Capitolul 1 - Carte Dobroteanu
-
Upload
ilie-adriana-sinziana -
Category
Documents
-
view
221 -
download
3
description
Transcript of Capitolul 1 - Carte Dobroteanu
1
Capitolul 1: Noţiuni introductive
1.1. Ce este auditul intern?
În ciuda titlului paragrafului enunţat, nu vom începe discuţia noastră
despre auditul intern cu o definiţie a acestuia. Mai curând, vom încerca să
explicăm scopul fundamental al auditului intern şi, din aproape în aproape,
vom ajunge şi la definirea acestei noţiuni.
Aşa cum spuneam deci, scopul auditului intern este de a concura, alături
de alte funcţii, la atingerea obiectivelor unei organizaţii. Altfel spus, auditul
intern trebuie să ajute organizaţia să-şi atingă obiectivele sale. Observăm că în
enunţul nostru am introdus un termen cheie: obiective. Asemenea fiecăruia
dintre noi, organizaţiile îşi stabilesc obiective care vizează diferite orizonturi
de timp: scurt, mediu şi lung. Totodată, orice obiectiv, indiferent de orizontul
de timp la care se referă, este supus unor evenimente care ar putea să
pericliteze realizarea lor. Făcând o paralelă cu viaţa noastră personală, să
presupunem că ne stabilim ca obiectiv să obţinem nota maximă la examenul de
audit intern. Chiar dacă am întreprinde toate eforturile necesare pentru a ne
atinge acest obiectiv, există evenimente care, dacă se produc, riscăm să nu-l
putem realiza. Să luăm un exemplu: în ziua examenului starea noastră de
sănătate precară nu ne permite concentrarea necesară pentru rezolvarea
subiectelor de examen. Este un exemplu de risc inerent, ce nu poate fi complet
eliminat, oricâte precauţii am încerca să le luăm. În aceeaşi măsură, atingerea
obiectivului propus este pusă în pericol dacă nu studiem riguros noţiunile
cerute pentru examen. Diferenţa, de această dată, este conferită de faptul că,
prevenirea pericolului se află sub controlul nostru: dacă am lua măsurile
adecvate, de a studia consecvent şi serios pentru examen, acest risc ar fi
eliminat sau, cel puţin, atenuat. De data acesta, am exemplificat un risc de
2
control, adică un risc ce poate fi prevenit şi atenuat, dacă s-ar adopta măsurile
necesare pentru a-l controla. Asemenea nouă, obiectivele stabilite de către
organizaţii sunt ameninţate de riscuri. Iată că am introdus un nou termen cheie:
riscul. Dar ce este riscul? Aşa cum exemplificam mai sus, fără a avea pretenţia
de a expune o definire ştiinţifică, deducem că riscul reprezintă un set de
circumstanţe sau evenimente care pun în pericol atingerea unor obiective.
Atunci când analizăm situaţia unor organizaţii trebuie să înţelegem foarte bine
circumstanţele sau evenimentele care reprezintă riscuri pentru ea. De ce?
Pentru că, aceste evenimente nu pot fi generalizate la nivelul tuturor
organizaţiilor. Spre exemplu, starea de război într-o ţară X este o circumstanţă
ce generează riscuri pentru o societate rezidentă ce comercializează băuturi
răcoritoare în ţara respectivă. Însă pentru un producător de armament, starea de
război reprezintă un eveniment „fericit” care-i generează câştiguri peste nivelul
celor înregistrate pe timp de pace.
Odată clarificate aceste aspecte, vom lansa o nouă întrebare: cine
stabileşte obiectivele la nivelul unei organizaţii şi, implicit, poartă
responsabilitatea atingerii lor? Aşa cum noi, la nivel personal, ne stabilim
propriile obiective în funcţie de circumstanţe, presiuni care sunt exercitate
asupra noastră sau la iniţiativa proprie, în cadrul organizaţiilor „vinovat” de
stabilirea obiectivelor acestora este managementul. Totodată, managementul
trebuie să-şi asume responsabilitatea pentru atingerea acestor obiective, chiar
dacă procesul se soldează cu un eşec. Ce face managementul pentru a-şi atinge
obiectivele? Graficul 1.1. de mai jos explică responsabilităţile acestuia într-o
manieră sugestivă.
