CUPRINS

EVALUAREA RISCURILOR PAG

1.Definitia si componentele riscului de audit .......................2
2. Evaluarea riscurilor ...........................................................3
3. Evaluarea riscului inerent .................................................5
4. Evaluarea riscului de control ............................................7
5. Riscul de nedetectarea ........................................................8
5.1 Controlul intern ..........................................................8
5.2 Evaluarea mediului de control ..................................9

1
 Evaluare riscurilor.

Definiţia şi componentele riscului de audit.

Auditorul identifică şi evaluiază riscurile pentru fiecare categorie de operaţiuni economice.Evaluarea

riscurilor, stabilirea nivelului materialităţii şi estimarea erorilor de către auditorii,determină volumul
activităţii de auditat , iar identificarea riscurilor specifice îl ajută pe auditor la selectarea testelor de
audit,ce vor fi orientate către problemele cele mai importante.
Auditorul trebuie să obţină o înţelegere suficientă a sistemele de contabilitate şi de control intern
pentru a planifica auditul şi a dezvolta o abordare eficientă a acestuia, acesta trebuie să utilizeze
raţionamentul profesional la evaluarea riscului de audit şi la stabilirea procedurilor de audit, pentru a se
asigura că riscul este redus până la un nivel acceptabil de redus.
Riscul de audit, reprezintă riscul ca auditorul să exprime o opinie de audit incorectă, atunci când
situaţiile financiare sunt denaturate material. Pentru a planifica auditul auditorul utilizează modelul
riscul de audit cu trei componente: riscul inerent, riscul de control şi riscul de nedetectare.
Riscul inerent, reprezintă susceptibilitatea ca o categorie de operaţiuni să conţină o denaturare care
ar putea fi materială, individual sau cumulată cu denaturările existente în alte categorii de operaţiuni,
presupunând că nu au existat controale interne adiacente.
Riscul de control, reprezintă riscul ca o denaturare materială, care ar putea apărea într-o categorie de
operaţiuni, să nu poată fi prevenită sau detectată şi corectată la momentul oportun de sistemele de
contabilitate şi de control intern.
Riscul de nedetectare, reprezintă riscul ca procedurile aplicate auditor să nu detecteze o denaturare
ce există în categoriile de operaţiuni şi care ar putea fi materială în mod individual, sau atunci când este
cumulată cu denaturări din alte categorii de operaţiuni.
Sistemul contabil , reprezintă succesiunile de proceduri şi înregistrări ale unei entităţi prin care
categoriile de operaţiuni sunt prelucrate ca modalităţi de menţinere a înregistrărilor financiare.
Astfel de sisteme identifică, asamblează, analizează, calculează, clasifică, înregistrează, sintetizează şi
raportează categoriile de operaţiuni sau alte evenimente.
Sistemul de control intern reprezintă procedurile şi politicile introduse de conducerea entităţi care
ajută la îndeplinirea obiectivelor manageriale privind asigurarea conducerii sistematice şi eficiente a
activităţii, inclusiv aderarea la politicile manageriale, prevenirea şi detectarea fraudelor şi erorilor,
protecţia activelor, acurateţea şi exhaustivitatea înregistrărilor contabile, precum şi pregătirea în timp util
a informaţiilor financiare credibile. Sistemul de control intern se extinde dincolo de funcţiile sistemului
contabil şi cuprinde:
a) Mediul de control , reprezintă atitudinea generală, percepţia şi acţiunile întreprinse de conducere cu
privire la sistemul de control intern şi la importanţa acestuia pentru entitate. Un mediu de control
puternic, de exemplu unul cu controale bugetare severe şi cu o funcţie eficientă a auditului intern poate
suplimenta în mod semnificativ procedurile specifice de control. Factorii reflectaţi în mediul de control
includ: funcţia Consiliului de Administraţie şi a comitetelor sale; filozofia managerială şi stilul de
operare; structura organizatorică a entităţii şi metodele de desemnare a autorităţii şi responsabilităţii ;
2
sistemul de control managerial, incluzând funcţia de audit intern, politicile şi procedurile de personal şi
separarea îndatoririlor.
b) Procedurile de control, reprezintă acele politici şi proceduri pe lângă mediul de control, pe care
conducerea le-a stabilit în vederea atingerii obiectivelor specifice ale entităţii ,acestea includ:
raportarea, revizuirea şi aprobarea reconcilierilor ; verificarea preciziei aritmetice a înregistrărilor ;
controlarea aplicaţiilor şi a mediului sistemelor informatizate, de exemplu, prin stabilirea de controale
asupra-schimbărilor din programele computerizate şi accesului la fişierele de date ;menţinerea şi
revizuirea conturilor de control şi a balanţelor de verificare ;aprobarea şi controlul documentelor
;compararea datelor interne cu sursele externe de informaţii; compararea rezultatelor inventarului de
numerar, a titlurilor de participare şi a stocurilor cu înregistrările din contabilitate;limitarea accesului
fizic direct la active şi înregistrări ;compararea şi analizarea rezultatelor financiare cu valorile
prognozate.

