Sunteți pe pagina 1din 21

STANDARDUL NAIONAL DE AUDIT 400

Evaluarea riscului i controlului intern


Introducere
1. Prezentul Standard Naional de Audit (SNA) este elaborat n baza Standardului Internaional de
Audit 400 Evaluarea riscului i controlul intern (ISA 400 Risk Assessments and Internal Control)
aprobat de Federaia internaional a contabililor (IFAC) n redacia anului 1999.
Obiectiv
2. Obiectivul prezentului standard const n stabilirea normelor i recomandrilor privind obinerea
nelegerii sistemelor contabil i de control intern, precum i privind riscul de audit i componentele lui
care includ: riscul inerent, riscul legat de control i riscul de nedescoperire.
3. Auditorul trebuie s obin o nelegere a sistemelor contabil i de control intern suficient
pentru planificarea auditului i elaborarea unei abordri eficiente de exercitare a auditului.
Auditorul trebuie s aplice aprecierea profesional la evaluarea riscului de audit i la elaborarea
procedurilor de audit n scopul reducerii riscului pn la un nivel acceptabil sczut.
4. Riscul de audit - riscul exprimrii de auditor a opiniei de audit necorespunztoare atunci cnd
rapoartele financiare conin denaturri semnificative. Riscul de audit include trei componente: riscul
inerent, riscul legat de control i riscul de nedescoperire.
5. Riscul inerent - predispoziia soldului unui cont sau unui grup de tranzacii ctre denaturri,
care pot fi semnificative n mod separat sau cumulate cu denaturrile altor solduri sau grupuri de
tranzacii, n condiiile absenei politicii i procedurilor respective de control intern.
6. Riscul legat de control - riscul c o denaturare a soldului unui cont sau unui grup de tranzacii,
care poate fi semnificativ n mod separat sau cumulat cu denaturrile altor solduri sau grupuri de
tranzacii, s nu fie prevenit sau descoperit i corectat la timp de sistemele contabil i de control
intern.
7. Riscul de nedescoperire - riscul c procedurile de audit ce in de esen s nu poat detecta o
denaturare a soldului unui cont sau unui grup de tranzacii, care poate fi semnificativ n mod separat
sau cumulat cu denaturrile altor solduri sau grupuri de tranzacii.
8. Sistem contabil totalitatea regulilor i nregistrrilor contabile ale agentului economic, prin
intermediul crora are loc prelucrarea tranzaciilor n scopul inerii contabilitii financiare. Acest
sistem permite de a identifica, acumula, analiza, calcula, clasifica, nregistra, generaliza, precum i
reflecta n rapoartele financiare tranzaciile economice i alte evenimente ale agentului economic.
9. Sistem de control intern - totalitatea politicii i procedurilor adoptate de conducerea agentului
economic n vederea asigurrii unei desfurri organizate i eficiente a activitii economice, inclusiv
respectarea strict a cerinelor politicii conducerii, integritatea activelor, prevenirea i descoperirea
cauzelor de fraud i eroare, exactitatea i plenitudinea nregistrrilor contabile, precum i pregtirea la
timp a unor informaii financiare credibile. Sistemul de control intern se extinde peste limitele
aspectelor care snt legate direct de funciile sistemului contabil i include:
(a) mediul de control - parte a sistemului de control intern care const n atitudinea membrilor
consiliului director i conducerii, informarea i aciunile acestora referitoare la controlul intern i la
importana acestuia pentru agentul economic. Mediul de control influeneaz asupra eficienei anumitor
proceduri de control. Spre exemplu, un mediu de control puternic, cum ar fi unul cu control bugetar
strict i cu un serviciu de audit intern eficient poate considerabil completa anumite proceduri de
control. Totui, mediul puternic nu asigur, de la sine, eficiena sistemului de control intern. Factorii
care se reflect n mediul controlului includ:
Funciile consiliului director i a comitetelor acestuia.
Filozofia managementului i stilul conducerii.
Structura organizatoric a agentului economic i metode de stabilire a mputernicirilor i a
responsabilitii.
Sistemul de control al conducerii, inclusiv serviciul de audit intern, politica i procedurile ce in de
cadre, precum i divizarea responsabilitilor.

(b) proceduri de control- politica i procedurile, ce completeaz mediul de control, care snt
stabilite de conducere pentru atingerea anumitor obiective ale agentului economic. Anumite proceduri
de control includ:
Pregtirea, efectuarea, controlul i aprobarea rezultatelor verificrilor reciproce.
Verificarea exactitii aritmetice a nregistrrilor.
Controlul programelor aplicate i mediului sistemelor informaionale computerizate, spre exemplu,
prin stabilirea controlului asupra:
- modificrilor n programele de computer;
- accesului la fiierele de date.
inerea i verificarea conturilor de control, nregistrrilor analitice i a bilanurilor de prob.
Aprobarea i controlul documentelor.
Compararea informaiei interne cu sursele externe de informaii.
Compararea rezultatelor inventarierii mijloacelor bneti, titlurilor mobiliare i bunurilor materiale
cu datele contabile.
Limitarea accesului fizic direct la active i nregistrri contabile.
Compararea i analiza rezultatelor financiare cu datele bugetelor.
10. La auditul rapoartelor financiare, auditorul este preocupat numai de acea politic i acele
proceduri din cadrul sistemelor contabil i de control intern care snt relevante aspectelor calitative ale
rapoartelor financiare. nelegerea aspectelor relevante ale sistemelor contabil i de control intern,
mpreun cu evaluarea riscului inerent i riscului legat de control vor oferi posibilitate auditorului s:
(a) identifice tipurile denaturrilor semnificative poteniale care pot exista n rapoartele financiare;
(b) ia n considerare factorii care influeneaz riscul legat de denaturrile semnificative;
(c) elaboreze proceduri de audit corespunztoare.
11. La elaborarea unei abordri de exercitare a auditului, auditorul urmeaz s ia n considerare
evaluarea preliminar a riscului legat de control (mpreun cu evaluarea riscului inerent) pentru
determinarea nivelului acceptabil potrivit al riscului de nedescoperire referitor la aspectele calitative ale
rapoartelor financiare, precum i pentru determinarea caracterului, momentului de exercitare i
volumului procedurilor ce in de esen pentru aceste aspecte calitative.
Riscul inerent
12. La elaborarea planului general de audit, auditorul trebuie s efectueze evaluarea riscului
inerent la nivelul rapoartelor financiare. La elaborarea programului de audit, auditorul trebuie
s coreleze aceast evaluare cu soldurile conturilor i grupurile de tranzacii semnificative la
nivelul aspectelor calitative sau s presupun c riscul inerent n privina aspectelor calitative
este ridicat.
13. La efectuarea evalurii riscului inerent auditorul aplic aprecierea profesional pentru a evalua
numeroi factori, exemple de care snt:
La nivelul rapoartelor financiare
Onestitatea conducerii.
Experiena i cunotinele conducerii, precum i modificrile n componena acesteia pentru
perioada audiat, spre exemplu, lipsa de experien a conducerii poate influena pregtirea rapoartelor
financiare ale agentului economic.
Presiuni neobinuite asupra conducerii, spre exemplu, circumstane sub presiunea crora
conducerea poate fi predispus denaturrii rapoartelor financiare. Drept exemple pot servi un numr
mare de ntreprinderi falite n ramur sau lipsa la agentul economic a capitalului suficient pentru
continuarea activitii.
Caracterul business-ului agentului economic, spre exemplu, nvechirea potenial moral din punct
de vedere tehnologic a produciei i serviciilor acestuia, complexitatea structurii capitalului, importana
prilor legate, precum i numrul de suprafee de producie i aezarea lor geografic.
Factorii care influeneaz ramura n care i desfoar activitatea agentul economic, spre exemplu,
starea economiei i condiiile concurenei identificate prin determinarea tendinelor i coeficienilor
financiari, modificri n tehnologie, cerere de consum i practica contabil, specifice ramurii respective.
La nivelul soldurilor conturilor i a grupurilor de tranzacii

