indrumar
TRANSCRIPT
MINISTERUL FINANELOR PUBLICE UNITATEA CENTRAL DE ARMONIZARE PENTRUAUDITUL PUBLIC INTERN
NDRUMAR
EVALUAREA RISCURILORN PREGTIREA I REALIZAREA MISIUNILOR DE AUDIT PUBLIC INTERN
Bucureti2014MINISTERUL FINANELOR PUBLICE UNITATEA CENTRAL DE ARMONIZARE PENTRUAUDITUL PUBLIC INTERN
NDRUMAR
EVALUAREA RISCURILORn pregtirea i realizarea misiunilor de audit public intern
ELABORAT:
UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN
BIROUL PENTRU STRATEGIE I METODOLOGIE GENERAL
ndrumarul Evaluarea riscurilor n pregtirea i realizarea misiunilor de audit public intern este elaborat n conformitate cu prevederile art. 8 din Legea nr. 672/2002 privind auditul public intern, republicat, cu modificrile ulterioare.
Prezentul ndrumar constituie un model care poate fi luat n considerare de ctre compartimentele de audit intern din cadrul entitilor publice pentru evaluarea riscurilor n scopul selectrii activitilor/aciunilor n auditare.
Bucureti2014
5
Cuprins
DenumireaPag.
1.Introducere3
2.Componentele riscului4
3.Tipuri de riscuri4
4.Clasificarea riscurilor5
5.Cadrul general de gestionare a riscurilor6
6.Evaluarea riscurilor de ctre auditul intern8
7.Evaluarea riscurilor pentru elaborarea Programului misiunii de audit public10
intern
MinisterulFinanelorPubliceNDRUMAREvaluarea riscurilor n pregtirea i realizarea misiunilor de audit public internUCAAPI2014
10
1. Introducere
Cadrul general
Baza de elaborare
ndrumarul privind evaluarea riscurilor n planificarea i realizarea misiunilor de audit public intern reprezint un document n care este descris un model practic de evaluare a riscurilor n scopul selectrii activitilor/aciunilor n auditare n cadrul etapei Pregtirea misiunii de audit intern.
ndrumarul i propune s reliefeze activitile derulate de conducerea entitii n vederea gestionrii riscurilor, precum i activitile derulate de auditorii interni cu scopul evalurii riscurilor n vederea selectrii activitilor/aciunilor n auditare.
n coninutul ndrumarului sunt dezvoltate aspecte referitoare la identificarea, evaluarea i tratarea riscurilor de ctre conducerea entitii, precum i procedurile derulate de auditori n vederea evalurii riscurilor i ierahizrii acestora n funcie de nivelul lor, fiind prezentate i modul de ntocmire a documentelor specifice procedurilor de audit.ndrumarul a fost elaborat n baza prevederilor art. 8, lit. c) din Legea nr. 672/2002 privind auditul public intern, republicat, cu modificrile ulterioare i pct. 3.7.4.2. din Normele generale privind exercitarea activitii de audit public intern aprobate prin H.G. nr. 1086/2013. Prezentul ndrumar reprezint o continuare a eforturilor UCAAPI pentru completarea instrumentelor de audit puse la dispoziia auditorilorinterni din sectorul public.Obiectiv Obiectivul principal al ndrumarului este acela de a oferi un instrument de lucru util pentru auditorii interni, care s i sprijine n evaluarea riscurilor specifice obiectivelor misiunilor de audit public intern i selectarea activitilor/aciunilor n auditare.
Rolul auditului intern n procesul de gestioanre a riscurilor
Activitatea de audit intern n entitile publice este asigurat de compartimentele de audit intern care reprezint structuri funcionale organizate n subordinea direct a conductorului entitii publice.n exercitarea responsabilitilor, compartimentele de audit public intern au ca principal atribuie efectuarea de misiuni de audit public intern n cadrul crora evalueaz dac sistemele de management financiar i control ale entitii publice sunt transparente i conforme cu normele de legalitate, regularitate, economicitate, eficien i eficacitate.Pentru a-i atinge aceste obiective, auditul public intern procedeaz la evaluarea riscurilor asociate activitilor/aciunilor auditabile, stabilirea riscurilor ridicate sau necontrolate n mod suficient de entitate i planificarea i realizarea de testri n aceste zone n vederea identificrii controalelor interne care nu exist sau exist dar nu funcioneaz n mod corespunztor, precum i formularea de recomandri n vederea corectrii acestor deficiene i/sau mbuntirii activitilor/aciunilor.
2. Componentele riscului
Conceptul de riscn practica entitilor publice din ara noastr definiia riscului acceptat i adoptat este urmtoarea1: riscul reprezint o problem (situaie, eveniment etc.) care nu a aprut nc, dar care poate apare n viitor, caz n care obinerea rezultatelor prealabil fixate este ameninata sau potenat.
