Audit intern
Managementul riscurilor
Audit intern - control intern - managementul riscurilor
Controlul intern cuprinde un set de cinci componente inter-
corelate care fac parte din procesul managerial1. Aceste componente se
regăsesc într-o măsură mai mare sau mai mică, în funcţie de
dimensiune, în toate organizaţiile2. Iată despre ce este vorba:
Mediul de control;
Evaluarea riscurilor;
Activităţile de control;
Informaţiile şi comunicarea;
Monitorizarea.
Mediul de control „dă tonul” într-o organizaţie influenţând în mod
decisiv atitudinea oamenilor faţă de control. Altfel spus, mediul de
control reprezintă fundamentul tuturor celorlalte componente,
asigurând disciplina. Printre factorii3 care influenţează mediul de control
se regăsesc: integritatea, valorile etice, competenţa personalului
angajat, filosofia managementului şi maniera sa de acţiune,
desemnarea autorităţii şi responsabilităţilor, etc.
Evaluarea riscurilor. Aşa cum indicam într-unul din capitolele
precedente ale lucrării de faţă, fiecare organizaţie este expusă unor
riscuri a căror probabilitate şi impact trebuie evaluate. O precondiţie
pentru evaluarea riscurilor constă în stabilirea obiectivelor corelate atât
pe verticală cât şi pe orizontală în cadrul unei organizaţii. Evaluarea
1 www.coso.org/publications/executive_summary_integrated_framework.htm2 Materialul este realizat în baza unei selecţii efectuate din L. Dobroţeanu, C.L. Dobroţeanu, Audit intern, Editura InfoMega, 2007, pag. 67 – 73 şi 135 – 1563 L. Dobroţeanu, C.L. Dobroţeanu, Audit: concepte şi practici, Editura Economică, 2002, pag. 194-196
riscurilor presupune identificarea acestora şi analiza lor prin prisma
pericolului pe care-l reprezintă vis-a-vis de obiectivele organizaţiei.
Astfel, se constituie ceea ce numim fondul de riscuri ce trebuie
administrate. Unele organizaţii, îndeosebi cele mari, au creat o
structură operaţională distinctă care să realizeze acest proces complex,
cunoscută sub denumirea de managementul riscurilor organizaţiei
(ERM)4. Totodată, dat fiind faptul că circumstanţele economice,
legislative etc. sunt în continuă schimbare, sunt necesare mecanisme
noi pentru a identifica şi controla riscurile asociate acestor schimbări.
Activităţile de control reflectă politicile şi procedurile de control
aplicate la nivelul întregii organizaţii incluzând, spre exemplu, aprobări,
autorizări, examinări, reconcilieri, etc.
Informaţiile şi comunicarea. Sistemele informaţionale produc
informaţii necesare pentru derularea cotidiană a afacerilor, cum ar fi
rapoarte privitoare la aspecte financiare, operaţionale, etc. Fără o
comunicare eficace, atât pe verticală cât şi pe orizontală, orice sistem
informaţional este lipsit de valoare.
Monitorizarea. Sistemele de control intern trebuie monitorizate, în
sensul de a fi evaluate prin prisma performanţelor sale de-a lungul
timpului. În lipsa unei astfel de monitorizări, eficienţa şi eficacitatea
controalelor interne nu ar fi cunoscute şi, în consecinţă, nu ar putea fi
corectate deficienţele, după cum nu ar putea fi consolidate punctele
sale forte. Aria de acoperire şi frecvenţa acestor evaluări depinde de
procesul de evaluare a riscurilor şi de eficacitatea procedurilor de
monitorizare.
Din nefericire, există o seamă de aşteptări nerealiste privind
performanţele controlului intern, în sensul că se presupune că acesta
poate garanta succesul afacerilor organizaţiei sau că poate garanta
credibilitatea informaţiilor contabile din raportările financiare. Nici una,
nici cealaltă dintre aşteptările expuse mai sus nu sunt rezonabile
deoarece, la rândul său, controlul intern nu este o soluţie magică
4 Engl. – Enterprise Risc Management
pentru toate problemele unei organizaţii. Da, controlul intern poate
sprijini organizaţia să-şi atingă obiectivele, dar nu poate transforma un
manager incompetent, într-unul competent. Sau, referitor la
credibilitatea raportărilor financiare, controlul intern nu poate „pune
lacăte” creativităţii contabile ori elimina pentru totdeauna greşelile
inerente de calcul.
Auditului intern în aceste circumstanţe îi revine un rol important
legat de monitorizare: evaluarea continuă a eficienţei şi eficacităţii
controlului intern. De aici survin şi confuziile legate de suprapunerea
auditului intern cu controlul intern. Privit din afara organizaţiei, în baza
componentelor controlului intern prezentate mai sus, un observator ar
putea asocia auditul intern drept o structură din întregul univers al
controlului intern. Dar, analizat prin prisma rolului jucat în interiorul
organizaţiei, auditul intern nu se poate judeca pe sine cu credibilitate.
Prin urmare, este absolut obligatoriu ca cele două structuri să fie
separate: una aplică, cealaltă monitorizează şi evaluează.
În conjuncţie cu publicarea raportului COSO „Enterprise risk
management – Integrated framework”, IIA a emis un ghid adresat
şefilor departamentelor de audit care prezintă recomandările privind
relaţiile auditului intern cu ERM din cadrul organizaţiilor lor5. Printre
altele, scopul acestui ghid vizează stabilirea unei linii de demarcaţie
clare între managementul riscurilor şi responsabilităţile auditului intern
vis-a-vis de cele două.
