Proceduri de Audit Desfasurate In Vederea Obtinerii Probelor de Audit Intern, Audit al Situatiilor Finaciare

INTRODUCERE

Unul dintre cele mai importante standarde ce compun Codul Controlului Intern, aprobat prin Ordinul Ministrului Finanțelor Publice nr. 946/2005, este Standardul Managementul Riscurilor.

Conform standardului menționat mai sus, fiecare entitate publică are obligația de a analiza sistematic, cel puțin o dată pe an, riscurile legate de desfășurarea activităților sale, să elaboreze planuri corespunzătoare în direcția limitării posibilelor consecințe ale acestor riscuri și să numească responsabili pentru aplicarea planurilor respective.

Fiecare entitate care intenționează să atingă niște obiective, își stabilește activitățile ce conduc la realizarea scopurilor propuse și, în același timp, caută să identifice cât mai multe din “amenințările” ce l-ar împiedica să facă acest lucru, pentru a lua din timp măsurile necesare. Cu alte cuvinte, chiar dacă nu suntem familiarizați cu conceptele de risc și de management al riscurilor, acționăm de nenumarate ori, conștient sau nu, în acest sens.

Plecând de la obiectivele generale ale acestui Program, dar și de la sfera auditului public intern, am considerat că “Managementul riscurilor în cadrul entitatilor” este un subiect de actualitate și important, în același timp, în cadrul acestora.

MANAGEMENTUL RISCURILOR

În perioada actuală, în contextul principiilor generale de bună practică care concură la obținerea rezultatelor dorite de entități, controlului intern i se asociază o accepțiune mult mai largă, aceasta fiind privită ca o funcție managerială și nu ca o operațiune de verificare.

ASPECTE TEORETICE PRIVIND MANAGEMETUL RISCURILOR

Managementul riscurilor este activitatea prin care se realizează gestiunea riscurilor într-o organizație.

Scopul managementului riscurilor este optimizarea expunerii la risc. În felul acesta, poate fi obținută prevenirea pierderilor, evitarea amenințărilor grave, iar oportunitățile valoroase pot fi exploatate în cunoștință de cauză.

Orice manager trebuie să-și pună problema de a gestiona amenințările, deoarece, în caz contrar, neatingându-și obiectivele, s-ar descalifica, sau de a fructifica oportunitățile în beneficiul organizației, dovedindu-și eficiența. Dacă incertitudinea este o realitate cotidiană, atunci și reacția la incertitudine trebuie să devină o preocupare permanentă.

Managerii unei organizații nu trebuie să se limiteze la a trata, de fiecare dată, consecințele unor evenimente care s-au produs. Tratarea consecințelor nu ameliorează cauzele și, prin urmare, riscurile materializate deja se vor produce și în viitor, de regulă, cu o frecvență mai mare și cu un impact crescut asupra obiectivelor. Managerii trebuie să adopte un stil de management reactiv, ceea ce înseamnă că este necesar să conceapă și să implementeze măsuri susceptibile de a atenua manifestarea riscurilor. Reacția orientată spre viitor permite organizației să stăpânească, în limite acceptabile, riscurile trecute, ceea ce este același lucru cu creșterea șanselor de a-și atinge obiectivele.

IDENTIFICAREA RISCURILOR

Pentru a se gestiona riscurile într-o organizație, este necesar, înainte de toate, să se cunoască aceste riscuri, adică să fie identificate. Identificarea riscurilor constituie primul pas în construirea profilului riscurilor unei organizații.

Riscurile trebuie identificate la orice nivel unde se sesizează că există consecințe asupra atingerii obiectivelor și pot fi luate măsuri specifice de soluționare a problemelor, ridicate de respectivele riscuri.

Riscurile nu pot fi identificate și definite decât în raport cu obiectivele a căror realizare este afectată de materializarea lor. Din această cauză existența unui sistem de obiective clar definite în organizație constituie premisa esențială pentru identificarea și definirea riscurilor.

Un risc identificat poate avea semnificație pentru mai multe obiective ale organizației, iar impactul său poate varia în funcție de fiecare obiectiv în parte.

În raport de situația în care se află organizația, identificarea riscurilor se poate afla într-una din următoarele ipostaze:

Identificarea inițială a riscurilor caracteristică organizațiilor noi sau care nu și-au identificat anterior riscurile, într-o manieră structurată. De asemenea, această situație se întâlnește în cazul demarării unui nou proiect sau atunci când o activitate nouă este introdusă în organizație.

Identificarea permanentă a riscurilor caracteristică organizațiilor în care s-a consolidat managementul riscurilor. Identificarea continuă este necesară pentru cunoașterea riscurilor care nu s-au manifestat anterior datorită circumstanțelor, a schimbării circumstanțelor în care se manifestă riscurile identificate anterior, precum și pentru stabilirea riscurilor care s-au manifestat în trecut, dar care nu mai prezintă, în prezent, importanța pentru organizație.

