Capitolul 1: Noiuni introductive

1.1.

Ce este auditul intern? n ciuda titlului paragrafului enunat, nu vom ncepe discuia noastr

despre auditul intern cu o definiie a acestuia. Mai curnd, vom ncerca s explicm scopul fundamental al auditului intern i, din aproape n aproape, vom ajunge i la definirea acestei noiuni. Aa cum spuneam deci, scopul auditului intern este de a concura, alturi de alte funcii, la atingerea obiectivelor unei organizaii. Altfel spus, auditul intern trebuie s ajute organizaia s-i ating obiectivele sale. Observm c n enunul nostru am introdus un termen cheie: obiective. Asemenea fiecruia dintre noi, organizaiile i stabilesc obiective care vizeaz diferite orizonturi de timp: scurt, mediu i lung. Totodat, orice obiectiv, indiferent de orizontul de timp la care se refer, este supus unor evenimente care ar putea s pericliteze realizarea lor. Fcnd o paralel cu viaa noastr personal, s presupunem c ne stabilim ca obiectiv s obinem nota maxim la examenul de audit intern. Chiar dac am ntreprinde toate eforturile necesare pentru a ne atinge acest obiectiv, exist evenimente care, dac se produc, riscm s nu-l putem realiza. S lum un exemplu: n ziua examenului starea noastr de sntate precar nu ne permite concentrarea necesar pentru rezolvarea subiectelor de examen. Este un exemplu de risc inerent, ce nu poate fi complet eliminat, oricte precauii am ncerca s le lum. n aceeai msur, atingerea obiectivului propus este pus n pericol dac nu studiem riguros noiunile cerute pentru examen. Diferena, de aceast dat, este conferit de faptul c, prevenirea pericolului se afl sub controlul nostru: dac am lua msurile adecvate, de a studia consecvent i serios pentru examen, acest risc ar fi eliminat sau, cel puin, atenuat. De data acesta, am exemplificat un risc de

control, adic un risc ce poate fi prevenit i atenuat, dac s-ar adopta msurile necesare pentru a-l controla. Asemenea nou, obiectivele stabilite de ctre organizaii sunt ameninate de riscuri. Iat c am introdus un nou termen cheie: riscul. Dar ce este riscul? Aa cum exemplificam mai sus, fr a avea pretenia de a expune o definire tiinific, deducem c riscul reprezint un set de circumstane sau evenimente care pun n pericol atingerea unor obiective. Atunci cnd analizm situaia unor organizaii trebuie s nelegem foarte bine circumstanele sau evenimentele care reprezint riscuri pentru ea. De ce? Pentru c, aceste evenimente nu pot fi generalizate la nivelul tuturor organizaiilor. Spre exemplu, starea de rzboi ntr-o ar X este o circumstan ce genereaz riscuri pentru o societate rezident ce comercializeaz buturi rcoritoare n ara respectiv. ns pentru un productor de armament, starea de rzboi reprezint un eveniment fericit care-i genereaz ctiguri peste nivelul celor nregistrate pe timp de pace. Odat clarificate aceste aspecte, vom lansa o nou ntrebare: cine stabilete obiectivele la nivelul unei organizaii i, implicit, poart responsabilitatea atingerii lor? Aa cum noi, la nivel personal, ne stabilim propriile obiective n funcie de circumstane, presiuni care sunt exercitate asupra noastr sau la iniiativa proprie, n cadrul organizaiilor vinovat de stabilirea obiectivelor acestora este managementul. Totodat, managementul trebuie s-i asume responsabilitatea pentru atingerea acestor obiective, chiar dac procesul se soldeaz cu un eec. Ce face managementul pentru a-i atinge obiectivele? Graficul 1.1. de mai jos explic responsabilitile acestuia ntr-o manier sugestiv.

