riscuri_cfp
TRANSCRIPT
PLANIFICARE STRATEGICĂ ȘI MANAGEMENTUL RISCULUI
5.3. Planul strategic și planificarea pe baza riscurilor
Ce este un plan strategic?
Este un document care prevede ce anume urmează să se auditeze, când şi cum. Este de asemenea şi un instrument de a adapta modul de utilizare a resurselor disponibile necesare planului. Perioada strategică nu mai este la fel de lungă ca în trecut pentru că schimbarea are o dinamică mai accentuată. Planurile care încearcă să acopere mai mult de 3 ani nu mai sunt fezabile în organizaţiile moderne.
Planificarea este un instrument care ne ajută să ne asigurăm că lucrurile sunt realizate corespunzător, la un moment potrivit şi că sunt disponibile resursele necesare atunci când este nevoie de ele.
Planificarea auditului constă în construirea unei strategii generale şi unor abordări detaliate cu privire la natura, durata şi gradul de întindere preconizat al auditului.
Activitatea de planificare a auditului comportă următoarele caracteristici: Raţionalitatea – Procesul de planificare şi rezultatele acestuia permit auditorului
evaluarea logică a îndeplinirii sarcinilor, precum şi ţintirea de obiective clare; Anticiparea – Procesul de planificare permite dimensionarea misiunilor în timp, astfel
încât priorităţile să fie mai clare scoase în evidenţă; Coordonarea – Planificarea permite coordonarea, de către structurile de audit atât a
politicilor de audit cât şi a activităţilor desfăşurate de alţi auditori sau experţi.
Abordarea pe baza riscurilor
Planurile strategice se fundamentează pe riscuri, fiind elaborate astfel încât să reflecte maturitatea gestionării riscurilor în cadrul entităţii. Dacă organizaţia este foarte matură şi auditul intern a validat calitatea gestionării riscurilor, cel mai bun mod de a realiza planificarea strategică este să se identifice cele mai ridicate riscuri din cadrul profilului riscurilor la nivel de organizaţie şi totodată să se definească un număr de misiuni de audit pe baza acestor riscuri. Această abordare nu este valabilă în România la ora actuală.
Dacă gestionarea riscurilor nu este suficient de matură în organizaţie este normal ca auditul intern să îşi elaboreze planul strategic pe baza propriei percepţii asupra riscurilor din organizaţie, însă acest lucru trebuie desigur convenit cu conducerea la vârf şi aliniat viziunii ei şi priorităţilor aferente.
La evaluarea riscurilor în vederea planificării se vor avea în vedere următorii factori de risc:
Constatările anterioare ale auditului; Sensibilitatea sistemului, aşa cum este percepută; Mediul de control; Încrederea în managementul operaţional; Schimbările de oameni sau de sisteme; Complexitatea.
Întocmirea planului strategic
Planificarea activităţilor auditului intern se face astfel:
Pe termen lung (5 ani); Pe termen mediu (3 ani); Anuală
Etapele întocmirii planului strategic Identificarea tuturor sistemelor;
- Analiza documentelor- Realizarea interviurilor cu directorii superiori- Gruparea sistemelor în scopul auditului
Evaluarea riscurilor aferente fiecărui sistem; Clasificarea riscurilor în funcţie de punctajul acordat; Stabilirea numărului de zile de audit alocate misiunilor pe baza experienţei auditorilor; Stabilirea sistemelor strategice care prezintă un grad ridicat de risc.Un plan de audit este bine apreciat când 70% din bugetul de timp este afectat pentru
activităţi de audit intern. Metoda de elaborare a bugetului este ca pentru fiecare obiectiv să calculăm de ce avem nevoie şi apoi prin însumare şi cu serviciile aferente să stabilim valoarea noastră. Raportarea să se facă având în vedere scopurile stabilite, modalităţile utilizate şi rezultatele aşteptate.
Conform standardelor I.I.A. (2000, 2010) şeful auditului intern trebuie să realizeze o planificare bazată pe riscuri pentru a stabili priorităţile în acord cu obiectivele organizaţiei.
Programul misiunilor de audit intern trebuie la rândul lor să se bazeze pe o evaluare a riscurilor realizate cel puţin o dată pe an şi să se ţină cont de punctul de vedere al managementului general.
În situaţiile în care avem propuneri de realizare şi a unei misiuni de consiliere, şeful structurii de audit intern înainte de a o accepta, trebuie să ia în calcul în ce măsură aceasta poate aduce un plus de valoare şi contribuie la îmbunătăţirea managementului riscurilor în funcţionarea organizaţiei. Misiunile de consiliere care au fost acceptate trebuie să fie integrate în planul audit intern anual, care va fi transmis apoi managerului general pentru aprobare.
5.4. Riscul – concept, tipuri de riscRiscul este ameninţarea ca un eveniment sau o acţiune să influenţeze negativ capacitatea unei organizaţii de a-şi atinge obiectivele propuse. Este o combinaţie de probabilitate şi impact, inclusiv importanţa percepută. Tipuri de risc:
de organizare (neformalizare proceduri, lipsa unor responsabilităţi precise); operaţionale (neînregistrarea în evidenţele contabile, arhivare deficitară); financiare (plăţi nesecurizate, nedetectarea operaţiilor cu risc financiar);
alte riscuri (generate de schimbări legislative, structurale, manageriale).Din punct de vedere al posibilităţilor de a se produce, există riscuri potenţiale şi riscuri posibile.
a) Riscurile potenţiale sunt cele mai susceptibile teoretic de a se produce, dar nici un control nu se exercită pentru a fi prevenite, descoperite şi corectate. Aceste riscuri sunt comune tuturor entităţilor.
b) Riscurile posibile reprezintă acea parte a riscurilor potenţiale pentru care managementul entităţii nu a întreprins măsuri eficiente menite de a le limita. Ca urmare, există o mare probabilitate ca erorile să se producă fără a fi detectate şi corectate.Registrul de riscuri
Registrul de riscuri este un tabel cu riscurile care au fost identificate, conţinutul acestuia are tendinţa de a creşte responsabilitatea examinării periodice şi gestionării permanente a tuturor riscurilor.
