Suport Management Risc

MANAGEMENTUL RISCULUI I AUDITUL INTERN
_____________________________________________________________________________________
1

CONF. UNIV.DR. DANIEL BOTEZ

MANAGEMENTUL RISCULUI
I
AUDITUL INTERN

SUPORT DE CURS

_____________________________________________________________________________________
2

ORGANIZAIILE SUNT PREOCUPATE N LEGTUR CU


GUVERNARE

CONTROL

ASIGURARE (CONSULTAN)

_____________________________________________________________________________________
3


ERM ENTERPRISE RISK MANAGEMENT

Un proces, important pentru management i alte persoane interesate,
aplicabil n definirea strategiei i cuprinznd ntreaga entitate, pus n
practic pentru a identifica potenialele evenimente care pot afecta
activitatea entitii i a vulnerabilitii la risc a acesteia, pentru a furniza
un nivel de asigurare cu privire la atingerea obiectivelor entitii

COSO, ERM Integrated Framework, 2004

_____________________________________________________________________________________
4

DE CE ESTE IMPORTANT ERM ?

Orice entitate, indiferent dac urmrete obinerea de profit sau este non-
profit, exist pentru a crea valoare pentru cei interesai (stakeholders)

Valoarea este creat, conservat sau erodat prin deciziile
managementului cu privire la toate activitile, avnd la baz stabilirea
strategiei privind activitatea ntreprinderii de zi cu zi

_____________________________________________________________________________________
5

ERM SUSINE CREAREA VALORII PRIN ABILITATEA MANAGEMENTULUI

DE A IDENTIFICA I DE A OCUPA EFICIENT DE POSIBILELE EVENIMENTE
VIITOARE CARE CREEAZ INCERTITUDINI

DE A RSPUNDE NTR-O MANIER CARE S REDUC POSIBILITATEA DE
SCDERE A REZULTATELOR I S INDUC CRETERE

_____________________________________________________________________________________
6

OBIECTIVELE UNEI ENTITI POT FI PRIVITE
N CONTEXTUL A PATRU CATEGORII

STRATEGIE

OPERAIUNI

RAPORTARE

CONFORMITATE (CU LEGEA)

_____________________________________________________________________________________
7

ERM CUPRINDE ACTIVITILE ENTITII LA TOATE NIVELURILE

NIVELUL ENTITII

STRUCTURI SAU SUBUNITI

PROCESELE, MODULELE, SERVICIILE FUNCIONALE

_____________________________________________________________________________________
8

ENTERPRISE RISK MANAGEMENT SOLICIT ENTITII S
AIB O IMAGINE COMPLET A PORTOFOLIULUI DE RISK

Managementul stabilete relaiile de interdependen dintre riscurile
individuale

Managementul dezvolt imaginea portofoliului de risc din dou
perspective

Nivelul sectorului de activitate

Nivelul entitii

_____________________________________________________________________________________
9

OPT COMPONENTE ALE CADRULUI CONCEPTUAL INTERRELAIONEAZ

_____________________________________________________________________________________
10

OPT COMPONENTE ALE CADRULUI CONCEPTUAL INTERRELAIONEAZ

Mediul intern (mediul controlului)

Stabilirea obiectivelor

Identificarea evenimentelor

Evaluarea riscului

Rspunsul la riscuri

Activitile de control

Informare i comunicare

Monitorizare

_____________________________________________________________________________________
11

MEDIUL INTERN

Stabilete filosofia privind managementul riscului

Identific evenimentele ateptate i neateptate ce pot apare

Stabilete cultura de risc a entitii

Identific toate aspectele cu privire la modul n care aciunile organizaiei pot
afecta cultura riscului

Integritatea i valorile etice

Angajamentul fa de competen

Participarea consiliului de administraie sau a comitetului de audit

Filozofia i stilul de lucru al managementului

Structura organizatoric

Atribuirea autoritii i responsabilitii

Politicile i practicile de resurse umane
_____________________________________________________________________________________
12

STABILIREA OBIECTIVELOR

Se aplic atunci cnd managementul stabilete obiectivele
lund n calcul strategia de risc

Formele riscurilor specifice entitii o privire global la cel mai nalt
nivel asupra nivelului maxim al riscului ce poate fi acceptat de
management

Tolerana la risc, nivelul acceptat al variaiei (abaterilor) obiectivelor n
conformitate cu expunerea la risc

_____________________________________________________________________________________
13

EXEMPLU :

Obiectiv s se cltoreasc cu trenul de la punctul A la B pentru ntlnire la un anumit
moment

Nu se ajunge la A la B n timp util pentru ntlnire X Este pur i simplu negarea obiectivului

Se ntrzie i nu se mai ajunge la ntlnire X Este doar definirea impactului riscului, nu a
riscului n sine
n tren nu exist vagon restaurant i o
s mi se fac foame X Acest lucru nu afecteaz atingerea obiectivelor

Pierderea trenului m face s ntrzii i s Acesta este un risc care poate fi controlat
pierd ntlnirea asigurndu-m c am alocat suficient timp s
ajung la gar
Condiiile meteo nefavorabile cauzeaz oprirea trenului,
iar eu nu mai ajung la ntlnire Acesta este un risc pe care nu l pot controla, dar
fa de care pot s mi pregtesc un plan de rezerv.

_____________________________________________________________________________________
14

IDENTIFICAREA EVENIMENTELOR

Stabilirea diferitelor riscuri i oportuniti

Evenimentele pot avea impact negativ reprezentnd riscuri

Evenimentele pot avea un impact pozitiv reprezentnd oportuniti,
orientnd managementul n schimbarea strategiei

Necesit identificarea tuturor acelor evenimente, att din interior ct i
din exterior, care sunt susceptibile s afecteze strategia i atingerea
obiectivelor

Abordeaz modul n care factorii externi i interni se combin i
interacioneaz influennd profilul de risc al entitii

_____________________________________________________________________________________
15

EVALUAREA RISCULUI

Permite unei entiti s neleag modul i msura n care evenimentele
probabile pot afecta obiectivele

Evalueaz riscurile din dou perspective
PROBABILITATE
IMPACT

Stabilete o combinare a metodologiilor de evaluare a riscurilor, att pe
baze cantitative ct i calitative

Stabilete orizonturi de timp pentru orizonturi de obiective

Evalueaz riscul att pe baz inerent ct i pe baz rezidual

_____________________________________________________________________________________
16

ANALIZA RISCURILOR

1. Externe (care decurg din mediul extern, i nu pot fi controlate n totalitate de organizaie,
dar pot fi luate anumite msuri pentru a le reduce)

1.1 Politice Schimbarea guvernului, decizii politice radicale (ex. introducerea Euro),
mecanismul schimbrilor guvernamentale

1.2 Economice Abilitatea de a atrage i pstra personalul pe piaa forei de munc; ratele de
schimb care afecteaz costurile tranzaciilor internaionale; efectul economiei globale asupra economiei

1.3 Socio-culturale Modificrile demografice care afecteaz cererea de servicii; modificarea
ateptrilor factorilor interesai;

1.4 Tehnologice mbtrnirea sistemelor existente; costul procurrii celor mai bune tehnologii
disponibile; oportunitile care reies din dezvoltarea tehnologic.

1.5 Juridice /legale Cerinele UE /legile care impun reglementri (cum ar fi Legea Sntii i
Siguranei sau Legea ncadrrii Personalului)

1.6 De mediu Cldirile trebuie s respecte standardele n schimbare; deversarea gunoaielor i
echipamentul n exces trebuie s respecte noile standarde.

_____________________________________________________________________________________
17

2. Operaionale (legate de operaiile curente att modul curent de desfurare a activitii,
dar i construirea i meninerea capacitii i capabilitii).

2.1 Desfurarea activitii
2.1.1. Imposibilitatea de a furniza un produs /serviciu; Incapacitatea de a presta un serviciu ctre
utilizator n conformitate cu condiiile stabilite / agreate
2.1.2 Derularea proiectelor Incapacitatea de a finaliza un proiect la timp / n limitele bugetului / conform
Specificaiilor

2.2 Capacitatea i capabilitatea
2.2.1 Resurse Financiare (fonduri insuficiente, proast gestiune bugetar, fraud), RU (capacitatea
personalului, abiliti / recrutare i reinere); Informaionale (caracterul adecvat al procesului decizional,
protecia intimitii); Active (pierdere /distrugere / furt)
2.2.2 Relaii Parteneri (ameninri la adresa angajamentelor de colaborare /claritatea rolurilor)
Clieni /Utilizatorii serviciilor (satisfacia privind serviciul prestat) Rspundere (n special n faa
Parlamentului)
2.2.3 Operaii Capacitatea i capabilitatea general de a obine rezultate
2.2.4 Reputaie ncrederea pe care factorii interesai o au n organizaie

2.3 Modul i capacitatea de gestionare a riscurilor
2.3.1 Guvernana Regularitate i corectitudine / respectarea cerinelor relevante / aspecte etice
2.3.2 Explorare Incapacitatea de a identifica ameninri i oportuniti
2.3.3 Flexibilitate i adaptabilitate; Capacitatea sistemelor /sediului /sistemului IT de a face fa unor
atacuri i crize (inclusiv rzboi i atacuri teroriste). Revenirea n caz de dezastre / planificarea pentru
situaii neprevzute
2.3.4 Securitatea Activelor i informaiei

_____________________________________________________________________________________
18

3. Schimbare (riscurile create de deciziile de a urmri noi iniiative care depesc capacitatea
actual)

3.1. intele Noile inte pun la ncercare capacitatea organizaiei de a obine rezultate
/abilitatea de a dota organizaia astfel nct s se ating rezultatele

3.2 Programele de schimbare Programele de schimbare a organizrii i culturii amenin capacitatea de a
obine rezultate, dar furnizeaz deopotriv oportunitatea de a crete capacitatea.

3.3 Noile proiecte Luarea de decizii optime de investiii / stabilirea ordinii de prioriti ntre proiecte
care concureaz pentru resurse

3.4 Noile politici Deciziile politice creeaz ateptri unde organizaia nu are certitudinea obinerii
rezultatelor ateptate

_____________________________________________________________________________________
19

RSPUNSUL LA RISC

Identificarea i evaluarea diferitelor reacii posibile ale riscului

Opiuni eventuale n legtur cu expunerea la risc a entitii

Costul vs. beneficiile potenialelor rspunsuri la riscuri

Gradul n care rspunsul la risc reduce impactul i/sau probabilitatea

Selectarea i aplicare bazei de evaluare a portofolilui de riscuri i a
rspunsurilor la acestea

_____________________________________________________________________________________
20

ACTIVITILE DE CONTROL

Politicile i procedurile care conduc la asigurarea c rspunsurile la risc,
precum i alte msuri stabilite, sunt puse n aplicare

Se desfoar n toat organizaia, la toate nivelurile i n toate activitile

Includ aplicaii i informaii generale privind tehnicile de control

_____________________________________________________________________________________
21

INFORMARE I COMUNICARE

Managementul identificrii, constatrii i comunicrii informaiilor
pertinente, n forma i timpul corespunztoare pentru ca cei interesai s-
i ndeplineasc responsabilitile

Comunicaii prezente n sens larg (general), cuprinznd ntreaga
organizaie, de jos n sus

_____________________________________________________________________________________
22

MONITORIZARE

EFICACITATEA COMPONENTELOR ERM ESTE MONITORIZAT PRIN

MONITORIZARE CONTINU

EVALUARE SEPARAT

COMBINAREA CELOR DOU

_____________________________________________________________________________________
23

Rspunsul la risc, care este iniiat din interiorul organizaiei, este cunoscut n
limbajul de specialitate sub denumirea de control intern i poate implica una
sau mai multe dintre urmtoarele variante:
tolerarea riscurilor;
tratarea riscurilor ntr-un mod corespunztor pentru a fi aduse la un nivel
acceptabil sau obinerea de avantaje de pe urma riscurilor, adic incertitudinea
este privit c a o oportunitate de a se obine avantaje ;
transferarea riscurilor;
ncetarea activitii care a dat natere riscurilor.