Astfel, principalele activităţi ale auditului intern în relaţia cu ERM
sunt:
furnizarea unei asigurări cu privire la procesele de management
al riscurilor;
furnizarea unei asigurări cu privire la faptul că riscurile sunt
evaluate corect;
evaluarea proceselor de management al riscurilor;
evaluarea raportărilor privitoare la riscurile esenţiale6;5 www.theiia.org – IIA, The role of internal audit in enterprise-wide risk management, 20046 Engl.- key risks
analiza managementului riscurilor esenţiale.
Privitor la rolul legitim pe care-l are auditul intern, IIA subliniază:
facilitarea identificării şi evaluării riscurilor;
consilierea conducerii pentru a adopta măsuri de protecţie
împotriva riscurilor;
coordonarea activităţilor ERM;
consolidarea raportărilor privind riscurile;
menţinerea şi dezvoltarea cadrului ERM;
dezvoltarea strategiei de management a riscurilor supuse
aprobării consiliului de administraţie.
Totodată, IIA avertizează asupra rolurilor pe care auditul intern nu
trebuie să şi le asume7:
stabilirea apetitului pentru risc;
impunerea proceselor de management al riscurilor;
asigurarea managementului cu privire la riscuri
adoptarea deciziilor privind măsurile de contracarare a riscurilor;
implementarea acestor măsuri în numele managementului;
Studiu de caz KeosKeos este o companie care distribuie consumabile pentru tehnica
de calcul. Sistemul de procesare a comenzilor provenite de la clienţi,
respectiv a facturării produselor livrate adoptat de Keos este următorul:
Dra. Kate, operator la departamentul de vânzări, înregistrează
comenzile într-un registru de comenzi, pre-numerotat, emis patru
exemplare (1 original şi trei copii) pentru fiecare comandă, numai
după ce a interogat baza de date referitoare la registrul de vânzări.
Interogarea are drept scop asigurarea că limitele de credit alocate
pe clientul respectiv nu sunt depăşite. Clienţii noi sunt supuşi în
prealabil procesului de stabilire a limitelor de creditare, operaţiune
efectuată de către managerul departamentului de vânzări;
7 Reamintim că, în acest context, responsabilitatea pentru stabilirea apetitului pentru risc al conducerii revine ERM.
Primul exemplar (originalul) al comenzii este reţinut la serviciul de
vânzări, iar cele trei copii sunt trimise la depozit pentru a fi
autorizată livrarea. Depozitul selectează produsele comandate şi le
ambalează. Comenzile pentru produsele care nu se găsesc în stoc
sunt înregistrate într-un fişier de aşteptare şi sunt procesate în
momentul în care stocurile sunt primite. Exemplarele doi şi trei ale
comenzii sunt trimise clientului împreună cu produsele livrate,
cerând clientului să semneze exemplarul doi şi să-l restituie
agentului de distribuţie Keos. Cea de-a patra copie este trimisă la
serviciul de contabilitate şi este confruntată cu exemplarul doi
returnat de client.
Detaliile exemplarului patru sunt introduse de către dra. Sharon,
operator registrul vânzări, în fişierul privind registrul de vânzări.
Programul prevede o serie de chei de control pentru a preveni riscul
de a nu introduce greşit codul clientului sau al produselor livrate. În
caz de eroare, programul respinge înregistrarea şi solicită corectarea
informaţiilor. Apoi, programul emite automat factura, în dublu
exemplar, care cuprinde toate informaţiile referitoare la client şi
preţul produselor livrate acestuia. Primul exemplar al facturii este
trimis clientului, iar exemplarul al doilea este ataşat exemplarelor de
comandă doi şi patru. Registrul de vânzări este actualizat automat,
iar la finalul fiecărei zile, programul generează o listă a tuturor
facturilor emise în ziua respectivă.
Programul generează un raport de vânzări la finalul fiecărei
săptămâni, iar suma totală este confruntată de Sharon cu valoarea
înregistrată pentru aceeaşi perioadă în registrul de vânzări. Pe bază
lunară, programul emite o situaţie complexă privind analiza
creanţelor şi maturitatea acestora pe fiecare client. Sharon are
responsabilitatea de a transmite clienţilor situaţia privind datoriile lor
faţă de Keos, de a avertiza clienţii care nu-şi achită datoriile la
scadenţă şi de a conveni cu aceştia mecanisme de reeşalonare a
plăţilor. O analiză a creanţelor relevă faptul că durata de încasare a
acestora s-a mărit de la 39 la 74 zile pe parcursul anului curent, deşi
politicile Keos prevăd o scadenţă de 30 de zile.
Cerinţe:
1. Identificaţi deficienţele de control intern referitoare la
procedurile Keos privind sistemul descris.
2. Descrieţi procedurile care ar permite reducerea perioadei de
încasare a creanţelor de către Keos.
Strategia de audit RBA8
8 Strategie de audit bazată pe riscuri - engl. Risk Based Auditing (RBA)
1. Strategia de audit RBA
Vom începe discuţia noastră în acest capitol prin a sublinia că
strategia RBA şi planul de audit sunt două componente strâns legate
între ele, fapt recunoscut de altfel şi de standardele de audit intern:
„Şeful departamentului de audit intern trebuie să elaboreze un plan de
audit pe baza riscurilor (n.n. RBA) pentru a determina priorităţile
activităţilor auditului intern în conformitate cu obiectivele organizaţiei”9
sau „programul misiunilor de audit intern trebuie să aibă la bază
evaluarea, cel puţin anuală, a riscurilor”10.
În ciuda cerinţelor normelor profesionale, practicile de elaborare a
planurilor de audit intern şi a programelor de misiune sunt variate,
majoritatea acestora fiind ancorate la o strategie tradiţională de audit
care plasează în centrul atenţiei auditului intern una sau mai multe
dintre următoarele variante: auditul pe procese, pe funcţii, pe meserii,
pe teme, auditul de conformitate, auditul operaţional, etc. Aceste
abordări tradiţionale vizau auditarea internă a tot ce era posibil. La
polul opus, strategia prevăzută de standardele internaţionale de audit
intern – RBA – implică o selecţie şi o prioritizare a activităţilor şi
misiunilor de audit intern pe baza unei evaluări a riscurilor, astfel încât
auditul intern să servească într-adevăr obiectivelor organizaţiei.
