Sunteți pe pagina 1din 93

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

CONF. UNIV.DR. DANIEL BOTEZ

MANAGEMENTUL RISCULUI I AUDITUL INTERN

SUPORT DE CURS

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ORGANIZAIILE SUNT PREOCUPATE N LEGTUR CU

MANAGEMENTUL RISCULUI GUVERNARE CONTROL ASIGURARE (CONSULTAN)

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

MANAGEMENTUL RISCULUI ERM ENTERPRISE RISK MANAGEMENT

Un proces, important pentru management i alte persoane interesate, aplicabil n definirea strategiei i cuprinznd ntreaga entitate, pus n practic pentru a identifica potenialele evenimente care pot afecta activitatea entitii i a vulnerabilitii la risc a acesteia, pentru a furniza un nivel de asigurare cu privire la atingerea obiectivelor entitii

COSO, ERM Integrated Framework, 2004

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

DE CE ESTE IMPORTANT ERM ?

Orice entitate, indiferent dac urmrete obinerea de profit sau este nonprofit, exist pentru a crea valoare pentru cei interesai (stakeholders)

Valoarea este creat, conservat sau erodat prin deciziile managementului cu privire la toate activitile, avnd la baz stabilirea strategiei privind activitatea ntreprinderii de zi cu zi

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ERM SUSINE CREAREA VALORII PRIN ABILITATEA MANAGEMENTULUI

DE A IDENTIFICA I DE A OCUPA EFICIENT DE POSIBILELE EVENIMENTE VIITOARE CARE CREEAZ INCERTITUDINI

DE A RSPUNDE NTR-O MANIER CARE S REDUC POSIBILITATEA DE SCDERE A REZULTATELOR I S INDUC CRETERE

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

OBIECTIVELE UNEI ENTITI POT FI PRIVITE N CONTEXTUL A PATRU CATEGORII

STRATEGIE

OPERAIUNI

RAPORTARE

CONFORMITATE (CU LEGEA)

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ERM CUPRINDE ACTIVITILE ENTITII LA TOATE NIVELURILE

NIVELUL ENTITII

STRUCTURI SAU SUBUNITI

PROCESELE, MODULELE, SERVICIILE FUNCIONALE

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ENTERPRISE RISK MANAGEMENT SOLICIT ENTITII S AIB O IMAGINE COMPLET A PORTOFOLIULUI DE RISK

Managementul stabilete relaiile de interdependen dintre riscurile individuale

Managementul dezvolt imaginea portofoliului de risc din dou perspective

Nivelul sectorului de activitate Nivelul entitii

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

OPT COMPONENTE ALE CADRULUI CONCEPTUAL INTERRELAIONEAZ

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

OPT COMPONENTE ALE CADRULUI CONCEPTUAL INTERRELAIONEAZ

Mediul intern (mediul controlului) Stabilirea obiectivelor Identificarea evenimentelor Evaluarea riscului Rspunsul la riscuri Activitile de control Informare i comunicare Monitorizare

10

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

MEDIUL INTERN Stabilete filosofia privind managementul riscului Identific evenimentele ateptate i neateptate ce pot apare Stabilete cultura de risc a entitii Identific toate aspectele cu privire la modul n care aciunile organizaiei pot afecta cultura riscului Integritatea i valorile etice Angajamentul fa de competen Participarea consiliului de administraie sau a comitetului de audit Filozofia i stilul de lucru al managementului Structura organizatoric Atribuirea autoritii i responsabilitii Politicile i practicile de resurse umane

11

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

STABILIREA OBIECTIVELOR

Se aplic atunci cnd managementul stabilete obiectivele lund n calcul strategia de risc

Formele riscurilor specifice entitii o privire global la cel mai nalt nivel asupra nivelului maxim al riscului ce poate fi acceptat de management

Tolerana la risc, nivelul acceptat al variaiei (abaterilor) obiectivelor n conformitate cu expunerea la risc

12

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

EXEMPLU :

Obiectiv s se cltoreasc cu trenul de la punctul A la B pentru ntlnire la un anumit moment

Nu se ajunge la A la B n timp util pentru ntlnire

X Este pur i simplu negarea obiectivului

Se ntrzie i nu se mai ajunge la ntlnire

X Este doar definirea impactului riscului, nu a riscului n sine

n tren nu exist vagon restaurant i o s mi se fac foame X Acest lucru nu afecteaz atingerea obiectivelor

Pierderea trenului m face s ntrzii i s pierd ntlnirea

Acesta este un risc care poate fi controlat asigurndu-m c am alocat suficient timp s ajung la gar

Condiiile meteo nefavorabile cauzeaz oprirea trenului, iar eu nu mai ajung la ntlnire Acesta este un risc pe care nu l pot controla, dar fa de care pot s mi pregtesc un plan de rezerv.

13

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

IDENTIFICAREA EVENIMENTELOR

Stabilirea diferitelor riscuri i oportuniti

Evenimentele pot avea impact negativ reprezentnd riscuri

Evenimentele pot avea un impact pozitiv reprezentnd oportuniti, orientnd managementul n schimbarea strategiei

Necesit identificarea tuturor acelor evenimente, att din interior ct i din exterior, care sunt susceptibile s afecteze strategia i atingerea obiectivelor

Abordeaz modul n care factorii externi i interni se combin i interacioneaz influennd profilul de risc al entitii

14

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

EVALUAREA RISCULUI

Permite unei entiti s neleag modul i msura n care evenimentele probabile pot afecta obiectivele

Evalueaz riscurile din dou perspective PROBABILITATE IMPACT Stabilete o combinare a metodologiilor de evaluare a riscurilor, att pe baze cantitative ct i calitative

Stabilete orizonturi de timp pentru orizonturi de obiective Evalueaz riscul att pe baz inerent ct i pe baz rezidual

15

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ANALIZA RISCURILOR

1. Externe (care decurg din mediul extern, i nu pot fi controlate n totalitate de organizaie, dar pot fi luate anumite msuri pentru a le reduce) 1.1 Politice Schimbarea guvernului, decizii politice radicale (ex. introducerea Euro), mecanismul schimbrilor guvernamentale 1.2 Economice Abilitatea de a atrage i pstra personalul pe piaa forei de munc; ratele de schimb care afecteaz costurile tranzaciilor internaionale; efectul economiei globale asupra economiei 1.3 Socio-culturale Modificrile demografice care afecteaz cererea de servicii; modificarea ateptrilor factorilor interesai; 1.4 Tehnologice mbtrnirea sistemelor existente; costul procurrii celor mai bune tehnologii disponibile; oportunitile care reies din dezvoltarea tehnologic. 1.5 Juridice /legale Cerinele UE /legile care impun reglementri (cum ar fi Legea Sntii i Siguranei sau Legea ncadrrii Personalului) 1.6 De mediu Cldirile trebuie s respecte standardele n schimbare; deversarea gunoaielor i echipamentul n exces trebuie s respecte noile standarde.

16

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 2. Operaionale (legate de operaiile curente att modul curent de desfurare a activitii, dar i construirea i meninerea capacitii i capabilitii). 2.1 Desfurarea activitii 2.1.1. Imposibilitatea de a furniza un produs /serviciu; Incapacitatea de a presta un serviciu ctre utilizator n conformitate cu condiiile stabilite / agreate 2.1.2 Derularea proiectelor Incapacitatea de a finaliza un proiect la timp / n limitele bugetului / conform Specificaiilor 2.2 Capacitatea i capabilitatea 2.2.1 Resurse Financiare (fonduri insuficiente, proast gestiune bugetar, fraud), RU (capacitatea personalului, abiliti / recrutare i reinere); Informaionale (caracterul adecvat al procesului decizional, protecia intimitii); Active (pierdere /distrugere / furt) 2.2.2 Relaii Parteneri (ameninri la adresa angajamentelor de colaborare /claritatea rolurilor) Clieni /Utilizatorii serviciilor (satisfacia privind serviciul prestat) Rspundere (n special n faa Parlamentului) 2.2.3 Operaii Capacitatea i capabilitatea general de a obine rezultate 2.2.4 Reputaie ncrederea pe care factorii interesai o au n organizaie 2.3 Modul i capacitatea de gestionare a riscurilor 2.3.1 Guvernana Regularitate i corectitudine / respectarea cerinelor relevante / aspecte etice 2.3.2 Explorare Incapacitatea de a identifica ameninri i oportuniti 2.3.3 Flexibilitate i adaptabilitate; Capacitatea sistemelor /sediului /sistemului IT de a face fa unor atacuri i crize (inclusiv rzboi i atacuri teroriste). Revenirea n caz de dezastre / planificarea pentru situaii neprevzute 2.3.4 Securitatea Activelor i informaiei

17

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

3. Schimbare (riscurile create de deciziile de a urmri noi iniiative care depesc capacitatea actual)

3.1. intele Noile inte pun la ncercare capacitatea organizaiei de a obine rezultate /abilitatea de a dota organizaia astfel nct s se ating rezultatele

3.2 Programele de schimbare Programele de schimbare a organizrii i culturii amenin capacitatea de a obine rezultate, dar furnizeaz deopotriv oportunitatea de a crete capacitatea.

3.3 Noile proiecte Luarea de decizii optime de investiii / stabilirea ordinii de prioriti ntre proiecte care concureaz pentru resurse

3.4 Noile politici Deciziile politice creeaz ateptri unde organizaia nu are certitudinea obinerii rezultatelor ateptate

18

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

RSPUNSUL LA RISC

Identificarea i evaluarea diferitelor reacii posibile ale riscului Opiuni eventuale n legtur cu expunerea la risc a entitii Costul vs. beneficiile potenialelor rspunsuri la riscuri Gradul n care rspunsul la risc reduce impactul i/sau probabilitatea Selectarea i aplicare bazei de evaluare a portofolilui de riscuri i a rspunsurilor la acestea

19

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ACTIVITILE DE CONTROL

Politicile i procedurile care conduc la asigurarea c rspunsurile la risc, precum i alte msuri stabilite, sunt puse n aplicare

Se desfoar n toat organizaia, la toate nivelurile i n toate activitile

Includ aplicaii i informaii generale privind tehnicile de control

20

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

INFORMARE I COMUNICARE

Managementul identificrii, constatrii i comunicrii informaiilor pertinente, n forma i timpul corespunztoare pentru ca cei interesai si ndeplineasc responsabilitile

Comunicaii prezente n sens larg (general), cuprinznd ntreaga organizaie, de jos n sus

21

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

MONITORIZARE

EFICACITATEA COMPONENTELOR ERM ESTE MONITORIZAT PRIN

MONITORIZARE CONTINU

EVALUARE SEPARAT

COMBINAREA CELOR DOU

22

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Rspunsul la risc, care este iniiat din interiorul organizaiei, este cunoscut n limbajul de specialitate sub denumirea de control intern i poate implica una sau mai multe dintre urmtoarele variante: tolerarea riscurilor; tratarea riscurilor ntr-un mod corespunztor pentru a fi aduse la un nivel acceptabil sau obinerea de avantaje de pe urma riscurilor, adic incertitudinea este privit c a o oportunitate de a se obine avantaje ; transferarea riscurilor; ncetarea activitii care a dat natere riscurilor.

