Audit intern

Managementul riscurilor
Audit intern - control intern - managementul riscurilor
Controlul intern cuprinde un set de cinci componente inter-corelate care fac parte
din procesul managerial
1
. Aceste componente se regsesc ntr-o msur mai mare sau mai
mic, n funcie de dimensiune, n toate organizaiile
2
. Iat despre ce este vorba
!ediul de control"
#valuarea riscurilor"
Activitile de control"
Informaiile $i comunicarea"
!onitorizarea.
Mediul de control %d tonul& ntr-o organizaie influen'nd n mod decisiv
atitudinea oamenilor fa de control. Altfel spus, mediul de control reprezint fundamentul
tuturor celorlalte componente, asigur'nd disciplina. (rintre factorii
)
care influeneaz
mediul de control se regsesc integritatea, valorile etice, competena personalului anga*at,
filosofia managementului $i maniera sa de aciune, desemnarea autoritii $i
responsabilitilor, etc.
Evaluarea riscurilor. A$a cum indicam ntr-unul din capitolele precedente ale
lucrrii de fa, fiecare organizaie este e+pus unor riscuri a cror probabilitate $i impact
trebuie evaluate. , precondiie pentru evaluarea riscurilor const n stabilirea obiectivelor
corelate at't pe vertical c't $i pe orizontal n cadrul unei organizaii. #valuarea riscurilor
presupune identificarea acestora $i analiza lor prin prisma pericolului pe care-l reprezint
vis-a-vis de obiectivele organizaiei. Astfel, se constituie ceea ce numim fondul de riscuri
ce trebuie administrate. -nele organizaii, ndeosebi cele mari, au creat o structur
1
....coso.org/publications/e+ecutive0summar10integrated0frame.or2.3tm
2
!aterialul este realizat n baza unei selecii efectuate din 4. 5obroeanu, C.4. 5obroeanu, Audit intern,
#ditura Info!ega, 2667, pag. 87 9 7) $i 1): 9 1:8
)
4. 5obroeanu, C.4. 5obroeanu, Audit concepte $i practici, #ditura #conomic, 2662, pag. 1;<-1;8
operaional distinct care s realizeze acest proces comple+, cunoscut sub denumirea de
managementul riscurilor organizaiei =#>!?
<
. @otodat, dat fiind faptul c circumstanele
economice, legislative etc. sunt n continu sc3imbare, sunt necesare mecanisme noi
pentru a identifica $i controla riscurile asociate acestor sc3imbri.
Activitile de control reflect politicile $i procedurile de control aplicate la nivelul
ntregii organizaii incluz'nd, spre e+emplu, aprobri, autorizri, e+aminri, reconcilieri,
etc.
Informaiile i comunicarea. Aistemele informaionale produc informaii necesare
pentru derularea cotidian a afacerilor, cum ar fi rapoarte privitoare la aspecte financiare,
operaionale, etc. Br o comunicare eficace, at't pe vertical c't $i pe orizontal, orice
sistem informaional este lipsit de valoare.
Monitorizarea. Aistemele de control intern trebuie monitorizate, n sensul de a fi
evaluate prin prisma performanelor sale de-a lungul timpului. Cn lipsa unei astfel de
monitorizri, eficiena $i eficacitatea controalelor interne nu ar fi cunoscute $i, n
consecin, nu ar putea fi corectate deficienele, dup cum nu ar putea fi consolidate
punctele sale forte. Aria de acoperire $i frecvena acestor evaluri depinde de procesul de
evaluare a riscurilor $i de eficacitatea procedurilor de monitorizare.
5in nefericire, e+ist o seam de a$teptri nerealiste privind performanele
controlului intern, n sensul c se presupune c acesta poate garanta succesul afacerilor
organizaiei sau c poate garanta credibilitatea informaiilor contabile din raportrile
financiare. Dici una, nici cealalt dintre a$teptrile e+puse mai sus nu sunt rezonabile
deoarece, la r'ndul su, controlul intern nu este o soluie magic pentru toate problemele
unei organizaii. 5a, controlul intern poate spri*ini organizaia s-$i ating obiectivele, dar
nu poate transforma un manager incompetent, ntr-unul competent. Aau, referitor la
credibilitatea raportrilor financiare, controlul intern nu poate %pune lacte& creativitii
contabile ori elimina pentru totdeauna gre$elile inerente de calcul.
Auditului intern n aceste circumstane i revine un rol important legat de
monitorizare evaluarea continu a eficienei $i eficacitii controlului intern. 5e aici
survin $i confuziile legate de suprapunerea auditului intern cu controlul intern. (rivit din
afara organizaiei, n baza componentelor controlului intern prezentate mai sus, un
observator ar putea asocia auditul intern drept o structur din ntregul univers al
<
#ngl. 9 #nterprise >isc !anagement
controlului intern. 5ar, analizat prin prisma rolului *ucat n interiorul organizaiei, auditul
intern nu se poate *udeca pe sine cu credibilitate. (rin urmare, este absolut obligatoriu ca
cele dou structuri s fie separate una aplic, cealalt monitorizeaz $i evalueaz.
Cn con*uncie cu publicarea raportului C,A, %Enterprise risk management
Integrated framework&, IIA a emis un g3id adresat $efilor departamentelor de audit care
prezint recomandrile privind relaiile auditului intern cu #>! din cadrul organizaiilor
lor
:
. (rintre altele, scopul acestui g3id vizeaz stabilirea unei linii de demarcaie clare
ntre managementul riscurilor $i responsabilitile auditului intern vis-a-vis de cele dou.
Astfel, principalele activiti ale auditului intern n relaia cu #>! sunt
furnizarea unei asigurri cu privire la procesele de management al riscurilor"
furnizarea unei asigurri cu privire la faptul c riscurile sunt evaluate corect"
evaluarea proceselor de management al riscurilor"
evaluarea raportrilor privitoare la riscurile eseniale
8
"
analiza managementului riscurilor eseniale.
