Evaluarea Riscului de Audit Si a Controlului Interndocx

=== Evaluarea riscului de audit si a controlului intern ===

ACADEMIA DE STUDII ECONOMICE

CONTABILITATE ȘI INFORMATICĂ DE GESTIUNE

LUCRARE DE LICENȚĂ

EVALUAREA RISCULUI DE AUDIT SI A CONTROLULUI INTERN

COORDONATOR SUSȚINĂTOR

Prof:

2016

CUPRINS

INTRODUCERE

CAP. 1. RISCURILE DE AUDIT

1.1. DEFINITIA RISCULUI

1.2. TIPURI DE RISCURI

1.3. TEHNICI DE DETERMINARE A RISCULUI IN AUDIT

CAP. 2. SISTEMUL DE CONTROL INTERN

2.1. CONCEPTUL DE CONTROL INTERN

2.2. PRINCIPII ALE CONTROLULUI INTERN

2.3. TIPURI DE CONTROL INTERN

2.4. MODELE DE CONTROL INTERN

CAP. 3. AUDITUL INTERN

3.1. CONCEPTUL DE AUDIT INTERN

3.2. TIPURI DE AUDIT INTERN

3.3. ETAPE IN REALIZAREA AUDITULUI INTERN

3.4.ABORDAREA SI EVALUAREA AUDITULUI INTERN PORNIND DE LA RISCURILE DE AUDIT SI CONTROLUL INTERN

CAP. 4. STUDIU DE CAZ

CONCLUZII

BIBLIOGRAFIE

INTRODUCERE

Evaluarea riscului de audit este efectuată în primele faze ale procesului de planificare a auditului, după colectarea tuturor informațiilor relevante referitoare la activitățile entității și sistemul de control intern ale acesteia. Pentru a evalua riscul , auditorii trebuie să efectueze o analiză a contextului în care funcționează entitatea auditată, precum și caracteristicile operațiunilor auditate prin interviuri cu conducerea entității și cunoașterea activității acesteia, obținută din rapoartele auditurilor precedente. Riscul și incertitudinea au un impact important asupra unei persoane sau organizații, prin faptul că ele generează un cost, cunoscut sub denumirea de costul riscului. Este general acceptat faptul că riscul dă naștere unor costuri specifice,care într-o lume cu certitudine absolută n-ar exista.

Entitățile urmăresc strategii prin care să își realizeze obiectivele și în funcție de natura operațiunilor și a sectorului de activitate, de mediul de reglementare în care funcționează și de dimensiunea și complexitatea for, se confruntă cu o varietate de riscuri ale activității.

Conducerea este responsabilă cu identificarea unor astfel de riscuri și cu tratarea lor. Cu toate acestea, nu toate riscurile sunt asociate cu întocmirea situațiilor financiare. Auditorul este preocupat, în cele din urmă, doar de acele riscuri care pot avea un efect asupra situațiilor financiare.

Auditorul obține și evaluează probele de audit pentru a obține o certificare rezonabilă cu privire la situațiile financiare, mai exact dacă acestea oferă o imagine fidelă (sau prezintă în mod fidel, sub toate aspectele semnificative) în conformitate cu cadrul aplicabil de raportare financiară.

Conceptul de certificare rezonabilă admite că există un risc că opinia de audit să fie necorespunzătoare. Riscul că auditorul să exprime o opinie de audit necorespunzătoare atunci când situațiile financiare sunt denaturate în mod semnificativ este cunoscut că „risc de audit".

Auditorul trebuie să planifice și să desfășoare angajamentul de audit astfel încât să reducă riscul de audit până la un nivel acceptabil de scăzut care să fie consecvent cu obiectivul unui audit.

Auditorul reduce riscul de audit prin crearea și efectuarea unor proceduri de audit prin care să obțină probe de audit suficiente și adecvate, pentru a fi capabil să contureze concluzii rezonabile pe care să fundamenteze o opinie de audit. Certificarea rezonabilă este obținută atunci când auditorul a redus riscul de audit la un nivel acceptabil de scăzut.

CAP. 1. RISCURILE DE AUDIT

1.1. DEFINITIA RISCULUI

Riscul de audit este o funcție a riscului unor denaturări semnificative în situațiile financiare și a riscului că auditorul să nu detecteze o astfel de denaturare.

Auditorul desfășoară proceduri de audit pentru a evalua riscul unor denaturări semnificative și caută să limiteze riscul de nedetectare prin desfășurarea unor proceduri de audit suplimentare. Procesul de audit presupune exercitarea raționamentului profesional în pregătirea abordării de audit, prin concentrarea atenției asupra a ceea ce nu ar putea ieși bine (mai exact, care sunt posibilele denaturări care pot apărea) la nivelul aserțiunilor și în desfășurarea procedurilor de audit că răspuns la riscurile evaluate, în scopul obținerii de probe de audit suficiente și adecvate.

Auditorul este preocupat de denaturările semnificative și nu este responsabil cu detectarea denaturărilor care nu sunt semnificative pentru situațiile financiare considerate că întreg. Auditorul este cel care consideră dacă efectul denaturărilor necorectate identificate, atât individual cât și cumulat, este semnificativ pentru situațiile financiare luate că întreg.

Auditorul ia în considerare riscul unor denaturări semnificative la nivelul situațiilor financiare generale, care se referă la riscurile unor denaturări semnificative care sunt legate în totalitate de situațiile financiare luate că întreg și afectează în mod potențial multe aserțiuni.

Riscurile de această natură au legătură adesea cu mediul de control al entității și nu sunt riscuri care să se poată identifica neapărat cu aserțiuni specifice la nivelul claselor de tranzacții, al soldului unui cont sau al prezentărilor de informații. Mai degrabă, acest risc general reprezintă circumstanțe care cresc riscul posibilității existenței unor denaturări semnificative în orice număr de aserțiuni diferite, de exemplu, prin ignorarea de către conducere a controalelor interne. Astfel de riscuri pot avea o relevanță specială pentru considerarea de către auditor a riscului unor denaturări semnificative generate din fraudă.

Răspunsul auditorului la riscul evaluat al unor denaturări semnificative la nivelul situațiilor financiare generale include: luarea în considerare a cunoștințelor, aptitudinilor și capacității personalului însărcinat cu responsabilități semnificative în cadrul angajamentului, inclusiv necesitatea implicării experților; nivelurile corespunzătoare de supraveghere; și dacă există evenimente sau condiții care pot pune la îndoială, în mod semnificativ, capacitatea entității de a funcționa pe baza principiului continuității activității.

1.2. TIPURI DE RISCURI

Într-o fază preliminară, pe baza procedurilor și testelor pe care le consideră necesare, auditorul determină și analizează riscurile care pot influența formularea unei opinii necorespunzătoare în audit. Analiza este importantă deoarece în funcție de riscurile auditului se aleg procedurile de lucru, se stabilește întinderea procedurilor, a testelor și sondajelor, precum și modul de aplicare a acestora.

Din punct de vedere al posibilităților de a se produce, există riscuri potențiale și riscuri posibile.

riscuri potentiale – sunt cele mai succeptibile de se produce dacă nici un control nu se exercită pentru a fi prevenite, descoperite și corectate. Aceste riscuri sunt comune tuturor entităților;

riscuri posibile – reprezintă acea parte a riscurilor potențiale pentru care conducerea nu a întreprins măsuri eficiente pentru a le elimina. Ca urmare exista o mare posibilitate ca erorile să se producă fără a fi detectate.

Riscul de audit (R.A.) reprezintă riscul pe care auditorul îl atribuie unei opinii de audit neadecvate, atunci când situațiile financiare conțin informații eronate.