La identificarea și definirea riscurilor trebuie avute în vedere câteva reguli importante:

Riscul este o incertitudine, nu ceva sigur. Prin urmare, atunci când se identifică un “risc” trebuie analizat dacă nu este vorba despre o situație existentă, care are un impact asupra obiectivului. De cele mai multe ori, situația existentă reprezintă un risc materializat, adică unul care s-a produs.

Nu ignorați problemele dificile identificate. Ele pot deveni riscuri în situații repetitive din cadrul aceleiași organizații sau pentru alte organizații în care astfel de riscuri nu s-au materializat.

Nu constituie riscuri probleme (situații, evenimente) care nu pot apare. În limbajul de specialitate al teoriei riscurilor, acestea se numesc ficțiuni. Riscurile sunt probleme care pot apare și nu probleme (situații, evenimente) a căror apariție este imposibilă.

Nu identificați ca riscuri probleme care vor apare cu siguranță. Acestea nu sunt riscuri, ci certitudini. Răspunsul la certitudini nu este un plan de răspunsuri la risc (măsuri de controlare a riscurilor – măsuri de a ține sub control riscurile), ci un plan construit având ca punct de referință certitudinea.

Riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul nu este risc, ci consecința materializării riscurilor asupra realizării obiectivelor. Impactul este un efect ce își are sorgintea în risc și nu riscul însăși.

Riscurile au o cauză și un efect asupra obiectivelor. Există o cauză pentru fiecare risc și un efect dacă riscul se materializeaza. Efectul (consecința) este, așa dupa cum s-a arătat, impactul. Cauza este o situație care există (circumstanța) și care favorizează apariția riscului.

Identificarea riscurilor nu este întotdeauna o operatiune strict obiectiva ci, în primul rând, o problemă de percepție. De fapt, se poate afirma că nu se operează cu riscuri în sine, ci cu percepții asupra riscurilor.

Pentru a atenua subiectivismul în perceperea riscurilor este recomandat să se recurgă la două metode complementare de identificare a riscurilor cu care se confruntă organizația:

Autoevaluarea riscurilor. Metoda are avantajul că fiecare grup, care participă la o activitate omogenă a organizației, cunoaște mult mai bine problemele cu care se confruntă în realizarea obiectivelor proprii. Totodată, atunci când membrii colectivului sunt puși în situația de a descoperi ei înșiși riscurile, ei tind să devină mai conștienți și mai responsabili în gestionarea acestora.

Dezavantajul metodei constă în faptul că fiind implicați direct în activitate, subiectivismul în perceperea riscurilor este mai accentuat. Se întâmplă să se identifice riscuri nerelevante, dar care în percepția colectivă par importante și invers.

Desemnarea unei echipe, internă sau externă (eventual angajată prin contract), care să analizeze toate operațiunile și activitățile organizației în corelare cu obiectivele și să identifice riscurile asociate. Echipa trebuie să realizeze un profil al riscurilor organizației. Avantajul acestei metode constă în atenuarea subiectivismului și în corelarea riscurilor pe diferite nivele. Dezavantajul rezidă în faptul că anumite riscuri, aparent neimportante, pot fi ignorate.

EVALUAREA RISCURILOR

Odată riscurile identificate se trece la a doua etapă, de evaluare a riscurilor. Evaluarea riscurilor presupune evaluarea probabilității de materializare a riscurilor și a impactului (consecințelor) asupra obiectivelor în cazul în care acestea se materializează. Combinația dintre nivelul estimat al probabilității și nivelul estimat al impactului constituie expunerea la risc, în baza căreia se realizează profilul riscurilor.

Scopul evaluării riscurilor este de a stabili o ierarhie a riscurilor unei organizații care, în funcție de tolerabilitatea la risc, permite stabilirea celor mai adecvate modalități de tratare a riscurilor și delegarea responsabilității de gestionare a riscurilor celor mai potrivite nivele decizionale.

Din fericire există un element comun, și anume: percepția noastră asupra riscurilor. Fără îndoială, orice metodă bazată pe percepție este subiectivă, dar, în lipsă de altceva, este un mare pas înainte în comparație cu situația în care riscurile sunt tratate intuitiv și întâmplător, uneori chiar fără să fim conștienți că facem acest lucru.

Metoda bazată pe percepție are însă o justificare obiectivă. Nu atât nivelele evaluate ale riscurilor au importanță, cât mai ales dacă riscurile sunt percepute sau nu ca tolerabile. Cu alte cuvinte, deviația expunerii la risc față de tolerabilitatea la risc este relevantă deoarece aceasta creează motivația pentru găsirea metodelor cele mai adecvate de gestionare a riscurilor.

Evaluarea riscurilor constă în parcurgerea celor trei etape:

evaluarea probabilității de materializare a riscului identificat;

evaluarea impactului asupra obiectivelor în cazul în care riscul s-ar materializa;

evaluarea expunerii la risc ca o combinație între probabilitate și impact.

Evaluarea probabilității de materializare a riscului înseamnă determinarea șanselor de apariție a unui rezultat specific. Reamintesc că riscul este o problemă (situație, eveniment) care poate să apară (să se materializeze), caz în care realizarea obiectivelor este afectată. Cu alte cuvinte, există o incertitudine în apariția situației sau evenimentului care poate afecta realizarea obiectivelor.

