Facultatea de tiine Economice i Gestiunea

Afacerilor, Babe-Bolyai, Cluj

Rolul auditului intern n
manaementul riscului
!rofesor coordonator
"asterand
#$%ntroducere n filosofia riscurilor
Unul dintre cele mai importante si mai putin ntelese domenii care afecteaz
auditul intern este cultura organizatiei si atitudinea fat de risc.
Functia de audit intern este preocupat s stabileasc dac cultura organizational
a riscului este predominant advers la risc sau dac accept riscul si l percepe ca pe un
element de nivel corporativ. Dac, cultura riscului n cadrul organizatiei, stabilit la cel
mai nalt nivel al managementului este advers fat de riscuri, dar anumite functii sau
niveluri de management inferioare sunt iubitoare de risc, aceasta poate crea confuzie si
chiar conflict n cadrul organizatiei.
Evident c si scenariul opus acesteia este la fel de plin de pericole.
n continuare voi prezenta cele dou culturi ale riscului
1
, desi n practic n
maoritatea organizatiilor, realitatea tinde s fie o combinatie a celor dou.
Cultura advers riscului se caracterizeaz prin!
conducerea tinde s se limiteze la ceea ce stie"
stabilitatea, e#perienta si cunostintele sunt valorile esentiale si sunt atributele cele
mai cautate"
organizatia este foarte reactiv, tinde sa astepte s se ntample ceva ru si abia
apoi actioneaz"
de obicei, organizatia este e#trem de ierarhizat si maoritatea deciziilor se iau la
v$rful organizatiei"
1
%hil &riffiths, 'isc()ased *uditing, &ovver %ublishing +imited, *ldershot, England, ,--., pp. 1/(,-,
adaptare i prelucrare.
,
conducerea pierde mult timp ncerc$nd s determine cum s(si desfsoare
activittile mai eficient, n loc s se ndrepte ctre nevoile de servicii ale
consumatorilor"
n cadrul organizatiei, strategiile nu se schimb prea des, iar c$nd se nt$mpl
constituie un eveniment important"
greselile sunt personalizate, astfel nc$t oamenii sunt lipsiti de initiativ, aceasta
fiind tipic o 0cultur bazat pe vin0"
%e de alt parte, e#ist si o cultur care accept riscul, numit cultura 0se poate face0
1can do2, care se caracterizeaz prin!
inovarea si motivarea sunt cele mai apreciate valori"
e#ist preocupare pentru e#ploatarea oportunittilor si cointeresarea personalului"
luarea deciziilor maore este problema managementului general, iar abilitatea
lurii deciziilor de rutin este transmis ntregii organizatii"
orientarea principal a organizatiei este e#tern, urmrind n general asigurarea
serviciilor clientilor"
strategiile si politicile se schimb frecvent pentru a reflecta schimbarea
circumstantelor"
a gresi este destul de acceptabil 3 chiar ncuraat 3 dar a ascunde greseala este
inacceptabil"
4eoreticienii n domeniul riscurilor, recomand ca fiind foarte important s
ntelegi cultura sau subculturile organizatiei n care functionezi.
,
Dac faci parte
dintr(o cultur care accept riscul, dar n care se manifest numeroase rezistente va
trebui s compari aceast g$ndire cu observatiile auditului intern.
n acelasi timp, este important s(i identifici pe cei care accept riscul n organizatiile
adverse la risc, deoarece ei pot s fie niste 0arme periculoase aflate n libertate0, care
e#pun organizatia la amenintri neasteptate. n oricare dintre cele dou variante,
abordarea auditului intern si recomandrile acestora vor trebui s reflecte clar aceste
situatii.
,
5. &hita, 6t. 7a co, 6. 8. )rezuleanu, 5. 9orniceanu, &uvernan a 6orporativ i auditul intern, Editura
4ipo 5oldova, 7a i, ,--/, pag./:
;
n ultimii ani se recunoaste tot mai mult importanta implicrii guvernantei
corporative n managementul riscului. 8rganizatiile se afl sub presiunea identificrii
tuturor riscurilor cu care se confrunt organizatia, de la riscuri sociale, etice si de mediu
la cele financiare si operationale, precum si la modul n care le administreaz la un nivel
acceptabil. n acelasi timp, utilizarea procedurilor si politicilor de management al riscului
integrat la nivel de intreprindere 1E'5 3 Enterprise 'is< 5anagement2 s(a e#tins,
organizatiile recunosc astfel avantaele abordrii managementului riscului.
*uditul intern, n ambele sale roluri pe care le oac n acordarea de asigurre si
consultant, contribuie la managementul riscurilor ntr(o varietate de moduri, importanta
sa cresc$nd din ce in ce mai mult n conte#tul crizei financiare actuale.
8amenii intreprind activitti de gestionare a riscului pentru a identifica, evalua, gestiona
si controla toate tipurile de evenimente sau situatii care pot afecta organizatia. *cestea
pot varia de la proiecte individuale sau la definirea tipurilor de risc pentru a evalua
amenintrile si oportunittile cu care se confrunt organizatia ca un ntreg. %rincipiile
prezentate n aceast declaratie pot fi folosite pentru a ghida implicarea auditului intern n
toate procesele de gestionare a riscurilor, dar noi suntem interesati n mod deosebit de
gestionarea riscului la nivel de intreprindere, deoarece aceasta este de natur s
amelioreze procesele de guvernare dintr(o organizatie.
5anagementul riscului la nivel de intreprindere este un proces continuu,
structurat n cadrul ntregii organizatii care permite identificarea, evaluarea, decizia
asupra rspunsurilor si raportarea cu privire la oportunittile si amenintrile care
afecteaz atingerea obiectivelor sale.
E#ist multe beneficii ale ncorporrii managementului riscului n cultura
organizatiei
;
, printre care!
atentie mai mare acordat aspectelor care chiar conteaz"
reducerea timpului pierdut de conducere cu disputele"
mai putine surprize"
mai multi clienti multumiti"
proteare a reputatiei"
mai mult atentie pentru a face lucrurile corecte ntr(o manier"
;
%hil, &riffiths, 'is<()ased *uditing, &o=er %ublishing +imited, England, ,--., pp.,1(,,.
>
posibilitate mai mare de a atinge obiectivele firmei"
mai putine plangeri"
posibilitatea sporit de initiative de schimbare si atingerea beneficiilor
proiectelor?proiectate"
asumare a riscului si adoptare mult mai informat a deciziilor"
spriin pentru inovare"
costuri de asigurare mai reduse"
8biectivele abordrii managementului riscului de ctre organizatie sunt asigurarea c!
gestionarea riscului este o parte(cheie a managementului strategic al
firmei"
e#ist o abordare pozitiv a adoptrii riscului"
riscurile sunt luate n calcul n momentul adoptarii oricrei decizii"
oportunittile sunt ma#imizate gestion$nd activ riscurile si amenintrile
care pot impiedica aparitia succesului.
%entru a atinge aceste obiective, compania va adopta urmtoarea abordare!
( rspunderi clare, roluri si linii de raportare pentru gestionarea riscurilor vor fi
nfiintate si mentinute n cadrul tuturor functiilor si departamentelor"
( vor fi introduse un program de training si oportunitti pentru nvtare pentru a le
asigura managerilor dob$ndirea si dezvoltarea abilittilor si e#pertizei necesare
gestionrii riscului"
( analizele riscurilor vor fi ncorporate si considerate parte a procesului decizional,
planificrii, afacerii si revizuirilor proceselor companiei"
( msurile ntreprinse pentru gestionarea riscurilor individuale vor fi adecvate
posibilittii aparitiei si impactului potential al acestor riscuri asupra atingerii
obiectivelor firmei"
( un registru actualizat care poate fi usor accesibil tuturor celor care pot avea nevoie
de el va identifica toate riscurile strategice si operationale, va oferi o
estimare?apreciere si nregistrare a msurilor n curs al cror rol este gestionarea
acestor riscuri"
.
( vor fi msurate performantele activittilor de management al riscurilor n raport
cu telurile si oboectivele companiei"
( se va ncerca o ntelegere a riscului si a gestionrii acestuia la toate nivelurile
organizatiei, cu partenerii si actionarii maoritari, combinat cu un tratament al
riscului n cadrul organizatiei.
n literatura de specialitate riscul este un subiect predilect, ceea ce demonstreaz
importanta, dar si comple#itatea lui n economia organizatiilor. 'iscul este un termen
foarte des utilizat , dar adesea gresit nteles. n practic, organizatiile se confrunt cu o
mare varietate de riscuri, at$t interne, c$t si e#terne, care datorit acestor aspecte,
niciodat nu pot fi avute n vedere 1--@.
%entru management este important s identifice riscurile, s le evalueze si s
stabileasc toleranta la risc acceptabil, n ordinea probabilittii de aparitiei si a iminentei
impactului pe care(l pot produce, prin aplicarea instrumentelor de control
corespunztoare si analiza n vederea raportrii acestora.
Riscurile posibile sau inerente se identific pe obiective si n cadrul acestora pe
activitti sau operatii, iar prin e#ercitarea diferitelor forme de control intern, care
limiteaz?dimineaz riscurile, organizatiile rm$n s administreze numai riscurile
potentiale sau reziduale
4
.
*uditorii interni trebuie s fie primii profesionisti din cadrul organizatiilor care
nteleg si constientizeaz riscul si importanta gestionrii acestuia. *stzi, auditul intern
nu si mai concentreaz atentia pe control, ci si pe riscuri si pe modul n care se implic
managementul general n administrarea riscurilor.
Datorit insistentei n identificarea, evaluarea, tratarea, analiza si comunicarea
riscurilor pe tot parcursul demersului su, auditorul intern este pentru multi perceput ca
fiind 0D85AU+ '7B60.
Evolutia managementului riscurilor a avut un impact deosebit asupra auditului
intern si a reprezentat un salt cu implicatii enorme, respectiv!