(rivitor la rolul legitim pe care-l are auditul intern, IIA subliniaz
facilitarea identificrii $i evalurii riscurilor"
consilierea conducerii pentru a adopta msuri de protecie mpotriva riscurilor"
coordonarea activitilor #>!"
consolidarea raportrilor privind riscurile"
meninerea $i dezvoltarea cadrului #>!"
dezvoltarea strategiei de management a riscurilor supuse aprobrii consiliului de
administraie.
@otodat, IIA avertizeaz asupra rolurilor pe care auditul intern nu trebuie s $i le
asume
7

stabilirea apetitului pentru risc"

impunerea proceselor de management al riscurilor"
asigurarea managementului cu privire la riscuri
adoptarea deciziilor privind msurile de contracarare a riscurilor"
:
....t3eiia.org 9 IIA, @3e role of internal audit in enterprise-.ide ris2 management, 266<
8
#ngl.- 2e1 ris2s
7
>eamintim c, n acest conte+t, responsabilitatea pentru stabilirea apetitului pentru risc al conducerii revine
#>!.
implementarea acestor msuri n numele managementului"
Studiu de caz Keos
Eeos este o companie care distribuie consumabile pentru te3nica de calcul.
Aistemul de procesare a comenzilor provenite de la clieni, respectiv a facturrii
produselor livrate adoptat de Eeos este urmtorul
5ra. Eate, operator la departamentul de v'nzri, nregistreaz comenzile ntr-un
registru de comenzi, pre-numerotat, emis patru e+emplare =1 original $i trei copii?
pentru fiecare comand, numai dup ce a interogat baza de date referitoare la registrul
de v'nzri. Interogarea are drept scop asigurarea c limitele de credit alocate pe
clientul respectiv nu sunt dep$ite. Clienii noi sunt supu$i n prealabil procesului de
stabilire a limitelor de creditare, operaiune efectuat de ctre managerul
departamentului de v'nzri"
(rimul e+emplar =originalul? al comenzii este reinut la serviciul de v'nzri, iar cele
trei copii sunt trimise la depozit pentru a fi autorizat livrarea. 5epozitul selecteaz
produsele comandate $i le ambaleaz. Comenzile pentru produsele care nu se gsesc n
stoc sunt nregistrate ntr-un fi$ier de a$teptare $i sunt procesate n momentul n care
stocurile sunt primite. #+emplarele doi $i trei ale comenzii sunt trimise clientului
mpreun cu produsele livrate, cer'nd clientului s semneze e+emplarul doi $i s-l
restituie agentului de distribuie Eeos. Cea de-a patra copie este trimis la serviciul de
contabilitate $i este confruntat cu e+emplarul doi returnat de client.
5etaliile e+emplarului patru sunt introduse de ctre dra. A3aron, operator registrul
v'nzri, n fi$ierul privind registrul de v'nzri. (rogramul prevede o serie de c3ei de
control pentru a preveni riscul de a nu introduce gre$it codul clientului sau al
produselor livrate. Cn caz de eroare, programul respinge nregistrarea $i solicit
corectarea informaiilor. Apoi, programul emite automat factura, n dublu e+emplar,
care cuprinde toate informaiile referitoare la client $i preul produselor livrate
acestuia. (rimul e+emplar al facturii este trimis clientului, iar e+emplarul al doilea este
ata$at e+emplarelor de comand doi $i patru. >egistrul de v'nzri este actualizat
automat, iar la finalul fiecrei zile, programul genereaz o list a tuturor facturilor
emise n ziua respectiv.
(rogramul genereaz un raport de v'nzri la finalul fiecrei sptm'ni, iar suma total
este confruntat de A3aron cu valoarea nregistrat pentru aceea$i perioad n registrul
de v'nzri. (e baz lunar, programul emite o situaie comple+ privind analiza
creanelor $i maturitatea acestora pe fiecare client. A3aron are responsabilitatea de a
transmite clienilor situaia privind datoriile lor fa de Eeos, de a avertiza clienii care
nu-$i ac3it datoriile la scaden $i de a conveni cu ace$tia mecanisme de ree$alonare a
plilor. , analiz a creanelor relev faptul c durata de ncasare a acestora s-a mrit
de la ); la 7< zile pe parcursul anului curent, de$i politicile Eeos prevd o scaden de
)6 de zile.
Cerine
1. Identificai deficienele de control intern referitoare la procedurile Eeos privind
sistemul descris.
2. 5escriei procedurile care ar permite reducerea perioadei de ncasare a
creanelor de ctre Eeos.
Strategia de audit RBA
8
1. Strategia de audit RBA
Fom ncepe discuia noastr n acest capitol prin a sublinia c strategia >GA $i
planul de audit sunt dou componente str'ns legate ntre ele, fapt recunoscut de altfel $i de
standardele de audit intern %Heful departamentului de audit intern trebuie s elaboreze un
plan de audit pe baza riscurilor =n.n. >GA? pentru a determina prioritile activitilor
auditului intern n conformitate cu obiectivele organizaiei&
;
sau %programul misiunilor de
audit intern trebuie s aib la baz evaluarea, cel puin anual, a riscurilor&
16
.
Cn ciuda cerinelor normelor profesionale, practicile de elaborare a planurilor de
audit intern $i a programelor de misiune sunt variate, ma*oritatea acestora fiind ancorate la
o strategie tradiional de audit care plaseaz n centrul ateniei auditului intern una sau
mai multe dintre urmtoarele variante auditul pe procese, pe funcii, pe meserii, pe teme,
auditul de conformitate, auditul operaional, etc. Aceste abordri tradiionale vizau
auditarea intern a tot ce era posibil. 4a polul opus, strategia prevzut de standardele
internaionale de audit intern 9 >GA 9 implic o selecie $i o prioritizare a activitilor $i
misiunilor de audit intern pe baza unei evaluri a riscurilor, astfel nc't auditul intern s
serveasc ntr-adevr obiectivelor organizaiei. Ac3imbarea de strategie produce efecte
asupra modului n care se desf$oar activitatea de audit intern, efecte pe care le discutm
at't aici, dar $i n cadrul altor paragrafe si capitole ale lucrrii noastre.
