FGF

Studiul efectuat în 1992 și dedicat controlului intern, numit Controlul intern – cadru de referință
integrat, realizat de Comitetul Organizațiilor Finanțatoare ale controlului intern. Interesele

clientului discutate în această secțiune au fost extrase în mare parte din DSA/SAS 78 și din
Raportul COSO.
Ca regulă generală, managementul clientului are următoarele trei interese sau obiective generale,
în ceea ce privește proiectarea unui sistem de control eficace.
Fiabilitatea raportării financiare. După cum s-a discutat și în capitolul 6, managementul poartă
răspunderea întocmirii situațiilor financiare destinate investitorilor, creditorilor și altor utilizatori.
Managementul poartă atât o răspundere profesională, cât și una juridică de a se asigura că
informațiile sânt corect prezentate, în conformitate cu diversele reglementării vizând raportarea
financiară, cum ar fi principiile contabile general acceptate.
Eficiența și eficacitatea operațiunilor. Mecanismele de control aplicate în sânul unei
organizații sânt destinate să încurajeze utilizarea eficientă și eficace a resurselor acesteia,
inclusiv a resurselor umane, cu scopul de a optimiza țelurile companiei. O parte importantă a
acestor mecanisme de control o reprezintă informațiile corecte destinate procesului decizional
intern. O mulțime de informații sânt utilizate pentru luarea unor decizii economice critice. De
exemplu, prețul produselor este bazat în parte pe informațiile privind costul fabricării lor.
O altă componentă importantă a eficienței și eficacității este protejarea activelor și a
evidențelor contabile ale companiei. Activele corporale ale unei companii pot fi furate, deturnate
sau distruse accidental dacă nu sânt protejate prin mecanisme de control adecvate. Același lucru
este valabil și pentru activele necorporale, cum ar fi creanțele-clienți, documentele importante
(contractele de stat confidențiale) și evidențele contabile (cartea mare și jurnalele). Protejarea
anumitor active și documente a devenit din ce în ce mai importantă o dată cu răspândirea
sistemelor informatice. Cantitățile mari de informații stocate pe suporturi electronice pot fi
pierdute dacă nu se iau măsuri pentru protejarea lor. Protecția evidențelor contabile efectuează,
de asemenea, fiabilitatea raportării financiare.
Respectarea legilor și reglementărilor aplicabile. Organizațiile trebuie să respecte numeroase
legi și reglementări. Majoritatea acestor acte normative sânt doar parțial legate de contabilitate.
Prin exemple se pot cita legile privin protecția mediului înconjurător și codul civil. Alte
asemenea legi și reglementări sânt strâns legate de contabilitate, cum ar fi legislația privind
impozitele pe profit și fraudele economice.
O lege importantă, care afectează toate companiile supuse prevedrilor Legii privind
titlurile de valoare și operațiunile bursiere din 1934 este Legea, care a amendat legea privind
titlurile de valoare, prevede că orice companie trebuie să dispună de sisteme de evidență
adecvate. Un sistem adecvate. Un sistem adecvat de ținere a evidențelor contabile este acela care
permite întocmirea unor situații financiare externe fiabile și preântâmpină constituirea de fonduri
extracontabile care ar putea servi la coruperea sau miturea unor persoane cu funcții de decizie.
Cunoașterea controlului intern al unui client este suficient de importantă pentru procesul de audit
ca să justifice un standard de audit general acceptat privind activitatea de teren afirmă: "O
înțelegere suficientă a controlului intern trebuie obținută în vederea planificării auditului și
determinării naturii, programării în timp și extinderii testelor ce urmează a fi efectuate. " În
primul rând auditorii sânt interesați de mecanismele de control legate de fiabilitate raportării
financiare și de mecanismele de control vizând anumite categorii de operațiuni.
Mecanismele de control vizând fiabilitatea raportării financiare. Pentru a se conforma celui de-al
doilea standard privind activitatea de teren, auditorul trebuie să se intereseze în principal de
mecanismele de control legate de prima preocupare a managementului în sfera controlului intern:
fiabilitatea raportării financiare. Acesta este domeniul care afectează direct situațiile financiare și
aserțiunile asociate lor, influențând, astfel, obiectivul auditorului de a determina dacă situațiile
financiare prezintă o imagine fidelă. Probabilitatea ca situațiile financiare să se conformeze
principiilor contabile general acceptate este redusă dacă mecanismele de control care determină
fiabilitatea raportării financiare sânt necorespunzătoare. Dintr-o altă perspectivă însă, situațiile
financiare ar putea prezenta o imagine fidelă și în ciuda faptului că mecanismele de control ale
companiei nu promovează eficiența și eficacitatea operațiunilor.
După cum am menționat în capitolul 6, auditorii poartă o răspundere semnificativă în cea
ceea ce privește detectarea cazurilor semnificative de raportare financiară frauduloasă, deturnare
de active (fraudă) și fapte ilicite cu impact direct. Prin urmare, auditorii sânt interesați și de
mecanismele controlului intern al clientului care vizează protecția activelor și respectarea legilor
și reglementărilor aplicabile, în cazurile în care acestea afectează imaginea fidelă prezentată de
situațiile financiare.
Dacă sânt corect proiectate și aplicate, mecanismele de control intern se pot dovedi foarte eficace
în prevenirea sau detectarea fraudelor. Rezultatele unui recent studiu al fraudelor, realizat de
KPMG, arată că aproape jumătate din fraudele tipice sânt detectate de controlul intern.
Am spus deja că auditorii ar trebui să pună un accent mai important pe mecanismele de
control care vizează fiabilitatea datelor destinate raportării externe, însă mecanismele de control
care afectează informațiile folosite în gestiunea internă cum ar fi bugetele și rapoartele interne
privind rezultatele, nu ar trebui complet ignorate. Aceste tipuri de informații reprezintă deseori
importante surse de probe ajutându-l pe auditor să determine dacă situațiile financiare prezintă o
imagine fidelă. Dacă mecanismele de control aplicate acestor rapoarte interne sânt considerate
inadecvate, valoarea probantă a rapoartelor în cauză este diminuată.