( ndreptarea atentiei auditorilor interni de la trecut si de la prezent spre viitor"
( concentrarea auditorilor interni asupra riscurilor tranzactiilor prezente si viitoare,
elimin$nd controalele asupra tranzactiilor realizate"
>
5. &hita, 6t. 7a co, 6.8. )rezuleanu, 5. 9orniceanu, &uvernan a corporativ i auditul intern, Editua
4ipo 5oldova, 7a i, ,--/, pag. /C.
:
( spriinul acrodat managementului, ocup$ndu(se de obstacolele actuale, de care
depinde succesul organizatiei si astfel informatiile obtinute de auditori sunt de o
mai mare valoare pentru management.
n acelasi timp, implementarea unui sistem de management al riscurilor contribuie
la mbunttirea performantelor organizatiilor. 6onducerea organizatiei, n
conformitate cu cadrul normativ n vigoare
.
este aceea care trebuie s identifice
riscurile, s organizeze sistemul de administrare a riscurilor si s monitorizeze
evolutia acestora.
&$ Conce'tul de risc
6uv$ntul 0risc0 deriv de la cuv$ntul italian 0risicare0, care nseamn 0a
ndrzni0. n acest sens, riscul este o alegere, nu o soart. *ctiunile pe care ndrznim s
le intreprindem, actiuni ce depind de gradul de libertate pe care l detinem sau ni(l
asumm, toate acestea aut la definirea a ceea ce nseamn a fi o persoan uman.
Din aceast definitie rezult c ntr(adevr suntem supusi riscurilor n viata de zi
cu zi, dar detinem controlul n coordonarea lor, deoarece putem schimba multe, dac
avem timpul si nclinatia necesare.
%utem afirma c e#ist risc n tot ceea ce facem, astfel! o simpl actiune de a
traversa strada, de a te plimba cu masina, de a nota, de a bate la usa cuiva necunoscut se
poate finaliza cu o nenorocire sau cu un dezastru.
n orice activitate pe care o desfsuram e#ist riscuri. Ele se manifest ntr(un sens sau
altul, chiar dac noi nu vrem s recunoastem. ns cel mai ntelept este s ntelegem
riscurile si s ncercm s le administrm n folosul nostru.
'iscul este definit ca fiind amenintarea c o actiune sau un eveniment va afecta
n mod nefavorabil abilitatea unei organizatii de a-si atinge obiectivele si de a-si executa
cu succes strategiile.
:
.
85F%, nr. />:?,--. pentru aprobarea 6odului controlului intern, cuprinz$nd standardele de management
i control intern la entit ile publice i pentru dezvoltarea sistemelor de control managerial i 85F% nr.
1;C/?,--: de modificare i completare a 85F% nr. />:?,--., 5onitorul 8ficial nr. DD1?,--:.
:
%hil &riffiths 3 'is<()ased auditing, &o=er %ublishing +imited, England, 1//C, defini ie dat de
Economist 7ntelligence Unit, departament al guvernului britanic pag. 1D
D
Definitia aceasta evidentiaz c$tiva factori esentiali, respectiv riscul este n mod
invariabil o amenintare, adic ceva ce s(ar putea nt$mpla, amenintarea se refer la un
eveniment, adic ceva ce trebuie s se petreac pentru ca riscul s se cristalizeze, iar dac
se produce evenimentul, va avea impact asupra ndeplinirii obiectivelor organizatiei. +a
aceast definitie observm c riscul produce neaparat impact asupra obiectivelor ntr(un
mod negativ.
'iscul este posibilitatea sau sansa ca ceva s se ntmple care va avea efect
asupra obiectivelor firmei.
7
Definitia aceasta are n plus fat de avantaul de a fi o definitie simpl si usor de nteles,
cuv$ntul 0posibilitate?sans0 care este unul foarte bine ales ntruc$t sansa poate fi at$t
pozitiv c$t si negativ.
Din punctul de vedere al unui auditor intern, riscul poate fi considerat ca fiind
pulsul organizatiei. *ceast analogie ne permite ne permite s afirmm c auditorii
interni trebuie s se asigure c organizatia adopt problematica riscului si l gestioneaz,
mai degrab dec$t s tolereze amenintrile si drept urmare, s piard oportunittile.
Riscul, mai este definit ca fiind incertitudinea unui rezultat mbrcnd forma unei
probabilitti de natur pozitiva sau a unei amenintri, a unor actiuni sau evenimente si
trebuie administrat din perspectiva unei combinatii ntre posibilitatea de a se ntmpla
ceva si impactul pe care l-ar produce materializarea acestei posibilitti.
'iscul, privit n conte#tul ndeplinirii obiectivelor, prezint avantae sau
oportunitti si dezavantae sau amenintri. *stfel, dac riscul are un impact negativ
asupra atingerii obiectivelor, atunci acesta rm$ne o amenintare, iar dac riscul are
conotatii pozitive, aceastea se vor constitui n oportunitti, care pot fi ignorate sau
e#ploatate.
%erceptia asupra riscului, datorit unui control intern mbunttit se poate
transforma din sans de pierdere ntr(o oportunitate de c$stig. n concluzie, riscul nu
trebuie s fie privit doar dintr(o perspectiv negativ.
n practic, riscul se bazeaz pe incertitudini, dar si pe perceptia incertitudinii si n
acest sens se impune s vedem dac avem informatii pentru a putea administra riscurile.
D
%hil &riffiths, 'is<()ased auditing, &o=er %ublishing +imited, England, 1//C, defini ie dat de
Btandardul riscului din *ustralia i Aoua Eeeland, pag. 1D
C
n procesul de gestionare a riscurilor, resursele sunt ntotdeauna limitate si din
aceste considerente, organizatiile vor cuta un rspuns optim n problema administrrii
riscurilor, ntr(o anumit ordine de prioritti care rezult din activitatea de evaluare a
riscurilor.
%racticienii recomand responsabililor riscurilor s tin cont de faptul c riscurile
nu pot fi evitate si n aceste condittii trebuie s aib preocupri numai pentru a tine
riscurile 0n fr$u0, adic pentru a le mentine la un nivel considerat acceptabil, tolerat de
organizatie si s nu ncerce eliminarea total a acestora, deoarece aceast actiune poate
conduce la aparitia altor riscuri absolut neasteptate.
Bupravegherea riscurilor se realizeaz prin controlul intern, care este initiat de
organizatie si se poate concretiza n acceptarea riscurilor, tratarea riscurilor, transferarea
riscurilor sau ncetarea activittilor care provoac riscurile
C
.
n 0lupta0 cu diminuarea riscurilor controlul intern trebuie s fie fle#ibil, respectiv s
dezvolte controlul n anumite zone sau s reduc controlul ce apare ca fiind e#cesiv, care
complic procedurile si ncetineste modul de respectare a acestora si ridic nivelul
costurilor.
n literatura de specialitate, pe l$ng conceptul de risc sunt definite si alte
concepte si anume!
riscul inerent este riscul care e#ist n mod natural n orice activitate, definit ca
fiind riscul brut sau total, care apare nainte de aplicarea unor msuri de
interventie pentru reducerea lui, respectiv controlul intern. 8rice am face, e#ist
un risc inerent, el este un dat.
riscul re(idual este riscul care rm$ne dup e#ercitarea controlului intern, care
trebuie acceptat si supravegheat pentru a se mentine n limitele apetitului de risc si
se mai numeste si risc net. ntotdeuna va rm$ne un risc rezidual, deoarece el nu
poate fi eliminat n totalitate fr urmri si nici nu este indicat. 7nitial, riscul
rezidual este egal cu riscul inerent, dar ncepe s scad prin aplicarea sistemelor
de control.
a'etitul de risc reprezint nivelul de e#punere la risc pe care organizatia este
dispus s l accepte, respectiv riscul tolerat de organizatie, adic riscul rezidual.
C
*na 5orariu, &h. Buciu, F. Btoian, *udit intern i guvernan corporativ, Editura Universitar, ,--C,
)ucure ti.
/
*petitul de risc defineste modul cum privim riscul rezidual, dupa ce l(am administrat
n baza strategiei adoptate si dac este acceptabil sau nu.
6onceptul de apetit pentru risc este un concept relativ dificil de nteles si n
pratic variaz de la o entitate la alta, de la un departament la altul, se manifest n
functie de modul de implicare al personalului si de nivelul de cultur al organizatiei.
6onsiliul de *dministratie stabileste un nivel clar de tolerare a riscului si l aduce
la cunostinta tuturor persoanelor din cadrul organizatiei sau stabileste specialisti
mputerniciti, spre e#emplu ofiterul de riscuri, dac e#ist, pentru a determina propriul
nivel de risc pe diferite activitti?domenii.
n acest fel, oamenii devin responsabili pentru bunul mers al lucrurilor si trebuie
s dea e#plicatii atunci c$nd lucrurile merg mpotriva cursului asteptat.
Dac totusi toleranta la risc planeaz ameninttor n organizatie la diferitele sale
niveluri, atunci se impune si stabilirea indicatorilor cheie de performant pentru a stabili
nivelul de risc acceptat de 6onsiliul de *dministratie, astfel nc$t organizatia s nu fie
atras ntr(o situatie haotic care s ngreuneze sau s fac imposibil atingerea
obiectivelor.
n acest sens, de multe ori, se face confuzie ntre riscul net si riscul brut. 'iscul,
nainte de a fi msurat pentru a fi administrat este riscul brut sau ceea ce numim riscul
inerent. 'iscul, dup ce a fost administrat este riscul lent, sau ceea ce numim riscul
re(idual$
Bpre e#emplu, o profesie cum este cea de aviator, n practic poate fi destul de sigur,
deoarece e#ist o multitudine de activitti de control implementare n procedurile
operationale pentru fiecare zbor, iar toleranta la risc pentru aceast profesie se aproprie de
zero prin atentia pentru controlul de rutina si prin testarea activittilor de control.
Un 6onsiliu de *dministratie care are o strategie de considerare a riscurilor bine
implementat, verificat si dezvoltat reprezint baz pentru stabilirea tolerantei fat de
risc si are sens pentru toti managerii si angaatii organizatiei.