Nivelul de siguranță constituie încrederea obținută prin aplicarea procedurilor de audit, în sensul că erorile cumulate din situațiile financiare nu vor fi mai mari decât nivelul materialității. În general este agreat un nivel acceptabil al riscului de audit existent în timpul efectuării auditului, care se referă la măsură în care auditorul este dispus să accepte că situațiile financiare sunt eronate, după efectuarea auditului. Dacă auditorul dorește un nivel al riscului de audit scăzut, această înseamnă că doreste să fie cât mai sigur că situațiile financiare nu conțin erori materiale. Pentru a furniza un rezultat privind nivelul riscurilor este necesară, mai întâi, identificarea lor.

Standardele Internaționale de Audit au în vedere trei categorii principale de riscuri: riscul inerent, riscul de control și riscul de nedetectare.

Riscul inerent reprezintă susceptibilitatea că soldul unui cont sau a unei categorii de tranzacții să conțină informații eronate ce ar putea fi semnificative individual sau atunci când sunt cumulate cu informații eronate din alte solduri sau tranzacții, presupunând că nu au existat controale interne adiacente. La acest nivel se face abstractie de activitatea de control și de capacitatea acesteia de a detecta neregulile. Sunt riscuri la care este supusă întreprinderea prin activitatea și demersurile sale. În dezvoltarea generală a unui plan de audit, auditorul trebuie să evalueze risculinerent. Riscul inerent este măsura în care auditorii evaluează probabilitatea ca unele situatii financiare eronate să se producă în practică, acestea fiind considerate slăbiciuni ale controalelor interne. Dacă auditorul ajunge la concluzia că există o probabilitate ridicata ca erorile din situațiile financiare să nu fie depistate de controalele interne, înseamnă că el apreciază un risc inerent ridicat.

Când evaluează riscul inerent auditorul va lua în considerare următorii factori :

rezultatele auditurilor precedente;

angajamentele inițiale, comparativ cu rezultatele;

tranzacțiile neobișnuite sau complexe;

raționamentul profesional avut în vedere la stabilirea soldurilor conturilor și la înregistrarea tranzacțiilor;

activele care sunt susceptibile la delapidări;

formarea populației și dimensiunea eșantionului;

schimbările în cadrul conducerii și reputația acesteia;

natura activității entităților, incluzând natură producției realizate și a serviciilor prestate de aceasta;

natura sistemului de procesare a datelor și gradul de utilizare al tehnicilor moderne pentru comunicare.

Riscul inerent poate fi general sau individual ( la nivelul soldurilor).

Riscul inerent general presupune:

Integritatea conducerii;

Experiența și cunoștințele conducerii, precum și schimbările survenite la nivelul conducerii pe parcursul perioadei, de exemplu, lipsa de experientă a managerilor poate afecta întocmirea situațiilor financiare ale entității;

Presiuni neobișnuite exercitate asupra conducerii, de exemplu, circumstanțe ce ar putea predispune conducerea la denaturarea situațiilor financiare, cum ar fi experiență eșecului a numeroase entități ce-ți desfășoară activitatea în sectorul de activitate respectiv sau o entitate ce nu deține suficient capital pentru continuarea activității;

Natura activității entității, de exemplu, potențialul uzurii tehnologice a produselor și serviciilor sale, complexitatea structurii capitalului său, importantă părților afiliate, localizarea și răspândirea geografică a facilităților de producție ale entității;

Factori care afectează sectorul de activitate în care operează entitatea, de exemplu, condițiile economice și concurență, așa cum au fost identificate de tendințele și indicatorii financiari, precum și de schimbările tehnologice, cererea de consum și practici contabile comune sectorului de activitate respectiv.

Riscul inerent individual presupune:

Conturi ale situațiilor financiare care este probabil a fi susceptibile de denaturare, de exemplu, conturi care necesită ajustări în perioadele anterioare sau care implică un grad ridicat de estimare;

Complexitatea tranzacțiilor principale sau a altor evenimente care ar putea necesita utilizarea serviciilor unui expert;

Gradul raționamentului profesional implicat în determinarea soldului contului;

Susceptibilitatea activelor la pierdere sau delapidare, de exemplu, active considerate foarte necesare sau ca având un grad ridicat de circulație, cum ar fi numerarul;

Finalizarea unei tranzacții neobișnuite sau complexe, în special la sfârșitul exercitiului sau aproape de acest moment;

Tranzacții care nu se derulează în mod obișnuit .

Riscul de control reprezintă riscul de declarare eronată, ce ar putea apărea în soldul unui cont sau într-o categorie de tranzacții și care ar putea fi semnificativă în mod individual sau cumulată cu alte informații, să nu poată fi prevenită sau detectată și corectată în timp util de sistemele contabile și de control intern. Riscurile de control reprezintă neregulile și erorile care nu sunt descoperite cu ocazia controlului.

Evaluarea riscurilor de control se face în funcție de sistemul informatic utilizat, modul de organizare și de ținere a contabilității, modul de organizare a sistemului de control, modul de organizare și aplicare a procedurilor. Riscul de control nu poate fi egal cu zero deoarece controlul intern nu poate oferi siguranță deplină privind prevenirea sau detectarea erorilor. Auditorul nu poate schimbă nivelul controlului, el îl poate influență prin recomandări privind ameliorarea, dar această influență se va manifestă doar în perioadele ulterioare auditului și numai în condițiile în care conducerea va ține cont de sugestiile făcute.

Riscul inerent și riscul de control există independent de activitatea de audit și nu pot fi controlate de auditor, dar pot fi evaluate și determina proiectarea procedurilor de fond care vor menține riscul de nedetectare la un nivel acceptabil.

Sistemul de control intern al entității auditate cuprinde două componente :

– mediul de control: variază în funcție de eficientă controalelor interne;

– procedurile de control intern.

Evaluarea riscului de control se realizează în etapa de planificare a auditului. Auditorul stabilește riscul de control prin evaluarea sistemului de control intern al entitatii auditate și prin determinarea eficacității activității auditorilor interni. Evaluarea riscului de control se face în etapa de planificare, urmând a fi confirmată prin teste de control, necesitând utilizarea raționamentului profesional al auditorului, fapt pentru care acesta poate fi caracterizat ca un proces subiectiv. Evaluarea poate fi exprimată fie în termeni cuantificabili (ex: procente), fie în termeni necuantificabili (ex: scăzut, mediu, ridicat).

Riscul de nedetectare reprezintă riscul că o procedura de fond a auditorului să nu detecteze o informație eronată ce există în soldul unui cont sau categorie de tranzacții, care ar putea fi semnificativă în mod individual, sau când este cumulată cu informații eronate din alte solduri sau categorii de conturi. Nivelul riscului de nedetectare este legat direct de procedurile de fond ale auditorului. Spre deosebire de riscul inerent și riscul de control, riscul de nedetectare poate fi controlat de auditor prin:

planificarea adecvată a auditului;

stabilirea corespunzătoare a naturii, duratei și întinderii lucrărilor;

identificarea și evaluarea performanțelor procedurilor de audit.

Riscul de nedetectare poate fi influențat de către auditor prin schimbarea naturii, perioadei de timp și extinderea testelor de fond, aplicate asupra soldului unui cont. Acesta este determinat după stabilirea a două componente ale riscului de audit: riscul inerent și riscul de control. În determinarea riscului de nedetectare, auditorul va trebui să ia în considerare, de asemenea, probabilitatea că acesta a făcut o eroare, cum ar fi neaplicarea unei proceduri de auditare sau neinterpretarea uneia din probele de audit obținute. Aceste aspecte ale riscului de nedetectare pot fi reduse (atenuate) printr-o planificare adecvată, o supervizare atentă, precum și prin respectarea standardelor de control a calității auditului.

Pentru auditorul financiar riscul este văzut prin prisma misiunii și obiectivelor de audit. Însă, identificarea și cuantificarea riscurilor de audit în cadrul planificării misiunii se află în corelație cu managementul riscurilor existent în cadrul entității. Astfel, dacă entitatea auditată are implementat un management al riscurilor dovedit a fi eficient, acesta reprezintă un reper pentru auditor în evaluarea riscurilor legate de misiune, în sensul că riscul general de audit va fi mai scăzut și astfel nivelul de asigurare oferit de auditor va fi unul ridicat.