Riscul inerent este expunerea la un risc specific fără a se lua în considerare nici o măsură pentru gestionarea sau reducerea acestuia.
Riscul rezidual este expunerea la un risc specific după ce s-a luat în considerare măsura luată pentru gestionarea sa, presupunând că măsura este eficientă.
Componente esenţiale ale registrului de riscuri: obiectivul; riscul; responsabilul; impactul; probabilitatea şi expunerea aferente unui risc inerent; acţiunea de ameliorare şi stadiul acelei acţiuni; impactul; probabilitatea şi expunerea aferente unui risc rezidual;
Componente suplimentare: data la care a fost revizuit ultima dată fiecare risc; legături sau dependenţe de principalele obiective de activitate; istoria fiecărui risc; culori în conformitate cu expunerea inerentă şi reziduală.
Conducerea fiecărei organizaţii trebuie să aibă o ierarhie a obiectivelor la fiecare nivel şi subunitate, până la obiectivele operaţionale individuale.În exercitarea misiunii sale de audit auditorul se confruntă într-o entitate, cu următoarele tipuri de riscuri :
a) Riscuri generale specifice entităţii;b) Riscuri legate de natura operaţiunilor tratate;c) Riscuri legate de conceperea şi funcţionarea sistemelor;d) Riscuri legate de procedeele şi domeniile semnificative alese de auditori.a) Riscurile generale specifice entităţii – sunt acele riscuri care influenţează ansamblul
operaţiilor entităţii şi se referă la :▬ riscuri legate de situaţia economică a entităţii. Situaţia economică diferă în funcţie de
situaţia financiară a acestuia. În cazul când entitatea cere o situaţie financiară sănătoasă, fără dificultate, managementul acestuia are tendinţa să ducă o politică conservatoare şi să neglijeze anumite funcţii ale întreprinderii, sau ale managementului (inclusiv aceea de control).
În cazul în care entitatea este în dificultate financiară, conducerea poate avea reacţii necontrolate periculoase, fiind tentată să efectueze operaţiuni ilicite (evaziune fiscală, să apeleze la credite cu dobânzi foarte mai ş.a., sau să amâne luarea unor decizii bune din lipsa mijloacelor financiare;
▬ riscuri legate de natura şi complexitatea standardelor şi regulilor. Cu cât aceste nereguli sunt mai complexe, cu atât sunt mai mari sistemele de eroare.
De exemplu, riscul de eroare la evaluarea producţiei în avans, la produsele cu ciclu lung de fabricaţie, este mai mare decât la evaluarea stocurilor din comerţ;
▬ riscuri legate de capacitatea gestiunii economico-financiare. O bună gestionare a resurselor, un proces decizional de calitate, un management
performant, determină o reducere a riscului.▬ riscuri legate de sistemul contabil şi sistemul de control intern. Evidenţa tehnico-
operativă şi contabilă, trebuie astfel concepute încât să asigure prevenirea, deteriorarea şi corectarea oricăror erori.
Sistemul contabil şi de control intern,organizate şi aplicate cu rigoare, reprezintă mijloace eficiente împotriva riscurilor de erori;
▬ riscuri legate de atitudinea conducerii.Atitudinea conducerii poate contribui la limitarea sau creşterea riscurilor în general,
această atitudine poate merge de la ignorarea riscurilor (a celor cu probabilitate mică şi impact scăzut) până la utilizarea de proceduri de control intern detaliate pentru prevenirea şi diminuarea celorlalte categorii de riscuri;
▬ riscuri legate de natura operaţiilor tratate.În contabilitate, riscurile de erori sunt determinate de calitatea şi fiabilitatea sistemului
contabil;▬ riscuri legate de conceperea şi funcţionarea sistemelor.Fiabilitatea şi funcţionarea corespunzătoare a sistemelor contabile şi de control intern,
determină diminuarea corespunzătoare a riscurilor;▬ riscuri legate de procedurile şi domeniile semnificative alese de auditori, care sunt
determinate în funcţie de experienţa şi pregătirea profesională, de procedeele alese de auditori, care în mod inevitabil prezintă un anumit nivel de risc.
Definiția și componența riscului de auditRiscul de audit (R.A.) reprezintă riscul pe care auditorul îl atribuie unei opinii de audit
neadecvate, atunci când situaţiile financiare conţin informaţii eronate material.Nivelul de siguranţă constituie încrederea obţinută prin aplicarea procedurilor de audit, în
sensul că erorile cumulate din situaţiile financiare nu vor fi mai mari decât nivelul materialităţii.Este necesar ca un auditor să fie încrezător că rezultatele şi concluziile formulate la
finalul auditului sunt corecte. În general este agreat un nivel acceptabil al riscului de audit existent în timpul efectuării auditului, care se referă la măsura în care auditorul este dispus să accepte că situaţiile financiare sunt eronate, după efectuarea auditului.
Dacă auditorul doreşte un nivel al riscului de audit scăzut, aceasta înseamnă că doreşte să fie cât mai sigur că situaţiile financiare nu conţin erori materiale. Astfel, dacă presupunem că riscul este 0 (nu există risc), asigurarea auditului va fi 100 (situaţiile financiare sunt 100% corecte).
Deci, riscul de audit + nivelul de siguranţă = 100%
Riscul de audit are trei componente principale : riscul inerent, riscul de control şi riscul de nedetectare.
Modelul riscului de auditReprezintă o formă cantitativă a relaţiilor dintre riscul de audit (R.A.), riscul inerent
(R.I.), riscul de control (R.C.) şi riscul de nedetectare (R.N.).
Riscul de audit = riscul inerent x riscul de control x riscul de nedetectaresau,
RA = RI x RC x RN
Riscul inerent
Riscul inerent (RI) reprezintă susceptibilitatea unui sold al unui cont sau a unei categorii de tranzacţii, la informaţii eronate care ar putea fi materiale individual, sau atunci când sunt cumulate cu informaţii eronate din alte solduri sau tranzacţii, presupunând că nu au existat controale interne corespunzătoare.