Componente) Probabilitatea este o msur a incertitudinii i poate fi apreciat prin probabilitate mare, medie sau mic. Evaluarea probabilitii de materializare a riscului nseamn determinarea anselor de manifestare a acestuia. Probabilitatea mare exist atunci cnd riscul nu este controlat, iar manifestarea lui nu poate fi prevenit de entitatea public. Probabilitatea medie presupune c la nivelul entitii sunt implementate msuri de control intern, ns manifestarea riscului nu poate fi prevenit n totalitate. Probabilitatea mic poate fi atribuit unui risc n condiiile n care acesta este bine gestionat de entitate, respectiv controalele interne implementate menin riscul n nivelele acceptate.
) Impactul riscului reprezint consecina negativ asupra rezultatelor (obiectivelor) ateptate n cazul n care riscul se materializeaz. Impactul riscului poate fi apreciat prin impact ridicat, impact mediu i impact sczut. Impactul ridicat, presupune c materializarea riscului implic un nivel ridicat de gravitate. Impactul mediu, implic un nivel moderat de pericol pentru entitate. Impactul sczut presupune o gravitate redus n cazul n care riscul se manifest.
3. Tipuri de riscuri
Riscurile inerenteRiscul inerent este riscul care exist n mod normal n orice activitate desfurat i este definit ca fiind riscul existent nainte de aplicarea unor msuri de control intern n vederea reducerii atenurii lui2. Astfel, se consider c riscul inerent reprezint posibilitatea de apariie a unor erori sau neregulariti n ceea ce privetemanagementul i situaiile financiare, nainte de impactul eficacitii msurilor de control intern.
Riscurile rezidualeRiscurile reziduale reprezint expunerea cauzat de un anumit risc dup ce au fost luate msuri de atenuare a lui. Msurile de atenuare a riscurilor aparin controlului intern. Din aceast cauz riscul rezidual este o msur a eficacitii controlului intern, fapt pentru care unele ri au nlocuit termenul de risc rezidualcu cel de risc de control3. Astfel, riscul rezidual este considerat ca fiind risculcare rmne dup implementarea msurilor de control intern. Aplicarea msurilor de control intern trebuie s aib ca efect limitarea riscului inerent la un nivel care s fie acceptat de entitatea public. Riscurile reziduale se monitorizeaz i se urmresc dac se menin la niveluri acceptate.
1 Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,2007, site: www.finante.ro2 Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,2007, site: www.finante.ro3 Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,2007, site: www.finante.ro
Riscurile reziduale mai sunt cunoscute i ca fiind vulnerabilitatea sau expunerea entitii, respectiv riscul care rmne dup ce s-au implementat msuri de control n vederea diminurii riscului inerent. Aceste riscuri nu sunt supuse de entitatea public procedurii de evaluare i tratare, ns sunt inute sub observaie, urmrindu- se dac acestea se schimb, i modific nivelul sau structura i astfel devin necontrolate.
Riscurile inerente i riscurile reziduale sunt considerate ca fiind dou ipostaze ale aceluiai risc. Astfel, riscurile inerente exist nainte de introducerea instrumentelor de control intern, iar riscurile reziduale exist dup introducerea instrumentelor de control intern. Totui, dac instrumentele de control intern sunt implementate la un moment dat, n raport cu un anumit risc, au drept consecin o expunere la risc mai mare fa de limitele de tolerabilitate, riscul rezidual fiind considerat risc inerent.
Riscul de controlRiscul de control, reprezint probabilitatea ca sistemul de control s nu funcioneze i astfel s nu poat mpiedica sau corecta disfunciile existente, respectiv riscul ca sistemul de control intern al entitii s nu reueasc s mpiedice sau s detecteze la timp erorile, neregularitile sau frauda. Aceste riscuri pot aprea n soldul unui cont sau ntr-o categorie de tranzacii i pot fi semnificative n mod individual sau cumulate cu alte informaii. Riscurile de control reprezint nereguli i erori care nu sunt descoperite cu ocazia controlului.
Riscul de nedectareRiscul de nedetectare, reprezint riscul ca un anumit eveniment sau ameninare s nu poat fi identificat i gestionat, respectiv riscul ca testrile efectuate de auditul intern s nu detecteze eventualele erori sau neregulariti semnificative. Aceste riscuri sunt excluse n mod involuntar de ctre entitate, deoarece nu are cunotin despre existena lor. Totui, entitatea public are responsabilitatea de a monitoriza activitile ataate obiectivelor i de a urmri existena i a altor riscuri, n special n contextul n care modul de realizare a activitilor se schimb, ceea ce poate genera apariia de noi riscuri.