În analiza procesului de audit, evaluarea riscului ocupă un loc deosebit de important. Riscul de audit ar putea fi definit ca riscul pe care un auditor și-l asumă de a emite o opinie de audit neadecvată în ceea ce privește situațiile financiare pe care le auditeaza. Standardele de audit rețin următoarea definiție pentru riscul de audit: riscul pe care auditorul îl atribuie unei opinii de audit neadecvate, atunci când situațiile financiare conțin informații eronate semnificative.

Din acest motiv, auditorii urmăresc în mod special, încă din momentul în care accepta misiunea de audit, dar și pe tot parcursul misiunii în sine, riscurile care pot aparea și care îi pot conduce la opinii care nu reflectă realitatea. După momentul identificării riscurilor, auditorii își stabilesc întinderea procedurilor de audit în funcție de zonele de risc.

1.3. TEHNICI DE DETERMINARE A RISCULUI IN AUDIT

Evaluarea riscurilor presupune evaluarea probabilității de materializare a riscurilor și a impactului (consecințelor) asupra obiectivelor în cazul în care acestea sevmaterializează. Un sistem coerent de evaluare a riscurilor, implementat într-o entitate, se caracterizează prin:

– existența unui proces structurat de evaluare a binomului probabilitate, impact pentru fiecare risc identificat;

– înregistrarea evaluării riscurilor într-un mod care să permită monitorizarea și identificarea ordinii de priorități în tratarea riscurilor;

– diferențierea clară a riscurilor inerente de riscurile reziduale.

Evaluarea riscurilor trebuie:

– să se bazeze, pe cât posibil, pe dovezi obiective (imparțiale și independente);

– să aibă în vedere pe toți cei afectați de risc;

– să facă distincția între expunerea la risc și tolerabilitatea la risc.

Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor unei entități care, în funcție de tolerabilitatea la risc, permite stabilirea celor mai adecvate modalități de tratare a riscurilor și delegarea responsabilității de gestionare a riscurilor celor mai potrivite niveluri decizionale.

Ierarhizarea riscurilor este o problema dificilă, deoarece există riscuri care pot fi cuantificate și pentru care există suficiente date stocate în documentele entității cum ar fi, spre exemplu, riscurile financiare, de personal sau de fiabilitate a aparaturii, dar și riscuri care nu pot fi cuantificate cum ar fi, spre exemplu, riscurile legate de credibilitate. În acest sens, există un element comun și anume percepția asupra riscurilor:orice metodă bazată pe percepție este subiectivă, dar, în lipsa de altceva, este un pas inainte în comparație cu situația în care riscurile sunt tratate intuitiv și întâmplător, uneori chiar fără să fim conștienți că facem acest lucru.

Metoda bazată pe percepție are însă o justificare obiectivă. Nu atât nivelele evaluate ale riscurilor au importantă, cât mai ales dacă riscurile sunt percepute sau nu ca tolerabile. Expunerea la risc față de tolerabilitatea la risc este relevanță deoarece aceasta creează motivația pentru găsirea metodelor cele mai adecvate de gestionare a riscurilor.

Etape ale evaluării riscurilor:

a) Evaluarea probabilității de materializare a riscului înseamnă determinarea șanselor de apariție a unui rezultat specific. Riscul este o problema (situație, eveniment) ce poate să apara (să se materializeze), caz în care realizarea obiectivelor este afectată. Cu alte cuvinte, există o incertitudine în apariția situației sau evenimentului care poate afecta realizarea obiectivelor.

b) Evaluarea impactului asupra obiectivelor în cazul materializării riscurilor. Impactul reprezinta consecința asupra obiectivelor (rezultatelor) așteptate care poate fi, în funcție de natură riscului, negativă sau pozitivă.

Managerii organizației, ca și celălalt personal raportat la obiectivele individuale, aflați în față unei situații de risc, sunt interesați să cunoască cât de mari sunt consecințele asupra obiectivelor urmărite dacă riscurile s-ar materializa. Pentru obiectivele strategice și entități complexe (similar, proiecte complexe,activități complexe), evaluarea impactului devine o problema dificilă ce necesită studii de impact. Impactul oricărui risc este caracterizat prin consecințe de diferite naturi; astfel,alături de consecințe calitative exprimate descriptiv, pot fi identificate și consecinte exprimate în termeni de buget (costuri), de efort (timp de muncă) și de timp (întârzieri posibile în termenul de realizare a obiectivelor).

c) Evaluarea expunerii la risc. Expunerea la risc reprezintă consecințele, că o combinatie de probabilitate și impact, pe care le poate resimți entitatea în raport cu obiectivele prestabilite în cazul în care riscul s-ar materializa.

Expunerea la risc este un concept probabilistic, exprimând o combinație între probabilitate și impact și are semnificație numai înaintea producerii riscului. Riscul, după ce apare nu mai este o incertitudine, ci devine un fapt realizat. Conform teoriei probabilităților această înseamnă că probabilitatea de apariție (materializare) a riscului este 1 (eveniment sigur).

În concluzie, auditorul trebuie să se asigure că riscul de audit este redus până lăun nivel minim acceptabil și în funcție de această evaluare se vor stabili procedurile deaudit, care să ofere asigurarea minimă de audit.

CAP. 2. SISTEMUL DE CONTROL INTERN

Îndrumarul privind evaluarea controlului intern reprezintă un document în care este descris un model practic de evaluare a controlului intern în scopul selectării activităților/acțiunilor în auditare în cadrul etapei Pregătirea misiunii de audit intern. Îndrumarul își propune să reliefeze activitățile derulate de auditorii interni în scopul evaluării inițiale a controlului intern, în vederea pregătirii și realizării misiunilor de audit public intern. În conținutul îndrumarului sunt dezvoltate prevederile referitoare la modalitatea de stabilire a controalelor interne așteptate, de identificare a controalelor interne existente și evaluare inițială a controlului intern, fiind prezentate și modul de întocmire a formularelor.

Obiectivul general al îndrumarului este acela de a oferi un instrument de lucru util pentru auditorii interni, care să îi sprijine în activitatea de analiză și selectare a activităților/acțiunilor în auditare.

Controlul intern organizat la nivelul entității este în responsabilitatea conducerii și reprezintă ansamblul măsurilor întreprinse de conducere și implementate de întregul personal cu privire la structura organizatorică, procedurile, instrumentele și tehnicile aplicate, în scopul atingerii următoarelor obiective:

a) realizarea funcțiilor și atribuțiilor într-o manieră economică, eficiență și eficace;

b) respectarea reglementărilor legale și a dispozițiilor conducerii;

c) protejarea resurselor împotriva abuzurilor, pierderilor sau fraudelor;

d) dezvoltarea, menținerea și furnizarea de informații financiare corecte și complete pentru fundamentarea deciziilor conducerii.

Cunoașterea sistemului de control intern și realizarea unei corecte evaluării a riscurilor specifice permite auditorului intern să identifice activitățile/acțiunile vulnerabile, în cadrul cărora oricând se pot produce disfuncții și să stabilească măsuri adecvate în vederea eliminării acestora. Auditorul intern, în demersul său, testează toate componentele sistemului de control intern pe care le consideră susceptibile de existența unor riscuri necontrolate și recomandă implementarea de dispozitive de control adecvate, astfel încât acesta să poată preveni, detecta și corecta erorile și iregularitățile.

Evaluarea de către auditul intern a sistemului de control intern va permite formularea unei opinii cu privire la modul în care acestea funcționează, în conformitate cu reglementările și procedurile stabilite de conducere, precum și identificarea zonelor în care acestea nu sunt funcționale.

