Date post: | 06-Aug-2015 |
Category: |
Documents |
Upload: | brian-davis |
View: | 186 times |
Download: | 7 times |
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
1 | P a g e
SUPORT CURS AUDIT INTERN SI MANAGEMENTUL RISCURILOR
Cuprins:
1. Standarde de audit cu impact asupra auditul intern 1.1 Standarde de audit intern
1.2 Standarde Internationale de audit (ISA) cu impact asupra auditului intern
2. Reglementarea Auditului Intern la nivel de Romania (Legislatie si
reglementari in domeniu) 2.1 Principalele reglementari legale
2.2 Principalele reglementari in domeniul auditului intern public
2.3 Principalele reglementari in domeniul institutii de credit
2.4 Principalele reglementari in domeniul asigurarilor
2.5 Practica de audit intern
3. Managementul Riscurilor si impactul asupra auditului intern 3.1 Conceptul de management al riscurilor
3.2 Evaluarea riscurilor si cuantificarea acestora intr-un model de evaluare
3.3 Auditul intern si managementul riscurilor
4. Exemple si cazuri practice privind auditul intern si managementul
riscurilor
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
2 | P a g e
1. Standarde de audit cu impact asupra auditul intern
1.1 Standarde de audit intern
Auditul intern se efectuează în entităţi diferite, eterogene, de mărimi, structuri şi
obiective diverse. Din aceste considerente, pe plan internaţional au apărut norme (standarde) de
practică profesională a auditului intern, care sunt recomandate auditorilor interni şi pe baza
cărora aceştia trebuie să-şi realizeze propriile standarde de aplicare a auditului intern.
Standardele (normele) profesionale ale auditorilor interni cuprind mai multe
componente, legate într-un tot unitar, ghidând activitatea auditorilor interni. Normele auditului
intern îşi propun:
a) să definească principii de bază;
b) să furnizeze un cadru de referinţă în vederea realizării şi promovării unei game largi de
activităţi de audit intern, care să aducă un plus de valoare entităţii;
c) să stabilească criterii de apreciere a funcţionării auditului intern, a performanţelor
acestuia;
d) să fie un factor de îmbunătăţire a proceselor şi operaţiilor organizaţiei.
Standardele de audit intern cuprind următoarele componente:
- codul deontologic al auditorului intern;
- normele de calificare şi normele de implementare asociate, notate cu seria 1000, până la
1300;
- normele de funcţionare şi normele de implementare asociate, cuprinzând seria 2000 până
la 2600.
Codul deontologic este elaborat şi recomandat de Institutul Auditorilor Interni (IIA) şi se
aplică persoanelor şi entităţilor care oferă servicii de audit intern.
Codul deontologic reprezintă o declaraţie asupra valorilor şi principiilor care trebuie să
călăuzească activitatea şi practica cotidiană a auditorilor interni. Acest cod de etică este singura
componentă în care se enunţă principiile şi modul de aplicare pe care auditorul intern trebuie să
le respecte, pentru a nu se îndepărta de prevederile standardelor, în realizarea misiunilor de audit
intern.
Principiile fundamentale enunţate de codul deontologic sunt:
a) integritatea;
b) obiectivitatea;
c) confidenţialitatea;
d) competenţa.
Integritatea implică corectitudine în desfăşurarea misiunii de audit intern,
onestitate în realizarea acţiunilor specifice şi sinceritate în dialogurile purtate cu cei auditaţi.
Auditorii interni trebuie să-şi îndeplinească misiunea cu responsabilitate, trebuie să respecte
legea şi să contribuie la îndeplinirea obiectivelor etice ale organizaţiei lor, nu trebuie să ia parte
în mod conştient la activităţi ilegale sau să se angajeze în acte dezonorante pentru profesia de
audit intern sau pentru organizaţia lor.
Obiectivitatea este cea care ne permite să privim informaţiile şi să le examinăm cu
imparţialitate, fără a fi influenţate de părerile personale, interesele personale sau părerile altora.
Auditorii interni trebuie să vadă lucrurile aşa cum sunt ele, independente de faptele colaterale şi
să-şi formeze propria părere.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
3 | P a g e
Confidenţialitatea. Auditorii interni sunt obligaţi să păstreze informaţiile în posesia
cărora intră prin atribuţiile ce le revin. În practică, nu trebuie să existe nici o divulgare
neautorizată a informaţiilor, decât dacă există o cerinţă profesională sau legală pentru aceasta.
Informaţiile confidenţiale obţinute în cursul desfăşurării misiunilor de audit este obligatoriu să nu
fie folosite în interes personal.
Competenţa. Auditorii interni trebuie să cunoască standardele şi normele profesionale şi
să nu accepte misiuni pentru care nu au competenţa necesară. De asemenea, membrii echipei de
audit trebuie să aplice cunoştinţele, experienţa şi priceperea dobândită pentru a se achita de
îndatoririle ce le revin.
Principalele norme de audit intern vizeaza urmatoarele categorii de standarde:
1000 – Scopul, autoritate şi responsabilităţi
Scopul, autoritatea şi responsabilităţile auditului intern trebuie să fie definite în mod oficial
într-un regulament, în conformitate cu Standardele şi să fie aprobate de Consiliul organizaţiei.
1000. A1 – Natura misiunilor de asigurare efectuate pentru organizaţie trebuie să fie
definită în Regulamentul de funcţionare a Departamentului de audit intern.
Dacă misiunile de asigurare urmează să fie efectuate către părţi din afara
entităţii, natura lor trebuie de asemenea să fie definită în
Regulament.
1000. C1 – Natura misiunilor de consultanţă trebuie să fie definită în
Regulamentul de funcţionare a Departamentului de audit intern.
1100 – Independenţă şi obiectivitate
Activitatea de audit intern trebuie să fie independentă, iar auditorii interni trebuie să-şi
desfăşoare activitatea cu obiectivitate.
1110 – Independenţă în cadrul entităţii
Conducătorul Departamentului de audit intern trebuie să raporteze în cadrul
entităţii unui nivel ierarhic care să-i permită îndeplinirea responsabilităţilor în cadrul
activităţii de audit intern.
1110.A1 – Activitatea de audit intern nu trebuie să fie supusă nici unei
imixtiuni în ceea ce priveşte definirea ariei sale de aplicabilitate,
realizarea activităţii şi comunicarea rezultatelor.
1120 – Obiectivitate individuală
Auditorii interni trebuie să aibă o atitudine imparţială şi neinfluenţată şi să evite
conflictele de interese.
1130 – Prejudicii aduse independenţei sau obiectivităţii
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
4 | P a g e
Dacă obiectivitatea sau independenţa auditorilor interni sunt afectate în fapt sau în
aparenţă, părţile interesate trebuie să fie informate de detaliile situaţiilor care creează
aceste prejudicii. Forma acestei comunicări va depinde de natura prejudiciului.
1130.A1 – Auditorii interni trebuie să evite să evalueze anumite
operaţiuni de care au fost responsabili în trecut. Obiectivitatea unui
auditor este considerată a fi afectată atunci când acesta realizează o
misiune de asigurare pentru o activitate pentru care a fost responsabil în
cursul anului precedent.
