MANAGEMENTUL RISCURILOR IN MISIUNILE DE AUDIT

3.1. Definirea i tipologia riscurilor Una din principalele cauze conflictuale ntre auditori i clienii lor de audit o reprezint faptul c acetia din urm nu neleg deosebirile dintre un eec economic i un eec de audit, dar i ntre un eec de audit i un risc de audit. Un eec economic apare atunci cnd o entitate este incapabil s-i ramburseze datoriile fa de creditorii si sau s fac fa ateptrilor investitorilor din cauza unor condiii economice generale sau specifice entitii, cum ar fi: o recesiune, luarea de decizii greite de ctre management sau apariia unei concurene neateptate. Punctul culminant al eecului economic este declararea strii de insolvabilitate i chiar a falimentului. Eecul de audit apare atunci cnd auditorul exprim concluzii, recomandri eronate ca rezultat al nerespectrii Standardelor Internaionale de Audit i a respectrii principiilor Codului Etic. De exemplu : - angajarea unor debutani cu un nivel sczut de cunotine n executarea unor lucrri de audit; - lipsa scepticismului si a rationamentului profesional. Riscul de audit reprezint riscul ca un auditor s concluzioneze c sistemul de control intern este eficient i eficace, c nu exist riscuri mari, erori semnificative cnd n realitatea situaia este invers. Deoarece auditorii obin probele de audit pe baz de testare sau eantionare, ca urmare a limitrilor inerente ale auditului i sistemului de control intern, riscul de audit nu va fi niciodat nul. Inexistena riscului de audit ar nsemna o certitudine perfect. Neexercitarea scepticismului i/sau raionamentului profesional contribuie la producerea unui eec de audit. Riscul reprezint orice eveniment, aciune, situaie sau comportament cu impact nefavorabil asupra capacitii entitii de a realiza obiectivele. Majoritatea riscurilor pe care le ntlnesc auditorii sunt foarte greu de cuantificat i impun o analiz riguroas pentru a fi luate n calcul n mod corespunztor. 1. Din punct de vedere al posibilitii de apariie a riscurilor acestea sunt :

a. riscuri de natur potenial, i b. riscuri posibile. a. Riscurile poteniale sunt cele care sunt susceptibile de a se produce dac nici un control nu este exercitat pentru a le preveni sau pentru a le detecta i corecta erorile care ar putea s se produc. b. Riscurile posibile sunt acele riscuri fa de care entitatea nu are capacitatea de a le limita dect prin msuri de ntrire a controlului intern. Cnd astfel de msuri lipsesc, exist un potenial ridicat ca anumite erori s se produc fr s fie detectate sau controlate. 2. Dup specificul entitii auditate ntlnim: a. riscuri generale ; b. riscuri specifice; c. riscuri legate de sistemele informaionale; d. riscuri legate de misiunea de audit. a. Riscurile generale ale entitii auditate pot fi : riscuri de organizare - constau n principal n neformalizarea procedurilor, i pot fi : lipsa unor responsabiliti precise, insuficienta organizare a resurselor umane, documentaie insuficient, neactualizat, etc; riscuri strategice - acestea afecteaz ndeplinirea scopurilor i obiectivelor entitii : riscul de reglementare generat de schimbri de legislaie, de schimbri manageriale; riscul fiscal riscul ca unele deficiene n controlul veniturilor i cheltuielilor s afecteze negativ rezultatele sau obiectivele cu privire la obligaiile fiscale; riscul de reputaie riscul ca unele aciuni sau inaciunea companiei s mpiedice abilitatea ei de a-i atinge obiectivele; riscuri operaionale lipsa unui control asupra operaiilor cu risc ridicat, nenregistrarea n evidenele contabile, arhivare necorespunztoare a documentelor justificative, expunerea la substane toxice, radiaii, etc. riscuri financiare pli nesecurizate, nedetectarea operaiilor cu risc financiar, etc. riscuri de proiect/proces se realizeaz asupra : activelor financiare, activelor umane (cunostintele si experienta personalului), active fizice (echipamente si cladiri) etc. b.Riscuri specifice entitii auditate :