Schimbarea de strategie produce efecte asupra modului în care se
desfăşoară activitatea de audit intern, efecte pe care le discutăm atât
aici, dar şi în cadrul altor paragrafe si capitole ale lucrării noastre.
Griffiths11 prezintă următoarele precondiţii necesare pentru a
putea aplica strategia RBA:
Organizaţia cunoaşte toate riscurile inerente semnificative,
adică cele situate peste nivelul apetitului pentru risc;
Organizaţia şi-a evaluat riscurile, astfel încât acestea pot fi
prioritizate în funcţie de pericolul pe care-l reprezintă;
9 Standardul de performanţă IIAS 2010, Planificarea10 Standardul de aplicare IIAS 2010.A1, Misiunile de audit11 D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 26
Organizaţia şi-a definit apetitul pentru risc, astfel încât
riscurile inerente şi cele reziduale12 pot fi evaluate şi
clasificate în funcţie de acesta.
La rândul lor precondiţiile pot fi satisfăcute numai dacă:
La nivelul organizaţiei, consiliul a adoptat un set adecvat de
politici de control intern;
Apetitul pentru risc a fost aprobat de către consiliu;
Directorii executivi au fost instruiţi corespunzător pentru a avea
abilităţile cerute pentru identificarea riscurilor, evaluarea lor,
pentru proiectarea, punerea în aplicare şi monitorizarea
sistemelor de control care asigură implementarea politicilor
adoptate de consiliu.
Etapele RBA sunt:
1. examinarea registrului riscurilor şi determinarea riscurilor
asupra cărora auditorii vor trebui să formuleze o opinie cu
privire la gradul de control exercitat;
2. elaborarea planului de audit (anual) şi obţinerea aprobării
comitetului de audit asupra acestuia;
3. realizarea misiunilor de audit care vor furniza baza pentru
opiniile auditorilor;
4. actualizarea universului de audit13 şi riscuri, pe măsură ce
sunt obţinute informaţii suplimentare.
În practică, obţinerea unei asigurări cu privire la registrul riscurilor
este realizată de obicei o singură dată sau până în momentul în care
auditorii capătă încrederea că registrul riscurilor poate fi utilizat ca o
bază credibilă în etapele următoare. Etapa a doua este realizată anual,
sub rezerva că planul de audit poate fi revizuit şi modificat în cursul
anului. Etapa a treia are o frecvenţă mult mai mare, determinând şi
frecvenţa etapei a patra. Primele două etape sunt prezentate în cadrul
acestui capitol, urmând ca ultimele două etape fie prezentate distinct,
în cadrul capitolului următor al lucrării.12 Pentru detalii privind riscurile inerente şi reziduale vezi paragraful 8.2.2.13 O lista cu procesele (domeniile) auditabile.
2. Prima etapă: Examinarea registrului riscurilor14
Obiectivele acestei etape vizează obţinerea unei asigurări cu
privire la faptul că riscurile situate peste nivelul apetitului pentru risc au
fost identificate şi evaluate corect de către conducere, cu scopul de a
stabili credibilitatea folosirii ulterioare a registrului de riscuri.
În acest sens, auditorii interni aplică următoarele proceduri de audit:
discuţii (interviuri, chestionare, mese rotunde etc.) cu
managementul executiv şi consiliul de administraţie cu privire la
riscurile la care este expusă entitatea. Auditorii urmăresc astfel să
se convingă de faptul că toată conducerea înţelege importanţa
riscurilor şi întreprinde eforturi de ameliorare a acestora;
documentarea următoarelor aspecte:
o obiectivele organizaţiei;
o metodele utilizate de către conducere pentru a evalua
riscurile semnificative precum şi alocarea responsabilităţilor
pentru diferite procese din cadrul organizaţiei;
o scala de evaluare utilizată pentru dimensionarea relevanţei
riscurilor;
o declaraţia consiliului privind definirea apetitului său pentru
risc;
o maniera în care riscurile vor fi integrate în procesele
decizionale;
o registrul riscurilor.
Examinarea documentelor obţinute;
Formularea unei concluzii cu privire la credibilitatea şi
posibilitatea utilizării registrului riscurilor pentru acţiunile
ulterioare. Dacă auditorii interni ajung la concluzia că, pentru a fi
credibil şi utilizabil, registrul riscurilor necesită ajustări sau
corecţii minore, trebuie să solicite consiliului de administraţie şi
managementului executiv să le opereze. În cazul în care registrul
14 D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 30-39
nu poate fi deloc utilizat sau nu există, auditorii pot lua în
considerare sprijinirea organizaţiei în construirea sau corectarea
registrului, în funcţie de caz. Paragrafele 8.2.1. şi 8.2.2. de mai jos
detaliază activitatea auditorilor în cazul în care registrul riscurilor
nu există în cadrul organizaţiei. Decizia auditorilor interni în acest
ultim caz trebuie luată în acord cu sugestiile comitetului de audit
care trebuie informat printr-un raport asupra faptului că registrul
riscurilor nu există sau nu este utilizabil.
2.1. Registrul riscurilor: conţinut şi tehnici de elaborareRegistrul riscurilor reprezintă o listă completă a riscurilor (de
obicei o bază de date) identificate de conducerea organizaţiei, care
ameninţă atingerea obiectivelor organizaţiei. Dacă în cadrul
organizaţiei există o funcţie de management al riscurilor, atunci
construirea şi actualizarea acestei baze de date este responsabilitatea
acesteia. Evident, volumul de muncă al auditorilor interni este mult
redus dacă managementul riscurilor există şi funcţionează
corespunzător.