În dezvoltarea generală a unui plan de audit, auditorul trebuie să evalueze riscul inerent. Riscul inerent este măsura în care auditorii evaluează probabilitatea ca unele situaţii financiare eronate să se producă în practică, acestea fiind considerate slăbiciuni ale controalelor interne. Dacă auditorul ajunge la concluzia că există o probabilitate ridicată ca erorile din situaţiile financiare să nu fie depistate de controalele interne, înseamnă că el apreciază un risc inerent ridicat.
Includerea nivelului riscului inerent în modelul riscului de audit, presupune că auditorii vor încerca să previzioneze segmentele din situaţiile financiare care prezintă cea mai mică şi respectiv cea mai mare probabilitate de a fi eronate.
Aceste informaţii afectează dimensiunea probelor de audit necesare a fi colectate de auditor şi influenţează eforturile auditorilor în activitatea alocată colectării probelor pe parcursul auditului.
Există de asemenea, riscul ca entitatea prin managementul acesteia să facă unele declaraţii eronate, care în mod individual sau cumulate pot conduce la situaţii financiare false.
Declaraţiile eronate pot fi intenţionate sau neintenţionate.Riscul inerent reprezintă probabilitatea ca declaraţiile să fie eronate înainte de a lua în
considerare controalele interne ale entităţii.Când evaluează riscul inerent auditorul va lua în considerare următorii factori :▬rezultatele auditurilor precedente;▬angajamentele iniţiale, comparativ cu rezultatele;▬tranzacţiile neobişnuite sau complexe;▬raţionamentul profesional avut în vedere la stabilirea soldurilor conturilor şi la
înregistrarea tranzacţiilor;▬activele care sunt susceptibile la delapidări;▬formarea populaţiei şi dimensiunea eşantionului;▬schimbările în cadrul conducerii şi reputaţia acesteia;▬natura activităţii entităţilor, incluzând natura producţiei realizate şi a serviciilor
prestate de aceasta;
▬natura sistemului de procesare a datelor şi gradul de utilizare al tehnicilor moderne pentru comunicare.
Evaluarea riscului inerentPentru a evalua riscul inerent, auditorii trebuie să efectueze o analiză a contextului în care
funcţionează entitatea auditată, precum şi caracteristicile operaţiunilor auditate prin interviuri cu conducerea entităţii şi cunoaşterea activităţii acesteia, obţinută din rapoartele auditurilor precedente.
Auditorul trebuie să evalueze factorii de mai sus, pentru a stabili riscul inerent specific fiecărui ciclu de tranzacţii, cont şi obiectiv al auditului.
Unii factori vor afecta mai multe sau probabil toate clasele de conturi, în timp ce alţi factori cum ar fi tranzacţiile neobişnuite, vor afecta numai anumite clase de conturi (specifice). Pentru fiecare entitate sau clasă de conturi, decizia de a evalua un risc inerent corespunzător, depinde în principal de raţionamentul profesional al auditorului. Astfel, mai mulţi auditori stabilesc un risc inerent de 50%, chiar în cele mai bune circumstanţe şi de 100% atunci când există oricând posibilitatea apariţiei unor erori materiale.
De regulă, auditorii recurg la întocmirea şi completarea unei liste de întrebări şi în funcţie de răspunsurile primite şi pe baza raţionamentului profesional, evaluează riscul inerent ca fiind ridicat, mediu, scăzut. Riscul inerent poate fi exprimat fie în termeni cuantificabili (ex: în procente), fie în termeni necuantificabili (ex: ridicat, mediu, scăzut).
Riscul de control
Riscul de control (RC) reprezintă riscul ca o eroare semnificativă, ce ar putea apărea în soldul unui cont sau într-o categorie de tranzacţii şi care ar putea fi materială individual sau atunci când este cumulată cu alte informaţii eronate din alte solduri sau categorii de tranzacţii, să nu poată fi prevenită sau detectată şi corectată în timp util de către sistemul contabil şi sistemul de control intern. Cu alte cuvinte, riscul de control este acel risc ca erorile din situaţiile financiare să nu poată fi detectate şi corectate de sistemul de control intern.
Sistemul de control intern al entităţii auditate cuprinde două componente :▬ mediul de control;▬ procedurile de control intern.
În mod evident, când controalele interne funcţionează şi sunt foarte bune, auditorii se vor putea bizui pe ele, deci avem un mediu de control bun. Dimpotrivă, dacă controalele sunt reduse ca număr şi slabe cantitativ, auditorii nu se pot bizui pe ele, deci avem un mediu de control slab – inexistent.
Ineficacitatea controalelor interne conduce la creşterea riscului de control şi îi va determina pe auditori să nu aibă încredere în sistemul de control intern.
De menţionat că auditorul ar trebui să discute cu conducerea entităţii slăbiciunile mediului de control şi să facă recomandări pentru întărirea acestuia. Totodată el va utiliza slăbiciunile identificate prin aplicarea chestionarului, în vederea formulării unor recomandări de remediere.
Evaluarea riscului de control
Evaluarea riscului de control se realizează în etapa de planificare a auditului. Auditorul stabileşte riscul de control prin evaluarea sistemului de control intern al entităţii auditate şi prin determinarea eficacităţii activităţii auditorilor interni. Evaluarea riscului de control se face în etapa de planificare (în baza unor informaţii colectate de auditor), urmând a fi confirmată prin teste de control. Controlul intern al entităţii auditate este conceput pentru asigurarea unei gestionări riguroase şi eficiente a activităţii entităţii.
Pentru evaluarea riscului de control, auditorii vor aprofunda înţelegerea structurii sistemului de control intern, prin revizuirea şi documentarea funcţionării acestuia în practică. Dacă auditorul doreşte să se bizuie pe sistemul de control intern (al entităţii auditate) atunci când avem un mediu de control bun este necesar ca aceasta să testeze sistemul.
Există şi situaţii în care auditorul poate decide să nu aibă încredere în sistemul de control intern când avem un mediu de control slab . În astfel de cazuri, el poate aprecia că nu este necesară efectuarea de teste de control, iar riscul de control va fi evaluat la un nivel ridicat. În mod obişnuit, auditorul trebuie să testeze sistemul de control intern, să se asigure dacă acesta există şi dacă a funcţionat corespunzător de-a lungul întregului an. Una din metodele frecvent utilizate este metoda chestionarelor.