2. Evaluarea riscurilor

.Evaluarea riscurilor presupune evaluarea probabilitatii de materializare a riscurilor si a

impactului (consecintelor) asupra obiectivelor in cazul in care acestea se materializeaza
Un sistem coerent de evaluare a riscurilor, implementat intr-o entitate, se caracterizeaza prin:
- existenta unui proces structurat de evaluare a binomului probabilitate , impact pentru fiecare
risc identificat;
-inregistrarea evaluarii riscurilor intr-un mod care sa permita monitorizarea si identificarea
ordinii de prioritati in tratarea riscurilor;
-diferentierea clara a riscurilor inerente de riscurile reziduale.
Evaluarea riscurilor trebuie să:
- se bazeze, pe cat posibil, pe dovezi obiective (impartiale si independente);
- aiba in vedere pe toti cei afectati de risc;
- faca distinctia intre expunerea la risc si tolerabilitatea la risc.
Scopul evaluarii riscurilor este de a stabili o ierarhie a riscurilor unei entităţi care, in functie de
tolerabilitatea la risc, permite stabilirea celor mai adecvate modalitati de tratare a riscurilor si delegarea
responsabilitatii de gestionare a riscurilor celor mai potrivite nivele decizionale.
.Ierarhizarea riscurilor este o problema dificila, deoarece exista riscuri care pot fi cuantificate si
pentru care exista suficiente date stocate in documentele entităţii cum ar fi, spre exemplu, riscurile
financiare, de personal sau de fiabilitate a aparaturii, dar si riscuri care nu pot fi cuantificate cum ar fi,
spre exemplu, riscurile legate de credibilitate.
În acest sens exista un element comun, si anume, perceptia noastra asupra riscurilor,dar, orice
metoda bazata pe perceptie este subiectiva, dar, în lipsa de altceva, este un pas înainte în comparaţie cu
situatia in care riscurile sunt tratate intuitiv si întâmplător,uneori chiar fără să fim constienti ca facem
acest lucru.
Metoda bazată pe perceptie are însa o justificare obiectiva. Nu atat nivelele evaluate ale riscurilor
au importanta, cat mai ales daca riscurile sunt percepute sau nu ca tolerabile. Expunerea la risc fata de
tolerabilitatea la risc este relevanta deoarece aceasta creaza motivatia pentru gasirea metodelor cele mai
adecvate de gestionare a riscurilor.
.Etapele evaluarea riscurilor:
a. evaluarea probabilitatii de materializare a riscului identificat;
b. evaluarea impactului asupra obiectivelor in cazul in care riscul
s-ar materializa;
c. evaluarea expunerii la risc ca o combinatie intre probabilitate si
impact.
a. Evaluarea probabilitatii de materializare a riscului inseamna determinarea sanselor de
aparitie a unui rezultat specific. Riscul este o problema (situatie, eveniment) ce poate sa apara (sa se
materializeze), caz in care realizarea obiectivelor este afectata. Cu alte cuvinte, exista o incertitudine in
3
aparitia situatiei sau evenimentului care poate afecta realizarea obiectivelor.

b. Evaluarea impactului asupra obiectivelor in cazul materializarii riscurilor

Impactul reprezintă consecinţa asupra obiectivelor (rezultatelor) aşteptate care poate fi, in functie
de natura riscului, negativa sau pozitiva.

Managerii organizatiei, ca si celalalt personal raportat la obiectivele individuale, aflati in fata