Posturile rapoartelor financiare care pot fi expuse denaturrilor, spre exemplu, posturile care au
necesitat corectri n perioada de gestiune precedent sau care snt n cea mai mare msur nsoite de
determinarea estimrilor contabile.
Complexitatea tranzaciilor i altor evenimente care pot necesita asistena unui expert.
Gradul aprecierii exprimat la determinarea soldurilor conturilor.
Predispunerea activelor la pierderi sau abuzuri, spre exemplu, activelor ce se bucur de cerere
nalt i care snt uor deplasabile, ca mijloacele bneti.
Efectuarea tranzaciilor neordinare sau complicate, n special la sfritul sau aproape de sfritul
perioadei auditate.
Tranzacii care nu snt supuse procedurii obinuite de prelucrare.
Sistemele contabil i de control intern
14. Controlul intern care se refer la sistemul contabil este legat de atingerea a astfel de obiective
cum snt:
Executarea tranzaciilor n conformitate cu autorizarea general sau special a conducerii.
Evidena oportun i exact a tuturor tranzaciilor i altor evenimente n conturile i n perioada de
gestiune corespunztoare astfel nct aceasta s permit pregtirea rapoartelor financiare n
conformitate cu cerinele stabilite naintate fa de acestea.
Posibilitatea accesului la active i nregistrri numai conform autorizaiei conducerii.
Compararea cu regularitate rezonabil a datelor contabile i efective privind activele existente i
luarea msurilor corespunztoare n ceea ce privete orice divergene.
Limite inerente controlului intern
15. Sistemele contabil i de control intern nu pot pune la dispoziia conducerii dovezi convingtoare
a faptului c obiectivele au fost atinse, din cauza limitelor inerente acestora. Aceste limite includ:
Cerina obinuit a conducerii conform creia cheltuielile pentru executarea controlului intern s
nu depeasc avantajele ateptate.
Orientarea prii considerabile a politicii i procedurilor controlului intern spre tranzacii obinuite
dar nu spre cele neordinare.
Posibilitatea potenial a comiterii erorii cu caracter subiectiv din cauza neglijenei, neateniei,
erorilor n apreciere i nelegerea incorect a instruciunilor.
Posibilitatea ocolirii cerinelor sistemului de control intern prin nelegerea secret a unui membru
al conducerii sau a unui angajat al agentului economic cu pri din exteriorul sau interiorul agentului
economic.
Posibilitatea faptului c un angajat responsabil pentru exercitarea controlului intern poate s
abuzeze de aceste responsabiliti, spre exemplu, un membru al conducerii preseaz (ignoreaz)
controlul intern.
Posibilitatea faptului c procedurile pot deveni inadecvate n urma modificrii condiiilor, precum
i faptului c respectarea procedurilor se poate agrava.
nelegerea sistemelor contabil i de control intern
16. La obinerea nelegerii sistemelor contabil i de control intern, necesar pentru planificarea
unui audit, auditorul obine cunotine despre structura sistemelor contabil i de control intern i despre
funcionarea acestora. Spre exemplu, auditorul poate s efectueze o verificare integral, adic s
urmreasc cteva tranzacii prin ntregul sistem contabil. Dac tranzaciile selectate snt tipice pentru
tranzaciile care trec prin sistemul contabil, atunci aceast procedur poate fi considerat ca o parte a
testrii controlului intern. Caracterul i volumul verificrilor integrale efectuate de auditor nu ofer n
sine dovezi de audit suficiente i adecvate n sprijinirea evalurii riscului legat de control la un nivel
mai redus dect cel ridicat.
17. Caracterul, momentul de exercitare i volumul procedurilor efectuate de auditor n scopul
obinerii nelegerii sistemelor contabil i de control intern se vor modifica n dependen de un ir de
factori, printre care:
Dimensiunile i complexitatea business-ului agentului economic, precum i sistemul de computere
aplicat.
Aprecierea caracterului semnificativ.

Tipul sistemului de control intern folosit.


Caracterul documentaiei agentului economic cu privire la anumite aspecte ale controlului intern.
Evaluarea riscului inerent efectuat de auditor.
18. De regul, nelegerea de auditor a sistemelor contabil i de control intern, important pentru
audit, este obinut n baza experienei de lucru anterioare cu agentul economic i se completeaz cu:
(a) solicitri conducerii corespunztoare, personalului mediu de conducere i altor angajai de la
diverse niveluri ale structurii organizatorice ale agentului economic, mpreun cu referine la
documentaie, spre exemplu, instruciuni funcionale i alte instruciuni interne, schemele circuitului
documentelor;
(b) examinarea documentelor i nregistrrilor generate de sistemele contabil i de control intern;
(c) observarea activitii i tranzaciilor agentului economic, inclusiv observarea organizrii
prelucrrii automatizate a datelor, conducerii i a caracterului prelucrrii tranzaciilor.
Sistemul contabil
19. Auditorul trebuie s obin o imagine privind sistemul contabil suficient pentru
identificarea i nelegerea:
(a) principalelor grupuri de tranzacii efectuate de agentul economic;
(b) modului de efectuare a acestor tranzacii;
(c) nregistrrilor contabile importante, precum i documentelor confirmtoare i posturilor
rapoartelor financiare;
(d) procesului de inere a contabilitii de la nceputul efecturii tranzaciilor i a altor
evenimente importante pn la momentul ntocmirii rapoartelor financiare.
Mediul de control
20. Auditorul trebuie s obin o nelegere a mediului de control suficient pentru aprecierea
atitudinii membrilor consiliului director i conducerii, informrii i aciunilor acestora
referitoare la controlul intern i la importana acestuia pentru agentul economic.
Proceduri de control
21. Auditorul trebuie s obin nelegerea procedurilor de control suficient pentru
elaborarea planului de audit. La obinerea acestei nelegeri, auditorul urmeaz s ia n considerare
cunotinele despre existena sau absena procedurilor de control obinute n rezultatul atingerii
nelegerii mediului de control i a sistemului contabil, pentru a determina necesitatea examinrii
suplimentare a procedurilor de control. Deoarece procedurile de control constituie un tot ntreg cu
mediul de control i sistemul contabil, unele cunotine referitoare la procedurile de control auditorul le
poate obine n procesul examinrii mediului de control i sistemului contabil. Spre exemplu, la
obinerea nelegerii sistemului contabil privind mijloacele bneti, auditorul, de regul, afl despre
faptul dac se efectueaz verificarea reciproc a conturilor bancare. De regul, elaborarea planului
general de audit nu necesit nelegerea procedurilor de control pentru fiecare aspect calitativ al
rapoartelor financiare referitor la soldurile fiecrui cont i referitor la fiecare grup de tranzacii.
Riscul legat de control
Evaluarea preliminar a riscului legat de control
22. Evaluarea preliminar a riscului legat de control reprezint procesul evalurii eficienei
sistemelor contabil i de control intern ale agentului economic n ceea ce privete prevenirea sau
descoperirea i corectarea denaturrilor semnificative. ntotdeauna va exista un anumit risc legat de
control din cauza limitelor inerente oricrui sistem contabil i de control intern.
23. Dup obinerea nelegerii sistemelor contabil i de control intern, auditorul trebuie s
efectueze o evaluare preliminar a riscului legat de control, la nivelul aspectului calitativ referitor
la soldurile semnificative ale fiecrui cont sau referitor la fiecare grup de tranzacii semnificativ.
24. Auditorul, de regul, urmeaz s evalueze riscul legat de control ca fiind ridicat pentru unele sau
pentru toate aspectele calitative ale rapoartelor financiare, atunci cnd:
(a) sistemele contabil i de control intern ale agentului economic nu snt eficiente;
(b) evaluarea eficienei sistemelor contabil i de control intern ale agentului economic nu va fi
rezultativ.

