1

Capitolul 1: Noţiuni introductive

1.1. Ce este auditul intern?

În ciuda titlului paragrafului enunţat, nu vom începe discuţia noastră

despre auditul intern cu o definiţie a acestuia. Mai curând, vom încerca să

explicăm scopul fundamental al auditului intern şi, din aproape în aproape,

vom ajunge şi la definirea acestei noţiuni.

Aşa cum spuneam deci, scopul auditului intern este de a concura, alături

de alte funcţii, la atingerea obiectivelor unei organizaţii. Altfel spus, auditul

intern trebuie să ajute organizaţia să-şi atingă obiectivele sale. Observăm că în

enunţul nostru am introdus un termen cheie: obiective. Asemenea fiecăruia

dintre noi, organizaţiile îşi stabilesc obiective care vizează diferite orizonturi

de timp: scurt, mediu şi lung. Totodată, orice obiectiv, indiferent de orizontul

de timp la care se referă, este supus unor evenimente care ar putea să

pericliteze realizarea lor. Făcând o paralelă cu viaţa noastră personală, să

presupunem că ne stabilim ca obiectiv să obţinem nota maximă la examenul de

audit intern. Chiar dacă am întreprinde toate eforturile necesare pentru a ne

atinge acest obiectiv, există evenimente care, dacă se produc, riscăm să nu-l

putem realiza. Să luăm un exemplu: în ziua examenului starea noastră de

sănătate precară nu ne permite concentrarea necesară pentru rezolvarea

subiectelor de examen. Este un exemplu de risc inerent, ce nu poate fi complet

eliminat, oricâte precauţii am încerca să le luăm. În aceeaşi măsură, atingerea

obiectivului propus este pusă în pericol dacă nu studiem riguros noţiunile

cerute pentru examen. Diferenţa, de această dată, este conferită de faptul că,

prevenirea pericolului se află sub controlul nostru: dacă am lua măsurile

adecvate, de a studia consecvent şi serios pentru examen, acest risc ar fi

eliminat sau, cel puţin, atenuat. De data acesta, am exemplificat un risc de

2

control, adică un risc ce poate fi prevenit şi atenuat, dacă s-ar adopta măsurile

necesare pentru a-l controla. Asemenea nouă, obiectivele stabilite de către

organizaţii sunt ameninţate de riscuri. Iată că am introdus un nou termen cheie:

riscul. Dar ce este riscul? Aşa cum exemplificam mai sus, fără a avea pretenţia

de a expune o definire ştiinţifică, deducem că riscul reprezintă un set de

circumstanţe sau evenimente care pun în pericol atingerea unor obiective.

Atunci când analizăm situaţia unor organizaţii trebuie să înţelegem foarte bine

circumstanţele sau evenimentele care reprezintă riscuri pentru ea. De ce?

Pentru că, aceste evenimente nu pot fi generalizate la nivelul tuturor

organizaţiilor. Spre exemplu, starea de război într-o ţară X este o circumstanţă

ce generează riscuri pentru o societate rezidentă ce comercializează băuturi

răcoritoare în ţara respectivă. Însă pentru un producător de armament, starea de

război reprezintă un eveniment „fericit” care-i generează câştiguri peste nivelul

celor înregistrate pe timp de pace.

Odată clarificate aceste aspecte, vom lansa o nouă întrebare: cine

stabileşte obiectivele la nivelul unei organizaţii şi, implicit, poartă

responsabilitatea atingerii lor? Aşa cum noi, la nivel personal, ne stabilim

propriile obiective în funcţie de circumstanţe, presiuni care sunt exercitate

asupra noastră sau la iniţiativa proprie, în cadrul organizaţiilor „vinovat” de

stabilirea obiectivelor acestora este managementul. Totodată, managementul

trebuie să-şi asume responsabilitatea pentru atingerea acestor obiective, chiar

dacă procesul se soldează cu un eşec. Ce face managementul pentru a-şi atinge

obiectivele? Graficul 1.1. de mai jos explică responsabilităţile acestuia într-o

manieră sugestivă.