*petitul de risc se poate stabili prin mai multe modalitti n functie de un numr
mare de variabile cum ar fi cele financiare, de timp, de calitate. *petitul de risc stabilit
nainte ca riscul s se manifeste, pentru c altfel, de fapt, vom accepta o abatere care s(a
produs.
1-
)olutia *iabil+ a estion+rii riscurilor o re're(int+ +sirea unui ec,ilibru n
care riscul cu care con*ietuim - riscul re(idual - s+ fie eal cu riscul 'e care suntem
're+titi s+ l toler+m - a'etitul de risc$
+u$nd n considerare faptul c resursele disponibile n procesul de gestionare a
riscurilor sunt limitate si riscurile nu pot fi evitate, fiecare organizatie trebuie s si ia
toate msurile necesare p$n la nivelul acceptat, considerat tolerabil pentru organizatie,
respectiv apetitul de risc al acestora.
3. Politica de risc si strategia riscurilor
8rganizatiile din dorinta de a stp$ni riscurile cu care se confrunt ncearc s(si
elaboreze o politic n domeniu si, pe baza acesteia, strategia privind administrarea
riscurilor.
n situatia n care procesul de management al riscului nu se afl n supravegherea
unui membru al 6onsiliului de *dministratie atunci va e#ista o mai mare probabilitate ca
aceast activitate s se desfsoare eficient.
'aportul Fing
/
1*frica de Bud2 declar aceasta foarte clar! Consiliul de
dminstratie este responsabil pentru ntregul proces de management al riscurilor,
precum si pentru formarea opiniei sale asupra eficacittii procesului. !anagementul
este responsabil n fata consiliului de administratie pentru conceperea, implementarea si
monitarizarea procesului de management al riscurilor si pentru integrarea acestuia n
activittile zilnice ale companiei "paragraful #.$.$%& Consiliul de dministratie ar trebui
s stabileasc politicile si strategia de risc n legtur cu directorii executivi si
managementul de conducere. ceste politiciar trebui s fie comunicate, n mod clar,
tuturor anga'atilor pentru a se asigura c strategia de risc este inclus n limba'ul si
cultura companiei.
n practic, 6onsiliul de *dministratie poate stabili n cadrul politicii n domeniul
riscurilor un comitet de management al riscurilor sau s nsrcineze comitetul de audit cu
consilierea si supravegherea acestui proces cu scopul de a asigura e#istenta unui sistem
/
F. G. Bpencer %ic<ett, 4he Essential Gandboo< of 7nternal *uditing, Hohn IileJ K Bons +td, 4he
*trium, Bouthem &ate, 6hichester, Iest Busse# %81/C BL, England, ,--., pag. :.
11
fiabil de administrare a riscurilor. 7ndiferent de modul de organizare, 6onsiliul de
*dministratie rm$ne responsabil pentru implementarea unui management adecvat al
riscurilor.
E#ist si situatii c$nd unele organizatii au numit un director de management al
riscurilor, ofiterul de riscuri "CR(%
$)
, care raporteaz 6onsiliului de *dministratie.
4otusi, trebuie s remarcm ca aceast persoan reprezint, de fapt, functia
managementului riscurilor, deoarece ceea ce realizeaz si modul cum se comport
oamenii n cultura organizational n care triesc, determin succesul?insuccesul
organizatiei. n acelasi timp, trebuie s avem n vedere necesitatea integrrii oamenilor n
procesul de management al riscurilor 10oamenii buJ(in02, si cum s procedm pentru ca
maangementul riscurilor s fie o component a muncii lor viitoare.
n acelasi timp, rm$ne ca o problem central a politicii de risc necesitatea
e#istentei unei persoane responsabile pentru coordonarea eforturilor de administrare a
riscurilor din ntreaga organizatie. *ceast persoan trebuie s se implice n directionarea
eforturilor pentru stabilirea unor sisteme de nglobare a politicii de riscuri n activitatea
zilnic.
%ersoana responsabil cu managementul riscurilor la nivelul general al unei oragnizatii
trebuie s aib cunostinte si abilitti privind conceptul de risc, structura riscului, tipuri de
riscuri, apetitul pentru risc, guvernanta corporativ, auditul intern, abilitti de comunicare
si un spirit entuziast si energic n abordarea problematicii riscului.
Unii teoreticieni, care sustin ideea directorului de riscuri care s rezolve enigmele
riscurilor si s le dea un sens pentru management si 6onsiliul de *dministratie. *lti
teoreticieni consider c persoana potrivit trebuie s fie un e#pert intern care s poat
conduce organizatia cu respectarea politicii de risc a acesteia.
7ndiferent de solutia adoptat, toti includ n rolul resposanbilului de riscuri
urmtoarele activitti
11
!
4raducerea viziunii 6onsiliului de *dministratie asupra managementului
riscurilor"
asistarea n dezvoltarea si implementarea politicii corporative de risc"
1-
6'8 36hief 'is< 8fficer
11
F. G. Bpencer %ic<ett, 4he Essenrial Gandboo< of 7nternal *uditing, Hohn IileJ K Bons +td, 4he
*trium, Bouthem &ate, 6hichester, Iest Busse# %81/C BL, England, ,--., pp. ::(:D
1,
asigurarea oamenilor buJ(in mentionati mai devreme"
asigurarea pregatirii profesionale si a constientizrii evenimentelor, atunci c$nd
este cazul"
rspunderea la cerintele reglementrilor care au impact asupra sistemelor de
management al riscurilor"
stabilirea unei abordri strategice fat de managementul riscurilor n ntreaga
organizatie prin intermediul programelor, abordrilor corespunztoare, a
tehnicilor si aranamentelor de raportare"
asigurarea faptului c respectiva afacere rspunde la schimbrile si provocrile ce
creeaz un nou risc, n mod continuu"
stabilirea unui sistem de raportare a riscurilor din partea managerilor din cadrul
organizatiei ce poate fi utilizat pentru a furniza asigurare ce va sustine verificarea
controlului intern de ctre 6onsiliul de *dministratie"
asistarea n facilitarea e#ercitiilor si a programelor de management al riscurilor"
transformarea ntr(un centru de e#celent n managementul riscurilor si
continuarea n dezvoltarea unei infrastructuri de sustinere on(line, bazat pe
ultimele tehnologii ce va putea fi utilizat n ntreaga organizatie"
asistarea n coordonarea activittilor de management al riscurilor precum sntate
si sigurant, protectie, asigurare, calitatea produselor, probleme de mediu,
recuperarea dup dezastre, echipe de conformare si proiecte si procurare"
asigurarea consilierii asupra problemelor sensibile precum perceptia tolerantei
riscurilor si a consistentei mesaelor n diferite prti ale organizatiei"
cutarea s se implementeze un management al riscurilor n ntreaga organizatie
ca o parte integrant a proceselor e#istente precum competenta de decizie,
responsabilitatea si managementul performantei.
n parctica, trebuie s avem n vedere c rolul directorului de riscuri este acela de a
contribui la mbunttirea identificrii, evalurii, verificrii si monotorizrii riscurilor de
ctre salariatii din ntreaga organizatie si astfel s poat furniza un sistem de management
al riscului la nivelul organizatiei.
1;
*olitica n domeniul riscurilor va functiona numai dac va e#ista din partea
6onsiliului de *dministratie, prin nominalizarea unui membru responsabil al acestuia si
asigurarea resurselor necesare implementrii acestui proces sau ciclu al riscurilor?politica
de riscuri si va fi reprezentat de un document care s ofere o perspectiv asupra pozitiei
organizatiei fat de managementul riscurilor mpreun cu un mesa din partea 6onsiliului
de *dministratie. %e baza acestuia se va elabora strategia de risc care va fi mai detaliat
si va dezvolta o ndrumare adecvat pentru punerea n practic a politii de riscuri.
4otusi, n conformitate cu prevederile de mai sus, 6omitetul de *udit nu trebuie el nsusi
s administreze riscuri, sau s fie responsabil cu procesul de gestionare al acestora.
.$ !rocesul estion+rii riscurilor
8rganizatiile reprezint grupurile de oameni si cultura lor, respectiv modul n care
oamenii lucreaz, inclusiv cu erorile lor si reprezint o component esential a
managementului riscului.
%rocesul de management al riscurilor
1,
este definit ca fiind 0aplicarea sistematic
a politicilor de management, procedurilor si practicilor pentru stabilirea conte#tului,
identificrii, analizrii, evalurii, tratrii, monitorizrii si comunicrii riscului0.
6onceptul de management al riscurilor const n sarcina de a defini riscul, de
identificare si evaluare a impactului si probabilittii de materializare si, ulterior, de
stabilire a unor modalitti adecvate de administrare a riscurilor semnificative.
!anagementul riscurilor unei organizatii se afl printre nou-venitii n contextul
conceptului guvernantei corporative, care aduce o perspectiv +olostic, ca factor
integrator al prtilor unui ntreg, care este organizatia.
6ele mai multe sisteme de management al riscurilor esueaz deoarece se ncearc
impunerea unor formule logice asupra organizatiilor sau oamenilor, structurilor sau
sistemelor, formule care pot fi necuprinztoare sau prea complicate, definite vag sau
percepute insuficient si care la r$ndul lor sunt ntr(o continu miscare. n acest fel,
1,
Btandardele managementului riscurilor, *ustralia i Aoua Eeeland 1*B?AEB >;:-?1///,.2.
1>
procesul de management al riscurilor este implementat prin parcurgerea unor etape,
descrise mai sus, fr a se tine cont de realittile si cultura organizatiei.
&estionarea riscurilor este o component esential pentru succesul organizatiei si
va trebui s devin o parte intrisec a modului de functionare a acesteia, care s se afle n
atentia permanent a 6onsiliului de *dministratie prin gria comitetului de audit.
&estionarea riscurilor este un proces care presupune timp si efort din partea organizatiei
si care se realizeaz ntr(o perioad dinainte stabilit.
n acest sens, auditul intern trebuie s fie un catalizator al schimbrii, capabil s
mobilizeze conducerea organizatiei n activitatea de identificare si administrare a
riscurilor si de monitorizare a rezultatelor acesteia.