riscuri n activitatea juridic : o procedurile specifice care reglementeaz activitatea juridic sunt insuficiente, neactualizate, necunoscute, nu se aplic, nu ndeplinesc condiiile de conformitate; o insuficiena personalului, neadecvarea nivelului de experien i pregtire profesional conform lucrrilor efectuate; o dosare incomplete, acte nenregistrate, inexistena procedurilor de arhivare, accesarea de persoane neautorizate a dosarelor n cauz; o dotarea insuficient cu hard i soft aferent activitii juridice; o neactualizarea bazei de date privind legislaia; riscuri n gestiunea resurselor umane : o gestionarea dosarelor : dosare profesionale pentru fiecare salariat, fie pentru protecia muncii, actualizarea dosarelor, arhivarea lor; o organizarea recrutrii personalului : publicarea anunului de concurs, bibliografie i tematic, acceptarea unor dosare incomplete; o evidenierea prezenei, nvoirilor, concediilor : utilizarea foilor colective i a condicii de prezen, evidena concediilor medicale; o stabilirea drepturilor salariale cuvenite personalului : stabilirea eronat a plii orelor suplimentare, avansuri necuvenite acordate personalului; o gestionarea carnetelor de munc : completarea lor, accesarea de ctre persoane neautorizate. riscuri in tehnologia informaiei : o departamentul IT nu este subordonat la nivel managerial corespunztor; neformalizarea procedurilor specifice activitii desfurate (sunt insuficiente, nu sunt actualizate, nu sunt cunoscute, nu se aplic); personal de execuie neadecvat, o dotarea cu hard i soft inadecvat pentru defurarea activitii specifice, inexistena unui sistem de control sau sistem de control ineficient; o neactualizarea fiei posturilor; necuprinderea atribuiilor stabilite prin ROF n fia posturilor; inexistena unui program de pregtire profesional continu; inexistena unui sistem de evaluare a personalului; o disfuncionaliti n achiziionarea licenelor; inexistena sau neaplicarea politicii de securitate IT, inexistena unui sistem de protejarea a informaiilor confideniale existente n format electronic, expirarea programelor antivirus; o neefectuarea controalelor fizice, neluarea msurilor necesare privind recuperarea datelor n caz de dezastru, lipsa procedurilor

privind arhivarea datelor, nedesemnarea responsabilitii privind arhivarea datelor; riscuri n activitatea financiar-contabil : o organizarea registrelor de contabilitate; o conducerea contabilitii; o conducerea activitii financiare; o elaborarea situaiilor financiare; o fiabilitatea sistemului informatic financiar-contabil; o organizarea i efectuarea arhivrii documentelor financiarcontabile.

c.

Riscuri legate de sistemele informationale rezulta din conceperea sistemului de culegere si prelucrare a datelor care trebuie facuta astfel incat sa dea posibilitatea prevenirii, descoperirii si eliminarii erorilor, iar functionarea sistemului de control intern trebuie sa fie adecvata pentru diminuarea riscurilor.

d. Riscuri legate de misiunea de audit : Riscul de audit - este riscul ca auditorul s nu constate i s nu identifice neconcordane, iregulariti, abateri, s exprime recomandri neadecvate. Riscul de audit este o funcie a riscurilor de denaturare semnificativ i a riscului de detectare. Un risc de audit nul ar nsemna certitudine perfect privind eficiena i eficacitatea controlului intern, privind respectarea procedurilor i normelor interne, privind respectarea legislaiei naionale i internaionale, privind inexistena de erori sau abateri. De asemenea un risc de audit de 100% ar nsemna o incertitudine absolut. Riscul de detectare este riscul ca procedurile efectuate de auditor pentru a reduce riscul de audit la un nivel acceptabil de sczut, s nu detecteze erori sau abateri. Acest risc conduce la determinarea cantitii de probe substaniale pe care auditorul planific s o colecteze i care este invers proporional cu dimensiunea riscului de detectare. Riscul inerent reprezint susceptibilitatea asupra unei informaii care conine erori sau iregulariti. Acest risc presupune, n primul rnd, insuficiena controlului intern. Riscul inerent este invers proporional cu riscul de detectare i direct proporional cu cantitatea de informaii probante. Riscul de control este riscul s existe erori, denaturri, iregulariti, care s nu poat fi prevenite, sau detectate i corectate la timp de controlul intern al entitii. Relaia dintre riscul de control i riscul de detectare planificat este invers proporional, n timp ce relaia dintre riscul de control i probele substaniale este direct proporional. Astfel, dac auditorul concluzioneaz c mecanismele