În lipsa managementului riscurilor, auditorii interni pot sprijini şi
consilia conducerea superioară (consiliul) în ceea ce priveşte înfiinţarea
registrului de riscuri, evaluarea riscurilor şi determinarea apetitului
pentru risc. Dat fiind faptul că există numeroase organizaţii care se
situează în cea de-a doua ipostază, în continuare, vom expune
activităţile auditorilor interni aplicabile în contextul acestora.
Construirea registrului riscurilor nu este o sarcină tocmai uşoară. Chiar
dacă se presupune că auditorii interni nu poartă responsabilitatea
construirii registrului riscurilor, a evaluării riscurilor şi a determinării
apetitului pentru risc, înţelegerea acestui proces ajută auditorii interni
să poată evalua credibilitatea registrului de riscuri obţinut.
În ceea ce priveşte registrul riscurilor, răspunsul la întrebarea
„registrul riscurilor include toate riscurile semnificative?” este crucial.
Punctul de pornire constă în a formula, pe baza propriei experienţe,
anticipările privind riscurile potenţiale care ameninţă obiectivele,
pentru a le putea discuta ulterior în întâlnirile cu persoanele relevante
din cadrul organizaţiei. Fiecărui risc anticipat, îi sunt ataşate apoi
procesele de control care, prezumabil, reduc riscurile respective sau,
mai bine zis, le controlează. Detaliind, la un nivel imediat inferior,
procesele de control devin, la rândul lor obiective, ameninţate de alte
riscuri, ameliorate de alte controale, etc. Ierarhizându-le astfel, într-o
abordare logică, din aproape în aproape, pot fi identificate, pe rând,
toate riscurile şi se poate construi registrul riscurilor. Anexa 1 prezintă
un exemplu de ierarhizare în acest sens. Această manieră de
identificare a riscurilor, deşi dificilă de aplicat (dar, reţinem că odată
construit, registrul riscurilor nu trebuie decât actualizat, ulterior – deci
„chinul” nu durează la infinit!) este facilă de urmărit şi de înţeles de
către consiliu, respectiv uşor de utilizat de către auditorii interni în
elaborarea planurilor anuale de audit. De reţinut faptul că procesele de
control indicate în cadrul acestei ierarhii sunt cele ce pot ameliora
riscurile considerate, nu cele pe care le aplică organizaţia. În mod
firesc, între acestea şi cele utilizate de organizaţie, ar trebui să existe o
apropiere foarte mare, însă pot exista situaţii (ce pot fi descoperite
astfel) în care nu sunt procese de control care să amelioreze anumite
riscuri, după cum pot fi identificate controale inutile. Totuşi, această
dezvoltare arborescentă poate deveni foarte complexă, motiv pentru
care este necesară structurarea ei astfel încât să fie utilizabilă.
Structurarea acesteia trebuie să ţină cont de două aspecte: riscurile
care ameninţă procesele superioare15 din ierarhie, respectiv procesele
de control care, prezumabil, le ameliorează.
Unii auditori interni preferă construirea registrului riscurilor
plecând direct de la sursă: consiliul de administraţie şi persoanele
relevante din cadrul organizaţiei. Deşi, această procedură directă
economiseşte foarte mult timp preţios, prezintă dezavantajul că, unele
riscuri pot rămâne neidentificate, dat fiind faptul că auditorii nu mai au
o bază de confruntare pregătită de ei anterior. În rest, procedura de
15 Procesul din ierarhie este compus din secvenţa: risc-proces de control (sub-obiectiv).
ierarhizare, etc. rămâne aplicabilă. De principiu, există trei proceduri
utilizate cu scopul de a identifica riscurile:
Interviul;
Seminariile de identificare a riscurilor (engl. – risk workshops);
Evidenţele contabile.
Interviul. Rezultatele unui interviu reflectă punctul de vedere
individual exprimat de către cel intervievat referitor la riscurile la care
obiectivele organizaţiei sunt expuse. Printre avantajele aceste
proceduri se numără: uşurinţa stabilirii unei întrevederi cu o singură
persoană faţă de un grup de persoane, respectiv confortul mai mare al
intervievatului în exprimarea punctelor sale de vedere pe care într-un
seminar poate nu şi le-ar exprima deschis. Printre dezavantajele
utilizării acestei proceduri pot fi enumerate dificultatea de a omogeniza
punctele de vedere individuale exprimate şi de a clasifica riscurile
astfel obţinute.
Seminariile de identificare a riscurilor. Rezultatele seminariilor se
concretizează într-o listă de riscuri care pun în pericol obiectivele
organizaţiei, respectiv o dimensionare a probabilităţii şi consecinţei
acestora. Un avantaj al utilizării acestei proceduri constă în faptul că
persoanele interacţionează şi creează idei noi.
Evidenţele contabile. Examinarea fiecărei clase/poziţii din
situaţiile financiare sau din evidenţele contabile, precum şi a
evenimentelor ataşate acestora poate scoate la iveală o serie de riscuri
importante.
În acest moment registrul riscurilor, fie ajustat cu rezultatele
procedurilor expuse mai sus, fie obţinut în exclusivitate în baza
acestora, trebuie transpus într-o bază de date computerizată pentru a
facilita clasificarea şi utilizarea lui ulterioară.