Mecanismele de control vizând anumite categorii de operațiuni. Centrul atenției auditorilor îl
reprezintă controlul intern vizând categoriile de operațiuni mai curând decât cel legat de soldurile
conturilor. Aceasta se explică prin faptul că datele de ieșire ale sistemului contabil (soldurile
conturilor) depind într-o foarte mare măsură de exactitatea datelor de intrare și a prelucrării
(operațiunile). De exemplu, dacă în facturarea unei operațiuni de vânzare către un client
produsele vândute, cantitățile livrate sau prețurile de vânzare unitare sânt greșite, atât contul de
vânzări, cât și cel de creanțe-clienți vor fi eronat prezentate. Dacă mecanismele de control sânt
adecvate și asigură înregistrarea corectă a sumelor facturate, sumelor încasate, produselor
restituite, rabaturilor acordate și creanțelor trecute la pierderi, atunci probabilitatea ca soldul final
al contului de creanțe-clienți să fie corect este mare.
În procesul înțelegerii controlului intern al clientului și al estimării riscului legat de
control, auditorii sânt interesați în principal de obiectivele de audit referitoare la operațiuni.
Aceste obiective au fost prezentate detaliat. Tabelul 10-1 ilustrează formularea obiectivelor de
audit legate de operațiuni în cazul vânzărilor.
Cu toate acestea, în procesul înțelegerii controlului intern al clientului și al estimării
riscului legat de control auditorul nu trece cu vederea controlul intern legat de soldurile
conturilor. De exemplu, obiectivele de audit legate de operațiuni nu au, de obicei, nici o influență
asupra următoarelor trei obiective de audit referitoare la solduri: valoarea realizabilă, drepturile
și obligațiile și prezentarea și dezvățuirea. Este probabil că auditorul să determine separat dacă
managementul a introdus mecanisme de control intern pentru fiecare dintre aceste trei obiective
de audit referitoare la solduri.
Din cauza restricțiilor inerente care afectează controlul intern și din cauza faptului că
auditorii nu pot obține mai mult decât o asigurare rezonabilă privind eficacitatea acestor
proceduri, întotdeauna va exista un anumit nivel de risc de control peste zero. Prin urmare, chiar
și pentru cele mai eficient proiectate mecanisme de control intern, auditorul trebuie să acumuleze
probe de audit, pe lângă faptul că trebuie să testeze mecanismele de control vizând fiecare cont
semnificativ din situațiile financiare.
Tabelul 10-1 Obiective de audit referitoare la operațiunile de vânzări
Obiective de audit legate de operațiuni - formă Obiective de audit legate de operațiuni-vânzări
generală
Operațiunea înregistrată există (existență). Vânzările înregistrate corespund unor livrări făcute
către clienți reali.
Operațiunile existente sânt înregistrate (exhaustivitate). Operațiunile de vânzări existente sânt înregistrate.
Operațiunile înregistrate sânt exprimate în sume Vânzările înregistrate corespund cantităților de
corecte (exactitate). bunuri și sânt corect facturate și înregistrate.
Operațiunile sânt corect clasificate (clasificare). Operațiunile de vânzări sânt corect clasificate
Operațiunile sânt înregistrate la datele corecte Vânzările sânt înregistrate la datele
(cronologie). corespunzătoare.
Operațiunile înregistrate sânt corect transferate în Operațiunile de vânzări sânt corect transferate în
fișierele sistematice și corect sintetizate (sistematizare fișierele sistematice și corect sintetizate.
și sintetizare).
Controlul intern cuprinde cinci categorii de aspecte pe care managementul le definește și aplică
în scopul de a oferi o asigurare rezonabilă privind atingerea obiectivelor manageriale legate de
control. Acestea sânt numite elemente ale controlului intern și sânt: (1) mediul controlului, (2)
evaluarea riscurilor, (3) activitățile de control, (4) informarea și comunicarea și (5) supervizarea.
Figura 10 -1 arată că mediul controlului este ca o umbrelă care protejează celelalte patru
elemente. Fără un mediul de control eficient, este puțin probabil ca celelalte patru componente să
ducă la un control intern eficace, indiferent de calitatea lor.
Fiecare dintre categorii conține numeroase mecanisme de control. Auditorul este
interesant în principal de cele definite în scopul detectării prezentărilor semnificativ eronate din
situațiile financiare. Aceste aspecte constituie tematica abordată în tot restul capitolului de față.
Figura 10-1 Cele cinci elemente ale controlului intern
Mediul controlului
Evaluarea Activitățile Informarea și Supervizarea

riscurilor de control comunicarea
Esența unei organizații eficient controlate este atitudinea managementului acesteia. Dacă
managementul de vârf consideră că sistemul de control intern este important, ceilalți membri ai
organizației vor simți acest lucru și vor reacționa prin respectarea conștiincioasă a mecanismelor
de control definite. Pe de altă parte, dacă pentru membrii organizației este evident că sistemul de
control intern nu este o problemă importantă pentru managementul de vârf și că în acest domeniu
se vorbește mai mult decât se face, este aproape sigur că obiectivele de control ale
managementului nu vor fi rmărite cu eficacitate.
Mediul controlului

Mediul controlului este format din acțiunile, politicile și procedurile care reflectă atitudinile de
ansamblu ale managementului, ale membrilor consiliului de administrație și ale proprietarul
entității față de controlul intern și importanța lui pentru entitate. În scopul înțelegerii și evaluării
mediului de control, vă prezentăm mai jos cele mai importante componente secundare pe care ar
trebui să le analizeze un auditor.
Integritatea și valorile etice. Integritatea și valorile etice sânt produsul normelor și regulilor
etice și comportamentale ale entității, precum și al modului în care aceste sânt comunicate și
aplicate în practică. Ele cuprind acțiunile întreprinse de management în scopul înlăturării sau
reducerii motivațiilor sau tentațiilor care arputea determina angajații să se implice în fapte
necinstite, ilicite sau imorale. Ele includ și comunicarea valorilor și normelor comportamentale
ale entității către angajații săi prin intermediul directivelor de politică, al codurilor de conduită și
al exemplelor personale.