de control intern sunt eficace, atunci riscul de detectare poate fi majorat, iar cantitatea de probe diminuat. 3.2. Identificarea i evaluarea riscurilor n cursul misiunilor, auditorii interni vor identifica toate riscurile, inclusiv cele care exced perimetrul misiunii, n cazul n care acestea sunt semnificative. Analiza riscului reprezint o etap major n procesul de audit i are drept scop s identifice pericolele din entitatea auditat, s identifice dac controalele interne sau procedurile entitatii auditate pot preveni, elimina sau minimiza pericolele, s evalueze structura/evoluia controlului intern al entitatii auditate. Evaluarea riscului reprezint o parte a procesului operaional desfurat n cadrul entitii care trebuie s identifice i s evalueze factorii interni i externi care ar putea afecta n mod negativ obiectivele entitii. Importana riscului rezult urmare a aciunii a doi factori : nivelul impactului respectiv gravitatea consecinelor i durata acestora - care se evit prin dezvoltarea unei politici de protecie; probabilitatea de apariie - care se evit prin dezvoltarea unei politici de prevenire; Analizei riscurilor cuprinde urmatoarele faze : a) analiza activitii entitii auditate; b) identificarea i evaluarea riscurilor inerente, respectiv a riscurilor, de eroare semnificativ a activitilor entitatii auditate, cu inciden asupra operaiilor financiare; c) verificarea existentei controalelor interne, a procedurilor de control intern, precum i evaluarea acestora; d) evaluarea punctelor slabe, cuantificarea i mprirea lor pe clase de risc. Auditorii interni trebuie s integreze n procesul de identificare i evaluare a riscurilor semnificative i pe cele depistate n cursul altor misiuni. Pentru realizarea msurrii riscurilor se utilizeaz drept instrumente de msurare, criteriile de apreciere. 1.Astfel, msurarea probabilitii se realizeaz n funcie de dou criterii: a) aprecierea vulnerabilitii entitii; b) aprecierea controlului intern. Probabilitatea de apariie a riscului variaz de la imposibilitate la certitudine i este exprimat pe o scara de valori pe trei nivele: probabilitate mic; probabilitate medie; probabilitate mare. a) Aprecierea vulnerabilitii entitii

Pentru a efectua aprecierea, auditorul va examina toi factorii cu inciden asupra vulnerabilitii domeniului auditabil, cum ar fi: resursele umane; complexitatea prelucrrii operaiilor; mijloacele tehnice existente. Vulnerabilitatea se exprim pe trei nivele: vulnerabilitate redus; vulnerabilitate medie; vulnerabilitate mare. b) Aprecierea controlului intern - se face pe baza unei analize a calitii controlului intern al entitii, pe trei nivele: control intern corespunztor; control intern insuficient; control intern cu lipsuri grave. 2.Msurarea gravitii consecinelor evenimentului (nivelul impactului)reprezint efectele riscului n cazul producerii sale i se poate exprima pe o scar de valoric pe trei nivele: impact sczut; impact moderat; impact ridicat.

3.3. Studiu de caz

Efectuai analiza riscurilor la SC ABC SRL cunoscndu-se urmtoarele obiecte auditabile i presupunnd urmtoarele riscuri considerate a fi semnificative:
OBIECTE AUDITABILE PE DOMENII Organizarea concursurilor

Susinerea concursurilor

RISCURI SEMNIFICATIVE Statul de funcii nu este actualizat permanent funcie de rezultatele procesului de recrutare Bibliografia incomplet/neactualizat Anunul de concurs nu ndeplinete condiiile de conformitate Anunul de concurs nu cuprinde condiiile de desfurare a concursului Anunul de concurs nu cuprinde condiiile de participare la concurs Anunul de concurs nu este afiat la sediul entitii sau pe pagina de Internet Neconcordana ntre coninutul anunului de concurs stabilit de comisie i cel publicat Dosarele candidailor pentru ocuparea posturilor nu ndeplinesc condiiile de conformitate Acceptarea unor dosare incomplete Refuzul nejustificat al acceptrii dosarelor candidailor pentru ocuparea posturilor Acceptarea contestaiilor spre analiz i soluionare fr ca acestea s fie depuse n termen de ctre candidai Respingerea nejustificat a contestaiilor Stabilirea unor subiecte din afara tematicii i bibliografiei de concurs Subiectele sunt neclar formulate sau conin erori Procesul verbal privind proba scrisa nu ndeplinete condiiile de conformitate Datele de identificare ale candidatului admis, a salariului de ncadrare i a sporurilor de care beneficiaz nu au stabilite corect Comunicarea cu ntrziere a deciziei de numire

