Curs Audit CAFEC 1

CAPITOLUL I. AUDITUL ŞI CONTROLUL SISTEMELOR

INFORMAŢIONALE

INTRODUCERE

Profesia de audit intern a cunoscut o dezvoltare spectaculoasă de la începuturile ei şi până în

prezent, evoluţia sa fiind marcată de câteva momente cruciale care au avut influenţe majore asupra

acestei profesii, transformând-o într-una legitimă.

În acest sens, adoptarea Standardelor de Audit Intern, urmată de adoptarea Declaraţiei de

Responsabilităţi şi a Codului de Etică şi, în final, a programului de certificare pentru auditorii interni

au adus legitimitate acestei profesii, ceea ce mulţimea de ani de practică nu a reuşit.

În acest mod se asigură participanţilor la această profesie, recunoaşterea necesară de către

alte organisme, nivele înalte de pregătire profesională, o mai bună acceptare pe piaţa muncii şi un

nivel ridicat al satisfacţiilor profesionale

În continuare, vom evidenţia câteva dintre cele mai importante argumente care ar putea

susţine necesitatea creşterii interesului pentru îmbunătăţirea educaţiei în domeniul auditului intern:

Auditorul intern deţine o poziţie unică în cadrul structurii organizaţionale a entităţii, având

şansa de a fi la cunoştinţă cu toate procesele şi activităţile din cadrul entităţii, şi având astfel

avantajul de a putea identifica potenţialele cauze ale aspectelor negative din cadrul

organizaţiei;

Pentru a putea face faţă responsabilităţilor tot mai mari pe care le au, instituţiile de

învăţământ trebuie să asigure studenţilor oportunitatea de a primi pregătirea necesară în

auditul intern, precum şi în prevenirea raportării financiare frauduloase, în cazul în care

doresc să îmbrăţişeze o carieră de auditor intern;

Experienţa auditorului intern include şi capacitatea acestora de a depista indicatorii care

denotă indicii de fraudă. Prin urmare, programa de audit intern trebuie să includă şi

examinarea testelor de audit şi a altor instrumente care îi ajută pe auditorii interni în

prevenirea şi detectarea fraudelor;

Dezvoltarea unui curs de audit intern în programa instituţiilor de învăţământ contribuie la

promovarea unui cadru de transmitere către studenţi a setului de valori etice care

coordonează activitatea de audit intern.

Beneficii şi avantaje pentru studenţii şi organizaţii, care s-ar putea obţine prin promovarea

educaţiei de audit intern la nivel universitar:

Dezvoltarea unei surse primare de auditori interni la un nivel de „entry-level” (începători);

Îmbunătăţirea consecvenţei cu care se realizează educaţia auditorilor interni începători;

O descreştere globală a costurilor cu educaţia concomitent cu o creştere a eficienţei

acesteia;

O creştere a cunoştinţelor despre auditul intern pentru studenţi, profesori şi publicul în

general.

Un alt reper semnificativ în ceea ce priveşte educaţia auditului intern este determinat de

modalitatea de atestare a auditorilor interni.

S-a generat nevoia, pe parcursul evoluţiei rapide a acestei funcţii, de a găsi acea formă de

atestare a auditorilor interni, care să permită obţinerea unui anumit statut în faţa clienţilor lor, dar şi

de a câştiga încrederea celor auditaţi în competenţele lor profesionale.

Evident, în evoluţia auditului intern pe plan internaţional se pot distinge mai multe forme de

atestare, dar atestarea cea mai bine văzută şi care asigură deţinătorilor acestora credibilitate maximă,

în orice loc al lumii, este cea de Certified Internal Auditor – CIA (Auditor Intern Certificat), acest

program de atestare fiind organizat de către IIA la nivel mondial, iar în fiecare ţară membră a acestui

institut, prin intermediul filialelor IIA.

Conform celor menţionate pe site-ul IIA, un Auditor Intern Certificat este acea persoană care

îndeplineşte cerinţele pentru certificare stabilite de către IIA.

Aceste cerinţe se referă la educaţia necesară, experienţa profesională necesară (24 de luni de

experienţă relevantă în audit intern sau echivalent; experienţa echivalentă se referă la experienţă în

domeniul asigurării calităţii, evaluarea controlului intern sau audit extern), precum şi parcurgerea cu

succes a examinărilor din cadrul programului CIA. Obţinerea acestei atestări de Auditor Intern

Certificat (CIA) constituie o dovadă palpabilă în lumina faptului că respectivul deţinător al unei

astfel de atestări îndeplineşte criteriile de calificare profesională stabilite de IIA. Primele examinări

CIA au avut loc în anul 1974.

Guvernanţa corporativă

Credem că se impune să răspundem la câteva întrebări privind guvernanţa corporativă,

respectiv: ce este şi ce aduce nou acest concept?

Termenul de guvernanţă în româneşte este sinonim cu termenul de administrare/proces de

administrare. De asemenea în dicţionarul limbii române există şi termenul de guvernanţă care

înseamnă conducere şi care implică toate activităţile din cadrul unei entităţi care intră în sfera

managementului.

Guvernanţa corporativă înseamnă conducerea în ansamblu a întregii organizaţii prin

acceptarea tuturor componentelor interne, care funcţionează împreună, care în final vor fi integrate

conducerii, şi implementate managementului riscurilor din cadrul organizaţiei şi a sistemului de

management financiar şi control intern, inclusiv a auditului intern (M. Ghiţă, & al., 2009).

BUNA GUVERNARE ŞI GUVERNAREA CORPORATIVĂ

Guvernarea corporatistă este un fenomen foarte mediatizat în ultima vreme şi se referă la

transparenţa tranzacţiilor şi la monitorizarea sistemului de control intern în vederea asigurării

capacităţii acestuia de evaluare a riscurilor posibile, care să dea un plus de siguranţă

managementului organizaţiilor pentru aplicarea strategiilor stabilite.

În condiţiile în care unităţile economice din România se confruntă cu problema insuficienţei

profunde a surselor proprii de finanţare pentru a se lansa în procese eficiente de obţinere a valorii,

ultima asigurându-le un potenţial de finanţare a reproducţiei lor lărgite, finanţarea externă devine de

o importanţă majoră.

Numeroase cercetări asupra comportamentului investitorilor instituţionali şi privaţi pe pieţele

în dezvoltare, au identificat, însă, că 80% din investitori acceptă să plătească suplimentar pentru

acţiunile întreprinderilor cu un sistem eficient de guvernare corporativă.

Pentru ca guvernarea corporativă să influenţeze pozitiv valoarea de piaţă a întreprinderii,

trebuie respectate două condiţii:

în primul rând, guvernarea corporativă trebuie să contribuie la sporirea veniturilor acţionarilor

întreprinderii, şi

în al doilea rând, piaţa financiară trebuie să fie suficient de eficientă, pentru ca preţul acţiunilor

să reflecte corect indicatorii de performanţă înregistraţi de firmă. Aceste condiţii sunt respectate

mai frecvent în ţările cu pieţe financiare dezvoltate.

Guvernanţa corporativă se referă la promovarea corectitudinii, transparenţei şi

responsabilităţii la nivel de companie.

Atunci când apelează la pieţele de capital pentru a obţine finanţare, managementul

întreprinderii se confruntă cu o problemă dificilă de angajament:

cum să fie garantaţi investitorii că au fost selectate cele mai reuşite proiecte?

au fost depuse suficiente eforturi pentru a dezvolta întreprinderea?

informaţia relevantă a fost dezvăluită în mod corespunzător? şi nu în cele din urmă:

cum să fie remuneraţi investitorii?

În lipsa totală a unui angajament credibil, investitorii externi vor lăsa să se producă cel mai

nefavorabil scenariu - acela în care managerii vor exploata toate oportunităţile pentru a escroca

investitorii sau pentru a evita respectarea obligaţiunilor faţă de aceştia.

Cu cât forţa de angajament a managerilor este mai puternică, cu atât mai costisitoare va fi

finanţarea externă (şi cu atât mai dificilă va fi recrutarea unui personal calificat şi stabilirea unor

relaţii de lungă durată cu furnizorii şi consumatorii).

În mare parte, această problemă de angajament (commitment problem) este atenuată prin

mecanismele guvernării corporative.

Problemele apar din două cauze:

un investitor individual poate să nu dispună de stimulente corespunzătoare pentru a suporta

costurile aferente impunerii respectării obligaţiilor de către managementul unităţii

economice. În consecinţă, investitorul poate încerca să manifeste un comportament de

“pasager clandestin” (free-rider) în procesul de monitorizare şi impunere a respectării

contractelor realizate de alţi investitori;

mecanismele de a obliga şi penaliza managerii pot lipsi sau pot fi incomplete, posibil din

cauza unei impuneri a respectării drepturilor de proprietate în ţara respectivă. De regulă,

aceste două probleme sunt asociate.

CONFLICTE DE INTERESE MANAGERI - ACŢIONARI

CONFLICTUL FACTOR DE DEZVOLTARE AL UNEI FIRME

Conflictele la nivelul grupurilor de muncă

Conflictele la nivelul organizaţiei

Conflictele dintre manager- subalterni

Conflictele dintre manageri şi sindicate

Localizarea conflictelor de interese

proprietarii cu un număr mic de acţiuni,

proprietarii cu mari drepturi de proprietate,

creditori,

manageri,

angajaţi,

consumatori,

Guvern,

societatea ca întreg.

Conflicte de interese între manageri şi acţionari

Conflictul de interes dintre acţionari şi manageri a existat dintotdeauna şi se bazează pe

faptul că managerii sunt prea puţin motivaţi pentru distribuirea de dividende acţionarilor, preferând

reinvestirea profitului net chiar şi în proiecte cu rentabilitate mică pentru a conserva controlul

resurselor importante.

Potrivit studiilor instituţiilor internaţionale privind piaţa de capital din România, cele mai

importante forme de încălcare a drepturilor acţionarilor constau în:

Diluarea poziţiei acţionarilor minoritari;

Transferurile profiturilor ĩn afara societăţii;

Tactica „scoicii/cochiliei goale”;

Alocarea abuzivă a profiturilor;

Ĩntârzieri la plata dividendelo;

Accesul limitat la informaţii.

Mdalităţi de soluţionare a conflictelor:

acordarea de stimulente managerilor;

puterea de decizie a Consiliului de Administraţie;

prezenţa acţionarilor de referinţă;

votul prin procură;

preluările de companii prin cumpărarea acţiunilor;

ameninţarea cu concedierea;

alegerea unei structuri financiare particulare.

Principiul conflictelor de interese

Orice conflict de interese între societate şi membrii consiliului societăţii sau al organului

executiv va fi evitat.

Principiile de guvernare corporativă formulate de OCDE (Organizaţia pentru Cooperare şi

Dezvoltare Economică) şi semnate în 1999 de ţările membre conţin recomandări pentru proiectarea

şi perfecţionarea structurii de management. Conform acestor principii, un sistem eficient de

guvernare corporativă trebuie:

să protejeze drepturile acţionarilor şi să asigure o atitudine egală faţă de acţionari, inclusiv

acţionarii mici şi străini;

să recunoască drepturile persoanelor interesate şi să stimuleze colaborarea activă între

corporaţii şi persoanele interesate în obţinerea valorii şi crearea locurilor de muncă şi

asigurarea stabilităţii întreprinderilor din punct de vedere financiar;

să asigure dezvăluirea corectă şi în timp util a informaţiei privind problemele esenţiale,

inclusiv poziţia financiară, rezultatele activităţii, structura acţionariatului şi structura de

management al companiei.

Un studiu al Ernst Young & Center for Business and Innovation în 2004, relevă că, în

Europa Occidentala, 56% din investitori acordă o importanţă egală sau suplimentară informaţiilor

privind guvernanţa corporativă şi celor de natura financiară.

Majoritatea investitorilor sunt dispuşi să plătească un premiu pentru companiile care aplică

standarde de guvernanţă corporativă. Acest supliment de preţ bursier este de 12-14 % în SUA şi în

Europa Occidentală.

În Asia şi America Latină este de 20-25 %, iar in Europa de Sud-Est şi Africa se

înregistrează valoarea maximă de 30% din capitalizarea bursieră.

Societăţile listate bine administrate, cu structuri puternice de guvernanţă corporativă, cu

programe sociale şi de mediu adecvate, au o performanţă superioară de piaţă faţă de competitori,

investitorii instituţionali fiind dispuşi – conform unui raport Mckinsey din 2003 – să plătească cu

peste 16% mai mult pentru acţiunile acestora în pieţele dezvoltate şi cu peste 27-28% în ţările

emergente.

Modificările recente aduse legii societăţilor comerciale – Legea nr. 31/1990 – precum şi

prevederile legii pieţei de capital – Legea nr. 297/2004 - cu privire la standardele de guvernanţă

corporativă, trebuie aplicate în practică de către societăţile listate, iar implementarea acestora trebuie

monitorizată într-o manieră cât mai transparentă.

Societăţile comerciale (“emitenţii”) tranzacţionate pe piaţa reglementată a Bursei de Valori

Bucureşti (BVB) vor adopta şi se vor conforma, în mod voluntar, cu prevederile noului Cod de

Guvernanţă Corporativă (“CGC” sau “Codul”).

Cele care decid adoptarea totală sau parţială a acestui Cod vor transmite BVB, anual, o

Declaraţie de conformare sau neconformare cu prevederile CGC (“Declaraţie”), care va conţine

informaţii privind recomandările CGC implementate în mod efectiv de către acestea şi modalitatea

de implementare.

Modele de guvernare corporativă şi forme de control ale activităţii unei entităţi

În structura guvernării corporative se regăsesc următorii actori interni: acţionar,

administrator, manager, salariat, furnizor, creditor, iar în funcţie de aceste subiecte de drept, putem

găsi următoarele modele de guvernare corporativă (I. Trenca, 2006):

modelul tradiţional,

modelul codeterminării, şi

modelul riscului asumat („traditional model”, „co-determination model”, „stakeholder

model”).

Modelul tradiţional (specific în sistemul nord-american tradiţional) are la bază două

raporturi juridice şi trei nivele: unul se stabileşte între acţionari şi administratori, în baza unui

contract de mandat (agenţie în common law), iar unul între administratori şi manageri.

În această ultimă relaţie, managerii dispun de o autoritate derivată din cea a

administratorilor. În acest model, numit şi modelul maximizării veniturilor acţionarilor, întregul risc

al firmei se concentrează asupra furnizorului de capital, care este în acelaşi timp solicitantul

veniturilor reziduale.

Acţionariatul selectează consiliul director al firmei, sistemul de luare a deciziilor se bazează

pe: o acţiune înseamnă un vot, iar consiliul director alege managementul care se presupune că ia

decizii în scopul maximizării valorii acţiunilor deţinute de acţionari.

În acest caz, valoarea acţiunilor se fundamentează pe valoarea prezentă a proiecţiei

dividendelor viitoare, care derivă din profitul net.

În cel de al doilea model, al codeterminării (specific în sistemul ţărilor vest europene) există

trei raporturi juridice şi patru nivele:

unul se stabileşte între acţionari cu administratori plus reprezentanţi ai salariaţilor,

unul între administratori plus reprezentanţi ai salariaţilor cu administratorii,

iar cel de al treilea între administratori cu managerii.

Comparativ cu modelul tradiţional, acest model introduce un sistem de management

participativ, pornind de la premisa că riscul afacerii pentru acţionari este mai mic decât pentru

salariaţi, datorită imposibilităţii de diversificare a portofoliului de investiţii a acestora din urmă.

În cazul relaţiei dintre acţionari şi consiliul de administraţie propriu-zis se interpune un

„consiliu superior”, compus din reprezentanţii acţionarilor şi salariaţi.

Rolul consiliului superior se suprapune rolului acţionarului în anumite privinţe, întrucât

exercită funcţia de control, analizează obiectivele strategice ale companiei şi formulează

recomandări consiliului de administraţie.

În ultimul model de guvernare corporativă, stakeholder model (al riscului asumat), există

două raporturi juridice şi patru nivele, prin extinderea subiectelor de drept ce se găsesc în modelul

codeterminării:

o un raport între acţionari cu reprezentanţii salariaţilor, cu clienţii, cu bănci, cu furnizori, cu

statul sau administraţia publică şi administratori, precum şi

o un raport între administratori cu reprezentanţii salariaţilor, cu clienţii, cu băncile, cu furnizorii şi

managerii.

Între acţionari şi administratori nu trebuie să se interpună un alt organism, în mod

obligatoriu. Motivaţia acestui model se regăseşte în necesitatea ca activitatea unei companii să nu fie

afectată de relaţiile care se creează între toate aceste persoane cu interese şi riscuri diferite.

Iar comparativ cu modelul codeterminării, modelul riscului asumat extinde în fapt sistemul

de management participativ, cu toate că nu reflectă suficient gradul de exprimare a drepturilor şi

obligaţiilor fiecărei persoane în păstrarea unui echilibru între procesul decizional şi nivelul în baza

căruia se structurează.

* votul bazat pe „one share-equals one vote” (o acţiune egal un vot) nu mai funcţionează.

Din punct de vedere al controlului activităţii firmei s-a consacrat forma de guvernare prin

obiective (finanţarea de la distanţă), prin care investitorii nu intervin direct în activitatea firmei, ei

solicitând plata unui anumit nivel al dividendelor, stabilită prin contract. Astfel se acordă

managerilor o mai mare libertate de acţiune, cointeresându-i la creşterea ratei profitului.

Acest tip de guvernare este caracteristic mai cu seamă economiilor anglo-saxone,

presupunând o structură dispersată a acţionariatului, existenţa unui mediu economic stabil, un sistem

instituţional în care sunt incorporate elemente fiabile de monitorizare indirectă a activităţii firmelor

sub forma unei transparenţe ridicate şi a unui sistem informaţional bine pus la punct, a unei reţele

bogate de firme de audit. Atunci când apar nevoi de finanţare externă a activităţii firmei, se vor

realiza mai mult prin emiterea de acţiuni şi mai puţin prin contractarea de credite bancare.

De aici decurg o serie de avantaje potenţiale, dintre care putem aminti:

rapida transformare a economiilor în investiţii;

implicarea unei părţi însemnate a populaţiei în activitatea pieţei de capital, ceea ce are ca

efect însuşirea regulilor jocului unei economii de piaţă şi crearea unei clase mijlocii de

dimensiuni consistente;

se încurajează dezvoltarea spiritului antreprenorial, asumarea de către manageri a unor

riscuri mai mari, chiar dacă acestea nu sunt întotdeauna bine calculate.

Dezavantajele acestui tip de guvernare corporativă constau în principal în:

viziunea pe termen scurt asupra evoluţiei fenomenelor economice;

pericolul extinderii peste un nivel acceptabil a activităţilor speculative, ceea ce evident

determină un grad ridicat de instabilitate al activităţii economice;

în acelaşi sens acţionează, în anumite situaţii şi tendinţa firmelor specializate în analiza

conjuncturii economice de a pune la dispoziţia publicului o cantitate tot mai mare de

informaţii care nu arareori pot fi contradictorii.

Criticile adresate acestui tip de guvernare corporativă se referă în special la:

o tendinţa băncilor de a acorda relativ uşor credite unor firme la care deţin acţiuni şi de a se

interesa mai puţin de îmbunătăţirea eficienţei utilizării factorilor de producţie şi creşterea

profitabilităţii;

o implicarea băncilor în activitatea unor firme mari prin deţinerea de acţiuni ale acestora ceea

ce contribuie la creşterea riscului pentru sistemul bancar în ansamblul său, mai cu seamă în

fazele descendente ale ciclului economic când probabilitatea falimentelor sau a unor

rezultate financiare mediocre este mai mare;

o legătură foarte puternică între bănci şi firme generează restricţii în ceea ce priveşte nivelul

de lichiditate, astfel că multe oportunităţi de afaceri să fie mai dificil de valorificat.

Pentru actuala fază a evoluţiei economiilor central şi est-europene, guvernarea corporativă

dispune de atuuri însemnate dintre care se pot aminti:

se poate interveni în mod eficient pentru stoparea comportamentelor inerţiale, imprimarea

unui stil dinamic de conducere şi introducerea unor metode noi, inovative de management;

se asigură o stabilitate mai mare a finanţării externe a firmei în condiţiile unei pronunţate

penurii de capital;

se creează condiţiile pentru o evaluare corectă a potenţialului firmei şi se pot adopta măsuri

pentru utilizarea eficientă a acestuia. Totodată, se poate spori încrederea între insideri şi

outsideri;

se generează o viziune pe termen lung asupra activităţii firmei, element esenţial în contextul

necesităţii realizării restructurării.

Principii ale guvernanţei corporative

1. Asigurarea unei baze pentru un cadru de guvernanţă corporativă eficient

Cadrul de guvernanţă corporativă ar trebui să promoveze pieţe transparente şi eficiente, să

fie conform cu principiile statului de drept şi să precizeze clar separarea responsabilităţilor între

diferitele autorităţi de supraveghere de reglementare şi de aplicare.

2. Drepturile acţionarilor şi funcţiile cheie ale proprietarilor

Cadrul de guvernanţă corporativă ar trebui să protejeze şi să faciliteze exercitarea drepturilor

acţionarilor.

3. Tratamentul echitabil al acţionarilor

Cadrul de guvernanţă corporativă ar trebui să asigure tratamentul echitabil al tuturor

acţionarilor, inclusiv al acţionarilor minoritari şi străini. În caz de încălcare a drepturilor, toţi

acţionarii ar trebui să aibă oportunitatea de a obţine reparaţii reale.

4. Rolul părţilor implicate în guvernanţă corporativă

Cadrul de guvernanţă corporativă ar trebui să recunoască drepturilor părţilor implicate

stabilite prin lege sau prin acorduri mutuale şi ar trebui să încurajeze o cooperare activă între

entităţile economice şi părţile implicate în vederea creării de active, de locuri de muncă şi a

viabilităţii entităţilor cu o bună situaţie financiară.

5. Informare şi transparenţă

Cadrul de guvernanţă corporativă ar trebui să asigure efectuarea unei informări oportune şi

corecte privind toate aspectele importante legate de entitatea economică, inclusiv situaţia financiară,

performanţa, structura proprietăţii şi guvernanţa entităţii.

Măsurile de creştere a transparenţei cuprind:

Cerinţe de contabilitate adecvată;

Audituri externe independente şi

Controale interne ale entităţii.

6. Responsabilităţile consiliului

Cadrul de guvernanţă corporativă ar trebui să asigure orientarea strategică a entităţii,

monitorizarea eficientă a gestiunii asigurate de consiliul de administraţie, precum şi asumare

răspunderii consiliului faţă de entitate şi de acţionari.

Putem avansa zece principii coordonatoare pentru o guvernanţă corporativă eficace:

Controlul acţionarilor asupra afacerilor;

Raportarea publică credibilă şi completă;

Evitarea concentrării puterii la nivelul de vârf al conducerii;

Compoziţie echitabilă a consiliului de administraţie;

Consiliul de administraţie puternic şi motivat;

Un element independent în structura de conducere;

Monitorizarea efectivă a managementului de către consiliul de administraţie;

Competenţă şi angajament;

Evaluarea şi controlul riscurilor;

Un proces de audit solid.

Modele de guvernanţă corporativă în România

În România, modelele de guvernanţă corporativă au fost introduse, într-o formă incipientă, în

baza legii societăţilor comerciale nr. 31/1990. Ulterior, pe măsură ce mediul de afaceri românesc a

evoluat, determinând schimbări în ceea ce priveşte cadrul de raportare financiară, urmate de

introducerea auditului extern şi a auditului intern, legislaţia s-a modificat în consecinţă adaptându-se

la noile realităţi. Astfel, deşi perfectibilă în continuare, legea 31/1990 republicată a fost revizuită şi

modificată pentru a oferi, printre altele, cadrul adecvat guvernanţei corporative. Trebuie spus că nu

doar legea 31/1990 modificată şi completată ulterior realizează toate acestea, ci şi o seamă de alte

acte normative creează împreună condiţiile ca prevederile acestei legi să genereze efectele dorite.

Subliniem faptul că expunerea noastră sintetică se bazează pe cea mai recentă variantă a legii31

disponibilă la momentul redactării lucrării de faţă.

Cadrul legal în vigoare prezintă două modele de guvernanţă corporativă aplicabile

societăţilor pe acţiuni: modelul (sistemul) unitar, respectiv modelul (sistemul) dualist. Aceste

sisteme, au la bază modelele OECD, cunoscute şi sub denumirea de guvernanţă „pe un singur

palier", respectiv „pe două paliere".

Modelul unitar

În cadrul modelului unitar, societatea este guvernată de un consiliu de administraţie şi, aşa

cum vom vedea în cele ce urmează, în funcţie de caz, de directori. Ca diferenţă semnificativă faţă de

modelul dualist, în cazul modelului de guvernare unitar, directorii pot fi concomitent membri ai

consiliului de administraţie. De asemenea, modelul unitar, în mod exclusiv, permite prezenţa

cenzorilor în structura de guvernare a societăţii.

Consiliul de administraţie

Potrivit acestuia, consiliul de administraţie trebuie să fie format din unul sau mai mulţi

administratori, în acest ultim caz, numărul lor fiind impar.

Societăţile pe acţiuni ale căror situaţii financiare anuale fac obiectul unei obligaţii legale de

auditare sunt administrate de cel puţin trei administratori.

În cazul în care într-o societate pe acţiuni' are loc delegarea atribuţiilor de conducere către

directori, majoritatea membrilor consiliului de administraţie trebuie să fie formată din administratori

neexecutivi.

Membri neexecutivi ai consiliului de administraţie sunt cei care nu au fost numiţi directori.

Prin actul constitutiv sau prin hotărârea adunării generale a acţionarilor se poate prevedea că unul

sau mai mulţi membri ai consiliului de administraţie trebuie să fie independenţi.

La desemnarea administratorului independent, adunarea generală a acţionarilor are în vedere

următoarele criterii:

să nu fie director al societăţii sau al unei societăţi controlate de către aceasta şi să nu fi

îndeplinit o astfel de funcţie în ultimii 5 ani;

să nu fi fost salariat al societăţii sau al unei societăţi controlate de către aceasta ori să fi avut

un astfel de raport de muncă în ultimii 5 ani;

să nu primească sau să fi primit de la societate ori de la o societate controlată de aceasta o

remuneraţie suplimentară sau alte avantaje, altele decât cele corespunzând calităţii sale de

administrator neexecutiv;

să nu fie acţionar semnificativ al societătii;

să nu aibă sau să fi avut în ultimul an relaţii de afaceri cu societatea ori cu societate

controlată de aceasta, fie personal, fie ca asociat, acţionar, administrator, director sau salariat

al unei societăţi care are astfel de relaţii cu societatea, dacă, prin caracterul lor substanţial,

acestea sunt de natură ai afecta obiectivitatea;

să nu fie sau să fi fost în ultimii 3 ani auditor financiar ori asociat salariat al actualului

auditor financiar al societăţii sau al unei societăţi controlate de aceasta;

să fie director într-o altă societate în care un director al societăţii este administrator

neexecutiv;

să nu fi fost administrator neexecutiv al societăţii mai mult de 3 mandate;

să nu aibă relaţii de familie cu o persoană aflată în una dintre situaţiile prevăzute la lit. a) şi

d).

Comitet de audit

Consiliul de administraţie poate crea comitete consultative formate din cel puţin doi membri

ai consiliului şi însărcinate cu desfăşurarea de investigaţii şi cu elaborarea de recomandări pentru

consiliu, în domenii precum auditul, remunerarea administratorilor, directorilor, etc. Comitetele

transmit consiliului, în mod regulat, rapoarte asupra activităţii lor.

