audit intern

Suport de curs – Audit intern si managementul riscurilor CAFR 2012 – Lect. dr. Gabriel RADU

1 | P a g e

SUPORT CURS AUDIT INTERN SI MANAGEMENTUL RISCURILOR

Cuprins:

1. Standarde de audit cu impact asupra auditul intern 1.1 Standarde de audit intern

1.2 Standarde Internationale de audit (ISA) cu impact asupra auditului intern

2. Reglementarea Auditului Intern la nivel de Romania (Legislatie si

reglementari in domeniu) 2.1 Principalele reglementari legale

2.2 Principalele reglementari in domeniul auditului intern public

2.3 Principalele reglementari in domeniul institutii de credit

2.4 Principalele reglementari in domeniul asigurarilor

2.5 Practica de audit intern

3. Managementul Riscurilor si impactul asupra auditului intern 3.1 Conceptul de management al riscurilor

3.2 Evaluarea riscurilor si cuantificarea acestora intr-un model de evaluare

3.3 Auditul intern si managementul riscurilor

4. Exemple si cazuri practice privind auditul intern si managementul

riscurilor


2 | P a g e

1. Standarde de audit cu impact asupra auditul intern

1.1 Standarde de audit intern

Auditul intern se efectuează în entităţi diferite, eterogene, de mărimi, structuri şi

obiective diverse. Din aceste considerente, pe plan internaţional au apărut norme (standarde) de

practică profesională a auditului intern, care sunt recomandate auditorilor interni şi pe baza

cărora aceştia trebuie să-şi realizeze propriile standarde de aplicare a auditului intern.

Standardele (normele) profesionale ale auditorilor interni cuprind mai multe

componente, legate într-un tot unitar, ghidând activitatea auditorilor interni. Normele auditului

intern îşi propun:

a) să definească principii de bază;

b) să furnizeze un cadru de referinţă în vederea realizării şi promovării unei game largi de

activităţi de audit intern, care să aducă un plus de valoare entităţii;

c) să stabilească criterii de apreciere a funcţionării auditului intern, a performanţelor

acestuia;

d) să fie un factor de îmbunătăţire a proceselor şi operaţiilor organizaţiei.

Standardele de audit intern cuprind următoarele componente:

- codul deontologic al auditorului intern;

- normele de calificare şi normele de implementare asociate, notate cu seria 1000, până la

1300;

- normele de funcţionare şi normele de implementare asociate, cuprinzând seria 2000 până

la 2600.

Codul deontologic este elaborat şi recomandat de Institutul Auditorilor Interni (IIA) şi se

aplică persoanelor şi entităţilor care oferă servicii de audit intern.

Codul deontologic reprezintă o declaraţie asupra valorilor şi principiilor care trebuie să

călăuzească activitatea şi practica cotidiană a auditorilor interni. Acest cod de etică este singura

componentă în care se enunţă principiile şi modul de aplicare pe care auditorul intern trebuie să

le respecte, pentru a nu se îndepărta de prevederile standardelor, în realizarea misiunilor de audit

intern.

Principiile fundamentale enunţate de codul deontologic sunt:

a) integritatea;

b) obiectivitatea;

c) confidenţialitatea;

d) competenţa.

Integritatea implică corectitudine în desfăşurarea misiunii de audit intern,

onestitate în realizarea acţiunilor specifice şi sinceritate în dialogurile purtate cu cei auditaţi.

Auditorii interni trebuie să-şi îndeplinească misiunea cu responsabilitate, trebuie să respecte

legea şi să contribuie la îndeplinirea obiectivelor etice ale organizaţiei lor, nu trebuie să ia parte

în mod conştient la activităţi ilegale sau să se angajeze în acte dezonorante pentru profesia de

audit intern sau pentru organizaţia lor.

Obiectivitatea este cea care ne permite să privim informaţiile şi să le examinăm cu

imparţialitate, fără a fi influenţate de părerile personale, interesele personale sau părerile altora.

Auditorii interni trebuie să vadă lucrurile aşa cum sunt ele, independente de faptele colaterale şi

să-şi formeze propria părere.


3 | P a g e

Confidenţialitatea. Auditorii interni sunt obligaţi să păstreze informaţiile în posesia

cărora intră prin atribuţiile ce le revin. În practică, nu trebuie să existe nici o divulgare

neautorizată a informaţiilor, decât dacă există o cerinţă profesională sau legală pentru aceasta.

Informaţiile confidenţiale obţinute în cursul desfăşurării misiunilor de audit este obligatoriu să nu

fie folosite în interes personal.

Competenţa. Auditorii interni trebuie să cunoască standardele şi normele profesionale şi

să nu accepte misiuni pentru care nu au competenţa necesară. De asemenea, membrii echipei de

audit trebuie să aplice cunoştinţele, experienţa şi priceperea dobândită pentru a se achita de

îndatoririle ce le revin.

Principalele norme de audit intern vizeaza urmatoarele categorii de standarde:

1000 – Scopul, autoritate şi responsabilităţi

Scopul, autoritatea şi responsabilităţile auditului intern trebuie să fie definite în mod oficial

într-un regulament, în conformitate cu Standardele şi să fie aprobate de Consiliul organizaţiei.

1000. A1 – Natura misiunilor de asigurare efectuate pentru organizaţie trebuie să fie

definită în Regulamentul de funcţionare a Departamentului de audit intern.

Dacă misiunile de asigurare urmează să fie efectuate către părţi din afara

entităţii, natura lor trebuie de asemenea să fie definită în

Regulament.

1000. C1 – Natura misiunilor de consultanţă trebuie să fie definită în

Regulamentul de funcţionare a Departamentului de audit intern.

1100 – Independenţă şi obiectivitate

Activitatea de audit intern trebuie să fie independentă, iar auditorii interni trebuie să-şi

desfăşoare activitatea cu obiectivitate.

1110 – Independenţă în cadrul entităţii

Conducătorul Departamentului de audit intern trebuie să raporteze în cadrul

entităţii unui nivel ierarhic care să-i permită îndeplinirea responsabilităţilor în cadrul

activităţii de audit intern.

1110.A1 – Activitatea de audit intern nu trebuie să fie supusă nici unei

imixtiuni în ceea ce priveşte definirea ariei sale de aplicabilitate,

realizarea activităţii şi comunicarea rezultatelor.

1120 – Obiectivitate individuală

Auditorii interni trebuie să aibă o atitudine imparţială şi neinfluenţată şi să evite

conflictele de interese.

1130 – Prejudicii aduse independenţei sau obiectivităţii


4 | P a g e

Dacă obiectivitatea sau independenţa auditorilor interni sunt afectate în fapt sau în

aparenţă, părţile interesate trebuie să fie informate de detaliile situaţiilor care creează

aceste prejudicii. Forma acestei comunicări va depinde de natura prejudiciului.

1130.A1 – Auditorii interni trebuie să evite să evalueze anumite

operaţiuni de care au fost responsabili în trecut. Obiectivitatea unui

auditor este considerată a fi afectată atunci când acesta realizează o

misiune de asigurare pentru o activitate pentru care a fost responsabil în

cursul anului precedent.