3
Deşi, de cele mai multe ori, se presupune că managementul personal
este cel care identifică riscurile, în realitate, această funcţie este delegată unui
departament cunoscut sub denumirea de „Managementul Riscurilor”. În mod
ideal, funcţia acestui departament nu trebuie să se suprapună cu funcţia
auditului intern. Managementul riscurilor are misiunea de a examina în
permanenţă activităţile organizaţiei cu scopul de a identifica riscuri noi sau
modul în care acestea au evoluat în timp. Totodată, departamentul de
management al riscurilor elaborează şi actualizează normele şi procedurile
organizaţiei privitoare la controlul intern ce urmează a fi implementate. Printre
activităţile departamentului de management al riscurilor se numără şedinţele de
analiză şi evaluare a apetitului pentru risc, activităţi de mare interes pentru
auditul intern. În principiu, cele două departamente din cadrul unei organizaţii
colaborează în realizarea misiunilor lor, dar nu se subordonează unul, celuilalt.
Grafic 1.1. Responsabilităţile managementului privind atingerea
obiectivelor unei organizaţii
1. Stabilirea
obiectivelor
2. Identificarea
riscurilor
3. Asigurarea
măsurilor de control
4. Monitorizarea
controlului
Funcţia: Control
Intern
Funcţia:
Managementul
riscurilor
Funcţia: Audit
Intern
4
Aşa cum se observă la celulele trei şi patru din graficul de mai sus
managementul unei organizaţii trebuie să se asigure că, pentru a se proteja
împotriva riscurilor, îşi ia măsuri de precauţie denumite de noi, măsuri de
control, prin instituirea controlului intern. Apoi, pentru a se asigura că măsurile
de control intern sunt suficiente, eficiente şi eficace în prevenirea şi atenuarea
riscurilor care ameninţă obiectivele organizaţiei, este necesară o funcţie
independentă de monitorizare şi evaluare continuă a controlului intern.
Deşi vom reveni cu detalii într-unul din capitolele acestei cărţi, pentru a
evita confuziile, am simţit nevoia de a delimita aici cele două noţiuni
introduse: controlul intern, respectiv auditul intern. Fără pretenţia de a lansa în
acest context o definire ştiinţifică a controlului intern, acesta reprezintă un
proces prin care riscurile sunt ameliorate. Punerea în aplicare a acestui proces
necesită mecanisme, instrumente, politici şi proceduri, oameni şi sisteme.
Spre exemplu, pentru a atenua/elimina riscul de nu ne găsi locuinţa
devastată de hoţi, fiecare dintre noi poate pune în aplicare o serie de măsuri de
precauţie (de control) considerate fie individual, fie cumulat, în funcţie de
mentalitate, teama de risc, cultură, context social, posibilităţi financiare etc.
Printre aceste măsuri se includ: asigurarea bunurilor deţinute, instalarea unui
sistem de alarmă conectat sau nu la poliţie sau o societate de pază şi protecţie,
angajarea unui paznic, asigurarea prezenţei permanente a unei persoane de
încredere la domiciliul nostru etc. Unii ar prefera adoptarea a două-trei măsuri,
alţii ar considera că una ar fi suficientă, alţii, deşi recunosc riscul, nu ar adopta
nici o măsură, din lipsa posibilităţilor financiare. Dintre toate categoriile
enunţate, cei mai expuşi riscului sunt ultimii, iar obiectivul lor – asigurarea
securităţii locuinţei – poate fi sortit eşecului.
Asemenea nouă, managementul unei organizaţii doreşte să se asigure că
instituie mecanisme de control care să-i protejeze obiectivele stabilite de
5
producerea riscurilor. La nivelul unei organizaţii, exemple de măsuri de control
ar putea fi: angajarea unui paznic la intrarea în entitate, pentru a controla riscul
accesului unor persoane nedorite; utilizarea statului de plată a salariilor, pentru
a controla riscul de a plăti salarii necuvenite sau calculate greşit; instalarea
unor sisteme de alarmă împotriva incendiilor, pentru a preveni şi ameliora
riscul de incendii, utilizarea sistemului contabil, pentru a preveni riscul de
deturnare frauduloasă a investiţiei acţionarilor, etc. Se poate observa cu
uşurinţă că un risc poate fi ameliorat prin mai multe măsuri de control, după
cum o măsură de control poate preveni sau ameliora mai multe riscuri. Din
acest motiv, controlul intern la nivelul unei organizaţii este un sistem foarte
complex. Evident că nu absolutizăm: există şi societăţi mici care posedă
controale interne la un nivel minim.