Iriffit3s
11
prezint urmtoarele precondiii necesare pentru a putea aplica strategia
>GA
,rganizaia cunoa$te toate riscurile inerente semnificative, adic cele
situate peste nivelul apetitului pentru risc"
,rganizaia $i-a evaluat riscurile, astfel nc't acestea pot fi prioritizate n
funcie de pericolul pe care-l reprezint"
J
Atrategie de audit bazat pe riscuri - engl. >is2 Gased Auditing =>GA?
;
Atandardul de performan IIAA 2616, (lanificarea
16
Atandardul de aplicare IIAA 2616.A1, !isiunile de audit
11
5. Iriffit3s, >is2 based internal auditing an introduction, 2668, pag. 28
,rganizaia $i-a definit apetitul pentru risc, astfel nc't riscurile inerente $i
cele reziduale
12
pot fi evaluate $i clasificate n funcie de acesta.
4a r'ndul lor precondiiile pot fi satisfcute numai dac
4a nivelul organizaiei, consiliul a adoptat un set adecvat de politici de control
intern"
Apetitul pentru risc a fost aprobat de ctre consiliu"
5irectorii e+ecutivi au fost instruii corespunztor pentru a avea abilitile cerute
pentru identificarea riscurilor, evaluarea lor, pentru proiectarea, punerea n aplicare
$i monitorizarea sistemelor de control care asigur implementarea politicilor
adoptate de consiliu.
#tapele >GA sunt
1. e+aminarea registrului riscurilor $i determinarea riscurilor asupra crora
auditorii vor trebui s formuleze o opinie cu privire la gradul de control
e+ercitat"
2. elaborarea planului de audit =anual? $i obinerea aprobrii comitetului de
audit asupra acestuia"
). realizarea misiunilor de audit care vor furniza baza pentru opiniile
auditorilor"
<. actualizarea universului de audit
!"
i riscuri, pe msur ce sunt obinute
informaii suplimentare.
Cn practic, obinerea unei asigurri cu privire la registrul riscurilor este realizat
de obicei o singur dat sau p'n n momentul n care auditorii capt ncrederea c
registrul riscurilor poate fi utilizat ca o baz credibil n etapele urmtoare. #tapa a doua
este realizat anual, sub rezerva c planul de audit poate fi revizuit $i modificat n cursul
anului. #tapa a treia are o frecven mult mai mare, determin'nd $i frecvena etapei a
patra. (rimele dou etape sunt prezentate n cadrul acestui capitol, urm'nd ca ultimele
dou etape fie prezentate distinct, n cadrul capitolului urmtor al lucrrii.
12
(entru detalii privind riscurile inerente $i reziduale vezi paragraful J.2.2.
1)
, lista cu procesele =domeniile? auditabile.
2. Prima etap: Eaminarea registrului riscurilor
1!

,biectivele acestei etape vizeaz obinerea unei asigurri cu privire la faptul c
riscurile situate peste nivelul apetitului pentru risc au fost identificate $i evaluate corect de
ctre conducere, cu scopul de a stabili credibilitatea folosirii ulterioare a registrului de
riscuri.
Cn acest sens, auditorii interni aplic urmtoarele proceduri de audit
discuii =interviuri, c3estionare, mese rotunde etc.? cu managementul e+ecutiv $i
consiliul de administraie cu privire la riscurile la care este e+pus entitatea.
Auditorii urmresc astfel s se conving de faptul c toat conducerea nelege
importana riscurilor $i ntreprinde eforturi de ameliorare a acestora"
documentarea urmtoarelor aspecte
o obiectivele organizaiei"
o metodele utilizate de ctre conducere pentru a evalua riscurile semnificative
precum $i alocarea responsabilitilor pentru diferite procese din cadrul
organizaiei"
o scala de evaluare utilizat pentru dimensionarea relevanei riscurilor"
o declaraia consiliului privind definirea apetitului su pentru risc"
o maniera n care riscurile vor fi integrate n procesele decizionale"
o registrul riscurilor.
#+aminarea documentelor obinute"
Bormularea unei concluzii cu privire la credibilitatea $i posibilitatea utilizrii
registrului riscurilor pentru aciunile ulterioare. 5ac auditorii interni a*ung la
concluzia c, pentru a fi credibil $i utilizabil, registrul riscurilor necesit a*ustri
sau corecii minore, trebuie s solicite consiliului de administraie $i
managementului e+ecutiv s le opereze. Cn cazul n care registrul nu poate fi deloc
utilizat sau nu e+ist, auditorii pot lua n considerare spri*inirea organizaiei n
construirea sau corectarea registrului, n funcie de caz. (aragrafele J.2.1. $i J.2.2.
de mai *os detaliaz activitatea auditorilor n cazul n care registrul riscurilor nu
e+ist n cadrul organizaiei. 5ecizia auditorilor interni n acest ultim caz trebuie
1<
5. Iriffit3s, >is2 based internal auditing an introduction, 2668, pag. )6-);
luat n acord cu sugestiile comitetului de audit care trebuie informat printr-un
raport asupra faptului c registrul riscurilor nu e+ist sau nu este utilizabil.
2.1. Registrul riscurilor: con"inut #i te$nici de ela%orare
>egistrul riscurilor reprezint o list complet a riscurilor =de obicei o baz de
date? identificate de conducerea organizaiei, care amenin atingerea obiectivelor
organizaiei. 5ac n cadrul organizaiei e+ist o funcie de management al riscurilor,
atunci construirea $i actualizarea acestei baze de date este responsabilitatea acesteia.