Deciziile de numire

OBIECTE AUDITABILE PE DOMENII Salarizarea

Evidenierea prezenei, nvoirilor, concediilor

RISCURI SEMNIFICATIVE Existena unor proceduri neactualizate privind acordarea drepturilor salariale Stabilirea eronat a salariului de baz sau a unor sporuri, indemnizaii Decizia de modificare a drepturilor salariale nu a fost ntocmita Modificarea neargumentat a drepturilor salariale Salariatului nu i s-a comunicat decizia de modificare a drepturilor salariale Decizia de modificare a drepturilor salariale nu s-a comunicat Serviciului salarizare Operarea modificrii drepturilor salariale n carnetul de munc i dosarul profesional dup soluionarea contestaiilor Aplicarea eronat a indicilor salariali de echivalare a orelor peste programul normal de lucru Inexistena procedurilor referitoare la modul de eviden a prezenei, nvoirilor i concediilor Responsabilii pentru actualizarea normelor i procedurilor referitoare la modul de eviden a prezenei, nvoirilor, concediilor i recuperrilor nu au fost desemnai

Gestionarea carnetelor de munc

Insuficienta procedurilor i normelor privind administrarea carnetelor de munc Responsabilii pentru actualizarea normelor i procedurilor referitoare la administrarea carnetelor de munca nu au fost desemnai Carnetele de munca pentru fiecare salariat nu au fost constituite Accesarea de ctre persoane neautorizate a carnetelor de munca Carnetele de munc nu au fost actualizate

Funcionalitatea sistemului informatic utilizat pentru gestiunea resurselor umane

Insuficienta manualelor de operare i utilizare a sistemului informatic Manualele de operare i utilizare a sistemului informatic nu au fost actualizate Utilizarea ntr-o mare msura a procedurilor manuale Informarea personalului implicat n operarea si utilizarea sistemului informatic asupra modificrilor aduse acestuia este insuficienta Instruciunile privind ntreinerea programelor informatice nu se aplica Disfuncionalitate in instruirea utilizatorilor sau atunci cnd se produc modificri semnificative n sistemul informatic Insuficienta sistemului de prevenire/detectare a accesrilor i modificrilor neautorizate ale bazelor de date (parole, programe antivirus .a.)

OBIECTE AUDITABILE PE DOMENII Arhivarea documentelor

RISCURI SEMNIFICATIVE ndosarierea documentelor nu este inclusa in cadrul normelor i procedurilor ntocmirea OPIS-ului dosarelor nu este inclusa in cadrul normelor i procedurilor Modul de constituire al dosarelor arhivate nu este inclus in cadrul normelor i procedurilor Atribuiile i competenele privind arhivarea dosarelor activitii de gestiune a resurselor umane nu au fost nominalizate Alocarea unui spaiu insuficient arhivrii documentaiei Existena unei umiditi ridicate Protecie insuficient a documentelor fa de sursele de cldur

Rezolvare : Stabilirea factorilor de risc, ponderile acestora i aprecierea nivelurilor riscurilor

n funcie de importana i greutatea factorilor de risc se stabilesc ponderile i nivelurile de apreciere ale riscurilor. Factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, astfel :

Factori de risc (Fi) Aprecierea controlului intern F1 Aprecierea cantitativ F2

Ponderea factorilor de risc (Pi)

P1 50%

Nivelul de apreciere al riscului (Ni) N1

Exist proceduri i se aplic

N2
Exist proceduri, sunt cunoscute, dar nu se aplic

N3
Nu exist proceduri

P2 30%

Impact financiar sczut

Impact financiar mediu

Impact financiar ridicat

Factori de risc (Fi) Aprecierea controlului intern F1 Aprecierea calitativ F3

Ponderea factorilor de risc (Pi)

P1 50%

N1

Nivelul de apreciere al riscului (Ni) N2

Exist proceduri, sunt cunoscute, dar nu se aplic

N3

Exist proceduri i se aplic

Nu exist proceduri

P3 20%

Vulnerabilitate mic

Vulnerabilitate medie

Vulnerabilitate mare

Stabilirea nivelului riscului i a punctajului total al riscului

Se stabilete punctajul total pentru fiecare risc identificat pe baza analizei riscurilor, dar i n funcie de resursele alocate misiunii (numr de persoane, timpul aferent .a.) i pentru continuarea analizei, s-au mprit riscurile, n urmtoarele trei categorii.