Evaluarea riscului de control necesită utilizarea raţionamentului profesional al auditorului, fapt pentru care acesta poate fi caracterizat ca un proces subiectiv. Evaluarea poate fi exprimată fie în termeni cuantificabili (ex: procente), fie în termeni necuantificabili (ex: scăzut, mediu, ridicat).
Riscul de nedetectareRiscul de nedetectare (RN) reprezintă riscul ca o procedură de fond utilizată de auditor să
nu detecteze o informaţie eronată ce există în soldul unui cont sau categorie de tranzacţii care poate fi materială, în mod individual sau când este cumulată cu informaţii eronate din alte solduri sau categorii. Riscul de nedetectare mai este definit ca fiind riscul ca un auditor să nu descopere acele erori materiale care nu au fost depistate de sistemul de control intern.
Riscul de nedetectare poate fi influenţat de către auditor prin schimbarea naturii, perioadei de timp şi extinderea testelor de fond, aplicate asupra soldului unui cont.
Exemplu : Utilizarea unor proceduri mai numeroase şi eficace, va avea ca rezultat un nivel mai scăzut al riscului de nedetectare, decât atunci când utilizăm proceduri mai puţin eficace.
Riscul de nedetectare este determinat după stabilirea a două componente ale riscului de audit: riscul inerent şi riscul de control. În determinarea riscului de nedetectare, auditorul va trebui să ia în considerare, de asemenea, probabilitatea că acesta a făcut o eroare, cum ar fi neaplicarea unei proceduri de auditare sau neinterpretarea uneia din probele de audit obţinute. Aceste aspecte ale riscului de nedetectare pot fi reduse (atenuate) printr-o planificare adecvată, o supervizare atentă, precum şi prin respectarea standardelor de control a calităţii auditului.
Nivelul planificat al riscului de nedetectare poate fi revizuit (atunci când este necesar), pe baza probelor de audit obţinute (schimbări în evaluările riscului inerent şi de control pe parcursul efectuării acţiunii de audit).
În cazul în care folosesc modelul riscului de audit, auditorii trebuie să parcurgă următorii paşi :
a) stabilirea nivelului planificat al riscului de audit;b) evaluarea riscului inerent şi a riscului de control;
c) rezolvarea ecuaţiei riscului de audit pentru stabilirea unui nivel corespunzător al riscului de nedetectare.
Atât riscul inerent, cât şi riscul de control nu pot fi niciodată stăpânite de auditor, spre deosebire de riscul de nedetectare care poate fi influenţat de către auditor.
5.5. Reglementări recente în evaluarea riscurilor în vederea planificării AIObiectivul modelului de risc este să optimizeze alocarea resurselor de audit printr-o
înţelegere cuprinzătoare a universului domeniului de audit şi riscurile asociate cu fiecare element al acestuia.
Bunele practici internaţionale, adoptate de I.I.A., începând cu elaborarea Planului de audit pentru anul 2003, recomandă un model de audit al riscului pentru a cuantifica nivelul de risc al fiecărei unităţi de audit, în vederea programării auditurilor conform priorităţilor stabilite. Aceasta reprezintă o despărţire de practicile trecute care se bazau mai puţin pe judecată formală a riscului şi mai mult pe perioada de timp scursă de la ultimul audit.
Ultimul model de analiză a riscului, recomandat de I.I.A., în 2003, se bazează pe 6 factori de risc, şi anume:
F1 - Constatările anterioare ale auditului;F2 - Sensibilitatea sistemului, aşa cum este percepută;F3 - Mediul de control;F4 - Încrederea în managementul operaţional;F5 - Schimbările de oameni sau de sisteme;F6 - Complexitatea.Fiecare element din universul de audit va fi cuantificat după aceşti 6 factori folosind o scară
numerică de la 1 la 3, unde: 1 înseamnă ”probabil că nu prezintă probleme”, 2 înseamnă ”posibil o problemă”,3 înseamnă ”probabil o problemă”. Rezultatele acestor analize sunt totalizate şi apoi multiplicate cu un „factor de vârstă” a
auditului, cum ar fi: - 100% dacă un audit similar a fost făcut în ultimele 24 de luni; - 125% dacă auditul a fost făcut în urmă cu 25-36 luni; - 150% dacă auditul a fost făcut în urmă cu 37/60 de luni; - 200% dacă auditul e mai vechi de 60 de luni.Nivelele rezultatelor se vor întinde pe o plajă de valori cuprinse între 6-36, care după
încheierea acestui proces de notare vor fi grupate pe 4 categorii, în funcţie de factorul de risc prezentat, astfel:
stratul de 10%, de sus, reprezintă nivelul de risc maxim;stratul de 30% reprezintă nivelul de risc sensibil;stratul de 40% reprezintă nivelul de risc moderat;ultimul strat de 20% reprezintă nivelul de risc scăzut. Cadrul pentru planul anual de audit intern este apoi construit din mostre din cele 4 straturi
folosind următoarele ţinte de acoperire:- entităţile de audit considerate de risc mare vor fi auditate în proporţie de 100%;- stratul de risc sensibil va fi auditat în proporţie de 50%;- o mostră de 25% va fi auditată din stratul de risc moderat;- stratul de risc scăzut va fi auditat selectând elemente în proporţie de 10%.
Grupurile de risc mai scăzut sunt eşantionate pentru a vedea dacă procesul de notare funcţionează şi confirmă că nivelurile de risc sunt în mod corespunzător clasificate.
În timp ce modelul de risc încă necesită judecăţi, nivelurile individuale sunt documentate şi pot fi analizate critic şi polemizate.
Modelul, de asemenea, promovează definirea uniformă a universului de audit al fiecărui segment. Astfel, riscurile de audit la fiecare locaţie ale entităţii publice pot fi comparate cu cele de la celelalte locaţii pe o bază obiectivă. Aceasta va ghida folosirea şi repartizarea geografică a personalului.
Definirea universului de audit este prima cerinţă prealabilă a ierarhizării riscurilor. Această determinare a domeniului auditului va fi bazată pe cunoaşterea planului strategic al organizaţiei şi activităţile acesteia şi discuţiile cu responsabilul compartimentului de resurse umane.