&estionarea riscurilor la nivelul organizatiei se realizeaz de oamenii de la
diferitele nivele ale acesteia, derulat de conducere si de o anumit parte a personalului,
implicat n stabilirea strategiei pentru ntreaga organizatie. %rocesul este astfel conceput
nc$t s identifice evenimentele potentiale care pot s afecteze organizatia si s
gestioneze riscurile viitoare n limitele apetitului de risc, cu scopul de a furniza un nivel
corespunztor de asigurare n privinta atingerii obiectivelor.
Gestionarea riscurilor la ni*elul orani(atiei este n str/ns+ le+tur+ cu
conducerea cor'orati*+ si cu controlul intern, asa cum am mentionat deja, dar e0ist+ o
str/ns+ cone0iune cu +sirea 'erformantei.
n vederea asigurrii atingerii obiectivelor programate se impune stabilirea
indicatorilor cheie ai performantei pe baza crora s poat fi stabilit nivelul apetitului de
risc, acceptat de ctre organizatie.
%rocesul de gestionare a riscurilor pune la dispozitia conducerii un cadru de
abordare eficace a riscurilor si posibilittilor de administrare a acestora, sporindu(i astfel
capacitatea de a consolida valoarea adugat organizatiei.
9aloarea este creat, mentinut sau erodat prin fiecare hotr$re luat de
conducere, at$t la nivel strategic c$t si n activittile cotidiene de directionare a
organizatiei.
&estionarea riscului se impune, deoarece toate entittile se confrunt cu
nesiguranta, iar provocarea cea mai mare a conducerii este aceea de a stabili ce nivel de
1.
riscuri este pregtit organizatia s accepte n misiunea ei de a aduga valoare factorilor
interesati si de a(si atinge tintele fi#ate.
1;
,tandardele 'ri*ind manaementul riscului strateic
$4
consider c
managementul riscurilor ar trebui s devin o parte integrat a modului n care
functioneaz organizatia, fiind la baza abordrilor managementului si care s nu fie
separat de activittile zilnice.
7mplementarea activittii de control intern, netin$nd cont de incertitudinile ce
e#ist si natura riscurilor interne sau e#terne organizatiei, contribuie la mentinerea
riscurilor la un nivel acceptabil. Bistemele de control intern din cadrul organizatiilor sunt
alctuite din totalitatea aranamentelor, activittilor de control si procesele de rutin
specifice, care n termenii managementului riscurilor, asigur atingerea obiectivelor
acesteia.
n continuare, o serie de msuri de administrare a riscurilor, care ar trebui s fie
dezvoltate n urul considerentelor bidimensionale, probabilitate si impact, astfel!
nc+eierea actiunii n situatia n care riscurile sunt ridicate sau costurile de
supraveghere e#agerate"
un anumit tip de control, adaptat la specificul riscului si considerat a fi cea mai
bun solutie"
mprtirea riscurilor sau transferul acestora"
mpreurri neprevzute ( care implic e#istenta unui plan pentru asemenea
situatii"
asumarea riscurilor, care deriv din strategia adoptat"
comunicarea privind riscurile, ctre administratie este adesea omis, desi nu e#ist
activitti de control pentru a le aduce la un nivel acceptabil, iar riscurile sunt
medii sau chiar ridicate. n aceast situatie se impune adoptarea unei strategii de
comunicare a riscurilor astfel nc$t managementul general s fie n cunostint de
cauz privind e#istenta unui risc, care poate afecta atingerea obiectivelor
programate"
1;
&uvernan a corporativ i managementul riscurilor, 7nstitutul *uditorilor 7nterni din UF i 7rlanda,
Edi ia a 77(a, ,-->, pag.,/
1>
4reasurJ G. 5., &estionarea riscurilor, principii i concepte, ,-->, paragraful /.1
1:
tolerarea riscurilor atunci c$nd n urma evalurii impactul si probabilitatea sunt
rezonabile si pot fi acceptate"
aducerea la cunostint a riscurilor care pot crea un bloca prin faptul c nu pot fi
solutionate dec$t din e#teriorul acelora care le administreaz"
verificarea de conformitate, care deseori este trecut cu vederea, desi ar trebui s
se concentreze pe activittile cheie n care controlul este crucial pentru
diminuarea riscurilor semnificative.
1$ Eta'ele 'rocesului de estionate a riscurilor
%rocesul de gestionare a riscurilor implic realizarea unor activitMi(cheie ntr(o
succesiune logic, dup cum urmeaz!
1. identificarea riscurilor"
,. evaluarea riscurilor"
;. controlarea riscurilor"
>. analiza Ni raportare riscurilor.
1$# %dentificarea riscurilor
8 preocupare maor pentru organizaMii o reprezint identificarea riscurilor cu
care se confrunt acestea. 4oate riscurile imaginabile ar trebui identificate Ni nregistrate.
DeNi, nu e#ist un model de documentare n vederea identificrii riscurilor,
aceast activitate reprezint primul pas n constituirea unui profil al riscurilor n vederea
analizei acestora n cadrul organizaMiei.
7dentificarea riscurilor implic dou componente, respectiv identificarea iniMial a
riscurilor pe obiective, dar Ni o activitate de identificare continu a riscurilor noi, a celor
datorate schimbrilor intervenite n organizaMie sau a celor care apar datorit modificrii
legislaMiei.
1D
n practic, riscurile trebuie s fie relaMionate faM de obiective Ni s poat fi
evaluate Ni priorizate, n str$ns legtur cu obiectivele, pornind de la obiectivele
individuale Ni continu$nd cu obiectivele de ansamblu ale entitMii.
%entru toate riscurile identificate, trebuie s se stabileasc persoanele responsabile
care vor gestiona Ni monitoriza, n mod permanent riscul respectiv. 'esponsabilul de risc
se impune s aib autoritatea necesar care s asigure gestionarea cu eficacitate a
riscurilor.
bordarea activit-ii de identificare a riscurilor se poate realiza astfel!
autoevaluarea riscurilor de ctre persoanele implicate n realizarea
obiectivelor?activitMilor respective, pe nivele ierarhice prin diagnosticarea
riscurilor cu care se confrunt zilnic. *utoevaluarea poate fi realizat printr(o
abordare documentar, pe baza chestionarelor sau prin constituirea de ateliere de
lucru pe compartimente?activitMi la care s participe Ni persoane specializate, care
s deMin abilitMile de identificare a riscurilor. .n punct forte al acestei abordri
o reprezint faptul c persoanele responsabile de riscuri devin mai con/tiente
atunci cnd sunt implica-i n activitatea de identificare a riscurilor0
analiza riscurilor realizat de un compartiment special creat n cadrul entitMii sau
de o echip e#tern, contractat, care s evalueze toate operaMiile Ni activitMile
organizaMiei n relaMie cu obiectivele Ni s le ataNeze riscurile adecvate. n situaMia
aplicrii acestei abordri este important ca activitMile compartimentului sau
echipei s nu submineze nMelegerea responsabilitMii n gestionarea Ni
monitorizarea riscurilor de ctre managementul de linie Ni persoanele responsabile
ale riscurilor.
2eoreticienii enle(i consider+ c+ cele mai nt/lnite cateorii de riscuri
#1
sunt
urmtoarele!
riscuri strategice ! sunt riscurile care afecteaz scopurile pe termen mediu
si lung precum si obiectivele organizatiei. &estionarea acestor riscuri este
de obicei n sarcina 6omitetului de 5anagement al 'iscului 1'562 si
curpind!
1.
%hil &riffiths, 'is<()ased *uditing, &o=er %ublishing +imited, England, ,--., pp.,,
1C
( politice! esecul ndeplinirii politicii guvernamentale"
( economice! implicatii ale schimbrilor aprute n economie1inflatia, ratele
dob$nzii, etc2"
( sociale! neputinta rspunderii la efectele schimbrilor aprute n tendintele
demografice si socio(economice, neputinta reflectrii acestora n obiectivele
companiei"
riscuri operationale sunt riscurile pe care managerii si conducerea le vor
nt$lni n activitatea zilnic si anume!
( competitionale! esecul de a conferi valoare banilor, calitate produselor"
( fizice?materiale! pericole legate de incendii, securitate, prevenirea accidentelor,
sntate si sigurant 1 cldiri, vehicule, masini si echipamente2"
( contractuale! esecul celor contractati de a asigura serviciile sau produsele la timp,
costul sau specificatiile.
riscuri financiare sunt riscuri semnificative care rm$n n permanent n
atentia managementului si pot fi esecuri n planificarea financiar,
controlul bugetar, gestiunea fondurilor si monitorizri sau raportri
incorecte sau inadecvate.
1:
riscuri privind reputatia sau brandul sunt acele riscuri asociate cu zona
de mass(media si orice alte actiuni sau inactiuni care pot varia marca sau
reputatia companiei.
riscuri informationale si legate de 12 sunt riscuri de tehnologia 74 care se
afl ntr(o permanent miscare si anume!
( te+nologice! lipsa capacittii de confruntare cu ritmul si magnitudinea
schimbrilor, lipsa abilittii de a folosi tehnologia ca rspuns la nevoile n
schimbare, esecuri interne de natur tehnologic, esecuri privind achizitionarea
tehnologiei"
( fizice legate de 12! defectiuni ale echipamentelor 74, de telefonie"
riscuri privind personalul
1:
5. &hita, 6t. 7a co, 6. )rezuleanu, 5. 9orniceanu, &uvernan a corporativ i auditul intern, Editura
4ipo 5oldova, 7a i, ,--/, pag.1,C.
1/
( profesionale! esecuri datorate lipsei de discernm$nt financiar, lipsa unui personal
specializat, lipsa consultrii privind dezvoltrile"
( conducerea si managementul! lipsa de personal cheie sau inabilitatea pstrrii
acestuia, imposibilitatea asigurrii unei pregtiri profesionale adecvate.
E#ist multe metode care pot fi folosite pentru a identifica potentialele riscuri!