Grafic 1.1. Responsabilitile managementului privind atingerea obiectivelor unei organizaii

1. Stabilirea obiectivelor 2. Identificarea riscurilor 3. Asigurarea msurilor de control 4. Monitorizarea controlului Funcia: Managementul riscurilor Funcia: Control Intern Funcia: Audit Intern

Dei, de cele mai multe ori, se presupune c managementul personal este cel care identific riscurile, n realitate, aceast funcie este delegat unui departament cunoscut sub denumirea de Managementul Riscurilor. n mod ideal, funcia acestui departament nu trebuie s se suprapun cu funcia auditului intern. Managementul riscurilor are misiunea de a examina n permanen activitile organizaiei cu scopul de a identifica riscuri noi sau modul n care acestea au evoluat n timp. Totodat, departamentul de management al riscurilor elaboreaz i actualizeaz normele i procedurile organizaiei privitoare la controlul intern ce urmeaz a fi implementate. Printre activitile departamentului de management al riscurilor se numr edinele de analiz i evaluare a apetitului pentru risc, activiti de mare interes pentru auditul intern. n principiu, cele dou departamente din cadrul unei organizaii colaboreaz n realizarea misiunilor lor, dar nu se subordoneaz unul, celuilalt.

Aa cum se observ la celulele trei i patru din graficul de mai sus managementul unei organizaii trebuie s se asigure c, pentru a se proteja mpotriva riscurilor, i ia msuri de precauie denumite de noi, msur i de control, prin instituirea controlului intern. Apoi, pentru a se asigura c msurile de control intern sunt suficiente, eficiente i eficace n prevenirea i atenuarea riscurilor care amenin obiectivele organizaiei, este necesar o funcie independent de monitorizare i evaluare continu a controlului intern. Dei vom reveni cu detalii ntr-unul din capitolele acestei cri, pentru a evita confuziile, am simit nevoia de a delimita aici cele dou noiuni introduse: controlul intern, respectiv auditul intern. Fr pretenia de a lansa n acest context o definire tiinific a controlului intern, acesta reprezint un proces prin care riscurile sunt ameliorate. Punerea n aplicare a acestui proces necesit mecanisme, instrumente, politici i proceduri, oameni i sisteme. Spre exemplu, pentru a atenua/elimina riscul de nu ne gsi locuina devastat de hoi, fiecare dintre noi poate pune n aplicare o serie de msuri de precauie (de control) considerate fie individual, fie cumulat, n funcie de mentalitate, teama de risc, cultur, context social, posibiliti financiare etc. Printre aceste msuri se includ: asigurarea bunurilor deinute, instalarea unui sistem de alarm conectat sau nu la poliie sau o societate de paz i protecie, angajarea unui paznic, asigurarea prezenei permanente a unei persoane de ncredere la domiciliul nostru etc. Unii ar prefera adoptarea a dou-trei msuri, alii ar considera c una ar fi suficient, alii, dei recunosc riscul, nu ar adopta nici o msur, din lipsa posibilitilor financiare. Dintre toate categoriile enunate, cei mai expui riscului sunt ultimii, iar obiectivul lor asigurarea securitii locuinei poate fi sortit eecului. Asemenea nou, managementul unei organizaii dorete s se asigure c instituie mecanisme de control care s-i protejeze obiectivele stabilite de

