PLANIFICARE STRATEGIC I MANAGEMENTUL RISCULUI 5.3. Planul strategic i planificarea pe baza riscurilor Ce este un plan strategic?

Este un document care prevede ce anume urmeaz s se auditeze, cnd i cum. Este de asemenea i un instrument de a adapta modul de utilizare a resurselor disponibile necesare planului. Perioada strategic nu mai este la fel de lung ca n trecut pentru c schimbarea are o dinamic mai accentuat. Planurile care ncearc s acopere mai mult de 3 ani nu mai sunt fezabile n organizaiile moderne. Planificarea este un instrument care ne ajut s ne asigurm c lucrurile sunt realizate corespunztor, la un moment potrivit i c sunt disponibile resursele necesare atunci cnd este nevoie de ele. Planificarea auditului const n construirea unei strategii generale i unor abordri detaliate cu privire la natura, durata i gradul de ntindere preconizat al auditului. Activitatea de planificare a auditului comport urmtoarele caracteristici: Raionalitatea Procesul de planificare i rezultatele acestuia permit auditorului evaluarea logic a ndeplinirii sarcinilor, precum i intirea de obiective clare; Anticiparea Procesul de planificare permite dimensionarea misiunilor n timp, astfel nct prioritile s fie mai clare scoase n eviden; Coordonarea Planificarea permite coordonarea, de ctre structurile de audit att a politicilor de audit ct i a activitilor desfurate de ali auditori sau experi.

Abordarea pe baza riscurilor Planurile strategice se fundamenteaz pe riscuri, fiind elaborate astfel nct s reflecte maturitatea gestionrii riscurilor n cadrul entitii. Dac organizaia este foarte matur i auditul intern a validat calitatea gestionrii riscurilor, cel mai bun mod de a realiza planif icarea strategic este s se identifice cele mai ridicate riscuri din cadrul profilului riscurilor la nivel de organizaie i totodat s se defineasc un numr de misiuni de audit pe baza acestor riscuri. Aceast abordare nu este valabil n Romnia la ora actual. Dac gestionarea riscurilor nu este suficient de matur n organizaie este normal ca auditul intern s i elaboreze planul strategic pe baza propriei percepii asupra riscurilor din organizaie, ns acest lucru trebuie desigur convenit cu conducerea la vrf i aliniat viziunii ei i prioritilor aferente. La evaluarea riscurilor n vederea planificrii se vor avea n vedere urmtorii factori de risc: Constatrile anterioare ale auditului; Sensibilitatea sistemului, aa cum este perceput; Mediul de control; ncrederea n managementul operaional; Schimbrile de oameni sau de sisteme; Complexitatea.

ntocmirea planului strategic Planificarea activitilor auditului intern se face astfel: Pe termen lung (5 ani); Pe termen mediu (3 ani); Anual

Etapele ntocmirii planului strategic Identificarea tuturor sistemelor; - Analiza documentelor - Realizarea interviurilor cu directorii superiori - Gruparea sistemelor n scopul auditului Evaluarea riscurilor aferente fiecrui sistem; Clasificarea riscurilor n funcie de punctajul acordat; Stabilirea numrului de zile de audit alocate misiunilor pe baza experienei auditorilor; Stabilirea sistemelor strategice care prezint un grad ridicat de risc. Un plan de audit este bine apreciat cnd 70% din bugetul de timp este afectat pentru activiti de audit intern. Metoda de elaborare a bugetului este ca pentru fiecare obiectiv s calculm de ce avem nevoie i apoi prin nsumare i cu serviciile aferente s stabilim valoarea noastr. Raportarea s se fac avnd n vedere scopurile stabilite, modalitile utilizate i rezultatele ateptate. Conform standardelor I.I.A. (2000, 2010) eful auditului intern trebuie s realizeze o planificare bazat pe riscuri pentru a stabili prioritile n acord cu obiectivele organizaiei. Programul misiunilor de audit intern trebuie la rndul lor s se bazeze pe o evaluare a riscurilor realizate cel puin o dat pe an i s se in cont de punctul de vedere al managementului general. n situaiile n care avem propuneri de realizare i a unei misiuni de consiliere, eful structurii de audit intern nainte de a o accepta, trebuie s ia n calcul n ce msur aceasta poate aduce un plus de valoare i contribuie la mbuntirea managementului riscurilor n funcionarea organizaiei. Misiunile de consiliere care au fost acceptate trebuie s fie integrate n planul audit intern anual, care va fi transmis apoi managerului general pentru aprobare. 5.4. Riscul concept, tipuri de risc Riscul este ameninarea ca un eveniment sau o aciune s influeneze negativ capacitatea unei organizaii de a-i atinge obiectivele propuse. Este o combinaie de probabilitate i impact, inclusiv importana perceput. Tipuri de risc: de organizare (neformalizare proceduri, lipsa unor responsabiliti precise); operaionale (nenregistrarea n evidenele contabile, arhivare deficitar); financiare (pli nesecurizate, nedetectarea operaiilor cu risc financiar); alte riscuri (generate de schimbri legislative, structurale, manageriale). Din punct de vedere al posibilitilor de a se produce, exist riscuri poteniale i riscuri posibile. a) Riscurile poteniale sunt cele mai susceptibile teoretic de a se produce, dar nici un control nu se exercit pentru a fi prevenite, descoperite i corectate. Aceste riscuri sunt comune tuturor entitilor.