1130.A2 – Misiunile de asigurare care vizează funcţiile de care

răspunde conducătorul activităţii de audit intern trebuie să fie

supervizate de o persoană care nu face parte din structura de audit

intern.

1130.C1 – Auditorii interni pot oferi servicii de consultanţă în legătură

cu realizarea operaţiunilor pentru care au fost responsabili în trecut.

1130.C2 – Dacă independenţa sau obiectivitatea auditorilor interni ar

putea fi afectată în legătură cu serviciile de consultanţă propuse, ei

trebuie să informeze în această privinţă clientul care a solicitat misiunea,

înainte de a o accepta.

1200 – Competenţă şi conştiinciozitate profesională Misiunile trebuie să fie îndeplinite cu

competenţă şi cu conştiinciozitate profesională.

1210 – Competenţă

Auditorii interni trebuie să deţină cunoştinţele, priceperea şi celelalte competenţe

necesare exercitării responsabilităţilor lor individuale. Departamentul de audit intern

trebuie să deţină sau să dobândească în mod colectiv cunoştinţele, priceperea şi

celelalte competenţe necesare exercitării responsabilităţilor care le revin.

1210.A1 – Conducătorul activităţii de audit intern trebuie să obţină sfatul şi

asistenţa de specialitate din partea altor persoane dacă personalul din

Departamentul de audit intern nu deţine cunoştinţele, priceperea sau alte

competenţe necesare pentru a realiza parţial sau total misiunea.

1210.A2 – Auditorii interni trebuie să deţină cunoştinţe suficiente pentru a

identifica indiciile unei fraude, dar aceasta nu înseamnă că trebuie să aibă

acelaşi nivel de competenţă ca şi o persoană a cărei principală responsabilitate

este detectarea şi investigarea fraudelor.

1210.A3 – Auditorii interni trebuie să aibă cunoştinţe legate de

principalele riscuri şi controale IT, dar şi de tehnicile de audit asistate de

calculator disponibile pentru a-şi exercita activitatea desemnată. Totuşi,


5 | P a g e

nu este de aşteptat ca toţi auditorii interni să aibă experienţa unui auditor

intern a cărei principală responsabilitate este auditarea sistemelor IT.

1210.C1 – Conducătorul activităţii de audit intern trebuie să refuze o misiune

de consultanţă sau să obţină sfatul şi asistenţa de specialitate din partea altor

persoane dacă personalul din Departamentul de audit intern nu deţine

cunoştinţele, priceperea sau alte competenţe necesare pentru a realiza parţial

sau total misiunea.

1220 – Conştiinciozitate profesională

Auditorii interni trebuie să îşi exercite activitatea cu conştiinciozitatea şi

priceperea care se aşteaptă din partea unui auditor intern prudent şi competent.

Conştiinţa profesională nu implică infailibilitatea.

1220.A1 – Auditorul intern trebuie să acorde toată atenţia necesară

practicii sale profesionale luând în calcul următoarele elemente:

• sfera de activitate necesară pentru atingerea obiectivelor misiunii;

• complexitatea relativă, pragul de semnificaţie sau caracterul

semnificativ al problemelor asupra cărora se aplică procedurile

misiunilor de asigurare;

• adecvarea şi eficacitatea proceselor de management al riscurilor, de

control şi de guvernanţă ale organizaţiei;

• probabilitatea existenţei unor erori, nereguli sau neconformităţi

semnificative;

• costul aplicării misiunilor de asigurare în raport cu avantajele

potenţiale.

1220.A2 – În exercitarea cu conştiinciozitate a activităţii, auditorul intern

trebuie să ia în consideraţie utilizarea instrumentelor de audit asistate de

calculator şi a altor tehnici de analiză a datelor.

1220.A3 - Auditorul intern trebuie să manifeste o vigilenţă deosebită în ceea

ce priveşte riscurile semnificative care ar putea afecta obiectivele, operaţiunile

sau resursele. Totuşi, numai aplicarea procedurilor de asigurare, chiar dacă este

efectuată cu conştiinciozitatea profesională necesară, nu garantează identificarea

tuturor riscurilor semnificative.

1220.C1 – Auditorul intern trebuie să efectueze o misiune de consultanţă cu

conştiinciozitate profesională, luând în consideraţie următoarele elemente:

• necesităţile şi aşteptările clienţilor, inclusiv în ceea ce priveşte

natura, planificarea şi comunicarea rezultatelor misiunii;

• complexitatea relativă a misiunii şi volumul de muncă necesar

pentru atingerea obiectivelor stabilite;

• costul misiunii de consultanţă în raport cu avantajele potenţiale.


6 | P a g e

1230 –Pregătirea profesională continuă

Auditorii interni trebuie să-şi îmbunătăţească cunoştinţele, priceperea şi alte

competenţe necesare prin pregătire profesională continuă.

1300 – Programul de asigurare şi îmbunătăţire a calităţii

Conducătorul activităţii de audit intern trebuie să elaboreze şi să întreţină un program de

asigurare şi îmbunătăţire a calităţii care să acopere toate aspectele legate de activitatea de audit

intern şi să monitorizeze permanent eficacitatea acestuia. Acest program va include evaluări

interne şi externe ale calităţii şi monitorizare internă permanentă. Fiecare parte a programului

trebuie să fie concepută astfel încât să ajute activitatea de audit intern să aducă un plus de

valoare şi să îmbunătăţească activităţile organizaţiei, dar şi să ofere o asigurare că activitatea

de audit intern se desfăşoară în conformitate cu Standardele şi cu Codul Etic.

1310 – Evaluări ale programului de controlul calităţii

Activitatea de audit intern trebuie să adopte un proces care să permită monitorizarea şi

evaluarea eficacităţii globale a programului de controlul calităţii. Acest proces trebuie

să cuprindă atât evaluări interne, cât şi evaluări externe.

1311 – Evaluări interne

Evaluările interne trebuie să cuprindă:

• revizuiri permanente privind performanţa activităţii de audit intern; şi

• revizuiri periodice, efectuate prin auto-evaluare sau de către alte persoane din

cadrul entităţii care cunosc practicile de audit intern şi Standardele.

1312 – Evaluări externe

Evaluările externe trebuie să fie realizate cel puţin o dată la cinci ani de către un

auditor independent şi care deţine competenţa necesară din afara entitpţii, sau de o

echipă de auditori independenţi şi care deţin competenţele necesare din afara entităţii.

Nevoia potenţială de evaluări externe mai dese, ca şi competenţa şi independenţa

auditorului extern sau a echipei de auditori, inclusiv orice posibil conflict de

interese, trebuie discutat de către conducătorul Departamentului de audit intern

cu Consiliul. De asemenea, astfel de discuţii trebuie să ţină cont de mărimea,

complexitatea şi specificul organizaţiei în corelaţie cu experienţa auditorului sau

echipei.

1320 – Rapoarte referitoare la programul de calitate

conducătorul Departamentului de audit intern trebuie să comunice Consiliului

rezultatele evaluărilor externe.

