Trifu Marius Stelian

Riscul in auditul financiar

In timp, auditul financiar a conoscut o evolutie in ceea ce priveste obiectivele initiale de detectare a fraudelor si erorilor, proces care presupunea o verificare detaliata a tuturor operatiunilor patrimoniale si a inregistrarii lor contabile, la exprimarea unei opinii asupra imaginii fidele a patrimoniului, a situatiei financiare si a rezultatelor obtinute de catre societate. Se urmareste astfel masura in care informatiile inregistrate in contabilitate reflecta evenimentele economice care au avut loc intr-o anumita perioada, iar eforturile auditorului sunt intensificate pentru identificarea eventualelor manipulari ale informatiilor furnizate de sistemul financiar, pentru prevenirea cazurilor de contabilitate creativa sau frauda. Auditul poate fi definit ca un proces sistematic ce are ca obiectiv obtinerea si evaluarea probelor in ceea ce priveste afirmatiile cu privire la actiunile economice si evenimente pentru a stabili gradul de corespondenta intre aceste afirmatii si criteriile stabilite si comunicarea rezultatelor catre utilizatorii interesati. Informatiile furnizate de specialistii in acest domeniu sunt necesare tuturor categoriilor de utilizatori: manageri, actionari si asociati, organe fiscale, bancheri, organizatii sindicale care au uneori interese contradictorii. Din acest motiv rezultatele lucrarilor de audit trebuie sa fie corecte si intocmite pe baza documentelor legale in vigoare. Ele trebuie sa asigure calitatea si coerenta sistemului contabil si sunt menite sa asigure reflectarea corecta, sincera si completa in bilant si in contul de profit si pierdere a patrimoniului, situatiei financiare si rezultatelor exercitiului. Cadrul General de Aplicare al Auditului Financiar necesita aplicabilitatea urmatoarelor: Situatiile financiare sunt verificabile. Structurile de control intern reduc probabilitatea de frauda sau nereguli intr-o organizatie. Auditorul trebuie sa determine daca cadrul de raportare financiara adoptat de catre conducere in intocmirea situatiilor financiare este acceptabil de catre normele reglementate. Evenimentele supuse auditului au avut loc in trecut iar rezultate sunt asteptate sa se produca in viitor.

Scepticismul profesional- planificarea si efectuarea unui audit trebuie desfasurata cu o atitudine profesionala, si pornind de la premisa ca pot exista situatii in urma carora situatiile financiare sa fie semnificativ denaturate. La examinarea situatiilor financiare pentru scopul de a exprima o opinie, auditorul actioneaza exclusiv in calitate de auditor, fara a avea alte implicatii ce implica dificultatea exprimarii independentei.

Asadar, se poate spune ca scopul principal al auditorului este de a obtine o asigurare rezonabila ca situatiile financiare in ansamblu nu prezinta denaturari semnificative (datorate erorii umane sau fraudei). Sumarizand, auditorul trebuie sa obtina asigurarea faptului ca totalitatea probelor de audit ii confera un risc de audit scazut (aflat sub nivelul acceptat de risc). In ciuda indeplinirii tuturor cerintelor prezentate anterior, auditarea in procent de 100% a situatiilor financiare nu poate fi realizata. In consecinta, auditorii au la dispozitie diverse unelte de control cu privire la analiza situatiilor financiare precum Pragul de Materialitate si Riscul de Audit. Acestea sunt utilizate pentru a determina: Volumul de documente suport/justificative pe care auditorii il vor obtine; Modalitatile de obtinere a acestor documente suport (documente justificative); Criterii de evaluare utilizate pentru selectia acestor documente justificative.

Orice misiune de audit implica riscuri, iar identificarea lor, inca din etapa de planificare a lucrarilor, este unul din obiectivele principale ale auditorului. Trebuie precizat ca este o activitate dificila si nu ofera siguranta deplina. Evaluarea riscului de audit este efectuata in primele faze ale procesului de planificare a auditului, dupa colectarea tuturor informatiilor relevante referitoare la activitatile entitatii si sistemul de control intern ale acesteia. Intr-o faza preliminara, pe baza procedurilor si testelor necesare, auditorul determina si analizeaza riscurile care pot influenta expunerea unei opinii necorespunzatoare in raportul de audit. Efectuarea acestei analize este importanta deoarece in functie de riscurile auditului se aleg procedurile de lucru, se stabilesc intinderea procedurilor, testelor si sondajelor, precum si modul de aplicare a acestora. Riscul de audit reprezinta riscul ca auditorul sa exprime o opinie de audit necorespunzatoare atunci cand situatiile financiare sunt semnificativ denaturate. Nivelul de siguranta constituie increderea obtinuta prin aplicarea procedurilor de audit, in sensul ca erorile cumulate din situatiile financiare nu vor fi mai mari decat nivelul materialitatii. In general este agreat un nivel acceptabil al riscului de audit