( =or<shop(uri 1nt$lniri de lucru2"
( planificarea de scenarii"
( analizarea creantelor trecute si a altor pierderi"
( analizarea incidentelor?esecurilor trecute"
( inspectiile privind sntatea sau siguranta"
( training pentru nceptori"
( revedere a performantelor trecute"
( realizarea feed(bac<(ului ntre conducere si clienti.
n practic, mai e#ist si alte categorii de riscuri av$nd n vedere anumite criterii, astfel!
o probabilitatea aparitiei !
( riscuri potentiale, susceptibile s se produc dac nu se instituie un control
eficient care s le previn si?sau s le corecteze"
( riscuri posibile, reprezentate de acele riscuri potentiale pentru care managementul
nu a ntreprins cele mai eficiente msuri pentru a le elimina sau pentru a le
diminua impactul.
o natura riscurilor
( riscuri strategice, referitoare la realizarea unor actiuni gresite, legate de
organizare, de resurse, de mediu, de dotarea 74"
( riscuri informationale, referitoare la adoptarea unor sisteme nesigure sau
neperformante pentru prelucrarea informatiilor si pentru raportare"
( riscuri financiare, legate de pierderea unor resurse financiare sau acumularea de
pasive inacceptabile.
o natura activittilor si operatiilor desfsurate n cadrul entittilor!
( riscuri legislative"
( riscuri financiare"
( riscuri de functionare"
,-
( riscuri comerciale"
( riscuri uridice"
( riscuri sociale"
( riscuri de imagine"
( riscuri legate de mediu"
( riscuri ce privesc securitate informatiilor.
o specificul entittilor !
( riscuri generale, privind situatia economic, organizarea si atitudinea conducerii"
( riscuri legate de natura activittiilor?proceselor?operatiilor specifice"
( riscuri privind conceperea si functionarea sistemelor"
( riscuri referitoare la conceperea si actualizarea procedurilor.
6onform Aormelor generale privind e#ercitarea activittii de audit public intern
1D
,
riscurile se clasific astfel!
riscuri de organizare, cum ar fi! neformalizarea procedurilor, lipsa unor
responsabilitti precise, insuficienta organizare a resurselor umane, documentatia
insuficient sau neactualizat"
riscuri operationale! nenregistrarea n evidentele contabile, arhivare
necorespunztoare a documentelor ustificative, lipsa unui control asupra
operatiilor cu risc ridicat"
riscuri financiare! plti nesecurizate, nedetectarea operatiilor cu risc financiar"
alte riscuri, cum ar fi cele generate de schimbri legislative, structurale,
manageriale, etc.
1$& E*aluarea riscurilor
n aceast etap se evalueaz importanta riscurilor care au fost identificate si ar
trebui s graviteze n urul componentelor bidimensionale, impact si vulnerabilitate.
5area maoritate a riscurilor se preteaz la o diagnosticare numeric, n special
riscurile financiare sau cu conotatii financiare, dar e#ist si riscuri a cror evaluare are o
1D
85F% nr. ;C?,--; pentru aaprobarea Aormelor generale privind e#ercitarea activit ii de audit public
intern, 5onitorul 8ficial nr. 1;- bis?,--;.
,1
pesrpectiv mult mai subiectiv, de e#emplu riscul de imagine, riscul de reputatie, riscul
de brand. Din aceste considerente, evaluarea riscurilor devine mai mult o art dec$t o
stiint.
Evaluarea riscurilor va fi realizat prin!
aprecierea at$t a probabilittii de materializare a riscurilor, c$t si a impactului
riscului n situatia materializrii acestuia"
clasificarea pe ; nivele! mare? mediu? mic a fiecrui risc, care vor conduce la o
matrice ;#;.
n continuare un model concret de constituire a matricei pentru evalurea
riscurilor
1C
din cadrul organizatiei redat in figura de mai os, !atricea evalurii
riscurilor n functie de coordonatele probabilittii si impactului, structurate fiecare pe
o scar de ; nivele.
!atricea evalurii riscurilor
1C
%hil &riffiths, 'is<()ased *uditing, &o=er %ublishing +imited, England, 1//C, pp.,>(,., adaptare i
prelucrare.
,,
Sursa! !. 3+ita, Ct. 1atco, C.(. 4rezuleanu, !. 5orniceanu, &uvernanta corporativ si
auditul intern, 6ditura 2ipo !oldova, 1asi, 7))8, pag. $#7.
%robabilitatea aparitiei se descrie pe verticala matricei n functie de specificul
organizatiei si de tipurile sale de risc si poate fi!
mare 3 foarte probabil s se nt$mple 1n 1(, ani2"
medie 3 este probabil s se petreac mai putin frecvent si este mai dificil
de anticipat 1probabil s se nt$mple o dat la fiecare ;(1- ani2"
8 dat la
1(, ani



























!
R
3
B
A
B
%
4
%
2
A
2
E
A
Ridicat+ 4
8 dat la
;(1- ani "oderat+ 2 5
8 dat la
1- ani sau
mai puMin
Redus+ 1 3 5
6 ,esizabil ,emnificativ Critic
%"!AC274
,ub $)).)))
*tribuMii
semnificative
nendeplinite sau
pl$ngeri
frecvente
$)).)))-
9)).)))
nclcri
normative
maore sau
apariMii n presa
local
*este 9)).)))
nclcri
normative critice
sau apariMii n
presa naMional
,;
mic 3 foarte putin probabil s aib loc 1o dat la fiecare 1- ani sau chiar
mai putin frecvent2"
7mpactul asupra organizatiei se descrie pe orizontala matricei dup specificul
organizatiei si tipurile sale de risc si poate fi!
ridicat ( efect catastrofic asupra operatiunii!
( pierderi financiare uriase, respectiv mai mult de .@ din totalul costurilor sau
veniturilor"
( ntreruperi maore ale serviciilor 1 mai mari de . zile2"
( moartea unor persoane"
( esecul complet al proiectului sau nt$rzieri ndelungate 1peste , luni2"
( publicitate negativ n presa national"
moderat 3 efect semnificativ, dar nu catastrofic asupra
operatiunilor, care se poate materializa n urmtoarele forme!
( pierderi financiare semnificative, respectiv mai mult de ,@ din totalul costurilor
si veniturilor"
( ntreruperi semnificative ale afacerii1 ,(. zile2"
( rnirea sever a unei persoane sau a mai multor persoane"
( efect advers asupra proiectului sau derapri semnificative"
( publicitatea negativ n presa regional"
sczut 3 consecintele nu vor fi at$t de severe si orice pierderi sau
implicatii financiare vor fi relativ sczute, astfel!
( un oarecare efect asura oferirii serviciilor 1o zi2"
( rnirea minor a unei persoane sau a mai multor persoane"
( c$tiva clienti pl$ng"
n practic nu e#ist un standard absolut pentru realizarea matricei riscurilor. Din
aceste considerente, organizatia trebuie s aung la un rationament privind nivelul de
analiz care serveste cel mai bine propriilor interese. *stfel, pot fi utilizate si
matricele de .#. cu urmtoarele nivele! nesemnificativ? minor? moderat? maor? grav.
Din analiz rezult c nu valoarea absolut a riscului evaluat este important, ci
gradul de tolerabilitate al riscului, sau apetitul de risc al unei organizatii. *petitul de
,>
risc privit pe ansamblul organizatiei este de o comple#itate deosebit, de aceea
analiza trebuie cobor$t la nivelul individual al riscurilor.
6unoasterea riscului inerent va permite o mai bun analiz a situatiilor n care
e#ist sau e#ces de control sau controlul este supradimensionat. n situatia n care
nivelul riscului inerent se mentine n limitele apetitului de risc nu va fi necesar
alocarea suplimentar de resurse de control riscului respectiv.
Evaluarea riscurilor impune necesitatea cunoasterii riscului inerent si
determinarea riscului rezidual, care se completeaz cu etapa de tratare a riscurilor.
'iscurile odat evaluate, vor conduce la stabilirea priorittilor acestora n cadrul
organizatiei. 'iscurile maore, cu cea mai mare prioritate, trebuie s fie permanent
avute n vedere la cel mai nalt nivel al organizatiei. %riorittile riscurilor se modific
pe parcursul procesului de gestionare pe msura tratrii acestora.
Evaluarea riscurilor este parte a procesului operational si trebuie s identifice si s
analizeze factorii interni si e#terni care ar putea afecta n mod negativ obiectivele
organizatiei.
Factorii interni pot fi! natura activittilor entittii, calificarea personalului,
schimbri maore n organizare sau randamentul angaatilor, iar factorii e#terni pot fi!
variatia conditiilor economice, legislative sau schimbrile intervenite n tehnologie.
Evalurile riscurilor trebuie s acopere toat gama de riscuri din cadrul entittii,
de aceea trebuie lucrat la toate nivelele ierarhice, mai ales la cele nalte.
%rocesul de evaluare trebuie s descopere riscurile msurabile si riscurile
nemsurabile, cum ar fi cele operationale si s le selectioneze pe cele controlabile.
5anagementul prin activittile de control prestabilite identific riscurile si le
analizeaz evolutia acestora la nivelul organizatiei. Departamentul de audit intern
fiind o structur independent, reia analiza riscurilor stabilite de management n
vederea evalurii sistemului de control intern.
Evaluarea riscurilor este o preocupare at$t a auditorilor interni, pe care o
realizeaz n conformitate cu standardele lor profesionale, c$t si a controlului intern,
n vederea oferirii unor servicii performante pentru management.
*uditorii interni trebuie s raporteze rezultatele activittii lor managementului
general si orice slbiciune semnificativ descoperit pe parcursul desfsurrii
,.
auditului. 6u toate acestea auditorii se confrunt cu propriul lor risc! riscul de audit,
riscul de control si riscul inerent.
De aceea, riscul de audit trebuie privit la nivel individual, cont bilatier sau clas
de tranzactii, deoarece va conduce la conturarea ariei auditului si la stabilirea
procedurilor de audit intern care se impun a fi utilizate n etapa de interventie la fata
locului.
Riscul inerent este riscul ca o eroare material s se produc si reprezint
totalitatea riscurilor care planeaz asupra organizatiei si poate fi constituit din riscuri
interne sau e#terne, msurabile sau nemsurabile.