1330 – Utilizarea menţiunii „Efectuat în conformitate cu Standardele” Auditorii

interni sunt încurajaţi să menţioneze, în rapoartele pe care le întocmesc, că activităţile

lor sunt „efectuate în conformitate cu Standardele pentru practica profesională în

domeniul auditului intern”. Totuşi, auditorii interni pot folosi această menţiune


7 | P a g e

doar dacă evaluările programului de îmbunătăţire a calităţii demonstrează că

activitatea de audit intern este efectuată în conformitate cu Standardele.

1340 – Prezentarea neconformităţii

Chiar dacă activitatea de audit intern trebuie să fie efectuată respectând cu

stricteţe Standardele în ansamblul lor, iar auditorii interni trebuie să respecte

Codul Etic, pot exista situaţii în care această conformitate nu este pe deplin realizată.

Atunci când această neconformitate influenţează în ansamblul său aria de

aplicabilitate a activităţii de audit intern sau funcţionarea Departamentului de audit

intern, această situaţie trebuie adusă atât la cunoştinţa conducerii superioare executive,

cât şi la cea a Consiliului.

Standarde de performanţă

2000 – Gestionarea activităţii de audit intern

Conducătorul activităţii de audit intern trebuie să gestioneze în mod eficient activitatea de audit

intern, astfel încât să se asigure că ea aduce un plus de valoare entităţii.

2010 – Planificarea

Responsabilul pentru activitatea de audit intern trebuie să realizeze o planificare bazată

pe riscuri pentru a defini priorităţile activităţii de audit intern în concordanţă

cu obiectivele entităţii.

2010.A1 – Programul misiunilor de audit intern trebuie să se bazeze pe o

evaluare a riscurilor, realizată cel puţin o dată pe an. La stabilirea acestui

proces, auditorul intern trebuie să ia în calcul punctele de vedere ale

managementului şi Consiliului organizaţiei.

2010.C1 – Atunci când îi este propusă o misiune de consultanţă, responsabilul

pentru activitatea de audit intern trebuie, înainte de a o accepta, să ia în calcul

în ce măsură aceasta poate aduce un plus de valoare şi îmbunătăţi

managementul riscurilor şi funcţionarea entităţii. Misiunile care au fost

acceptate trebuie să fie integrate în planul de audit.

2020 – Comunicarea şi aprobarea

Responsabilul pentru activitatea de audit intern trebuie să comunice managementului şi

Consiliului planurile privind activitatea de audit intern şi resursele necesare, inclusiv

modificările intermediare semnificative, în vederea examinării şi aprobării acestora.

Conducătorul activităţii de audit intern trebuie să semnaleze, de asemenea, impactul

oricărei limitări a resurselor.

2030 – Gestionarea resurselor

Conducătorul activităţii de audit intern trebuie să se asigure că resursele alocate acestei

activităţi sunt adecvate, suficiente şi alocate efectiv în vederea realizării


8 | P a g e

planului de audit aprobat.

2040 – Politici şi proceduri

Conducătorul activităţii de audit intern trebuie să stabilească politicile şi procedurile

care să dirijeze activitatea de audit intern.

2050 – Coordonarea

Conducătorul activităţii de audit intern trebuie să comunice celorlalţi prestatori

interni şi externi de servicii de asigurare şi de consiliere informaţiile necesare şi să îşi

coordoneze activităţile cu aceştia, astfel încât să asigure o acoperire adecvată a

activităţilor şi să minimizeze suprapunerile.

2060 – Rapoarte transmise managementului şi Consiliului

Conducătorul activităţii de audit intern trebuie să raporteze periodic managementului şi

Consiliului cu privire la scopul, autoritatea, responsabilitatea şi funcţionarea activităţii

de audit intern, în raport cu planul stabilit. Aceste rapoarte trebuie să includă, de

asemenea, aspecte legate de expunerile la riscurile semnificative şi de

controlulacestora, aspectele legate de guvernanţa corporativă, precum şi alte aspecte

necesare conducerii executive şi Consiliului, sau solicitate de acestea.

2100 – Natura activităţii

Activitatea de audit intern trebuie să evalueze şi să contribuie la îmbunătăţirea sistemelor de

management al riscurilor, de control şi de guvernanţă a entităţii folosind o abordare

sistematică şi metodică.

2110 – Managementul riscurilor

Activitatea de audit intern trebuie să ajute entitatea prin identificarea şi evaluarea

expunerilor semnificative la riscuri şi să contribuie la îmbunătăţirea sistemelor de

management şi control al riscurilor.

2110.A1 – Activitatea de audit intern trebuie să monitorizeze şi să

evalueze eficacitatea sistemului de management al riscurilor aparţinând

entităţii.

2110.A2 – Activitatea de audit intern trebuie să evalueze expunerile la riscurile

aferente guvernanţei entităţii, operaţiunilor şi sistemelor informaţionale cu

privire la:

• fiabilitatea şi integritatea informaţiilor financiare şi operaţionale;

• eficacitatea şi eficienţa operaţiunilor;

• protejarea activelor;

• respectarea legilor, regulamentelor şi contractelor.

2110.C1 – Pe parcursul misiunilor de consultanţă, auditorii interni trebuie să

abordeze riscurile în conformitate cu obiectivele misiunii şi să fie atenţi la

existenţa unor alte riscuri semnificative.


9 | P a g e

2110.C2 – În procesul de identificare şi de evaluare a expunerii semnificative la

riscuri ale organizaţiei, auditorii interni trebuie să includă cunoştinţele despre

riscuri dobândite din misiunile de consultanţă.

2120 – Controlul

Activitatea de audit intern trebuie să ajute entitatea să păstreze controale eficace prin

evaluarea eficacităţii şi eficienţei acestora şi prin promovarea îmbunătăţirii continue a

lor.

2120.A1 – Pe baza rezultatelor evaluărilor riscurilor, activitatea de audit intern

trebuie să evalueze adecvarea şi eficacitatea controalelor privind guvernanţa

entităţii, operaţiunile şi sistemele de informare din organizaţie.

Această evaluare trebuie să vizeze următoarele aspecte:

• fiabilitatea şi integritatea informaţiilor financiare şi operaţionale;

• eficacitatea şi eficienţa operaţiunilor;

• protejarea activelor;

• respectarea legilor, regulamentelor şi contractelor.

2120.A2 – Auditorii interni trebuie să stabilească în ce măsură au fost definite

scopurile şi obiectivele privind operaţiunile şi programele şi dacă aceste scopuri

şi obiective sunt conforme cu cele ale organizaţiei.

2120.A3 – Auditorii interni trebuie să revizuiască operaţiunile şi programele

pentru a stabili în ce măsură rezultatele corespund scopurilor şi obiectivelor

stabilite şi dacă aceste operaţiuni şi programe sunt implementate sau realizate

aşa cum s-a prevăzut.

2120.A4 – Pentru evaluarea controalelor sunt necesare criterii adecvate.

Auditorii interni trebuie să stabilească în ce măsură a definit

managementul criterii adecvate pentru a determina dacă au fost atinse

obiectivele şi scopurile. Dacă aceste criterii sunt adecvate, auditorii interni

trebuie să le utilizeze în evaluarea pe care o fac. Dacă nu sunt adecvate,

auditorii interni trebuie să colaboreze cu managementul pentru a elabora criterii

corespunzătoare de evaluare.