#vident, volumul de munc al auditorilor interni este mult redus dac managementul
riscurilor e+ist $i funcioneaz corespunztor.
Cn lipsa managementului riscurilor, auditorii interni pot spri*ini $i consilia
conducerea superioar =consiliul? n ceea ce prive$te nfiinarea registrului de riscuri,
evaluarea riscurilor $i determinarea apetitului pentru risc. 5at fiind faptul c e+ist
numeroase organizaii care se situeaz n cea de-a doua ipostaz, n continuare, vom
e+pune activitile auditorilor interni aplicabile n conte+tul acestora. Construirea
registrului riscurilor nu este o sarcin tocmai u$oar. C3iar dac se presupune c auditorii
interni nu poart responsabilitatea construirii registrului riscurilor, a evalurii riscurilor $i
a determinrii apetitului pentru risc, nelegerea acestui proces a*ut auditorii interni s
poat evalua credibilitatea registrului de riscuri obinut.
Cn ceea ce prive$te registrul riscurilor, rspunsul la ntrebarea %registrul riscurilor
include toate riscurile semnificativeK& este crucial. (unctul de pornire const n a formula,
pe baza propriei e+periene, anticiprile privind riscurile poteniale care amenin
obiectivele, pentru a le putea discuta ulterior n nt'lnirile cu persoanele relevante din
cadrul organizaiei. Biecrui risc anticipat, i sunt ata$ate apoi procesele de control care,
prezumabil, reduc riscurile respective sau, mai bine zis, le controleaz. 5etaliind, la un
nivel imediat inferior, procesele de control devin, la r'ndul lor obiective, ameninate de
alte riscuri, ameliorate de alte controale, etc. Ierar3iz'ndu-le astfel, ntr-o abordare logic,
din aproape n aproape, pot fi identificate, pe r'nd, toate riscurile $i se poate construi
registrul riscurilor. Ane+a 1 prezint un e+emplu de ierar3izare n acest sens. Aceast
manier de identificare a riscurilor, de$i dificil de aplicat =dar, reinem c odat construit,
registrul riscurilor nu trebuie dec't actualizat, ulterior 9 deci %c3inul& nu dureaz la
infinitL? este facil de urmrit $i de neles de ctre consiliu, respectiv u$or de utilizat de
ctre auditorii interni n elaborarea planurilor anuale de audit. 5e reinut faptul c
procesele de control indicate n cadrul acestei ierar3ii sunt cele ce pot ameliora riscurile
considerate, nu cele pe care le aplic organizaia. Cn mod firesc, ntre acestea $i cele
utilizate de organizaie, ar trebui s e+iste o apropiere foarte mare, ns pot e+ista situaii
=ce pot fi descoperite astfel? n care nu sunt procese de control care s amelioreze anumite
riscuri, dup cum pot fi identificate controale inutile. @otu$i, aceast dezvoltare
arborescent poate deveni foarte comple+, motiv pentru care este necesar structurarea ei
astfel nc't s fie utilizabil. Atructurarea acesteia trebuie s in cont de dou aspecte
riscurile care amenin procesele superioare
1:
din ierar3ie, respectiv procesele de control
care, prezumabil, le amelioreaz.
-nii auditori interni prefer construirea registrului riscurilor plec'nd direct de la
surs consiliul de administraie $i persoanele relevante din cadrul organizaiei. 5e$i,
aceast procedur direct economise$te foarte mult timp preios, prezint dezavanta*ul c,
unele riscuri pot rm'ne neidentificate, dat fiind faptul c auditorii nu mai au o baz de
confruntare pregtit de ei anterior. Cn rest, procedura de ierar3izare, etc. rm'ne
aplicabil. 5e principiu, e+ist trei proceduri utilizate cu scopul de a identifica riscurile
Interviul"
Aeminariile de identificare a riscurilor =engl. 9 ris2 .or2s3ops?"
#videnele contabile.
Interviul. >ezultatele unui interviu reflect punctul de vedere individual e+primat
de ctre cel intervievat referitor la riscurile la care obiectivele organizaiei sunt e+puse.
(rintre avanta*ele aceste proceduri se numr u$urina stabilirii unei ntrevederi cu o
singur persoan fa de un grup de persoane, respectiv confortul mai mare al
intervievatului n e+primarea punctelor sale de vedere pe care ntr-un seminar poate nu $i
le-ar e+prima desc3is. (rintre dezavanta*ele utilizrii acestei proceduri pot fi enumerate
dificultatea de a omogeniza punctele de vedere individuale e+primate $i de a clasifica
riscurile astfel obinute.
#eminariile de identificare a riscurilor. >ezultatele seminariilor se concretizeaz
ntr-o list de riscuri care pun n pericol obiectivele organizaiei, respectiv o dimensionare
a probabilitii $i consecinei acestora. -n avanta* al utilizrii acestei proceduri const n
faptul c persoanele interacioneaz $i creeaz idei noi.
1:
(rocesul din ierar3ie este compus din secvena risc-proces de control =sub-obiectiv?.
Evidenele conta$ile. #+aminarea fiecrei clase/poziii din situaiile financiare sau
din evidenele contabile, precum $i a evenimentelor ata$ate acestora poate scoate la iveal
o serie de riscuri importante.
Cn acest moment registrul riscurilor, fie a*ustat cu rezultatele procedurilor e+puse
mai sus, fie obinut n e+clusivitate n baza acestora, trebuie transpus ntr-o baz de date
computerizat pentru a facilita clasificarea $i utilizarea lui ulterioar.