existent In timpul efectuarii auditului, care se refera la masura in care auditorul este dispus sa accepte ca situatiile financiare sunt eronate, dupa efectuarea auditului. Daca auditorul doreste un nivel al riscului de audit scazut, aceasta inseamna ca doreste sa fie cat mai sigur ca situatiile financiare nu contin erori materiale. Pentru a furniza un rezultat privind nivelul riscurilor este necesara, mai intai, identificarea lor. Standardele Internationale de Audit au in vedere trei categorii principale de riscuri: riscul inerent, riscul de control si riscul de nedetectare. Riscul inerent reprezinta susceptibilitatea ca soldul unui cont sau a unei categorii de tranzactii sa contina informatii eronate ce ar putea fi semnificative individual sau atunci cand sunt cumulate cu informatii eronate din alte solduri sau tranzactii, presupunand ca nu au existat controale interne adiacente. La acest nivel se face abstractie de activitatea de control si de capacitatea acesteia de a detecta neregulile. Sunt riscuri la care este supusa intreprinderea prin activitatea si demersurile sale. In dezvoltarea generala a unui plan de audit, auditorul trebuie sa evalueze riscul inerent. Riscul inerent este masura In care auditorii evalueaza probabilitatea ca unele situatii financiare eronate sa se produca In practica, acestea fiind considerate slabiciuni ale controalelor interne. Daca auditorul ajunge la concluzia ca exista o probabilitate ridicata ca erorile din situatiile financiare sa nu fie depistate de controalele interne, Inseamna ca el apreciaza un risc inerent ridicat. Cand evalueaza riscul inerent auditorul va lua in considerare urmatorii factori : rezultatele auditurilor precedente angajamentele initiale, comparativ cu rezultatele tranzactiile neobisnuite sau complexe rationamentul profesional avut in vedere la stabilirea soldurilor conturilor si la inregistrarea tranzactiilor activele care sunt susceptibile la delapidari formarea populatiei si dimensiunea esantionului schimbarile In cadrul conducerii si reputatia acesteia natura activitatii entitatilor, incluzand natura productiei realizate si a serviciilor prestate de aceasta natura sistemului de procesare a datelor si gradul de utilizare al tehnicilor moderne pentru comunicare Riscul inerent poate fi general sau individual ( la nivelul soldurilor). Riscul inerent general presupune: Integritatea conducerii Experienta si cunostintele conducerii, precum si schimbarile survenite la nivelul conducerii pe parcursul perioadei, de exemplu, lipsa de experienta a managerilor poate afecta intocmirea situatiilor financiare ale entitatii. Presiuni neobisnuite exercitate asupra conducerii, de exemplu, circumstante ce ar putea predispune conducerea la denaturarea situatiilor

financiare, cum ar fi experienta esecului a numeroase entitati ce-si desfasoara activitatea In sectorul de activitate respectiv sau o entitate ce nu detine suficient capital pentru continuarea activitatii. Natura activitatii entitatii, de exemplu, potentialul uzurii tehnologice a produselor si serviciilor sale, complexitatea structurii capitalului sau, importanta partilor afiliate, localizarea si raspandirea geografica a facilitatilor de productie ale entitatii. Factori care afecteaza sectorul de activitate In care opereaza entitatea, de exemplu, conditiile economice si concurenta, asa cum au fost identificate de tendintele si indicatorii financiari, precum si de schimbarile tehnologice, cererea de consum si practici contabile comune sectorului de activitate respectiv.