Cel puţin un membru al fiecărui comitet creat trebuie să fie administrator neexecutiv

independent.

Comitetul de audit şi cel de remunerare sunt formate numai din administratori neexecutivi.

Cel puţin un membru al comitetului de audit trebuie să deţină experienţă în aplicarea

principiilor contabile sau în audit financiar.

Directori

Consiliul de administraţie poate delega conducerea societăţii unuia sau mai multor directori,

numind pe unul dintre ei director general.

Directorii pot fi numiţi dintre administratori sau din afara consiliului de administraţie.

Preşedintele consiliului de administraţie al societăţii poate fi numit şi director general. în cazul

societăţilor pe acţiuni ale căror situaţii financiare anuale fac obiectul unei obligaţii legale de auditare

financiară, delegarea conducerii societăţii, prin numirea directorilor este obligatorie.

Director al societăţii pe acţiuni este numai acea persoană căreia i-au fost delegate atribuţii de

conducere a societăţii.

Prevederi privind auditul intern

Directorii şi cenzorii sau, după caz, auditorii interni pot fi convocaţi la orice întrunire a

consiliului de administraţie, întruniri la care aceştia sunt obligaţi să participe. Ei nu au drept de vot,

cu excepţia directorilor care sunt şi administratori.

Administratorii sunt solidar răspunzători cu predecesorii lor imediaţi dacă, având cunoştinţă

de neregulile săvârşite de aceştia, nu le comunică cenzorilor sau, după caz, auditorilor interni şi

auditorului financiar.

În societăţile care au mai mulţi administratori răspunderea pentru actele săvârşite sau pentru

omisiuni nu se întinde şi la administratorii care au făcut să se consemneze, în registrul deciziilor

consiliului de administraţie, împotrivirea lor şi au încunoştinţat despre aceasta, în scris, pe cenzori

sau auditorii interni şi auditorul financiar.

Modelul dualist

Potrivit acestui model, societatea este guvernată de un directorat şi de un consiliu de

supraveghere. În cazul guvernării corporative de tip dualist, societăţile comerciale nu dispun de

cenzori, dar sunt supuse auditului extern şi, prin urmare, au obligaţia de a organiza şi funcţia de

audit intern.

Consiliul de supraveghere

Membrii consiliului de supraveghere sunt numiţi de către adunarea generală a acţionarilor.

Numărul membrilor consiliului de supraveghere este stabilit prin actul constitutiv şi nu poate fi mai

mic de trei şi nici mai mare de 11. Din rândul lor, se alege un preşedinte al consiliului. Membrii

consiliului de supraveghere nu pot fi concomitent membri ai directoratului. De asemenea, ei nu pot

cumula calitatea de membru în consiliul de supraveghere cu cea de salariat al societăţii.

Comitetul de audit

În cazul societăţilor pe acţiuni ale căror situaţii financiare anuale fac obiectul unei obligaţii

legale de auditare financiară, crearea unui comitet de audit în cadrul consiliului de supraveghere

este obligatorie.

Consiliul de supraveghere poate crea comitete consultative, formate din cel puţin doi membri

ai consiliului, însărcinate cu desfăşurarea de investigaţii şi cu elaborarea de recomandări pentru

consiliu, în domenii precum auditul, remunerarea membrilor directoratului şi ai consiliului de

supraveghere şi a personalului, sau nominalizarea de candidaţi pentru diferitele posturi de

conducere.

Comitetele au obligaţia să prezinte consiliului, în mod regulat, rapoarte asupra activităţii lor.

Cel puţin un membru al fiecărui comitet consultativ trebuie să fie independent. De asemenea, cel

puţin un membru al comitetului de audit trebuie să deţină experienţă relevantă în aplicarea

principiilor contabile sau în audit financiar.

Directoratul

Consiliul de supraveghere desemnează membrii directoratului şi atribuie totodată unuia

dintre ei funcţia de preşedinte al directoratului.

Astfel, conducerea societăţii pe acţiuni revine în exclusivitate directoratului, care

îndeplineşte actele necesare şi utile pentru realizarea obiectului de activitate al societăţii, cu excepţia

celor care cad în sarcina consiliului de supraveghere şi a adunării generale a acţionarilor.

Directoratul îşi exercită atribuţiile sub controlul consiliului de supraveghere şi poate fi

format din unul sau mai mulţi membri, numărul acestora fiind întotdeauna impar. În cazul

societăţilor pe acţiuni ale căror situaţii financiare anuale fac obiectul unei obligaţii legale de

auditare, directoratul este format din cel puţin trei membri.

Prevederi privind auditul intern

Obligaţiile privind comunicarea cu auditorii interni privind diversele abateri sau

disfuncţionalităţi prezentate la modelul unitar se aplică inclusiv membrilor consiliului de

supraveghere şi directoratului din modelul dualist.

Prevederi comune sistem unitar - sistem dualist

Sub pedeapsa revocării şi răspunderii pentru daune, directorii unei societăţi pe acţiuni, în

sistemul unitar, şi membrii directoratului, în sistemul dualist, nu pot fi, fără autorizarea consiliului

de administraţie, respectiv a consiliului de supraveghere, directori, administratori, membri ai

directoratului ori ai consiliului de supraveghere, cenzori sau, după caz, auditori interni ori asociaţi cu

răspundere nelimitată, în alte societăţi concurente sau având acelaşi obiect de activitate, nici nu pot

exercita acelaşi comerţ sau altul concurent, pe cont propriu sau al altei persoane.

Prevederi comune sistem unitar - sistem dualist

Sub pedeapsa revocării şi răspunderii pentru daune, directorii unei societăţi pe acţiuni, în

sistemul unitar, şi membrii directoratului, în sistemul dualist, nu pot fi, fără autorizarea consiliului

de administraţie, respectiv a consiliului de supraveghere, directori, administratori, membri ai

directoratului ori ai consiliului de supraveghere, cenzori sau, după caz, auditori interni ori asociaţi cu

răspundere nelimitată, în alte societăţi concurente sau având acelaşi obiect de activitate, nici nu pot

exercita acelaşi comerţ sau altul concurent, pe cont propriu sau al altei persoane.

Studiu de caz WhiteLab

WhiteLab este o companie care produce şi distribuie echipament sportiv şi care încearcă să

obţină permisiunea de a fi listată la bursa din Londra. Pentru a se conforma cu reglementările

privitoare la guvernanţa corporativă, consiliul de administraţie WhiteLab a înfiinţat un comitet de

audit, fără a mai întreprinde nimic în acest sens. Totodată, consiliul de administraţie al companiei

intenţionează să organizeze o recepţie luna viitoare în care să invite acţionarii majoritari,

reprezentanţii băncilor cu care cooperează şi auditorii externi pentru a le expune strategia elaborată

în vederea accesării cotaţiei la bursa de valori.

Şeful de misiune al echipei auditorilor externi, dl. Roger Smith, a primit o solicitare din

partea consiliului WhiteLab de a furniza câteva sfaturi cu privire la elaborarea acestei strategii. Dna.

Jessica Park, preşedinta consiliului, 1-a asigurat pe dl. Smith că aceste servicii de consultanţă vor fi

achitate de către companie separat de cele de audit extern. In plus, dl. Smith abia a aflat că, a primit

recent, drept moştenire de la o rudă îndepărtată, acţiuni WhiteLab reprezentând aproximativ 5% din

capitalul acesteia.

Cerinţe:

1. Explicaţi măsurile pe care trebuie să le adopte consiliul de administraţie WhiteLab pentru a se

conforma cu reglementările privind guvernanţa corporativă necesare accesării cotaţiei bursiere.

2. Indicaţi responsabilităţile pe care comitetul de audit WhiteLab trebuie să şi le asume vis-a-vis de

auditorii externi ai companiei.

Concluzii

În concluzie companiile româneşti cotate pe piaţa de capital au rezultat în urma procesului

de privatizare prin MEBO (Management Employee Buyout), privatizarea în masă sau

vânzarea de acţiuni, ceea ce a condus la formarea pe de o parte, a unui acţionariat extrem de

dispersat, lipsit de activism în administrarea firmelor, iar pe de altă parte, a determinat

apariţia unui grup puternic de acţionari majoritari sau semnificativi.

Aceste societăţi deschise au o formă de guvernare dominată de controlul managementului şi

al salariaţilor sau al acţionarilor majoritari, în defavoarea intereselor acţionarilor minoritari şi

ale celorlalţi parteneri sociali.

Contextul istorico-cultural al apariţiei şi dezvoltării conceptului de audit intern

Din punct de vedere etimologic, termenul audit are origini latine: audio, audire = a asculta, a

audia de unde provine cuvântul englezesc din zilele noastre: to audit, care este tradus prin a

controla, a verifica, inspecta, a supraveghea (Pop, A., 2005).

Auditul nu este o activitate care s-a dezvoltat recent, el fiind utilizat încă din timpul

domniei lui Carol cel Mare şi al lui Eduard I al Angliei. Până în secolul al XVl-lea auditul era

solicitat de către regi, împăraţi, biserici şi state, iar cei care desfăşurau activitatea de audit erau

clericii sau scriitorii legali. Principalele obiective ale activităţii de audit de la acea vreme erau

legate de pedepsirea persoanelor care deturnau fonduri.

Perioada Obiectivele auditului Modalitatea de verificare

Importanţa acordată

procedurilor de

control intern

Antică-

1500

Detectarea fraudelorDetaliat Nulă

1500-1850 Detectarea fraudelor Detaliat Nulă

1850-1905Cercetarea fraudelor şi a

erorilor

Detaliată; se introduce tehnica

sondajelorNulă

1905-1933

Exprimarea unei opinii cu

privire la validitatea situaţiilor

financiare;

Cercetarea fraudelor şi a

erorilor

Detaliată şi prin sondaj Redusă

1933-1940


privire la validitatea situaţiilor

financiare.

Prin sondaj În creştere

Cercetarea fraudelor şi a

erorilor

1940-1960


privire la sinceritatea şi

regularitatea situaţiilor

financiare

Prin sondaj Primordială

Ca şi poziţionare în timp a momentului apariţiei auditului intern, putem afirma că premisele

înfiinţării şi dezvoltării auditului intern au fost generate de perioada crizei economice din 1929 din

Statele Unite ale Americii.

Perioada 1925-1929 s-a caracterizat la început ca fiind foarte prosperă pentru economia

americană, pe piaţa bursieră fiind prezent un număr mare de investitori, care vedeau în acţiuni un

mijloc rapid de îmbogăţire; producţia industrială a cunoscut o creştere spectaculoasă, ceea ce a

încurajat încrederea investitorilor în piaţa de capital, care la momentul respectiv nu era reglementată

printr-o legislaţie bine pusă la punct. Cu toate că părea că naţiunea americană se îndreaptă spre o

continuă perioadă de prosperitate, au existat totuşi anumite cauze care au determinat declanşarea

crizei economice în octombrie 1929, economia americană intrând într-o perioadă de recesiune

economică.

În aceste condiţii de criză, organizaţiile au fost afectate din plin de recesiunea economică,

generând necesitatea luării unor măsuri în vederea diminuării implicaţiilor acestei crize asupra

funcţionării organizaţiilor. Astfel, toate conturile au fost cu multă migală analizate, în vederea găsirii

unor soluţii de reducere a taxelor şi a cheltuielilor. Marile întreprinderi americane utilizau deja

serviciile firmelor de audit extern, care se caracterizau ca fiind organisme independente şi având

menirea de a certifica conturile, bilanţurile şi situaţiile financiare, pentru ca în cele din urmă să se

găsească soluţiile cele mai viabile de reducere a cheltuielilor.

Însă pentru ca aceste firme de audit extern să-şi poată îndeplini scopurile, era necesară

efectuarea unei serii de lucrări premergătoare cum ar fi: inventare pe diferite categorii, analiza unor

conturi, diverse sondaje. Iar pentru a uşura activitatea firmelor de audit extern, aceste activităţi

pregătitoare au fost trasate ca şi sarcini personalului entităţii, cu condiţia existenţei unei anumite

supervizări de către firmele de audit extern, creându-se astfel premisele apariţiei „auditorilor

interni".

Erau numiţi „auditori" pentru că efectuau operaţiuni de audit, şi „intern"' pentru că făceau

parte din cadrul organizaţiilor. Ei luau parte la activităţile realizate de către auditorii externi, dar fără

a întocmi rapoartele şi concluziile.

Importanţa şi necesitatea auditului precum şi a auditorilor interni a crescut permanent

devenind la o scară tot mai mare acceptată, toate acestea constituindu-se în premise pentru

organizarea şi standardizarea activităţilor de audit intern.

Astfel, în anul 1941, în Orlando, Florida (SUA), s-au pus bazele creării Institutului

Auditorilor Interni (The Institute of Internal Auditors - IIA) care s-a bucurat de recunoaştere

internaţională, devenind treptat principalul organism care coordonează această funcţie

Plecând de la acest cadru general, astăzi se observă că noţiunea de audit a fost asociată unor

domenii diferite precum: auditul financiar, auditul mediului, auditul sistemelor informaţionale,

auditul calităţii, auditul capitalului intelectual etc.

Definiţia cel mai des invocată este însă cea prezentată în 1973 de Asociaţia Americană de

Contabilitate (American Accounting Association - AAA) în cadrul „Declaraţiei privind conceptele de

bază ale auditului". În această declaraţie se precizează că

„auditul este un proces sistematic de obţinere şi evaluare obiectivă a unor afirmaţii

privind acţiunile şi evenimentele cu caracter economic, în vederea aprecierii gradului de

conformitate a acestor afirmaţii cu criteriile prestabilite, precum şi de comunicare a rezultatelor

către utilizatorii interesaţi"[1].

[1] Declaraţia (A Statement of Basic Auditing Concepts) este analizată de V.M. O'Reilly M

B Hirsch, P.L. Defiliese, H.R. Jaenicke, în lucrarea Mongomery's auditing, Editura John Wiley &

Sons, New York, ediţia a noua, 1990.

Pornind de la teoria planificării strategice, conform căreia cea mai importantă dar şi dificilă

decizie în viaţa economică este aceea „de a stabili ce produs să oferim şi care sunt pieţele ţintă ce

constituie centrul de interes ", şi ţinând cont de analiza evoluţiei practicii de audit intern, putem

identifica trei forme sau variante de audit intern:

Auditul intern tradiţional;

Auditul intern modern;

Auditul intern neo modern.

Auditul intern tradiţional: se caracterizează prin faptul că acesta corespunde primei etape de

dezvoltare a auditului intern, atunci când auditul intern reprezenta un pic mai mult decât o funcţie de

control în mâna unui controlor. În această perioadă, auditul intern era o activitate modestă localizată

în interiorul unui departament de control, iar principala menire era aceea de a verifica dacă

operaţiunile contabile ale organizaţiei au fost realizate corect. Această formă de audit intern

corespunde acelei perioade în care auditorii interni nu erau pe deplin conştienţi asupra produsului pe

care îl ofereau, dar nici asupra pieţei spre care se îndreptau.

Auditul intern modern: principala caracteristică a etapei auditului intern modern este dată de

extinderea produselor acestei profesii precum şi tipologiei de clienţi spre care auditul intern îşi

îndrepta atenţia. Dacă auditul intern tradiţional oferea servicii financiare, de conformitate şi de

investigare a fraudei către controlori (iar mai recent către comitetul de audit), auditul intern

modern oferă evaluarea controlului intern şi servicii de consultanţă internă către

management.

Motto-ul auditului intern modern era: „servicii pentru management". Astăzi nu este însă

foarte clară piaţa sau segmentul de piaţă spre care se îndreaptă auditorii interni. Astfel, câţiva

auditori interni par să se adreseze către două segmente de piaţă: comitetul de audit şi

managementul de top, în timp ce alţii par să aibă o relaţie exclusivă cu comitetul de audit,

încurajând chiar pe acesta să-i extindă jurisdicţia şi puterea de acţiune a auditorilor interni.

Semnificativ este că cei mai mulţi auditori interni din această etapă definesc managementul ca fiind

managementul general sau managerul senior (managerul de la cel mai înalt nivel ierarhic din cadrul

organizaţiei).

Auditul intern neo-modern: auditul neo-modern este o versiune modificată a auditului intern

modem. Astfel, dacă auditorii interni tradiţionali, precum şi un număr semnificativ de auditori

interni moderni urmăreau obţinerea unei relaţii exclusive cu comitetul de audit, în schimb alţi

auditori prevesteau că obţinerea unei astfel de relaţii exclusive cu comitetul de audit, poate să

producă în cele din urmă o anumită dezamăgire.

Auditorii interni din sfera auditului intern neo-modern apreciau suportul comitetului de

audit, dar considerau că acest comitet nu le putea oferi întregul suport de care aveau nevoie pentru

a-şi putea desfăşura programul de audit. De asemenea, aceeaşi părere era împărtăşită şi în ceea ce

priveşte suportul managementului general. Doar suportul managementului general nu era considerat

suficient pentru asigurarea unui program de audit cu adevărat efectiv.

Tabloul creat de auditul intern neo-modern este al unuia în care activitatea este organizată în

jurul relaţiilor complexe şi subtile care trebuie să existe între două grupuri:

primul grup este format din consiliul de administraţie, auditorii externi, managementul

general şi managementul operaţional;

ar cel de-al doilea grup trebuie format din:

cel care solicită auditul;

cei auditaţi ca urmare a auditului solicitat;

departamentul auditat;

managerul departamentului auditat.

Principiul de bază al auditului intern neo-modern va fi acela de a comunica celor implicaţi

informaţiile pe care trebuie să le cunoască pentru ca deciziile lor să poate fi puse în aplicare. Prin

urmare, funcţia de audit intern în viziunea neo-modernă nu este văzută ca fiind în slujba mai multor

„stăpâni", ci la fel ca alte funcţii de la nivelul superior din cadrul organizaţiei, trebuie abordată din

perspectiva relaţiilor multilaterale care există între diferiţii pioni ai organizaţiei, ea servind, în cele

din urmă, organizaţiei şi interacționând cu diferite componente ale organizaţiei într-un asemenea

mod care să aducă un plus de valoare întregului.

Informatizarea, ca efect al dezvoltării şi utilizării efective a tehnologiei informaţiei în diferite

domenii, este o evoluţie normală şi o realitate ce a avut un impact deosebit şi asupra procesului de

audit. Nevoia de adaptare a auditului la noile realităţi tehnologice, ţinând cont atât de avantajele

generate de aceste tehnologii, cât şi de riscurile specifice mediilor informatizate, a avut un dublu

impact: tehnologia informaţiei devine atât subiect, cât şi obiect al auditării.

Astfel în 1968, Institutul American al Contabililor Autorizaţi (American Institute of Certified

Public Accountants - AICPA) a iniţiat dezvoltarea conceptului de auditul sistemelor de procesare

automată a datelor (Electronic Data Processing - EDP audit).

Auditorii financiari şi interni au realizat că sistemul informatic are un impact deosebit

asupra obiectivelor misiunilor lor. Verificarea integrităţii datelor devine o etapă premergătoare

îndeplinirii obiectivelor unei misiuni de audit financiar, deoarece auditorii trebuie să se asigure că

rezultatele din rapoartele finale sunt bazate pe date complete, precise şi fiabile.

În mod natural, managerii s-au aflat în faţa unei noi provocări: garantarea corectitudinii şi

securităţii operaţiunilor din sistemul informatic.

Utilizarea explozivă a sistemelor informatice a dus inevitabil la evaluarea „încrederii" datelor

prelucrate altfel decât cu tradiţionalele creion şi hârtie. O ipoteză tipică, mult folosită în realitatea

practică, este aceea că informaţiile generate de calculator sunt întotdeauna corecte.

În fapt, calculatorul nu face decât ceea ce este programat să facă şi, fără o testare prealabilă a

mecanismelor de control din mediul informatizat, nu se poate concluziona că informaţiile produse

de sistemul informatic sunt fiabile. Procedurile de control şi certificare a integrităţii datelor s-au

născut din această nevoie de încredere.

Astăzi, putem spune că necesitatea unui audit al sistemelor informaţionale au resimţit-o mai

întâi auditorii financiari şi interni, privind-o la început doar ca pe o extensie a unui audit financiar,

apoi managerii organizaţiilor, care, pentru a rezista în cursa concurenţiala creată, au recunoscut că

tehnologia informaţiei reprezintă o resursă-cheie şi prin urmare trebuie controlate şi auditate

procesele în care este utilizată şi, nu în ultimul rând, asociaţiile şi organizaţiile profesionale

internaţionale au recunoscut necesitatea controlului şi auditarea sistemelor informatice.

Acest val al schimbărilor a avut efect şi asupra denumirii activităţii, ea evoluând de la auditul

sistemelor de procesare automată a datelor (audit EDP) la auditul sistemelor informaţionale sau

auditul sistemelor informatice (audit SI).

Diferenţa conceptuală dintre aceşti termeni este dată, pe de o parte, de conţinutul şi nivelul la

care se desfăşoară activitatea de audit şi, pe de altă parte, de diferenţa conceptuală care există între

noţiunile de sistem informaţional şi sistem informatic.

Astfel, auditul sistemului informaţional este cel mai cuprinzător, acoperind prin

obiectivele sale toate nivelurile sistemului informaţional, de la evaluarea proiectării şi utilizării

sistemului informatic, până la evaluarea politicilor şi procedurilor de securitate de la nivelul

operaţional şi strategic.

Auditul sistemului informatic, respectiv auditul informatic, acoperă prin obiectivele sale doar

sistemul informatic. Concluzionând, auditul sistemului informaţional include auditul sistemului

informatic.

Auditul sistemelor informaţionale reprezintă o activitatea complexă de evaluare a unui

sistem informatic în scopul emiterii unei opinii calificate asupra gradului de conformitate a

sistemului cu standardele în domeniu şi, totodată, asupra capacităţii sistemului informatic de a

atinge obiectivele strategice ale unei organizaţii, utilizând eficient resursele informaţionale şi

asigurând integritatea datelor prelucrate şi stocate.

Auditul intern a cunoscut schimbări spectaculoase începând cu ultima parte a secolului 20.

Astfel, principalul obiectiv al auditului intern s-a modificat de la detectarea fraudei la asistarea şi

consilierea managementului în fundamentarea deciziilor de afaceri, începând cu evaluarea

riscurilor cu care se confruntă sau s-ar putea confrunta organizaţia, devenind o funcţie de

asistentă şi consiliere a managementului organizaţiei.

Concluzii parţiale:

Cu toate că funcţia de audit intern este o funcţie relativ nouă, totuşi ea a cunoscut o evoluţie

foarte rapidă şi dinamică;

Identificăm schimbări radicale în ceea ce priveşte definirea obiectivelor după care se ghidează

profesia de audit intern, astfel că principalul obiectiv al auditului intern s-a modificat de la

detectarea fraudei la asistarea şi consilierea managementului în fundamentarea deciziilor de

afaceri, începând cu evaluarea riscurilor cu care se confruntă sau s-ar putea confrunta

organizaţia, devenind o funcţie de asistenţă şi consiliere a managementului;

Profesia de audit intern reuşeşte să obţină legitimitatea necesară pentru a-şi câştiga locul bine

meritat printre celelalte profesii o dată cu emiterea Standardelor de Audit Intern, a Declaraţiei de

responsabilităţi, a Codului de etică şi ca urmare a stabilirii unui program de certificare

internaţională, care a reuşit într-un timp relativ scurt să obţină o apreciere la cote maxime;

Practica auditului intern a cunoscut, de asemenea, schimbări spectaculoase. Toate aceste

schimbări au fost ghidate de interesul suprem pentru profesionalism, promovându-se tot mai

mult ideea de audit intern - furnizor de valoare adăugată;

Proiecţia si evoluţia funcţiei de audit intern în contextul national al României

Necesitatea funcţiei de audit intern a început să se facă tot mai acut simţită pe măsură ce

contextul economic al României a început să se caracterizeze printr-un mediu concurenţial din ce în

ce mai dinamic. Astfel, tot mai multe entităţi au început să se confrunte cu o problemă generală de

găsire a unor soluţii viabile pentru îmbunătăţirea performanţelor obţinute.

Managerul îşi pune în mod constant întrebări referitor la eficienţa, eficacitatea controlului

asupra modului de funcţionare al organizaţiei, exercitat de el însuşi şi de cei cu care colaborează.

Managerul unei organizaţii, fie ea din sectorul privat sau public, are nevoie să obţină o

anumită siguranţă rezonabilă că tranzacţiile desfăşurate, deciziile adoptate sunt sub control şi că

astfel sunt îndeplinite obiectivele organizaţiei.

Putem afirma astfel că auditul intern se constituie într-un suport de nădejde al managerului

acesteia, în atingerea obiectivelor sale prin intermediul unei activităţi sistematice şi bine organizate

în vederea evaluării şi îmbunătăţirii eficacităţii şi eficienţei proceselor de management şi control.

Adoptarea funcţiei de audit intern îi permite managementului să aibă mai mult curaj în

elaborarea şi adoptarea de strategii, şi aceasta deoarece profesioniştii auditului intern se deplasează

pe teren pentru a obţine asigurări referitor la corecta aplicare a strategiei adoptate de conducere,

precum şi în ce măsură această strategie îşi dovedeşte eficacitatea.

O diferenţă semnificativă, care merită supusă atenţiei, ar fi faptul că în economia românească

traiectoria evoluţiei auditului intern a fost din acest punct de vedere inversă celei de pe plan

internaţional.

Dacă pe plan internaţional funcţia de audit intern s-a dezvoltat pornind de la marile

întreprinderi precum şi a celor multinaţionale, extinzându-se apoi la organizaţiile din sectorul public,

situaţia din România a fost însă altfel. Auditul intern a vizat în primul rând organismele şi instituţiile

din domeniul public, dovadă fiind şi legislaţia existentă până în acest moment, care reglementează

auditul intern public. Ulterior, dezvoltarea investiţiilor în economia românească, dezvoltarea

companiilor multinaţionale şi în cadrul economiei româneşti a determinat influenţe ale practicilor

internaţionale printre care şi recunoaşterea necesităţii şi eficienţei auditului intern.

Astfel, introducerea auditului intern în România este de dată relativ recentă, încadrându-se în

efortul general de perfecţionare şi îmbunătăţire a managementului, atât al organizaţiilor din sectorul

public, cât şi din sectorul privat, pe fondul armonizării cadrului normativ intern cu legislaţia

europeană, având în vedere şi eforturile făcute pe calea integrării în rândul ţărilor membre ale

Uniunii Europene.

În cele ce urmează, vom puncta principalele norme legale care au marcat evoluţia cadrului

normativ al auditului intern în România:

1. Ordonanţa nr. 119/31 august 1999 privind auditul intern şi controlul financiar preventiv,

publicată în Monitorul Oficial nr.430/31.08.1999, menţionează de la început, prin art.l, scopul

acesteia: „prezenta ordonanţă reglementează controlul intern, auditul intern şi controlul financiar

preventiv la instituţiile publice şi cu privire la utilizarea fondurilor publice şi administrarea

patrimoniului public". Această reglementare legală a legiferat auditul intern la instituţiile publice,

pornind de la premisa că instituţiilor publice prin specificul lor nu li se pot aplica reglementări

specifice entităţilor economice deoarece auditul intern la instituţiile publice are drept scop

„utilizarea fondurilor publice şi administrarea patrimoniului public", în timp ce entităţile

economice utilizează fondurile proprii.

