Sunteți pe pagina 1din 27

Audit intern

Managementul riscurilor
Audit intern - control intern - managementul
riscurilor

Controlul intern cuprinde un set de cinci componente intercorelate care fac parte din procesul managerial 1. Aceste componente se
regsesc ntr-o msur mai mare sau mai mic, n funcie de
dimensiune, n toate organizaiile2. Iat despre ce este vorba:
Mediul de control;
Evaluarea riscurilor;
Activitile de control;
Informaiile i comunicarea;
Monitorizarea.
Mediul de control d tonul ntr-o organizaie influennd n mod
decisiv atitudinea oamenilor fa de control. Altfel spus, mediul de
control

reprezint

fundamentul

tuturor

celorlalte

componente,

asigurnd disciplina. Printre factorii 3 care influeneaz mediul de control


se regsesc: integritatea, valorile etice, competena personalului
angajat,

filosofia

managementului

maniera

sa

de

aciune,

desemnarea autoritii i responsabilitilor, etc.


Evaluarea riscurilor. Aa cum indicam ntr-unul din capitolele
precedente ale lucrrii de fa, fiecare organizaie este expus unor
riscuri a cror probabilitate i impact trebuie evaluate. O precondiie
pentru evaluarea riscurilor const n stabilirea obiectivelor corelate att
1

www.coso.org/publications/executive_summary_integrated_framework.htm
Materialul este realizat n baza unei selecii efectuate din L. Dobroeanu, C.L. Dobroeanu, Audit intern, Editura
InfoMega, 2007, pag. 67 73 i 135 156
3
L. Dobroeanu, C.L. Dobroeanu, Audit: concepte i practici, Editura Economic, 2002, pag. 194-196
2

pe vertical ct i pe orizontal n cadrul unei organizaii. Evaluarea


riscurilor presupune identificarea acestora i analiza lor prin prisma
pericolului pe care-l reprezint vis-a-vis de obiectivele organizaiei.
Astfel, se constituie ceea ce numim fondul de riscuri ce trebuie
administrate. Unele organizaii, ndeosebi cele mari, au creat o
structur operaional distinct care s realizeze acest proces complex,
cunoscut sub denumirea de managementul riscurilor organizaiei
(ERM)4. Totodat, dat fiind faptul

c circumstanele economice,

legislative etc. sunt n continu schimbare, sunt necesare mecanisme


noi pentru a identifica i controla riscurile asociate acestor schimbri.
Activitile de control reflect politicile i procedurile de control
aplicate la nivelul ntregii organizaii incluznd, spre exemplu, aprobri,
autorizri, examinri, reconcilieri, etc.
Informaiile i comunicarea. Sistemele informaionale produc
informaii necesare pentru derularea cotidian a afacerilor, cum ar fi
rapoarte privitoare la aspecte financiare, operaionale, etc. Fr o
comunicare eficace, att pe vertical ct i pe orizontal, orice sistem
informaional este lipsit de valoare.
Monitorizarea. Sistemele de control intern trebuie monitorizate, n
sensul de a fi evaluate prin prisma performanelor sale de-a lungul
timpului. n lipsa unei astfel de monitorizri, eficiena i eficacitatea
controalelor interne nu ar fi cunoscute i, n consecin, nu ar putea fi
corectate deficienele, dup cum nu ar putea fi consolidate punctele
sale forte. Aria de acoperire i frecvena acestor evaluri depinde de
procesul de evaluare a riscurilor i de eficacitatea procedurilor de
monitorizare.
Din nefericire, exist o seam de ateptri nerealiste privind
performanele controlului intern, n sensul c se presupune c acesta
poate garanta succesul afacerilor organizaiei sau c poate garanta
credibilitatea informaiilor contabile din raportrile financiare. Nici una,
nici cealalt dintre ateptrile expuse mai sus nu sunt rezonabile
4

Engl. Enterprise Risc Management

deoarece, la rndul su, controlul intern nu este o soluie magic


pentru toate problemele unei organizaii. Da, controlul intern poate
sprijini organizaia s-i ating obiectivele, dar nu poate transforma un
manager

incompetent,

ntr-unul

competent.

Sau,

referitor

la

credibilitatea raportrilor financiare, controlul intern nu poate pune


lacte creativitii contabile ori elimina pentru totdeauna greelile
inerente de calcul.
Auditului intern n aceste circumstane i revine un rol important
legat de monitorizare: evaluarea continu a eficienei i eficacitii
controlului intern. De aici survin i confuziile legate de suprapunerea
auditului intern cu controlul intern. Privit din afara organizaiei, n baza
componentelor controlului intern prezentate mai sus, un observator ar
putea asocia auditul intern drept o structur din ntregul univers al
controlului intern. Dar, analizat prin prisma rolului jucat n interiorul
organizaiei, auditul intern nu se poate judeca pe sine cu credibilitate.
Prin urmare, este absolut obligatoriu ca cele dou structuri s fie
separate: una aplic, cealalt monitorizeaz i evalueaz.
n conjuncie cu publicarea raportului COSO Enterprise risk
management Integrated framework, IIA a emis un ghid adresat
efilor departamentelor de audit care prezint recomandrile privind
relaiile auditului intern cu ERM din cadrul organizaiilor lor 5. Printre
altele, scopul acestui ghid vizeaz stabilirea unei linii de demarcaie
clare ntre managementul riscurilor i responsabilitile auditului intern
vis-a-vis de cele dou.
Astfel, principalele activiti ale auditului intern n relaia cu ERM
sunt:
furnizarea unei asigurri cu privire la procesele de management al
riscurilor;
furnizarea unei asigurri cu privire la faptul c riscurile sunt
evaluate corect;
evaluarea proceselor de management al riscurilor;
5

www.theiia.org IIA, The role of internal audit in enterprise-wide risk management, 2004

evaluarea raportrilor privitoare la riscurile eseniale 6;


analiza managementului riscurilor eseniale.
Privitor la rolul legitim pe care-l are auditul intern, IIA subliniaz:
facilitarea identificrii i evalurii riscurilor;
consilierea conducerii pentru a adopta msuri de protecie
mpotriva riscurilor;
coordonarea activitilor ERM;
consolidarea raportrilor privind riscurile;
meninerea i dezvoltarea cadrului ERM;
dezvoltarea

strategiei

de

management

riscurilor

supuse

aprobrii consiliului de administraie.


