilor, congruenţa măsurilor ce trebuie luate etc, pot constitui elemente în bază cărora să

se facă această grupare.

După amploarea impactului riscurile pot fi strategice sau operaţionale (în unele

abordări apar şi riscurile intermediare sau de program). De asemenea, unele riscuri îşi au

originea în mediul extern organizaţiei (riscuri externe), iar altele sunt proprii organizaţiei

60

însăşi (riscuri interne). De asemenea, pot fi privite prin prisma naturii activităţii, caz în care,

acestea pot fi riscuri: legislative, juridice, financiare, profesionale, sociale, comerciale,

informaţionale, de funcţionare, de mediu, de imagine (credibilitate), patrimoniale etc.


Odată riscurile identificate se trece la a doua etapă, de evaluare a riscurilor.

Evaluarea riscurilor presupune evaluarea probabilităţii de materializare a riscurilor şi a

impactului (consecinţelor) asupra obiectivelor în cazul în care acestea se materializează.

Combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului constituie

expunerea la risc, în baza căreia se realizează profilul riscurilor.

Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor unei organizaţii care, în

funcţie de tolerabilitatea la risc, permite stabilirea celor mai adecvate modalităţi de tratare a

riscurilor şi delegarea responsabilităţii de gestionare a riscurilor celor mai potrivite nivele

decizionale.

A ierarhiza însemnă a compara, iar pentru a compara trebuie concepută o metodă

unitară de evaluare a probabilităţii şi a impactului riscurilor ca şi a rezultantei compunerii lor

numită, aşa după cum s-a arătat, expunere la risc.

Există riscuri care pot fi cuantificate şi pentru care există suficiente date stocate în

documentele entităţii cum ar fi, spre exemplu, riscurile financiare, de personal sau de

fiabilitate a aparaturii, dar şi riscuri care nu pot fi cuantificate cum ar fi, spre exemplu,

riscurile legate de credibilitate.

Din fericire există un element comun, şi anume: percepţia noastră asupra riscurilor care

ne ajută. Fără îndoială, orice metodă bazată pe percepţie este subiectivă, dar, în lipsă de

altceva, este un mare pas înainte în comparaţie cu situaţia în care riscurile sunt tratate intuitiv

şi întâmplător, uneori chiar fără să fim conştienţi că facem acest lucru.

Metoda bazată pe percepţie are însă o justificare obiectivă. Nu atât nivelele evaluate ale

riscurilor au importanţă, cât mai ales dacă riscurile sunt percepute sau nu ca tolerabile. Cu

alte cuvinte, deviaţia expunerii la risc faţă de tolerabilitatea la risc este relevantă deoarece

aceasta creează motivaţia pentru găsirea metodelor cele mai adecvate de gestionare a

riscurilor.

Evaluarea riscurilor constă în parcurgerea următoarelor etape:

a) evaluarea probabilităţii de materializare a riscului identificat;

b) evaluarea impactului asupra obiectivelor în cazul în care riscul s-ar materializa;

c) evaluarea expunerii la risc ca o combinaţie între probabilitate şi impact.

a) Evaluarea probabilităţii de materializare a riscului identificat

61

Se obţine o evaluare destul de bună a probabilităţii de materializare a unor riscuri prin

analiza circumstanţelor. Metoda analizei circumstanţelor are la bază un postulat simplu: dacă

există aceleaşi cauze vor exista aceleaşi efecte. Nu trebuie redus totul la experienţa proprie.

Uneori este suficient să cunoaştem corelaţiile stabilite de alţii şi să înţelegem pe cele ce apar

în situaţii noi.

Într-o entitate sau/şi în mediul cu care interacţionează pot exista, la un moment dat,

condiţii (stări de fapt, circumstanţe) care favorizează apariţia riscului şi condiţii care

defavorizează apariţia acestuia. Prin urmare, dacă se face o analiză a cauzelor care

favorizează apariţia riscurilor se poate face o apreciere a şanselor de materializare a acestora.

Fără îndoială analiza circumstanţelor conduce la o evaluare a probabilităţii cu un grad

mai mare de relativitate. Dar acesta nu constituie un impediment major, atâta timp cât

evaluarea are la bază informaţii şi analize pertinente.

Atunci când se recurge la metoda analizei circumstanţelor, domeniul în care funcţia de

probabilitate ia valori se poate înlocui cu o scală de evaluare.

Această scală de evaluare a probabilităţii de materializare a riscurilor poate fi de tipul:

Probabilitatea de materializare a riscului

Apreciere

calitativă Scăzută Medie Ridicată

Apreciere

cantitativă 0,5% 2% 5%

Aprecierea în termeni cantitativi ai probabilităţii (%) depinde de natura riscului şi de

atitudinea faţă de risc a evaluatorului. Probabilitatea poate lua valori de la zero până la 1,00

(100%).

Prin introducerea acestei scale, în urma analizei circumstanţelor, am identificat un

instrument cu ajutorul căruia putem să apreciem posibilitatea de materializare a riscului

(scăzută, medie sau ridicată). În acest fel am simplificat mult efortul de evaluare a

probabilităţii de materializare a riscurilor. Chiar şi evaluările cantitative ale probabilităţilor

pot fi realizate cu această scală.

La evaluările cantitative trebuie să se recurgă ori de câte ori este posibil. Ele cer o

fundamentare mai riguroasă şi mai obiectivă decât în cazul evaluării calitative.

Pe măsură ce organizaţia se familiarizează cu problematica riscurilor, iar managementul

riscurilor devine o componentă de bază a managementului general al organizaţiei, se poate

trece la o evaluare mai analitică ce presupune utilizarea unei scale în cinci trepte.

b). Evaluarea impactului asupra obiectivelor în cazul materializării riscurilor

62

Impactul reprezintă efectul produs asupra obiectivelor (rezultatelor) aşteptate, care

poate fi, în funcţie de natura riscului, negativ sau pozitiv. Impactul măsoară consecinţele

asupra obiectivelor urmărite dacă riscurile s-ar materializa.

Impactul poate fi exprimat în termeni cantitativi sau calitativi. Numai unele riscuri se

pretează la evaluări cantitative, pentru multe dintre ele fiind posibilă doar evaluarea calitativă.

Evaluările cantitative ale impactului trebuie făcute ori de câte ori este posibil, deoarece

sunt mult mai relevante, dar în final pentru obţinerea unei imagini unitare asupra riscurilor ce

pot afecta entitatea, evaluările cantitative vor fi transpuse şi sub formă calitativă.

În unele situaţii, mai ales când este vorba de obiective strategice, iar organizaţiile sunt

complexe (similar, proiecte complexe, activităţi complexe), evaluarea impactului devine

dificilă şi necesită studii de impact.

Impactul oricărui risc este caracterizat prin consecinţele produse. Alături de consecinţe

calitative, prezentate descriptiv, pot fi identificate şi consecinţe exprimate în termeni de buget

(costuri), de efort (timp de muncă) şi de timp (întârzieri posibile în termenul de realizare a

obiectivelor). Nu este obligatoriu ca evaluarea impactului să se facă prin toate aceste

componente. Uneori nu este posibil, iar alteori nu este relevant.

În multe cazuri în entitate sunt fixate obiective măsurabile începând de la nivelul

programelor (bugetarea pe programe) şi terminând cu sarcinile individuale. Fiecărui obiectiv i

se ataşează indicatori de rezultate ce pot fi cuantificaţi şi monitorizaţi. Impactul riscurilor este

exprimat în acest caz prin efectul pe care îl are materializarea riscurilor asupra indicatorilor

referitori la rezultate.

Pentru aprecierea impactului se folosesc scale de evaluare. Aceste scale oferă un

instrument cu ajutorul căruia se poate măsura importanţa materializarea riscurilor

(impactului) asupra obiectivelor entităţii. Pentru etalonarea scalei se folosesc unităţi

canatitative sau calitative.

Scală de evaluare calitativă a impactului

Ridicat I

M

P

A

C

T

Mediu

Scăzut

Numărul diviziunilor de etalonare a scalei sunt stabilite de fiecare entitate, pentru

fiecare grup de riscuri sau activităţi.

În cazul evaluărilor cantitative scala va fi exprimată în unităţile specifice folosite pentru

exprimarea obiectivului afectat (lei, kg., m2, ore etc.) De exemplu: devalorizarea monedei

naţionale cu 2% ar putea determina entităţii X, care realizează importuri din produsul Y, dacă

s-ar concretiza riscul, o pierdere de 10.000 ron. În acest caz impactul este măsurat în lei.

63

Scala va fi etalonată în lei şi se va desfăşura de la zero la nivelul maxim posibil al impactului

(pierderii).

c) Evaluarea expunerii la risc

Expunerea la risc reprezintă consecinţele, ca o combinaţie de probabilitate şi impact, pe

care le poate resimţi o entitate în raport cu obiectivele prestabilite în cazul în care riscul s-ar

materializa.

Expunerea la risc nu este o măsură a consecinţelor, ci o măsură probabilistică a

acestora. Expunerea la risc este un concept probabilistic, deoarece exprimă o combinaţie între

probabilitate şi impact. Ca urmare, ea are semnificaţie numai înaintea producerii riscului.

După manifestare, riscul nu mai este o incertitudine, ci devine un fapt împlinit, iar în termenii

teoriei probabilităţilor aceasta înseamnă că probabilitatea de apariţie (materializare) a riscului

este 1 (eveniment sigur). În aceste condiţii expunerea la risc este de fapt impact.

De asemenea, în definiţie se precizează că expunerea la risc este o combinaţie între

probabilitate şi impact. Scala de evaluare a expunerii la risc nu mai este unidimensională, ca

în cazul probabilităţii sau impactului, ci una bidimensională sau, cu alte cuvinte, de tip

matricial. Liniile matricei descriu variaţia probabilităţii, iar coloanele variaţia impactului.

Expunerea la risc apare la intersecţia liniilor cu coloanele.

Dacă organizaţia a adoptat scalele de evaluare calitativă în trei trepte pentru

probabilităţi şi impact, expunerea la risc va fi exprimată în acest caz prin 9 valori (3x3).

Evaluarea expunerii la risc = probabilitatea

* impactul (E=P*I)

Ridicat I

M

P

A

C

T

S*R M*R R*R

Mediu S*M M*M R*M

Scăzut S*S M*S R*S

Probabilitate

Scăzută Medie Ridicată

Tabelul evidenţiază o ierarhizare a riscurilor. Un risc cu expunerea R·R (probabilitate

de apariţie ridicată şi impact ridicat în cazul materializării) nu este echivalent cu un risc

căruia i se asociază expunerea S·S (probabilitate de apariţie scăzută, impactul scăzut în cazul

materializării).

Gruparea riscurilor identificate într-o organizaţie în funcţie de expunerea la risc

conduce la realizarea profilului de risc al organizaţiei.

Atunci când din diferite motive, se optează pentru utilizarea scalelor numerice, ele

trebuie dublate cu scalele calitative. În acest mod se controlează mai bine semnificaţia

informaţiilor (expunerii) obţinute. Dacă la aceasta se adaugă documentaţia riscului (care

64

poate cuprinde, eventual, şi evaluări cantitative) cu siguranţă se poate fundamenta mult mai

bine modelul riscurilor. Trebuie găsit un echilibru între simplificare şi detaliere pentru a nu se

pierde din semnificaţie, pentru că putem fi copleşiţi de amănunte a căror semnificaţie nu o

mai putem controla.

Riscul inerent şi riscul rezidual sunt două ipostaze ale aceluiaşi risc: înainte de

introducerea unui instrument de control intern şi, respectiv, după introducerea unui

instrument de control intern. Prin urmare expunerea la riscul inerent este o măsură a riscului

la care se expune entitatea dacă nu funcţionează sistemul de control intern, iar expunerea la

riscul rezidual este o măsură a riscului rămas după ce au fost implementate instrumentele de

control intern.

Deoarece controlul intern are scopul de a atenua posibilitatea de apariţie a riscului

şi/sau de a atenua impactul asupra obiectivelor între cele două expuneri la risc, există relaţia:

Erisc inerent > Erisc rezidual

Despre sistemele de control intern se poate afirma că sunt adecvate sau nu, dar nu se

poate susţine că nu există. Din această cauză, riscul inerent şi rezidual au un caracter relativ şi

nu absolut. Dacă controlul intern implementat la un moment dat în entitate în raport cu un

anumit risc are drept consecinţa o expunere la risc ce depăşeşte limitele de tolerabilitate,

riscul rezidual anterior este considerat risc inerent în raport cu ajustările şi dezvoltările

sistemului de control intern existent. Sistemul de control intern ajustat şi dezvoltat pentru a

surprinde modificările de circumstanţe se finalizează printr-un nou risc rezidual. Ipostaza de

risc inerent şi rezidual se stabileşte în raport cu controlul intern.


Toleranţa la risc reprezintă riscul pe care o entitate este pregătită să o tolereze sau la

care este dispusă să se expună la un moment dat.

Conceptul de toleranţă la risc are semnificaţii diferite în funcţie de natura riscului, care

poate fi o oportunitate sau o ameninţare.

Când se au în vedere oportunităţile, conceptul de toleranţă la risc se referă la a analiza

cât de mult este dispus cineva să rişte în speranţa că va beneficia de pe urma acelor

oportunităţi, iar când se au în vedere ameninţările, toleranţa la risc se referă la expunerea

tolerabilă şi justificabilă care trebuie atinsă în practică.

În interpretarea conceptelor de mai sus nu trebuie uitat faptul că riscul este o

incertitudine. Prin urmare, oportunitatea se poate realiza sau nu, ca de altfel şi ameninţarea.

Expunerea la risc (ca o combinaţie dintre probabilitate şi impact), capătă sens numai în

raport cu nivelul toleranţei la risc. Când expunerea la risc este comparată cu toleranţa la risc,

amploarea măsurilor de control al riscurilor ce trebuie luate devine evidentă. Cu alte cuvinte,

nu valoarea absolută a expunerii la risc este importantă, ci deviaţia expunerii la risc

faţă de toleranţa la risc. Mai simplu spus, esenţial este faptul dacă riscul este perceput

ca tolerabil sau nu.

65

Dacă expunerea la riscul inerent (riscul înainte de aplicarea măsurilor de control intern

al riscurilor) este mai mică sau egală cu toleranţa la risc definită de manageri, nu se impun

măsuri de control al riscurilor, ceea ce înseamnă că riscurile sunt acceptate. În caz contrar,

sunt necesare măsuri de control al riscurilor astfel încât expunerea la riscul rezidual (riscul

care rămâne după aplicarea măsurilor de control al riscurilor) să se încadreze în limitele de

toleranţă la risc stabilite.

Dacă riscurile, atunci când se materializează, conduc la compromiterea (totală sau

parţială) realizării obiectivelor, atunci de ce nu se stabileşte o toleranţă zero la risc? Pentru că

măsurile de control al riscurilor generează costuri (financiare şi/sau de altă natură), iar în

unele situaţii nu pot fi controlate toate circumstanţele care favorizează materializarea

riscurilor. Stabilirea unei limite de toleranţă la risc înseamnă de fapt alegerea unui echilibru

între „costul“ controlului riscurilor şi „costul“ (financiar şi/sau de altă natură) expunerii, în

cazul în care aceasta ar deveni realitate.

Stabilirea limitei de toleranţă la risc este un act major de responsabilitate managerială,

fiindcă prin aceasta se stabileşte expunerea la risc asumata, în corelare cu costurile, de

asemenea asumate, ale măsurilor de control a riscurilor.

Dacă expunerea la risc este o mărime probabilistică măsurată într-un format matricial

(combinaţie de probabilitate şi impact), atunci şi toleranţa la risc are aceleaşi caracteristici.

Asupra tuturor riscurilor, care au nivelul expunerii mai mare decât limita de toleranţă,

trebuie întreprinse măsuri pentru aducerea expunerii acestora la riscurile reziduale sub

această limită de toleranţă.

Profilul de risc creează o imagine globală a organizaţiei din perspectiva riscurilor, însă

utilitatea practică o au tabelele de risc, care sunt structurate astfel încât să devină instrumente

operaţionale ale managementului riscurilor.

Secvenţa din tabelele de risc (numite şi registru de risc), care cuprinde riscurile

identificate, evaluarea expunerii riscurilor inerente şi intensitatea deviaţiei faţă de toleranţa la

risc, se prezintă astfel:

Tabelul riscurilor

Denumire

risc

Riscul inerent

Probabilitate Impact Expunere (E) raportată la

limita de toleranţă (LT)

Riscul 1 Ridicată (R) Ridicată (R) RR > limita de toleranţă

Riscul 2 Medie (M) Scăzută (S) MS < limita de toleranţă

Riscul 3 Scăzută (S) Scăzută (S) SS < limita de toleranţă

Din Tabelul riscurilor reiese că numai Riscul 1 are o expunere mai mare decât limita de

toleranţă la risc. Auditul intern va propune ce măsuri ar trebui luate pentru aducerea expunerii

lui sub limita de toleranţă.

Limita de toleranţă la risc nu este imuabilă. Oricând nivelele superioare de management

au libertatea de a creşte sau a scădea riscul pe care sunt dispuse să şi-l asume în funcţie de

66

circumstanţe şi moment. Dar stabilirea limitelor de toleranţă şi modificarea acestora nu sunt

acte arbitrare, deoarece măsurile de control presupun antrenarea de resurse, iar la nivelul

organizaţiei resursele sunt limitate. Constrângerile interne şi externe (unele riscuri externe nu

pot fi gestionate până la un nivel satisfăcător de către entităţi) joacă un rol important în

stabilirea limitelor de toleranţa la risc.

Privită izolat, din perspectiva fiecărui risc în parte, stabilirea limitelor de toleranţă la

risc nu ridică dificultăţi deosebite, dar cazurile în care se poate proceda astfel sunt rare. La

nivelul entităţii apar intercondiţionări între riscuri, iar resursele ce pot fi alocate măsurilor de

control sunt limitate, fapt ce implică prioritizări.

De asemenea, este necesară realizarea unui echilibru între nivelele manageriale care

gestionează riscurile. Limitele de toleranţă la risc ce trebuie atinse devin ele însele obiective

şi, drept urmare, este necesară realizarea unui echilibru între competenţă, responsabilitate şi

sarcini.


După ce riscurile au fost identificate şi evaluate şi după ce s-au definit limitele de

toleranţă în cadrul cărora entitatea este dispusă, la un moment dat, să-şi asume riscuri este

necesară stabilirea tipului de răspuns la risc pentru fiecare risc în parte.

Etapizarea activităţilor privind riscurile are un caracter mai mult teoretic menit să

faciliteze înţelegerea procesului. În realitate, etapele se întrepătrund în cadrul procesului de

documentare şi analiză a riscurilor. Răspunsul la risc este deja formulat pe parcursul analizei

riscurilor. În esenţă răspunsul la risc nu este altceva decât atitudinea managementului

organizaţiei faţă de posibilele ameninţări sau faţă de eventualele oportunităţi.

Răspunsul la risc depinde de posibilităţile de a controla afacerea. De fapt, se caută

răspunsul la întrebările: riscurile pot fi sau nu controlate de organizaţie?; dacă da, organizaţia

poate controla riscurile până la un nivel satisfăcător?; dacă nu, organizaţia poate externaliza

riscurile sau activităţile generatoare de riscuri?

Controlul riscurilor (ameninţărilor), presupune că, la nivelul entităţii, este posibilă

atenuarea probabilităţii de materializare sau a impactului în cazul în care riscul s-ar

materializa sau a amândurora.

În caz contrar, riscurile sunt necontrolabile dacă organizaţia nu are posibilitatea de a

interveni direct pentru atenuarea probabilităţii şi/sau impactului. Această situaţie se întâlneşte

cel mai frecvent în cazul riscurilor externe generate de mediul (contextul) în care entitatea

funcţionează.

Problema controlării/necontrolării riscurilor este abordată, cel mai adesea, în mod

relativ şi nu absolut, adică în funcţie de toleranţă. În acest context se vorbeşte despre riscuri

care nu pot fi controlate până la un nivel satisfăcător al expunerii sau despre riscuri

controlabile parţial.

În teoria riscurilor s-au identificat câteva strategii alternative pe care managerii le pot

adopta ca răspuns la risc.