2.2. &imensionarea rele'an"ei riscurilor
Av'nd construit registrul riscurilor, pasul urmtor trebuie s vizeze spri*inirea
consiliului n ceea ce prive$te rafinarea registrului riscurilor prin identificarea tuturor
riscurilor %semnificative& prin raportare la apetitul pentru risc. 5imensionarea relevanei
riscurilor =>? este realizat prin prisma celor dou variabile componente ale fiecrui risc
consecina =C? $i probabilitatea =(?. Aritmetic, relaia de calcul este e+primat astfel
>eamintim c, dac n cadrul organizaiei e+ist un departament de management al
riscurilor, aceasta evaluare ar fi responsabilitatea acestuia.
Cn cele ce urmeaz vom prezenta un model de cuantificare a relevanei riscurilor,
cu meniunea c modelul nu este infailibil, el put'nd fi adaptat sau modificat, n funcie de
preferinele auditorilor pentru o msurare mai e+act sau mai grosier.
C'teva precizri legate de modelul de cuantificare a semnificaiei riscurilor
1. am utilizat o scal de dimensionare pe cinci nivele, fiecrui nivel ata$'ndu-i valori
numerice cuprinse ntre 1 $i :, detaliat n tabelul 1. de mai *os.
R = C x P
@abelul 1. 5imensionarea relevanei riscului
5ac se produce riscul, Consecinele
acestuia ar fi
AA-,
%ro$a$ilitatea
riscului este
&elevana
riscului
1 2 ) M1+2
Cnc3iderea organizaiei total sau parial
pe un orizont de timp lung =:?
Boarte ridicat
=:?
Boarte mare
=2:?
Imposibilitatea organizaiei de a-$i atinge
obiectivele sale ma*ore pe un orizont de
timp ndelungat =<?
>idicat
=<?
!are
=18?
Imposibilitatea organizaiei de a-$i atinge
unele obiective pe o perioad de timp
limitat =)?
!edie
=)?
!edie
=;?
Apariia unor pagube fr s fie afectat
atingerea obiectivelor ma*ore ale
organizaiei =2?
>edus
=2?
>edus
=<?
Apariia unor pagube minore, fr a fi
afectat atingerea obiectivelor organizaiei
=1?
Boarte redus
=1?
Boarte redus
=1?
2. momentul dimensionrii relevanei riscurilor nainte sau dup evaluarea proceselor de
control ata$ate acestoraK
4iteratura de specialitate $i practicile relev preferine diferite pentru momentul
msurrii relevanei riscurilor. Dormele profesionale de audit intern recomand
dimensionarea riscurilor at't nainte, c't $i dup ce procesele de control au fost evaluate.
>einem de aici urmtoarele
&iscul inerent '$rut( a$solut), este riscul dimensionat nainte de a evalua
eficacitatea $i eficiena controalelor interne"
&iscul rezidual 'net( controlat), este riscul dimensionat dup ce au fost
evaluate eficiena $i eficacitatea controalelor interne ale organizaiei.
Cn timp ce riscul inerent va servi pentru formularea planului de audit anual $i
identificarea misiunilor de audit ce vor fi ntreprinse, riscul rezidual este determinat pe
parcursul misiunilor de audit, pentru a evalua eficacitatea $i eficiena controalelor efective
asupra riscurilor respective.
#valuarea semnificaiei riscurilor inerente =modelul poate fi utilizat apoi $i pentru
riscul rezidual? prin prisma apetitului pentru risc poate fi realizat prin realizarea unei
matrice, pentru fiecare risc, astfel nc't prin combinaia probabilitii cu consecina
riscurilor, consiliul s poat decide asupra riscurilor acceptabile, respectiv inacceptabile
din punctul su de vedere. Altfel spus, consiliul $i define$te astfel apetitul pentru risc.
@abelul 2 de mai *os, prezint un model de evaluare a semnificaiei riscurilor inerente prin
referin la apetitul pentru risc al consiliului.
@abelul 2. Aemnificaia riscurilor inerente
raportate la apetitul pentru risc al consiliului
Consecina riscului inerent
5 4 3 2 1
(
r
o
b
a
b
i
l
i
t
a
t
e

r
i
s
c
u
l
u
i

i
n
e
r
e
n
t
5 2: 26 1: 16 :
4 26 18 12 J 4
3 1: 12 ; 8 3
2 16 J 8 4 2
1 : 4 3 2 1
A presupunem c, n ansamblu, consiliul $i define$te apetitul pentru risc astfel
riscurile inerente a cror relevan se afl n intervalul 1-< sunt riscuri acceptabile. Altfel
spus, toate celelalte riscuri ale cror relevan dep$e$te pragul valoric < reprezint un
interes pentru auditori.
(. Etapa a doua: Ela%orarea planului de audit
,biectivele urmrite de auditori n cadrul acestei etape vizeaz
5eterminarea riscurilor care vor fi incluse n planul de audit"
Alocarea acestor riscuri misiunilor de audit"
#laborarea planului de audit
Biltrarea riscurilor din registru pentru identificarea celor care vor fi incluse n planul de
audit anual se realizeaz prin raportarea la apetitul pentru risc al conducerii drept criteriu
prioritar.
Astfel, riscurile care se situeaz sub nivelul apetitului pentru risc al conducerii nu
vor necesita o atenie din partea auditorilor $i, drept urmare, nu vor fi incluse n planul de
audit. Cn ceea ce prive$te riscurile situate peste nivelul apetitului pentru risc, pot e+ista
urmtoarele situaii cu privire la care auditorii interni vor decide meninerea sau
eliminarea lor din planul de audit
>iscurile pe care conducerea le consider c, din diverse motive, nu vor putea fi
ameliorate astfel nc't s fie reduse la nivelul apetitului pentru risc, motiv pentru care
le accept. Cn cazul n care e+ist programe contingente pentru aceste riscuri ele vor
face obiectul unor misiuni de audit. Cn consecin, aceste riscuri vor putea fi incluse n
planul de audit.