2. Ordonanţa de urgenţă a Guvernului nr. 75/ 1 iunie 1999 privind activitatea de audit financiar,

publicată în Monitorul Oficial al României, Partea I, nr. 256/4 iunie 1999 a fost aprobată cu

modificări şi completări prin Legea nr. 133/2002, publicată în Monitorul Oficial al României, partea

I, nr. 230 din 5 aprilie 2002 şi a mai fost modificată şi completată prin Ordonanţa Guvernului nr.

67/2002, aprobată cu modificări şi completări prin Legea nr. 12/2003 publicată în Monitorul Oficial

al României, Partea I, nr. 38 din 23 ianuarie 2003.

3. Ordinul ministrului finanţelor nr. 1267/21 septembrie 2000, pentru aprobarea Normelor

minimale de audit intern (Cadrul general), publicat în Monitorul Oficial nr.480/2 octombrie

2000, al cărei obiectiv principal este de aprobare a Normelor minimale de audit intern aplicabil

entităţilor, constituind cadrul general pentru organizarea auditului intern, fiind obligatorii în

exercitarea acestuia.

Scopul normelor minimale de audit intern sunt:

Definirea principiilor de bază privind modul în care trebuie să se execute auditul intern;

Furnizarea cadrului de lucru pentru exercitarea şi promovarea activităţilor de audit intern;

Stabilirea bazelor pentru evaluarea exercitării auditului intern;

Supravegherea proceselor structurilor organizatorice şi a managementului organizatoric, precum

şi a operaţiunilor entităţii.

4. Ordonanţa nr.72/2001 privind auditul public intern şi controlul financiar preventiv pentru

modificarea şi completarea OG nr. 119/31 august 1999 privind auditul intern şi controlul

financiar preventiv, publicată în Monitorul Oficial nr.339/22 mai 2002.

5. Legea nr. 301/2002 privind aprobarea OG nr. 119/ 31 august 1999 privind auditul public intern

şi controlul financiar preventiv, publicată în Monitorul Oficial nr.339/ 22 mai 2002 completează

dispoziţiile prevăzute prin OG nr.119/1999 şi OG nr.72/2001, dintre care cele mai semnificative ar fi

faptul că se completează prevederile referitoare la atribuţiile compartimentului de audit public

intern şi se concretizează activităţile şi operaţiunile pe care compartimentul de audit public intern

este obligat să le auditeze.

6. Legea 672/19 decembrie 2002 privind auditul public intern publicată în Monitorul Oficial

nr.953/24 decembrie 2002

7. Legea nr. 84/18 martie 2003 de modificare şi completare a OG nr. 119/31 august 1999 privind

auditul public intern şi controlul financiar preventiv, publicată în Monitorul Oficial nr. 195/26

martie 2003

8. Ordinul ministrului finanţelor nr.38/2003 pentru aprobarea Normelor generale privind

exercitarea activităţii de audit public intern publicată în Monitorul Oficial nr. 130 bis/27

februarie 2003.

9. Ordinul ministrului finanţelor publice nr.252/2004 pentru aprobarea Codului privind conduita

etică a auditorului intern, publicat în Monitorul Oficial nr.l28/12 februarie 2004. Acest ordin

abrogă Ordinul ministrului finanţelor publice nr.880/2002, emis cu acelaşi scop.

10. Ordinul ministrului finanţelor publice nr. 423/ 15 martie 2004 pentru modificarea şi

completarea Normelor generale privind exercitarea activităţii de audit public intern aprobate prin

OMFP nr.38/2003, publicat în Monitorul Oficial nr.245/19 martie 2004.

11. Ordonanţa Guvernului României nr.37/2004 pentru modificarea şi completarea

reglementărilor privind auditul public intern, publicată în Monitorul Oficial nr.91/31 ianuarie

2004 şi Legea nr. 106/2004 pentru aprobarea acesteia, publicată în Monitorul Oficial nr.332/16

aprilie 2004.

12. Ordinul ministrului finanţelor publice nr. 1702/2005 pentru aprobarea Normelor privind

organizarea şi exercitarea activităţii de consiliere, publicat în Monitorul Oficial nr. l54/17

februarie 2006. Acest act normativ reglementează partea de activitate de consiliere din cadrul

activităţii de audit intern, fiind prevăzută structura normelor de consiliere .

Definirea conceptului de audit intern

Funcţia de audit intern a cunoscut transformări succesive până la stabilizarea definirii

conceptului. Aceste abordări progresive au scos în evidenţă o serie de elemente, care trebuie reţinute

pentru conturarea cadrului în care se înscrie auditul intern. Din analiza evoluţiei funcţiei auditului

intern până în prezent putem aprecia următoarele elemente de implicare în viaţa entităţii auditate:

consilierea acordată managerului;

ajutorul acordat salariaţilor fără a-i judeca;

independenţa şi obiectivitatea totală a auditorilor.

Consilierea acordată managerului

Auditul intern reprezintă o funcţie de asistenţă a managerului, pentru a-i permite să-şi

administreze mai bine activităţile. Componenta de asistenţă, de consiliere ataşată auditului intern îl

distinge categoric de orice acţiune de control sau inspecţie şi este unanim recunoscută ca având

tendinţe de evoluţie în continuare. În consecinţă se acceptă unanim că auditorul intern consiliază,

asistă, recomandă, dar nu decide, obligaţia lui fiind de a reprezenta un mijloc care să contribuie la

îmbunătăţirea controlului pe care fiecare manager îl are asupra activităţilor sale şi asupra celor în

coordonare, în vederea atingerii obiectivelor controlului intern.

Pentru realizarea acestor atribuţii, auditorul intern dispune de o serie de atuuri faţă de

management, şi anume:

standarde profesionale internaţionale;

buna practică recunoscută în domeniu, care îi dă autoritate;

tehnici şi instrumente care-i garantează eficacitatea;

independenţa de spirit, care îi asigură autonomia în conceperea de ipoteze şi formularea de

recomandări;

cercetarea şi gândirea lui sunt detaşate de constrângerile şi obligaţiile unei activităţi

permanente de gestionare zilnică a unui serviciu.

Ajutorul acordat salariaţilor fără a-i judeca

Într-o entitate în care auditul intern face parte din cultura organizaţiei, acesta este acceptat cu

interes, dar într-o entitate care se confruntă cu riscuri potenţiale importante, cu absenţa conformităţii

cu reglementările de bază, cu o eficacitate scăzută şi o fragilitate externă a acesteia, din cauza

deturnărilor de fonduri, dispariţiei activelor sau fraudei, este evident că managerul respectiv va fi

judecat, apreciat, considerat în funcţie de constatările auditorului intern.

Într-un caz standard, misiunea de audit intern poate să evidenţieze ineficacitate, redundantă

în sistem sau posibilităţi de îmbunătăţire a activităţilor ori acţiunilor, dar există mai multe motive

pentru care managementul nu trebuie să fie pus direct în discuţie:

Obiectivele auditului intern au în vedere un control asupra activităţilor care să conducă la

îmbunătăţirea performanţei existente, şi nu la judecarea acestuia, aşa cum specialistul în

fiscalitate ajută la o mai bună aplicare a regimului fiscal.

Realizările auditului intern nu trebuie puse în discuţie de cel auditat, iar dacă totuşi acest lucru

este făcut, să se efectueze într-o manieră pozitivă. Spre exemplu, este cazul unei insuficienţe,

unei nereguli importante descoperite de auditorul intern, care imediat o aduce la cunoştinţa

managerului, iar acesta o va soluţiona fără întârziere. În acest caz disfuncţia semnalată prin

raportul de audit intern a dus la o acţiune corectivă, care a avut ca rezultat şi aprecierea

auditorului ca un responsabil dinamic şi eficace.

Responsabilităţile auditorului intern trebuie să aibă în vedere faptul că, adesea, analiza cauzelor

unei nereguli scoate la iveală existenţa unor puncte slabe care îşi au originea în insuficienţe

asupra cărora responsabilul nu are un bun control. Cu această ocazie se observă că soluţiile

trebuie să vină pe cale ierarhică sau chiar de Ia nivelul organizaţiei, dacă sunt probleme de

dimensiune culturală, de formare profesională, de buget, de organizare, de natură informatică

ş.a.

Independenţa totală a auditorilor interni

Funcţia de audit intern nu trebuie să suporte influenţe şi presiuni care ar putea fi contrare

obiectivelor fixate. Standardele profesionale de audit intern definesc principiul independenţei sub

două aspecte:

independenţa compartimentului în cadrul organizaţiei, de aceea el trebuie să funcţioneze

subordonat celui mai înalt nivel ierarhic;

independenţa auditorilor interni, ceea ce le va asigura obiectivitatea în activitatea pe care o

vor desfăşura.

Respectarea standardului privind independenţa presupune unele reguli:

o auditul intern nu trebuie să aibă în subordine vreun serviciu operaţional;

o auditorul intern trebuie să poată avea acces în orice moment la persoanele de la toate

nivelurile ierarhice, la bunuri, la informaţii, la sistemele electronice de calcul;

o recomandările pe care le formulează trebuie să nu constituie în nici un caz măsuri obligatorii

pentru management.

În realitate, independenţa auditorului intern este supusă unei duble limitări:

o auditorul intern, ca orice responsabil din organizaţie, trebuie să se conformeze strategiei şi

politicii direcţiei generale;

o auditorul intern trebuie să fie independent în exercitarea funcţiei sale, dar respectând

standardele de audit intern.

Aceasta este o limitare deontologică, dar neînsoţită de sancţiune, şi de aceea auditorul

intern trebuie să-şi impună în mod conştient respectarea standardelor profesionale.

În anul 1999 IIA din SUA a emis o nouă definiţie a auditului intern, în urma unui studiu

efectuat cu 800 de studenţi, coordonat de auditorii din universităţile australiene, astfel:

Auditul intern este o activitate independentă şi obiectivă, care dă unei organizaţii o

asigurare în ceea ce priveşte gradul de control deţinut asupra operaţiunilor, o îndrumă

pentru a-i îmbunătăţi operaţiunile şi contribuie la adăugarea unui plus de valoare. Auditul

intern ajută această organizaţie să-şi atingă obiectivele, evaluând, printr-o abordare

sistematică şi metodică, procesele sale de management al riscurilor, de control şi de

conducere a întreprinderii şi făcând propuneri pentru a le consolida eficacitatea.

Trăsăturile auditului intern

Organizarea funcţiei de audit intern în cadrul entităţilor impune luarea în consideraţie a

următoarelor trăsături:

universalitatea;

independenţa;

periodicitatea.

1. Universalitatea funcţiei de audit intern trebuie înţeleasă în raport cu aria de

aplicabilitate, scopul, rolul şi profesionismul persoanelor implicate în realizarea acestei funcţii.

Auditul intern există şi funcţionează în toate organizaţiile, oricare ar fi domeniul de activitate

a acestora. Iniţial el s-a născut din practica întreprinderilor multinaţionale, apoi a fost transferat celor

naţionale, după care a fost asimilat în administraţie.

În România, auditul intern este impus instituţiilor publice şi structurilor asimilate acestora şi

recomandat entităţilor din sistemul privat.

Putem afirma că, acolo unde există control intern, există şi audit intern, deoarece „materia

primă" a auditului intern este controlul intern. Datorită faptului că auditul intern are scopul de a

evalua controlul intern, iar controlul intern este universal, putem afirma că şi auditul intern este

universal.

Standardele internaţionale precizează că auditorul intern nu trebuie să fie la fel de bun ca cel

care face zilnic aceeaşi lucrare.

Specialitatea auditorului intern este sistemul de control intern. Insă pentru a-şi putea exercita

specialitatea, acesta trebuie să aibă o bună cunoaştere a mediului pe care-l auditează, să înţeleagă

cadrul legislativ şi normativ şi să-şi însuşească cultura organizaţiei.

2. Independenţa auditorului intern semnifică faptul că acesta trebuie să aibă o gândire

neîncorsetată, fără idei preconcepute, ca de exemplu „totul merge foarte bine sau totul merge foarte

prost".

Auditul intern are trei principale preocupări:

raportează managementului la cel mai înalt nivel, pentru că acesta este cel care poate lua

decizii, respectiv directorului executivului sau consiliului de administraţie;

evaluează şi supervizează sistemul de control intern;

oferă consiliere pentru îmbunătăţirea managementului pe baza analizei riscurilor asociate

activităţilor auditabile.

3. Periodicitatea auditului intern este o funcţie stabilă în cadrul entităţii şi este şi o funcţie

ciclică pentru cei auditaţi. Frecvenţa auditurilor va fi determinată de activitatea de evaluare a

riscurilor. Astfel auditorii interni pot audita o entitate 8-12 săptămâni şi apoi să revină după o

perioadă de 2-3 ani, în funcţie de evoluţia riscurilor.

Obiectivele şi sfera de activitate a auditului intern :

asigurarea obiectivă şi consilierea, destinate să îmbunătăţească sistemele informaţionale

şi activităţile entităţilor;

sprijinirea îndeplinirii obiectivelor entităţii printr-o abordare sistematică şi metodică, prin

care se evaluează şi se îmbunătăţeşte eficacitatea sistemului de conducere bazat pe

gestiunea riscului, a controlului şi a proceselor administrării.

Sfera auditului intern cuprinde:

activităţile financiare sau cu implicaţii financiare desfăşurate de entitate din

momentul constituirii angajamentelor până Ia utilizarea fondurilor de către beneficiarii

finali, inclusiv a fondurilor provenite din asistenţă externă;

constituirea veniturilor, respectiv autorizarea şi stabilirea titlurilor de creanţă, precum

şi a facilităţilor acordate la încasarea acestora;

administrarea patrimoniului, precum şi vânzarea, gajarea, concesionarea sau

închirierea de bunuri;

sistemele de management financiar şi control, inclusiv contabilitatea şi sistemele

informatice aferente.

Tipurile de audit intern:

În ţara noastră legea prevede următoarele tipuri de audit: audit de sistem, audit de

performanţă, audit de regularitate, astfel:

a) auditul de sistem, care reprezintă o evaluare de profunzime a sistemelor de conducere şi control

intern, cu scopul de a stabili dacă acestea funcţionează economic, eficace şi eficient, pentru

identificarea deficienţelor şi formularea de recomandări pentru corectarea acestora;

b) auditul performanţei, care examinează dacă criteriile stabilite pentru implementarea

obiectivelor şi sarcinilor entităţii sunt corecte pentru evaluarea rezultatelor şi apreciază dacă

rezultatele sunt conforme cu obiectivele;

c) auditul de regularitate, care reprezintă examinarea acţiunilor asupra efectelor financiare pe

seama fondurilor publice sau a patrimoniului public, sub aspectul respectării ansamblului

principiilor, regulilor procedurale şi metodologice care le sunt aplicabile.

Auditorul intern desfăşoară audituri ad-hoc, respectiv misiuni de audit public intern cu

caracter excepţional, necuprinse în planul anual de audit public intern. În realizarea misiunilor de

audit, auditorii interni îşi desfăşoară activitatea pe bază de ordin de serviciu, emis de şeful

compartimentului de audit public intern, care prevede în mod explicit scopul, obiectivele, tipul şi

durata auditului public intern, precum şi nominalizarea echipei de auditare.

Misiunile de audit public intern pot avea ca obiective principale:

asigurarea conformităţii procedurilor şi a operaţiunilor cu normele, regulamentele şi legile

- auditul de regularitate;

evaluarea de profunzime a sistemelor de conducere şi de control intern în scopul înlăturării

eventualelor nereguli şi deficienţe din cadrul entităţilor publice – auditul de sistem;

examinarea impactului efectiv al atingerii obiectivelor şi calităţii dorite stabilite de entitate

în condiţiile utilizării criteriilor de economicitate, eficienţă şi eficacitate – auditul

performanţei.

Personalul de conducere şi de execuţie din structura auditată are obligaţia să ofere

documentele şi informaţiile solicitate, în termenele stabilite, precum şi tot sprijinul necesar

desfăşurării în bune condiţii a auditului public intern.

Auditorii interni pot solicita date, informaţii, precum şi copii ale documentelor, certificate

pentru conformitate de la persoanele fizice şi juridice aflate în legătură cu structura auditată, iar

acestea au obligaţia de a le pune Ia dispoziţie, Ia data solicitată.

Totodată, auditorii interni pot efectua la aceste persoane fizice şi juridice orice fel de

reverificări financiare şi contabile legate de activităţile de control intern la care acestea au fost

supuse, care vor fi utilizate pentru constatarea legalităţii şi a regularităţii activităţii respective.

Ori de câte ori în efectuarea auditului intern sunt necesare cunoştinţe de strictă specialitate,

conducătorul compartimentului de audit public intern poate decide asupra oportunităţii contractării

de servicii de expertiză sau consultanţă din afara entităţii publice.

CAPITOLUL II. METODOLOGIA AUDITULUI INTERN

Orice proces generic de audit, indiferent de obiectivul său, se va desfăşura şi va urmări

procedurile generale de audit:

Obţinerea unei înţelegeri a ariei de auditat;

Evaluarea riscurilor şi realizarea planului de audit;

Detalierea planului de audit;

Verificarea preliminară a ariei de audit;

Realizarea testelor de conformitate (teste de control);

Realizarea testelor de fond;

Raportarea testelor de fond;

Comunicarea rezultatelor;

Urmărirea recomandărilor.

Standardele Internaţionale pentru Practica Profesională care coordonează şi ghidează

activitatea de audit intern, impun reguli care sunt necesare a fi respectate în metoda auditului intern.

Aceste standarde nu definesc, în mod expres, o anumită metodologie, dar impun existenţa

acestei metodologii. Standardele evită să facă detalieri mai amănunţite ale metodologiei de audit

intern, din dorinţa de a nu intra în contradicţie cu mediul şi cultura specifice fiecărei organizaţii.

Abordarea metodică a procesului de audit se poate realiza din perspectiva a trei dimensiuni:

Tipul misiunii de audit: audit tradiţional (de conformitate), audit operaţional şi misiuni de

consultanţă. Primele două categorii de audituri se încadrează în categoria misiunilor de audit

de asigurare.

Gradul de externalizare a funcţiei de audit intern. Externalizarea auditului intern o

întâlnim îndeosebi în cadrul societăţilor comerciale sau entităţilor private;

Caracteristicile organizaţionale: sectorul de activitate, ţara unde activează organizaţia,

mediul legal, mărimea organizaţiei, cultura organizaţională, structura funcţiei de audit intern.

I. Planificarea auditului intern

Planificarea auditului intern reprezintă primul şi poate cel mai important pas, pe care

auditorul intern trebuie să-l realizeze pentru a-şi asigura succesul în desfăşurarea activităţii sale.

Activitatea de audit al sistemelor informaţionale reprezintă o activitate planificată, care

trebuie să se desfăşoare după un anumit plan, rezultat în urma unui proces de analiza a riscurilor

asociate activităţilor din cadrul organizaţiei, astfel conceput, încât finalitatea să fie concretizată în

valoarea adăugată pentru entitatea auditată.

Un audit este eficient în măsura în care:

o Sunt definite obiectivele auditului şi sunt aprobate de consiliul de administraţie ale entităţii;

o Se desfăşoară după un plan de audit acceptat de toţi cei interesaţi;

o Ia în considerare utilizarea adecvată a resurselor materiale, umane şi de timp;

o Este realizat de auditori competenţi;

o Este condus în concordanţă cu un set de standarde şi proceduri;

o Constatările auditului sunt valide şi semnificative în raport cu obiectivele acestuia şi riscurile

identificate în etapa preliminară de planificare a auditului;

o Satisface nevoile clientului;

o Furnizează recomandări pentru îmbunătăţirea practicilor utilizate în realizarea activităţilor

organizaţiei.

Principalele caracteristici ale activităţii de planificare sunt:

a) Raţionalitatea, prin intermediul acestui proces de planificare al auditului intern şi rezultatele

acestuia, auditorul intern are posibilitatea evaluării logice a îndeplinirii sarcinilor, precum şi să-ţi

stabilească obiectivele de audit cât mai clare;

b) Anticiparea, prin planificare auditul intern permite dimensionarea sarcinilor în timp, astfel

priorităţile să fie bine evidenţiate;

c) Coordonarea, planificarea auditului intern permite coordonarea politicilor de audit, cu

auditurile realizate efectiv.

Din punct de vedere al criteriului timp, planificarea auditului intern se clasifică astfel:

Planificare strategică pe termen mediu şi lung, care presupune realizarea unui plan pe o

perioadă de 3-5 ani, ţinând cont de faptul că toate activităţile organizaţiei trebuie auditate cel

puţin o dată, în decursul acestei perioade;

Planificarea anuală, constă în planificarea misiunilor de audit intern ce se vor realiza pe

parcursul anului viitor, ţinând cont de resursele de timp, materiale şi umane disponibile;

Misiuni de audit ad-hoc – când există semnale că riscurile asociate unor activităţi

informaţionale au depăşit un nivel rezonabil. Se recomandă că aceste misiuni de audit să fie

folosite doar în situaţii deosebite, pentru că altfel, este influenţată negativ independenţa auditului

intern în procesul de planificare.

Una din componentele majore ale procesului de planificare al auditului sistemelor

informaţionale este evaluarea riscurilor. Factorii de risc diferă de la o organizaţie la alta, iar auditorii

trebuie să ţină cont de cultura organizaţională specifică pentru a determina riscurile potenţiale,

precum şi expunerea la risc. Elementele semnificative ale procesului de planificare al activităţii de

audit intern :

Solicitarea managementului de a co-semna planul de audit. În acest mod se încurajează

managementul pentru a înţelege raţiunea de a fi a auditului intern, precum şi alocarea timpului

de audit.

Concentrarea pe obiectivele managementului. Obiectivele auditorului intern trebuie să se

potrivească în contextul general cu obiectivele de management.

Explorarea posibilităţii de a facilita constituirea unor ateliere de lucru în timpul procesului

de planificare al auditului, pentru a colecta informaţii şi pentru a identifica riscurile.

Înţelegerea procesului de evaluare şi analiză a riscurilor la nivel macro, pentru a înţelege

necesitatea realizării activităţilor auditabile incluse în planul de audit;

Evitarea consumării întregului buget de audit pe activitatea de planificare a auditului

intern. Cele mai multe departamente de audit intern consumă între 10-30% din timpul total,

pentru procesul de planificare, care, de cele mai multe ori, se finalizează cu programele de audit.

II. Programul de audit

Programul de audit are la bază planul de audit, stabilit în etapa de planificare, şi el va servi,

pe de o parte, ca un set de instrucţiuni adresat asistenţilor implicaţi în cadrul misiunii, iar pe de altă

parte, ca un mijloc de control şi evidenţă a desfăşurării activităţii.

Programul de audit identifică scopul, obiectivele şi procedurile de audit care se vor desfăşura

pentru a se obţine probe suficiente şi relevante, necesare pentru a susţine concluziile şi opinia

auditorului.

Tehnicile şi metodele folosite de auditorul sistemelor informatice în evaluarea şi testarea

controalelor sistemelor informatice sunt:

Utilizarea software-ului generalizat de audit pentru analiza fişierelor de date;

Utilizarea software-ului specializat pentru a determina modul de configurare a sistemului de

operare, (sau pentru a detecta deficienţe în stabilirea unor parametri);

Tehnica organigramelor pentru documentarea fluxului de activităţi din cadrul organizaţiei,

cât şi a fluxurilor din cadrul diferitelor aplicaţii informatice;

Utilizarea rapoartelor de audit din misiunile anterioare;

Verificarea documentaţiei;

Observarea.

Eşantionarea

În general, din consideraţii de timp şi de cost, auditorul nu examinează totalitatea

informaţiilor la care are acces pentru a-ţi putea colecta elementele probate cu privire la sistemul de

control intern, ci aplică o metodă tradiţională de selectare a datelor numită eşantionare. În audit,

eşantionarea poate folosi atât o abordare statistică, cât şi una nonstatistică.

Eşantionarea statistică are în vedere, întotdeauna, întreaga populaţie şi este considerată o bază

mai fundamentată pentru exercitarea raţionamentului profesional al auditorului, obiectivul

metodei fiind determinarea mărimii eşantionului şi a criteriului de selectare.

Eşantionarea prin metode nestatistice implică o doză de subiectivism, bazându-se pe o

selecţie făcută în funcţie de hazard - auditorul folosindu-şi raţionamentul profesional atât în

determinarea mărimii eşantionului şi a criteriului de selecţie, cât şi în interpretarea rezultatelor.

Ambele metodele implică o serie de incertitudini concretizate într-un risc de eşantionare.

Întotdeauna, auditorul este supus riscului de a ajunge la concluzii diferite de cele la care s-ar fi ajuns

printr-un control exhaustiv.

În cadrul misiunii sale, auditorul poate aplica eşantionarea asupra:

1. Testelor de control, pentru a se verifica rata de apariţie a întreruperii funcţionării unui control.

Tehnica de eşantionare este cunoscută sub numele de eşantionarea atributelor (attribute

sampling).

Exemple de teste de control, unde eşantionarea este necesară, sunt: controlul drepturilor de

acces ale utilizatorilor în sistem, verificarea existenţei aprobării/autorizării cererii de creare a unui

cont de utilizator la nivelul unei aplicaţii/sistem de operare, controlul procedurilor de modificare a

programelor, analiza fişierelor de tip jurnal;

2. Testelor de fond, când auditorul urmăreşte verificarea unei anumite valori din situaţiile

financiare. Tehnica de eşantionare este cunoscută sub numele de eşantionarea variabilelor

(variable sampling), iar un exemplu de test de fond este verificarea calculelor soldurilor finale

pentru un eşantion de conturi.

Utilizarea eşantioanelor în aplicarea testelor de audit implică, de regulă, următoarele etape:

o determinarea obiectivelor testului ce va fi aplicat;

o definirea populaţiei din care se va extrage eşantionul;

o determinarea metodei de eşantionare;

o calcularea mărimii eşantionului;

o selectarea eşantionului;

o evaluarea rezultatelor.

1. Determinarea obiectivului

Eficacitatea aplicării unei tehnici de eşantionare este determinată de definirea precisă a

obiectivelor sale, auditorul subliniind ce urmăreşte să demonstreze, să probeze (spre exemplu, un

astfel de obiectiv poate viza validitatea conturilor clienţilor organizaţiei auditate).

2. Determinarea populaţiei

Ansamblul datelor - în fapt, populaţia - asupra căruia auditorul doreşte să ajungă la o concluzie

şi din care urmează să preleveze eşantionul corespunzător trebuie să fie în concordanţă cu

obiectivul stabilit în etapa anterioară.

4. Calculul mărimii eşantionului

Coeficientul de încredere, definit ca o expresie procentuală a probabilităţii că eşantionul ales

este reprezentativ pentru populaţie. Un procent de 95%, spre exemplu, va avea implicaţii

asupra mărimii eşantionului definindu-1 ca un eşantion mare;

nivelul de risc este complementul coeficientului de încredere, fiind exprimat ca:

Nivelul de risc = 1- coeficientul de încredere;

Spre exemplu, dacă coeficientul de încredere este 95%, nivelul de risc este 5%(100%-95%);

precizia este fixată de auditorul SI, ea reprezintă diferenţa acceptabilă de mărime dintre eşantion

şi populaţia actuală. Pentru eşantionarea pe bază de atribute, această mărime este stabilită ca un

procent. Pentru eşantionarea pe bază de variabile, această mărime este stabilită ca o valoare;

rata de eroare aşteptată reprezintă o estimare în procente a erorilor care ar putea exista;

media eşantionului este suma valorică a elementelor eşantionului împărţită la numărul de

elemente ale acestuia;

deviaţia standard a eşantionului calculează variaţia valorii eşantionului de la media

eşantionului. Aceasta măsoară dispersia valorilor eşantionului;

eroarea tolerabilă – este numărul maxim de erori dintr-o populaţie pe care auditorul SI este

dispus să le accepte. În aplicarea testelor de control, acest parametru reprezintă rata maximă de

deviaţie de la procedurile de control prescrise pe care auditorul SI o va accepta;

5. Selectarea eşantionului

Principiul care guvernează procesul de selectare a elementelor dintr-o populaţie, în vederea

formării unui eşantion, este acela că fiecare individ trebuie să aibă o şansă egală de a fi ales.