4. Clasificarea riscurilor
Clasificarea n funcie de natura operaiilor pe care le genereaz
Riscuri strategice, au legtur direct cu strategia de dezvoltare a entitii publicei sunt asociate obiectivelor strategice;
Riscuri organizaionale, sunt asociate procesului organizaional, realizrii activitilor i procedurilor operaionale;
Riscuri financiare, sunt determinate de schimbarea dobnzilor, inflaie, asigurri, taxe i impozite, politici protecioniste, politici regionale, nevoia de reducere a pierderilor;
Riscuri generale, au legtur direct cu domeniile de activitate ale entitii i sunt asociate obiectivelor generale;
Riscuri generate de schimbri, sunt determinate de schimbrile legislative, etica profesional, nivelul de cultur i pregtire al personalului, nevoile i necesitile personalului, ct i de fluctuaia personalului;
Riscuri operaionale, au legtur direct cu compartimentele funcionale ale
entitii i sunt asociate obiectivelor specifice definite la nivelul acestor compartimente.
Riscurile operaionale, sunt definite pe baza relaiei cauz eveniment efect i a controalelor existente n cadrul unui eveniment, n scopul prevenirii apariiei acestuia. Pentru ca riscul operaional s fie unul minimizat i controlat se impune ca sistemul de control intern/managerial s fie adaptat naturii i complexitii activitilor desfurate i s asigure cel puin delegarea de competenta i responsabilitate, separarea funciilor, protejarea activelor i funcia de audit intern.Gestionarea eficient a riscurilor presupune asigurarea echilibrului ntre riscul rezidual existent i nivelul riscului pe care entitatea public este pregtita s-l tolereze. Ignorarea anumitor situaii, conduce la existena unor riscuri necontrolate, care pot afecta nerealizarea obiectivelor.
5. Cadrul general de gestionare a riscurilor
Conceptul
de management al riscurilor
Modelul cadru de administrare al riscurilor adoptat n sistemul public din ara noastr este cel definit de COSO, model recunoscut ca un element cheie pentru o bun guvernan. COSO definete managementul riscului ca fiind procesul efectuat de consiliul de administraie, conducere i alte persoane, aplicat n stabilirea strategiei i n ntreaga organizaie, destinat s identifice evenimentele poteniale care pot afecta entitatea i s gestioneze riscul n limitele apetitului la risc pentru a furniza o asigurare rezonabil privind atingerea obiectivelor organizaiei.
Cadrul integrat de managementul riscurilor, definit de COSO gestioneaz riscul n limita apetitului de risc, ceea ce presupune c riscurile inerente sunt evaluate i tratate, prin implementarea de dispozitive de control cu ajutorul crora se acioneaz asupra impactului i probabilitii de manifestare a riscurilor, astfel nct acestea devin riscuri reziduale.
n acelai timp, necesitatea implementrii unui proces de gestionare a riscurilor este determinat i de faptul c riscul exist pretutindeni, n orice mprejurare i aciune i nu poate fi eliminat. n aceste condiii, riscul trebuie minimizat, respectiv meninut n limitele acceptate de entitatea public.
Managementul riscurilor la nivelul entitilor publice a fost creat pe conceptul de control intern, ns, accentul a fost pus n mod deosebit pe modul de administrare a riscurilor, respectiv ncorporarea conceptelor de baz cu privire la controlul intern n cadrul procesului de gestionare a riscurilor.
Sistemul de control intern/managerial adoptat n sistemul public din ara noastr, potrivit cadrului de reglementare n vigoare4, care cuprinde i obligaia de a gestiona riscurile, este construit i adaptat pe sistemul COSO. n aceste
4 OMFP nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management i control intern la entitile publice i pentru dezvoltarea sistemelor de control managerial, republicat.
condiii implementarea Standardului de control intern Managementul riscurilor, respect sistemul de management al riscului definit de COSO.
Managementul riscurilor reprezint un proces structurat, consistent i continuu n ntreaga organizaie n vederea identificrii, evalurii i aprecierii riscurilor, stabilirii responsabilitilor, luarea de msuri de atenuare sau anticipare a acestora, revizuirea periodic i monitorizarea progresului5, care garanteaz sigurana i integritatea financiar a entiti publice.
Responsabilitile
Conducerii entitiiPentru implementarea sistemului de management al riscurilor la nivelul entitii publice trebuie s existe un cadru favorabil reprezentat de personal cu experien, structur funcional echilibrat, atribuii i responsabiliti adecvate, infrastructur tehnic.
Conducerea este responsabil de implementarea sistemului de administrare a riscurilor, astfel nct riscurile s fie identificate, evaluate i tratate n vederea reducerii nivelului de expunere i meninerea acestora la nivele acceptate. Aceasta trebuie s conceap i s implementeze un sistem de management al riscurilor axat pe identificarea, evaluarea i tratarea riscurilor care amenin realizarea obiectivelor stabilite, la toate nivelurile organizaionale, respectiv strategic, general, specific i individual. Garantarea realizrii obiectivelor presupune stabilirea i implementarea de dispozitive de control adecvate i suficiente, astfel nct riscurile asociate obiectivelor s fie controlate i meninute n limitele acceptate.