producerea riscurilor. La nivelul unei organizaii, exemple de msuri de control ar putea fi: angajarea unui paznic la intrarea n entitate, pentru a controla riscul accesului unor persoane nedorite; utilizarea statului de plat a salariilor, pentru a controla riscul de a plti salarii necuvenite sau calculate greit; instalarea unor sisteme de alarm mpotriva incendiilor, pentru a preveni i ameliora riscul de incendii, utilizarea sistemului contabil, pentru a preveni riscul de deturnare frauduloas a investiiei acionarilor, etc. Se poate observa cu uurin c un risc poate fi ameliorat prin mai multe msuri de control, dup cum o msur de control poate preveni sau ameliora mai multe riscuri. Din acest motiv, controlul intern la nivelul unei organizaii este un sistem foarte complex. Evident c nu absolutizm: exist i societi mici care posed controale interne la un nivel minim. Adesea, persist confuzii legate de organizarea funciei de control intern la nivelul unei societi comerciale, deoarece controlul intern este confundat cu controlul preventiv, controlul de calitate a produselor, controlul financiar etc. Subliniem faptul c acestea sunt componente ale controlului intern, adic pri ale unui ntreg. Pentru a exista funcia de control intern, nu este obligatoriu s fie nfiinat un departament care s-i poarte numele. Aa cum exemplificam mai sus, un portar ndeplinete o sarcin specific de control intern, dup cum i un contabil, prin responsabilitile sale, dei nelegate n mod expres de controlul intern, reprezint implicit o roti din cadrul acestui proces complex. Totodat, reamintim c, instituirea controlului intern nu implic adoptarea unei reete de succes universal valabile. n exemplul de mai sus, am punctat faptul c fiecare individ i alege dintr-o palet de msuri de control, cele pe care le consider a fi adecvate dorinelor i posibilitilor sale. La nivelul organizaiilor, managementul este asigurat, n cele mai multe cazuri, de o echip de oameni, fiecare dintre ei avnd percepii

diferite asupra riscurilor. Astfel, controlul instituit ntr-o organizaie, reprezint adesea numitorul comun al echipei manageriale cu privire la obiectivele asumate i riscurile poteniale. Din acest motiv, modelele de organizare a controlului intern difer de la o societate comercial la alta. Graficul 1.1. de mai sus arat clar faptul c auditul intern nu reprezint acelai lucru cu controlul intern fie i numai dac am considera incompatibilitatea celor dou funcii: nu poi s monitorizezi i s evaluezi obiectiv i independent ceva ce ai face tu nsui. Prin intermediul auditului intern, managementul unei organizaii urmrete s se asigure c funcia de control intern instituit funcioneaz eficient, eficace i suficient pentru a ameliora sau elimina riscurile identificate. Altfel spus, auditul intern este cinele de paz al managementului care vegheaz funcionarea controlului intern n cadrul organizaiei. Dac poate fi spus aa, auditul intern ar fi un control permanent al controlului intern. Evident c, aa cum vom vedea n capitolele urmtoare, n ndeplinirea misiunii sale, auditul intern utilizeaz proceduri, tehnici, mecanisme, instrumente de monitorizare i evaluare asemntoare cu cele ntrebuinate de controlori. Scopul aplicrii lor ns este diferit. Iat c am ajuns la momentul n care auditul intern poate fi definit. Lsnd deoparte pentru moment definirea conceptului dat de standardele internaionale de audit intern, preferm s expunem aici definiia utilizat de Griffits. Potrivit acestuia, auditul intern furnizeaz managementului unei organizaii o opinie independent i obiectiv cu privire la faptul c riscurile cu care se confrunt organizaia sunt sau nu ameliorate la un nivel acceptabil prin controlul intern1.