UN SISTEM PUTERNIC DE CONTROL INTERN ESTE ESENIAL PENTRU UN MANAGEMENT AL RISCURILOR EFECTIV

23

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

RESPONSABILITILE CU PRIVIRE LA ERM

MANAGEMENT

COMITETUL DIRECTOR

OFIERII DE RISC

AUDITORI INTERNI

24

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

AUDITORII INTERNI

Joac un rol important n monitorizarea ERM, dar NU au prima responsabilitate pentru implementarea i meninerea acestuia

Asist managementul sau comitetul de audit n procesele de : Monitorizare Evaluare Examinare Raportare Recomand msuri de mbuntire

25

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

FACTORII CHEIE PRIVIND IMPLEMENTAREA

1. Structura organizaional a afacerii 2. Stabilirea organizrii ERM 3. Evaluarea riscului 4. Determinarea apetitului general pentru risc 5. Identificarea rspunsului (reaciei) la risc 6. Comunicarea rezultatelor privind riscul 7. Monitorizare 8. Supraveghere i revizuire periodic de ctre management

26

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

PROIECTAREA ORGANIZAIONAL

Strategia afacerii

Obiectivele cheie

Obiectivele asociate cu prbuirea organizaiei dintre cele cheie

Atribuirea responsabilitilor pentru elementele organizaionale i lideri (legturi)

27

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

STABILIREA ERM

Determinarea filosofiei riscului

Studierea culturii riscului

Luarea n considerare a integritii organizaionale i a valorilor etice

Stabilirea rolului i responsabilitilor

28

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Exemplu : Organigrama ERM

Vicepreedinte Responsabil (Conductor) de risc

Manager risc asigurare

Director ERM

Manager risc credit

Manager ERM

Manager ERM

Executiv

29

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

EVALUAREA RISCULUI (RISC INERENT)

Const n identificarea i analiza riscurilor n obinerea (realizarea) obiectivelor afacerii

Constituie o baz de referin pentru stabilirea modului n care pot fi gestionate riscurile

30

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Exemplu : Model de risc

RISCURI DE MEDIU Disponibilitatea capitalului (finanrii) Sistemul legal, politic Pieele financiare i relaiile de pia

RISCURI DE PROCES Risc de operare Risc de abilitate Risc tehnologic Risc de integritate Risc financiar

RISCURI PRIVIND INFORMAII PENTRU DECIZII Risc operaional Risc financiar Risc strategic

31

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ANALIZA RISCULUI

Evaluarea riscului

Managementul riscului

Monitorizarea riscului

Identificare

Control

Nivel de proces

Msurare

Divizare sau Transfer

Nivel de activitate

Prioritizare

Diversificare sau Evitare

Nivelul entitii

32

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

DETERMINAREA EXPUNERII (APETITULUI) LA RISC

Apetitul pentru risc reprezint cantitatea riscului la un nivel general pe care o entitate este dispus s o accepte n procesul de creare a valorii

Utilizarea termenilor cantitativi sau calitativi i luarea n considerare a toleranei la risc (gradul sau zona de acceptare a variaiei riscului)

33

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ Conceptul de apetit pentru risc este cheia eficacitii gestionrii riscurilor i este esenial s fie avut n vedere nainte de a demara analiza modului cum poate fi controlat un anumit risc. Conceptul poate fi privit din diferite unghiuri, n funcie de considerarea riscului (a incertitudinii) drept o ameninare sau o oportunitate: Cnd se au n vedere ameninrile, conceptul de apetit pentru risc se refer la nivelul de expunere care este considerat tolerabil i justificabil i care trebuie atins n practic. n acest sens vorbim de fapt de compararea costului (financiar, sau de alt natur) de controlare a riscului cu costul expunerii n cazul n care aceasta devine realitate i de gsirea unui mod acceptabil de a le compensa; Cnd se au n vedere oportunitile, conceptul se refer la a analiza ct de mult este dispus cineva s rite pentru a obine avantaje de pe urma acestei oportuniti. De fapt este vorba de compararea valorii (financiar, sau de alt natur) unui potenial beneficiu cu pierderile care ar putea fi suferite (unele pierderi pot fi suferite cu sau fr obinerea unor anumite avantaje).

Trebuie menionat c anumite riscuri nu pot fi prevenite i nu st n puterea organizaiei de a le gestiona n totalitate pn la un nivel acceptabil spre exemplu multe organizaii trebuie s accepte c exist riscuri rezultate din activitatea terorist pe care nu le pot controla. n aceste cazuri organizaia trebuie s elaboreze planuri pentru situaii neprevzute .

34

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

DETERMINAREA APETITULUI PENTRU RISC

INTREBRI CHEIE

Care dintre riscuri nu sunt acceptate de organizaie ?

Ce riscuri i asum entitatea atunci cnd procedeaz la noi iniiative ?

Ce riscuri accept organizaia pentru a-i atinge obiectivele ?

35

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

IDENTIFICAREA RSPUNSURILOR LA RISCURI

Cuantificarea apetitului (expunerii) la risc

Opiuni posibile : Acceptare ---------Monitorizare

Evitare -----------

Eliminare (n afar)

Reducere ---------- Instituire controale Divizare ------------ Asociere cu cineva (ex. asigurare)

Risc rezidual

36

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Impact vs. Probabilitate


Ridicat

Risc mediu

Risc ridicat

I M P A C T
Sczut

Divizare Risc sczut

Diminuare i Control Risc mediu

Acceptare

Control

PROBABILITATE

Ridicat

37

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Exemplu: Evaluarea riscului Centrului de comunicaii


Ridicat

Risc mediu

Risc ridicat

I M P A C T
Sczut

Apeluri pierdute Mesaje pierdute

Risc de credit Clienii ateapt prea mult Clienii nu pot accesa direct Clienii nu pot ntreba

Risc sczut

Risc mediu

Fraud Tranzacii pierdute Moralul angajailor

Erori de intrare Echipamente nvechite Repetarea apelurilor pentru aceeai problem

PROBABILITATE
38

Ridicat

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Exemplu : NREGISTRAREA CONTURILOR PLTIBILE

OBIECTIVE

RISC

ACTIVITI CONTROLATE

Integralitate

Tranzaciile materiale nu sunt nregistrate

nregistrarea datoriilor nepltite Facturi nregistrate dup nchidere

39

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

COMUNICAREA REZULTATELOR

Tabloul de bord al (registrul) riscurilor i rspunsurilor asociate (o privire global asupra locurilor cu riscuri cheie i legtura cu tolerana la risc)

Diagramele activitilor (procedurilor) cu identificarea controalelor cheie

Descrierea obiectivelor afacerii n legtur cu riscurile operaionale i rspunsurile la acestea

Lista riscurilor cheie ce trebuie monitorizate

nelegerea de ctre management a responsabilitii privind riscurile cheie i comunicarea sarcinilor

40

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

MONITORIZAREA

Colectarea i prezentarea informaiilor

Analiza performanei - riscurile sunt corect examinate (abordate) - controalele aplicate atenueaz riscurile

41

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

SUPRAVEGHERE I REVIZUIRE PERIODIC

Responsabilitate pentru risc Posesiune ( Stpnire) Actualizare - schimbri n obiectivele afacerii - schimbri n sistem - schimbri n procese (activiti)

42

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

AUDITORII INTERNI POT ADUGA VALOARE PRIN

Revizuirea critic a sistemului de control i a procesului de management al riscului

Efectuarea unei revizuiri a eficacitii evalurii managementului riscului i controalelor interne

Furnizeaz recomandri n organizarea i implementarea sistemelor de control i a strategiilor de diminuare a riscului

43

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

AUDITORII INTERNI POT ADUGA VALOARE PRIN

Implementarea unui cadru de abordare a riscului n planificarea i efectuarea misiunii de audit intern

Se asigur c resursele misiunii sunt orientate spre zonele semnificative din organizaie

Modific bazele de evaluare a managementului riscului i evalueaz adecvarea i eficiena strategiilor de tratament a riscului

44

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

AUDITORII INTERNI POT ADUGA VALOARE PRIN

Promoveaz ERM prin edine, ntlniri

Definete toleranele la risc care nu au fost identificate, bazndu-se pe experiena n audit intern, raionament profesional i consultarea cu managementul

45

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Rolul cheie al auditului intern cu privire la ERM este s furnizeze un nivel de asigurare privind faptul c activitile organizaiei privind ERM ajut obinerea concluziei c riscurile cheie ale afacerii sunt gestionate corespunztor i c sistemul de control funcioneaz efectiv

46

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

SINTEZA ROLULUI AUDITULUI INTERN CU PRIVIRE LA ERM

Furnizeaz un nivel de asigurare cu privire la procesele ERM Furnizeaz asigurarea c riscurile sunt corect evaluate Evalueaz procesele ERM Evalueaz procesul de raportare a riscurilor cheie Revizuiete gestionarea riscurilor cheie

The Role of Internal Auditing in Enterprise-wide Risk Management, IIA, 2004

47

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

LEGITIMAREA ROLULUI AUDITULUI INTERN N PROTECIA MPOTRIVA RISCURILOR

nlesnete identificarea i evaluarea riscurilor Consiliaz managementul cu privire la reacia la risc Coordoneaz activitile ERM Consolideaz modul de raportare a riscurilor Menine i dezvolt cadrul conceptual ERM Perfecioneaz modul de organizare a ERM Dezvolt strategia managementului riscului

The Role of Internal Auditing in Enterprise-wide Risk Management, IIA, 2004

48

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ROLUL AUDITULUI INTERN NU SE REFER LA

Stabilirea apetitului pentru risc Impunerea proceselor de managementul riscurilor Asigurarea managementului gestionrii riscurilor Luarea deciziilor cu privire la rspunsul la risc Implementarea reaciei la risc din partea managementului Responsabilitatea privind managementul riscului

The Role of Internal Auditing in Enterprise-wide Risk Management, IIA, 2004

49

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

GLOSAR DE TERMENI
Asigurare O opinie evaluat, bazat pe dovezile obinute n urma examinrii, asupra guvernanei, gestionrii riscurilor i cadrului de control intern din organizaie. Comitet de Audit Un comitet numit s sprijine Consiliul n monitorizarea guvernanei i sistemelor de control din organizaie. Expunere Consecinele, ca o combinaie de impact i probabilitate, pe care pot s le resimt o organizaie n cazul materializrii unui risc. Explorarea orizontului O activitate sistematic menit s identifice, pe ct de devreme este posibil, indiciile modificrii riscurilor. Riscul inerent Expunerea cauzat de un anumit risc nainte s fie luat vreo msur de atenuare a lui. Riscul rezidual Expunerea cauzat de un anumit risc dup ce au fost luate msuri de gestionare a lui i presupunnd c msurile au fost eficace. Risc Incertitudinea unui rezultat, fie o oportunitate pozitiv sau o ameninare, unor aciuni sau evenimente. Este o combinaie de probabilitate i impact, inclusiv importana perceput. Apetitul pentru risc Cantitatea de risc pe care o organizaie este pregtit s o accepte, tolereze sau la care este dispus s se expun ntr-un anumit moment. Evaluarea riscurilor Evaluarea riscurilor prin prisma impactului materializrii riscurilor i a probabilitii de realizare a acestuia.

50

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Comitetul de Asigurare privind Riscurile Un Comitet nfiinat s i asume rolul pe care Comitetul de Audit l-ar avea n mod obinuit n privina asigurrii privind gestionarea riscurilor. Gestionarea riscurilor Toate procesele implicate de identificare, evaluarea i aprecierea riscurilor, alocarea responsabilitii, luarea de msuri de atenuare sau anticipare a acestora i monitorizarea i revizuirea progresului. Comitetul de gestionare a riscurilor Un Comitet nsrcinat cu autoritatea executiv de a lua msuri de gestionare a riscurilor pe care le nfrunt organizaia. Strategia de risc Abordarea general pe care organizaia o are n privina riscurilor, aa cum este definit de Consiliu. Ea trebuie documentat i uor accesibil n organizaie. Profilul riscului Evaluarea general documentat i prioritizat a gamei de riscuri specifice cu care se confrunt organizaia. Controlul intern Orice aciune, msur, provenit din organizaie, luat n scopul gestionrii riscurilor. Aceste aciuni pot fi luate pentru a gestiona fie impactul n cazul materializrii riscurilor, fie frecvena de materializare a lor.

51

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

STANDARDELE DE AUDIT INTERN PRIVIND MANAGEMENTUL RISCURILOR 2100 Natura activitii Activitatea de audit intern trebuie s evalueze i s contribuie la mbuntirea sistemelor de management al riscurilor, de control i de guvernan a entitii folosind o abordare sistematic i metodic. 2110 Managementul riscurilor Activitatea de audit intern trebuie s ajute entitatea prin identificarea i evaluarea expunerilor la riscurile semnificative i s contribuie la mbuntirea sistemelor de management al riscurilor i de control. 2110.A1 Activitatea de audit intern trebuie s supravegheze i s evalueze eficacitatea sistemului de management al riscurilor aparinnd entitii. 2110.A2 Activitatea de audit intern trebuie s evalueze expunerile la riscurile aferente guvernanei entitii, operaiunilor i sistemelor informaionale cu privire la: fiabilitatea i integritatea informaiilor financiare i operaionale; eficacitatea i eficiena operaiunilor; protejarea activelor; respectarea legilor, regulamentelor i contractelor.

52

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

2110.C1 Pe parcursul misiunilor de consultan, auditorii interni trebuie s abordeze riscurile n conformitate cu obiectivele misiunii i s fie ateni la existena unor alte riscuri semnificative. 2110.C2 n procesul de identificare i de evaluare a expunerii entitii la riscurile semnificative, auditorii interni trebuie s includ cunotinele despre riscuri dobndite din misiunile de consultan.

2120 Controlul Activitatea de audit intern trebuie s ajute entitatea s pstreze controale eficiente prin evaluarea eficacitii i eficienei acestora i ncurajnd mbuntirea lor continu. 2120.A1 Pe baza rezultatelor evalurilor riscurilor, activitatea de audit intern trebuie s evalueze adecvarea i eficacitatea controalelor privind guvernana entitii, operaiunile i sistemele de informare din organizaie. Aceast evaluare trebuie s vizeze urmtoarele aspecte: fiabilitatea i integritatea informaiilor financiare i operaionale eficacitatea i eficiena operaiunilor; protejarea activelor; respectarea legilor, regulamentelor i contractelor.