Angajamentul față de competență. Competența reprezintă cunoștințele și aptitudinile necesare
pentru a îndeplini sarcinile care definesc funcția unui individ. Angajamentul față de competență
cuprinde luarea în considerare de către management a nivelurilor de competență pentru posturi
specifice și a modului în care aceste niveluri se traduc în aptitudini și cunoștințe necesare.
Participarea consiliului de administrație sau a comitetului de audit. Un consiliu de
administrație eficace este independent de managementul întreprinderii, iar membrii săi sânt
implicați în activitățile de gestiune și le supraveghează cu atenție. Consiliul deleagă managerilor
responsabilități privind controlul intern instaurat de managementul entității. În plus, un Consiliu
activ și obiectiv poate, deseori, reduce eficient probabilitatea ca managementul să încalce politice
de control existente. Deseori, pentru a obține un sprijin în supervizarea activității întreprinderii,
consiliul de administrație creează un comitet de audit, căruia i se deleagă responsabilitatea
supravegherii procesului de raportare financiară. De asemenea, comitetul de audit răspunde de
menținerea unei comunicații permanente atât cu auditorii interni, cât și cu cei externi. Aceasta le
permite auditorilor și membrilor consiliului să dicscute probleme care ar putea viza aspecte
precum integritatea sau acțiunile întreprinse de management. Independența comitetului de audit
față de managementul entității și cunoștințele sale în domeniul raportării financiare sânt
considerați factori determinanți pentru capacitatea acestuia de a evalua de manieră eficace
mecanismele de control intern și situațiile financiare elaborate de management. De fapt, Bursa
din New York (New York Stock Exchange) impune, iar Bursa Americană (American Stock
Exchange) recomandă, că toate companiile cotate pe piețele de valori să creezi un comitet de
audit format în întregime din membri externi. Piața NASDAQ impune că numai majoritatea
simplă a posturilor din comitetul de audit să fie ocupat de membri externi întreprinderile.
Numeroase companii care nu sânt cotate pe piețele de capital creează, la rândul lor, comitete de
audit eficace, recunoscând importanța unei raportări financiare eficace și a supervizării adecvate
a sistemului de control intern.
Abundența scandalurilor contabile, cum ar fi presupusă înregistrare a unor milioane de dolari ca
venituri false de către Cendant Corporation, Ne sugerează că aceste comitete de audit nu își
îndeplinesc întotdeauna cu eficacitatea rolul. Reprezentanți ai investitorilor atacă asemenea
comitete pe motivul că ele nu sânt independente sau nu dispun de cunoștințele financiare pentru
detectarea majorității erorilor de raportare financiară. Ei remarcă faptul că, uneori, comitetele de
audit nu-și îndeplinesc misiunea din cauză că un director executiv alege membri care sânt dispuși
să joace cum li se cântă. Comitetele de audit au nevoie de membri independenți, cu o experiență
financiară bogată. Pentru a răspunde acestor preocupări, Comisia Valorilor și Operațiunilor
Bursiere (CVOB/SEC) a creat un grup de studiu format din somități pentru a cerceta eficacitatea
comitetelor de audit. Acest grup de studiu a publicat în 1999 un raport intitulat. Raport și
recomandări ale grupului de studiu privind îmbunătățirea eficacității comitetelor de audit de
întreprindere. Acest raport conține zece recomandări, formulate în scopul de: (1) a consolida
independența comitetelor de audit, (2) a majora eficacitatea comitetelor de audit și (3) a prezenta
mecanisme de reponsabilizarea a comitetelor de audit, auditorilor externi și managerilor
întreprindelor. (Surse: Scandals Signal Laxity of Audit Panels, în The Walls Street Journal (17 julie 1998), B1,
Report and Recommendations of the Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit
Committees, New York Stock Exchange și National Association of Securities Dealers, 1999).
Filozofia și stilul de lucru al managementului. Managementul, prin intermediul activităților

sale, trimite semnale clare angajaților privind importanța controlului intern. De exemplu,
managerii își asumă riscuri importante sau sânt mai degrabă, reticenți față de riscuri? Planurile
de profituri și datele bugetare sânt definite ca cele mai bune posibile planuri sau ca cele mai
probabile ținte? Conducerea întreprinderii poate fi descrisă ca umflată și birocratică subținerea și
agresivă, dominată de una sau câteva persoane, sau numai bună? Înțelegerea acestor aspecte și a
altor elemente similare ale filozofiei și stilului de lucru al managerilor îi oferă auditorului o
imagine a atitudinii conducerii față de controlul intern.
Structura organizatorică. Structura organizatorică a unei entități (organigrama) definește
nivelurile ierarhice de responsabilitate și autoritate existente. Prin înțelegerea structurii
organizatorice a unui client, auditorul poate cunoaște mai bine aspectele manageriale și
funcționale ale unei entități economice și poate percepe modul în care sânt puse în aplicarea
mecanismelor de control.
Atribuirea autorității și responsabilității. Pe lângă aspectele subiective ale comunicării deja
menționate, o importanță la fel de mare o au și metodele formalizate de comunicare a autorității
și responsabilității, precum și o serie de alte aspecte similare legate de controlul intern. Printre
acestea s-ar putea număra metode precum notele interne despre importanța controlului și a unor
aspecte legate de control, redactate de conducerea de vârf, planurile formale de organizare și de
activitate, precum și fișele de post pentru angajați și politicile de întreprindere asociate acestora.
Politicele și practicele din domeniul resurselor umane. Cel mai important aspect al controlului
intern este personalul. Dacă angajații sânt competenți și demni de încredere, alte tipuri de
mecanisme de control ar putea lipsi și tot ar rezulta situații financiare fiabile. Persoanele oneste și
eficiente sânt capabile să presteze o muncă de calitate înaltă chiar și atunci există puține alte
mecanisme de control. Și invers, chiar dacă sânt aplicate numeroase alte mecanisme de control,
persoanele incompetente sau necinstite pot transforma sistemul într-un haos. În ciuda existenței
unui personal competent și demn de încredere, nu uitați că oamenii au o serie de slăbiciuni
înnăscute. De exemplu, ei se pot plictisi sau pot deveni nemulțumiți, problemele personale le pot
afecta performanțele profesionale, sau obiectivele pe care le urmăresc se pot schimba.