Statistica recunoaşte diferite metode de selecţie:

selecţie aleatorie;

selecţie sistemică - ce urmăreşte tehnica: se stabileşte un punct de pornire, de la care,

aplicând un pas fix se alege fiecare element;

selecţie în bloc - alegerea spre exemplu dintr-un total de 100 de elemente pe cele

corespunzătoare poziţiilor 55-70;

selecţie pe bază de hazard „aşa-zisa alegere cu ochii închişi";

Odată stabilit eşantionul, auditorul va proceda la testarea rezultatelor acestuia, în

conformitate cu obiectivele de audit stabilite.

6. Evaluarea rezultatelor

Erorile constatate asupra eşantionului se vor extrapola la populaţia din care a rezultat,

metoda de extrapolare fiind întotdeauna compatibilă cu metoda de prelevare a eşantionului.

III. Probele de audit

Probele pentru audit reprezintă ansamblul documentelor, fişierelor şi observaţiilor obţinute în

cursul misiunii de audit şi utilizate pentru elaborarea concluziilor şi formularea opiniei auditorului.

Legislaţia în vigoare, inclusiv Standardele internaţionale de audit SI nu oferă un model

standardizat al raportului de audit, al chestionarelor utilizate, al dosarului de audit, al foilor de lucru,

ci pune un accent deosebit pe raţionamentul profesional al auditorului. În acest sens, orice afirmaţie

a acestuia trebuie să fie justificată şi documentată.

Fiabilitatea elementelor probante colectate este apreciată în funcţie de originea lor internă

sau externă, de natura lor scrisă sau orală şi de circumstanţele în care s-au obţinut, astfel:

probele de audit din surse externe (spre exemplu, confirmarea de la o terţă parte) sunt

mai credibile decât cele obţinute din cadrul organizaţiei;

probele de audit obţinute din cadrul organizaţiei sunt mai credibile atunci când

controlul intern este de încredere;

probele de audit obţinute direct de auditor sunt mai credibile decât cele obţinute din

cadrul organizaţiei;

probele de audit sub formă de documente scrise sunt mai credibile decât declaraţiile

orale.

Determinante pentru evaluarea relevanţei probelor sunt şi:

independenţa celui care furnizează probele - probele obţinute din exteriorul organizaţiei

sunt mai credibile decât cele interne;

calificarea indivizilor care furnizează probele/informaţiile;

obiectivitatea probelor;

„vârsta" probelor.

Probele pe care auditorul SI le culege într-o misiune sunt variate, iar tehnicile folosite în

procesul de culegere a probelor sunt:

verificarea structurilor organizatorice ale sistemului informatic. O structură organizatorică

trebuie să asigure o separare a funcţiilor incompatibile;

verificarea politicilor interne şi procedurilor de lucru;

verificarea standardelor ce vizează domeniul IT;

verificarea documentaţiei sistemului informatic. În mod practic, auditorii SI vor analiza:

documentaţia de dezvoltare a sistemului informatic (ex: studii de fezabilitate);

specificaţiile de proiectare şi cerinţele funcţionale;

documentele operaţionale;

fişierele de tip jurnal şi fişiere de tip istoric a modificării programelor sursă;

manualele utilizatorilor;

manualele de operare;

documentele relative la securitate (planuri de securitate, evaluarea riscurilor);

rapoartele de asigurare a calităţii;

intervievarea personalului din departamentul IT;

observarea performanţei sistemului şi a utilizatorilor săi.

Testele de audit

Pe parcursul desfăşurării misiunii de audit, pentru a culege probe cât mai relevante şi

suficiente, auditorul SI desfăşoară două categorii de teste:

teste de conformitate (teste de control), pentru a verifica conformitatea controlului intern cu

politicile, normele interne stabilite de managementul organizaţiei;

teste de fond pentru a verifica integritatea tranzacţiilor individuale, a datelor şi a altor

informaţii din sistem.

Relaţia dintre testele de conformitate şi testele de fond

Verificarea sistemului pentru identificarea controalelor

Aplicarea testelor de conformitate pentru a determina daca controalele sunt functionale

Evaluarea controalelor pentru a determina natura, scopul si intinderea testelor de fond

Utilizarea a doua tipuri de teste de fond pentru a evalua validitatea datelor

Testarea balantelor si a tranzactiilor

Proceduri analitice

Detectarea fraudei

Într-un cadru general, frauda poate fi definită ca un act de rea-credinţă săvârşit de o

persoană, de obicei pentru a realiza un profit material de pe urma afectării drepturilor altuia, adică o

acţiune comisă cu intenţia de a înşela.

Normele internaţionale de audit menţionează că termenul de „fraudă se referă la o acţiune cu

caracter intenţionat întreprinsă de una sau mai multe persoane din rândul conducerii, al salariaţilor

sau terţilor, acţiune ce are ca efect o interpretare eronată a situaţiilor financiare".

Încă din etapa de planificare, auditorul trebuie să evalueze riscul apariţiei unor fraude şi

erori, pentru că, în general, frauda implică acţiuni mascate, ceea ce determină ca unele erori

semnificative să nu fie descoperite, iar auditorul să formuleze o opinie eronată.

Responsabilitatea pentru prevenirea şi detectarea fraudelor aparţine conducerii, auditorul SI

putând juca un rol pozitiv în prevenirea acestora, dar nu el are responsabilitatea de a detecta şi

demonstra frauda.

Standardul de audit ISACA „S9. Irregularities and Illegal Acts" recomandă auditorilor să

analizeze riscul apariţiei unor fraude şi/sau erori încă din etapa de planificare şi apoi, pe parcursul

desfăşurării procesului de audit, pentru a reduce riscul de audit la un nivel acceptabil. Mai mult,

aceştia trebuie să-şi menţină o atitudine profesională de scepticism pe durata misiunii, având în

vedere posibilitatea existenţei unor acte ilegale.

Tehnici de audit asistate de calculator

Aceste instrumente şi tehnici moderne pot asista auditorul în orice etapă a misiunii sale, fiind

utilizate pentru:

testarea măsurilor de securitate dintr-un sistem;

analiza şi controlul aplicaţiilor informatice existente în sistem;

dentificarea riscurilor unei organizaţii şi evaluarea acestora;

evaluarea controlului intern;

verificarea integrităţii fişierelor;

analiza informaţiilor clientului auditat prin interogări complexe ale bazelor de date, extrageri,

stratificări, totalizări.

Software generalizat de audit (Generalized Audit Software: GAS ) este reprezentat de

pachete de programe ce au capacitatea de a citi şi extrage direct datele din platforme diferite. Deşi

caracteristicile acestor aplicaţii sunt nuanţate, ele permit realizarea următoarelor funcţionalităţi:

selectarea eşantioanelor;

manipularea, sortarea datelor conform cerinţelor exprimate de auditor; astfel de operaţii

pot scoate în evidenţă, spre exemplu, plăţile duble, printr-o sortare a datelor după

numărul facturii şi suma plătită;

testarea calculelor matematice;

totalizări, stratificări;

compararea datelor din fişiere diferite;

listarea rapoartelor sau scrisorilor într-un format specificat de auditor;

detectarea tranzacţiilor lipsă sau duplicate.

Tehnica „testului de date" necesită pregătirea unui eşantion de „date-test" pentru a fi

procesate de versiunea aplicaţiei curente, sub controlul auditorului. Datele şi, implicit, tranzacţiile-

test trebuie proiectate astfel încât să se verifice cât mai multe controale posibile (încorporate în

aplicaţie), ceea ce impune utilizarea atât a unor date invalide, pentru testarea rutinelor de semnalare

a erorilor, cât şi a unor date valide pentru testarea proceselor normale.

După procesarea eşantionului de date, auditorul va urmări şi aprecia mesajele afişate de

aplicaţie, va analiza controalele interne încorporate în sistem, va compara rezultatele procesării cu

cele calculate manual. Proiectarea unui bun test de date este obiectivul major al acestei tehnici.

Auditorii pot utiliza astfel de teste pentru verificarea aplicaţiilor contabile şi evaluarea

controalelor aferente sistemelor precum:

controlul accesului la date şi alte controale specifice (exemplu: parole on-line);

controlul validării datelor de intrare, controlul totalurilor (restricţii de integritate

încorporate);

erori logice în procesarea tranzacţiilor;

acurateţea calculelor matematice.

Testul integrat (Integrated Test Facility: ITF)

Utilizarea unui ITF permite auditorului să introducă date fictive, fără ştiinţa utilizatorilor,

pentru a verifica eficienţa sistemului.

Avantajul pe care o oferă testul presupune crearea unor fişiere principale-fictive în cadrul

sistemului informatic; la intervale aleatorii de timp, auditorul introduce „datele de testat" care vor fi

procesate de aplicaţie, dar care vor actualiza fişierele fictive, astfel încât procesarea datelor curente

ale firmei nu va fi afectată (spre exemplu, introduce un angajat fictiv, iar toate operaţiile din

aplicaţie se execută asupra acestuia, evaluându-se acurateţea şi integritatea prelucrărilor din

aplicaţie).

Inteligenţa artificială şi sistemele expert

Cea mai mare provocare o constituie pentru activitatea de audit - ca şi pentru orice domeniu

managerial - luarea deciziilor de către expertul uman. Judecata auditorului include raţionamente,

referiri la cazuri trecute sau la cazuri ipotetice, creativitate şi, nu în ultimul rând, intuiţie.

Sistemele expert, definite ca „produse program, care emulează comportamentul experţilor

umani, în rezolvarea unor probleme din lumea reală asociate unui domeniu particular al cunoaşterii",

se remarcă astfel ca fiind instrumente extrem de utile auditorului în cadrul misiunii sale: planificarea

auditului, evaluarea controlului intern (în scopul de a estima gradul de siguranţă pe care îl poate

acorda controlului intern efectuat de organizaţia respectivă), analiza riscurilor. Un sistem expert,

prin intermediul motorului de inferenţă, va oferi sugestii cu privire la procedurile specifice care pot

fi întreprinse.

Avantajele generale oferite de aceste instrumente sunt:

productivitate crescută prin reducerea ciclului de audit; concentrarea timpului pe funcţii

critice; operaţii simplificate datorită automatizării;

îmbunătăţirea calităţii auditului, datorită auditării 100% a datelor şi standardizării metodelor

de audit;

creşterea valorii clientului prin recuperarea veniturilor pierdute. Analiza în detaliu a tuturor

datelor poate descoperi multe pierderi, anomalii;

reducerea timpului de realizare a misiunii de audit, deoarece se accelerează identificarea

excepţiilor, se simplifică pregătirea foilor de lucru, rapoartele se generează automat;

asigură avantaje imediate clientului auditat prin reducerea riscului de zi cu zi; detectarea

iregularităţilor şi fraudelor; analiza datelor ce pot constitui prognoze;

asigurarea unei independenţe mai mari faţă de mediul auditat;

reducerea cheltuielilor în timp.

V. Raportul de audit

Raportul de audit reprezintă instrumentul prin care se comunică obiectivele auditării,

normele/standardele aplicate, constatările şi concluziile misiunii. Această ultimă etapă de raportare

are ca scop punerea în evidenţă a slăbiciunilor controalelor analizate de auditorul SI şi aducerea lor

la cunoştinţă, prin intermediul raportului de audit, care va conţine sinteza principalelor constatări şi

recomandări.

hiar dacă normele legale nu impun utilizarea unui raport standardizat, în practică, se

regăseşte o tendinţă spre a formaliza conţinutul acestui raport tocmai pentru a asigura o bună

înţelegere şi o identificare uşoară a elementelor semnificative din partea utilizatorului final.

n acest sens, raportul de audit trebuie să aibă o anumită structură şi un conţinut ce vor

include elementele de bază:

o partea introductivă a raportului, va include scopul auditării, obiectivele urmărite, perioada

acoperită, natura şi întinderea procedurilor de audit;

o în cuprinsul său, se regăsesc:

opinia şi concluziile misiunii;

orice rezervă pe care auditorul o are asupra sistemului auditat;

detalii asupra unor constatări semnificative şi recomandările necesare, limitările

auditului:

un paragraf prin care se precizează că din cauza limitelor inerente ale controalelor

interne, frauda sau erorile pot să apară sau să rămână nedectate;

o un paragraf prin care se precizează că auditul nu poate detecta toate punctele slabe din cadrul

procedurilor de control atât timp cât nu este o activitate continuă, iar testarea procedurilor de

control de către auditor se realizează prin sondaj;

o standardele, ghidurile şi normele asociate domeniului auditat ce au constituit referenţialul de

raportare pentru auditor;

o în partea finală a raportului, se înscriu data raportului, adresa şi semnătura auditorului.

ntre recomandările standardelor internaţionale de audit SI, menţionăm de asemenea că

raportul de audit trebuie semnat şi realizat în termenul stabilit prin contractul de audit sau scrisoarea

de angajament.

Etapele misiunii de audit intern conform metodologiei elaborate de MFP.

PLANUL MISIUNII AUDIT

1. Prezentarea instituţiei

- denumirea

- sediul

- subordonarea

- actul de înfiinţare

- sursele de finanţare legale

- bugetul din care este finanţată

- profilul şi structura activităţii

- conform actului de înfiinţare

- conform situaţiei de pe teren

2. Informaţii financiar-contabile

- existenţa şi structura BVC ;

- structura conturilor folosite conform bilanţului contabil şi corelarea lor cu a BVC ;

- metode de evidenţă contabilă şi tehnic-operativă folosite în urmărirea patrimoniului ;

- existenţa graficului de organizare a circuitului documentelor şi stabilirea responsabilităţii pe

persoane ;

- modul de organizare a controlului financiar-preventiv ;

- modul de organizare a controlului financiar de gestiune ;

DOSARUL PERMANENT (P)

- model orientativ -

Secţiuni

P1 – Date generale

P2 – Verificarea documentelor privind controlul intern :

o financiar preventiv

o financiar de gestiune

P3 – Controlul conturilor anuale (trimestriale)

P4 – Verificarea execuţiei bugetare şi a legalităţii plăţilor

P5 – Verificarea urmăririi debitorilor din pagube materiale, cheltuieli neeconomicoase etc.

P6 – Verificarea obligaţiilor fiscale

P7 – Verificarea imobilizărilor în debitori, stocuri, furnizori din lucrări de investiţii

P8 – Verificări şi analize permanente :

o încadrarea în BVC;

o gestionarea patrimoniului;

o analiza surselor de finanţare;

o analiza debitorilor;

o analiza creditorilor;

o analiza furnizorilor;

o analiza cheltuielilor;

Tehnici instrumente de audit intern

Tehnicile de audit intern sunt utilizate de către auditori în vederea atingerii obiectivelor

stabilite. Tehnicile de audit intern sunt utilizate atat in etapa de verificare preliminara cat si in

munca de teren realizata.

In urma utilizarii tehnicilor de audit intern auditorii pot trage concluziile, pot formula

constatarile si pot face recomandarile in cadrul misiunii de audit.

Tehnici de audit intern.

o Chestionarele;

o Interviuri;

o Reconcilieri

o Confirmari, verificari, teste de control.

Chestionarele : sunt utilizate atat in verificarea preliminara cat si pe parcursul misiunii de

audit intern si contin intrebari care ajuta la desfasurarea discutiilor, fiind de fapt un fel de “agenda”.

Interviul : interviul nu este un act disparat, ci este parte a unui proces. Un interviu reusit

urmeaza cativa pasi:

Pregatirea – determina obiectivele si intrebarile ce trebuie puse.

Programarea – Nu va duceti neanuntati decat daca misiunea o cere.

– Evitati intilnirile de :

vineri dupa-amiaza,

ultima zi inainte de vacanta,

prima zi dupa vacanta,

inainte de masa

inainte de sfarsitul programului

Deschiderea – Prezentati interlocutorului scopul interviului si modul cum vor fi utilizate

rezultatele. Acceptati opiniile interlocutorului – se poate sa nu aveti mereu dreptate.

Prezentati misiunea de audit ca o oportunutate si intrebati cum puteti fi de folos.

Realizarea interviului - daca auditorul are atitudinea de “stie-tot” auditatul nu va vedea

necesitatea furnizarii de informatii. Daca auditatul va crede ca ii veti interpreta

raspunsurile va fi reticent in formularea raspunsurilor. Jargonul tehnic poate fi o “limba

straina” pentru auditat. Retineti numele interlocutorului si repetati-l, pentru oricine este o

muzica placuta sa-si auda numele. Fiti un bun ascultator.

Incheierea – identificati semnele interlocutorului ca ar dori incheierea interviului.

Incheiati intr-o nota optimista recapitulind aspectele pozitive.

Inregistrarea (documentarea) – se spune ca intr-o zi uitam 50% din ce am discutat. In

urmatoarele doua saptamini uitam inca 25%. Discutiile trebuie documentate. Cel mai

simplu este prin utilizarea tehnicii intrebare/raspuns: pagina este impartita in doua.

Procedura operaţională de elaboare a planului de audit

Scopul:Planificarea anuală şi strategică (3 ani) a misiunilor de audit public intern.

Premise:

o Planificarea activităţii de audit public intern se realizează pe trei nivele: planificare

strategică, anuală şi planificarea sarcinilor în cadrul misiunii.

o Planul strategic de audit public intern se stabileşte pe o perioada de minim 3 ani pe baza

analizei riscului asociat activităţilor auditabile de către structura de audit public intern.

Planul anual de audit public intern se întocmeşte în baza planului strategic de către structura

de audit public intern. Planificarea sarcinilor în cadrul misiunii se realizează conform

procedurii PO 06 - Elaborarea programului misiunii de audit intern.

Acţiune desfăşurată de: Acţiune:

Directorul Direcţiei

Audit

1. Elaborează un memorandum prin care înştiinţează ca Direcţia Audit

pregăteşte proiectul planului de audit public intern pe baza evaluării

riscului asociat diferitelor structuri, activităţi, programe, proiecte sau

operaţiuni

(Memorandum de Solicitare Informaţii - Anexa nr.01). Prin acest

Memorandum se solicită Directorilor din şi altor părţi interesate (NAO,

Autoritatea de Audit) furnizarea de date, informaţii, sugestii pentru

elaborarea proiectului planului anual de audit.

2. Transmite documentul de mai sus celor interesaţi.

Directorii MIE/alte

structuri

interesate

3. Transmit către directorul Direcţiei Audit informaţiile solicitate.

4. Se întâlnesc cu directorul Direcţiei Audit pentru a discuta solicitările

specifice pentru serviciile de audit (dacă este necesar).

Auditorii 5.Pe baza informaţiilor primite de la structurile părţile interesate

elaborează analiza riscului, actualizează Planul de audit strategic

(Anexa nr.04), întocmesc proiectul Planului anual de audit (Anexa

nr.02) şi Referatul de justificare (Anexa nr.03)

6.Verifică dacă planul anual este în concordanţă cu planul strategic.

7. Discută cu directorul Direcţiei Audit documentele elaborate şi

efectuează modificările corespunzătoare, dacă este cazul.

Directorul Direcţiei

Audit

8. Se întâlneşte ordonatorii principali pentru a stabili lista de priorităţi

de audit intern.

9. Efectuează modificările necesare, dacă este cazul.

10. Semnează proiectul planului strategic de audit public intern,

proiectul planului anual de audit şi le transmite spre aprobare.

Ordonatorul de credite11 .Aprobă Planul strategic şi Planul anual de audit public intern.

Ordinul de serviciu

Scopul: De a repartiza sarcinile de serviciu pe auditori interni, astfel încât aceştia să poată

demara misiunea de audit public intern.

Premise: Ordinul de serviciu reprezintă mandatul de intervenţie dat de către structura de audit

public intern, se întocmeşte de către auditori şi se aprobă de către directorul Direcţiei Audit, pe

baza planului anual de audit public intern.

Declararea independenţei si carificării

Scopul: De a demonstra independenţa auditorilor faţă de entitatea/structura auditată şi de a arata

că auditorul desemnat are calificările necesare efectuării auditului respectiv.

Premise: În vederea desemnării auditorilor interni pentru efectuarea misiunii de audit public

intern vor fi verificate incompatibilităţile personale ale acestora. Astfel, un auditor nu va fi

desemnat acolo unde există incompatibilităţi personale, doar dacă repartizarea lui este imperios

necesară, fiind furnizată în acest sens o justificare din partea conducătorului structurii de audit

public intern. Dacă în timpul efectuării misiunii de audit public intern apare o incompatibilitate,

reală sau presupusă, auditorii sunt obligaţi să informeze de urgenţă şeful structurii de

audit/înlocuitorul acestuia.

Notificarea structurii auditate

Scopul: Să informeze entitatea/structura auditată că urmează că se desfăşoară o misiune de audit

public intern.

Premise: Se intenţionează ca prin notificarea entităţii/structurii auditate să se asigure

desfăşurarea corespunzătoare a procedurilor de audit.

Notificarea părţilor auditate

Scopul: Să informeze părţile interesate în legătură cu faptul că urmează să se desfăşoare o

misiune de audit public intern.

Premise: Se intenţionează ca prin notificarea părţilor interesate să se asigure desfăşurarea

corespunzătoare a procedurilor de audit.

Colectarea şi prelucrarea informaţiilor (activităţi preliminare de audit)

Scopul:Cunoaşterea domeniului auditabil îl ajută pe auditor să se familiarizeze cu

entitatea/structura auditată. Colectarea informaţiilor facilitează realizarea procedurilor de analiză

de risc şi a celor de verificare.

Premise: Colectarea şi prelucrarea este, în fapt, pregătirea informaţiilor în vederea efectuării

analizei de risc şi pentru identificarea informaţiilor necesare, fiabile, pertinente şi utile pentru a

atinge obiectivele misiunii de audit public intern.

Colectarea şi prelucrarea informaţiilor presupune:

o identificarea principalelor elemente ale contextului instituţional şi socio-economic în care

entitatea/structura auditată îşi desfăşoară activitatea;

o analiza cadrului normativ ce reglementează activitatea entităţii/structurii auditate;

o analiza entităţii/structurii auditate şi activităţile sale (organigrama, regulamente de funcţionare,

fişe ale posturilor, procedurile scrise);

o analiza factorilor susceptibili de a împiedica buna desfăşurare a misiunii de audit public intern;

o identificarea punctelor cheie ale funcţionării entităţii/structurii auditate şi ale sistemelor sale de

control, pentru o evaluare prealabilă a punctelor tari şi slabe;

o să identifice constatările semnificative şi recomandările din rapoartele de audit precedente, care

ar putea să afecteze stabilirea obiectivelor misiunii de audit public intern;

o identificarea şi evaluarea riscurilor cu incidenţă semnificativă;

o să identifice surse potenţiale de informaţii care ar putea fi folosite ca dovezi ale auditului şi să

considere validitatea şi credibilitatea acestor informaţii.

PO 5 Acţiune întreprinsă de auditor:

1. După primirea de la structura auditată a Chestionarului de ref.B04-1 auditorul intervievează

conducerea entităţii auditate pentru a obţine informaţii adiţionale privind cadrul general de

desfăşurare a activităţii acestora.

2. Identifică legile şi regulamentele aplicabile entităţii/structurii şi programelor auditate; Obţin

organigrama, regulamentele de funcţionare, fişe ale posturilor, proceduri scrise ale

entităţii/structurii auditate;

3. Identifică personalul cheie responsabil;

4. Identifică circuitul documentelor;

5. Intervievând personalul pas cu pas observă procesele/ activităţile pentru:

(1) a se familiariza cu modul de operare al programelor şi

(2) a înţelege sistemele informaţionale;

6. Obţin exemplare ale rapoartelor de audit intern şi extern anterioare;

7. Solicită şi revede pistele de audit ale activităţilor/programelor auditate;

Analiza riscurilor

Scopul: Analiza riscului reprezintă o etapă majoră în procesul de audit public intern, care are

drept scopuri: identificarea pericolelor din entitatea/structura auditată, dacă controalele interne

sau procedurile entităţii/structurii auditate pot preveni, elimina sau minimiza pericolele,

evaluarea structurii/evoluţiei controlului intern al entităţii/structurii auditate.

Premise: Reprezintă un punct de pornire în elaborarea Tabelului "puncte tari şi puncte slabe".

Aprecierea unui risc are la bază două estimări:

- gravitatea pierderilor care pot rezulta ca urmare a riscului (sau al consecinţelor directe şi indirecte);

- probabilitatea ca riscul să revină (noţiune cuantificată formal).

Riscurile potenţiale se pot concretiza în recomandări de audit, acestea depinzând de

rezultatele de la controalele, testările şi verificările anterioare. Punctele tari şi punctele slabe se

exprimă calitativ şi cantitativ în funcţie de rezultatele aşteptate şi de condiţiile de obţinere a

acestora. Un punct tare sau un punct slab trebuie să fie exprimat în funcţie de un obiectiv de control

intern sau de o caracteristică urmărită, pentru a asigura buna funcţionare a entităţii/structurii auditate

sau atingerea unui rezultat scontat.

Elaborarea programului misiunii de audit(Agenda de audit)

Scopul: Asigură faptul că au fost luate în considerare toate aspectele referitoare la obiectivele

misiunii de audit public intern, asigură repartizarea sarcinilor şi planificarea activităţilor, precum

şi supervizarea.

Premise: Programul de audit public intern este un document intern de lucru al Direcţiei Audit,

care cuprinde:

obiectivele misiunii de audit,

acţiunile (activităţi) concrete ce trebuie întreprinse pentru atingerea obiectivelor auditului,

repartizarea activităţilor pe fiecare auditor,

perioada de timp preconizată şi efectivă,

testările, precum şi alte proceduri de audit care se vor aplica.

În baza Programului de audit public intern se elaborează un program al intervenţiilor la faţa

locului, care detaliază lucrările pe care auditorii şi le propun să le efectueze, respectiv studiile,

cuantificările, testele, interviurile, reconcilierile, confirmările, validările cu materiale probante şi

perioadele în care de realizează aceste verificări la faţa locului.

Şedinţa de deschidere

Scopul: Întâlnirea cu reprezentanţii entităţii/structurii auditate pentru a discuta domeniul

auditului, obiectivele urmărite şi modalităţile de lucru privind auditul.

Premise: Şedinţa de deschidere serveşte ca întâlnire de început a etapei de intervenţie la faţa

locului. Ordinea de zi a şedinţei de deschidere va cuprinde:

prezentarea auditorilor;

prezentarea obiectivelor misiunii de audit public intern;

stabilirea termenelor de prezentare a stadiului verificărilor;

prezentarea în detaliu a tematicii;

acceptarea calendarului întâlnirilor;

prezentarea pentru luare la cunoştinţă a cartei auditorului public intern;

asigurarea condiţiilor materiale necesare derulării misiunii de audit public intern;

comunicarea modului de intervenţie la faţa locului.

Confirmarea ariei şi obiectivelor auditului

Scopul: Obţinerea unei confirmări în legătură cu faptul că managementul structurii auditate a

înţeles pe deplin care este aria de cuprindere a misiunii de audit intern şi obiectivele acesteia

Premise: Memorandumul de confirmare a ariei şi obiectivelor auditului se întocmeşte de

auditori, se semnează de director/supervizor şi se transmite structurii auditate. Acest

Memorandum se întocmeşte după ce a avut loc şedinţa de deschidere pentru a se obţine

confirmarea din partea managementului structurii auditate că acesta a înţeles care este aria de

cuprindere a misiunii de audit intern şi obiectivele auditului.