b) Riscurile posibile reprezint acea parte a riscurilor poteniale pentru care managementul entitii nu a ntreprins msuri eficiente menite de a le limita. Ca urmare, exist o mare probabilitate ca erorile s se produc fr a fi detectate i corectate. Registrul de riscuri Registrul de riscuri este un tabel cu riscurile care au fost identificate, coninutul acestuia are tendina de a crete responsabilitatea examinrii periodice i gestionrii permanente a tuturor riscurilor. Riscul inerent este expunerea la un risc specific fr a se lua n considerare nici o msur pentru gestionarea sau reducerea acestuia. Riscul rezidual este expunerea la un risc specific dup ce s-a luat n considerare msura luat pentru gestionarea sa, presupunnd c msura este eficient. Componente eseniale ale registrului de riscuri: obiectivul; riscul; responsabilul; impactul; probabilitatea i expunerea aferente unui risc inerent; aciunea de ameliorare i stadiul acelei aciuni; impactul; probabilitatea i expunerea aferente unui risc rezidual; Componente suplimentare: data la care a fost revizuit ultima dat fiecare risc; legturi sau dependene de principalele obiective de activitate; istoria fiecrui risc; culori n conformitate cu expunerea inerent i rezidual. Conducerea fiecrei organizaii trebuie s aib o ierarhie a obiectivelor la fiecare nivel i subunitate, pn la obiectivele operaionale individuale. n exercitarea misiunii sale de audit auditorul se confrunt ntr-o entitate, cu urmtoarele tipuri de riscuri : a) Riscuri generale specifice entitii; b) Riscuri legate de natura operaiunilor tratate; c) Riscuri legate de conceperea i funcionarea sistemelor; d) Riscuri legate de procedeele i domeniile semnificative alese de auditori. a) Riscurile generale specifice entitii sunt acele riscuri care influeneaz ansamblul operaiilor entitii i se refer la : riscuri legate de situaia economic a entitii. Situaia economic difer n funcie de situaia financiar a acestuia. n cazul cnd entitatea cere o situaie financiar sntoas, fr dificultate, managementul acestuia are tendina s duc o politic conservatoare i s neglijeze anumite funcii ale ntreprinderii, sau ale managementului (inclusiv aceea de control). n cazul n care entitatea este n dificultate financiar, conducerea poate avea reacii necontrolate periculoase, fiind tentat s efectueze operaiuni ilicite (evaziune fiscal, s apeleze

la credite cu dobnzi foarte mai .a., sau s amne luarea unor decizii bune din lipsa mijloacelor financiare; riscuri legate de natura i complexitatea standardelor i regulilor. Cu ct aceste nereguli sunt mai complexe, cu att sunt mai mari sistemele de eroare. De exemplu, riscul de eroare la evaluarea produciei n avans, la produsele cu ciclu lung de fabricaie, este mai mare dect la evaluarea stocurilor din comer; riscuri legate de capacitatea gestiunii economico-financiare. O bun gestionare a resurselor, un proces decizional de calitate, un management performant, determin o reducere a riscului. riscuri legate de sistemul contabil i sistemul de control intern. Evidena tehnicooperativ i contabil, trebuie astfel concepute nct s asigure prevenirea, deteriorarea i corectarea oricror erori. Sistemul contabil i de control intern,organizate i aplicate cu rigoare, reprezint mijloace eficiente mpotriva riscurilor de erori; riscuri legate de atitudinea conducerii. Atitudinea conducerii poate contribui la limitarea sau creterea riscurilor n general, aceast atitudine poate merge de la ignorarea riscurilor (a celor cu probabilitate mic i impact sczut) pn la utilizarea de proceduri de control intern detaliate pentru prevenirea i diminuarea celorlalte categorii de riscuri; riscuri legate de natura operaiilor tratate. n contabilitate, riscurile de erori sunt determinate de calitatea i fiabilitatea sistemului contabil; riscuri legate de conceperea i funcionarea sistemelor. Fiabilitatea i funcionarea corespunztoare a sistemelor contabile i de control intern, determin diminuarea corespunztoare a riscurilor; riscuri legate de procedurile i domeniile semnificative alese de auditori, care sunt determinate n funcie de experiena i pregtirea profesional, de procedeele alese de auditori, care n mod inevitabil prezint un anumit nivel de risc. Definiia i componena riscului de audit Riscul de audit (R.A.) reprezint riscul pe care auditorul l atribuie unei opinii de audit neadecvate, atunci cnd situaiile financiare conin informaii eronate material. Nivelul de siguran constituie ncrederea obinut prin aplicarea procedurilor de audit, n sensul c erorile cumulate din situaiile financiare nu vor fi mai mari dect nivelul materialitii. Este necesar ca un auditor s fie ncreztor c rezultatele i concluziile formulate la finalul auditului sunt corecte. n general este agreat un nivel acceptabil al riscului de audit existent n timpul efecturii auditului, care se refer la msura n care auditorul este dispus s accepte c situaiile financiare sunt eronate, dup efectuarea auditului. Dac auditorul dorete un nivel al riscului de audit sczut, aceasta nseamn c dorete s fie ct mai sigur c situaiile financiare nu conin erori materiale. Astfel, dac presupunem c riscul este 0 (nu exist risc), asigurarea auditului va fi 100 (situaiile financiare sunt 100% corecte). Deci, riscul de audit + nivelul de siguran = 100% Riscul de audit are trei componente principale : riscul inerent, riscul de control i riscul de nedetectare.