Din cauza importanței pe care o are un personal competent și fiabil în asigurarea unui
control intern eficace, metodele prin care oamenii sânt angajați, evaluați, instruiți, promovați și
recompensați reprezintă o componentă esențială a controlului intern.
Auditorul trebuie să obțină informații privin fiecare dintre componentele secundare ale
mediului controlului. Apoi, el/ ea va utiliza aceste cunoștințe ca bază pentru a evalua atitudinea
managerilor și membrilor consiliului de administrație față de control intern și modul în care
aceste persoane percep importanța controlului intern. De exemplu, auditorul ar putea determina
natura sistemului bugetar al unui client ca parte a înțelegerii modului în care este constituit
mediul controlului. Apoi, funcționarea sistemului bugetar poate fi evaluată parțial prin
chestionarea personalului implicat în activitatea de bugetare, în scopul identificării procedurilor
folosite, dar și prin analizarea diferențelor dintre sumele bugetate și cele efectiv realizate. De
asemena, auditorul ar putea examina planurile de activitate ale clientului, pentru a compara
rezultatele efective cu cele previzionate.
Evaluarea riscurilor în scopuri de raportare financiară înseamnă identificarea și analizarea de
către management a riscurilor relevante pentru elaborarea sitațiilor financiare în conformitate cu
principiile contabile general acceptate. De exemplu, dacă o companie își vinde de manieră
repetată produsele la un preț inferior costului contabil al stocurilor din cauza evoluțiilor
tehnologice rapide, este esențial ca ea să introducă mecanisme de control adecvate pentru a face
față riscului de supraevaluarea stocurilor.
Mediul controlului

Toate societățile, indiferent de dimensiuni, structură, denumire, natură sau ramură de activitate se
confruntă cu diverse riscuri ce provin din surse interne sau externe și care trebuie gestionate.
Deoarece circumstanțele economice, de ramură, juridice și operaționale evoluează,
managementul trebuie să răspundă provocării de a crea mecanismele necesare pentru
identificarea și getionarea riscurilor asociate acestor schimbări. Controlul intern potrivit într-un
set de circumstanțe nu va continua în mod obligatoriu să fie eficace dacă aceste circumstanțe se
vor modifica.
Identificarea și analiza riscurilor este un proces continuu și o componentă critică a unui
control intern eficace. Managementul trebuie să se concentreze asupra riscurilor de la toate
nivelurile organizației și să întreprindă măsurile necesare pentru a gestiona aceste riscuri. Un
prim pas important ar fi ca managementul să identifice factorii care ar putea putea majora
riscurile. Incapacitatea de a atinge obiectivele deja fixate, calitatea personalului, dispersarea
geografică a activităților companiei, importanța și complexitatea proceselor economice de bază,
întroducerea unor noi tehnologii informaționale și intrarea pep piața a unor noi concurenți
reprezintă tot atâtea exemple de factori care ar putea conduce la un risc mai mare. După ce un
risc a fost identificat, managementul trebuie să estimeze semnificația acestui risc, să evalueze
probabilitatea apariției lui și să formuleze măsuri specifice care ar trebui întreprinse pentru a
reduce riscul până la un nivel acceptabil. Bineînțeles, nu există modalitate de eliminare a unui
risc care să fie eficientă și din punctul de vedere al costurilor. Cu toate acestea, managementul
trebuie să evalueze cu prudență care este nivelul de risc acceptabil și să se străduiască să mențină
riscul de acest nivel determinat.
Evaluarea riscurilor de către management este diferită, dar strâns legată de cea întreprinsă
de auditor, discutată în capitolul 9. Managementul evaluează riscurile ca parte a conceperii și
punerii în aplicare a mecanismelor de control intern, urmărind minimanizarea probabilității de
apariție a erorilor și fraudelor. Auditorul evaluează riscurile pentru a decide asupra probelor
necesare în audit. Dacă managementul evaluează și gestionează eficient riscurile, auditorul va
colecta, de regulă, o cantitate mai mică de probe decât în situația în care managementul nu
reușește să identifice riscurile semnificative sau să le facă față.
Auditorul ajunge să cunoască procesul de evaluare a riscurilor aplicat de management
prin determinarea modului în care managerii identifică riscurile relevante pentru raportarea
financiară, evaluează semnificația și probabilitatea de manifestarea a acestor riscuri și
formulează măsuri necesare pentru a le face față. Chestionarele și dicuțiile cu managerii sânt cele
mai obișnuite metode de obținere a acestor informații.
Activitățile de control reprezintă o serie de politici și proceduri, pe lângă cele incluse în
celelalte patru componente, care asigură faptul că în urmărirea obiectivelor entitiății se iau
măsurile necesare pentru a se face față riscurilor. În principiu, în orice entitate economică există
numeroase asemenea activității de control. DSA/SAS 78 și Raportul COSO menționează că
activitățile de control vizează, în general, politicile și procedurile referitoare la: (1) separarea
responsabilităților, (2) prelucrarea informațiilor, (3) controalele fizice și (4) evaluarea aplicării
rezultatelor. Prin definiție, activitățile de control legate de aceste tipuri de politici și proceduri se
încadrează, de obicei, în următoarele cinci tipuri de activități specifice de control, care sânt
discutate în textul ce urmează:
1. Separarea adecvată a responsabilităților (sarcinilor)
2. Autorizarea adecvată a operațiunilor și activităților
3. Întocmirea de documente și evidențe contabile adecvate
4. Controlul fizic al activelor și evidențelor contabile
5. Verificări independente ale aplicării sau rezultatelor
Mediul controlului

Separarea adecvată a responsabilităților. Există patru recomandări generale pentru o bună

separare a responsabilităților, în scopul prevenirii atât fraudelor, cât și a erorilor, recomandări
care au o relevanță deosebită pentru auditori.