UN SISTEM PUTERNIC DE CONTROL INTERN ESTE ESENIAL PENTRU UN
MANAGEMENT AL RISCURILOR EFECTIV

_____________________________________________________________________________________
24

RESPONSABILITILE CU PRIVIRE LA ERM

MANAGEMENT

COMITETUL DIRECTOR

OFIERII DE RISC

AUDITORI INTERNI

_____________________________________________________________________________________
25

AUDITORII INTERNI

Joac un rol important n monitorizarea ERM, dar NU au prima
responsabilitate pentru implementarea i meninerea acestuia

Asist managementul sau comitetul de audit n procesele de :

Monitorizare

Evaluare

Examinare

Raportare

Recomand msuri de mbuntire

_____________________________________________________________________________________
26

FACTORII CHEIE PRIVIND IMPLEMENTAREA

1. Structura organizaional a afacerii
2. Stabilirea organizrii ERM
3. Evaluarea riscului
4. Determinarea apetitului general pentru risc
5. Identificarea rspunsului (reaciei) la risc
6. Comunicarea rezultatelor privind riscul
7. Monitorizare
8. Supraveghere i revizuire periodic de ctre management

_____________________________________________________________________________________
27

PROIECTAREA ORGANIZAIONAL

Strategia afacerii

Obiectivele cheie

Obiectivele asociate cu prbuirea organizaiei dintre cele cheie

Atribuirea responsabilitilor pentru elementele organizaionale i lideri
(legturi)

_____________________________________________________________________________________
28

STABILIREA ERM

Determinarea filosofiei riscului

Studierea culturii riscului

Luarea n considerare a integritii organizaionale i a valorilor etice

Stabilirea rolului i responsabilitilor

_____________________________________________________________________________________
29

Exemplu : Organigrama ERM

Vicepreedinte
Responsabil (Conductor) de risc

Manager risc asigurare Director ERM Manager risc credit

Manager ERM Manager ERM

Executiv

_____________________________________________________________________________________
30

EVALUAREA RISCULUI (RISC INERENT)

Const n identificarea i analiza riscurilor n obinerea (realizarea)
obiectivelor afacerii

Constituie o baz de referin pentru stabilirea modului n care pot
fi gestionate riscurile

_____________________________________________________________________________________
31

Exemplu : Model de risc

RISCURI DE MEDIU
Disponibilitatea capitalului (finanrii)
Sistemul legal, politic
Pieele financiare i relaiile de pia

RISCURI DE PROCES
Risc de operare
Risc de abilitate
Risc tehnologic
Risc de integritate
Risc financiar

RISCURI PRIVIND INFORMAII PENTRU DECIZII
Risc operaional
Risc financiar
Risc strategic

_____________________________________________________________________________________
32

ANALIZA RISCULUI

Evaluarea riscului Managementul riscului Monitorizarea riscului

Identificare Control Nivel de proces

Msurare Divizare sau Transfer Nivel de activitate

Prioritizare Diversificare sau Evitare Nivelul entitii

_____________________________________________________________________________________
33

DETERMINAREA EXPUNERII (APETITULUI) LA RISC

Apetitul pentru risc reprezint cantitatea riscului la un nivel general pe
care o entitate este dispus s o accepte n procesul de creare a valorii

Utilizarea termenilor cantitativi sau calitativi i luarea n considerare a
toleranei la risc (gradul sau zona de acceptare a variaiei riscului)

_____________________________________________________________________________________
34

Conceptul de apetit pentru risc este cheia eficacitii gestionrii riscurilor i este esenial s fie avut n
vedere nainte de a demara analiza modului cum poate fi controlat un anumit risc.
Conceptul poate fi privit din diferite unghiuri, n funcie de considerarea riscului (a incertitudinii)
drept o ameninare sau o oportunitate:
Cnd se au n vedere ameninrile, conceptul de apetit pentru risc se refer la nivelul de
expunere care este considerat tolerabil i justificabil i care trebuie atins n practic. n
acest sens vorbim de fapt de compararea costului (financiar, sau de alt natur) de
controlare a riscului cu costul expunerii n cazul n care aceasta devine realitate i de
gsirea unui mod acceptabil de a le compensa;
Cnd se au n vedere oportunitile, conceptul se refer la a analiza ct de mult este
dispus cineva s rite pentru a obine avantaje de pe urma acestei oportuniti. De fapt
este vorba de compararea valorii (financiar, sau de alt natur) unui potenial beneficiu
cu pierderile care ar putea fi suferite (unele pierderi pot fi suferite cu sau fr obinerea
unor anumite avantaje).

Trebuie menionat c anumite riscuri nu pot fi prevenite i nu st n puterea organizaiei de a
le gestiona n totalitate pn la un nivel acceptabil spre exemplu multe organizaii trebuie
s accepte c exist riscuri rezultate din activitatea terorist pe care nu le pot controla. n
aceste cazuri organizaia trebuie s elaboreze planuri pentru situaii neprevzute .
_____________________________________________________________________________________
35

DETERMINAREA APETITULUI PENTRU RISC

INTREBRI CHEIE

Care dintre riscuri nu sunt acceptate de organizaie ?

Ce riscuri i asum entitatea atunci cnd procedeaz la noi iniiative ?

Ce riscuri accept organizaia pentru a-i atinge obiectivele ?

_____________________________________________________________________________________
36

IDENTIFICAREA RSPUNSURILOR LA RISCURI

Cuantificarea apetitului (expunerii) la risc

Opiuni posibile :

Acceptare ---------- Monitorizare
Evitare ----------- Eliminare (n afar)
Reducere ---------- Instituire controale
Divizare ------------ Asociere cu cineva (ex. asigurare)

Risc rezidual

_____________________________________________________________________________________
37

Impact vs. Probabilitate
Control
Divizare Diminuare i Control
Acceptare
Risc ridicat
Risc mediu
Risc mediu
Risc sczut
Sczut
Ridicat
Ridicat
I
M
P
A
C
T
PROBABILITATE
_____________________________________________________________________________________
38

Sczut
Ridicat
Ridicat
I
M
P
A
C
T
PROBABILITATE
Risc ridicat
Risc mediu
Risc mediu
Risc sczut
Apeluri pierdute
Mesaje pierdute
Risc de credit
Clienii ateapt prea mult
Clienii nu pot accesa direct
Clienii nu pot ntreba
Erori de intrare
Echipamente nvechite
Repetarea apelurilor pentru
aceeai problem
Fraud
Tranzacii pierdute
Moralul angajailor
Exemplu: Evaluarea riscului
Centrului de comunicaii
_____________________________________________________________________________________
39

Exemplu : NREGISTRAREA CONTURILOR PLTIBILE

OBIECTIVE RISC ACTIVITI CONTROLATE

Integralitate Tranzaciile nregistrarea
materiale datoriilor
nu sunt nepltite
nregistrate
Facturi
nregistrate
dup nchidere

_____________________________________________________________________________________
40

COMUNICAREA REZULTATELOR

Tabloul de bord al (registrul) riscurilor i rspunsurilor asociate (o privire
global asupra locurilor cu riscuri cheie i legtura cu tolerana la risc)

Diagramele activitilor (procedurilor) cu identificarea controalelor cheie

Descrierea obiectivelor afacerii n legtur cu riscurile operaionale i
rspunsurile la acestea

Lista riscurilor cheie ce trebuie monitorizate

nelegerea de ctre management a responsabilitii privind riscurile
cheie i comunicarea sarcinilor

_____________________________________________________________________________________
41

MONITORIZAREA

Colectarea i prezentarea informaiilor

Analiza performanei

- riscurile sunt corect examinate (abordate)

- controalele aplicate atenueaz riscurile

_____________________________________________________________________________________
42

SUPRAVEGHERE I REVIZUIRE PERIODIC

Responsabilitate pentru risc

Posesiune ( Stpnire)

Actualizare

- schimbri n obiectivele afacerii

- schimbri n sistem

- schimbri n procese (activiti)

_____________________________________________________________________________________
43

AUDITORII INTERNI POT ADUGA VALOARE PRIN

Revizuirea critic a sistemului de control i a procesului de management
al riscului

Efectuarea unei revizuiri a eficacitii evalurii managementului riscului i
controalelor interne

Furnizeaz recomandri n organizarea i implementarea sistemelor de
control i a strategiilor de diminuare a riscului

_____________________________________________________________________________________
44


Implementarea unui cadru de abordare a riscului n planificarea i
efectuarea misiunii de audit intern

Se asigur c resursele misiunii sunt orientate spre zonele semnificative
din organizaie

Modific bazele de evaluare a managementului riscului i evalueaz
adecvarea i eficiena strategiilor de tratament a riscului

_____________________________________________________________________________________
45


Promoveaz ERM prin edine, ntlniri

Definete toleranele la risc care nu au fost identificate, bazndu-se pe
experiena n audit intern, raionament profesional i consultarea cu
managementul

_____________________________________________________________________________________
46

Rolul cheie al auditului intern cu privire la ERM este s
furnizeze un nivel de asigurare privind faptul c activitile
organizaiei privind ERM ajut obinerea concluziei c riscurile
cheie ale afacerii sunt gestionate corespunztor i c
sistemul de control funcioneaz efectiv

_____________________________________________________________________________________
47

SINTEZA ROLULUI AUDITULUI INTERN CU PRIVIRE LA ERM

Furnizeaz un nivel de asigurare cu privire la procesele ERM

Furnizeaz asigurarea c riscurile sunt corect evaluate

Evalueaz procesele ERM

Evalueaz procesul de raportare a riscurilor cheie

Revizuiete gestionarea riscurilor cheie

The Role of Internal Auditing in Enterprise-wide Risk Management, IIA, 2004

_____________________________________________________________________________________
48

LEGITIMAREA ROLULUI AUDITULUI INTERN
N PROTECIA MPOTRIVA RISCURILOR

nlesnete identificarea i evaluarea riscurilor

Consiliaz managementul cu privire la reacia la risc

Coordoneaz activitile ERM

Consolideaz modul de raportare a riscurilor

Menine i dezvolt cadrul conceptual ERM

Perfecioneaz modul de organizare a ERM

Dezvolt strategia managementului riscului


_____________________________________________________________________________________
49

ROLUL AUDITULUI INTERN NU SE REFER LA

Stabilirea apetitului pentru risc

Impunerea proceselor de managementul riscurilor

Asigurarea managementului gestionrii riscurilor

Luarea deciziilor cu privire la rspunsul la risc

Implementarea reaciei la risc din partea managementului

Responsabilitatea privind managementul riscului


_____________________________________________________________________________________
50

GLOSAR DE TERMENI

Asigurare O opinie evaluat, bazat pe dovezile obinute n urma examinrii, asupra guvernanei,
gestionrii riscurilor i cadrului de control intern din organizaie.

Comitet de Audit Un comitet numit s sprijine Consiliul n monitorizarea guvernanei i sistemelor
de control din organizaie.

Expunere Consecinele, ca o combinaie de impact i probabilitate, pe care pot s le resimt o organizaie
n cazul materializrii unui risc.

Explorarea orizontului O activitate sistematic menit s identifice, pe ct de devreme este posibil,
indiciile modificrii riscurilor.

Riscul inerent Expunerea cauzat de un anumit risc nainte s fie luat vreo msur de atenuare a lui.

Riscul rezidual Expunerea cauzat de un anumit risc dup ce au fost luate msuri de gestionare a lui i
presupunnd c msurile au fost eficace.

Risc Incertitudinea unui rezultat, fie o oportunitate pozitiv sau o ameninare, unor aciuni sau
evenimente. Este o combinaie de probabilitate i impact, inclusiv importana perceput.

Apetitul pentru risc Cantitatea de risc pe care o organizaie este pregtit s o accepte, tolereze sau la
care este dispus s se expun ntr-un anumit moment.

Evaluarea riscurilor Evaluarea riscurilor prin prisma impactului materializrii riscurilor i a probabilitii
de realizare a acestuia.

_____________________________________________________________________________________
51

Comitetul de Asigurare privind Riscurile Un Comitet nfiinat s i asume rolul pe care Comitetul de
Audit l-ar avea n mod obinuit n privina asigurrii privind gestionarea riscurilor.

Gestionarea riscurilor Toate procesele implicate de identificare, evaluarea i aprecierea riscurilor,
alocarea responsabilitii, luarea de msuri de atenuare sau anticipare a acestora i monitorizarea i
revizuirea progresului.

Comitetul de gestionare a riscurilor Un Comitet nsrcinat cu autoritatea executiv de a lua msuri de
gestionare a riscurilor pe care le nfrunt organizaia.

Strategia de risc Abordarea general pe care organizaia o are n privina riscurilor, aa cum este definit
de Consiliu. Ea trebuie documentat i uor accesibil n organizaie.

Profilul riscului Evaluarea general documentat i prioritizat a gamei de riscuri specifice cu care se
confrunt organizaia.

Controlul intern Orice aciune, msur, provenit din organizaie, luat n scopul gestionrii riscurilor.
Aceste aciuni pot fi luate pentru a gestiona fie impactul n cazul materializrii riscurilor, fie frecvena de
materializare a lor.

_____________________________________________________________________________________
52

STANDARDELE DE AUDIT INTERN PRIVIND MANAGEMENTUL RISCURILOR

2100 Natura activitii

Activitatea de audit intern trebuie s evalueze i s contribuie la mbuntirea sistemelor
de management al riscurilor, de control i de guvernan a entitii folosind o abordare
sistematic i metodic.

2110 Managementul riscurilor
Activitatea de audit intern trebuie s ajute entitatea prin identificarea i evaluarea
expunerilor la riscurile semnificative i s contribuie la mbuntirea sistemelor de
management al riscurilor i de control.

2110.A1 Activitatea de audit intern trebuie s supravegheze i s evalueze
eficacitatea sistemului de management al riscurilor aparinnd entitii.

2110.A2 Activitatea de audit intern trebuie s evalueze expunerile la riscurile
aferente guvernanei entitii, operaiunilor i sistemelor informaionale cu privire
la:
fiabilitatea i integritatea informaiilor financiare i operaionale;
eficacitatea i eficiena operaiunilor;
protejarea activelor;
respectarea legilor, regulamentelor i contractelor.
_____________________________________________________________________________________
53

2110.C1 Pe parcursul misiunilor de consultan, auditorii interni trebuie s
abordeze riscurile n conformitate cu obiectivele misiunii i s fie ateni la
existena unor alte riscuri semnificative.