Modelul de evaluare a riscurilor recomandă liniile directoare de stabilire a criteriilor de ierarhizare a riscurilor, care sunt:
Constatările anterioare ale auditului – sunt un indicator al disciplinei de control intern. Problemele sunt adeseori caracterizate de deficienţe semnificative ale controlului, modificări (ajustări) importante, un număr de constatări mai mare decât normal, iar constatările repetitive nu sunt fixe. Dimpotrivă, lipsa de constatări şi corectarea periodică a constatărilor anterioare indică o disciplină a controlului.
Sensibilitatea – reprezintă evaluarea riscurilor inerente asociate cu entităţile evaluate. Aceasta este o evaluare a ceea ce potenţial ar putea produce nereguli în viitor şi care va fi reacţia asociată, care poate fi conectată, din punct de vedere al riscului, cu pierderea sau descompletarea activelor, cu erorile nedetectate, cu datoriile nerecunoscute sau necuantificate exact sau riscul de publicitate adversă, obligaţii legale etc. Cuantificarea sensibilităţii va trebui să ţină seama şi de mărimea entităţii analizate, expunerea potenţială şi probabilitatea.
Mediul de control – reprezintă politicile colective, procedurile, regulile obişnuite, măsurile de protecţie fizică a patrimoniului şi personalul folosit în acest scop. Esenţial pentru un mediu favorabil de control este tonul de la vârf, aderenţa la politicile şi procedurile cuprinse în documente, sisteme sigure, prompta detectare şi corectare a erorilor, dotarea adecvată cu personal şi asigurarea unui număr (de personal) ţinut sub control. Dimpotrivă, lipsa de supraveghere, ratele mari de eroare, lipsa de documentare, cantităţi mari de muncă nenormată, insuficient gestionată, un mare număr de personal şi operaţiuni nereglementate, sunt simptome ale unui mediu slab de control.
Relaţii bune, atmosferă destinsă cu managementul executiv - reflectă încrederea conducătorilor auditului în managementul direct responsabil cu unitatea auditată şi implicarea managementului în controlul intern. Confortul este caracterizat de factori cum ar fi colaborarea în auditurile anterioare, experienţa managementului în mediul de muncă şi percepţiile privind calitatea şi nivelul de dotare cu personal.
Schimbări ale oamenilor/sistemelor. Practica indică faptul că schimbările au impact asupra controalelor interne şi raportărilor financiare. Schimbări apar de obicei pentru a avea efect pe termen lung, dar adeseori schimbările pe termen scurt necesită o mai mare atenţie din partea auditului. Schimbările cuprind reorganizări, modificări ale ciclurilor de afaceri, creşteri rapide, noi linii de produse, noi sisteme, achiziţii şi vânzări ale unor părţi din firmă (capital), noi reglementări sau legi şi fluctuaţia personalului. Unităţile de audit mai puţin afectate de schimbări vor fi mai puţin auditate.
Complexitatea. Acest factor de risc reprezintă potenţialul pentru a comite erori sau inadecvări care ar putea trece neobservate (nedetectate) din cauza complexităţii mediului.
Cuantificarea şi nivelul complexităţii va depinde de mai mulţi factori. Extinderea automatizării, calculaţii complexe, activităţi interdependente, număr mare de produse sau servicii, orizontul de timp al estimărilor, dependenţa de un terţ, cererile clienţilor, timpii de procesare, legile şi reglementările aplicabile şi mulţi alţi factori, unii dintre ei necunoscuţi, influenţează judecăţile despre complexitatea unui anumit audit
Perfecţionarea modelului de cuantificare a riscurilor rămân o prioritate permanentă a funcţiei auditului intern.Obiectivele auditorilor interni reprezintă alocarea de resurse de audit într-o manieră optimă, către auditurile cu cel mai mare risc, pentru însănătoşirea activităţilor/subactivităţilor entităţii, iar economisirea de resurse pe baza analizei riscurilor să rămână o prioritate.5.6. Metodologia evaluării riscurilor în auditul intern
Normele generale de aplicare a auditului public intern contin o metodologie comuna pentru evaluarea riscurilor, atat pentru procedura de întocmire a Planului de audit public intern, cat şi pentru derularea unei misiuni de audit în faza de elaborare a Programului de audit, şi presupun parcurgerea următoarelor etape:
a. Identificarea activităţilor auditabile;b. Identificarea riscurilor inerente asociate activităţilor;c. Stabilirea factorilor de analiză a riscurilor şi nivelele de apreciere ale acestora;d. Stabilirea nivelului riscului pe criteriile de apreciere;e. Determinarea punctajului total al riscului;f. Clasarea activităţilor pe baza analizei riscurilor;g. Ierarhizarea activităţilor care urmează a fi auditate;h. Elaborarea tematicii în detaliu a activităţilor auditabile;i. Elaborarea planului de audit intern anual.
a) Identificarea activitatilor auditabile se realizeaza pe baza analizei actului de infiintare, organigramei, ROF-ului, deciziilor de organizare a eventualelor noi activitati s.a.
Etapa se concretizeaza prin intocmirea de catre auditori a Listei activitatilor din cadrul entitatii.
b) Identificarea riscurilor inerente asociate activităţilorEvaluarea riscurilor trebuie sa aiba în vedere gestionarea schimbarii: oamenii se schimba,
metodele se schimba, organizarile şi politicile se schimba şi ca atare şi riscurile se schimba.Evaluarea riscului inseamna identificarea şi analizarea riscurilor relevante în indeplinirea
obiectivelor, pentru a cunoaste modul în care acestea trebuie sa fie administrate.Evaluarea riscului este o parte a procesului operational şi trebuie sa identifice şi sa evalueze
factorii interni şi externi care ar putea afecta în mod negativ obiectivele organizatiei.Factorii interni şi externi trebuie sa fie luati în considerare intr-o abordare a evaluarii
riscului. Factorii interni sunt, de exemplu, natura activitatilor entitatii, calificarea personalului, schimbari majore în organizare sau randamentul angajatilor. Factorii externi pot fi variatia conditiilor economice, schimbarea cadrului legislativ, factorul politic sau schimbarile intervenite în tehnologie.
