MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRAL DE ARMONIZARE PENTRU

AUDITUL PUBLIC INTERN

NDRUMAR

EVALUAREA RISCURILOR

N PREGTIREA I REALIZAREA
MISIUNILOR DE AUDIT PUBLIC INTERN

Bucureti
2014

MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRAL DE ARMONIZARE PENTRU
AUDITUL PUBLIC INTERN

NDRUMAR
EVALUAREA RISCURILOR

n pregtirea i realizarea misiunilor de audit

public intern

ELABORAT:

UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL

PUBLIC INTERN
BIROUL PENTRU STRATEGIE I METODOLOGIE GENERAL

ndrumarul Evaluarea riscurilor n pregtirea i realizarea misiunilor de audit public intern

este elaborat n conformitate cu prevederile art. 8 din Legea nr. 672/2002 privind auditul public
intern, republicat, cu modificrile ulterioare.
Prezentul ndrumar constituie un model care poate fi luat n considerare de ctre
compartimentele de audit intern din cadrul entitilor publice pentru evaluarea riscurilor n
scopul selectrii activitilor/aciunilor n auditare.

Bucureti
2014

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

Cuprins

Denumirea
1.
2.
3.
4.
5.
6.
7.

Introducere
Componentele riscului
Tipuri de riscuri
Clasificarea riscurilor
Cadrul general de gestionare a riscurilor
Evaluarea riscurilor de ctre auditul intern
Evaluarea riscurilor pentru elaborarea Programului misiunii de audit public
intern

Pag.
3
4
4
5
6
8
10

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

1. Introducere

Cadrul
general

ndrumarul privind evaluarea riscurilor n planificarea i realizarea misiunilor de

audit public intern reprezint un document n care este descris un model practic de
evaluare a riscurilor n scopul selectrii activitilor/aciunilor n auditare n cadrul
etapei Pregtirea misiunii de audit intern.
ndrumarul i propune s reliefeze activitile derulate de conducerea entitii n
vederea gestionrii riscurilor, precum i activitile derulate de auditorii interni cu
scopul evalurii riscurilor n vederea selectrii activitilor/aciunilor n auditare.

Baza de
elaborare

Obiectiv

Rolul
auditului
intern n
procesul de
gestioanre a
riscurilor

n coninutul ndrumarului sunt dezvoltate aspecte referitoare la identificarea,

evaluarea i tratarea riscurilor de ctre conducerea entitii, precum i procedurile
derulate de auditori n vederea evalurii riscurilor i ierahizrii acestora n funcie de
nivelul lor, fiind prezentate i modul de ntocmire a documentelor specifice
procedurilor de audit.
ndrumarul a fost elaborat n baza prevederilor art. 8, lit. c) din Legea nr. 672/2002
privind auditul public intern, republicat, cu modificrile ulterioare i pct. 3.7.4.2.
din Normele generale privind exercitarea activitii de audit public intern aprobate
prin H.G. nr. 1086/2013. Prezentul ndrumar reprezint o continuare a eforturilor
UCAAPI pentru completarea instrumentelor de audit puse la dispoziia auditorilor
interni din sectorul public.
Obiectivul principal al ndrumarului este acela de a oferi un instrument de lucru util
pentru auditorii interni, care s i sprijine n evaluarea riscurilor specifice obiectivelor
misiunilor de audit public intern i selectarea activitilor/aciunilor n auditare.
Activitatea de audit intern n entitile publice este asigurat de compartimentele de
audit intern care reprezint structuri funcionale organizate n subordinea direct a
conductorului entitii publice.
n exercitarea responsabilitilor, compartimentele de audit public intern au ca
principal atribuie efectuarea de misiuni de audit public intern n cadrul crora
evalueaz dac sistemele de management financiar i control ale entitii publice
sunt transparente i conforme cu normele de legalitate, regularitate, economicitate,
eficien i eficacitate.

Pentru a-i atinge aceste obiective, auditul public intern procedeaz la evaluarea
riscurilor asociate activitilor/aciunilor auditabile, stabilirea riscurilor ridicate sau
necontrolate n mod suficient de entitate i planificarea i realizarea de testri n
aceste zone n vederea identificrii controalelor interne care nu exist sau exist dar
nu funcioneaz n mod corespunztor, precum i formularea de recomandri n
vederea corectrii acestor deficiene i/sau mbuntirii activitilor/aciunilor.