2110.C2 n procesul de identificare i de evaluare a expunerii entitii la
riscurile semnificative, auditorii interni trebuie s includ cunotinele despre
riscuri dobndite din misiunile de consultan.

2120 Controlul

Activitatea de audit intern trebuie s ajute entitatea s pstreze controale eficiente
prin evaluarea eficacitii i eficienei acestora i ncurajnd mbuntirea lor
continu.

2120.A1 Pe baza rezultatelor evalurilor riscurilor, activitatea de audit intern
trebuie s evalueze adecvarea i eficacitatea controalelor privind guvernana
entitii, operaiunile i sistemele de informare din organizaie. Aceast evaluare
trebuie s vizeze urmtoarele aspecte:
fiabilitatea i integritatea informaiilor financiare i operaionale
protejarea activelor;
respectarea legilor, regulamentelor i contractelor.

_____________________________________________________________________________________
54

2120.A2 Auditorii interni trebuie s stabileasc n ce msur au fost definite
scopurile i obiectivele privind operaiunile i programele i dac aceste scopuri i
obiective sunt conforme cu cele ale entitii.

2120.A3 Auditorii interni trebuie s treac n revist operaiunile i programele
pentru a stabili n ce msur rezultatele corespund scopurilor i obiectivelor
stabilite i dac aceste operaiuni i proiecte sunt aplicate sau realizate aa cum
s-a prevzut.

2120.A4 Pentru evaluarea controalelor sunt necesare criterii adecvate.
Auditorii interni trebuie s stabileasc n ce msur a definit managementul
criterii adecvate pentru a determina dac au fost atinse obiectivele i scopurile.
Dac aceste criterii sunt adecvate, auditorii interni trebuie s le utilizeze n
evaluarea pe care o fac. Dac nu sunt adecvate, auditorii interni trebuie s
colaboreze cu managementul pentru a elabora criterii corespunztoare de
evaluare.

2120.C1 n cursul misiunilor de consultan, auditorii interni trebuie s
examineze controalele n conformitate cu obiectivele misiunii i s fie ateni la
existena oricrui punct slab semnificativ privind controlul.

2120.C2 , n cadrul procesului de identificare i de evaluare a riscurilor
semnificative ale entitii auditorii interni trebuie s ia n consideraie
_____________________________________________________________________________________
55
cunotinele despre sistemele de control pe care le-au dobndit n cursul
misiunilor lor de consultan.

2130 Guvernana

Activitatea de audit intern trebuie s evalueze i s fac recomandri adecvate pentru
mbuntirea procesului de guvernan pentru atingerea urmtoarelor obiective:
promovarea valorilor etice adecvate n cadrul entitii;
asigurarea responsabilizrii i funcionrii eficiente a managementului
entitii;
comunicarea eficace a riscurilor i a informaiilor despre control structurilor
adecvate din cadrul entitii;
Coordonarea efectiv a activitilor i comunicarea informaiilor n rndul
managementului, auditorilor interni i externi i Consiliului.

2130.A1 Activitatea de audit intern trebuie s evalueze proiectarea, implementarea
i eficacitatea obiectivelor, programelor i activitilor legate de etica entitii.

2130.C1 Obiectivele misiunii de consultan trebuie s corespund valorilor i
obiectivelor generale ale entitii.

_____________________________________________________________________________________
56

2100 Natura Activitii
AUDITUL INTERN EVALUEAZ SISTEMELE DE MANAGEMENT AL RISCURILOR, DE CONTROL l
DE GUVERNARE CORPORATIV l CONTRIBUIE LA MBUNTIREA ACESTORA
MPA2100-I
Natura activitilor
Natura acestei Modaliti Practice de Aplicare:
Se recomand ca auditorii interni s in cont de urmtoarele sugestii atunci cnd determin natura
activitii de audit intern care va fi desfurat. Prezenta MPA nu are drept scop expunerea exhaustiv a
punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea lurii n considerare a unui ansamblu
de elemente.

Respectarea Modalitilor Practice de Aplicare este facultativ.
1. Natura activitilor de audit intern se definete printr-o abordare sistematica i metodic de evaluare i
mbuntire a relevanei i a eficacitii procesului de management al riscurilor, de control i de
guvernare corporativ , precum i prin nivelul de calitate atins n ndeplinirea responsabilitilor
ncredinate. Obiectivul evalurii pertinenei proceselor de management al riscurilor, de control i de
guvernare a ntreprinderii este de a oferi o asigurare rezonabil c aceste procese funcioneaz dup
cum s-a prevzut i c vor permite entitii s-i ating obiectivele i scopurile propuse. Un alte obiectiv
este acela de a propune recomandri pentru mbuntirea modului de funcionare a entitii, att n
ceea ce privete eficiena ct i eficacitatea. Este de asemenea posibil ca direcia general i Consiliul s
indice orientri generale cu privire la sfera de aplicabilitate i la activitile care vor fi auditate.
2. Se poate vorbi despre o relevan a proceselor de management al riscurilor, de control i de guvernare
corporativ dac conducerea le-a conceput i organizat astfel nct s ofere o asigurare rezonabil c
obiectivele i scopurile fixate vor fi atinse n mod eficient i economic. 0 funcionare eficient permite
_____________________________________________________________________________________
57
atingerea cu precizie a obiectivelor i a scopurilor fixate, la data fixat i la un pre minim. 0 funcionare
economic permite atingerea obiectivelor i a scopurilor cu o utilizare minim a resurselor (costuri
minime) n funcie de expunerea la risc . 0 asigurare rezonabil este obinut dac sunt luate msurile
cele ai eficace i economice ncepnd cu conceperea i aplicarea proceselor pentru reducerea riscurilor
i pentru limitarea neregularitilor anticipate la un nivel tolerabil. Astfel, conceperea proceselor ncepe
prin determinarea obiectivelor i a scopurilor. Apoi este necesar s se coreleze conceptele, diversele
componente, activitile i persoanele astfel nct toate acestea s participe la realizarea obiectivelor i
a scopurilor fixate.
3. Se poate vorbi despre o eficacitate a proceselor de management al riscurilor, de control i guvernare
corporativ n cazul n care conducerea coordoneaz aceste procese astfel nct s se obin asigurarea
rezonabil c obiectivele i scopuri!e entitii vor fi atinse. Pe lng realizarea obiectivelor i a
activitilor prevzute, coordonarea presupune i autorizarea tranzaciilor i a activitilor,
monitorizarea rezultatelor obinute i verificarea faptului c procesele entitii funcioneaz aa cum s-
a prevzut.
4. In general, conducerea este responsabil de dezvoltarea entitii n faa acionarilor celorlalte pri
implicate, ageniilor de reglementare i publicului pe care trebuie s-l informeze cu privire la aciunile
sale, gestionarea sa i rezultatele entitii.
Mai precis, obiectivul principal al procesului de management este acela de a obine:
informaii financiare i operaionale relevante i fiabile ;
o utilizare eficace i eficient a resurselor entitii;
protejarea activelor entitii;
respectarea legilor, a reglementrilor, a normelor de etic i de conduit n afaceri, precum i a
contractelor;
identificarea expunerilor la risc existente i utilizarea unor strategii eficace pentru a le controla;
obiectivele i scopurile fixate pentru operaiuni sau proiecte.
5. Conducerea planific, organizeaz i coordoneaz desfurarea aciunilor necesare care s ofere
asigurarea rezonabil c obiectivele i scopurile stabilite vor fi atinse. Conducerea le examineaz
periodic i i modific procesele pentru a ine cont de schimbrile condiiilor interne i externe.
_____________________________________________________________________________________
58
Conducerea stabilete i menine o cultur a ntreprinderii i un climat etic ce nelege existena
expunerilor la risc i implementeaz eficient strategii de risc pentru controale .
6. Orice msur luat de conducere pentru a crete probabilitatea c obiectivele i scopurile fixate vor fi
atinse reprezent un control. Controalele pot fi preventive (pentru a preveni apariia oricrui eveniment
nedorit), de detectare (pentru a identifica evenimentele nedorite care s-au produs i a corecta efectele
acestora), sau de direcionare (pentru o provoca i ncuraja apariia unui eveniment dorit).
Conceptul unui sistem de control face trimitere la un ansamblu integrat de componente i activiti
utilizate de ctre o entitate pentru a-i atinge obiectivele i scopurile.
7. Auditorii interni examineaz i evalueaz ntregul proces de planificare, de organizare i de gestionare
pentru a stabili dac exist o asigurare rezonabil c obiectivele i scopurile vor fi atinse. Lund n
considerare posibila evoluie, auditorii interni trebuie s fie ateni la schimbrile condiiilor interne sau
externe, reale sau poteniale, care ar putea afecta capacitatea sistemului de control de a oferi o
asigurare de perspectiv. In acest context, auditorii interni trebuie s acorde atenie riscurilor unei
eventuale deteriorri a performanei.
8. Aceste evaluri de audit intern permit n mod global obinerea informaiilor necesare aprecierii
procesului de management n ansamblul su. Toate sistemele de activitate, procesele, operaiunile,
funciile i activitile din cadrul entitii sunt supuse evalurilor auditului intern. Un domeniu exhaustiv
al activitilor de audit intern trebuie s permit obinerea unei asigurri rezonabile c:
sistemul de management al riscurilor este eficace;
sistemul de control intern este adecvat i eficient;
procesul de conducere este eficace i rspunde urmtoarelor obiective: definirea i pstrarea
valorilor, fixarea obiectivelor, monitorizarea activitilor i a performanelor i definirea modurilor de
raportare.

_____________________________________________________________________________________
59

MPA 2100-2
Securitatea informaiei
Se recomand ca auditorii interni s in cont de urmtoarele sugestii atunci cnd evalueaz activitile de
guvernare a ntreprinderii n ceea ce privete securitatea informaiei. Prezenta MPA nu are drept scop
prezentarea tuturor procedurilor ce trebuie aplicate n cadrul unei misiuni de audit sau de
consultan/consiliere privind securitatea informaiei. Ea are ca obiectiv doar descrierea responsabilitilor
care ar trebui ncredinate auditorilor n plus faa de cele care revin Consiliului sau conducerii.

1. Auditorii interni trebuie s se asigure c att conducerea, Consiliul, sunt contieni de responsabilitatea
conducerii n ceea ce privete securitatea informaiei. Aceast responsabilitate vizeaz toate informaiile
eseniale pentru entitate, oricare ar fi suportul lor de pstrare.
2. Responsabilul auditului intern trebuie s se asigure c auditul intern dispune de sau are acces la
resursele adecvate pentru a evalua securitatea informaiei i expunerile la risc aferente. Acestea din
urm includ att expunerile la risc interne ct i cele externe i, mai ales, cele aferente relaiilor
stabilite de entitate cu alte entiti externe.
3. Auditorii interni trebuie s se asigure c managementul a furnizat Consiliului, comitetului de audit
asigurarea c auditul intern va fi rapid informat cu privire la orice situaie n care securitatea informaiei
a fost afectat sau care ar putea constitui o ameninare pentru entitate.
4. Auditorii interni trebuie s evalueze gradul de eficacitate a msurilor luate astfel nct s se poat
preveni, detecta i atenua atacurile aprute n trecut, precum i orice incident sau tentativ de atac
care s-ar putea produce n viitor. Auditorii interni trebuie s confirme c au fost bine informate att
Consiliul, ct i comitetul de audit cu privire la ameninrile sau incidentele aprute, punctele slabe
exploatate i msurile corective.
_____________________________________________________________________________________
60
5. Auditorii interni trebuie s evalueze periodic sistemul de securitate a informaiei din entitate i s
recomande, dac este cazul, mbuntiri sau efectuarea unor noi controale i luarea de noi msuri de
siguran. Dup aceast evaluare, un raport de asigurare trebuie s fie prezentat membrilor Consiliului,
. Aceste evaluri pot face obiectul misiunilor distincte i izolate sau pot fi integrate n alte misiuni
realizate n cadrul altor activiti de audit sau n cadrul planului de audit aprobat.