Identificarea riscurilor asociate activitatilor trebuie sa tina seama de formele de control intern, respectiv de existenta şi functionalitatea procedurilor. Stiind ca pentru orice activitate se elaboreaza o procedura de lucru care va contine şi controalele interne, daca aceasta lipseste activitatea prezinta riscuri potential mai mari decat cele pentru care sunt elaborate proceduri.
Aceasta se bazeaza pe faptul ca personalul de executie, neavand o procedura unitara va intelege foarte greu activitatea şi implicit realizarea ei în practica.
Etapa se concretizează prin întocmirea tabelului Identificarea riscurilor asociate activitatilor auditabile.
c) Stabilirea factorilor de analiza a riscurilor şi nivelele de apreciere a acestora se realizează ţinând cont de recomandările din Normele generale pentru utilizarea factorilor privind: aprecierea controlului intern, aprecierea cantitativa şi aprecierea calitativa, la care mai putem adaugă şi alţi factori specifici activitatii. Spre exemplu, propunem pentru domeniul financiar-contabil sa utilizam şi factorii: modificări legislative şi vechimea personalului.
Menţionăm că pentru stabilirea ponderii riscului se are în vedere importanţa şi greutatea factorului de risc în cadrul activităţii respective şi de asemenea, faptul că suma ponderilor factorilor de risc trebuie să fie 100.
Funcţie de criteriile alese stabilim următoarele ponderi:Aprecierea controlului intern…………40%;Aprecierea cantitativă…………………25%;Aprecierea calitativă…………………..20%;Modificări legislative………………….10%;Vechimea personalului………………….5%.
Factorul de risc este elementul utilizat pentru a identifica probabilitatea ca evenimentele sa aibă un impact negativ asupra unei activităţi auditabile.
Nivelul factorului de apreciere a riscului reprezinta modificarea produsa de impactul riscului asupra domeniului auditabil.
Etapa se concretizează prin întocmirea tabelului Situatia privind factorii de analiza a riscurilor şi nivelele de apreciere ale acestora.
d) Stabilirea nivelului riscului pe criteriile de apreciere se realizeaza prin aplicarea la fiecare factor de analiza a riscurilor a unui nivel de apreciere.
Etapa se concretizează prin întocmirea situaţiei Stabilirea nivelului riscului.e) Determinarea punctajului total se realizeaza prin aplicarea ponderii nivelului de apreciere
fiecarui factor de risc pe nivele de riscuri în vederea stabilirii punctajului total pe baza formulei:
Pt = Pi * Niunde, Pt = punctaj total; Pi = ponderea riscurilor pentru fiecare factor; Ni = nivelul riscului pentru fiecare factor utilizat.Etapa se concretizează prin întocmirea situaţiei Determinarea punctajului total.f) Clasarea activitatilor pe baza analizei riscurilor se realizeaza pe baza punctajelor totale
obtinute anterior, stabilite în ordinea impactului produs asupra domeniului auditabil şi se departajeaza pe o scara cu trei nivele: mari, medii şi mici.Etapa se concretizează prin întocmirea situaţiei Clasarea activităţilor conţine activităţile identificate din cadrul domeniului financiar-contabil, în funcţie de riscuri.
g) Ierarhizarea activitatilor care urmează a fi auditate se realizează pe baza situaţiei anterioare tinand cont şi de numarul personalului, timpul disponibil, alte activitati care se
desfasoara în cadrul structurii de audit intern si, în mod special, de analiza riscurilor identificate la celelalte domenii din cadrul entitatii.
Etapa se concretizează prin elaborarea Situaţiei puncte tari şi puncte slabe, document care prezinta sintetic rezultatul evaluarii fiecarei activitati în scopul elaborarii Planului de audit intern. Documentul contine şi o opinie referitoare la nivelul impactului riscurilor activitatilor asupra domeniului auditabil şi a gradului de incredere privind functionalitatea activitatii în cadrul domeniului.
h) Elaborarea tematicii în detaliu a activităţilor auditabileTematica de detaliu se realizează pe baza Situaţiei puncte tari şi puncte slabe, întocmită în
etapa anterioară şi cuprinde misiunile de audit intern ce vor face parte din planul pentru viitor.Etapa se concretizează în situaţia Tematica în detaliu a activităţilor auditabile.i) Elaborarea planului de audit intern anualPentru elaborarea Planului de audit intern anual este necesar să determinăm pentru fiecare
obiectiv perioada auditată, fondul de timp necesar pentru realizarea misiunilor şi numărul auditorilor implicaţi.
Etapa se concretizează în elaborarea Planului de audit intern anual.
5.7. RezumatPlanurile strategice se fundamentează pe riscuri, fiind elaborate astfel încât să reflecte
maturitatea gestionării riscurilor în cadrul entităţii. Bunele practici internaţionale, adoptate de I.I.A., începând cu elaborarea Planului de audit pentru anul 2003, recomandă un model de audit al riscului pentru a cuantifica nivelul de risc al fiecărei unităţi de audit, în vederea programării auditurilor conform priorităţilor stabilite. Ultimul model de analiză a riscului, recomandat de I.I.A., în 2003, se bazează pe 6 factori de risc, şi anume:
F1 - Constatările anterioare ale auditului;F2 - Sensibilitatea sistemului, aşa cum este percepută;F3 - Mediul de control;F4 - Încrederea în managementul operaţional;F5 - Schimbările de oameni sau de sisteme;F6 - Complexitatea.Normele generale de aplicare a auditului public intern contin o metodologie comuna pentru
evaluarea riscurilor, atat pentru procedura de întocmire a Planului de audit public intern, cat şi pentru derularea unei misiuni de audit în faza de elaborare a Programului de audit, şi presupun parcurgerea următoarelor etape:
a. Identificarea activităţilor auditabile;b. Identificarea riscurilor inerente asociate activităţilor;c. Stabilirea factorilor de analiză a riscurilor şi nivelele de apreciere ale acestora;d. Stabilirea nivelului riscului pe criteriile de apreciere;e. Determinarea punctajului total al riscului;f. Clasarea activităţilor pe baza analizei riscurilor;g. Ierarhizarea activităţilor care urmează a fi auditate;h. Elaborarea tematicii în detaliu a activităţilor auditabile;i. Elaborarea planului de audit intern anual.