Riscul de control este riscul ca sistemul de control intern al entittii s nu
mpiedice sau s corecteze n totalitate efectele riscurilor inerente care pot s apar si
care rm$n oric$t control s(ar efectua. Este str$ns legat de mediul de control n care
functioneaz organizatia, dar si de activittile de control implementare, care trebuie
astfel concepute nc$t s aduc riscurile si s le mentin la nivelul tolerabilittii, n
limitele apetitului de risc stabilit de 6onsiliul de *dministratie. Deficientele
constatate n sistemul de control intern reprezint riscuri de control.
Riscul de audit care rm$ne oric$t control intern si audit intern s(ar desfsura n
cadrul organizatiei. *cest risc este riscul de nedetectare, riscul ca o eroare material
s nu fie depistat, nici de control, nici de auditorii interni sau e#terni. n practic,
riscurile de audit sunt riscuri reziduale care mai pot aprea chiar si dup activitatea de
monitorizare a riscurilor.
Riscul de audit repezint posibilitatea de a fi formulate recomandri si concluzii
asupra entittii auditate, eronate, n mod material sau neconforme cu realitatea.
Fiecare organizaMie are nevoie de mai multe elemente pentru instituirea unui sistem de
control intern eficient, Ni anume!
existen-a unui mediu de control, respectiv! oamenii, competenMa profesional,
integritatea Ni valorile lor"
evaluarea riscurilor0
urmrirea adecvat a evolu-iei acestora, motiv pentru care trebuie Ntiut unde
se gsesc acestea n organizaMie"
,:
odat Ntiute riscurile, apare necesitatea activit-ilor de control care s le
elimine sau s le diminueze impactul Ni probabilitatea.
%entru o bun evaluare a riscurilor este nevoie s cunoaNtem entitatea, activitMile
auditabile, riscurile asociate Ni activitMile de control intern care funcMioneaz.
6valuarea riscurilor este o problem permanent deoarece conditiile se sc+imb
mereu, apar noi reglementri, apar oameni noi, apar obiective de actualitate si toate
aceste sc+imbri modific n permanent +arta riscurilor, care niciodat nu poate fi
definitivat
$8
.
Evaluarea riscurilor nseamn identificarea si analiza riscurilor relevante,
structurate pe obiective auditabile n vederea stabilirii modului n care acestea vor fi
administrate. Deoarece, conditiile economice, umane si de reglementare sunt ntr(o
continu schimbare, controlul intern trebuie s identifice si s se ocupe de riscurile
speciale, asociate schimbrii.
naliza riscurilor nu reprezint o /tiin- exact. *rin stabilirea activit-ilor de
control se urmre/te ca riscurile ridicate s devin medii sau sczute, pn la o
eventual dispari-ie ulterioar. (ricum riscurile trebuie s : evolueze ; n 'os.
n practica auditorilor interni, evaluarea riscurilor reprezint o etap maor Ni se
realizeaz pentru elaborarea *lanului anual de audit intern Ni a *rogramului de audit din
etapa de *regtire a misiunilor de audit intern.
n acelasi timp, activitatea de evaluare a riscurilor este o component esenMial a
managementului riscurilor Ni se realizeaz sistematic, cel puMin o dat pe an, pentru
actualizarea analizei riscurilor dar Ni pentru identificarea de riscuri noi, cu ocazia
elaborrii Registrului Riscurilor.
3. Controlul riscurilor
6ontrolul riscurilor se realizeaz cu scopul de a transforma incertitudinile ntr(un
avanta pentru organizaMie, limit$nd nivelul ameninMrilor.
8rice msur luat de organizaMie pentru controlul riscurilor se ncadreaz n
cunoscutul <sistem de control intern<.
1/
5. &hi , &uvernan a 6orporativ, Editura Economic, )ucure ti, ,--/.
,D
6ontrolul riscurilor presupune realizarea urmtoarelor activitMi!
( tolerarea"
( tratarea"
( transferarea"
( ncetarea"
( oportunitMi.
a$ 2olerarea riscurilor
'iscurile pot fi acceptate fr s fie necesar luarea vreunei msuri. n cazul unor
riscuri, chiar dac cu greu sunt tolerate, nu ntotdeauna avem posibilitatea s acMionm
datorit, spre e#emplu, costului msurilor respective, care pot s fie disproporMionate.
8pMiunea aceasta poate fi completat de 0un plan pentru situa-ii neprevzute< care s
atenueze posibilul impact care ar putea fi resimMit n situaMia materializrii riscurilor
,-
.
b$ 2ratarea riscurilor
5area maoritate a riscurilor sunt controlate cu scopul de a fi tratate. *stfel, n
timp ce organizaMia Ni desfNoar activitMile care au generat riscurile, se instaleaz un
instrument de control care menMine efectele riscului n limite acceptabile.
4ratarea ineficient a riscurilor poate produce o criz corporativ care s conduc
la pierderi semnificative. n practic, pentru tratarea riscurilor se utilizeaz urmtoarele
categorii de instrumente de control!
o 1nstrumente de control preventiv
7mplementarea acestor instrumente se realizeaz atunci c$nd se urmreNte ca un
rezultat nedorit s nu se materializeze sau pentru a limita efectele riscurilor nedorite care
s(ar putea concretiza.
5aoritatea instrumentelor de control puse n aplicare sunt din categoria riscurilor
de control preventiv.
E#emple de instrumente de control preventiv!
,-
5.&hita, 6t. 7aMco, 6. 8.)rezuleanu, 5. 9orniceanu, 3uvernan-a corporativ /i auditul intern, Editura
4ipo 5oldova, 7aNi, ,--/, pag. 1;C.
,C
segregarea sarcinilor, prin care o persoan nu are autoritatea de a acMiona far
consimMm$ntul alteia, astfel persoana care realizeaz o plat este alta dec$t
cea care a efectuat comanda"
limitarea acMiunilor persoanelor autorizate, respectiv doar persoanele instruite
special pot efectua anumite activitMi speciale, cum ar fi! inventarierea
patrimoniului, controlul casieriei, instruirea personalului N.a.
e#ternalizarea asigurrii unor servicii, precum! 74, contabilitate, resurse
umane, audit N.a.
o 1nstrumente de control corectiv
Bcopul acestor instrumente este acela de a corecta rezultatele nedorite care s(au
materializat Ni reprezint o modalitate de recuperare a daunelor sau a pierderilor.
E#emple de instrumente de control corectiv!
includerea unor clauze n contract care permit recuperarea sumelor pltite
neustificat"
asigurarea, care faciliteaz recuperarea financiar a unor sume n cazul
materializrii unor riscuri"
planurile pentru situa-iile neprevzute reprezint un miloc prin care o
organizaMie Ni planific Ni asigur continuitatea n cazuri de criz, pe care nu
le poate controla.
o 1nstrumente de control directiv
*ceste instrumente de control sunt concepute s asigure realizarea unui anumit
rezultat, respectiv sunt esenMiale atunci c$nd se doreNte ca efectele unui anumit risc
nedorit care s(ar putea materializa, s fie orientate ntr(o anumit direcMie tolerabil de
ctre organizaMie.
E#emple de instrumente de control directiv!
instruirea Ni deprinderea personalului cu anumite abilitMi"
asigurarea pregtirii profesionale a personalului ntr(un domeniu special,
respectiv 74, control, audit N.a"
,/
n general, echipamentele de protecMie pentru activitMile periculoase.
o 1nstrumente de control detectiv
Bcopul acestor instrumente este s identifice situaMiile nou rezultate nedorite care
au avut loc. 7mplementarea unor astfel de instrumente fiind ulterioar
evenimentelor?riscurilor, de regul, se accept unele daune sau pierderi suferite.
E#emple de instrumente de control detectiv!
activitMile de inventariere a stocurilor, care detecteaz unele miNcri realizate
far autorizaMie"
controlul reciproc Ni ncruciNat, care poate detecta unele tranzacMii neconforme
sau neautorizate"
monitorizarea activitMilor de implementare care ne permit s detectm
anumite modalitMi practice pozitive care pot fi utilizate Ni n alte proiecte.
c$ 2ransferarea riscurilor
E#ist riscuri pentru care cea mai bun soluMie este transferarea lor. *ceast
opMiune este benefic mai ales n cazul riscurilor financiare sau patrimoniale Ni poate fi
fcut printr(o asigurare sau prin plata unei terMe prMi care s gseasc o alt modalitate
de asumare a riscului
,1
.
4ransferarea riscurilor se poate realiza fie prin reducerea e#punerii la risc, fie
pentru c o alt organizaMie este mai capabil sau specializat n gestionarea unor astfel de
riscuri. n general, nu se pot transfera riscurile legate de reputaMie, de brandul
organizaMiei, astfel e#ist Ni riscuri netransferabile sau netransferabile integral.
n acelaNi timp, relaMiile cu terMe prMi crora li s(au transferat riscuri trebuie
gestionate cu mare atenMie de organizaMie pentru a se asigura succesul transferului.
E#ist situaMii n care organizaMiile nu pot s gestioneze direct riscurile Ni n acest
caz singura soluMie este elaborarea programelor pentru situa-ii neprevzute ( spre
e#emplu terorismul internaMional sau apariMia cutremurelor de pm$nt, care le va asigura
continuitatea activitMilor n cazul n care acele riscuri s(ar concretiza.
,1
3uvernan-a corporativ /i managementul riscurilor, 7nstitutul *uditorilor 7nterni din 5area )ritanie Ni
7rlanda, EdiMia a 77(a, ,-->.
;-
Din aceste considerente este necesar ca organizaMiile s(Ni analizeze mediul extern
extins de risc Ni s(Ni stabileasc Ni strategia de gestionare a riscurilor, care i pot afecta.
*lte elemente care pot afecta funcMionarea organizaMiilor sunt chiar guvernul prin
posibilitatea de implementare a unor constr$ngeri de natur economic, de retribuire a
personalului sau ale condiMiilor specifice pentru care organizaMiile trebuie s(Ni prevad
elemente de protecMie n vederea asumrii sau neasumrii unor riscuri Ni asigurrii
continurii activitMii.
d$ 8ncetarea acti*it+ilor
*numite riscuri pot fi eliminate sau menMinute n limite rezonabile numai prin
reducerea activitMilor sau prin desfiinMarea acestora.