Managementul riscului este integrat n sistemele i metodele de lucru ale entitii publice i este n responsabilitatea conducerii care trebuie s armonizeze structura organizaional, personalul, procesele i infrastructura pentru a implementa strategia i a menine un bun control asupra riscurilor.
Gestionarea riscurilor este responsabilitatea major a conducerii entitii publice care trebuie s asigure, punerea n practic i buna funcionare a proceselor de management al riscurilor pentru realizarea obiectivelor. Auditul intern are rolul de a examina i evalua procesele de managementul riscurilor puse n practic de conducere i de a urmri dac acestea sunt suficiente i eficace, garantnd realizarea obiectivelor.
Responsabilitile auditului internPotrivit Standardelor internaionale de audit intern rolul auditorilor interni este de a asista conducerea i comitetul de audit. n acest scop, trebuie ca ei s examineze i s evalueze procesele de management al riscurilor adoptate de conducere, s verifice dac acestea sunt suficiente i eficace, s emit rapoarte i recomandri n vederea mbuntirii lor. Conducerea i consiliul sunt responsabile de procesul de management al riscurilor i de control din organizaia lor. Totui, auditorii pot, n cadrul unei misiuni de consiliere s ajute organizaia s identifice, s evalueze i s implementeze un dispozitiv de management al riscurilor i al controalelor care s permit stpnirea acestor riscuri.
5 Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,2007, site: www.finante.ro
Evaluarea procesului de management al riscurilor n cadrul organizaiei i raportarea acestor evaluri fac parte din obiecitvele prioritare ale auditului. Trebuie fcut distincia ntre evaluarea proceselor de management al riscurilor i analiza riscurilor pe care auditorii trebuie s o realizeze pentru a-i planifica activitile 6.Astfel, se constat c auditul intern are un rol activ, de asigurare i consiliere a conducerii entitii publice, n procesul de implementare i gestionare a riscurilor, ns, pentru a evita ca responsabilitatea s le fie atribuit, trebuie s obin de la conducere confirmarea c aceasta asigur procesul de identificare, atenuare i monitorizare a riscurilor, asumndu-i responsabilitatea n acest sens.
6. Evaluarea riscurilor de ctre auditul intern
Reglementrile naionale n domeniu7 stabilesc c implementarea managementului riscurilor reprezint responsabilitatea major a conducerii entitii publice, iar evaluarea funcionalitii este n sarcina auditului intern.n accepiunea general, auditorul intern are rol activ n implementarea procesului de gestionare al riscurilor, prin furnizarea de asigurare i acordare de consiliere.Auditorii interni, dei au rol activ n implementarea i gestionarea dispozitivelor de control al riscurilor i aplicarea proceselor de management al riscurilor, acetia nu trebuie s i asume responsabiliti n procesul de management al riscurilor.n aceste condiii, se constat c, rolul auditului intern n procesul de management al riscurilor este din ce n ce mai complex, urmare tendinei de recunoatere a managementului riscurilor ca un sistem-cheie din cadrul entitilor publice.n procesul de evaluare a riscurilor auditorii interni se pot ntlni cu dou situaii. Astfel, situaia cnd nu exist implementat un proces de management al riscurilor n entitatea public auditorii interni formuleaz recomandri conducerii entitii n vederea organizrii acestui proces. n situaia n care exist implementat un proces de management al riscurilor, auditorii interni procedeaz la evaluarea modului n care riscurile sunt gestionate i formuleaz recomandri pentru mbuntirea procesului.Auditul intern ajut entitatea public, oferind asigurarea c sistemul de management alriscurilor este adecvat i suficient pentru protejarea fondurilor i a patrimoniului public i buna gestionare a acestora. De asemenea, contribuie la identificarea i evaluarea riscurilor semnificative i fundamenteaz recomandri pentru mbuntirea acestui sistem.Lund n considerare faptul c, managementul entitii publice i personalul realizeaz activitile de gestionare a riscurilor cu scopul de a identifica, evalua, gestiona i controla toate tipurile de evenimente sau situaii care pot afecta activitile acesteia, rolul auditului intern difer n funcie de nivelul de gestionare a riscurilor, astfel:a) dac evaluarea riscurilor este realizat nainte ca riscul s se materializeze, rolul auditului intern este a urmri suficiena i eficacitatea controlului intern pentru, a evita producerea evenimentului;b) dac evaluarea riscurilor este realizat dup ce riscul s-a materializat, rolul auditului
6 Standard 2110 (MPA) Managementul riscurilor, Norme profesionale ale auditului intern, Ministerul Finanelor Publice, Programul UE-PHARE Dezvoltarea procedurilor de audit i de control intern, Bucureti, 20047 OMFP nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management i control intern la entitile publice i pentru dezvoltarea sistemelor de control managerial, republicat.