2.2. Dimensionarea relevanţei riscurilorAvând construit registrul riscurilor, pasul următor trebuie să
vizeze sprijinirea consiliului în ceea ce priveşte rafinarea registrului
riscurilor prin identificarea tuturor riscurilor „semnificative” prin
raportare la apetitul pentru risc. Dimensionarea relevanţei riscurilor (R)
este realizată prin prisma celor două variabile componente ale fiecărui
risc: consecinţa (C) şi probabilitatea (P). Aritmetic, relaţia de calcul este
exprimată astfel:
Reamintim că, dacă în cadrul organizaţiei există un departament de
management al riscurilor, aceasta evaluare ar fi responsabilitatea
acestuia.
În cele ce urmează vom prezenta un model de cuantificare a
relevanţei riscurilor, cu menţiunea că modelul nu este infailibil, el
putând fi adaptat sau modificat, în funcţie de preferinţele auditorilor
pentru o măsurare mai exactă sau mai grosieră.
Câteva precizări legate de modelul de cuantificare a semnificaţiei
riscurilor:
1. am utilizat o scală de dimensionare pe cinci nivele, fiecărui nivel
ataşându-i valori numerice cuprinse între 1 şi 5, detaliată în tabelul
1. de mai jos.
R = C x P
Tabelul 1. Dimensionarea relevanţei riscului
Dacă se produce riscul,
Consecinţele acestuia ar fi:
SAU,
Probabilitat
ea riscului
este:
Relevanţa
riscului:
1 2 3 =1x2
Închiderea organizaţiei totală sau
parţială pe un orizont de timp
lung (5)
Foarte
ridicată
(5)
Foarte
mare (25)
Imposibilitatea organizaţiei de a-
şi atinge obiectivele sale majore
pe un orizont de timp îndelungat
(4)
Ridicată
(4)
Mare
(16)
Imposibilitatea organizaţiei de a-
şi atinge unele obiective pe o
perioadă de timp limitată (3)
Medie
(3)
Medie
(9)
Apariţia unor pagube fără să fie
afectată atingerea obiectivelor
majore ale organizaţiei (2)
Redusă
(2)
Redusă
(4)
Apariţia unor pagube minore, fără
a fi afectată atingerea
obiectivelor organizaţiei (1)
Foarte
redusă
(1)
Foarte
redusă (1)
2. momentul dimensionării relevanţei riscurilor: înainte sau după
evaluarea proceselor de control ataşate acestora?
Literatura de specialitate şi practicile relevă preferinţe diferite
pentru momentul măsurării relevanţei riscurilor. Normele profesionale
de audit intern recomandă dimensionarea riscurilor atât înainte, cât şi
după ce procesele de control au fost evaluate. Reţinem de aici
următoarele:
Riscul inerent (brut, absolut), este riscul dimensionat înainte
de a evalua eficacitatea şi eficienţa controalelor interne;
Riscul rezidual (net, controlat), este riscul dimensionat după
ce au fost evaluate eficienţa şi eficacitatea controalelor
interne ale organizaţiei.
În timp ce riscul inerent va servi pentru formularea planului de
audit anual şi identificarea misiunilor de audit ce vor fi întreprinse,
riscul rezidual este determinat pe parcursul misiunilor de audit, pentru
a evalua eficacitatea şi eficienţa controalelor efective asupra riscurilor
respective.
Evaluarea semnificaţiei riscurilor inerente (modelul poate fi
utilizat apoi şi pentru riscul rezidual) prin prisma apetitului pentru risc
poate fi realizată prin realizarea unei matrice, pentru fiecare risc, astfel
încât prin combinaţia probabilităţii cu consecinţa riscurilor, consiliul să
poată decide asupra riscurilor acceptabile, respectiv inacceptabile din
punctul său de vedere. Altfel spus, consiliul îşi defineşte astfel apetitul
pentru risc. Tabelul 2 de mai jos, prezintă un model de evaluare a
semnificaţiei riscurilor inerente prin referinţă la apetitul pentru risc al
consiliului.
Tabelul 2. Semnificaţia riscurilor inerente
raportate la apetitul pentru risc al consiliului
Consecinţa riscului inerent:
5 4 3 2 1
Pro
bab
ilita
te
risc
ulu
i in
ere
nt 5 25 20 15 10 5
4 20 16 12 8 4
3 15 12 9 6 3
2 10 8 6 4 2
1 5 4 3 2 1
Să presupunem că, în ansamblu, consiliul îşi defineşte apetitul
pentru risc astfel: riscurile inerente a căror relevanţă se află în
intervalul 1-4 sunt riscuri acceptabile. Altfel spus, toate celelalte riscuri
ale căror relevanţă depăşeşte pragul valoric 4 reprezintă un interes
pentru auditori.
3. Etapa a doua: Elaborarea planului de audit
Obiectivele urmărite de auditori în cadrul acestei etape vizează:
Determinarea riscurilor care vor fi incluse în planul de audit;
Alocarea acestor riscuri misiunilor de audit;
Elaborarea planului de audit
Filtrarea riscurilor din registru pentru identificarea celor care vor fi
incluse în planul de audit anual se realizează prin raportarea la apetitul
pentru risc al conducerii drept criteriu prioritar.
Astfel, riscurile care se situează sub nivelul apetitului pentru risc
al conducerii nu vor necesita o atenţie din partea auditorilor şi, drept
urmare, nu vor fi incluse în planul de audit. În ceea ce priveşte riscurile
situate peste nivelul apetitului pentru risc, pot exista următoarele
situaţii cu privire la care auditorii interni vor decide menţinerea sau
eliminarea lor din planul de audit:
Riscurile pe care conducerea le consideră că, din diverse motive, nu
vor putea fi ameliorate astfel încât să fie reduse la nivelul apetitului
pentru risc, motiv pentru care le acceptă. În cazul în care există
programe contingente pentru aceste riscuri ele vor face obiectul
unor misiuni de audit. În consecinţă, aceste riscuri vor putea fi
incluse în planul de audit.