Separarea gestiunii activelor de contabilitate. Motivul pentru care unei persoane care
gestionează de manieră permanentă sau temporară un activ nu i se permite să țină contabilitatea
activului în cauză este de a proteja compania de deturnări (sustrageri). Când una și aceași
persoană îndeplinește ambele funcții, crește riscul ca acea persoană să utilizeze activul în interese
personale și să machieze evidențele contabile pentru a-și camufla răspunderea. Dacă un casier,
de exemplu, încasează numerarul și este răspunzător de înregistrarea cotidiană a încasărilor și
vânzărilor, el ar avea posibilitatea de a pune în buzunar banii primiți de la un client și de a ajusta
contul clientului prin neînregistrarea vânzării sau prin înregistrarea unei creditări fictive.
Separarea autorizării operațiunilor de gestunea activelor asociate acestora. În măsura
posibilităților, este de dorit să se evite situațiile în care persoanele care autorizează anumite
operațiuni au și dreptul de a dispune că activul corespunzător. De exemplu, nu ar trebui ca una ;i
aceași persoană să autorizeze achitarea facturării și să semneze cecul destinat achitării facturii
respective. Autorizarea unei operațiuni și gestiunea activului asociat ei de către una și aceași
persoană majorează probabilitatea unor deturnări de active comise de persoane din interiorul
organizației.
Separarea sarcinilor operaționale de sarcinile contabile. Dacă fiecare departament sau
diviziune dintr-o organizație ar răspunde de ținerea propriilor registre și evidențe contabile, ar
exista tentația de a influența rezultatele pentru a îmbunătăți performanțele raportate. Pentru a
asigura existența unor informații nepărtinitoare, funcția de ținere a evidențelor contabile este, de
regulă, inclusă într-un departament separat, supus ierarhic contabilului-șef sau directorului
financiar.
Separarea sarcinilor legate de TI de sarcinile principalilor utilizatori din afara sistemului TI.
Pentru a desemna utilizarea echipamentelor informatice în prelucrarea și gestiunea informațiilor
se folosește termenul generic de tehnologii informaționale (TI). Pe măsura creșterii
complexității sistemelor bazate pe TI, de cele mai multe ori separarea autorizării operațiunilor,
ținerii evidențelor contabile și gestiunii activelor devine confuză. De exemplu, agenții comerciali
pot introduce în timp real în sistem comenzile clienților. Computerul autorizează respectivele
vânzări prin compararea limitelor de creditare ale clientului în cauză cu fișierul sistematic și
înregistrează toate vânzările aprobate în jurnalele din ciclul vânzărilor. Prin urmare, computerul
joacă un rol semnificativ în autorizarea și înregistrarea în contabilitate a operațiunilor de vânzări.
Pentru a compensa această eventuală fuziune a sarcinilor, este important ca întreprinderile să
separe principalele funcții legate de tehnologiile informaționale de funcțiile departamentelor care
sânt utilizatorii-cheie ai acestor tehnologii. În acest exemplu, responsabilitatea conceperii și
controlului programelor informatice de evidență contabilă care conțin procedurile de autorizare
și înregistrare a vânzărilor ar trebui să-i revină departamentului de tehnologii informaționale, în
timp ce posibilitatea de a actualiza informațiile din fișierul sistematic al limitelor de creditare ale
clienților ar trebui atribuită departamentului de creditare al companiei, aflat în afara funcției de
TI.
Firește, gradul de separare a sarcinilor și responsabilităților depinde într-o foarte mare
măsură de dimensiunile organizației. În numeroase companii mici nu este practică separarea
sarcinilor într-atât de detaliat pe cât s-a sugerat mai sus. În asemenea cazuri, s-ar putea impune o
modificare în probele auditului.
Autorizarea adecvată a operațiunilor și activităților. Orice operațiune trebuie corect
autorizată pentru ca mecanismele de control să poată fi considerate satisfăcătoare. Dacă orice
persoană din organizație ar putea achiziționa sau dispune de active după buna ei voință, s-ar
instaura un haos general. Autorizarea poate fi generală sau specifică. Autorizarea generală
înseamnă că managementul definește politici pe care organizația trebuie să le aplice în ansamblul
ei. Personalul subordonat primește instrucțiuni de a aplica aceste autorizări generale prin
aprobarea tuturor operațiunilor în limitele fixate de politica întreprinderii. Exemple de autorizare
generală sânt întocmirea de liste de prețuri fixe pentru vânzarea produselor, limite de creditare
pentru clienți și praguri de atins înainte de a se putea iniția o cerere de reaprovizionare.
Autorizarea specifică se aplică unor operațiuni individuale. Deseori, managementul nu
este dispus să fixeze o politică generală de autorizare pentru anumite operațiuni. În schimb, el
preferă să acorde autorizațiile pentru fiecare caz în parte. Un exemplu ar fi autorizarea fiecărei
operațiuni de vânzare de către un manager de vânzări în cazul unei companii care
comercializează automobile la mâna a doua.
Există și o deosebire între autorizare și aprobare. Autorizarea reprezintă o decizie ce ține
de politica întreprinderii și vizează fie o categorie generală de operațiuni, fie operațiuni specifice
luate în parte. Aprobarea reprezintă aplicarea în practică a deciziilor de autorizare generală ale
managementului. De exemplu, să presupunem că managementul definește o politică de
autorizare a comenzilor de reaprovizionare cu materii prime în momentul în care întreprinderea
nu mai dispune decât de stocul necesar pentru 3 săptămâni de producție. Aceasta este o
autorizare generală. Când un departament face o comandă de materii prime, angajatul
responsabil de ținerea evidențelor permanente ale stocurilor aprobă comanda, pentru a indica
faptul că politica de autorizare a fost respectată. În alte cazuri, computerul face aprobarea
generală a operațiunilor. Compararea cantităților de materii prime din stoc cu un fișier sistematic
de praguri de reaprovizionare poate fi făcută de computer, acesta putând, apoi, folosi comparația
pentru a decide dacă trebuie să expedieze comenzile de aprovizionare către furnizorii autorizați
din fișierul sistematic al furnizorilor. În acest caz, computerul exercită funcția de aprobare
generală, utilizând informațiile autorizate în prealabil, conținute în fișierele sistematice.
Autorizarea din acest caz este făcută de către angajații departamentului de aprovizionare, în
momentul în care aceștia autorizează modificările operate în fișierele sistematice conținând
pragurile de reaprovizionare și lista furnizorilor.