unei situatii de risc, sunt interesati să cunoasca cat de mari sunt consecintele asupra obiectivelor
urmarite daca riscurile s-ar materializa.
Pentru obiectivele strategice şi entităţi complexe (similar, proiecte complexe, activitati
complexe), evaluarea impactului devine o problema dificilă ce necesită studii de impact.
Impactul oricarui risc este caracterizat prin consecinte de diferite naturi, asfel alaturi de
consecinte calitative exprimate descriptiv, pot fi identificate si consecinte exprimate în termeni de buget
(costuri), de efort (timp de munca) si de timp (intarzieri posibile in termenul de realizare a obiectivelor).
c. Evaluarea expunerii la risc
Expunerea la risc reprezinta consecintele, ca o combinatie de probabilitate si impact, pe care le
poate resimti entitatea in raport cu obiectivele prestabilite in cazul in care riscul s-ar materializa.
Expunerea la risc este un concept probabilistic, exprimând o combinatie între probabilitate şi
impact şi are semnificatie numai înaintea producerii risculu. Riscul după ce apare nu mai este o
incertitudine, ci devine un fapt realizat. Conform teoriei probabilitatilor aceasta inseamna ca
probabilitatea de aparitie (materializare) a riscului este 1 (eveniment sigur).
.În concluzie auditorul trebuie să se asigure că riscul de audit este redus până la un nivel
minim acceptabil şi în funcţie de această evaluare se vor stabili procedurile de audit, care să ofere
asigurarea minimă de audit.
În auditurile realzate de instituţia supremă de audit, auditorii au evaluat riscul inerent pentru
fiecare categorie de operaţiuni economice, dar nu au evaluat întotdeauna şi procedurile de control pentru
fiecare categorie de operaţiuni economice, chiar şi atunci când răspunsurile la chestionarul privind
mediul general de control indică că aceasta prezintă încredere. Evaluarea corectă a riscurilor este
importantă, întrucât aceasta afectează direct nivelul factorului de risc, care la rândul său determină
volumul de teste. Dacă, volumul de teste va fi stabilit la un nivel prea ridicat, atunci va avea ca rezultat
o activitate ineficientă de audit prin efectuarea unui număr mult prea mare de teste. Dacă nivelul
factorului de risc stabilit va fi prea scăzut, efectul va fi invers, respectiv, se vor efectua teste insuficiente
pentru obţinerea asigurării de audit.
Elementul cheie în evaluarea "factorului de risc" pentru fiecare categorie de operaţiuni
economice este evaluarea sistemului de controlul intern ,iar primul element în evaluarea sistemului de
control intern îl constituie evaluarea încrederii în mediul general de control. Dacă se decide că se poate
baza pe acesta, va trebui să se realizeze o evaluare a procedurilor de control intern pentru fiecare
categorie de tranzacţii pentru a determina nivelul riscului, respectiv: ridicat, mediu sau scăzut.

Dacă mediul general de control nu prezintă încredere la nivelul situaţiilor financiare, riscului de
control trebuie evaluat ca fiind „ridicat” şi pe cale de consecinţă pentru fiecare categorie de operaţiuni
economice va fi considerat ridicat.

Deci ,evaluarea pentru fiecare categorie de operaţiuni a procedurilor de control intern se va

efectua numai dacă concluzia auditorilor, menţionată în chestionarul privind evaluarea mediului general
de control , este că se pot baza pe mediul general de control. Evaluarea procedurilor de control la nivelul
fiecărei categorii de operaţiuni stabilite, presupune identificarea erorilor posibile în cadrul acelei
categorii de operaţiuni, a cauzelor care le produc, a procedurilor de control care, dacă ar fi aplicate, ar
detecta şi corecta respectivele tipuri de erori. Totuşi, şi în cazul în care auditorii nu se pot baza pe mediul
general de control, se vor evalua procedurile de control organizate de conducerea entităţilor
administrativ teritoriale în ansamblu, cu scopul evaluării riscului inerent.