MPA 2100-3
Rolul auditului intern n procesul de management al riscurilor
Definiia auditului intern enun faptul c "ajut aceast entitate s i ating obiectivele evalund, printr-o
abordare sistematic i metodic, procesele sale de management al riscurilor, de control, i de guvernare
a ntreprinderii, i fcnd propuneri pentru a le consolida eficacitatea". Respectarea Normelor presupune
faptul c auditorii interni joac un rol cheie n procesul de management al riscurilor unei entiti. Obiectul
prezentei MPA este acela de a ajuta auditorii interni s-i defineasc rolul n procesul de management al
riscurilor dintr-o entitate i s respecte Normele. Poate fi necesar s se in cont de alte elemente dect
cele cuprinse n prezenta Modalitate Practic de Aplicare.
1. Gestionarea riscurilor este o responsabilitate major a conducerii care trebuie s se asigure, pentru a-i
atinge obiectivele, de implementarea i buna funcionare a proceselor de management al riscurilor. Este
obligaia Consiliului i a comitetului de audit de a se asigura de existena proceselor adecvate, suficiente
i eficace de management al riscurilor. Rolul auditorilor interni const n a asista att conducerea ct i
comitetul de audit, examinnd i evalund procesele de management al riscurilor puse n practic de
conducere, verificnd dac sunt suficiente i eficace, elabornd apoi rapoarte i recomandri n vederea
mbuntirii acestora. Conducerea i Consiliul sunt responsabile de procesele de control i de
_____________________________________________________________________________________
61
management al riscurilor din cadrul entitii lor. Totui, auditorii interni pot, n cadrul unei misiuni de
consultan/consiliere , s ajute organizaia s identifice, s evalueze i s implementeze un sistem de
management al riscurilor i al controalelor care s rspund acestor riscuri.
2. Evaluarea proceselor de management al riscurilor entitii i informarea cu privire la aceste evaluri fac
parte n mod normal din obiectivele prioritare ale auditului. Trebuie s se fac deosebire ntre evaluarea
procesului de management al riscurilor i analiza riscurilor pe care auditorii trebuie s o efectueze
pentru a-i planifica activitile. Totui, informaiile obinute dintr-un proces complet de management al
riscurilor, i mai ales identificarea subiectelor de interes pentru conducere i Consiliu, l pot ajuta pe
auditorul intern s i planifice activitile de audit.
3. Responsabilul auditului intern trebuie s cunoasc ateptrile de la conducerii i Consiliului cu privire
la rolul auditului intern n procesul de management al riscurilor entitii. Acest rol va fi precizat n
cartele auditului intern i ale comitetului de audit.
4. Responsabilitile i activitile tuturor persoanelor care intervin n grup sau individual n procesul de
management al riscurilor entitii trebuie s fie coordonate. Aceste responsabiliti i activiti trebuie
s se regseasc n mod corect prin planurile strategice ale entitii, soluiile Consiliului ,decizii ale
conducerii, procedurile operaionale i alte instrumente care in de guvernarea corporativ . De
exemplu, activitile i responsabilitile cuprind:
definirea orientrilor strategice, care pot fi n sarcina Consiliului sau a unui comitet;
responsabilitile legate de riscurile pot s revin conducerii generale acceptarea riscurilor
reziduale, care poate fi ncredinat cadrelor de conducere;
operaiunile continue de identificare, evaluare, atenuare i monitorizare, care pot fi delegate
personalului de execuie;
evalurile periodice i realizarea unei asigurri trebuie s fie n sarcina auditului intern.
5. Se ateapt din partea auditorilor interni s identifice i s evalueze expunerile la risc semnificative n
cadrul activitilor lor curente.

_____________________________________________________________________________________
62

6. Rolul auditului intern n procesul de management al riscurilor unei entiti poate evolua n timp i se
poate regsi sub urmtoarele forme:
nici o intervenie a auditului intern;
auditarea procesului de management al riscurilor n cadrul programului de audit intern;
sprijin activ i continuu, i participare la procesul de management al riscurilor, mai ales n cadrul
comitetelor de supraveghere i de monitorizare i n cadrul emiterii de rapoarte privind acest proces;
gestionarea i coordonarea procesului de management al riscurilor.
7. In definitiv, cadrelor de conducere i comitetului de audit le revine sarcina de a determina rolul
auditului intern n procesul de management al riscurilor. Viziunea conducerii asupra rolului auditului
intern va depinde, dup ct se pare, de factori precum cultura entitii, competena auditorilor interni,
conjunctura local i practicile rii.
8. Alte linii directoare figureaz n urmtoarele Modaliti Practice de Aplicare:
Modalitatea Practic de Aplicare nr. 2100-4. Rolul auditului intern n lipsa procesului de management
al riscurilor.
Modalitatea Practic de Aplicare nr. 1130.A1-2. Responsabilitile exercitate de auditul intern n baza
altor funcii.
Modalitatea Practic de Aplicare nr. 2110-1. Evaluarea procesului de management al riscurilor.
Modalitatea Practic de Aplicare nr. 2010-2. Luarea n considerare a riscurilor la elaborarea
programului de audit.

_____________________________________________________________________________________
63

MPA2100-4
Rolul auditului intern n absena procesului de
management al riscurilor
Definiia auditului intern enun faptul c "ajut organizaia s i ating obiectivele evalund, printr-o
abordare sistematic i metodic, procesele sale de management al riscurilor, de control, i de guvernare
a ntreprinderii, i fcnd propuneri pentru a le consolida eficacitatea".
Respectarea Normelor pentru Practica Profesional a auditului intern presupune faptul ca auditorii interni
s joace un rol cheie n procesul de management al riscurilor unei entiti. Totui, anumite entiti nu
dispun de nici un proces real de gestionare a riscurilor. Obiectul prezentei MPA este acela de a ajuta
auditorii interni s-i defineasc rolul n cadrul unei entiti n care nu exist un astfel de proces. Poate fi
necesar s se in cont de alte elemente dect cele cuprinse n prezenta Modalitate Practic de Aplicare.
1. Managementul riscurilor este o responsabilitate major a conducerii care trebuie s se asigure, pentru
a-i atinge obiectivele, de implementarea i buna funcionare a proceselor de management al riscurilor.
Consiliul i comitetul de audit trebuie s se asigure de aplicarea proceselor adecvate, suficiente i
eficace de management al riscurilor. Rolul auditorilor interni const n a asista att conducerea ct i
comitetul de audit, examinnd i evalund procesele de management al riscurilor , verificnd suficiena
i eficacitatea lor, elabornd apoi rapoarte i recomandri n vederea mbuntirii acestora.
Conducerea i Consiliul sunt responsabile de procesele de control i de management al riscurilor din
cadrul entitii lor. Totui, auditorii interni pot, n cadrul unei misiuni de consultan/consiliere , s ajute
organizaia s identifice, s evalueze i s implementeze un sistem de management al riscurilor i de
control care s rspund acestor riscuri.

_____________________________________________________________________________________
64

2. Evaluarea proceselor de management al riscurilor entitii i informarea cu privire la aceste evaluri fac
n mod normal parte din obiectivele prioritare ale auditului. Trebuie s se fac deosebire ntre evaluarea
proceselor de management al riscurilor adoptate de ctre conducere i analiza riscurilor pe care
auditorii trebuie s o efectueze pentru a-i ntocmi programul de activitate. Totui, informaiile extrase
dintr-un proces complet de management al riscurilor, inclusiv identificarea subiectelor de interes pentru
conducere i Consiliu, l pot ajuta pe auditorul intern n planificarea activitilor de audit.
3. Responsabilul auditului intern trebuie s solicite informaii de la conducere i Consiliu cu privire la rolul
auditului intern n procesul de management al riscurilor entitii. Acest rol va fi precizat n cartele
auditului intern i ale comitetului de audit.
4. n cazul n care organizaia nu a adoptat un proces de management al riscurilor, auditorul intern trebuie
s atrag atenia conducerii asupra acestui aspect i s formuleze sugestii n vederea adoptrii unui
astfel de proces. Auditorul intern trebuie s consulte conducerea i Consiliul cu privire la rolul auditului
intern n procesul de management al riscurilor. Cartele auditului intern i ale comitetului de audit
trebuie s indice rolul lor n acest proces.
5. Auditorii interni pot, dac li se solicit acest lucru, s joace un rol activ participnd la iniierea unui
proces de management al riscurilor n cadrul entitii. In afara misiunii lor clasice de asigurare, acetia
i asum un rol de consultan/consiliere n vederea mbuntirii proceselor fundamentale. Dac
aceast asisten depete cadrul misiunilor de asigurare i de consiliere ncredinate n general
auditorilor interni, independena auditorilor poate fi afectata. In acest caz, trebuie ca ei s respecte
obligaia de informare prevzut de Norme. Directive complementare se gsesc i n Modalitatea
Practic de Aplicare nr. 1130.A1 -2 referitoare la responsabilitile exercitate de auditul intern n baza
altor funcii.
6. Este necesar s se fac o diferen ntre rolul activ al auditorului n implementarea i gestionarea unui
dispozitiv de management al riscurilor i rolul de "responsabil al riscurilor". Pentru a evita ca
responsabilitatea riscurilor s le fie atribuit, auditorii interni trebuie s obin de la conducere
confirmarea c aceasta urmrete identificarea, atenuarea i monitorizarea riscurilor i c i asum
responsabilitatea acestor aciuni.
_____________________________________________________________________________________
65
7. In concluzie, auditorii interni pot facilita sau permite aplicarea proceselor de management al riscurilor,
dar aceasta nu nseamn c trebuie s i asume responsabilitatea pentru managementul riscurilor
identificate.
MPA 2100-5
Aspecte juridice ale evalurii programelor de conformitate Evaluarea
programelor de "compliance" (conformitate cu reglementrile) - aspecte juridice
Se recomand auditorilor interni s in cont de urmtoarele sugestii atunci cnd evalueaz programele
de conformitate ale unei entiti. Prezenta MPA nu are ca scop prezentarea tuturor procedurilor care pot fi
necesare n furnizarea de asigurri suficiente .

Respectarea Modalitilor Practice de Aplicare este facultativ. Avertisment - Auditorii interni
trebuie s consulte un jurist cu privire la orice problem de ordin juridic, reglementrile putnd
fi foarte diferite de la o ar la alta. ndrumrile cuprinse n prezenta Modalitate Practic de
Aplicare se bazeaz n principal pe sistemul juridic din Statele Unite.
1. Obiectul programelor de conformitate const n sprijinirea entitilor n prevenirea infraciunilor comise
neintenionat de ctre personal, identificarea actelor ilegale i descurajarea oricrei infraciuni comise
cu bun tiin de ctre personal. Aceste programe faciliteaz de asemenea justificarea cererilor de
plat a despgubirilor , delimitarea responsabilitilor conducerii i a resturilor personalului crearea
sau consolidarea identitii corporative i aprecierea corectitudinii despgubirilor. Pentru a evalua
programele de conformitate ale unei entiti, auditorii interni trebuie s examineze urmtoarele puncte
care au ca obiect garantarea eficienei acestor programe.