Modelul riscului de audit Reprezint o form cantitativ a relaiilor dintre riscul de audit (R.A.), riscul inerent (R.I.), riscul de control (R.C.) i riscul de nedetectare (R.N.). Riscul de audit = riscul inerent x riscul de control x riscul de nedetectare sau, RA = RI x RC x RN Riscul inerent Riscul inerent (RI) reprezint susceptibilitatea unui sold al unui cont sau a unei categorii de tranzacii, la informaii eronate care ar putea fi materiale individual, sau atunci cnd sunt cumulate cu informaii eronate din alte solduri sau tranzacii, presupunnd c nu au existat controale interne corespunztoare. n dezvoltarea general a unui plan de audit, auditorul trebuie s evalueze riscu l inerent. Riscul inerent este msura n care auditorii evalueaz probabilitatea ca unele situaii financiare eronate s se produc n practic, acestea fiind considerate slbiciuni ale controalelor interne. Dac auditorul ajunge la concluzia c exist o probabilitate ridicat ca erorile din situaiile financiare s nu fie depistate de controalele interne, nseamn c el apreciaz un risc inerent ridicat. Includerea nivelului riscului inerent n modelul riscului de audit, presupune c auditorii vor ncerca s previzioneze segmentele din situaiile financiare care prezint cea mai mic i respectiv cea mai mare probabilitate de a fi eronate. Aceste informaii afecteaz dimensiunea probelor de audit necesare a fi colectate de auditor i influeneaz eforturile auditorilor n activitatea alocat colectrii probelor pe parcursul auditului. Exist de asemenea, riscul ca entitatea prin managementul acesteia s fac unele declaraii eronate, care n mod individual sau cumulate pot conduce la situaii financiare false. Declaraiile eronate pot fi intenionate sau neintenionate. Riscul inerent reprezint probabilitatea ca declaraiile s fie eronate nainte de a lua n considerare controalele interne ale entitii. Cnd evalueaz riscul inerent auditorul va lua n considerare urmtorii factori : rezultatele auditurilor precedente; angajamentele iniiale, comparativ cu rezultatele; tranzaciile neobinuite sau complexe; raionamentul profesional avut n vedere la stabilirea soldurilor conturilor i la nregistrarea tranzaciilor; activele care sunt susceptibile la delapidri; formarea populaiei i dimensiunea eantionului; schimbrile n cadrul conducerii i reputaia acesteia; natura activitii entitilor, incluznd natura produciei realizate i a serviciilor prestate de aceasta; natura sistemului de procesare a datelor i gradul de utilizare al tehnicilor moderne pentru comunicare. Evaluarea riscului inerent

Pentru a evalua riscul inerent, auditorii trebuie s efectueze o analiz a contextului n care funcioneaz entitatea auditat, precum i caracteristicile operaiunilor auditate prin interviuri cu conducerea entitii i cunoaterea activitii acesteia, obinut din rapoartele auditurilor precedente. Auditorul trebuie s evalueze factorii de mai sus, pentru a stabili riscul inerent specific fiecrui ciclu de tranzacii, cont i obiectiv al auditului. Unii factori vor afecta mai multe sau probabil toate clasele de conturi, n timp ce ali factori cum ar fi tranzaciile neobinuite, vor afecta numai anumite clase de conturi (specifice). Pentru fiecare entitate sau clas de conturi, decizia de a evalua un risc inerent corespunztor, depinde n principal de raionamentul profesional al auditorului. Astfel, mai muli auditori stabilesc un risc inerent de 50%, chiar n cele mai bune circumstane i de 100% atunci cnd exist oricnd posibilitatea apariiei unor erori materiale. De regul, auditorii recurg la ntocmirea i completarea unei liste de ntrebri i n funcie de rspunsurile primite i pe baza raionamentului profesional, evalueaz riscul inerent ca fiind ridicat, mediu, sczut. Riscul inerent poate fi exprimat fie n termeni cuantificabili (ex: n procente), fie n termeni necuantificabili (ex: ridicat, mediu, sczut). Riscul de control Riscul de control (RC) reprezint riscul ca o eroare semnificativ, ce ar putea aprea n soldul unui cont sau ntr-o categorie de tranzacii i care ar putea fi material individual sau atunci cnd este cumulat cu alte informaii eronate din alte solduri sau categorii de tranzacii, s nu poat fi prevenit sau detectat i corectat n timp util de ctre sistemul contabil i sistemul de control intern. Cu alte cuvinte, riscul de control este acel risc ca erorile din situaiile financiare s nu poat fi detectate i corectate de sistemul de control intern. Sistemul de control intern al entitii auditate cuprinde dou componente : mediul de control; procedurile de control intern. n mod evident, cnd controalele interne funcioneaz i sunt foarte bune, auditorii se vor putea bizui pe ele, deci avem un mediu de control bun. Dimpotriv, dac controalele sunt reduse ca numr i slabe cantitativ, auditorii nu se pot bizui pe ele, deci avem un mediu de control slab inexistent. Ineficacitatea controalelor interne conduce la creterea riscului de control i i va determina pe auditori s nu aib ncredere n sistemul de control intern. De menionat c auditorul ar trebui s discute cu conducerea entitii slbiciunile mediului de control i s fac recomandri pentru ntrirea acestuia. Totodat el va utiliza slbiciunile identificate prin aplicarea chestionarului, n vederea formulrii unor recomandri de remediere. Evaluarea riscului de control Evaluarea riscului de control se realizeaz n etapa de planificare a auditului. Auditorul stabilete riscul de control prin evaluarea sistemului de control intern al entitii auditate i prin determinarea eficacitii activitii auditorilor interni. Evaluarea riscului de control se face n