4
 3. Evaluarea Riscului inerent
În vederea evaluarea riscului inerent, auditorii utilizează rationamentul profesional pentru aprecierea
numeroşilor factori la nivelul situatiilor financiare şi la nivelul soldului contului si al categoriei de operaţiuni
(tranzactii).
Evaluarea riscului inerent trebuie să se bazeze pe înţelegerea activităţii entităţii auditate si pe
discuţiile cu managementul şi auditorul trebuie să ţină cont de o serie de factori, după cum urmeaza:
-natura activităţii entitatii ,aceasta poate afecta raţionamentul profesional al auditorului privind
evaluarea riscului inerent.
-operatiunile economice neobisnuite. Exista o probabilitate mai mare ca operatiunile neobisnuite ale
entitatii, spre deosebire de operaţiunile de rutină să fie înregistrate sau prelucrate incorect, datorită lipsei de
experienţă
-aplicarea raţionamentului profesional la inregistrarea corectă a operatiunilor şi a soldurilor
conturilor. O mare parte din soldurile conturilor (inventarele anterioare, creante neincasate) necesita o
atentie deosebita din partea conducerii deoarece riscul inregistrarilor eronate este ridicat.
-active susceptibile a fi deturnate. Auditorii apreciaza că în cazul operaţunilor cu încăsari în numerar,
riscul inerent este ridicat , cu cât probabilitatea de deturnare a fondurilor este mai mare, cu atat riscul inerent
este mai crescut. Unele articole sunt susceptibile de a fi sustrase, ca de exemplu, lucrarile de arta, aurul,
numerarul etc.
numarul locatiilor (birouri regionale, flliale, etc.). Când responsabilităţile importante sunt
transferate unui numar mare de locatii ale entitatii ,riscul inerent este ridicat .
-complexitatea legilor şi a principiilor contabile. Existenţa unor regulamente contabile noi si
complexe, implica o atentie sporita din partea auditorului, deoarece riscul apariţiei erorilor sau neregularitatilor
este ridicat.
-alţii factori
a) la nivelul situatiilor financiare se apreciază următori factori :
- integritatea conducerii;
- experienta si cunostintele conducerii şi schimbările survenite;
- presiuni neobisnuite exercitate asupra conducerii;
- conditiile economice si concurenta;
- practici contabile specifice ramurii de activitate etc.
b) la nivelul soldului contului şi al categoriei deoperaţiuni (tranzactii) se apreciază factori, t:
-complexitatea evidentierii tranzactiilor sau a altor evenimente care ar putea necesita utilizarea
serviciilor unui expert;
-gradul rationamentului profesional implicat in determinarea
soldului contului;
- tranzacţii care nu se derulează in mod obisnuit.
Riscul inerent poate fi risc inerent general şi risc inerent specific pe secţiuni.
Riscul inerent general include evaluarea generală cu întrebări adecvate a riscurilor: de
management,contabil , de afaceri şi de audit,pe baza cărora se determină riscul general inerent.
Evaluarea generală a riscului de management ( scăzut, mediu, ridicat) are în vedere întrebări care se referă
la:
a) Încrederea în competenţa conducerii de a gestiona activitatea în mod eficient, si anume:
- are conducerea cunostintele si experienta suficienta pentru a gestiona activitatea?
- are conducerea tendinta de a asigura entitatea cu proiecte cu rise ridicat?
- au avut loc modificari în aparatul de conducere-cheie in cursul perioadei auditate ? Se are în vedere şi
realocarea responsabilitatilor, care, in anumite circumstante, poate constitui o astfel de schimbare.
b) Gradul de control exercitat de conducere asupra desfăşurarii activitatii:
- sunt controalele manageriale si administrative slabe?
- lipsesc sistemele informatice de gestiune bune?
c) Motivele potentiale ale manipulării rezultatelor raportate:
5
 -sunt rezultatele raportate de o importanţă personală pentru conducere (de exemplu, prime in functie de
profit)? Aceasta intrebare se referă la motive interne şi are în vedere profiturile raportate şi nu rezultatele efective.
-există cerinţe pentru mentinerea nivelului profitabilităţii sau pentru atingerea obiectivelor ? Aceasta întrebare
se referă la motive externe, cum ar fi aşteptările actionarilor care nu sunt membrii în conducerea executiva, ale
creditorilor (în special bancile) etc.
d) Riscul manipulării cifrelor de către conducere este redus acolo unde conducerea nu este implicata in
operatiunile zilnice ale functiei contabile,
- este conducerea puternic implicata in operatiunile zilnice?
Evaluarea generală a riscului contabil ( scazut, mediu, ridicat) are in vedere intrebari cu privire la
competenţa şi credibilitatea personalului contabil:
-există probabilitatea apariţiei de greşeli generate de catre personalul din contabilitate al entităţii auditate ca
urmare a unor presiuni ?
- este funcţia contabila descentralizata?
-există probleme de atitudine sau morale in departamentul de contabilitate?
-personalului contabil îi lipsesc pregătirea şi capacitatea de a indeplini sarcinile alocate?
Evaluarea generala a riscului de afaceri ( scăzut, mediu, ridicat). Are la baza activitatea entităţii auditate.
Are în vedere urmatoarele aspecte :
- entitatea operează într-un sector cu risc ridicat?
Factorii care pot indica existenţa unui sector cu risc mediu spre ridicat includ tehnologia înaltă care se
schimbă rapid , moda sau orice sector dependent de preferintele publicului.
- există terti creditori semnificativi luati individual? Cele mai frecvente exemple sunt creditele si
descoperirile de cont la banci.
-există actionari care sunt în executivul agentului economic şi care detin mai mult de 25% din capitalul social din
drepturile de vot?
- exista posibilitatea ca afacerea sau o parte din ea să fie vandută in viitorul apropiat?
- este societatea solvabila?
Evaluarea generala a riscului de audit ( scăzut, mediu, ridicat). Aici se tratează cunoasterea de catre
auditor a entităţii auditate bazată pe experienta anterioara si pe relatia cu entitatea-client şi are în vedere
urmatoarele :
- este prima data cand agentul economic a fost audititat ?
- cum descrieti relatia cu entitatea auditată ,,de înţelegere" sau ,,în curs de deteriorare"?
- contine raportul de audit rezerve semnificative în ultimii doi ani?
- exista un numar semnificativ de tranzactii ,,greu de auditat" ?
După efectuarea evaluarii riscului inerent general este important să se stabilească dacă exista vreun domeniu de
audit unde s-a înregistrat un rise specific.
Riscul inerent specific reprezinta posibilitatea aparitiei unei informatii eronate semnificative în unele tranzacţii
(de exemplu, plati in numerar şi prin banca, stocul de produse finite si cel de produse in curs de executie), din cauza
unor probleme specifice în acel domeniu.
Evaluarea riscului inerent are au în vedere urmatoarele :
-contabilii responsabili de acest domeniu sunt slab pregatiti?
-tranzactii complexe (natura tranzactiilor, nu modul in care sunt inregistrate)?
-sistemele sunt predispuse erorii/neadecvate/normale/necomputerizate?
-suspiciuni privind existenta fraudelor/pierderilor?
-tranzacţii neobişnuite (natura tranzactiei sau natura procesului din afara sistemului?
În continuare se va prezenta câteva exemple de circumstanţe ce pot duce la un risc specific în
legatură cu plăţile în numerar şi cele prin banca:
- un contabil incompetent tine evidenta jurnalului de casa si a jurnalelor de vanzari si cumparari;
- contabilul nu ţine evidenţa la zi pentru toate inregistrarile.
- sistem manual, predispus la erori umane;
- lipsa separarii îndatoririlor, o slaba separare a acestora;
- nu se fac inregistrari în mod regulat sau sistematic;
- nu s-au efectuat punctaje bancare ori s-au efectuat punctaje în mod defectuos. De exemplu,
diferentele au fost trecute pe cheltuieli fară investigatie prealabilă;
- cecurile sau alte plăţi pot fi făcute fără a fi autorizate în mod corect;
-un individ poate sa-si autorizeze cecuri pentru el insusi, de exemplu, pentru propriile cheltuieli.
- posibilitate de furt al numerarului din casă;
- posibilitate de fraudă din cauza platilor bancare inadecvate sau a cererilor false de numerar;
- posibilitate de fraudă prin utilizarea neautorizată a cecurilor.
6
 - operatiuni cu numerar procesate în afara registrului de casa;
- plati si incasari in numerar pentru aranjarea plafonului de casa (inainte de depunerea incasarilor la banca);
- conturi bancare în valuta cu regim special (escroq account}.
Evaluarea riscului inerent specific se face pe baza răspunsurilor,avînduse în vedere urmatoarele domenii:
imobilizari corporale si necorporale; conturi ale grupului si investitii; stocuri si productie in curs de executie
-cantitati si evaluare: debitori; plasamente pe termen scurt; conturi la banci si casa-plati si incasari; conturi la banci-
confruntate cu extrasele de cont; creditori; creditori pe termen lung; vanzari; cumparari; cheltuieli; salarii si
indemnizatii; alte sectiuni de audit; balanta de verificare si inregistrari contabile; situatii financiare preliminare si
inregistrari dupa sfarşitul exercifiului.
Pentru evaluarea riscului inerent la nivelul entităţii, auditorul trebuie să completeze urmatorul
formular pentru fiecare categorie de operatiuni, care urmeaza a fi testată.