67

7.6.1 Acceptarea (tolerarea) riscurilor

Acest tip de răspuns la risc constă în neluarea unor măsuri de control al riscurilor şi este

adecvat pentru riscurile inerente a căror expunere este mai mică decât toleranţa la risc. Se

reaminteşte faptul că nu întotdeauna toleranţa la risc poate fi stabilită nerestricţionat. Sunt

suficiente cazurile în care riscurile nu pot fi controlate intern până la un nivel acceptabil al

expunerii sau, costurile pe care le incumbă măsurile de control sunt disproporţionat de mari

în raport cu beneficiile. În consecinţă, acceptarea intervine atunci când riscurile sunt liber

asumate sau când aplicarea unei alte strategii de răspuns la risc nu este posibilă.

Această opţiune de răspuns la risc trebuie însoţită, mai ales atunci când limita de

toleranţă nu a putut fi stabilită liber, de planuri de gestiune a problemelor dificile care să

abordeze tratarea impactului atunci când riscul se materializează.

Acceptarea (tolerarea) riscurilor este o strategie de răspuns la risc recomandată pentru

riscurile cu expunere scăzută. În cazul riscurilor cu expunere medie sau mare acceptarea

riscurilor este inadecvată şi, de aceea, în astfel de situaţii, opţiunea trebuie temeinic

justificată.

7.6.2 Monitorizarea permanentă a riscurilor

Acest tip de răspuns la risc constă în acceptarea riscului cu condiţia menţinerii sale sub

o permanenta supraveghere. Parametrul supravegheat cu precădere este probabilitatea de

apariţie, deoarece strategia monitorizării se aplica în cazul riscurilor cu impact semnificativ,

dar cu probabilitate mică de apariţie. În esenţă, strategia de monitorizare presupune o

amânare a luării măsurilor de control până în momentul în care circumstanţele determină o

creştere a probabilităţii de apariţie a riscurilor supuse acestui tratament. Avantajul aplicării

unei astfel de strategii de răspuns la risc constă în utilizarea resurselor disponibile la un

moment dat numai pentru riscurile cu expunere mare.

Dezavantajul strategiei constă în faptul că întârzierea în tratarea riscului poate diminua

şansele de a gestiona eficace în viitor riscurile. Din această cauză, aplicarea strategiei de

monitorizare permanentă a riscurilor trebuie precedată de o analiză serioasă a duratei pe care

o presupune implementarea măsurilor de tratare a riscurilor.

Dacă această durată este mare, este de preferat ca momentul de debut al tratării

riscurilor să nu fie amânat. Unei astfel de analize trebuie supuse obligatoriu riscurile cu

probabilitate mică de apariţie, dar cu un impact ridicat dacă obiectivele afectate au caracter

strategic.

7.6.3 Evitarea riscurilor

Această strategie de răspuns la risc constă în eliminarea activităţilor (circumstanţelor)

care generează riscurile. Trebuie menţionat faptul că opţiunea evitării riscurilor este

semnificativ redusă în sectorul public faţă de cel privat. Anumite activităţi se desfăşoară în

sectorul public tocmai pentru că riscurile asociate sunt atât de mari încât nu există altă

posibilitate de a obţine unele rezultate ce ţin de interesul general.

68

Dacă aplicarea strategiei de evitare a riscurilor este limitată în cazul activităţilor ce ţin

de scopul organizaţiei publice, ea poate fi avută în vedere pentru o serie întreagă de activităţi

“suport”, dacă nu există altă cale de a controla riscurile în limite tolerabile.

7.6.4 Transferarea (externalizarea) riscurilor

Această strategie de răspuns la risc constă în încredinţarea gestionării riscului unui

terţ care are expertiza necesară gestionării acelui risc, încheindu-se în acest scop un contract.

Prin aceasta se urmăreşte, pe de o parte, micşorarea expunerii entităţii, iar pe de altă parte,

gestionarea eficace a riscului de către un terţ specializat.

Această opţiune este benefică mai ales în cazul riscurilor financiare şi patrimoniale. Cel

mai cunoscut exemplu de transfer al riscurilor îl constituie contractele de asigurare. În

schimbul unei sume de bani (prima de asigurare) terţul (societatea asiguratoare) preia asupra

să riscul asigurat obligându-se să despăgubească organizaţia care a transferat riscul, în cazul

în care riscul se materializează.

Este important de menţionat că anumite riscuri nu sunt (integral) transferabile. În

particular, nu este posibil să se transfere riscurile legate de credibilitatea entităţii. În faţă

beneficiarilor entitatea rămâne responsabilă, chiar dacă aceasta a contractat unele servicii cu

terţe părţi. Din această cauză relaţiile cu aceste terţe părţi trebuie gestionate cu deosebită

atenţie pentru a se asigura că riscul transferat este cu adevărat gestionat eficace de către terţ.

7.6.5 Tratarea (atenuarea) riscurilor

Aceasta este abordarea cea mai des folosită pentru majoritatea riscurilor cu care se

confrunta entitatea. Opţiunea tratării (atenuării) riscurilor constă în faptul că în timp ce

entitatea va continua să desfăşoare activităţile care generează riscuri, aceasta ia măsuri

(implementează instrumente/dispozitive de control intern) pentru a menţine riscurile în limite

acceptabile (tolerabile).

Raportate la această strategie de răspuns la risc, celelalte strategii menţionate mai sus

pot fi considerate ca fiind excepţii, recurgându-se la ele numai atunci când riscurile nu pot fi

controlate intern până la un nivel satisfăcător, care nu periclitează realizarea obiectivelor. De

aici şi importanţa auditului intern în managementul riscurilor. Acesta, odată implementat, are

menirea să ofere asigurări rezonabile că obiectivele vor fi atinse, ceea ce este acelaşi lucru cu

a afirma că prin control intern se obţin asigurări rezonabile asupra menţinerii riscurilor în

limite acceptabile.

7.6.6 Tratarea situaţiilor dificile

Tratarea situaţiilor dificile constă în elaborarea unor planuri ce urmăresc diminuarea

impactului în cazul în care riscul se materializează.

Strategia tratării situaţiilor dificile nu este o alternativa la celelalte strategii, ci o acţiune

complementară. Prin tratarea situaţiilor dificile se dă un răspuns la întrebarea: Ce facem dacă

măsurile de control intern eşuează şi riscul se produce?

69

Orice risc care este acceptat, monitorizat sau tratat trebuie însoţit de un plan care să

descrie acţiunile ce trebuie întreprinse în cazul în care riscurile se materializează.

Din perspectiva managementului riscurilor, a realiza obiectivele înseamnă:

- a planifica activităţile (acţiunile) ce trebuie să se desfăşoare pentru a realiza

obiectivele propuse (procesul);

- a planifica acţiunile de control intern necesare stăpânirii riscurilor şi a le integra în

planul de activităţi generale (planul A);

- a planifica acţiunile ce trebuie întreprinse dacă riscurile se materializează (planul B).

Procesul, planul A şi planul B sunt elementele esenţiale ale unui management eficace

care a integrat managementul riscurilor.

Măsurile luate, de management în tratarea riscurilor sunt denumite în teoria generală a

controlului intern sub denumirea de dispozitive sau instrumente de control intern.

Dacă riscurile ajung să se materializeze, deci să se transforme în situaţii dificile, cauza

trebuie căutată întotdeauna în “defectul” acestor dispozitive/instrumente de control intern.

Bineînţeles această afirmaţie vizează riscurile care pot fi controlate de organizaţie în limitele

unei toleranţe acceptabile impuse de raportul cost-beneficiu.


Diversitatea dispozitivelor/instrumentelor de control intern este considerabilă deoarece

priveşte toate aspectele legate de activităţile entităţii, însă ele pot fi clasificate în şase grupe

mari după cum urmează: obiective; mijloace; sistem de informare; organizare; proceduri;

supervizare.

Fără îndoială, există şi alte tipuri de grupări, dar toate cuprind, în principal, aceleaşi

elemente şi vehiculează aceleaşi noţiuni. De altfel, nu gruparea în sine este importantă ci

fixarea unui cadru de referinţă capabil să sistematizeze problematica controlului intern

(auditilui intern) ca mijloc de control al riscurilor.

• Obiectivele grupează instrumentele/dispozitivele de control intern puse în operă prin

măsurile (acţiunile) ce vizează: definirea clară (obiectivele vagi nu permit clarificarea

sensului acţiunii ce trebuie întreprinsă pentru atingerea lor şi nici identificarea riscurilor care

ameninţă obţinerea rezultatelor dorite); ierarhizarea (obiectivele generale trebuie

descompuse într-un sistem piramidal până la nivelul posturilor clarificându-se astfel sarcinile,

competenţele şi responsabilităţile fiecărui membru al organizaţiei); convergenţa (eliminarea

relaţiilor contradictorii între obievtive şi asigurarea convergenţei obiectivelor subsecvente la

realizarea obiectivelor principale); măsurabilitatea (asocierea unor indicatori obiectivelor

care pot fi măsuraţi şi urmăriţi); monitorizarea prin sistemul informaţional (lipsa

monitorizării face imposibilă coordonarea şi introducerea măsurilor corective); încadrarea în

timp (planificarea pe orizonturi de timp determinate şi corelate); caracterul mobilizator

(obiectivele trebuie să stimuleze iniţiativa fără a deveni însă nerealiste).

Circumstanţele care potenţează apariţia riscurilor îşi au de multe ori originea tocmai în

nerespectarea acestor principii ce guvernează sistemul obiectivelor.

70

• Mijloacele cuprinde grupa de dispozitive/instrumente de control intern implementate

pentru evidenţierea nivelului de adecvare a mijloacelor la obiectivele entităţii. Circumstanţele

care favorizează apariţia unor riscuri ce afectează realizarea obiectivelor constau, de multe

ori, în grave distorsiuni între resurse şi obiective. În categoria resurse sunt incluse resursele

umane, financiare şi tehnice (în accepţiunea cea mai largă).

• Sistemul de informare cuprinde dispozitivele/instrumentele de control intern care

permit auditorilor interni să caracterizeze starea sistemului informaţional şi de pilotaj şi să

constate dacă sistemul este: complet (se referă la toate funcţiile şi activităţile organizaţiei),

fiabil (corectitudinea şi veridicitatea informaţiilor), exhaustiv (cuprinderea tuturor

informaţiilor relevante), pertinent şi util (care satisface necesităţile decizionale), oportun

(furnizarea informaţiilor atunci când este necesar) şi neredundant (abundenţa inutilă a

datelor furnizate). Sunt extrem de frecvente cazurile în care riscurile îşi au cauzele de

manifestare în inadecvarea sistemului informaţional. O analiză generală scoate în evidenţă

faptul că organizaţiile au, în marea lor majoritate, sisteme informaţionale lacunare,

contradictorii, redundante, inerţiale, nestructurate în funcţie de necesităţile diferitelor nivele

manageriale etc.

• Organizarea cuprinde grupa dispozitivelor/instrumentelor de control intern cu

ajutorul cărora se identifică anomaliile sistemului de organizare a entităţii (operaţională,

funcţională, structurală etc.), care constituie circumstanţe favorizante pentru manifestarea

riscurilor.

• Procedurile sunt acele instrumente/dispozitive de control intern prin care se

controlează riscurile generate de necunoaşterea proceselor şi regulilor ce trebuie respectate în

desfăşurarea activităţilor. A munci fără a formaliza modul în care fiecare trebuie să

procedeze, înseamnă a nu exista un control intern eficace, menit să ţină sub control riscurile

şi să se obţină astfel o asigurare rezonabilă că obiectivele vor fi atinse.

Pentru ca procedurile să devină instrumente/dispozitive de control intern eficace

acestea trebuie: să se refere la toate procesele şi activităţile importante; să fie scrise; să fie

actualizate în permanenţă; să fie aduse la cunoştinţa executanţilor; să fie simple şi pe

înţelesul tuturor.

Multe dintre riscuri îşi au cauza în lipsa procedurilor. De câte ori nu se invocă ca

explicaţie pentru un eşec necunoaşterea sau ambiguitatea unor reguli? Managerii au obligaţia

de a face clar pentru cei implicaţi ce trebuie făcut şi cum trebuie făcut, fără a lăsa loc la

interpretări.

• Supervizarea grupează instrumentele/dispozitivele de control intern menite să ţină

sub control riscurile ce rezultă din anomalii în exercitarea controlului ierarhic. Astfel de

instrumente de control intern vizează stilul managerial al responsabililor de pe diferite nivele.

A superviza nu înseamnă a reface munca subordonaţilor, a căuta eroarea cu orice preţ sau a

supraveghea în permanenţa procesele. A superviza înseamnă, în primul rând, a îndruma

(coordona), a încuraja şi, numai în ultimul rând, a verifica. Supervizarea trebuie să se bazeze

pe un sistem informaţional adecvat, să fie universală (să se refere la toate activităţile) şi să

fie consemnată (viza, raport etc.) pentru a putea fi evaluată. La prima vedere ar părea

71

surprinzător, însă sunt frecvente cazurile în care circumstanţele care favorizează apariţia unor

riscuri ţin de o supervizare defectuoasă. Un manager trebuie să se asigure că sectorul de care

este responsabil funcţionează, iar personalul trebuie să aibă convingerea că activitatea

acestuia este supravegheată.

7.8 Gruparea instrumentelor de control intern după modul de acţiune împotriva

riscurilor

Instrumentele/dispozitivele de control intern pot fi analizate şi prin prisma modului în

care acestea acţionează în tratarea riscurilor, deosebindu-se următoarele tipuri:

• Instrumente/dispozitive de control intern preventiv

Aceste instrumente de control intern sunt menite să limiteze posibilitatea ca anumite

riscuri să se materializeze. Cu cât materializarea unor riscuri este mai nedorită, cu atât mai

importantă devine implementarea instrumentelor de control intern preventive. Majoritatea

instrumentelor puse în operă în organizaţie au tendinţa de a aparţine acestei categorii.

Prezentăm câteva dintre acestea: separarea funcţiunilor urmăreşte prevenirea riscurile de

fraudă; procedurile îşi propun prevenirea riscurile de neregularitate şi neconformitate;

mijloacele evidenţiază riscurile care pot să apară ca urmare a insuficienţei resurselor etc.

• Instrumente/dispozitive de control intern cu caracter corectiv

Aceste instrumente sunt concepute pentru a limita impactul riscurilor materializate.

Exemplule: includerea în contracte a unor prevederi care permit recuperarea

supraplăţilor dacă acest risc se produce; asigurarea permite recuperarea financiară în cazul

materializării riscurilor asigurate; planurile de gestionare a situaţiilor dificile, care asigură

revenirea organizaţiilor la situaţia normală, asigurându-i continuitatea etc.

• Instrumente/dispozitive de control intern detective

Aceste instrumente de control intern sunt concepute să identifice riscurile care s-au

materializat pentru a putea fi tratate consecinţele. În general, aceste instrumente de control

intern sunt cunoscute şi sub denumirea de controlul ulterior, deoarece se referă la riscuri

materializate.

S-ar putea obiecta că astfel de instrumente nu aparţin managementului riscului,

deoarece acesta se referă la tratarea riscurilor care pot să apară şi nu a celor materializate.

Obiecţia nu este întemeiată deoarece riscurile pot fi reduse, dar nu eliminate. Prin urmare,

există întotdeauna posibilitatea ca riscurile să se materializeze şi să se transforme în situaţii

dificile. Dar, şi situaţiile dificile trebuie gestionate, iar prin instrumentele de control detectiv

se face acest lucru. Spre exemplu, inventarele sunt instrumente de control intern detectiv

menite să identifice eventualele pierderi de active datorate materializării unor riscuri.

Procesele care cuprind operaţiuni cu efecte patrimoniale (inclusiv bugetare) pot fi

ameninţate de riscuri ce pot afecta două dintre cele mai importante obiective (generale) ale

organizaţiei: securitatea activelor; conformitatea cu legile, actele normative, regulamentele şi

politicile interne. Din această cauză, instrumentele de control intern a riscurilor integrate în

proces au fost completate cu instrumente de control de tip verificare. Logica raportului cost-

72

beneficiu a impus concluzia că nu toate operaţiunile trebuie să fie tratate în acelaşi mod.

Aceasta înseamnă că unele operaţiuni vor fi tratate cu instrumente de control de tip preventiv,

iar altele de tip ulterior (corectiv sau detectiv). De asemenea, unele operaţiuni vor fi verificate

în totalitate pe când pentru altele se va proceda la eşantionări. Legătura dintre operaţiuni,

tipul instrumentelor de control şi riscuri este prezentată sintetic în schema de mai jos:

Probabilitate

ridicată a riscului

Control

preventiv

prin sondaj

Control

preventiv

exhaustiv

Impact scăzut

al riscului

Operaţiuni

bugetare,

financiare,

patrimoniale

Impact ridicat

al riscului

Control

ulterior prin

sondaj

Control

ulterior

exhaustiv

Probabilitate

scăzută a riscului

După Metodologie de implementare a standardului de control intern „managementul

riscurilor“, Unitatea Centrală de Armonizare a Sistemelor de Management Financiar şi

Control, MFP, ianuarie 2007, www.mfinante.ro

Corelaţia între operaţiuni, instrumentele de control şi riscuri

Odată stabilite zonele de risc, obiectivele care sunt afectate de posibila materializare a

riscurilor, circumstanţele care favorizează apariţia riscurilor, responsabilităţile managerilor în

gestionarea riscurilor, strategiile ce trebuiesc adoptate, măsurile de control intern (activităţile

ce trebuie întreprinse pentru diminuarea expunerii la riscuri), se completează Registrul de

riscurilor cu aceste elemente. În acest stadiu Registrul de riscuri va avea următoarea formă:

REGISTRUL RISCURILOR

Nr.

crt

.

Zona

de

risc

(dom

eniu

,

com

par

tim

ente

)

Obie

ctiv

e

Des

crie

rea

risc

uri

lor

Cir

cum

stan

ţele

car

e

favori

zeă

apar

iţia

risc

uri

lor

(cau

ze)

Res

ponsa

bil

ii c

u

ges

tionar

ea r

iscu

rilo

r Riscuri inerente

Inst

rum

ente

le d

e co

ntr

ol

inte

rn

Riscuri

reziduale

Ris

curi

sec

undar

e

Obse

rvaţ

ii

Pro

bab

ilit

atea

Impac

tul

Expuner

ea

Str

ateg

ia a

dopta

tă

Pro

bab

ilit

atea

Impac

tul

Expuner

ea

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

1

2

...

http://www.mfinante.ro/

73


Revizuirea şi raportarea riscurilor este faza ce încheie ciclul care cuprinde identificarea,

evaluarea, controlul, revizuirea şi raportarea riscurilor.

Două motive impun revizuirea şi raportarea riscurilor:

• Monitorizarea modificării profilului riscurilor ca urmare a implementării

instrumentelor de control intern şi a modificării circumstanţelor care favorizează apariţia

riscurilor;

• Obţinerea de asigurări privind eficacitatea gestionării riscurilor şi identificarea nevoii

de a lua măsuri viitoare.

Procesele de revizuire trebuie puse în aplicare pentru a analiza dacă: riscurile persistă;

au apărut riscuri noi; impactul şi probabilitatea riscurilor au suferit modificări; instrumentele

de control intern aplicate sunt eficace; anumite riscuri trebuie aduse la cunoştinţa nivelelor de

management superioare etc.

Rezultatele revizuirilor trebuie raportate pentru a se asigura monitorizarea continuă a

situaţiei riscurilor şi pentru a se sesiza schimbările majore care impun modificarea

priorităţilor.

Revizuirea riscurilor şi a procesului de gestionare a riscurilor sunt două activităţi

distincte care nu se pot substitui reciproc.

Revizuirea trebuie să:

• dea asigurări că toate aspectele procesului de gestionare a riscurilor sunt analizate cel

puţin odată pe an;

• oferă asigurări că riscurile sunt supuse revizuirii cu o frecvenţă corespunzătoare,

stabilită în raport cu modificarea circumstanţelor şi a naturii instrumentelor de control intern

ce urmează a fi implementate;

• stabilească mecanisme de avertizare a nivelelor manageriale superioare în privinţa

noilor riscuri sau a schimbărilor survenite la riscurile deja identificate, astfel încât aceste

schimbări să fie abordate corespunzător.