1130.A2 – Misiunile de asigurare care vizează funcţiile de care
răspunde conducătorul activităţii de audit intern trebuie să fie
supervizate de o persoană care nu face parte din structura de audit
intern.
1130.C1 – Auditorii interni pot oferi servicii de consultanţă în legătură
cu realizarea operaţiunilor pentru care au fost responsabili în trecut.
1130.C2 – Dacă independenţa sau obiectivitatea auditorilor interni ar
putea fi afectată în legătură cu serviciile de consultanţă propuse, ei
trebuie să informeze în această privinţă clientul care a solicitat misiunea,
înainte de a o accepta.
1200 – Competenţă şi conştiinciozitate profesională Misiunile trebuie să fie îndeplinite cu
competenţă şi cu conştiinciozitate profesională.
1210 – Competenţă
Auditorii interni trebuie să deţină cunoştinţele, priceperea şi celelalte competenţe
necesare exercitării responsabilităţilor lor individuale. Departamentul de audit intern
trebuie să deţină sau să dobândească în mod colectiv cunoştinţele, priceperea şi
celelalte competenţe necesare exercitării responsabilităţilor care le revin.
1210.A1 – Conducătorul activităţii de audit intern trebuie să obţină sfatul şi
asistenţa de specialitate din partea altor persoane dacă personalul din
Departamentul de audit intern nu deţine cunoştinţele, priceperea sau alte
competenţe necesare pentru a realiza parţial sau total misiunea.
1210.A2 – Auditorii interni trebuie să deţină cunoştinţe suficiente pentru a
identifica indiciile unei fraude, dar aceasta nu înseamnă că trebuie să aibă
acelaşi nivel de competenţă ca şi o persoană a cărei principală responsabilitate
este detectarea şi investigarea fraudelor.
1210.A3 – Auditorii interni trebuie să aibă cunoştinţe legate de
principalele riscuri şi controale IT, dar şi de tehnicile de audit asistate de
calculator disponibile pentru a-şi exercita activitatea desemnată. Totuşi,
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
5 | P a g e
nu este de aşteptat ca toţi auditorii interni să aibă experienţa unui auditor
intern a cărei principală responsabilitate este auditarea sistemelor IT.
1210.C1 – Conducătorul activităţii de audit intern trebuie să refuze o misiune
de consultanţă sau să obţină sfatul şi asistenţa de specialitate din partea altor
persoane dacă personalul din Departamentul de audit intern nu deţine
cunoştinţele, priceperea sau alte competenţe necesare pentru a realiza parţial
sau total misiunea.
1220 – Conştiinciozitate profesională
Auditorii interni trebuie să îşi exercite activitatea cu conştiinciozitatea şi
priceperea care se aşteaptă din partea unui auditor intern prudent şi competent.
Conştiinţa profesională nu implică infailibilitatea.
1220.A1 – Auditorul intern trebuie să acorde toată atenţia necesară
practicii sale profesionale luând în calcul următoarele elemente:
• sfera de activitate necesară pentru atingerea obiectivelor misiunii;
• complexitatea relativă, pragul de semnificaţie sau caracterul
semnificativ al problemelor asupra cărora se aplică procedurile
misiunilor de asigurare;
• adecvarea şi eficacitatea proceselor de management al riscurilor, de
control şi de guvernanţă ale organizaţiei;
• probabilitatea existenţei unor erori, nereguli sau neconformităţi
semnificative;
• costul aplicării misiunilor de asigurare în raport cu avantajele
potenţiale.
1220.A2 – În exercitarea cu conştiinciozitate a activităţii, auditorul intern
trebuie să ia în consideraţie utilizarea instrumentelor de audit asistate de
calculator şi a altor tehnici de analiză a datelor.
1220.A3 - Auditorul intern trebuie să manifeste o vigilenţă deosebită în ceea
ce priveşte riscurile semnificative care ar putea afecta obiectivele, operaţiunile
sau resursele. Totuşi, numai aplicarea procedurilor de asigurare, chiar dacă este
efectuată cu conştiinciozitatea profesională necesară, nu garantează identificarea
tuturor riscurilor semnificative.
1220.C1 – Auditorul intern trebuie să efectueze o misiune de consultanţă cu
conştiinciozitate profesională, luând în consideraţie următoarele elemente:
• necesităţile şi aşteptările clienţilor, inclusiv în ceea ce priveşte
natura, planificarea şi comunicarea rezultatelor misiunii;
• complexitatea relativă a misiunii şi volumul de muncă necesar
pentru atingerea obiectivelor stabilite;
• costul misiunii de consultanţă în raport cu avantajele potenţiale.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
6 | P a g e
1230 –Pregătirea profesională continuă
Auditorii interni trebuie să-şi îmbunătăţească cunoştinţele, priceperea şi alte
competenţe necesare prin pregătire profesională continuă.
1300 – Programul de asigurare şi îmbunătăţire a calităţii
Conducătorul activităţii de audit intern trebuie să elaboreze şi să întreţină un program de
asigurare şi îmbunătăţire a calităţii care să acopere toate aspectele legate de activitatea de audit
intern şi să monitorizeze permanent eficacitatea acestuia. Acest program va include evaluări
interne şi externe ale calităţii şi monitorizare internă permanentă. Fiecare parte a programului
trebuie să fie concepută astfel încât să ajute activitatea de audit intern să aducă un plus de
valoare şi să îmbunătăţească activităţile organizaţiei, dar şi să ofere o asigurare că activitatea
de audit intern se desfăşoară în conformitate cu Standardele şi cu Codul Etic.
1310 – Evaluări ale programului de controlul calităţii
Activitatea de audit intern trebuie să adopte un proces care să permită monitorizarea şi
evaluarea eficacităţii globale a programului de controlul calităţii. Acest proces trebuie
să cuprindă atât evaluări interne, cât şi evaluări externe.
1311 – Evaluări interne
Evaluările interne trebuie să cuprindă:
• revizuiri permanente privind performanţa activităţii de audit intern; şi
• revizuiri periodice, efectuate prin auto-evaluare sau de către alte persoane din
cadrul entităţii care cunosc practicile de audit intern şi Standardele.
1312 – Evaluări externe
Evaluările externe trebuie să fie realizate cel puţin o dată la cinci ani de către un
auditor independent şi care deţine competenţa necesară din afara entitpţii, sau de o
echipă de auditori independenţi şi care deţin competenţele necesare din afara entităţii.
Nevoia potenţială de evaluări externe mai dese, ca şi competenţa şi independenţa
auditorului extern sau a echipei de auditori, inclusiv orice posibil conflict de
interese, trebuie discutat de către conducătorul Departamentului de audit intern
cu Consiliul. De asemenea, astfel de discuţii trebuie să ţină cont de mărimea,
complexitatea şi specificul organizaţiei în corelaţie cu experienţa auditorului sau
echipei.
1320 – Rapoarte referitoare la programul de calitate
conducătorul Departamentului de audit intern trebuie să comunice Consiliului
rezultatele evaluărilor externe.