3

Deşi, de cele mai multe ori, se presupune că managementul personal

este cel care identifică riscurile, în realitate, această funcţie este delegată unui

departament cunoscut sub denumirea de „Managementul Riscurilor”. În mod

ideal, funcţia acestui departament nu trebuie să se suprapună cu funcţia

auditului intern. Managementul riscurilor are misiunea de a examina în

permanenţă activităţile organizaţiei cu scopul de a identifica riscuri noi sau

modul în care acestea au evoluat în timp. Totodată, departamentul de

management al riscurilor elaborează şi actualizează normele şi procedurile

organizaţiei privitoare la controlul intern ce urmează a fi implementate. Printre

activităţile departamentului de management al riscurilor se numără şedinţele de

analiză şi evaluare a apetitului pentru risc, activităţi de mare interes pentru

auditul intern. În principiu, cele două departamente din cadrul unei organizaţii

colaborează în realizarea misiunilor lor, dar nu se subordonează unul, celuilalt.

Grafic 1.1. Responsabilităţile managementului privind atingerea

obiectivelor unei organizaţii

1. Stabilirea

obiectivelor

2. Identificarea

riscurilor

3. Asigurarea

măsurilor de control

4. Monitorizarea

controlului

Funcţia: Control

Intern

Funcţia:

Managementul

riscurilor

Funcţia: Audit

Intern

4

Aşa cum se observă la celulele trei şi patru din graficul de mai sus

managementul unei organizaţii trebuie să se asigure că, pentru a se proteja

împotriva riscurilor, îşi ia măsuri de precauţie denumite de noi, măsuri de

control, prin instituirea controlului intern. Apoi, pentru a se asigura că măsurile

de control intern sunt suficiente, eficiente şi eficace în prevenirea şi atenuarea

riscurilor care ameninţă obiectivele organizaţiei, este necesară o funcţie

independentă de monitorizare şi evaluare continuă a controlului intern.

Deşi vom reveni cu detalii într-unul din capitolele acestei cărţi, pentru a

evita confuziile, am simţit nevoia de a delimita aici cele două noţiuni

introduse: controlul intern, respectiv auditul intern. Fără pretenţia de a lansa în

acest context o definire ştiinţifică a controlului intern, acesta reprezintă un

proces prin care riscurile sunt ameliorate. Punerea în aplicare a acestui proces

necesită mecanisme, instrumente, politici şi proceduri, oameni şi sisteme.

Spre exemplu, pentru a atenua/elimina riscul de nu ne găsi locuinţa

devastată de hoţi, fiecare dintre noi poate pune în aplicare o serie de măsuri de

precauţie (de control) considerate fie individual, fie cumulat, în funcţie de

mentalitate, teama de risc, cultură, context social, posibilităţi financiare etc.

Printre aceste măsuri se includ: asigurarea bunurilor deţinute, instalarea unui

sistem de alarmă conectat sau nu la poliţie sau o societate de pază şi protecţie,

angajarea unui paznic, asigurarea prezenţei permanente a unei persoane de

încredere la domiciliul nostru etc. Unii ar prefera adoptarea a două-trei măsuri,

alţii ar considera că una ar fi suficientă, alţii, deşi recunosc riscul, nu ar adopta

nici o măsură, din lipsa posibilităţilor financiare. Dintre toate categoriile

enunţate, cei mai expuşi riscului sunt ultimii, iar obiectivul lor – asigurarea

securităţii locuinţei – poate fi sortit eşecului.

Asemenea nouă, managementul unei organizaţii doreşte să se asigure că

instituie mecanisme de control care să-i protejeze obiectivele stabilite de

5

producerea riscurilor. La nivelul unei organizaţii, exemple de măsuri de control

ar putea fi: angajarea unui paznic la intrarea în entitate, pentru a controla riscul

accesului unor persoane nedorite; utilizarea statului de plată a salariilor, pentru

a controla riscul de a plăti salarii necuvenite sau calculate greşit; instalarea

unor sisteme de alarmă împotriva incendiilor, pentru a preveni şi ameliora

riscul de incendii, utilizarea sistemului contabil, pentru a preveni riscul de

deturnare frauduloasă a investiţiei acţionarilor, etc. Se poate observa cu

uşurinţă că un risc poate fi ameliorat prin mai multe măsuri de control, după

cum o măsură de control poate preveni sau ameliora mai multe riscuri. Din

acest motiv, controlul intern la nivelul unei organizaţii este un sistem foarte

complex. Evident că nu absolutizăm: există şi societăţi mici care posedă

controale interne la un nivel minim.