2.1. CONCEPTUL DE CONTROL INTERN

În țara noastră, definiția recunoscută a controlului intern în sectorul public este cea reglementată de O.G. nr. 119/1999, privind controlul intern și controlul financiar preventiv, republicata, respectiv “controlul intern reprezintă ansamblul formelor de control exercitate la nivelul entității publice, inclusiv auditul intern, stabilite de conducere în concordanță cu obiectivele acesteia și cu reglementările legale, în vederea asigurării administrării fondurilor în mod economic, eficient și eficace; acesta include, de asemenea, structurile organizatorice, metodele și procedurile.”

Conform acestor definiții, controlul intern se constată că reprezintă ansamblul de dispozitive alese de conducere și implementate de către responsabili de la toate nivelurile entității publice în scopul deținerii controlului asupra funcționării globale a entității publice, precum și a desfășurării fiecărei activități/acțiuni astfel încât obiectivele fixate să fie atinse.

Din analiza conceptelor uzitate în practica managerială s-a conturat ideea potrivit căreia controlul intern reprezintă un ansamblu de elemente implementate de către responsabilii de la toate nivelurile pentru a deține controlul asupra funcționarii activităților entității publice, în raport cu obiectivele stabilite. Astfel, conceptele reflectă patru principii fundamentale:

– controlul intern este un proces, un mijloc pentru a atinge un obiectiv;

– controlul intern este efectuat de oameni ceea ce înseamnă pe lângă manuale, politici, instrucțiuni, documente s.a. și oamenii la fiecare nivel al entității publice;

– controlul intern furnizează o asigurare rezonabilă conducerii entității cu privire la faptul că obiectivele entității publice vor fi îndeplinite;

– controlul intern contribuie și asigură îndeplinirea obiectivelor entității publice

Procesul de proiectare și implementare a sistemului de control intern în cadrul fiecărei entități publice are la bază standardele de control intern/managerial aprobate prin OMFP nr. 946/2005, pentru aprobarea Codului controlului intern, cuprinzând standardele de control intern/managerial la entitățile publice și pentru dezvoltarea sistemelor de control intern/managerial, republicat, cu modificările și completările ulterioare. Standardele de control intern/managerial reprezintă, pe de o parte, un ansamblu de reguli minimale de management, pe care entitățile publice trebuie să le urmeze, iar pe de altă parte, criterii în raport cu care se evaluează calitatea sistemelor de control intern ale entităților publice.

Controlul intern în entitățile publice înțeles prin prisma caracteristicilor specifice a acestora, respectiv:

– îndeplinirea obiectivelor stabilite;

– modul în care se utilizează fondurile publice;

– importanța procesului bugetar;

– răspunderea conducerii entității cu privire la implementarea sistemului de control intern. Sistemul de control intern deși este relevant și aplicabil tuturor entităților publice modul de implementare diferă în funcție de natura și mediul entității și depinde de o serie de factori specifici, cum ar fi structura organizatorică, profilul riscurilor, mediul de activitate, dimensiunea și complexitatea activităților și sistemul de reglementare aplicabil.

Construcția oricărui sistem de control intern este subordonată realizării obiectivelor entității și impune evidențierea legăturilor existente între grupele de obiective generale ale controlului intern și cele cinci elemente componente ale controlului intern în cadrul cărora sunt grupate standardele de control intern/managerial. Există o relație directă între obiectivele generale (ceea ce își propune să realizeze entitatea) și elementele componente ale controlului intern, (ceea ce este necesar pentru a le atinge).

Obiectivele de bază ale entități publice sunt grupate în trei categorii:

– eficiența și eficacitatea funcționării – grupează obiectivele legate de misiunea entității publice, de utilizarea eficientă a resurselor materiale financiare și umane, precum și obiectivele privind protejarea resurselor de utilizare inadecvată sau de pierderi datorate erorii, risipei, abuzului sau fraudei;

– fiabilitatea informațiilor interne si externe – grupează obiectivele legate de organizarea adecvată a contabilității și cele legate de fiabilitatea informațiilor utilizate;

– conformitatea cu legile, regulamentele și politicile interne – grupează obiectivele care asigură că activitățile entității publice se desfășoară în conformitate cu obligațiile impuse de legi, regulamente, respectarea politicilor interne și a deciziilor conducerii.

Obiectivul general al controlului intern este de a asigura continuitatea entității publice în realizarea obiectivelor stabilite. Aceasta pune în evidență următoarele: – controlul intern trebuie apreciat în manieră dinamică, fiecare dintre elementele care îl compun are locul său în procesul de funcționare al entității;

– toate nivelurile entității sunt implicate în aceeași măsură în proces și toți factorii de conducere din cadrul structurilor funcționale au același rol;

– finalitatea controlului intern este asigurarea rezonabilă că obiectivele pot fi atinse.

Pentru atingerea obiectivului general, controlul intern îndeplinește următoarele obiective permanente:

– securitatea activelor, atât a activelor imobiliare de orice natură, cât și a celorlalte elemente cum ar fi oamenii, imaginea entității, tehnologia, informațiile confidențiale;

– calitatea informațiilor, respectiv controlul intern trebuie să asigure că informațiile sunt fiabile și controlabile, exhaustive, pertinente și disponibile; – respectarea legilor, regulamentelor, contractelor și a dispozițiilor conducerii;

– optimizarea resurselor, respectiv utilizarea eficientă și eficace a resurselor.

Aceste obiective permanente ale controlului intern nu sunt identificabile cu obiectivele specifice stabilite structurilor funcționale ale entității, însă, reprezintă fundalul pe care se înscrie fiecare activitate, de la vârful piramidei ierarhice și până la baza acesteia.

Componentele controlului intern sunt:

Mediul de control;

Evaluarea riscurilor;

Activități de control;

Informații și comunicare;

Monitorizare.

Fig. 1 Prezentarea componentelor controlului intern.

2.2. PRINCIPII ALE CONTROLULUI INTERN

Controlul intern trebuie realizat în baza mai multor principii, în literatura de specialitate făcându-se referire la:

Principiul organizării care implică organizarea adecvată a fiecărei entități elaborându-se:

– organigrama care cuprinde, descrie toate structurile;

– manuale de proceduri care definesc;

– responsabilitățile;

– delegările de competență;

– sarcinile;

– modul de transmitere a informațiilor etc.

Principiul separării funcțiilor – la entitățile mari este necesară organizarea separată a patru funcțiuni fundamentale realizate de persoane, ierarhii diferite:

– funcția de decizie care implică angajarea entității față de parteneri, salariați etc.;

– funcția de deținere de bunuri fizice și valori monetare (gestionarii);

– funcția de contabilizare, exercitată de orice persoană care prelucrează informații contabile;

– funcția de control care implică verificarea operațiilor de decizie, deținere de bunuri, contabilizare.

Nesepararea celor patru funcțiuni fundamentale creează posibilitatea de fraudă.

Principiul autocontrolului (integrării) care presupune că procedurile de control intern să cuprindă și proceduri de autocontrol menite să descopere neregularitățile.

Procedurile de autocontrol înseamnă:

– verificarea unor informații prin alte informații furnizate de diverse documente;

– controlul reciproc, adică verificări, corelări ale informațiilor obținute de la două persoane.

Principiul permanenței implică stabilitate pentru procedurile de control intern în contextul în care este eliminată rigiditatea și este asigurată adaptarea la schimbările interne și externe apărute.

Principiul permanenței permite delimitarea:

– deficiențelor controlului intern;

– cazurilor de nerespectare a procedurilor de control intern.

Principiul universalității care presupune proceduri de control intern:

– pentru toate persoanele din entitate;

– pentru toate activele și pasivele deținute;

– permanente.