Totodat, IIA avertizeaz asupra rolurilor pe care auditul intern nu
trebuie s i le asume7:
stabilirea apetitului pentru risc;
impunerea proceselor de management al riscurilor;
asigurarea managementului cu privire la riscuri
adoptarea deciziilor privind msurile de contracarare a riscurilor;
implementarea acestor msuri n numele managementului;
Studiu de caz Keos
Keos este o companie care distribuie consumabile pentru tehnica
de calcul. Sistemul de procesare a comenzilor provenite de la clieni,
respectiv a facturrii produselor livrate adoptat de Keos este urmtorul:
Dra. Kate, operator la departamentul de vnzri, nregistreaz
comenzile ntr-un registru de comenzi, pre-numerotat, emis patru
exemplare (1 original i trei copii) pentru fiecare comand, numai
dup ce a interogat baza de date referitoare la registrul de vnzri.
Interogarea are drept scop asigurarea c limitele de credit alocate pe
clientul respectiv nu sunt depite. Clienii noi sunt supui n
6

Engl.- key risks


Reamintim c, n acest context, responsabilitatea pentru stabilirea apetitului pentru risc al conducerii revine
ERM.
7

prealabil procesului de stabilire a limitelor de creditare, operaiune


efectuat de ctre managerul departamentului de vnzri;
Primul exemplar (originalul) al comenzii este reinut la serviciul de
vnzri, iar cele trei copii sunt trimise la depozit pentru a fi
autorizat livrarea. Depozitul selecteaz produsele comandate i le
ambaleaz. Comenzile pentru produsele care nu se gsesc n stoc
sunt nregistrate ntr-un fiier de ateptare i sunt procesate n
momentul n care stocurile sunt primite. Exemplarele doi i trei ale
comenzii sunt trimise clientului mpreun cu produsele livrate,
cernd clientului s semneze exemplarul doi i s-l restituie
agentului de distribuie Keos. Cea de-a patra copie este trimis la
serviciul de contabilitate i este confruntat cu exemplarul doi
returnat de client.
Detaliile exemplarului patru sunt introduse de ctre dra. Sharon,
operator registrul vnzri, n fiierul privind registrul de vnzri.
Programul prevede o serie de chei de control pentru a preveni riscul
de a nu introduce greit codul clientului sau al produselor livrate. n
caz de eroare, programul respinge nregistrarea i solicit corectarea
informaiilor. Apoi, programul emite automat factura, n dublu
exemplar, care cuprinde toate informaiile referitoare la client i
preul produselor livrate acestuia. Primul exemplar al facturii este
trimis clientului, iar exemplarul al doilea este ataat exemplarelor de
comand doi i patru. Registrul de vnzri este actualizat automat,
iar la finalul fiecrei zile, programul genereaz o list a tuturor
facturilor emise n ziua respectiv.
Programul genereaz un raport de vnzri la finalul fiecrei
sptmni, iar suma total este confruntat de Sharon cu valoarea
nregistrat pentru aceeai perioad n registrul de vnzri. Pe baz
lunar,

programul

emite

situaie

complex

privind

analiza

creanelor i maturitatea acestora pe fiecare client. Sharon are


responsabilitatea de a transmite clienilor situaia privind datoriile lor
fa de Keos, de a avertiza clienii care nu-i achit datoriile la

scaden i de a conveni cu acetia mecanisme de reealonare a


plilor. O analiz a creanelor relev faptul c durata de ncasare a
acestora s-a mrit de la 39 la 74 zile pe parcursul anului curent, dei
politicile Keos prevd o scaden de 30 de zile.
Cerine:
1.

Identificai

deficienele

de

control

intern

referitoare

la

procedurile Keos privind sistemul descris.


2. Descriei procedurile care ar permite reducerea perioadei de
ncasare a creanelor de ctre Keos.

Strategia de audit RBA8

Strategie de audit bazat pe riscuri - engl. Risk Based Auditing (RBA)

1. Strategia de audit RBA


Vom ncepe discuia noastr n acest capitol prin a sublinia c
strategia RBA i planul de audit sunt dou componente strns legate
ntre ele, fapt recunoscut de altfel i de standardele de audit intern:
eful departamentului de audit intern trebuie s elaboreze un plan de
audit pe baza riscurilor (n.n. RBA) pentru a determina prioritile
activitilor auditului intern n conformitate cu obiectivele organizaiei9
sau programul misiunilor de audit intern trebuie s aib la baz
evaluarea, cel puin anual, a riscurilor10.
n ciuda cerinelor normelor profesionale, practicile de elaborare a
planurilor de audit intern i a programelor de misiune sunt variate,
majoritatea acestora fiind ancorate la o strategie tradiional de audit
care plaseaz n centrul ateniei auditului intern una sau mai multe
dintre urmtoarele variante: auditul pe procese, pe funcii, pe meserii,
pe teme, auditul de conformitate, auditul operaional, etc. Aceste
abordri tradiionale vizau auditarea intern a tot ce era posibil. La
polul opus, strategia prevzut de standardele internaionale de audit
intern RBA implic o selecie i o prioritizare a activitilor i
misiunilor de audit intern pe baza unei evaluri a riscurilor, astfel nct
auditul

intern

serveasc

ntr-adevr

obiectivelor

organizaiei.