Întocmirea de documente și evidențe contabile adecvate. Documentele și evidențele contabile
reprezintă suporturile fizice pe care sânt înregistrate și sântetizate operațiunile. Ele cuprind
elementele diverse, cum ar fi facturile de vânzare, comenzile de aprovizionare, registrele
analitice, jurnalele de vânzări și fișele de pontaj ale angajaților. Multe dintre aceste documente și
evidențe sânt ținute sub forma unor fișiere informatice până în momentul în care sânt imprimate
pentru diverse scopuri. Atât documentele justificative inițiale, cât și evidențele pe baza cărora
sânt înregistrate operațiunile sânt importante, însă caracterul inadecvat al documentelor
justificative creează, de obicei, probleme de control mai grave.
Documentele justificative au funcția de a transmite informații între componentele
organizației clientului și între organizații diferite. Documentul trebuie să fie adecvate pentru a
oferi o asigurare rezonabilă privind faptul că toate activele sânt controlate corespunzător și că
toate operațiunile sânt înregistrate corect. De exemplu, dacă departamentul de recepționare a
bunurilor întocmește un borderou de intrare-recepție în momentul primirii unei livrări de materii
prime, departamentul care ține evidența datoriilor față de furnizori poate verifica caracteristicele
produselor și cantitățile din factura furnizorului, comparând-o cu informațiile din borderoul de
intrare-recepție.
Există o serie de principii relevante care dictează conceperea și utilizarea adecvată a
documentelor și evidențelor contabile. Documentele și evidențelor contabile. Documentele și
evidențele ar trebui să fie:
 Prenumerotate în serii succesive, pentru a facilita controlul documentelor care lipsesc și
pentru a permite localizarea documentelor necesare la un moment ulterior (afectează
semnificativ exhaustivitatea ca obiectiv de audit legat de operațiuni).
 Întocmirea la data când are loc operațiunea sau cât mai curând după această dată. Când
apare un decalaj temporal mai mare, evidențele sânt mai puțin credibile și crește
probabilitatea apariției de erori (afectează cronologia ca obiectiv de audit legat de
operațiuni).
 Suficient de simple pentru a asigura buna lor înțelegere de către utilizatori.
 Concepute pentru utilizări multiple (în măsura posibilităților), pentru a minimiza numărul
de formulare diferite. De exemplu, un document de livrare bine conceput și corect utilizat
poate constitui baza pentru eliberarea bunurilor din depozite către departamentul de
livrări, pentru informarea departamentului contabil în ceea ce privește cantitatea de
bunuri de facturat unui client și data adecvată pentru factură, precum și pentru
actualizarea evidențelor permanente ale stocurilor.
 Concepute astfel încât să încurajeze întocmirea lor corectă. Aceasta se poate face prin
includerea unor verificări interne în formularul documentului. De exemplu, un document
ar putea cuprinde instrucțiuni pentru buna completare, spații libere pentru autorizări și
aprobări și coloane separate detinate datelor numerice.
Când datele referitoare la operațiuni sânt introduse în timp real cu ajutorul computerelor,
proiectarea ecranului de introducere a datelor în sistem este importantă pentru minimizarea
erorilor și pentru îmbunătățirea eficienței procesului de introducere a informațiilor în sistem. De
exemplu, căsuțele care se afișează automat pe ecran și oferă mesaje cu instrucțiuni de completare
ajută personalul care introduce datele să identifice informațiile care trebuie înregistrate.
Trimiterea automată a cursorului către următoarea căsuță de informații care trebuie completată
permite o ghidare a procesului într-o manieră sistematică și organizată, mărind probabilitatea
exactității și exhaustivității datelor. Deseori, ecranele de introducere a informațiilor conțin și
mecanisme de control prin care se validează datele înregistrate. De exemplu, codul unui cont de
carte mare poate fi automat respins atunci când numărul contului nu corespunde fișierului
sistematic care conține planul de conturi. Alte mecanisme de control incluse în ecranul de
introducere a datelor permit atribuirea automată a unui număr de ordine pentru fiecare document,
împiedicând astfel angajatul în cauză să schimbe acel număr de ordine.
Un mecanism de control strâns legat de documente și evidențe contabile este planul de
conturi, prin care operațiunile sânt clasificate în conturi distincte de bilanț și rezultate. Planul de
conturi este un mecanism de control important, deoarece el oferă un cadru de referință pentru
identificarea informațiilor prezentate managementului și altor utilizatori ai situațiilor financiare.
Planul de conturi este util în preântâmpinarea greșelilor de clasificate atunci când conține o
descriere corectă și precisă a tipurilor de operațiuni care ar trebui înregistrate în fiecare cont.
Procedurile care asigură ținerea unor evidențe contabile adecvate ar trebui detaliate în
manuale de sistem, pentru a se încuraja aplicarea lor consecventă. Manualele ar trebui să ofere
suficiente informații pentru a facilita ținerea adecvată a evidențelor contabile și pentru a menține
un control adecvat al activelor. Numeroase programe și aplicații informatice conțin ecrane de
ajutor, care oferă instrucțiunea privind utilizarea lor corectă.
Controlul fizic vizând activele și evidențele contabile. Pentru a menține un sistem de
control intern adecvat, este esențial ca activele și evidențele contabile să fie protejate. Dacă
activele nu sânt păzite, ele pot fi furate. Dacă documentele nu sânt adecvat protejate, ele pot fi
furate, deteriorate sau pierdute. În cazul în care s-ar produce asemenea deteriorări sau sustrageri,
procesul contabil și operațiunile curente ar putea fi grav perturbate. Când o companie este
puternic informatizată, este deosebit de important ca echipamentele, programele și fișierele sale
informatice să fie bine protejate. Echipamentele și programele sânt costisitoare și vitale pentru
exploatarea. Fișierele reprezintă evidențele companiei, iar dacă ecestea ar fi distruse,
reconstituirea lor ar fi costisitoare sau chiar imbosibilă.