25. Riscul legat de control privind aspectele calitative ale rapoartelor financiare trebuie s fie
evaluat preliminar ca fiind ridicat cu excepia cazurilor cnd auditorul:
(a) identific proceduri de control intern privind aspectul calitativ, care probabil ar putea
preveni sau descoperi i corecta denaturrile semnificative;
(b) planific efectuarea testrii controlului intern pentru confirmarea evalurii preliminare.
Documentarea nelegerii i evalurii riscului legat de control
26. Auditorul trebuie s reflecte n documentele de lucru privind auditul:
(a) nivelul atins al nelegerii sistemelor contabil i de control intern ale agentului economic;
(b) evaluarea riscului legat de control. Cnd riscul legat de control se evalueaz la un nivel mai
redus dect cel ridicat, auditorul de asemenea urmeaz s justifice documentar concluziile sale.
27. Pentru documentarea informaiei cu privire la sistemele contabil i de control intern pot fi
folosite diferite metode. Selectarea anumitei metode constituie obiectul aprecierii auditorului. Metodele
obinuite, aplicate separat sau n combinare, snt descrierile, chestionarele, listele de control i
schemele circuitului documentelor. Forma i volumul acestei documentaii snt influenate de
dimensiunea i complexitatea business-ului agentului economic, precum i de caracterul sistemelor
contabil i de control intern ale acestuia. De regul, cu ct sistemele contabil i de control intern ale
agentului economic snt mai complexe i cu ct procedurile de audit snt mai voluminoase, cu att mai
extins va fi documentaia auditorului.
Testarea controlului intern
28. Testarea controlului intern se efectueaz n scopul obinerii dovezilor de audit referitoare la
eficiena:
(a) structurii sistemelor contabil i de control intern, adic dac ele dispun de o structur
corespunztoare destinat prevenirii sau descoperirii i corectrii denaturrilor semnificative;
(b) funcionrii sistemului de control intern pe parcursul perioadei de timp corespunztoare.
29. Unele proceduri efectuate pentru obinerea nelegerii sistemelor contabil i de control intern pot
s nu fie n mod special planificate ca testare a controlului intern, ns pot oferi dovezi de audit despre
eficiena structurii i funcionrii controlului intern referitor la anumite aspecte calitative i, ca urmare,
servesc n calitate de proceduri de testare a controlului intern. Spre exemplu, la obinerea nelegerii
sistemelor contabil i de control intern privind mijloacele bneti, auditorul poate obine dovezi de
audit referitoare la eficiena procesului de verificare reciproc cu banca prin intermediul solicitrii i
observrii.
30. Dac auditorul ajunge la concluzia c procedurile de audit efectuate n scopul obinerii
nelegerii sistemelor contabil i de control intern, de asemenea, ofer dovezi de audit referitoare la
caracterul rezonabil al structurii i eficienei aplicrii politicii i procedurilor aferente unui anumit
aspect calitativ al rapoartelor financiare, atunci auditorul poate folosi aceste dovezi de audit, pentru a
evalua riscul legat de control la un nivel mai redus dect cel ridicat.
31. Testarea controlului intern de auditor poate include:
Examinarea documentelor ce confirm tranzaciile i alte evenimente pentru obinerea dovezilor de
audit despre faptul c sistemul de control intern funcioneaz n mod corespunztor, spre exemplu,
verificarea existenei autorizrii pentru efectuarea tranzaciei.
naintarea solicitrilor i observarea procedurilor de control intern care nu necesit documentare,
spre exemplu, identificarea executorului real i nu celui desemnat a fiecrei funcii.
Aplicarea repetat a procedurilor de control intern, spre exemplu, verificarea reciproc a conturilor
bancare n scopul confirmrii corectitudinii efecturii acesteia de agentul economic.
32. Auditorul trebuie s obin dovezi de audit prin intermediul testrii controlului intern
pentru confirmarea evalurii riscului legat de control la un nivel mai redus dect cel ridicat. Cu
ct evaluarea riscului legat de control este mai sczut, cu att auditorul trebuie s obin mai
multe confirmri referitoare la caracterul rezonabil al structurii i eficienta funcionrii
sistemelor contabil i de control intern.
33. La obinerea dovezilor de audit despre eficiena funcionrii controlului intern auditorul ia n
considerare modul i consecutivitatea aplicrii acestuia n cursul perioadei de gestiune, precum i
executorii respectivi. Totodat, conceptul funcionrii eficiente a controlului intern admite posibilitatea
apariiei anumitor devieri. Devierile de la procedurile de control stabilite pot fi cauzate de aa factori

cum ar fi modificri n componena personalului de baz, fluctuaii sezoniere importante n volumul


tranzaciilor i erorile cu caracter subiectiv. La descoperirea devierilor auditorul nainteaz solicitri
speciale privind problemele corespunztoare, n special, privind periodicitatea modificrilor n
componena personalului ce execut funcii cheie ale controlului intern. Apoi auditorul obine
confirmarea faptului c testarea controlului intern n mod corespunztor cuprinde perioada acestor
modificri sau fluctuaii.
34. n mediul sistemelor informaionale computerizate, obiectivele testrii controlului intern nu se
deosebesc de cele dintr-un mediu neautomatizat; totui, anumite proceduri de audit pot s se modifice.
Auditorul poate considera necesar sau poate prefera aplicarea procedeelor tehnice de audit cu utilizarea
computerelor. Folosirea unor astfel de procedee tehnice, cum ar fi, spre exemplu, instrumentarul de
solicitare a fiierelor electronice sau testele de audit ale datelor electronice, poate fi potrivit n acel caz
dac sistemele contabil i de control intern nu ofer dovezi evidente, ce confirm documentar
executarea procedurilor de control intern, care snt programate n sistemul contabil computerizat.
35. Bazndu-se pe rezultatele testrii controlului intern, auditorul trebuie s stabileasc dac
controlul intern este organizat i funcioneaz aa cum s-a presupus la evaluarea preliminar a
riscului legat de control. n rezultatul evalurii devierilor auditorul poate ajunge la concluzia c
nivelul evaluat al riscului legat de control necesit revizuire. n aceste cazuri, auditorul urmeaz s
modifice caracterul, momentul de exercitare i volumul procedurilor ce in de esen planificate.
Calitatea i oportunitatea dovezilor de audit
36. Anumite tipuri de dovezi de audit obinute de auditor snt mai credibile n comparaie cu
altele. n mod obinuit, observrile auditorului asigur dovezi de audit mai credibile dect
simplele solicitri. Spre exemplu, auditorul poate obine dovezi de audit referitoare la divizarea
corespunztoare a responsabilitilor prin observarea angajatului care aplic procedura de
control sau n procesul efecturii discuiilor cu personalul corespunztor. Totui, dovezile de
audit obinute prin intermediul unor proceduri de testare a controlului intern, cum ar fi, spre
exemplu, observarea, se refer numai la acel moment n timp cnd procedura respectiv a fost
aplicat. De aceea auditorul poate decide s aplice proceduri suplimentare de testare a
controlului intern care pot oferi dovezi de audit referitoare la alte perioade de timp.
37. La determinarea dovezilor de audit corespunztoare, pentru confirmarea concluziilor referitoare
la riscul legat de control, auditorul poate lua n considerare dovezile de audit obinute n cursul
auditelor precedente. n cazul unui angajament pe termen lung privind exercitarea auditului, auditorul
va cunoate sistemele contabil i de control intern datorit activitii desfurate anterior, ns el trebuie
s actualizeze cunotinele deja posedate i trebuie s ia n considerare necesitatea obinerii dovezilor
de audit suplimentare privitor la orice modificri n sistemul de control intern. nainte de a se baza pe
procedurile efectuate pe parcursul auditelor precedente, auditorul trebuie s obin dovezi de
audit care s sprijine ncrederea n procedurile respective. Auditorul urmeaz s obin dovezi de
audit privind caracterul, momentul de exercitare i volumul oricror modificri n sistemele contabil i
de control intern ale agentului economic, ce au avut loc din momentul efecturii acestor proceduri i s
evalueze influena acestora asupra ncrederii presupuse a auditorului fa de rezultatele procedurilor. Cu
ct mai mult timp trece din momentul efecturii acestor proceduri, cu att mai mic va fi ncrederea n
acestea.
38. Auditorul trebuie s examineze faptul aplicrii politicii i procedurilor de control intern n
cursul perioadei auditate. Dac n momente diferite n cursul perioadei s-au aplicat politica i
procedurile de control care n mod substanial difer una de alta, auditorul urmeaz s examineze
fiecare din ele n mod separat. ncetarea aplicrii politicii i procedurilor de control intern pentru un
anumit interval al perioadei auditate necesit o examinare separat a caracterului, momentului de
exercitare i volumului procedurilor de audit aplicate fa de tranzaciile i alte evenimente ale
intervalului respectiv.
39. Auditorul poate lua decizia despre efectuarea testrii controlului intern n timpul vizitei
intermediare a agentului economic nainte de sfritul perioadei auditate. Totui, auditorul nu se poate
baza pe rezultatele acestei testri, fr a ine cont de necesitatea obinerii dovezilor de audit
suplimentare, referitoare la intervalul rmas dup vizit pn la finele perioadei auditate. Factorii care
urmeaz a fi luai n considerare includ:

Rezultatele testrii intermediare.