1330 – Utilizarea menţiunii „Efectuat în conformitate cu Standardele” Auditorii
interni sunt încurajaţi să menţioneze, în rapoartele pe care le întocmesc, că activităţile
lor sunt „efectuate în conformitate cu Standardele pentru practica profesională în
domeniul auditului intern”. Totuşi, auditorii interni pot folosi această menţiune
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
7 | P a g e
doar dacă evaluările programului de îmbunătăţire a calităţii demonstrează că
activitatea de audit intern este efectuată în conformitate cu Standardele.
1340 – Prezentarea neconformităţii
Chiar dacă activitatea de audit intern trebuie să fie efectuată respectând cu
stricteţe Standardele în ansamblul lor, iar auditorii interni trebuie să respecte
Codul Etic, pot exista situaţii în care această conformitate nu este pe deplin realizată.
Atunci când această neconformitate influenţează în ansamblul său aria de
aplicabilitate a activităţii de audit intern sau funcţionarea Departamentului de audit
intern, această situaţie trebuie adusă atât la cunoştinţa conducerii superioare executive,
cât şi la cea a Consiliului.
Standarde de performanţă
2000 – Gestionarea activităţii de audit intern
Conducătorul activităţii de audit intern trebuie să gestioneze în mod eficient activitatea de audit
intern, astfel încât să se asigure că ea aduce un plus de valoare entităţii.
2010 – Planificarea
Responsabilul pentru activitatea de audit intern trebuie să realizeze o planificare bazată
pe riscuri pentru a defini priorităţile activităţii de audit intern în concordanţă
cu obiectivele entităţii.
2010.A1 – Programul misiunilor de audit intern trebuie să se bazeze pe o
evaluare a riscurilor, realizată cel puţin o dată pe an. La stabilirea acestui
proces, auditorul intern trebuie să ia în calcul punctele de vedere ale
managementului şi Consiliului organizaţiei.
2010.C1 – Atunci când îi este propusă o misiune de consultanţă, responsabilul
pentru activitatea de audit intern trebuie, înainte de a o accepta, să ia în calcul
în ce măsură aceasta poate aduce un plus de valoare şi îmbunătăţi
managementul riscurilor şi funcţionarea entităţii. Misiunile care au fost
acceptate trebuie să fie integrate în planul de audit.
2020 – Comunicarea şi aprobarea
Responsabilul pentru activitatea de audit intern trebuie să comunice managementului şi
Consiliului planurile privind activitatea de audit intern şi resursele necesare, inclusiv
modificările intermediare semnificative, în vederea examinării şi aprobării acestora.
Conducătorul activităţii de audit intern trebuie să semnaleze, de asemenea, impactul
oricărei limitări a resurselor.
2030 – Gestionarea resurselor
Conducătorul activităţii de audit intern trebuie să se asigure că resursele alocate acestei
activităţi sunt adecvate, suficiente şi alocate efectiv în vederea realizării
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
8 | P a g e
planului de audit aprobat.
2040 – Politici şi proceduri
Conducătorul activităţii de audit intern trebuie să stabilească politicile şi procedurile
care să dirijeze activitatea de audit intern.
2050 – Coordonarea
Conducătorul activităţii de audit intern trebuie să comunice celorlalţi prestatori
interni şi externi de servicii de asigurare şi de consiliere informaţiile necesare şi să îşi
coordoneze activităţile cu aceştia, astfel încât să asigure o acoperire adecvată a
activităţilor şi să minimizeze suprapunerile.
2060 – Rapoarte transmise managementului şi Consiliului
Conducătorul activităţii de audit intern trebuie să raporteze periodic managementului şi
Consiliului cu privire la scopul, autoritatea, responsabilitatea şi funcţionarea activităţii
de audit intern, în raport cu planul stabilit. Aceste rapoarte trebuie să includă, de
asemenea, aspecte legate de expunerile la riscurile semnificative şi de
controlulacestora, aspectele legate de guvernanţa corporativă, precum şi alte aspecte
necesare conducerii executive şi Consiliului, sau solicitate de acestea.
2100 – Natura activităţii
Activitatea de audit intern trebuie să evalueze şi să contribuie la îmbunătăţirea sistemelor de
management al riscurilor, de control şi de guvernanţă a entităţii folosind o abordare
sistematică şi metodică.
2110 – Managementul riscurilor
Activitatea de audit intern trebuie să ajute entitatea prin identificarea şi evaluarea
expunerilor semnificative la riscuri şi să contribuie la îmbunătăţirea sistemelor de
management şi control al riscurilor.
2110.A1 – Activitatea de audit intern trebuie să monitorizeze şi să
evalueze eficacitatea sistemului de management al riscurilor aparţinând
entităţii.
2110.A2 – Activitatea de audit intern trebuie să evalueze expunerile la riscurile
aferente guvernanţei entităţii, operaţiunilor şi sistemelor informaţionale cu
privire la:
• fiabilitatea şi integritatea informaţiilor financiare şi operaţionale;
• eficacitatea şi eficienţa operaţiunilor;
• protejarea activelor;
• respectarea legilor, regulamentelor şi contractelor.
2110.C1 – Pe parcursul misiunilor de consultanţă, auditorii interni trebuie să
abordeze riscurile în conformitate cu obiectivele misiunii şi să fie atenţi la
existenţa unor alte riscuri semnificative.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
9 | P a g e
2110.C2 – În procesul de identificare şi de evaluare a expunerii semnificative la
riscuri ale organizaţiei, auditorii interni trebuie să includă cunoştinţele despre
riscuri dobândite din misiunile de consultanţă.
2120 – Controlul
Activitatea de audit intern trebuie să ajute entitatea să păstreze controale eficace prin
evaluarea eficacităţii şi eficienţei acestora şi prin promovarea îmbunătăţirii continue a
lor.
2120.A1 – Pe baza rezultatelor evaluărilor riscurilor, activitatea de audit intern
trebuie să evalueze adecvarea şi eficacitatea controalelor privind guvernanţa
entităţii, operaţiunile şi sistemele de informare din organizaţie.
Această evaluare trebuie să vizeze următoarele aspecte:
• fiabilitatea şi integritatea informaţiilor financiare şi operaţionale;
• eficacitatea şi eficienţa operaţiunilor;
• protejarea activelor;
• respectarea legilor, regulamentelor şi contractelor.
2120.A2 – Auditorii interni trebuie să stabilească în ce măsură au fost definite
scopurile şi obiectivele privind operaţiunile şi programele şi dacă aceste scopuri
şi obiective sunt conforme cu cele ale organizaţiei.
2120.A3 – Auditorii interni trebuie să revizuiască operaţiunile şi programele
pentru a stabili în ce măsură rezultatele corespund scopurilor şi obiectivelor
stabilite şi dacă aceste operaţiuni şi programe sunt implementate sau realizate
aşa cum s-a prevăzut.
2120.A4 – Pentru evaluarea controalelor sunt necesare criterii adecvate.
Auditorii interni trebuie să stabilească în ce măsură a definit
managementul criterii adecvate pentru a determina dacă au fost atinse
obiectivele şi scopurile. Dacă aceste criterii sunt adecvate, auditorii interni
trebuie să le utilizeze în evaluarea pe care o fac. Dacă nu sunt adecvate,
auditorii interni trebuie să colaboreze cu managementul pentru a elabora criterii
corespunzătoare de evaluare.