Revizuirea riscurilor şi a gestionării riscurilor se face, în prima etapă, prin metoda

autoevaluării. Responsabilii de risc (în principal managerii de pe diferitele nivele ierarhice ale

organizaţiei) au obligaţia de a evalua, cel puţin o dată pe an (de regulă la finele exerciţiului

financiar), riscurile din sfera lor de responsabilitate, precum stadiul de implementare a

instrumentelor de control intern preconizate şi eficacitatea lor. De asemenea, responsabilii de

risc au obligaţia de a raporta periodic (trimestrial, semestrial, anual) nivelelor ierarhice

superioare ce activităţi au desfăşurat pentru a actualiza riscurile şi pentru a le menţine la un

nivel corespunzător.

Astfel de rapoarte, cunoscute şi sub numele de Rapoarte de responsabilitate, trebuie

incluse în sistemul de raportare al fiecărei entităţi.

74

Dar practica autoevaluării şi a rapoartelor periodice de responsabilitate nu este

suficientă, deoarece subiectivismul este inerent.

Managerii se află într-o situaţie incomodă atunci când sunt obligaţi să facă publice

problemele cu care se confruntă în propriile arii de responsabilitate. Dacă conducerea

organizaţiei are o viziune sancţionatorie, metoda autoevaluării devine un eşec. Încurajarea

managerului de a vorbi deschis despre riscuri trebuie să devină o politică a fiecărei

organizaţii.

Subiectivismul autoevaluării în procesul de revizuire a riscurilor şi a gestionării

riscurilor este contrabalansat de auditul intern care, prin natura misiunii sale, are obligaţia de

a face evaluări independente (independente de responsabilii executivi) pentru a se obţine

asigurări rezonabile că riscurile sunt identificate şi bine gestionate şi, ca urmare, obiectivele

organizaţiei vor fi atinse.

Trebuie subliniat însă faptul că auditul intern nu se poate substitui nici responsabilităţii

pe care conducerea o are în privinţa riscurilor şi nici unui sistem integrat de revizuire şi

analiză ce trebuie pus în practică de personalul care are atribuţii executive în atingerea

obiectivelor organizaţionale.

Modelul de registru de risc prezentat anterior este minimal. Organizaţiile pot dezvolta

acest model pentru a reflecta şi alte informaţii considerate relevante. Registrul de risc

reprezintă numai sinteza informaţiilor şi deciziilor luate în urma analizei riscurilor. De aceea

toată documentaţia privind riscurile trebuie clasificată şi îndosariată astfel încât atunci când

se face o evaluare a sistemului de management al riscurilor aceasta să fie disponibilă.

Registrul de risc completat corect devine documentul prin care se atesta că în

organizaţie s-a introdus un sistem de management al riscurilor şi că acesta funcţionează. De

asemenea, Registrul riscurilor este documentul de la care porneşte orice auditor extern atunci

când se face o evaluare independentă a managementului riscurilor din cadrul organizaţiei.


Comunicarea şi învăţarea nu constituie o etapă distinctă în gestionarea

riscurilor, ci reprezintă un proces continuu ce se desfăşoară pe parcursul tuturor fazelor. De

altfel, fără comunicare şi învăţare managementul riscurilor nu ar putea avea loc. Riscurile au

determinări multiple, sunt de cele mai multe ori intercorelate, nu afectează de regulă un

singur obiectiv, iar instrumentele de control al riscurilor pot influenţa mai multe obiective. De

asemenea, lecţiile trecutului trebuie învăţate pentru a nu fi puşi în situaţia de a ignora soluţii

care şi-au dovedit eficacitatea.

Exista câteva aspecte legate de comunicare şi învăţare care trebuie scoase în evidenţă:

• Sesizarea modificărilor survenite în cazul riscurilor identificate depinde de o bună

comunicare. Încurajarea discuţiilor deschise despre riscuri, fără a exista temerea că prin

aceasta managerii îşi vulnerabilizează poziţiile, este o sarcină de importanţă capitală pentru

conducerea organizaţiei.

75

De asemenea, identificarea riscurilor noi depinde atât de menţinerea unei bune reţele de

comunicare între membrii organizaţiei cât şi de continua valorificare a surselor de informaţii

din mediul organizaţional, acestea facilitând sesizarea schimbărilor care vor afecta profilul de

risc al organizaţiei.

• Este foarte important să existe asigurări că fiecare înţelege în mod corespunzător

propriul rol, strategia organizaţiei în domeniul riscurilor şi modul cum responsabilităţile

individuale specifice se încadrează în cadrul general al organizaţiei. Dacă acest lucru nu este

realizat, gestionarea riscurilor nu va putea fi integrată corespunzător şi omogen în organizaţie,

iar riscurile prioritare nu vor fi controlate adecvat. Într-o astfel de situaţie managementul

riscurilor se va cantona la nivelul activităţilor, dar nu va avea valenţele managementului

integrat, singurul capabil să deceleze ceea ce este important pentru organizaţie, în ansamblul

său, la un moment dat şi în circumstanţele date. Nici o organizaţie nu poate controla toate

riscurile, şi nici nu este de dorit. Important este să controleze ceea ce este cu adevărat

prioritar.

• Este necesar să existe asigurări că experienţele sunt învăţate şi comunicate celor care

pot beneficia de pe urma lor. Spre exemplu, dacă o structură componentă a entităţii,

confruntată cu un risc, concepe un instrument de control intern cu ajutorul căruia îl

gestionează în mod eficace, această lecţie învăţată trebuie comunicată şi altora care, la un

moment dat, se pot confrunta cu acelaşi risc. Pentru a face progrese experienţa organizaţiei

trebuie capitalizată.

• Comunicarea cu entităţile partenere (entitatea extinsă) are aceiaşi importanţă, mai ales

dacă entitatea depinde, într-un fel sau altul, de o altă entitate. Neînţelegerea (necunoaşterea)

priorităţilor în gestionarea riscurilor proprii de către entităţile partenere şi, mai ales, eşecurile

înregistrate de acestea se pot repercuta direct asupra managementului riscurilor în entitate.


Entitatea extinsă este un concept prin care se includ în sfera de interes (din perspectiva

riscurilor) a entităţii şi entităţilor afiliate, subordonate, partenere, precum şi entităţile care,

prin misiunile lor, au legături cu misiunea entităţii. Se observă cu uşurinţă că în conceptul de

entitate extinsă sunt grupate acele entităţi care au legături directe cu entitatea dată. Cu alte

cuvinte, există premisele cunoaşterii mai aprofundate a riscurilor externe provenite din

această direcţie şi chiar premisele stabilirii unei colaborări în controlarea unor astfel de

riscuri. Se poate afirma că entitatea extinsă este un mediu oarecum controlabil.

Multe entităţi (spre exemplu, grupurile) au relaţii cu alte entităţi pe care le controlează

direct (entităţile afiliate) sau indirect. În aceste condiţii, atingerea propriilor obiective va

depinde/afecta atingerea obiectivelor celorlalte entităţi. Cu alte cuvinte, ceea ce face o entitate

va avea un impact direct asupra riscurilor cu care se confruntă entităţile dependente şi, în

consecinţă, eficacitatea legăturilor dintre aceste entităţi este foarte importantă pentru

facilitarea adoptării unei abordări comune asupra gestionării riscurilor care să le permită

atingerea propriilor obiective.

Entităţile subordonate sau aflate în coordonarea lor aplică politicile societăţii - mamă de

care depind direct sau indirect. Prin urmare, modul în care coordonatorii stabilesc ordinea

76

priorităţilor în abordarea riscurilor va afecta şi priorităţile entităţii subordonate, iar modul în

care organizaţiile subordonate gestionează riscurile în procesul de implementare a politicilor

va fi luat în considerare de societatea - mamă în elaborarea viitoarelor politici.

Aproape toate entităţile depind de contractori (prestatori de servicii, furnizori de bunuri,

antreprenori, societăţi care preiau în administrare riscuri transferate etc.). Este important ca

entităţile să analizeze fiecare relaţie importantă cu contractorii şi să se asigure că sunt

comunicate şi înţelese corespunzător priorităţile privind un anumit risc. Deşi sunt absolut

necesare, nu totdeauna sunt suficiente măsurile de control intern de tipul clauzelor

asiguratorii prevăzute în contracte. Ele permit recuperări financiare (satisfac obiectivele

legate de securitatea activelor), dar nu controlează riscurile legate strict de obiectivele

proiectelor.

Dincolo de ce am numit entitate extinsă, există şi alţi factori care contribuie la mediul

în care riscurile sunt gestionate. Aceşti factori pot, fie să genereze riscuri care nu pot fi

controlate de entitate, fie să limiteze modul în care aceasta poate să îşi asume sau să

controleze riscul. Este important ca entitatea să analizeze mediul extins de risc şi să

stabilească modul în care acesta îi afectează strategia de gestionare a riscurilor. De multe ori

organizaţia nu are decât posibilitatea să-şi stabilească planuri pentru situaţii dificile pentru a

acţiona în cazul în care riscurile pe care nu le poate controla s-ar materializa.

O serie de factori care constituie mediul de risc şi de care organizaţiile trebuie să ţină

seama este necesar a fi menţionaţi:

• Legile şi celelalte reglementări pot să afecteze mediul de risc. Entitatea trebuie să

identifice acele norme sub a căror incidenţă intră. Normele nu sunt altceva decât constrângeri

care limitează modul de acţiune al entităţiilor. Spre exemplu, riscul ca personalul să nu-şi

îndeplinească satisfăcător sarcinile nu poate fi controlat în totalitate prin instrumente de

control intern. Organizaţia trebuie să ţină cont de legislaţia muncii pentru a nu se expune

riscului de a suporta sancţiunile legale.

• Un factor al mediului de risc, este chiar Guvernul. Entităţile trebuie să pună în

aplicare hotărârile guvernului, dar acestea reflectă în multe cazuri interesele politice. De

aceea, de multe ori, abordarea unor riscuri de către conducătorii entităţilor este condiţionată

de decizii politice.

• Fiecare entitate este constrânsă şi de aşteptările factorilor interesaţi. În cazul entităţilor

de afaceri factorul interesat cel mai relevant este consumatorul. Anumite măsuri care pot fi

eficace în controlarea anumitor riscuri pot da naştere unor efecte pe care consumatorul nu

este dispus să le accepte.

• Un alt factor de mediu important sunt condiţiile economice. Spre exemplu, în

condiţiile unei economii emergente, constrângerile determinate de o infrastructură slab

dezvoltată afectează proiectele de creştere economică ale entităţilor care doresc să-şi extindă

activitatea în anumite zone.

77

Vocabular: risc de management; ientificarea riscurilor; riscul inerent; riscul

rezidual; evaluarea riscurilor; probabilitatea de manifestare a ariscului; impactul riscului,

expunerea la risc; toleranţă la risc; externalizarea riscurilor; atenuarea riscurilor; registrul

riscurilor.

Întrebări:

1. Cum poate contribui auditul intern la îmbunătăţirea managementului riscurilor?

2. Cum se armonizează auditul intern cu cerinţele managementului riscurilor?

3. Cum acţionează auditorii interni pentru identificarea şi evaluarea riscurilor de

management?

4. Cum procedează auditorii interni pentru identificarea riscurilor de management?

5. Cum procedează auditorii interni pentru evaluarea riscurilor de management?

6. Cum se defineşte şi utilizează toleranţa la risc?

7. Cum se realizează controlul riscurilor?

8. Care sunt instrumentele folosite de auditorii interni pentru identificarea şi

evaluarea riscurilor?

9. Cum realizează auditorii interni revizuirea şi raportarea riscurilor?

10. Care este semnificaţia comunicării şi învăţării referitoare la riscurile de

management?

78

Capitolul 8

Instrumentele auditului intern


8.2 Interviurile




8.6 Naraţiunea



8.9 Pista de audit


Instrumentele de interogare


8.1.1 Definiţii

Sondajul statistic este o metoda care ne permite:

- să pornim de la un eşantion;

- eşantionul să fie ales în mod aleatoriu;

- eşantionul să fie ales dintr-o populaţie de referinţă;

- să generalizăm la intreaga populaţie observaţiile referitoare la eşantion.

Populaţia reprezintă ansamblul asupra caruia dorim să efectuăm cercetarea. Acest

ansamblu poate fi compus din indivizi, cifre, obiecte, facturi etc.

Una din dificultăţile întâlnite uneori de auditorii interni este identificarea unei populaţii

omogene, condiţie necesară pentru exactitatea sondajului. Astfel, un set de facturi care ar

conţine atât facturi unitare (1 object = 1 factură) cât şi facturi grupate (1 factură pe decadă) nu

reprezintă o populaţie omogenă asupra căreia putem lucra.

Pe langa acest caracter omogen, populaţia trebuie să fie accesibilă şi să poată fi

exprimată într-un număr finit.

Eşantionul este ales din cadrul populaţiei asupra căreia vom lucra.

Trebuie să fie ales în mod aleatoriu. Pentru aceasta, există mai multe tehnici, de la cele

mai sofisticate (programe informatice de calcul al numerelor aleatorii), până la cele mai

00:100


Parcurgând acest capitol vom afla care sunt şi cum se folosesc

instrumentele auditului intern.

79

elementare (tragere la sorţi, metoda pas cu pas). În general, se folosesc tabele prestabilite de

numere aleatorii. Eşantionul astfel ales poate ajuta la estimarea unui procent, sau a unei

valori, sau poate fi pur şi simplu de analiză.

În cadrul acestei examinări a eşantionului, vom analiza o caracteristică, adică

elementul ce trebuie studiat. În auditul intern, acesta va fi fenomenul constatat (eroarea,

disfuncţia etc.); această caracteristică poate fi continuă sau discontinuă.

Rezultatul sondajului statistic oferă un nivel de încredere şi un interval de încredere; de

exemplu, există 95 de şanse din 100 ca numărul de facturi greşite să fie cuprins între 3 şi 5 la

mie. In auditul intern nu trebuie să impunem niveluri de încredere foarte ridicate: chiar dacă

constatăm că un fenomen nu este excepţional, acesta merită să fie studiat în profunzime. Dar

în acelaşi timp trebuie să se respecte anumite principii.

Nu trebuie niciodată să pierdem din vedere faptul că mărimea eşantionului nu depinde

de mărimea populaţiei de bază ce va fi studiată, ci de gradul de precizie cerut. Ceea ce

anulează argumentul - mult prea des utilizat - că dacă populaţia de studiat ar fi numeroasă,

eşantionarea statistica l-ar determina pe auditor să analizeze eşantioane mari, de unde o risipă

excesivă de timp în dezavantajul rezultatului aşteptat. Acesta nu este un argument: gradul de

precizie fiind scăzut, eşantioanele vor avea o dimensiune rezonabilă.

8.1.2 Modalităţi de aplicare

Cercetările auditorului intern pot fi de trei tipuri:

- sondaje de depistare: sunt cele pe care auditorul ar trebui să le realizeze atunci când

caută o eroare pe o factură, date inexacte privind salariul, omisiuni în măsurarea cantităţii

fabricate etc. Sondajul de depistare trebuie considerat aşadar un test, un studiu care să permită

identificarea disfuncţiilor;

- sondaje de acceptare: în ce proporţie o procedură este aplicată sau nu? O anumită

regulă de siguranţă este cunoscută sau nu? Aici sondajul are un rol mixt: depistare posibilă,

dacă nu cunoaştem nici un element de răspuns, sau apreciere a ordinului de mărime, dacă am

descoperit o disfuncţie;

- sondaje de estimare a atributelor: sunt în marea lor majoritate pur informative. La

fel este şi studiul informativ al procentului de angajaţi cu vechime mai mare de 20 de ani sau

al procentului de materiale (valori şi cantităţi) a căror durată de viaţă în depozit este mai mare

de trei luni.

Sondajul statistic trebuie efectuat cu precizie şi auditorul trebuie să respecte anumite

principii. Este bine ca auditorul să cunoască cele zece porunci ale sondajului statistic, propuse

de L. SAWYER12

:

1. Nu se utilizeză sondajul decât dacă este adaptat obiectivelor auditului. Nu se fac

sondaje statistice în mod gratuit, pentru „a vedea dacă ...“, „pentru cazul în care...“.

2. Să se cunoască populaţia: auditorul intern nu trebuie să se aventureze în sondaje

statistice efectuate asupra populaţiilor prost definite, incomplete, cu limite neclare.

12

L. B. SAWYER, L' Audit Interne, Publi Union

80

3. Selectarea elementelor de studiat să se facă în mod aleatoriu: utilizarea fără concesii

a unei metode aleatorii este o cerinţă absolută.

4. Să se evite opiniile personale: trebuie alungată din minte orice idee legată de un

anumit rezultat pe care vrem să-l obţinem sau să-l justificăm.

5. Eşantionul trebuie să fie cules aleatoriu, în ciuda configuraţiei specifice a populaţiei.

Un eşantion fără „clienţi importanţi", aceştia reprezentand 10% din populaţia „clienti", nu

trebuie să reprezinte un element de îngrijorare sau de îndoială.

6. Să nu se facă extrapolări hazardate: trebuie acceptat rezultatul în sine şi să evităm

orice deducţie, riscantă prin definiţie.

7. Să nu pierdem din vedere realitatea: lucrând prea mult cu cifrele, putem ajunge să

uităm contextul.

8. Să se efectueze stratificări de fiecare dată când prin acestea se poate restrânge aria de

răspândire a eşantionului: nu trebuie să ezităm să efectuăm mai multe sondaje statistice în

locul unuia singur.

9. Să nu se stabilească niveluri de încredere ridicate, dacă nu este necesar.

10. Să nu ne oprim la rezultatele statistice: să cautăm cauzele.

Pentru auditorul intern sondajul statistic nu este un scop în sine. Nu trebuie numai să

obţinem o informaţie, ci, mai ales, să aflăm cauzele fenomenului dupa ce i-am măsurat

amploarea.

8.2 Interviurile

Interviul este un instrument pe care auditorul intern îl utilizează frecvent, dar o

misiune de audit care nu ar fi efectuată decât cu ajutorul interviurilor nu ar putea fi

considerată o misiune de audit intern. Interviul realizat de auditorul intern nu trebuie

confundat cu tehnicile de cercetare asemănătoare:

- nu este o discuţie şi nici o conversatie;

- nu este un interogatoriu.

Interviul de audit intern nu este o discuţie

Auditorul intern nu este în postura unui ziarist care intervieveaza un om politic, la

cererea sa. Aici, cel care asculta (auditorul) este cel care a solicitat discuţia. Interviul nu poate

fi considerat nici conversaţie, deoarece interviul de audit este organizat şi urmăreşte atingerea

unor obiective, adică obţinerea unui anumit număr de informaţii.

Interviul nu este un interogatoriu în care raportul ar fi cel al unui acuzat în faţa

acuzatorului său. Dimpotriva, atmosfera unui interviu de audit intern trebuie să se

caracterizeze prin colaborare. Acesta este motivul pentru care vă recomandam sa nu folositi

în nici un caz reportofonul, care nu asigură condiţiile unui interviu corect şi îl face sa semene

cu un interogatoriu al poliţiei.

81

In auditul intern, interviul se realizează între părţi cooperante.

Care sunt condiţiile unui interviu corect? Cum trebuie să se desfaşoare?

a) Cele 7 reguli ale unui interviu corect

Acestea se inspira din spiritul obligatoriu de colaborare care trebuie sa se instaleze intre

entitatea auditata şi auditor, intre intervievat şi intervievator.

Regula 1

Trebuie respectata linia ierarhică. Auditorul nu trebuie sa înceapa interviul fara sa-l fi

anuntat pe superiorul ierarhic al interlocutorului sau, in afara cazurilor de urgenţă

exceptionala. De cele mai multe ori, aceasta informare prealabila are loc în timpul reuniunii

de deschidere a misiunii. Dar daca trebuie sa se realizeze un interviu care nu a fast programat

înainte, este foarte important ca aceasta regula sa poata fi respectata.