Durata intervalului de timp rmas.
Modificrile ce au avut loc n sistemele contabil i de control intern n intervalul de timp rmas.
Caracterul i numrul tranzaciilor i altor evenimente, precum i soldurile conturilor
corespunztoare.
Mediul controlului, n special existena controlului managerial.
Proceduri ce in de esen pe care auditorul planific s le efectueze.
Evaluarea final a riscului legat de control
40. nainte de finalizarea auditului, auditorul, n baza rezultatelor procedurilor ce in de
esen i a altor dovezi de audit obinute, trebuie s stabileasc dac evaluarea riscului legat de
control a fost confirmat.
Interconexiunea dintre evaluarea riscului inerent i
evaluarea riscului legat de control
41. Aciunile conducerii n privina riscului inerent deseori includ elaborarea sistemelor contabil i
de control intern ndreptate spre prevenirea sau descoperirea i corectarea denaturrilor i, prin urmare,
n multe cazuri, riscul inerent i riscul legat de control se afl ntr-o corelaie strns. n astfel de
situaii, dac auditorul ncearc s evalueze separat riscul inerent i separat riscul legat de control,
exist posibilitatea evalurii incorecte a riscului. Prin urmare, n aa situaii este mai potrivit de a
determina riscul de audit prin efectuarea evalurii combinate.
Riscul de nedescoperire
42. Nivelul riscului de nedescoperire direct coreleaz cu procedurile ce in de esen. Evaluarea
riscului legat de control mpreun cu evaluarea riscului inerent influeneaz caracterul, momentul de
exercitare i volumul procedurilor ce in de esen care se efectueaz n scopul reducerii riscului de
nedescoperire i ca urmare a riscului de audit pn la un nivel sczut acceptabil. Un anumit risc de
nedescoperire va exista ntotdeauna, chiar dac auditorul va examina 100 % a soldurilor conturilor i
grupurilor de tranzacii, pentru c, spre exemplu, majoritatea dovezilor de audit snt mai degrab
convingtoare, dect de confirmare.
43. Auditorul trebuie s ia n considerare evalurile riscului inerent i riscului legat de control
la determinarea caracterului, momentului de exercitare i volumului procedurilor ce in de esen
necesare pentru reducerea riscului de audit pn la un nivel sczut acceptabil. n aceast privin
auditorul urmeaz s ia n considerare:
(a) caracterul procedurilor ce in de esen, spre exemplu, aplicarea testelor orientate spre prile
independente din exteriorul agentului economic i nu spre prile i documentaia din interiorul
agentului economic sau folosirea testrii detaliate suplimentar la procedurile analitice pentru atingerea
obiectivelor anumitor compartimente de audit;
(b) momentul de exercitare a procedurilor ce in de esen, spre exemplu, la sfritul perioadei
auditate i nu la o dat intermediar;
(c) volumul procedurilor ce in de esen, spre exemplu, folosirea unui eantion mai mare.
44. ntre riscul de nedescoperire i nivelul combinat al riscului inerent i riscului legat de control
exist o relaie invers. Spre exemplu, dac riscul inerent i riscul legat de control snt ridicate, riscul de
nedescoperire acceptabil trebuie s fie sczut pentru a reduce riscul de audit pn la un nivel acceptabil.
Pe de alt parte, dac riscul inerent i riscul legat de control snt sczute, auditorul poate accepta un risc
de nedescoperire mai ridicat i totodat s reduc riscul de audit pn la un nivel sczut acceptabil. n
anexa la prezentul standard este prezentat interconexiunea dintre componentele riscului de audit.
45. Cu toate c testarea controlului intern i procedurile ce in de esen se disting dup scopurile lor,
rezultatele unui tip de proceduri pot contribui atingerii scopului altui tip de proceduri. Denaturrile
descoperite de auditor la efectuarea procedurilor ce in de esen pot servi drept cauz a modificrii
evalurii anterioare a riscului legat de control (vezi anexa la prezentul standard).
46. Nivelurile evaluate ale riscului inerent i riscului legat de control nu pot fi att de sczute pentru
ca auditorul s poat exclude necesitatea efecturii oricror proceduri ce in de esen. Indiferent de
nivelurile evaluate ale riscului inerent i riscului legat de control, auditorul trebuie s efectueze

unele proceduri ce in de esen referitoare la soldurile semnificative ale conturilor i grupurile


semnificative de tranzacii.
47. Evaluarea de auditor a componentelor riscului de audit se poate modifica n procesul auditului,
spre exemplu, la efectuarea procedurilor ce in de esen auditorul poate obine informaia, care difer
considerabil de informaia n baza creia iniial au fost evaluate riscul inerent i riscul legat de control.
n aceste cazuri, auditorul, bazndu-se pe revizuirea nivelurilor riscului inerent i riscului legat de
control, urmeaz s modifice procedurile ce in de esen planificate.
48. Cu ct evaluarea riscului inerent i a riscului legat de control este mai ridicat, cu att mai
multe dovezi de audit trebuie s obin auditorul la efectuarea procedurilor ce in de esen. Dac
riscul inerent i riscul legat de control se evalueaz la un nivel ridicat, apare necesitatea ca auditorul s
ia n considerare dac procedurile ce in de esen vor putea oferi dovezi de audit suficiente i adecvate
pentru reducerea riscului de nedescoperire i, ca urmare, a riscului de audit pn la un nivel sczut
acceptabil. Dac auditorul determin c riscul de nedescoperire privind aspectul calitativ al
rapoartelor financiare referitor la careva sold semnificativ al contului sau referitor la careva
grup de tranzacii semnificativ nu poate fi redus la un nivel sczut acceptabil, auditorul trebuie
s exprime opinie cu meniuni sau refuz de a exprima opinia.
Riscul de audit n condiiile micului business
49. Pentru exprimarea opiniei fr meniuni asupra rapoartelor financiare att a agenilor economici
mari, ct i a celor mici auditorul trebuie s obin acelai nivel de asigurare. Totui, multe forme i
proceduri ale controlului intern potrivite agenilor economici mari nu snt aplicabile micului business.
Spre exemplu, n micul business funciile contabile pot fi efectuate de cteva persoane care concomitent
pot purta responsabilitate pentru pstrarea i distribuirea activelor i, prin urmare, divizarea
responsabilitilor poate s lipseasc sau poate fi strict limitat. Divizarea inadecvat a
responsabilitilor poate, n anumite cazuri, s se compenseze de un sistem puternic de control
managerial n care controlul proprietarului/managerului exist datorit cunoaterii nemijlocite i
personale a agentului economic i implicarea n tranzacii. n cazurile cnd divizarea responsabilitilor
este limitat i lipsesc dovezi de audit privind existena controlului managerial, dovezile de audit
necesare pentru confirmarea opiniei auditorului asupra rapoartelor financiare pot fi obinute prin
efectuarea procedurilor ce in de esen.
Informarea privind neajunsurile
50. n rezultatul obinerii nelegerii sistemelor contabil i de control intern, precum i testrii
controlului intern, auditorul poate s identifice neajunsurile acestor sisteme. Auditorul trebuie ct mai
operativ s informeze conducerea nivelului corespunztor despre neajunsurile semnificative ale
structurii sau funcionrii sistemelor contabil i de control intern, pe care auditorul le-a
identificat. Informarea conducerii despre neajunsurile semnificative, de regul, urmeaz s fie
efectuat sub form scris. Totui, dac auditorul consider c o informare sub form verbal este mai
potrivit, coninutul informaiei verbale trebuie inclus n documentele de lucru ale auditorului. La
informarea conducerii este important s se indice c au fost prezentate numai acele neajunsuri pe care
auditorul le-a identificat n procesul de exercitare a auditului, precum i c auditul nu este menit s
determine adecvarea controlului intern scopurilor manageriale.
Data intrrii standardului n vigoare
51. Prezentul standard intr n vigoare pentru auditul rapoartelor financiare ce cuprind perioadele
ncepnd cu 1 ianuarie 2001. Se recomand aplicarea anticipat.