Adesea, persistă confuzii legate de organizarea funcţiei de control

intern la nivelul unei societăţi comerciale, deoarece controlul intern este

confundat cu controlul preventiv, controlul de calitate a produselor, controlul

financiar etc. Subliniem faptul că acestea sunt componente ale controlului

intern, adică părţi ale unui întreg. Pentru a exista funcţia de control intern, nu

este obligatoriu să fie înfiinţat un departament care să-i poarte numele. Aşa

cum exemplificam mai sus, un portar îndeplineşte o sarcină specifică de

control intern, după cum şi un contabil, prin responsabilităţile sale, deşi

nelegate în mod expres de controlul intern, reprezintă implicit o rotiţă din

cadrul acestui proces complex. Totodată, reamintim că, instituirea controlului

intern nu implică adoptarea unei reţete de succes universal valabile. În

exemplul de mai sus, am punctat faptul că fiecare individ îşi alege dintr-o

paletă de măsuri de control, cele pe care le consideră a fi adecvate dorinţelor şi

posibilităţilor sale. La nivelul organizaţiilor, managementul este asigurat, în

cele mai multe cazuri, de o echipă de oameni, fiecare dintre ei având percepţii

6

diferite asupra riscurilor. Astfel, controlul instituit într-o organizaţie, reprezintă

adesea numitorul comun al echipei manageriale cu privire la obiectivele

asumate şi riscurile potenţiale. Din acest motiv, modelele de organizare a

controlului intern diferă de la o societate comercială la alta.

Graficul 1.1. de mai sus arată clar faptul că auditul intern nu reprezintă

acelaşi lucru cu controlul intern fie şi numai dacă am considera

incompatibilitatea celor două funcţii: nu poţi să monitorizezi şi să evaluezi

obiectiv şi independent ceva ce ai face tu însuţi. Prin intermediul auditului

intern, managementul unei organizaţii urmăreşte să se asigure că funcţia de

control intern instituită funcţionează eficient, eficace şi suficient pentru a

ameliora sau elimina riscurile identificate. Altfel spus, auditul intern este

„câinele de pază” al managementului care veghează funcţionarea controlului

intern în cadrul organizaţiei. Dacă poate fi spus aşa, auditul intern ar fi un

„control permanent al controlului intern”. Evident că, aşa cum vom vedea în

capitolele următoare, în îndeplinirea misiunii sale, auditul intern utilizează

proceduri, tehnici, mecanisme, instrumente de monitorizare şi evaluare

asemănătoare cu cele întrebuinţate de controlori. Scopul aplicării lor însă este

diferit.

Iată că am ajuns la momentul în care auditul intern poate fi definit.

Lăsând deoparte pentru moment definirea conceptului dată de standardele

internaţionale de audit intern, preferăm să expunem aici definiţia utilizată de

Griffits. Potrivit acestuia, „auditul intern furnizează managementului unei

organizaţii o opinie independentă şi obiectivă cu privire la faptul că riscurile

cu care se confruntă organizaţia sunt sau nu ameliorate la un nivel acceptabil

prin controlul intern1”.

1 D. Griffits, Introduction to risk based internal audit, 2006, pag. 4.

7

Definiţia prezentată necesită câteva precizări suplimentare referitoare la

termenii subliniaţi. În primul rând, ne vom opri atenţia asupra termenului

„furnizează”. Auditorii interni oferă asigurarea lor într-o manieră formală, de

cele mai multe ori, în contextul unui raport al auditorului intern. Astfel,

termenul enunţat trebuie perceput în acest sens. Comunicare verbală a

asigurării nu este exclusă dar, mai ales în condiţiile reglementărilor şi

practicilor româneşti, ea trebuie oficializată printr-un document.