Regula 2

Reamintirea cu precizie a misiunii şi a obiectivelor ei. Interlocutorul auditorului

trebuie sa cunoasca scopul şi procedura interviului. Ar fi dezastruos daca şi-ar inchipui ca i se

vor pune intrebari-capcana, ca interviul nu este, de fapt, decât un interogatoriu deghizat.

Aşadar, principiul esential care guverneaza orice misiune de audit este cel al transparentei: să

facem tot posibilul sa nu ascundem nici unul din obiectivele urmărite.

Regula 3

Înainte de toate, se vor indica dificultăţile, punctele slabe, anomaliile întâlnite. Cu

alte cuvinte, încă de la început vom situa dialogul la nivelul de cunoaştere al auditorului în

desfaşurarea misiunii sale, reamintind rezultatul tuturor investigatiilor sale recente. Totodata,

se va evita orice digresiune laudativa, de genul celor pe care le întâlnim în naraţiuni.

Regula 4

Este corespondenta logica a Regulii 1: concluziile interviului, rezumate împreuna cu

interlocutorul, trebuie să fie agreate de acesta înainte de a fi comunicate conducerii ierarhice,

oricare ar fi forma de comunicare. Nimic nu ar fi mai rău decat rezultatul unui interviu

comunicat confidenţial conducerii ierarhice, făra ca persoana în cauza sa-şi fi dat acordul

final asupra concluziilor ce trebuie desprinse din cuvintele sale.

Regula 5

Trebuie pastrata metoda de abordare a sistemului, în virtutea principiului ca auditorul

nu judeca oamenii. Aşadar, trebuie sa ne ferim sa adresam întrebari cu caracter subiectiv şi

care incrimineaza persoanele. Pentru ca un interviu sa fie constructiv, cel intervievat trebuie

sa aiba aceeaşi optica: auditorul nu va ezita sa-l aduca pe drumul cel bun daca cumva -lucru

destul de întalnit - acesta din urma deviaza în raspunsurile sale spre întrebari ce vizeaza

persoanele.

Regula 6

Sa ştim sa ascultam, şi ştim cu toţii ca nu este un lucru uşor. Auditorul trebuie sa

vorbeasca mai putin şi sa asculte mai mult; or, primul lucru este mai uşor - şi mai placut -

82

decat al doilea. In timp ce asculta, auditorul trebuie sa fie totuşi un "agent de facilitare", sa

practice din instinct maieutica lui SOCRATE şi sa dirijeze discutia pentru a o mentine la

nivelul dorit. Trebuie sa gaseasca echilibrul - nu foarte la indemana - intre "a şti sa asculti" şi

"a nu spune nimic",

Regula 7

Auditorul care incepe un interviu trebuie sa il priveasca pe interlocutorul său ca pe un

egal. Nu un egal in sensul ierarhic al termenului, ci un egal in desfaşurarea dialogului. Şi ştim

bine ca nu este un lucru uşor pentru un auditor tânăr, care de cele mai multe ori trebuie sa

culeaga informatii de la persoane superioare in grad, uneori de grad mult superior, care sunt

conştiente de aceasta situatie şi chiar abuzeaza de ea. Şi in acest caz, trebuie sa se gaseasca

echilibrul potrivit intre o atitudine prea respectuoasa, chiar servila, şi familiaritatile excesive

şi neavenite. Justa apreciere a contextului şi a personalitatii interlocutorului vor fi foarte

importante in cautarea acestui echilibru; orice pas greşit, in aceasta situatie, poate avea urmari

dezastruoase.

Respectand aceste principii, interviul de audit se desfaşoara in mod normal în 4 etape.

b) Etapele realizării interviului

b1) Pregatirea interviului

Este o regula absolută: un interviu nu se improvizeaza, se pregateşte. Nu este o discuţie

mondenă. A pregati un interviu înseamnă:

● Definirea prealabila a subiectul interviului: care sunt informatiile pe care auditorul

doreşte sa le obţină? Aceste informatii îi pot fi necesare fie pentru a obţine informatii

suplimentare despre domeniul de auditat, fie pentru a aprecia un anumit aspect al controlului

intern, fie pentru a valida o informatie deja primita. Oricare ar fi motivul, definirea

subiectului este, într-adevar, primul lucru pe care trebuie sa-l faca auditorul; acesta nu trebuie

sa-l intervieveze pe d-l X pentru ca "nu se ştie niciodata, poate deţine informaţii interesante...

", ci pentru că are nevoie de informatii precise pentru a raspunde la Chestionarul său de

Control Intern sau la Chestionarul sau de Luare la Cunoştinţă.

● Pregatirea interviului mai inseamna şi cunoaşterea subiectului, ceea ce presupune

doua lucruri importante:

- cunoaşterea persoanei cu care ne vom intalni: care sunt activitatile sale, ce

responsabilitati are, ce loc are in ierarhie... Nu exista efect mai dezastruos decat cel provocat

de un auditor care il va intervieva pe un responsabil fără sa ştie exact ce face şi făra sa aiba

idee despre preocuparile sale majore.

- însă cunoaşterea subiectului inseamna a cunoaşte obiectul discutiei, a dispune de

informatii cantitative legate de activitatea respectiva, a actiona ca şi cum ai fi vizat de aceasta

activitate (cf. observatiile referitoare la chestionarele V.T.T.).

● Pregatirea interviului mai inseamna şi formularea intrebarilor. De această data nu este

vorba de redactarea unui chestionar de control intern. De altfel, de cele mai multe ori

interviul se practica pentru a raspunde la acesta din urma. Este vorba, tinand cant de

83

personalitatea interlocutorului şi de context, de adresarea intrebarilor potrivite pentru a obtine

raspunsul. De aceea, intrebarile vor fi mereu deschise, nu inchise. Nu intrebam "Gardienii îi

controleaza bine pe vizitatorii?" (raspunsul va fi intotdeauna "da"), ci "cum s-a efectuat

controlul vizitatorilor de către gardieni?"

Astfel, chestionarul de Control intern in care găsim intrebarea:

"Exista o procedura de licitaţie pentru alegerea furnizorilor" va aparea in interviu

sub forma "cum se face alegerea şi selecţia furnizorilor?"

Pe lânga forma intrebarilor, auditorul trebuie sa aiba grija sa epuizeze subiectul: toate

întrebarile trebuie sa fie, in principiu, pregatite şi formulate deja; aceasta este activitatea cea

mai importanta a etapei de pregatire. De fapt, nu se vor evita digresiunile şi intrebarile

surpriza: insa acest lucru trebuie sa ramana o exceptie.

In acest stadiu, pregatirea nu este inca finalizata, mai ramane sa se fixeze întâlnirea.

● Fixarea intalnirii este un element indispensabil pentru buna desfăşurare a interviului.

Chiar daca intrevederea a fost anuntata la prima reuniune a misiunii, auditorul nu trebuie sa

se prezinte fără sa se fi anuntat. De asemenea, ar fi o dovada de stangăcie din partea lui sa

"convoace" entitatea auditata: interviul se desfăşoara obligatoriu la sediul celui auditat, in

biroul sau; interlocutorul se simte "ca acasa", iar atmosfera de incredere se instaleaza mai

uşor. In acest moment se poate trece la ; discuţiile introductive.

b2) Lansarea interviului

● Trebuie sa incepem prin a ne prezenta: auditorul se prezinta din nou, arată care este

obiectul misiunii şi ce a facut pana acum in acest sens. Inca de la inceput, precizeaza ce

tehnica va folosi: intrebari formulate in prealabil, notite, explicand ca aceasta este procedura

normala intr-un interviu de Audit Intern.

● Inca de la primele intrebari, auditorul trebuie sa se adapteze interlocutorului sau, sa

gaseasca tonul potrivit, sa evite glumele cu cineva care nu glumeşte, sa destinda atmosfera cu

cel care comunica cu uşurinta... dar, in fiecare caz, trebuie sa se intereseze mai intai de munca

celui auditat inainte de a incepe să pună întrebările.

● La inceputul interviului, auditorul studiaza atitudinea interlocutorului său pentru a

putea adresa intrebarile la momentul potrivit. Adeptii PNL (Programare Neuro-Lingvistica)

au primit un sprijin serios in această observare, deoarece li s-a explicat cum sa observe şi sa

interpreteze gesturile, poziţiile etc. Auditorul se foloseşte de ele nu pentru a-l judeca pe

interlocutorul sau, ci pentru a-şi alege mai bine cuvintele. Căci scopul său este sa obtina

informatii.

b3) Intrebările interviului

Daca intrebarile au fost bine formulate, daca sunt adresate unei persoane receptive,

auditorul va reuşi sa obtina informatiile dorite, cu conditia sa-şi ia două masuri de precauţie:

• Sa verifice intotdeauna daca a inteles bine raspunsul interlocutorului său, repetand

raspunsul retinut pentru a vedea daca este aprobat. Adica "daca am înţeles bine ... "

84

• Sa-l lase intotdeauna pe cel auditat sa se exprime. Sa nu imite jurnaliştii de televiziune

care transforma intrebarile in discurs. Însă a-l lăsa pe interlocutor sa se exprime presupune sa

nu se exprime decat pentru a formula ceea ce se aşteapta de la el. Şi acest lucru este mult mai

greu, deoarece adesea el profită de cea mai mica intrebare pentru a-şi evoca intreaga viata

profesionala; şi ; asta cu atat mai mult cu cat s-a instalat o atmosfera destinsa. Este o intreagă

arta a auditorului de a şti sa-l lase sa vorbeasca atât cat sa obtina informatii în plus, dar şi de a

şti cum sa readuca in discutie subiectul evocat şi eventual sa il opreasca, făra a bloca

discursul.

• Intr-adevar, auditoru nu trebuie sa devina un confesor care asculta nenorocirile şi

problemele interlocutorului sau, mai ales daca acesta incrimineaza diferite persoane sau chiar

conducerea sa. Trebuie ca discursul sa fie intrerupt imediat şi sa se revina la lucrurile

importante, adica la intrebari.

• Raspunsurile vor fi notate, dar făra a intrerupe ritmul interviului: luarea de notite se

face in timpul discutiei, iar momentele de tacere trebuie evitate. Nu este uşor, dar de acest

lucru depinde calitatea interviului.

Interviul nu este gata nici dupa epuizarea tuturor întrebarilor.

b4) Incheierea interviului

● A incheia inseamna a incepe validarea generala, rezumând principalele , probleme

notate pentru a se asigura ca nu exista greşeli de inerpretare şi nici omisiuni.

● A încheia mai inseamna a-l intreba pe interlocutor daca, dupa parerea lui, exista şi

alte probleme care ar merita sa fie discutate sau daca mai sunt şi alte persoane care ar trebui

sa fie interogate sau alte documente care ar trebui sa fie consultate. Aceasta intrebare simpla

poate remedia eventualele lacune ale chestionarului.

● În fine, după ce s-a spus tot ce era de spus, a incheia inseamna a-i multumi

interlocutorului pentru timpul pe care a avut bunavointa sa ni-l acorde pentru interviu.

A efectua un interviu nu este deci un lucru uşor, deoarece necesita o munca serioasa de

pregatire şi capacitatea de a dejuca cele trei simboluri ale activitatii de ascultare:

- sa crezi ca ascultarea este un proces normal, când de rapt, ea cere un efort de voinţă,

- sa crezi ca nu exista diferenta intre a auzi şi a asculta, cand de fapt, numai prima se

face fără efort,

- sa crezi ca orice auditoriu este uniform, cand de fapt, adaptarea la interlocutor este

indispensabila in toate cazurile.

Dacă ştie sa depaşeasca aceste obstacole, auditorul va obtine la fiecare interviu

informatiile care raspund la intrebarile Chestionarului sau de Control Intern.

Dar pentru ca toate acestea sa poata fi exploatate cu eficacitate, este nevoie ca foaia de

interviu sa redea integral raspunsurile la intrebari. In acest scop, este obligatoriu ca notitele sa

fie trecute cat mai repede pe documentul potrivit. Totuşi, daca notele au putut fi scrise destul

de citet pe foaia de interviu, nu va mai trebui sa fie scrise din nou.

85

c) Intrebările scrise

Sunt denumite uneori "chestionare", ceea ce creeaza confuzia cu „chestionarul de

control intern“. Lista întrebarilor scrise poate preceda interviul, aceasta fiind o modalitate de

a-l pregati şi de a reduce timpul petrecut cu intervievatul.

In plus, aceasta metoda permite persoanei care va fi interogata sa beneficieze de un

timp de reflecţie gratie caruia işi va putea imbunatati calitatea răspunsurilor. Structura unei

asemenea liste de intrebari are, in general, forma unor „intrebari inchise", adica cu

posibilitate de raspuns prin „da" sau „nu", dar poate avea şi alta forma, cu conditia ca lista

utilizata sa nu se transforme intr-o „naratiune scrisa". Acest lucru presupune ca intrebarile sa

fie adresate cu exactitate şi concizie, pentru a nu lasa loc de incertitudine. In aceasta consta

dificultatea unei astfel de practici: pe lânga intrebarile simple referitoare la subiecte simple,

numai interviul este cu adevarat capabil sa ofere raspunsuri la întrebările pe care le adreseaza

auditorul.

Mai intâlnim, uneori, practica care consta in trimiterea unor liste cu intrebari scrise, făra

a mai fi urmate de un interviu. Aceasta practica nu este foarte indicata in auditul intern din

cinci motive:

● îl tenteaza pe cel interogat sa raspunda intr-un sens care-i este favorabil;

● metoda, nelasand loc dialogului, se situeaza la antipodul a ceea ce ar trebui sa fie

demersul auditorului;

● nu mai poate fi utilizata daca se pun întrebari mai complexe;

● îi poate oferi auditorului posibilitatea sa-şi formeze o idee, nu foarte obiectiva, despre

auditat şi de care cu greu se va debarasa;

● ofera raspunsuri care nu au nici o valoare atata timp cat nu pot fi validate.


Sunt tot mai numeroase şi sunt cu atat mai greu de inventariat cu cat majoritatea

serviciilor de audit intern prefera sa işi creeze propriile lor instrumente decat sa preia

programe informatice putin adaptate funcţiei. Ne vom limita la un clasament al diferitelor

instrumente utilizate, eventual cu cateva comentarii. Se pot defini trei categorii de

instrumente informatice:

a) instrumentele de lucru ale auditorului;

b) instrumentele de realizare a misiunilor;

c) instrumentele de gestiune a serviciului.

a) - Instrumentele de lucru ale auditorului

Suntem in domeniul programelor informatice de pe piata, foarte cunoscute şi pentru

care o simpla enumerare este suficienta:

- programe de procesare text: utilizate in permanenta;

86

- programe de desen (Power point - Flow charting ...), utile mai ales la prezentarea

rapoartelor şi realizarea diagramelor de circulaţie;

- foile de calcul;

- programe pentru reprezentari grafice.

b) Instrumentele de realizare a misiunilor

Aceste instrumente cuprind atât programe achiziţionate de pe piaţă cât şi programe

concepute de compartimentul de audit intern.

b1) Instrumente metodologice: care permit auditorului intern sa conceapă tabelul de

riscuri, sa stabileasca şi sa urmareasca desfaşurarea chestionarului său de control intern sau să

standardizeze foile F.I.A.P. etc.

b2) Instrumente de interogare şi extragere a fişierelor.

Am mai vorbit despre acest procedeu de investigare cu ocazia sondajelor statistice. Să

ne amintim că, pentru a utiliza instrumentele de interogare ce permit extragerea şi analiza

fişierelor, trebuie sa fie respectate trei conditii, ceea ce nu se întâmplă întotdeauna.

Prima condiţie

Sa dispunem de un fişier fiabil care sa contină informatiile pe care dorim sa le

analizam. Ori:

- nu toate informatiile cautate se gasesc într-un fişier informatic,

- atunci cand se gasesc in aceleaşi fişiere informatice, fişierele respective trebuie sa fie

complete şi actualizate. Şi aceasta nu se intampla intotdeauna, deoarece utilizatorii fişierelor

nu au nevoie ca aceste fişiere sa fie complete şi actualizate in mod sistematic Astfel, un fişier

cu clienti poate foarte bine sa contina zeci de clienti „inactivi", pentru care inregistrarile nu

sunt aduse la zi; acesta nu va dauna facturării dacă înregistrările clienţilor „activi“ sunt la zi.

Insa aceasta poate afecta grav munca de cercetare efectuată de auditorul intern asupra

informaţiilor din acest fişier.

A doua condiţie

Sa dispunem de de personal capabil sa le utilizeze şi de instrumente de interogare

adecvate. Aceasta poate fi o problema pentru un serviciu de audit intern. Daca serviciul

dispune de auditori informaticieni, aceştia au competenta de a efectua acest gen de munca pe

care colegii lor le-au incredintat-o. În caz contrar, serviciul de audit intern trebuie sa ceara

ajutorul informaticienilor, a caror timp de munca este foarte bine planificat şi nu au la

dispozitie timpul necesar pentru o munca suplimentara şi al carei obiectiv nu-l înţeleg

întotdeauna.

Am putea spune ca această condiţie este adesea un obstacol în calea utilizării

instrumentului.

A treia condiţie

Obţinerea unei mărimi convenabile pentru raportul calitate/preţ, altfel spus trebuie să se

realizeze interogarea la un cost acceptabil in raport cu beneficiul scontat.

87

Aceste operaţiuni pot fi elementare sau complexe: selectarea datelor, compararea

variabilelor, analiza desfăşurarii evenimentelor, corelari. Consultarea fişierelor informatice

reprezinta astfel un instrument de audit care trebuie folosit împreună cu alte instrumente cum

ar fi:

- instrumente de apreciere a controlului intern. Pe piata exista programe informatice,

dar care nu sunt atat de complete ca modelul descris; exista insa multe alte programe care

corespund acestor necesitati.

- sisteme expert: acestea exista in auditul extern pentru certificarea conturilor şi a

situatiilor financiare pornind de la sisteme de referinta cantabile. In decursul ultimilor ani, s-

au făcut numeroase studii pentru a incerca dezvoltarea unor astfel de sisteme pentru auditul

intern. Inca nu s-a reuşit acest lucru, doar daca putem numi „sisteme expert" nişte simple

chestionare de audit. Motivul principal al acestor eşecuri consta probabil in faptul ca, in

auditul intern, nu exista model fix, spre deosebire de auditul extern.

c) Instrumentele de gestiune a serviciului

Sunt in mare parte concepute chiar de catre serviciu, deoarece variaza in functie de

organizarea şi de modalitatea de gestiune a fiecaruia. Gasim la aceasta rubrică:

● programele de elaborare a planului şi de monitorizare a realizarii acestuia;

● programele de monitorizare a timpului de lucru al auditorilor;

● instrumente de masurare a eficacitatii misiunilor de audit;

● bazele de date continand constatari şi recomandari;

● controlul bugetar al unitatii etc.

Majoritatea acestor instrumente sunt la dispozitia responsabilului auditului intern

deoarece acestea contribuie la gestionarea funcţiei.


Acestea nu sunt nişte instrumente propriu-zise, ci mai degraba procedee, utilizate de

auditor în munca de teren. Aceste procedee sunt utilizate:

- de toţi responsabilii însarcinaţi cu verificarea calităţii auditului intern, cât şi de

- auditorii externi.

Auditorii interni nu recurg la ele decât pentru a se asigura de validitatea operatiunilor

efectuate: orice eroare duce la o cercetare cauzală.

a) Verificarile

Sunt diverse: cele mai numeroase sunt verificările aritmetice. Sa atragem atentia asupra

erorilor tot mai numeroase datorate utilizarii foilor de calcul: ajunge ca o eroare iniţială să se

fi strecurat în logica de construcţie a foii de calcul pentru ca aceasta să se repete la infinit.

Din aceasta cauza, auditorii avizaţi utilizeaza programe care le permit sa verifice logica foii

de calcul.

88

Verificarilor aritmetice le putem asimila utilizării procentelor, foarte des folosite în

auditul contabil. Auditorul intern poate recurge şi la acestea, dar cu conditia sa aiba la

dispozitie un sistem de referinţă (absolut sau în timp) care sa-i permita sa identifice abaterile.

Auditorul extern care are la dispozitia sa termeni de comparatie este mai bine pregatit în acest

domeniu decât auditorul intern.