Anex
Interconexiunea dintre componentele riscului de audit
Tabelul de mai jos indic n ce mod nivelul acceptabil al riscului de nedescoperire se poate modifica n dependena
de evalurile riscului inerent i riscului legat de control.

Evaluarea de auditor a Ridicat


riscului inerent
Mediu
Sczut

Evaluarea de auditor a riscului legat de control


Ridicat
Mediu
Sczut
Cel mai sczut
Mai sczut
Mediu
Mai sczut
Mediu
Mai ridicat
Mediu
Mai ridicat
Cel mai ridicat

Sectoarele tabelei marcate n sur indica nivelul riscului de nedescoperire.


ntre riscul de nedescoperire i nivelul combinat al riscului inerent i riscului legat de control exist
o relaie invers. Spre exemplu, dac riscul inerent i riscul legat de control snt ridicate, riscul
de nedescoperire acceptabil trebuie s fie sczut pentru a reduce riscul de audit pna la un nivel
acceptabil. Pe de alt parte, dac riscul inerent i riscul legat de control snt sczute, auditorul poate
accepta un risc de nedescoperire mai ridicat i totodat s reduc riscul de audit pna la un nivel sczut
acceptabil.

INTERESELE CLIENTULUI SI ALE AUDITORULUI


OBIECTIVUL 1 Compararea nevoii de control intern a managementului cu nevoia
auditorului de a analiza controlul intern in etapa de proiectare a unui audit.
Un sistem de control intern este format din politici si proceduri create pentru a ofesri
managementului o asigurare rezonabila ca entitatea isi atinge obiectivele si telurile
fixate. Aceste politici si proceduri sunt deseori numite mecanisme de control si
reprezinta, luate in ansambluu, controlul intern al entitatii.
Concepte cheie
Raspunderea managementului. Managementul, nu auditorul, trebuie sa defineasca si
sa aplice mecanismele de control ale entitatii.
Asigurarea rezonabila. O companie ar trebui sa defineasca mecanisme de control
intern care sa ofere o asigurare rezonabila, nu absoluta, ca situatiile financiare prezinta o
imagine fidela.
Restrictiile inerente. Mecanismele de control intern nu ar putea fi niciodata considerate
perfect eficace, indiferent de rigurozitatea proiectarii si aplicarii lor.
Interesele clientului
1.

Fiabilitatea raportarii financiare. Managementul poarta atat o raspundere


profesionala, cat si una juridica de a se asigura ca informatiile sunt corect
prezentate, in conformitate cu diversele reglementari vizand raportarea financiara,
cum ar fi principiile contabile general acceptate.

2. Eficienta si eficacitatea operatiunilor. O parte importanta a acestor mecanisme


de control o reprezinta informatiile corecte destinate procsului decizional intern.
O alta componenta importanta a eficientei si eficacitatii este protearea activelor si
a evidentelor contabile ale companiei.
3.

Respectarea legilor si rglementarilor aplicabile. Organizatiile trebuie sa respecte


numeroase legi si reglementari.

Intersele auditorului
Cunoasterea controlului intern al unui client este suficient de importanta pentru procsul
de audit ca sa justifce un standard de audit general acceptat separat.
1.

Mecanismele de control vizand fiabilitatea raportarii financiare.


Probabilitatea ca situatiile financiare sa se conformeze pricipiilor contabile
general acceptate este redusa daca mecanismele de control care determina
fiabilitatea raportarii financiare sunt necorespunzatoare. Am spus deja ca auditorii
ar trebui sa puna un accent mai important pe mecanismele de control care
afecteaza informatiile folosite in gestiunea interna, cum ar fi bugetele si rapoartele
interne privind rezultatele, nu ar trebuie complet ignorate.

2. Mecanismele de control vizand anumite categorii de operatiuni. Centrul


atentiei auditorilor il reprezinta controlul intern vizand categoriile de operatiuni
mai curand decat cel legat de soldurile conturilor. Acesta se explica prin faptul ca
datele de iesire ale sistemului contabil (soldurile conturilor) depind intr-o foarte
mare masura de exactitate datele de intrare si a prelucrarii (operatiunile).
In procesul intelegerii controlului intern al clientului si al estimarii riscului legat
de control, auditorii sunt interesati in principal de obiectivele de audit referitoare
la operatiuni. Tabelul 10-1.
Din cauza restrictiilor inerente care afecteaza controlul intern si din cauza faptului
ca auditorii nu pot obtine mai mult decat o asigurare rezonabila privind
eficacitatea acestor proceduri, intotdeauna va exista un anumit nivel de risc de
control peste zero. Prin urmare, chiar si pentru cele mai eficient proiectate
mecanisme de control intern, auditorul trebuie sa acumuleze probe de audit, pe
langa faptul ca trebuie sa testeze mecanismele de control vizand fiecare cont
semnificativ din situatiile financiare.
ELEMENTELE CONTROLULUI INTERN
OBIECTIVUL 2 Explicarea celor cinci elemente ale controlului intern. Figura 1.
Mediul controlului
Mediul controlului este format din actiunile, poiticile si procedurile care reflecta
atitudinile de ansamblu ale managementului, ale membrilor consiliului de administratie
si ale proprietatilor entitatii fata de controlul intern si importanta lui pentru entitate. In
scopul intelegerii si evaluarii mediului de control, va prezentam mai jos cele mai
importante componente secundare pe care ar trebui sale analizeze un auditor.
1. Integritatea si valorile etice. Integritatea si valorile etice sunt produsul normelor
si regulilor etice si comportamentale ale entitatii, precum si al modului in care
acestea sunt comunicate si aplicate in practica.
2. Angajamentul fata de competenta. Competenta reprezinta cunostintele si
aptitudinile necesare pentru a indeplini sarcinile care definesc functia unui
individ.
3. Participarea consiliului de administratie sau a comitetului de audit. Un
consiliu de administratie eficace este independent de managementul intreprinderii,
iar membrii sai sunt implicati in activitatile de gestiune si le supravegheaza cu
atentie.
4. Filozofia si stilul de lucru al mangementului. Managementul, prin intermediul
activitatilor sale, trimite semnale clare angajatilor privind importanta controlul
intern.
5. Structura organizatorica. Structura organizatorica a unei entitati (organigrama)
defineste nivelurile ierarhice de responsabilitate si autoritate existente.