53

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

2120.A2 Auditorii interni trebuie s stabileasc n ce msur au fost definite scopurile i obiectivele privind operaiunile i programele i dac aceste scopuri i obiective sunt conforme cu cele ale entitii. 2120.A3 Auditorii interni trebuie s treac n revist operaiunile i programele pentru a stabili n ce msur rezultatele corespund scopurilor i obiectivelor stabilite i dac aceste operaiuni i proiecte sunt aplicate sau realizate aa cum s-a prevzut. 2120.A4 Pentru evaluarea controalelor sunt necesare criterii adecvate. Auditorii interni trebuie s stabileasc n ce msur a definit managementul criterii adecvate pentru a determina dac au fost atinse obiectivele i scopurile. Dac aceste criterii sunt adecvate, auditorii interni trebuie s le utilizeze n evaluarea pe care o fac. Dac nu sunt adecvate, auditorii interni trebuie s colaboreze cu managementul pentru a elabora criterii corespunztoare de evaluare. 2120.C1 n cursul misiunilor de consultan, auditorii interni trebuie s examineze controalele n conformitate cu obiectivele misiunii i s fie ateni la existena oricrui punct slab semnificativ privind controlul. 2120.C2 , n cadrul procesului de identificare i de evaluare a riscurilor semnificative ale entitii auditorii interni trebuie s ia n consideraie

54

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

cunotinele despre sistemele de control pe care le-au dobndit n cursul misiunilor lor de consultan.

2130 Guvernana Activitatea de audit intern trebuie s evalueze i s fac recomandri adecvate pentru mbuntirea procesului de guvernan pentru atingerea urmtoarelor obiective: promovarea valorilor etice adecvate n cadrul entitii; asigurarea responsabilizrii i funcionrii eficiente a managementului entitii; comunicarea eficace a riscurilor i a informaiilor despre control structurilor adecvate din cadrul entitii; Coordonarea efectiv a activitilor i comunicarea informaiilor n rndul managementului, auditorilor interni i externi i Consiliului.

2130.A1 Activitatea de audit intern trebuie s evalueze proiectarea, implementarea i eficacitatea obiectivelor, programelor i activitilor legate de etica entitii. 2130.C1 Obiectivele misiunii de consultan trebuie s corespund valorilor i obiectivelor generale ale entitii.

55

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 2100 Natura Activitii AUDITUL INTERN EVALUEAZ SISTEMELE DE MANAGEMENT AL RISCURILOR, DE CONTROL l DE GUVERNARE CORPORATIV l CONTRIBUIE LA MBUNTIREA ACESTORA MPA2100-I Natura activitilor Natura acestei Modaliti Practice de Aplicare: Se recomand ca auditorii interni s in cont de urmtoarele sugestii atunci cnd determin natura activitii de audit intern care va fi desfurat. Prezenta MPA nu are drept scop expunerea exhaustiv a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea lurii n considerare a unui ansamblu de elemente. Respectarea Modalitilor Practice de Aplicare este facultativ. 1. Natura activitilor de audit intern se definete printr-o abordare sistematica i metodic de evaluare i mbuntire a relevanei i a eficacitii procesului de management al riscurilor, de control i de guvernare corporativ , precum i prin nivelul de calitate atins n ndeplinirea responsabilitilor ncredinate. Obiectivul evalurii pertinenei proceselor de management al riscurilor, de control i de guvernare a ntreprinderii este de a oferi o asigurare rezonabil c aceste procese funcioneaz dup cum s-a prevzut i c vor permite entitii s-i ating obiectivele i scopurile propuse. Un alte obiectiv este acela de a propune recomandri pentru mbuntirea modului de funcionare a entitii, att n ceea ce privete eficiena ct i eficacitatea. Este de asemenea posibil ca direcia general i Consiliul s indice orientri generale cu privire la sfera de aplicabilitate i la activitile care vor fi auditate. 2. Se poate vorbi despre o relevan a proceselor de management al riscurilor, de control i de guvernare corporativ dac conducerea le-a conceput i organizat astfel nct s ofere o asigurare rezonabil c obiectivele i scopurile fixate vor fi atinse n mod eficient i economic. 0 funcionare eficient permite 56

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ atingerea cu precizie a obiectivelor i a scopurilor fixate, la data fixat i la un pre minim. 0 funcionare economic permite atingerea obiectivelor i a scopurilor cu o utilizare minim a resurselor (costuri minime) n funcie de expunerea la risc . 0 asigurare rezonabil este obinut dac sunt luate msurile cele ai eficace i economice ncepnd cu conceperea i aplicarea proceselor pentru reducerea riscurilor i pentru limitarea neregularitilor anticipate la un nivel tolerabil. Astfel, conceperea proceselor ncepe prin determinarea obiectivelor i a scopurilor. Apoi este necesar s se coreleze conceptele, diversele componente, activitile i persoanele astfel nct toate acestea s participe la realizarea obiectivelor i a scopurilor fixate. 3. Se poate vorbi despre o eficacitate a proceselor de management al riscurilor, de control i guvernare corporativ n cazul n care conducerea coordoneaz aceste procese astfel nct s se obin asigurarea rezonabil c obiectivele i scopuri!e entitii vor fi atinse. Pe lng realizarea obiectivelor i a activitilor prevzute, coordonarea presupune i autorizarea tranzaciilor i a activitilor, monitorizarea rezultatelor obinute i verificarea faptului c procesele entitii funcioneaz aa cum sa prevzut. 4. In general, conducerea este responsabil de dezvoltarea entitii n faa acionarilor celorlalte pri implicate, ageniilor de reglementare i publicului pe care trebuie s-l informeze cu privire la aciunile sale, gestionarea sa i rezultatele entitii. Mai precis, obiectivul principal al procesului de management este acela de a obine: informaii financiare i operaionale relevante i fiabile ; o utilizare eficace i eficient a resurselor entitii; protejarea activelor entitii; respectarea legilor, a reglementrilor, a normelor de etic i de conduit n afaceri, precum i a contractelor; identificarea expunerilor la risc existente i utilizarea unor strategii eficace pentru a le controla; obiectivele i scopurile fixate pentru operaiuni sau proiecte. 5. Conducerea planific, organizeaz i coordoneaz desfurarea aciunilor necesare care s ofere asigurarea rezonabil c obiectivele i scopurile stabilite vor fi atinse. Conducerea le examineaz periodic i i modific procesele pentru a ine cont de schimbrile condiiilor interne i externe. 57

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ Conducerea stabilete i menine o cultur a ntreprinderii i un climat etic ce nelege existena expunerilor la risc i implementeaz eficient strategii de risc pentru controale . 6. Orice msur luat de conducere pentru a crete probabilitatea c obiectivele i scopurile fixate vor fi atinse reprezent un control. Controalele pot fi preventive (pentru a preveni apariia oricrui eveniment nedorit), de detectare (pentru a identifica evenimentele nedorite care s-au produs i a corecta efectele acestora), sau de direcionare (pentru o provoca i ncuraja apariia unui eveniment dorit). Conceptul unui sistem de control face trimitere la un ansamblu integrat de componente i activiti utilizate de ctre o entitate pentru a-i atinge obiectivele i scopurile. 7. Auditorii interni examineaz i evalueaz ntregul proces de planificare, de organizare i de gestionare pentru a stabili dac exist o asigurare rezonabil c obiectivele i scopurile vor fi atinse. Lund n considerare posibila evoluie, auditorii interni trebuie s fie ateni la schimbrile condiiilor interne sau externe, reale sau poteniale, care ar putea afecta capacitatea sistemului de control de a oferi o asigurare de perspectiv. In acest context, auditorii interni trebuie s acorde atenie riscurilor unei eventuale deteriorri a performanei. 8. Aceste evaluri de audit intern permit n mod global obinerea informaiilor necesare aprecierii procesului de management n ansamblul su. Toate sistemele de activitate, procesele, operaiunile, funciile i activitile din cadrul entitii sunt supuse evalurilor auditului intern. Un domeniu exhaustiv al activitilor de audit intern trebuie s permit obinerea unei asigurri rezonabile c: sistemul de management al riscurilor este eficace; sistemul de control intern este adecvat i eficient; procesul de conducere este eficace i rspunde urmtoarelor obiective: definirea i pstrarea valorilor, fixarea obiectivelor, monitorizarea activitilor i a performanelor i definirea modurilor de raportare.

58

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ MPA 2100-2 Securitatea informaiei Natura acestei Modaliti Practice de Aplicare: Se recomand ca auditorii interni s in cont de urmtoarele sugestii atunci cnd evalueaz activitile de guvernare a ntreprinderii n ceea ce privete securitatea informaiei. Prezenta MPA nu are drept scop prezentarea tuturor procedurilor ce trebuie aplicate n cadrul unei misiuni de audit sau de consultan/consiliere privind securitatea informaiei. Ea are ca obiectiv doar descrierea responsabilitilor care ar trebui ncredinate auditorilor n plus faa de cele care revin Consiliului sau conducerii. Respectarea Modalitilor Practice de Aplicare este facultativ. 1. Auditorii interni trebuie s se asigure c att conducerea, Consiliul, sunt contieni de responsabilitatea conducerii n ceea ce privete securitatea informaiei. Aceast responsabilitate vizeaz toate informaiile eseniale pentru entitate, oricare ar fi suportul lor de pstrare. 2. Responsabilul auditului intern trebuie s se asigure c auditul intern dispune de sau are acces la resursele adecvate pentru a evalua securitatea informaiei i expunerile la risc aferente. Acestea din urm includ att expunerile la risc interne ct i cele externe i, mai ales, cele aferente relaiilor stabilite de entitate cu alte entiti externe.

3. Auditorii interni trebuie s se asigure c managementul a furnizat Consiliului, comitetului de audit asigurarea c auditul intern va fi rapid informat cu privire la orice situaie n care securitatea informaiei a fost afectat sau care ar putea constitui o ameninare pentru entitate. 4. Auditorii interni trebuie s evalueze gradul de eficacitate a msurilor luate astfel nct s se poat preveni, detecta i atenua atacurile aprute n trecut, precum i orice incident sau tentativ de atac care s-ar putea produce n viitor. Auditorii interni trebuie s confirme c au fost bine informate att Consiliul, ct i comitetul de audit cu privire la ameninrile sau incidentele aprute, punctele slabe exploatate i msurile corective.

59

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 5. Auditorii interni trebuie s evalueze periodic sistemul de securitate a informaiei din entitate i s recomande, dac este cazul, mbuntiri sau efectuarea unor noi controale i luarea de noi msuri de siguran. Dup aceast evaluare, un raport de asigurare trebuie s fie prezentat membrilor Consiliului, . Aceste evaluri pot face obiectul misiunilor distincte i izolate sau pot fi integrate n alte misiuni realizate n cadrul altor activiti de audit sau n cadrul planului de audit aprobat.