Riscuri mici Riscuri medii Riscuri mari

1,0 - 1,7 1,8 - 2,2 2,3 - 3,0

Factori de risc (Fi) Aprecierea controlului intern F1

Ponderea factorilor de risc (Pi)

P1 50%

N1

Nivelul de apreciere al riscului (Ni) N2

Exist proceduri, sunt cunoscute, dar nu se aplic

N3

Exist proceduri i se aplic

Nu exist proceduri

Factori de risc (Fi) Aprecierea controlului intern F1

Ponderea factorilor de risc (Pi)

P1 50%

N1

Nivelul de apreciere al riscului (Ni) N2

Exist proceduri, sunt cunoscute, dar nu se aplic

N3

Exist proceduri i se aplic

Nu exist proceduri

Criterii de analiz a riscurilor Punctaj total OBIECTE AUDITABILE PE DOMENII RISCURI SEMNIFICATIVE Aprecierea controlului intern (F1) P1 50% Organizarea concursurilor Ni 2 2 1 2 1 2 2 3 3 2 2 Aprecierea cantitativ (F2) P2 30% 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 2 2 2 1 2 1 1 2 2 1 1 Ni Aprecierea calitativ (F3) P3 20% 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 1 2 1 2 2 2 2 2 1 2 1 Ni 1,8 2,0 1,3 1,7 1,5 1,7 1,7 2,5 2,3 1,7 1,5

Statul de funcii nu este actualizat permanent funcie de rezultatele procesului de recrutare Bibliografia incomplet/neactualizat Anunul de concurs nu ndeplinete condiiile de conformitate Anunul de concurs nu cuprinde condiiile de desfurare a concursului Anunul de concurs nu cuprinde condiiile de participare la concurs Anunul de concurs nu este afiat la sediul entitii sau pe pagina de Internet Neconcordana ntre coninutul anunului de concurs stabilit de comisie i cel publicat Dosarele candidailor pentru ocuparea posturilor nu ndeplinesc condiiile de conformitate Acceptarea unor dosare incomplete Refuzul nejustificat al acceptrii dosarelor candidailor pentru ocuparea posturilor Acceptarea contestaiilor spre analiz i soluionare fr ca acestea s fie depuse n termen de ctre candidai Respingerea nejustificat a contestaiilor

0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5

0,5

0,3

0,2

1,5

Susinerea concursurilor

Deciziile de numire

Salarizarea

Stabilirea unor subiecte din afara tematicii i bibliografiei de concurs Subiectele sunt neclar formulate sau conin erori Datele de identificare ale candidatului admis, a salariului de ncadrare i a sporurilor de care beneficiaz nu au stabilite corect Comunicarea cu ntrziere a deciziei de numire Existena unor proceduri neactualizate privind acordarea drepturilor salariale Stabilirea eronat a salariului de baz sau a unor sporuri, indemnizaii Decizia de modificare a drepturilor salariale nu a fost ntocmita Modificarea neargumentat a drepturilor salariale Decizia de modificare a drepturilor salariale nu s-a comunicat Serviciului salarizare Operarea modificrii drepturilor salariale n carnetul

0,5 0,5 0,5

3 3 2

0,3 0,3 0,3

3 2 2

0,2 0,2 0,2

2 2 3

2,8 2,5 2,2

0,5 0,5 0,5 0,5 0,5 0,5 0,5

2 3 3 3 2 2 2

0,3 0,3 0,3 0,3 0,3 0,3 0,3

2 2 2 2 2 1 2

0,2 0,2 0,2 0,2 0,2 0,2 0,2

1 2 2 2 2 1 1

1,8 2,5 2,5 2,5 2,0 1,5 1,8

Clasarea operaiilor n funcie de analiza riscului

Clasarea operaiilor n funcie de analiza riscului presupune gruparea obiectelor auditabile pe trei categorii (mari, medii i mic) n funcie de punctajul total al riscului stabilit mai sus, astfel : Risc mic intre 0 - 1,7 punctaj total Risc mediu - ntre 1,8 2,2 punctaj total Risc mare peste 2,3 punctaj total n continuare, riscurile mici nu vor mai fi avute n vedere pentru auditare, iar riscurile semnificative (mari i medii) vor intra n auditare i vor fi preluate pentru ierarhizare n documentul Tabelul puncte tari i puncte slabe.

OBIECTE AUDITABILE PE DOMENII

RISCURI SEMNIFICATIVE

Punctaj total

Clasare

Observaii

Organizarea concursurilor

Statul de funcii nu este actualizat permanent funcie de rezultatele procesului de recrutare Bibliografia incomplet/neactualizat Anunul de concurs nu ndeplinete condiiile de conformitate Anunul de concurs nu cuprinde condiiile de desfurare a concursului Anunul de concurs nu cuprinde condiiile de participare la concurs