intern este de a stabili cauzele care au condus la manifestarea riscului i de a propune msuri de control intern n vederea eliminrii acestora i pentur a asigura continuitatea activitilor organizaiei.Evaluarea riscurilor de ctre auditul intern presupune identificarea i analiza riscurilor relevante pentru atingerea obiectivelor i furnizarea unei asigurrii rezonabile cu privire la gradul n care obiectivele pot fi atinse.Asigurarea furnizat de auditul intern cu ocazia evalurii procesului de management al riscurilor presupune urmtoarele:a) asigurarea asupra eficacitii procesului de management al riscurilor;b) asigurarea c riscurile sunt evaluate n mod corect;c) asigurarea asupra riscurilor-cheie.Cunoaterea riscurilor i a nivelului acceptat al expunerii la risc contribuie la o analiz i fundamentare mult mai realist a deciziilor manageriale.n procesul de evaluare a managementului riscurilor auditorii interni urmresc:a) identificarea i evaluarea riscurilor ce decurg din strategiile i activitile derulate de entitile publice;b) existena limitelor riscurilor acceptate de ctre conducerea entitii publice;c) aplicarea msurilor de reducere sau atenuare a riscurilor, n funcie de limitele stabilite i considerate acceptabile la nivelul entitii publice;d) monitorizarea periodic a riscurilor pentru evaluarea evoluiei acestora;e) furnizarea de rapoarte privind evaluarea i controlul riscurilor conducerii entitii.Obiectivul auditului intern este de a oferi asigurarea c sistemul de management al riscurilor este adecvat i suficient pentru a proteja bunurile, reputaia i activitile organizaiei, de a ajuta la identificarea i evaluarea riscurilor semnificative.Practica auditului intern n evaluarea procesului de management al riscurilor urmreteevaluarea procedurilor aplicate de conducerea entitii n implementarea procesului, prin planificarea i realizarea de testri pentru fiecare risc identificat i gestionat. n baza rezultatelor obinute se furnizeaz o opinie cu privire la eficacitatea controalelor interne care asigur limitarea riscurilor i meninerea lor n limite acceptabile.n procesul de evaluare a riscurilor auditorii interni trebuie s dispun de dovezi suficiente i probante pentru a se asigura c procesul de gestionare a riscurilor, realizat de conducerea entitii publice, este unul relevant i corespunztor. n acest sens, trebuie s ia n considerare urmtoarele:a) analiza i examinarea documentelor de referin privind metodele aplicate de management pentru gestionarea riscurilor i urmrirea dac acestea se bazeaz pe bunele practici;b) analiza i documentarea cu privire la sectorul de activitate al entitii, privind evoluia i tendinele viitoare, n vederea determinrii procedurilor de control utilizate i a riscurilor care ar putea afecta entitatea;c) examinarea procedurilor entitii, a expunerii la risc i a acceptrii riscurilor;d) examinarea rapoartelor anterioare cu privire la evaluarea riscurilor, ntocmite de auditorii interni i externi;e) organizarea de ntlniri de lucru cu managementul entitii pentru a nelege obiectivele stabilite, riscurile asociate obiectivelor i msurile de control luate;f) evaluarea procesului de monitorizare, comunicare i atenuare a riscurilor i activitilor de control intern;n condiiile n care conducerea entitii publice a acceptat un nivel de risc necorelat cu strategia i procedurile entitii, sau nivelul este considerat inacceptabil pentru entitate, auditul intern are
responsabilitatea de a face referire la normele privind acceptarea riscurilor i formuleaz propuneri n vederea tratrii corespunztoare a riscului.Evaluarea riscurilor de ctre auditul intern este efectuat n perioada de planificare a misiunii de audit intern i se concretizeaz n elaborarea Planului multianual/anual de audit public intern, iar n etapa de pregtire i realizare a misiunii de audit public intern n elaborarea Programului misiunii de audit public intern.
7. Evaluarea riscurilor pentru elaborarea Programului misiunii de audit public intern
Evaluarea riscurilor are la baz probabilitatea de apariie i impactul riscului.Procesul de evaluare a riscurilor, efectuat de auditorii interni, presupune parcurgerea urmtoarelor faze: (1) identificarea activitilor/operaiilor, respectiv a obiectelor auditabile; (2) identificarea riscurilor asociate activitilor/operaiilor; (3) evaluarea riscurilor; (4) determinarea punctajului total al riscului.
A. Identificarea activitilor/operaiilor auditabile, se realizeaz prin detalierea activitilor n operaii succesive, prin descrierea procesului, de la iniierea i pn la realizarea lui. Stabilirea obiectelor auditabile, n practic, se realizeaz prin analiza cadrului legislativ, respectiv: organigrama, R.O.F.-ul, normele metodologice de aplicare a cadrului normativ care reglementeaz activitatea, fiele posturilor, procedurile, circuitul documentelor, pista de audit, diagrama de circulaie, decizii, circulare, instruciuni i altele, n vederea identificrii tuturor operaiilor componente ale activitilor auditate.