2120.C1 – În cursul misiunilor de consultanţă, auditorii interni trebuie să
examineze controalele în conformitate cu obiectivele misiunii şi să fie atenţi la
existenţa oricărui punct slab semnificativ privind controlul.
2120.C2 – În cadrul procesului de identificare şi de evaluare a expunerilor
semnificative la risc ale organizaţiei, auditorii interni trebuie să ia în
consideraţie cunoştinţele despre sistemele de control pe care le-au
dobândit în cursul misiunilor lor de consultanţă.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
10 | P a g e
2130 – Guvernanţa
Activitatea de audit intern trebuie să evalueze şi să facă recomandări adecvate
pentru îmbunătăţirea procesului de guvernanţă în vederea atingerii următoarelor
obiective:
• promovarea valorilor etice adecvate în cadrul organizaţiei;
• asigurarea efectuării unui management organizaţional eficace şi
asigurarea responsabilizării aferente;
• comunicarea eficace a informaţiilor despre riscuri şi control
structurilor adecvate din cadrul organizaţiei;
• Coordonarea efectivă a activităţilor şi comunicarea informaţiilor între
conducerea executivă, precum şi auditorilor interni şi externi şi
Consiliului.
2130.A1 – Activitatea de audit intern trebuie să evalueze proiectarea,
implementarea şi eficacitatea obiectivelor, programelor şi activităţilor legate
de etica organizaţiei.
2130.C1 – Obiectivele misiunii de consultanţă trebuie să corespundă
valorilor şi obiectivelor generale ale entităţii.
2200 – Planificarea misiunii
Auditorii interni trebuie să elaboreze şi să înregistreze un plan pentru fiecare misiune, plan
care să includă aria de aplicabilitate, obiectivele, calendarul şi alocarea resurselor.
2201 – Consideraţii referitoare la planificare
La planificarea misiunii, auditorii interni trebuie să ia în considerare:
• obiectivele activităţii care este revizuită şi mijloacele prin care activitatea îşi
controlează desfăşurarea;
• riscurile semnificative legate de activitate, obiectivele sale, resursele utilizate,
precum şi operaţiile şi mijloacele prin care impactul potenţial al riscului este
menţinut la un nivel acceptabil;
• adecvarea şi eficacitatea sistemelor de management şi control al riscurilor
activităţii, cu referire la un cadru sau model relevant de control;
• oportunităţile de îmbunătăţire semnificativă a sistemelor de management şi
control al riscurilor activităţii.
2201.A1 – La planificarea unei misiuni pentru părţile din afara organizaţiei,
auditorii interni trebuie să stabilească o înţelegere scrisă cu aceştia în legătură cu
obiectivele, aria de aplicabilitate, responsabilităţile fiecărei părţi şi alte aşteptări ale
clientului, inclusiv în ce priveşte restricţiile cu privire la comunicarea rezultatelor
misiunii şi accesul la dosarul misiunii.
2201.C1 – Auditorii interni trebuie să stabilească cu clientul misiunii de
consultanţă o înţelegere cu privire la obiectivele, aria de aplicabilitate,
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
11 | P a g e
responsabilităţile fiecărei părţi şi alte aşteptări ale clientului. Pentru misiunile
semnificative, acest acord trebuie să fie documentat.
2210 – Obiectivele misiunii
Obiectivele trebuie să fie stabilite pentru fiecare misiune în parte.
2210.A1 – Auditorii interni trebuie să realizeze o evaluare preliminară a riscurilor
relevante pentru activitatea revizuită. Obiectivele misiunii trebuie să reflecte
rezultatele acestei evaluări.
.
2210.A2 – La elaborarea obiectivelor misiunii, auditorul intern trebuie să ţină cont
de probabilitatea existenţei erorilor, neregularităţilor, a cazurilor de neconformitate,
precum şi a altor expuneri semnificative.
2210.C1 – Obiectivele unei misiuni de consultanţă trebuie să abordeze procesele
care privesc riscurile, controlul şi guvernanţa organizaţiei în limita convenită cu
clientul.
2220 – Aria de aplicabilitate a misiunii
Aria de aplicabilitate stabilită trebuie să fie suficientă astfel încât să îndeplinească obiectivele misiunii.
2220.A1 – Aria de aplicabilitate a misiunii trebuie să includă luarea în consideraţie
a sistemelor, înregistrărilor, personalului şi activelor relevante, inclusiv a acelor
aflate sub controlul unor terţe părţi.
2220.A2 – Dacă pe parcursul unei misiuni de asigurare apar oportunităţi
semnificative de consultanţă, trebuie să se încheie în scris o înţelegere în legătură
cu obiectivele, aria de aplicabilitate, responsabilităţile fiecărei părţi şi alte aşteptări,
iar rezultatele misiunii de consultanţă trebuie să fie comunicate în conformitate cu
standardele de consultanţă.
2220.C1 – Atunci când efectuează o misiune de consultanţă, auditorii interni
trebuie să se asigure că aria de aplicabilitate a misiunii permite îndeplinirea
obiectivelor convenite. Dacă, în cursul misiunii, auditorii interni manifestă rezerve
privind aria de aplicabilitate, aceste rezerve trebuie discutate cu clientul pentru
a decide dacă misiunea poate fi continuată.
2230 – Resurse alocate misiunii
Auditorii interni trebuie să stabilească resursele adecvate atingerii obiectivelor
misiunii. Selectarea personalului din cadrul departamentului de audit intern
trebuie să se bazeze pe o evaluare a naturii şi complexităţii fiecărei misiuni, a
constrângerilor de timp şi a resurselor disponibile.
2240 – Programul de lucru al misiunii
Auditorii interni trebuie să elaboreze un program de lucru care să permită îndeplinirea
obiectivelor misiunii. Acest program de lucru trebuie să fie îndosariat.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
12 | P a g e
2240.A1 – Prin programul de lucru trebuie să se stabilească procedurile ce
urmează a fi aplicate pentru a identifica, analiza, evalua şi înregistra informaţiile pe
durata misiunii. Programul de lucru trebuie să fie aprobat înainte de implementarea
sa şi orice ajustări trebuie să fie aprobate cu promptitudine.
2240.C1 – Programul de lucru al unei misiuni de consultanţă poate varia din punct
de vedere al formei şi al conţinutului, în funcţie de natura misiunii.
2300 – Realizarea misiunii
Auditorii interni trebuie să identifice, analizeze, evalueze şi să documenteze informaţii
suficiente pentru atingerea obiectivelor misiunii.
2310 – Identificarea informaţiilor
Auditorii interni trebuie să identifice informaţii suficiente, fiabile, relevante şi utile
pentru atingerea obiectivelor misiunii.
2320 – Analiza şi evaluarea
Auditorii interni trebuie să-şi bazeze concluziile şi rezultatele misiunii lor pe
analize şi evaluări corespunzătoare.
2330 – Documentarea informaţiilor
Auditorii interni trebuie să documenteze informaţiile relevante în vederea
justificării concluziilor şi rezultatelor misiunii.