Colectarea dovezilor

Scopul: Informaţiile colectate asigură o evidenţă suficientă, competentă şi relevantă şi oferă o

bază rezonabilă pentru constatările şi concluziile auditorilor.

Premise: În timpul fazei de colectare şi prelucrare a informaţiilor, auditorii efectuează testări în

concordanţă cu Programul de audit public intern aprobat. Munca în cadrul acestei faze produce

dovezi de audit în baza cărora auditorii formulează constatări, concluzii şi recomandări.

Următoarele elemente ale constatărilor de audit trebuie să fie incluse:

1. constatare (condiţii)

2. cauze,

3. efecte,

4. recomandări.

În faza de intervenţie la faţa locului se vor avea în vedere, fără a se limita la acestea:

a) cunoaşterea activităţii/sistemului/procesului supus verificării şi studierea procedurilor aferente;

b) intervievarea personalului auditat;

c) verificarea înregistrărilor contabile;

d) analiza datelor şi informaţiilor;

e) evaluarea eficienţei şi eficacităţii controalelor interne;

f) realizarea de testări;

g) verificarea modului de îndeplinire a recomandărilor aprobate prin rapoartele de audit anterioare.

Constatarea, raportarea iregularităţilor

Scopul: De a furniza un ghid în cazul descoperirii de iregularităţi.

Premise: Când auditorii ajung la concluzia, bazată pe Fişele de identificare şi analiză a

problemei (FIAP-uri), că s-a comis o iregularitate, ei vor trebui să raporteze, cel mai târziu a

doua zi, directorului Direcţiei Audit prin transmiterea Formularului de constatare şi raportare a

iregularităţilor. Directorul Direcţiei Audit informează în termen de 3 zile conducătorul entităţii

publice şi PAO în legătură cu iregularităţile constatate. Totodată, informează şi structura de

control abilitată pentru continuarea verificărilor.

Revizuirea documentelor de lucru

Scopul: Să asigure că documentele sunt pregătite în mod corespunzător şi că acestea furnizează

un sprijin adecvat pentru munca efectuată şi pentru dovezile adunate în timpul misiunii de audit

public intern.

Premise: Auditorii revăd FIAP-rile şi documentele de lucru din punct de vedere al formatului şi

al conţinutului, asigurându-se că dovezile de audit prezentate în actele dosarului pot trece testul

de evidenţă. Pentru a trece testul, evidenţa trebuie să fie suficientă, concludentă şi relevantă.

Şedinţa de închidere

Scopul: Permite prezentarea către entitatea/structura auditată a opiniei auditorilor interni, a

constatărilor şi recomandărilor preliminare efectuate.

Premise: Să se asigure că atât constatările cât şi recomandările sunt clare, obiective,

fundamentate, relevante, respectiv:

■ Clare: să fie uşor de înţeles, evidente, să nu permită interpretări;

■ Obiective: să nu fie părtinitoare;

■ Fundamentate: fiecare constatare să aibă la bază documente doveditoare şi să facă trimiteri la

textul legal incident;

■ Relevante: aspectele semnalate să ajute conducerea entităţii/structurii auditate în luarea unor

decizii manageriale pentru eliminarea deficienţelor constatate.

Elaborarea proiectului de raport de audit

Scopul: Prezintă cadrul general, obiectivele, constatările, concluziile şi recomandările

auditorilor interni.

Premise: În elaborarea proiectului Raportului de audit public intern auditorul foloseşte dovezile

de audit raportate în Fişele de Identificare şi Analiză a Problemelor, în Formularul de constatare

şi raportare a iregularităţilor, precum şi în celelalte documente de lucru.

Transmiterea proiectului de raport de audit la strucutra auditată

Scopul: Să asigura entităţii/structurii posibilitatea de a analiza Proiectul raportului de audit

public intern şi de a formula un punct de vedere la constatările şi recomandările auditorilor

Premise: Proiectul de raport de audit public intern transmis la entitatea/structura auditată trebuie

să fie complet, cu toate dovezile asupra faptelor, opiniilor şi concluziilor la care se face referire.

Reuniunea de reconciliere

Scopul: Acceptarea constatărilor şi recomandărilor formulate de către auditori în Proiectul

raportului de audit public intern şi prezentarea calendarului de implementare a recomandărilor.

Premise: Auditorii pregătesc Reuniunea de conciliere.

Raportul de audit public intern(Final)

Scopul: Să prelucreze raportul de audit public intern pentru redactarea finală şi pentru tipărire.

Să constate că raportul de audit public intern este complet, incluzând şi punctul de vedere al

entităţii/structurii auditate.

Premise: Auditorii sunt responsabili pentru asigurarea unei prezentări de înaltă calitate a

Raportului de audit public intern şi întocmirea unei liste corecte şi complete de difuzare.

Difuzarea raportului de audit public intern

Scopul: Analizarea şi avizarea recomandărilor din Raportul de audit public intern.

Premise: Raportul de audit public intern final trebuie să fie însoţit de o sinteză a acestuia.

Procedura:

Urmărirea recomandărilor

Scopul: Este de a urmări şi formaliza modul de implementare a recomandărilor din Raportul de

audit public intern.

Premise: Urmărirea recomandărilor de către auditorii interni este un proces prin care se constată

caracterul adecvat, eficacitatea şi oportunitatea acţiunilor întreprinse de către conducerea

entităţii/structurii auditate pe baza recomandărilor din Raportul de audit public intern.

Procedura:

Evaluarea performanţei auditului şi auditorilor

Scopul: Să permită depistarea deficienţelor, iniţierea îmbunătăţirilor necesare unei derulări

corespunzătoare a viitoarelor misiuni de audit public intern şi planificarea activităţilor de

perfecţionare profesională.

Premise: După finalizarea misiunii de audit auditorii trebuie să obţină un feed-back de la

structura auditată despre modul în care aceştia au perceput munca lor. Totodată, supervizorul va

evalua munca fiecărui auditor intern.

Supervizarea

Scopul: De a asigura că obiectivele misiunii de audit public intern au fost atinse în condiţii de

calitate.

Premise: Directorul Direcţiei Audit sau persoana desemnată de către acesta este responsabil cu

supervizarea tuturor etapelor misiunii de audit public intern.

Acţiune

întreprinsă de

Acţiune:

Auditorul (i) 1. Prezintă supervizorului documentele din dosarul permanent al misiunii de audit

public intern pentru supervizare;

Supervizorul 2. Oferă instrucţiunile necesare (adecvate) derulării misiunii de audit public intern;

3. Verifică executarea corectă a Programului de audit public intern;

4. Verifică existenţa elementelor probante;

5. Supervizează testele, foile de lucru, FIAP-rile, toate documentele întocmite de

auditori pe parcursul derulării misiunii de audit intern;

6. Verifică dacă redactarea Raportului de audit public intern este exactă, clară,

concisă - vezi procedura PO14- Revizuirea proiectului de raport de audit;;

7. Verifică dacă documentele de audit au fost prezentate supervizorului în termenul

fixat prin programul de audit în vederea supervizării;

8. Completează Lista de supervizare a documentelor de audit -ref.D01-4 (Anexa

nr.35);

Auditorul (i) 9. Indosariază Lista de supervizare a documentelor de audit în Dosarul permanent -

Secţiunea D.

Pontajul

Scopul: Să asigure un format standard pentru managementul timpului în cadrul misiunii de

audit.

Premise: Resursele majore ale auditului intern sunt oamenii. În scopul controlării modului cum

sunt utilizate aceste resurse, bugetul de timp anual este repartizat pe misiuni de audit intern, iar

în cadrul acestora este detaliat pe etapă/activităţi, conform programului de audit. Bugetul de timp

este controlat prin raportarea după fiecare etapă/activitate de audit şi ajută auditorii să se menţină

în parametrii misiunii. Bugetarea timpului misiunii de audit serveşte, de asemenea, ca un

instrument de planificare şi control în programarea auditorilor, în justificarea eforturilor şi

realizărilor în cadrul misiunii de audit.

Acţiune întreprinsă

de:

Acţiune:

Auditorul (i) 1. În momentul elaborării Programului de audit (agenda de audit), auditorul

trebuie să estimeze bugetul de timp necesar pentru a desfăşura etapele misiunii de

audit. Totalul etapelor trebuie să fie aproximativ sau mai puţin decât bugetul

aprobat prin planul anual de audit. Bugetul de timp este aprobat atunci când

programul de audit este aprobat; 2. Auditorul pregăteşte săptămânal o Fişa de

pontaj săptămânal -ref A09 (Anexa nr.36);

Supervizorul 3. Analizează şi aprobă Fişa de pontaj săptămânal;

4. Îşi întocmeşte propria Fişă de pontaj săptămânal pentru evidenţierea timpului

utilizat cu supervizarea;

Auditorul (i)/

Supervizorul

5. Supervizorul discută despre evoluţia misiunii de audit în timpul şedinţelor cu

auditorii. Dacă o etapă din program nu progresează aşa cum a fost bugetată,

auditorul trebuie să informeze supervizorul cu privire la probleme, abordări

nerealiste etc şi să sugereze proceduri alternative din timp pentru a preveni

întârzierile.

6. De comun acord cu auditorii, supervizorul decide ajustările necesare pentru

realizarea misiunii de audit în condiţii de calitate şi cu încadrarea în bugetul de

timp aprobat;

7. Întocmeşte Centralizatorul fişelor de pontaj săptămânal - ref.A09-1 (Anexa

nr.37);

Auditorul (i) 8. Îndosariază Fişele de pontaj săptămânal şi Centralizatorul fişelor de pontaj

săptămânal în dosarul permanent - secţiunea A.

CAPITOLUL III. METODOLOGIA AUDITULUI INTERN AL

SOCIETĂŢILOR COMERCIALE

Etapa I de pregătire: Pregătirea misiunii de audit intern

1. Iniţierea misiunii de audit intern

Iniţierea misiunii de audit intern presupune emiterea unui mandat de către managementul

general sau de către o autoritatea calificată, cum ar fi directorul departamentului de audit intern.

Acest mandat se concretizează sub mai multe forme în funcţie de cultura specifică fiecărei

organizaţii, el fiind cunoscut sub mai multe denumiri cum ar fi ordin de misiune, scrisoare de

misiune sau ordin de serviciu.

Elementele pe care aceasta trebuie să le conţină:

1) elemente obligatorii: numele auditorilor interni; activitatea auditată; obiectivele misiunii de

audit; domeniul de aplicare;

2) elemente facultative: alocarea timpul auditorilor în cadrul misiunii; instrumentele şi tehnicile ce

vor fi utilizate; perioada auditată; perioada de desfăşurare a misiunii.

În practică, este evident că aceste ordine de misiune sau de serviciu pot să fie întocmite în

mai multe variante, dar chiar dacă forma nu este întotdeauna aceeaşi, important este ca

elementele obligatorii să fie menţionate, iar atunci când este necesar, să se facă trimitere şi la

anumite elemente facultative.

2. Colectarea şi prelucrarea informaţiilor

Procedura de colectare şi prelucrare a informaţiilor constă, în esenţă, în familiarizarea

auditorilor participanţi la misiune cu domeniul auditat, cu modul de realizare a activităţii din cadrul

emiterii/activităţii care urmează să fie auditată, astfel:

cunoaşterea organizării entităţii care va fi auditată;

cunoaşterea obiectivelor funcţiei care trebuie să fie auditată;

deplasarea la fiecare departament sau compartiment implicat în misiunea de audit, unde se

desfăşoară activităţile supuse auditării;

dialogul profesional, pe care auditorul intern trebuie să-l poarte cu cei auditaţi;

deţinerea de cunoştinţe solide privind tehnicile de lucru utilizate este imperios necesară, şi

indispensabilă în efectuarea misiunii de audit, cunoaşterea tehnicilor presupunând şi cunoaşterea

controalelor existente deja.

Această procedură de colectarea şi prelucrarea a informaţiilor urmăreşte:

o Identificarea principalelor elemente din mediul extern şi intern în cadrul căruia

activează entitatea auditată;

o Identificarea potenţialilor factori care ar putea împiedica bunul mers al misiunii;

o Identificarea sistemelor de control din cadrul entităţii auditate, în vederea efectuării unei

evaluări preliminare a punctelor tari şi slabe ale funcţionării acestora;

o Stabilirea influenţelor acestora asupra obiectivelor misiunii de audit intern;

o Identificarea potenţialelor surse de informaţii care ar putea să genereze probe de audit

cu un grad ridicat de validitate şi credibilitate;

o Asigurarea premiselor pentru identificarea şi evaluarea riscurilor semnificative.

În realizarea acestei proceduri, auditorul intern are la dispoziţie o serie de mijloace, dintre

care cel mai important ar fi chestionarul de colectarea a informaţiilor.

Acest chestionar are în componenţa sa întrebările importante, aşezate într-o anumită

succesiune logică, ale căror răspunsuri au menirea de a obţine o mai bună înţelegere a domeniului de

auditat. Chiar dacă acest chestionar poate cunoaşte diferite dimensiuni, dar pentru a fi complet, este

esenţial ca el să fie construit după o anumită structură mergând de la general la specific.

3. Identificarea şi analiza riscurilor

În acest demers, semnificativă este înţelegerea corectă a noţiunii de risc. Riscul reprezintă

ameninţarea ca un eveniment sau o acţiune să afecteze negativ capacitatea unei organizaţii de a-

şi atinge cu succes obiectivele stabilite.

Pentru managementul unei organizaţii este primordial să depisteze riscurile, să le clasifice să

se ocupe de ele în ordinea probabilităţii de apariţie şi a impactului negativ pe care l-ar putea

produce. Astfel, se creează premisele pentru dezvoltarea politicilor de protejare a organizaţiei în faţa

efectelor negative ale riscurilor, dar şi dezvoltarea unei politici de prevenire (managementului

riscului ).

Acest demers de identificare a riscurilor întreprinse în etapa pregătitoare a misiunii, trebuie

să-i permită auditorului să-şi organizeze desfăşurarea activităţii, insistând asupra punctelor slabe, cu

deficienţe şi trecând mai repede peste punctele tari. În această etapă de identificarea şi evaluarea a

riscurilor, nu s-a consacrat o anumită metodă, standardele evită să limiteze auditorul intern din acest

punct de vedere .

Considerăm că o metodă eficientă de identificare şi evaluare a riscului, în această etapă a

misiunii, este aceea în care se porneşte de la următorii factori:

o Identificarea operaţiilor sau obiectelor auditabile: presupune detalierea fiecărei

activităţi în operaţii succesive, pornind de la iniţierea activităţii şi până la finalizare.

o Identificarea ameninţărilor, a riscurilor asociate fiecărui obiect auditabil, fără pretenţia

ca toate riscurile să fie epuizate, pentru că o listă completă ar fi dificil sau chiar imposibil

de realizat, dar important este a se aminti principalele riscuri asociate operaţiilor sau

obiectelor auditabile.

o Stabilirea nivelului riscului asociat fiecărui obiect auditabil, în general riscul asociat

putând fi evaluat la unul din trei niveluri: grav (G), mediu (M), slab (S).

o Dispozitivul de control intern stabilit pentru contracararea fiecărui factor de risc.

o Constatarea auditorului intern referitor la eficienţa dispozitivului de control.

Activitate

auditată

Operaţii sau

obiecte auditabileRiscuri

Eval

uareDispozitivul de control intern

Există

Da / Nu

Activitate

de

recrutare

Calitatea sortării

candidaturilor

care vor participa

la interviuri şi

testări

*candidaturi nepotrivite

pentru postul vizat;

*neluarea în considerare

a unor candidaturi

realmente potrivite

pentru postul respectiv;

M

M

*procedură prin care se

stabilesc criteriile de selecţie

a CV;

*existenţa unei baze de date

cu evidenţa candidaturilor

depuse, evoluţia acestora,

precum şi rezultatele

interviurilor derulate;

Nu

Da

Confidenţialitatea

candidaturilor

depuse

*scurgea unor informaţii

care ar putea afecta

prestigiul organizaţiei;

S *accesul la baza de date cu

candidaturile depuse să fie

securizat, pe baza unor

parole de identificare;

*arhivarea securizată a

candidaturilor depuse;

Da

Nu

Conformitate în *selectarea unor G *norme interne de derulare a Da

privinţa derulării

interviurilor şi a

testărilor

angajaţi nepotriviţi

pentru postul respectiv;

interviurilor şi a testărilor

pentru fiecare categorie de

posturi în parte;

Confidenţialitatea

politicii de

salarizare

*scurgerea unor

informaţii poate genera

nemulţumiri atât pentru

noii angajaţi, cât şi

pentru cei existenţi;

M *procedură internă privind

confidenţialitatea încheierii

contractelor individuale de

muncă;

4. Stabilirea programului de audit intern

Cerinţe:

o să permită auditorului intern să identifice domeniile sensibile, astfel încât să poată delimita

domeniul de acţiune a misiunii sale;

o să asigure utilitate în delimitarea şi planificarea activităţilor, precum şi repartizarea acestora pe

fiecare auditor în parte, în funcţie şi de pregătirea profesională şi experienţa dobândită a

fiecăruia;

o să ofere certitudine directorului direcţiei de audit intern, că au fost luate în considerare toate

aspectele semnificative, în atingerea obiectivelor misiunii de audit intern.

Din punct de vedere al conţinutului, acest program de audit intern, poate fi structural astfel:

Definirea obiectivelor generale ale misiunii: în definirea obiectivelor generale ale misiunii de

audit intern, pornim de la unul din obiectivele majore al auditului intern, şi anume, că auditul

intern trebuie să se asigure că obiectivele permanente ale controlului intern sunt cunoscute şi

respectate într-un mod eficace şi eficient.

În practică se întâlneşte, destul de frecvent, situaţia în care anterior a existat o altă misiune de

audit având aceeaşi tematică, şi astfel se impune necesitatea examinării concluziilor şi

recomandărilor misiunii anterioare, cercetarea motivelor aplicării lor sau neaplicării lor, reluarea

unora dintre aceste recomandări, dacă situaţia o impune, dar asta în funcţie şi de situaţia prezentului,

deoarece nu puţine sunt cazurile, când anumite recomandări pertinente la un moment dar, se

dovedesc a fi inutile sau chiar riscante peste o perioadă de timp mai lungă.

Definirea obiectivelor specifice: auditorii se vor referi concret la dispozitivele de control care

vor trebui testate, ţinând cont şi de riscurile identificate anterior.

Totuşi pentru diminuarea unor posibile erori, este recomandabil ca toate aceste activităţi,

să se desfăşoare în cadrul unei echipe de auditori interni, profitându-se de pregătirea

profesională, experienţa precum şi bunul simţ al fiecăruia. Intervine astfel caracterul relativ al

acestor alegeri, pe care auditorul intern trebuie să le facă, el nu poate garanta un control imbatabil

asupra acestora. El se confruntă astfel, cu riscul de audit.

Auditorul va avea în vedere proiectarea şi implementarea unor proceduri de audit care să-

i favorizeze reducerea riscului de audit la un nivel acceptabil. El va putea face asta, cu atât mai

mult, că el este cel care stabileşte nivelul riscului, dar şi procedurile de audit care vor fi realizate

de către însuşi auditorul, pornind de la experienţa şi raţionamentul său profesional.

Este evidentă necesitatea unei foarte bune evaluări a riscului de audit, deoarece poate

avea consecinţe nefavorabile, atât tratarea superficială a unei problematici, cât şi aplicarea unor

proceduri de audit prea detaliate, deoarece, în acest mod, se acordă mai multă importanţă unor

domenii mai puţin semnificative, neglijând altele cu adevărat importante (Knechel, W.R.,2007).

Delimitarea domeniului de acţiune: pornind de la obiectivele generale şi specifice stabilite

anterior, următorul pas ar fi delimitarea programului de acţiune, care cuprinde prezentarea

detaliată a activităţilor, pe care echipa de audit intern şi le-a propus să le realizeze. Ca şi

structură va cuprinde cel puţin următoarele puncte:

obiectivele;

cadrul funcţional de acţiune;

cadrul geografic de acţiune;

procedurile şi tipurile de teste care vor fi utilizate de echipa de auditori; şi

durata de acţiune.

Etapa a II-a de realizare: Intervenţia pe teren

1. Şedinţa de deschidere a etapei de realizare

Scopul şedinţei de deschidere este de a se realiza un contact cu reprezentanţii entităţii

auditate, pentru a discuta domeniul de acţiune al misiunii de audit, obiectivele generale şi specifice

urmărite, modalităţile de derulare a activităţilor de audit şi aducerea la cunoştinţa celor direct

implicaţi a programului de acţiune, stabilit în cadrul procedurii anterioare.

Ordinea de zi a şedinţei de deschidere va cuprinde obligatoriu următoarele subiecte:

prezentarea echipei de auditori interni care vor participa la realizarea misiunii de audit intern;

prezentarea aprofundată a obiectivelor generale şi specifice ale misiunii de audit intern;

prezentarea tematicii de audit intern, prin intermediul căruia auditorii transmit celor auditaţi

intenţiile lor şi cum intenţionează să acţioneze.;

stabilirea calendarului de desfăşurare a întâlnirilor şi contractelor;

prezentarea acţiunilor care vor avea loc după încheierea etapei de intervenţie pe teren, mai

exact vor fi stabilite termene de prezentare de către auditori a stadiului verificărilor şi

culegerii probelor de audit;

asigurarea logisticii necesare pentru derularea corespunzătoare a misiunii de audit.

În urma acestei şedinţe de deschidere, dacă vor considera de bună cuviinţă, auditorii interni

vor face retuşurile necesare, pentru adaptarea programului de audit intern, acolo unde este cazul.

Programul de audit intern fiind stabilit, auditorului nu-i va rămâne decât să purceadă la pasul

următor al misiunii de audit intern, şi anume intervenţia pe teren.

2. Colectarea dovezilor sau probelor de audit intern – tehnici şi instrumente de audit intern.

În realizarea acestei proceduri, contribuie atât auditorii precum şi responsabilul desemnat al

misiunii de audit, fiecare având atribuţii specifice.

Auditorii vor face eforturile necesare pentru înţelegerea activităţii entităţii sau organizaţiei

supuse misiunii de audit; vor intervieva personalul auditat; vor analiza datele si informaţiile

obţinute; vor evalua deciziile, sistemele de control intern din punct de vedere al adecvării acestora

(eficacitate şi eficienţă); vor verifica modul de realizare a recomandărilor din rapoartele de audit

anterioare; vor aplica tehnicile şi instrumentele de audit necesare pentru a obţine probe de audit

adecvate, suficiente şi relevante.

Responsabilul misiunii va analiza şi va superviza testările efectuate de către auditori; va

monitoriza activitatea acestora şi va aprecia stadiul în care se află fiecare auditor în îndeplinirea

sarcinilor, care i-au fost atribuite.

Pe măsură ce munca de teren progresează, auditorul supune discuţiei cu entitatea auditată,

toate constatările semnificative rezultate în urma acestei investigaţii. Cazul cel mai fericit este acela

când entitatea auditată poate oferi o perspectivă din interior, şi poate colabora împreună cu

auditorul, pentru a determina cea mai bună soluţie de rezolvare a constatării.

Gama tehnicilor de audit intern la care auditorul intern poate apela pentru atinge obiectivele

acestei proceduri include: verificarea, observarea instantanee, interviul, lista de întrebări scrise,

analiza.

Cele mai semnificative instrumente de audit la care auditorul poate apela în realizarea muncii

sale sunt:

1. Sondajul reprezintă aplicarea tehnicilor şi instrumentelor de audit la un eşantion de elemente

extrase dintr-un set de informaţii de referinţă (populaţia).

2. Instrumentele informatice: Dintre cele mai importante enumerăm: programe de editare text,

programe de desen, folosite îndeosebi la realizarea de diagrame de circulaţie sau pentru

organigramele funcţionale, programe de calcul utilizate în conceperea foilor de lucru, programe de

reprezentări grafice, softuri de cuantificare a riscurilor specifice activităţii respective (modele de

risc), softuri de interogare şi extragere a informaţiilor referitoare la activitatea auditată, grupate în

fişiere informatice (Jackson, R.A., 2004).

3. Testarea presupune un număr mai mare de analize la care este supusă entitatea supusă auditului,

în general, şi a probelor sau dovezilor de audit colectate în urma documentării, în special. Rezultatul

testării se concretizează în identificarea diferenţelor şi a erorilor semnificative, precum şi în căutarea

şi explicarea cauzelor care au generat aceste dereglări, în vederea stabilirii zonelor generatoare de

riscuri.

4. Chestionarul şi listele de verificare (check-list) este un instrument util în obţinerea probelor de

audit, cu condiţia ca acesta să fie eficient proiectat, planificat, desfăşurat şi procesat. Întâlnim mai

multe tipuri de chestionare, în funcţie de gruparea şi sintetizarea informaţiilor în cadrul lor.

Distingem următoarele tipuri de chestionare:

Chestionarul de luare la cunoştinţă - cuprinde întrebări referitoare la mediul economico-social

al entităţii, organizarea internă, modul de funcţionare al acesteia.

Lista de verificare sau check -list - se bucură de o serie de avantaje, cum ar fi faptul că este

comodă, permite o obţinere facilă a informaţiilor, printr-o parcurgere rapidă, pornind de la

document prestabilit, oferind o garanţie rezonabilă că nu au fost omise aspecte semnificative. Pe

lângă aceste avantaje, lista de verificare se loveşte însă şi de câteva dezavantaje, dintre care

amintim, în primul rând, comoditatea de care vorbeam la categoria avantaje, care tinde, nu de

puţine ori, să ia locul imaginaţiei şi să împiedice aprofundarea cercetării. În al doilea rând, fiind

un document standard, există riscul ca acesta să nu fie în permanenţă actualizat şi adaptat la

schimbările care au loc în cadrul organizaţiei.

Exemplul:

Dacă avem în vedere auditul funcţiei de remunerare a forţei de muncă, lista de verificare

pe care auditorul intern ar utiliza-o trebuie să-i permită obţinerea acelor informaţii, astfel încât

să poată stabili dacă condiţiile necesare sunt îndeplinite pentru realizarea obiectivele definite:

Chestionarul de control intern – în practică auditorul va utiliza tot mai frecvent chestionarul de

control intern, având libertatea suficientă pentru a-şi manifesta spiritul de iniţiativă şi pentru a

stimula cercetarea. Toate întrebările din cadrul chestionarului de control vor fi deschise, astfel

structurate, încât să răspundă la câteva întrebări fundamentale: Cine acţionează? Ce face

obiectul activităţii? Unde se desfăşoară activitatea? Când se desfăşoară activitatea? Cum se

desfăşoară activitatea?

5. Organigrama funcţională: îi oferă auditorului informaţii preţioase legate de separarea sarcinilor

în cadrul organizaţie. Un auditor experimentate va putea, la rândul lui, să creeze chiar el însuşi o

organigramă funcţională a entităţii pe care o auditează, pentru a obţine o imagine de ansamblu,o

fotografie funcţională a entităţii pe care o auditează, pentru a obţine o imagine de ansamblu, o

fotografie mai clară asupra acesteia. Ulterior, el va putea compara structura funcţională pe care a

definit-o el, cu cea definită de managementul organizaţiei.

Uneori se pot constata anumite diferenţe, ceea ce s-ar putea traduce fie prin neînţelegerea

responsabilităţilor de către angajatul care ocupă postul şi deci defectuoasa aplicare a

organigramei în practică, fie prin rea-voinţă, în sensul că, intenţionat anumite sarcini sunt

preluate de către alt angajat, decât cel care ar trebui în mod normal, pentru a avea control mai

mare asupra unor acţiuni, uneori din motive de fraudă (Maniere, V. et. al., 2007).