Tot aici includem verificarea existenţei documentelor şi cautarea altor indicii pentru

atingerea obiectivelor de audit, elemente pe care le regăsim când vom vorbi despre observare.

b) Comparările

Comparările reprezintă pentru auditorul intern o tehnica de validare: confirmam

identitatea unei informatii de îndata ce o obtinem din doua surse diferite; este ceea ce numim

„cross control“. De exemplu:

● Stocul contabil şi stocul real.

● Vânzarea de produse unei filiale şi achiziţiile filialei pentru societatea-mamă.

● Intrările şi ieşirile salariaţilor din birou şi situaţia orelor suplimentare.

Aceste validări oferă adeseori informaţii importante, orice diferenţă indicând o

anomalie.

Pentru utilizarea acestor tehnici de comparare, auditorul intern va trebui sa dea dovada

de imaginatie pentru a cauta - daca nu le poate bănui - răspunsurile la chestionarul său de

control intern.

Exemplu

Cu ocazia auditului securitaţii unui centru informatic, auditorul a trebuit să găsească

răspunsul la întrebarile referitoare la personalul centrului: pregatirea profesionala privind

securitatea, fiabilitatea activităţii etc.

Chestionarul său de control intern cuprinde în special urmatoarele întrebări:

- personalul respecta orele de lucru?

- s-a stabilit planul de lucru al fiecaruia? Este cunoscut? Aplicat?

Auditorul a avut ideea de aface urmatoarea comparaţie:

- ora de intrare şi de ieşire a personalului in cauza;

- planificarea concediilor fiecăruia.

Şi s-a descoperit ca un operator venea la Centrul Informatic noaptea in timpul

concediului.

O ancheta mai amanunlita a aratat ca respectivul angajat executa lucrari platite in

interes personal.

Bineinţeles ca se simţea lipsa unui dispozitiv de control intern care ar fi impiedicat

aceasta frauda, insa descoperirea a fost posibila tocmai datorita comparării.

89

c) Confirmarea obţinută de la terţi

Auditorii externi o utilizeaza frecvent pentru a obţine o certificare a informaţiilor din

partea unor persoane din afara entităţii auditate. Auditorii interni o utilizează mai rar şi mai

puţin sistematic, ca mijloc de validare a constatărilor şi observaţiilor. Această confirmare

poate fi solicitată de la terţii cu care entitatea are legături comerciale şi poate lua mai multe

forme:

● Identificarea terţilor

Putem cita câteva exemple, care nu sunt singurele posibile:

- terţii care au un stoc în depozitul entităţii sau terţii la care entitatea are un stoc în

depozitul acestora;

- clienţii / furnizorii, pentru problemele legate de datorii şi creante,

- intermediarii gestionari de portofolii, pentru evidenţa titlurilor financiare;,

- băncile pentru tranzacţiile bancare,

- avocaţii, când dorim să cunoaştem litigiile entităţii aflate în derulare.

În această enumerare, care poate continua, confirmarea bunurilor depozitate la terţi sau

a bunurilor terţilor depozitate în entitate este importantă, deoarece aceste opraţiuni sunt

însoţite de riscuri, din două motive:

● entitatea poate pierde controlul asupra bunurilor depozitate la terţi (dezorganizare a

evidenţei, a urmăririi mişcării activelor etc.);

● nu există un control intern funcţional (confirmare sistematica, proceduri de

inventariere etc.) pentru evitarea riscurilor de însuşire a bunurilor din proprietatea altuia,

pierderea proprietăţii, alocarea responsabilităţilor etc.

● Forme de confirmare

Putem considera că există trei tipuri de confirmare:

- confirmarea pozitivă închisă, sub forma „aveţi un debit de 1 000 lei la entitatea X ?"

- confirmarea pozitiva deschisă: „ce datorii aveţi faţă de entitatea X?"

- confirmarea negativă: „va rugăm să-mi confirmaţi că nu aveţi nici o creanţă la

entitatea Y".

Instrumentele de descriere


Auditorul intern merge pe teren şi a practica observarea fizică. Practica observarii fizice

necesita indeplinirea a trei conditii:

a) Observarea nu trebuie sa fie clandestină, ci transparentă. Auditorul îi informeaza pe

responsabilii in cauza despre vizită şi intentiile sale.

90

b) Observarea nu trebuie sa fie punctuală. Va dura un anumit timp, sau se va relua de

mai multe ori. Observatia va fi suficient de completă pentru a face posibila intelegerea

realităţii fenomenului.

c) Observarea trebuie sa fie intotdeauna validata deoarece este nesigura, cu exceptia

cazului in care este ea însăşi o validare. Într-adevăr, nu numai ca ea poate fi incompleta, dar

poate fi realizata intr-un moment putin favorabil, cand fenomenul de observat nu se

manifesta.

8.5.1 Obiectul observaţiilor

Observarea fizica efectuata de catre auditor este un instrument cu aplicare universala,

deoarece totul este observabil. O misiune de audit care s-ar limita numai la interviuri ar putea

fi considerata drept un sondaj de opinie, nu o misiune de Audit Intern.

8.5.2 Observarea proceselor

Cum are loc întocmirea, controlul şi achitarea dispoziţiilor de plată;

Cum are loc colectarea, verificarea şi înregistrarea facturilor;

Cum are loc identificarea, notificarea, încasarea şi evidenţa plăţii

contribuabililor etc.

La efectuarea acestor observatii, auditorul nu trebuie sa se comporte ca un pândar sau

ca un spion. Entităţile trebuie să cunoască programul de observare. Dacă observarea este

condusă cu atenţie, va identifica cu uşurinta insuficienţele sau disfuncţiile.

8.5.3 Observarea bunurilor

„Observarea“ elementara a bunurilor inseamna a inventaria. Dar pe langa observarea

cantitativa a bunurilor mai exista şi observarea calitativa. Putem constata, de exemplu, ca

reţeaua de calculatoare nu funcţionează uneori. Exista o disfuncţie care indica o sursă de

erori, o lipsă de control pentru moment asupra sistemului informatic ale carei cauze trebuie sa

fie identificate.

Alt exemplu: functionarea dispozitivelor de protectie impotriva incendiilor în spaţiile

de arhivare a documentelor. Şi mai putem da alte numeroase exemple.

8.5.4 Observarea documentelor

Şi aici seria observarilor posibile este aproape infinita: de la documentele

contabile, care sunt primele la care ne gândim, până la notite, proceduri şi diverse documente,

numarul lor este infinit. Acest lucru înseamna ca auditorul nu se va multumi niciodata sa auda

pe cineva afirmand sau explicand care este regula, ci va cere intotdeauna sa vada documentul.

A observa un document nu inseamna numai sa-l citeşti, ci şi sa-i studiezi forma (semnaturile

contractelor, de exemplu).

Şi exista „documente“ care nu se prezinta sub forma de text: planuri, scheme... pe care

este foarte bine sa le observam daca vrem sa ne asiguram ca ceea ce s-a realizat sau construit

este intr-adevar ceea ce s-a prevazut (regularitate).

91

8.5.5 Observarea comportamentelor

Comportamentul oamenilor la locul de munca: astfel auditorul constata (auditul

gestionarii personalului) ca oricine poate avea acces la informaţiile din contabilitate, că

documentele nu sunt ţinute în spaţii securizate în perioada de întrerupere a programului.

Timpul petrecut in deplasare, dificultatile in indeplinirea anumitor sarcini indica uneori

probleme de organizare. Dar aceasta observare se refera şi la comportamentul persoanelor in

timpul unui interviu sau al unui dialog: aşa cum am mai aratat, cunoaşterea programarii

neuro-lingvistice (PNL) poate aduce auditorului indicatii pretioase şi poate sa-l determine sa

aprofundeze o anumita problema.

Domeniul observarilor este deci considerabil, şi esential. Aceste observari se pot realiza

in doua moduri.

8.5.6 Modalităţi de observare

Exista doua categorii de observari: observarea directa şi observarea indirecta.

Observarea directa este cea care permite constatarea imediata a fenomenului:

angajatii nu prezinta legitimatia la intrarea in birouri. Chiar aceasta observare, va aparea pe

FIAP, ea fiind constatata direct de auditor.

Observarea indirecta, dimpotriva, apeleaza la un tert care va observa in locul

auditorului şi care ii va comunica rezultatul observarii sale. Este cazul binecunoscut al

circuitului datoriilor şi creantelor, unde observarea este de doua ori indirecta deoarece:

- rezulta din afirmatia unui client sau a unui furnizor,

- cel mai adesea informatia este transmisa printr-un comisar de conturi sau un auditor

extern.

Observarea indirecta se intalneşte la fel de des in cazul procedurilor penale in care

auditoru cunoaşte faptele, marturiile care ii sunt comunicate, daca acest lucru este posibil din

punct de vedere legal, de catre autoritatile care se ocupa de acea chestiune.

Mai este nevoie sa adaugăm ca trebuie neaparat evitată observarea efectuarn fara ştirea

celul auditat? Vorbim de observare, nu de spionaj.

8.6 Naraţiunea

Exista două tipuri de naraţiune, ambele utilizate în auditul intern: naraţiunea facută de

auditat şi naraţiunea făcută de auditor. Prima este orala, a doua este scrisă. Ceea ce au în

comun este faptul ca nu necesită nici o pregătire şi nu presupun cunoaşterea nici unei tehnici.

Naraţiunea efectuată de auditat este mai bogată, ea aduce cele mai multe informaţii;

naraţiunea efectuată de auditor nu este decât o ordonare a ideilor şi a cunoştintelor.

8.6.1 Naraţiunea facută de auditat

Este instrumentul cel mai simplu posibil, dar care nu trebuie neglijat din acest motiv.

Auditorul il utilizează în mod pasiv, se multumeşte să asculte şi sa noteze - cât poate de bine -

povestirea interlocutorului său. Spre deosebire de interviu, care este pregatit şi efectuat cu un

scop precis, naraţiunea nu are alt scop decât să descrie un cadru general. Acesta este adesea

92

primul contact cu entitatea auditata: "D-le X, explicaţi-mi ce faceţi ". Este bine ca auditorul

intern sa foloseasca înca de la inceput acest procedeu, care dă cuvântul interlocutorului,

deoarece are mai multe avantaje decât dezavantaje.

8.6.1.1 Dezavantajele

Dificultatea de a găsi informaţiile cautate in discursul interlocutorului. Dând cuvantul

cuiva, acesta poate abuzeaza de aceasta ocazie, iar parantezele şi ocolişurile duc la abateri de

la problema esenţiala şi de la expunerea ei logică.

Mai poate fi şi dificultatea de intelegere, daca naratorul foloseşte şi abuzeaza de sigle,

termeni tehnici sau alte locuţiuni prescurtate.

Trecerea timpului poate fi o altă dificultate, avand in vedere ca nu se recomandă

niciodată înregistrarea, dupa cum nu se recomandă nici la interviu. Totul depinde de

priceperea cu care se iau notite şi de aptitudinea de a le transcrie şi de a le interpreta.

8.6.1.2 Avantajele

Primul avantaj este ca naratiunea va crea inca de la inceput o atmosfera destinsa intre

auditor şi auditat: sa-i laşi pe oameni sa vorbeasca este cel mai bun mod de a-i atrage de

partea ta.

Al doilea avantaj, la fel de important, consta in bogatia informatiilor primite. Intr-o

naraţiune găsim întotdeauna mai mult decât ne aşteptăm sa auzim şi multe din informatiile pe

care le transmite sunt de retinut in vederea unei utilizari ulterioare.

Naratiunea nu necesita o pregatire specială nici pentru a o solicita, nici pentru a o

transcrie.

8.6.2 Naraţiunea făcută de auditor

Transcrierea narativa a unei prezentari orale este deja o naratiune a auditorului. Insa

gasim transcrieri narative ale auditorilor pornind de la observatii fizice, de la constatari, de la

concluziile testelor etc., de îndata ce auditorul se limiteaza la a „"povesti“ fenomenul,

rezultatul sau procesul constatat. Nu este nevoie de nici o alta tehnica in afara de cea a unei

redactari de calitate, şi nici de vreo pregatire profesionala speciala.

Naratiunea, mai ales daca este bine structurata şi logica, va fi uşor citita de catre un tert.

Informatiile pot fi comunicate clar, lucru care este intr-adevar unul din avantajele importante

ale acestui mod de exprimare care nu este un instrument primar de descriere deoarece nu

reprezinta decat ordonarea informatiilor obtinute din alte surse.

Insa acesta nu este cel mai bun mod de a transmite informatia deoarece nu prezinta nici

rigoarea, nici logica, nici tehnica celorlalte instrumente inventariate în alte parti.


Organigrama ierarhica, dispozitiv esential al Controlului Intern, este concepută şi

aplicată de entitate şi este un document important pentru auditor. Organigrama funcţională,

va fi realizată de auditor, daca acesta considera ca îi este necesară pentru a obţine o imagine

mai clara asupra structurii organizaţiei. Auditorul o schiteaza pornind de la informatiile

93

obtinute prin observare, interviuri, naraţiuni ..., în general chiar de la inceputul misiunii sau la

inceputul etapei de realizare.

Aceasta organigrama se caracterizeaza prin faptul ca acele cuvinte care figureaza in

casute nu sunt nume de persoane (organigrama ierarhica), ci denumiri ale funcţiilor. Cele

doua organigrame nu se confunda deoarece:

- aceeaşi persoana poate avea mai multe funcţii,

- aceeaşi functie poate fi indeplinita de mai multe persoane,

- o functie poate sa nu fie atribuita nimanui,

- o persoana poate sa nu aiba nici o funcţie.

Schitarea unei organigrame functionale permite imbogatirea cunoştintelor obtinute

pornind de la combinarea organigramei ierarhice cu analizele postului. Aceasta reprezinta, in

general, documentul care permite trecerea de la organigrama ierarhica la analiza postului, ea

indicand totalitatea functiilor existente şi permitandu-ne astfel sa le regasim in analizele

posturilor.

Exemplu

Organigrama ierarhica (simplificata) a serviciului financiar- contabil al unei

întreprinderi. Responsabilul compartimentului are în subordinea sa trei colaboratori:

dl. Aurel IONESCU este şeful biroului de contabilitate financiară;

dl. Vasile POPESCU este şeful biroului de contabilitate de gestiune;

d-na Elena LUNGU este şefa biroului financiar, de unde rezulta organigrama ierarhica:

Examinarea funcţionala a Serviciului arata că:

Angajaţii biroului de contabilitate de gestiune se ocupa cu:

- preluarea documentelor primare specifice;

- verificarea şi înregistrarea documentelor primare;

- întocmirea documentelor şi oferirea informaţiilor specifice conducerii;

Angajaţii biroului de contabilitate financiară se ocupă cu:

Serviciul financiar -

contabil

Biroul Contabilitate de

gestiune

Vasile POPESCU

Biroul Contabilitate

financiară

Aurel IONESCU

Biroul financiar

Elena LUNGU

94

- preluarea documentelor primare specifice contabilităţii financiare;

- verificarea şi înregistrarea documentelor primare;

- întocmirea documentelor de sinteză;

- întocmirea situaţiilor financiare.

Angajaţii biroului financiar se ocupă cu:

- determnarea necesarului de resurse financiare;

- identificarea surselor de finanţare;

- asigurarea echilibrului financiar.

Organigrama funcţionala (simpla) va fi:

Corelarea celor doua organigrame, compararea lor cu analizele postului pot duce la

descoperirea unor puncte slabe, a unor disfuncţii, a unor deficienţe de organizare şi de

funcţionare. În cazul de faţă, orice disfunţie în comunicarea dintre biroul de contabilitate de

gestiune şi cel de contabilitate financiară poate determina apariţia unor erori în situaţiile

financiare.

În acest stadiu initial de analiza, organigrama functională permite o prima abordare a

problemei separarii sarcinilor, chestiune importanta pe care auditorul trebuie sa o abordeze.

Dar pentru a efectua o analiza mai profunda a acestei chestiuni, auditorul dispune de un

instrument mai eficace: grila de analiza a sarcinilor, a carei organigrama ierarhica se face în

general dinainte.


Grila de analiza a sarcinilor face legatura între organigrama functionala şi organigrama

ierarhica şi justifica analizele postului. Avand în vedere ca toate aceste documente reflecta o

situatie la un moment dat, putem spune acelaşi lucru şi despre grila de analiza a sarcinilor,

care reprezinta "fotografia" repartizarii muncii la un anumit moment T. Citirea acesteia va

permite descoperirea fara erori a lipsurilor in materie de separare a sarcinilor şi, deci,

remedierea lor. Aceasta grila reprezinta primul pas in analiza sarcinilor de munca ale

fiecăruia. Cum este structurata? Cum se completeaza?

Obţinerea informaţiilor

financiar - contabile

Obţinerea costurilor

specifice

Obţinerea situaţiilor

financiare

Elaborarea bugetelor

Asigurarea echilibrului

financiar

95

8.8.1 - Structura grilei

Putem concepe o grila pentru fiecare functie importanta sau pentru fiecare proces

elementar: fiecare grila va contine separarea unitara a tuturor operatiunilor legate de functia

sau procesul in cauza. Serviciile de audit bine organizate şi cabinetele de audit extern dispun

de grile stabilite in prealabil, precizand pe fiecare rand al primei coloane, detaliile sarcinilor

elementare (câte sarcini atâtea rânduri). Calitatea unei grile consta in aceasta detaliere initiala

in cursul careia nu trebuie nimic omis din desfaşurarea secvenâiala a operatiunilor. Putem, de

asemenea, sa stabilim in prealabil grile de analiza a sarcinilor:

- pentru functia de cumparare,

- pentru functia de vanzari,

- pentru functia de trezorerie,

- pentru functia de investitii,

- pentru funcţia de contabil etc.

- pentru orice functie ale carei sarcini pot fi enumerate in mod secvential.

În coloana a doua se indica natura sarcinii, referindu-ne la marile categorii in principiu

ireconciliabile, daca se doreşte o separare clara; se indica aşadar daca este vorba de:

- o simpla sarcina de executare, sau de

- autorizare, sau de

- înregistrare contabila, sau

- financiară, sau de

- control (verificare).

Urmatoarele coloane ale grilei sunt destinate indicarii persoanelor vizate.

8.8.2 Modalitatea de utilizare

Pentru fiecare sarcina şi incepand cu prima, auditorul va cauta sa afle cine a efectuat-o.

De fiecare data cand intalneşte o persoana noua, îi noteaza numele in capătul coloanei şi

bifeaza sarcina respectiva: a completa o grila însemna deci identificare şi bifare. Este

prevazuta şi o ultima coloana pentru sarcinile neîndeplinite. Exemplu:

Într-o entitate procedura de plata a facturilor furnizorilor cuprinde 10 operaţiuni:

1. recepţia la serviciul curier,

2. transcrierea facturilor primite,

3. compararea facturi / bonuri de comanda,

4. compararea facturi / bonuri de recepţie,

5. verificarea facturii,

6. contabilizarea,

7. ordinul de plata

96

8. întocmirea cecului

9. semnarea cecului,

10. trimiterea cecului.

Informaţiile culese de auditor îi permit sa completeze grila de analiză a sarcinilor de

mai jos:

Nr.

crt. Sarcini

Res

p. C

uri

er A

.

Res

p. A

chiz

iţii

B.

Conta

bil

D.

Ges

tionar

E.

Împutr

ernic

it F

Neî

ndep

linit

ă

1 Recepţie X

2 Transcriere X

3 Compararea facturilor /

BC

X

4 Compararea facturilor /

BR

X

5 Verificarea facturii X

6 Contabilizare X

7 Ordinul de plată X

8 Intocmirea cecului X

9 Semnarea cecului X

10 Trimiterea cecului X

Simpla citire a acestei grile elementare permite identificarea urmatoarelor puncte slabe:

1. facturile nu sunt transcrise într-un registru la sosire;

2. responsabilul cu achiziţiile - care a facut comanda - indeplineşte sarcini de

verificare control care ţin în mod normal de contabilitate;

3. cecul n-ar trebui sa fie întocmit de catre contabil, ci de catre casier.