Cea mai importantă modalitate de protejare a activelor și evidențelor constă în lumea
unor măsuri privind protecția fizică. Un exemplu este utilizarea de spații de depozitare pentru
stocuri, în scopul de a le proteja de furturi. Când spațiul de depozitare este gestionat și controlat
de un angajat competent, apare o asigurare suplimentară că uzura morală a acestor stocuri este
minimizată. Seifurile ignifuge și camerele de depozitare securizate destinate protejării unor
active precum numerarul și hârtiile de valoare reprezintă un alt tip important de protecție fizică.
Există trei categorii de măsuri de control legate de protecția echipamentelor, programelor
și fișierelor informatice. Ca și cazul altor tipuri de active, metodele controlului fizic sânt utilizate
și pentru protecția mijloacelor informatice. Printre exemple se numără: mecanismele de încuiere
a ușilor camerelor care conțin echipamentele și terminalele informatice, controlul adecvat al
condițiilor de mediu, cum ar fi temperatura și umiditatea, în spațiile unde sânt amplasate
computerele, spații adecvate de stocare a programelor și fișierelor informatice pentru a le proteja
de pierdere, precum și sisteme adecvate de prevenire și combatere a incendiilor. Controlul
accesului se referă la faptul că numai persoanele autorizate pot utiliza echipamentele informatice
și avea acces la programe de fișiere. Un exemplu este un sistem de parole necesare pentru
accesul logic (electronic) la sistem. Procedurile privind crearea unor copii de siguranță și privind
recuperarea datelor în caz de urgență sânt măsuri pe care le poate lua o organizație pentru a face
față eventualității pierderii unui echipament, a unui program sau a unor date. De exemplu,
crearea unei copii de siguranță a programelor și fișierelor-cheie și stocarea ei la distanță de
întreprindere este o măsură de control frecvent utilizată.
Verificări independente ale aplicării și rezultatelor. Ultima categorie de activități de control
constă în verificarea riguroasă și anonimă a celorlalte patru categorii, deseori numită verificarea
independentă sau verificare internă. Nevoia efectuării unor verificări independente apare
deoarece controlul intern tinde să se schimbe în timp dacă nu există un mecanism de ferificare
periodică. Este posibil ca angajații să se uite să aplice o procedură, să nu aplice deliberat o
procedură sau să devină neglijenți dacă nimeni nu-i supraveghează și nu le evaluează
performanțele. În plus, indiferent de calitatea mecanismelor de control, se poate produce atât
greșeli frauduloase, cât și neintenționate.
O caracteristică esențială a persoanelor are aplică procedurile de verificare internă este
independența de indivizii la origine de pregătirea datelor. Cel mai puțin costisitor mijloc de
verificare internă este separarea responsabilităților în modul discutat mai devreme. De exemplu,
când confruntarea (reconcilierea) soldurilor de disponibilități din extrasele bancare cu cele din
evidențele interne este făcută de o persoană care nu este implicată în ținerea evidențelor contabile
și în gestiunea disponibilităților bănești, apare o oportunitate de a verifica fără a se genera
cheltuieli suplimentare semnificative.
Sistemele contabile informatizate pot fi proiectate astfel încât numeroase proceduri de
verificare internă să fie automatizate și integrate în sistem. De exemplu, computerul va impiedica
prelucrarea plății facturii unui furnizor dacă în sistem nu există un număr de comandă sau un
număr de borderou de intrare-recepție care să corespundă facturii în cauză.
Auditorii obțin o înțelegere a mediului de control și a evaluării riscurilor cam de aceeași
manieră în majoritatea auditelor, însă înțelegerea activităților de control variază semnificativ.
Pentru clienții mici, se obișnuiește identificarea unui număr mic de activități de control sau chiar
a nici unei activități, deoarece mecanismul de control ale acestor clienți sânt de cele mai multe
ori ineficace, din cauza lipsei de personal. În acest caz, auditorul fixează un risc de control
estimat mai mare. Pentru clienții cu mecanisme de control complexe pe care auditorul le
consideră excelente, deseori este potrivit să se identifice numeroase mecanisme de control în faza
de înțelegere. În alte audite, auditorul ar putea identifica un număr limitat de mecanisme de
control în cursul acestei faze, pentru a analiza apoi alte mecanisme suplimentare în fazele
ulterioare ale procesului de audit. Amploarea identificării mecanismelor de control depinde de
raționamentul profesional al auditorului. O metodă de identificare a mecanismelor de control este
studiată mai târziu în capitolul de față.
Scopul sistemului de informare și comunicare contabilă al unei entități constă în identificarea,
asamblarea, clasificarea, analizarea, înregistrarea și raportarea operațiunilor entității și evidența
răspunderii privind activele asociate acestor operațiuni. Un sistem de informare și comunicare
contabilă conține mai multe componente secundare, formată de obicei din categorii de
operațiuni, cum ar fi vânzările, vânzările restituite, încasările, cumpărările și așa mai departe.
Pentru fiecare categorie de operațiuni, sistemul contabil trebuie să atingă toate cele șase obiective
de audit referitoare la operațiuni, identificate mai devreme în capitolul de față. De exemplu,
sistemul de contabilizare a vânzărilor ar trebui proiectat astfel încât să asigure că toate livrările
de produse efectuate de o companie sânt corect înregistrate ca vânzări (obiectivele exhaustivității
și exactității) și reflectate în situațiile financiare în exercițiul contabil corespunzător (obiectivul
cronologiei). De asemenea, sistemul trebuie să prevină dubla înregistrare a vânzărilor și
înregistrarea unei vânzări când livrarea nu s-a produs încă (obiectivul existenței).
Mediul controlului

Pentru o companie mică, al cărei proprietar este activ implicat în activitatea de

exploatare, un sistem de contabilitate informatizat și simplu, care necesită mai ales implicarea
unui singur contabil cinstit și competent, ar putea reprezenta un sistem informațional- contabil
adecvat. O companie mai mare are nevoie de un sistem mai complex, care să cuprindă
responsabilități clar definite și proceduri scrise.