Schimbarea de strategie produce efecte asupra modului n care se


desfoar activitatea de audit intern, efecte pe care le discutm att
aici, dar i n cadrul altor paragrafe si capitole ale lucrrii noastre.
Griffiths11 prezint urmtoarele precondiii necesare pentru a
putea aplica strategia RBA:
Organizaia cunoate toate riscurile inerente semnificative,
adic cele situate peste nivelul apetitului pentru risc;
Organizaia i-a evaluat riscurile, astfel nct acestea pot fi
prioritizate n funcie de pericolul pe care-l reprezint;

Standardul de performan IIAS 2010, Planificarea


Standardul de aplicare IIAS 2010.A1, Misiunile de audit
11
D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 26
10

Organizaia i-a definit apetitul pentru risc, astfel nct


riscurile inerente i cele reziduale12 pot fi evaluate i
clasificate n funcie de acesta.
La rndul lor precondiiile pot fi satisfcute numai dac:
La nivelul organizaiei, consiliul a adoptat un set adecvat de
politici de control intern;
Apetitul pentru risc a fost aprobat de ctre consiliu;
Directorii executivi au fost instruii corespunztor pentru a avea
abilitile cerute pentru identificarea riscurilor, evaluarea lor,
pentru

proiectarea,

punerea

aplicare

monitorizarea

sistemelor de control care asigur implementarea politicilor


adoptate de consiliu.
Etapele RBA sunt:
1. examinarea registrului riscurilor i determinarea riscurilor
asupra crora auditorii vor trebui s formuleze o opinie cu
privire la gradul de control exercitat;
2. elaborarea planului de audit (anual) i obinerea aprobrii
comitetului de audit asupra acestuia;
3. realizarea misiunilor de audit care vor furniza baza pentru
opiniile auditorilor;
4. actualizarea universului de audit13 i riscuri, pe msur ce
sunt obinute informaii suplimentare.
n practic, obinerea unei asigurri cu privire la registrul riscurilor
este realizat de obicei o singur dat sau pn n momentul n care
auditorii capt ncrederea c registrul riscurilor poate fi utilizat ca o
baz credibil n etapele urmtoare. Etapa a doua este realizat anual,
sub rezerva c planul de audit poate fi revizuit i modificat n cursul
anului. Etapa a treia are o frecven mult mai mare, determinnd i
frecvena etapei a patra. Primele dou etape sunt prezentate n cadrul

12
13

Pentru detalii privind riscurile inerente i reziduale vezi paragraful 8.2.2.


O lista cu procesele (domeniile) auditabile.

acestui capitol, urmnd ca ultimele dou etape fie prezentate distinct,


n cadrul capitolului urmtor al lucrrii.
2. Prima etap: Examinarea registrului riscurilor 14
Obiectivele acestei etape vizeaz obinerea unei asigurri cu
privire la faptul c riscurile situate peste nivelul apetitului pentru risc au
fost identificate i evaluate corect de ctre conducere, cu scopul de a
stabili credibilitatea folosirii ulterioare a registrului de riscuri.
n acest sens, auditorii interni aplic urmtoarele proceduri de audit:
discuii

(interviuri,

chestionare,

mese

rotunde

etc.)

cu

managementul executiv i consiliul de administraie cu privire la


riscurile la care este expus entitatea. Auditorii urmresc astfel s
se conving de faptul c toat conducerea nelege importana
riscurilor i ntreprinde eforturi de ameliorare a acestora;
documentarea urmtoarelor aspecte:
o obiectivele organizaiei;
o metodele utilizate de ctre conducere pentru a evalua
riscurile semnificative precum i alocarea responsabilitilor
pentru diferite procese din cadrul organizaiei;
o scala de evaluare utilizat pentru dimensionarea relevanei
riscurilor;
o declaraia consiliului privind definirea apetitului su pentru
risc;
o maniera n care riscurile vor fi integrate n procesele
decizionale;
o registrul riscurilor.
Examinarea documentelor obinute;
Formularea
posibilitatea

unei

concluzii

utilizrii

cu

registrului

privire

la

riscurilor

credibilitatea
pentru

aciunile

ulterioare. Dac auditorii interni ajung la concluzia c, pentru a fi


14

D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 30-39

credibil i utilizabil, registrul riscurilor necesit ajustri sau


corecii minore, trebuie s solicite consiliului de administraie i
managementului executiv s le opereze. n cazul n care registrul
nu poate fi deloc utilizat sau nu exist, auditorii pot lua n
considerare sprijinirea organizaiei n construirea sau corectarea
registrului, n funcie de caz. Paragrafele 8.2.1. i 8.2.2. de mai jos
detaliaz activitatea auditorilor n cazul n care registrul riscurilor
nu exist n cadrul organizaiei. Decizia auditorilor interni n acest
ultim caz trebuie luat n acord cu sugestiile comitetului de audit
care trebuie informat printr-un raport asupra faptului c registrul
riscurilor nu exist sau nu este utilizabil.
2.1. Registrul riscurilor: coninut i tehnici de elaborare
Registrul riscurilor reprezint o list complet a riscurilor (de
obicei o baz de date) identificate de conducerea organizaiei, care
amenin atingerea obiectivelor organizaiei. Dac n cadrul organizaiei
exist o funcie de management al riscurilor, atunci construirea i
actualizarea acestei baze de date este responsabilitatea acesteia.
Evident, volumul de munc al auditorilor interni este mult redus dac
managementul riscurilor exist i funcioneaz corespunztor.
n lipsa managementului riscurilor, auditorii interni pot sprijini i
consilia conducerea superioar (consiliul) n ceea ce privete nfiinarea
registrului de riscuri, evaluarea riscurilor i determinarea apetitului
pentru risc. Dat fiind faptul c exist numeroase organizaii care se
situeaz n cea de-a doua ipostaz, n continuare, vom expune
activitile

auditorilor

interni

aplicabile

contextul

acestora.