Acest exemplu elementar arata:

- ca este foarte uşor sa descifrezi o grila de analiza a sarcinilor, chiar daca ar fi mult mai

97

complexa decat exemplul ales,

- ca nu pot fi trase concluzii decat in cazul in care capetele de coloana indica in mod

clar numele persoanelor, şi nu ale numelui serviciului.

Conceputa astfel, grila de analiza a sarcinilor este folosita şi de organizatori pentru a

masura munca fiecaruia. Ea este, de fapt, adevaratul punct de convergenta intre individ şi

entitate, intre analiza postului primului şi organizarea celei de-a doua, aşa cum arata schema

de mai sus.

8.9 Pista de audit

A fost la origine - şi mai este inca - un instrument de control contabil. Auditorii interni,

urmand exemplul anglo-saxonilor, au utilizat aceeaşi noţiune pentru a denumi un mijloc de

investigare generala.

8.9.1 Concepţia reglementară

Pista de audit este definită ca un ansamblu de proceduri interne permanente care permit:

Persoana

Descrierea postului

Funcţia

Organigrama funcţională

Grila de analiză a sarcinilor

Organigrama ierarhică

Servicii

Organizare

Entitatea

98

reconstituirea înregistrărilor în ordine cronologică;

justificarea fiecarei informaţii pornind de la documentul de sinteza şi pană la sursa,

printr-un parcurs neintrerupt şi reciproc;

inregistrarea elementelor care permit explicarea trecerii de la o decizie la alta şi

obţinerea acestei informaţii intr-o forma uşor de consultat.

Este vorba aşadar de o intoarcere la originea operatiunilor care au condus la

determinarea rezultatului (parcurs de pistă). Pentru a putea realiza acest parcurs in orice

moment, este necesar ca:

documentefe justificative sa fie datate şi păstrate in ordine cronologica (ne putem

imagina complexitatea secventelor de procesare informatica),

regulile de efectuare a copiilor informatice de rezerva sa fie definite,

fişierele informatice care contin elementele în cauza sa fie uşor de utilizat de

auditor.

Astfel concepută, pista de audit apare mai degraba ca un dispozitiv de control intern,

decat ca un instrument la dispozitia auditorului. Aceasta caracteristica din urma este sustinuta

mai mult in conceptia operatională care se refera la toate activitatile, nu numai la cele de tip

exclusiv contabil.

8.9.2 Concepţia operaţională

Conceputa ca un mijloc specific de investigare de catre auditorii interni, pista de audit

sau parcursul de audit este astfel o metoda de testare care se bazeaza pe un document final

sau pe rezultatul unei operatiuni şi care permite intoarcerea la sursa parcurgand toate etapele

intermediare. Aşadar, caracteristicile acestei metode sunt urmatoarele:

Nu vizeaza decat o singură operatiune,

Porneşte de la documentul sau rezultatul final şi se întoarce spre sursa,

Permite controlul - pentru aceasta operatiune determinata - tuturor stadiilor

intermediare, al tuturor elementelor justificative.

Permite efectuarea testului tuturor interfetelor şi, deci, verificarea punctelor

specifice de intersectie pe parcursul operatiunilor. Cere, daca este cazul, validarea şi

constatarea pe teren.

In Auditul Intern, pista de audit poate fi utilizata in toate functiile şi pentru toate

operatiunile.Exemple:

- identificarea retrospectiva a tuturor operatiunilor legate de vanzarea unui produs,

- identificarea retrospectiva a tuturor operatiunilor legate de cumpararea unui material,

- identificarea retrospectiva a tuturor operatiunilor legate de plata unui salariu,

99

- verificarea logicii unei procesări informatice atunci cand datele parcurg secvente

informatizate. În acest caz, pista de audit prezinta caracteristicile specifice al unui audit

informatic,

- identificarea retrospectiva a tuturor operatiunilor legate plata unui impozit etc.

Este un instrument foarte eficient utilizat pentru a ne asigura ca dispozitiile de control

intern au fost aplicate pe tot parcursul procesului şi ca şi-au atins scopul.

Exemplu

Identificarea diferitelor etape ale parcursului de audit pornind de la o înregistrare a

debitului la banca, corespunzând achitării către un furnizor a unei facturi de achiziţionare de

produse.

Trebuie sa se examineze succesiv următoarele etape:

0. cont în bancă debitat cu suma unui cec.

1. examinarea condiţiilor bancare.

2.procedura de întocmire a documentelor de plata (semnmura - trimiterea cecurilor).

3. procedura de realizare a plaţii (bun de plata, scadenle).

4. circuitul facturilor pentru autorizare înainte de plata.

5. procedura de contabilizare afacturilor furnizorilor.

6. procedura de recepţie a facturilor (curier).

7. livrarea marfurilor la solicitant.

8. procedura de recepţie a marfurilor.

9. aviz de recepţie a comenzilor la furnizori.

10. procedura de trimitere a comenzilor (curier, livrarea exemplarelor).

11. procedura de înregistrare a comenzilor.

12. transmiterea comenzii (semnaturi autorizate, circuitul documentelor, controale).

13. decizia de cumparare.


Pentru utilizarea cu maximum de eficacitate a instrumentelor de cercetare auditorul

trebuie să ştie să comunice şi să fie curios.

8.10.1 Comunicarea

Daca comunicarea se face cu dificultate, daca se instaleaza neincrederea, nici o tehnica

din lume nu va avea vreun efect, iar instrumentul nu-şi va îndeplini rolul.

În acest caz vom obţine un interviu incomplet, o organigrama eronată, o observaţie

insuficientă sau o diagrama de circulatie carora le vor lipsi unele elemente trecute sub tacere.

Colaborarea intre cele doua parţi este indispensabila şi toate eforturile auditorului trebuie sa

100

se concentreze pentru a o instaura. Insa o buna comunicare nu inseamna nimic daca auditorul

nu incearca sa afle cât mai multe informaţii.

8.10.2 Curiozitatea

Curiozitatea îmbogateşte dialogul la fel de mult ca şi buna comunicare: este esentiala in

elaborarea chestionarului de control intern, in analizele foilor de observaţii, stimuleaza

întrebarile iniţiale şi animă interviul. De asemenea, permite observarea oricarui amănunt din

grilele de analiza a sarcinilor şi din diagramele de circulatie, face posibila monitorizarea de la

un capat la altul al pistei de audit făra a pierde parcursul esenţial şi explorand în detaliu

fiecare etapa a operaţiunilor. Aceasta capacitate de investigare, aceasta curiozitate mereu

treaza, acest scepticism uşor care stimuleaza cercetarea reprezinta una din cheile succesului

in utilizarea instrumentelor şi mijloacelor aflate la dispozitia auditorului.

Vocabular: sondaj statiastic; interviu; observarea fizică; naraţiunea;

organigramă funcţională; pista de audit.

Întrebări

1. Cum se defineşte sondajul statistic ca instrument folosit de auditorii interni?

2. Cum se defineşte interviul ca instrument folosit de auditorii interni?

3. Ce instrumente informatice foloseşte auditorul intern?

4. Cum folosesc auditorii interni verificările şi comparările pentru culegerea probelor?

5. Cum folosesc auditorii interni observarea fizică pentru culegerea probelor?

6. Cum folosesc auditorii interni naraţiunea pentru culegerea probelor?

7. Cum folosesc auditorii interni organigrama funcţională pentru culegerea probelor?

8. Cum folosesc auditorii interni grila de analiză a sarcinilor pentru culegerea

probelor?

9. Cum folosesc auditorii interni pista de audit pentru culegerea probelor?

101

Capitolul 9

Planificarea auditului intern




9.4 Planul de audit


Planificarea reprezintă o activitate intelectuală în urma căreia se stabilesc obiectivul

acţiunii viitoare, obiectiv compatibil cu constrângerile cunoscute sau previzibile, cu intervalul

de timp în care se doreşte a se realiza obiectivul şi resursele alocate pentru realizarea

scopului.

Planificarea auditului reprezintă procesul prin care auditorul stabileşte

activităţile ce trebuie întreprinse şi resursele ce trebuie alocate pentru realizarea mandatului

primit de la beneficiar. Scopul planificării îl reprezintă stabilirea domeniilor importante

asupra cărora se va concentra auditorul, identificarea problemelor care ar putea deveni

importante odată cu derularea auditului, organizarea auditului (stabilirea sarcinilor,

coordonarea activităţilor celor care participă la realizarea auditului, durata auditului).

Planul de audit constituie un mijloc de orientare a asistenţilor implicaţi în audit,

cărora le oferă instrucţiuni referitoare la activităţile pe care le au de îndeplinit, reprezintă un

mijloc de control şi de ţinere a evidenţei desfăşurării activităţii. Planul de audit poate conţine,

de asemenea, obiectivele auditului desfăşurate pe domenii, alocarea timpului de lucru pe

obiective, domenii şi proceduri de audit.

Întinderea auditului (obiective propuse, durata auditului, resurse materiale şi umane

alocate) se stabileşte în corelaţie cu mărimea entităţii, complexitatea auditului, gradul de

cunoaştere a entităţii, experienţa auditorului.

Planul de audit include, printre altele:

00:50



Care este semnificaţia noţiunii de planificare a auditului intern;

Cum se realizează planificarea auditului intern;

Care sunt structura şi conţinutul planului de audit intern.

102

Obţinerea unei înţelegeri suficiente a activităţii şi structurii de conducere a

entităţii şi a unei înţelegeri suficiente a sistemelor de contabilitate şi de control intern,

inclusiv a funcţiei de gestionare a riscului şi a funcţiei de audit intern;

Luarea în considerare a evaluărilor prognozate pentru riscul inerent şi riscul de

control, acestea însemnând riscul de apariţie a denaturărilor semnificative (risc inerent) şi

riscul ca sistemul de control intern al entităţii să nu prevină sau să nu detecteze astfel de

denaturări la momentul oportun (riscul de control);

Determinarea naturii, duratei şi întinderii procedurilor de audit intern ce urmează

a se aplica;

Planificarea unui audit presupune cunoaşterea strategiei de audit intern şi

elaborarea unui plan de audit pentru a reduce riscul din domeniul auditat la un nivel

acceptabil de scăzut.

Planificarea adecvată permite să se acorde atenţie domeniilor importante ale auditului,

să se identifice posibilele crize, să se organizeze, conducă şi realizeze auditul intern în mod

eficient. Planificarea adecvată sprijină, de asemenea desemnarea adecvată a atribuţiilor între

membrii echipei de audit intern, facilitează conducerea şi supravegherea membrilor echipei,

revizuirea muncii acestora şi asistă, unde este cazul, activităţile făcute de experţi. Natura şi

întinderea activităţilor de planificare va depinde de mărimea şi complexitatea entităţii şi de

modificările care apar pe durata misiunii.

Planificarea nu este o etapă singulară a unui audit, ci mai degrabă un proces continuu

şi repetitiv. La planificarea unui audit, auditorul stabileşte momentul şi ordinea de

desfăşurare a activităţilor. Auditorul planifică o discuţie cu membrii echipei referitoare la

procedurile de evaluare a riscului, obţinerea unei înţelegeri generale a cadrului general de

reglementare şi a cadrului general aplicabil entităţii şi a modului în care entitatea respectă

acest cadru, efectuarea unor proceduri de audit la nivel de aserţiuni pentru clase de

tranzacţii, solduri ale conturilor şi prezentări care răspund la acele riscuri, în cazul auditului

situaţiilor financiare.


Auditorul trebuie să efectueze următoarele activităţi la începutul misiunii de audit:

să evalueze conformitatea misiuni sale de auditor intern cu cerinţele etice,

inclusiv independenţa sa în raport cu misiunea primită;

să stabilească o înţelegere a termenilor misiunii.

Atenţia auditorului referitoare la cerinţele de etică, inclusiv independenţa, apare pe

toată durata efectuării auditului, deoarece apar condiţii noi şi modificări ale celor vechi.

Procedurile iniţiale ale auditorului cu privire la evaluarea cerinţelor etice (inclusiv

independenţa) sunt efectuate înaintea efectuării altor activităţi semnificative pentru misiunea

curentă de audit.

Scopul efectuării acestor activităţi preliminare ale misiunii este de a se asigura că

auditorul a luat în considerare orice evenimente sau împrejurări care pot afecta în mod

103

negativ capacitatea auditorului de a planifica şi efectua misiunea de audit. Efectuarea acestor

activităţi preliminare ajută auditorul să planifice o misiune de audit pentru care:

auditorul are independenţa necesară şi capacitatea de a efectua auditul;

nu sunt aspecte legate de integritatea managementului subunităţii auditate, care

pot afecta dorinţa auditorului de a continua misiunea;

nu există nici o înţelegere cu managementul subunităţii auditate în legătură cu

termenii misiunii.


În această fază se stabileşte aria de aplicabilitate, cine va conduce auditul, perioada

desfăşurării şi se stabilesc elementele generale ale planului de audit. Lucrările pregătitoare

se referă la:

(a) stabilirea ariei de aplicabilitate (procedurile adecvate pentru îndeplinirea

obiectivelor auditului);

(b) evaluarea obiectivelor ce trebuie raportate de auditor, pentru a planifica

perioada de desfăşurare a auditului, natura verificărilor şi momentul raportării concluziilor,

comunicarea cu managementul şi cu cei însărcinaţi cu guvernanţa;

(c) identificarea factorilor importanţi care trebuie luaţi în considerare la orientarea

activităţilor echipei de audit; sunt evidenţiate activităţile entităţii care pot fi afectate de riscuri

cu expuneri semnificative, sunt surprinse activităţile de control intern care nu şi-au dezvoltat

capacitatea de a evalua evoluţia şi manifestarea riscurilor relevante etc.

Lucrările pregătitoare ajută auditorul să evalueze măsura, momentul şi dimensiunea

resurselor necesare pentru a efectua auditul, stabilind:

(a) resursele angajate pentru anumite domenii de audit specifice, cum ar fi

folosirea membrilor cu experienţă din echipă pentru verificarea activităţilor cu riscuri mari

sau implicarea unor experţi în verificarea activităţilor complexe;

(b) cantitatea resurselor alocate unor domenii specifice de audit, cum ar fi

numărul membrilor echipei desemnaţi să participe la inventarierea gestiunilor semnificative,

bugetul de timp alocat pentru verificarea activităţilor cu riscuri mari etc.

(c) momentul când sunt angajate aceste resurse, cum ar fi stadiul intermediar de

desfăşurare a auditului sau faza de finalizare etc.

(d) modul în care sunt gestionate, îndrumate şi supervizate resursele, cum ar fi

şedinţele cu membrii echipei, verificarea fişelor de observaţii, controlul calităţii lucrărilor de

audit etc.

Odată stabilite aceste elemente, auditorul poate începe elaborarea unui plan mai

detaliat, care să arate cum pot fi îndeplinite obiectivele auditului prin utilizarea eficientă a

resurselor auditorului.

104

9.4 Planul de audit

Planul de audit include natura, momentul şi întinderea procedurilor de audit

care urmează să fie efectuate de membrii echipei de audit intern pentru a obţine suficiente

probe adecvate pentru reducerea riscul la un nivel acceptabil de scăzut. Planul de audit

reprezintă o premisă a efectuării adecvate a procedurilor de audit, un document care poate fi

verificat şi aprobat înainte de efectuarea altor proceduri de audit.

Planificarea auditului intern trebuie să fie conformă cu Carta de audit şi obiectivele

entităţii.

Procesul de planificare presupune stabilirea:

obiectivelor;

programului de lucru al auditorilor;

bugetele de personal şi financiar ;

rapoartelor de activitate.

Obiectivele auditului intern trebuie să poată fi atinse în cadrul unor planuri

operaţionale şi a unor bugete fixate şi, în măsura în care este posibil, ele trebuie să fie

cuantificabile .

Obiectivele trebuie să fie completate cu criterii de măsurare şi un plan de realizare a

acestora. Criteriile de măsurare sunt folosite pentru anticiparea apariţiei riscurilor şi a

efectelor manifestării acestora.

Programul de lucru al misiunilor trebuie să precizeze:

activităţile care trebuie auditate;

data de începere al misiunilor;

timpului necesar pentru desfăşurarea misiunilor, ţinând cont de domeniul

misiunii, natura şi obiectul lucrărilor de audit.

La planificarea misiunii, auditorii interni trebuie să ia în considerare:

obiectivele activităţii care este revizuită şi mijloacele prin care este controlată

desfăşurarea acesteia;

riscurile semnificative legate de activitate, obiectivele misiunii, resursele

utilizate şi sarcinile sale operaţionale, precum şi mijloacele prin care impactul potenţial al

riscului este menţinut la un nivel acceptabil;

adecvarea şi eficacitatea sistemelor de management al riscurilor şi de control al

activităţii, cu referire la un cadru sau model relevant de control;

oportunităţile de îmbunătăţire semnificativă a sistemelor de management al

riscurilor şi de control al activităţii.

105

Elementele care trebuie luate în calcul la stabilirea priorităţilor sunt:

data şi rezultatele misiunii precedente;

evaluările actualizate ale riscurilor şi a eficacităţii proceselor de management al

riscurilor şi a activităţilor de control intern;

solicitările conducerii generale şi ale consiliului de administraţie;

problemele actuale asociate guvernării corporative ;

schimbările importante care s-au produs în entitate şi care au afectat activităţile,

sarcinile operaţionale, programele, sistemele şi controlul intern;

oportunităţile de realizare a beneficiilor din exploatare;

modificările intervenite în cadrul echipei de audit intern (numărul membrilor,

aptitudinile lor profesionale etc.).

Planificarea lucrărilor trebuie să fie suficient de flexibilă pentru a face faţă cererilor de

misiuni neprevăzute.

Auditul intern este integrat în procesul de management al riscurilor; evaluarea riscurilor

şi a eficacităţii procesului de management al riscurilor, acestea reprezentând obiective

prioritare care trebuie avute în vedere la planificarea auditului intern.

Planificarea unui audit este un proces continuu şi repetitiv pe tot parcursul auditului.

Apariţia unor evenimente neaşteptate, modificarea condiţiilor în care se realizează auditul,

obţinerea unor probe neaşteptate pot determina auditorul să modifice planul de audit, natura,

momentul şi procedurile de audit planificate. Pot apărea noi informaţii care diferă în mod

semnificativ de informaţiile disponibile atunci când auditorul a planificat procedurile de

audit. Spre exemplu, auditorul poate obţine probe de audit prin efectuarea unor proceduri de

fond care contrazic probele de audit obţinute prin testarea eficienţei funcţionării controalelor.

În astfel de împrejurări, auditorul reevaluază procedurile de audit planificate, aducându-le în

concordanţă cu expunerile reale ale riscurilor.

Auditorul trebuie să planifice şi natura, momentul şi întinderea activităţilor de

conducere şi supraveghere a membrilor echipei de audit şi verificarea muncii lor. Acestea

pot fi influenţate de mulţi factori, inclusiv mărimea şi complexitatea entităţii, domeniul

auditului, riscul denaturărilor semnificative, capacităţile şi competenţa personalului care

efectuează activitatea de audit.

Auditorul planifică natura, momentul şi întinderea verificărilor şi a supravegherii

membrilor echipei de audit pe baza riscurilor evaluate. Pe măsură ce riscul creşte, creşte şi

întinderea supravegherii membrilor echipei.

Planul de audit are câteva caracteristici, din care cele mai importante sunt:

a) conţinut exhaustiv, ceea ce înseamnă că planul de audit este necesar să cuprindă

toate temele, funcţiile, procesele, şi serviciile care pot fi şi trebuie auditate la un anumit

moment.

Conţinutul exhaustiv al planului de audit are o serie de consecinţe, respectiv:

106

- un plan integral nu poate fi elaborat o singură dată, finalizarea presupunând mai

mulţi ani, prilej care va contribui la completarea şi actualizarea planului

- planul nu va fi terminat niciodată pentru că el va suferi în permanenţă

modificări, completări, îmbogăţire, anulare parţială, adaptare la funcţii noi sau dezvoltare a

obiectivelor deja cuprinse etc.

- abordarea exhaustivă presupune o abordarea largă a problemelor de audit intern

pentru a acoperi toate funcţiile şi procesele organizaţiei.

b) planificarea multianuală şi analiza globală a riscurilor pentru a respecta

planificarea pe mai mulţi ani (de la trei la cinci ani).