Riscul inerent individual presupune: Conturi ale situatiilor financiare care este probabil a fi susceptibile de denaturare, de exemplu, conturi care necesita ajustari in perioadele anterioare sau care implica un grad ridicat de estimare. Complexitatea tranzactiilor principale sau a altor evenimente care ar putea necesita utilizarea serviciilor unui expert. Gradul rationamentului profesional implicat in determinarea soldului contului. Susceptibilitatea activelor la pierdere sau delapidare, de exemplu, active considerate foarte necesare sau ca avand un grad ridicat de circulatie, cum ar fi numerarul. Finalizarea unei tranzactii neobisnuite sau complexe, in special la sfarsitul exercitiului sau aproape de acest moment. Tranzactii care nu se deruleaza in mod obisnuit. Riscul de control reprezinta riscul de declarare eronata, ce ar putea aparea in soldul unui cont sau intr-o categorie de tranzactii si care ar putea fi semnificativa in mod individual sau cumulata cu alte informatii, sa nu poata fi prevenita sau detectata si corectata in timp util de sistemele contabile si de control intern. Riscurile de control reprezinta neregulile si erorile care nu sunt descoperite cu ocazia controlului. Evaluarea riscurilor de control se face in functie de sistemul informatic utilizat, modul de organizare si de tinere a contabilitatii, modul de organizare a sistemului de control, modul de organizare si aplicare a procedurilor. Riscul de control nu poate fi egal cu zero deoarece controlul intern nu poate oferi siguranta deplina privind prevenirea sau detectarea erorilor. Auditorul nu poate schimba nivelul controlului, el il poate influenta prin recomandari privind ameliorarea, dar aceasta influenta se va manifesta doar in perioadele ulterioare auditului si numai in conditiile in care conducerea va tine cont de sugestiile facute. Riscul inerent si riscul de control exista independent de activitatea de audit si nu pot fi controlate de auditor, dar pot fi evaluate si determina proiectarea procedurilor de fond care vor mentine riscul de nedetectare la un nivel acceptabil. Sistemul de control intern al entitatii auditate cuprinde doua componente :

mediul de control: variaza in functie de eficienta controalelor interne. procedurile de control intern

Evaluarea riscului de control se realizeaza in etapa de planificare a auditului. Auditorul stabileste riscul de control prin evaluarea sistemului de control intern al entitatii auditate si prin determinarea eficacitatii activitatii auditorilor interni. Evaluarea riscului de control se face in etapa de planificare, urmand a fi confirmata prin teste de control, necesitand utilizarea rationamentului profesional al auditorului, fapt pentru care acesta poate fi caracterizat ca un proces subiectiv. Evaluarea poate fi exprimata fie in termeni cuantificabili (ex: procente), fie In termeni necuantificabili (ex: scazut, mediu, ridicat). Riscul de nedetectare reprezinta riscul ca o procedura de fond a auditorului sa nu detecteze o informatie eronata ce exista in soldul unui cont sau categorie de tranzactii, care ar putea fi semnificativa in mod individual, sau cand este cumulata cu informatii eronate din alte solduri sau categorii de conturi. Nivelul riscului de nedetectare este legat direct de procedurile de fond ale auditorului. Spre deosebire de riscul inerent si riscul de control, riscul de nedetectare poate fi controlat de auditor prin: planificarea adecvata a auditului; stabilirea corespunzatoare a naturii, duratei si intinderii lucrarilor; identificarea si evaluarea performantelor procedurilor de audit. Riscul de nedetectare poate fi influentat de catre auditor prin schimbarea naturii, perioadei de timp si extinderea testelor de fond, aplicate asupra soldului unui cont. Acesta este determinat dupa stabilirea a doua componente ale riscului de audit: riscul inerent si riscul de control. In determinarea riscului de nedetectare, auditorul va trebui sa ia In considerare, de asemenea, probabilitatea ca acesta a facut o eroare, cum ar fi neaplicarea unei proceduri de auditare sau neinterpretarea uneia din probele de audit obtinute. Aceste aspecte ale riscului de nedetectare pot fi reduse (atenuate) printr-o planificare adecvata, o supervizare atenta, precum si prin respectarea standardelor de control a calitatii auditului. Pentru auditorul financiar riscul este vazut prin prisma misiunii si obiectivelor de audit. Insa, identificarea si cuantificarea riscurilor de audit in cadrul planificarii misiunii se afla in corelatie cu managementul riscurilor existent in cadrul entitatii. Astfel, daca entitatea auditata are implementat un management al riscurilor dovedit a fi eficient, acesta reprezinta un reper pentru auditor in evaluarea riscurilor legate de misiune, in sensul ca riscul general de audit va fi mai scazut si astfel nivelul de asigurare oferit de auditor va fi unul ridicat. In analiza procesului de audit, evaluarea riscului ocupa un loc deosebit de important. Riscul de audit ar putea fi definit ca riscul pe care un auditor si-l asuma de a