>iscurile pentru care au fost adoptate msuri de prevenire de tipul transferului =de
e+emplu, asigurarea mpotriva riscurilor?. Inclusiv acestea vor putea fi meninute n
planul de audit, deoarece auditorii vor dori probabil s se conving, n conte+tul unei
misiuni, dac toate riscurile de acest gen au fost transferate $i dac transferul este
eficient $i eficace ca mecanism de protecie.
>iscurile pe care conducerea este decis s le elimine prin diverse aciuni sau
programe. Asupra acestor riscuri auditorii vor decide dac le pstreaz sau nu n planul
de audit. !eninerea lor n plan poate fi *ustificat de faptul c aciunile conducerii de
eliminare a riscului respectiv, pot genera alte riscuri, iar auditorii vor dori s se
conving c aceste sunt controlate corespunztor.
>iscurile e+aminate $i evaluate de o ter parte =de e+emplu, de ctre auditorii e+terni?
care furnizeaz o asigurare direct consiliului de administraie asupra gradului de
control e+ercitat de organizaie asupra acestora. Cn astfel de cazuri, strategia $i
politicile interne ale organizaiei reprezint un punct de spri*in n adoptarea unei
decizii asupra meninerii sau eliminrii lor din planul de audit.
>iscurile care au fost aduse n limita apetitului pentru risc, fapt dovedit de rapoartele
misiunilor de audit intern anterioare. Cn funcie de intervalul de timp care a trecut de la
finalul acelor misiuni, precum $i de rezultatele relevate de programele de monitorizare
post-audit cu privire la implementarea msurilor corective, auditorii vor decide dac
pstreaz sau nu n planul de audit aceste riscuri.
@oate celelalte riscuri care au rmas vor fi incluse n planul de audit. Alocarea riscurilor
pe misiuni de audit are ca punct de plecare registrul riscurilor, actualizat cu rezultatele
procesului de filtrare precedent. Criteriile de alocare cel mai frecvent utilizate sunt
(erioada de timp $i resursele necesare pentru o misiune de audit =cu c't mai multe
riscuri $i procese alocate pe o misiune, cu at't mai lung $i mai costisitoare va fi
misiunea de audit?"
(ersoanele ce se intenioneaz a fi intervievate n conte+tul misiunii"
4ocaia proceselor auditabile, etc.
#+ist $i companii care prefer gruparea riscurilor pe misiuni, dup ce obin o list
cu toate procesele auditabile =denumit universul auditului? $i gruparea lor ulterioar n
funcie de locaie sau alte criterii particulare. Cn ceea ce prive$te prioritizarea misiunilor de
audit $i includerea acestora n planul anual, auditul intern trebuie s formuleze un
raionament rezonabil, in'nd cont de resursele financiare, materiale, umane $i fondul de
timp avut la dispoziie. Du este obligatoriu ca toate misiunile identificate s fie incluse
ntr-un singur plan anual, dac toate considerentele de mai sus nu permit acest lucru. #ste
motivul pentru care, unele companii opereaz cu planuri de audit multi-anuale. 5e
asemenea, companiile care abia nfiineaz funcia de audit intern fac fa unor
constr'ngeri considerabile, mai ales n ceea ce prive$te resursa uman. (entru stabilirea
prioritilor n realizarea misiunilor ce vor fi incluse n planul de audit, n practic se
folosesc mai multe modele, fiecare dintre ele fiind elaborat n funcie de particularitile
proprii fiecrei companii. Cn cele ce urmeaz vom ncerca e+punerea unui model,
folosindu-ne de e+emplul din paragraful precedent.
Astfel, auditorii pot conveni urmtoarea situaie
(entru riscurile inerente a cror relevan este cuprins n intervalul N1-<O, nu vor fi
ntreprinse niciodat misiuni de audit intern"
(entru riscurile inerente a cror relevan se situeaz n intervalul N:-;O se vor
realiza misiuni de audit o dat la fiecare trei ani"
(entru riscurile inerente a cror relevan se situeaz n intervalul N16-12O se vor
realiza misiuni de audit o dat la fiecare doi ani"
(entru riscurile inerente a cror relevan se situeaz n intervalul N1:-2:O se vor
realiza misiuni anuale de audit.
Acala de mai sus poate fi detaliat sau restr'ns n funcie de preferinele
auditorilor. Cn aceast manier, se pot dezvolta planuri de audit mai scurte dec't un an,
planuri anuale sau multianuale, dup necesitile auditului intern $i ale organizaiei
respective. Auditul intern trebuie s obin acordul conducerii organizaiei asupra
prioritizrii misiunilor.
Cn acest moment, baza de date necesar elaborrii planului de audit este pregtit.
(lanul de audit va trebui s conin informaii referitoare la
!isiunile de audit ce vor fi ntreprinse"
(erioada de timp preconizat pentru misiunile de audit =c'nd vor ncepe, c'te zile
vor dura, c'nd se vor finaliza?"
>iscurile $i procesele de control asociate acestora ce vor face obiectul misiunilor"
Dumele auditorilor ce vor participa n cadrul misiunilor =cel puin numele $efilor
de misiuni?, etc.
(lanul de audit trebuie aprobat de ctre comitetul de audit $i consiliul de administraie al
organizaiei. Cn plus, comitetului de audit i se poate transmite un raport care s conin
detalii referitoare la
>iscurile $i procesele ce vor face obiectul misiunilor de audit cuprinse n planul de
audit"
>iscurile $i controalele asupra crora auditorii interni vor formula o opinie pe baza
rezultatelor cumulate din misiunile de revizuire $i din misiunile de audit din
perioadele precedente"
Activitile de consultan ce vor fi acordate de ctre auditul intern conducerii
organizaiei cu scopul reducerii riscurilor reziduale la nivele inferioare apetitului
pentru risc"
>iscurile neacoperite, datorit politicilor organizaiei sau limitrii resurselor"
Asigurarea c planul de audit este n conformitate cu carta auditului intern.