2. Componentele riscului
3

Ministerul
Finanelor
Publice

Conceptul de
risc

Componente

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

n practica entitilor publice din ara noastr definiia riscului acceptat i adoptat
este urmtoarea1: riscul reprezint o problem (situaie, eveniment etc.) care nu a
aprut nc, dar care poate apare n viitor, caz n care obinerea rezultatelor
prealabil fixate este ameninata sau potenat.
) Probabilitatea este o msur a incertitudinii i poate fi apreciat prin
probabilitate mare, medie sau mic. Evaluarea probabilitii de materializare a
riscului nseamn determinarea anselor de manifestare a acestuia. Probabilitatea
mare exist atunci cnd riscul nu este controlat, iar manifestarea lui nu poate fi
prevenit de entitatea public. Probabilitatea medie presupune c la nivelul
entitii sunt implementate msuri de control intern, ns manifestarea riscului nu
poate fi prevenit n totalitate. Probabilitatea mic poate fi atribuit unui risc n
condiiile n care acesta este bine gestionat de entitate, respectiv controalele interne
implementate menin riscul n nivelele acceptate.
) Impactul riscului reprezint consecina negativ asupra rezultatelor
(obiectivelor) ateptate n cazul n care riscul se materializeaz. Impactul riscului
poate fi apreciat prin impact ridicat, impact mediu i impact sczut. Impactul
ridicat, presupune c materializarea riscului implic un nivel ridicat de gravitate.
Impactul mediu, implic un nivel moderat de pericol pentru entitate. Impactul
sczut presupune o gravitate redus n cazul n care riscul se manifest.

3. Tipuri de riscuri
Riscurile
inerente

Riscurile
reziduale

Riscul inerent este riscul care exist n mod normal n orice activitate desfurat i
este definit ca fiind riscul existent nainte de aplicarea unor msuri de control
intern n vederea reducerii atenurii lui2. Astfel, se consider c riscul inerent
reprezint posibilitatea de apariie a unor erori sau neregulariti n ceea ce privete
managementul i situaiile financiare, nainte de impactul eficacitii msurilor de
control intern.
Riscurile reziduale reprezint expunerea cauzat de un anumit risc dup ce au
fost luate msuri de atenuare a lui. Msurile de atenuare a riscurilor aparin
controlului intern. Din aceast cauz riscul rezidual este o msur a eficacitii
controlului intern, fapt pentru care unele ri au nlocuit termenul de risc rezidual
cu cel de risc de control3. Astfel, riscul rezidual este considerat ca fiind riscul
care rmne dup implementarea msurilor de control intern. Aplicarea msurilor
de control intern trebuie s aib ca efect limitarea riscului inerent la un nivel care
s fie acceptat de entitatea public. Riscurile reziduale se monitorizeaz i se
urmresc dac se menin la niveluri acceptate.

Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
2
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
3
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
4

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

Riscurile reziduale mai sunt cunoscute i ca fiind vulnerabilitatea sau expunerea

entitii, respectiv riscul care rmne dup ce s-au implementat msuri de control n
vederea diminurii riscului inerent. Aceste riscuri nu sunt supuse de entitatea
public procedurii de evaluare i tratare, ns sunt inute sub observaie, urmrinduse dac acestea se schimb, i modific nivelul sau structura i astfel devin
necontrolate.

Riscul de
control

Riscul de
nedectare

Riscurile inerente i riscurile reziduale sunt considerate ca fiind dou ipostaze ale
aceluiai risc. Astfel, riscurile inerente exist nainte de introducerea instrumentelor
de control intern, iar riscurile reziduale exist dup introducerea instrumentelor de
control intern. Totui, dac instrumentele de control intern sunt implementate la un
moment dat, n raport cu un anumit risc, au drept consecin o expunere la risc mai
mare fa de limitele de tolerabilitate, riscul rezidual fiind considerat risc inerent.
Riscul de control, reprezint probabilitatea ca sistemul de control s nu funcioneze
i astfel s nu poat mpiedica sau corecta disfunciile existente, respectiv riscul ca
sistemul de control intern al entitii s nu reueasc s mpiedice sau s detecteze
la timp erorile, neregularitile sau frauda. Aceste riscuri pot aprea n soldul unui
cont sau ntr-o categorie de tranzacii i pot fi semnificative n mod individual sau
cumulate cu alte informaii. Riscurile de control reprezint nereguli i erori care nu
sunt descoperite cu ocazia controlului.
Riscul de nedetectare, reprezint riscul ca un anumit eveniment sau ameninare s
nu poat fi identificat i gestionat, respectiv riscul ca testrile efectuate de auditul
intern s nu detecteze eventualele erori sau neregulariti semnificative. Aceste
riscuri sunt excluse n mod involuntar de ctre entitate, deoarece nu are cunotin
despre existena lor. Totui, entitatea public are responsabilitatea de a monitoriza
activitile ataate obiectivelor i de a urmri existena i a altor riscuri, n special
n contextul n care modul de realizare a activitilor se schimb, ceea ce poate
genera apariia de noi riscuri.