_____________________________________________________________________________________
66
2. Organizaia trebuie s stabileasc, pentru personal i ceilali ageni, standarde i proceduri de
conformitate care vor permite reducerea , n mod rezonabil, a riscului de conduit ilegal .
Organizaia trebuie s elaboreze un cod de conduit scris, indicnd clar activitile interzise. Acest
cod trebuie s fie redactat ntr-un limbaj uor de neles i lipsit de jargoane juridice.
Un bun cod de conduit furnizeaz angajailor ndrumri n problemele relevante . Inserarea unor
"check-list-uri i a unei seciuni de ntrebri-rspunsuri, precum i trimiterea la alte surse coninnd
informaii mai ample, vor face acest cod mai uor de utilizat .
Organizaia trebuie s realizeze o organigram care s permit identificarea membrilor Consiliului de
Administraie a conducerii generale, a responsabilului cu conformitatea i a personalului nsrcinat
cu implementarea programelor de conformitate.
Un cod de conduit poate mri riscul comiterii de activiti ilegale sau contrare eticii de ctre angajai
dac acetia l consider formalist i inechitabil, sau dimpotriv poate reduce acest risc dac ei l
consider la obiect i echitabil.
Societile care folosesc un sistem de recompense financiare pentru comportamente ilegale sau
aparent contrare eticii creeaz un mediu puin propice respectrii reglementrilor.
Societile internaionale trebuie s instaureze un program de conformitate la scar mondial, nu
doar pentru anumite zone geografice . Aceste programe trebuie s in cont de condiiile legislaiile
i reglementrile naionale.
3. Se recomand desemnarea n cadrul entitii a unuia sau a mai multor angajai cu funcie de conducere
care s supravegheze conformitatea cu normele i procedurile .
colaboratorii cu funcie de conducere sunt persoanele care joac un rol important n entitate sau n
procesul de luare a deciziilor.
Angajaii cu funcii de conducere pot fi administratorii, un director, un preedinte persoanele cu
funcii de conducere responsabile de o ramur sau de o parte important din cadrul entitii cum ar
fi vnzri, administraie sau finane, precum i persoanele care au un rol important n cadrul entitii.
Directorul General i ceilali membri ai comitetului executiv trebuie s se implice n mare msur n
program pentru a asigura eficacitatea acestuia.
In anumite entiti, atribuirea responsabilitii pentru conformitate coordonatorului departamentului
_____________________________________________________________________________________
67
juridic al societii poate determina personalul s cread c managementul nu este interesat de
program i c acesta din urm nu prezint importan dect pentru departamentul juridic i nu
pentru ntreaga entitate. In alte entiti, aceeai distribuie poate avea efectul invers.
In marile societi care cuprind mai multe uniti de profit, este indicat s se desemneze n fiecare
dintre acestea un angajat cu funcie de rspundere l responsabil de respectarea conformitii .
Nu este suficient s se creeze postul de responsabil cu conformitatea i s se selecteze ceilali
membri ai echipei. Societatea trebuie de asemenea s se asigure c acetia au autoritatea i
resursele necesare exercitrii misiunii lor. In plus, trebuie ca ei s aib acces la conducerea
general. Acest responsabil cu conformitatea trebuie s fie direct subordonat directorului general .
4. Organizaia nu trebuie s delege competene nelimitate importante unor persoane despre care tie, sau
ar trebui s tie, c ar putea comite activiti ilicite.
Societile trebuie s verifice antecedentele oricrui candidat la un post, indiferent de nivelul acestuia
i s se asigure c nu a comis nici o ilegalitate, n special n sectorul de activitate al societii.
Formularele de candidatur ar trebui s cuprind o rubric privind cazierul judiciar. Va trebui ca
membrii profesiunilor reglementate s fie chestionai cu privire la orice antecedent disciplinar.
Se recomand ca societatea s nu prejudicieze n nici un fel viata privat a angajailor i a
candidailor, conform legilor aplicabile n acest domeniu. Numeroase ri au o legislaie care limiteaz
informaiile pe care o societate le poate obine n cadrul verificrilor privind personalul.
5. Organizaia trebuie s asigure o bun comunicare a normelor i a procedurilor sale ctre ntregul
personal i agenii si . In acest sens, ea poate, de exemplu, solicita participarea acestora la programe
de formare sau poate distribui documente prin care acestora li se explic ce se ateapt de la ei.
Eficacitatea unui program de conformitate va depinde de modul n care este prezentat angajailor . n
general, comunicarea de tip interactiv este mai eficace dect o expunere formal. In acelai timp,
programele comunicate personal funcioneaz n general mai bine dect programele prezentate n
ntregime sub form de video sau joc. Organizarea de sesiuni periodice este mai eficace dect o
prezentare unic.
Cele mai bune programe includ o instruire care permite salariailor s experimenteze noi tehnici i s
exploateze noi informaii. Acest tip de instruire, special adaptat pentru conducere, este de asemenea
eficace pentru angajaii de la toate nivelurile.
_____________________________________________________________________________________
68
Codul de conduit i manualul personalului trebuie s fie redactate astfel nct s faciliteze
nelegerea. Modaliti alternative de prezentare a codului i a manualului trebuie s fie adoptate i
aplicate pentru colaboratorii care nu au un nivelul necesar de studii.
Conformitatea cu reglementrile trebuie s fac obiectul consilierilor, declaraiilor i avertismentelor
distribuite angajailor pe diverse suporturi: buletine, afie, curier electronic, chestionare i prezentri.
Se recomand ca programul s fie prezentat n mai multe etape diferitelor categorii de personal,
avnd informaiile prezentate pe punctele care sunt importante pentru fiecare grup. Informaiile
distribuite trebuie s fie adaptate fielor posturilor specifice grupului avut n vedere. Trebuie, de
exemplu, s se comunice informaii cu privire la protecia mediului nconjurtor angajailor din
serviciile de fabricare sau gestiune imobiliar care sunt mai predispui s comit sau s identifice o
nclcare a legislaiei sau a regulamentelor aplicabile n acest domeniu. In schimb, n cazul unui grup
care nu exercit astfel de responsabiliti, aceast formare se poate dovedi duntoare i poate
inspira doar indiferen, sau i poate face pe salariai s cread c programul este prost conceput.
Se recomand s se acorde noilor angajai , n cadrul programului de ndrumare care le este destinat,
o instruire de baz privind conformitatea cu reglementrile. Ulterior , acetia vor putea fi inclui n
aciunile ntreprinse n cadrul serviciului lor.
Agenii din cadrul entitii trebuie s fie invitai la o prezentare special destinat lor. Este important ca
o societate s comunice agenilor si valorile fundamentale ale entitii i s-i informeze cu privire la
faptul c aciunile n care acetia reprezint societatea vor face obiectul unei monitorizri n cadrul
unui program de conformitate din moment ce acetia angajeaz societatea. Organizaia trebuie s fie
pregtit s nceteze relaiile cu agenii care nu ader la principiile sale n ceea ce privete conceptul
de conformitate .
Entitile trebuie s solicite periodic de la salariaii lor o declaraie scris care s ateste c acetia
cunosc codul de conduit al societii, c l-au neles i c l respect. Aceste informaii trebuie s fie
comunicate anual conducerii generale i Consiliului de Administraie.
Toate documentele referitoare la etic - coduri de conduit, politici /manuale ale de Resurse Umane,
etc. - trebuie s fie puse la dispoziia fiecrui salariat. Se recomand cu trie adoptarea unui mod de
acces permanent cum ar fi difuzarea pe intranet.

_____________________________________________________________________________________
69
6. Organizaia trebuie s ia msuri adecvate pentru a asigura respectarea normelor sale. De exemplu,
aceste msuri includ utilizarea sistemelor de monitorizare i de audit permind detectarea infraciunilor
comise de angajai i ageni, precum i prezentarea pentru angajaii i agenii din cadrul entitii a
unui sistem prin care acetia pot raporta, fr teama de msuri coercitive , infraciunile comise de alte
persoane din cadrul entitii.
Organizaia trebuie s asigure resursele adecvate pentru planul de audit intern innd cont de
dimensiunile societii i de dificultatea sarcinilor de audit. Planul de audit trebuie s fie axat pe
operaiunile specifice fiecrei ramuri de activitate a entitii.
Planul de audit trebuie de asemenea s cuprind o expunere a programului de conformitate al
entitii i a procedurilor sale, expunere al crei obiect principal va fi s se verifice dac documentele
scrise sunt eficiente , dac comunicrile au fost receptate de angajai , dac au fost corect soluionate
situaiile n care s-au identificat proceduri nclcate dac problemele de disciplin au fost rezolvate n
mod echitabil, dac nu s-au luat msuri coercitive mpotriva persoanelor care au raportat
infraciunile comise i dac serviciul de conformitate i-a ndeplinit responsabilitile. Auditorii trebuie
s examineze programul de conformitate, s identifice posibilele mbuntiri i s solicite opinia
angajailor cu privire la acest punct.
Fiecare program trebuie s cuprind un telefon de urgen sau alt sistem de comunicare prin care
angajaii pot raporta activitile pe care le consider ilegale sau contrare eticii sau codului de
conduit al entitii. Este necesar ca personalul s aib libertatea de a dezvlui astfel de nclcri
fr teama de msuri coercitive .
In momentul n care responsabilitatea monitorizrii telefonului de urgen este ncredinat unui
avocat, secretul profesional al clienilor si sau cel cuprins n dosarele de lucru este mai bine pstrat.
Totui, rezultatele unui studiu arat c angajaii nu au deloc ncredere n numerele de urgen
gestionate de serviciul juridic sau de un prestator extern. Acest studiu a mai artat c ei au i mai
puin ncredere n rapoartele emise sau apelarea la un mediator extern. Liniile telefonice de urgen
gestionate de un reprezentant intern al entitii i sprijinite de o politic de evitare a msurilor
coercitive sunt cele care le inspir cea mai mare ncredere.
Apelarea la un mediator intern este mai eficace dac acesta este direct subordonat unui responsabil
cu conformitatea sau Consiliului de Administraie, dac acesta poate pstra anonimatul avertizorilor ,
dac le ofer consultan/consiliere i dac efectueaz o monitorizare cu scopul de a se asigura c nu
_____________________________________________________________________________________
70
s-au luat msuri coercitive mpotriva lor . De altfel, n unele legislaii , mediatorul beneficiaz de
protecie i nu este obligat s dezvluie informaiile confideniale care i-au fost comunicate.
Chestionarul asupra eticii este un mod eficace de a detecta actele ilegale sau contrare eticii.
Chestionarul este destinat fiecrui angajat al entitii, care trebuie s indice dac are cunotin de
informaii privind luarea de mit, "micile atenii" sau alte nereguli Pentru a oferi toate garaniile de
protecie, chestionarul trebuie s fie trimis de consilierul juridic al entitii, s menioneze o clauz
de confidenialitate s precizeze c angajatul trebuie s completeze, s semneze i s napoieze
chestionarul fr a pstra o copie, i s indice faptul c organizaia i rezerv dreptul de a divulga
informaiile furnizate fie autoritilor publice, fie justiiei. De reinut c aceast confidenialitate a
informaiilor nu mai este garantat n cazul n care chestionarul este divulgat unor tere pri.
7. Respectarea regulilor trebuie s fie asigurat constant printr-un sistem adecvat de sanciuni viznd n
special persoanele care mpiedic detectarea unei infraciuni. Adoptarea de msuri disciplinare mpotriva
persoanelor responsabile de comiterea unei infraciuni este necesar pentru a asigura respectarea
regulilor; totui, msurile necesare nu pot fi determinate dect de la caz la caz .
Programul de conformitate trebuie s fie nsoit de un sistem disciplinar care s prevad aplicarea, n
cazul nerespectrii codului de conduit al entitii, a unor sanciuni adaptate nclcrii comise cum ar
fi avertismentul, neplata salariului, suspendarea, transferul sau concedierea. In momentul n care un
angajat a comis un act ilegal, este posibil ca organizaia s fie obligat s l concedieze conform
principiului dup care "organizaia nu trebuie s delege competene nelimitate unor persoane despre
care tie, prin supravegherea pe care o efectueaz, sau ar trebui s tie, c ar putea comite acte
ilicite".
Msurile disciplinare prevzute de program trebuie s fie echitabile. Sunt puine anse ca programul
s reueasc dac actele ilegale sau contrare eticii rmn nepedepsite, n special dac sunt legate de
activitile conducerii generale sau ale unor productori importani. In lipsa sanciunilor, infraciunile
comise de aceste persoane vor ncuraja acest tip de comportament n restul entitii.
Este posibil ca celelalte msuri disciplinare sau concedierea s fie supuse unor restricii care rezult
din legislaia privind avertizorii sau din excepii privind anumite categorii de angajai , contracte de
munc sau acorduri sindicale, responsabiliti ale angajatorului n ceea ce privete discriminarea i
concedierea abuziv, i legi sau jurisprudene referitoare la reaua-credin a angajatorului.
_____________________________________________________________________________________
71
8. In cazul n care se detecteaz o eroare, organizaia trebuie s ntreprind toate msurile necesare
pentru a o soluiona i pentru a preveni orice alte nclcri similare, modificnd, dac este cazul,
programul su de prevenire i detectare a nclcrilor legii.
Organizaia trebuie s reacioneze n mod corespunztor fa de orice greeal detectat n cadrul
programului de conformitate. Printre reaciile corespunztoare figureaz msurile disciplinare luate
mpotriva celor care au comis nclcarea
In anumite cazuri, o reacie adecvat implica denunarea ctre autoriti a infraciunii, cooperarea la
anchetele desfurate de acestea i acceptarea responsabilitii entitii n ceea ce privete
infraciunea. Se recomand s se observe c aceste reacii, precum i existena unui program de
conformitate eficace, pot determina instana s reduc suma amenzii impuse entitii.
Nedetectarea sau neprevenirea unei infraciuni grave implic uneori necesitatea unei revizuiri a
programului de conformitate. Dup detectarea unei infraciuni, personalul responsabil cu
conformitatea trebuie, cel puin, s examineze programul i s decid dac sunt necesare
modificri.
Este posibil ca, n urma unei infraciuni constatate, s fie necesar nlocuirea sau reorganizarea
echipei nsrcinate cu activitatea de conformitate . De fapt, organizaia poate fi determinat s
sancioneze sau s nlocuiasc un manager pentru nedetectarea sau neprevenirea unei erori n
sectoarele de care este responsabil, n special dac este vorba despre o infraciune pe care
respectivul manager ar fi trebuit s-o detecteze.
Traducere: employees a fost tradus fie prin salariai , fie prin colaboratori, fie prin personal ;
agents a fost tradus prin ageni. In acest caz este vorba despre persoane nesalariate.