etapa de planificare (n baza unor informaii colectate de auditor), urmnd a fi confirmat prin teste de control. Controlul intern al entitii auditate este conceput pentru asigurarea unei gestionri riguroase i eficiente a activitii entitii. Pentru evaluarea riscului de control, auditorii vor aprofunda nelegerea structurii sistemului de control intern, prin revizuirea i documentarea funcionrii acestuia n practic. Dac auditorul dorete s se bizuie pe sistemul de control intern (al entitii auditate) atunci cnd avem un mediu de control bun este necesar ca aceasta s testeze sistemul. Exist i situaii n care auditorul poate decide s nu aib ncredere n sistemul de control intern cnd avem un mediu de control slab . n astfel de cazuri, el poate aprecia c nu este necesar efectuarea de teste de control, iar riscul de control va fi evaluat la un nivel ridicat. n mod obinuit, auditorul trebuie s testeze sistemul de control intern, s se asigure dac acesta exist i dac a funcionat corespunztor de-a lungul ntregului an. Una din metodele frecvent utilizate este metoda chestionarelor. Evaluarea riscului de control necesit utilizarea raionamentului profesional al auditorului, fapt pentru care acesta poate fi caracterizat ca un proces subiectiv. Evaluarea poate fi exprimat fie n termeni cuantificabili (ex: procente), fie n termeni necuantificabili (ex: sczut, mediu, ridicat). Riscul de nedetectare Riscul de nedetectare (RN) reprezint riscul ca o procedur de fond utilizat de auditor s nu detecteze o informaie eronat ce exist n soldul unui cont sau categorie de tranzacii care poate fi material, n mod individual sau cnd este cumulat cu informaii eronate din alte solduri sau categorii. Riscul de nedetectare mai este definit ca fiind riscul ca un auditor s nu descopere acele erori materiale care nu au fost depistate de sistemul de control intern. Riscul de nedetectare poate fi influenat de ctre auditor prin schimbarea naturii, perioadei de timp i extinderea testelor de fond, aplicate asupra soldului unui cont. Exemplu : Utilizarea unor proceduri mai numeroase i eficace, va avea ca rezultat un nivel mai sczut al riscului de nedetectare, dect atunci cnd utilizm proceduri mai puin eficace. Riscul de nedetectare este determinat dup stabilirea a dou componente ale riscului de audit: riscul inerent i riscul de control. n determinarea riscului de nedetectare, auditorul va trebui s ia n considerare, de asemenea, probabilitatea c acesta a fcut o eroare, cum ar fi neaplicarea unei proceduri de auditare sau neinterpretarea uneia din probele de audit obinute. Aceste aspecte ale riscului de nedetectare pot fi reduse (atenuate) printr-o planificare adecvat, o supervizare atent, precum i prin respectarea standardelor de control a calitii auditului. Nivelul planificat al riscului de nedetectare poate fi revizuit (atunci cnd este necesar), pe baza probelor de audit obinute (schimbri n evalurile riscului inerent i de control pe parcursul efecturii aciunii de audit). n cazul n care folosesc modelul riscului de audit, auditorii trebuie s parcurg urmtorii pai : a) stabilirea nivelului planificat al riscului de audit; b) evaluarea riscului inerent i a riscului de control; c) rezolvarea ecuaiei riscului de audit pentru stabilirea unui nivel corespunztor al riscului de nedetectare. Att riscul inerent, ct i riscul de control nu pot fi niciodat stpnite de auditor, spre deosebire de riscul de nedetectare care poate fi influenat de ctre auditor.

5.5. Reglementri recente n evaluarea riscurilor n vederea planificrii AI Obiectivul modelului de risc este s optimizeze alocarea resurselor de audit printr-o nelegere cuprinztoare a universului domeniului de audit i riscurile asociate cu fiecare element al acestuia. Bunele practici internaionale, adoptate de I.I.A., ncepnd cu elaborarea Planului de audit pentru anul 2003, recomand un model de audit al riscului pentru a cuantifica nivelul de risc al fiecrei uniti de audit, n vederea programrii auditurilor conform prioritilor stabilite. Aceasta reprezint o desprire de practicile trecute care se bazau mai puin pe judecat formal a riscului i mai mult pe perioada de timp scurs de la ultimul audit. Ultimul model de analiz a riscului, recomandat de I.I.A., n 2003, se bazeaz pe 6 factori de risc, i anume: F1 - Constatrile anterioare ale auditului; F2 - Sensibilitatea sistemului, aa cum este perceput; F3 - Mediul de control; F4 - ncrederea n managementul operaional; F5 - Schimbrile de oameni sau de sisteme; F6 - Complexitatea. Fiecare element din universul de audit va fi cuantificat dup aceti 6 factori folosind o scar numeric de la 1 la 3, unde: 1 nseamn probabil c nu prezint probleme, 2 nseamn posibil o problem, 3 nseamn probabil o problem. Rezultatele acestor analize sunt totalizate i apoi multiplicate cu un factor de vrst a auditului, cum ar fi: - 100% dac un audit similar a fost fcut n ultimele 24 de luni; - 125% dac auditul a fost fcut n urm cu 25-36 luni; - 150% dac auditul a fost fcut n urm cu 37/60 de luni; - 200% dac auditul e mai vechi de 60 de luni. Nivelele rezultatelor se vor ntinde pe o plaj de valori cuprinse ntre 6-36, care dup ncheierea acestui proces de notare vor fi grupate pe 4 categorii, n funcie de factorul de risc prezentat, astfel: stratul de 10%, de sus, reprezint nivelul de risc maxim; stratul de 30% reprezint nivelul de risc sensibil; stratul de 40% reprezint nivelul de risc moderat; ultimul strat de 20% reprezint nivelul de risc sczut. Cadrul pentru planul anual de audit intern este apoi construit din mostre din cele 4 straturi folosind urmtoarele inte de acoperire: - entitile de audit considerate de risc mare vor fi auditate n proporie de 100%; - stratul de risc sensibil va fi auditat n proporie de 50%; - o mostr de 25% va fi auditat din stratul de risc moderat; - stratul de risc sczut va fi auditat selectnd elemente n proporie de 10%. Grupurile de risc mai sczut sunt eantionate pentru a vedea dac procesul de notare funcioneaz i confirm c nivelurile de risc sunt n mod corespunztor clasificate. n timp ce modelul de risc nc necesit judeci, nivelurile individuale sunt documentate i pot fi analizate critic i polemizate.