MPA 2100-3 Rolul auditului intern n procesul de management al riscurilor Natura acestei Modaliti Practice de Aplicare: Definiia auditului intern enun faptul c "ajut aceast entitate s i ating obiectivele evalund, printr-o abordare sistematic i metodic, procesele sale de management al riscurilor, de control, i de guvernare a ntreprinderii, i fcnd propuneri pentru a le consolida eficacitatea". Respectarea Normelor presupune faptul c auditorii interni joac un rol cheie n procesul de management al riscurilor unei entiti. Obiectul prezentei MPA este acela de a ajuta auditorii interni s-i defineasc rolul n procesul de management al riscurilor dintr-o entitate i s respecte Normele. Poate fi necesar s se in cont de alte elemente dect cele cuprinse n prezenta Modalitate Practic de Aplicare. Respectarea Modalitilor Practice de Aplicare este facultativ. 1. Gestionarea riscurilor este o responsabilitate major a conducerii care trebuie s se asigure, pentru a-i atinge obiectivele, de implementarea i buna funcionare a proceselor de management al riscurilor. Este obligaia Consiliului i a comitetului de audit de a se asigura de existena proceselor adecvate, suficiente i eficace de management al riscurilor. Rolul auditorilor interni const n a asista att conducerea ct i comitetul de audit, examinnd i evalund procesele de management al riscurilor puse n practic de conducere, verificnd dac sunt suficiente i eficace, elabornd apoi rapoarte i recomandri n vederea mbuntirii acestora. Conducerea i Consiliul sunt responsabile de procesele de control i de

60

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ management al riscurilor din cadrul entitii lor. Totui, auditorii interni pot, n cadrul unei misiuni de consultan/consiliere , s ajute organizaia s identifice, s evalueze i s implementeze un sistem de management al riscurilor i al controalelor care s rspund acestor riscuri. 2. Evaluarea proceselor de management al riscurilor entitii i informarea cu privire la aceste evaluri fac parte n mod normal din obiectivele prioritare ale auditului. Trebuie s se fac deosebire ntre evaluarea procesului de management al riscurilor i analiza riscurilor pe care auditorii trebuie s o efectueze pentru a-i planifica activitile. Totui, informaiile obinute dintr-un proces complet de management al riscurilor, i mai ales identificarea subiectelor de interes pentru conducere i Consiliu, l pot ajuta pe auditorul intern s i planifice activitile de audit. 3. Responsabilul auditului intern trebuie s cunoasc ateptrile de la conducerii i Consiliului cu privire la rolul auditului intern n procesul de management al riscurilor entitii. Acest rol va fi precizat n cartele auditului intern i ale comitetului de audit. 4. Responsabilitile i activitile tuturor persoanelor care intervin n grup sau individual n procesul de management al riscurilor entitii trebuie s fie coordonate. Aceste responsabiliti i activiti trebuie s se regseasc n mod corect prin planurile strategice ale entitii, soluiile Consiliului ,decizii ale conducerii, procedurile operaionale i alte instrumente care in de guvernarea corporativ . De exemplu, activitile i responsabilitile cuprind: definirea orientrilor strategice, care pot fi n sarcina Consiliului sau a unui comitet; responsabilitile legate de riscurile pot s revin conducerii generale acceptarea riscurilor reziduale, care poate fi ncredinat cadrelor de conducere; operaiunile continue de identificare, evaluare, atenuare i monitorizare, care pot fi delegate personalului de execuie; evalurile periodice i realizarea unei asigurri trebuie s fie n sarcina auditului intern. 5. Se ateapt din partea auditorilor interni s identifice i s evalueze expunerile la risc semnificative n cadrul activitilor lor curente.

61

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 6. Rolul auditului intern n procesul de management al riscurilor unei entiti poate evolua n timp i se poate regsi sub urmtoarele forme: nici o intervenie a auditului intern; auditarea procesului de management al riscurilor n cadrul programului de audit intern; sprijin activ i continuu, i participare la procesul de management al riscurilor, mai ales n cadrul comitetelor de supraveghere i de monitorizare i n cadrul emiterii de rapoarte privind acest proces; gestionarea i coordonarea procesului de management al riscurilor. 7. In definitiv, cadrelor de conducere i comitetului de audit le revine sarcina de a determina rolul auditului intern n procesul de management al riscurilor. Viziunea conducerii asupra rolului auditului intern va depinde, dup ct se pare, de factori precum cultura entitii, competena auditorilor interni, conjunctura local i practicile rii.

8. Alte linii directoare figureaz n urmtoarele Modaliti Practice de Aplicare: Modalitatea Practic de Aplicare nr. 2100-4. Rolul auditului intern n lipsa procesului de management al riscurilor. Modalitatea Practic de Aplicare nr. 1130.A1-2. Responsabilitile exercitate de auditul intern n baza altor funcii. Modalitatea Practic de Aplicare nr. 2110-1. Evaluarea procesului de management al riscurilor. Modalitatea Practic de Aplicare nr. 2010-2. Luarea n considerare a riscurilor la elaborarea programului de audit.

62

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ MPA2100-4 Rolul auditului intern n absena procesului de management al riscurilor Natura acestei Modaliti Practice de Aplicare: Definiia auditului intern enun faptul c "ajut organizaia s i ating obiectivele evalund, printr-o abordare sistematic i metodic, procesele sale de management al riscurilor, de control, i de guvernare a ntreprinderii, i fcnd propuneri pentru a le consolida eficacitatea". Respectarea Normelor pentru Practica Profesional a auditului intern presupune faptul ca auditorii interni s joace un rol cheie n procesul de management al riscurilor unei entiti. Totui, anumite entiti nu dispun de nici un proces real de gestionare a riscurilor. Obiectul prezentei MPA este acela de a ajuta auditorii interni s-i defineasc rolul n cadrul unei entiti n care nu exist un astfel de proces. Poate fi necesar s se in cont de alte elemente dect cele cuprinse n prezenta Modalitate Practic de Aplicare. Respectarea Modalitilor Practice de Aplicare este facultativ. 1. Managementul riscurilor este o responsabilitate major a conducerii care trebuie s se asigure, pentru a-i atinge obiectivele, de implementarea i buna funcionare a proceselor de management al riscurilor. Consiliul i comitetul de audit trebuie s se asigure de aplicarea proceselor adecvate, suficiente i eficace de management al riscurilor. Rolul auditorilor interni const n a asista att conducerea ct i comitetul de audit, examinnd i evalund procesele de management al riscurilor , verificnd suficiena i eficacitatea lor, elabornd apoi rapoarte i recomandri n vederea mbuntirii acestora. Conducerea i Consiliul sunt responsabile de procesele de control i de management al riscurilor din cadrul entitii lor. Totui, auditorii interni pot, n cadrul unei misiuni de consultan/consiliere , s ajute organizaia s identifice, s evalueze i s implementeze un sistem de management al riscurilor i de control care s rspund acestor riscuri.

63

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 2. Evaluarea proceselor de management al riscurilor entitii i informarea cu privire la aceste evaluri fac n mod normal parte din obiectivele prioritare ale auditului. Trebuie s se fac deosebire ntre evaluarea proceselor de management al riscurilor adoptate de ctre conducere i analiza riscurilor pe care auditorii trebuie s o efectueze pentru a-i ntocmi programul de activitate. Totui, informaiile extrase dintr-un proces complet de management al riscurilor, inclusiv identificarea subiectelor de interes pentru conducere i Consiliu, l pot ajuta pe auditorul intern n planificarea activitilor de audit. 3. Responsabilul auditului intern trebuie s solicite informaii de la conducere i Consiliu cu privire la rolul auditului intern n procesul de management al riscurilor entitii. Acest rol va fi precizat n cartele auditului intern i ale comitetului de audit. 4. n cazul n care organizaia nu a adoptat un proces de management al riscurilor, auditorul intern trebuie s atrag atenia conducerii asupra acestui aspect i s formuleze sugestii n vederea adoptrii unui astfel de proces. Auditorul intern trebuie s consulte conducerea i Consiliul cu privire la rolul auditului intern n procesul de management al riscurilor. Cartele auditului intern i ale comitetului de audit trebuie s indice rolul lor n acest proces. 5. Auditorii interni pot, dac li se solicit acest lucru, s joace un rol activ participnd la iniierea unui proces de management al riscurilor n cadrul entitii. In afara misiunii lor clasice de asigurare, acetia i asum un rol de consultan/consiliere n vederea mbuntirii proceselor fundamentale. Dac aceast asisten depete cadrul misiunilor de asigurare i de consiliere ncredinate n general auditorilor interni, independena auditorilor poate fi afectata. In acest caz, trebuie ca ei s respecte obligaia de informare prevzut de Norme. Directive complementare se gsesc i n Modalitatea Practic de Aplicare nr. 1130.A1 -2 referitoare la responsabilitile exercitate de auditul intern n baza altor funcii. 6. Este necesar s se fac o diferen ntre rolul activ al auditorului n implementarea i gestionarea unui dispozitiv de management al riscurilor i rolul de "responsabil al riscurilor". Pentru a evita ca responsabilitatea riscurilor s le fie atribuit, auditorii interni trebuie s obin de la conducere confirmarea c aceasta urmrete identificarea, atenuarea i monitorizarea riscurilor i c i asum responsabilitatea acestor aciuni.

64

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 7. In concluzie, auditorii interni pot facilita sau permite aplicarea proceselor de management al riscurilor, dar aceasta nu nseamn c trebuie s i asume responsabilitatea pentru managementul riscurilor identificate. MPA 2100-5 Aspecte juridice ale evalurii programelor de conformitate Evaluarea programelor de "compliance" (conformitate cu reglementrile) - aspecte juridice Natura acestei Modaliti Practice de Aplicare: Se recomand auditorilor interni s in cont de urmtoarele sugestii atunci cnd evalueaz programele de conformitate ale unei entiti. Prezenta MPA nu are ca scop prezentarea tuturor procedurilor care pot fi necesare n furnizarea de asigurri suficiente .

Respectarea Modalitilor Practice de Aplicare este facultativ. Avertisment - Auditorii interni trebuie s consulte un jurist cu privire la orice problem de ordin juridic, reglementrile putnd fi foarte diferite de la o ar la alta. ndrumrile cuprinse n prezenta Modalitate Practic de Aplicare se bazeaz n principal pe sistemul juridic din Statele Unite. 1. Obiectul programelor de conformitate const n sprijinirea entitilor n prevenirea infraciunilor comise neintenionat de ctre personal, identificarea actelor ilegale i descurajarea oricrei infraciuni comise cu bun tiin de ctre personal. Aceste programe faciliteaz de asemenea justificarea cererilor de plat a despgubirilor , delimitarea responsabilitilor conducerii i a resturilor personalului crearea sau consolidarea identitii corporative i aprecierea corectitudinii despgubirilor. Pentru a evalua programele de conformitate ale unei entiti, auditorii interni trebuie s examineze urmtoarele puncte care au ca obiect garantarea eficienei acestor programe.

65

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 2. Organizaia trebuie s stabileasc, pentru personal i ceilali ageni, standarde i proceduri de conformitate care vor permite reducerea , n mod rezonabil, a riscului de conduit ilegal . Organizaia trebuie s elaboreze un cod de conduit scris, indicnd clar activitile interzise. Acest cod trebuie s fie redactat ntr-un limbaj uor de neles i lipsit de jargoane juridice. Un bun cod de conduit furnizeaz angajailor ndrumri n problemele relevante . Inserarea unor "check-list-uri i a unei seciuni de ntrebri-rspunsuri, precum i trimiterea la alte surse coninnd informaii mai ample, vor face acest cod mai uor de utilizat . Organizaia trebuie s realizeze o organigram care s permit identificarea membrilor Consiliului de Administraie a conducerii generale, a responsabilului cu conformitatea i a personalului nsrcinat cu implementarea programelor de conformitate. Un cod de conduit poate mri riscul comiterii de activiti ilegale sau contrare eticii de ctre angajai dac acetia l consider formalist i inechitabil, sau dimpotriv poate reduce acest risc dac ei l consider la obiect i echitabil. Societile care folosesc un sistem de recompense financiare pentru comportamente ilegale sau aparent contrare eticii creeaz un mediu puin propice respectrii reglementrilor. Societile internaionale trebuie s instaureze un program de conformitate la scar mondial, nu doar pentru anumite zone geografice . Aceste programe trebuie s in cont de condiiile legislaiile i reglementrile naionale. 3. Se recomand desemnarea n cadrul entitii a unuia sau a mai multor angajai cu funcie de conducere care s supravegheze conformitatea cu normele i procedurile . colaboratorii cu funcie de conducere sunt persoanele care joac un rol important n entitate sau n procesul de luare a deciziilor. Angajaii cu funcii de conducere pot fi administratorii, un director, un preedinte persoanele cu funcii de conducere responsabile de o ramur sau de o parte important din cadrul entitii cum ar fi vnzri, administraie sau finane, precum i persoanele care au un rol important n cadrul entitii. Directorul General i ceilali membri ai comitetului executiv trebuie s se implice n mare msur n program pentru a asigura eficacitatea acestuia. In anumite entiti, atribuirea responsabilitii pentru conformitate coordonatorului departamentului

66

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ juridic al societii poate determina personalul s cread c managementul nu este interesat de program i c acesta din urm nu prezint importan dect pentru departamentul juridic i nu pentru ntreaga entitate. In alte entiti, aceeai distribuie poate avea efectul invers. In marile societi care cuprind mai multe uniti de profit, este indicat s se desemneze n fiecare dintre acestea un angajat cu funcie de rspundere l responsabil de respectarea conformitii . Nu este suficient s se creeze postul de responsabil cu conformitatea i s se selecteze ceilali membri ai echipei. Societatea trebuie de asemenea s se asigure c acetia au autoritatea i resursele necesare exercitrii misiunii lor. In plus, trebuie ca ei s aib acces la conducerea general. Acest responsabil cu conformitatea trebuie s fie direct subordonat directorului general . 4. Organizaia nu trebuie s delege competene nelimitate importante unor persoane despre care tie, sau ar trebui s tie, c ar putea comite activiti ilicite. Societile trebuie s verifice antecedentele oricrui candidat la un post, indiferent de nivelul acestuia i s se asigure c nu a comis nici o ilegalitate, n special n sectorul de activitate al societii. Formularele de candidatur ar trebui s cuprind o rubric privind cazierul judiciar. Va trebui ca membrii profesiunilor reglementate s fie chestionai cu privire la orice antecedent disciplinar. Se recomand ca societatea s nu prejudicieze n nici un fel viata privat a angajailor i a candidailor, conform legilor aplicabile n acest domeniu. Numeroase ri au o legislaie care limiteaz informaiile pe care o societate le poate obine n cadrul verificrilor privind personalul. 5. Organizaia trebuie s asigure o bun comunicare a normelor i a procedurilor sale ctre ntregul personal i agenii si . In acest sens, ea poate, de exemplu, solicita participarea acestora la programe de formare sau poate distribui documente prin care acestora li se explic ce se ateapt de la ei. Eficacitatea unui program de conformitate va depinde de modul n care este prezentat angajailor . n general, comunicarea de tip interactiv este mai eficace dect o expunere formal. In acelai timp, programele comunicate personal funcioneaz n general mai bine dect programele prezentate n ntregime sub form de video sau joc. Organizarea de sesiuni periodice este mai eficace dect o prezentare unic. Cele mai bune programe includ o instruire care permite salariailor s experimenteze noi tehnici i s exploateze noi informaii. Acest tip de instruire, special adaptat pentru conducere, este de asemenea eficace pentru angajaii de la toate nivelurile.