4rebuie menMionat c aceast modalitate este caracteristic sectorului privat,
deoarece n sectorul public opMiunea ncetrii activitMii este relativ redus, chiar dac
pentru unele activitMi sunt asociate riscuri nsemnate, deoarece nu e#ist o alt
modalitate de obMinere a rezultatelor aNteptate de public.
Bpre e#emplu! pregtirea unor specialiNti o lung perioad de timp n strintate,
este nsoMit de posibilitatea nedorit a plecrii acestora din organizaMie. Desigur c
aceast opMiune poate avea o importanM deosebit n gestionarea proiectelor dac devine
clar faptul c relaMia previzionat cost(beneficii este pus n pericol.
e$ Beneficierea de 'e urma o'ortunit+ilor
*ceast opMiune trebuie luat n considerare ori de c$te ori un risc este tolerat,
tratat sau transferat.
n aceast situaMie e#ist urmtoarele posibilitMi!
simultan cu reducerea evenimentelor, riscul apare ca oportunitate. Bpre
e#emplu, dac o investiMie mare este riscant, se reevalueaz instrumentele de
control, dac sunt suficiente Ni ustific eventuale cheltuieli cu acestea"
;1
e#istenMa unor circumstanMe care negener$nd riscuri, ofer chiar oportunitMi.
Bpre e#emplu! scderea preMurilor la bunuri Ni servicii care conduce la
eliberarea de resurse ce pot fi realocate.
n situaMia conceperii unor instrumente de control, care vor fi puse n practic,
urmrim s atingem regula general, respectiv instrumentele de control s ofere o
asigurare rezonabil pentru menMinerea riscurilor Ni a pierderilor implicite n cadrul
apetitului de risc programat.
Din practic, se Ntie c fiecare instrument de control implementat, nseamn
costuri Ni de aceea trebuie fcut o analiz n legtur cu riscurile pe care le controleaz Ni
evalueaz, Ntiind c scopul controlului este s reduc riscurile sau s le elimine Ni s le
menMin n zona tolerabilitMii acceptate de organizaMie.
5anagementul trebuie s(Ni asume ntreaga responsabilitate pentru organizarea
activitMilor privind gestionarea Ni administrarea riscurilor. 'esponsabilitatea
managementului de zi cu zi al riscurilor specifice aparMine managerilor Ni conducerii,
ntruc$t ei sunt direct responsabili pentru diferitele activitMi ale organizaMiei.
n continuare, rolurile si responsabilittile ce revin angaatilor n domeniul
riscurilor
,,
n tabelul urmtor.
Roluri si responsabilitti n managementul riscurilor
&rup 'oluri
Conducerea *prob strategia 6omitetului de management al riscurilor"
6onsider riscul ca parte a tuturor deciziilor"
Urmresc anual angaamentele 6omitetului de management al
riscurilor.
Comitetul de *sigur gestionarea eficient a riscurilor pe baza strategiei de
,,
%hil &riffiths, 'is<()ased, &o=er %ublishing +imited, England, 1//C, pp.,D(,C
;,
management
al riscurilor
(!C"
23
management al riscului Ni raporteaz conducerii anual"
7dentific riscurile strategice care afecteaz organizaMia Ni face
recomandri conducerii privind modul n care acestea vor fi
gestionate.
!anagerii *sigur c riscul este gestionat eficient n fiecare funcMiune din
cardul strategiei convenite Ni raporteaz trimestrial 6omitetului
de management al riscurilor"
7dentific riscuri individuale care afecteaz activitatea lor, se
asigur c acestea sunt nregistrate n registrul riscurilor Ni c
e#ist msuri de control potrivite pentru gestionarea acestor
riscuri"
5onitorizeaz continuu adecvarea Ni eficienMa tuturor msurilor
Ni raporteaz membrului lor din 6omitetul de management al
riscurilor"
Urmresc cel puMin anual toate angaamentele privind
managementul riscului care influenMeaz activitatea lor, ca parte
a planificrii organizaMiei.
#o$i anga%a$ii Ni efectueaz sarcinile sub ndrumrile oferite de gestiunea
riscului incluzand conformitatea cu toate msurile de control
care au fost identificate"
'aporteaz pericolele?riscurile managerilor lor"
&uditul intern 5onitorizeaz dac riscurile au fost identificate adecvat Ni dac
au fost incluse n registrul riscurilor"
Urmresc adecvanMa Ni eficienMa msurilor de control n
funcMiune"
Fac recomandri managerilor, 6omitetului de management al
riscurilor Ni conducerii atunci c$nd este necesar
Sursa! !. 3+ita, Ct. 1atco, C.(. 4rezuleanu, !. 5orniceanu, &uvernanta corporativ si
auditul intern, 6ditura 2ipo !oldova, 1asi, 7))8, pag. $47.
,;
'56 3 'is< 5anagement 6ommittee.
;;
4. &nali'a (i raportarea riscurilor
*ctivitatea de supervizare a riscurilor este necesar pentru monitorizarea evoluMiei
profilurilor riscurilor Ni asigurarea c activitatea de administrare a riscurilor este
corespunztoare Ni se realizeaz prin procese de revizie a riscurilor.
*naliza riscurilor se impune a se realiza periodic, cel puMin anual, pentru a evalua
persistenMa riscului, eventuale modificri ale impactului Ni probabilitMii, apariMia unor
riscuri noi, cu scopul raportrii acestor evoluMii ale riscului care influenMeaz prioritMile Ni
furnizeaz informaMii privind eficacitatea controlului.
De asemenea, procesul general de gestionare a riscurilor trebuie supus unor
e#aminri periodice pentru a ne asigura de funcMionalitatea acestuia, de existen-a unui
sistem de revedere a riscurilor cu o frecvenM corespunztoare Ni de stabilirea unor
mecanisme de avertizare a nivelelor superioare de management cu privire la evolu-ia
riscurilor sau apari-ia altor riscuri neprevzute
74
.
n practic, procesul de gestionare a riscurilor Ni activitatea de analiz sau
revizuire a riscurilor sunt dou activitMi distincte care nu se substituie una alteia.
*rincipalele instrumente /i te+nici utilizate n procesul de analiz a riscurilor
sunt&
autoevaluarea riscurilor, care se realizeaz n scopul aprecierii pstrrii profilului
riscului la nivelul ntregii organizaMii Ni se efectueaz de fiecare salariat n parte"
raportarea managementului de linie responsabil cu administrarea riscurilor, ctre
managementul superior, cu privire la activitMile pe care le(au ntreprins, cel puMin
anual, la nchiderea e#erciMiului financiar, pe l$ng cele trimestriale Ni semestriale,
pentru a actualiza registrul riscurilor Ni sistemul de control managerial, care s
menMin un nivel corespunztor de funcMionalitate procedurile operaMionale de
lucru"
ec+ipe specializate de revizie /i asigurare a actualizrii procesului general de
administrare a riscurilor, prin care este analizat activitatea managementului de
,>
5.&hita, 6t. 7aMco, 6. 8.)rezuleanu, 5. 9orniceanu, 3uvernan-a corporativ /i auditul intern, Editura
4ipo 5oldova, 7aNi, ,--/, pag. 1>;.
;>
linie cu privire la responsabilitMile ce le revin n domeniul de activitate pe care l
coordoneaz n privinMa riscurilor Ni sistemelor de control managerial"
constituirea comitetelor de risc, care trebuie s se stabileasc de ctre conducere
( 6onsiliul de *dministraMie, ce rol se va atribui comitetelor Ni modalitatea de
organizare a acestora, respectiv!
comitetul de risc, stabilit ca un comitet al Consiliului de dministra-ie, format
din membrii non(e#ecutivi, cu atribuMii privind monitorizarea riscurilor Ni
evoluMiei acestora, care emite o opinie asupra procesului de gestionare a
riscurilor la nivelul organizaMiei, atribuMii care altfel i reveneau 6omitetului de
audit"
comitetul de risc, stabilit ca un for al directorilor executivi, care au
responsabilitMi n domeniul administrrii riscurilor Ni unde Ni mprtNesc
e#perienMe n vederea elaborrii propriilor msuri de gestionare a riscurilor Ni a
asigurrii eficacitMii gestionrii acestora. 4otuNi, aceast modalitate de
organizare a comitetelor de risc nu e#clude Ni persoane non(e#ecutive n
structura sa. n aceast situaMie atribuMiile privind monitorizarea riscurilor Ni
procesul de gestionare al acestora rm$ne la nivelul 6omitetului de audit, care
trebuie s furnizeze asigurri independente privind sistemul de administrare al
riscurilor n cadrul organizaMiei.
6ntit-ile publice trebuie s se asigure de existen-a func-iei de audit intern n
conformitate cu reglementrile n vigoare, lund n considerare c aceasta va furniza o
asigurare independent /i obiectiv asupra modului adecvat al gestionrii riscurilor,
controlului /i guvernan-ei
79
.
n cadrul entitMilor, auditorii interni pot oferi consiliere managementului, n
calitate de consultanMi interni, pentru organizarea Ni dezvoltarea proceselor de gestionare a
riscurilor, lu$nd n considerare viziunea ampl pe care o au asupra ntregului portofoliu
de activitMi care se deruleaz n cadrul organizaMiei.
=n acest sens, este important s precizm faptul c, n conformitate cu
standardele de audit intern /i cu buna practic recunoscut n domeniu&
,.
+egea nr. :D,?,--, privind auditul public intern, art. ,, 5onitorul 8ficial nr. /.;?,--,
;.
auditul intern nu se poate substitui responsabilitMii pe care o are conducerea
entitMii n problematica administrrii riscurilor"
auditul intern nu poate reprezenta un sistem integrat de revizuire Ni analiz a
riscurilor ce trebuie pus n practic de ctre managementul general Ni personalul
cu sarcini e#ecutive n privinMa atingerii obiectivelor programate.