2120.C1 – În cursul misiunilor de consultanţă, auditorii interni trebuie să

examineze controalele în conformitate cu obiectivele misiunii şi să fie atenţi la

existenţa oricărui punct slab semnificativ privind controlul.

2120.C2 – În cadrul procesului de identificare şi de evaluare a expunerilor

semnificative la risc ale organizaţiei, auditorii interni trebuie să ia în

consideraţie cunoştinţele despre sistemele de control pe care le-au

dobândit în cursul misiunilor lor de consultanţă.


10 | P a g e

2130 – Guvernanţa

Activitatea de audit intern trebuie să evalueze şi să facă recomandări adecvate

pentru îmbunătăţirea procesului de guvernanţă în vederea atingerii următoarelor

obiective:

• promovarea valorilor etice adecvate în cadrul organizaţiei;

• asigurarea efectuării unui management organizaţional eficace şi

asigurarea responsabilizării aferente;

• comunicarea eficace a informaţiilor despre riscuri şi control

structurilor adecvate din cadrul organizaţiei;

• Coordonarea efectivă a activităţilor şi comunicarea informaţiilor între

conducerea executivă, precum şi auditorilor interni şi externi şi

Consiliului.

2130.A1 – Activitatea de audit intern trebuie să evalueze proiectarea,

implementarea şi eficacitatea obiectivelor, programelor şi activităţilor legate

de etica organizaţiei.

2130.C1 – Obiectivele misiunii de consultanţă trebuie să corespundă

valorilor şi obiectivelor generale ale entităţii.

2200 – Planificarea misiunii

Auditorii interni trebuie să elaboreze şi să înregistreze un plan pentru fiecare misiune, plan

care să includă aria de aplicabilitate, obiectivele, calendarul şi alocarea resurselor.

2201 – Consideraţii referitoare la planificare

La planificarea misiunii, auditorii interni trebuie să ia în considerare:

• obiectivele activităţii care este revizuită şi mijloacele prin care activitatea îşi

controlează desfăşurarea;

• riscurile semnificative legate de activitate, obiectivele sale, resursele utilizate,

precum şi operaţiile şi mijloacele prin care impactul potenţial al riscului este

menţinut la un nivel acceptabil;

• adecvarea şi eficacitatea sistemelor de management şi control al riscurilor

activităţii, cu referire la un cadru sau model relevant de control;

• oportunităţile de îmbunătăţire semnificativă a sistemelor de management şi

control al riscurilor activităţii.

2201.A1 – La planificarea unei misiuni pentru părţile din afara organizaţiei,

auditorii interni trebuie să stabilească o înţelegere scrisă cu aceştia în legătură cu

obiectivele, aria de aplicabilitate, responsabilităţile fiecărei părţi şi alte aşteptări ale

clientului, inclusiv în ce priveşte restricţiile cu privire la comunicarea rezultatelor

misiunii şi accesul la dosarul misiunii.

2201.C1 – Auditorii interni trebuie să stabilească cu clientul misiunii de

consultanţă o înţelegere cu privire la obiectivele, aria de aplicabilitate,


11 | P a g e

responsabilităţile fiecărei părţi şi alte aşteptări ale clientului. Pentru misiunile

semnificative, acest acord trebuie să fie documentat.

2210 – Obiectivele misiunii

Obiectivele trebuie să fie stabilite pentru fiecare misiune în parte.

2210.A1 – Auditorii interni trebuie să realizeze o evaluare preliminară a riscurilor

relevante pentru activitatea revizuită. Obiectivele misiunii trebuie să reflecte

rezultatele acestei evaluări.

.

2210.A2 – La elaborarea obiectivelor misiunii, auditorul intern trebuie să ţină cont

de probabilitatea existenţei erorilor, neregularităţilor, a cazurilor de neconformitate,

precum şi a altor expuneri semnificative.

2210.C1 – Obiectivele unei misiuni de consultanţă trebuie să abordeze procesele

care privesc riscurile, controlul şi guvernanţa organizaţiei în limita convenită cu

clientul.

2220 – Aria de aplicabilitate a misiunii

Aria de aplicabilitate stabilită trebuie să fie suficientă astfel încât să îndeplinească obiectivele misiunii.

2220.A1 – Aria de aplicabilitate a misiunii trebuie să includă luarea în consideraţie

a sistemelor, înregistrărilor, personalului şi activelor relevante, inclusiv a acelor

aflate sub controlul unor terţe părţi.

2220.A2 – Dacă pe parcursul unei misiuni de asigurare apar oportunităţi

semnificative de consultanţă, trebuie să se încheie în scris o înţelegere în legătură

cu obiectivele, aria de aplicabilitate, responsabilităţile fiecărei părţi şi alte aşteptări,

iar rezultatele misiunii de consultanţă trebuie să fie comunicate în conformitate cu

standardele de consultanţă.

2220.C1 – Atunci când efectuează o misiune de consultanţă, auditorii interni

trebuie să se asigure că aria de aplicabilitate a misiunii permite îndeplinirea

obiectivelor convenite. Dacă, în cursul misiunii, auditorii interni manifestă rezerve

privind aria de aplicabilitate, aceste rezerve trebuie discutate cu clientul pentru

a decide dacă misiunea poate fi continuată.

2230 – Resurse alocate misiunii

Auditorii interni trebuie să stabilească resursele adecvate atingerii obiectivelor

misiunii. Selectarea personalului din cadrul departamentului de audit intern

trebuie să se bazeze pe o evaluare a naturii şi complexităţii fiecărei misiuni, a

constrângerilor de timp şi a resurselor disponibile.

2240 – Programul de lucru al misiunii

Auditorii interni trebuie să elaboreze un program de lucru care să permită îndeplinirea

obiectivelor misiunii. Acest program de lucru trebuie să fie îndosariat.


12 | P a g e

2240.A1 – Prin programul de lucru trebuie să se stabilească procedurile ce

urmează a fi aplicate pentru a identifica, analiza, evalua şi înregistra informaţiile pe

durata misiunii. Programul de lucru trebuie să fie aprobat înainte de implementarea

sa şi orice ajustări trebuie să fie aprobate cu promptitudine.

2240.C1 – Programul de lucru al unei misiuni de consultanţă poate varia din punct

de vedere al formei şi al conţinutului, în funcţie de natura misiunii.

2300 – Realizarea misiunii

Auditorii interni trebuie să identifice, analizeze, evalueze şi să documenteze informaţii

suficiente pentru atingerea obiectivelor misiunii.

2310 – Identificarea informaţiilor

Auditorii interni trebuie să identifice informaţii suficiente, fiabile, relevante şi utile

pentru atingerea obiectivelor misiunii.

2320 – Analiza şi evaluarea

Auditorii interni trebuie să-şi bazeze concluziile şi rezultatele misiunii lor pe

analize şi evaluări corespunzătoare.

2330 – Documentarea informaţiilor

Auditorii interni trebuie să documenteze informaţiile relevante în vederea

justificării concluziilor şi rezultatelor misiunii.

2330.A1 – Conducătorul activităţii de audit intern trebuie să controleze

accesul la dosarele misiunii. Acesta trebuie să obţină acordul conducerii superioare

executive şi/sau consultanţă juridică, dacă este cazul, înainte de a transmite aceste

dosare unor terţi.