Sintagma „opinie independentă şi obiectivă” face trimitere la esenţa

profesiei de auditor intern: etica profesională. Concluziile – opinia2 –

auditorilor interni privind monitorizarea şi evaluarea controlului intern nu ar

avea credibilitate dacă obiectivitatea şi independenţa lor ar fi afectate. Asupra

problemelor privind etica profesională a auditorilor interni vom reveni într-un

capitol distinct al lucrării noastre. Pentru moment, vom sublinia faptul că

independenţa auditului intern impune stabilirea unei ierarhii în cadrul

organizaţiei, astfel încât, departamentul de audit să fie subordonat exclusiv

consiliului de administraţie, mai exact, comitetului de audit3. Totodată,

independenţă auditorului intern este respectată atâta vreme cât managementul

organizaţiei nu interferează în maniera de realizare a misiunilor de audit,

respectiv nu „comandă” opinia auditorilor. În ceea ce priveşte obiectivitatea,

este evident faptul că neutralitatea auditorilor faţă de problemele examinate

este crucială pentru a garanta o opinie nepartinică.

Revenind la definiţia de mai sus, auditorii interni raportează dacă

riscurile sunt sau nu ameliorate prin controlul intern. Concluziile auditorilor

sunt formalizate într-un raport indiferent de rezultatele misiunii lor, completate

cu recomandări de îmbunătăţire a controlului, în cazul în care riscurile nu sunt

2 La acest nivel, pentru a simplifica înţelegerea, am utilizat termenul de opinie. În standardele

profesionale, termenul folosit este „asigurare”. 3 Pentru detalii privind comitetul de audit vezi capitolul 9 al lucrării.

8

controlate satisfăcător. Noţiunea de ameliorare a riscului, utilizată şi anterior în

acest capitol, face trimitere la caracterul general al riscului. Riscul are două

trăsături caracteristice: probabilitatea producerii riscului şi efectele producerii

riscului. Mai rar, există situaţii în care, prin măsuri corective, riscurile sunt

eliminate. Dar, în cele mai multe cazuri, riscurile nu pot fi eliminate, ci cel

mult, în cazul producerii, prin măsurile adoptate pot fi ameliorate efectele lor

sau pot fi prevenite. De exemplu, riscul de a plăti o amendă de circulaţie poate

fi eliminat prin impunerea respectării stricte a regulilor de circulaţie. Pe de altă

parte, riscul de cutremur nu poate fi eliminat deoarece, atât probabilitatea, cât

şi efectele producerii unui astfel de risc sunt incerte. Cel mult se poate adopta o

măsură de asigurare împotriva cutremurelor, astfel încât, dacă riscul se

produce, asigurarea încasată să diminueze pierderile suferite (ameliorarea

efectelor riscului). Altfel spus, auditul intern pleacă de la premisa că, în cele

mai multe cazuri, datorită limitelor inerente, controlul intern nu poate elimina

riscurile, dar le poate ameliora. Există autori care utilizează ca echivalent

pentru riscuri ameliorate sintagma riscuri controlate. Nu este greşită utilizarea

interschimbabilă a termenilor de mai sus atâta vreme cât nu se face confuzia cu

acţiunea de verificare sau examinare a unui risc.

În fine, ultima referinţă subliniată în definiţia lui Griffits – nivel

acceptabil – pune în lumină aspectul cel mai interesant, provocator şi dificil

care caracterizează activitatea unui auditor intern. Nivelul acceptabil al riscului

trebuie înţeles prin prisma managementului. Altfel spus, managementul trebuie

să decidă dacă riscurile sunt ameliorate la un nivel dorit de el. De ce? Dacă ne

reamintim faptul că managementul stabileşte obiectivele, identifică riscurile şi-

şi asumă atât meritele pentru succese, cât şi vinovăţia pentru eşecuri, devine

firesc ca riscurile să fie ameliorate la un nivel pe care el îl consideră rezonabil.

Astfel, în misiunea sa de evaluare a controlului intern şi a efectelor pe care

9

deficienţele acestuia le are asupra riscurilor şi, implicit, asupra obiectivelor

organizaţiei, auditorul intern va folosi drept criteriu de referinţă apetitul pentru

risc al managementului. Acest apetit pentru risc al managementului trebuie

evaluat într-o manieră continuă. De ce? Pentru că, el depinde de o mulţime de

factori care evoluează în timp: vârstă, cultură, mentalitate, educaţie, mediul

economic şi social, stare psihică, sex, progres tehnologic etc. La rândul lor,

riscurile evoluează în timp, iar percepţia oamenilor se schimbă corespunzător.