2330.A1 – Conducătorul activităţii de audit intern trebuie să controleze
accesul la dosarele misiunii. Acesta trebuie să obţină acordul conducerii superioare
executive şi/sau consultanţă juridică, dacă este cazul, înainte de a transmite aceste
dosare unor terţi.
2330.A2 – Conducătorul activităţii de audit intern trebuie să stabilească reguli
privind păstrarea dosarelor misiunii. Aceste reguli trebuie să fie în
conformitate cu regulamentele organizaţiei, precum şi cu alte cerinţe legale sau
reglementări adecvate.
2330.C1 – Conducătorul activităţii de audit intern trebuie să stabilească reguli
privind atât custodia şi păstrarea dosarelor misiunii, cât şi transmiterea lor către
terţi interni sau externi. Aceste reguli trebuie să fie în conformitate cu
regulamentele entităţii, precum şi cu alte cerinţe legale sau reglementări adecvate.
2340 – Supervizarea misiunii
Misiunile trebuie să facă obiectul unei supervizări corespunzătoare în vederea
asigurării îndeplinirii obiectivelor, asigurării calităţii şi dezvoltării profesionale a
personalului.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
13 | P a g e
2400 – Comunicarea rezultatelor
Auditorii interni trebuie să comunice rezultatele misiunii.
2410 – Criterii în ceea ce priveşte comunicarea
Comunicarea trebuie să includă obiectivele şi aria de aplicabilitate ale misiunii,
precum şi concluziile, recomandările şi planurile de acţiune aplicabile.
2410.A1 – Comunicarea finală a rezultatelor trebuie să conţină, acolo unde este
cazul, opinia de ansamblu a auditorului intern şi/sau concluziile acestuia.
2410.A2 – Auditorii interni sunt încurajaţi să atingă performanţe satisfăcătoare
în comunicările privind misiunile.
2410.A3 – Atunci când rezultatele misiunii sunt puse la dispoziţia unor părţi din
afara entităţii, comunicarea trebuie să includă restricţii în ceea ce priveşte
distribuirea şi utilizarea acestor rezultate.
2410.C1 – Comunicarea privind evoluţia şi rezultatele unei misiuni de consultanţă
vor varia ca formă şi conţinut în funcţie de natura misiunii şi de necesităţile
clientului.
2420 - Calitatea comunicării
Comunicarea trebuie să fie corectă, obiectivă, clară, concisă, constructivă,
completă şi realizată în timp util.
2421 – Erori şi omisiuni
Dacă o comunicare finală conţine o eroare sau o omisiune semnificativă, conducătorul
activităţii de audit intern trebuie să comunice informaţiile corectate tuturor părţilor care
au primit versiunea iniţială.
2430 – Comunicarea neconformităţii cu Standardele
Atunci când nerespectarea Standardelor are un impact asupra unei anumite
misiuni, comunicarea rezultatelor trebuie să cuprindă:
• Standardul(ele) care nu a(u) fost respectat(e) în totalitate;
• Motivul sau motivele neconformităţii; şi
• Efectul neconformităţii asupra misiunii.
2440 – Diseminarea rezultatelor
Conducătorul activităţii de audit intern trebuie să comunice rezultatele părţilor
îndreptăţite.
2440.A1 – Conducătorul activităţii de audit intern este responsabil cu comunicarea
rezultatelor finale părţilor care pot acorda atenţia cuvenită acestora.
2440.A2 – Dacă nu este mandatat în baza unor cerinţe legale, statutare sau de
reglementare, înaintea comunicării rezultatelor misiunii către părţi din afara
organizaţiei, conducătorul activităţii de audit intern trebuie:
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
14 | P a g e
• să evalueze riscul potenţial pentru entitate;
• să se consulte cu conducerea superioară executivă şi/sau cu
consilierul juridic, dacă este cazul;
• Să controleze diseminarea rezultatelor prin restricţionarea folosirii
acestora.
2440.C1 – Conducătorul activităţii de audit intern este responsabil pentru
comunicarea către clienţi a rezultatelor finale ale misiunilor de consultanţă.
2440.C2 – Pe parcursul misiunilor de consultanţă, pot fi identificate aspecte
referitoare la managementul riscurilor, la control şi la guvernanţă. Ori de câte ori
aceste aspecte sunt semnificative pentru entitate, ele trebuie să fie comunicate
conducerii executive şi Consiliului.
2500 – Monitorizarea evoluţiei
Conducătorul activităţii de audit intern trebuie să stabilească şi să menţină un sistem care să
permită monitorizarea acţiunilor întreprinse ca urmare a dispoziţiilor managementului în baza
rezultatelor comunicate.
2500.A1 – Responsabilul pentru activitatea de audit intern trebuie să stabilească un
proces de urmărire a implementării rezultatelor a care să permită monitorizarea şi
garantarea faptului că măsurile luate de conducerea au fost implementate în mod
eficient sau că managementul a acceptat să-şi asume riscul de a nu întreprinde
nici o măsură.
2500.C1 – Activitatea de audit intern trebuie să monitorizeze implementarea
dispoziţiilor managementului în baza rezultatelor misiunii de consultanţă în limitele în
care acestea au fost convenite cu clientul.
2600 – Soluţionarea acceptării riscurilor de către management
Atunci când conducătorul activităţii de audit intern consideră că managementul a acceptat un
nivel al riscului rezidual care poate fi inacceptabil pentru entitate, conducătorul
activităţii de audit intern trebuie să discute acest aspect împreună cu conducerea executivă la cel mai înalt nivel. Dacă nu pot lua o decizie cu privire la riscul rezidual,
conducătorul activităţii de audit intern şi conducerea executivă trebuie să se adreseze
Consiliului pentru soluţionarea acestei situaţii.
1.2 Standarde Internationale de audit (ISA) cu impact asupra asupra auditului
intern
1.2.1 ISA 260 – Comunicarea cu persoanele insarcinate cu guvernanta
Definiţii – conform ISA 260
(a) Persoanele însărcinate cu guvernanţa – Persoana(ele) sau organizaţia(ile) (de exemplu,
un administrator) ce au responsabilitatea de a supraveghea strategia entităţii şi
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
15 | P a g e
obligaţiile legate de răspunderea entităţii. Aceasta include supravegherea procesului de
raportare financiară. Pentru unele entităţi din cadrul anumitor jurisdicţii, în rândul
persoanelor însărcinate cu guvernanţa pot fi incluşi membri ai personalului de
conducere, de exemplu, membri executivi ai unui consiliu de guvernanţă al unei entităţi
din sectorul public sau privat, sau un proprietar-manager.
(b) Conducere – Persoana(ele) cu responsabilitate executivă pentru conducerea
operaţiunilor entităţii. Pentru unele entităţi aflate în anumite jurisdicţii, conducerea
include unele sau toate persoanele
Obiectivele si rolul standardului
Furnizarea de informatii necesare celor insarcinati cu guvernanta de a putea lua decizii si
hotarari din timp cu scopul de a se implica in procesul operational la nivelul companie. Totodata
ajuta si la comunicarea eficienta dintre:
(a) Auditorul şi persoanele însărcinate cu guvernanţa atât în înţelegerea aspectelor legate
de audit în contextul dat, cât şi în dezvoltarea unei relaţii de lucru constructive.