2330.A2 – Conducătorul activităţii de audit intern trebuie să stabilească reguli

privind păstrarea dosarelor misiunii. Aceste reguli trebuie să fie în

conformitate cu regulamentele organizaţiei, precum şi cu alte cerinţe legale sau

reglementări adecvate.

2330.C1 – Conducătorul activităţii de audit intern trebuie să stabilească reguli

privind atât custodia şi păstrarea dosarelor misiunii, cât şi transmiterea lor către

terţi interni sau externi. Aceste reguli trebuie să fie în conformitate cu

regulamentele entităţii, precum şi cu alte cerinţe legale sau reglementări adecvate.

2340 – Supervizarea misiunii

Misiunile trebuie să facă obiectul unei supervizări corespunzătoare în vederea

asigurării îndeplinirii obiectivelor, asigurării calităţii şi dezvoltării profesionale a

personalului.


13 | P a g e

2400 – Comunicarea rezultatelor

Auditorii interni trebuie să comunice rezultatele misiunii.

2410 – Criterii în ceea ce priveşte comunicarea

Comunicarea trebuie să includă obiectivele şi aria de aplicabilitate ale misiunii,

precum şi concluziile, recomandările şi planurile de acţiune aplicabile.

2410.A1 – Comunicarea finală a rezultatelor trebuie să conţină, acolo unde este

cazul, opinia de ansamblu a auditorului intern şi/sau concluziile acestuia.

2410.A2 – Auditorii interni sunt încurajaţi să atingă performanţe satisfăcătoare

în comunicările privind misiunile.

2410.A3 – Atunci când rezultatele misiunii sunt puse la dispoziţia unor părţi din

afara entităţii, comunicarea trebuie să includă restricţii în ceea ce priveşte

distribuirea şi utilizarea acestor rezultate.

2410.C1 – Comunicarea privind evoluţia şi rezultatele unei misiuni de consultanţă

vor varia ca formă şi conţinut în funcţie de natura misiunii şi de necesităţile

clientului.

2420 - Calitatea comunicării

Comunicarea trebuie să fie corectă, obiectivă, clară, concisă, constructivă,

completă şi realizată în timp util.

2421 – Erori şi omisiuni

Dacă o comunicare finală conţine o eroare sau o omisiune semnificativă, conducătorul

activităţii de audit intern trebuie să comunice informaţiile corectate tuturor părţilor care

au primit versiunea iniţială.

2430 – Comunicarea neconformităţii cu Standardele

Atunci când nerespectarea Standardelor are un impact asupra unei anumite

misiuni, comunicarea rezultatelor trebuie să cuprindă:

• Standardul(ele) care nu a(u) fost respectat(e) în totalitate;

• Motivul sau motivele neconformităţii; şi

• Efectul neconformităţii asupra misiunii.

2440 – Diseminarea rezultatelor

Conducătorul activităţii de audit intern trebuie să comunice rezultatele părţilor

îndreptăţite.

2440.A1 – Conducătorul activităţii de audit intern este responsabil cu comunicarea

rezultatelor finale părţilor care pot acorda atenţia cuvenită acestora.

2440.A2 – Dacă nu este mandatat în baza unor cerinţe legale, statutare sau de

reglementare, înaintea comunicării rezultatelor misiunii către părţi din afara

organizaţiei, conducătorul activităţii de audit intern trebuie:


14 | P a g e

• să evalueze riscul potenţial pentru entitate;

• să se consulte cu conducerea superioară executivă şi/sau cu

consilierul juridic, dacă este cazul;

• Să controleze diseminarea rezultatelor prin restricţionarea folosirii

acestora.

2440.C1 – Conducătorul activităţii de audit intern este responsabil pentru

comunicarea către clienţi a rezultatelor finale ale misiunilor de consultanţă.

2440.C2 – Pe parcursul misiunilor de consultanţă, pot fi identificate aspecte

referitoare la managementul riscurilor, la control şi la guvernanţă. Ori de câte ori

aceste aspecte sunt semnificative pentru entitate, ele trebuie să fie comunicate

conducerii executive şi Consiliului.

2500 – Monitorizarea evoluţiei

Conducătorul activităţii de audit intern trebuie să stabilească şi să menţină un sistem care să

permită monitorizarea acţiunilor întreprinse ca urmare a dispoziţiilor managementului în baza

rezultatelor comunicate.

2500.A1 – Responsabilul pentru activitatea de audit intern trebuie să stabilească un

proces de urmărire a implementării rezultatelor a care să permită monitorizarea şi

garantarea faptului că măsurile luate de conducerea au fost implementate în mod

eficient sau că managementul a acceptat să-şi asume riscul de a nu întreprinde

nici o măsură.

2500.C1 – Activitatea de audit intern trebuie să monitorizeze implementarea

dispoziţiilor managementului în baza rezultatelor misiunii de consultanţă în limitele în

care acestea au fost convenite cu clientul.

2600 – Soluţionarea acceptării riscurilor de către management

Atunci când conducătorul activităţii de audit intern consideră că managementul a acceptat un

nivel al riscului rezidual care poate fi inacceptabil pentru entitate, conducătorul

activităţii de audit intern trebuie să discute acest aspect împreună cu conducerea executivă la cel mai înalt nivel. Dacă nu pot lua o decizie cu privire la riscul rezidual,

conducătorul activităţii de audit intern şi conducerea executivă trebuie să se adreseze

Consiliului pentru soluţionarea acestei situaţii.

1.2 Standarde Internationale de audit (ISA) cu impact asupra asupra auditului

intern

1.2.1 ISA 260 – Comunicarea cu persoanele insarcinate cu guvernanta

Definiţii – conform ISA 260

(a) Persoanele însărcinate cu guvernanţa – Persoana(ele) sau organizaţia(ile) (de exemplu,

un administrator) ce au responsabilitatea de a supraveghea strategia entităţii şi


15 | P a g e

obligaţiile legate de răspunderea entităţii. Aceasta include supravegherea procesului de

raportare financiară. Pentru unele entităţi din cadrul anumitor jurisdicţii, în rândul

persoanelor însărcinate cu guvernanţa pot fi incluşi membri ai personalului de

conducere, de exemplu, membri executivi ai unui consiliu de guvernanţă al unei entităţi

din sectorul public sau privat, sau un proprietar-manager.

(b) Conducere – Persoana(ele) cu responsabilitate executivă pentru conducerea

operaţiunilor entităţii. Pentru unele entităţi aflate în anumite jurisdicţii, conducerea

include unele sau toate persoanele

Obiectivele si rolul standardului

Furnizarea de informatii necesare celor insarcinati cu guvernanta de a putea lua decizii si

hotarari din timp cu scopul de a se implica in procesul operational la nivelul companie. Totodata

ajuta si la comunicarea eficienta dintre:

(a) Auditorul şi persoanele însărcinate cu guvernanţa atât în înţelegerea aspectelor legate

de audit în contextul dat, cât şi în dezvoltarea unei relaţii de lucru constructive.