4. Clasificarea riscurilor
Clasificarea n
funcie de
natura
operaiilor pe
care le
genereaz

Riscuri strategice, au legtur direct cu strategia de dezvoltare a entitii publice

i sunt asociate obiectivelor strategice;
Riscuri organizaionale, sunt asociate procesului organizaional, realizrii
activitilor i procedurilor operaionale;
Riscuri financiare, sunt determinate de schimbarea dobnzilor, inflaie, asigurri,
taxe i impozite, politici protecioniste, politici regionale, nevoia de reducere a
pierderilor;
Riscuri generale, au legtur direct cu domeniile de activitate ale entitii i sunt
asociate obiectivelor generale;
Riscuri generate de schimbri, sunt determinate de schimbrile legislative, etica
profesional, nivelul de cultur i pregtire al personalului, nevoile i necesitile
personalului, ct i de fluctuaia personalului;
Riscuri operaionale, au legtur direct cu compartimentele funcionale ale
5

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

entitii i sunt asociate obiectivelor specifice definite la nivelul acestor

compartimente.
Riscurile operaionale, sunt definite pe baza relaiei cauz eveniment efect i a
controalelor existente n cadrul unui eveniment, n scopul prevenirii apariiei
acestuia. Pentru ca riscul operaional s fie unul minimizat i controlat se impune
ca sistemul de control intern/managerial s fie adaptat naturii i complexitii
activitilor desfurate i s asigure cel puin delegarea de competenta i
responsabilitate, separarea funciilor, protejarea activelor i funcia de audit intern.
Gestionarea eficient a riscurilor presupune asigurarea echilibrului ntre riscul
rezidual existent i nivelul riscului pe care entitatea public este pregtita s-l
tolereze. Ignorarea anumitor situaii, conduce la existena unor riscuri necontrolate,
care pot afecta nerealizarea obiectivelor.
5. Cadrul general de gestionare a riscurilor

Conceptul
de management
al riscurilor

Modelul cadru de administrare al riscurilor adoptat n sistemul public din ara

noastr este cel definit de COSO, model recunoscut ca un element cheie pentru o
bun guvernan. COSO definete managementul riscului ca fiind procesul
efectuat de consiliul de administraie, conducere i alte persoane, aplicat n
stabilirea strategiei i n ntreaga organizaie, destinat s identifice evenimentele
poteniale care pot afecta entitatea i s gestioneze riscul n limitele apetitului la
risc pentru a furniza o asigurare rezonabil privind atingerea obiectivelor
organizaiei.
Cadrul integrat de managementul riscurilor, definit de COSO gestioneaz riscul
n limita apetitului de risc, ceea ce presupune c riscurile inerente sunt evaluate
i tratate, prin implementarea de dispozitive de control cu ajutorul crora se
acioneaz asupra impactului i probabilitii de manifestare a riscurilor, astfel
nct acestea devin riscuri reziduale.
n acelai timp, necesitatea implementrii unui proces de gestionare a riscurilor
este determinat i de faptul c riscul exist pretutindeni, n orice mprejurare i
aciune i nu poate fi eliminat. n aceste condiii, riscul trebuie minimizat,
respectiv meninut n limitele acceptate de entitatea public.
Managementul riscurilor la nivelul entitilor publice a fost creat pe conceptul de
control intern, ns, accentul a fost pus n mod deosebit pe modul de administrare
a riscurilor, respectiv ncorporarea conceptelor de baz cu privire la controlul
intern n cadrul procesului de gestionare a riscurilor.
Sistemul de control intern/managerial adoptat n sistemul public din ara
noastr, potrivit cadrului de reglementare n vigoare4, care cuprinde i obligaia
de a gestiona riscurile, este construit i adaptat pe sistemul COSO. n aceste

OMFP nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management i control intern
la entitile publice i pentru dezvoltarea sistemelor de control managerial, republicat.
6

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

condiii implementarea Standardului de control intern Managementul

riscurilor, respect sistemul de management al riscului definit de COSO.
Managementul riscurilor reprezint un proces structurat, consistent i continuu
n ntreaga organizaie n vederea identificrii, evalurii i aprecierii riscurilor,
stabilirii responsabilitilor, luarea de msuri de atenuare sau anticipare a
acestora, revizuirea periodic i monitorizarea progresului5, care garanteaz
sigurana i integritatea financiar a entiti publice.
Responsabilitile
Conducerii
entitii

Pentru implementarea sistemului de management al riscurilor la nivelul entitii

publice trebuie s existe un cadru favorabil reprezentat de personal cu experien,
structur funcional echilibrat, atribuii i responsabiliti adecvate,
infrastructur tehnic.
Conducerea este responsabil de implementarea sistemului de administrare a
riscurilor, astfel nct riscurile s fie identificate, evaluate i tratate n vederea
reducerii nivelului de expunere i meninerea acestora la nivele acceptate. Aceasta
trebuie s conceap i s implementeze un sistem de management al riscurilor
axat pe identificarea, evaluarea i tratarea riscurilor care amenin realizarea
obiectivelor stabilite, la toate nivelurile organizaionale, respectiv strategic,
general, specific i individual. Garantarea realizrii obiectivelor presupune
stabilirea i implementarea de dispozitive de control adecvate i suficiente, astfel
nct riscurile asociate obiectivelor s fie controlate i meninute n limitele
acceptate.
Managementul riscului este integrat n sistemele i metodele de lucru ale entitii
publice i este n responsabilitatea conducerii care trebuie s armonizeze structura
organizaional, personalul, procesele i infrastructura pentru a implementa
strategia i a menine un bun control asupra riscurilor.
Gestionarea riscurilor este responsabilitatea major a conducerii entitii publice
care trebuie s asigure, punerea n practic i buna funcionare a proceselor de
management al riscurilor pentru realizarea obiectivelor. Auditul intern are rolul de
a examina i evalua procesele de managementul riscurilor puse n practic de
conducere i de a urmri dac acestea sunt suficiente i eficace, garantnd
realizarea obiectivelor.