Această relaţie se dezvoltă păstrând independenţa şi obiectivitatea auditorului;
(b) Auditorul în obţinerea informaţiilor relevante pentru audit din partea persoanelor
însărcinate cu guvernanţa.
1.2.2 ISA 265 Comunicarea deficientelor in controlul intern catre persoanele insarcinate cu
guvernanta si catre conducere
Definiţii
(a) Deficienţa în controlul intern – Aceasta există atunci când:
(i) Un control este proiectat, implementat sau operat astfel încât nu poate preveni,
sau detecta şi corecta denaturările situaţiilor financiare la momentul oportun;
sau
(ii) Lipseşte un control necesar pentru a preveni, sau detecta şi corecta,
denaturările din situaţiile financiare la momentul oportun.
(b) Deficienţa semnificativă in controlul intern – O deficienţă sau o combinaţie între
deficienţele controlului intern care, potrivit raţionamentului profesional al
auditorului, este suficient de important pentru a atrage atenţia persoanelor însărcinate
cu guvernanţa.
Obiectivele si rolul standardului
Obiectivul auditorului este de comunica în mod corespunzător către persoanele
însărcinate cu guvernanţa şi către conducere deficienţele din controlul intern pe care auditorul le-
a identificat pe parcursul auditului şi care, potrivit raţionamentului profesional al auditorului,
sunt suficient de importante pentru a atrage atenţia.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
16 | P a g e
1.2.3 ISA 610 Utilizarea activitatii auditorilor interni
Definiţii
(a) Funcţie de audit intern – activitate de evaluare instituită de entitate sau furnizată sub
forma unui serviciu entităţii. Funcţiile sale includ, printre altele, şi examinarea,
evaluarea şi monitorizarea adecvării şi eficacităţii controlului intern.
(b) Auditori interni – indivizi care desfăşoară activităţi specifice funcţiei de audit intern.
Auditorii interni pot face parte dintr-un departament de audit intern sau dintr-o
funcţiune echivalentă.
Obiectivele si rolul standardului
Obiectivele funcţiei de audit intern sunt stabilite de conducere şi, acolo unde este cazul, de
persoanele însărcinate cu guvernanţa. Deşi obiectivele funcţiei de audit intern şi cele ale
auditorului extern sunt diferite, este posibil să existe similitudini între maniera în care
funcţia de audit intern şi auditorul extern îşi ating obiectivele.
Deşi funcţia de audit intern presupune autonomie şi obiectivitate, o asemenea funcţie nu
este independentă de entitate aşa cum se cere pentru auditorul extern atunci când se
exprimă o opinie cu privire la situaţiile financiare. Auditorul extern este singurul
răspunzător pentru opinia de audit exprimată, iar această responsabilitate nu este redusă
prin utilizarea activităţii auditorilor interni de către auditorul extern.
Atunci când entitatea are o funcţie de audit intern pe care auditorul extern o consideră
relevantă pentru audit, obiectivele auditorului extern sunt:
(a) Să stabilească dacă şi în ce măsură va utiliza activitatea specifică a auditorilor interni;
şi
(b) În cazul în care va utiliza activitatea specifică a auditorilor interni, să stabilească dacă
activitatea este adecvată pentru scopurile auditului.
Obiectivele funcţiei de audit intern conform ISA 610 Obiectivele funcţiei de audit intern variază pe scara largă şi depind de mărimea şi
structura entităţii şi de cerinţele conducerii şi, acolo unde este aplicabil, de cerinţele persoanelor
însărcinate cu guvernanţa. Activităţile funcţiei de audit intern pot include unul sau mai multe din
aspectele următoare:
Monitorizarea controlului intern. Funcţia de audit intern poate primi sarcina specifică
de a revizui controalele, de a monitoriza operaţiunile şi de a recomanda îmbunătăţiri.
Examinarea informaţiilor financiare şi operaţionale. Funcţia de audit intern poate fi
desemnată să revizuiască modalităţile utilizate pentru identificarea, evaluarea, clasificarea şi
raportarea informaţiei financiare şi operaţională, şi să realizeze investigaţii specifice asupra unor
elemente individuale, incluzând teste de detaliu ale tranzacţiilor, soldurilor şi procedurilor.
Revizuirea activităţilor operaţionale. Funcţia de audit intern poate fi desemnată să
examineze economia, eficienţa şi eficacitatea activităţilor operaţionale, inclusiv a activităţilor
non-financiare ale entităţii.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
17 | P a g e
Revizuirea conformităţii cu legile şi reglementările. Funcţia de audit intern poate fi
desemnată să examineze conformitatea cu legile, reglementările şi alte cerinţe externe, şi cu
politicile conducerii, cu directivele şi cu alte cerinţe interne.
Managementul riscului. Funcţia de audit intern poate asista organizaţia prin
identificarea şi evaluarea expunerilor semnificative la risc şi prin contribuirea la îmbunătăţirea
managementului riscului şi a sistemelor de control.
Guvernanţă. Funcţia de audit intern poate evalua procesul de guvernanţă în ceea ce
priveşte îndeplinirea obiectivelor sale cu privire la etică şi valori, performanţă şi răspundere, prin
comunicarea riscului şi a informaţiei de control către ariile corespunzătoare organizaţiei şi a
eficienţei comunicării între persoanele însărcinate cu guvernanţa, auditorii interni şi externi, şi
conducere.
2. Reglementarea Auditului Intern la nivel de Romania (Legislatie si
reglementari in domeniu)
Principalele reglementari si mai ales influenta acestora asupra organizarii si
realizarii auditului intern se pot sintetiza dupa cum urmeaza:
2.1 Principalele regelementari legale
Legea 31/1990
OUG nr. 75/1999 si 90/2008
OMFP 3055/2009
Normele de Audit intern
2.2 Principalele reglementari in domeniul auditului intern public
Legea 672/2002
Ordinele si normele complementare emise de Ministerul Finantelor Publice si CAFR;
2.3 Principalele reglementari in domeniul institutii de credit
Normele BNR 17/2003 privind organizarea şi controlul intern al activităţii instituţiilor de
credit şi administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea
activităţii de audit intern a instituţiilor de credit, modificata de Regulamentul 18/2009
privind cadrul de administrare a activităţii instituţiilor de credit, procesul intern de
evaluare a adecvării capitalului la riscuri şi condiţiile de externalizare a activităţilor
acestora
Norma 18/2006 emis de BNR privind organizarea şi controlul intern, administrarea
riscurilor semnificative, precum şi desfăşurarea activităţii de audit intern a instituţiilor
financiare nebancare, modificata de Regulamentul 20/2009 privind instituţiile
financiare nebancare emis de BNR
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
18 | P a g e
2.4 Principalele reglementari in domeniul asigurarilor
Ordinul 18/2009 pentru aprobarea Normelor privind principiile de organizare a unui
sistem de control intern şi management al riscurilor, precum şi organizarea şi
desfăşurarea activităţii de audit intern la asigurători/reasigurători
2.2 Procedura de lucru privind derularea unei misiuni de audit intern – etape in
derularea unei misiuni – conform Norma 88/2007 emis de CAFR. 2.5 Practica de audit intern
In cadrul practicii de audit intern desfasurarea misiunilor de audit se realizeaza tinand cont
de urmatorii factori importanti:
a) Coordonatorul departamentului de audit intern trebuie sa fie auditor financiar conform
OUG 75/1999;
b) Cerintele legale explicit prezentate de reglementarile care vizeaza zona de activitate a
companiei si stabilirea/indentificarea responsabilitatilor functiei de audit intern si
reglementarea acesteia cu celelalte departamente/functii din cadrul entitatii;
c) Cerintele aferente Standardelor de audit intern si codului deontologic;
d) Experienta coordonatorului departamentului de audit intern din cadrul entitatii si
credibilitatea functiei de audit intern de la nivelul companiei
e) Manualul de proceduri de audit intern si metodologia de audit intern folosite in derularea
misunilor.