6. Atribuirea autoritatii si respnsabilitatii.


7. Politicile si practicile din domeniul resurselor umane.
A. Evaluarea riscurilor
Evaluarea riscurilor in scopuri de raportare financiare inseamna identificarea si
analizarea de catre management a riscurilor relevante pentru elaborarea situatiilor
financiare in conformitate cu principiile contabile general acceptate.
Toate societatile, indiferent de dimensiuni, structura, denumire, natura sau ramura de
activitate se confrunta cu diverse riscuri ce provin din surse interne sau externe si care
trebuie gestionate.
Identificarea si analiza riscurilor este un proces continuu si o componenta critica a unui
control intern eficace.
Incapacitatea de a atinge obiectivele deja fixate, calitatea personalului, disperarea
geografica a activitatilor companiei, importanta si complexitatea proceselor economice
de baza, introducerea unor noi tehnologii informationale si intrarea pe piata a unor noi
concurenti reprezinta tot atatea exemple de factori care ar putea conduce la un risc mai
mare.
Managementul evalueaza riscurile ca parte a conceperii si punerii in aplicare a
mecanismelor de control intern, urmand minimizarea probabilitatii de aparitie a erorilor
si fraudelor. Auditorul evalueaza riscurile pentru a decide asupra probelor necesare in
audit. Daca managementul evalueaza si gestioneaza eficient riscurile, auditorul va
colecta, de regula, o cantitate mai mica de probe decat in situatia in care managementul
nu reuseste sa identifice riscurile semnificative sau sa le faca fata.
Auditorul ajunge sa cunoasca procesul de evaluare a riscurilor aplicat de management
prin determinarea modului in cre managerii identifica riscurile relevante pentru
raportarea financiara, evalueaza semnificatia si probabilitatea de manifestarea a acestor
riscuri si formuleaza masuri necesare pentru a le face fata. Chestionarele si discutiile cu
managerii sunt cele mai obisnuite metode de obtinere a acestor informatii.
B. Activitatile de control
Activitatile de control reprezinta o serie de politici si proceduri, pe langa cele incluse in
celelalte patru componente, care asigura faptul ca in urmarirea obiectivelor entitatii se
iau masurile necesare pentru a se face fata riscurilor.
1. Separarea adecvata a responsabilitatii (sarcinilor)
2. Autorizarea adecvata a operatiunilor si activitatilor
3. Intocmirea de documente si evidente contabile contabile adecvate
4. Controlul fizic al activelor si evidentelor contabile
5. Verificari independente ale aplicarii sau rezultatelor

1. Separarea adecvata a responsabilitatilor.


a. Separarea gestiunii activelor de contabilitate.
b. Separarea autorizarii operatiunilor de gestiunea activelor asociate acestora.
c. Separarea sarcinilor operationale de sarcinile contabile.
d. Separarea sarcinilor legate de TI de sarcinile principalilor utilizatori din afara
sistemului TI.
2. Autorizarea adecvata a operatiunilor si activitatilor
a. autorizarea generala inseama ca managementul defineste poitici pe care
organizatia trebuie sa le aplice in ansamblul ei.
b. autorizarea specifica se aplica unor operatiuni individuale.
Exista si o deosebire intre autorizare si aprobare. Autorizarea reprezinta o decizie ce
tine de politica intreprinderii si vizeaza fie o categorie generala de operatiuni, fie
operatiuni specifice luate in parte. Aprobarea reprezinta aplicarea in practica a
deciziilor de autorizare generala ale managementului.
3. Intocmirea de documente si evidente contabile adcvate. Documetele si evidentele
contabile reprezinta suporturile fizice pe care sunt inregistrate si sintetizate operatiunile.
Documentele justificative au functia de a transmite informatii intre componentele
organizatiei clientului si intre organizatii diferite. Documentele trebuie sa fie adecvate
pentru a oferi o asigurare rezonabila privind faptul ca toate activele sunt controlate
corespunzator si ca toate operatiunile sunt inregistrate corect.
Exista o serie de principii relevante care dicteaza conceperea si utilizarea adecvata a
documetelor si evidentelor contabile.

Prenumerotate in serii succesive.

Intocmite la data cand are loc operatiunea sau cat mai curand dupa aceasta data.

Suficient de simple pentru a asigura buna lor intelegere de catre utilizatori.

Concepute pentru utilizari multiple (in masura posibilitatilor), pentru a minimiza


numarul de formulare diferite.

Concepute astfel incat sa incurajeze intocmirea lor corecta.

Un mecanism de control strans legat de documente si evidente contabile este planul de


conturi, prin care operatiunile sunt clasificate in conturi distincte de bilant si de
rezultate. Planul de conturi este un mecanism de control important, deoarece el ofera un
cadru de referinta pentru identificarea informatiilor prezentate managementului si altor
utilizatori ai situatiilor financiare. Planul de conturi este util in preintampinarea

greselilor de clasificare atunci cand contine o descriere corecta si precisa a tipurilor de


operatiuni care ar trebui inregistrate in fiecare cont.
Procedurile care asigura tinerea unor evidente contabile adecvate ar trebui detaliate in
manuale de sistem, pentru a se incuraja aplicarea lor consecventa. Manualele ar trebui sa
ofere suficiente informatii pentru a facilita tinerea adecvata a evidentelor contabile si
pentru a mentine un control adecvat al activelor. Numeroase programe si aplicatii
informatice contin ecrane de ajutor, care ofera instructiuni privind utilizarea lor corecta.
4. Controlul fizic vizand activele si evidentele contabile.
Este esential ca activele si evidentele contabile sa fie protejate. Daca activele nu sunt
pazite, ele pot fi furate. Daca documentele nu sunt adcvat protejate, ele pot fi furate,
deteriorate sau pierdute.
Cea mai importanta modalitate de protejare a activelor si evidentelor consta in luarea
unor masuri privind protectia fizica.
5. Verificari independente ale aplicarii si rezultatelor.
Nevoia efectuarii unor verificari independente apare deoarece controlul intern tinde sa se
schimbe in timp daca nu exista un mecanism de verificare periodica. Este posibil ca
angajatii sa uite sa apilce o procedura, sa nu aplice deliberat o procedura sau sa devina
neglijenti daca nimeni nu-i supravegheaza si nu le evalueaza performantele. In plus,
indiferent de calitatea mecanismelor de control, se pot produce atat greseli frauduloase,
cat si neintentionate.
O caracteristica esentiala a persoanelor care aplica procedurile de verificare int3rna este
independentade indivizii raspunzatori la origine de pregatirea datelor.
Sistemele contabile informaizate pot fi proiectate astfel incat numeroase proceduri de
verificare interna sa fie automatizate si integritate in sistem.
C. Informarea si comunicarea
Scopul sistemului de informare si comunicare contabila al unei entitati consta in
identificarea, ansamblarea, clasificarea, analizarea, inregistrarea si raprtarea
operatiunilor entitatii si evidenta raspunderii privind activele asociate acestor operatiuni.
Un sistem de informare si comunicare contabila contine mai multe componente
secundare, formate de obicei din categorii dfe operatiuni, cum ar fi vanzarile, vanzarile
restituite, incasarile, cumpararile si asa mai departe. Pentru fiecare categorie de
operatiuni, sistemul contabil trebuie saatinga toate cele sase obiective de audit
referitoare la operatiuni, identificate mai devreme in capitolul de fata.
Pentru a intelege constructia unui sistem informational contabil, auditorul determina:
(1) principalele categorii de operatiuni ale entitatii, (2) modul in care sunt initiate aceste
operatiuni, (3) evidentele contabile existente si natura lor, (4) odul in care operatiunile
sunt prelucrate, de la initieere pana la incheiere, inclusiv masura si natura folosirii
mijloacelor informatice si (5) natura si detaliile procesului de raportare financiara

folosit. De obicei, aceste elemente sunt identificate si documente si documentate printr-o