Responsabilitile
auditului intern

Potrivit Standardelor internaionale de audit intern rolul auditorilor interni este

de a asista conducerea i comitetul de audit. n acest scop, trebuie ca ei s
examineze i s evalueze procesele de management al riscurilor adoptate de
conducere, s verifice dac acestea sunt suficiente i eficace, s emit rapoarte i
recomandri n vederea mbuntirii lor. Conducerea i consiliul sunt
responsabile de procesul de management al riscurilor i de control din
organizaia lor. Totui, auditorii pot, n cadrul unei misiuni de consiliere s ajute
organizaia s identifice, s evalueze i s implementeze un dispozitiv de
management al riscurilor i al controalelor care s permit stpnirea acestor
riscuri.

Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
7

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

Evaluarea procesului de management al riscurilor n cadrul organizaiei i

raportarea acestor evaluri fac parte din obiecitvele prioritare ale auditului.
Trebuie fcut distincia ntre evaluarea proceselor de management al riscurilor
i analiza riscurilor pe care auditorii trebuie s o realizeze pentru a-i planifica
activitile 6.
Astfel, se constat c auditul intern are un rol activ, de asigurare i consiliere a
conducerii entitii publice, n procesul de implementare i gestionare a riscurilor,
ns, pentru a evita ca responsabilitatea s le fie atribuit, trebuie s obin de la
conducere confirmarea c aceasta asigur procesul de identificare, atenuare i
monitorizare a riscurilor, asumndu-i responsabilitatea n acest sens.
6. Evaluarea riscurilor de ctre auditul intern
Reglementrile naionale n domeniu7 stabilesc c implementarea managementului riscurilor
reprezint responsabilitatea major a conducerii entitii publice, iar evaluarea funcionalitii este n
sarcina auditului intern.
n accepiunea general, auditorul intern are rol activ n implementarea procesului de gestionare
al riscurilor, prin furnizarea de asigurare i acordare de consiliere.
Auditorii interni, dei au rol activ n implementarea i gestionarea dispozitivelor de control al
riscurilor i aplicarea proceselor de management al riscurilor, acetia nu trebuie s i asume
responsabiliti n procesul de management al riscurilor.
n aceste condiii, se constat c, rolul auditului intern n procesul de management al riscurilor
este din ce n ce mai complex, urmare tendinei de recunoatere a managementului riscurilor ca un
sistem-cheie din cadrul entitilor publice.
n procesul de evaluare a riscurilor auditorii interni se pot ntlni cu dou situaii. Astfel,
situaia cnd nu exist implementat un proces de management al riscurilor n entitatea public auditorii
interni formuleaz recomandri conducerii entitii n vederea organizrii acestui proces. n situaia n
care exist implementat un proces de management al riscurilor, auditorii interni procedeaz la
evaluarea modului n care riscurile sunt gestionate i formuleaz recomandri pentru mbuntirea
procesului.
Auditul intern ajut entitatea public, oferind asigurarea c sistemul de management al
riscurilor este adecvat i suficient pentru protejarea fondurilor i a patrimoniului public i buna
gestionare a acestora. De asemenea, contribuie la identificarea i evaluarea riscurilor semnificative i
fundamenteaz recomandri pentru mbuntirea acestui sistem.
Lund n considerare faptul c, managementul entitii publice i personalul realizeaz
activitile de gestionare a riscurilor cu scopul de a identifica, evalua, gestiona i controla toate tipurile
de evenimente sau situaii care pot afecta activitile acesteia, rolul auditului intern difer n funcie de
nivelul de gestionare a riscurilor, astfel:
a) dac evaluarea riscurilor este realizat nainte ca riscul s se materializeze, rolul auditului
intern este a urmri suficiena i eficacitatea controlului intern pentru, a evita producerea
evenimentului;
b) dac evaluarea riscurilor este realizat dup ce riscul s-a materializat, rolul auditului
6
Standard 2110 (MPA) Managementul riscurilor, Norme profesionale ale auditului intern, Ministerul Finanelor Publice,
Programul UE-PHARE Dezvoltarea procedurilor de audit i de control intern, Bucureti, 2004
7
OMFP nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management i control intern
la entitile publice i pentru dezvoltarea sistemelor de control managerial, republicat.