Riscurile pentru care au fost adoptate măsuri de prevenire de tipul
transferului (de exemplu, asigurarea împotriva riscurilor). Inclusiv
acestea vor putea fi menţinute în planul de audit, deoarece auditorii
vor dori probabil să se convingă, în contextul unei misiuni, dacă
toate riscurile de acest gen au fost transferate şi dacă transferul este
eficient şi eficace ca mecanism de protecţie.
Riscurile pe care conducerea este decisă să le elimine prin diverse
acţiuni sau programe. Asupra acestor riscuri auditorii vor decide
dacă le păstrează sau nu în planul de audit. Menţinerea lor în plan
poate fi justificată de faptul că acţiunile conducerii de eliminare a
riscului respectiv, pot genera alte riscuri, iar auditorii vor dori să se
convingă că aceste sunt controlate corespunzător.
Riscurile examinate şi evaluate de o terţă parte (de exemplu, de
către auditorii externi) care furnizează o asigurare directă consiliului
de administraţie asupra gradului de control exercitat de organizaţie
asupra acestora. În astfel de cazuri, strategia şi politicile interne ale
organizaţiei reprezintă un punct de sprijin în adoptarea unei decizii
asupra menţinerii sau eliminării lor din planul de audit.
Riscurile care au fost aduse în limita apetitului pentru risc, fapt
dovedit de rapoartele misiunilor de audit intern anterioare. În funcţie
de intervalul de timp care a trecut de la finalul acelor misiuni,
precum şi de rezultatele relevate de programele de monitorizare
post-audit cu privire la implementarea măsurilor corective, auditorii
vor decide dacă păstrează sau nu în planul de audit aceste riscuri.
Toate celelalte riscuri care au rămas vor fi incluse în planul de audit.
Alocarea riscurilor pe misiuni de audit are ca punct de plecare registrul
riscurilor, actualizat cu rezultatele procesului de filtrare precedent.
Criteriile de alocare cel mai frecvent utilizate sunt:
Perioada de timp şi resursele necesare pentru o misiune de audit
(cu cât mai multe riscuri şi procese alocate pe o misiune, cu atât
mai lungă şi mai costisitoare va fi misiunea de audit);
Persoanele ce se intenţionează a fi intervievate în contextul
misiunii;
Locaţia proceselor auditabile, etc.
Există şi companii care preferă gruparea riscurilor pe misiuni,
după ce obţin o listă cu toate procesele auditabile (denumită universul
auditului) şi gruparea lor ulterioară în funcţie de locaţie sau alte criterii
particulare. În ceea ce priveşte prioritizarea misiunilor de audit şi
includerea acestora în planul anual, auditul intern trebuie să formuleze
un raţionament rezonabil, ţinând cont de resursele financiare,
materiale, umane şi fondul de timp avut la dispoziţie. Nu este
obligatoriu ca toate misiunile identificate să fie incluse într-un singur
plan anual, dacă toate considerentele de mai sus nu permit acest lucru.
Este motivul pentru care, unele companii operează cu planuri de audit
multi-anuale. De asemenea, companiile care abia înfiinţează funcţia de
audit intern fac faţă unor constrângeri considerabile, mai ales în ceea
ce priveşte resursa umană. Pentru stabilirea priorităţilor în realizarea
misiunilor ce vor fi incluse în planul de audit, în practică se folosesc mai
multe modele, fiecare dintre ele fiind elaborat în funcţie de
particularităţile proprii fiecărei companii. În cele ce urmează vom
încerca expunerea unui model, folosindu-ne de exemplul din paragraful
precedent.
Astfel, auditorii pot conveni următoarea situaţie:
Pentru riscurile inerente a căror relevanţă este cuprinsă în
intervalul [1-4], nu vor fi întreprinse niciodată misiuni de audit
intern;
Pentru riscurile inerente a căror relevanţă se situează în intervalul
[5-9] se vor realiza misiuni de audit o dată la fiecare trei ani;
Pentru riscurile inerente a căror relevanţă se situează în intervalul
[10-12] se vor realiza misiuni de audit o dată la fiecare doi ani;
Pentru riscurile inerente a căror relevanţă se situează în intervalul
[15-25] se vor realiza misiuni anuale de audit.
Scala de mai sus poate fi detaliată sau restrânsă în funcţie de
preferinţele auditorilor. În această manieră, se pot dezvolta planuri de
audit mai scurte decât un an, planuri anuale sau multianuale, după
necesităţile auditului intern şi ale organizaţiei respective. Auditul intern
trebuie să obţină acordul conducerii organizaţiei asupra prioritizării
misiunilor.
În acest moment, baza de date necesară elaborării planului de
audit este pregătită. Planul de audit va trebui să conţină informaţii
referitoare la:
Misiunile de audit ce vor fi întreprinse;
Perioada de timp preconizată pentru misiunile de audit (când vor
începe, câte zile vor dura, când se vor finaliza);
Riscurile şi procesele de control asociate acestora ce vor face
obiectul misiunilor;
Numele auditorilor ce vor participa în cadrul misiunilor (cel puţin
numele şefilor de misiuni), etc.
Planul de audit trebuie aprobat de către comitetul de audit şi consiliul
de administraţie al organizaţiei. În plus, comitetului de audit i se poate
transmite un raport care să conţină detalii referitoare la:
Riscurile şi procesele ce vor face obiectul misiunilor de audit
cuprinse în planul de audit;
Riscurile şi controalele asupra cărora auditorii interni vor formula
o opinie pe baza rezultatelor cumulate din misiunile de revizuire şi
din misiunile de audit din perioadele precedente;
Activităţile de consultanţă ce vor fi acordate de către auditul
intern conducerii organizaţiei cu scopul reducerii riscurilor
reziduale la nivele inferioare apetitului pentru risc;
Riscurile neacoperite, datorită politicilor organizaţiei sau limitării
resurselor;
Asigurarea că planul de audit este în conformitate cu carta
auditului intern.