Principiul bunei informări presupune ca informația rezultată ca urmare a aplicării procedurilor de control intern să îndeplinească două calități: să fie verificabilă și să fie utilă. O informație este verificabilă dacă i se pot identifica sursele, documentele de unde rezultă, adică poate fi justificată și autentificată. Acest lucru este asigurat printr-o conservare adecvată a informației care implică:

– numerotarea, sortarea, arhivarea documentelor contabile;

– păstrarea corespunzătoare pe perioada prevăzută de lege.

O informație este considerată a fi utilă dacă este obținută de la sursă, este lipsită de redundanță, iar costul obținerii ei este inferior avantajelor pe care le generează.

Principiul armoniei constă în adaptarea continuă a controlului intern, avându-se în vedere:

– riscurile care pot afecta sistemul;

– costurile implicate de introducerea procedurilor de control intern, comparativ cu costurile deficiențelor produse ca urmare a neefectuării controlului intern.

Principiul calității personalului

Controlul intern de calitate implică personal calificat, definit prin competență profesională și moralitate. Competența profesională implică o politică adecvată de recrutare a personalului, formare profesională permanentă, motivare prin remunerație și fixare de obiective profesionale.

2.3. TIPURI DE CONTROL INTERN

Activitățile controlului intern pot fi structurate avându-se în vedere mai multe criterii, după cum urmează:

a) După natura activităților verificate (verificărilor efectuate), controlul intern poate fi clasificat după cum urmează:

– Controlul administrativ intern – control ierarhic ce se execută de către persoanele cu funcții de conducere asupra compartimentelor și persoanelor din subordine; este o sarcină care rezultă din atribuțiile de serviciu și se execută permanent;

– Controlul financiar de gestiune – reprezintă acele verificări asupra modului de respectare a dispozițiilor legale referitoare la gestionarea mijloacelor materiale și bănești pe baza documentelor primare și contabile;

– Controlul financiar preventiv propriu – reprezintă controlul efectuat pentru preîntâmpinarea efectuării operațiunilor care nu îndeplinesc condițiile de legalitate, regularitate și încadrarea în limitele creditelor bugetare sau creditelor de angajament, după caz, stabilite potrivit legii;

– Controlul reciproc exercitat între compartimentele sau salariații entității ca urmare a separării sarcinilor, a obiectivelor proprii fiecăruia și a participării la realizarea acelorași fluxuri de bunuri și informații;

– Autocontrolul angajaților pentru activitățile pe care le desfășoară;

– Auditul public intern;

b) După momentul efectuării verificărilor, controlul intern se clasifică astfel:

– Controlul preventiv – se exercită înaintea efectuării operațiunilor;

– Controlul concomitent – se exercită pe parcursul efectuării operațiunilor;

– Controlul ulterior – se exercită după efectuarea operațiunilor.

c) După domeniul asupra căruia se exercită, controlul intern se poate clasifica astfel:

– Controlul organizațional – controlul care urmărește să evidențieze cum se aplică planul de organizare al entității, cum se alocă autoritatea și responsabilitățile, cum funcționează piramida ierarhică;

– Controlul separării sarcinilor – controlul care vizează diminuarea riscurilor cumulării responsabilităților, ceea ce presupune reducerea posibilităților ca un salariat să efectueze mai multe operațiuni legate de o tranzacție (autorizare, plată, gestionare, contabilizare), situație care ar permite unei persoane să comită sau să ascundă erori, nereguli, în cadrul atribuțiilor pe care le au;

– Controlul fizic – controlul care are în vedere gestionarea, securitatea activelor și autorizarea accesului la active;

– Controlul privind autorizarea și aprobarea – controlul prin care se urmărește dacă operațiunile se realizează în conformitate cu deciziile stabilite de managementul entității;

– Controlul aritmetic și contabil – controlul care urmărește dacă înregistrarea și prelucrarea operațiunilor economice a fost autorizată, dacă s-au înregistrat toate operațiunile, dacă înregistrările sunt exacte și corecte. Controlul include verificarea acurateței aritmetice a înregistrărilor și verificarea corelațiilor contabile (conturi, balanțe de verificare, situații financiare etc.);

– Controlul personalului – controlul care vizează modul în care selecția, pregătirea profesională și evaluarea performanțelor profesionale corespunde necesităților entității, precum și dacă competența și integritatea personalului este adecvată responsabilităților atribuite;

– Controlul privind supervizarea – controlul care urmărește să evidențieze dacă persoanele responsabile de urmărirea și înregistrarea tranzacțiilor zilnice, își îndeplinesc sarcinile.

2.4. MODELE DE CONTROL INTERN

Principalele modele de control intern recunoscute pe plan internațional, concepute pentru organizarea sistemului de control intern, astfel încât să răspundă cerințelor managementului riscului, sunt:

– Modelul COSO – SUA;

– Modelul COCO – Canada;

Modelul COSO

Denumirea modelului vine de la denumirea Comitetului de Sponsorizare a Organizațiilor Comisiei Treadway – COSO, comitet constituit în SUA la inițiativa senatorului Treadway care, în anul 1985, a inițiat o cercetare asupra controlului intern și a rolului său în viața organizațiilor, instituind ”Comisia Treadway” (cunoscută și sub denumirea de Comisia Națională Împotriva Raportării Frauduloase). În urma recomandării acestei Comisii, s-a înființat Comitetul de Sponsorizare a Organizațiilor care a reunit profesioniști din marile cabinete de audit extern și din marile firme americane. Rezultatele cercetărilor întreprinse s-au concretizat în documentul (lucrarea) Controlul intern – un cadru integrat.

COSO definește controlul intern ca fiind un proces efectuat de Consiliul de administrație, conducere și întregul personal al entității, menit să furnizeze o asigurare rezonabilă cu privire la îndeplinirea obiectivelor organizației, având în vedere:

– eficiența și eficacitatea operațiunilor;

– realitatea rapoartelor financiare;

– conformarea cu legile și cu regulamentele aplicabile.

Definiția controlului intern dată de COSO în anul 1992, reflectă patru principii fundamentale:

– controlul intern este un proces total, nu o activitate suplimentară, un mijloc pentru a atinge un obiectiv și nu un scop în sine;

– controlul intern este efectuat de oameni ceea ce îl face imperfect și el nu înseamnă numai manuale de politici, formulare și documente, ci și oamenii la fiecare nivel al organizației;

– controlul intern poate să furnizeze o asigurare rezonabilă managementului și Consiliului de Administrație asupra faptului că obiectivele organizației vor fi îndeplinite;

– controlul intern este angrenat în îndeplinirea obiectivelor organizației.

În modelul COSO, controlul intern este reprezentat din 5 elemente legate între ele:

a) mediul de control;

b) evaluarea riscurilor;

c) activitățile de control;

d) informarea și comunicarea;

e) monitorizarea.

În lucrarea ”Teoria și practica auditului intern”, Jacques Renard arată că la cele 5 elemente ale controlului intern din modelul COSO, poate fi adăugat și auditul intern, motivația bazându-se pe faptul că auditul intern își aduce aportul la îmbunătățirea sistemelor de control intern, fără însă a exonera managementul entității de obligațiile și responsabilitățile acestuia în ceea ce privește descoperirea și prevenirea fraudelor și a erorilor din sistem.

Modelul COCO

A fost elaborat în anul 1995 de Institutul Canadian al Contabililor Autorizați (CICA) fiind alcătuit din aceleași elemente ca și modelul COSO, însă grupate altfel.

COCO definește controlul intern ca fiind reprezentat de ansamblul care include: resurse; sisteme; procedee, structuri; cultura organizației și alte elemente care puse împreună contribuie la atingerea obiectivelor.

Potrivit principiilor acestui model, sarcinile îndeplinite de personal se bazează pe:

– înțelegerea scopului acestor sarcini (atribuții), respectiv obiectivul care trebuie atins;

– capacitatea sa și competențele care îi revin;

– angajamentul de a-și realiza bine și la timp atribuțiile;

– monitorizarea performanțelor și supravegherea mediului pentru a învăța să se adapteze schimbărilor.