67

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ Codul de conduit i manualul personalului trebuie s fie redactate astfel nct s faciliteze nelegerea. Modaliti alternative de prezentare a codului i a manualului trebuie s fie adoptate i aplicate pentru colaboratorii care nu au un nivelul necesar de studii. Conformitatea cu reglementrile trebuie s fac obiectul consilierilor, declaraiilor i avertismentelor distribuite angajailor pe diverse suporturi: buletine, afie, curier electronic, chestionare i prezentri. Se recomand ca programul s fie prezentat n mai multe etape diferitelor categorii de personal, avnd informaiile prezentate pe punctele care sunt importante pentru fiecare grup. Informaiile distribuite trebuie s fie adaptate fielor posturilor specifice grupului avut n vedere. Trebuie, de exemplu, s se comunice informaii cu privire la protecia mediului nconjurtor angajailor din serviciile de fabricare sau gestiune imobiliar care sunt mai predispui s comit sau s identifice o nclcare a legislaiei sau a regulamentelor aplicabile n acest domeniu. In schimb, n cazul unui grup care nu exercit astfel de responsabiliti, aceast formare se poate dovedi duntoare i poate inspira doar indiferen, sau i poate face pe salariai s cread c programul este prost conceput. Se recomand s se acorde noilor angajai , n cadrul programului de ndrumare care le este destinat, o instruire de baz privind conformitatea cu reglementrile. Ulterior , acetia vor putea fi inclui n aciunile ntreprinse n cadrul serviciului lor. Agenii din cadrul entitii trebuie s fie invitai la o prezentare special destinat lor. Este important ca o societate s comunice agenilor si valorile fundamentale ale entitii i s-i informeze cu privire la faptul c aciunile n care acetia reprezint societatea vor face obiectul unei monitorizri n cadrul unui program de conformitate din moment ce acetia angajeaz societatea. Organizaia trebuie s fie pregtit s nceteze relaiile cu agenii care nu ader la principiile sale n ceea ce privete conceptul de conformitate . Entitile trebuie s solicite periodic de la salariaii lor o declaraie scris care s ateste c acetia cunosc codul de conduit al societii, c l-au neles i c l respect. Aceste informaii trebuie s fie comunicate anual conducerii generale i Consiliului de Administraie. Toate documentele referitoare la etic - coduri de conduit, politici /manuale ale de Resurse Umane, etc. - trebuie s fie puse la dispoziia fiecrui salariat. Se recomand cu trie adoptarea unui mod de acces permanent cum ar fi difuzarea pe intranet.

68

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 6. Organizaia trebuie s ia msuri adecvate pentru a asigura respectarea normelor sale. De exemplu, aceste msuri includ utilizarea sistemelor de monitorizare i de audit permind detectarea infraciunilor comise de angajai i ageni, precum i prezentarea pentru angajaii i agenii din cadrul entitii a unui sistem prin care acetia pot raporta, fr teama de msuri coercitive , infraciunile comise de alte persoane din cadrul entitii. Organizaia trebuie s asigure resursele adecvate pentru planul de audit intern innd cont de dimensiunile societii i de dificultatea sarcinilor de audit. Planul de audit trebuie s fie axat pe operaiunile specifice fiecrei ramuri de activitate a entitii. Planul de audit trebuie de asemenea s cuprind o expunere a programului de conformitate al entitii i a procedurilor sale, expunere al crei obiect principal va fi s se verifice dac documentele scrise sunt eficiente , dac comunicrile au fost receptate de angajai , dac au fost corect soluionate situaiile n care s-au identificat proceduri nclcate dac problemele de disciplin au fost rezolvate n mod echitabil, dac nu s-au luat msuri coercitive mpotriva persoanelor care au raportat infraciunile comise i dac serviciul de conformitate i-a ndeplinit responsabilitile. Auditorii trebuie s examineze programul de conformitate, s identifice posibilele mbuntiri i s solicite opinia angajailor cu privire la acest punct. Fiecare program trebuie s cuprind un telefon de urgen sau alt sistem de comunicare prin care angajaii pot raporta activitile pe care le consider ilegale sau contrare eticii sau codului de conduit al entitii. Este necesar ca personalul s aib libertatea de a dezvlui astfel de nclcri fr teama de msuri coercitive . In momentul n care responsabilitatea monitorizrii telefonului de urgen este ncredinat unui avocat, secretul profesional al clienilor si sau cel cuprins n dosarele de lucru este mai bine pstrat. Totui, rezultatele unui studiu arat c angajaii nu au deloc ncredere n numerele de urgen gestionate de serviciul juridic sau de un prestator extern. Acest studiu a mai artat c ei au i mai puin ncredere n rapoartele emise sau apelarea la un mediator extern. Liniile telefonice de urgen gestionate de un reprezentant intern al entitii i sprijinite de o politic de evitare a msurilor coercitive sunt cele care le inspir cea mai mare ncredere. Apelarea la un mediator intern este mai eficace dac acesta este direct subordonat unui responsabil cu conformitatea sau Consiliului de Administraie, dac acesta poate pstra anonimatul avertizorilor , dac le ofer consultan/consiliere i dac efectueaz o monitorizare cu scopul de a se asigura c nu 69

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ s-au luat msuri coercitive mpotriva lor . De altfel, n unele legislaii , mediatorul beneficiaz de protecie i nu este obligat s dezvluie informaiile confideniale care i-au fost comunicate. Chestionarul asupra eticii este un mod eficace de a detecta actele ilegale sau contrare eticii. Chestionarul este destinat fiecrui angajat al entitii, care trebuie s indice dac are cunotin de informaii privind luarea de mit, "micile atenii" sau alte nereguli Pentru a oferi toate garaniile de protecie, chestionarul trebuie s fie trimis de consilierul juridic al entitii, s menioneze o clauz de confidenialitate s precizeze c angajatul trebuie s completeze, s semneze i s napoieze chestionarul fr a pstra o copie, i s indice faptul c organizaia i rezerv dreptul de a divulga informaiile furnizate fie autoritilor publice, fie justiiei. De reinut c aceast confidenialitate a informaiilor nu mai este garantat n cazul n care chestionarul este divulgat unor tere pri. 7. Respectarea regulilor trebuie s fie asigurat constant printr-un sistem adecvat de sanciuni viznd n special persoanele care mpiedic detectarea unei infraciuni. Adoptarea de msuri disciplinare mpotriva persoanelor responsabile de comiterea unei infraciuni este necesar pentru a asigura respectarea regulilor; totui, msurile necesare nu pot fi determinate dect de la caz la caz . Programul de conformitate trebuie s fie nsoit de un sistem disciplinar care s prevad aplicarea, n cazul nerespectrii codului de conduit al entitii, a unor sanciuni adaptate nclcrii comise cum ar fi avertismentul, neplata salariului, suspendarea, transferul sau concedierea. In momentul n care un angajat a comis un act ilegal, este posibil ca organizaia s fie obligat s l concedieze conform principiului dup care "organizaia nu trebuie s delege competene nelimitate unor persoane despre care tie, prin supravegherea pe care o efectueaz, sau ar trebui s tie, c ar putea comite acte ilicite". Msurile disciplinare prevzute de program trebuie s fie echitabile. Sunt puine anse ca programul s reueasc dac actele ilegale sau contrare eticii rmn nepedepsite, n special dac sunt legate de activitile conducerii generale sau ale unor productori importani. In lipsa sanciunilor, infraciunile comise de aceste persoane vor ncuraja acest tip de comportament n restul entitii. Este posibil ca celelalte msuri disciplinare sau concedierea s fie supuse unor restricii care rezult din legislaia privind avertizorii sau din excepii privind anumite categorii de angajai , contracte de munc sau acorduri sindicale, responsabiliti ale angajatorului n ceea ce privete discriminarea i concedierea abuziv, i legi sau jurisprudene referitoare la reaua-credin a angajatorului.

70

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 8. In cazul n care se detecteaz o eroare, organizaia trebuie s ntreprind toate msurile necesare pentru a o soluiona i pentru a preveni orice alte nclcri similare, modificnd, dac este cazul, programul su de prevenire i detectare a nclcrilor legii. Organizaia trebuie s reacioneze n mod corespunztor fa de orice greeal detectat n cadrul programului de conformitate. Printre reaciile corespunztoare figureaz msurile disciplinare luate mpotriva celor care au comis nclcarea In anumite cazuri, o reacie adecvat implica denunarea ctre autoriti a infraciunii, cooperarea la anchetele desfurate de acestea i acceptarea responsabilitii entitii n ceea ce privete infraciunea. Se recomand s se observe c aceste reacii, precum i existena unui program de conformitate eficace, pot determina instana s reduc suma amenzii impuse entitii. Nedetectarea sau neprevenirea unei infraciuni grave implic uneori necesitatea unei revizuiri a programului de conformitate. Dup detectarea unei infraciuni, personalul responsabil cu conformitatea trebuie, cel puin, s examineze programul i s decid dac sunt necesare modificri. Este posibil ca, n urma unei infraciuni constatate, s fie necesar nlocuirea sau reorganizarea echipei nsrcinate cu activitatea de conformitate . De fapt, organizaia poate fi determinat s sancioneze sau s nlocuiasc un manager pentru nedetectarea sau neprevenirea unei erori n sectoarele de care este responsabil, n special dac este vorba despre o infraciune pe care respectivul manager ar fi trebuit s-o detecteze. Traducere: employees a fost tradus fie prin salariai , fie prin colaboratori, fie prin personal ; agents a fost tradus prin ageni. In acest caz este vorba despre persoane nesalariate.

71

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 2110 Managementul riscurilor Auditul intern trebuie sa ajute organizaia prin identificarea fi evaluarea expunerilor semnificative la risc i s contribuie la mbuntirea sistemelor de management al riscurilor i de control. MPA 2110-1 Evaluarea procesului de management al riscurilor Natura acestei Modaliti Practice de Aplicare: Auditorii interni pot fi solicitai s verifice, la cererea conducerii i a comitetului de audit, dac organizaia dispune de procese adecvate de management al riscurilor. Aceast responsabilitate presupune ca auditorul s formuleze o opinie i s indice dac procesul de management al riscurilor este suficient pentru a proteja bunurile, reputaia i activitile entitii. Obiectul prezentei MPA este acela de a preciza principalele obiective de care auditorul trebuie s tin cont pentru a-i exprima opinia n ceea ce privete procesul de management al riscurilor folosit de entitate . Aici sunt abordate numai evaluarea eficacitii procesului i comunicarea acestuia Alte Modaliti Practice de Aplicare vor trata mai aprofundat aspectele legate de controale i de misiunile de consultan/consiliere. Conform prezentei MPA, procesul de management al riscurilor care face parte din procesele importante ale entitii poate i trebuie s fie evaluat ca orice alt proces strategic important. Respectarea Modalitilor Practice de Aplicare este facultativ. 1. Gestionarea riscurilor este o responsabilitate major a conducerii care trebuie s se asigure, pentru a-i atinge obiectivele, de adoptarea i de buna funcionare a proceselor riguroase de management al riscurilor. Sarcina de a monitoriza aplicarea proceselor adecvate, suficiente i eficiente de management al riscurilor revine consiliului i comitetului de audit. Rolul auditorilor interni este acela de a asista conducerea i comitetul de audit. n acest scop, ei trebuie s examineze i s evalueze procesele de