D. Griffits, Introduction to risk based internal audit, 2006, pag. 4.

Definiia prezentat necesit cteva precizri suplimentare referitoare la termenii subliniai. n primul rnd, ne vom opri atenia asupra termenului furnizeaz. Auditorii interni ofer asigurarea lor ntr-o manier formal, de cele mai multe ori, n contextul unui raport al auditorului intern. Astfel, termenul enunat trebuie perceput n acest sens. Comunicare verbal a asigurrii nu este exclus dar, mai ales n condiiile reglementrilor i practicilor romneti, ea trebuie oficializat printr-un document. Sintagma opinie independent i obiectiv face trimitere la esena profesiei de auditor intern: etica profesional. Concluziile opinia2 auditorilor interni privind monitorizarea i evaluarea controlului intern nu ar avea credibilitate dac obiectivitatea i independena lor ar fi afectate. Asupra problemelor privind etica profesional a auditorilor interni vom reveni ntr-un capitol distinct al lucrrii noastre. Pentru moment, vom sublinia faptul c independena auditului intern impune stabilirea unei ierarhii n cadrul organizaiei, astfel nct, departamentul de audit s fie subordonat exclusiv consiliului de administraie, mai exact, comitetului de audit3. Totodat, independen auditorului intern este respectat atta vreme ct managementul organizaiei nu interfereaz n maniera de realizare a misiunilor de audit, respectiv nu comand opinia auditorilor. n ceea ce privete obiectivitatea, este evident faptul c neutralitatea auditorilor fa de problemele examinate este crucial pentru a garanta o opinie nepartinic. Revenind la definiia de mai sus, auditorii interni raporteaz dac riscurile sunt sau nu ameliorate prin controlul intern. Concluziile auditorilor sunt formalizate ntr-un raport indiferent de rezultatele misiunii lor, completate cu recomandri de mbuntire a controlului, n cazul n care riscurile nu sunt
2

La acest nivel, pentru a simplifica nelegerea, am utilizat termenul de opinie. n standardele profesionale, termenul folosit este asigurare. 3 Pentru detalii privind comitetul de audit vezi capitolul 9 al lucrrii.

controlate satisfctor. Noiunea de ameliorare a riscului, utilizat i anterior n acest capitol, face trimitere la caracterul general al riscului. Riscul are dou trsturi caracteristice: probabilitatea producerii riscului i efectele producerii riscului. Mai rar, exist situaii n care, prin msuri corective, riscurile sunt eliminate. Dar, n cele mai multe cazuri, riscurile nu pot fi eliminate, ci cel mult, n cazul producerii, prin msurile adoptate pot fi ameliorate efectele lor sau pot fi prevenite. De exemplu, riscul de a plti o amend de circulaie poate fi eliminat prin impunerea respectrii stricte a regulilor de circulaie. Pe de alt parte, riscul de cutremur nu poate fi eliminat deoarece, att probabilitatea, ct i efectele producerii unui astfel de risc sunt incerte. Cel mult se poate adopta o msur de asigurare mpotriva cutremurelor, astfel nct, dac riscul se produce, asigurarea ncasat s diminueze pierderile suferite (ameliorarea efectelor riscului). Altfel spus, auditul intern pleac de la premisa c, n cele mai multe cazuri, datorit limitelor inerente, controlul intern nu poate elimina riscurile, dar le poate ameliora. Exist autori care utilizeaz ca echivalent pentru riscuri ameliorate sintagma riscuri controlate. Nu este greit utilizarea interschimbabil a termenilor de mai sus atta vreme ct nu se face confuzia cu aciunea de verificare sau examinare a unui risc. n fine, ultima referin subliniat n definiia lui Griffits nivel acceptabil pune n lumin aspectul cel mai interesant, provocator i dificil care caracterizeaz activitatea unui auditor intern. Nivelul acceptabil al riscului trebuie neles prin prisma managementului. Altfel spus, managementul trebuie s decid dac riscurile sunt ameliorate la un nivel dorit de el. De ce? Dac ne reamintim faptul c managementul stabilete obiectivele, identific riscurile ii asum att meritele pentru succese, ct i vinovia pentru eecuri, devine firesc ca riscurile s fie ameliorate la un nivel pe care el l consider rezonabil. Astfel, n misiunea sa de evaluare a controlului intern i a efectelor pe care