Construirea registrului riscurilor nu este o sarcin tocmai uoar. Chiar


dac se presupune c auditorii interni nu poart responsabilitatea
construirii registrului riscurilor, a evalurii riscurilor i a determinrii
apetitului pentru risc, nelegerea acestui proces ajut auditorii interni
s poat evalua credibilitatea registrului de riscuri obinut.
n ceea ce privete registrul riscurilor, rspunsul la ntrebarea
registrul riscurilor include toate riscurile semnificative? este crucial.

Punctul de pornire const n a formula, pe baza propriei experiene,


anticiprile privind riscurile poteniale care amenin obiectivele,
pentru a le putea discuta ulterior n ntlnirile cu persoanele relevante
din cadrul organizaiei. Fiecrui risc anticipat, i sunt ataate apoi
procesele de control care, prezumabil, reduc riscurile respective sau,
mai bine zis, le controleaz. Detaliind, la un nivel imediat inferior,
procesele de control devin, la rndul lor obiective, ameninate de alte
riscuri, ameliorate de alte controale, etc. Ierarhizndu-le astfel, ntr-o
abordare logic, din aproape n aproape, pot fi identificate, pe rnd,
toate riscurile i se poate construi registrul riscurilor. Anexa 1 prezint
un exemplu de ierarhizare n acest sens. Aceast manier de
identificare a riscurilor, dei dificil de aplicat (dar, reinem c odat
construit, registrul riscurilor nu trebuie dect actualizat, ulterior deci
chinul nu dureaz la infinit!) este facil de urmrit i de neles de
ctre consiliu, respectiv uor de utilizat de ctre auditorii interni n
elaborarea planurilor anuale de audit. De reinut faptul c procesele de
control indicate n cadrul acestei ierarhii sunt cele ce pot ameliora
riscurile considerate, nu cele pe care le aplic organizaia. n mod
firesc, ntre acestea i cele utilizate de organizaie, ar trebui s existe o
apropiere foarte mare, ns pot exista situaii (ce pot fi descoperite
astfel) n care nu sunt procese de control care s amelioreze anumite
riscuri, dup cum pot fi identificate controale inutile. Totui, aceast
dezvoltare arborescent poate deveni foarte complex, motiv pentru
care este necesar structurarea ei astfel nct s fie utilizabil.
Structurarea acesteia trebuie s in cont de dou aspecte: riscurile
care amenin procesele superioare15 din ierarhie, respectiv procesele
de control care, prezumabil, le amelioreaz.
Unii auditori interni prefer construirea registrului riscurilor
plecnd direct de la surs: consiliul de administraie i persoanele
relevante din cadrul organizaiei. Dei, aceast procedur direct
economisete foarte mult timp preios, prezint dezavantajul c, unele
15

Procesul din ierarhie este compus din secvena: risc-proces de control (sub-obiectiv).

riscuri pot rmne neidentificate, dat fiind faptul c auditorii nu mai au


o baz de confruntare pregtit de ei anterior. n rest, procedura de
ierarhizare, etc. rmne aplicabil. De principiu, exist trei proceduri
utilizate cu scopul de a identifica riscurile:
Interviul;
Seminariile de identificare a riscurilor (engl. risk workshops);
Evidenele contabile.
Interviul. Rezultatele unui interviu reflect punctul de vedere
individual exprimat de ctre cel intervievat referitor la riscurile la care
obiectivele organizaiei sunt expuse. Printre avantajele aceste proceduri
se numr: uurina stabilirii unei ntrevederi cu o singur persoan
fa de un grup de persoane, respectiv confortul mai mare al
intervievatului n exprimarea punctelor sale de vedere pe care ntr-un
seminar poate nu i le-ar exprima deschis. Printre dezavantajele
utilizrii acestei proceduri pot fi enumerate dificultatea de a omogeniza
punctele de vedere individuale exprimate i de a clasifica riscurile astfel
obinute.
Seminariile de identificare a riscurilor. Rezultatele seminariilor se
concretizeaz ntr-o list de riscuri care pun n pericol obiectivele
organizaiei, respectiv o dimensionare a probabilitii i consecinei
acestora. Un avantaj al utilizrii acestei proceduri const n faptul c
persoanele interacioneaz i creeaz idei noi.
Evidenele
situaiile

contabile.

financiare

sau

Examinarea

din

evidenele

fiecrei

clase/poziii

contabile,

precum

din
i

evenimentelor ataate acestora poate scoate la iveal o serie de riscuri


importante.
n acest moment registrul riscurilor, fie ajustat cu rezultatele
procedurilor expuse mai sus, fie obinut n exclusivitate n baza
acestora, trebuie transpus ntr-o baz de date computerizat pentru a
facilita clasificarea i utilizarea lui ulterioar.