Modelul COCO cuprinde următoarele elemente:

• scopul (să știi ce să faci);

• angajamentul, implicarea (să vrei să faci);

• capacitatea (să poți să faci);

• monitorizarea și învățarea (să te adaptezi schimbărilor).

Acest model de control intern este explicat prin:

– definiția modelului;

– criterii de control;

– gruparea acestor criterii.

Criteriile de control sunt grupate pe cele patru elemente ale modelului COCO, după cum urmează:

– criteriile privind scopul contribuie la orientarea organizației și se referă la: obiectivele acesteia, riscuri și oportunități, politici, planificare, scopuri și indicatori de performanță;

– criteriile privind angajamentul contribuie la afirmarea identității și a valorilor entității și se referă la valorile etice, integritate, politicile de resurse umane, răspunderile, responsabilitățile și obligația de raportare;

– criteriile privind capacitatea contribuie la afirmarea componenței entității și se referă la cunoștințe, competențe, informații și procese de comunicare, coordonare, activități de control;

– criteriile privind monitorizarea și învățarea contribuie la afirmarea evoluției entității și se referă la supravegherea mediului intern și a celui extern, monitorizarea performanței revizuirea, reevaluarea nevoilor de informații și a sistemelor conexe, procesul de monitorizare și evaluarea eficacității controlului.

Comparând cele două modele ale controlului intern se pot concluziona următoarele:

a) conform modelului COSO, controlul intern:

– este un proces implementat de toți angajații unei entități;

– are un caracter relativ, oferind o asigurare rezonabilă privind îndeplinirea obiectivelor.

b) conform modelului COCO, controlul intern:

– pune un accent mai mare pe mijloacele implementate decât pe angajați;

– are un caracter relativ, nu dă o asigurare absolută considerând că ”ajută la atingerea obiectivelor”.

CAP. 3. AUDITUL INTERN

În literatura de specialitate, de multe ori se confundă noțiunea de audit intern cu cea decontrol intern fapt pentru care legiuitorul a ținut să definească ambele noțiuni în cadrul glosarului Legii Nr. 672/2002, în vederea delimitării acestor semnificații, astfel controlul intern este definit ca ansamblul formelor de control exercitate la nivelul entității publice,inclusiv auditul intern, stabilite de conducere în concordanță cu obiectivele acesteia și cu reglementările legale, în vederea asigurării administrării fondurilor în mod economic,eficient și eficace; include, de asemenea, structurile organizatorice, metodele și procedurile. Deci, după cum reiese și din definiție, se explică confuzia prin aceea că sfera noțiunii de control cuprinde și auditul intern, care reprezintă, în fapt, tot un control.

„În lumea profesioniștilor este unanim recunoscută ideea potrivit căreia a audita înseamnă a „inventaria, a verifica, a testa, a exprima o opinie”, în concordanță cu reglementările contabile și normele de audit, care iau în considerare eficacitatea activității de control intern, dimensionarea eșantionului de control și a pragului de semnificație, modul de evaluare a constatărilor și stabilirea concluziilor, un mare număr de detalii care pot să nu se regăsească în calitatea misiunilor de audit.”

Auditul intern este planul de organizare și ansamblul coordonat al tuturor măsuriloradoptate în interiorul intreprinderii pentru :

a proteja valorile active;

a promova eficacitatea exploatării;

a asigura respectarea dispozițiilor administrației;

a asigura fidelitatea și exactitatea informațiilor contabile.

Auditul intern cuprinde:

controlul administrativ intern;

verificarea internă a operațiilor;

autocontrolul salariaților;

controlul contabil intern

Auditul intern, prin activitățile pe care le desfășoară, adaugă valoare atât prin evaluarea sistemului de control intern și analiza riscurilor asociate activităților auditabile, cât și prin recomandările cuprinse în raportul întocmit și transmis în scopul asigurării atingerii obiectivelor organizației.

Auditul intern nu reprezintă altceva decât un control prin care se măsoară și se evaluează eficiența controalelor existente în interiorul unei organizații. Existența unui sistem de control intern (audit intern) rațional conceput și corect aplicat constituie o serioasă prezumție asupra fiabilității conturilor și concordanței dintre datele contabilității și realitatea, imaginea fidelă a instituției, fie ea din domeniul public sau cel privat.

Controlul contabil reprezintă doar o parte a controalelor interne existente într-o organizație, în definiția dată în 1990 auditului intern (Whittington 1992), Institutul Auditorilor Interni (I.I.A) precizează: Auditul intern este o funcție de evaluare independentă a organizației. Ea furnizează un serviciu de examinare și evaluare ale activităților acesteia.

3.1. CONCEPTUL DE AUDIT INTERN

Termenul de „audit“ provine din limba latină de la cuvântul „audit – auditare“, care are semnificația „a asculta, a audia“, dar despre audit se vorbește de pe vremea asirienilor și egiptenilor. Vechii romani numeau questori care aveau sarcina să examineze mandatele de plată emise de cenzori sau de consul. Tot în Roma antică a început să fie practicată verificarea verbală a fondurilor sau, altfel spus, ascultarea fondurilor practică ce a dat naștere în timp englezescului to audit.

În Grecia antică, scribii erau folosiți pentru ținerea evidenței contabile și erau aleși dintre sclavi, deoarece se considera că, între mărturia unui sclav torturat și jurământul unui om liber, mai de încredere este cuvîntul celui dintâi. Conturile vremii erau citite cu voce tare pentru a se înțelege tranzacțiile care au avut loc. „Neîncrederea publicului în privințaadministrării financiare a banului și bunului public era atât de mare, încât nici un magistratnu putea să-și facă testamentul până ce nu preda gestiunea verificată de un legist" (Demetrescu, 1972, p. 39).

De audit se vorbeste și în timpul domniei lui Carol cel Mare sau a lui Eduard I al Angliei. De la Missi Dominici ai lui Carol cel Mare la „auditorii“ lui Eduard I; William Cuceritorul când a devenit rege al Angliei, în 1066, a ordonat o verificare și o inventariere a tuturor proprietăților din regatul său pentru a ști cum să împartă pământurile și pentru astabili o bază pentru colectarea viitoarelor taxe (Bower et al., 1985); în Anglia anului 1298, conturile orașului Londra erau verificate cu regularitate de către funcționari publici numiți special în acest scop. Un verificator al reginei Isabela a Spaniei 1-a însoțit pe Cristofor Columb în călătoria sa spre Lumea Nouă, cu scopul de a inventaria toate descoperiril eacestuia; în secolul al XIII-lea, comerțul italian se afla în plină expansiune, iar ca reacție la nevoia unui sistem de evidență și control mai rafinat, călugărul Luca Pacioli a fost primul care a introdus metoda evidenței în partidă dublă într-un manual de învâțămînt – Summa del'Arithmetica, Geometria, Proportioni et Proportionalita, metodă cunoscută cu 100 de animai înainte de acea dată (Demetrescu, 1972); exemplele sunt numeroase, dar nici unul dintre ele nu ilustrează funcția așa cum există ea în zilele noastre, deoarece este o funcție nouă, cu particularități unice și care nu se confundă cu nici un precedent istoric. Activități de audit s-au realizat în decursul timpului și în România, dar purtau alte denumiri.

În România, auditul intern a fost adoptat ca un termen la modă în domeniul controlului financiar, însă cu timpul s-a reușit decantarea conceptelor de control intern și audit intern. În prezent, există o problemă cu înțelegerea sistemului de control intern, care fiind obiect al auditului intern, înglobează toate activitățile de control intern realizate în interiorul unei entități și riscurile asociate acestora.

Întreprinderile și organizațiile sunt în permanentă confruntare cu îmbunătățirea performanțelor lor într-un mediu care să le aducă toate garanțiile. Această îmbunătățire este din ce în ce mai căutată prin intermediul unei descentralizări a luării deciziei pentru a se asigura pertinența și implementarea rapidă. În aceste condiții managerul întreprinderii sau conducătorul instituției publice își va pune în mod normal întrebări privind bunul control, asupra funcționării organizației, exercitat de către el însuși și de către colaboratorii săi.