1,8 2,0 1,3 1,7 1,5

Mediu Mediu Mic Mic Mic

OBIECTE AUDITABILE PE DOMENII

RISCURI SEMNIFICATIVE

Punctaj total

Clasare

Observaii

Susinerea concursurilor

Anunul de concurs nu este afiat la sediul entitii sau pe pagina de Internet Neconcordana ntre coninutul anunului de concurs stabilit de comisie i cel publicat Dosarele candidailor pentru ocuparea posturilor nu ndeplinesc condiiile de conformitate Acceptarea unor dosare incomplete Refuzul nejustificat al acceptrii dosarelor candidailor pentru ocuparea posturilor Acceptarea contestaiilor spre analiz i soluionare fr ca acestea s fie depuse n termen de ctre candidai Respingerea nejustificat a contestaiilor

1,7 1,7 2,5 2,3 1,7 1,5

Mic Mic Mare Mare Mic Mic

1,5

Mic

Deciziile de numire

Salarizarea

Stabilirea unor subiecte din afara tematicii i bibliografiei de concurs Subiectele sunt neclar formulate sau conin erori Datele de identificare ale candidatului admis, a salariului de ncadrare i a sporurilor de care beneficiaz nu au stabilite corect Comunicarea cu ntrziere a deciziei de numire Existena unor proceduri neactualizate privind acordarea drepturilor salariale Stabilirea eronat a salariului de baz sau a unor sporuri, indemnizaii Decizia de modificare a drepturilor salariale nu a fost ntocmita Modificarea neargumentat a drepturilor salariale Decizia de modificare a drepturilor salariale nu s-a comunicat Serviciului salarizare Operarea modificrii drepturilor salariale n carnetul de munc i dosarul profesional dup soluionarea contestaiilor

2,8 2,5 2,2

Mare Mare Mediu

1,8 2,5 2,5 2,5 2,0 1,5 1,8

Mediu Mare Mare Mare Mediu Mic Mediu

OBIECTE AUDITABILE PE DOMENII

RISCURI SEMNIFICATIVE

Punctaj total

Clasare

Observaii

Evidenierea prezenei, nvoirilor, concediilor

Aplicarea eronat a indicilor salariali de echivalare a orelor peste programul normal de lucru Inexistena procedurilor referitoare la modul de eviden a prezenei, nvoirilor i concediilor Responsabilii pentru actualizarea normelor i procedurilor referitoare la modul de eviden a prezenei, nvoirilor, concediilor i recuperrilor nu au fost desemnai

1,7 2,0 2,2

Mic Mediu Mediu

Gestionarea carnetelor de munc

Insuficienta procedurilor i normelor privind administrarea carnetelor de munc Responsabilii pentru actualizarea normelor i procedurilor referitoare la administrarea carnetelor de munca nu au fost desemnai Carnetele de munca pentru fiecare salariat nu au fost constituite Accesarea de ctre persoane neautorizate a carnetelor de munca Carnetele de munc nu au fost actualizate

1,8 1,7

Mediu Mic

1,5 2,2 2,3 1,8 1,8 2,0 1,8

Mic Mediu Mare Mediu Mediu Mediu Mediu

Funcionalitatea sistemului informatic utilizat pentru gestiunea resurselor umane

Insuficienta manualelor de operare i utilizare a sistemului informatic Manualele de operare i utilizare a sistemului informatic nu au fost actualizate Utilizarea ntr-o mare msura a procedurilor manuale Informarea personalului implicat n operarea si utilizarea sistemului informatic asupra modificrilor aduse acestuia este insuficienta Instruciunile privind ntreinerea programelor informatice nu se aplica Disfuncionalitate in instruirea utilizatorilor sau atunci cnd se produc modificri semnificative n sistemul informatic

1,8 2,0

Mediu Mediu

OBIECTE AUDITABILE PE DOMENII

RISCURI SEMNIFICATIVE

Punctaj total

Clasare

Observaii

Insuficienta sistemului de prevenire/detectare a accesrilor i modificrilor neautorizate ale bazelor de date (parole, programe antivirus .a.) Arhivarea documentelor

2,5

Mare

ndosarierea documentelor nu este inclusa in cadrul normelor i procedurilor ntocmirea OPIS-ului dosarelor nu este inclusa in cadrul normelor i procedurilor Modul de constituire al dosarelor arhivate nu este inclus in cadrul normelor i procedurilor Atribuiile i competenele privind arhivarea dosarelor activitii de gestiune a resurselor umane nu au fost nominalizate Alocarea unui spaiu insuficient arhivrii documentaiei

1,8 1,7 1,5 2,3

Mediu Mic Mic Mare

1,7 1,7 2,0

Mic Mic Mediu

Existena unei umiditi ridicate Protecie insuficient a documentelor fa de sursele de cldur

Tabelul puncte tari i puncte slabe

Ierarhizarea operaiilor n funcie de analiza riscurilor s-a realizat prin elaborarea Tabelul puncte tari i puncte slabe. n urma analizei au fost identificate 19 obiecte auditabile care au fost evaluate ca fiind puncte tari, diferenele fiind considerate puncte slabe. Vor fi auditate numai operaiile considerate ca fiind puncte slabe.