2.2. Dimensionarea relevanei riscurilor


Avnd construit registrul riscurilor, pasul urmtor trebuie s
vizeze sprijinirea consiliului n ceea ce privete rafinarea registrului
riscurilor

prin

identificarea

tuturor

riscurilor

semnificative

prin

raportare la apetitul pentru risc. Dimensionarea relevanei riscurilor (R)


este realizat prin prisma celor dou variabile componente ale fiecrui
risc: consecina (C) i probabilitatea (P). Aritmetic, relaia de calcul este
exprimat astfel:
R=CxP
Reamintim c, dac n cadrul organizaiei exist un departament de
management al riscurilor, aceasta evaluare ar fi responsabilitatea
acestuia.
n cele ce urmeaz vom prezenta un model de cuantificare a
relevanei riscurilor, cu meniunea c modelul nu este infailibil, el
putnd fi adaptat sau modificat, n funcie de preferinele auditorilor
pentru o msurare mai exact sau mai grosier.
Cteva precizri legate de modelul de cuantificare a semnificaiei
riscurilor:
1. am utilizat o scal de dimensionare pe cinci nivele, fiecrui nivel
atandu-i valori numerice cuprinse ntre 1 i 5, detaliat n tabelul
1. de mai jos.

Tabelul 1. Dimensionarea relevanei riscului


Dac se produce riscul,

SAU,

Relevan

Consecinele acestuia ar fi:

Probabilita

a riscului:

tea riscului
1
nchiderea organizaiei total sau

este:
2
Foarte

3 =1x2
Foarte

parial pe un orizont de timp

ridicat

mare (25)

lung (5)
Imposibilitatea organizaiei de a-

(5)
Ridicat

Mare

i atinge obiectivele sale majore

(4)

(16)

(4)
Imposibilitatea organizaiei de a-

Medie

Medie

i atinge unele obiective pe o

(3)

(9)

perioad de timp limitat (3)


Apariia unor pagube fr s fie

Redus

Redus

(2)

(4)

majore ale organizaiei (2)


Apariia unor pagube minore, fr

Foarte

Foarte

redus

redus (1)

pe un orizont de timp ndelungat

afectat

fi

atingerea

afectat

obiectivelor

atingerea

obiectivelor organizaiei (1)

(1)

2. momentul dimensionrii relevanei riscurilor: nainte sau dup


evaluarea proceselor de control ataate acestora?
Literatura de specialitate i practicile relev preferine diferite
pentru momentul msurrii relevanei riscurilor. Normele profesionale
de audit intern recomand dimensionarea riscurilor att nainte, ct i
dup ce procesele de control au fost evaluate. Reinem de aici
urmtoarele:
Riscul inerent (brut, absolut), este riscul dimensionat nainte
de a evalua eficacitatea i eficiena controalelor interne;

Riscul rezidual (net, controlat), este riscul dimensionat dup


ce au fost evaluate eficiena i eficacitatea controalelor
interne ale organizaiei.
n timp ce riscul inerent va servi pentru formularea planului de
audit anual i identificarea misiunilor de audit ce vor fi ntreprinse,
riscul rezidual este determinat pe parcursul misiunilor de audit, pentru
a evalua eficacitatea i eficiena controalelor efective asupra riscurilor
respective.
Evaluarea semnificaiei riscurilor inerente (modelul poate fi
utilizat apoi i pentru riscul rezidual) prin prisma apetitului pentru risc
poate fi realizat prin realizarea unei matrice, pentru fiecare risc, astfel
nct prin combinaia probabilitii cu consecina riscurilor, consiliul s
poat decide asupra riscurilor acceptabile, respectiv inacceptabile din
punctul su de vedere. Altfel spus, consiliul i definete astfel apetitul
pentru risc. Tabelul 2 de mai jos, prezint un model de evaluare a
semnificaiei riscurilor inerente prin referin la apetitul pentru risc al
consiliului.
Tabelul 2. Semnificaia riscurilor inerente

Probabilitate riscului inerent

raportate la apetitul pentru risc al consiliului

5
4
3
2
1

5
25
20
15
10
5

Consecina riscului
4
3
20
15
16
12
12
9
8
6
4
3

inerent:
2
10
8
6
4
2

1
5
4
3
2
1

S presupunem c, n ansamblu, consiliul i definete apetitul


pentru risc astfel: riscurile inerente a cror relevan se afl n
intervalul 1-4 sunt riscuri acceptabile. Altfel spus, toate celelalte riscuri
ale cror relevan depete pragul valoric 4 reprezint un interes
pentru auditori.
3. Etapa a doua: Elaborarea planului de audit
Obiectivele urmrite de auditori n cadrul acestei etape vizeaz:
Determinarea riscurilor care vor fi incluse n planul de audit;
Alocarea acestor riscuri misiunilor de audit;
Elaborarea planului de audit
Filtrarea riscurilor din registru pentru identificarea celor care vor fi
incluse n planul de audit anual se realizeaz prin raportarea la apetitul
pentru risc al conducerii drept criteriu prioritar.
Astfel, riscurile care se situeaz sub nivelul apetitului pentru risc
al conducerii nu vor necesita o atenie din partea auditorilor i, drept
urmare, nu vor fi incluse n planul de audit. n ceea ce privete riscurile
situate peste nivelul apetitului pentru risc, pot exista urmtoarele
situaii cu privire la care auditorii interni vor decide meninerea sau
eliminarea lor din planul de audit:
Riscurile pe care conducerea le consider c, din diverse motive, nu
vor putea fi ameliorate astfel nct s fie reduse la nivelul apetitului
pentru risc, motiv pentru care le accept. n cazul n care exist
programe contingente pentru aceste riscuri ele vor face obiectul
unor misiuni de audit. n consecin, aceste riscuri vor putea fi
incluse n planul de audit.
Riscurile pentru care au fost adoptate msuri de prevenire de tipul
transferului (de exemplu, asigurarea mpotriva riscurilor). Inclusiv
acestea vor putea fi meninute n planul de audit, deoarece auditorii
vor dori probabil s se conving, n contextul unei misiuni, dac
toate riscurile de acest gen au fost transferate i dac transferul este
eficient i eficace ca mecanism de protecie.