Pe de altă parte, ceea ce poate fi considerat drept un risc acceptabil pentru un

individ, poate fi inacceptabil pentru altul. Iar, pentru a cunoaşte ce înseamnă

pentru manageri un nivel acceptabil al riscului X, auditorii interni sunt nevoiţi

să colaboreze cu departamentul de management al riscurilor în acest sens.

Sarcina auditorilor se complică atunci când organizaţia nu dispune de funcţia

de management al riscurilor, astfel că auditorii interni sunt nevoiţi să aplice

tehnicile specifice de evaluare a apetitului pentru risc al conducerii. De aici

decurge şi dificultatea misiunii auditorilor interni: deseori este dificil să

determini apetitul pentru risc al unui individ, cu atât mai mult al unei echipe

formate din „n” indivizi. Asupra tehnicilor utilizate de auditori în scopul

evaluării apetitului pentru risc al managementului vom reveni cu detalii într-

unul din capitolele acestei lucrări.

1.2. Tipuri de audit intern

Mai curând decât ideea de a prezenta clasificări mai mult sau mai puţin

importante, în cadrul acestui paragraf am urmărit expunerea diferitelor tipuri

de audit intern pentru a elimina confuziile, pe cât posibil. Astfel, nu vom obosi

cititorul cu criterii de clasificare şi, fără a pretinde o dezvoltare exhaustivă,

vom explica pe scurt caracteristicile tipurilor de audit cele mai frecvent

întâlnite. În practica auditului intern suntem confruntaţi adesea cu sintagma

„audit financiar”. Utilizarea ei generează cele mai numeroase confuzii,

10

deoarece auditul financiar este puternic asociat cu ideea de audit al situaţiilor

financiare realizat de un auditor extern, deci independent. Cert este că, deşi în

mare parte este adevărată această percepţie, trebuie să spunem că şi auditorii

interni pot realiza misiuni de audit financiar. De ce? Pentru că activitatea

financiar-contabilă reprezintă sistemul sanguin al oricărei companii, având

obiective şi implicit riscuri asociate obiectivelor, precum şi mecanisme de

control destinate să amelioreze riscurile respective. Orice manager îşi doreşte

sistemul propriu de monitorizare şi evaluare a activităţilor financiar-contabile.

Astfel, scopul misiunilor de audit financiar realizate de auditorii interni este de

a examina credibilitatea sistemului contabil şi de informare financiară.

Diferenţa majoră între auditul financiar extern şi auditul financiar intern constă

în credibilitatea şi destinatarii raportului de audit. În timp ce raportul

auditorilor externi se adresează utilizatorilor externi de informaţii financiar-

contabile şi, prin independenţa totală a auditorilor externi faţă de clienţii săi,

opinia lor conferă un grad de încredere sporit în raportările financiare publice

ale companiilor, raportul auditorilor interni se adresează în exclusivitate

managementului organizaţiei. Opinia auditorilor interni este jalonată de

apetitul pentru risc al conducerii, în timp ce opinia auditorilor externi are drept

criteriu de referinţă imaginea fidelă în relaţie cu pragul de semnificaţie. De

altfel, în ipoteza în care, raportul auditorilor interni privind activitatea

financiar-contabilă ar fi public, credibilitatea lui ar fi nulă, având în vedere

faptul că scopul principal al auditului intern este de a sprijini atingerea

obiectivelor şi intereselor organizaţiei. Spre deosebire de aceştia, auditorii

externi vizează satisfacerea intereselor publicului larg. Există opinii care susţin

că cele două activităţi – auditul intern şi auditul extern – se suprapun, ceea ce

ar conduce la o alocare neadecvată a resurselor unei organizaţii. În realitate,

auditul intern este mult mai larg, incluzând misiuni pe toate sectoarele de

11

activitate ale organizaţiei. Mai mult decât atât, aşa cum vom remarca într-unul

din capitolele următoare, auditul intern şi auditul extern colaborează şi îşi

coordonează activităţile pentru a evita astfel de suprapuneri.