_____________________________________________________________________________________
72

2110
Managementul riscurilor
Auditul intern trebuie sa ajute organizaia prin identificarea
fi evaluarea expunerilor semnificative la risc i s contribuie la mbuntirea
sistemelor de management al riscurilor i de control.
MPA 2110-1
Evaluarea procesului de management al riscurilor
Auditorii interni pot fi solicitai s verifice, la cererea conducerii i a comitetului de audit, dac organizaia
dispune de procese adecvate de management al riscurilor. Aceast responsabilitate presupune ca
auditorul s formuleze o opinie i s indice dac procesul de management al riscurilor este suficient
pentru a proteja bunurile, reputaia i activitile entitii. Obiectul prezentei MPA este acela de a preciza
principalele obiective de care auditorul trebuie s tin cont pentru a-i exprima opinia n ceea ce privete
procesul de management al riscurilor folosit de entitate . Aici sunt abordate numai evaluarea eficacitii
procesului i comunicarea acestuia Alte Modaliti Practice de Aplicare vor trata mai aprofundat aspectele
legate de controale i de misiunile de consultan/consiliere. Conform prezentei MPA, procesul de
management al riscurilor care face parte din procesele importante ale entitii poate i trebuie s fie
evaluat ca orice alt proces strategic important.
1. Gestionarea riscurilor este o responsabilitate major a conducerii care trebuie s se asigure, pentru a-i
atinge obiectivele, de adoptarea i de buna funcionare a proceselor riguroase de management al
riscurilor. Sarcina de a monitoriza aplicarea proceselor adecvate, suficiente i eficiente de management
al riscurilor revine consiliului i comitetului de audit. Rolul auditorilor interni este acela de a asista
conducerea i comitetul de audit. n acest scop, ei trebuie s examineze i s evalueze procesele de
_____________________________________________________________________________________
73
management al riscurilor adoptate de conducere, s verifice dac acestea sunt suficiente i eficace, apoi
s emit rapoarte i recomandri n vederea mbuntirii lor. Conducerea i Consiliul sunt responsabili
de procesele de management al riscurilor i de control din organizaia lor. Totui, auditorii interni pot, n
cadrul misiunilor de consultan/consiliere , s ajute organizaia s identifice, s evalueze i s
implementeze metodologii i controale privind managementul riscurilor care s permit gestionarea
acestor riscuri.
2. Evaluarea proceselor de management al riscurilor entitii i raportarea acestor evaluri fac parte n
mod normal din obiectivele prioritare ale auditului. Trebuie s se fac distincia ntre evaluarea
proceselor de management al riscurilor i analiza riscurilor pe care auditorii trebuie s o realizeze n
planificarea activitii de audit . Totui, informaiile rezultate n urma unui proces complet de
management al riscurilor inclusiv identificarea subiectelor de interes pentru conducere i pentru Consiliu
l pot ajuta pe auditorul intern s-i planifice activitile de audit.
3. Fiecare entitate poate adopta o metodologie proprie pentru implementarea propriului proces de
management al riscurilor. Auditorul intern trebuie s se asigure c grupurile sau indivizii implicai n
guvernarea corporativ , inclusiv Consiliul i comitetul de audit, neleg aceast metodologie. Pentru a
formula o opinie n ceea ce privete adecvarea n general a proceselor de management al riscurilor,
auditorii interni trebuie de asemenea s se asigure c procesul de management al riscurilor
ndeplinete cinci obiective principale. Cele cinci obiective principale ale procesului de management al
riscurilor sunt urmtoarele:
- riscurile care decurg din strategiile i activitile entitii sunt identificate i ierarhizate;
- conducerea i Consiliul au stabilit un nivel al riscurilor acceptabil pentru entitate, incluznd
riscurile acceptate pentru punerea n aplicare a planurilor strategice ale entitii;
- activiti de atenuare a riscurilor sunt create i implementate n vederea reducerii sau gestionrii
riscurilor, innd cont de pragurile considerate acceptabile de ctre conducere i Consiliu;
- o monitorizare permanent a activitilor este efectuat n vederea unei reevaluri periodice a
riscurilor i a eficacitii controalelor care permit gestionarea acestora;
- rapoarte privind rezultatele proceselor de management al riscurilor sunt transmise periodic
Consiliului i conducerii. Procesele de guvernare corporativ trebuie s furnizeze o prezentare
periodic a riscurilor, a strategiilor de risc i a controalelor, destinat celor implicai .
_____________________________________________________________________________________
74
4. Auditorii interni trebuie s in cont de diferenele semnificative care pot exista ntre entiti n ceea ce
privete practicile de management al riscurilor. Procesele de management al riscurilor trebuie s fie
concepute n funcie de natura activitilor entitii. In funcie de importana i complexitatea acestor
activiti, procesele de management al riscurilor pot:

- s fie formalizate sau informale;
- s aib la baz o abordare cantitativ sau subiectiv;
- s fie integrate n diferitele uniti ale entitii sau s fie centralizate la nivelul corporaiei .
Procesul fiecrei entiti trebuie s fie adaptat culturii sale, stilului su de management i obiectivelor
sale. De exemplu, recurgerea de ctre entitate la titluri derivate sau la alte produse perfecionate de pe
pieele de capital perfecionate presupune utilizarea unor instrumente cantitative de management al
riscurilor. Entitile mai mici, cu o structur mai simpl pot n schimb s analizeze profilul de risc al
entitii i s ia n mod periodic msuri n cadrul unui comitet informal de risc . Auditorul trebuie s se
asigure c metodologia utilizat este exhaustiv i adaptat naturii activitilor entitii. Pentru a
formula o opinie n ceea ce privete procesele, auditorii interni trebuie s dispun de dovezi pentru a
se asigura c cele cinci obiective principale ale proceselor de management al riscurilor sunt ndeplinite
corespunztor. Pentru a obine aceste elemente, auditorul intern poate s recurg la procedurile de
audit descrise mai jos.
5. Cercetarea i examinarea documentelor de referin i a informaiilor de ordin general privind metodele
de management al riscurilor pentru a aprecia dac procesul adoptat de entitate este corespunztor i se
bazeaz pe cele mai bune practici din acest sector de activitate.
- Cercetarea i analizarea informaiilor i referinelor privind sectorul de activitate al entitii,
privind evoluia recent i tendinele, precum i oricare alt surs corespunztoare de informaii,
n vederea determinrii riscurilor care ar putea afecta organizaia i a procedurilor de control
utilizate n scopul gestionrii, monitorizrii i reevalurii acestor riscuri.
- Examinarea politicilor entitii precum i a proceselor verbale ale deliberrilor Consiliului i
comitetului de audit pentru a determina strategiile entitii, abordarea de ctre aceasta a
managementului riscurilor, expunerea entitii la risc i acceptarea riscurilor de ctre aceasta.
_____________________________________________________________________________________
75
- Examinarea rapoartelor de evaluare a riscurilor ntocmite anterior de conducere, de auditorii
interni sau externi i, dup caz, de alte surse care ar fi putut emite astfel de rapoarte .
- Organizarea de ntlniri cu responsabilii operaionali i cu managerii lor n vederea stabilirii
obiectivelor fiecrei ramuri de activitate, a riscurilor corespunztoare i a msurilor luate de
conducere privind monitorizarea, controlul i atenuarea riscurilor.
- Asimilarea de informaii n vederea evalurii, n mod independent, a eficacitii procesului de
monitorizare, de comunicare i de atenuare a riscurilor i a activitilor de control
corespunztoare.
- Verificarea transmiterii ctre nivelul ierarhic corespunztor a informaiilor sau a rapoartelor
referitoare la monitorizarea riscurilor.
- Verificarea difuzrii conform modalitilor i termenelor corespunztoare a rapoartelor privind
rezultatele managementului riscurilor.
- Asigurarea c analiza riscurilor efectuate de conducere i a msurilor luate n vederea soluionrii
problemelor ridicate n cadrul procesului de management al riscurilor au un caracter exhaustiv, i
propunerea de soluii de mbuntire a situaiei.
- Aprecierea eficacitii procesului de autoevaluare adoptat de conducere, pe baza observaiilor i
testelor privind procedurile de monitorizare i de control care testeaz exactitatea informaiilor
folosite n cadrul activitilor de monitorizare i pe baza altor tehnici corespunztoare.
- Examinarea eventualelor puncte slabe n tacticile de management al riscurilor i, dup caz,
analizarea acestora mpreun cu conducerea, comitetul de audit i Consiliul. Dac auditorul
estimeaz c managementul a acceptat un nivel de risc incompatibil cu strategia i politicile
entitii privind gestionarea riscurilor, sau considerat inacceptabil pentru entitate, auditorul
trebuie s fac referire la Norma 2600 privind acceptarea riscurilor de ctre conducere, i la orice
ndrumare suplimentar .
-
-
-

_____________________________________________________________________________________
76
2120
Controlul
Auditul intern trebuie sa ajute organizaia s menin
un mecanism de control corespunztor evalund eficacitatea
i eficiena sa i ncurajnd mbuntirea sa continu.

2120.A1
Pe baza rezultatelor evalurii riscurilor,
auditul intern trebuie s evalueze relevana i eficacitatea
mecanismului de control privind guvernarea entitii ,
operaiunile i sistemele de informare ale acesteia .
Aceast evaluare trebuie s cuprind urmtoarele aspecte:
credibilitatea i integritatea informaiilor financiare i operaionale;
protecia patrimoniului;
respectarea legilor, a regulamentelor i a contractelor.

MPA 2120.A1 - 1
Evaluarea proceselor de control intern i raportarea acestora
Se recomand ca auditorii interni s in cont de urmtoarele sugestii n evaluarea eficacitii
mecanismului de control al unei entiti i n raportarea rezultatelor acestei evaluri conducerii generale
i Consiliului. Informaiile colectate n decursul exerciiului, n cadrul activitilor de audit, trebuie s fie
suficiente pentru a permite evaluarea mecanismului de control i formularea unei opinii.
_____________________________________________________________________________________
77
. Una din misiunile Consiliului este stabilirea i meninerea proceselor de guvernare a ntreprinderii i
obinerea asigurrii c procesele de management al riscurilor i de control sunt eficace. Rolul direciei
generale este acela de a superviza stabilirea , gestionarea i evoluarea acestor procese. Acest sistem de
control, cu multiple faete, are scopul de a ajuta pe angajaii entitii n gestionarea riscurilor i
ndeplinirea obiectivelor fixate i comunicate n cadrul entitii. Mai exact, aceste procese de control
trebuie s asigure ndeplinirea urmtoarelor condiii:
informaiile financiare i operaionale sunt credibile i ndeplinesc criteriul de integritate;
operaiunile sunt realizate n mod eficace i eficient;
activele sunt protejate ;
aciunile ntreprinse i deciziile luate de entitate sunt n conformitate cu legea, reglementrile i
contractele.
2. Managerii entitii trebuie s evalueze procesele de control adoptate n domeniile de care rspund .
Auditorii interni i cei externi ofer diverse niveluri de asigurare n ceea ce privete gradul de eficacitate
a proceselor de management al riscurilor i de control puse n practic n respectivele activiti i
segmente ale entitii.
3. Direcia general i comitetul de audit consider n general activitile ndeplinite i informaiile
colectate de responsabilul auditului intern n cursul exerciiului ca fiind suficiente pentru a-i permite s
formuleze o opinie cu privire la relevana i eficacitatea proceselor de control. Responsabilul auditului
intern trebuie s comunice conducerii generale i comitetului de audit aceast opinie de ansamblu cu
privire la sistemul de control al entitii. Un numr din ce n ce mai mare de entiti includ, n rapoartele
anuale sau periodice destinate terilor, un raport al conducerii cu privire la sistemul de control intern i
la procesul de management al riscurilor.
4. Responsabilul auditului intern trebuie s elaboreze un proiect de plan de audit pentru anul urmtor,
care s asigure c elementele colectate vor permite evaluarea eficacitii proceselor de control. Acest
plan trebuie s ia n considerare necesitatea de a strnge , n cadrul misiunilor de audit sau a celorlalte
proceduri , informaii pertinente cu privire la toate segmentele i unitile operaionale importante. Se
_____________________________________________________________________________________
78
recomand de asemenea s se acorde o atenie deosebit operaiunilor afectate n mare msur de
modificrile recente sau prevzute care pot aprea ca rezultat al pieei, condiiilor de investiie, de
achiziie i de cesiune sau restructurare, i al noilor asocieri . Planul propus trebuie s fie suficient de
flexibil pentru a permite o actualizare n cursul anului, n cazul n care strategiile de conducere sau
mediul exterior evolueaz sau n cazul reajustrii previziunilor legate de ndeplinirea obiectivelor
entitii.
5. Odat cu elaborarea proiectului planului de audit, responsabilul auditului intern trebuie s in cont de
activitile care vor fi efectuate de teri. Pentru a minimaliza redundana i lipsa de eficien se
recomand s se ntocmeasc un plan de audit al exerciiului viitor innd cont de activitile planificate
de auditorii externi i de activitile planificate sau realizate recent de ctre conducere n cadrul
evalurii proceselor de control i de mbuntire a calitii.
6. In fine, responsabilul auditului intern trebuie s evalueze aria de aplicabilitate planul propus i din dou
perspective: planul trebuie adaptat la toate entitile entitii i trebuie s se aplice pentru diferite tipuri
de tranzacii i de activiti de afaceri . Dac aria de aplicabilitate a planului de audit propus nu permite
formularea unei asigurri cu privire la procesele de control din entitate, responsabilul auditului intern
trebuie s informeze conducerea general i comitetul de audit cu privire la aceste lipsuri, la cauzele
lor i consecinele probabile.
7. Provocarea pentru auditul intern const n evaluarea eficacitii dispozitivului de control din entitate pe
baza numeroaselor evaluri individuale. Aceste evaluri provin, n mare parte, din misiunile de audit
intern, din autoevalurile efectuate de conducere i din activitile auditorilor externi. Pe msur ce
misiunile se deruleaz, auditorii interni trebuie s comunice observaiile lor celor responsabili, astfel
nct s poat fi luate rapid msuri pentru a remedia punctele slabe sau inadvertenele constatate sau
pentru a le atenua consecinele.
8. Evaluarea eficacitii proceselor de control dintr-o entitate trebuie s in cont de urmtoarele trei
elemente cheie:
Activitile de audit i informaiile adunate n cadrul evalurilor au scos n eviden inadvertenele
sau punctele slabe semnificative?
In cazul unui rspuns pozitiv, s-au fcut corecturile sau mbuntirile necesare dup constatarea
_____________________________________________________________________________________
79
anomaliilor sau a punctelor slabe?
Aceste inadvertene sau puncte slabe i consecinele lor sunt generalizate i determin astfel un grad
de risc inacceptabil?
Existenta temporar a unei inadvertene sau a unui punct slab semnificativ nu nseamn neaprat c
aceast inadverten sau punct slab este generalizat i c atrage dup sine un risc rezidual
inacceptabil. Natura inadvertenelor sau a punctelor slabe constatate, caracterul lor restrns sau
generalizat, precum i gravitatea consecinelor sau a expunerilor la risc , reprezint tot atia factori de
luat n considerare pentru a determina dac este pus sub semnul ntrebrii problema eficacitii
ansamblului mecanismului de control i dac exist riscuri inacceptabile. Responsabilul auditului intern
trebuie s prezinte conducerii generale i comitetului de audit, n general o dat pe an, un raport cu
privire la starea proceselor de control din entitate.
9. Acest raport trebuie s sublinieze importana rolului jucat de procesele de control n ndeplinirea
obiectivelor entitii. Trebuie de asemenea s conin principalele activiti realizate de auditul intern i
alte surse importante de informaii pe care se bazeaz raionamentul general . Partea din raport
destinat opiniei este n general formulat printr-o asigurare negativ; acest lucru nseamn c
activitile de audit efectuate pentru perioada n cauz i celelalte informaii colectate nu au scos n
eviden punctele slabe semnificative i generalizate ale proceselor de control. In cazul unei
inadvertene sau al unui punct slab semnificativ i generalizat, aceast parte a raportului poate conine
rezerve sau o opinie nefavorabil, n funcie de gravitatea prevzut a riscului rezidual i de impactul
acestuia asupra obiectivelor entitii.
10. Membrii conducerii i ai comitetului de audit sunt principalii destinatari ai raportului anual. Dat fiind
faptul c ei abordeaz diferit auditul i activitatea, raportul anual al responsabilului auditului intern
trebuie s fie clar, concis i bine documentat. Trebuie s fie conceput i redactat astfel nct s fie uor
de citit i s satisfac nevoia de informarea destinatarilor. Raportul va fi cu att mai util cu ct va
cuprinde i principalele recomandri i mbuntiri propuse, precum i informaii despre problemele de
actualitate (de exemplu, riscurile aferente tehnologiilor i siguranei informaiilor), despre tipul de
inadvertene sau puncte slabe constatate n entitate, i despre dificultile pe care le poate ridica
respectarea legilor sau a reglementrilor.
_____________________________________________________________________________________
80
11. Exist n mod vizibil un "decalaj" n ceea ce privete efectele ateptate de la activitile de audit intern
n materie de evaluare i asigurare a strii proceselor de control. Acest decalaj vizeaz printre altele
aspiraiile conducerii i ale comisiei de audit care, de regul , se ateapt la prestri de audit intern cu
o valoare sporit i pe acelea mai modeste ale auditorului intern care cunoate limitele practice ale ariei
de aplicabilitate a auditului i care nu e foarte sigur c a ntrunit toate dovezile suficiente pentru a
justifica un raionament clar i obiectiv. Responsabilul auditului intern trebuie s acorde atenie
decalajului care poate exista ntre presupunerile cititorului raportului i realitatea exerciiului care a fost
executat. Acest raport trebuie utilizat ca o alt modalitate de a te adresa unor modele mentale diferite
i de a sugera o mbuntire a capacitilor auditului intern sau diminuarea constrngerilor care
duneaz eficienei.