Auditarea unei funcţii, unui proces, a unor teme sau servicii nu se face la acelaşi

interval de timp pentru toate, unele fiind supuse auditului anual, altele la doi ani, trei sau cinci

ani, în funcţie de importanţa riscului.

Riscul va fi cel care va determina frecvenţa auditării. Activităţile cu riscuri ridicatre vor

fi auditate mai des, iar cele cu riscuri scăzute mai rar.

c) structura predeterminată a planului de audit intern; acesta va avea o formă unitară

de prezentare, un format standard.

Auditorul trebuie să documenteze planul de audit, inclusiv orice modificări

semnificative făcute pe durata executării auditului. Sunt înregistrate deciziile importante luate

pentru planificarea adecvată a auditului şi sunt comunicate aspectelor semnificative echipei

de audit. Putem da ca exemplu deciziile referitoare la aria de aplicabilitate etc.

Documentarea de către auditor a planului de audit este suficientă pentru a demonstra

natura, momentul aplicării şi întinderea procedurilor planificate pentru evaluarea riscului şi a

celorlalte proceduri de audit. Auditorul poate folosi programe de audit standard sau liste de

verificare pentru audit completate. Totuşi, atunci când sunt folosite astfel de programe sau

liste de verificare, auditorul le întocmeşte în mod adecvat pentru a reflecta împrejurările

deosebite ale angajamentului.

Documentarea de către auditor a oricăror modificări semnificative ale planului detaliat

de audit, evidenţiază soluţia găsită de auditor pentru adaptarea planului de audit la condiţiile

reale de pe teren. Forma şi întinderea documentaţiei depinde de aspecte cum ar fi mărimea şi

complexitatea entităţii, mărimea riscului, natura şi complexitatea probelor, împrejurările

specifice fiecărui audit.

Auditorul poate discuta elementele de planificare cu cei însărcinaţi cu guvernanţa şi

managementul entităţii. Aceste discuţii pot face parte din comunicarea generală necesară cu

cei însărcinaţi cu guvernanţa entităţii sau poate fi făcută pentru a îmbunătăţi eficienţa şi

eficacitatea auditului. Discuţiile cu cei însărcinaţi cu guvernanţa includ de obicei strategia

generală de audit şi momentul auditului, inclusiv orice limitări ale acestuia, sau orice cerinţe

suplimentare. Discuţiile cu managementul apar adesea pentru a facilita conducerea şi

managementul auditului (spre exemplu, pentru a coordona unele proceduri de audit

planificate cu activitaea personalului entităţii). Deşi aceste discuţii apar adesea, elaborarea

planului de audit rămâne în responsabilitatea auditorului.

107

Vocabular: planificare; plan de audit; program de lucru.

Întrebări

1. Care este semnificaţia noţiunii de planificare a auditului intern?

2. Care sunt activităţile preliminare ale misiunii de audit intern?

3. Care sunt lucrările pregătitoare pentru planificarea activităţilor de audit intern?

4. Care sunt elementele pe care trebuie să le cuprindă planul de audit intern?

5. Care sunt principalele caracteristici ale planului de audit intern?

108

Capitolul 10

Organizarea auditului intern










10.3.5 Documentarea



Când discutăm de funcţia de audit intern trebuie să avem în vedere atât organizarea

compartimentului de audit intern, cât şi organizarea muncii şi gestionarea competenţelor şi

resurselor necesare pentru efectuarea auditului intern.

Organizarea auditului intern se referă la:

a) organizarea compartimentului de audit intern:

- structuri posibile;

- competenţele auditorilor;

b) organizarea muncii auditorilor:

carta auditului;

planul de audit intern;

manualul de audit intern;

dosarele de audit şi documentele de lucru;

documentarea;

c) eficacitatea organizării compartimentului;

d) comitetul de audit (vezi cap. 4).

00:50



Cum se organizează o misiune de audit intern;

Care se organizează munca auditorilor interni;

Cum se măsoară eficacitatea funcţionării compartimentului de audit

intern.

109



Adoptarea unei forme de organizare a compartimentului de audit depinde de cultura

organizaţională, de poziţionarea funcţiei de audit intern şi de criteriile alegerii folosite de

managerii entităţii.

În general sunt două criterii importante şi acceptate unanim de literature de specialitate

în ceea ce priveşte organizarea compartimentului de audit intern:

- dimensiunea entităţii (organizaţiei) şi

- adoptarea unui audit centralizat ori a unuia descentralizat.

Dimensiunea entităţii (organizaţiei) este deosebit de importantă la stabilirea

numărului de auditori interni care să răspundă solicitărilor entităţii.

Dacă într-o entitate mică sau mijlocie se poate constitui un compartiment de audit

intern compus din 1 până la 3 persoane, la o mare companie naţională sau multinaţională

compartimentul de audit poate fi format din 20 până la 100 de auditori interni.

Auditul centralizat sau descentralizat reprezintă o opţiune privind localizarea şi

organizarea echipele de auditori interni.

O entitate îşi poate grupa toţi auditorii interni la sediul social al acesteia într-o singură

echipă sau auditorii pot fi grupaţi în atâtea echipe câte unităţi autonome are entitatea. Aceste

criterii pot fi combinate, mai ales în cazul entităţilor mari naţionale sau multinaţionale care, în

funcţie de obiectivele urmărite, pot organiza echipe de auditori interni la nivel local,

concomitent cu o echipă aflată la nivel central (la sediul social al entităţii).

O entitate multinaţională are un audit descentralizat, dacă are o echipă de audit la

sediul acesteia şi servicii de audit intern în fiecare ţară, compartimentul de audit intern fiind

ataşat structurii naţionale (ceea ce este specific unei structuri centralizate).

Cele două tipuri de abordări au avantaje şi dezavantaje, luând în considerare coerenţa

activităţii şi pregătirea profesioanlă, contactul direct şi permanent cu realitatea din teren,

elemente esenţiale pentru o activitate performantă şi pentru îndeplinirea obiectivelor

misiunilor de audit intern.

În cazul auditului centralizat, compartimentul de audit intern este organizat pe misiuni,

fiecare din acestea având câte un responsabil şi un domeniu de competenţă sau funcţie, după

cum urmează:

- mediul industrial sau tehnic;

- marketing, vânzări şi logistică;

- contabilitate şi gestiune;

- informatică şi mediu IT.

Această organizare presupune existenţa unor auditori specializaţi pe activităţi sau pe

funcţii, ceea ce duce la o recrutare anevoioasă şi la costuri suplimentare legate de calificare.

Organizarea compartimentului de audit intern se face pe echipe, formate din auditori

seniori şi juniori, toţi auditorii fiind la dispoziţia entităţii pentru formarea acestor echipe.

Echipele se formează în corelaţie cu obiectivele auditului şi resursele disponibile în

momentul respectiv.

110

Auditorii care desfăşoară astfel de misiuni au o pregătire largă, fiind numiţi

„generalişti“. Pentru misiunile care solicită calificări speciale sunt angajaţi specialişti externi.

Pentru auditul descentralizat este nevoie de un serviciu central de Audit Intern şi de

compartimente în structurile locale, serviciul central având patru misiuni importante:

elaborarea normelor pentru auditul intern;

definirea politicii şi a mijloacelor de pregătire profesională;

verificarea calităţii lucrărilor realizate de auditorii interni;

realizarea de misiuni specifice.

La entităţile de mărime medie auditul intern poate fi organizat sub forma unui mic

compartiment sau funcţia este îndeplinită de un singur auditor, acesta fiind însă direct

subordonat conducătorului entităţii. O entitate care doreşte să aibă audit intern eficient,

trebuie să organizeze un compartiment de audit intern compus din cel puţin trei personae. Se

pot valorifica în acest fel avantajele specializării auditorilor, a competenţei acestora şi se pot

satisface mai bine nevoile entităţii.


Profesia de auditor intern a este o profesie recunoscută de societate, fiind menţionată în

Clasificarea ocupaţiilor din Romania la poziţia 241124.

Normele legale în vigoare obligă societăţile comerciale să aibă auditori interni care să fie

membri ai Camerei Auditorilor Financiari din România. Această solicitare nu este realizabilă

şi conducerea Camerei analizează posibilitatea modificării ei. Aceasta nu va schimba însă

aşteptările referitoare la competenţele auditorilor interni.

Recrutarea auditorilor interni se poate face pe două căi: din interiorul organizaţiei, în

majoritatea cazurilor şi din exteriorul acesteia. Prima abordare are în vedere faptul că numai

un bun cunoscător al mediului intern al entităţii poate exercita cu succes mandatul de auditor

intern.

Încrederea în procesul de audit depinde de competenţa celor care desfăşoară auditul.

Această competenţă se bazează pe demonstrarea:

- aptitudinilor personale şi

- capacităţii de a aplica cunoştinţele şi abilităţile acumulate prin studii, de a utiliza

experienţa profesională, de a se instrui în mod continuu, de a valorifica experienţa acumulată

şi împărtăşită de ceilalţi auditori.

Auditorii ar trebui să aibă aptitudini personale care să le permită să acţioneze în

concordanţă cu principiile după care se desfăşoară activităţile de audit. Un auditor ar trebui:

a) să se comporte etic, de exemplu: să fie cinstit, de încredere, sincer, onest şi discret;

b) să fie receptiv, de ex. să fie dornic să ia în considerare idei sau puncte de vedere

alternative;

c) să fie diplomat, de ex. să aibă tact în lucrul cu oamenii;

d) să aibă spirit de observaţie, de ex. să aibă o stare activă de conştientizare a

ambientului fizic şi a activităţilor practice;

e) să fie perceptiv, de ex. stare de conştientizare instinctivă a situaţiilor şi capabil să

înţeleagă situaţiile;

f) să fie flexibil, de ex. se adaptează prompt la situaţii diferite;

g) să fie tenace, de ex. perseverent, concentrat pe îndeplinirea obiectivelor;

111

h) să fie hotarât de ex. să ajungă la concluzii în timp util, bazându-se pe analize şi

raţionamente logice;

i) să aibă siguranţă de sine, de ex. să acţioneaze şi să se manifeste independent, în timp

ce interacţionează cu ceilalţi.

Auditorii ar trebui să aibă cunoştinţe şi abilităţi în urmatoarele domenii:

a) Principii, proceduri şi tehnici de audit: care să permită auditorului să le aplice pe cele

corespunzatoare situaţiilor concrete şi să se asigure că auditurile sunt desfăşurate într-o

manieră consecventă şi sistematică. Un auditor ar trebui să fie capabil să:

- aplice principiile, procedurile şi tehnicile de audit;

- planifice şi să organizeze activitatea în mod eficace;

- efectueze auditul în limitele programului agreat;

- stabilească priorităţile şi să se concentreze pe probleme în funcţie de importanţă;

- colecteze informaţii în mod eficace prin intervievare, ascultare, observare şi

analizarea documentelor, înregistrărilor şi a datelor;

- înţeleagă necesitatea şi consecinţele utilizării eşantionării pentru auditare;

- verifice exactitatea informaţiilor colectate;

- confirme că dovezile de audit sunt suficiente şi adecvate pentru a susţine constatările

şi concluziile auditului;

- evalueze acei factori care pot influenţa credibilitatea constatărilor şi concluziilor

auditului;

- utilizeze documente de lucru pentru a înregistra activităţile auditului;

- pregătească rapoartele de audit;

- menţină confidenţialitatea şi securitatea informaţiilor;

- comunice eficace.

b) Sisteme de management şi documente de referinţă, care să permită auditorului să

înţeleagă domeniul auditului şi să aplice criteriile de audit. Cunoştinţele şi abilităţile în acest

domeniu ar trebui să cuprindă:

- modul de aplicare a sistemelor de management diverselor organizaţii;

- interacţiunea dintre componentele sistemului de management;

- standardele sistemelor de management, procedurile aplicabile sau alte documente ale

sistemului de management utilizate sub formă de criterii de audit;

- recunoaşterea diferenţelor dintre documentele de referinţă şi priorităţile acestora;

- aplicarea documentelor de referinţă pentru diferite situaţii de audit;

- sisteme informatice şi tehnologia informaţiei utilizate pentru autorizarea, securitatea,

difuzarea şi controlul documentelor, datelor şi al înregistrărilor.

c) Situaţii organizaţionale: care să permită auditorilor să înteleagă contextul operaţional

al entităţii. Cunoştintele şi abilităţile în acest domeniu ar trebui să cuprindă:

- mărimea, structura, funcţiile şi relaţiile entităţii;

- procesele generale ale activităţii şi terminologia conexă;

- obiceiurile culturale şi sociale ale auditatului.

d) Legile, reglementările şi alte cerinţe relevante aplicabile disciplinei: care permit

auditorului să cunoască cerinţele care se aplică entităţii auditate şi să lucreze în limitele

acestor cerinţe. Cunoştinţele şi abilităţile în acest domeniu ar trebui să cuprindă:

- coduri, legi şi reglementări locale, regionale şi naţionale;

112

- contracte şi acorduri;

- tratate şi convenţii internaţionale şi

- alte cerinţe la care entitatea subscrie.



Carta auditului intern, are ca scop:

- stabilirea poziţiei serviciului de audit intern în cadrul organizaţiei;

- autorizarea accesului la documente, persoane şi bunuri;

- definirea sferei de activitate a auditului intern.

Carta de audit intern trebuie elaborată în formă scrisă şi aprobată de Consiliul de

administraţie. Acest document dă legitimitate activităţii de audit intern şi contribuie la reuşita

sa.

Carta auditului intern, este difuzată spre cunoaştere la nivelul entităţii,

compartimentelor care vor fi auditate.


Planul de audit este obligatoriu şi se realizeză pe baza riscurilor specifice entităţii şi cu

scopul ientificării priorităţilor entităţii.

Elaborarea planului de audit va avea în vedere următoarele cinci etape obligatorii:

- realizarea sau actualizarea unei liste complete a misiunilor de audit intern;

- calcularea sau actualizarea coeficientului de risc al fiecărei misuni de audit intern şi

stabilirea priorităţilor şi a periodicităţii misiunilor de audit intern;

- redactarea proiectului de plan;

- ajustarea proiectului în funcţie de resursele disponibile şi de solicitările

managementului;

- aprobarea planului de audit intern de conducerea entităţii sau comitetul de audit.

Planul de audit intern se actualizează anual sau atunci când apar modificări

semnificative care trebuie operate şi care sunt solicitate şi aprobate de conducerea entităţii.


Manualul de audit intern prezintă sistemul de organizare, regulile de compartiment şi

competenţele auditorilor, obiective minimale ale auditului intern. Manualul de audit trebuie

să contribuie la:

- definirea condiţiilor generale de activitate;

- sprijinirea pregătirii/integrării auditorului intern debutant;

- utilizarea ca sistem de referinţă.

Definirea condiţiilor generale de activitate înseamnă descrierea organigramei

compartimentului de audit intern, precum şi poziţionarea acestuia în entitate. Sunt prezentate

fişele de post pentru toţi auditorii interni, astfel încât aceştia să cunoască sarcinile pe care le

au de îndeplinit, competenţele pe care trebuie să le afirme şi responsabilităţile cărora să le

facă faţă.

Manualul prezintă modul de repartizare a sarcinilor, domeniile de manifestare a

auditorilor, modul de elaborare şi realizare a planului de lucru, de soluţionare a divergenţelor

113

cu partea auditată, dispoziţiile referitoare la deplasările profesionale şi rambursarea

cheltuielilor, condiţii materiale de desfăşurare a activităţii etc.

Sprijinirea pregătirii/integrării auditorului debutant se va face prin punerea la

dispoziţia acestuia a manualului şi se va proceda la facilitarea înţelegerii regulilor cuprinse în

manual. Auditorul debutant se va familiariza cu obiectivele şi particularităţile de funcţionare

ale compartimentului de audit intern şi va înţelege procedurile de lucru ale auditului intern.

Utilizarea ca sistem de referinţă presupune cunoaşterea normelor profesionale în

materie, dar şi cuprinderea normelor specifice compartimentului de audit intern, cu trimiteri

la:

- reguli de angajare şi de desfăşurare a activităţii auditorilor interni potrivit normelor

profesionale, precizări referitoare la încetarea raporturilor de muncă sau de colaborare, reguli

de promovare profesională sau de sancţionare etc.;

- reguli aplicate pentru deplasări şi călătorii, transparenţa fiind necesară, menţionându-

se cu claritate care sunt condiţiile de desfăşurare a deplasărilor sau călătoriile în ţară ori în

străinătate;

- planul de audit, care trebuie să aibă norme de elaborare, revizuire şi aprobare, descrise

corect şi cunoscute de toţi auditorii interni;

- normele referitoare la culegere a probelor, măsurarea riscurilor, întocmirea

documentelor şi a raportului de audit etc.;

- normele de calitate a activităţilor de audit intern.

Manualul de audit intern trebuie să aibă o prezentare simplă, ideile să fie uşor de înţeles

şi aplicat, astfel încât să devenă un ghid în activitatea auditorilor.


Orice misiune de audit intern trebuie să se încheie cu întocmirea unui dosar, compus

din documentele de lucru semnificative. Necesitatea dosarului de audit este determinată de:

- prezentarea probelor justificative pentru susţinerea afirmaţiilor din Raportul de audit

intern;

- utilizarea informaţiilor din dosarul de audit în verificările iterartive; un dosar de audit

intern facilitează cunoaşterea entităţii, a problematicii auditului precedent, soluţiile găsite şi

recomandările făcute;

- utilizarea informaţiilor din dosarul de audit pentru pregătirea profesională a auditorilor

debutanţi.

Dosarele de audit cuprind, în general, două categorii de documente:

- documente cu caracter descriptiv: analize de posturi, organigrame, tabele de riscuri,

diagrame de relaţii, circuit de documente etc.

- documente cu caracter explicativ: foi de lucru precum interviurile, chestionare, tabele

comparative, fişe de calcul, determinarea rezultatului testelor etc.

Cele două tipuri de documente se vor îndosaria/prezenta într-o anumită ordine, auditul

intern având definită o normă de ordonare, specifică fiecărei entităţi.

În practică se utilizează două modele de întocmire a dosarelor, fiecare fiind susceptibil

de critici. Întocmirea dosarelor trebuie să se facă astfel încât:

- să fie standardizate;

- să permită vizualizarea ordonării documentelor din dosar;

114

- să poată fi utilizate şi de către terţi;

- să cuprindă toate explicaţiile necesare înţelegerii operaţiunilor desfăşurate şi

concluziilor formulate;

- să se poată arhiva fără dificultate.

Auditorii interni au obligaţia să înţeleagă că misiunea nu este considerată terminată

decât atunci când dosarul de audit este complet şi ordonat, această activitate făcând parte din

timpul alocat îndeplinirii misiunii de audit intern.

Primul model de întocmire a dosarului de audit intern cuprinde:

- dosarul de analiză, care se constituie pe măsură ce se desfăşoară misiunea şi care

cuprinde documentele explicative elaborate în cursul auditului şi care trebuie păstrate: foi de

interviuri, fişele de anliză şi identificare a problemelor (fişe de anomalii), tabele comparative,

rapoarte ale reuniunilor etc.

În acest dosar ordonarea se face începând cu programul misiunii, urmat de ordinul de

misiune şi apoi restul documentelor.

- dosarul de sinteză conţine ultimile două rapoarte de audit pe acelaşi subiect, precum

şi notele cu privire la monitorizarea şi aplicarea recomandărilor, informaţiile generale

referitoare la temele de discuţie etc.

Al doilea model este reprezentat de un dosar general cuprinzând şapte părţi:

- raportul de audit complet;

- menţionarea şi monitorizarea punctelor slabe imprtante care au fost constatate în

timpul misiunii;

- tabelul riscurilor;

- planificarea şi programarea misiunii;

- informaţii generale referitoare la organigrame şi analize de post, note de serviciu,

documentaţie despre obiectivele unităţii, extrase din rapoartele de audit anterioare

(dacă este cazul);

- recomandări pentru următoarele audituri;

- documente de lucru care se distrug la finalizarea auditului următor.

Documentele de lucru au o caracteristică generală: trebuie prezentate în formă scrisă şi

să aibă un format standard predefinit; toate documentele de lucru trebuie să aibă referinţe

pentru identificarea numerelor din raportul de audit, corespondenţa cu numărul de misiune

din planul de audit intern, anul, secvenţa din cadrul misiunii etc.