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

intern este de a stabili cauzele care au condus la manifestarea riscului i de a propune msuri de
control intern n vederea eliminrii acestora i pentur a asigura continuitatea activitilor
organizaiei.
Evaluarea riscurilor de ctre auditul intern presupune identificarea i analiza riscurilor relevante
pentru atingerea obiectivelor i furnizarea unei asigurrii rezonabile cu privire la gradul n care
obiectivele pot fi atinse.
Asigurarea furnizat de auditul intern cu ocazia evalurii procesului de management al
riscurilor presupune urmtoarele:
a) asigurarea asupra eficacitii procesului de management al riscurilor;
b) asigurarea c riscurile sunt evaluate n mod corect;
c) asigurarea asupra riscurilor-cheie.
Cunoaterea riscurilor i a nivelului acceptat al expunerii la risc contribuie la o analiz i
fundamentare mult mai realist a deciziilor manageriale.
n procesul de evaluare a managementului riscurilor auditorii interni urmresc:
a) identificarea i evaluarea riscurilor ce decurg din strategiile i activitile derulate de
entitile publice;
b) existena limitelor riscurilor acceptate de ctre conducerea entitii publice;
c) aplicarea msurilor de reducere sau atenuare a riscurilor, n funcie de limitele stabilite i
considerate acceptabile la nivelul entitii publice;
d) monitorizarea periodic a riscurilor pentru evaluarea evoluiei acestora;
e) furnizarea de rapoarte privind evaluarea i controlul riscurilor conducerii entitii.
Obiectivul auditului intern este de a oferi asigurarea c sistemul de management al riscurilor
este adecvat i suficient pentru a proteja bunurile, reputaia i activitile organizaiei, de a ajuta la
identificarea i evaluarea riscurilor semnificative.
Practica auditului intern n evaluarea procesului de management al riscurilor urmrete
evaluarea procedurilor aplicate de conducerea entitii n implementarea procesului, prin planificarea i
realizarea de testri pentru fiecare risc identificat i gestionat. n baza rezultatelor obinute se
furnizeaz o opinie cu privire la eficacitatea controalelor interne care asigur limitarea riscurilor i
meninerea lor n limite acceptabile.
n procesul de evaluare a riscurilor auditorii interni trebuie s dispun de dovezi suficiente i
probante pentru a se asigura c procesul de gestionare a riscurilor, realizat de conducerea entitii
publice, este unul relevant i corespunztor. n acest sens, trebuie s ia n considerare urmtoarele:
a) analiza i examinarea documentelor de referin privind metodele aplicate de management
pentru gestionarea riscurilor i urmrirea dac acestea se bazeaz pe bunele practici;
b) analiza i documentarea cu privire la sectorul de activitate al entitii, privind evoluia i
tendinele viitoare, n vederea determinrii procedurilor de control utilizate i a riscurilor care ar putea
afecta entitatea;
c) examinarea procedurilor entitii, a expunerii la risc i a acceptrii riscurilor;
d) examinarea rapoartelor anterioare cu privire la evaluarea riscurilor, ntocmite de auditorii
interni i externi;
e) organizarea de ntlniri de lucru cu managementul entitii pentru a nelege obiectivele
stabilite, riscurile asociate obiectivelor i msurile de control luate;
f) evaluarea procesului de monitorizare, comunicare i atenuare a riscurilor i activitilor de
control intern;
n condiiile n care conducerea entitii publice a acceptat un nivel de risc necorelat cu strategia i
procedurile entitii, sau nivelul este considerat inacceptabil pentru entitate, auditul intern are
9

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

responsabilitatea de a face referire la normele privind acceptarea riscurilor i formuleaz propuneri n