4.Evaluarea riscului de control

Evaluarea preliminara a riscului de control:
- reprezintă procesul de evaluare a sistemelor de contabilitate si control intern ale entităţii , prevenirea si
detectarea informatiilor eronate semnificative;
• se face la nivelul aserţiunii pentru fiecare sold de cont sau categoric de operaţiuni economice
semnificative;
• se face la un nivel ridicat pentru unele sau toate aserţunile, atunci cand sistemele de contabilitate
si de control intern nu sunt efective sau evaluarea eficacitatii acestora nu este eficienta. Evaluarea
preliminară pentru o asertiune privind situatiile financiare este mai puţin ridicata daca auditorul este
capabil sa identifice controalele interne relevante pentru asertiunile ce ar putea preveni , detecta si
corecta o informatie eronata semnificativa; işi planifica sa efectueze teste de control pentru sustinerea
evaluarii.

Documentatie pentru inţelegerea şi evaluarea riscului de control.

În documentele de lucru auditorul fundamentează, înţelegerea obtinută despre sistemele de contabilitate şi de
control intern, precum si evaluarea riscului de control. .
Auditorul poate folosi anumite tehnici pentru documentarea informatiilor legate de sistemele de control intern şi
de contabilitate cum ar fi: descrieri narative, chestionare, liste de verificare si diagrame ale fluxurilor de informatii.
Aceste tehnici pot fi utilizate singular sau combinate iar selectarea unei tehnici particulare este o problemă ce tine de
raţionamentul profesional al auditorului.
În cadrul, sistemelor computerizate, auditorul poate să utilizeze tehnici de audit asistate de computer.
Teste de control- sunt efectuate pentru obtinerea probelor de audit privind eficienţa:
-sistemelor de contabilitate si de control intern, dacă acestea sunt adecvat elaborate pentru a preveni ,detecta sau
corecta informatii eronate semnificative
-modului de desfăşurare a controalelor interne de-a lungul perioadei;

Testele de control pot include:

• verificarea documentelor justificative ale tranzactiilor si altor evenimente, pentru a colecta probe de audit
in legătura cu modul de efectuare al controalelor interne. De exemplu, se verifică dacă o tranzactie a fost autorizată ;
- investigarea si observarea controalelor interne care nu au lasat nici o urma de audit. De exemplu, determinarea
persoanei care exercita in mod efectiv fiecare functie si nu doar cine se presupune ca o exercita;
- refacerea controalelor interne pentru a se asigura că au fost corect efectuate de entitate .
Pe baza rezultatelor testelor de control, auditorul evalueaza daca actiunile de control intern sunt proiectate si
operează la nivelul previzionat in evaluarea preliminara a riscului de control.

Calitatea şi oportunitatea probelor de audit.Probele de audit obtinute de auditor pot fi unele mult mai
credibile decat altele. Observarea realizata de auditor furnizeaza mai multe probe de audit credibile decat
investigatiile,aceasta se referă la momentul de timp când a fost aplicată procedura de aceea, auditorul poate decide sa
suplimenteze aceste proceduri cu alte teste de control capabile sa furnizeze probe de audit despre alte perioade
timp.
In determinarea celei mai adecvate probe de audit ce sustine o concluzie despre riscul de control,
auditorul poate considera probele de audit obtinute în auditurile anterioare, actualizate prin probe de audit
suplimentare pentru orice schimbare de control, înainte de a se baza pe procedurile efectuate în auditurile
7
anterioare, auditorul obtine probe de audit care să justifice acesta. În cazul în care au fost utilizate controale în
mod semnificativ diferite, la momente de timp diferite în timpul perioadei, auditorul le consideră pe fiecare în mod
separat.

5. Riscul de nedetectare
Nivelul riscului de nedetectare este legat direct de procedurile de fond ale auditorului. Evaluarea riscului
de control al auditorului, împreună cu evaluarea riscului inerent, influentează natura , durata si întinderea
procedurilor de fond ce se efectuează pentru reducerea riscului de nedetectare si prin urmare, a riscului de audit pană
la un nivel minim acceptabil. Unele riscuri de nedetectare sunt întotdeauna prezente chiar dacă un auditor a
examinat în întregime soldurile contabile sau categoriile de tranzactii.
Există o relaţie inversă între riscul de nedetectare şi nivelul combinat al riscului inerent si al celui de control,
astfel:
- în cazul in care riscul inerent si cel de control sunt ridicate, riscul de nedetectare acceptat trebuie să fie scăzut,
pentru a reduce riscul de audit la un nivel scăzut acceptabil;
- în cazul în care riscul inerent şi cel de control sunt scăzute, auditorul poate accepta un risc de
nedetectare mai ridicat, care reduce riscul de audit la un nivel scazut acceptabil.
Standardul de audit nr. 400 ilustrează relatia dintre componentele riscului de audit, respectiv modul in care nivelul
acceptabil al riscului de nedetectare poate varia in functie de evaluarea riscului inerent şi al celui de control

Cu cât evaluarea riscului inerent şi de control este mai ridicată, cu atat trebuie să obtină auditorul mai multe
probe de audit din utilizarea performanta a procedurilor de fond, pentru a reduce riscul de nedetectare si, prin urmare,
riscul de audit, la un nivel scazut acceptabil. Când auditorul constată că riscul de nedetectare referitor la asertiunea
privind situatia financiara a soldului unui cont sau a unei categorii de tranzactie semnificative nu poate fi redus la
un nivel acceptabil, auditorul exprimă o opinie cu rezerve sau se află in imposibilitate exprimarii unei opinii.

Riscul de nedetectare este fundamental diferit de riscul inerent si de riscul de control. Riscul de nedetectare se
refera la procedurile de audit sj depinde de auditor.