Obiectul controlului financiar preventiv
(1) Fac obiectul controlului financiar preventiv proiectele de operatiuni care vizeaza, in principal:
a) angajamente legale si bugetare;b) deschiderea si repartizarea de credite bugetare;c) modificarea repartizarii pe trimestre si pe subdiviziuni ale clasificatiei bugetare a
creditelor aprobate, inclusiv prin virari de credite; d) ordonantarea cheltuielilor; e) efectuarea de incasari in numerar; f) constituirea veniturilor publice, in privinta autorizarii si a stabilirii titlurilor de incasare; g) reducerea, esalonarea sau anularea titlurilor de incasare; h) constituirea resurselor proprii ale bugetului Uniunii Europene, reprezentand contributia viitoare a Romaniei la acest organism; i) recuperarea sumelor avansate si care ulterior au devenit necuvenite; j) vanzarea, gajarea, concesionarea sau inchirierea de bunuri din domeniul privat al statului sau al unitatilor administrativ-teritoriale; k) concesionarea sau inchirierea de bunuri din domeniul public al statului sau al unitatilor administrativ-teritoriale; l) alte tipuri de operatiuni, stabilite prin ordin al ministrului finantelor publice. (2) In functie de specificul entitatii publice, conducatorul acesteia poate decide exercitarea controlului financiar preventiv si asupra altor tipuri de proiecte de operatiuni decat cele prevazute la alin. (1).
ARTICOLUL 7 Continutul controlului financiar preventiv
Controlul financiar preventiv consta in verificarea sistematica a proiectelor de operatiuni care fac obiectul acestuia potrivit art. 6 din punctul de vedere al:
a) legalitatii si regularitatii;b) incadrarii in limitele creditelor bugetare sau creditelor de angajament, dupa caz,
stabilite potrivit legii. ARTICOLUL 8 Organizarea controlului financiar preventiv
(1) Ministerul Finantelor Publice este autoritatea de coordonare si reglementare a controlului financiar preventiv pentru toate entitatile publice.
(2) Controlul financiar preventiv se organizeaza si se exercita de catre autoritati competente, in mod unitar, potrivit prevederilor prezentei ordonante si ale actelor normative emise in aplicarea acesteia. (3) Controlul financiar preventiv se organizeaza si se exercita in urmatoarele forme:
a) controlul financiar preventiv propriu, la toate entitatile publice si asupra tuturor operatiunilor cu impact financiar asupra fondurilor publice si a patrimoniului public;
b) controlul financiar preventiv delegat, la ordonatorii principali de credite ai bugetului de stat, bugetului asigurarilor sociale de stat, precum si ai bugetului oricarui fond special, la Fondul national si la agentiile de implementare a fondurilor comunitare, precum si la alte entitati publice cu risc ridicat, prin controlori delegati ai Ministerului Finantelor Publice.
(4) Controlul financiar preventiv se va integra in mod treptat in sfera raspunderii manageriale, proces ce trebuie finalizat pana la data aderarii Romaniei la Uniunea Europeana, pe masura ce controlul managerial va asigura eliminarea riscurilor in administrarea fondurilor publice. Atingerea acestui nivel va fi evaluata de auditul public intern din cadrul Ministerului Finantelor Publice. Sectiunea a 2-a Dispozitii privind controlul financiar preventiv propriu
ARTICOLUL 9 Organizarea controlului financiar preventiv propriu
(1) Entitatile publice, prin conducatorii acestora, au obligatia de a organiza controlul financiar preventiv propriu si evidenta angajamentelor in cadrul compartimentului contabil.
(2) Conducatorii entitatilor publice au obligatia sa stabileasca proiectele de operatiuni supuse controlului financiar preventiv, potrivit art. 6, documentele justificative si circuitul acestora, cu respectarea dispozitiilor legale. (3) Evidenta angajamentelor se organizeaza, se tine, se actualizeaza si se raporteaza conform normelor metodologice aprobate prin ordin al ministrului finantelor publice.
(4) Ministerul Finantelor Publice organizeaza controlul financiar preventiv propriu si pentru operatiunile privind bugetul trezoreriei statului, operatiunile privind datoria publica si alte operatiuni specifice Ministerului Finantelor Publice.
(5) Controlul financiar preventiv propriu se exercita, prin viza, de persoane din cadrul compartimentelor de specialitate, desemnate in acest sens de catre conducatorul entitatii publice. Actul de numire va cuprinde si limitele de competenta in exercitarea controlului financiar preventiv propriu. Persoanele desemnate sa efectueze aceasta activitate sunt altele decat cele care initiaza operatiunea supusa vizei.
(6) Numirea, suspendarea, destituirea sau schimbarea personalului care desfasoara activitati de control financiar preventiv propriu se face de catre conducatorul entitatii publice, cu acordul entitatii publice superioare, iar in cazul entitatilor publice in care se exercita functia de ordonator principal de credite al bugetului de stat, al bugetului asigurarilor sociale de stat sau al bugetului oricarui fond special, cu acordul Ministerului Finantelor Publice. Persoanele desemnate cu exercitarea activitatii de control financiar preventiv propriu trebuie sa aibe competentele profesionale solicitate de aceasta activitate. Ele vor respecta un cod specific de norme profesionale, elaborat de Ministerul Finantelor Publice, care va cuprinde si conditiile si criteriile unitare pe care entitatile publice trebuie sa le respecte in cazul numirii, suspendarii, destituirii sau schimbarii personalului care desfasoara aceasta activitate.
(7) Prin decizie interna a conducatorului entitatii publice, persoanele desemnate sa efectueze controlul financiar preventiv propriu pot beneficia de un spor pentru complexitatea muncii de pana la 25% aplicat la salariul de baza brut lunar.
(8) Evaluarea activitatii persoanei care desfasoara activitati de control financiar preventiv propriu se face de catre conducatorul entitatii publice, cu acordul entitatii publice care a avizat numirea, anual, prin calificative, pe baza informatiilor cuprinse in rapoartele auditului public intern si in rapoartele Curtii de Conturi, unde este cazul.