Într-o astfel de situaţie, de preluare a sarcinilor de către alt angajat, decât cel care ar trebui,

trebuie să cercetăm mai profund contextul acestei nereguli. Nu dormi să inducem pesimismul, dar în

cazul unei fraude sunt destul de puţine cazurile, în care ar fi implicat doar un angajat.

6. Grila de analiză a sarcinilor: specialistul în audit va concepe câte o grilă pentru fiecare proces

sau funcţie importantă, care să conţină separarea tuturor sarcinilor pe care le presupune procesul sau

funcţia respectivă, iar pentru fiecare dintre aceste sarcini, auditorul va căuta să afle cine a efectuat

respectiva sarcină. Principiile generale, după care se efectuează separarea sarcinilor, astfel încât să

se evite erorile (neintenţionate sau intenţionate) ar fi: (1) execuţia sarcinii sau activităţii (EX); (2)

aprobarea şi supervizarea tranzacţiilor (AS); (3) înregistrarea contabilă-financiară a tranzacțiilor

(ÎCF); (4) controlul sau verificarea activităţilor şi tranzacţiilor derulate (C).

7. Diagrama de circuit (flowchart): prezintă avantajul că ciclurile din viaţa unei organizaţii sunt

prezentate mult mai schematic, uşurând evidenţierea punctelor forte şi slabe ale dispozitivelor de

control, vor fi mult mai uşor identificate neconcordanţele.

Deşi este o metodă foarte utilă în munca de investigaţie a funcţiei de audit, are dezavantajul

că nu orice auditor poate să o aplice cu uşurinţă, pentru că necesită practică şi experienţă. Faptul că

este totuşi o tehnică destul de dificilă, face ca unii auditori să aibă reţineri în aplicarea ei şi astfel o

vor practica tot mai rar, ceea ce nu poate decât să afecteze calitatea muncii lor.

Se recomandă utilizarea aceloraşi simboluri pentru operaţiunile care se încadrează în

aceeaşi categorie. Dar simbolurile mai diferă de la o organizaţie la alta, simţindu-se influenţele

culturii specifice organizaţiei Ceea ce este însă obligatoriu, este ca în cadrul aceleiaşi organizaţii

să fie folosit acelaşi simbol pentru tranzacţiile din aceeaşi categorie.

Exemplul:

Vom exemplifica utilizarea acestui instrument pentru situaţia în care unul dintre obiectivele

misiunii de audit, îl reprezintă auditarea funcţiei de recrutare a forţei de muncă. Pentru a putea

să obţinem o imagine dinamică a activităţii de recrutare a unui nou angajat, sau mai bine zis

„filmul de derulare a evenimentelor", vom încerca, în primul rând, să înţelegem care este

mecanismul de derulare.

Descriere narativă a procesului : Care sunt subiecţii acestui proces?

Identificăm următorii participanţi: managerul de departament în cadrul căruia va fi

angajat noul salariat; departamentul de resurse umane în structura căruia întâlnim inspectorii de

resurse umane, noul angajat, managerul departamentului de salarizare, funcţionarii din cadrul

departamentului de salarizare.

Care sunt paşii care vor fi parcurşi în derularea acestei activităţi?

Etapele succesive care vor fi parcurse în desfăşurarea acestui proces sunt:

Managerul de departament în cadrul căruia va fi încadrat noul angajat, ia decizia finală în ceea

ce priveşte persoana, care va ocupa postul din departamentul pe care îl conduce.

Noul angajat după acceptarea ofertei de muncă, va participa la un program de orientare a noilor

angajaţi de o zi, din care o jumătate de zi va fi dedicată unui training privind politicile de bază,

misiunea şi scopul organizaţiei din care va face în curând parte, iar cea de-a doua jumătate a zilei

va fi destinată pentru completarea formularului necesar (fişa personală), inclusiv cu datele

privind beneficiile stabilite, deducerile personale de care beneficiază. Toate informaţiile care vor

fi procesate în modulul de salarizare, vor fi reflectate în acest formular, de aceea este importantă

completarea lui integrală şi corectă.

Formularele completate de noul angajat vor fi integrate într-un dosar al angajatului.

Aceste formulare vor fi semnate de către un angajat şi un inspector din departamentul de resurse

umane, după care acestea vor fi transmise departamentului de salarizare.

În cadrul departamentului de salarizare, managerul acestui departament va verifica ca aceste

formulare să fie corect şi integral completate.

În situaţia în care se constată că aceste formulare au anumite lacune sau deficienţe în

completarea lor, sunt returnate departamentului de resurse umane în vederea remedierii erorilor

constatate.

După avizul managerului departamentul de salarizare, acestea vor fi direcţionate spre un

funcţionar din cadrul acestui departament, care le va introduce în modulul de salarizare.

La sfârşitul fiecărei zile de procesare, din modulul de salarizare se generează copii ale fişei

electronice a noului angajat.

Având în vedere confidenţialitatea informaţiilor, care sunt cuprinse în această fişă a fiecărui

angajat, este important ca listarea să se facă la o imprimantă aflată într-un spaţiu securizat, la

care doar persoanele în drept să aibă acces. Personajele, care ar fi în drept să aibă acces, sunt

managerul departamentului de salarizare şi un funcţionar de încredere din cadrul acestui

departament.

Din cele două copii ale fişei angajatului listate din programul de salarizare, una va fi transmisă

managerului de departament în care va lucra noul angajat, iar cealaltă va fi direcţională spre noul

angajat.

Fiecare manager de departament are datoria să verifice fişa cu înregistrările noului angajat, să

certifice că salariul, datele şi descrierea poziţiei pe care o va ocupa sunt corecte.

În situaţia în care se constată anumite neconcordanţe, fişa cu înregistrări a angajatului va fi

returnată la departamentul de salarizare, în vederea efectuării corecturilor care se impun.

Dacă formularul este corect completat, atunci managerul va păstra această fişă pentru a putea

verifica la sfârşit de lună, că datele au fost într-adevăr corect preluate în modul de salarizare.

Al doilea formular este trimis direct la adresa de contact a noului angajat, căruia i se solicită

verificarea tuturor datelor din formular, cu menţiunea ca în cazul identificării unor erori, acestea

să fie semnalate, pentru a putea fi ulterior corectate.

În cazul în care se impun corectarea unor erori, angajatul va retransmite fişa direct

departamentului de salarizare pentru efectuarea corecturilor.

Dacă formularul este corect completat, atunci al doilea formular va fi reţinut de angajat pentru a-

l păstra la dosarul lui personal.

8. Pista de audit: pista de audit sau tabloul de prezentare a circuitului auditului îi permite auditorului

să testeze un document final sau rezultatul unei tranzacţii, mergând în sens invers până la sursa

iniţială, parcurgând toate etapele intermediare. Este un instrument care permite controlul pentru

operaţiunea vizată, prin urmare, nu am greşi dacă am spune că pista de audit ar putea fi asimilată

dispozitivelor de control intern. Însă, auditorul intern va folosi acest instrument pentru a verifica că

dispozitivele de control au fost respectate pe tot parcursul derulării tranzacţiei şi că obiectivele lor

au fost atinse.

Exemplul: Identificarea etapelor intermediare ale piste de audit pornind de la înregistrarea în

bancă a unui ordin de plată a salariilor, constă în cercetarea succesivă a următoarelor etape:

o Examinarea procedurii de decontare a plăţii salariilor (un cont bancar deschis special pentru

viramentele bancare destinate plăţii salariilor);

o Examinarea procedurii de aprobare a documentelor de plată;

o Investigarea modului în care se întocmesc documentele de plată a salariilor, a contribuţiilor şi

taxelor aferente;

o Examinarea modului de înregistrare în evidenţa contabilă a cheltuielilor cu salariile, a

contribuţiilor şi taxelor aferente;

o Cercetarea procedurii de verificare şi aprobare a statelor de salarii, pa baza cărora se întocmesc

documentele de plată;

o Analiza procedurii de întocmire a statelor de salarii;

o Investigarea procedurii de verificare a pontajelor;

o Cercetarea procedurii de transmitere şi centralizare a pontajelor;

o Examinarea procedurii de întocmire a pontajelor cu orele lucrate, care stau la baza întocmirii

salariilor.

Ca şi o concluzie, putem spune că auditorul în obţinerea unor probe de audit suficiente şi

adecvate, va trebui să ia anumite decizii în ceea ce priveşte aplicare instrumentelor şi procedurilor

de audit, şi anume:

Ce instrument sau procedură de audit trebuie să aplice

Care este dimensiunea eşantionului pe care va trebui să-l selecteze pentru a aplica o

anumită procedură?

Care elemente să fie extrase din populaţia supusă analizei?

Care este momentul propice pentru aplicarea procedurii de audit?

3. Constatarea şi raportarea deficienţelor

În urma aplicării instrumentelor şi tehnicilor din cadrul procedurii de colectare a probelor de

audit, s-au efectuat mai multe teste, iar rezultatul acestora sunt sintetizate într-o foaie de lucru,

intrată deja în limbajul comun al specialiştilor în audit intern, cunoscută sub mai multe denumiri, cea

mai des întâlnită „Foaia de Identificare şi de Analiză a Problemei (F.I.A.P)”

Ca şi structură, în general, o foaie F.I.A.P. este structurată în cinci părţi: problema sau tema

supusă auditului, constatarea, cauzele, consecinţele, recomandările.

Problema sau tema supusă auditului: pornind de la chestionarul de control intern, auditorul va

aborda fiecare punct, iar în cazul constatării unor neconcordanţe sau deficienţe, va proceda la

întocmirea unei foi de lucru F.IA.P.

Constatarea: presupune enunţarea deficienţei sau anomaliei constatate. Este important să

enunţăm câteva reguli în formularea constatărilor şi anume:

(1) pentru fiecare constatare se va întocmi o foaie de lucru F.I.A.P;

(2) vor fi tratate mai multe constatări într-o singură foaie F.I.A.P, doar în condiţiile în care acestea

sunt foarte strâns legate între ele, sunt de aceeaşi natură, sunt provocate de aceleaşi cauze sau au

aceleaşi influenţe;

(3) enunţarea cât mai succintă şi cât mai clară a constatării făcute.

Cauzele: specialistul în audit trebuie să cerceteze cauzele determinante. în raţionamentul de

analiză a cauzelor pentru fenomenul constatat, de asemenea, auditorul va trebui să ţină cont de

respectarea unui set de reguli:

nu trebuie să se oprească la prima cauză identificată, este necesar să cerceteze toate

aspectele posibile determinante ale constatării respective;

va utiliza mai multe metode de verificare, şi nu neapărat doar din domeniul auditului

intern;

pornind de la faptul că, un obiectiv major al auditului intern este evaluarea sistemului de

control intern, va trebui întotdeauna să cerceteze şi să găsească răspunsul la întrebarea:

Care dintre dispozitivele de control intern proiectate şi stabilite de managementul

organizaţiei, nu au funcţionat, nu au fost corect implementate, au fost insuficient

aplicate, sau, pur şi simplu, nu au fost prevăzute?

auditorul intern va şti că a descoperit într-adevăr cauza, atunci când va şti, cu certitudine,

ce dispozitiv de control intern nu a funcţionat corespunzător, sau, mai grav, nu există sau

nu a fost prevăzut.

Consecinţele: în evaluarea consecinţelor se face apel la bunul simţ al auditorului, pregătirea sa

profesională, precum şi posibilitatea de a-şi crea o imagine generală asupra organizaţiei, o

caracteristică dobândită odată cu experienţa de audit.

Recomandările: considerăm că recomandarea de audit trebuie să reprezinte, de fapt, soluţia în

eliminarea cauzei ce a determinat fenomenul respectiv. Esenţa auditului intern este de a oferi

recomandări, astfel încât ca pe viitor fenomenul să nu se mai repete şi să ofere răspunsuri la

întrebarea: Ce dispozitive ale controlului intern vor trebui adăugate, modificate, sau adaptate?

Prin intermediul recomandărilor, auditorul intern contribuie, astfel, la continua îmbunătăţire a

sistemului de control intern, ceea ce va ajuta la obţinerea de către managementul organizaţiei, a

unui mai bun control asupra întregii activităţi (Bess, J., 2007).

4. Revizuirea foilor de lucru

Importanţa întocmirii corecte si revizuirii (verificării) foilor de lucru porneşte de la, cel

puţin, următoarele considerente:

În cazul unor elemente foarte importante, managerii organizaţiei vor examina foile de lucru, care

au stat la baza unor anumitor concluzii din raportul de audit. Din aceste motive, se impune

obligatoriu ca fiecare foaie de lucru sa fie foarte bine argumentată şi fundamentată.

Dacă documentaţia de audit este imbatabilă, se asigură creşterea credibilităţii pentru funcţia de

audit intern, ceea ce ne poate fi de folos în viitorul ce ne aşteaptă.

Documentaţia de audit va constitui un punct de plecare preţios pentru misiunile de audit din

anii următori, astfel perfecţionându-se munca de audit de la un an la altul.

Documentaţia de audit întocmită ar putea constitui un suport în evaluarea propriu-zisă a

abilităţilor auditorilor, raţionamentul profesional al acestora, precum şi a progresului făcut de

aceştia de-a lungul activităţii lor (Weinstein, E.A., 2007).

Paşii pe care ar trebui să-i parcurgă auditorii în revizuirea foilor de lucru sunt:

Etichetarea şi numerotarea tuturor foilor de lucru şi a documentelor, care reprezintă suportul

muncii lor;

Verificarea fişelor de identificare şi analiză a problemelor, astfel încât acestea să asigure un

suport corespunzător pentru finalizarea misiunii de audit;

Revizuirea tuturor foilor de lucru şi a documentaţiei sub aspectul formei şi al conţinutului,

parcurgerea listei de verificare (check-list) ;

Rezolvarea eventualelor observaţii sau neconcordanţe, observate în urma revizuirii

documentaţiei de audit, efectuând modificările care se impun;

Întocmirea unui document centralizator al foilor de lucru, aferente fiecărei activităţi auditate,

într-o ordine secvenţială şi logică.

5. Şedinţa de închidere a intervenţiei pe teren

Pentru ca misiune de audit să-şi atingă scopurile, este necesară asigurarea unei comunicări

reale între auditori, pe de o parte, şi între entitatea auditată, pe de altă parte. Constatările şi

recomandările sunt aduse la cunoştinţă responsabililor entităţii auditate, în vederea informării

acestora, notarea principalelor observaţii ale acestora, evaluarea acestor observaţii, începerea

demersurilor de aplicare a primelor măsuri corective, şi dacă este cazul şi situaţia o impune,

extinderea sau reorientarea cercetărilor de audit .

Organizarea acestei şedinţe de închidere a intervenţiei la faţa locului porneşte de la

următoarele premise: obţinerea unei asigurări referitor la claritatea şi obiectivitatea formulării

constatărilor şi recomandărilor auditorilor; fundamentarea riguroasă a fiecărei constatări, pe care

auditorii interni intenţionează să le insereze în proiectul raportului de audit intern, astfel fiecare

constatare va avea la bază probe de audit suficiente şi adecvate, credibile şi relevante totodată,

aspectele sesizate de auditori trebuie să fie semnificative şi relevante.

Parcurgerea acestei proceduri implică următorii paşi:

Auditori interni, cu acordul entităţii auditate, vor planifica şedinţa de închidere, invitându-i

pe managerii entităţilor auditate;

Managerii entităţilor auditate vor avea ocazia să-şi exprime opinia lor vizavi de constatările,

concluziile şi recomandările auditorilor;

Auditorii vor întocmi un rezumat al acestor discuţii;

Managerii entităţilor auditate vor cădea de acord împreună cu auditorii asupra eventualelor

modificări care se impun, şi dacă este cazul, se va avea în vedere extinderea sau reorientarea

cercetărilor de audit;

Toate modificările care se impun, vor fi notate de către auditori, urmând ca ele să fie avute în

vedere la întocmirea proiectului de raport de audit intern.

Etapa a III-a de încheiere: Raportul de audit intern

1. Elaborarea proiectului de raport de audit intern

În practică se recomandă să se ţină cont de următoarele reguli în elaborarea proiectului de

raport de audit intern:

(1) prezentarea într-un mod pertinent şi imbatabil a constatărilor de audit;

(2) evitarea folosirii unor expresii ce degajă nesiguranţă şi incertitudine, cum sunt: „se pare”,

„câteodată”, „uneori”, „în general”;

(3) folosirea unui limbaj de exprimare concret, la obiect, pentru a fi uşor înţeles;

(4) niciodată nu vom aborda un ton polemic, jignitor sau răuvoitor;

(5) prezentarea constatărilor într-o ordine strict descrescătoare a importanţei; (6) întotdeauna vom

scoate în evidenţă aspectele pozitive, precum şi îmbunătăţirile care au avut loc de la ultima misiune

de audit intern.

2. Comunicarea proiectului de raport de audit intern şi organizarea şedinţei de reconciliere

Scopul acestei proceduri de transmitere a proiectului de raport este acela de a-i da

posibilitatea entităţii audiate să analizeze proiectul de raport, să fie în deplină cunoştinţă de cauză şi

să-şi poată formula propria opinie, în legătură cu constatările şi recomandările echipei de auditori.

După ce entitatea audiată a fost informată asupra proiectului de raport de audit, următorul pas va fi

organizarea şedinţei de reconciliere.

Prima fază a reuniunii de reconciliere constă în prezentarea realizată de auditori, în cadrul

căreia vor avea loc următoarele:

o realizarea unei prezentări organizate foarte bine, cât mai clară şi concisă;

o nu se va face nici o afirmaţie care nu poate fi susţinută concret printr-o probă de audit;

o se va evita transformarea prezentării într-un monolog al conducătorului misiunii de audit

intern, participând toţi auditorii, care au luat partea la lucrările de audit;

o se vor crea premisele unei prezentări animate, în care să predomine exemplele, pentru a se

asigura o înţelegere foarte clară a mesajului auditorilor;

o documentaţia de audit, trebuie să fi foarte riguros organizată, astfel încât, dacă situaţia o

impune, să poată fi cu uşurinţă prezentate şi expuse.

Ce-a de-a doua fază a reuniunii de reconciliere presupune acordarea dreptului la replică

entităţii auditate, mai exact prezentarea eventualelor contestaţii.

Cea mai rezonabilă situaţie este aceea în care contestaţia celor audiaţi poate fi combătută prin

oferirea de către auditor a unei dovezi incontestabile, şi astfel contestaţia va deveni fără echivoc

nulă.

Ne putem, însă, confrunta şi cu situaţia în care concluziile auditorului au fost mult prea

pripite, sau nu şi-a clasificat corespunzător dovezile, născându-se astfel controverse.

Sunt anumite situaţii, când aceste contestaţii au un caracter delicat, iar în acest caz se face

apel la bunul simţ al auditorului, care va aprecia dacă se justifică modificarea textului iniţial al

raportului la o problemă sau alta.

În condiţiile în care s-a instalat un climat de încredere, entitatea audiată poate să vină în

ajutorul echipei de auditori cu completări constructive la recomandările iniţiale.

3. Elaborarea raportului de audit intern

Pornind de la modificările executate şi convenite în cadrul reuniunii de reconciliere, se va

elabora o formă finală a raportului de audit intern, pentru că aceasta reprezintă, de fapt, produsul

finit al auditului intern.

Criteriile care vor trebui respectate în elaborarea reportului de audit intern final sunt:

(1) reprezintă documentul final al misiunii de audit;

(2) are caracter definitiv pentru că entitatea audiată a avut ocazia, în cadrul reuniunii de

reconciliere să-şi exprime punctele de vedere;

(3) raportul de audit trebuie să răspundă cerinţei de informare a managementului organizaţiei,

fiind astfel capabil să satisfacă nevoile informaţionale ale acestuia;

(4) argumentele aduse în sprijinul concluziilor auditorilor, trebuie să fie clar exprimate, riscurile

depistate sa fie exact precizate, iar recomandările să fie pertinente şi la obiect;

(5) rigurozitatea în elaborarea raportului de audit este impusă şi de faptul că, acest raport va fi

utilizat ca şi un mijloc de lucru de către managementul organizaţiei.

4. Difuzarea raportului de audit final şi monitorizarea lui

Scopul final al misiunii de audit este acela de a ajuta organizaţiile să-şi îmbunătăţească

activităţile, să ajute managementul organizaţiei de a obţine un control mai bun asupra operaţiunilor

din cadrul organizaţiei.

Prin urmare, este de la sine înţeleasă necesitatea şi obligativitatea ca raportul de audit în

forma sa finală, să fie transmis managementului organizaţiei, care-l va analiza şi aviza (Ugochuku I.

(2006)). Eficacitatea reală a muncii de audit, va fi reflectată de aplicarea efectivă în practică a

soluţiilor pe care le-au propus şi obţinerea unor rezultate concrete.

Auditorul nu va fi pasiv la ceea ce se va întâmpla mai departe, el va verifica, astfel, ca

propunerile formulate de el, pentru a corecta sau ameliora deficienţele constatate, să fie realmente

puse în practică.

Trebuie să subliniem un aspect foarte important, şi anume, acela că auditorul niciodată nu va

participa el însuşi la aplicarea propriilor lui soluţii.

În cazul contrar în care ar lua parte, s-ar produce confuzii majore în ceea ce priveşte menirea

funcţiei de audit intern. Auditorul intern va trebui să rămână independent şi obiectiv, implicarea lui

efectivă în aplicarea propriilor recomandări, îi afectează gradul de obiectivitatea şi asta nu e ceea ce

se doreşte.

Pe de altă parte, auditorul va dori, de cele mai multe ori, să ştie care au fost urmările punerii

în practică a soluţiilor pe care le-au promovat ei. Astfel, ei îşi vor putea măsura eficacitatea muncii

lor, vor acumula experienţă în ceea ce priveşte eficienţa recomandărilor propuse şi îşi vor putea

îmbunătăţi soluţiile pe care le vor propune în misiunile ulterioare de audit.

CAPITOLUL IV. CONTROLUL INTERN UN INSTRUMENT

PENTRU MANAGERII ENTITĂŢILOR

- Întrebările “cheie” pentru succesul demersului –

Teme supuse atenţie:

1. De ce controlul intern trebuie să devină una din preocupările centrale ale managerilor

entităţilor?

2. Controlul intern un instrument eficace pentru o mai bună gestionare a activităţilor.

3. Care sunt atribuţiile şi cui sunt ele încredinţate ?

4. Cum se aplică acest demers în practică ?

5. Care este contribuţia adusă administraţiei pe termen lung ?

1.1. Care sunt cerinţele şi obiectivul implementării demersului de control intern ?

■ Atingerea obiectivelor, stăpânirea şi pilotajul activităţii unei entităţi, sunt preocupări ce se

regăsesc în administraţia publică din multe ţări.

■ Cerinţele europene în privinţa transparenţei financiare şi a eficienţei circuitelor financiare publice

implică un angajament permanent al managerilor publici în controlarea operaţiilor.

■ În repetate rânduri, Uniunea Europeană a subliniat importanţa consolidării sistemelor de control

intern şi de management financiar.

■ Pe lângă aceste cerinţe, obiectivul major este punerea la dispoziţia managerilor a unui

instrument eficace care să-i ajute în ţinerea sub control a activităţii şi care să faciliteze

îndeplinirea obiectivelor.

Pe baza informaţiilor furnizate, controlul serveşte managementului pentru:

o Analiza calităţii deciziilor luate anterior şi a eficienţei acţiunilor întreprinse pentru realizarea lor;

o Aprecierea abaterilor pe cauze şi responsabilităţi;

o În funcţie de rezultatele acestor analize, stabilirea unor noi obiective şi strategii raportate la noile

condiţii aflate în continuă mişcare.

În practică se întâlnesc destul de des situaţii în care există aşteptări nerealiste în ceea ce

priveşte controlul intern şi anume:

Controlul intern poate asigura succesul unei organizaţii şi de asemenea o încredere

absolută în situaţiile financiare şi a conformităţii cu sistemul de referinţă avut în vedere.

Acest punct de vedere este eronat deoarece, pe de o parte controlul intern poate doar să

contribuie la atingerea obiectivelor stabilite ale organizaţiei, nu poate determina schimbarea unui

manager slab pregătit profesional într-un manager de excelenţă, iar pe de altă parte, controlul intern,

aşa cum subliniam şi mai sus, indiferent de cât de bine este conceput şi implementat, poate furniza

doar o asigurare rezonabilă.

Sistemul de control este privit ca un înlocuitor al sistemului de management.

Aceasta este o greşeală întâlnită destul de frecvent în practică, dar nu trebuie să uităm faptul

că controlul intern este o parte componentă a proceselor de management în planificare, executare şi

monitorizare, fiind considerat ca un mijloc utilizat de management şi nu ca şi un înlocuitor al

acestuia.

Controlul intern protejează total organizaţia împotriva erorilor în luarea deciziilor, a

confruntării a două sau mai multe persoane cu intenţii de fraudă sau capacitatea

managerului de a face uz de autoritate asupra sistemului, cu intenţii de rea-credinţă.

Posibilitatea întâmplării unor astfel de evenimente nu este complet eliminată prin intermediul

controlului intern şi aceasta datorită limitelor inerente de care se loveşte în practică sistemul de

control intern, indiferent de cât de bine fundamentat şi implementat este acesta.

Dintre aceste limite inerente ale controlului intern menţionăm:

Raportul cost/beneficiu: pornindu-se de la considerentul că, costul unui control intern să nu

depăşească avantajele care ar rezulta din exercitarea acestuia.

Direcţionarea controalelor interne cu precădere spre tranzacţiile de rutină şi mai puţin spre

cele neobişnuite.

Probabilitatea apariţiei erorilor umane datorate neglijenţei, neatenţiei, neînţelegerii sau

interpretării greşite a normelor legale şi a instrucţiunilor primite;

Probabilitatea sustragerii de la controalele interne ca urmare a înţelegerilor secrete între un

membru al conducerii şi un angajat, cu persoanele din afara sau din interiorul organizaţiei;

Probabilitatea exercitării unui abuz din partea unei persoane responsabile cu aplicarea

controlului intern.

Probabilitatea ca unele proceduri, datorită schimbării unor anumite condiţii să devină

neadecvate.

1.2. Care este domeniul acoperit de standardele de control intern ?

Toate misiunile, toate activităţile şi toate procedurile entităţii sunt vizate de demersul de

control intern.

Din acest motiv, standardele de control intern aprobate prin ordinul nr. 946/2005 al

ministrului finanţelor publice fac referire la o abordare managerială a controlului intern.

Punerea în practică a standardelor de control intern şi a ansamblului măsurilor cuprinse în

acest act normativ, au drept scop dezvoltarea sistemului de control managerial la nivelul fiecărei

entităţi publice.

Introducerea şi buna aplicare a procedurilor contabile şi financiare, ca instrumente ale unui

management financiar public eficace, constituie totuşi o prioritate care reiese clar din dispoziţiile

ordinului nr. 946/2005 al ministrului finanţelor publice.

2. CONTROLUL INTERN UN INSTRUMENT EFICACE PENTRU O MAI BUNĂ

GESTIONARE A ACTIVITĂŢILOR

2.1. Ce este controlul intern ?

2.2. Ce este COSO ?

2.3. Care este legătura între controlul intern şi managementul riscurilor ?

2.4. Reprezintă controlul intern o sarcină de lucru în plus pentru manageri şi colaboratorii

lor ?