MPA2120.A1 -2
Utilizarea autoevalurii controalelor pentru a evalua
relevana proceselor de control

Managerii i auditorii interni pot adopta o metodologie fondat pe autoevaluarea controalelor (CSA) pentru
a se asigura c procesele de management al riscurilor i de control din entitate sunt adecvate . Auditorii
interni pot apela la programe de autoevaluare a controalelor pentru a strnge informaiile relevante cu
privire la riscuri i controale, pentru a axa planul de audit pe riscurile importante i pe elementele
excepionale, i pentru a consolida colaborarea cu directorii operaionali i grupurile de lucru.
Respectarea Modalitilor Practice este facultativ.
1. Conducerea trebuie s supervizeze stabilirea gestionarea i evaluarea proceselor de management al
riscurilor i de control. Directorii operaionali sunt nsrcinai tocmai cu evaluarea riscurilor i
controalele existente n unitile lor. Auditorii interni i auditorii externi ofer diferite grade de asigurare
_____________________________________________________________________________________
81
n ceea ce privete eficiena proceselor de management al riscurilor i de control din entitate. Ar fi util
ca managerii i auditorii s foloseasc tehnici i instrumente axate pe evaluarea proceselor de
management al riscurilor i de control existente, precum i pe identificarea mijloacelor de sporire a
eficacitii acestora.
2. Punerea n practic a unei metodologii fondate n principal pe studiile de autoevaluare i pe animarea
de ateliere de lucru (CSA sau Autoevaluarea controalelor) constituie pentru manageri i auditorii intern
un mijloc util i eficace de a colabora la evaluarea procedurilor de control. In principiu, luarea n
considerare a obiectivelor sau a riscurilor face parte integrant din autoevaluarea controalelor (CSA)
care uneori este denumit "autoevaluarea controalelor i a riscurilor" (CRSA). Utilizatorii CSA folosesc
diferite tehnici, ns marea parte a programelor implementate prezint anumite caracteristici i
obiective comune. 0 entitate care practic autoevaluarea dispune de un proces formalizat i documentat
graie cruia conducerea i grupurile de lucru care sunt direct implicate ntr-o unitate operaional, un
segment sau un proces, pot participa n mod structurat la urmtoarele operaiuni:
identificarea riscurilor i expunerilor la risc existente;
evaluarea proceselor de control care permit atenuarea sau gestionarea acestor riscuri;
elaborarea de planuri de aciuni prin care s se aduc riscurile la niveluri acceptabile;
estimarea probabilitii ca obiectivele entitii s fie atinse.
3. Procesele de autoevaluare pot prezenta urmtoarele avantaje:
personalul unitilor operaionale a dobndit instruire i experien graie crora poate evalua
riscurile, poate asocia procesele de control i managementul acestor riscuri i poate spori ansele de
ndeplinire a obiectivelor entitii;
controalele informale numite "soft" sunt mai uor de identificat i de evaluat;
membrii personalului sunt motivai s-i "nsueasc" procesele de control existente n unitile lor,
iar msurile de corectare luate de grupurile de lucru sunt uneori mai eficace i mai rapide;
ntreg lanul obiective-riscuri-controale din entitate face obiectul unei monitorizri mai bune i al
unor mbuntiri continue;
auditorii interni intervin n procesul de autoevaluare i ajung s-l cunoasc foarte bine, fie n calitate
de moderatori , secretari sau raportori ai grupurilor de lucru, fie ca traineri n prezentarea
_____________________________________________________________________________________
82
conceptelor de risc i control care stau la baza programului de autoevaluare. Astfel, ei ajung s
cunoasc acest proces foarte bine;
auditul intern este mai bine informat despre procesele de control din entitate. Prin urmare poate
exploata aceste informaii i aloca, n primul rnd, puinele sale resurse examinrii unitilor sau
segmentelor ale cror controale prezint puncte slabe semnificative sau prezint riscuri reziduale
importante;
conducerea, avnd o responsabilitate mrit n ceea ce privete procesele de management al
riscurilor i de control din entitate, va fi mai puin tentat s delege aceste responsabiliti
specialitilor, adic auditorilor;
principalul rol al auditului intern va consta, ca i n trecut, n validarea procesului de evaluare cu
ajutorul testelor i n formularea unei opinii profesionale cu privire la relevana i eficacitatea tuturor
sistemelor de management al riscurilor i de control.
4. Abordarea adoptat n cadrul unui program de autoevaluare a controalelor variaz mult n funcie de
sectorul de activitate al entitii, de poziia, structura i cultura sa organizaional, de gradul de
autonomie al personalului su, de stilul de conducere i modalitatea de formulare a strategiilor i a
politicilor , ceea ce ne face s credem c succesul ntlnit de un anumit tip de program de autoevaluare
ntr-o anumit entitate nu poate fi ntlnit i n alt parte. Procesul de autoevaluare trebuie personalizat
i adaptat la caracteristicile fiecrei entiti. Trebuie deci s se adopte o abordare dinamic i aceasta
s fie modificat n funcie de evoluia entitii.
5. Programele de autoevaluare se prezint, n principal, sub urmtoarele trei forme: ateliere de lucru n
echip, anchete i analize i studii realizate de ctre conducere. Entitile folosesc adesea o combinaie
ntre abordri.
6. In cadrul atelierelor de lucru se adun informaiile colectate de grupurile de lucru care reprezint, la
diferite niveluri, unitatea sau segmentul n cauz. Atelierul poate fi axat pe obiective, riscuri, controale
sau procese.
atelierele axate pe obiective caut n principal cel mai bun mijloc pentru ndeplinirea unui obiectiv al
entitii. Grupul ncepe prin identificarea controalelor existente care concureaz la ndeplinirea
obiectivului apoi determin riscurile reziduale. Scopul atelierului este de a aprecia dac procedurile
de control sunt eficace i dac permit meninerea riscurilor reziduale la un nivel acceptabil.
_____________________________________________________________________________________
83
Atelierele axate pe riscuri ncearc n primul rnd s identifice riscurile legate de ndeplinirea unui
obiectiv. Atelierul ncepe prin ntocmirea listei tuturor obstacolelor, ameninrilor i riscurilor care ar
putea mpiedica ndeplinirea unui obiectiv, apoi examineaz procedurile de control i verific dac
acestea sunt suficiente pentru gestionarea principalelor riscuri. Scopul atelierului este acela de a
determina riscurile reziduale semnificative. Acest tip de atelier vizeaz ntregul lan obiective-riscuri-
controale.
Atelierele axate pe controale studiaz n primul rnd buna funcionare a controalelor existente. Acest
tip de atelier difer de primele dou deoarece moderatorul grupului identific principalele riscuri i
controale nainte de nceperea atelierului. In timpul atelierului, grupul de lucru apreciaz msura n
care controalele contribuie la atenuarea riscurilor i la ndeplinirea obiectivelor. Scopul atelierului
este acela de a analiza diferena ntre eficacitatea real a controalelor i eficacitatea ateptat de
conducere.
Atelierele axate pe procese vizeaz n primul rnd anumite activiti care fac parte dintr-un
ansamblu de procese. Procesele constau n general ntr-o serie de activiti care sunt legate ntre ele
i care se desfoar de la nceput pn la sfrit, cum ar fi diferitele etape ale unui ciclu de achiziii,
dezvoltarea de produse sau generarea de venituri. Acest tip de atelier vizeaz n general
identificarea obiectivelor ntregului proces i diversele etape intermediare. Scopul acestui atelier este
de a evalua, actualiza, valida, mbunti i chiar accelera ansamblul de procese i activitile care l
compun. Acest tip de atelier poate da natere la o analiz mai ampl dect abordarea axat pe
controale deoarece acoper mai multe obiective ale procesului i susine eforturile efectuate de altfel
de ctre conducere n cadrul operaiunilor precum retehnologizarea mbuntirea calitii, i
proiecte de mbuntire continu a proceselor.
7. Anchetele sunt realizate cu ajutorul unui chestionar la care n general trebuie rspuns cu da sau nu,
ntrebrile fiind formulate cu grij astfel nct s fie uor de neles. Anchetele sunt adesea utilizate
atunci cnd persoanele ce trebuie consultate sunt prea multe sau prea rspndite pentru a participa la
un atelier. Ele sunt folosite i atunci cnd cultura entitii nu favorizeaz dialogul sincer i deschis n
cadrul atelierelor sau dac managementul dorete s economiseasc timp i bani n procesul de
colectare a informaiilor.