Indiferent de pasii de lucru sau etapele de realizare ale unui misiuni de audit intern, se pot
regasi/regrupa urmatoarele etape care sunt prezentate de CAFR prin Norma 88/2007 privind
auditul intern: (Anexa 2 din Norma 88/2007)
1. Procedura planul de audit intern
2. Procedura ordinul de misiune
3. Procedura ordinul de serviciu
4. Procedura notificarea privind declansarea misiunii de audit intern
5. Procedura colectarea si prelucrarea informatiilor
6. Procedura identificarea si analiza riscurilor
7. Procedura elaborarea programului misiunii de audit
8. Procedura sedinta de deschidere
9. Procedura colectarea probelor de audit
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
19 | P a g e
10. Procedura revizuirea documentelor de lucru
11. Procedura elaborarea proiectului de raport de audit intern
12. Procedura transmiterea proiectului de raport de audit intern
13. Procedura reuniunea de conciliere
14. Procedura monitorizarea misiunii
15. Procedura difuzarea raportului de audit intern
16. Procedura monitorizarea implementarii recomandarilor
3.Managementul Riscurilor
3.1 Conceptul de managementul al riscurilor
Managementul riscului este un concept intalnit la nivelul oricarei organizatii sub diverse
forme de evaluare si cuantificare.
In desfasurarea activitatii oricarei companii evaluarea si cautarea stabilitatii si securitatii
economice au impus o multitudine de metode si tehnici de evaluare a riscurilor potentiale si de a
lua masuri preventive pentru a se feri de efectele negative ale acestora. Totodata, in cazul
efectelor negative produse, s-au creat o serie de masuri corective pentru a minimiza efectele
negative produse.
Principalele etape intr-o abordare de evaluare a managementului riscurilor ar presupune:
- identificarea riscurilor;
- evaluarea riscurilor;
- controlarea riscurilor si aparitiei unor evenimente nedorite.
Cercetatorii Douglas şi Wildovsky, mergand pe premisa ca riscurile sunt independente
societatii si indivizilor au stabilit un set de criterii in ceea ce priveste analiza riscurilor,
atribuindu-le acestora circumstante partiale de hazard cuantificabile.
Managementul riscului in abordarea prezenta are la baza trei premise:
- orice activitate cunoscuta sau necunoscuta presupune un anumit grad de risc;
- asocierea dintre risc si hazard nu este intotdeauna corecta;
- interesul, convenienta sau urgenta nu pot fi disociate de risc, chiar si in cazul in care
actiunea declansata de acestea a fost un succes.
Riscul diferă de la entitate la entitate. In acest sens deducem si faptul ca strategia de
reducere a impactului acestui risc difera si ea.
Exemple: 1. Sistemul de e-ticket pentru companie de transport persoane (aerian sau terestru -
tren) sistemul de furnizare a biletelor si disponibilitatea soluţiei este cheia
continuităţii afacerii, acest lucru ducând la soluţii de asigurare a continuităţii
afacerii. - Detaliere
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
20 | P a g e
2. Un producător de automobile, confidenţialitatea planurilor şi proiectelor
reprezintă cheia succesului în faţa competiţiei, acest lucru ducând la politici şi
soluţii de controlul accesului.- Detaliere
3. Companie de servicii medicale, cheia succesului pentru aceasta are la baza
serviciile furnizate clientilor si gradul de multumire/satisfacere a acestora dar si
costurile serviciilor prestate - Detaliere
Cea mai simpla modalitate de a evalua riscurile la nivelui unei companii/organizatii este
aceea de a alcatui o lista cat mai cuprinzatoare cu scenarii şi câteva formule matematice stabilite
între mizele de joc, vulnerabilităţi şi mijloace de reducere a riscului, furnizate de măsurile de
securitate stabilite în prealabil (teoria jocului, teorii probabilistice).
De asemenea, cum se poate construi o protecţie a securităţii care să acopere cele mai
importante / costisitoare scenarii într-o manieră foarte eficientă prin stabilirea unor ponderi celor
mai importante scenarii şi măsuri de siguranţă care prin definiţie ar trebui să acopere mai multe
scenarii.
3.2 Evaluarea riscurilor si cuantificarea acestora intr-un model de evaluare
In evaluarea riscurilor aferente unie comapnii/entitati trebuie identificati factorii de risc
general, specifici si de control.
Astfel, schematizand influenta acestor factori si influenta asupra managementului riscurilor
se poate prezenta astfel:
Fig. 1 Factori ce influenteza managementul riscului (sursa: Securitatea proceselor si calitatea vietii,
managementul riscului - Conf.univ.dr. Gheorghe Ilie)
O alta metoda de evaluare a riscurilor porneste tot de la o analiza, insa nu una a
scenariilor ci una de tipul cauza efect prin care rezulta o diagrama, numita si “os de peste”,
inventata de cercetatorul japonez Kaoru Ishikawa, ilustreaza relatiile existente intre factorii care
pot influenta abilitatea unei organizatii de a administra riscurile.
Aceasta analiza este una mult mai analitica si porneste de la Procese, Persoane,
Infrastructura si Implementare dupa cum este prezentata mai jos:
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
21 | P a g e
(Sursa: Mazareanu Valentin, P
2I
2 si diagrams os de peste in managementul riscurilor,
www.managementul-riscurilor.ro, 2009)
3.3 Auditul intern si managementul riscurilor
Preluand diferite modele de activitati s-au intreprins o serie de pasi in procesul de evaluare
si cuantificare a managementului riscurilor si mai departe influenta acestora asupra preocesului
de planificare si realizare a auditului intern. In acest sens un rol important l-au avut Banca
Nationala a Romaniei, Comisia de Supraveghere a Asigurarilor, dar si Camera Auditorilor
Financiari din Romania care prin diverse norme/ordine emise au impus abordarea auditului
intern pornind de la manageemntul riscurilor la nivelul companiei si au identificat/stabilit functia
de audit intern in cadrul organizarii entitatii. (A se vedea si discuta pe marginea principalelor
reglementari emise de BNR si CSA – ca si exemple – prezentate mai sus).