Această relaţie se dezvoltă păstrând independenţa şi obiectivitatea auditorului;

(b) Auditorul în obţinerea informaţiilor relevante pentru audit din partea persoanelor

însărcinate cu guvernanţa.

1.2.2 ISA 265 Comunicarea deficientelor in controlul intern catre persoanele insarcinate cu

guvernanta si catre conducere

Definiţii

(a) Deficienţa în controlul intern – Aceasta există atunci când:

(i) Un control este proiectat, implementat sau operat astfel încât nu poate preveni,

sau detecta şi corecta denaturările situaţiilor financiare la momentul oportun;

sau

(ii) Lipseşte un control necesar pentru a preveni, sau detecta şi corecta,

denaturările din situaţiile financiare la momentul oportun.

(b) Deficienţa semnificativă in controlul intern – O deficienţă sau o combinaţie între

deficienţele controlului intern care, potrivit raţionamentului profesional al

auditorului, este suficient de important pentru a atrage atenţia persoanelor însărcinate

cu guvernanţa.


Obiectivul auditorului este de comunica în mod corespunzător către persoanele

însărcinate cu guvernanţa şi către conducere deficienţele din controlul intern pe care auditorul le-

a identificat pe parcursul auditului şi care, potrivit raţionamentului profesional al auditorului,

sunt suficient de importante pentru a atrage atenţia.


16 | P a g e

1.2.3 ISA 610 Utilizarea activitatii auditorilor interni

Definiţii

(a) Funcţie de audit intern – activitate de evaluare instituită de entitate sau furnizată sub

forma unui serviciu entităţii. Funcţiile sale includ, printre altele, şi examinarea,

evaluarea şi monitorizarea adecvării şi eficacităţii controlului intern.

(b) Auditori interni – indivizi care desfăşoară activităţi specifice funcţiei de audit intern.

Auditorii interni pot face parte dintr-un departament de audit intern sau dintr-o

funcţiune echivalentă.


Obiectivele funcţiei de audit intern sunt stabilite de conducere şi, acolo unde este cazul, de

persoanele însărcinate cu guvernanţa. Deşi obiectivele funcţiei de audit intern şi cele ale

auditorului extern sunt diferite, este posibil să existe similitudini între maniera în care

funcţia de audit intern şi auditorul extern îşi ating obiectivele.

Deşi funcţia de audit intern presupune autonomie şi obiectivitate, o asemenea funcţie nu

este independentă de entitate aşa cum se cere pentru auditorul extern atunci când se

exprimă o opinie cu privire la situaţiile financiare. Auditorul extern este singurul

răspunzător pentru opinia de audit exprimată, iar această responsabilitate nu este redusă

prin utilizarea activităţii auditorilor interni de către auditorul extern.

Atunci când entitatea are o funcţie de audit intern pe care auditorul extern o consideră

relevantă pentru audit, obiectivele auditorului extern sunt:

(a) Să stabilească dacă şi în ce măsură va utiliza activitatea specifică a auditorilor interni;

şi

(b) În cazul în care va utiliza activitatea specifică a auditorilor interni, să stabilească dacă

activitatea este adecvată pentru scopurile auditului.

Obiectivele funcţiei de audit intern conform ISA 610 Obiectivele funcţiei de audit intern variază pe scara largă şi depind de mărimea şi

structura entităţii şi de cerinţele conducerii şi, acolo unde este aplicabil, de cerinţele persoanelor

însărcinate cu guvernanţa. Activităţile funcţiei de audit intern pot include unul sau mai multe din

aspectele următoare:

Monitorizarea controlului intern. Funcţia de audit intern poate primi sarcina specifică

de a revizui controalele, de a monitoriza operaţiunile şi de a recomanda îmbunătăţiri.

Examinarea informaţiilor financiare şi operaţionale. Funcţia de audit intern poate fi

desemnată să revizuiască modalităţile utilizate pentru identificarea, evaluarea, clasificarea şi

raportarea informaţiei financiare şi operaţională, şi să realizeze investigaţii specifice asupra unor

elemente individuale, incluzând teste de detaliu ale tranzacţiilor, soldurilor şi procedurilor.

Revizuirea activităţilor operaţionale. Funcţia de audit intern poate fi desemnată să

examineze economia, eficienţa şi eficacitatea activităţilor operaţionale, inclusiv a activităţilor

non-financiare ale entităţii.


17 | P a g e

Revizuirea conformităţii cu legile şi reglementările. Funcţia de audit intern poate fi

desemnată să examineze conformitatea cu legile, reglementările şi alte cerinţe externe, şi cu

politicile conducerii, cu directivele şi cu alte cerinţe interne.

Managementul riscului. Funcţia de audit intern poate asista organizaţia prin

identificarea şi evaluarea expunerilor semnificative la risc şi prin contribuirea la îmbunătăţirea

managementului riscului şi a sistemelor de control.

Guvernanţă. Funcţia de audit intern poate evalua procesul de guvernanţă în ceea ce

priveşte îndeplinirea obiectivelor sale cu privire la etică şi valori, performanţă şi răspundere, prin

comunicarea riscului şi a informaţiei de control către ariile corespunzătoare organizaţiei şi a

eficienţei comunicării între persoanele însărcinate cu guvernanţa, auditorii interni şi externi, şi

conducere.

2. Reglementarea Auditului Intern la nivel de Romania (Legislatie si

reglementari in domeniu)

Principalele reglementari si mai ales influenta acestora asupra organizarii si

realizarii auditului intern se pot sintetiza dupa cum urmeaza:

2.1 Principalele regelementari legale

Legea 31/1990

OUG nr. 75/1999 si 90/2008

OMFP 3055/2009

Normele de Audit intern

2.2 Principalele reglementari in domeniul auditului intern public

Legea 672/2002

Ordinele si normele complementare emise de Ministerul Finantelor Publice si CAFR;

2.3 Principalele reglementari in domeniul institutii de credit

Normele BNR 17/2003 privind organizarea şi controlul intern al activităţii instituţiilor de

credit şi administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea

activităţii de audit intern a instituţiilor de credit, modificata de Regulamentul 18/2009

privind cadrul de administrare a activităţii instituţiilor de credit, procesul intern de

evaluare a adecvării capitalului la riscuri şi condiţiile de externalizare a activităţilor

acestora

Norma 18/2006 emis de BNR privind organizarea şi controlul intern, administrarea

riscurilor semnificative, precum şi desfăşurarea activităţii de audit intern a instituţiilor

financiare nebancare, modificata de Regulamentul 20/2009 privind instituţiile

financiare nebancare emis de BNR


18 | P a g e

2.4 Principalele reglementari in domeniul asigurarilor

Ordinul 18/2009 pentru aprobarea Normelor privind principiile de organizare a unui

sistem de control intern şi management al riscurilor, precum şi organizarea şi

desfăşurarea activităţii de audit intern la asigurători/reasigurători

2.2 Procedura de lucru privind derularea unei misiuni de audit intern – etape in

derularea unei misiuni – conform Norma 88/2007 emis de CAFR. 2.5 Practica de audit intern

In cadrul practicii de audit intern desfasurarea misiunilor de audit se realizeaza tinand cont

de urmatorii factori importanti:

a) Coordonatorul departamentului de audit intern trebuie sa fie auditor financiar conform

OUG 75/1999;

b) Cerintele legale explicit prezentate de reglementarile care vizeaza zona de activitate a

companiei si stabilirea/indentificarea responsabilitatilor functiei de audit intern si

reglementarea acesteia cu celelalte departamente/functii din cadrul entitatii;

c) Cerintele aferente Standardelor de audit intern si codului deontologic;

d) Experienta coordonatorului departamentului de audit intern din cadrul entitatii si

credibilitatea functiei de audit intern de la nivelul companiei

e) Manualul de proceduri de audit intern si metodologia de audit intern folosite in derularea

misunilor.