_____________________________________________________________________________________
84
8. Forma de autoevaluare denumit "analize realizate de conducere" cuprinde majoritatea celorlalte
abordri adoptate de grupurile de conducere pentru a strnge informaii cu privire la anumite procese,
anumite activiti de management al riscurilor sau anumite proceduri de control. Studiul are adesea ca
scop emiterea, n termene rezonabile de timp, a unei opinii clare cu privire la anumite caracteristici ale
procedurilor de control. Acest lucru se realizeaz n principal de ctre o echip din postul respectiv sau
care joac rolul de suport. Auditorul intern poate sintetiza aceast analiz i alte informaii pentru a-i
mbunti cunotinele cu privire la controale i a le mprti i responsabililor unitilor operaionale
sau funcionale n cadrul programului de autoevaluare a controalelor din entitate.
9. Toate programele de autoevaluare se bazeaz pe faptul c membrii conducerii i ai grupurilor de lucru
cunosc bine conceptele de risc i control i c le utilizeaz pentru a comunica. n timpul instruirilor,
entitile folosesc adesea un cadru, de control precum modelele COSO i COCO, destinat facilitrii bunei
derulri a discuiilor n cadrul atelierelor i verificrii caracterului exhaustiv al ansamblului procesului.
10. Ca regul general, atelierele au ca rezultat emiterea unui raport redactat n mare parte n timpul
discuiilor. Se va realiza un consens cu privire la diferitele subiecte de discuie, iar grupul va examina
proiectul de raport nainte de sfritul ultimei sesiuni. Anumite programe cuprind un sistem de vot
anonim care asigur libera circulaie a informaiilor i a prerilor n timpul atelierelor i care faciliteaz
rezolvarea divergenelor de puncte de vedere i de interese.
11. Auditul intern se implic foarte mult n anumite programe de autoevaluare a controalelor. El poate s
iniieze, s conceap, s aplice, i de fapt s i nsueasc procesul, s coordoneze formarea, s pun
la dispoziie moderatorii , secretarele i raportorii, i s coordoneze participarea conducerii i a
grupurilor de lucru. n cadrul altor programe, auditul intern i reduce participarea la minimum i nu
intervine dect n calitate de parte interesat i consultant pentru ntreg procesul, pentru a verifica n
ultim instan concluziile echipelor. In marea majoritate a cazurilor, implicarea auditului intern n
programele de autoevaluare a controalelor se situeaz ntre aceste dou extreme. Cu ct este mai
important participarea auditului intern la programele de autoevaluare i la discuiile organizate n
ateliere, cu att responsabilul auditului intern trebuie s se asigure de obiectivitatea echipei de audit
intern, s ia msuri n acest sens (dac este necesar), i s mreasc numrul de teste efectuate
pentru a se asigura c opinia final este obiectiv i imparial Conform Normei 1120: 'Auditorii interni
trebuie s adopte o atitudine imparial i neprtinitoare i s evite conflictele de interese".
_____________________________________________________________________________________
85
12. Existena unui program de autoevaluare a controalelor consolideaz rolul tradiional al auditului intern
deoarece i permite acestuia s asiste conducerea n exercitarea responsabilitilor ei, mai ales n ceea
ce privete implementarea i meninerea procesului de management al riscurilor i de control i n ceea
ce privete evaluarea sistemului. In cadrul unui astfel de program, auditul intern, unitile operaionale
i funcionale coopereaz n scopul de a mbunti calitatea informaiilor privind funcionarea
proceselor de control i importana riscurilor reziduale.
13. Dei particip la programul de autoevaluare a controalelor n calitate de moderator i de expert,
auditul intern constat deseori c acest program i permite s reduc eforturile necesare pentru
culegerea informaiilor privind procedurile de control i s elimine anumite teste. Un program de
autoevaluare trebuie s aib ca efect extinderea sferei de evaluare a proceselor de control n cadrul
entitii, mbuntirea calitii msurilor de corectare luate de responsabilii proceselor i axarea
activitilor de audit intern pe examinarea proceselor cu un grad mare de risc i a situaiilor neobinuite.
In acest caz, poate proceda la validarea concluziilor care rezult din programul de autoevaluare, poate
s efectueze sinteza informaiilor care provin din diferitele componente ale entitii i s formuleze, n
atenia conducerii i a comitetului de audit, o opinie de ansamblu privind eficacitatea controalelor.

_____________________________________________________________________________________
86

2120.A4
Sunt necesare criterii adecvate pentru a evalua mecanismul de control.
Auditorii interni trebuie sa stabileasc n ce msur conducerea a
definit criterii adecvate pentru a aprecia daca obiectivele i scopurile
au fost atinse. Dac aceste criterii sunt adecvate, auditorii interni
trebuie s le utilizeze n propria evaluare Daca sunt
neadecvate, auditorii interni trebuie s colaboreze cu conducerea
pentru a elabora criterii corespunztoare de evaluare.
MPA2120.A4-1
Criterii de control
Se recomand ca auditorii interni s in cont de urmtoarele sugestii atunci cnd evalueaz criteriile de
control. Prezenta MPA nu are drept scop expunerea exhaustiv a punctelor ce trebuie examinate. Ea are ca
obiect doar recomandarea de a include un ansamblu de elemente.
1. Auditorii interni trebuie s evalueze obiectivele i previziunile operaionale fixate i s determine dac
sunt acceptabile i dac pot fi respectate. Dac obiectivele i criteriile de apreciere sunt imprecise, este
necesar s se apeleze la interpretri oficiale. Dac auditorii interni sunt pui n situaia de a interpreta
sau alege normele operaionale, trebuie s obin acordul clientului misiunii n ceea ce privete criteriile
ce trebuie utilizate pentru a msura rezultatele operaionale.

_____________________________________________________________________________________
87
2130
Guvernarea entitii
Auditul intern trebuie s contribuie la procesul de guvernare a
entitii prin evaluarea i mbuntirea procesului prin care
(1) se definesc i se comunic valorile i obiectivele, (2) se urmrete
realizarea obiectivelor, (3) se raporteaz i (4) se pstreaz valorile.
2130.A1
Auditorii interni trebuie s verifice operaiunile i
proiectele pentru a asigura compatibilitatea acestora cu valorile entitii.
MPA 2130 - 1
Rolul auditului intern l al auditorului intern n ceea ce privete
modelul etic
Auditorii interni trebuie s in cont de urmtoarele puncte pentru a-i defini rolul n ceea ce privete
modelul etic al unei entiti. Acest rol variaz n funcie de existena sau absena unei culturi etice n
entitate i n funcie de gradul su de dezvoltare. Prezenta MPA nu are drept scop descrierea tuturor
procedurilor necesare pentru a ndeplini o misiune complet de asigurare sau de consultan/consiliere cu
privire la modelul etic al unei entiti.
1. Prezenta MPA subliniaz importana culturii organizaionale n crearea unui mediu etic i conine
sugestii cu privire la rolul pe care auditorii interni l pot juca n mbuntirea acestui mediu. Aceast
MPA:
Descrie natura procesului de guvernare a entitii ;
Stabilete o legtur ntre acest proces i cultura entitii n ceea ce privete etica;
Precizeaz c orice persoan care are legtur cu organizaia, i n special auditorii interni,
_____________________________________________________________________________________
88
trebuie s promoveze i s apere etica;
Enumer caracteristicile unui model etic consolidat.
2. O Entitate poate adopta diverse forme juridice, structuri, strategii i proceduri pentru a se asigura c:
respect legislaia i reglementrile n vigoare;
rspunde normelor general admise n lumea de afaceri, principiilor de etic i ateptrilor ale
societii civile;
funcioneaz conform interesului general i consolideaz interesele prilor sale implicate, att pe
termen lung ct i pe termen scurt;
informeaz n mod exhaustiv i corect acionarii, instanele de reglementare, celelalte pri implicate
i publicul i i justific deciziile, aciunile, gestiunea i rezultatele sale.
Mijloacele folosite de o entitate pentru a ndeplini aceste patru obiective corespund conceptului general
de proces de guvernare a entitii Eficacitatea guvernrii entitii depinde de responsabilitatea organului
de conducere al acesteia (cum ar fi Consiliul sau comitetul de conducere) i de conducerea general.
3. Practicile adoptate de o entitate n ceea ce privete guvernarea sa reprezint rezultatul unei culturi
unice i n continu evoluie care influeneaz rolurile, condiioneaz comportamentele, determin
obiectivele i strategiile, msoar performanele i definete responsabilitile. Aceast cultur
influeneaz valorile, rolurile i comportamentele dictate i tolerate de entitate i condiioneaz
importana, grija sau indiferena pe care o confer exercitrii responsabilitilor sale fa de societate.
Astfel, eficacitatea procesului de guvernare depinde n mare msur de cultura organizaional.
4. Toate persoanele care au legtur cu organizaia sunt ntr-o anumit msur responsabile de modelul
su Dat fiind complexitatea i rspndirea proceselor de decizie n majoritatea entitilor, fiecare
persoan trebuie ncurajat s promoveze i s apere etica, indiferent dac acest rol i-a fost delegat
oficial sau neoficial. Codurile de conduit, precum i rapoartele referitoare la strategia i politicile
entitii, constituie declaraii importante n care organizaia precizeaz valorile i scopurile sale,
comportamentul pe care-l ateapt din partea personalului i strategiile adoptate pentru a instaura un
model compatibil cu responsabilitile care i revin pe plan juridic, etic i cu privire la societate. Un
numr din ce n ce mai mare de entiti au desemnat un responsabil al crui rol este de a consilia
conducerea , managerii i ceilali membri ai personalului i de a fi un exemplu n cadrul entitii.
_____________________________________________________________________________________
89
5. Auditorii interni i auditul intern trebuie s contribuie activ la susinerea modelului etic n cadrul entitii
fiind un exemplu de ncredere i o integritate moral sporit; de asemenea dispun de competenele
necesare pentru promovarea eficient a unei conduite morale . Acetia au capacitatea de a determina
conducerea , managerii precum i pe ceilali angajai din cadrul entitii s respecte obligaiile care le
revin att pe plan juridic ct i n ceea ce privete etica sau responsabilitile fa de societate
6. Auditul intern poate promova i poate apra etica n diferite moduri. Poate, , s numeasc din rndul
colaboratorilor si un responsabil cu etica (mediator, responsabil cu conformitatea , consilier al
conducerii sau expert n domeniul eticii), un membru al comitetului intern de etic, sau o persoan
nsrcinat cu evaluarea climatului etic din entitate. n anumite cazuri, se poate ntmpla ca exercitarea
funciilor responsabilului cu etica s duneze independenei auditului intern.
7. Serviciul de audit intern trebuie, cel puin, s evalueze periodic climatul etic din cadrul entitii i
eficacitatea strategiilor, a tacticilor, a comunicrii i a altor procese adoptate pentru a atinge nivelul
dorit de conformitate cu legea i cu normele de etic. Auditorii interni trebuie s aprecieze realitatea
urmtoarelor elemente, care reprezint semnul unui model etic puternic i eficace :
existena unui cod oficial de conduit, clar i uor de neles, a declaraiilor i politicilor aferente
(n special proceduri referitoare la fraud i la corupie), i a altor elemente care exprim
aspiraiile entitii;
demonstraii frecvente i dovezi ale comportamentului etic exemplar al conductorilor influeni ai
entitii;
strategii explicite care au ca scop susinerea i consolidarea modelului etic prin programe
periodice care permit actualizarea i rennoirea angajamentului entitii n ceea ce privete etica;
existena mai multor modaliti uor de accesat ce permit raportarea , cu maxim
confidenialitate, a presupuselor nerespectri ale codului de conduit i ale politicilor , precum i a
altor dovezi de conduit necorespunztoare;
declaraiile periodice ale angajailor, furnizorilor i clienilor care atest c acetia sunt informai
n privina regulilor etice care trebuie respectate n tranzaciile care implic organizaia;
definirea clar a responsabilitilor ce permit asigurarea c implicaiile etice sunt evaluate, c
sfaturile sunt oferite cu maxim confidenialitate, c pretinsele nclcri fac obiectul unei anchete
i sunt raportate corect;
_____________________________________________________________________________________
90
facilitarea accesului la o formare profesional ce permite tuturor colaboratorilor s promoveze i
s apere etica;
practici pozitive ale personalului, care i ncurajeaz s contribuie la instaurarea unui climat etic n
cadrul entitii;
anchete periodice n rndul angajailor, furnizorilor i clienilor pentru a aprecia climatul etic din
cadrul entitii;
examinri periodice ale proceselor formale i informale ale entitii care ar putea provoca presiuni
i abateri de natur s submineze modelul etic ;
verificarea periodic a referinelor i a evoluiei profesionale a personalului n curs de recrutare, n
special prin teste de integritate, controale cu privire la consumul de droguri i alte msuri
similare.

_____________________________________________________________________________________
91

PROCEDURI DE AUDIT INTERN PRIVIND RISCURILE

6. PROCEDURA IDENTIFICAREA I ANALIZA RISCURILOR

Scopul:
Procedura urmrete identificarea riscurilor specifice structurii/activitii auditate.
Evaluarea controlului intern din cadrul structurii/activitii auditate

Premise:
Aprecierea unui risc se realizeaz n funcie de:
- natura i specificul activitii/funciei auditate;
- calitatea controlului intern;
- gravitatea consecinelor directe i indirecte ale producerii riscului;
- probabilitatea producerii riscului.
Riscurile poteniale impun recomandri de audit, aceste riscuri fiind identificate pe baza
concluziilor misiunilor de audit anterioare.

_____________________________________________________________________________________
92

Procedura:

Auditorii 1. realizeaz, pe baza informaiilor culese, lista activitilor auditabile

2. pentru fiecare activitate auditabil stabilesc sarcini elementare;
3. identific riscurile asociate pentru fiecare sarcin elementar;
4. precizeaz criteriile de evaluare a riscurilor;
5. evalueaz riscurile identificate;
6. stabilesc obiectivele de auditat ca urmare a riscurilor identificate
7. precizeaz dispozitivele specifice fiecrei sarcini (obiective,
mijloace, sistem informaional);
8. ntocmesc tabelul Analiza riscurilor (anexa nr. 5).

eful Departamentului 9. organizeaz o edin de analiz a obiectivelor de audit, a
de audit intern riscurilor i criteriilor de evaluare a acestora. Dup caz, poate
dispune reevaluarea obiectivelor i riscurilor identificate;
10. aprob tabelul Analiza riscurilor.

Auditorii 11. rein tabelul Analiza riscurilor n dosarul misiunii de audit intern.

_____________________________________________________________________________________
93

ANEXA Nr. 5
la proceduri

TABEL ANALIZA RISCURILOR

Clasificarea Descrierea Strategia ClasificareaStrategii
Risc riscului Probabilitate Impact consecinei existent riscului necesare
rezidual

Suport Management Risc

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Suport Management Risc

Încărcat de

Drepturi de autor:

Formate disponibile

MANAGEMENTUL RISCULUI I AUDITUL INTERN

S-ar putea să vă placă și