emite o opinie de audit neadecvata in ceea ce priveste situatiile financiare pe care le auditeaza. Standardele de audit retin urmatoarea definitie pentru riscul de audit: Riscul pe care auditorul Il atribuie unei opinii de audit neadecvate, atunci cand situatiile financiare contin informatii eronate semnificative. Din acest motiv, auditorii urmaresc in mod special, inca din momentul in care accepta misiunea de audit, dar si pe tot parcursul misiunii in sine, riscurile care pot aparea si care ii pot conduce la opinii care nu reflecta realitatea. Dupa momentul identificarii riscurilor, auditorii isi stabilesc intinderea procedurilor de audit in functie de zonele de risc. Evaluarea riscurilor presupune evaluarea probabilitatii de materializare a riscurilor si a impactului (consecintelor) asupra obiectivelor in cazul in care acestea se materializeaza. Un sistem coerent de evaluare a riscurilor, implementat intr-o entitate, se caracterizeaza prin: - existenta unui proces structurat de evaluare a binomului probabilitate, impact pentru fiecare risc identificat; - inregistrarea evaluarii riscurilor intr-un mod care sa permita monitorizarea si identificarea ordinii de prioritati in tratarea riscurilor; - diferentierea clara a riscurilor inerente de riscurile reziduale. Evaluarea riscurilor trebuie: - sa se bazeze, pe cat posibil, pe dovezi obiective (impartiale si independente); - sa aiba in vedere pe toti cei afectati de risc; - sa faca distinctia intre expunerea la risc si tolerabilitatea la risc. Scopul evaluarii riscurilor este de a stabili o ierarhie a riscurilor unei entitati care, in functie de tolerabilitatea la risc, permite stabilirea celor mai adecvate modalitati de tratare a riscurilor si delegarea responsabilitatii de gestionare a riscurilor celor mai potrivite niveluri decizionale. Ierarhizarea riscurilor este o problema dificila, deoarece exista riscuri care pot fi cuantificate si pentru care exista suficiente date stocate in documentele entitatii cum ar fi, spre exemplu, riscurile financiare, de personal sau de fiabilitate a aparaturii, dar si riscuri care nu pot fi cuantificate cum ar fi, spre exemplu, riscurile legate de credibilitate. In acest sens, exista un element comun si anume perceptia asupra riscurilor: orice metoda bazata pe perceptie este subiectiva, dar, in lipsa de altceva, este un pas inainte in comparatie cu situatia in care riscurile sunt tratate intuitiv si intamplator, uneori chiar fara sa fim constienti ca facem acest lucru. Metoda bazata pe perceptie are insa o justificare obiectiva. Nu atat nivelele evaluate ale riscurilor au importanta, cat mai ales daca riscurile sunt percepute sau nu ca tolerabile. Expunerea la risc fata de tolerabilitatea la risc este relevanta deoarece

aceasta creeaza motivatia pentru gasirea metodelor cele mai adecvate de gestionare a riscurilor. Etape ale evaluarii riscurilor: a) Evaluarea probabilitatii de materializare a riscului inseamna determinarea sanselor de aparitie a unui rezultat specific. Riscul este o problema (situatie, eveniment) ce poate sa apara (sa se materializeze), caz in care realizarea obiectivelor este afectata. Cu alte cuvinte, exista o incertitudine in aparitia situatiei sau evenimentului care poate afecta realizarea obiectivelor. b) Evaluarea impactului asupra obiectivelor in cazul materializarii riscurilor. Impactul reprezinta consecinta asupra obiectivelor (rezultatelor) asteptate care poate fi, in functie de natura riscului, negativa sau pozitiva. Managerii organizatiei, ca si celalalt personal raportat la obiectivele individuale, aflati in fata unei situatii de risc, sunt interesati sa cunoasca cat de mari sunt consecintele asupra obiectivelor urmarite daca riscurile s-ar materializa. Pentru obiectivele strategice si entitati complexe (similar, proiecte complexe, activitati complexe), evaluarea impactului devine o problema dificila ce necesita studii de impact. Impactul oricarui risc este caracterizat prin consecinte de diferite naturi; astfel, alaturi de consecinte calitative exprimate descriptiv, pot fi identificate si consecinte exprimate in termeni de buget (costuri), de efort (timp de munca) si de timp (intarzieri posibile in termenul de realizare a obiectivelor). c) Evaluarea expunerii la risc. Expunerea la risc reprezinta consecintele, ca o combinatie de probabilitate si impact, pe care le poate resimti entitatea in raport cu obiectivele prestabilite in cazul in care riscul s-ar materializa. Expunerea la risc este un concept probabilistic, exprimand o combinatie intre probabilitate si impact si are semnificatie numai inaintea producerii riscului. Riscul, dupa ce apare nu mai este o incertitudine, ci devine un fapt realizat. Conform teoriei probabilitatilor aceasta inseamna ca probabilitatea de aparitie (materializare) a riscului este 1 (eveniment sigur). In concluzie, auditorul trebuie sa se asigure ca riscul de audit este redus pana la un nivel minim acceptabil si in functie de aceasta evaluare se vor stabili procedurile de audit, care sa ofere asigurarea minima de audit.