(9) Ministerul Finantelor Publice va elabora Norme metodologice privind cadrul general al atributiilor si exercitarii controlului financiar preventiv propriu. De asemenea, Ministerul Finantelor Publice va aviza norme metodologice specifice privind organizarea si exercitarea controlului financiar preventiv propriu, elaborate de ordonatorii principali de credite ai bugetului de stat, ai bugetului asigurarilor sociale de stat, ai bugetului oricarui fond special, precum si pentru operatiunile Fondului national si ale agentiilor de implementare care deruleaza fonduri comunitare. (10) Ministerul Finantelor Publice va coordona sistemul de pregatire profesionala a persoanelor desemnate sa efectueze controlul financiar preventiv. ARTICOLUL 10 Viza de control financiar preventiv propriu
(1) Se supun aprobarii ordonatorului de credite numai proiectele de operatiuni care respecta intru totul cerintele de legalitate, regularitate si incadrare in limitele creditelor bugetare sau creditelor de angajament aprobate, dupa caz, care poarta viza de control financiar preventiv propriu. (2) Viza de control financiar preventiv propriu se exercita prin semnatura persoanelor in drept, competente in acest sens potrivit prezentei ordonante, si prin aplicarea de catre acestea a sigiliului personal.
(3) In vederea acordarii vizei de control financiar preventiv propriu, proiectele de operatiuni se prezinta insotite de documentele justificative corespunzatoare, certificate in privinta realitatii si legalitatii prin semnatura conducatorilor compartimentelor de specialitate care initiaza operatiunea respectiva.
(4) Conducatorii compartimentelor de specialitate prevazuti la alin. (3) raspund pentru realitatea, regularitatea si legalitatea operatiunilor ale caror documente justificative le-au certificat. Obtinerea vizei de control financiar preventiv propriu pe documente care cuprind date nereale sau inexacte si/sau care se dovedesc ulterior nelegale nu exonereaza de raspundere pe sefii compartimentelor de specialitate care le-au intocmit. (5) Persoanele in drept sa exercite controlul financiar preventiv propriu raspund, potrivit legii, in raport de culpa lor, pentru legalitatea, regularitatea si incadrarea in limitele creditelor bugetare sau creditelor de angajament aprobate, dupa caz, in privinta operatiunilor pentru care au acordat viza de control financiar preventiv propriu.
(6) In cazurile in care dispozitiile legale prevad avizarea operatiunilor de catre compartimentul de specialitate juridica, proiectul de operatiune va fi prezentat pentru control financiar preventiv propriu cu viza sefului compartimentului juridic. Persoanele in drept sa exercite controlul financiar preventiv propriu pot cere avizul compartimentului de specialitate juridica ori de cate ori considera ca necesitatile o impun.
ARTICOLUL 11 Separarea atributiilor
Persoana care exercita controlul financiar preventiv propriu nu trebuie sa fie implicata, prin sarcinile de serviciu, in efectuarea operatiunii supuse controlului financiar preventiv propriu.
ARTICOLUL 20 Refuzul de viza (1) Persoana in drept sa exercite viza de control financiar preventiv are dreptul si obligatia de a refuza viza de control financiar preventiv in toate cazurile in care, in urma verificarilor, apreciaza ca proiectul de operatiune care face obiectul controlului financiar preventiv nu indeplineste conditiile de legalitate, regularitate si incadrare in limita creditelor bugetare sau creditelor de angajament, dupa caz, pentru acordarea vizei de control financiar preventiv. (2) Refuzul de viza trebuie sa fie in toate cazurile motivat in scris. (3) Persoanele in drept sa exercite viza de control financiar preventiv au obligatia de a tine evidenta proiectelor de operatiuni refuzate la viza de control financiar preventiv.
ARTICOLUL 21 Autorizarea efectuarii unor operatiuni pentru care se refuza viza de control financiar preventiv (1) O operatiune pentru care s-a refuzat viza de control financiar preventiv se poate efectua de catre ordonatorul de credite pe propria raspundere, numai daca prin aceasta nu se depaseste creditul bugetar aprobat. Ordonatorul de credite poate decide efectuarea operatiunii numai in baza unui act de decizie interna, emis in forma scrisa, prin care dispune, pe propria raspundere, efectuarea operatiunii. O copie a actului de decizie interna se transmite compartimentului de audit public intern al entitatii publice, precum si controlorului delegat, dupa caz. (2) In toate cazurile in care, ca urmare a unui refuz de viza de control financiar preventiv propriu, conducatorii persoanelor juridice dispun, in conditiile prevazute de prezenta ordonanta, efectuarea operatiunii pe proprie raspundere, persoana desemnata sa efectueze controlul financiar preventiv propriu are obligatia sa informeze in scris Curtea de Conturi, Ministerul Finantelor Publice si, dupa caz, organul ierarhic superior al institutiei publice, numai in aceasta situatie persoana respectiva fiind exonerata de raspundere. (3) Pentru operatiunile care se supun si controlului financiar preventiv delegat al Ministerului Finantelor Publice, refuzul vizei de control financiar preventiv propriu face ca proiectul de operatiune sa nu poata fi supus controlului preventiv delegat. In aceste conditii ordonatorul de credite va solicita controlorului delegat formularea unui aviz consultativ. Ordonatorul de credite va analiza punctul de vedere al controlorului delegat, exprimat in avizul consultativ, si va decide in conditiile prevazute la alin. (1). (4) In toate cazurile in care, ca urmare a unui refuz de viza de control financiar preventiv delegat, conducatorii persoanelor juridice dispun, in conditiile prevazute de prezenta ordonanta, efectuarea operatiunii pe propria raspundere, controlorul delegat are obligatia sa informeze in scris Curtea de Conturi si Ministerul Finantelor Publice.
(5) Documentele privind proiectele de operatiuni supuse controlului financiar preventiv, care nu au fost vizate, nu pot fi aprobate decat cu asumarea raspunderii ordonatorului de credite.
(6) Operatiunile efectuate pe propria raspundere a ordonatorului de credite se inregistreaza si intr-un cont in afara bilantului.