Adesea, persistă confuzii legate de organizarea funcţiei de control
intern la nivelul unei societăţi comerciale, deoarece controlul intern este
confundat cu controlul preventiv, controlul de calitate a produselor, controlul
financiar etc. Subliniem faptul că acestea sunt componente ale controlului
intern, adică părţi ale unui întreg. Pentru a exista funcţia de control intern, nu
este obligatoriu să fie înfiinţat un departament care să-i poarte numele. Aşa
cum exemplificam mai sus, un portar îndeplineşte o sarcină specifică de
control intern, după cum şi un contabil, prin responsabilităţile sale, deşi
nelegate în mod expres de controlul intern, reprezintă implicit o rotiţă din
cadrul acestui proces complex. Totodată, reamintim că, instituirea controlului
intern nu implică adoptarea unei reţete de succes universal valabile. În
exemplul de mai sus, am punctat faptul că fiecare individ îşi alege dintr-o
paletă de măsuri de control, cele pe care le consideră a fi adecvate dorinţelor şi
posibilităţilor sale. La nivelul organizaţiilor, managementul este asigurat, în
cele mai multe cazuri, de o echipă de oameni, fiecare dintre ei având percepţii
6
diferite asupra riscurilor. Astfel, controlul instituit într-o organizaţie, reprezintă
adesea numitorul comun al echipei manageriale cu privire la obiectivele
asumate şi riscurile potenţiale. Din acest motiv, modelele de organizare a
controlului intern diferă de la o societate comercială la alta.
Graficul 1.1. de mai sus arată clar faptul că auditul intern nu reprezintă
acelaşi lucru cu controlul intern fie şi numai dacă am considera
incompatibilitatea celor două funcţii: nu poţi să monitorizezi şi să evaluezi
obiectiv şi independent ceva ce ai face tu însuţi. Prin intermediul auditului
intern, managementul unei organizaţii urmăreşte să se asigure că funcţia de
control intern instituită funcţionează eficient, eficace şi suficient pentru a
ameliora sau elimina riscurile identificate. Altfel spus, auditul intern este
„câinele de pază” al managementului care veghează funcţionarea controlului
intern în cadrul organizaţiei. Dacă poate fi spus aşa, auditul intern ar fi un
„control permanent al controlului intern”. Evident că, aşa cum vom vedea în
capitolele următoare, în îndeplinirea misiunii sale, auditul intern utilizează
proceduri, tehnici, mecanisme, instrumente de monitorizare şi evaluare
asemănătoare cu cele întrebuinţate de controlori. Scopul aplicării lor însă este
diferit.
Iată că am ajuns la momentul în care auditul intern poate fi definit.
Lăsând deoparte pentru moment definirea conceptului dată de standardele
internaţionale de audit intern, preferăm să expunem aici definiţia utilizată de
Griffits. Potrivit acestuia, „auditul intern furnizează managementului unei
organizaţii o opinie independentă şi obiectivă cu privire la faptul că riscurile
cu care se confruntă organizaţia sunt sau nu ameliorate la un nivel acceptabil
prin controlul intern1”.
1 D. Griffits, Introduction to risk based internal audit, 2006, pag. 4.
7
Definiţia prezentată necesită câteva precizări suplimentare referitoare la
termenii subliniaţi. În primul rând, ne vom opri atenţia asupra termenului
„furnizează”. Auditorii interni oferă asigurarea lor într-o manieră formală, de
cele mai multe ori, în contextul unui raport al auditorului intern. Astfel,
termenul enunţat trebuie perceput în acest sens. Comunicare verbală a
asigurării nu este exclusă dar, mai ales în condiţiile reglementărilor şi
practicilor româneşti, ea trebuie oficializată printr-un document.