Riscurile pe care conducerea este decis s le elimine prin diverse


aciuni sau programe. Asupra acestor riscuri auditorii vor decide
dac le pstreaz sau nu n planul de audit. Meninerea lor n plan
poate fi justificat de faptul c aciunile conducerii de eliminare a
riscului respectiv, pot genera alte riscuri, iar auditorii vor dori s se
conving c aceste sunt controlate corespunztor.
Riscurile examinate i evaluate de o ter parte (de exemplu, de
ctre auditorii externi) care furnizeaz o asigurare direct consiliului
de administraie asupra gradului de control exercitat de organizaie
asupra acestora. n astfel de cazuri, strategia i politicile interne ale
organizaiei reprezint un punct de sprijin n adoptarea unei decizii
asupra meninerii sau eliminrii lor din planul de audit.
Riscurile care au fost aduse n limita apetitului pentru risc, fapt
dovedit de rapoartele misiunilor de audit intern anterioare. n funcie
de intervalul de timp care a trecut de la finalul acelor misiuni,
precum i de rezultatele relevate de programele de monitorizare
post-audit cu privire la implementarea msurilor corective, auditorii
vor decide dac pstreaz sau nu n planul de audit aceste riscuri.
Toate celelalte riscuri care au rmas vor fi incluse n planul de audit.
Alocarea riscurilor pe misiuni de audit are ca punct de plecare registrul
riscurilor, actualizat cu rezultatele procesului de filtrare precedent.
Criteriile de alocare cel mai frecvent utilizate sunt:
Perioada de timp i resursele necesare pentru o misiune de audit
(cu ct mai multe riscuri i procese alocate pe o misiune, cu att
mai lung i mai costisitoare va fi misiunea de audit);
Persoanele ce se intenioneaz a fi intervievate n contextul
misiunii;
Locaia proceselor auditabile, etc.
Exist i companii care prefer gruparea riscurilor pe misiuni,
dup ce obin o list cu toate procesele auditabile (denumit universul
auditului) i gruparea lor ulterioar n funcie de locaie sau alte criterii

particulare. n ceea ce privete prioritizarea misiunilor de audit i


includerea acestora n planul anual, auditul intern trebuie s formuleze
un

raionament

rezonabil,

innd

cont

de

resursele

financiare,

materiale, umane i fondul de timp avut la dispoziie. Nu este


obligatoriu ca toate misiunile identificate s fie incluse ntr-un singur
plan anual, dac toate considerentele de mai sus nu permit acest lucru.
Este motivul pentru care, unele companii opereaz cu planuri de audit
multi-anuale. De asemenea, companiile care abia nfiineaz funcia de
audit intern fac fa unor constrngeri considerabile, mai ales n ceea
ce privete resursa uman. Pentru stabilirea prioritilor n realizarea
misiunilor ce vor fi incluse n planul de audit, n practic se folosesc mai
multe

modele,

fiecare

dintre

ele

fiind

elaborat

funcie

de

particularitile proprii fiecrei companii. n cele ce urmeaz vom


ncerca expunerea unui model, folosindu-ne de exemplul din paragraful
precedent.
Astfel, auditorii pot conveni urmtoarea situaie:
Pentru riscurile inerente a cror relevan este cuprins n
intervalul [1-4], nu vor fi ntreprinse niciodat misiuni de audit
intern;
Pentru riscurile inerente a cror relevan se situeaz n intervalul
[5-9] se vor realiza misiuni de audit o dat la fiecare trei ani;
Pentru riscurile inerente a cror relevan se situeaz n intervalul
[10-12] se vor realiza misiuni de audit o dat la fiecare doi ani;
Pentru riscurile inerente a cror relevan se situeaz n intervalul
[15-25] se vor realiza misiuni anuale de audit.
Scala de mai sus poate fi detaliat sau restrns n funcie de
preferinele auditorilor. n aceast manier, se pot dezvolta planuri de
audit mai scurte dect un an, planuri anuale sau multianuale, dup
necesitile auditului intern i ale organizaiei respective. Auditul intern
trebuie s obin acordul conducerii organizaiei asupra prioritizrii
misiunilor.

n acest moment, baza de date necesar elaborrii planului de


audit este pregtit. Planul de audit va trebui s conin informaii
referitoare la:
Misiunile de audit ce vor fi ntreprinse;
Perioada de timp preconizat pentru misiunile de audit (cnd vor
ncepe, cte zile vor dura, cnd se vor finaliza);
Riscurile i procesele de control asociate acestora ce vor face
obiectul misiunilor;
Numele auditorilor ce vor participa n cadrul misiunilor (cel puin
numele efilor de misiuni), etc.
Planul de audit trebuie aprobat de ctre comitetul de audit i consiliul
de administraie al organizaiei. n plus, comitetului de audit i se poate
transmite un raport care s conin detalii referitoare la:
Riscurile i procesele ce vor face obiectul misiunilor de audit
cuprinse n planul de audit;
Riscurile i controalele asupra crora auditorii interni vor formula
o opinie pe baza rezultatelor cumulate din misiunile de revizuire i
din misiunile de audit din perioadele precedente;
Activitile de consultan ce vor fi acordate de ctre auditul
intern

conducerii

organizaiei

cu

scopul

reducerii

riscurilor

reziduale la nivele inferioare apetitului pentru risc;


Riscurile neacoperite, datorit politicilor organizaiei sau limitrii
resurselor;
Asigurarea c planul de audit este n conformitate cu carta
auditului intern.
Anexa 2 prezint cerinele informaionale i modelul planului de
audit prevzute de Hotrrea CAFR 88/2007 privitoare la normele de
audit intern.