Modelul, de asemenea, promoveaz definirea uniform a universului de audit al fiecrui segment. Astfel, riscurile de audit la fiecare locaie ale entitii publice pot fi comparate cu cele de la celelalte locaii pe o baz obiectiv. Aceasta va ghida folosirea i repartizarea geografic a personalului. Definirea universului de audit este prima cerin prealabil a ierarhizrii riscurilor. Aceast determinare a domeniului auditului va fi bazat pe cunoaterea planului strategic al organizaiei i activitile acesteia i discuiile cu responsabilul compartimentului de resurse umane. Modelul de evaluare a riscurilor recomand liniile directoare de stabilire a criteriilor de ierarhizare a riscurilor, care sunt: Constatrile anterioare ale auditului sunt un indicator al disciplinei de control intern. Problemele sunt adeseori caracterizate de deficiene semnificative ale controlului, modificri (ajustri) importante, un numr de constatri mai mare dect normal, iar constatrile repetitive nu sunt fixe. Dimpotriv, lipsa de constatri i corectarea periodic a constatrilor anterioare indic o disciplin a controlului. Sensibilitatea reprezint evaluarea riscurilor inerente asociate cu entitile evaluate. Aceasta este o evaluare a ceea ce potenial ar putea produce nereguli n viitor i care va fi reacia asociat, care poate fi conectat, din punct de vedere al riscului, cu pierderea sau descompletarea activelor, cu erorile nedetectate, cu datoriile nerecunoscute sau necuantificate exact sau riscul de publicitate advers, obligaii legale etc. Cuantificarea sensibilitii va trebui s in seama i de mrimea entitii analizate, expunerea potenial i probabilitatea. Mediul de control reprezint politicile colective, procedurile, regulile obinuite, msurile de protecie fizic a patrimoniului i personalul folosit n acest scop. Esenial pentru un mediu favorabil de control este tonul de la vrf, aderena la politicile i procedurile cuprinse n documente, sisteme sigure, prompta detectare i corectare a erorilor, dotarea adecvat cu personal i asigurarea unui numr (de personal) inut sub control. Dimpotriv, lipsa de supraveghere, ratele mari de eroare, lipsa de documentare, cantiti mari de munc nenormat, insuficient gestionat, un mare numr de personal i operaiuni nereglementate, sunt simptome ale unui mediu slab de control. Relaii bune, atmosfer destins cu managementul executiv - reflect ncrederea conductorilor auditului n managementul direct responsabil cu unitatea auditat i implicarea managementului n controlul intern. Confortul este caracterizat de factori cum ar fi colaborarea n auditurile anterioare, experiena managementului n mediul de munc i percepiile privind calitatea i nivelul de dotare cu personal. Schimbri ale oamenilor/sistemelor. Practica indic faptul c schimbrile au impact asupra controalelor interne i raportrilor financiare. Schimbri apar de obicei pentru a avea efect pe termen lung, dar adeseori schimbrile pe termen scurt necesit o mai mare atenie din partea auditului. Schimbrile cuprind reorganizri, modificri ale ciclurilor de afaceri, creteri rapide, noi linii de produse, noi sisteme, achiziii i vnzri ale unor pri din firm (capital), noi reglementri sau legi i fluctuaia personalului. Unitile de audit mai puin afectate de schimbri vor fi mai puin auditate. Complexitatea. Acest factor de risc reprezint potenialul pentru a comite erori sau inadecvri care ar putea trece neobservate (nedetectate) din cauza complexitii mediul ui. Cuantificarea i nivelul complexitii va depinde de mai muli factori. Extinderea automatizrii, calculaii complexe, activiti interdependente, numr mare de produse sau servicii, orizontul de timp al estimrilor, dependena de un ter, cererile clienilor, timpii de procesare, legile i

reglementrile aplicabile i muli ali factori, unii dintre ei necunoscui, influeneaz judecile despre complexitatea unui anumit audit Perfecionarea modelului de cuantificare a riscurilor rmn o prioritate permanent a funciei auditului intern. Obiectivele auditorilor interni reprezint alocarea de resurse de audit ntr-o manier optim, ctre auditurile cu cel mai mare risc, pentru nsntoirea activitilor/subactivitilor entitii, iar economisirea de resurse pe baza analizei riscurilor s rmn o prioritate. 5.6. Metodologia evalurii riscurilor n auditul intern Normele generale de aplicare a auditului public intern contin o metodologie comuna pentru evaluarea riscurilor, atat pentru procedura de ntocmire a Planului de audit public intern, cat i pentru derularea unei misiuni de audit n faza de elaborare a Programului de audit, i presupun parcurgerea urmtoarelor etape: a. Identificarea activitilor auditabile; b. Identificarea riscurilor inerente asociate activitilor; c. Stabilirea factorilor de analiz a riscurilor i nivelele de apreciere ale acestora; d. Stabilirea nivelului riscului pe criteriile de apreciere; e. Determinarea punctajului total al riscului; f. Clasarea activitilor pe baza analizei riscurilor; g. Ierarhizarea activitilor care urmeaz a fi auditate; h. Elaborarea tematicii n detaliu a activitilor auditabile; i. Elaborarea planului de audit intern anual. a) Identificarea activitatilor auditabile se realizeaza pe baza analizei actului de infiintare, organigramei, ROF-ului, deciziilor de organizare a eventualelor noi activitati s.a. Etapa se concretizeaza prin intocmirea de catre auditori a Listei activitatilor din cadrul entitatii. b) Identificarea riscurilor inerente asociate activitilor Evaluarea riscurilor trebuie sa aiba n vedere gestionarea schimbarii: oamenii se schimba, metodele se schimba, organizarile i politicile se schimba i ca atare i riscurile se schimba. Evaluarea riscului inseamna identificarea i analizarea riscurilor relevante n indeplinirea obiectivelor, pentru a cunoaste modul n care acestea trebuie sa fie administrate. Evaluarea riscului este o parte a procesului operational i trebuie sa identifice i sa evalueze factorii interni i externi care ar putea afecta n mod negativ obiectivele organizatiei. Factorii interni i externi trebuie sa fie luati n considerare intr-o abordare a evaluarii riscului. Factorii interni sunt, de exemplu, natura activitatilor entitatii, calificarea personalului, schimbari majore n organizare sau randamentul angajatilor. Factorii externi pot fi variatia conditiilor economice, schimbarea cadrului legislativ, factorul politic sau schimbarile intervenite n tehnologie. Identificarea riscurilor asociate activitatilor trebuie sa tina seama de formele de control intern, respectiv de existenta i functionalitatea procedurilor. Stiind ca pentru orice activitate se elaboreaza o procedura de lucru care va contine i controalele interne, daca aceasta lipseste activitatea prezinta riscuri potential mai mari decat cele pentru care sunt elaborate proceduri. Aceasta se bazeaza pe faptul ca personalul de executie, neavand o procedura unitara va intelege foarte greu activitatea i implicit realizarea ei n practica. Etapa se concretizeaz prin ntocmirea tabelului Identificarea riscurilor asociate activitatilor auditabile.