B. Identificarea riscurilor asociate activitilor/operaiilor se face prin evaluarea operaiilor auditabile identificate, determinarea controalelor interne ateptate i, n funcie de aceasta, determinarea riscurilor.Identificarea riscurilor presupune identificarea tuturor evenimentelor, interne i externe, care pot afecta pozitiv sau negativ realizarea activitilor auditabile. Identificarea ricurilor presupune urmtoarele:a) identificarea iniiala a riscurilor, caracteristic entitilor care nu i-au identificat anteriorriscurile;
b) identificarea riscurilor n condiiile n care entitile publice au implementat un proces demanagementul riscurilor.
n faza de identificare a riscurilor pot aprea situaii n funcie de care riscurile vor fi sau nu cuprinse n auditare, astfel :- operaii la care controalele interne sunt stabilite i funcioneaz, caz n care riscurile sunt minime, fiind posibil chiar s nu fie avute n vedere la analiz ;- operaii la care controalele interne sunt stabilite, dar nu funcioneaz, caz n care riscurile prezint importan i trebuie luate n analiz ;- operaii la care controalele interne nu sunt stabilite, dar funcioneaz, caz n care se recomand formalizarea lor prin proceduri de lucru ;- operaii la care controalele interne nu sunt stabilite i nici nu funcioneaz, caz n care riscurile sunt majore i vor fi avute n vedere, n mod obligatoriu, n analiza riscurilor.
Auditul intern folosete pentru identificarea riscului o serie de metode de audit cum sunt: chestionare, liste cu ntrebri, metode de analiza cantitative i calitative, precum i tehnici de audit: intervievarea responsabililor, grupurile focus, comparaii, grupri sau verificri.
C. Evaluarea riscurilor are n vedere componentele riscului, probabilitatea de apariie, respectiv condiiile care-l favorizeaz i impactul riscului, respectiv consecina n cazul materializrii riscului.Obiectivele principale ale acestei faze const n a cuantifica probabilitile de apariie i mrimea pierderilor produse de factorii de risc. Rezultatele sunt msurate pe baza unei matrice de analiz a riscurilor.n aceast etap se evalueaz importana riscurilor identificate, care trebuie s graviteze n jurul componentelor de probabilitate i impact. Majoritatea riscurilor se preteaz la o diagnosticare numeric, n special riscurile financiare sau cu conotaii financiare, dar exist i riscuri a cror evaluare se realizeaz din perspectiv subiectiv, spre exemplu riscul de imagine, riscul de reputaie, riscul de brand .a.n procesul de evaluare a riscurilor, auditul intern realizeaz o analiz a riscurilor semnificative din cadrul entitii asociate obiectivelor stabilite, face o apreciere a capacitii sistemului de control intern/managerial de a preveni manifestarea riscurilor i stabilete riscurile semnificative i necontrolate n mod adecvat de ctre entitate.Evaluarea riscurilor depinde de probabilitatea de apariie a acestora si de gravitatea consecinelor n cazul manifestrii riscului, respectiv impactul riscului i utilizeaz ca instrumente criteriile de apreciere a riscurilor. Aceste criterii trebuie s acopere obiectivele, n cadrul crora riscul a fost asociat, din punct de vedere al conformitii i performanei.Procesul de evaluare a riscurilor cuprinde att evaluarea riscurilor inerente, existente nainte de implementarea msurilor de control, ct i riscurile reziduale, rezultate dup implementarea msurilor de control.Evaluarea riscurilor se realizeaz prin aprecierea probabilitii de materializare a riscurilor i aprecierea impactului riscului n situaia materializrii acestuia i clasarea acestora pe trei nivele.a.Aprecierea probabilitii, reprezint un element calitativ i se realizeaz prin evaluarea posibilitii de apariie a riscurilor, prin luarea n considerare a factorilor de inciden calitativi specifici contextului n care sunt definite i realizate obiectivele. Aceasta se poate exprima pe o scal valoric, pe trei niveluri astfel: probabilitate mic, probabilitate medie i probabilitate mare. Un model de apreciere a probabilitii se prezint dup cum urmeaz:
PROBABILITATEDac
MIC(1)Modificri rare ale cadrului normativ, peste 3 ani Complexitate redus a activitilor i aciunilor Personal experimentat (experien de cel puin 5 ani) Obiectivele i intele nu sunt modificateInformaii fiabile, adecvate i actualizate Procese bine concepute, formalizate i conduse Riscul nu s-a manifestat anterior
MEDIE (2)Cadrul normativ este relativ nou sau a cunoscut modificri semnificativeComplexitate medie a activitilor i aciunilorNivel mediu de ncadrare i experien a personalului (experien sub 3 ani)Modificri rare ale obiectivelor i intelorInformaii existente din mai multe surse, dar insuficienteRiscul s-a manifestat rareori n trecut
MARE (3)
Modificri foarte dese ale cadrului normativComplexitate ridicat a activitilor i aciunilorPersonal neexperimentat i nou ncadrat (experin sub un an) Modificri frecvente ale obiectivelor i intelorProcese slab concepute i conduseInformaii insuficiente i neactualizate
Not: Criterile menionate anterior au caracter orientativ, este recomandat ca la nivelul fiecrei entiti s fie identificate i stabilite criterii specifice pe baza crora s se aprecize probabilitatea de apariie a riscurilor.