vederea tratrii corespunztoare a riscului.
Evaluarea riscurilor de ctre auditul intern este efectuat n perioada de planificare a misiunii de
audit intern i se concretizeaz n elaborarea Planului multianual/anual de audit public intern, iar n
etapa de pregtire i realizare a misiunii de audit public intern n elaborarea Programului misiunii de
audit public intern.
7. Evaluarea riscurilor pentru elaborarea Programului misiunii de audit public intern
Evaluarea riscurilor are la baz probabilitatea de apariie i impactul riscului.
Procesul de evaluare a riscurilor, efectuat de auditorii interni, presupune parcurgerea
urmtoarelor faze: (1) identificarea activitilor/operaiilor, respectiv a obiectelor auditabile; (2)
identificarea riscurilor asociate activitilor/operaiilor; (3) evaluarea riscurilor; (4) determinarea
punctajului total al riscului.
A. Identificarea activitilor/operaiilor auditabile, se realizeaz prin detalierea activitilor
n operaii succesive, prin descrierea procesului, de la iniierea i pn la realizarea lui. Stabilirea
obiectelor auditabile, n practic, se realizeaz prin analiza cadrului legislativ, respectiv: organigrama,
R.O.F.-ul, normele metodologice de aplicare a cadrului normativ care reglementeaz activitatea, fiele
posturilor, procedurile, circuitul documentelor, pista de audit, diagrama de circulaie, decizii, circulare,
instruciuni i altele, n vederea identificrii tuturor operaiilor componente ale activitilor auditate.
B. Identificarea riscurilor asociate activitilor/operaiilor se face prin evaluarea operaiilor
auditabile identificate, determinarea controalelor interne ateptate i, n funcie de aceasta, determinarea
riscurilor.
Identificarea riscurilor presupune identificarea tuturor evenimentelor, interne i externe, care
pot afecta pozitiv sau negativ realizarea activitilor auditabile. Identificarea ricurilor presupune
urmtoarele:
a) identificarea iniiala a riscurilor, caracteristic entitilor care nu i-au identificat anterior
riscurile;
b) identificarea riscurilor n condiiile n care entitile publice au implementat un proces de
managementul riscurilor.
n faza de identificare a riscurilor pot aprea situaii n funcie de care riscurile vor fi sau nu
cuprinse n auditare, astfel :
- operaii la care controalele interne sunt stabilite i funcioneaz, caz n care riscurile sunt
minime, fiind posibil chiar s nu fie avute n vedere la analiz ;
- operaii la care controalele interne sunt stabilite, dar nu funcioneaz, caz n care riscurile
prezint importan i trebuie luate n analiz ;
- operaii la care controalele interne nu sunt stabilite, dar funcioneaz, caz n care se
recomand formalizarea lor prin proceduri de lucru ;
- operaii la care controalele interne nu sunt stabilite i nici nu funcioneaz, caz n care
riscurile sunt majore i vor fi avute n vedere, n mod obligatoriu, n analiza riscurilor.
Auditul intern folosete pentru identificarea riscului o serie de metode de audit cum sunt:
chestionare, liste cu ntrebri, metode de analiza cantitative i calitative, precum i tehnici de audit:
intervievarea responsabililor, grupurile focus, comparaii, grupri sau verificri.

10

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

C. Evaluarea riscurilor are n vedere componentele riscului, probabilitatea de apariie,

respectiv condiiile care-l favorizeaz i impactul riscului, respectiv consecina n cazul materializrii
riscului.
Obiectivele principale ale acestei faze const n a cuantifica probabilitile de apariie i
mrimea pierderilor produse de factorii de risc. Rezultatele sunt msurate pe baza unei matrice de
analiz a riscurilor.
n aceast etap se evalueaz importana riscurilor identificate, care trebuie s graviteze n
jurul componentelor de probabilitate i impact. Majoritatea riscurilor se preteaz la o diagnosticare
numeric, n special riscurile financiare sau cu conotaii financiare, dar exist i riscuri a cror
evaluare se realizeaz din perspectiv subiectiv, spre exemplu riscul de imagine, riscul de reputaie,
riscul de brand .a.
n procesul de evaluare a riscurilor, auditul intern realizeaz o analiz a riscurilor semnificative
din cadrul entitii asociate obiectivelor stabilite, face o apreciere a capacitii sistemului de control
intern/managerial de a preveni manifestarea riscurilor i stabilete riscurile semnificative i
necontrolate n mod adecvat de ctre entitate.
Evaluarea riscurilor depinde de probabilitatea de apariie a acestora si de gravitatea
consecinelor n cazul manifestrii riscului, respectiv impactul riscului i utilizeaz ca instrumente
criteriile de apreciere a riscurilor. Aceste criterii trebuie s acopere obiectivele, n cadrul crora riscul
a fost asociat, din punct de vedere al conformitii i performanei.
Procesul de evaluare a riscurilor cuprinde att evaluarea riscurilor inerente, existente nainte de
implementarea msurilor de control, ct i riscurile reziduale, rezultate dup implementarea msurilor
de control.
Evaluarea riscurilor se realizeaz prin aprecierea probabilitii de materializare a riscurilor i
aprecierea impactului riscului n situaia materializrii acestuia i clasarea acestora pe trei nivele.
a. Aprecierea probabilitii, reprezint un element calitativ i se realizeaz prin evaluarea
posibilitii de apariie a riscurilor, prin luarea n considerare a factorilor de inciden calitativi specifici
contextului n care sunt definite i realizate obiectivele. Aceasta se poate exprima pe o scal valoric,
pe trei niveluri astfel: probabilitate mic, probabilitate medie i probabilitate mare. Un model de
apreciere a probabilitii se prezint dup cum urmeaz:
PROBABILITATE

MIC
(1)

MEDIE
(2)

Dac
Modificri rare ale cadrului normativ, peste 3 ani
Complexitate redus a activitilor i aciunilor
Personal experimentat (experien de cel puin 5 ani)
Obiectivele i intele nu sunt modificate
Informaii fiabile, adecvate i actualizate
Procese bine concepute, formalizate i conduse
Riscul nu s-a manifestat anterior
Cadrul normativ este relativ nou sau a cunoscut modificri semnificative
Complexitate medie a activitilor i aciunilor
Nivel mediu de ncadrare i experien a personalului (experien sub 3
ani)
Modificri rare ale obiectivelor i intelor
Informaii existente din mai multe surse, dar insuficiente
Riscul s-a manifestat rareori n trecut
11

Ministerul
Finanelor
Publice

MARE
(3)

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

Modificri foarte dese ale cadrului normativ

Complexitate ridicat a activitilor i aciunilor
Personal neexperimentat i nou ncadrat (experin sub un an)
Modificri frecvente ale obiectivelor i intelor
Procese slab concepute i conduse
Informaii insuficiente i neactualizate

Not: Criterile menionate anterior au caracter orientativ, este recomandat ca la nivelul

fiecrei entiti s fie identificate i stabilite criterii specifice pe baza crora s se aprecize
probabilitatea de apariie a riscurilor.