desriere narativa a sistemului sau printr-o diagrama a secventelor procesului. (acestea
sunt prezentate mai tarziu in capitol de fata.) Modul in care functioneaza sistemul
informational contabil este deseori determinat prin identificarea drumului parcurs de
una sau mai multe operatiuni prin sistem (procedura numita parcursul operatiunii).
D. Supervizarea
Activitatile de supervizare se refera la evaluarea permanenta sau periodica de catre
management a calitatii functionarii controlului intern, in scopul de a determina daca
mecanismele de control sunt aplicate conform prevederilor si daca ele sunt modificate
corespunzator unor schimbari ale circumstantelor. Informatiile necesare pentru evaluarea
si modificarea sistemului provin din diverse surse, printre care se numera: studii ale
mecanismelor de control intern existente, rapoarte ale auditurilor interni, rapoartele
privind abaterile de la activitatile de control prescrise, rapoarte ale organelor de control
cum ar fi agentiile de reglementare a activitatii bancare, reactiile transmise de personalul
operativ si reclamatiile clientilor privind sumele facturate.
Cele mai importante lucruri pe care trebuie sa le stie unnaduitor despre supervizare sunt:
principalele tipuri de activitati de supervizare pe care le desfasoara o companie si modul
in care aceste activitati contribuie la modificarea mecanismelor de control intern in caz
de necesitate. Discutiile cu managerii reprezinta cea mai obisnuita modalitate de
obtinere a acestor informatii.
Cum influenteaza dimensiunea intreprinderii elementele controlului intern
Dimensiunea unei companii are un impact semnificativ asupra naturii controlului intern
si asupra mecanismelor specifice de control aplicate in cursul activitatii.
PROCEDURILE DE OBTINERE A UNEI INTELEGERI A CONTROLULUI
INTERN
OBIECTIVUL 3. Explicarea metodelor utilizate pentru obtinerea unei intelegeri a
controlului intern
Tehnicile utilizate in faza de planificare pentru colectarea probelor referitoare la modul
in care sistemul de control intern este proiectat si integrat in activitatea de exploatare
sunt numite proceduri de obtinere a unei intelegeri (a controlului intern).
Auditorul abordeaza controlul intern obtinand, mai intai de taote, o intelegere a acestuia,
intelegere care este apoi utilizata pentru estimarea initiala a riscului legat de control.
Cand estimarea riscului de control pe care o face auditorul este sub nivelul maxim,
auditorul efectueaza teste ale mecanismelor de control. Dupa ce rezultatele acestor teste
ale mecanismelor de control sunt cunoscute, auditorul trebuie sa analizeze modul in care
aceste rezultate afecteaza riscul de detectare planificare planificat si testele substantiale.
In practica, procedurile utiliate pentru a ajunge la o intelegere a controlului inern si
pentru a se estima riscul legat de control variaza considerabil de la un client la altul.

Motivele din care controlul intern trebuie inteles suficient pentru a planifica
auditul
DSA/SAS 55 obliga auditorul sa obtina o intelegere a controlului intern pentru fiecare
audit.
Caracterul auditabil. Auditorul trebuie sa obtina informatii despre integritatea
managementului si despre natura si volumul evidentelor contabile, in scopul de a
convinge ca va putea obtine probe suficiente si temeinice pentru a justifica sodurile din
situatiile financiare.
Prezentarile semnificativ eronate potentiale.
Intelegerea ar trebui sa-i permita auditorului sa identifice tipurile de erori si fraude
potentiale care ar putea afecta situatiile financiare si sa evalueze riscul de aparitie a unor
asemenea prezentari eronate la nivelul unor sume care sa fie semnificative pentru
situatiile financiare.
Riscul de detectare. Riscul de control din modelul de risc pentru audit folosit in
planificare afecteaza in mod direct riscul de detectare planificat pentru fiecare obiectiv
de audit [RDP=RAA+(RixRC)]. Informatiile privind controlul intern sunt utilizate
pentru estimarea riscului de control aferent fiecarui obiectiv, influentand riscul de
detectare planificat si probele de audit planificate.
Proiectarea testelor. Informatiile obtinute ar trebui sa-i permita auditorului sa conceapa
teste eficace ale soldurilor din situatiile financiare. Asemenea teste cuprind verificarea
exactitatii monetare atat a operatiunilor, cat si soldurilor, precum si proceduri analitice.
O metoda tipica utilizata de auditori consta in (1) obtinem unei intelegi a mediului de
control, a procedurilor de evaluare a riscurilor, a sistemului de informare si comunicare
contabila si a metodelor de supervizare la un nivel suficient de detaliat, (2) identificarea
mecanismelor specifice de control care vor reduce riscul de control si nivelul estimat al
acestui risc si (3) testarea eficacitatii mecanismelor de control. Auditorul poate ajunge la
concluzia ca riscul de control este redus numai dupa parcurgerea tuturor acestor trei
etape.
Procedurile de identificare a mecanismelor de control proiectate si aplicate
Sarcina auditorului in cadrul obtinerii unei intelegeri a controlului intern consta in a se
informa privind fiecare din cele cinci componente ale controlului intern. Cautand sa
obtina aceasta intelegere, auditorul ar trebui sa ia in considerare doua aspecte si anume:
(1) modul in care au fost proiectatre (concepute) diversele mecanisme de control intern
incluse in fiecare componenta si (29 faptul ca aceste mecanisme au fost puse in aplicare.
Mai jos veti gasi o serie de proceduri folosite pentru identificarea modului in care au fost
concepute mecanismele de control si a modului in care aceste mecanisme sunt aplicate.
1. Actualizarea experientei anterioare a auditorului cu entitatea in cauza.
2. Chestionarea personalului clientului

3. Citirea directivelor de politica si a manualelor de sistem ale clientului


4. Examinarea documentelor justificative si evidentelor contabile.
5. Observarea activitatilor si operatiunilor entitatii
Documentarea intelegerii
1. Prezentarile narative. O prezentare narativa este o descriere scrisa a mecanismelor
de control intern ale unui client. O descriere adecvata a unui sistem contabil si a
mecanismelor de control aferente acestuia trebuie sa contina patru elemente, dupa cum
urmeaza:
a. originea fiecarui document si registru de evidenta din sistem.
b. toate prelucrarile care au loc.
c. pozitia ocupata de fiecare document si registru de evidenta in sistem.
d. prezentarea mecanismelor de control relevante pentru estimarea riscului legat de
control.
2. Diagramele secventiale. O diagrama secventiala a controlului intern este o
reprezentare simbolica, schematica a documentelor clientului si a succesiunii lor
cronologice in organizatie. O diagrama secventiala adecvata trebuie sa cuprinda aceleasi
patru elemente ca si o buna prezentare narativa.
3. Chestionarele de control intern. Un chestionar de control intern contine o serie de
intrebari despre mecanismele de control aplicate in fiecare sfera supusa auditului,
intrebari formulate in scopul de a indica auditorului anumite aspecte ale controlului
intern care ar putea fi necorespunzatoare. In cele maimulte cazuri, aceste intrebari sunt
formulate astfel incat sa se poata raspunde prin da sau nu, raspunsurile negative
fiind indicatii ale unor potentiale neajunsuri sau creante ale sistemului de control intern.
ESTIMAREA RISCULUI LEGAT DE CONTROL
OBIECTIVUL 10-4 Estimarea riscului legat de control prin corelarea calitatilor si
neajunsurilor controlului intern cu obiectivele de audit referitoare la operatiuni.
1. Sa se estimeze daca situatiile financiare sunt auditabile. Se determina daca
entitatea este auditabila. Doi factori de baza determina caracterul auditabil si anume:
integritatea managementului si caracterul adecvat al documentelor si evidentelor
contabile.
In mediile bazate pe tehnologii informationale complexe, cea mai mare parte a
informatiilor privind operatiunile exista numai in format electronic si nu genereaza o
pista vizibila de cocumente si evidente pentru audit. In acest caz, compania este, de
regula, auditabila; totusi auditorul trebuie sa estimeze daca dispune de aptitudinile
necesare pentru a colecta probe in format electronic si poate atribui aceasta sarcina unui
alt angajat, care are pregatirea tehnica si experienta necesare in domeniul TI.