deficienele acestuia le are asupra riscurilor i, implicit, asupra obiectivelor organizaiei, auditorul intern va folosi drept criteriu de referin apetitul pentru risc al managementului. Acest apetit pentru risc al managementului trebuie evaluat ntr-o manier continu. De ce? Pentru c, el depinde de o mulime de factori care evolueaz n timp: vrst, cultur, mentalitate, educaie, mediul economic i social, stare psihic, sex, progres tehnologic etc. La rndul lor, riscurile evolueaz n timp, iar percepia oamenilor se schimb corespunztor. Pe de alt parte, ceea ce poate fi considerat drept un risc acceptabil pentru un individ, poate fi inacceptabil pentru altul. Iar, pentru a cunoate ce nseamn pentru manageri un nivel acceptabil al riscului X, auditorii interni sunt nevoii s colaboreze cu departamentul de management al riscurilor n acest sens. Sarcina auditorilor se complic atunci cnd organizaia nu dispune de funcia de management al riscurilor, astfel c auditorii interni sunt nevoii s aplice tehnicile specifice de evaluare a apetitului pentru risc al conducerii. De aici decurge i dificultatea misiunii auditorilor interni: deseori este dificil s determini apetitul pentru risc al unui individ, cu att mai mult al unei echipe formate din n indivizi. Asupra tehnicilor utilizate de auditori n scopul evalurii apetitului pentru risc al managementului vom reveni cu detalii ntr unul din capitolele acestei lucrri. 1.2. Tipuri de audit intern Mai curnd dect ideea de a prezenta clasificri mai mult sau mai puin importante, n cadrul acestui paragraf am urmrit expunerea diferitelor tipuri de audit intern pentru a elimina confuziile, pe ct posibil. Astfel, nu vom obosi cititorul cu criterii de clasificare i, fr a pretinde o dezvoltare exhaustiv, vom explica pe scurt caracteristicile tipurilor de audit cele mai frecvent ntlnite. n practica auditului intern suntem confruntai adesea cu sintagma audit financiar. Utilizarea ei genereaz cele mai numeroase confuzii,

deoarece auditul financiar este puternic asociat cu ideea de audit al situaiilor financiare realizat de un auditor extern, deci independent. Cert este c, dei n mare parte este adevrat aceast percepie, trebuie s spunem c i auditorii interni pot realiza misiuni de audit financiar. De ce? Pentru c activitatea financiar-contabil reprezint sistemul sanguin al oricrei companii, avnd obiective i implicit riscuri asociate obiectivelor, precum i mecanisme de control destinate s amelioreze riscurile respective. Orice manager i dorete sistemul propriu de monitorizare i evaluare a activitilor financiar-contabile. Astfel, scopul misiunilor de audit financiar realizate de auditorii interni este de a examina credibilitatea sistemului contabil i de informare financiar. Diferena major ntre auditul financiar extern i auditul financiar intern const n credibilitatea i destinatarii raportului de audit. n timp ce raportul auditorilor externi se adreseaz utilizatorilor externi de informaii financiarcontabile i, prin independena total a auditorilor externi fa de clienii si, opinia lor confer un grad de ncredere sporit n raportrile financiare publice ale companiilor, raportul auditorilor interni se adreseaz n exclusivitate managementului organizaiei. Opinia auditorilor interni este jalonat de apetitul pentru risc al conducerii, n timp ce opinia auditorilor externi are drept criteriu de referin imaginea fidel n relaie cu pragul de semnificaie. De altfel, n ipoteza n care, raportul auditorilor interni privind activitatea financiar-contabil ar fi public, credibilitatea lui ar fi nul, avnd n vedere faptul c scopul principal al auditului intern este de a sprijini atingerea obiectivelor i intereselor organizaiei. Spre deosebire de acetia, auditorii externi vizeaz satisfacerea intereselor publicului larg. Exist opinii care susin c cele dou activiti auditul intern i auditul extern se suprapun, ceea ce ar conduce la o alocare neadecvat a resurselor unei organizaii. n realitate, auditul intern este mult mai larg, incluznd misiuni pe toate sectoarele de