Auditul de conformitate reprezintă un alt tip de audit intern pe care

auditorii interni îl realizează în cadrul unei organizaţii. Această misiune

presupune evaluarea calităţii şi gradului de adecvare a sistemelor interne

instituite într-o organizaţie pentru a se examina conformitatea acestora cu

legile, regulamentele, politicile sau procedurile aplicabile la un moment dat în

timp. Spre exemplu, o misiune de audit de conformitate examinează măsura în

care activităţile privind resursele umane dintr-o organizaţie sunt realizate în

conformitate cu legislaţia în vigoare şi cu politicile şi strategia de personal

stabilite de management. Altfel spus, sunt puse faţă în faţă realităţile („de

facto”) cu ceea ce ar trebui să fie conform legislaţiei, politicilor, etc.(„de

jure”).

Auditul operaţional, unul dintre cele mai complexe tipuri de audit

intern, presupune evaluarea critică a calităţii şi a gradului de adecvare

sistemelor, metodelor, resurselor şi procedurilor utilizate de organizaţie, a

structurii organizaţionale comparativ cu responsabilităţile alocate. Spre

exemplu, atunci când o organizaţie îşi doreşte implementarea unei reforme sau

restructurări, strategia de schimbare are la bază concluziile formulate de

auditorii interni în urma unei misiuni de audit operaţional. Prin intermediul

acestui tip de audit se identifică deficienţele organizaţionale, strategice etc.

fiind astfel posibile identificarea alternativelor de acţiune şi adoptarea unor

măsuri care să corecteze deficienţele respective.

Auditul de management permite evaluarea calităţii actului managerial, a

structurii acestuia şi a atitudinii managementului vis-a-vis de riscuri şi control

în contextul obiectivelor organizaţiei. Din nefericire, denumirea acestui tip de

12

audit conduce la o atitudine rezervată a conducerii organizaţiilor. În realitate,

auditul de management se aseamănă foarte mult cu auditul de conformitate,

diferenţa constând în materialul studiat: activităţile manageriale. Auditorii

interni evaluează actul managerial prin raportare la criteriile predefinite pentru

aceasta de către organizaţie. Spre exemplu, să presupunem că într-o organizaţie

X, pentru a realiza o investiţie la o valoare de peste un anumit plafon,

procedura impune ca directorul financiar să solicite aprobarea consiliului de

administraţie, aprobare validată numai cu unanimitate de voturi. Într-o misiune

de audit de management, auditorul intern nu va examina, aşa cum s-ar înţelege,

dacă decizia respectivă este bună sau nu pentru organizaţie, ci dacă procedura

de validare este respectată întocmai în practică. Din motive lesne de înţeles,

acest tip de audit este mai rar realizat.

Auditul de eficacitate, adesea denumit şi „value-for-money auditing

(VFM)”, presupune examinarea a trei coordonate definitorii: eficienţa,

eficacitatea şi economicitatea proceselor din cadrul organizaţiei4. Eficacitatea

vizează atingerea obiectivelor fixate prin acţiunile întreprinse. Eficienţa

impune selectarea celor mai bune alternative sau resurse pentru a realiza un

deziderat. Renard face apel la terminologia anglo-saxonă, pentru a ilustra

sensul eficacităţii – „doing the right things”, respectiv al eficienţei – „doing the

things right”5. Economia/economicitatea (unora le place, mai curând, termenul

economicitatea) vizează evitarea pierderilor nenecesare. De remarcat faptul că,

în special în sectorul public, misiunile de audit intern sunt de conformitate sau

VFM. De asemenea, punctăm faptul că auditul de eficacitate nu este sinonim

cu auditul performanţei: o confuzie larg răspândită. Prin auditul performanţei

4 I. Gray, S. Manson, The audit process: principles, practice and cases, ediţia a 2-a, Business Press

Thomson Learning, 2000, pag. 223-225. 5 J. Renard, Teoria şi practica auditului intern, ediţia a 4-a, Ministerul Finanţelor Publice din

România, 2002, pag. 41.

13

este examinată măsura în care autorităţile publice, spre exemplu, dispun de

proceduri în vigoare pentru a măsura şi raporta propriile performanţe.