6riterii de analiz
a riscurilor
7ndicatori 6omentariu
%nterarea
manaementului
riscurilor in
cultura
orani(aiei i
creterea
contienti(+rii
acestuia
%ersoanele din conducere recunosc
rolul Ni responsabilitatea lor pentru
aplicarea managementului riscurilor
n domeniile in care activeaz"
Aumrul rapoartelor privind luarea
deciziilor care demonstreaz o analiz
a riscului"
'spunsurile oferite auditului Ni
inspecMiilor.
%rin auditul rapoartelor Ni
documentelor care
evidenMiaz deciziile.
%rin auditul rspunsurilor.
ansa sc,imb+rii *naliza post(factum, respectiv cum
am aestionat marile schimbri Ni
celelalte proiecte.
"inimi(area
'ierderilor,
accidentelor i a
conflictelor
Aumrul Ni durata ntreruperilor
procesului de producMie.
Aivelul pl$ngerilor?nemulMumirilor,
creanMelor?revendicrilor N.a.
Aivelul nt$rzierilor?datoriilor
prescrise.
5soar rspunsul Ni
performanMa de recuperare
precum Ni frecvenMa.
7nformat de e#istenMa
strategiilor Ni a proceselor.
E0istena unui
model al
manaementului
riscurilor
Feedbac< de la conducere.
6onformitatea cu standardele.
;:
"inimi(area
costurilor riscului
%rimele anuale de asigurare.
Aivelul rezervelor.
%ierderile neasigurate.
6ostul managementului Ni al
proiectului.
9or fi ncorporate
depNirile de buget Ni de
capital alocat proiectului,
frauda, prescrierile,
creanMele, primele N.a.
De asemenea, entitMile publice, cu unele e#cepMii, vor trebui s(Ni constituie 6omitetele
de audit, formate din membri cu atribuMii e#ecutive, dar Ni din membri non(e#ecutivi Ni n
care preNedintele va fi membru non(e#ecutiv, care vor avea responsabilitMi bine definite
privind procesul gestionrii riscurilor, respectiv!
( s se asigure c riscurile Ni evoluMia acestora este monitorizat"
( s ofere o prere independent privind funcMionalitatea procesului de
gestionare a riscurilor Ni gradul de asigurare corespunztor"
( s emit o opinie general privind gestionarea riscurilor.
4otuNi, n conformitate cu prevederile de mai sus, 6omitetul de audit nu trebuie el
nsuNi s administreze riscuri, sau s fie responsabil cu procesul de gestionare al acestora.
olul auditului intern )n *!
Una din cerinMele(cheie ale 6onsiliului este de a obMine asigurarea c procesul de
management al riscului este eficient , iar riscurile cheie sunt gestionate la un nivel
acceptabil. Este posibil ca asigurarea s provin din diferite surse, dar dintre acestea,
asigurare dat de management este fundamental. *cest lucru ar trebui s fie completat
prin furnizarea de asigurri obiective, pentru care auditul intern este o surs cheie. *lte
surse includ audit e#tern si revizuirile independente de specialitate.
*uditul intern va oferi n mod normal asigurri pe trei domenii!
;D
( procesul de management al riscurilor, at$t pentru proiectare c$t si referitor la c$t de
bine funcMioneaz"
( managementul riscurilor clasificate ca si Oriscuri cheieO, inclusiv eficienMa controalelor
si alte rspunsuri la acestea"
( evaluarea fiabil si adecvat a riscurilor si raportarea statusului riscurilor si controlului.
*uditul intern este o activitate independent si obiectiv de asigurare si
consultanM. 'olul su principal cu privire la E'5 este de a oferi asigurare obiectiv
6onsiliului cu privire la eficacitatea managementului riscurilor. ntradevr, cercetarea a
artat c presedinMii 6onsiliilor si auditorii interni sunt de acord cu faptul c dou dintre
cele mai importante ci prin care auditul intern adaug valoare organizaMiei constau n
furnizarea de asigurri obiective c riscurile maore ale afacerii sunt gestionate n mod
corespunztor si furnizarea de asigurare c managementul riscului si controlul intern se
desfsoar eficient. Factorii(cheie luati n considerare atunci c$nd se stabileste rolul
auditului intern sunt corelati cu urmtoarele ipoteze! dac activitatea poate conduce la
amenintri la adresa independentei si obiectivittii functiei de audit intern sau dac
aceasta poate mbunttii managementul riscurilor organizatiei, procesele de control si de
guvernant.
*uditul intern poate oferi servicii de consultant care mbunttesc guvernanta
organizatiei, managementul riscului si procesele de control. ntinderea consultanMei
auditului intern n E'5 va depinde alte resurse, interne si e#terne, disponibile 6onsiliului
si de maturitatea riscului organizaMiei, fiind probabil ca aceasta s varieze n timp. n
considerarea riscurilor si n nMelegerea cone#iunilor dintre riscuri si guvernant, auditorul
intern este bine s actioneze n calitate de manager de proiect pentru E'5, mai ales n
stadiile iniMiale de la introducerea sa, iar apoi, dup ce managementul riscului se
integreaz n operatiunile organizatiei, rolul lui n E'5 se poate reduce.
n mod similar, dac o organizaMie apeleaz la serviciile unui specialist n
managementul riscului, auditul intern are mai multe sanse de a aduga valoare prin
concentrarea pe activitMile sale de asigurare, dec$t prin implicarea sa n mai multe
activitMi de consultanM. 6u toate acestea, n cazul n care auditul intern nu a adoptat nc
abordarea bazat pe risc, este puMin probabil ca acesta s fie pregtit pentru a se angaa n
activitMile de consultanM .
;C
.nele dintre rolurile de consultant n care se angaeaz auditul intern implic!
punerea la dispozi-ia managementului a unor instrumente si te+nicile
utilizate de ctre auditul intern pentru analiza riscurilor si controalelor0
conducerea procesului pentru introducerea 6R! n organiza-ie datorit
experien-ei acumulate0
furnizarea de consultan-, facilitarea de >or?s+op-uri, pregtirea
organiza-iei n domeniul riscului si controlului si promovarea dezvoltrii unui limba'
comun pentru n-elegerea acestui domeniu0
spri'inirea managerilor care au ca obiectiv identificarea celor mai bune
metode de atenuare a riscurilor.
*sumarea oricrei rspunderi manageriale reprezint factorul cheie hotr$tor
pentru a decide dac serviciile de consultanM sunt compatibile cu cele de asigurare.
n cazul E'5, auditul intern poate oferi servicii de consultanM, at$t timp c$t
acesta nu are nici un rol n gestionarea riscurilor 3 aceasta fiind responsabilitatea
conducerii ( si at$ta timp c$t conducerea aprob si spriin activ E'5.
*uditul intern si poate e#tinde activitMile n ceea ce priveste E'5, dar doar n
anumite condiMii, cele mai importante fiind redate n continuare!
( trebuie s fie clar c managementul este si rm$ne responsabil pentru
managementul riscului"
( natura rspunderilor auditului intern trebuie s se regseasc n 6arta *uditului
care trebuie s fie aprobat de ctre 6omitetul de *udit"
( auditul intern nu ar trebui s gestioneze nici un risc n numele
managementului"
( auditul intern ar trebui s acorde consiliere si suport n procesul decizional al
managementului, aceasta fiind n contradicMie cu decizia luat de ctre ei nsisi cu privire
la managementul riscurilor"
( auditul intern nu poate acorda o asigurare obiectiv pentru nici o parte a E'5
pentru care el este rspunztor" aceast asigurare ar trebui dat de ctre alte prMi
calificate corespunztor 1Btandardul de *udit intern 11;-2"
;/
( orice activitate n afara celei de asigurare ar trebui s fie recunoscut ca fiind
un angaament de consultanM, iar standardele legate de aceste angaamente ar trebui
implementate 1Btandardele de performanM2.
*uditorii interni si managerii de risc mprtsesc unele cunostinMe, aptitudini si
valori. *mbii , de e#emplu, nMeleg cerinMele guvernanMei corporative, au management de
proiect precum si abilitMi analitice. 6u toate acestea, managerii de risc, servesc doar
managementului organizaMiei si nu trebuie s furnizeze o asigurare independent si
obiectiv 6omitetului de audit. De asemenea, nici auditorii interni care caut s(si
e#tind rolul lor n E'5 nu ar trebui s subestimeze managerii specialisti n domeniul
riscului 1de e#emplu transferul riscului, cuantificarea riscului si tehnici de modelare2 care
au cunostinMe n acest domeniu mult peste nivelul cunoasterii maoritMii auditorilor
interni.
8rice auditor intern, care nu poate demonstra competenMe adecvate si de
cunoastere nu ar trebui s se angaeze n zona de management al riscului. 5ai mult, seful
departamentului de audit intern nu ar trebui s furnizeze servicii de consultanM n acest
domeniu, dac n cadrul funcMiei de audit intern nu sunt disponibile cunostinMe si abilitMi
adecvate si nu pot fi obMinute din alt parte 1Btandardul de *udit 7ntern 1,1-2.
5$ Conclu(ii
5anagementul riscului este un element fundamental al guvernanMei corporative.
5anagementul este responsabil pentru stabilirea si desfsurarea cadrului corespunztor
gestionrii riscurilor n numele 6onsiliului.
5anagementul riscului la nivelul organizaMiei aduce multe beneficii ca urmare a
abordrii structurate si coordonate.
'olul de baz al auditului intern n relaMia cu E'5 ar trebui s fie furnizarea de
asigurare managementului e#ecutiv si 6onsiliului asupra eficienMei managementului
riscului.
n conte#tul n care auditul intern si e#tinde rolul dincolo de acest rol principal,
ar trebui s aplice anumite msuri de protecMie, incluz$nd tratarea angaamentelor ca si
servicii de consultanM si, prin urmare, aplicarea tuturor standardelor relevante. n acest
fel, auditul intern si va protea independenMa si obiectivitatea serviciilor sale de asigurare.
n conte#tul acestor constr$ngeri, E'5 poate auta la cresterea eficienMei auditului intern.
>-
>1