4. Probleme de discuie i studii de caz


4.1. Probleme de discuie
1. Discutai avantajele i dezavantajele strategiei RBA comparativ
cu strategiile tradiionale de audit.
2. Care sunt efectele utilizrii strategiei RBA asupra planului anual
de audit?
3. Semnificaia riscurilor este sinonim cu relevana lor? Discutai.
4.

Evaluarea

calitativ

poate

fi

utilizat

dimensionarea

relevanei riscurilor?
5. Discutai procedura de audit edine de evaluare a riscurilor.
4.2. Studiu de caz Sunny Hotel
Partea I
Sunny Hotel este o companie hotelier de 5 stele, care ofer
servicii de cazare att turitilor, ct i oamenilor de afaceri care
viziteaz Washington-ul. Recentele modificri legislative aplicabile
societilor cotate la bursa din New York
impun

companiilor

consolidarea

iar Sunny este cotat

guvernanei

corporative

transmiterea unor rapoarte periodice privind performanele nregistrate


n acest sens. Anul trecut, consiliul de administraie al hotelului tocmai
a ncheiat implementarea unui proces de restructurare a companiei n
baza a recomandrilor primite de la un grup de consultani externi pe
probleme privind consolidarea guvernanei corporative. Astfel, hotelul
dispune de un departament de audit intern, garnisit cu personal
adecvat care raporteaz consiliului de administraie i se subordoneaz
direct comitetului de audit, constituit din 5 membri neexecutivi ai
consiliului de administraie. Dna. Jane Shine, eful departamentului de
audit intern, a decis cu consultarea comitetului de audit, ca ncepnd cu
anul acesta, auditul intern s-i schimbe strategia, urmnd s adopte
strategia bazat pe riscuri. Dvs. suntei un auditor intern al acestui
departament i ai fost desemnat, mpreun cu ali 6 colegi, s

formulai planul de audit, bazat pe riscuri, pentru anul acesta. Hotelul


nu dispune de un departament specializat n managementul riscurilor.
Cerine:
1. Indicai activitile ce vor fi necesare s le ntreprindei pentru a
ndeplini sarcina atribuit.
2. Precizai care sunt informaiile cheie care v-ar permite elaborarea
registrului riscurilor.
Partea a II-a
Pe baza unui telefon, ai reuit s stabilii o ntlnire cu directorul
general al hotelului i cu eful contabil. Pe parcursul ntlnirii, ai reuit
s obinei urmtoarele informaii cu privire la activitile desfurate
de clientul dvs.
Cazarea. Hotelul are 60 de camere, a cror clasificare este
prezentat n tabelul de mai jos. Cifrele cu privire la gradul de ocupare
reprezint un instrument important de dimensionare a succesului
afacerii. n medie, camerele au avut un grad de ocupare de 74% pe o
perioad de 12 luni. Conducerea este ngrijorat de faptul c n 12 luni
tariful de gzduire a sczut n anul anterior cu circa 76%. Gradul de
ocupare variaz pe parcursul anului de la 50% n lunile de iarn, la 90%
n lunile de primvar/var, respectiv nceputul toamnei.
Tip camere

Nr.

Tariful

Grad de

Camere single cu baie


Camere single cu du
Camere
single
cu

15
10
5

pe zi
70
60
50

ocupare
75
77
81

chiuvet
Total camere single
Camere duble cu baie
Camere duble cu du
Camere
duble
cu

30
17
9
4

80
70
60

70
77
82

chiuvet
Total camere duble
30
Total camere
60
74
n plus fa de aceste informaii mai aflai urmtoarele:

Fiecare camer este dotat cu televizor, cafetier, frigider


coninnd buturi mbuteliate n sticle i cutii, halate de du,
pres i telefon;
Tarifele de cazare sunt cele indicate n tabelul de mai sus, cu
meniunea c se pot aplica tarife diferite n urmtoarele cazuri:
o Tarife speciale pentru week-end i tarife reduse pentru
cazri sptmnale;
o n cazul n care camerele single nu sunt disponibile,
camerele duble pot fi puse la dispoziie la tariful unei
camere single;
o Tarife speciale de sezon.
Conducerea hotelului intenioneaz s amenajeze camere de baie
pentru camerele care sunt dotate numai cu chiuvete. Lucrrile de
amenajare vor ncepe foarte curnd n cursul exerciiului curent.
Contabilul ef v informeaz c n anul anterior, veniturile din
activitatea de nchiriere a camerelor au fost de circa 1,050,000$.
Restaurant. Hotelul are un restaurant cu 60 de mese. Conducerea
hotelului v informeaz c dei majoritatea oaspeilor servesc micul
dejun n hotel, gradul de ocupare a restaurantului (de ctre oaspei) n
anul precedent a fost de circa 20% la prnz, respectiv 65% n cursul
serii. Este permis i accesul n restaurant al persoanelor care nu sunt
cazate n hotel. Conducerea estimeaz c pragul de rentabilitate pentru
activitatea restaurantului este la o capacitate de utilizare de 55%, ns
dorete o cretere a capacitii de utilizare a restaurantului (care a fost
de 75% n anul precedent, incluznd oaspeii i consumatorii din afara
hotelului). Meniul oferit a fost modificat, iar de curnd a fost angajat un
buctar specializat n prepararea mncrurilor tradiionale din regiune.
Veniturile din activitatea restaurantului s-au ridicat la circa 2,400,000$
n anul precedent, incluznd veniturile din asigurarea micului dejun.
Contabilul ef v informeaz c restaurantul reprezint componenta de
activitate care aduce cel mai mult profit hotelului. Noului meniu i se
face publicitate n presa local. Unul dintre motivele pentru care