Ane+a 2 prezint cerinele informaionale $i modelul planului de audit prevzute
de Potr'rea CAB> JJ/2667 privitoare la normele de audit intern.
!. Pro%leme de discu"ie #i studii de caz
!.1. Pro%leme de discu"ie
1. 5iscutai avanta*ele $i dezavanta*ele strategiei >GA comparativ cu strategiile
tradiionale de audit.
2. Care sunt efectele utilizrii strategiei >GA asupra planului anual de auditK
). Aemnificaia riscurilor este sinonim cu relevana lorK 5iscutai.
<. #valuarea calitativ poate fi utilizat n dimensionarea relevanei riscurilorK
:. 5iscutai procedura de audit %$edine de evaluare a riscurilor&.
!.2. Studiu de caz Sunn) *otel
Partea +
Aunn1 Potel este o companie 3otelier de : stele, care ofer servicii de cazare at't
turi$tilor, c't $i oamenilor de afaceri care viziteaz Qas3ington-ul. >ecentele modificri
legislative aplicabile societilor cotate la bursa din De. Ror2 9 iar Aunn1 este cotat 9
impun companiilor consolidarea guvernanei corporative $i transmiterea unor rapoarte
periodice privind performanele nregistrate n acest sens. Anul trecut, consiliul de
administraie al 3otelului tocmai a nc3eiat implementarea unui proces de restructurare a
companiei n baza a recomandrilor primite de la un grup de consultani e+terni pe
probleme privind consolidarea guvernanei corporative. Astfel, 3otelul dispune de un
departament de audit intern, garnisit cu personal adecvat care raporteaz consiliului de
administraie $i se subordoneaz direct comitetului de audit, constituit din : membri
nee+ecutivi ai consiliului de administraie. 5na. Sane A3ine, $eful departamentului de
audit intern, a decis cu consultarea comitetului de audit, ca ncep'nd cu anul acesta,
auditul intern s-$i sc3imbe strategia, urm'nd s adopte strategia bazat pe riscuri. 5vs.
suntei un auditor intern al acestui departament $i ai fost desemnat, mpreun cu ali 8
colegi, s formulai planul de audit, bazat pe riscuri, pentru anul acesta. Potelul nu
dispune de un departament specializat n managementul riscurilor.
Cerine
1. Indicai activitile ce vor fi necesare s le ntreprindei pentru a ndeplini sarcina
atribuit.
2. (recizai care sunt informaiile c3eie care v-ar permite elaborarea registrului
riscurilor.
Partea a ++-a
(e baza unui telefon, ai reu$it s stabilii o nt'lnire cu directorul general al
3otelului $i cu $eful contabil. (e parcursul nt'lnirii, ai reu$it s obinei urmtoarele
informaii cu privire la activitile desf$urate de clientul dvs.
Cazarea. Potelul are 86 de camere, a cror clasificare este prezentat n tabelul de
mai *os. Cifrele cu privire la gradul de ocupare reprezint un instrument important de
dimensionare a succesului afacerii. Cn medie, camerele au avut un grad de ocupare de 7<T
pe o perioad de 12 luni. Conducerea este ngri*orat de faptul c n 12 luni tariful de
gzduire a sczut n anul anterior cu circa 78T. Iradul de ocupare variaz pe parcursul
anului de la :6T n lunile de iarn, la ;6T n lunile de primvar/var, respectiv nceputul
toamnei.
Tip camere Nr. Tariul pe
!i
"rad de
ocupare
Camere single cu baie 1: 76 7:
Camere single cu du$ 16 86 77
Camere single cu c3iuvet : :6 J1
@otal camere single )6
Camere duble cu baie 17 J6 76
Camere duble cu du$ ; 76 77
Camere duble cu c3iuvet < 86 J2
@otal camere duble )6
@otal camere 86 7<
Cn plus fa de aceste informaii mai aflai urmtoarele
Biecare camer este dotat cu televizor, cafetier, frigider conin'nd buturi
mbuteliate n sticle $i cutii, 3alate de du$, pres $i telefon"
@arifele de cazare sunt cele indicate n tabelul de mai sus, cu meniunea c se pot
aplica tarife diferite n urmtoarele cazuri
o @arife speciale pentru .ee2-end $i tarife reduse pentru cazri sptm'nale"
o Cn cazul n care camerele single nu sunt disponibile, camerele duble pot fi
puse la dispoziie la tariful unei camere single"
o @arife speciale de sezon.
Conducerea 3otelului intenioneaz s amena*eze camere de baie pentru camerele
care sunt dotate numai cu c3iuvete. 4ucrrile de amena*are vor ncepe foarte
cur'nd n cursul e+erciiului curent.
Contabilul $ef v informeaz c n anul anterior, veniturile din activitatea de
nc3iriere a camerelor au fost de circa 1,6:6,666U.
&estaurant. Potelul are un restaurant cu 86 de mese. Conducerea 3otelului v
informeaz c de$i ma*oritatea oaspeilor servesc micul de*un n 3otel, gradul de ocupare a
restaurantului =de ctre oaspei? n anul precedent a fost de circa 26T la pr'nz, respectiv
8:T n cursul serii. #ste permis $i accesul n restaurant al persoanelor care nu sunt cazate
n 3otel. Conducerea estimeaz c pragul de rentabilitate pentru activitatea restaurantului
este la o capacitate de utilizare de ::T, ns dore$te o cre$tere a capacitii de utilizare a
restaurantului =care a fost de 7:T n anul precedent, incluz'nd oaspeii $i consumatorii din
afara 3otelului?. !eniul oferit a fost modificat, iar de cur'nd a fost anga*at un buctar
specializat n prepararea m'ncrurilor tradiionale din regiune. Feniturile din activitatea
restaurantului s-au ridicat la circa 2,<66,666U n anul precedent, incluz'nd veniturile din
asigurarea micului de*un. Contabilul $ef v informeaz c restaurantul reprezint
componenta de activitate care aduce cel mai mult profit 3otelului. Doului meniu i se face
publicitate n presa local. -nul dintre motivele pentru care conducerea acord o atenie
sporit restaurantului, este concurena fcut de un 3otel din mpre*urime, care a finalizat
recent un proiect de modernizare $i a reu$it s atrag o parte din clientel datorit
restaurantului atractiv pe care l-a amena*at.