Indiferent de pasii de lucru sau etapele de realizare ale unui misiuni de audit intern, se pot

regasi/regrupa urmatoarele etape care sunt prezentate de CAFR prin Norma 88/2007 privind

auditul intern: (Anexa 2 din Norma 88/2007)

1. Procedura planul de audit intern

2. Procedura ordinul de misiune

3. Procedura ordinul de serviciu

4. Procedura notificarea privind declansarea misiunii de audit intern

5. Procedura colectarea si prelucrarea informatiilor

6. Procedura identificarea si analiza riscurilor

7. Procedura elaborarea programului misiunii de audit

8. Procedura sedinta de deschidere

9. Procedura colectarea probelor de audit


19 | P a g e

10. Procedura revizuirea documentelor de lucru

11. Procedura elaborarea proiectului de raport de audit intern

12. Procedura transmiterea proiectului de raport de audit intern

13. Procedura reuniunea de conciliere

14. Procedura monitorizarea misiunii

15. Procedura difuzarea raportului de audit intern

16. Procedura monitorizarea implementarii recomandarilor

3.Managementul Riscurilor

3.1 Conceptul de managementul al riscurilor

Managementul riscului este un concept intalnit la nivelul oricarei organizatii sub diverse

forme de evaluare si cuantificare.

In desfasurarea activitatii oricarei companii evaluarea si cautarea stabilitatii si securitatii

economice au impus o multitudine de metode si tehnici de evaluare a riscurilor potentiale si de a

lua masuri preventive pentru a se feri de efectele negative ale acestora. Totodata, in cazul

efectelor negative produse, s-au creat o serie de masuri corective pentru a minimiza efectele

negative produse.

Principalele etape intr-o abordare de evaluare a managementului riscurilor ar presupune:

- identificarea riscurilor;

- evaluarea riscurilor;

- controlarea riscurilor si aparitiei unor evenimente nedorite.

Cercetatorii Douglas şi Wildovsky, mergand pe premisa ca riscurile sunt independente

societatii si indivizilor au stabilit un set de criterii in ceea ce priveste analiza riscurilor,

atribuindu-le acestora circumstante partiale de hazard cuantificabile.

Managementul riscului in abordarea prezenta are la baza trei premise:

- orice activitate cunoscuta sau necunoscuta presupune un anumit grad de risc;

- asocierea dintre risc si hazard nu este intotdeauna corecta;

- interesul, convenienta sau urgenta nu pot fi disociate de risc, chiar si in cazul in care

actiunea declansata de acestea a fost un succes.

Riscul diferă de la entitate la entitate. In acest sens deducem si faptul ca strategia de

reducere a impactului acestui risc difera si ea.

Exemple: 1. Sistemul de e-ticket pentru companie de transport persoane (aerian sau terestru -

tren) sistemul de furnizare a biletelor si disponibilitatea soluţiei este cheia

continuităţii afacerii, acest lucru ducând la soluţii de asigurare a continuităţii

afacerii. - Detaliere


20 | P a g e

2. Un producător de automobile, confidenţialitatea planurilor şi proiectelor

reprezintă cheia succesului în faţa competiţiei, acest lucru ducând la politici şi

soluţii de controlul accesului.- Detaliere

3. Companie de servicii medicale, cheia succesului pentru aceasta are la baza

serviciile furnizate clientilor si gradul de multumire/satisfacere a acestora dar si

costurile serviciilor prestate - Detaliere

Cea mai simpla modalitate de a evalua riscurile la nivelui unei companii/organizatii este

aceea de a alcatui o lista cat mai cuprinzatoare cu scenarii şi câteva formule matematice stabilite

între mizele de joc, vulnerabilităţi şi mijloace de reducere a riscului, furnizate de măsurile de

securitate stabilite în prealabil (teoria jocului, teorii probabilistice).

De asemenea, cum se poate construi o protecţie a securităţii care să acopere cele mai

importante / costisitoare scenarii într-o manieră foarte eficientă prin stabilirea unor ponderi celor

mai importante scenarii şi măsuri de siguranţă care prin definiţie ar trebui să acopere mai multe

scenarii.

3.2 Evaluarea riscurilor si cuantificarea acestora intr-un model de evaluare

In evaluarea riscurilor aferente unie comapnii/entitati trebuie identificati factorii de risc

general, specifici si de control.

Astfel, schematizand influenta acestor factori si influenta asupra managementului riscurilor

se poate prezenta astfel:

Fig. 1 Factori ce influenteza managementul riscului (sursa: Securitatea proceselor si calitatea vietii,

managementul riscului - Conf.univ.dr. Gheorghe Ilie)

O alta metoda de evaluare a riscurilor porneste tot de la o analiza, insa nu una a

scenariilor ci una de tipul cauza efect prin care rezulta o diagrama, numita si “os de peste”,

inventata de cercetatorul japonez Kaoru Ishikawa, ilustreaza relatiile existente intre factorii care

pot influenta abilitatea unei organizatii de a administra riscurile.

Aceasta analiza este una mult mai analitica si porneste de la Procese, Persoane,

Infrastructura si Implementare dupa cum este prezentata mai jos:


21 | P a g e

(Sursa: Mazareanu Valentin, P

2I

2 si diagrams os de peste in managementul riscurilor,

www.managementul-riscurilor.ro, 2009)

3.3 Auditul intern si managementul riscurilor

Preluand diferite modele de activitati s-au intreprins o serie de pasi in procesul de evaluare

si cuantificare a managementului riscurilor si mai departe influenta acestora asupra preocesului

de planificare si realizare a auditului intern. In acest sens un rol important l-au avut Banca

Nationala a Romaniei, Comisia de Supraveghere a Asigurarilor, dar si Camera Auditorilor

Financiari din Romania care prin diverse norme/ordine emise au impus abordarea auditului

intern pornind de la manageemntul riscurilor la nivelul companiei si au identificat/stabilit functia

de audit intern in cadrul organizarii entitatii. (A se vedea si discuta pe marginea principalelor

reglementari emise de BNR si CSA – ca si exemple – prezentate mai sus).