Probabilitatea este o măsură a incertitudinii. Pentru a se înțelege cât mai bine noțiunea de probabilitate se va recurge la câteva exemple ce au în vedere riscuri reale (riscuri care s-au materializat în trecut, dar care pot să se manifeste și în viitor dacă nu se iau măsuri adecvate de gestionare a lor).

O evaluare destul de bună a probabilității de materializare a unor riscuri se poate realiza și prin analiza circumstanțelor.

Metoda analizei circumstanțelor are la bază un postulat simplu: dacă există aceleași cauze vor există aceleași efecte. Nu trebuie redus totul la experiența proprie. Uneori este suficient să cunoaștem corelațiile stabilite de alții și să înțelegem pe cele ce apar în situații noi.

Evaluarea impactului asupra obiectivelor în cazul materializării riscurilor

Impactul reprezintă consecința asupra obiectivelor (rezultatelor) așteptate, care poate fi, în funcție de natura riscului, negativă sau pozitivă.

Este de la sine înțeles, că managerii organizației, ca și celălalt personal raportat la obiectivele individuale, aflați în fața unei situații de risc, sunt interesați să cunoască cât de mari sunt consecințele asupra obiectivelor urmărite dacă riscurile s-ar materializa. Din aceasta rezultă necesitatea evaluării impactului.

În unele situații, mai ales când este vorba de obiective strategice, iar organizațiile sunt complexe (similar, proiecte complexe, activități complexe), evaluarea impactului devine o problemă dificilă ce necesită studii de impact.

Impactul oricărui risc este caracterizat prin consecințe de diferite naturi. Alături de consecințe calitative, exprimate descriptiv, pot fi identificate și consecințe exprimate în termeni de buget (costuri), de efort (timp de muncă) și de timp (întârzieri posibile în termenul de realizare a obiectivelor).

Evaluarea expunerii la risc

Expunerea la risc reprezintă consecințele, ca o combinație de probabilitate și impact, pe care le poate resimți o organizație în raport cu obiectivele prestabilite în cazul în care riscul

s-ar materializa.

Această definiție s-ar putea să ridice unele dificultăți de înțelegere deoarece expunerea la risc nu este o măsură a consecințelor, ci o măsură probabilistică a acestora.

Expunerea la risc este un concept probabilistic, deoarece exprimă o combinație între probabilitate și impact. Ca urmare, ea are semnificație numai înaintea producerii riscului. După apariție, riscul nu mai este o incertitudine, ci devine un fapt împlinit. În termenii teoriei probabilităților aceasta înseamnă că probabilitatea de apariție (materializare) a riscului este 1 (eveniment sigur). În aceste condiții expunerea la risc este de fapt impact.

De asemenea, în definiție se precizează că expunerea la risc este o combinație între probabilitate și impact. Prin urmare, scala de evaluare a expunerii la risc nu mai este unidimensională, ca în cazul probabilității sau impactului, ci una bidimensională sau, cu alte cuvinte, de tip matricial. Liniile matricei descriu variația probabilității, iar coloanele variația impactului. Expunerea la risc apare la intersecția liniilor cu coloanele.

RECOMANDĂRI ȘI SOLUȚII PROPUSE

Pentru cunoașterea și identificarea scopului pentru care este necesară organizarea și aplicarea formelor sistemului de control intern din cadrul entităților, precum și procedurile ce trebuie să se aplice în realizarea acestui control intern, ar fi utilă dezbaterea Ordinului ministrului finanțelor publice nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinzând standardele de management/control intern la entitățile publice și pentru dezvoltarea sistemelor de control managerial.

La o asemenea dezbatere, care ar avea scopul unei înțelegeri corecte a prevedrilor actului normativ menționat, ar trebui să participe personalul cu funcții de conducere din cadrul organizației.

Personalul care asigură managementul pe cale ierarhică ar trebui să inițieze acțiuni de identificare a categoriilor de riscuri specifice propriilor activități și pe această cale:

să stabilească măsurile necesare diminuării fiecărei categorii de risc identificate;

să stabilească personalul responsabil din cadrul compartimentului, căruia îi revine sarcina de a aplica măsurile stabilite pentru diminuarea riscurilor identificate;

prin formele reglementate de Sistemul de control intern al entității sau prin măsuri adaptate specificului activității compartimentului de specialitate, personalul cu funcții de conducere să monitorizeze/supervizeze permanent modul cum personalul responsabil aplică măsurile stabilite pentru diminuarea și menținerea unui nivel acceptabil al riscurilor identificate.

Fiind un proces de durată, ar trebui ca, periodic, la nivelul conducerii compartimentelor/ birourilor/ secțiilor/ oficiilor entității și la o dată stabilită de șeful acestora, să se efectueze o analiză a activității intreprinse de fiecare șef de compartimen/ birou/ secție/ oficiu, urmând a discuta progresele întreprinse privind identificare riscurilor și acțiunile aplicate pentru diminuarea acestora și rezultatele obținute efectiv.