10

activitate ale organizaiei. Mai mult dect att, aa cum vom remarca ntr-unul din capitolele urmtoare, auditul intern i auditul extern colaboreaz i i coordoneaz activitile pentru a evita astfel de suprapuneri. Auditul de conformitate reprezint un alt tip de audit intern pe care auditorii interni l realizeaz n cadrul unei organizaii. Aceast misiune presupune evaluarea calitii i gradului de adecvare a sistemelor interne instituite ntr-o organizaie pentru a se examina conformitatea acestora cu legile, regulamentele, politicile sau procedurile aplicabile la un moment dat n timp. Spre exemplu, o misiune de audit de conformitate examineaz msura n care activitile privind resursele umane dintr-o organizaie sunt realizate n conformitate cu legislaia n vigoare i cu politicile i strategia de personal stabilite de management. Altfel spus, sunt puse fa n fa realitile (de facto) cu ceea ce ar trebui s fie conform legislaiei, politicilor, etc.(de jure). Auditul operaional, unul dintre cele mai complexe tipuri de audit intern, presupune evaluarea critic a calitii i a gradului de adecvare sistemelor, metodelor, resurselor i procedurilor utilizate de organizaie, a structurii organizaionale comparativ cu responsabilitile alocate. Spre exemplu, atunci cnd o organizaie i dorete implementarea unei reforme sau restructurri, strategia de schimbare are la baz concluziile formulate de auditorii interni n urma unei misiuni de audit operaional. Prin intermediul acestui tip de audit se identific deficienele organizaionale, strategice etc. fiind astfel posibile identificarea alternativelor de aciune i adoptarea unor msuri care s corecteze deficienele respective. Auditul de management permite evaluarea calitii actului managerial, a structurii acestuia i a atitudinii managementului vis-a-vis de riscuri i control n contextul obiectivelor organizaiei. Din nefericire, denumirea acestui tip de

11

audit conduce la o atitudine rezervat a conducerii organizaiilor. n realitate, auditul de management se aseamn foarte mult cu auditul de conformitate, diferena constnd n materialul studiat: activitile manageriale. Auditorii interni evalueaz actul managerial prin raportare la criteriile predefinite pentru aceasta de ctre organizaie. Spre exemplu, s presupunem c ntr-o organizaie X, pentru a realiza o investiie la o valoare de peste un anumit plafon, procedura impune ca directorul financiar s solicite aprobarea consiliului de administraie, aprobare validat numai cu unanimitate de voturi. ntr-o misiune de audit de management, auditorul intern nu va examina, aa cum s-ar nelege, dac decizia respectiv este bun sau nu pentru organizaie, ci dac procedura de validare este respectat ntocmai n practic. Din motive lesne de neles, acest tip de audit este mai rar realizat. Auditul de eficacitate, adesea denumit i value-for-money auditing (VFM), presupune examinarea a trei coordonate definitorii: eficiena, eficacitatea i economicitatea proceselor din cadrul organizaiei4. Eficacitatea vizeaz atingerea obiectivelor fixate prin aciunile ntreprinse. Eficiena impune selectarea celor mai bune alternative sau resurse pentru a realiza un deziderat. Renard face apel la terminologia anglo-saxon, pentru a ilustra sensul eficacitii doing the right things, respectiv al eficienei doing the things right5. Economia/economicitatea (unora le place, mai curnd, termenul economicitatea) vizeaz evitarea pierderilor nenecesare. De remarcat faptul c, n special n sectorul public, misiunile de audit intern sunt de conformitate sau VFM. De asemenea, punctm faptul c auditul de eficacitate nu este sinonim cu auditul performanei: o confuzie larg rspndit. Prin auditul performanei
4

I. Gray, S. Manson, The audit process: principles, practice and cases, ediia a 2-a, Business Press Thomson Learning, 2000, pag. 223-225. 5 J. Renard, Teoria i practica auditului intern, ediia a 4-a, Ministerul Finanelor Publice din Romnia, 2002, pag. 41.

12

este examinat msura n care autoritile publice, spre exemplu, dispun de proceduri n vigoare pentru a msura i raporta propriile performane.

13