c) Stabilirea factorilor de analiza a riscurilor i nivelele de apreciere a acestora se realizeaz innd cont de recomandrile din Normele generale pentru utilizarea factorilor privind: aprecierea controlului intern, aprecierea cantitativa i aprecierea calitativa, la care mai putem adaug i ali factori specifici activitatii. Spre exemplu, propunem pentru domeniul financiarcontabil sa utilizam i factorii: modificri legislative i vechimea personalului. Menionm c pentru stabilirea ponderii riscului se are n vedere importana i greutatea factorului de risc n cadrul activitii respective i de asemenea, faptul c suma ponderilor factorilor de risc trebuie s fie 100. Funcie de criteriile alese stabilim urmtoarele ponderi: Aprecierea controlului intern40%; Aprecierea cantitativ25%; Aprecierea calitativ..20%; Modificri legislative.10%; Vechimea personalului.5%. Factorul de risc este elementul utilizat pentru a identifica probabilitatea ca evenimentele sa aib un impact negativ asupra unei activiti auditabile. Nivelul factorului de apreciere a riscului reprezinta modificarea produsa de impactul riscului asupra domeniului auditabil. Etapa se concretizeaz prin ntocmirea tabelului Situatia privind factorii de analiza a riscurilor i nivelele de apreciere ale acestora. d) Stabilirea nivelului riscului pe criteriile de apreciere se realizeaza prin aplicarea la fiecare factor de analiza a riscurilor a unui nivel de apreciere. Etapa se concretizeaz prin ntocmirea situaiei Stabilirea nivelului riscului. e) Determinarea punctajului total se realizeaza prin aplicarea ponderii nivelului de apreciere fiecarui factor de risc pe nivele de riscuri n vederea stabilirii punctajului total pe baza formulei: Pt = Pi * Ni unde, Pt = punctaj total; Pi = ponderea riscurilor pentru fiecare factor; Ni = nivelul riscului pentru fiecare factor utilizat. Etapa se concretizeaz prin ntocmirea situaiei Determinarea punctajului total. f) Clasarea activitatilor pe baza analizei riscurilor se realizeaza pe baza punctajelor totale obtinute anterior, stabilite n ordinea impactului produs asupra domeniului auditabil i se departajeaza pe o scara cu trei nivele: mari, medii i mici. Etapa se concretizeaz prin ntocmirea situaiei Clasarea activitilor conine activitile identificate din cadrul domeniului financiar-contabil, n funcie de riscuri. g) Ierarhizarea activitatilor care urmeaz a fi auditate se realizeaz pe baza situaiei anterioare tinand cont i de numarul personalului, timpul disponibil, alte activitati care se desfasoara n cadrul structurii de audit intern si, n mod special, de analiza riscurilor identificate la celelalte domenii din cadrul entitatii. Etapa se concretizeaz prin elaborarea Situaiei puncte tari i puncte slabe, document care prezinta sintetic rezultatul evaluarii fiecarei activitati n scopul elaborarii Planului de audit intern. Documentul contine i o opinie referitoare la nivelul impactului riscurilor activitatilor asupra

domeniului auditabil i a gradului de incredere privind functionalitatea activitatii n cadrul domeniului. h) Elaborarea tematicii n detaliu a activitilor auditabile Tematica de detaliu se realizeaz pe baza Situaiei puncte tari i puncte slabe, ntocmit n etapa anterioar i cuprinde misiunile de audit intern ce vor face parte din planul pentru viitor. Etapa se concretizeaz n situaia Tematica n detaliu a activitilor auditabile. i) Elaborarea planului de audit intern anual Pentru elaborarea Planului de audit intern anual este necesar s determinm pentru fiecare obiectiv perioada auditat, fondul de timp necesar pentru realizarea misiunilor i numrul auditorilor implicai. Etapa se concretizeaz n elaborarea Planului de audit intern anual. 5.7. Rezumat Planurile strategice se fundamenteaz pe riscuri, fiind elaborate astfel nct s reflecte maturitatea gestionrii riscurilor n cadrul entitii. Bunele practici internaionale, adoptate de I.I.A., ncepnd cu elaborarea Planului de audit pentru anul 2003, recomand un model de audit al riscului pentru a cuantifica nivelul de risc al fiecrei uniti de audit, n vederea programrii auditurilor conform prioritilor stabilite. Ultimul model de analiz a riscului, recomandat de I.I.A., n 2003, se bazeaz pe 6 factori de risc, i anume: F1 - Constatrile anterioare ale auditului; F2 - Sensibilitatea sistemului, aa cum este perceput; F3 - Mediul de control; F4 - ncrederea n managementul operaional; F5 - Schimbrile de oameni sau de sisteme; F6 - Complexitatea. Normele generale de aplicare a auditului public intern contin o metodologie comuna pentru evaluarea riscurilor, atat pentru procedura de ntocmire a Planului de audit public intern, cat i pentru derularea unei misiuni de audit n faza de elaborare a Programului de audit, i presupun parcurgerea urmtoarelor etape: a. Identificarea activitilor auditabile; b. Identificarea riscurilor inerente asociate activitilor; c. Stabilirea factorilor de analiz a riscurilor i nivelele de apreciere ale acestora; d. Stabilirea nivelului riscului pe criteriile de apreciere; e. Determinarea punctajului total al riscului; f. Clasarea activitilor pe baza analizei riscurilor; g. Ierarhizarea activitilor care urmeaz a fi auditate; h. Elaborarea tematicii n detaliu a activitilor auditabile; i. Elaborarea planului de audit intern anual.