Informaiile colectate trebuie sintetizate cu ajutorul unor instrumente de lucru formalizate la nivelul compartimentului de audit public intern, care s reflecte activitatea desfurat. Un exemplu de document de lucru este prezentat n continuare.
Compartimentul AuditPublic InternPREGTIREA MISIUNII DE AUDITData: ..
Analiza riscurilor
Domeniul/activitatea auditat: Achiziii publiceDenumire misiune: Performana sistemului de achiziii publice al entitiiDocument redactat de: Ionescu Viorel/Georgescu IoanaSupervizat de: Popescu Gabriel
FOAIE DE LUCRU NR. 1DETERMINAREA PROBABILITII RISCURILOR
Nr. Probabilit crt. Obiective Activiti/Aciuni Riscurile identificate ate (P)
Adecvarea Asigurarea concordanei ntre Realizarea obiectivelor nu asigurpoliticii de politica de achiziii i obiective implementarea politicii entitii n 1achiziii domeniuDezvoltarea politicii de achiziii n Atribuirea contractelor fr respectarea1. funcie de necesitile actuale i criteriilor de calitate i pre 2viitoareImplementarea politicii de achiziii Interoperativitate redus a sistemuluiasigur eficiena activitilor informatic existent la nivelul entitii 3........................... ...............................Elaborarea Fundamentarea necesarului de Supradimensionarea nevoilorprogramului de achiziii n corelaie cu necesitatea 2achiziii realProgramul de achiziii este Divizarea contractelor2. exhaustiv i relevant pentru 3nevoile existente........................... ...............................
Eficiena i Asigurarea unei achiziii de calitate Procesul de atribuire a contractelor 3eficacitatea la costuri minime ale pieei limiteaz competiiagestiunii Respectarea condiiilor tehnice i Clauze contractuale favorabile achiziiilor financiare stabilite prin contractele furnizorului 2de achiziii3. Derularea contractelor de achiziii Realizarea achiziiilor fr corelarea lor 1cu necesitile i stocurile existentePli n avans, nenregistrarea plilor 2efectuate........................... ...............................
Auditori interni,
b. Aprecierea impactului, reprezint un element cantitativ i se realizeaz prin evaluarea efectelor riscului, n cazul n care acesta s-ar materializa, prin luarea n considerare a factorilor cantitativi specifici naturii financiare a contextului de realizare a obiectivelor. Aceasta se poate exprima pe o scal valoric, pe trei niveluri, astfel: impact sczut, impact moderat i impact ridicat. Un model
de apreciere a impactului se prezint dup cum urmeaz:
IMPACTDac
SCZUT (1)Nu exist pierderi de active (financiare, angajai, materiale). Afectarea imaginii entitii este redus.Costurile de funcionare nu sunt afectate. Calitatea serviciilor furnizate nu este afectat. Nu exist ntreruperi n activitate etc.
MODERAT (2)Pierderi de active (financiare, angajai, materiale) sunt reduse. Afectarea imaginii entitii este moderat.Creterea costurile de funcionare este moderat.Calitatea serviciilor furnizate este afectat n mic msur. Exist mici ntreruperi n activitate etc.
RIDICAT (3)Pierderi semnificative de active (financiare, angajai, materiale). Imaginea entitii este afectat n mod semnificativ.Costuri ridicate de funcionare.Calitatea serviciilor furnizate este afectat semnificativ. ntreruperi semnificative n activitate etc.
Informaiile colectate trebuie sintetizate cu ajutorul unor instrumente de lucru formalizate la nivelul compartimentului de audit public intern, care s reflecte activitatea desfurat. Un exemplu de document de lucru este prezentat n continuare.
Compartimentul AuditPublic InternPREGTIREA MISIUNII DE AUDIT
Data:
Analiza riscurilor
Domeniul/activitatea auditat: Achiziii publiceDenumire misiune: Performana sistemului de achiziii publice al entitiiDocument redactat de: Ionescu Viorel/Georgescu IoanaSupervizat de: Popescu Gabriel
FOAIE DE LUCRU NR. 2DETERMINAREA IMPACTULUI RISCURILOR
Nr. crt.ObiectiveActiviti/AciuniRiscurile identificateImpact(I)
1.Adecvarea politicii deachiziiiAsigurarea concordanei ntre politica de achiziii i obiectiveRealizarea obiectivelor nu asigur implementarea politiciientitii n domeniu2
Dezvoltarea politicii de achiziii nfuncie de necesitile actuale i viitoareAtribuirea contractelor frrespectarea criteriilor de calitatei pre2
Implementarea politicii de achiziiiasigur eficiena activitilorInteroperativitate redus a sistemului informatic existent lanivelul entitii2
..........................................................