72

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ management al riscurilor adoptate de conducere, s verifice dac acestea sunt suficiente i eficace, apoi s emit rapoarte i recomandri n vederea mbuntirii lor. Conducerea i Consiliul sunt responsabili de procesele de management al riscurilor i de control din organizaia lor. Totui, auditorii interni pot, n cadrul misiunilor de consultan/consiliere , s ajute organizaia s identifice, s evalueze i s implementeze metodologii i controale privind managementul riscurilor care s permit gestionarea acestor riscuri. 2. Evaluarea proceselor de management al riscurilor entitii i raportarea acestor evaluri fac parte n mod normal din obiectivele prioritare ale auditului. Trebuie s se fac distincia ntre evaluarea proceselor de management al riscurilor i analiza riscurilor pe care auditorii trebuie s o realizeze n planificarea activitii de audit . Totui, informaiile rezultate n urma unui proces complet de management al riscurilor inclusiv identificarea subiectelor de interes pentru conducere i pentru Consiliu l pot ajuta pe auditorul intern s-i planifice activitile de audit. 3. Fiecare entitate poate adopta o metodologie proprie pentru implementarea propriului proces de management al riscurilor. Auditorul intern trebuie s se asigure c grupurile sau indivizii implicai n guvernarea corporativ , inclusiv Consiliul i comitetul de audit, neleg aceast metodologie. Pentru a formula o opinie n ceea ce privete adecvarea n general a proceselor de management al riscurilor, auditorii interni trebuie de asemenea s se asigure c procesul de management al riscurilor ndeplinete cinci obiective principale. Cele cinci obiective principale ale procesului de management al riscurilor sunt urmtoarele: - riscurile care decurg din strategiile i activitile entitii sunt identificate i ierarhizate; - conducerea i Consiliul au stabilit un nivel al riscurilor acceptabil pentru entitate, incluznd riscurile acceptate pentru punerea n aplicare a planurilor strategice ale entitii; - activiti de atenuare a riscurilor sunt create i implementate n vederea reducerii sau gestionrii riscurilor, innd cont de pragurile considerate acceptabile de ctre conducere i Consiliu; - o monitorizare permanent a activitilor este efectuat n vederea unei reevaluri periodice a riscurilor i a eficacitii controalelor care permit gestionarea acestora; - rapoarte privind rezultatele proceselor de management al riscurilor sunt transmise periodic Consiliului i conducerii. Procesele de guvernare corporativ trebuie s furnizeze o prezentare periodic a riscurilor, a strategiilor de risc i a controalelor, destinat celor implicai . 73

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 4. Auditorii interni trebuie s in cont de diferenele semnificative care pot exista ntre entiti n ceea ce privete practicile de management al riscurilor. Procesele de management al riscurilor trebuie s fie concepute n funcie de natura activitilor entitii. In funcie de importana i complexitatea acestor activiti, procesele de management al riscurilor pot: - s fie formalizate sau informale; - s aib la baz o abordare cantitativ sau subiectiv; - s fie integrate n diferitele uniti ale entitii sau s fie centralizate la nivelul corporaiei . Procesul fiecrei entiti trebuie s fie adaptat culturii sale, stilului su de management i obiectivelor sale. De exemplu, recurgerea de ctre entitate la titluri derivate sau la alte produse perfecionate de pe pieele de capital perfecionate presupune utilizarea unor instrumente cantitative de management al riscurilor. Entitile mai mici, cu o structur mai simpl pot n schimb s analizeze profilul de risc al entitii i s ia n mod periodic msuri n cadrul unui comitet informal de risc . Auditorul trebuie s se asigure c metodologia utilizat este exhaustiv i adaptat naturii activitilor entitii. Pentru a formula o opinie n ceea ce privete procesele, auditorii interni trebuie s dispun de dovezi pentru a se asigura c cele cinci obiective principale ale proceselor de management al riscurilor sunt ndeplinite corespunztor. Pentru a obine aceste elemente, auditorul intern poate s recurg la procedurile de audit descrise mai jos. 5. Cercetarea i examinarea documentelor de referin i a informaiilor de ordin general privind metodele de management al riscurilor pentru a aprecia dac procesul adoptat de entitate este corespunztor i se bazeaz pe cele mai bune practici din acest sector de activitate. - Cercetarea i analizarea informaiilor i referinelor privind sectorul de activitate al entitii, privind evoluia recent i tendinele, precum i oricare alt surs corespunztoare de informaii, n vederea determinrii riscurilor care ar putea afecta organizaia i a procedurilor de control utilizate n scopul gestionrii, monitorizrii i reevalurii acestor riscuri. - Examinarea politicilor entitii precum i a proceselor verbale ale deliberrilor Consiliului i comitetului de audit pentru a determina strategiile entitii, abordarea de ctre aceasta a managementului riscurilor, expunerea entitii la risc i acceptarea riscurilor de ctre aceasta.

74

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ - Examinarea rapoartelor de evaluare a riscurilor ntocmite anterior de conducere, de auditorii interni sau externi i, dup caz, de alte surse care ar fi putut emite astfel de rapoarte . - Organizarea de ntlniri cu responsabilii operaionali i cu managerii lor n vederea stabilirii obiectivelor fiecrei ramuri de activitate, a riscurilor corespunztoare i a msurilor luate de conducere privind monitorizarea, controlul i atenuarea riscurilor. - Asimilarea de informaii n vederea evalurii, n mod independent, a eficacitii procesului de monitorizare, de comunicare i de atenuare a riscurilor i a activitilor de control corespunztoare. - Verificarea transmiterii ctre nivelul ierarhic corespunztor a informaiilor sau a rapoartelor referitoare la monitorizarea riscurilor. - Verificarea difuzrii conform modalitilor i termenelor corespunztoare a rapoartelor privind rezultatele managementului riscurilor. - Asigurarea c analiza riscurilor efectuate de conducere i a msurilor luate n vederea soluionrii problemelor ridicate n cadrul procesului de management al riscurilor au un caracter exhaustiv, i propunerea de soluii de mbuntire a situaiei. - Aprecierea eficacitii procesului de autoevaluare adoptat de conducere, pe baza observaiilor i testelor privind procedurile de monitorizare i de control care testeaz exactitatea informaiilor folosite n cadrul activitilor de monitorizare i pe baza altor tehnici corespunztoare. - Examinarea eventualelor puncte slabe n tacticile de management al riscurilor i, dup caz, analizarea acestora mpreun cu conducerea, comitetul de audit i Consiliul. Dac auditorul estimeaz c managementul a acceptat un nivel de risc incompatibil cu strategia i politicile entitii privind gestionarea riscurilor, sau considerat inacceptabil pentru entitate, auditorul trebuie s fac referire la Norma 2600 privind acceptarea riscurilor de ctre conducere, i la orice ndrumare suplimentar . -

75

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 2120 Controlul Auditul intern trebuie sa ajute organizaia s menin un mecanism de control corespunztor evalund eficacitatea i eficiena sa i ncurajnd mbuntirea sa continu. 2120.A1 Pe baza rezultatelor evalurii riscurilor, auditul intern trebuie s evalueze relevana i eficacitatea mecanismului de control privind guvernarea entitii , operaiunile i sistemele de informare ale acesteia . Aceast evaluare trebuie s cuprind urmtoarele aspecte: credibilitatea i integritatea informaiilor financiare i operaionale; eficacitatea i eficiena operaiunilor; protecia patrimoniului; respectarea legilor, a regulamentelor i a contractelor.

MPA 2120.A1 - 1 Evaluarea proceselor de control intern i raportarea acestora Natura acestei Modaliti Practice de Aplicare: Se recomand ca auditorii interni s in cont de urmtoarele sugestii n evaluarea eficacitii mecanismului de control al unei entiti i n raportarea rezultatelor acestei evaluri conducerii generale i Consiliului. Informaiile colectate n decursul exerciiului, n cadrul activitilor de audit, trebuie s fie suficiente pentru a permite evaluarea mecanismului de control i formularea unei opinii. 76

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ Respectarea Modalitilor Practice de Aplicare este facultativ. . Una din misiunile Consiliului este stabilirea i meninerea proceselor de guvernare a ntreprinderii i obinerea asigurrii c procesele de management al riscurilor i de control sunt eficace. Rolul direciei generale este acela de a superviza stabilirea , gestionarea i evoluarea acestor procese. Acest sistem de control, cu multiple faete, are scopul de a ajuta pe angajaii entitii n gestionarea riscurilor i ndeplinirea obiectivelor fixate i comunicate n cadrul entitii. Mai exact, aceste procese de control trebuie s asigure ndeplinirea urmtoarelor condiii: informaiile financiare i operaionale sunt credibile i ndeplinesc criteriul de integritate; operaiunile sunt realizate n mod eficace i eficient; activele sunt protejate ; aciunile ntreprinse i deciziile luate de entitate sunt n conformitate cu legea, reglementrile i contractele. 2. Managerii entitii trebuie s evalueze procesele de control adoptate n domeniile de care rspund . Auditorii interni i cei externi ofer diverse niveluri de asigurare n ceea ce privete gradul de eficacitate a proceselor de management al riscurilor i de control puse n practic n respectivele activiti i segmente ale entitii. 3. Direcia general i comitetul de audit consider n general activitile ndeplinite i informaiile colectate de responsabilul auditului intern n cursul exerciiului ca fiind suficiente pentru a-i permite s formuleze o opinie cu privire la relevana i eficacitatea proceselor de control. Responsabilul auditului intern trebuie s comunice conducerii generale i comitetului de audit aceast opinie de ansamblu cu privire la sistemul de control al entitii. Un numr din ce n ce mai mare de entiti includ, n rapoartele anuale sau periodice destinate terilor, un raport al conducerii cu privire la sistemul de control intern i la procesul de management al riscurilor.

4. Responsabilul auditului intern trebuie s elaboreze un proiect de plan de audit pentru anul urmtor, care s asigure c elementele colectate vor permite evaluarea eficacitii proceselor de control. Acest plan trebuie s ia n considerare necesitatea de a strnge , n cadrul misiunilor de audit sau a celorlalte proceduri , informaii pertinente cu privire la toate segmentele i unitile operaionale importante. Se

77

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ recomand de asemenea s se acorde o atenie deosebit operaiunilor afectate n mare msur de modificrile recente sau prevzute care pot aprea ca rezultat al pieei, condiiilor de investiie, de achiziie i de cesiune sau restructurare, i al noilor asocieri . Planul propus trebuie s fie suficient de flexibil pentru a permite o actualizare n cursul anului, n cazul n care strategiile de conducere sau mediul exterior evolueaz sau n cazul reajustrii previziunilor legate de ndeplinirea obiectivelor entitii. 5. Odat cu elaborarea proiectului planului de audit, responsabilul auditului intern trebuie s in cont de activitile care vor fi efectuate de teri. Pentru a minimaliza redundana i lipsa de eficien se recomand s se ntocmeasc un plan de audit al exerciiului viitor innd cont de activitile planificate de auditorii externi i de activitile planificate sau realizate recent de ctre conducere n cadrul evalurii proceselor de control i de mbuntire a calitii. 6. In fine, responsabilul auditului intern trebuie s evalueze aria de aplicabilitate planul propus i din dou perspective: planul trebuie adaptat la toate entitile entitii i trebuie s se aplice pentru diferite tipuri de tranzacii i de activiti de afaceri . Dac aria de aplicabilitate a planului de audit propus nu permite formularea unei asigurri cu privire la procesele de control din entitate, responsabilul auditului intern trebuie s informeze conducerea general i comitetul de audit cu privire la aceste lipsuri, la cauzele lor i consecinele probabile. 7. Provocarea pentru auditul intern const n evaluarea eficacitii dispozitivului de control din entitate pe baza numeroaselor evaluri individuale. Aceste evaluri provin, n mare parte, din misiunile de audit intern, din autoevalurile efectuate de conducere i din activitile auditorilor externi. Pe msur ce misiunile se deruleaz, auditorii interni trebuie s comunice observaiile lor celor responsabili, astfel nct s poat fi luate rapid msuri pentru a remedia punctele slabe sau inadvertenele constatate sau pentru a le atenua consecinele. 8. Evaluarea eficacitii proceselor de control dintr-o entitate trebuie s in cont de urmtoarele trei elemente cheie: Activitile de audit i informaiile adunate n cadrul evalurilor au scos n eviden inadvertenele sau punctele slabe semnificative? In cazul unui rspuns pozitiv, s-au fcut corecturile sau mbuntirile necesare dup constatarea

78

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ anomaliilor sau a punctelor slabe? Aceste inadvertene sau puncte slabe i consecinele lor sunt generalizate i determin astfel un grad de risc inacceptabil? Existenta temporar a unei inadvertene sau a unui punct slab semnificativ nu nseamn neaprat c aceast inadverten sau punct slab este generalizat i c atrage dup sine un risc rezidual inacceptabil. Natura inadvertenelor sau a punctelor slabe constatate, caracterul lor restrns sau generalizat, precum i gravitatea consecinelor sau a expunerilor la risc , reprezint tot atia factori de luat n considerare pentru a determina dac este pus sub semnul ntrebrii problema eficacitii ansamblului mecanismului de control i dac exist riscuri inacceptabile. Responsabilul auditului intern trebuie s prezinte conducerii generale i comitetului de audit, n general o dat pe an, un raport cu privire la starea proceselor de control din entitate. 9. Acest raport trebuie s sublinieze importana rolului jucat de procesele de control n ndeplinirea obiectivelor entitii. Trebuie de asemenea s conin principalele activiti realizate de auditul intern i alte surse importante de informaii pe care se bazeaz raionamentul general . Partea din raport destinat opiniei este n general formulat printr-o asigurare negativ; acest lucru nseamn c activitile de audit efectuate pentru perioada n cauz i celelalte informaii colectate nu au scos n eviden punctele slabe semnificative i generalizate ale proceselor de control. In cazul unei inadvertene sau al unui punct slab semnificativ i generalizat, aceast parte a raportului poate conine rezerve sau o opinie nefavorabil, n funcie de gravitatea prevzut a riscului rezidual i de impactul acestuia asupra obiectivelor entitii. 10. Membrii conducerii i ai comitetului de audit sunt principalii destinatari ai raportului anual. Dat fiind faptul c ei abordeaz diferit auditul i activitatea, raportul anual al responsabilului auditului intern trebuie s fie clar, concis i bine documentat. Trebuie s fie conceput i redactat astfel nct s fie uor de citit i s satisfac nevoia de informarea destinatarilor. Raportul va fi cu att mai util cu ct va cuprinde i principalele recomandri i mbuntiri propuse, precum i informaii despre problemele de actualitate (de exemplu, riscurile aferente tehnologiilor i siguranei informaiilor), despre tipul de inadvertene sau puncte slabe constatate n entitate, i despre dificultile pe care le poate ridica respectarea legilor sau a reglementrilor.