Obiectul controlului financiar preventiv

(1) Fac obiectul controlului financiar preventiv proiectele de operatiuni care vizeaza, in principal: a) angajamente legale si bugetare; b) deschiderea si repartizarea de credite bugetare; c) modificarea repartizarii pe trimestre si pe subdiviziuni ale clasificatiei bugetare a creditelor aprobate, inclusiv prin virari de credite; d) ordonantarea cheltuielilor; e) efectuarea de incasari in numerar; f) constituirea veniturilor publice, in privinta autorizarii si a stabilirii titlurilor de incasare; g) reducerea, esalonarea sau anularea titlurilor de incasare; h) constituirea resurselor proprii ale bugetului Uniunii Europene, reprezentand contributia viitoare a Romaniei la acest organism; i) recuperarea sumelor avansate si care ulterior au devenit necuvenite; j) vanzarea, gajarea, concesionarea sau inchirierea de bunuri din domeniul privat al statului sau al unitatilor administrativ-teritoriale; k) concesionarea sau inchirierea de bunuri din domeniul public al statului sau al unitatilor administrativ-teritoriale; l) alte tipuri de operatiuni, stabilite prin ordin al ministrului finantelor publice. (2) In functie de specificul entitatii publice, conducatorul acesteia poate decide exercitarea controlului financiar preventiv si asupra altor tipuri de proiecte de operatiuni decat cele prevazute la alin. (1). ARTICOLUL 7 Continutul controlului financiar preventiv Controlul financiar preventiv consta in verificarea sistematica a proiectelor de operatiuni care fac obiectul acestuia potrivit art. 6 din punctul de vedere al: a) legalitatii si regularitatii; b) incadrarii in limitele creditelor bugetare sau creditelor de angajament, dupa caz, stabilite potrivit legii. ARTICOLUL 8 Organizarea controlului financiar preventiv (1) Ministerul Finantelor Publice este autoritatea de coordonare si reglementare a controlului financiar preventiv pentru toate entitatile publice. (2) Controlul financiar preventiv se organizeaza si se exercita de catre autoritati competente, in mod unitar, potrivit prevederilor prezentei ordonante si ale actelor normative emise in aplicarea acesteia. (3) Controlul financiar preventiv se organizeaza si se exercita in urmatoarele forme: a) controlul financiar preventiv propriu, la toate entitatile publice si asupra tuturor operatiunilor cu impact financiar asupra fondurilor publice si a patrimoniului public; b) controlul financiar preventiv delegat, la ordonatorii principali de credite ai bugetului de stat, bugetului asigurarilor sociale de stat, precum si ai bugetului oricarui fond special, la

Fondul national si la agentiile de implementare a fondurilor comunitare, precum si la alte entitati publice cu risc ridicat, prin controlori delegati ai Ministerului Finantelor Publice. (4) Controlul financiar preventiv se va integra in mod treptat in sfera raspunderii manageriale, proces ce trebuie finalizat pana la data aderarii Romaniei la Uniunea Europeana, pe masura ce controlul managerial va asigura eliminarea riscurilor in administrarea fondurilor publice. Atingerea acestui nivel va fi evaluata de auditul public intern din cadrul Ministerului Finantelor Publice.

Sectiunea a 2-a Dispozitii privind controlul financiar preventiv propriu ARTICOLUL 9 Organizarea controlului financiar preventiv propriu (1) Entitatile publice, prin conducatorii acestora, au obligatia de a organiza controlul financiar preventiv propriu si evidenta angajamentelor in cadrul compartimentului contabil. (2) Conducatorii entitatilor publice au obligatia sa stabileasca proiectele de operatiuni supuse controlului financiar preventiv, potrivit art. 6, documentele justificative si circuitul acestora, cu respectarea dispozitiilor legale. (3) Evidenta angajamentelor se organizeaza, se tine, se actualizeaza si se raporteaza conform normelor metodologice aprobate prin ordin al ministrului finantelor publice. (4) Ministerul Finantelor Publice organizeaza controlul financiar preventiv propriu si pentru operatiunile privind bugetul trezoreriei statului, operatiunile privind datoria publica si alte operatiuni specifice Ministerului Finantelor Publice. (5) Controlul financiar preventiv propriu se exercita, prin viza, de persoane din cadrul compartimentelor de specialitate, desemnate in acest sens de catre conducatorul entitatii publice. Actul de numire va cuprinde si limitele de competenta in exercitarea controlului financiar preventiv propriu. Persoanele desemnate sa efectueze aceasta activitate sunt altele decat cele care initiaza operatiunea supusa vizei. (6) Numirea, suspendarea, destituirea sau schimbarea personalului care desfasoara activitati de control financiar preventiv propriu se face de catre conducatorul entitatii publice, cu acordul entitatii publice superioare, iar in cazul entitatilor publice in care se exercita functia de ordonator principal de credite al bugetului de stat, al bugetului asigurarilor sociale de stat sau al bugetului oricarui fond special, cu acordul Ministerului Finantelor Publice. Persoanele desemnate cu exercitarea activitatii de control financiar preventiv propriu trebuie sa aibe competentele profesionale solicitate de aceasta activitate. Ele vor respecta un cod specific de norme profesionale, elaborat de Ministerul Finantelor Publice, care va cuprinde si conditiile si criteriile unitare pe care entitatile publice trebuie sa le respecte in cazul numirii, suspendarii, destituirii sau schimbarii personalului care desfasoara aceasta activitate. (7) Prin decizie interna a conducatorului entitatii publice, persoanele desemnate sa efectueze controlul financiar preventiv propriu pot beneficia de un spor pentru complexitatea muncii de pana la 25% aplicat la salariul de baza brut lunar. (8) Evaluarea activitatii persoanei care desfasoara activitati de control financiar preventiv propriu se face de catre conducatorul entitatii publice, cu acordul entitatii publice care a avizat