2.Elaborareaprogramului de achiziiiFundamentarea necesarului de achiziii n corelaie cu necesitatea realSupradimensionarea nevoilor2
Programul de achiziii este exhaustiv i relevant pentru nevoile existenteDivizarea contractelor3
..........................................................
3.Eficiena ieficacitatea gestiunii achiziiilorAsigurarea unei achiziii de calitate la costuri minime ale pieeiProcesul de atribuire a contractelor limiteazcompetiia2
Respectarea condiiilor tehnice ifinanciare stabilite prin contractele de achiziiiClauze contractuale favorabile furnizorului2
Derularea contractelor de achiziiiRealizarea achiziiilor frcorelarea lor cu necesitile i stocurile existente2
Pli n avans, nenregistrarea plilor efectuate2
..........................................................
Auditori interni,
D. Determinarea punctajului total al riscului. Punctajului total al riscului se stabilete ca produs dintre probabilitatea i impactul riscului, conform formulei:
PT= P x I , unde: PT = punctajul total al risculuiP = probabilitateI = impactPentru stabilirea punctajului total al riscului se folosete urmtoarea matrice: Probabilitate
Mare (3) 3 6 9
Medie (2) 2 4 6
Mic (1) 1 2 3
Sczut (1) Moderat (2) Ridicat (3) Impact
n funcie de rezultatele obinute n urma procesului de msurare a riscului, proces aplicat pentru toate riscurile cu care organizaia se confrunt i care afecteaz realizarea obiectivelor, se procedeaz la ncadrarea acestora n: riscuri mari, riscuri medii i riscuri mici, astfel: pentru PT = 1 sau 2, riscul este mic, tolerabil i nu necesit msuri de control pentru PT = 3 sau 4, riscul este mediu, tolerarea este ridicat i necesit msuri de control pe termen mediu/ lung pentru PT = 6 sau 9, riscul este ridicat, intolerabil, necesit msuri de control urgente
Informaiile colectate se sintetizeaz cu ajutorul documentului ,,Stabilirea punctajului total al riscurilor i ierarhizarea riscurilor prevzut de HG. nr. 1086/2013 pentru aprobarea Normelor generale privind exercitarea activitii de audit public intern.
Model - Evaluarea riscurilor
Compartimentul AuditPublic InternPREGTIREA MISIUNII DE AUDITData: ..
Analiza riscurilor
Domeniul/activitatea auditat: Achiziii publiceDenumire misiune: Performana sistemului de achiziii publice al entitiiDocument redactat de: Ionescu Viorel/Georgescu IoanaSupervizat de: Popescu Gabriel
STABILIREA PUNCTAJULUI TOTAL AL RISCURILOR I IERARHIZAREA RISCURILOR
Nr. crt.ObiectiveActiviti/AciuniRiscurile identificateCriterii de analiza a riscuriluiPuncta- jul total (PT)Ierarhiza- rea riscurilor
Probabilitate(P)Impact(I)
1.Adecvareapoliticii de achiziiiAsigurarea concordaneintre politica de achiziiii obiectiveRealizarea obiectivelornu asigur implementarea politicii entitii n domeniu
1
2
2
Mic
Dezvoltarea politicii deachiziii n funcie de necesitile actuale i viitoareAtribuirea contractelor fr respectareacriteriilor de calitate i pre
2
2
4
Mediu
Implementarea politicii deachiziii asigur eficiena activitilorInteroperativitate redusa sistemului informatic existent la nivelul entitii
3
2
6
Mare
..........................................................
2.Elaborareaprogramului de achiziiiFundamentareanecesarului de achiziii n corelaie cu necesitatea realSupradimensionarea nevoilor
2
2
4
Mediu
Programul de achiziii este exhaustiv i relevantpentru nevoile existenteDivizarea contractelor339Mare
..........................................................
3.Eficiena ieficacitatea gestiunii achiziiilorAsigurarea unei achiziii de calitate la costuriminime ale pieeiProcesul de atribuire a contractelor limiteazcompetiia326Ridicat
Respectarea condiiilor tehnice i financiarestabilite prin contractele de achiziiiClauze contractuale favorabile furnizorului
2
2
4
Mediu
Derularea contractelor deachiziiiRealizarea achiziiilorfr corelarea lor cu necesitile i stocurile existente
1
2
2
Mic
Pli n avans, nenregistrarea plilorefectuate224Mediu
..........................................................
Auditori interni, Supervizor,