Sintagma „opinie independentă şi obiectivă” face trimitere la esenţa
profesiei de auditor intern: etica profesională. Concluziile – opinia2 –
auditorilor interni privind monitorizarea şi evaluarea controlului intern nu ar
avea credibilitate dacă obiectivitatea şi independenţa lor ar fi afectate. Asupra
problemelor privind etica profesională a auditorilor interni vom reveni într-un
capitol distinct al lucrării noastre. Pentru moment, vom sublinia faptul că
independenţa auditului intern impune stabilirea unei ierarhii în cadrul
organizaţiei, astfel încât, departamentul de audit să fie subordonat exclusiv
consiliului de administraţie, mai exact, comitetului de audit3. Totodată,
independenţă auditorului intern este respectată atâta vreme cât managementul
organizaţiei nu interferează în maniera de realizare a misiunilor de audit,
respectiv nu „comandă” opinia auditorilor. În ceea ce priveşte obiectivitatea,
este evident faptul că neutralitatea auditorilor faţă de problemele examinate
este crucială pentru a garanta o opinie nepartinică.
Revenind la definiţia de mai sus, auditorii interni raportează dacă
riscurile sunt sau nu ameliorate prin controlul intern. Concluziile auditorilor
sunt formalizate într-un raport indiferent de rezultatele misiunii lor, completate
cu recomandări de îmbunătăţire a controlului, în cazul în care riscurile nu sunt
2 La acest nivel, pentru a simplifica înţelegerea, am utilizat termenul de opinie. În standardele
profesionale, termenul folosit este „asigurare”. 3 Pentru detalii privind comitetul de audit vezi capitolul 9 al lucrării.
8
controlate satisfăcător. Noţiunea de ameliorare a riscului, utilizată şi anterior în
acest capitol, face trimitere la caracterul general al riscului. Riscul are două
trăsături caracteristice: probabilitatea producerii riscului şi efectele producerii
riscului. Mai rar, există situaţii în care, prin măsuri corective, riscurile sunt
eliminate. Dar, în cele mai multe cazuri, riscurile nu pot fi eliminate, ci cel
mult, în cazul producerii, prin măsurile adoptate pot fi ameliorate efectele lor
sau pot fi prevenite. De exemplu, riscul de a plăti o amendă de circulaţie poate
fi eliminat prin impunerea respectării stricte a regulilor de circulaţie. Pe de altă
parte, riscul de cutremur nu poate fi eliminat deoarece, atât probabilitatea, cât
şi efectele producerii unui astfel de risc sunt incerte. Cel mult se poate adopta o
măsură de asigurare împotriva cutremurelor, astfel încât, dacă riscul se
produce, asigurarea încasată să diminueze pierderile suferite (ameliorarea
efectelor riscului). Altfel spus, auditul intern pleacă de la premisa că, în cele
mai multe cazuri, datorită limitelor inerente, controlul intern nu poate elimina
riscurile, dar le poate ameliora. Există autori care utilizează ca echivalent
pentru riscuri ameliorate sintagma riscuri controlate. Nu este greşită utilizarea
interschimbabilă a termenilor de mai sus atâta vreme cât nu se face confuzia cu
acţiunea de verificare sau examinare a unui risc.
În fine, ultima referinţă subliniată în definiţia lui Griffits – nivel
acceptabil – pune în lumină aspectul cel mai interesant, provocator şi dificil
care caracterizează activitatea unui auditor intern. Nivelul acceptabil al riscului
trebuie înţeles prin prisma managementului. Altfel spus, managementul trebuie
să decidă dacă riscurile sunt ameliorate la un nivel dorit de el. De ce? Dacă ne
reamintim faptul că managementul stabileşte obiectivele, identifică riscurile şi-
şi asumă atât meritele pentru succese, cât şi vinovăţia pentru eşecuri, devine
firesc ca riscurile să fie ameliorate la un nivel pe care el îl consideră rezonabil.
Astfel, în misiunea sa de evaluare a controlului intern şi a efectelor pe care
9
deficienţele acestuia le are asupra riscurilor şi, implicit, asupra obiectivelor
organizaţiei, auditorul intern va folosi drept criteriu de referinţă apetitul pentru
risc al managementului. Acest apetit pentru risc al managementului trebuie
evaluat într-o manieră continuă. De ce? Pentru că, el depinde de o mulţime de
factori care evoluează în timp: vârstă, cultură, mentalitate, educaţie, mediul
economic şi social, stare psihică, sex, progres tehnologic etc. La rândul lor,
riscurile evoluează în timp, iar percepţia oamenilor se schimbă corespunzător.