79

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 11. Exist n mod vizibil un "decalaj" n ceea ce privete efectele ateptate de la activitile de audit intern n materie de evaluare i asigurare a strii proceselor de control. Acest decalaj vizeaz printre altele aspiraiile conducerii i ale comisiei de audit care, de regul , se ateapt la prestri de audit intern cu o valoare sporit i pe acelea mai modeste ale auditorului intern care cunoate limitele practice ale ariei de aplicabilitate a auditului i care nu e foarte sigur c a ntrunit toate dovezile suficiente pentru a justifica un raionament clar i obiectiv. Responsabilul auditului intern trebuie s acorde atenie decalajului care poate exista ntre presupunerile cititorului raportului i realitatea exerciiului care a fost executat. Acest raport trebuie utilizat ca o alt modalitate de a te adresa unor modele mentale diferite i de a sugera o mbuntire a capacitilor auditului intern sau diminuarea constrngerilor care duneaz eficienei.

MPA2120.A1 -2 Utilizarea autoevalurii controalelor pentru a evalua relevana proceselor de control Natura acestei Modaliti Practice de Aplicare: Managerii i auditorii interni pot adopta o metodologie fondat pe autoevaluarea controalelor (CSA) pentru a se asigura c procesele de management al riscurilor i de control din entitate sunt adecvate . Auditorii interni pot apela la programe de autoevaluare a controalelor pentru a strnge informaiile relevante cu privire la riscuri i controale, pentru a axa planul de audit pe riscurile importante i pe elementele excepionale, i pentru a consolida colaborarea cu directorii operaionali i grupurile de lucru. Respectarea Modalitilor Practice este facultativ. 1. Conducerea trebuie s supervizeze stabilirea gestionarea i evaluarea proceselor de management al riscurilor i de control. Directorii operaionali sunt nsrcinai tocmai cu evaluarea riscurilor i controalele existente n unitile lor. Auditorii interni i auditorii externi ofer diferite grade de asigurare

80

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ n ceea ce privete eficiena proceselor de management al riscurilor i de control din entitate. Ar fi util ca managerii i auditorii s foloseasc tehnici i instrumente axate pe evaluarea proceselor de management al riscurilor i de control existente, precum i pe identificarea mijloacelor de sporire a eficacitii acestora. 2. Punerea n practic a unei metodologii fondate n principal pe studiile de autoevaluare i pe animarea de ateliere de lucru (CSA sau Autoevaluarea controalelor) constituie pentru manageri i auditorii intern un mijloc util i eficace de a colabora la evaluarea procedurilor de control. In principiu, luarea n considerare a obiectivelor sau a riscurilor face parte integrant din autoevaluarea controalelor (CSA) care uneori este denumit "autoevaluarea controalelor i a riscurilor" (CRSA). Utilizatorii CSA folosesc diferite tehnici, ns marea parte a programelor implementate prezint anumite caracteristici i obiective comune. 0 entitate care practic autoevaluarea dispune de un proces formalizat i documentat graie cruia conducerea i grupurile de lucru care sunt direct implicate ntr-o unitate operaional, un segment sau un proces, pot participa n mod structurat la urmtoarele operaiuni: identificarea riscurilor i expunerilor la risc existente; evaluarea proceselor de control care permit atenuarea sau gestionarea acestor riscuri; elaborarea de planuri de aciuni prin care s se aduc riscurile la niveluri acceptabile; estimarea probabilitii ca obiectivele entitii s fie atinse.

3. Procesele de autoevaluare pot prezenta urmtoarele avantaje: personalul unitilor operaionale a dobndit instruire i experien graie crora poate evalua riscurile, poate asocia procesele de control i managementul acestor riscuri i poate spori ansele de ndeplinire a obiectivelor entitii; controalele informale numite "soft" sunt mai uor de identificat i de evaluat; membrii personalului sunt motivai s-i "nsueasc" procesele de control existente n unitile lor, iar msurile de corectare luate de grupurile de lucru sunt uneori mai eficace i mai rapide; ntreg lanul obiective-riscuri-controale din entitate face obiectul unei monitorizri mai bune i al unor mbuntiri continue; auditorii interni intervin n procesul de autoevaluare i ajung s-l cunoasc foarte bine, fie n calitate de moderatori , secretari sau raportori ai grupurilor de lucru, fie ca traineri n prezentarea 81

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ conceptelor de risc i control care stau la baza programului de autoevaluare. Astfel, ei ajung s cunoasc acest proces foarte bine; auditul intern este mai bine informat despre procesele de control din entitate. Prin urmare poate exploata aceste informaii i aloca, n primul rnd, puinele sale resurse examinrii unitilor sau segmentelor ale cror controale prezint puncte slabe semnificative sau prezint riscuri reziduale importante; conducerea, avnd o responsabilitate mrit n ceea ce privete procesele de management al riscurilor i de control din entitate, va fi mai puin tentat s delege aceste responsabiliti specialitilor, adic auditorilor; principalul rol al auditului intern va consta, ca i n trecut, n validarea procesului de evaluare cu ajutorul testelor i n formularea unei opinii profesionale cu privire la relevana i eficacitatea tuturor sistemelor de management al riscurilor i de control. 4. Abordarea adoptat n cadrul unui program de autoevaluare a controalelor variaz mult n funcie de sectorul de activitate al entitii, de poziia, structura i cultura sa organizaional, de gradul de autonomie al personalului su, de stilul de conducere i modalitatea de formulare a strategiilor i a politicilor , ceea ce ne face s credem c succesul ntlnit de un anumit tip de program de autoevaluare ntr-o anumit entitate nu poate fi ntlnit i n alt parte. Procesul de autoevaluare trebuie personalizat i adaptat la caracteristicile fiecrei entiti. Trebuie deci s se adopte o abordare dinamic i aceasta s fie modificat n funcie de evoluia entitii. 5. Programele de autoevaluare se prezint, n principal, sub urmtoarele trei forme: ateliere de lucru n echip, anchete i analize i studii realizate de ctre conducere. Entitile folosesc adesea o combinaie ntre abordri. 6. In cadrul atelierelor de lucru se adun informaiile colectate de grupurile de lucru care reprezint, la diferite niveluri, unitatea sau segmentul n cauz. Atelierul poate fi axat pe obiective, riscuri, controale sau procese. atelierele axate pe obiective caut n principal cel mai bun mijloc pentru ndeplinirea unui obiectiv al entitii. Grupul ncepe prin identificarea controalelor existente care concureaz la ndeplinirea obiectivului apoi determin riscurile reziduale. Scopul atelierului este de a aprecia dac procedurile de control sunt eficace i dac permit meninerea riscurilor reziduale la un nivel acceptabil. 82

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ Atelierele axate pe riscuri ncearc n primul rnd s identifice riscurile legate de ndeplinirea unui obiectiv. Atelierul ncepe prin ntocmirea listei tuturor obstacolelor, ameninrilor i riscurilor care ar putea mpiedica ndeplinirea unui obiectiv, apoi examineaz procedurile de control i verific dac acestea sunt suficiente pentru gestionarea principalelor riscuri. Scopul atelierului este acela de a determina riscurile reziduale semnificative. Acest tip de atelier vizeaz ntregul lan obiective-riscuricontroale. Atelierele axate pe controale studiaz n primul rnd buna funcionare a controalelor existente. Acest tip de atelier difer de primele dou deoarece moderatorul grupului identific principalele riscuri i controale nainte de nceperea atelierului. In timpul atelierului, grupul de lucru apreciaz msura n care controalele contribuie la atenuarea riscurilor i la ndeplinirea obiectivelor. Scopul atelierului este acela de a analiza diferena ntre eficacitatea real a controalelor i eficacitatea ateptat de conducere. Atelierele axate pe procese vizeaz n primul rnd anumite activiti care fac parte dintr-un ansamblu de procese. Procesele constau n general ntr-o serie de activiti care sunt legate ntre ele i care se desfoar de la nceput pn la sfrit, cum ar fi diferitele etape ale unui ciclu de achiziii, dezvoltarea de produse sau generarea de venituri. Acest tip de atelier vizeaz n general identificarea obiectivelor ntregului proces i diversele etape intermediare. Scopul acestui atelier este de a evalua, actualiza, valida, mbunti i chiar accelera ansamblul de procese i activitile care l compun. Acest tip de atelier poate da natere la o analiz mai ampl dect abordarea axat pe controale deoarece acoper mai multe obiective ale procesului i susine eforturile efectuate de altfel de ctre conducere n cadrul operaiunilor precum retehnologizarea mbuntirea calitii, i proiecte de mbuntire continu a proceselor. 7. Anchetele sunt realizate cu ajutorul unui chestionar la care n general trebuie rspuns cu da sau nu, ntrebrile fiind formulate cu grij astfel nct s fie uor de neles. Anchetele sunt adesea utilizate atunci cnd persoanele ce trebuie consultate sunt prea multe sau prea rspndite pentru a participa la un atelier. Ele sunt folosite i atunci cnd cultura entitii nu favorizeaz dialogul sincer i deschis n cadrul atelierelor sau dac managementul dorete s economiseasc timp i bani n procesul de colectare a informaiilor.

83

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 8. Forma de autoevaluare denumit "analize realizate de conducere" cuprinde majoritatea celorlalte abordri adoptate de grupurile de conducere pentru a strnge informaii cu privire la anumite procese, anumite activiti de management al riscurilor sau anumite proceduri de control. Studiul are adesea ca scop emiterea, n termene rezonabile de timp, a unei opinii clare cu privire la anumite caracteristici ale procedurilor de control. Acest lucru se realizeaz n principal de ctre o echip din postul respectiv sau care joac rolul de suport. Auditorul intern poate sintetiza aceast analiz i alte informaii pentru a-i mbunti cunotinele cu privire la controale i a le mprti i responsabililor unitilor operaionale sau funcionale n cadrul programului de autoevaluare a controalelor din entitate. 9. Toate programele de autoevaluare se bazeaz pe faptul c membrii conducerii i ai grupurilor de lucru cunosc bine conceptele de risc i control i c le utilizeaz pentru a comunica. n timpul instruirilor, entitile folosesc adesea un cadru, de control precum modelele COSO i COCO, destinat facilitrii bunei derulri a discuiilor n cadrul atelierelor i verificrii caracterului exhaustiv al ansamblului procesului. 10. Ca regul general, atelierele au ca rezultat emiterea unui raport redactat n mare parte n timpul discuiilor. Se va realiza un consens cu privire la diferitele subiecte de discuie, iar grupul va examina proiectul de raport nainte de sfritul ultimei sesiuni. Anumite programe cuprind un sistem de vot anonim care asigur libera circulaie a informaiilor i a prerilor n timpul atelierelor i care faciliteaz rezolvarea divergenelor de puncte de vedere i de interese. 11. Auditul intern se implic foarte mult n anumite programe de autoevaluare a controalelor. El poate s iniieze, s conceap, s aplice, i de fapt s i nsueasc procesul, s coordoneze formarea, s pun la dispoziie moderatorii , secretarele i raportorii, i s coordoneze participarea conducerii i a grupurilor de lucru. n cadrul altor programe, auditul intern i reduce participarea la minimum i nu intervine dect n calitate de parte interesat i consultant pentru ntreg procesul, pentru a verifica n ultim instan concluziile echipelor. In marea majoritate a cazurilor, implicarea auditului intern n programele de autoevaluare a controalelor se situeaz ntre aceste dou extreme. Cu ct este mai important participarea auditului intern la programele de autoevaluare i la discuiile organizate n ateliere, cu att responsabilul auditului intern trebuie s se asigure de obiectivitatea echipei de audit intern, s ia msuri n acest sens (dac este necesar), i s mreasc numrul de teste efectuate pentru a se asigura c opinia final este obiectiv i imparial Conform Normei 1120: 'Auditorii interni trebuie s adopte o atitudine imparial i neprtinitoare i s evite conflictele de interese".