Riscul de nedetectare cuprinde două parti:

a) Riscul neasociat cu eşantionarea, adică toate riscurile privind tragerea unei concluzii incorecte din teste,
altele decat cele care au stricta legatura cu esantionarea. De exemplu, utilizarea unor proceduri greşite, interpretarea
greşita a probelor sau nerecunoasterea erorilor. Acesta poate fi minimizat prin alegerea unui personal de audit
corespunzator şi prin asigurarea unui nivel adecvat de supraveghere şi control în cursul auditarii.
b) Riscul de eşantionare, adică posibilitatea de a trage o concluzie, pe baza unui eşantion, sau sa fie diferită de
concluzia la care s-ar fi ajuns daca intreaga populatie ar fi fost supusa aceleiasi proceduri de audit. Acesta poate fi
minimizat prin alegerea metodei adecvate de selectionare a esantionului si prin alegerea unei marimi
corespunzatoare a esantionului.
Exista doua tipuri de riscuri de eşantionare:
- riscul ca auditorul să tragă concluzia, în cazul unui test de control, că riscul de control este mai mic decât
este în realitate sau, în cazul unei proceduri de fond, ca o eroare importantă nu exista atunci cand, în realitate ea
exista. Acest tip de risc afectează eficienţa auditorului şi este mai mult decat probabil să conducă la o opinie de audit
nepotrivită;
- riscul ca auditorul să tragă concluzia, în cazul unui test de control, ca riscul de control să fie mai mare decât
este în realitate sau, în cazul unei proceduri de fond, ca o eroare importanta exista atunci când, în realitate, ea nu
exista. Acest tip de risc afectează eficienţa auditului si conduce de regula, la eforturi suplimentare pentru a se
stabili daca concluziile initiate au fost incorecte.
În concluzie această secţiune descrie în prima parte controlul intern, iar în cea de a doua parte,
modalităţile pe care auditorul le are la îndemană pentru a evalua mediul si procedurile de control si pentru a
stabili nivelul riscului de control.
5.1.Cntrolul intern
Un sistem de control intern cuprinde atat mediul de control cat şi procedurile de control.
Mediul de control include concepţia conducerii si stilul de functionare, stabilirea responsabilitatilor si a
politicilor privind procedurile de control. Acolo unde mediul de control este ineficient, este puţin
probabil ca procedurile de control să fie eficiente, oricat de sigure ar putea aparea in documente, fundamental
este să se cunoască modul în care controalele functionează în cadrul entitatii.
8
 Procedurile de control reprezinta acele politici si proceduri pe care conducerea entitatii le stabileşte
pentru a proteja entitatea împotriva fraudelor, pierderilor, neregularitaţilor si erorilor, avand un rol atat
preventiv cat si de detectare.

Controalele preventive. Sunt destinate pentru a stopa şi preveni aparvţia erorilor si neregularitatilor, în
primul rând în evidenţele contabile. Acestea sunt fie documentare, prin natura (manuale de politici sau
proceduri) fie implică proceduri specifice de control aplicate fiecarei operatiuni.
Controalele de detectare(ulterioare). Aceste controale sunt realizate cu scopul de a descoperi şi corecta
erorile sau neregularităţile din evidentele contabile, având in general o semnificaţie mai mare pentru
auditor în comparaţie cu controalele preventive, întrucat, în mod normal exista o proba documentară, care
arata că acest tip de control a funcţionat normal .
In practica se întâlnesc urmatoarele tipuri de proceduri de control:
Controalele de gestiune, sunt acele controale dispuse de managementul entitatii, acestea incluzand
supervizarea si revizuirea procedurilor de control. Prin natura lor acestea ajuta la detectarea erorilor. Ele
includ verificarea modului de valorificare a rezultatelor controalelor interne şi performanţa utilizarii
alocatiilor bugetare.
Controalele organizationale, pot fi atat de detectare cat si de prevenire şi includ responsabilitatile
bine definite dar si o separare a unor functii incompatibile cum sunt: initierea unor operatiuni, prelucrarea si
procesarea, înregistrarea.
Controale de autorizare, funcţionează în mod normal la nivelul operaţiunilor individuale, iar ca natura
sunt preventive. Scopul acestor controale este de a stopa o operatiune înainte ca aceasta să fie prelucrata , în
condiţiile în care nu a fost autorizată la un nivel corespunzator. Un control de autorizare bun va specifica foarte
clar ,,cine poate aproba", si ,,ce va aproba".
Controalele operationale, se referă la caracterul complet şi la acurateţea prelucrarii datelor şi pot
fi atat preventive cât si de detectare. Ele pot include verificari succesive pentru a oferi asigurarea ca
documentele sunt complete, cum ar fi compararea unui set de documente cu altul pentru a identifica
eventualele neconcordante, controlul totalurilor si/sau al punctajelor.
Controalele fizice. In mod uzual sunt desemnate a fi preventive si includ controale asupra
accesului la anumite bunuri si la inregistrarile contabile, prin masuri de protectie fizica simple
(fisete/seifuri) precum si prin masuri logistice (ex.: stabilirea unor parole pentru accesarea fisierelor din
computere).
Se poate concluziona că nici un sistem de control nu poate garanta în totalitate înregistrarea
corectă si acurateţea deplină a operatiunilor şi deci auditorul, când evaluează riscul de control, trebuie să ţină
seama de o serie de factori cum ar fi:
-posibilitatea ca aceste controale să nu fie făcute de cei responsabili în desfăşurarea lor;
-efectuarea necorespunzatoare a controalelor, datorita unor erori umane ca rezultat al unui
raţionament sau interpretări greşite sau datorită neglijenţei sau neatenţiei;
-incapacitatea sistemelor de control standardizate de a aborda operatiunile neobisnuite;
-eşecul controlului datorită unor schimbări intervenite în prelucrarea operaţiunilor si adoptarea unor
proceduri neadecvate (nestandardizate).