După parcurgerea etapei de început, în prezent auditul intern a intrat în etapa unei gestiuni a reactivității, adică în etapa în care auditorii trec de la practica profesioniștilor confruntați cu riscuri la măsurarea logică și științifică a factorilor de risc.

O problemă majoră a implementării funcției de audit intern o reprezintă faptul că planificarea, pregătirea, derularea și finalizarea misiunilor trebuie să se bazeze pe analiza riscului asociat activităților desfășurate în interiorul organizațiilor, și mai puțin pe flerul și inspirația managerilor, inspectorilor sau auditorilor.

3.2. TIPURI DE AUDIT INTERN

Tipurile de audit definite de lege sunt:

a) Auditul de regularitate.

În evoluția sa firească auditul intern s-a dezvoltat pe auditul de regularitate (conformitate), acesta fiind considerat ca fiind tradițional pentru că la vremea respectivă auditorul verifica dacă regulile și procedurile sunt bine aplicate, dacă se respectă organigramele, sistemele de informare etc. Auditorul intern avea la bază un sistem de referință și de aceea munca sa era relativ clarificată, el acționând prin constatări și comparări privind aplicarea, interpretarea, eventualele deficite sau dezechilibre produse, reprezentau consecințe pe care le raporta celui care dispusese auditul. Auditul de regularitate sau de conformitate are ca scop compararea realității cu sistemul de referință propus, indiferent că unii teoreticieni extremiști în nuanțe fac diferențe între regularitate și conformitate.

b) Auditul de eficacitate.

Auditul de eficacitate, mai complex, situându-se pe o scară superioară în evoluția auditului intern, ține cont de cultura organizațională pentru că el se referă la calitate și nu la un sistem de referință. Se va observa că eficacitatea se referă la calitatea muncii și a rezultatelor obținute prin respectarea regulilor adoptate de entitate, dar eficacitatea depinde de modul în care s-a desfășurat efectiv activitatea. Auditul de eficacitate se poate numi fără nici o greșeală audit de performanță, care reflectă calitatea măsurilor adoptate prin rezultatele înregistrate.

Nu întâmplător se insistă pe sensul celor doi termeni – eficacitatea și eficiența:

– eficacitatea reprezintă atingerea obiectivelor fixate, respective răspunsul entității la așteptări;

– eficiența înseamnă a face cât mai bine posibil, respectiv a obține cea mai bună calitate în ceea ce privește cunoștințele, comportamentele și comunicarea.

Urmare celor expuse mai sus se poate înțelege că auditorii interni mai tineri și neexperimentați vor fi utilizați preponderent în auditul de regularitate, iar cei cu experiență vor aduce aportul cunoștințelor lor în auditul de eficacitate, când este necesar să se răspundă la întrebări cheie regăsite în chestionarele de lucru.

c) Auditul de management.

Auditul de management sau auditul de conducere se poate aprecia din mai multe perspective, accepțiuni drept pentru care putem utiliza trei abordări:

– practica dominată, ceea ce înseamnă că responsabilul sectorului auditat îi prezintă auditorului intern politic ape care trebuie să o aplice; auditorul intern se va asigura că există o poilitică și în ce măsură această este exprimată cu claritate de cel care o are în responsabilitate.

În continuare, auditorul intern va analiza modul în care politica sectorială corespunde strategiei întreprinderii sau politicilor cuprinse și rezultate din strategie.

Încercând să folosim toate cunoștințele avute, putem afirma că se poate aplica și un audit tradițional, de conformite, spre exemplu, ca misiune specifică, referitoare la conformitate dintre politica dintr-un domeniu și strategia entității sau chiar ca un audit de eficacitate.

– aplicarea politicii în cadrul entității, iar auditorul intern se va asigura că pe teren, politica este cunoscută, înțeleasă și, evident, aplicată, auditorul intern având rolul de apreciator al controlului intern.

De asemenea, se poate vorbi de conformitate în sensul conformității dintre politică și aplicarea sa.

– elaborarea strategiei, care trebuie să fie un proces formalizat prin care să se realizeze armonizarea propunerilor și aprobarea de către direcția generală, având ca efect existența unei strategii definite și aprobate și care se aplică.

d) Auditul de strategie.

Aflat pe treapta superioară a evoluției auditului intern, auditul de strategie reprezintă o confruntare între toate politicile și strategiile entității cu mediul în care aceasta se află pentru verificarea coerenței globale.

Rolul auditorului intern se va limita la semnalarea incoerențelor direcției generale, responsabilă cu modificarea parțială sau fundamentală a unor puncte pentru a asigura coerența globală. Este evident că pentru acest audit este nevoie de auditori cu înaltă calificare, cu competențe profesionale serioase.

3.3. ETAPE IN REALIZAREA AUDITULUI INTERN

Responsabilul auditului intern trebuie să redacteze o carta a auditului intern care să fie aprobată de către directorul general și acceptată de consiliul de administrație.

Carta auditului intern are drept rol:

să stabilească poziția serviciului de audit intern în cadrul organizației;

să autorizeze accesul la documente, personal și bunuri fizice, necesar îndeplinirii corespunzătoare a misiunilor;

să definească sfera de activitate a auditului intern.

Scopul organizării auditului intern:

să genereze un plus de valoare organizației – când auditorii interni intervin conform unor modalități bine adaptate culturii și resurselor sale;

să ofere o asigurare conducerii entității auditate;

dialogul permanent cu organele de conducere – permite adaptarea sferei și a calendarului misiunii la necesitățile conducerii, rămânând în sarcina responsabilului auditului intern să stabilească tehnicile de audit ce trebuie aplicate și să informeze conducerea atunci când natură și importantă rezultatelor evidențiază riscuri semnificative pentru organizație;

varietate și interdependenț㠖 misiunile de audit intern pot lua forme multiple. Așa cum asigurarea și consultanță nu se exclud reciproc, acestea nu exclud nici realizarea altor misiuni precum investigațiile sau alte prestații din afară auditului, efectuate la solicitarea conducerii unității. Numeroase servicii de audit vor avea un rol atât de asigurare, cât și de consultanță;

obiectivitatea auditului intern nu ar trebui să fie afectată de deciziile luate de conducere că urmare a unor astfel de misiuni;

reexaminarea și actualizarea periodică a obiectivelor, sferei și modalităților de executare a misiunii pe toată durata activității; auditorii interni pot largi sau restrânge sfera de aplicabilitate a misiunii în funcție de cererea conducerii, dar trebuie să se asigure că sfera prevăzută de activitate va permite atingerea obiectivelor misiunii.

Organizarea unei misiuni de audit intern presupune parcurgerea, în mare, a următoarelor etape:

planificarea activității de audit intern bazată pe riscurile determinate și potențiale, pe de o parte, și definirea obiectivelor misiunii în acord cu obiectivele organizației, pe de altă parte;

comunicarea către conducerea generală și consiliul de administrație a programului de audit și a modificărilor importante care ar putea interveni în cursul exercitării activității;

asigurarea că resursele alocate acestei activități sunt adecvate, suficiente și utilizate în mod rațional în vederea realizării programului aprobat;

elaborarea unui program de lucru care să permită îndeplinirea obiectivelor misiunii de audit intern;

identificarea, analiză, evaluarea și documentarea informațiilor necesare, credibile, relevante și utile, în vederea îndeplinirii obiectivelor misiunii;

carta de audit intern

scopul auditului intern

etapele organizării unei misiuni de audit intern

identificarea și evaluarea expunerilor semnificative la risc și îmbunătățirea sistemelor de management al riscurilor și de control;

coordonarea activității cu ceilalți prestatori interni și externi de servicii de asigurare și de consultanță astfel încât să asigure o acoperire adecvată a activităților și să evite suprapunerile acestora;

informarea conducerii cu privire la obiectivele și sfera de activitate a misiunii, precum și la concluziile, recomandările și planurile de acțiune; comunicarea trebuie să fie exactă, obiectivă, clară, concisă, constructivă, completă și realizată în timp util;

evaluarea relevanței și eficacit`ții mecanismului de control privind guvernarea organizației, operațiunile și sistemele de informare ale acesteia;

adoptarea unui proces de monitorizare care să asigure implementarea eficace a deciziilor de management, sau asumarea riscului de către conducerea generală de a nu întreprinde nici o acțiune corectivă.