Informaiile colectate trebuie sintetizate cu ajutorul unor instrumente de lucru

formalizate la nivelul compartimentului de audit public intern, care s reflecte activitatea
desfurat. Un exemplu de document de lucru este prezentat n continuare.

12

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

Compartimentul Audit
Public Intern

PREGTIREA MISIUNII DE AUDIT

Analiza riscurilor

Data: ..

Domeniul/activitatea auditat: Achiziii publice

Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel

FOAIE DE LUCRU NR. 1

DETERMINAREA PROBABILITII RISCURILOR

Nr.
crt.

Obiective
Adecvarea
politicii de
achiziii

1.

Elaborarea
programului de
achiziii

2.

Eficiena i
eficacitatea
gestiunii
achiziiilor

3.

Activiti/Aciuni

Riscurile identificate

Asigurarea concordanei ntre

politica de achiziii i obiective

Realizarea obiectivelor nu asigur

implementarea politicii entitii n
domeniu
Atribuirea contractelor fr respectarea
criteriilor de calitate i pre

Dezvoltarea politicii de achiziii n

funcie de necesitile actuale i
viitoare
Implementarea politicii de achiziii
asigur eficiena activitilor
...........................
Fundamentarea necesarului de
achiziii n corelaie cu necesitatea
real
Programul de achiziii este
exhaustiv i relevant pentru
nevoile existente
...........................
Asigurarea unei achiziii de calitate
la costuri minime ale pieei
Respectarea condiiilor tehnice i
financiare stabilite prin contractele
de achiziii
Derularea contractelor de achiziii

...........................

Interoperativitate redus a sistemului

informatic existent la nivelul entitii
...............................
Supradimensionarea nevoilor
Divizarea contractelor

Probabilit
ate (P)

1
2
3

2
3

...............................
Procesul de atribuire a contractelor
limiteaz competiia
Clauze
contractuale
favorabile
furnizorului

Realizarea achiziiilor fr corelarea lor

cu necesitile i stocurile existente
Pli n avans, nenregistrarea plilor
efectuate
...............................

Auditori interni,

b. Aprecierea impactului, reprezint un element cantitativ i se realizeaz prin evaluarea

efectelor riscului, n cazul n care acesta s-ar materializa, prin luarea n considerare a factorilor
cantitativi specifici naturii financiare a contextului de realizare a obiectivelor. Aceasta se poate exprima
pe o scal valoric, pe trei niveluri, astfel: impact sczut, impact moderat i impact ridicat. Un model
13

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

de apreciere a impactului se prezint dup cum urmeaz:

IMPACT
SCZUT
(1)

MODERAT
(2)

RIDICAT
(3)

Dac
Nu exist pierderi de active (financiare, angajai, materiale).
Afectarea imaginii entitii este redus.
Costurile de funcionare nu sunt afectate.
Calitatea serviciilor furnizate nu este afectat.
Nu exist ntreruperi n activitate etc.
Pierderi de active (financiare, angajai, materiale) sunt reduse.
Afectarea imaginii entitii este moderat.
Creterea costurile de funcionare este moderat.
Calitatea serviciilor furnizate este afectat n mic msur.
Exist mici ntreruperi n activitate etc.
Pierderi semnificative de active (financiare, angajai, materiale).
Imaginea entitii este afectat n mod semnificativ.
Costuri ridicate de funcionare.
Calitatea serviciilor furnizate este afectat semnificativ.
ntreruperi semnificative n activitate etc.

Informaiile colectate trebuie sintetizate cu ajutorul unor instrumente de lucru

formalizate la nivelul compartimentului de audit public intern, care s reflecte activitatea
desfurat. Un exemplu de document de lucru este prezentat n continuare.

14

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

Compartimentul Audit
Public Intern

PREGTIREA MISIUNII DE
AUDIT
Analiza riscurilor

Data:

Domeniul/activitatea auditat: Achiziii publice

Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel

FOAIE DE LUCRU NR. 2

DETERMINAREA IMPACTULUI RISCURILOR
Nr.
crt.

1.

Obiective
Adecvarea
politicii de
achiziii

Activiti/Aciuni

Riscurile identificate

Asigurarea concordanei ntre politica de

achiziii i obiective

Realizarea obiectivelor nu
asigur implementarea politicii
entitii n domeniu
Atribuirea contractelor fr
respectarea criteriilor de calitate
i pre
Interoperativitate
redus
a
sistemului informatic existent la
nivelul entitii
...............................
Supradimensionarea nevoilor

Dezvoltarea politicii de achiziii n

funcie de necesitile actuale i viitoare
Implementarea politicii de achiziii
asigur eficiena activitilor

2.