Anexa 2 prezintă cerinţele informaţionale şi modelul planului de
audit prevăzute de Hotărârea CAFR 88/2007 privitoare la normele de
audit intern.
4. Probleme de discuţie şi studii de caz
4.1. Probleme de discuţie1. Discutaţi avantajele şi dezavantajele strategiei RBA comparativ
cu strategiile tradiţionale de audit.
2. Care sunt efectele utilizării strategiei RBA asupra planului anual
de audit?
3. Semnificaţia riscurilor este sinonimă cu relevanţa lor? Discutaţi.
4. Evaluarea calitativă poate fi utilizată în dimensionarea
relevanţei riscurilor?
5. Discutaţi procedura de audit „şedinţe de evaluare a riscurilor”.
4.2. Studiu de caz Sunny HotelPartea I
Sunny Hotel este o companie hotelieră de 5 stele, care oferă
servicii de cazare atât turiştilor, cât şi oamenilor de afaceri care
vizitează Washington-ul. Recentele modificări legislative aplicabile
societăţilor cotate la bursa din New York – iar Sunny este cotată –
impun companiilor consolidarea guvernanţei corporative şi
transmiterea unor rapoarte periodice privind performanţele înregistrate
în acest sens. Anul trecut, consiliul de administraţie al hotelului tocmai
a încheiat implementarea unui proces de restructurare a companiei în
baza a recomandărilor primite de la un grup de consultanţi externi pe
probleme privind consolidarea guvernanţei corporative. Astfel, hotelul
dispune de un departament de audit intern, garnisit cu personal
adecvat care raportează consiliului de administraţie şi se subordonează
direct comitetului de audit, constituit din 5 membri neexecutivi ai
consiliului de administraţie. Dna. Jane Shine, şeful departamentului de
audit intern, a decis cu consultarea comitetului de audit, ca începând
cu anul acesta, auditul intern să-şi schimbe strategia, urmând să
adopte strategia bazată pe riscuri. Dvs. sunteţi un auditor intern al
acestui departament şi aţi fost desemnat, împreună cu alţi 6 colegi, să
formulaţi planul de audit, bazat pe riscuri, pentru anul acesta. Hotelul
nu dispune de un departament specializat în managementul riscurilor.
Cerinţe:
1. Indicaţi activităţile ce vor fi necesare să le întreprindeţi pentru a
îndeplini sarcina atribuită.
2. Precizaţi care sunt informaţiile cheie care v-ar permite elaborarea
registrului riscurilor.
Partea a II-a
Pe baza unui telefon, aţi reuşit să stabiliţi o întâlnire cu directorul
general al hotelului şi cu şeful contabil. Pe parcursul întâlnirii, aţi reuşit
să obţineţi următoarele informaţii cu privire la activităţile desfăşurate
de clientul dvs.
Cazarea. Hotelul are 60 de camere, a căror clasificare este
prezentată în tabelul de mai jos. Cifrele cu privire la gradul de ocupare
reprezintă un instrument important de dimensionare a succesului
afacerii. În medie, camerele au avut un grad de ocupare de 74% pe o
perioadă de 12 luni. Conducerea este îngrijorată de faptul că în 12 luni
tariful de găzduire a scăzut în anul anterior cu circa 76%. Gradul de
ocupare variază pe parcursul anului de la 50% în lunile de iarnă, la 90%
în lunile de primăvară/vară, respectiv începutul toamnei.
Tip camere Nr
.
Tariful
pe zi
Grad de
ocupare
Camere single cu baie 15 70 75
Camere single cu duş 10 60 77
Camere single cu
chiuvetă
5 50 81
Total camere single 30
Camere duble cu baie 17 80 70
Camere duble cu duş 9 70 77
Camere duble cu
chiuvetă
4 60 82
Total camere duble 30
Total camere 60 74
În plus faţă de aceste informaţii mai aflaţi următoarele:
Fiecare cameră este dotată cu televizor, cafetieră, frigider
conţinând băuturi îmbuteliate în sticle şi cutii, halate de duş,
presă şi telefon;
Tarifele de cazare sunt cele indicate în tabelul de mai sus, cu
menţiunea că se pot aplica tarife diferite în următoarele cazuri:
o Tarife speciale pentru week-end şi tarife reduse pentru
cazări săptămânale;
o În cazul în care camerele single nu sunt disponibile,
camerele duble pot fi puse la dispoziţie la tariful unei
camere single;
o Tarife speciale de sezon.
Conducerea hotelului intenţionează să amenajeze camere de baie
pentru camerele care sunt dotate numai cu chiuvete. Lucrările de
amenajare vor începe foarte curând în cursul exerciţiului curent.
Contabilul şef vă informează că în anul anterior, veniturile din
activitatea de închiriere a camerelor au fost de circa 1,050,000$.
Restaurant. Hotelul are un restaurant cu 60 de mese. Conducerea
hotelului vă informează că deşi majoritatea oaspeţilor servesc micul
dejun în hotel, gradul de ocupare a restaurantului (de către oaspeţi) în
anul precedent a fost de circa 20% la prânz, respectiv 65% în cursul
serii. Este permis şi accesul în restaurant al persoanelor care nu sunt
cazate în hotel. Conducerea estimează că pragul de rentabilitate pentru
activitatea restaurantului este la o capacitate de utilizare de 55%, însă
doreşte o creştere a capacităţii de utilizare a restaurantului (care a fost
de 75% în anul precedent, incluzând oaspeţii şi consumatorii din afara
hotelului). Meniul oferit a fost modificat, iar de curând a fost angajat un
bucătar specializat în prepararea mâncărurilor tradiţionale din regiune.