2.5. Care este ponderea relativă a părţii financiare în cadrul controlului intern ?

2.6. Care este legătura între controlul intern şi dispozitivul de combatere a fraudei ?

2.1. Ce este controlul intern ?

Conform definiţiei cel mai des utilizate la nivel internaţional, controlul intern reprezintă

ansamblul de dispozitive stabilite de conducere şi implementate de către responsabilii de la orice

nivel pentru controlarea funcţionării activităţilor.

Aceste dispozitive sunt menite să ofere o asigurare rezonabilă cu privire la realizarea

obiectivelor organizaţiei, iar managerii sunt direct responsabili.

Conform celor indicate în standarde, obiectivele unei entităţi publice pot fi grupate in trei categorii:

• eficacitatea şi eficienţa operaţiilor;

• fiabilitatea informaţiilor interne şi externe;

• conformarea la legi, regulamente şi proceduri interne.

Prin urmare, această definiţie a controlului intern nu se limitează la simpla verificare a

operaţiilor.

a) Mediul de control reprezintă atitudinea generală, integritatea, valorile etice şi comportamentale

angajaţilor, stilul de operare al managementului, modul de atribuire a autorităţii şi responsabilităţii.

Mediul de control face parte din cultura instituţională, care este influenţată de stilul

conducerii, sistemul de valori însuşite de salariaţi, oamenii cu competenţă profesională şi

integritatea lor, descrierea activităţilor şi procedurilor, structura organizatorică, separarea sarcinilor,

IT ş.a. şi oferă cadrul în care se desfăşoară diferitele forme de control intern.

Mediul de control este unul dintre elementele importante de care au nevoie întreprinderile

pentru a-şi organiza un sistem de control intern eficient. Astfel auditorii se pot confrunta cu:

un mediu de control favorabil, care presupune existenţa unui climat în care valorile de etică

sunt privilegiate, care utilizează, acceptă şi apreciază controlul. Aceasta înseamnă că codurile de

conduită etică şi regulamentele interioare există şi sunt luate în consideraţie de toţi factorii, inclusiv

de managementul general. întotdeauna, puterea exemplului şefului contribuie la crearea unui climat

propice dezvoltării activităţilor de control.

un mediu de control adecvat, în care se respectă legile, regulile, procedurile, terţii-parteneri

de afaceri, salariaţii, contractele încheiate şi astfel activităţile entităţii sunt stăpânite;

un mediu de control deteriorat, în care nu există proceduri formalizate, se evită controalele,

există încălcări ale normelor de conduită şi regulamentelor de funcţionare sau chiar nerespectări ale

cadrului legislativ, ceea ce prejudiciază controlul intern. Acest mediu subminează sistematic

controlul intern asupra operaţiilor, minimalizează necesitatea implementării diferitelor activităţi de

control şi apelează în mod periodic la inspecţii. într-un mediu nefavorabil sau poate chiar corupt

activitatea de inspecţie devine importantă, dar în acelaşi timp creşte rolul auditorilor interni, care va

trebui să se implice în îmbunătăţirea acestuia şi a culturii organizaţiei.

b) Evaluarea riscurilor

Orice entitate este supusă riscurilor, care pot fi riscuri proprii funcţionării organizaţiei înseşi,

riscuri specifice fiecărei activităţi, dar şi riscuri externe. Unele riscuri sunt acceptabile şi inerente

fiecărei activităţi, însă există şi riscuri inacceptabile.

Toate entităţile îşi propun administrarea riscurilor, unele constituind în acest sens un

departament de management al riscului, altele lăsând această activitate în responsabilitatea

managementului general şi a managementului de linie şi în supervizarea compartimentului de audit

intern.

Un element fundamental al controlului intern al unei entităţi îl reprezintă existenţa unui

sistem de analiză şi evaluare a riscurilor din cadrul acesteia.

Evaluarea riscurilor presupune definirea obiectivelor şi condiţiilor pe care trebuie să le avem

în vedere în special pentru gestionarea schimbării, ţinând cont de faptul că oamenii se schimbă,

procedurile se schimbă, organizarea şi politicile se schimbă, deci şi riscurile se schimbă şi în

consecinţă controlul intern este condamnat la o permanentă adaptare la noile condiţii.

c) Activităţile de control sunt elemente specifice (politici, proceduri ş.a.) care vor permite

administrarea funcţiei, activităţii, subactivităţii sau operaţiei în conformitate cu obiectivele generale

ale controlului intern.

Activităţile de control sunt de o mare diversitate, în funcţie de entitate, de cultura

organizaţională a acesteia, de structura organizatorică, de numărul activităţilor etc. Acestea se

efectuează în întreaga organizaţie, la toate nivelurile ierarhice şi de către toate funcţiile şi constau în:

indicaţie, recomandare, decizie, hotărâre, sancţiune, aprobare, aviz, îndrumare, apreciere, plan,

program, analiză, autorizaţii, verificări, reconcilieri, revizuiri, siguranţa activelor, segregarea

sarcinilor, raport, buget de venituri şi cheltuieli, cont de profit şi pierdere, bilanţ contabil, dare de

seamă, instrumente matematice, tehnici informatice, tehnica PERT, cercetarea operaţională,

simulare, grafice, programare liniară, drum critic ş.a.

d) Informaţii şi comunicare

Informaţiile relevante sunt informaţiile pertinente, cheie, care de regulă ne parvin Ia timp şi

într-o formă convenabilă. Acestea trebuie identificate, colectate şi comunicate într-o formă şi într-un

timp care să Ie dea oamenilor posibilitatea să-şi îndeplinească responsabilităţile. Informaţia necesară

trebuie înlăturată, iar informaţia critică trebuie analizată.

Comunicarea efectivă trebuie să aibă loc într-un sens mai larg şi să implice toate activităţile

şi toate structurile organizaţiei.

Din practică se impune ca întreg personalul entităţii să primească un mesaj clar din partea

conducerii cu privire la necesitatea luării în serios a responsabilităţilor ce-i revin, dar şi Ia

înţelegerea propriului rol în sistemul de control intern şi a legăturilor activităţilor individuale cu

munca altora. în acelaşi timp este necesar să existe un mijloc de comunicare a informaţiilor

semnificative superiorilor ierarhici.

e) Monitorizarea

In practică s-a dovedit că managerii de la toate nivelurile, mai ales cei care nu au proceduri

formalizate sau în cazul în care acestea nu sunt actualizate, fac de regulă control intern fără să

realizeze acest lucru. Astfel fiecare responsabil, oriunde s-ar afla, se organizează pentru a-şi conduce

activitatea prin: definirea sarcinilor fiecăruia, stabilirea instrumentelor şi tehnicilor de lucru,

pregătirea profesională, dotarea cu echipamente şi sisteme electronice, supervizarea activităţii

personalului ş.a.

Elementul

urmăritModelul COSO Modelul CoCo

Definiţia

controlului intern

Un proces implementat de consiliul de

administraţie, conducere şi întregul

personal al unei entităţi, destinat să

Ansamblul elementelor ca şi resurse,

sisteme, procedee, structuri, cultura

organizaţiei şi alte elemente

furnizeze o asigurare rezonabilă cu

privire la atingerea obiectivelor

organizaţiei.

componente, care pune împreună

contribuie la atingerea obiectivelor

organizaţiei.

Obiectele

controlului intern

Eficienţa şi eficacitatea

operaţiunilor;

Realitatea rapoartelor

financiare ;

Conformitatea cu legile şi

regulamentele aplicabile.

Eficienţa şi eficacitatea

operaţiunilor;

Fiabilitatea raportărilor interne

şi externe;

Conformitatea cu legile şi

regulamentele aplicabile, precum

şi cu politicile interne.

Punctele de

ancorare

Cinci elemente componente : mediul de

control; evaluarea riscurilor; activităţile

de control; informaţii şi comunicare,

monitorizarea.

Patru elemente componente: scopul,

implicarea, capacitatea, monitorizarea şi

învăţarea; şi douăzeci de criterii de

control.

Aplicabilitate

Utilizat îndeosebi în sectorul privat din

Europa, şi din ce în ce mai mult în

organizaţiile din SUA, îndeosebi în

acela implicate în comerţul internaţional,

dar şi în sectorul public .

Utilizat în sectorul public şi privat din

Canada.

Monitorizarea

controlului intern

Element important care este privit în

strânsă corelaţie cu celelalte patru

elemente componente ale modelului.

Se realizează ţinând cont de eficienţa

controalelor şi indicatorii de

performanţă urmăriţi.

Utilizarea

experienţei

COSO promovează utilizarea

experienţei dobândite prin monitorizare

şi revizuire.

CoCo susţine utilizarea experienţei prin

monitorizare şi învăţare.

Elementele cheie

comune

Controlul intern este efectuat de întregul personal al organizaţiei;

Controlul intern furnizează doar un nivel rezonabil de asigurare, nu

oferă o garanţie absolută;

Controlul intern este proiectat şi implementat pentru atingerea

obiectivelor organizaţiei.

2.3. Care este legătura între controlul intern şi managementul riscurilor ?

O politică adecvată de control intern oferă managerului o asigurare rezonabilă că obiectivele

sale vor fi atinse. Aceasta presupune, în prealabil, realizarea următoarelor operaţiuni:

• identificarea obiectivelor entităţii;

• cartografierea proceselor;

• analiza şi evaluarea riscurilor inerente proceselor şi care ar putea să compromită

îndeplinirea obiectivelor entităţii.

Definirea activităţilor de control intern ţine direct de această analiză; activităţile de control

constituie răspunsurile entităţii în gestionarea riscurilor. Gestionarea riscurilor constituie, deci, o

etapă esenţială în orice demers de control intern.

Actualizarea sistematică a acestei analize a riscurilor este de asemenea indispensabilă

pentru ca dispozitivul de control intern să fie un instrument operaţional permanent. Recunoaşterea

caracterului esenţial al gestionării riscurilor cu privire la controlul intern s-a concretizat prin apariţia

conceptului de management al riscurilor.

2.4. Reprezintă controlul intern o sarcină de lucru în plus pentru manageri şi colaboratorii

lor ?

Activităţile de control intern sunt cu atât mai eficace cu cât sunt integrate în proceduri decât

să se suprapună cu sarcinile curente: ele nu se limitează la operaţiile de verificare efectuate de

manageri asupra operaţiilor realizate de subordonaţii lor sau la controale mutuale între executanţi.

Astfel, separarea sarcinilor, regulile de rotaţie pe funcţiile sensibile sunt măsuri de control intern

de ordin organizatoric des utilizate pentru garantarea securităţii în gestionarea fondurilor publice.

Este responsabilitatea managerilor să vegheze asupra eficienţei dispozitivului de control

intern în funcţie de:

• apetenţa lor pentru risc;

• rezultatele evaluării riscurilor;

• mijloacele de care dispun.

Este foarte important de reţinut faptul că riscul 0 nu există. Miza unui demers metodologic

riguros este, deci, găsirea unui echilibru optimal între nevoia de securitate şi gestionarea eficientă a

mijloacelor de care dispun managerii publici.

Cu certitudine, efortul de dezvoltare a sistemului de control intern este o investiţie profitabilă

pe termen mediu şi lung.

2.5. Care este ponderea relativă a părţii financiare în cadrul controlului intern ?

Cu toate că demersul de control intern vizează toate activităţile organizaţiei, funcţiile

financiare sunt în primul rând vizate. Fiabilitatea informaţiilor financiare constituie astfel unul

din cele trei obiective majore ale modelului COSO.

Importanţa acordată calităţii informaţiilor financiare a fost net afirmată în ultimii ani de

decizia mai multor state europene de a se angaja intr-un demers de certificare a conturilor.

Un acelaşi fenomen de consolidare a controlului intern contabil şi financiar a fost iniţiat în

sectorul comercial sub forma legilor “post-Enron” şi în contextul Legii Sarbanes-Oxley.

Bineînţeles, acest demers nu trebuie să se limiteze la verificări tradiţionale sau reglementări

pe operaţii sau situaţii financiare, ci trebuie să includă o gândire mai largă privind riscurile care

ameninţă funcţiile financiare dar şi identificarea mijloacelor eficace de gestionare a acestora

(separarea sarcinilor, securitatea sistemului informaţional,fiabilitatea raportării).

2.6. Care este legătura între controlul intern şi dispozitivul de combatere a fraudei ?

Demersul de control intern vizează gestionarea riscurilor care ameninţă activitatea

organizaţiei, fără ca acestea să poată fi eliminate complet.

Riscul de fraudă trebuie să constituie o preocupare majoră pentru managerii financiari, mai

ales atunci când resursele sunt constituite din bani publici.

O cerinţă fundamentală pentru manager, în cadrul politicii sale de control intern, este să

realizeze o analiză obiectivă a vulnerabilităţii organizaţiei sale.

Pornind de la această bază, el va putea sa implementeze măsuri eficace şi cât mai puţin

costisitoare prin care să consolideze securitatea fără însă a compromite fluiditatea procedurilor /

activităţilor.

3. CARE SUNT ATRIBUŢIILE ŞI CUI SUNT ELE ÎNCREDINŢATE ?

3.1. Cine are responsabilitatea controlului intern ?

3.2. Care sunt actorii controlului intern ?

3.3. Care este rolul auditului intern ?

3.1. Cine are responsabilitatea controlului intern ?

În măsura în care managerul este responsabil de obiective, acesta este clar identificat ca fiind

responsabil de controlul intern în cadrul organizaţiei sale.

Managerul general este responsabil de pilotajul întregului dispozitiv de control intern,

asigurându-se că acesta acoperă riscurile principale şi că este coerent în ansamblul său şi eficient.

În acest caz, fiecare manager din entitate trebuie să elaboreze politica de control intern la

nivelul compartimentului / compartimentelor care depind de acesta ierarhic şi funcţional.

Directorul financiar are o responsabilitate specială pe dispozitivul de control în ceea ce

priveşte procesele contabile şi financiare. Acesta trebuie să aibă în vedere că procesele contabile pot

reflecta operaţiuni ale mai multor servicii, fie că ele iniţiază anumite operaţii (de exemplu: comandă

de marfă de către un serviciu tehnic) sau contribuie la finalizarea operaţiilor financiare ori

efectuează controale asupra acestora.

3.2. Care sunt actorii controlului intern ?

Dacă managerii publici, de la toate nivelurile ierarhice, sunt responsabili de dispozitivul de

control intern în sfera lor de competenţă, aceştia nu sunt singurii actori. Tot personalul, de la top

management până la personalul de execuţie, trebuie să fie implicat, să participe la acest demers.

Managerii stabilesc dispozitivul de implementat, dar pot delega pilotajul operaţional la

compartimentul vizat de demers. Restul personalului implementează activităţile de control.

În multe organizaţii, direcţiile financiare au o funcţie transversală de pilotaj şi de organizare

a dispozitivului de control intern. Anumite administraţii au instituit direcţii de management al

riscurilor.

3.3 Care este rolul auditului intern ?

Auditul intern este una din activităţile menite să evalueze periodic dispozitivul de control

intern şi să propună, dacă este cazul, măsuri de îmbunătăţire în vederea oferirii de sprijin

managerilor pentru o mai bună gestionare a riscurilor, deci pentru atingerea obiectivelor.

Auditul intern este o activitate independentă şi obiectivă care se exercită prin respectarea

unei metodologii şi a unor reguli de deontologie definite prin norme internaţionale de audit şi

preluate în referenţiale naţionale.

Auditul intern nu se interferează cu gestionarea exercitată de manager. Pentru a-şi

menţine obiectivitatea, auditorul nu are autoritate ierarhică asupra managerului şi nu trebuie implicat

în implementarea procedurilor auditate. De asemenea, el nu este subordonat managerilor pe care îi

auditează.

Acesta propune recomandări operaţionale pentru ameliorarea eficacităţii dispozitivului de

control intern dar de a căror implementare este responsabil doar managerul.

4. CUM SE APLICĂ ACEST DEMERS ÎN PRACTICĂ ?

4.1. Cum se iniţiază un demers de control intern ?

4.2. Cum se pilotează implementarea controlului intern ?

4.3. Care sunt dificultăţile întâmpinate în implementarea unui dispozitiv de control intern

adaptat şi eficace ?

4.4. Cui şi în ce mod trebuie comunicate problemele legate de implementarea demersului de

control intern ?

4.1. Cum se iniţiază un demers de control intern ?

Desfăşurarea unui demers de control intern în cadrul unei entităţi publice constituie un

proiect în sine.

Iniţierea acestui proiect presupune parcurgerea mai multor faze:

• crearea unei echipe pilot ce are ca atribuţie pilotajul acţiunilor: ordinul nr. 946/2005 al

ministrului finanţelor publice prevede în acest sens constituirea în cadrul fiecărei entităţi publice, a

unui grup de lucru.

• realizarea unui diagnostic al sistemului de control managerial existent: trebuie analizate

procedurile şi practicile existente în cadrul entităţii raportate la prevederile standardelor. Acest

diagnostic reprezintă o etapă decisivă, deoarece condiţionează natura şi sfera de acoperire a

masurilor care urmează a fi implementate.

• elaborarea unui plan de acţiune care va constitui tabloul de bord al desfăşurării demersului.

Acţiunile trebuie să fie ierarhizate în funcţie de strategia entităţii.

4.2. Cum se pilotează implementarea controlului intern ?

Implementarea unei politici de control intern nu răspunde unei nevoi pentru termen scurt.

Trebuie, dimpotrivă, văzută ca un demers permanent şi viu în cadrul organizaţiei.

Aceasta înseamnă că pilotajul implementării controlului intern trebuie să implice, pe lângă

echipa de proiect, top managementul entităţii publice.

Este foarte important ca in stadiul de implementare, să se transmită tuturor compartimentelor

entităţii publice semnale puternice privind importanţa şi finalitatea demersului.

Managerul general al entităţii publice ar trebui să conducă direct echipa de proiect. El poate,

totuşi, să delege această responsabilitate înlocuitorului său de drept sau unei persoane de rang înalt

din cadrul entităţii, şi să participe la momentele “cheie” ale proiectului.

Atenţia acordată constituirii echipei de proiect este de asemenea importantă. Echipa trebuie

să cuprindă cel puţin persoanele cu funcţie de conducere astfel încât să acopere ansamblul

componentelor structurii organizatorice a entităţii publice.

Un expert în informatică poate fi asociat acestor lucrări în mod util. De asemenea, auditorii

pot fi solicitaţi în calitate de consultanţi.

4.3. Care sunt dificultăţile întâmpinate în implementarea unui dispozitiv de control intern

adaptat şi eficace ?

Miza şi provocarea majoră cu care se confruntă managerii în momentul lansării demersului

de control intern nu sunt cele de ordin tehnic.

Anumite instrumente specifice sunt evident indispensabile implementării dispozitivului

(evaluarea riscurilor, instrumente de raportare, sistem informaţional).

Cu toate acestea, managerii se pot inspira din experienţele altor administraţii publice care au

conceput şi aplicat sisteme de control managerial proprii eficace.

O bună “instrumentare” a controlului intern nu garantează totuşi reuşita demersului pe

termen scurt şi cu atât mai puţin pe termen lung.

Provocarea managerilor constă mai degrabă în a obţine adeziunea reală a întregului

personal al entităţii publice la dezvoltarea sistemului de control intern.

Pentru a favoriza această aderare, managerii dispun de cel puţin trei pârghii:

• acţiuni de comunicare şi de pregătire, care sunt indispensabile pentru a convinge în

privinţa utilităţii colective a demersului şi a implicării managerilor, şi pentru a da naştere unei

culturi comune în acest sens în cadrul entităţii.

• implicarea personalului prin participarea directă la conceperea dispozitivului de

control intern, în special în faza de diagnostic. Aceasta poate avea forma de ateliere de lucru (de

tipul “autoevaluare a sistemului / subsistemului de control managerial”). La aceste ateliere de lucru

trebuie să participe manageri, de toate nivelurile, dar şi persoane fără responsabilitate managerială.

Dezbaterile din cadrul acestor ateliere favorizează identificarea factorilor de risc şi definirea

măsurilor de control intern corespunzătoare. Participarea la aceste ateliere a personalului,

însărcinat ulterior cu implementarea acestor măsuri, favorizează şi mai mult aderarea lor la demers.

• exemplul personal al managerilor, îndeosebi al managerului general, constituie o

pârghie determinantă pentru reuşita întregului demers de control intern. Acesta condiţionează

esenţial adeziunea reală a personalului entităţii.

4.4. Cui şi în ce mod trebuie comunicate problemele legate de implementarea demersului de

control intern ?

Comunicarea deţine un rol important în demersul de control intern şi aceasta trebuie să aibă

loc în două sensuri:

comunicarea “descendentă” de la top management către compartimentele entităţii, în vederea

explicării, a demistificării şi a promovării demersului. Această comunicare este esenţială în faza

de diseminare a dispozitivului. Toată lumea câştigă: este stimulată dorinţa de reuşită a

demersului care favorizează responsabilizarea fiecăruia şi îndeplinirea obiectivelor.

Comunicarea se poate face prin suporturi oficiale (texte reglementare sau legislative), dar se

recomandă utilizarea, cu precădere, a unor suporturi mai puţin formale, scrise sau orale, menite

să reafirme importanţa demersului sau să insiste pe anumite aspecte “cheie” (mobilizarea tuturor,

identificarea riscurilor majore ...)ş

comunicarea “ascendentă”: este vorba despre raportarea către nivelurile corespunzătoare de

management a informaţiilor privind gestionarea riscurilor şi îndeplinirea obiectivelor. Managerii

au responsabilitatea de a defini natura, gradul de agregare şi termenul de colectare a

informaţiilor în funcţie de obiective şi de nivelul de responsabilitate.

Trebuie ţinut cont şi de costul producerii acestor informaţii. Cu cât costul este mai ridicat cu

atât devine mai important riscul de exhaustivitate, de exactitate, deci de fiabilitate a informaţiilor.

Aceasta presupune acordarea unei atenţii sporite numărului şi pertinenţei indicatorilor de activitate

şi de rezultate ce vor fi raportaţi managerilor.

Ceilalţi actori ai controlului intern, auditorii interni şi controlorii financiari, pot, de

asemenea, contribui la colectarea informaţiilor esenţiale privind funcţionarea sistemului de control

intern prin semnalarea disfuncţionalităţilor constatate.

5. CARE ESTE CONTRIBUŢIA ADUSĂ PE TERMEN LUNG ?

5.1. Cum poate contribui controlul intern la ameliorarea performanţelor entităţilor publice ?

5.2. Cum poate fi permanentizat demersul de control intern ?

5.1. Cum poate contribui controlul intern la ameliorarea performanţelor entităţilor publice ?

Implementarea unui demers de control intern constituie o oportunitate reală oferită

managerilor pentru ameliorarea funcţionării şi a performanţelor entităţii. Aceasta implică o gândire

profundă şi colectivă asupra punctelor forte dar îndeosebi asupra vulnerabilităţilor proprii proceselor

implementate în cadrul entităţii.

Acest diagnostic inerent demersului permite:

• identificarea disfuncţionalităţilor sau a factorilor potenţiali de disfuncţionalitate;

• valorificarea şi diseminarea celor mai bune practici elaborate în cadrul entităţii publice

Lansarea unui asemenea proiect poate constitui, în acelaşi timp, o oportunitate de

implementare a unor dispozitive de pilotaj inovatoare dar, în primul rând, a principiilor / regulilor de

bună practică agreate la nivelul Uniunii Europene.

5.2. Cum se poate permanentiza demersul de control intern ?

Trebuie asigurată permanenţa şi durabilitatea dispozitivului de control intern. Aceasta nu

înseamnă totuşi că dispozitivul trebuie să rămână imuabil. De fapt, mediul, activităţile, organizarea

entităţii evoluează. De asemenea, strategia şi obiectivele entităţii sunt reevaluate cu regularitate.

Dispozitivul de control intern trebuie să se poată adapta constant la aceste evoluţii, altfel riscă să

nu mai garanteze controlarea operaţiilor. Mai mult, el poate deveni astfel un factor de rigiditate în

cadrul entităţii.

Miza este deci permanentizarea eficienţei dispozitivului de control intern. Pentru aceasta,

trebuie actualizate cu regularitate:

• diagnosticul proceselor vitale pentru entitate;

• cartografia riscurilor.

Această funcţie de veghere poate fi încredinţată unei structuri specializate, însărcinată cu

managementul riscurilor.

Controlul intern nu trebuie totuşi ca, în timp, să devină o preocupare exclusivă a unor

specialişti. Managerii trebuie să fie în continuare, fiecare la nivelul său, actori cheie ai adaptării

dispozitivului la realităţile entităţii publice. Ei trebuie să diagnosticheze cu regularitate procesele de

care sunt responsabili. Ori investiţia realizată pentru organizarea atelierelor de lucru care au ajutat la

lansarea demersului nu se poate repeta cu aceeaşi regularitate.

Pot fi însă elaborate şi puse la dispoziţia managerilor ghiduri de autodiagnostic, a căror

utilizare le permite să menţină activ dispozitivul de control intern.

De asemenea, compartimentul de audit intern îi poate ajuta pe manageri să adapteze

controlul intern în funcţie de riscurile inerente activităţilor din cadrul entităţii.

Procesul de implementare al controlului intern

Implementarea activităţilor de control presupune parcurgerea următoarelor etape:

I. Pregătirea implementării activităţilor de control;

II. Stabilirea activităţilor de control intern;

III. Ierarhizarea activităţilor de control intern.

I. Pregătirea implementării activităţilor de control

Implementarea activităţilor de control intern, indiferent de ce natură ar fi ele, presupune

definirea misiunii, stabilirea şanselor de reuşită şi cunoaşterea regulilor ce se impun a fi

respectate.

În definirea misiunii aferente fiecărei activităţi, se porneşte de la premisa că fiecare funcţie

sau activitate din cadrul unei entităţi se exercită pe baza unei politici generale şi fiecare manager al

unei activităţi sau funcţii trebuie să definească, sau cel puţin să cunoască politica pe care trebuie să o

aibă în desfăşurarea activităţii sau funcţiei respective. Prin intermediul fiecărei politici se va stabili,

aşadar, care este misiunea responsabilului, precizând acţiunile pe care trebuie să le întreprindă,

scopul şi domeniul de aplicare.

Atunci, când în desfăşurarea misiunii sale auditorul intern va trebui să aprecieze şi să

evalueze aceste dispozitive de control, el nu va putea face acest lucru decât dacă va cunoaşte

misiunea încredinţată managerului activităţii respective. De aceea, prima sa întrebare va fi: „Care

sunt obiectivele misiunii dumneavoastră?”, urmată apoi de o altă întrebare: „De ce?”, pentru a

înţelege astfel misiunea încredinţată respectivului manager.

Limitele ce trebuie luate în calcul la definirea misiunii le putem clasifica în două categorii

astfel:

Limite generate de prevederile legale, dar şi prevederi de deontologie profesională a

entităţii. Aceste dispoziţii creează un cadru pe care nu-l vom putea încălca, în interiorul lui

desfăşurându-se acţiunea, iar controlul intern trebuie să aibă în vedere acest cadru legislativ;

Limite tehnice, cum ar fi de exemplu, capacitatea de producţie a utilajelor, scadenţarul fiscal

sau al obligaţiilor juridice care trebuie respectate sau limite impuse de contractele de împrumut.