3.

Elaborarea
programului
de achiziii

Eficiena i
eficacitatea
gestiunii
achiziiilor

...........................
Fundamentarea necesarului de achiziii
n corelaie cu necesitatea real
Programul de achiziii este exhaustiv i
relevant pentru nevoile existente
...........................
Asigurarea unei achiziii de calitate la
costuri minime ale pieei
Respectarea condiiilor tehnice i
financiare stabilite prin contractele de
achiziii
Derularea contractelor de achiziii

...........................

Divizarea contractelor

Impact
(I)

2
2
2

2
3

...............................
Procesul
de
atribuire
a
contractelor
limiteaz
competiia
Clauze contractuale favorabile
furnizorului
Realizarea achiziiilor fr
corelarea lor cu necesitile i
stocurile existente
Pli n avans, nenregistrarea
plilor efectuate
...............................

2
2
2
2

Auditori interni,

D. Determinarea punctajului total al riscului. Punctajului total al riscului se stabilete ca

produs dintre probabilitatea i impactul riscului, conform formulei:
15

Ministerul
Finanelor
Publice

PT= P x I ,

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

unde:

PT = punctajul total al riscului

P = probabilitate
I = impact

Pentru stabilirea punctajului total al riscului se folosete urmtoarea matrice:

Probabilitate

Mare (3)

Medie (2)

Mic (1)

Sczut (1)

Moderat (2)

Ridicat (3)

Impact

n funcie de rezultatele obinute n urma procesului de msurare a riscului, proces aplicat

pentru toate riscurile cu care organizaia se confrunt i care afecteaz realizarea obiectivelor, se
procedeaz la ncadrarea acestora n: riscuri mari, riscuri medii i riscuri mici, astfel:
pentru PT = 1 sau 2, riscul este mic, tolerabil i nu necesit msuri de control
pentru PT = 3 sau 4, riscul este mediu, tolerarea este ridicat i necesit msuri de control
pe termen mediu/ lung
pentru PT = 6 sau 9, riscul este ridicat, intolerabil, necesit msuri de control urgente

Informaiile colectate se sintetizeaz cu ajutorul documentului ,,Stabilirea

punctajului total al riscurilor i ierarhizarea riscurilor prevzut de HG. nr. 1086/2013 pentru
aprobarea Normelor generale privind exercitarea activitii de audit public intern.

16

Ministerul
Finanelor
Publice

NDRUMAR

UCAAPI

Evaluarea riscurilor n pregtirea i realizarea

misiunilor de audit public intern

2014

Model - Evaluarea riscurilor

Compartimentul Audit
PREGTIREA MISIUNII DE AUDIT
Public Intern
Analiza riscurilor

Data: ..

Domeniul/activitatea auditat: Achiziii publice

Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel

STABILIREA PUNCTAJULUI TOTAL AL RISCURILOR I IERARHIZAREA

RISCURILOR
Nr.
crt.

Obiective

Adecvarea
politicii de
achiziii

Riscurile identificate

Asigurarea concordanei
ntre politica de achiziii
i obiective

Realizarea obiectivelor
nu
asigur
implementarea politicii
entitii n domeniu
Atribuirea contractelor
fr
respectarea
criteriilor de calitate i
pre

Dezvoltarea politicii de
achiziii n funcie de
necesitile actuale i
viitoare
Implementarea politicii de
achiziii asigur eficiena
activitilor

1.

Elaborarea
programului
de achiziii

2.

3.

Activiti/Aciuni

Eficiena i
eficacitatea
gestiunii
achiziiilor

...........................
Fundamentarea
necesarului de achiziii n
corelaie cu necesitatea
real
Programul de achiziii
este exhaustiv i relevant
pentru nevoile existente
...........................
Asigurarea unei achiziii
de calitate la costuri
minime ale pieei
Respectarea
condiiilor
tehnice
i
financiare
stabilite prin contractele
de achiziii
Derularea contractelor de
achiziii

...........................

Auditori interni,

Interoperativitate redus
a sistemului informatic
existent
la
nivelul
entitii
...............................
Supradimensionarea
nevoilor
Divizarea contractelor
...............................
Procesul de atribuire a
contractelor
limiteaz
competiia
Clauze
contractuale
favorabile furnizorului
Realizarea
achiziiilor
fr corelarea lor cu
necesitile i stocurile
existente
Pli
n
avans,
nenregistrarea plilor
efectuate

Criterii de analiza a
riscurilui
Probabilitate
Impact
(P)
(I)

Punctajul total
(PT)

Ierarhizarea
riscurilor

Mic

Mediu

Mare

Mediu

Mare

Ridicat

Mediu

Mic

Mediu

...............................

Supervizor,

17