OBIECTE AUDITABILE PE DOMENII

RISCURI SEMNIFICATIVE

T/S

Consecintele funcionrii/ nefuncionrii controlului intern

Grad de ncredere al auditorului n controlul intern

Organizarea concursurilor

Statul de funcii nu este actualizat permanent funcie de rezultatele procesului de recrutare Bibliografia incomplet/neactualizat Anunul de concurs nu ndeplinete condiiile de conformitate Anunul de concurs nu cuprinde condiiile de desfurare a concursului Anunul de concurs nu cuprinde condiiile de participare la concurs Anunul de concurs nu este afiat la sediul entitii sau pe pagina de Internet Neconcordana ntre coninutul anunului de concurs stabilit de comisie i cel publicat Dosarele candidailor pentru ocuparea posturilor nu ndeplinesc condiiile de conformitate Acceptarea unor dosare incomplete Refuzul nejustificat al acceptrii dosarelor candidailor pentru ocuparea posturilor Acceptarea contestaiilor spre analiz i soluionare fr ca acestea s fie depuse n termen de ctre candidai Respingerea nejustificat a contestaiilor

S S
T T T T T

Mediu Mediu
Ridicat Ridicat Ridicat Ridicat Ridicat

S S
T S

Sczut Sczut
Ridicat Sczut

Ridicat

Susinerea concursurilor

Stabilirea unor subiecte din afara tematicii i bibliografiei de concurs Subiectele sunt neclar formulate sau conin erori

T T

Exist sistem de control eficient Exist sistem de control eficient

Ridicat Ridicat Sczut

Deciziile de numire

Datele de identificare ale candidatului admis, a salariului de ncadrare i a sporurilor de care beneficiaz nu au stabilite corect

OBIECTE AUDITABILE PE DOMENII

RISCURI SEMNIFICATIVE

T/S

Consecintele funcionrii/ nefuncionrii controlului intern

Grad de ncredere al auditorului n controlul intern

Salarizarea

Comunicarea cu ntrziere a deciziei de numire Existena unor proceduri neactualizate privind acordarea drepturilor salariale Stabilirea eronat a salariului de baz sau a unor sporuri, indemnizaii Decizia de modificare a drepturilor salariale nu a fost ntocmita Modificarea neargumentat a drepturilor salariale Decizia de modificare a drepturilor salariale nu s-a comunicat Serviciului salarizare Operarea modificrii drepturilor salariale n carnetul de munc i dosarul profesional dup soluionarea contestaiilor Aplicarea eronat a indicilor salariali de echivalare a orelor peste programul normal de lucru Inexistena procedurilor referitoare la modul de eviden a prezenei, nvoirilor i concediilor Responsabilii pentru actualizarea normelor i procedurilor referitoare la modul de eviden a prezenei, nvoirilor, concediilor i recuperrilor nu au fost desemnai

S S S S S
T

Sczut Sczut Mediu Sczut Sczut

Ridicat

S
T

Sczut
Ridicat

Evidenierea prezenei, nvoirilor, concediilor

S S S
S

Sczut Mediu Sczut

Mediu

Gestionarea carnetelor de munc

Insuficienta procedurilor i normelor privind administrarea carnetelor de munc Responsabilii pentru actualizarea normelor i procedurilor referitoare la administrarea carnetelor de munca nu au fost desemnai Carnetele de munca pentru fiecare salariat nu au fost constituite Accesarea de ctre persoane neautorizate a carnetelor de munca

Ridicat

T S

Exist sistem de control eficient

Ridicat Sczut

Carnetele de munc nu au fost actualizate

OBIECTE AUDITABILE PE DOMENII

RISCURI SEMNIFICATIVE

T/S

Consecintele funcionrii/ nefuncionrii controlului intern

Grad de ncredere al auditorului n controlul intern

Funcionalitatea sistemului informatic utilizat pentru gestiunea resurselor umane

Insuficienta manualelor de operare i utilizare a sistemului informatic Manualele de operare i utilizare a sistemului informatic nu au fost actualizate Utilizarea ntr-o mare msura a procedurilor manuale Informarea personalului implicat n operarea si utilizarea sistemului informatic asupra modificrilor aduse acestuia este insuficienta Instruciunile privind ntreinerea programelor informatice nu se aplica Disfuncionalitate in instruirea utilizatorilor sau atunci cnd se produc modificri semnificative n sistemul informatic Insuficienta sistemului de prevenire/detectare a accesrilor i modificrilor neautorizate ale bazelor de date (parole, programe antivirus .a.)