II. Stabilirea activităţilor de control intern

O dată aceste faze prealabile ale implementării controlului intern fiind îndeplinite, este

momentul trecerii la următoarea etapă şi anume aceea a stabilirii activităţilor de control, în vederea

implementării. Aceste activităţi sau dispozitive de control trebuie să fie foarte bine cunoscute atât de

către manageri, cât şi de către auditori, a căror misiune va fi aceea de a le aprecia. Aceste activităţi

de control vor fi identificate prin intermediul „Chestionarelor de control intern”, iar ele pot fi

grupate în următoarele şase categorii:

1. Obiectivele

După precizarea obiectului misiunii sale, prima îndatorire a managerului sau responsabilului

unei activităţi va fi aceea de stabilire a obiectivelor pe care trebuie să le atingă pentru a îndeplini

sarcina care i-a fost încredinţată. Responsabilii funcţiilor sau activităţilor au sarcina de a respecta

atât obiectivele generale ale controlului intern, cât şi obiectivele specifice misiunii lor, pe care

trebuie să le definească şi care vor fi ulterior apreciate de către auditorii interni, pornind de la

următoarele criterii pe care trebuie să le îndeplinească:

Participarea la realizarea misiunii încredinţate responsabilului,

Repartizarea lor în interiorul funcţiei sau activităţii,

Posibilitatea cuantificării lor,

Posibilitatea monitorizării lor,

Încadrarea în timp;

Claritate, astfel încât să nu dea naştere la confuzii.

2. Resursele

Este necesar să avem în vedere următoarele categorii de resurse:

Resurse umane, o problemă destul de delicată, unde trebuie să urmărim mai degrabă criteriul

calităţii, decât cel al cantităţii. În lipsa unui personal competent profesional, rezultă o

compromitere a activităţilor de control, ceea ce poate cauza anomalii sau ineficienţe destul de

grave. Această problematică a resurselor umane trebuie privită prin prisma recrutării,

perfecţionării pregătirii permanente şi deontologia profesională.

Resurse financiare sunt concretizate în bugetele de exploatare sau de investiţii conforme cu

obiectivele stabilite, iar problema care trebuie urmărită întotdeauna este de a asigura încadrarea

în limitele stabilite de aceste bugete, în vederea atingerii scopurilor stabilite, fără a modifica însă

obiectivele stabilite.

Resursele tehnice, care au în vedere tehnicile de gestiune, sistemele informatice, tehnicile

comerciale sau industriale, care contribuie în mod unitar la atingerea obiectivelor stabilite.

3. Sistemele de informare

Cea de-a treia categorie de activitate de control o reprezintă sistemele de informare, care se

regăsesc în cadrul tuturor activităţilor din cadrul unei organizaţii, fiind constituite atât din sisteme

informaţionale, cât şi din sisteme informatice.

Sistemele informaţionale au în vedere toate activităţile, fiind constituite pentru a permite un

control eficient al acestora şi includ şi sistemele de informare financiar-contabile. Un exemplu de

sistem informaţional este sistemul informaţional economic care are principala menire de a furniza

informaţiile necesare cunoaşterii activităţii economice în vederea luării deciziilor pe toate treptele

organizatorice. Sistemele informatice sunt reprezentate de partea automatizată din cadrul sistemului

informaţional.

4. Organizarea

Datorită complexităţii şi diversităţii mari a entităţilor, naturii activităţii desfăşurate, culturii

fiecărei organizaţii, o problemă esenţială a managementului o constituie organizarea, pentru că aşa

cum afirma Fayolle: „nu putem controla decât ceea ce este organizat” (citat de Renard, J., 2002).

În aprecierea eficienţei organizării, auditorului interni trebuie să aibă în vedere următoarele

elemente:

Organigrama ierarhică, care permite o înţelegere mai bună a funcţionării activităţii, iar o

eventuală lipsă a sa constituie din start o deficienţă gravă. Analiza organigramei îi va permite

auditorului să înţeleagă relaţiile de competenţă, de acţiune şi de responsabilitate şi să depisteze

eventualele puncte slabe.

Fişa postului, a cărui analiză permite identificarea sarcinilor şi atribuţiilor care revin

fiecărui angajat, precum şi limitele competenţei de acţiune;

Cadrul material, care se referă la cadrul de creare a mediului corespunzător desfăşurării

activităţii şi care asigură totodată protecţia fizică atât a bunurilor, cât şi a persoanelor.

5. Procedurile

Pentru ca activităţile să se poată desfăşura este necesară definirea procedurilor şi

modalităților de lucru şi formalizarea acestora pentru toate activităţile sau funcţiile care se

desfăşoară în cadrul unei organizaţii. Inexistenţa procedurilor şi a modalităţilor de lucru presupune

că:

Managementul deţine un control slab asupra activităţilor desfăşurate;

Auditorul intern este privat de vitalul sistem de referinţă, la care el se raportează în vederea

evaluării diferenţelor şi formularea recomandărilor şi a concluziilor.

5. Supervizarea

Supervizarea presupune însă:

Un act de asistenţă, ceea ce înseamnă ajutarea salariatului în realizarea sarcinilor dificile, noi

soluţionarea conflictelor şi identificare punctelor slabe şi a punctelor tari;

Un act de verificare, în vederea evitării aplicării sau interpretării eronate a unor proceduri;

Un act de evaluare, conform unei periodicităţi aleatorii, dar sigure, a ceea ce se întâmplă, pentru

a evita tentaţiile de naturi diferite şi pentru îmbunătăţirea performanţelor în desfăşurarea

activităţilor;

Un act de susţinere, prin care să le arătăm celorlalţi că greutăţile şi performantele lor nu sunt

ignorate şi avem în vedere posibilitatea valorificării oricărei iniţiative valoroase de la toate

nivelurile ierarhice.

6. Ierarhizarea activităţilor de control intern

Managementul de linie, sau, mai exact, managerii de compartimente, realizează o listă a

activităţilor de control, având ca punct de pornire baza piramidei organizatorice şi mergând până la

obiectivele situate în vârful acestei piramide.

Din acest punct de vedere, putem împărţi activităţile de control astfel:

Activităţi de control care revin managementului general, cum ar fi: obiectivele, resursele şi

sistemele de informareş

Activităţi de control care interesează în mod deosebit managementul de linie şi anume:

organizarea, procedurile, supervizarea.

Concluzii:

Între obiectivele şi misiune există o relaţie directă, obiectivele fiind stabilite în funcţie de

misiune care trebuie îndeplinită;

Aceste obiective definite vor condiţiona ulterior definirea şi stabilirea resurselor care trebuie

implementate, asigurând o rigoare în identificare şi cuantificarea acestora;

Definirea resurselor va permite calcularea costului necesar implementării acestora;

Este necesar ca sistemul de informare să conţină elementele necesare pentru monitorizarea

obiectivelor;

Resursele identificate vor fi implementate în cadrul organizării, iar elementele inutile vor fi

eliminate.

Procedurile de lucru sunt avute în vedere împreună cu sistemele de informare pentru activitatea

de supervizare;

Toate activităţile de control nu trebuie să facă abstracţie de constrângerile, care rezultă din

regulile care trebuie să fie respectate, mai exact reglementările legislative şi politicile interne

ale organizaţiei.

Implementarea efectivă a controlului intern

Identificarea activităţilor de control specifice funcţiei sau activităţii presupune parcurgerea

următoarelor etape:

(1) Divizarea funcţiei sau activităţii în subactivităţi elementare pentru identificare zonelor de risc şi

pentru a-şi construi chestionarul de control intern (CCI).

Responsabilul activităţii respective va întocmi o listă cu subactivităţile sale, într-un mod

secvenţial, în măsura posibilităţilor. Gradul de detaliere va rămâne la latitudinea responsabilului,

însă el trebuie să fie conştient de faptul că, cu cât divizarea în sarcini elementare va fi mai adâncă,

cu atât activitatea de control implementată va fi mai riguroasă şi mai eficace.

Vom considera astfel că avem de implementat activităţile de control pentru activitatea:

„Încasarea numerarului de la clienţi”. Divizarea în subactivităţi a activităţii „Încasarea

numerarului de la clienţi” cuprinde:

Întâmpinarea clientului şi comunicarea de către acesta a numărului de factură pe care doreşte să

o plătească, sau a numelui acestuia, în condiţiile existenţei unui program informatic care să

permită vizualizarea listei creanţelor aferente fiecărui client în parte.

Comunicarea sumei de plată de către casier.

Încasarea şi numărarea banilor de către casier.

Validarea încasări de către casier.

Emiterea chitanţei.

Transmiterea de către client a chitanţei precum şi a restului de numerar aferent.

Activitatea de încasare a numerarului de la clienţi a fost împărţită în şase sarcini elementare,

dar ele ar putea fi mai multe sau mai puţine, în funcţie de gardul de rigurozitate dorit.

(2) Identificarea riscurilor proprii fiecărei subactivităţi şi evaluarea acestora presupune să găsim

răspunsuri adecvate la întrebarea: Ce s-ar întâmpla în condiţiile în care această subactivitate s-ar

efectua prost sau nu s-ar efectua deloc? Această identificare este necesar să se facă într-un grup de

câte două-trei persoane care cunosc bine funcţia sau activitatea respectivă pentru a ne asigura că nu

s-a omis nimic. Pentru fiecare dintre aceste identificări se va efectua evaluarea riscului, după

următoarele criterii: Grav (G), Mediu (M), Slab (S).

1. Pentru subiectivitatea „întâmpinarea clientului şi comunicarea de către acesta a

numărului de factură pe care doreşte să o plătească, sau a numelui acestuia” identificăm

următoarele riscuri:

Înscrierea eronată a datelor de identificare a clientului (înţelegerea greşită a numelui) –

G;

Înscrierea eronată a datelor de identificare a facturii care se plăteşte – G;

2. Pentru subactivitatea „Comunicarea sumei de plată de către casier” apreciem existenţa

următoarelor riscuri:

Insatisfacerea clientului prin comunicarea sumei eronate în sensul că s-a comunicat în

plus – M;

Minus în casă prin comunicarea sumei eronate în minus –G;

clientului prin comunicarea sumei eronate în sensul că s-a comunicat în plus – M;

Minus în casă prin comunicarea sumei eronate în minus –G;

3. În ceea ce priveşte subactivitatea „Încasarea şi numărarea banilor de către casier”

stabilim următoarele riscuri:

Numărarea eronată a banilor încasaţi – G;

Numărul încasat nu este depozitat imediat în locurile protejate cu măsuri de securitate,

existând posibilitatea furtului lor de către alţi salariaţi, clienţi – M;

4. La subactivitatea „Validarea încasării de către casier”, identifică următoarele riscuri:

Validarea incorectă a încasării – G;

Lipsa procedurilor scrise privind validarea încasării – M;

5. Pentru subactivitatea „Emiterea chitanţei” apreciem existenţa următoarelor riscuri:

Neasigurarea conformităţii cu legile în ceea ce priveşte formularele cu regim special (în

cazul nostru chitanţa) – G;

Lipsa procedurilor scrise de emitere a chitanţei – M;

Neactualizarea procedurilor conform cu noile modificări legislative – G;

6. Referitor la subactivitatea „Transmiterea către client a chitanţei precum şi a restului de

numerar aferent”, stabilim următoarele riscuri:

Insatisfacerea clientului prin restituirea în minus a numerarului aferent – M;

Minus în casă prin restituirea în plus a numerarului aferent – G

(3) Identificarea activităţilor de control presupune să căutăm răspunsul la întrebarea: „Cum trebuie

acţionat sau ce trebuie implementat pentru ca riscurile identificate să nu se mai manifeste?” Nu

trebuie să facem abstracţie de caracterul relativ al acestei proceduri, deoarece un risc nu putem să-l

eliminăm niciodată complet, ci doar să încercăm să-i reducem probabilitatea de apariţie, şi aceasta

datorită următoarelor motive:

niciodată nu va putea fi eliminat definitiv riscul de control, mai exact acel risc inerent

aferent însăşi activităţii de control implementate, care vrând-nevrând va avea imperfecţiuni. Acest

risc al controlului va creşte o dată cu modificările şi schimbările din cadrul funcţiei sau activităţii la

care se referă, dacă aceasta nu va fi actualizată în mod constant;

funcţia de audit intern din cadrul organizaţiei va avea şi ea o contribuţie foarte importantă

pentru updatarea şi îmbunătăţirea continuă a sistemului de control al funcţiei sau activităţii, însă nu

putem să facem abstracţie de riscul de audit la care este expus auditul intern.

1. Pentru subactivitatea „Întâmpinarea clientului şi comunicarea de către acesta a numărului de

factură pe care doreşte să o plătească, sau a numelui acestuia”, pentru fiecare risc în parte,

identificăm următoarele activităţi de control:

Riscul nr.1: Înscrierea eronată a datelor de identificare a clientului (înţelegerea greşită a

numelui);

Activităţi de control:

Solicitarea pe lângă nume, a codului de client;

Emiterea unui bon cuprinzând elementele de identificare a clientului;

Riscul nr.2: Înscrierea eronată a datelor de identificare a facturii care se plăteşte;

Activităţi de control: Confruntarea propriu-zisă a datelor de identificare a facturii cu

documentul suport material al acesteia;

2. Pentru subactivitatea „Comunicarea sumei de plată de către casier”, având în vedere riscurile

identificare, implementăm următoarele activităţi de control:

Riscul nr.1: Insatisfacerea clientului prin comunicarea sumei eronate în sensul că s-a

comunicat în plus;

Activităţi de control: Afişarea unui monitor pentru clienţi, pe care să fie înscrisă suma de

plată;

Riscul nr.2: Minus în casă prin comunicarea sumei eronate în minus;

Activităţi de control: Verificarea sumei comunicate cu suma precizată în factura clientului;

3. În ceea ce priveşte subactivitatea „Încasarea şi numărarea banilor de către casier”, pornind de

la riscurile stabilite, depistăm următoarele activităţi de control:

Riscul nr.1: Numărarea eronată a banilor încasaţi;

Activităţi de control: Instalarea unei maşini de numărat banii;

Riscul nr.2: Numerarul încasat nu este depozitat imediat în locurile protejate cu măsuri de

securitate, existând posibilitatea furtului lor de către alţi salariaţi, clienţi;


Instalarea unor camere de luat vederi;

Măsuri de securitate permanente;

Controale inopinate la casierie;

4. La subactivitatea „Validarea încasării de către casier”, după identificarea riscurilor aferente,

activităţile de control adecvate vor fi:

Riscul nr.1: Validarea incorectă a încasării;


Emiterea bonului cu elementele de identificare;

Afişarea la vedere a unui telefon pentru reclamaţiile clienţilor;

Riscul nr.2: Lipsa procedurilor scrise privind validarea încasării;


Aprecierea procedurilor aplicate;

Analiza cauzei inexistenţei procedurilor;

5. Pentru subactivitatea „Emiterea chitanţei”, pornind de la riscurile avute în vedere,

implementăm următoarele activităţi de control:

Riscul nr.1: Neasigurarea conformităţii cu legile în ceea ce priveşte formularele cu regim

special;


Verificarea periodică a formatului pentru a se asigura de conformitatea cu

legislaţia;

Afişarea obligativităţii clientului de a solicita şi păstra chitanţa;

Riscul nr.2: Lipsa procedurilor scrise de emitere a chitanţei;


Aprecierea procedurilor aplicate;

Analiza cauzei inexistenţei procedurilor;

Riscul nr.3: Neactualizarea procedurilor conform cu noile modificări legislative;


Cunoaşterea modificărilor legislative;

Sondaje pentru a stabili până la ce nivel trebuie actualizate procedurile;

6. Referitor la subactivitatea „Transmiterea către client a chitanţei precum şi a restului de

numerar aferent” luând în considerare riscurile stabilite activităţile de control adecvate vor fi:

Riscul nr.1: Insatisfacerea clientului prin restituirea în minus a numerarului aferent;


Afişarea unui monitor pentru clienţi, în care să se reflecte suma datorată, suma

încasată şi restul de primit;

Afişarea mesajului „Solicitaţi şi verificaţi restul”

Riscul nr.2: Minus în casă prin restituirea în plus a numerarului aferent;

Activităţi de control: Punerea la dispoziţia casierului a unei maşini de numărat banii;

Ulterior grupării activităţilor de control intern specifice în cele şase categorii de activităţi

generale, vom proceda la aprecierea coerenţei acestora, ocazie cu care vom putea face anumite

constatări cum ar fi:

Anumite activităţi de control specifice nu vor părea corelate cu celelalte activităţi din ansamblul

activităţilor de control, şi pentru acestea va trebui să ne întoarcem la a doua etapă, aceea de

identificare a riscurilor, uneori fiind necesară chiar întoarcerea la prima etapă;

Unele activităţi de control pot părea foarte simpliste, ceea ce ar putea fi rezultatul omiterii unor

elemente, sau dimpotrivă altele pot să pară foarte greoaie, ceea ce ar putea fi un semnal că s-a

mers prea departe cu detalierea. ŞI în această situaţie se apreciază că ar trebui să reluăm etapele

în vederea obţinerii unei situaţii rezonabile, având în vedere şi faptul că nu putem să obţinem o

situaţie ideală în domeniul controlului sau al riscurilor.

Datorită relativităţii care caracterizează controlul intern, responsabilul sau managerul

funcţiei sau activităţii, va trebui să iniţieze o mişcare ciclică, prin care treptat să se reuşească

aproprierea de situaţia ideală, chiar dacă de atins nu va fi atinsă niciodată. Managerul va modifica şi

actualiza analiza riscurilor şi implicit a procedurii, în funcţie de modificările intervenite, făcând

actualizări, pentru ca prin intermediul acestora, activităţile de control intern specifice funcţiei sau

activităţii, de care este responsabil să fie, în mod permanent, adaptate.

Ulterior, auditorul intern va interveni, evaluând sistemul de control intern al responsabilului,

pentru a-l îmbunătăţi, a-i identifica lipsurile şi pentru a da o asigurare cu caracter rezonabil, asupra

funcţionalităţii acestuia. Şi în această situaţie (a evaluării sistemului de control intern de către

auditorul intern), nu putem face abstracţie de riscul de audit, care nu poate fi acoperit în totalitate,

având în vedere relativitatea controlului intern de care menţionam mai sus. Dar în ciuda acestor

riscuri, auditorii interni au o contribuţie semnificativă la updatarea continuă a sistemului de control

intern, aceştia având ca şi suport în activitatea lor, metodologia exactă şi riguroasă pe care o au la

dispoziţie.

Auditorii interni se află în acea poziţie unică, care oferă un suport deosebit de important în

procesul de tranziţie al organizaţiei de la ceea ce a fost, la implementarea unui model de control

intern viabil, eficient şi eficace, rezultatul colaborării cu auditorii interni, de cele mai multe ori,

este caracterizat prin succes, indiferent de cum am hotărî definirea, măsurarea şi comunicarea

acestuia (Benson, J., 2007).

Risc şi control intern

De ce sunt auditorii interesaţi de controlul intern?

Trebuie să înţelegem controlul intern pentru a ne asigura că managementul deţine controlul

adecvat asupra tranzacţiilor înregistrate în situaţiile financiare.

Care este legătura dintre controlul intern şi riscuri?

Conducerea are tendinţa de a implementa controale în domenii în care sunt detectate riscuri.

Ce utilizăm pentru a înţelege controalele interne implementate de client ?

Cadrul de control intern.Care sunt componentele cadrului de control intern?

Componentele cadrului de control intern

Mediul de control

• stabileşte principiile unei organizaţii, influenţând percepţia despre control a angajaţilor;

• este fundamentul tuturor celorlalte componente de control intern, reprezentând ordine şi

structură;

• efectul extins al mediului de control influenţează toate celelalte componente de control

intern.

Evaluarea riscurilor

• reprezintă procesul entităţii de a identifica şi analiza riscurile relevante pentru îndeplinirea

obiectivelor, constituind baza de stabilire a modului de administrare a riscurilor;

• un sistem consolidat de controale interne trebuie să se bazeze pe un proces puternic de

identificare a riscurilor ce pot împiedica managementul să îşi îndeplinească obiectivele.

Activităţi de control

• constau în politicile şi procedurile care facilitează punerea în aplicare a directivelor

conducerii;

• funcţionează la nivel de sub-proces şi tranzacţie în cadrul unei organizaţii;

• supraveghează procesarea informaţiilor, precum şi mediul de tehnologie informaţională în

care are loc această procesare. Prin urmare, activităţile de control trebuie să existe în toate

situaţiile în care informaţiile sunt manipulate de sistemul contabil.

Informaţii şi comunicare

• constau în sisteme care oferă cadrul de identificare, colectare şi schimb de informaţii într-o

formă şi într-un interval de timp care permite angajaţilor să îşi îndeplinească

responsabilităţile;

• aceste sisteme care susţin fluxul de informaţii din cadrul şi din afara organizaţiei trebuie să

facă obiectul controalelor interne (Controale Generale privind Tehnologia Informaţiei).

Monitorizarea controalelor

• Un proces care evaluează calitatea performanţei controlului intern în timp prin activităţi de

monitorizare continue, evaluări separate sau printr-o combinaţie a acestora;

• Controalele interne trebuie să fie monitorizate constant pentru a asigura faptul că acestea

rămân eficiente atât în etapa de proiectare cât şi în operare.

Componentele cadrului de control intern

- Exerciţiu de grup -

Controalele interne : (Adevărat sau Fals)

Trebuie să validăm controale pentru fiecare din cele 5 componente de control intern pentru a

obţine asigurări semnificative referitor la aceste controale? – Adevarat

Trebuie să validăm toate controalele pe care ne bazăm în fiecare an? - Fals

Riscuri si audit

Ce înţelegem prin riscuri de afaceri şi cum le identificăm?

Un risc de afaceri înseamnă “orice ar putea împiedica îndeplinirea obiectivelor de afaceri ale

clientului, inclusiv obiective strategice, operaţionale, financiare şi de conformitate."

Cum identificăm riscurile de afaceri?

Identificarea riscurilor de afaceri are loc cu ajutorul echipei de conducere a clientului. Echipa

de angajament se va întâlni cu cea de conducere pentru a cunoaşte modul în care afacerea este

văzută din perspectiva managementului şi pentru a identifica obiectivele de afaceri ale acestuia şi

riscurile aferente.

Este important de menţionat că, în ciuda discuţiilor avute cu conducerea, trebuie să se ajungă

la o concluzie independentă privind riscurile de afaceri.

Vă amintiţi ce înseamnă Riscul de Audit?

Riscul de audit înseamnă riscul de a emite o opinie necorespunzătoare cu privire la situaţiile

financiare.

În practică, riscul de audit este inevitabil deoarece nu putem obţine garanţii absolute că vor fi

detectate toate erorile semnificative în urma examinării în proporţie de 100% a tranzacţiilor

înregistrate (şi, chiar şi atunci, există riscul de tranzacţii neînregistrate).

Ştiţi care sunt componentele Riscului de Audit?

Riscul inerent: susceptibilitatea ca un sold sau o clasă de tranzacţii să fie prezentate eronat în

mod semnificativ, presupunând că nu există controale interne.

Riscul de control: riscul ca o eroare semnificativă ce poate apărea într-un sold de conturi sau

într-un ciclu să nu fie evitată sau detectată şi corectată la momentul oportun de către controalele

interne ale clientului.

Riscul de nedetectare: riscul ca procedurile auditorilor să nu detecteze eroarea semnificativă

care afectează situaţiile financiare.

Cum administrăm riscul de audit?

Riscul de audit poate fi administrat în funcţie de natura, aria de cuprindere şi calendarul

lucrărilor de audit.

Totuşi, auditul trebuie întotdeauna planificat şi desfăşurat astfel încât riscul de audit să fie

limitat la un nivel redus acceptabil, care, pe baza raţionamentului nostru profesional, să fie adecvat

emiterii unei opinii asupra situaţiilor financiare şi administrării riscurilor.

Atunci, cu ce este un risc cheie diferit de un risc de audit?

Riscul cheie este tot un risc de audit, dar în opinia noastră ca auditori, un risc cheie

determină un risc mai mare de erori financiare semnificative sau de alte aspecte având ca rezultat

emiterea unei opinii de audit necorespunzătoare.

Care este legătura dintre toate aceste tipuri diferite de risc?

Riscurile de audit sunt riscuri de afaceri pentru clienţii noştri. Persoanele fizice responsabile

cu guvernanţa unei entităţi sau acele persoane cu funcţii de conducere trebuie să fie conştiente şi să

aibă un răspuns la riscurile de afaceri pe care noi le considerăm riscuri de audit . NB – nu toate

riscurile de afaceri sunt riscuri de audit.

Riscuri de afaceri vs. riscuri de audit

Obiectivul conducerii: menţinerea unei relaţii bune cu cei 4 clienţi principali (reprezentând 70%

din veniturile anuale).

Referitor la obiectivul menţionat mai sus, care ar fi riscurile identificate de către conducere?

Care din aceste riscuri de afaceri ar rezulta în risc de audit?

Care dintre aceste riscuri de audit sunt riscuri cheie? În alte cuvinte, care dintre acestea, în

opinia d-voastră ca auditor, determină un risc mai mare de eroare financiară semnificativă sau de

alte aspecte care conduc la emiterea unei opinii de audit necorespunzătoare?

Care sunt procedurile pe care conducerea ar putea să le implementeze pentru a diminua riscurile

identificate?

Matricea riscurilor şi de abordare a acestora (Audit Comfort Matrix) poate crea legături între

cele prezentate anterior ca parte a procesului de audit.

Obiective de

afaceri

Risc de afaceri Riscuri cheie Comentariile conducerii/

Controale

Raportare

financiară

şi aserţiuni

Abordare

de audit

menţinerea unei

relaţii bune cu

cei 4 clienţi

principali

(reprezentând

70% din

veniturile

Pierderea unuia

sau a mai multor

clienţi poate cauza

probleme de

lichiditate,

continuitatea

activităţii şi, în

Riscul ca

toate activele

şi pasivele să

fie denaturate

Se urmăreşte extinderea

bazei de clienţi pentru a

reduce dependenţa de

cei 4 clienţi

Monitorizarea atentă a

recuperabilităţii

creanţelor şi a

anuale) ultimă instanţă,

faliment

vânzărilor

Nu trebuie înregistrate în această matrice alte riscuri de audit (de ex. riscul ca anumite

creanţe să nu existe, situaţie în care acest risc nu este un risc cheie). Rezumatul asigurării de audit

permite ca astfel de riscuri să fie abordate corect prin indicarea modului în care s-a obţinut asigurare

pentru fiecare aserţiune privind situaţiile financiare.

În consecinţă, doar riscurile cheie sunt documentate în matrice, celelalte riscuri fiind

documentate în formularul “Sumarul de asigurare de audit”.

Care este legătura dintre cadrul de control intern şi Ciclul de Asigurare de audit şi Matricea

riscurilor şi de abordare de Audit?

Componentele cadrului de control intern ne ajută să înţelegem modul în care conducerea

controlează afacerea, analizând operaţiunile de afaceri din perspectiva conducerii.

Ne aflăm în etapa de stabilire a ariei de aplicabilitate a ciclului de obţinere de asigurări de

audit (Audit Comfort Cycle) şi de abordare a întrebărilor suplimentare care decurg din “În legătură

cu ce trebuie să obţină conducerea asigurări?”

Evaluarea riscurilor este un proces dinamic şi continuu de colectare, actualizare şi analizare a

informaţiilor pe parcursul auditului.

Doar procedurile de evaluare a riscurilor nu oferă probe suficiente de audit corespunzătoare

pe care să se bazeze opinia de audit. Pentru a putea exprima o opinie, procedurile de evaluare a

riscurilor trebuie suplimentate cu proceduri ulterioare de audit sub formă de teste de controale, acolo

unde este necesar, şi proceduri de fond (ISA 500.20), (ISA 315.6), (ISA 315.101).

Curs Audit CAFEC 1

Documents

Transcript of Curs Audit CAFEC 1