Veniturile din activitatea restaurantului s-au ridicat la circa 2,400,000$
în anul precedent, incluzând veniturile din asigurarea micului dejun.
Contabilul şef vă informează că restaurantul reprezintă componenta de
activitate care aduce cel mai mult profit hotelului. Noului meniu i se
face publicitate în presa locală. Unul dintre motivele pentru care
conducerea acordă o atenţie sporită restaurantului, este concurenţa
făcută de un hotel din împrejurime, care a finalizat recent un proiect de
modernizare şi a reuşit să atragă o parte din clientelă datorită
restaurantului atractiv pe care l-a amenajat.
Bucătăria. Conducerea hotelului a început să adopte masuri
pentru reducerea pierderilor din bucătărie. Au fost introduse măsuri de
control al porţiilor, iar responsabilitatea pentru aprovizionarea cu
produse alimentare a fost recent acordată unui nou şef, sub
supravegherea directă a contabilului şef.
Barul. Există trei baruri în hotel, şi o gamă variată de băuturi puse
la dispoziţia oaspeţilor hotelului şi a clienţilor din afară. Unul din baruri
este amplasat în salonul de oaspeţi. Barurile reprezintă una dintre
activităţile foarte profitabile ale hotelului.
Servicii suplimentare. Hotelul oferă servicii suplimentare pentru
nunţi, recepţii, întâlniri de afaceri, mese rotunde, etc.
Sistemul contabil. Hotelul utilizează un sistem contabil
computerizat. Compania are o reţea mică de calculatoare achiziţionate
cu doi ani în urmă la un cost de 30.000$. Calculatoarele sunt distribuite
la recepţie, restaurant, baruri, biroul directorului, şi biroul şefului
contabil. Sistemul utilizează un program achiziţionat de la o companie
de software de renume. În afară de administratorul de sistem, şeful
contabil are suficiente cunoştinţe de informatică pentru a supraveghea
operarea sistemului. Cea mai frecventă şi importantă înregistrare se
face la recepţie, care activează sistemul informatic la sosirea unui
client. Numărul camerei este utilizat pentru înregistrarea tuturor
serviciilor utilizate de către client. Astfel, atunci când clientul serveşte
masa la restaurant, numărul camerei este prezentat pe bonul de masă
semnat de client. O procedură importantă de control utilizată de către
restaurant constă în codificarea meniului care are în corespondenţă un
fişier de coduri pe calculator pentru fiecare fel de mâncare din meniu
precum şi preţul standard aferent. Fiecare chelner are un chitanţier şi
are obligaţia să întocmească câte patru copii pentru fiecare chitanţă,
dintre care una pentru bucătărie, una pentru casieria restaurantului,
una pentru serviciul de contabilitate şi una o reţine pentru el însuşi.
Chelnerii introduc numărul de comenzi pentru un anumit fel de
mâncare la fiecare masă, folosind codurile specifice pentru fiecare fel
de mâncare prevăzut în meniu şi comandat de către client, precum şi
numărul camerei clientului care este găzduit de hotel. Directorul de
restaurant introduce pe calculator detaliile cu privire la toate felurile de
mâncare servite în restaurant, făcând distincţie între cele achitate cash
şi cele trecute în contul clientului pentru nota finală. Banii încasaţi în
cash sunt vărsaţi în casieria restaurantului. Cel mai important
instrument de control în activitatea barurilor constă în utilizarea unui
sistem automat care solicită barmanului sa introducă codul băuturilor
comandate şi suma încasată, restul de plată fiind calculat automat de
către calculator.
Cerinţe:
1. Identificaţi obiectivele strategice ale companiei Sunny Hotel.
2. Indicaţi riscurile potenţiale şi controalele aferente care ar putea
ameliora aceste riscuri.
3. Organizaţi o şedinţă de analiză a riscurilor cu conducerea
hotelului pentru a evalua riscurile inerente.
4. Determinaţi domeniile auditabile ce vor fi incluse în planul de
audit şi prioritatea lor.
Anexa 1. Ierarhizarea riscurilor
………………………………….
OBIECTIVUL STRATEGIC AL ORGANIZAŢIEI
expus următoarelor riscuri:
RISC 1 RISC 2 RISCn………………………………….
Controlate prin următoarele procese de control (PC):
Controale care devin, la rândul lor, (sub)obiective, ameninţate de următoarele riscuri (r):
PC1 PC2 PC3 PCn……
R1 R2 R3 Rn
………….. Ameliorate prin controale, care devin sub-
obiective … etc.
Anexa 2. Procedura „plan de audit”16
Scopul:
Întocmirea planului de audit intern în conformitate cu
cerinţele standardelor de audit intern.
Premise:
Planul de audit intern reprezintă cadrul de acţiune pentru
Departamentul de Audit Intern şi se întocmeşte de către
şeful acestui departament.
Procedura:
Şef Departament Audit
Intern
1. Întocmeşte planul anual de
audit intern
2. Întocmeşte referatul
cuprinzând criteriile de
selectare a misiunilor de audit.
Comitetul de Audit 3. Analizează şi aprobă planul
anual de audit.
Consiliul de
Administraţie
4. Analizează şi aprobă planul
anual de audit.
Notă: Planul anual de audit intern poate fi modificat în cursul anului în
condiţiile reiterării procedurii.
16 HCAFR 88/2007, www.cafr.ro
PLAN DE AUDIT INTERN
Pe anul ..........
Nr.
Crt
Tema
misiu
nii de
audit
Obiecti
ve
Perioad
a
supusă
auditării
Unitate
a
auditat
ă
Perioada
desfăşură
rii
misiunii
de
audit
0 1 2 3 4 5
1
2
3
…
n
Şef Departament Audit Intern,