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
22 | P a g e
4.Exemple de calcul privind managementul riscurilor
Exemplul privind evaluarea riscurilor la nivelul unei companii in vederea utilizari acestora
de catre auditul intern
SC TRAINING SA
DOMENIU DE ACTIVITATE: Cursuri de pregatire profesionala si plasare forta de munca
SCOPUL EVALUARII: Evaluarea si cuantificarea riscurilor in vederea planificarii si realizarii
Auditului intern
PASUL 1 Stabilirea principalilor factori de risc generali asupra desfasurarii activitatii
firmei si ponderarea acestora cu influenta directa in cazul companiei TRAINING SA
Nr. Crt
RISC EVALUAT CONFORM MATRICE
INFLUENTA RISCULUI IN ANSAMBLUL
SISTEMULUI (%) EXPLICAREA PONDERII FACTORILOR DE RISC
1 Risc privind modelul de finantare activitate 4
Nu exista credite contractate si nici imprumuturi de la alte persoane/terti
2 Risc de organizare si relationare la nivel de companie 5
Domeniul de activitate al firmei impune o organizare interna buna
3
Risc privind sistemului informatic si modelul de realizare a acestuia si dezvoltare 5
Sistemul informatic are la baza ultimele programe utilizate in domeniu
4 Risc determinat de externalizarea serviciilor de la nivelul companiei 5
Nu exista polita de externalizare a serviciilor la nivel de firma, exceptie sunt doar consultantii sau cooptarea de noi traineri.
5
Risc privind construirea/introducerea procedurilor de lucru, interoperabilitatea dintre acestea si stabilitatea in timp 6
Adaptarea procedurilor de lucru la serviciile furnizate si cerute de piata
6 Risc financiar-contabil 6
Departamentul este organizat bine dar sunt o serie de restrictii/limitari ca urmare a teritorialitatii - prestarii de servicii si in afara ariei sediului central
7 Risc asociat activitatii de consultanta/consiliere 6
Utilizarea de consultanti cu experienta dar si a unora noi in functie de cererea din piata care implica si cooptarea de noi traineri
8 Risc asociat activitatii de investitii, dezvoltare, inovare 7
Modificarile legislative si impreuna cu cerintele din piata necesita adaptarea si promovarea de cursuri permanet
9 Risc de control si mediul de control 7
Nu au fost inca implementate procedurile de control propuse la nivel de companie. Singura procedura vizeaza in principal gradul de satisfacere a clientului pentru cursuri si plasarea personalului
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
23 | P a g e
10 Risc privind asigurarea calitatii privind serviciile/produsele realizate 7
Prestatia trainerilor si multumirea companiilor a caror instruire/pregatire se realizeaza sunt permanent urmarite si mai ales tinute sub observatie, fiind insa influentate in mod direct de pret.
11
Risc de management - implicare, asumare si modificare/revizuire politici companie 8
Managementul (sunt 2 persoane pentru aceasta pozitie ) desi este conectat la piata si modificarile/sensibilitatea cererii, totusi deciziile sunt luate cu destul de multa intarziere.
12 Risc de personal si fluctuatia acestuia - HR 8
Concurenta din piata serviciilor determina anumite fluctuatii de personal si ma ales atragerea trainerilor consacrati doar pe anumite proiecte de impact.
13
Risc juridic ca urmare a naturii activitatii companiei si modelui cum este organizata functia juridica in companie 8
Modificari permanente care impun adaptarea permanenta a ofertei si a personalului din cadrul firmei
14
Risc privind domeniul de activitate in care isi desfasoara compania activitatea 9
Compania isi desfasora activitatea intr-o zona de piata cu un mediu concurential puternic; totodata ea este nou infiintata si nu are inca consacrare/renume in piata serviciilor din aceasta categorie
15
Risc de management si stabilirea atributiilor acestora de catre Consiliul de Administratie 9
Nu exista clar o delimitare la nivel de management, fiind 2 persoane stabilite de CA care au cam aceleasi atributii/obligatii in organizarea procesului de la nivelul companiei.
TOTAL 100
PASUL 2 Stabilirea unei evaluari a riscurilor identificate care pot influenta direct
activitatea companiei;
NR.CRT NIVELUL DE RISC
DETALIERE PRIVIND INFLUENTA
RISCULUI ASUPRA PROCESULUI PUNCTAJ
1 Nivel foarte scazut Influenta este minima 1
2 Nivel scazut Pot exista consecinte asupra sistemului 2
3 Nivel mediu
Exista consecinte detectate asupra sistemului/procesului 3
4 Nivel ridicat
Consecintele detectate asupra sistemului sunt importante 4
5 Nivel foarte ridicat
Consecintele detectate asupra sistemului sunt maxime 5
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
24 | P a g e
PASUL 3 Evaluarea riscurilor la nivelul firmei si utilizarea acestora in cadrul auditului
intern ulterior.
Nr crt
RISC EVALUAT CONFORM MATRICE - DESCRESCATOR
INFLUENTA RISCULUI IN ANSAMBLUL SISTEMULUI
(%)
NIVEL DE RISC ASOCIAT SI EVALUAT
CALCUL TOTAL RISC
(%)
1 Risc privind domeniul de activitate in care isi desfasoara compania activitatea 9 3.5 31.5
2 Risc de management si stabilirea atributiilor acestora de catre Consiliul de Administratie 9 2.5 22.5
3 Risc de management - implicare, asumare si modificare/revizuire politici companie 8 3 24
4 Risc de personal si fluctuatia acestuia - HR 8 4.5 36
5
Risc juridic ca urmare a naturii activitatii companiei si modelui cum este organizata functia juridica in companie 8 4 32
6 Risc asociat activitatii de investitii, dezvoltare, inovare 7 1 7
7 Risc de control si mediul de control 7 2 14
8 Risc privind asigurarea calitatii privind serviciile/produsele realizate 7 3 21
9
Risc privind construirea/introducerea procedurilor de lucru, interoperabilitatea dintre acestea si stabilitatea in timp 6 4 24
10 Risc financiar-contabil 6 2 12
11 Risc asociat activitatii de consultanta/consiliere 6 2 12
12 Risc de organizare si relationare la nivel de companie 5 2 10
13 Risc privind sistemului informatic si modelul de realizare a acestuia si dezvoltare 5 2.4 12
14 Risc determinat de externalizarea serviciilor la nivelul companiei 5 1 5
15 Risc privind modelul de finantare a activitatii 4 4 16
TOTAL 100
Discutii pe marginea modelului, completari si limitari.
Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU
25 | P a g e
BIBLIOGRAFIE
1. Jacques Renard, Teoria si practica auditului intern, Ministerul Finanţelor Publice, 2005
2. Camelia Dobroteanu, Laurentiu Dobroteanu, Auditul Intern, Editura InfoMega, 2007
3. Morariu Ana, Suciu Ghe., Contabilitatea instituţiilor publice, Editura Universitară, 2005
4. Mazareanu Valentin, P2I2 si diagrama os de peste in managementul riscurilor,
www.managementul-riscurilor.ro, 2009
*** Legea nr. 672 / 19.12.2002
*** Norme Profesionale ale auditului intern, Camera Auditorilor Financiari din România
*** www.cafr.ro
*** www.aai.ro
*** https://na.theiia.org
*** www.bnr.ro
*** http://www.csa-isc.ro/