84

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 12. Existena unui program de autoevaluare a controalelor consolideaz rolul tradiional al auditului intern deoarece i permite acestuia s asiste conducerea n exercitarea responsabilitilor ei, mai ales n ceea ce privete implementarea i meninerea procesului de management al riscurilor i de control i n ceea ce privete evaluarea sistemului. In cadrul unui astfel de program, auditul intern, unitile operaionale i funcionale coopereaz n scopul de a mbunti calitatea informaiilor privind funcionarea proceselor de control i importana riscurilor reziduale. 13. Dei particip la programul de autoevaluare a controalelor n calitate de moderator i de expert, auditul intern constat deseori c acest program i permite s reduc eforturile necesare pentru culegerea informaiilor privind procedurile de control i s elimine anumite teste. Un program de autoevaluare trebuie s aib ca efect extinderea sferei de evaluare a proceselor de control n cadrul entitii, mbuntirea calitii msurilor de corectare luate de responsabilii proceselor i axarea activitilor de audit intern pe examinarea proceselor cu un grad mare de risc i a situaiilor neobinuite. In acest caz, poate proceda la validarea concluziilor care rezult din programul de autoevaluare, poate s efectueze sinteza informaiilor care provin din diferitele componente ale entitii i s formuleze, n atenia conducerii i a comitetului de audit, o opinie de ansamblu privind eficacitatea controalelor.

85

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 2120.A4 Sunt necesare criterii adecvate pentru a evalua mecanismul de control. Auditorii interni trebuie sa stabileasc n ce msur conducerea a definit criterii adecvate pentru a aprecia daca obiectivele i scopurile au fost atinse. Dac aceste criterii sunt adecvate, auditorii interni trebuie s le utilizeze n propria evaluare Daca sunt neadecvate, auditorii interni trebuie s colaboreze cu conducerea pentru a elabora criterii corespunztoare de evaluare. MPA2120.A4-1 Criterii de control Natura acestei Modaliti Practice de Aplicare: Se recomand ca auditorii interni s in cont de urmtoarele sugestii atunci cnd evalueaz criteriile de control. Prezenta MPA nu are drept scop expunerea exhaustiv a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea de a include un ansamblu de elemente. Respectarea Modalitilor Practice de Aplicare este facultativ. 1. Auditorii interni trebuie s evalueze obiectivele i previziunile operaionale fixate i s determine dac sunt acceptabile i dac pot fi respectate. Dac obiectivele i criteriile de apreciere sunt imprecise, este necesar s se apeleze la interpretri oficiale. Dac auditorii interni sunt pui n situaia de a interpreta sau alege normele operaionale, trebuie s obin acordul clientului misiunii n ceea ce privete criteriile ce trebuie utilizate pentru a msura rezultatele operaionale.

86

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 2130 Guvernarea entitii Auditul intern trebuie s contribuie la procesul de guvernare a entitii prin evaluarea i mbuntirea procesului prin care (1) se definesc i se comunic valorile i obiectivele, (2) se urmrete realizarea obiectivelor, (3) se raporteaz i (4) se pstreaz valorile. 2130.A1 Auditorii interni trebuie s verifice operaiunile i proiectele pentru a asigura compatibilitatea acestora cu valorile entitii. MPA 2130 - 1 Rolul auditului intern l al auditorului intern n ceea ce privete modelul etic Natura acestei Modaliti Practice de Aplicare: Auditorii interni trebuie s in cont de urmtoarele puncte pentru a-i defini rolul n ceea ce privete modelul etic al unei entiti. Acest rol variaz n funcie de existena sau absena unei culturi etice n entitate i n funcie de gradul su de dezvoltare. Prezenta MPA nu are drept scop descrierea tuturor procedurilor necesare pentru a ndeplini o misiune complet de asigurare sau de consultan/consiliere cu privire la modelul etic al unei entiti. Respectarea Modalitilor Practice de Aplicare este facultativ. 1. Prezenta MPA subliniaz importana culturii organizaionale n crearea unui mediu etic i conine sugestii cu privire la rolul pe care auditorii interni l pot juca n mbuntirea acestui mediu. Aceast MPA: Descrie natura procesului de guvernare a entitii ; Stabilete o legtur ntre acest proces i cultura entitii n ceea ce privete etica; Precizeaz c orice persoan care are legtur cu organizaia, i n special auditorii interni,

87

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ trebuie s promoveze i s apere etica; Enumer caracteristicile unui model etic consolidat. 2. O Entitate poate adopta diverse forme juridice, structuri, strategii i proceduri pentru a se asigura c: respect legislaia i reglementrile n vigoare; rspunde normelor general admise n lumea de afaceri, principiilor de etic i ateptrilor ale societii civile; funcioneaz conform interesului general i consolideaz interesele prilor sale implicate, att pe termen lung ct i pe termen scurt; informeaz n mod exhaustiv i corect acionarii, instanele de reglementare, celelalte pri implicate i publicul i i justific deciziile, aciunile, gestiunea i rezultatele sale. Mijloacele folosite de o entitate pentru a ndeplini aceste patru obiective corespund conceptului general de proces de guvernare a entitii Eficacitatea guvernrii entitii depinde de responsabilitatea organului de conducere al acesteia (cum ar fi Consiliul sau comitetul de conducere) i de conducerea general. 3. Practicile adoptate de o entitate n ceea ce privete guvernarea sa reprezint rezultatul unei culturi unice i n continu evoluie care influeneaz rolurile, condiioneaz comportamentele, determin obiectivele i strategiile, msoar performanele i definete responsabilitile. Aceast cultur influeneaz valorile, rolurile i comportamentele dictate i tolerate de entitate i condiioneaz importana, grija sau indiferena pe care o confer exercitrii responsabilitilor sale fa de societate. Astfel, eficacitatea procesului de guvernare depinde n mare msur de cultura organizaional. 4. Toate persoanele care au legtur cu organizaia sunt ntr-o anumit msur responsabile de modelul su Dat fiind complexitatea i rspndirea proceselor de decizie n majoritatea entitilor, fiecare persoan trebuie ncurajat s promoveze i s apere etica, indiferent dac acest rol i-a fost delegat oficial sau neoficial. Codurile de conduit, precum i rapoartele referitoare la strategia i politicile entitii, constituie declaraii importante n care organizaia precizeaz valorile i scopurile sale, comportamentul pe care-l ateapt din partea personalului i strategiile adoptate pentru a instaura un model compatibil cu responsabilitile care i revin pe plan juridic, etic i cu privire la societate. Un numr din ce n ce mai mare de entiti au desemnat un responsabil al crui rol este de a consilia conducerea , managerii i ceilali membri ai personalului i de a fi un exemplu n cadrul entitii.

88

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ 5. Auditorii interni i auditul intern trebuie s contribuie activ la susinerea modelului etic n cadrul entitii fiind un exemplu de ncredere i o integritate moral sporit; de asemenea dispun de competenele necesare pentru promovarea eficient a unei conduite morale . Acetia au capacitatea de a determina conducerea , managerii precum i pe ceilali angajai din cadrul entitii s respecte obligaiile care le revin att pe plan juridic ct i n ceea ce privete etica sau responsabilitile fa de societate 6. Auditul intern poate promova i poate apra etica n diferite moduri. Poate, , s numeasc din rndul colaboratorilor si un responsabil cu etica (mediator, responsabil cu conformitatea , consilier al conducerii sau expert n domeniul eticii), un membru al comitetului intern de etic, sau o persoan nsrcinat cu evaluarea climatului etic din entitate. n anumite cazuri, se poate ntmpla ca exercitarea funciilor responsabilului cu etica s duneze independenei auditului intern. 7. Serviciul de audit intern trebuie, cel puin, s evalueze periodic climatul etic din cadrul entitii i eficacitatea strategiilor, a tacticilor, a comunicrii i a altor procese adoptate pentru a atinge nivelul dorit de conformitate cu legea i cu normele de etic. Auditorii interni trebuie s aprecieze realitatea urmtoarelor elemente, care reprezint semnul unui model etic puternic i eficace : existena unui cod oficial de conduit, clar i uor de neles, a declaraiilor i politicilor aferente (n special proceduri referitoare la fraud i la corupie), i a altor elemente care exprim aspiraiile entitii; demonstraii frecvente i dovezi ale comportamentului etic exemplar al conductorilor influeni ai entitii; strategii explicite care au ca scop susinerea i consolidarea modelului etic prin programe periodice care permit actualizarea i rennoirea angajamentului entitii n ceea ce privete etica; existena mai multor modaliti uor de accesat ce permit raportarea , cu maxim confidenialitate, a presupuselor nerespectri ale codului de conduit i ale politicilor , precum i a altor dovezi de conduit necorespunztoare; declaraiile periodice ale angajailor, furnizorilor i clienilor care atest c acetia sunt informai n privina regulilor etice care trebuie respectate n tranzaciile care implic organizaia; definirea clar a responsabilitilor ce permit asigurarea c implicaiile etice sunt evaluate, c sfaturile sunt oferite cu maxim confidenialitate, c pretinsele nclcri fac obiectul unei anchete i sunt raportate corect; 89

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________ facilitarea accesului la o formare profesional ce permite tuturor colaboratorilor s promoveze i s apere etica; practici pozitive ale personalului, care i ncurajeaz s contribuie la instaurarea unui climat etic n cadrul entitii; anchete periodice n rndul angajailor, furnizorilor i clienilor pentru a aprecia climatul etic din cadrul entitii; examinri periodice ale proceselor formale i informale ale entitii care ar putea provoca presiuni i abateri de natur s submineze modelul etic ; verificarea periodic a referinelor i a evoluiei profesionale a personalului n curs de recrutare, n special prin teste de integritate, controale cu privire la consumul de droguri i alte msuri similare.

90

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

PROCEDURI DE AUDIT INTERN PRIVIND RISCURILE 6. PROCEDURA IDENTIFICAREA I ANALIZA RISCURILOR

Scopul: Procedura urmrete identificarea riscurilor specifice structurii/activitii auditate. Evaluarea controlului intern din cadrul structurii/activitii auditate

Premise: Aprecierea unui risc se realizeaz n funcie de: - natura i specificul activitii/funciei auditate; - calitatea controlului intern; - gravitatea consecinelor directe i indirecte ale producerii riscului; - probabilitatea producerii riscului. Riscurile poteniale impun recomandri de audit, aceste riscuri fiind identificate pe baza concluziilor misiunilor de audit anterioare.

91

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

Procedura:

Auditorii 1. realizeaz, pe baza informaiilor culese, lista activitilor auditabile 2. pentru fiecare activitate auditabil stabilesc sarcini elementare; 3. identific riscurile asociate pentru fiecare sarcin elementar; 4. precizeaz criteriile de evaluare a riscurilor; 5. evalueaz riscurile identificate; 6. stabilesc obiectivele de auditat ca urmare a riscurilor identificate 7. precizeaz dispozitivele specifice fiecrei sarcini (obiective, mijloace, sistem informaional); 8. ntocmesc tabelul Analiza riscurilor (anexa nr. 5). eful Departamentului 9. organizeaz o edin de analiz a obiectivelor de audit, a de audit intern riscurilor i criteriilor de evaluare a acestora. Dup caz, poate dispune reevaluarea obiectivelor i riscurilor identificate; 10. aprob tabelul Analiza riscurilor. Auditorii 11. rein tabelul Analiza riscurilor n dosarul misiunii de audit intern.

92

MANAGEMENTUL RISCULUI I AUDITUL INTERN _____________________________________________________________________________________

ANEXA Nr. 5 la proceduri TABEL ANALIZA RISCURILOR

Clasificarea Descrierea Strategia ClasificareaStrategii Risc riscului Probabilitate Impact consecinei existent riscului necesare rezidual

93