2. Sa se determine riscul de control estimat, bazandu-se pe intelegerea sistemului de


control obtinuta. Dupa obtinerea unei intelegeri a controlului intern, auditorul face o
estimare initiala a riscului de control. Aceasta estimare exprima masura in care auditorul
se asteapta ca mecanismele de control intern nici sa nu preintampine aparitia unor
prezentari eronate semnificative, nici sa nu detecteze si corecteze prezentarile eronate
semnificative deja aparute.
In general, estimarea iitiala se face pentru fiecare obiectiv de aiudit legat de operatiuni si
pentru fiecare tip insemnat de operatiuni. De exemplu, auditorul face pentru vanzari o
evaluare a obiectivului existentei si o evaluare separata a obiectivului exhaustivitatii.
Exista diferite modalitati de a exprima aceasta estimare initiala a riscului. Unii auditori
folosesc o formula subiectiva, cum ar fi mare, moderat sau mic. Altii folosesc
probabilitati cifrate, cum ar fi 1,0, 0,6 sau 0,2.
Mecanismele de control dintoate cele cinci elementre sunt utilizate ca baza pentru
estimarea riscului sub nivelul maxim.
Exista doua consideratii importante in ceea ce priveste estimarea initiala. In primul rand,
auditorul nu este obligat sa faca estimarea initiala de maniera formala, detaliata.
In al doilea rand, chiar daca auditorul considera ca riscul de control este mic, valoarea
estimata a riscului de control se limiteaza la acel nivel, care este justificat de probele
obtinute.
3. Sa se determine daca se poate justifica un risc de control estimat mai mic.
Cand considera ca riscul de control real ar putea fi cu mult mai mic decat estimarea
initiala, auditorul poate decide sa justifice determinarea unui risc de control estimat mai
mic. Cel mai probabil caz in care s-ar putea produce acest lucru este atunci cand
auditorul a identificat un numar restrans de mecanisme de control in faza de intelegre.
Bazandu-se pe rezultatele estimarii initiale, auditorul considera acum ca pot fi
identificate si testate mecanisme suplimentare de control pentru a reduce si mai mult
riscul de control estimat.
4. Sa se determine nivelul adecvat al riscului de control estimat.
Decizia privind nivelul de utilizat este in esenta una economica, bazata pe o comparatie
dntre costurile testarii mecanismelor de control relevante si costurile testarii
mecanismelor de control relevante si costurile efectuarii testelor substantiale care vor fi
evitate daca se va diminua riscul de control estimat.
Identificarea obiectivelor de audit referitoare la operatiuni
De regula, auditorul estimeaza riscul de control aferent obiectivelor de audit legate de
operatiuni abordand fiecare tip major de operatiuni din fiecare ciclu de operatiuni.
Primul pas in estimarea riscului consta in a identifica obiectivele de audit legate de
operatiuni asupra carora se aplica estimare.
Identificarea mecanismelor specifice de control

Auditorul ar trebui sa identifice si sa includa in analiza numai mecanismelor de control


care se presupune ca au cel mai mare ompact asupra atingerii obiectivelor de audit
referitoare la operatiuni. Deseori, acestea sunt numite mecanisme-cheie ale controlului
intern. Motivul pentru care numai mecanismele-cheie ale controlului intern sunt luate in
cosiderare este ca acestea vor fi suficiente pentru atingerea obiectivelor de audit
referitoare la operatiuni si ar trebui deci sa asigure eficienta auditului.
Indetificare si evaluarea neajunsurilor
Un neajuns al controlului intern este absenta mecanismelor de control adecvate, care
majoreaza riscul aparitiei de prezentari eronate in situatiile financiare.
Pentru a identifica neajunsurile senificative ale controlului intern se poate utiliza o
metoda in patru etape, descrisa in continuare.
1. Identificarea mecanismelor de control existente.
2. Identificarea mecanismelor-cheie de control absente.
3. Determinare erorilor semnificative potentiale care ar putea rezulta.
4. Analizarea posibilitatii existentei unor mecanisme de control compensatorii.
Matricea riscului de control
Majoritatea mecanismelor de control afecteaza concomitent mai multe obiective de audit
referitoare la operatiuni. Acest caracter complex al mecanismelor face din matricea
riscului de control un instrument util pentru estimarea nivelului acestui risc.
Estimarea riscului de legat de control
Care este probabilitatea ca o prezentare eronata semnificativa de tipul celor controlate
sa nu fie preintampinate sau detectarea si corectata de aceste mecanisme de control si
care este impactul acestui neajuns? Daca probabilitatea este mare, atunci si riscul de
control va fi mare, si asa mai departe.
Comunicarea conditiilor de raprtat si a altor elemente pertinente.
Auditorii obtin informatii care ar putea interesa comitetul de audit prin prisma
responsabilitatilor pe care le are acest organ. In general, asemenea informatii vizeaza
neajunsuri semnificative in proiectare sau functionarea sistemului de control intern.
1. Comunicatele adresate comitetului de audit.
Un exemplu de scrisoare privind conditiile de raportare este prezentat in Figura 6 de mai
jos.
2. Scrisorile catre manageri
TESTAREA MECANISMELOR DE CONTROL

OBIECTIVUL 10-5 Descrierea procesului de definire si efectuare a testelor


mecanismelor de control.
Procedurile de testare a eficacitatii mecanismelor de control in scopul justificarii unui
risc de control estimat mai mic sunt numite teste ale mecanismelor de control.
1. Procedurile de testare a mecanismelor de control
a. Chestionarea angajatilor relevanti ai clientului.
b. Examinarea documentelor, evidentelor si rapoartelor.
c. Observarea activitatilor legate de control.
d. Reconstituirea procedurilor clientului.
2. Extinderea procedurilor
a. Folosirea probelor din auditul anului precedent.
b. Testarea unei fractiuni din perioada auditata.
3. Legaturile dintre testarea mecanismelor de control si procedurile de intelegere a
controlului intern
Exista o suprapunere semnificativa intre testele mecanismelor de control si procedurile
utilizate pentru a se obtine o intelegere a sistemului de controlul intern. Ambele
presupun chestionare, documetare si observare. Exista insa doua deosebiri fundamentale
in ceea ce priveste aplicarea acestor proceduri tipice in diferite faze. In primul rand, in
faza de intelegre a controlului intern, procedurile sunt aplicate tuturor mecanismelor de
control identificate ca facand parte din intelegerea controlului intern. Testele
mecanismele de control, pe de alta parte, sunt aplicate numai atunci cand riscul de
control estimat este sub nivelul maxim, insa chiar si atunci ele se aplica numai asupra
mecanismelor-cheie ale controlului intern.
In al doilea rand, procedurile de obtinere a unei intelegeri a controlului intern se aplica
numai asupra uneia sau catorva operatiuni sau, in cazul observarilor, intr-un singur
moment din timp. Testele mecanismelor de control sunt efectuate asupra unor esantioane
mai mari de operatiuni (poate intre 20 si 100), iar observarile sunt facute deseori la mai
multe momente de timp.
In cazul mecanismelor-cheie ale controlului intern, testele mecanismelor de control,
altele decat reconstituirea, sunt in esenta o extensie a procedurilor conexe necesare
pentru obtinerea unei intelegeri. Prin urmare, cand auditorii planifica de la inceputul
auditului sa obtina un risc de control estimat mic, ei vor combina cele doua tipuri de
proceduri si le vor executa simultan.
Tabelul 3 ilustreaza mai detaliat acest concept. Cand se planifica doar o intelegere
minima a controlului intern, auditorul va face un parcurs de operatiune. Astfel,

auditorul determina daca documentatia auditului este completa si exacta si observa daca
activitatile de control descrise sunt desfasurate in realitate.
Cand riscul de control este estimat sub nivelul maxim, nu se face numai u parcurs de
operatiune, controlul intern se examineaza si un esantion mai mare de documente
pentru a se gasi indicii ale unei functionari eficace a mecanismelor de control.
(Determinarea dimensiunii adecvate a esantionului este discutata in capitolele 14 si 16).
In mod similar, cand se fac observatii, ele vor fi mai aprofundate sideseori se vor
produce la diverse momente de timp. De asemeena, auditrii cor face reconstituiri pentru
a verifica functionarea anumitor mecnisme de control.
DETERMINAREA
RISCULUI
DE
DETECTARE
PROIECTAREA TESTELOR SUBSTANTIALE

PLANIFICAT

SI

Auditorul foloseste rezultatele estimarii riscului de control si testarii mecanismelor de


control pentru a determina riscul de control pentru a determina riscul de detectare
planificat si pentru a defini testele substantiale corespunzatoare acestuia. Auditorul
defineste testele substantiale prin corelarea estimarilor riscului de control cu obiectivele
de audit referitoare la soldurile conturilor afectate de principalele tipuri de operatiuni.
Nivelul riscului de detectare adecvat pentru fiecare obiectiv de audit legat de solduri este
dterminat apoi utilizandu-se modelul de risc de audit. Relatiile dintre obiectivele de
audit referitoare la operatiuni, obiectivele de audit referitoare la solduri si selectarea si
proiectare procedurilor de audit vizand testarea substantiala a soldurilor conturilor din
situatiile financiare sunt discutate si ilustrate in capitolul 12.