Fiecare document de lucru trebuie să aibă un număr de referinţă care trebuie să coincidă

cu documentele corespunzătoare din dosarul de audit.

De asemenea, documentele de lucru vor conţine menţiuni obligatorii, precum numele

entităţii, denumirea serviciului auditat, numele auditorului, data; testele vor indica informaţii

specifice: obiective, structura testelor, documentele sau tranzacţiile examinate, detaliile

despre tranzacţie, rezultatele şi interpretarea acestora etc.

Pentru a îndeplini condiţiile cerute de normele referitoare la calitatea auditului,

documentele de lucru trebuie să fie:

- normalizate;

- datate şi semnate;

- inteligibile;

- adecvate;

115

- simple şi necostisitoare,

- complete.

10.3.5 Documentarea

Documentarea poate avea surse externe sau/şi interne.

Documentarea externă se realizează apelându-se la lucrări şi reviste de specialitate de

audit intern, documente ale organismului profesional, rapoarte, studii, analize etc.

Documentarea internă se realizează folosind informaţii din surse interne aflate la

dispoziţia compartimetului de audit intern.

De regulă, cele mai importante sunt Ghidurile profesionale pe misiuni, care stau la baza

activităţii auditorilor interni.

Ghidurile de audit se întocmesc pe baza chestionarului de audit intern şi a

programului de audit. Pentru fiecare element propus spre verificare în chestionar şi/sau

programul de audit intern, trebuie identificate instrumentele şi mijloacele specifice de

auditare, astfel înât să poată fi identificate şi evaluate riscurile asociate.

Ghidurile sunt necesare din mai multe motive:

- reprezintă un ajutor important pentru toate categoriile de auditori;

- constituie o cale semnificativă de formare a tinerilor auditori;

- activează funcţia de revizuire periodică, corectare şi actualizare.

Documentaţia internă mai cuprinde: metode şi proceduri aflate în vigoare, organigrame

folosite, convenţii colective etc.

Auditorii interni au la dispoziţie mijloace materiale şi financiare pentru desfăşurarea

corespunzătoare a misiunilor de audit.

Printre mijloacele materiale importante menţionăm sistemele informatice, folosite

pentru culegerea, prelucrarea şi stocarea informaţiilor.


Eficacitatea se referă la două aspecte importante: integrarea în entitate şi organizarea

compartimentului.

Integrarea în entitate a compartimentului de audit intern este reuşită atunci când sunt

întrunite un număr minim de condiţii culturale şi materiale.

Condiţiile culturale sunt propice integrării compartimentului de audit intern în entitate

atunci când se cultivă o percepţie pozitivă asupra importanţei auditului, când auditaţii deţin

informaţii corecte şi suficiente despre misiunea auditului.

Condiţiile materiale se referă la definirea clară a obiectivelor auditului, la asigurarea

metodologiei şi procedurilor de audit adecvate, la existenţa unui sistem eficient de

comunicare, la resursele pentru pregătirea şi ridicarea competenţei auditorilor.

Este importantă şi definirea rolului şefului misiunii de audit, care preia prin delegare

sarcini de la responsabilul compartimentului de audit. Intervenţiile şefului misiunii sunt

relevante şi specifice înainte de începerea misiunii, în timpul acesteia şi după terminarea

misiunii.

Pentru ca auditul intern să funcţioneze bine este nevoie de un mediu de control aşezat şi

funcţional şi de un sistem de comunicare adecvat.

116

Mediul de control include funcţiile de guvernanţă şi de management, precum şi

atitudinile, conştientizarea şi acţiunile celor însărcinaţi cu guvernanţa şi managementul

entităţii referitoare la auditul intern şi importanţa acestuia în entitate.

Mediul de control poate spori sau diminua eficacitatea auditului intern. Un mediu de

control funcţional susţine schimbul de informaţii, favorizează cooperarea, permite elaborarea

şi colectarea de propuneri reciproc interesante şi care se pot implementa uşor.

Comunicarea trebuie să se realizeze pe baza unui plan bine întocmit, care să ducă la

înţelegerea şi cunoaşterea funcţiei de audit şi să acţioneaze pentru îmbunătăţirea mediului de

control.

În planul de comunicare trebuie relevate corect ţintele, comparate obiectivele cu

aşteptările, definite clar mesaje pe categorii de destinatari, alese celor mai potrivite suporturi

de comunicare.

Programul de asigurare şi îmbunătăţire a calităţii cuprinde misiuni de evaluare internă

şi externă a calităţii procesului de organizare a auditului.

Evaluările interne sunt în responsabilitatea şefului compartimentului de audit intern,

care efectuează operaţiunea de supervizare vizând competenţa auditorilor, calitatea

comunicării, respectarea metodologiei de audit şi o alegere raţională a instrumentelor de

investigare, calitatea şi pertinenţa constatărilor şi a observaţiilor, calitatea raportului de audit

şi respectarea termenelor, realismul recomandărilor, aplicabilitatea şi eficacitatea lor.

Evaluările externe se realizează prin revizii de audit, prin care se examinează, cu

preponderenţă: profilul şi competenţa auditorilor, exhaustivitatea planului de audit şi

respectarea acestuia, aplicarea standardelor de audit intern, metodologia, calitatea rapoartelor

de audit şi aplicarea recomandărilor, calitatea manualului de audit intern şi a ghidurilor de

audit, apreciarea auditului intern de către management.

Evaluarea externă se poate realiza de auditori din compartimentul propriu de audit sau

de auditori externi.

Vocabular: structura compartimentului de audit intern; carta auditului intern;

manualul de audit intern; competenţele auditorilor interni; dosarul de audit; documentele de

lucru; documentarea, mediul de control.

Întrebări

1. Care este semnificaţia noţiunii de funcţie de audit intern?

2. Care sunt factorii care influenţează organizarea compartimentului de audit intern?

3. Care sunt competenţele pe care trebuie să le deţină auditorii interni?

4. Care este importanţa şi conţinutul cartei auditorilor interni?

5. Care este importanţa şi conţinutul manualului auditorilor interni?

6. Care este importanţa şi conţinutul dosarelor şi a documentelor de lucru ale

auditorilor interni?

7. Cum realizează auditorii interni documentarea în misiunile de audit intern?

8. Cum se măsoară eficacitatea funcţionării compartimentului de audit intern?

117

Capitolul 11

Finalizarea auditului











Şedinţa de închidere a intervenţiei la faţa locului are drept scop prezentarea opiniei

auditorilor interni, a constatărilor şi a recomandărilor preliminare, precum şi discutarea unui

plan de acţiune, însoţit de un calendar de implementare al acestora. Se întocmeşte o minută a

şedinţei de închidere.

Auditorii interni prezintă entităţii auditate opinia, constatărilor şi recomandărilor

preliminare rezultate în urma aduditului.

Scopul prezentării este ca auditorii să se asigure că atât constatările cât şi recomandările

sunt clare, obiective, fundamentate, relevante. Constatările şi recomandările sunt clare atunci

când sunt uşor de înţeles şi nu determină interpretări contradictorii; sunt obiective, atunci

când nu apără sau prejudiciază vreo una din părţi; sunt fundamentate atunci când fiecare

constatare are la bază probe doveditoare şi o bază legală; sunt relevante atunci când aspectele

00:50



Care se organizează închiderea misiunii de audit intern;

Care sunt cerinţele de care trebuie să ţină cont auditorul la

întocmirea raportului de audit intern;

Care este structura raportului de audit intern;

Cum se definitivează concluziile raprtului de audit intern;

Cum se difuzează raportul, se urmăreşte îndeplinirea

recomandărilor şi controlează calitatea lucrărilor de audit intern.

118

semnalate ajută conducerea entităţii auditate să ia decizii manageriale pentru eliminarea

deficienţelor constatate.

Auditorii planifică şedinţa de închidere, prezintă constatările şi recomandările, fac

rezumatul discuţiilor într-o „Minută a şedinţei de închidere”, pregătesc probele suplimentare

necesare pentru justificarea modificărilor propuse.

Conducătorii entităţii auditate participă la desfăşurarea şedinţei de închidere.

Conducătorii entităţii auditate îşi declară părerile lor în privinţa constatărilor auditorilor, ale

concluziilor entităţii auditate şi recomandărilor, precum şi a corecţiilor de efectuat.


La elaborarea proiectului de Raport de audit intern (raport intermediar) trebuie să fie

respectate următoarele cerinţe:

a) constatările trebuie să aparţină domeniului/obiectivelor misiunii de audit intern şi să

fie susţinute prin documente justificative corespunzătoare;

b) recomandările trebuie să fie în concordanţă cu constatările şi să determine reducerea

riscurilor potenţiale;

c) raportul trebuie să exprime opinia auditorului intern, bazat ă pe constatările

efectuate;

d) se întocmeşte pe baza fişelor de observaţii şi a celorlalte documente de lucru.

La redactarea proiectului Raportului de audit intern, trebuie să fie respectate

următoarele principii:

a) constatările trebuie să fie prezentate într-o manieră pertinentă şi incontestabilă;

b) trebuie evitată utilizarea expresiilor imprecise (se pare, în general, uneori, evident), a

stilului eliptic de exprimare, a limbajului abstract;

c) promovarea unui limbaj cât mai uzual şi a unui stil de exprimare concret;

d) evitarea tonului polemic, jignitor, tendenţios;

e) ierarhizarea constatărilor (numai cele importante vor fi prezentate în sinteză sau la

concluzii);

f) evidenţierea aspectelor pozitive şi a îmbunătăţirilor constatate de la ultima misiune

de audit public intern.

La elaborarea proiectului Raportului de audit intern, auditorul foloseşte dovezile de

audit raportate în Fişele de Identificare şi Analiză a Problemelor (FIAP) şi în Formularul de

constatare şi raportare a iregularităţilor şi a celorlalte documente de lucru.


Pagina de titlu şi cuprinsul

Reprezintă pagina în care se menţionează denumirea misiunii de audit intern.

Rapoartele vor conţine un cuprins al lucrărilor şi documentelor.

Semnătura

Raportul de audit intern este semnat de fiecare membru al echipei de auditori, pe fiecare

pagină a acestuia. Ultima pagină a raportului este semnată şi de către supervizor.

119

Introducerea

Descrie tipul de audit şi baza legală a misiunii (planul anual de audit, solicitări speciale

etc.).

Prezintă datele de identificare a misiunii de audit intern (ordinul de serviciu, echipa de

auditori, entitatea/structura auditată, durata acţiunii de auditare, perioada auditată).

Descrie activitatea auditată şi prezintă informaţii sintetice cu privire la misiunea de

audit intern.

Prezintă modul de desfăşurare a misiunii de audit intern (caracterul misiunii de audit

intern: sondaj/exhaustiv, documentare; proceduri, metode, tehnici utilizate; documente

materiale examinate în cursul misiunii de audit intern; materiale întocmite în cursul misiunii

de audit intern).

Face referire la recomandările misiunilor de audit intern anterioare care, până la

finalizarea misiuni curente de audit intern, nu au fost implementate.

Stabilirea obiectivelor

Obiectivele de audit prezentate în Raportul de audit intern coincid cu cele înscrise în

programul de audit intern.

Stabilirea metodologiei

Explică tehnicile şi instrumentele de audit public intern folosite pentru a îndeplini

obiectivele misiunii de audit intern.

Constatările şi recomandările auditului

Auditorul trebuie să se pronunţe asupra obiectivelor de audit în ordinea în care au fost

stabilite în Programul de audit intern.

Constatările efectuate trebuie prezentate sintetic, cu trimitere explicită la anexele la

Raportul de audit intern. Sunt prezentate distinct constatările cu caracter pozitiv de

constatările cu caracter negativ, în scopul generalizării aspectelor pozitive, pe de o parte, şi al

identificării căilor de eliminare a deficienţelor stabilite, pe de altă parte.

Concluziile echipei de audit sunt elaborate pe baza constatărilor făcute, având un

caracter fundamentat. Trebuie să fie pertinente şi să nu fie disproporţionate în raport cu

constatările pe care se bazează.

Recomandările din Raportul de audit intern trebuie să fie fezabile şi economice şi să

aibă un grad de semnificaţie important în ceea ce priveşte efectul previzibil asupra entităţii

auditate. Trebuie să aibă un caracter de anticipare şi, pe această bază, de prevenire a

eventualelor disfuncţionalităţi sau tendinţe negative la nivelul entităţii auditate. De asemenea,

trebuie să contribuie la crearea unor sisteme de dezvoltare a activităţii entităţii auditate şi de

creştere a performanţelor managementului.

Prezentarea recomandărilor se va face după următoarea structură:

constatări;

120

criterii, cauze, efecte;

recomandări.

Recomandările vor fi redactate clar, concis pentru fiecare deficienţă constatată.

Recomandările vor fi prezentate în funcţie de priorităţile stabilite în Fişa de Identificare şi

Analiza Problemelor: majore, medii şi minore.


Proiectul Raportului se transmite subunităţii auditate, iar aceasta poate trimite în maxim

15 zile obiecţiile sale. Obiecţiile primite trebuie analizate de auditorii interni. Netransmiterea

obiecţiilor în intervalul de timp menţionat, presupune acordul tacit al subunităţii auditate

privind Proiectul de Raport al auditorilor interni. În aceste condiţii reuniunea de conciliere nu

mai este necesară.

Transmiterea proiectului raportului auditorilor interni are scopul de a asigura entităţii

auditate posibilitatea de a analiza Proiectul raportului de audit intern şi de a formula un punct

de vedere la constatările şi recomandările auditorilor.

Proiectul de raport de audit intern transmis la subunitatea auditată trebuie să fie

complet, cu toate dovezile asupra faptelor, opiniilor şi concluziilor la care se face referire.


În termen de 10 zile de la primirea obiecţiilor, auditorii interni organizează reuniunea

de conciliere cu structura auditată, în cadrul căreia se analizează constatările şi concluziile, în

vederea acceptării recomandărilor formulate. Se întocmeşte o minută privind desfăşurarea

reuniunii de conciliere.


Raportul de audit intern trebuie să includă modificările discutate şi convenite din cadrul

reuniunii de conciliere. Raportul de audit intern va fi însoţit de o prezentare a sintezei

concluziilor reuniunii de conciliere.

Şeful structurii de audit intern trebuie să informeze conducerea superioră despre

recomandările care nu au fost acceptate de conducătorul entităţii auditate. Aceste

recomandări vor fi însoţite de documentaţia de susţinere.

Auditorii trebuie să preia rezultatele concilierii, să le prelucreze şi să le introducă în

raportul de audit intern, pe care trebuie să-l pregătească pentru redactarea finală şi pentru

tipărire.

Auditorii sunt responsabili de calitatea Raportului de audit intern, de întocmirea unei

liste corecte şi complete de difuzare a acestuia.

Structura raportului de audit intern final este asemănătoare cu a raportului interimar de

audi prezentată anterior. Difernţele pot apărea la nivelul elementelor care au fost conciliate cu

parte auditată.

121


Şeful structurii de audit public intern transmite Raportul de audit intern, finalizat,

împreună cu rezultatele concilierii şi punctul de vedere al entităţii auditate conducătorului

entităţii care a aprobat misiunea, pentru analiză şi avizare. După avizare, Raportul de audit

intern, în copie, va fi comunicat structurii auditate.

Raportul de audit intern final trebuie să fie însoţit de o sinteză a acestuia. La entităţile

mai mici, Raportul de audit intern este transmis spre avizare conducătorului acesteia.

Auditorii transmit Raportul de audit intern, rezultatele concilierii şi punctul de vedere al

entităţii auditate şefului compartimentului de audit intern;

Şeful compartimentului de audit intern semnează şi transmite Raportul de audit intern

conducătorului entităţii sau comitetului de audit. Acesta este însoţit de o informare

cuprinzând recomandările care nu au fost acceptate de auditat, însoţită de documentaţia de

susţinere. Conducătorul entităţii analizează şi aprobă sau respinge Raportul auditorilor. După

aprobare auditorii transmit entităţii auditate o copie a Raportului de audit intern final.


Obiectivul acestei etape este asigurarea că recomandările menţionate în Raportul de

audit intern sunt aplicate întocmai, la termenele stabilite şi în mod eficace, iar conducerea a

evaluat riscul de neaplicare a acestor recomandări.

Entitatea auditată trebuie să informeze copartimentul de audit intern asupra modului de

aplicare a recomandărilor conform calendarului de implementare.

Responsabilitatea structurii auditate

Responsabilitatea structurii auditate în aplicarea recomandărilor constă în:

1) elaborarea unui plan de acţiune, însoţit de un calendar privind îndeplinirea

acestuia;

2) transmiterea planului de acţiune, respectiv a calendarului privind îndeplinirea

acestuia compartimentului de audit;

3) stabilirea responsabililor pentru fiecare recomandare;

4) punerea în practică a recomandărilor;

5) comunicarea periodică a stadiului de realizare a acţiunilor;

6) evaluarea rezultatelor obţinute.

Responsabilitatea structurii de audit intern

Compartimentul de audit intern verifică şi raportează comitetului de audit stadiul de

implementare a recomandărilor. În cazul când nu există comitet de audit raportarea se face

conducerii entităţii.


Şeful compartimentul de audit intern sau persoana desemnată de acesta este responsabil

de supervizarea misiunii de audit intern.

122

Scopul acţiunii de supervizare este de a se asigura că obiectivele misiunii de audit

intern au fost îndeplinite şi lucrările realizate de auditori au fost de calitate.

Supervizarea misiunii de audit intern:

a) oferă instrucţiunile necesare (adecvate) derulării misiunii de audit intern;

b) verifică executarea corectă a programului misiunii de audit intern;

c) verifică existenţa elementelor probante;

d) verifică dacă redactarea raportului de audit intern, atât cel intermediar cât şi cel final,

este exactă, clară, concisă şi s-a efectuat la termenele fixate.

Dacă şeful compartimentului de audit intern este implicat în misiunea de audit,

supervizarea este asigurată de un auditor intern desemnat de acesta.

Vocabular: şedinţa de închidere; raport de audit intern, structura raportului de

audit intern; constatările auditorului; recomandările auditorului; supervizarea misiuni de audit

intern.

Întrebări

1. Care este scopul şi conţinutul şedinţei de închidere?

2. Care sunt cerinţele ce trebuie respectate la elaborarea raportului de audit intern?

3. Care este structura raportului de audit intern?

4. Care este conţinutul reuniunii de conciliere?

5. Cum se realizează difuzarea raportului de audit intern?

6. Cum se urmăresc îndeplinirea recomandărilor făcute de auditori în raportul de

audit?

7. Cine şi cu ce scop realizează supervizarea misiunii de audit intern?

123

8. Bibliografie

1

Camelia L. DOBROŢEANU,

L. DOBROŢEANU Auditul intern, InfoMega, Bucureşti, 2007

2 HORVÁTH & Partners Controlling, C.H. Beck, Bucureşti, 2007

3

Kenneth A. MERCHANT,

Wim A. Van der STEDE Management Control Systems, Performance

Measurement, Evaluation and Incentivs, Second

Edition, Prentice Hall, 2007

4

Robert R. MOELLER COSO Enterprise Risk Management: Understanding the

New Integrated Enterprise Risk Management

Framework, John Wiley & Sons Inc., 2007

5 Ana MORARIU, Gh.

SUCIU, Flavia STOIAN

Auditul intern şi guvernanţă coorporativă, Ed.

Universitară, 2008

6 Jacques RENARD Teoria şi practica auditului intern, Ministerul Finanţelor,

2003

7

A. RUSOVICI,

S. FARMACHE,

Gh. RUSU

Manager în misiunea de audit, Monitorul Oficial,

Bucureşti, 2008

8 Gheorghe SANDU Bazele auditului financiar, Dareco, 2003

9 *** Audit financiar 2006, Standarde, Codul etic, Irecson,

Bucureşti, 2007

10 *** Standarde de audit intern, CAFR, 2006

11 *** www.theiia.org

12 *** www.coso.org

Audit Intern - Universitatea Nicolae Titulescu

Documents

Transcript of Audit Intern - Universitatea Nicolae Titulescu