S S S T S S S S
T T

Sczut Sczut Sczut Exist sistem de control eficient Ridicat Sczut Sczut Sczut Sczut
Ridicat Ridicat

Arhivarea documentelor

ndosarierea documentelor nu este inclusa in cadrul normelor i procedurilor ntocmirea OPIS-ului dosarelor nu este inclusa in cadrul normelor i procedurilor Modul de constituire al dosarelor arhivate nu este inclus in cadrul normelor i procedurilor Atribuiile i competenele privind arhivarea dosarelor activitii de gestiune a resurselor umane nu au fost nominalizate Alocarea unui spaiu insuficient arhivrii documentaiei

S
T T

Sczut
Ridicat Ridicat

Existena unei umiditi ridicate Protecie insuficient a documentelor fa de sursele de cldur

Exist sistem de control eficient

Ridicat

3.4. Teste gril

1.Potrivit metodologiei de audit intern axat pe riscuri, relevana riscurilor este dimensionat prin prisma : a. consecinei riscurilor b. consecinei i probabilitii riscului c. probabilitii riscului d. niciuna dintre variantele expuse 2. n cuantificarea cantitativ a riscurilor inerente aferente activitilor auditate, un auditor a utilizat valorile cuprinse pe o plaj de la 1 la 5. Astfel : 1 are semnificaia nivel foarte redus, 2 nivel redus, 3 nivel mediu, 4 nivel ridicat, 5 foarte ridicat. Pentru o consecin medie i o probabilitate medie : a. Nivelul riscului este mediu (valoarea 3), activiti care vor face obiectul misiunilor de audit i raportului de audit; b. Nivelul riscului este mediu (valoarea 9), activiti care nu vor fi auditate; c. Nivelul riscului este mediu (valoarea 3), activiti care nu vor fi auditate; d. Nivelul riscului este mediu (valoarea 9), activiti care vor face obiectul misiunilor de audit i raportului de audit 3. Care din afirmaiile de mai jos este adevrat : a. msurarea riscurilor se face n funcie de persoana care le calculeaz; b. msurarea riscurilor depinde de probabilitatea de apariie i de gravitatea consecinelor evenimentului; c. evaluarea riscurilor nu este necesar n cadrul misiunii de audit intern. 4. Riscul de audit are drept componente: a. riscul inerent, riscul de detectare, riscul de IT; b. riscul inerent, riscul de control, riscul general specific entitii; c. riscul inerent, riscul de control, riscul de detectare; 5. Riscul de audit reprezint : a. riscul ca auditorul s exprime concluzii, recomandri eronate ca rezultat al nerespectrii Standardelor Internaionale de Audit i a respectrii principiilor Codului Etic; b. riscul ca entitate s devin incapabil s-i ramburseze datoriile fa de creditorii si sau s fac fa ateptrilor investitorilor din cauza unor condiii economice generale sau specifice entitii; c. riscul ca un auditor s concluzioneze c sistemul de control intern este eficient i eficace, c nu exist riscuri mari, erori semnificative cnd n realitatea situaia este invers. 6. Msurarea probabilitii de apariie a riscurilor se realizeaz n funcie de dou criterii : a. aprecierea vulnerabilitii entitii; aprecierea controlului intern b. msurarea gravitii consecinelor evenimentului; aprecierea controlului intern c. aprecierea vulnerabilitii entitii; msurarea gravitii consecinelor evenimentului

3.5. ntrebri recapitulative

1. Definii i clasificai riscurile 2. Enumerai riscurile specifice entitii auditate 3. Care sunt riscurile legate de misiunea de audit? Ce trebuie s fac auditorul pentru a reduce aceste riscuri? 4. Prezentai analiza riscurilor i fazele acesteia 5. Ce reprezint analiza riscurilor? Dar evaluarea? 6. Cum se realizeaz msurarea riscurilor?

BIBLIOGRAFIE
1. 2. 3. 4. M.Ghi, M.Sprncean M. Ghi, C. Iaco, C.O. Brezuleanu, M. Vorniceanu *** *** Auditul intern al instituiilor publice, Editura Tribuna Economic , Bucureti, 2004 Guvernana corporativ i auditul intern, Editura Tipo Moldova, Iai, 2009 Hotrrea CAFR nr.88/2007 privind aprobarea normelor de audit intern, publicat n M.O din 21.06.2007 Normele profesionale ale activitii de audit intern, CAFR