conducerea acord o atenie sporit restaurantului, este concurena


fcut de un hotel din mprejurime, care a finalizat recent un proiect de
modernizare i a reuit s atrag o parte din clientel datorit
restaurantului atractiv pe care l-a amenajat.
Buctria. Conducerea hotelului a nceput s adopte masuri
pentru reducerea pierderilor din buctrie. Au fost introduse msuri de
control al poriilor, iar responsabilitatea pentru aprovizionarea cu
produse

alimentare

fost

recent

acordat

unui

nou

ef,

sub

supravegherea direct a contabilului ef.


Barul. Exist trei baruri n hotel, i o gam variat de buturi puse
la dispoziia oaspeilor hotelului i a clienilor din afar. Unul din baruri
este amplasat n salonul de oaspei. Barurile reprezint una dintre
activitile foarte profitabile ale hotelului.
Servicii suplimentare. Hotelul ofer servicii suplimentare pentru
nuni, recepii, ntlniri de afaceri, mese rotunde, etc.
Sistemul

contabil.

Hotelul

utilizeaz

un

sistem

contabil

computerizat. Compania are o reea mic de calculatoare achiziionate


cu doi ani n urm la un cost de 30.000$. Calculatoarele sunt distribuite
la recepie, restaurant, baruri, biroul directorului, i biroul efului
contabil. Sistemul utilizeaz un program achiziionat de la o companie
de software de renume. n afar de administratorul de sistem, eful
contabil are suficiente cunotine de informatic pentru a supraveghea
operarea sistemului. Cea mai frecvent i important nregistrare se
face la recepie, care activeaz sistemul informatic la sosirea unui
client. Numrul camerei este utilizat pentru nregistrarea tuturor
serviciilor utilizate de ctre client. Astfel, atunci cnd clientul servete
masa la restaurant, numrul camerei este prezentat pe bonul de mas
semnat de client. O procedur important de control utilizat de ctre
restaurant const n codificarea meniului care are n coresponden un
fiier de coduri pe calculator pentru fiecare fel de mncare din meniu
precum i preul standard aferent. Fiecare chelner are un chitanier i
are obligaia s ntocmeasc cte patru copii pentru fiecare chitan,

dintre care una pentru buctrie, una pentru casieria restaurantului,


una pentru serviciul de contabilitate i una o reine pentru el nsui.
Chelnerii introduc numrul de comenzi pentru un anumit fel de
mncare la fiecare mas, folosind codurile specifice pentru fiecare fel
de mncare prevzut n meniu i comandat de ctre client, precum i
numrul camerei clientului care este gzduit de hotel. Directorul de
restaurant introduce pe calculator detaliile cu privire la toate felurile de
mncare servite n restaurant, fcnd distincie ntre cele achitate cash
i cele trecute n contul clientului pentru nota final. Banii ncasai n
cash sunt vrsai n casieria restaurantului. Cel mai important
instrument de control n activitatea barurilor const n utilizarea unui
sistem automat care solicit barmanului sa introduc codul buturilor
comandate i suma ncasat, restul de plat fiind calculat automat de
ctre calculator.
Cerine:
1. Identificai obiectivele strategice ale companiei Sunny Hotel.
2. Indicai riscurile poteniale i controalele aferente care ar putea
ameliora aceste riscuri.
3. Organizai o edin de analiz a riscurilor cu conducerea
hotelului pentru a evalua riscurile inerente.
4. Determinai domeniile auditabile ce vor fi incluse n planul de
audit i prioritatea lor.

Anexa 1. Ierarhizarea riscurilor

OBIECTIVUL STRATEGIC AL
ORGANIZAIEI
expus urmtoarelor riscuri:

RISC 1

RISC 2

RISCn

.
Controlate prin urmtoarele procese de control
(PC):
PC1
PC2
PC3
PCn

Controale care devin, la rndul lor, (sub)obiective,


ameninate de urmtoarele riscuri (r):

R1

.
.

R2

R3

Rn

Ameliorate prin controale, care devin subobiective etc.

Anexa 2. Procedura plan de audit16


Scopul:
ntocmirea planului de audit intern n conformitate cu
cerinele standardelor de audit intern.
Premise:
Planul de audit intern reprezint cadrul de aciune pentru
Departamentul de Audit Intern i se ntocmete de ctre
eful acestui departament.
Procedura:
ef Departament Audit 1. ntocmete planul anual de
Intern

audit intern
2.

ntocmete

referatul

cuprinznd criteriile de selectare


Comitetul de Audit
Consiliul
Administraie

a misiunilor de audit.
3. Analizeaz i aprob planul
anual de audit.
de 4. Analizeaz i aprob planul
anual de audit.

Not: Planul anual de audit intern poate fi modificat n cursul anului n


condiiile reiterrii procedurii.

16

HCAFR 88/2007, www.cafr.ro

PLAN DE AUDIT INTERN


Pe anul ..........
Nr.

Tema

Obiecti

Perioad

Unitate

Perioada

Crt

misiu

ve

desfur

nii de

supus

auditat

rii

audit

auditrii

misiunii
de
audit

1
2
3

n
ef Departament Audit Intern,