Pe de altă parte, ceea ce poate fi considerat drept un risc acceptabil pentru un
individ, poate fi inacceptabil pentru altul. Iar, pentru a cunoaşte ce înseamnă
pentru manageri un nivel acceptabil al riscului X, auditorii interni sunt nevoiţi
să colaboreze cu departamentul de management al riscurilor în acest sens.
Sarcina auditorilor se complică atunci când organizaţia nu dispune de funcţia
de management al riscurilor, astfel că auditorii interni sunt nevoiţi să aplice
tehnicile specifice de evaluare a apetitului pentru risc al conducerii. De aici
decurge şi dificultatea misiunii auditorilor interni: deseori este dificil să
determini apetitul pentru risc al unui individ, cu atât mai mult al unei echipe
formate din „n” indivizi. Asupra tehnicilor utilizate de auditori în scopul
evaluării apetitului pentru risc al managementului vom reveni cu detalii într-
unul din capitolele acestei lucrări.
1.2. Tipuri de audit intern
Mai curând decât ideea de a prezenta clasificări mai mult sau mai puţin
importante, în cadrul acestui paragraf am urmărit expunerea diferitelor tipuri
de audit intern pentru a elimina confuziile, pe cât posibil. Astfel, nu vom obosi
cititorul cu criterii de clasificare şi, fără a pretinde o dezvoltare exhaustivă,
vom explica pe scurt caracteristicile tipurilor de audit cele mai frecvent
întâlnite. În practica auditului intern suntem confruntaţi adesea cu sintagma
„audit financiar”. Utilizarea ei generează cele mai numeroase confuzii,
10
deoarece auditul financiar este puternic asociat cu ideea de audit al situaţiilor
financiare realizat de un auditor extern, deci independent. Cert este că, deşi în
mare parte este adevărată această percepţie, trebuie să spunem că şi auditorii
interni pot realiza misiuni de audit financiar. De ce? Pentru că activitatea
financiar-contabilă reprezintă sistemul sanguin al oricărei companii, având
obiective şi implicit riscuri asociate obiectivelor, precum şi mecanisme de
control destinate să amelioreze riscurile respective. Orice manager îşi doreşte
sistemul propriu de monitorizare şi evaluare a activităţilor financiar-contabile.
Astfel, scopul misiunilor de audit financiar realizate de auditorii interni este de
a examina credibilitatea sistemului contabil şi de informare financiară.
Diferenţa majoră între auditul financiar extern şi auditul financiar intern constă
în credibilitatea şi destinatarii raportului de audit. În timp ce raportul
auditorilor externi se adresează utilizatorilor externi de informaţii financiar-
contabile şi, prin independenţa totală a auditorilor externi faţă de clienţii săi,
opinia lor conferă un grad de încredere sporit în raportările financiare publice
ale companiilor, raportul auditorilor interni se adresează în exclusivitate
managementului organizaţiei. Opinia auditorilor interni este jalonată de
apetitul pentru risc al conducerii, în timp ce opinia auditorilor externi are drept
criteriu de referinţă imaginea fidelă în relaţie cu pragul de semnificaţie. De
altfel, în ipoteza în care, raportul auditorilor interni privind activitatea
financiar-contabilă ar fi public, credibilitatea lui ar fi nulă, având în vedere
faptul că scopul principal al auditului intern este de a sprijini atingerea
obiectivelor şi intereselor organizaţiei. Spre deosebire de aceştia, auditorii
externi vizează satisfacerea intereselor publicului larg. Există opinii care susţin
că cele două activităţi – auditul intern şi auditul extern – se suprapun, ceea ce
ar conduce la o alocare neadecvată a resurselor unei organizaţii. În realitate,
auditul intern este mult mai larg, incluzând misiuni pe toate sectoarele de
11
activitate ale organizaţiei. Mai mult decât atât, aşa cum vom remarca într-unul
din capitolele următoare, auditul intern şi auditul extern colaborează şi îşi
coordonează activităţile pentru a evita astfel de suprapuneri.