5.2.Evaluarea mediului de control

Mediul de control cuprinde ansamblul acţiunilor si preocuparilor conducerii entitaţii privind
funcţionarea controalelor interne şi valorificarea rezultatelor acestora. Evaluarea mediului de control reprezintă
prima etapă a evaluarii riscului de control .
Pentru a obţine întelegerea deplina a mediului de control, auditorul trebuie să se preocupe în principal
de politicile de nivel înalt şi practicile entitatii auditate şi intr-o măsura mai mică de controalele detaliate
asupra operaţiunilor individuale. Pentru întelegerea mediului de control, auditorul trebuie să ţină cont de:
-valorile etice si integritatea conducerii;
9
 -stabilirea de către conducere a obiectivelor şi conştientizarea riscurilor pe care le implica
îndeplinirea acestora;
-stilul de functionare al managementului (ex.: prin coduri de conduita si manuale de proceduri) si
structura organizatorica;
-cum stabileste managementul responsabilitatile (ex.: prin structura organizatorica si prin separarea
atributiilor);
-politicile manageriale de mentinere a personalului competent, respectiv politicile de recrutare si
perfectionare a pregatirii profesionale;
- supravegherea de catre management a procedurilor de control şi a funcţionarii sistemului contabil
inclusiv revizuirea operatiunilor si monitorizarea bugetului (inclusiv auditul intern);
-modul în care managementul entitatii asigură respectarea legilor si reglementarilor.
Când auditorul nu este multumit de mediul de control al entitatii, este puţin probabil ca
procedurile de control să funcţioneze eficient în practică. In consecinţă, nu este nevoie ca auditorul să evalueze
în mod individual procedurile de control, deoarece nu vor exista diferenţe fată de evaluarea riscului de control.
In aceste circumstante, chestionarul privind mediul de control nu va fi trimis entitatii, iar auditorul incheie
evaluarea riscului de control stabilind ca acesta este ridicat.
Auditorul trebuie să discute cu conducerea entitatii slăbiciunile mediului de control şi să facă
recomandări pentru întărirea acestuia şi va utiliza aspectele identiflcate şi înregistrate în chestionar, în vederea
formularii unor recomandari de remediere.
Când auditorul este mulţumit de calitatea mediului de control al entitatii atunci se creeaza premiza ca
procedurile de control funcţionează eficient în practică, iar auditorul poate evalua daca într-adevar acestea se
desfasoara eficient.
Când auditorul nu este multumit de mediul de control al entitatii, este puţin probabil ca
procedurile de control să funcţioneze eficient în practică. In consecinţă, nu este nevoie ca auditorul să evalueze
în mod individual procedurile de control, deoarece nu vor exista diferenţe fată de evaluarea riscului de control.
In aceste circumstante, chestionarul privind mediul de control nu va fi trimis entitatii, iar auditorul incheie
evaluarea riscului de control stabilind ca acesta este ridicat.
Auditorul trebuie să discute cu conducerea entitatii slăbiciunile mediului de control şi să facă
recomandări pentru întărirea acestuia şi va utiliza aspectele identiflcate şi înregistrate în chestionar, în vederea
formularii unor recomandari de remediere.
Când auditorul este mulţumit de calitatea mediului de control al entitatii atunci se creeaza premiza ca
procedurile de control funcţionează eficient în practică, iar auditorul poate evalua daca într-adevar acestea se
desfasoara eficient.

Pentru a evalua mediul de control al entitatii, auditorul poate utiliza Chestionarul pentru evaluarea
mediul de control .

10