Auditorii interni trebuie să transmită periodic conducerii organizației natură, domeniul și rezultatele generale ale misiunilor îndeplinite, și alocarea resurselor de audit.

Atenție! Nu este necesară o informare în detaliu asupra ansamblului de concluzii sau recomandări, ci doar o descriere a misiunilor și a recomandărilor importante, acestea fiind un aspect esențial în îndeplinirea responsabilităților ce revin auditorilor interni.

Auditorii trebuie să se bazeze pe judecată lor profesională pentru a stabili importantă expunerilor la risc sau a punctelor slabe și măsurile luate sau avute în vedere în scopul atenuării sau remedierii acestora și pentru a răspunde așteptărilor conducerii în ceea ce privește comunicarea acestora.

Se poate întâmplă, în unele cazuri, că auditorul intern să considere oportun să comunice concluziile sale și altor persoane decât beneficiarilor activităților prestate sau celor care au solicitat auditul.

În acest caz, auditorul trebuie să parcurgă obligatoriu următoarele etape:

definirea îndrumărilor care decurg din termenii acordului aferent misiunii de consultanță, cît și comunicărilor privind misiunea;

obținerea acordului acelora care au comandat sau al beneficiarilor direcți ai activităților prestate în ceea ce privește comunicarea concluziilor și către alte persoane interesate;

examinarea recomandărilor incluse în Carta de audit intern sau în regulile și procedurile auditului cu privire la comunicarea în cadrul misiunilor de consiliere și/sau audit;

raportarea la Regulamentul de Ordine Interioară al organizației și la alte reguli, proceduri sau directive administrative;

raportarea la Norme și la Codul privind Conduită Etică a Auditorului Financiar, la celelalte norme sau coduri aplicabile auditului sau la orice prevedere legală sau regulamentară privind acest subiect.

Atenție! Auditorii interni trebuie întotdeauna să susțină cu documente activitățile efectuate, rapoartele încheiate pentru a răspunde misiunilor încredințate și pentru a-și fundamenta concluziile.

La cerere, auditorii interni trebuie să monitorizeze rezultatele misiunilor de consultanță, în condițiile convenite la începerea acestora fie cu beneficiarii acestor misiuni, fie cu organele de conducere ale întreprinderii. Există diferite tipuri de monitorizare în funcție de tipul misiunii. Aceste modalități de monitorizare depind în special de interesul acordat misiunii de către conducere sau de evaluarea de către auditorul intern a riscurilor legate de proiect, precum și de importantă să pentru organizație.

3.4.ABORDAREA SI EVALUAREA AUDITULUI INTERN PORNIND DE LA RISCURILE DE AUDIT SI CONTROLUL INTERN

Activitățile auditului intern pot include următoarele aspecte:

– Monitorizarea controlului intern;

– Examinarea informațiilor financiare și operaționale ale entității;

– Revizuirea activităților operaționale din punct de vedere al economiei, eficienței și eficacității;

– Revizuirea activităților pentru conformitatea cu legile și regulamentele, politicile conducerii etc.;

– Managementul riscului – identificarea și evaluarea expunerilor semnificative la risc și îmbunătățirea managementului riscului și a sistemelor de control intern;

– Evaluarea procesului de guvernanță/conducere în ceea ce privește îndeplinirea obiectivelor cu privire la etică și valori, performanță și răspundere, eficiența comunicării etc.

Auditorii publici externi trebuie să evalueze activitatea auditului intern din entitățile publice din următoarele considerente:

1. auditul intern este parte componentă a sistemului de control intern;

2. activitatea auditorilor interni poate fi utilizată pentru obținerea unei părți a probelor de audit care este necesară îndeplinirii obiectivelor misiunii de audit public extern.

Pentru a determina măsura în care funcția de audit intern poate fi relevantă propriei activități, auditorul public extern trebuie să obțină o înțelegere a:

a) naturii responsabilităților funcției de audit intern și a modului în care funcția de audit intern este corespunzătoare structurii organizaționale a entității;

b) activităților desfășurate sau care urmează a fi desfășurate de către auditul intern.

Evaluarea mediului de control intern este prima etapă a evaluării riscului de control.

Mediul de control, determinat în mare măsură de politicile manageriale și de stilul de funcționare al entității, este fundamental pentru modul de desfășurare al controalelor într-o entitate publică.

De aceea, auditorul public extern trebuie să înțeleagă modul în care conducerea entității a creat și menținut o cultură de onestitate și comportament etic și dacă a pus la punct controale adecvate pentru a preveni și detecta fraudele și erorile într-o entitate.

În situația în care auditorul public extern stabilește că în cadrul entității există un mediu de control satisfăcător, atunci acesta poate considera că este un factor pozitiv pentru evaluarea riscurilor de denaturare semnificativă și că se influențează totodată natura, timpul și întinderea procedurilor suplimentare de audit pe care le va aplica. De asemenea, un mediu de control satisfăcător, poate conduce la concluzia că riscul de fraudă este mai redus, dar nu este neapărat un obstacol absolut în calea fraudei. În acest caz se creează premiza că activitățile de control instituite de entitate funcționează eficient în practică, iar auditorul public extern se concentrează pe acele întrebări din chestionar care vizează activitățile de control/procedurile de control aferente categoriilor de operațiuni economice ce se vor analiza.

Riscul poate fi considerat în sens negativ de incertitudine, amenințare, obstacol sau în sens pozitiv, de oportunitate.

Procesul de gestionare a riscului implică:

1. Identificarea riscurilor aferente obiectivelor instituției, inclusiv a celor datorate factorilor interni și externi, la nivel de instituție și la nivel de activitate.

2. Evaluarea riscurilor:

– estimarea semnificației riscurilor;

– evaluarea probabilității producerii riscurilor.

3. Evaluarea înclinației/dispoziției (gradului/nivelului) de acceptare a unor riscuri de către conducerea instituției;

4. Crearea răspunsurilor/stabilirea acțiunilor ce trebuie întreprinse:

– trebuie avute în vedere patru tipuri de răspunsuri la risc: transfer, toleranță, tratare sau terminare. Dintre acestea, tratarea riscurilor este cea mai relevantă, deoarece controalele interne eficiente reprezintă principalul mecanism de tratare a riscurilor;

– controalele adecvate care pot fi introduse pentru a evita riscurile pot fi de depistare sau de prevenire.

Având în vedere evenimentele economice din ultimii ani, cea mai importantă provocare va fi ca organizațiile să găsească echilibrul între risc, costuri și valoare, în condițiile în care un beneficiu semnificativ este de a avea cât mai multe rezultate cu resurse puține, dar care presupune o stabilire clară a riscurilor cheie cu care se confruntă entitățile.

CAP. 4. STUDIU DE CAZ

Studiul de caz va prezenta activitatea departamentului de audit intern din cadrul unei societății comerciale din domeniul producției și distribuției de produse de panificație și totodată se va face o analiză pe baza datelor colectate. Se vor trage concluzii cu privire atât la modul de organizare și acționare al departamentului cât și la calitatea activității prestate de acesta.

Departamentul de audit intern analizat face parte din cadrul societății comerciale PANPROD, unul dintre importanții producători și distribuitori de pâine și produse de panificație.