numirea, anual, prin calificative, pe baza informatiilor cuprinse in rapoartele auditului public intern si in rapoartele Curtii de Conturi, unde este cazul. (9) Ministerul Finantelor Publice va elabora Norme metodologice privind cadrul general al atributiilor si exercitarii controlului financiar preventiv propriu. De asemenea, Ministerul Finantelor Publice va aviza norme metodologice specifice privind organizarea si exercitarea controlului financiar preventiv propriu, elaborate de ordonatorii principali de credite ai bugetului de stat, ai bugetului asigurarilor sociale de stat, ai bugetului oricarui fond special, precum si pentru operatiunile Fondului national si ale agentiilor de implementare care deruleaza fonduri comunitare. (10) Ministerul Finantelor Publice va coordona sistemul de pregatire profesionala a persoanelor desemnate sa efectueze controlul financiar preventiv. ARTICOLUL 10 Viza de control financiar preventiv propriu (1) Se supun aprobarii ordonatorului de credite numai proiectele de operatiuni care respecta intru totul cerintele de legalitate, regularitate si incadrare in limitele creditelor bugetare sau creditelor de angajament aprobate, dupa caz, care poarta viza de control financiar preventiv propriu. (2) Viza de control financiar preventiv propriu se exercita prin semnatura persoanelor in drept, competente in acest sens potrivit prezentei ordonante, si prin aplicarea de catre acestea a sigiliului personal. (3) In vederea acordarii vizei de control financiar preventiv propriu, proiectele de operatiuni se prezinta insotite de documentele justificative corespunzatoare, certificate in privinta realitatii si legalitatii prin semnatura conducatorilor compartimentelor de specialitate care initiaza operatiunea respectiva. (4) Conducatorii compartimentelor de specialitate prevazuti la alin. (3) raspund pentru realitatea, regularitatea si legalitatea operatiunilor ale caror documente justificative le-au certificat. Obtinerea vizei de control financiar preventiv propriu pe documente care cuprind date nereale sau inexacte si/sau care se dovedesc ulterior nelegale nu exonereaza de raspundere pe sefii compartimentelor de specialitate care le-au intocmit. (5) Persoanele in drept sa exercite controlul financiar preventiv propriu raspund, potrivit legii, in raport de culpa lor, pentru legalitatea, regularitatea si incadrarea in limitele creditelor bugetare sau creditelor de angajament aprobate, dupa caz, in privinta operatiunilor pentru care au acordat viza de control financiar preventiv propriu. (6) In cazurile in care dispozitiile legale prevad avizarea operatiunilor de catre compartimentul de specialitate juridica, proiectul de operatiune va fi prezentat pentru control financiar preventiv propriu cu viza sefului compartimentului juridic. Persoanele in drept sa exercite controlul financiar preventiv propriu pot cere avizul compartimentului de specialitate juridica ori de cate ori considera ca necesitatile o impun. ARTICOLUL 11 Separarea atributiilor Persoana care exercita controlul financiar preventiv propriu nu trebuie sa fie implicata, prin sarcinile de serviciu, in efectuarea operatiunii supuse controlului financiar preventiv propriu.

ARTICOLUL 20 Refuzul de viza (1) Persoana in drept sa exercite viza de control financiar preventiv are dreptul si obligatia de a refuza viza de control financiar preventiv in toate cazurile in care, in urma verificarilor, apreciaza ca proiectul de operatiune care face obiectul controlului financiar preventiv nu indeplineste conditiile de legalitate, regularitate si incadrare in limita creditelor bugetare sau creditelor de angajament, dupa caz, pentru acordarea vizei de control financiar preventiv. (2) Refuzul de viza trebuie sa fie in toate cazurile motivat in scris. (3) Persoanele in drept sa exercite viza de control financiar preventiv au obligatia de a tine evidenta proiectelor de operatiuni refuzate la viza de control financiar preventiv.

ARTICOLUL 21 Autorizarea efectuarii unor operatiuni pentru care se refuza viza de control financiar preventiv (1) O operatiune pentru care s-a refuzat viza de control financiar preventiv se poate efectua de catre ordonatorul de credite pe propria raspundere, numai daca prin aceasta nu se depaseste creditul bugetar aprobat. Ordonatorul de credite poate decide efectuarea operatiunii numai in baza unui act de decizie interna, emis in forma scrisa, prin care dispune, pe propria raspundere, efectuarea operatiunii. O copie a actului de decizie interna se transmite compartimentului de audit public intern al entitatii publice, precum si controlorului delegat, dupa caz. (2) In toate cazurile in care, ca urmare a unui refuz de viza de control financiar preventiv propriu, conducatorii persoanelor juridice dispun, in conditiile prevazute de prezenta ordonanta, efectuarea operatiunii pe proprie raspundere, persoana desemnata sa efectueze controlul financiar preventiv propriu are obligatia sa informeze in scris Curtea de Conturi, Ministerul Finantelor Publice si, dupa caz, organul ierarhic superior al institutiei publice, numai in aceasta situatie persoana respectiva fiind exonerata de raspundere. (3) Pentru operatiunile care se supun si controlului financiar preventiv delegat al Ministerului Finantelor Publice, refuzul vizei de control financiar preventiv propriu face ca proiectul de operatiune sa nu poata fi supus controlului preventiv delegat. In aceste conditii ordonatorul de credite va solicita controlorului delegat formularea unui aviz consultativ. Ordonatorul de credite va analiza punctul de vedere al controlorului delegat, exprimat in avizul consultativ, si va decide in conditiile prevazute la alin. (1). (4) In toate cazurile in care, ca urmare a unui refuz de viza de control financiar preventiv delegat, conducatorii persoanelor juridice dispun, in conditiile prevazute de prezenta ordonanta, efectuarea operatiunii pe propria raspundere, controlorul delegat are obligatia sa informeze in scris Curtea de Conturi si Ministerul Finantelor Publice. (5) Documentele privind proiectele de operatiuni supuse controlului financiar preventiv, care nu au fost vizate, nu pot fi aprobate decat cu asumarea raspunderii ordonatorului de credite.

(6) Operatiunile efectuate pe propria raspundere a ordonatorului de credite se inregistreaza si intr-un cont in afara bilantului.