Auditul de conformitate reprezintă un alt tip de audit intern pe care
auditorii interni îl realizează în cadrul unei organizaţii. Această misiune
presupune evaluarea calităţii şi gradului de adecvare a sistemelor interne
instituite într-o organizaţie pentru a se examina conformitatea acestora cu
legile, regulamentele, politicile sau procedurile aplicabile la un moment dat în
timp. Spre exemplu, o misiune de audit de conformitate examinează măsura în
care activităţile privind resursele umane dintr-o organizaţie sunt realizate în
conformitate cu legislaţia în vigoare şi cu politicile şi strategia de personal
stabilite de management. Altfel spus, sunt puse faţă în faţă realităţile („de
facto”) cu ceea ce ar trebui să fie conform legislaţiei, politicilor, etc.(„de
jure”).
Auditul operaţional, unul dintre cele mai complexe tipuri de audit
intern, presupune evaluarea critică a calităţii şi a gradului de adecvare
sistemelor, metodelor, resurselor şi procedurilor utilizate de organizaţie, a
structurii organizaţionale comparativ cu responsabilităţile alocate. Spre
exemplu, atunci când o organizaţie îşi doreşte implementarea unei reforme sau
restructurări, strategia de schimbare are la bază concluziile formulate de
auditorii interni în urma unei misiuni de audit operaţional. Prin intermediul
acestui tip de audit se identifică deficienţele organizaţionale, strategice etc.
fiind astfel posibile identificarea alternativelor de acţiune şi adoptarea unor
măsuri care să corecteze deficienţele respective.
Auditul de management permite evaluarea calităţii actului managerial, a
structurii acestuia şi a atitudinii managementului vis-a-vis de riscuri şi control
în contextul obiectivelor organizaţiei. Din nefericire, denumirea acestui tip de
12
audit conduce la o atitudine rezervată a conducerii organizaţiilor. În realitate,
auditul de management se aseamănă foarte mult cu auditul de conformitate,
diferenţa constând în materialul studiat: activităţile manageriale. Auditorii
interni evaluează actul managerial prin raportare la criteriile predefinite pentru
aceasta de către organizaţie. Spre exemplu, să presupunem că într-o organizaţie
X, pentru a realiza o investiţie la o valoare de peste un anumit plafon,
procedura impune ca directorul financiar să solicite aprobarea consiliului de
administraţie, aprobare validată numai cu unanimitate de voturi. Într-o misiune
de audit de management, auditorul intern nu va examina, aşa cum s-ar înţelege,
dacă decizia respectivă este bună sau nu pentru organizaţie, ci dacă procedura
de validare este respectată întocmai în practică. Din motive lesne de înţeles,
acest tip de audit este mai rar realizat.
Auditul de eficacitate, adesea denumit şi „value-for-money auditing
(VFM)”, presupune examinarea a trei coordonate definitorii: eficienţa,
eficacitatea şi economicitatea proceselor din cadrul organizaţiei4. Eficacitatea
vizează atingerea obiectivelor fixate prin acţiunile întreprinse. Eficienţa
impune selectarea celor mai bune alternative sau resurse pentru a realiza un
deziderat. Renard face apel la terminologia anglo-saxonă, pentru a ilustra
sensul eficacităţii – „doing the right things”, respectiv al eficienţei – „doing the
things right”5. Economia/economicitatea (unora le place, mai curând, termenul
economicitatea) vizează evitarea pierderilor nenecesare. De remarcat faptul că,
în special în sectorul public, misiunile de audit intern sunt de conformitate sau
VFM. De asemenea, punctăm faptul că auditul de eficacitate nu este sinonim
cu auditul performanţei: o confuzie larg răspândită. Prin auditul performanţei
4 I. Gray, S. Manson, The audit process: principles, practice and cases, ediţia a 2-a, Business Press
Thomson Learning, 2000, pag. 223-225. 5 J. Renard, Teoria şi practica auditului intern, ediţia a 4-a, Ministerul Finanţelor Publice din
România, 2002, pag. 41.
13
este examinată măsura în care autorităţile publice, spre exemplu, dispun de
proceduri în vigoare pentru a măsura şi raporta propriile performanţe.