*uctria. Conducerea 3otelului a nceput s adopte masuri pentru reducerea
pierderilor din buctrie. Au fost introduse msuri de control al poriilor, iar
responsabilitatea pentru aprovizionarea cu produse alimentare a fost recent acordat unui
nou $ef, sub supraveg3erea direct a contabilului $ef.
*arul. #+ist trei baruri n 3otel, $i o gam variat de buturi puse la dispoziia
oaspeilor 3otelului $i a clienilor din afar. -nul din baruri este amplasat n salonul de
oaspei. Garurile reprezint una dintre activitile foarte profitabile ale 3otelului.
#ervicii suplimentare. Potelul ofer servicii suplimentare pentru nuni, recepii,
nt'lniri de afaceri, mese rotunde, etc.
#istemul conta$il. Potelul utilizeaz un sistem contabil computerizat. Compania
are o reea mic de calculatoare ac3iziionate cu doi ani n urm la un cost de )6.666U.
Calculatoarele sunt distribuite la recepie, restaurant, baruri, biroul directorului, $i biroul
$efului contabil. Aistemul utilizeaz un program ac3iziionat de la o companie de soft.are
de renume. Cn afar de administratorul de sistem, $eful contabil are suficiente cuno$tine
de informatic pentru a supraveg3ea operarea sistemului. Cea mai frecvent $i important
nregistrare se face la recepie, care activeaz sistemul informatic la sosirea unui client.
Dumrul camerei este utilizat pentru nregistrarea tuturor serviciilor utilizate de ctre
client. Astfel, atunci c'nd clientul serve$te masa la restaurant, numrul camerei este
prezentat pe bonul de mas semnat de client. , procedur important de control utilizat
de ctre restaurant const n codificarea meniului care are n coresponden un fi$ier de
coduri pe calculator pentru fiecare fel de m'ncare din meniu precum $i preul standard
aferent. Biecare c3elner are un c3itanier $i are obligaia s ntocmeasc c'te patru copii
pentru fiecare c3itan, dintre care una pentru buctrie, una pentru casieria restaurantului,
una pentru serviciul de contabilitate $i una o reine pentru el nsu$i. C3elnerii introduc
numrul de comenzi pentru un anumit fel de m'ncare la fiecare mas, folosind codurile
specifice pentru fiecare fel de m'ncare prevzut n meniu $i comandat de ctre client,
precum $i numrul camerei clientului care este gzduit de 3otel. 5irectorul de restaurant
introduce pe calculator detaliile cu privire la toate felurile de m'ncare servite n restaurant,
fc'nd distincie ntre cele ac3itate cas3 $i cele trecute n contul clientului pentru nota
final. Ganii ncasai n cas3 sunt vrsai n casieria restaurantului. Cel mai important
instrument de control n activitatea barurilor const n utilizarea unui sistem automat care
solicit barmanului sa introduc codul buturilor comandate $i suma ncasat, restul de
plat fiind calculat automat de ctre calculator.
Cerine
1. Identificai obiectivele strategice ale companiei Aunn1 Potel.
2. Indicai riscurile poteniale $i controalele aferente care ar putea ameliora aceste
riscuri.
). ,rganizai o $edin de analiz a riscurilor cu conducerea 3otelului pentru a evalua
riscurile inerente.
<. 5eterminai domeniile auditabile ce vor fi incluse n planul de audit $i prioritatea
lor.
Anea 1. +erar$izarea riscurilor
VVVVVVVVV
VVVV.
,GI#C@IF-4 A@>A@#IIC A4
,>IADIWAXI#I
e+pus urmtoarelor riscuri
>IAC 1 >IAC 2 >IAC
n
VVVV
VVVV
VVVV
V.
Controlate prin urmtoarele procese de control '%C)
Controale care devin( la r,ndul lor( 'su$)o$iective( ameninate
de urmtoarele riscuri 'r)
(C1 (C2 (C) (Cn
VV
>1 >2 >) >
n
V
V
V
V
.
. Ameliorate prin controale( care devin su$-o$iective . etc.
Anea 2. Procedura ,plan de audit-
1.
#copul$
Cntocmirea planului de audit intern n conformitate cu cerinele standardelor
de audit intern.
Premise$
(lanul de audit intern reprezint cadrul de aciune pentru 5epartamentul de
Audit Intern $i se ntocme$te de ctre $eful acestui departament.
Procedura$
%e &epartament Audit 'ntern 1. Cntocme$te planul anual de audit
intern
2. Cntocme$te referatul cuprinz'nd
criteriile de selectare a misiunilor de
audit.
Comitetul de Audit ). Analizeaz $i aprob planul anual de
audit.
Consiliul de Administra(ie <. Analizeaz $i aprob planul anual de
audit.
/ot: %lanul anual de audit intern poate fi modificat /n cursul anului /n condiiile
reiterrii procedurii.
18
PCAB> JJ/2667, ....cafr.ro
P)AN &* A+&'T 'NT*RN
Pe anul ..........
Nr.
Crt
Tema
misiunii
de
audit
,-iecti.e Perioada
supus/
audit/rii
+nitatea
auditat/
Perioada
des/0ur/rii
misiunii de
audit
6 1 2 ) < :
1
2
)
V
n
Hef 5epartament Audit Intern,