22 | P a g e

4.Exemple de calcul privind managementul riscurilor

Exemplul privind evaluarea riscurilor la nivelul unei companii in vederea utilizari acestora

de catre auditul intern

SC TRAINING SA

DOMENIU DE ACTIVITATE: Cursuri de pregatire profesionala si plasare forta de munca

SCOPUL EVALUARII: Evaluarea si cuantificarea riscurilor in vederea planificarii si realizarii

Auditului intern

PASUL 1 Stabilirea principalilor factori de risc generali asupra desfasurarii activitatii

firmei si ponderarea acestora cu influenta directa in cazul companiei TRAINING SA

Nr. Crt

RISC EVALUAT CONFORM MATRICE

INFLUENTA RISCULUI IN ANSAMBLUL

SISTEMULUI (%) EXPLICAREA PONDERII FACTORILOR DE RISC

1 Risc privind modelul de finantare activitate 4

Nu exista credite contractate si nici imprumuturi de la alte persoane/terti

2 Risc de organizare si relationare la nivel de companie 5

Domeniul de activitate al firmei impune o organizare interna buna

3

Risc privind sistemului informatic si modelul de realizare a acestuia si dezvoltare 5

Sistemul informatic are la baza ultimele programe utilizate in domeniu

4 Risc determinat de externalizarea serviciilor de la nivelul companiei 5

Nu exista polita de externalizare a serviciilor la nivel de firma, exceptie sunt doar consultantii sau cooptarea de noi traineri.

5

Risc privind construirea/introducerea procedurilor de lucru, interoperabilitatea dintre acestea si stabilitatea in timp 6

Adaptarea procedurilor de lucru la serviciile furnizate si cerute de piata

6 Risc financiar-contabil 6

Departamentul este organizat bine dar sunt o serie de restrictii/limitari ca urmare a teritorialitatii - prestarii de servicii si in afara ariei sediului central

7 Risc asociat activitatii de consultanta/consiliere 6

Utilizarea de consultanti cu experienta dar si a unora noi in functie de cererea din piata care implica si cooptarea de noi traineri

8 Risc asociat activitatii de investitii, dezvoltare, inovare 7

Modificarile legislative si impreuna cu cerintele din piata necesita adaptarea si promovarea de cursuri permanet

9 Risc de control si mediul de control 7

Nu au fost inca implementate procedurile de control propuse la nivel de companie. Singura procedura vizeaza in principal gradul de satisfacere a clientului pentru cursuri si plasarea personalului


23 | P a g e

10 Risc privind asigurarea calitatii privind serviciile/produsele realizate 7

Prestatia trainerilor si multumirea companiilor a caror instruire/pregatire se realizeaza sunt permanent urmarite si mai ales tinute sub observatie, fiind insa influentate in mod direct de pret.

11

Risc de management - implicare, asumare si modificare/revizuire politici companie 8

Managementul (sunt 2 persoane pentru aceasta pozitie ) desi este conectat la piata si modificarile/sensibilitatea cererii, totusi deciziile sunt luate cu destul de multa intarziere.

12 Risc de personal si fluctuatia acestuia - HR 8

Concurenta din piata serviciilor determina anumite fluctuatii de personal si ma ales atragerea trainerilor consacrati doar pe anumite proiecte de impact.

13

Risc juridic ca urmare a naturii activitatii companiei si modelui cum este organizata functia juridica in companie 8

Modificari permanente care impun adaptarea permanenta a ofertei si a personalului din cadrul firmei

14

Risc privind domeniul de activitate in care isi desfasoara compania activitatea 9

Compania isi desfasora activitatea intr-o zona de piata cu un mediu concurential puternic; totodata ea este nou infiintata si nu are inca consacrare/renume in piata serviciilor din aceasta categorie

15

Risc de management si stabilirea atributiilor acestora de catre Consiliul de Administratie 9

Nu exista clar o delimitare la nivel de management, fiind 2 persoane stabilite de CA care au cam aceleasi atributii/obligatii in organizarea procesului de la nivelul companiei.

TOTAL 100

PASUL 2 Stabilirea unei evaluari a riscurilor identificate care pot influenta direct

activitatea companiei;

NR.CRT NIVELUL DE RISC

DETALIERE PRIVIND INFLUENTA

RISCULUI ASUPRA PROCESULUI PUNCTAJ

1 Nivel foarte scazut Influenta este minima 1

2 Nivel scazut Pot exista consecinte asupra sistemului 2

3 Nivel mediu

Exista consecinte detectate asupra sistemului/procesului 3

4 Nivel ridicat

Consecintele detectate asupra sistemului sunt importante 4

5 Nivel foarte ridicat

Consecintele detectate asupra sistemului sunt maxime 5


24 | P a g e

PASUL 3 Evaluarea riscurilor la nivelul firmei si utilizarea acestora in cadrul auditului

intern ulterior.

Nr crt

RISC EVALUAT CONFORM MATRICE - DESCRESCATOR

INFLUENTA RISCULUI IN ANSAMBLUL SISTEMULUI

(%)

NIVEL DE RISC ASOCIAT SI EVALUAT

CALCUL TOTAL RISC

(%)

1 Risc privind domeniul de activitate in care isi desfasoara compania activitatea 9 3.5 31.5

2 Risc de management si stabilirea atributiilor acestora de catre Consiliul de Administratie 9 2.5 22.5

3 Risc de management - implicare, asumare si modificare/revizuire politici companie 8 3 24

4 Risc de personal si fluctuatia acestuia - HR 8 4.5 36

5

Risc juridic ca urmare a naturii activitatii companiei si modelui cum este organizata functia juridica in companie 8 4 32

6 Risc asociat activitatii de investitii, dezvoltare, inovare 7 1 7

7 Risc de control si mediul de control 7 2 14

8 Risc privind asigurarea calitatii privind serviciile/produsele realizate 7 3 21

9

Risc privind construirea/introducerea procedurilor de lucru, interoperabilitatea dintre acestea si stabilitatea in timp 6 4 24

10 Risc financiar-contabil 6 2 12

11 Risc asociat activitatii de consultanta/consiliere 6 2 12

12 Risc de organizare si relationare la nivel de companie 5 2 10

13 Risc privind sistemului informatic si modelul de realizare a acestuia si dezvoltare 5 2.4 12

14 Risc determinat de externalizarea serviciilor la nivelul companiei 5 1 5

15 Risc privind modelul de finantare a activitatii 4 4 16

TOTAL 100

Discutii pe marginea modelului, completari si limitari.


25 | P a g e

BIBLIOGRAFIE

1. Jacques Renard, Teoria si practica auditului intern, Ministerul Finanţelor Publice, 2005

2. Camelia Dobroteanu, Laurentiu Dobroteanu, Auditul Intern, Editura InfoMega, 2007

3. Morariu Ana, Suciu Ghe., Contabilitatea instituţiilor publice, Editura Universitară, 2005

4. Mazareanu Valentin, P2I2 si diagrama os de peste in managementul riscurilor,

www.managementul-riscurilor.ro, 2009

*** Legea nr. 672 / 19.12.2002

*** Norme Profesionale ale auditului intern, Camera Auditorilor Financiari din România

*** www.cafr.ro

*** www.aai.ro

*** https://na.theiia.org

*** www.bnr.ro

*** http://www.csa-isc.ro/

http://www.cafr.ro/

http://www.aai.ro/

https://na.theiia.org/

http://www.bnr.ro/

http://www.csa-isc.ro/

Date post:	06-Aug-2015
Category:	Documents
Upload:	brian-davis
View:	186 times
Download:	7 times

audit intern

Documents