Pentru a înțelege construcția unui sistem informațional-contabil, auditorul
determină: (1) principalele categorii de operațiuni ale entității, (2) modul în care sânt inițiate
aceste operațiuni, (3) evidențele contabile existente și natura lor, (4) modul în care operațiunile
sânt prelucrate, de la inițiere până la încheierea, inclusiv măsura și natura folosirii mijloacelor
informatice și (5) natura și detaliile procesului de raportare financiară folosit. De obicei, aceste
elemente sânt identificate și documentate printr-o descriere narativa a sistemului sau printr-o
diagramă a secvențelor procesului. (Acestea sânt prezentate mai târziu în capitolul de față.)
Modul în care funcționează sistemul informațional-contabil este deseori determinat prin
identificarea drumului parcurs de una sau mai multe operațiuni prin sistem (procedură numită
parcursul operațiunii).
Activitățile de supervizare se referă la evaluarea permanentă sau periodică de către
management a calității funcționării controlului intern, în scopul de a determina dacă
mecanismele de control sânt aplicate conform prevederilor și dacă ele sânt modificate
corespunzător unor schimbări ale circumstanțelor. Informațiile necesare pentru evaluarea și
modificarea sistemului provin din diverse surse, printre care se numără: studii ale mecanismelor
de control intern existente, rapoarte ale auditorilor interni, rapoartele privind abaterile de la
activitățile de control precise, rapoarte ale organelor de control cum ar fi agențiile de
reglamentare a activității bancare, reacțiile transmise de personalul operativ și reclamațiile
clienților privind sumele facturate.
Mediul controlului

Cele mai importante lucruri pe care trebuie să le știe un auditor despre supervizare sânt:
principalele tipuri de activități de supervizare pe care le desfășoară o companie și modul în care
aceste activități contribuie la modificarea mecanismelor de control intern în caz de necesitate.
Discuțiile cu managerii reprezintă cea mai obișnuită modalitate de obținere a acestor informații.
În numeroase companii, în special cele mari, existența unui departament de audit intern
este esențială pentru a se asigura o supervizare eficientă. Pentru ca o funcție de audit intern să fie
eficace, este vital ca personalul de audit să fie independent atât de departamentele operative, cât
și de departamentul contabil, precum și ca auditorii interni să fie direct subordonați unui nivel de
autoritate cât mai înalt din organizație, adică fie managementul de vârf, fie comitetului de audit
al consiliului de administrație.
Pe lângă rolul pe care îl joacă în supervizarea controlului intern al unei entități, un
personal de audit intern adecvat poate reduce costurile de audit extern prin oferirea unei asistențe
directe auditorilor externi. DSA/SAS 65 (AU 322) definește modul în care auditorii interni pot
influența colectarea de probe de către auditorul extern. Dacă auditorul extern obține probele
necesare pentru a demonstra competența, integritatea și obiectivitatea auditorilor interni, atunci
el se poate baza pe munca auditorilor interni în numeroase aspecte ale activității sale.
Dimensiunea unei companii are un impact semnificativ asupra naturii controlului intern și
asupra mecanismelor specifice de control aplicate în cursul activității. În mod evident, este mai
greu să faci o separare adecvată a sarcinilor într-o companie mică. La fel, nu ar fi rezonabil să se
aștepte ca o societate mică să aibă auditorii interni cu toate acestea, dacă sânt examinate
diversele subcomponente ale controlului intern, devine evident faptul că majoritatea se aplică
atât companiilor de dimensiuni mari, cât și societăților mai mici. Deși formalizarea politicilor
întreprinderii prin manuale nu este o practică larg răspândită, o companie mică poate, fără nici o
îndoială.
Tabelul 10-2 Elementele controlului intern
Control intern
Elemente Descrierea elementului Clasificarea secundară (dacă se aplică)
Mediul Acțiunile, politicile și procedurile care Componente secundare ale mediului
controlului reflectă atitudinea de ansamblu a controlului:
managementului de vârf, a membrilor  Integritatea și valori etice
consiliului de administrație și a  Angajamentul față de competență
proprietarilor unei entități față de  Implicarea consiliului de administrație
controlul intern și importanța lui. sau a comitetului de audit.
 Filozofia și stilul de lucru al
managementului
 Structura organizatorică (organigrama)
 Repartizarea autorității și
responsabilității
 Politicele și practicele legate de
resursele umane
Evaluarea Identificarea și analizarea de către Procese de evaluare a riscurilor.
riscurilor management a riscurilor relevante  Identificarea factorilor care afectează
pentru elaborarea situațiilor financiare riscurile
în conformitate cu principiile  Evaluarea semnificației riscurilor și a
contabile general acceptate. probabilității manifestării lor
 Determinarea acțiunilor necesare
pentru a gestiona riscurile
Aserțiuni manageriale care trebuie satisfăcute
 Existență sau producere
 Exhaustivitate
 Evaluarea sau afectare
 Drepturi și obligații
 Prezentare și dezvăluire
Activitățile de Politicile și procedurile definite de Tipuri de activități specifice de control:
control management în scopul de a-și atinge
obiectivele referitoare la raportarea  Separarea adecvată a sarcinilor
financiară  Autorizarea corespunzătoare a
operațiunilor și activităților
 Documente justificative și evidențe
contabile adecvate
 Controlul fizic al activelor și
evidențelor contabile
 Verificări independente ale aplicării și
rezultatelor
Informarea și Metodele utilizate pentru a identifica, Obiective de audit referitoare la operațiuni ce
comunicarea reuni, clasifica, înregistra și raporta trebuie satisfăcute:
operațiunile unei entități și pentru a  Existență
ține evidența răspunderii privind  Exhaustivitate
activele asociate acestor operațiuni.  Exactitate
 Clasificare
 Cronologie
 Sistematizare și sintetizare
Supervizarea Evaluarea permanentă și periodică de Nu se aplică
către management a calității aplicării
mecanismelor de control intern, în
scopul de a determina dacă
mecanismele de control sânt executate
conform prevederilor și modificate pe
măsura necesităților.
Dispune de: (1) personal competent și fiabil, cu niveluri ierarhice clar definite, (2)
proceduri adecvate pentru autorizarea, exacutarea și înregistrarea operațiunilor, de control fizic
privind activele și evidențele contabile și, într-o proporție mai limitată, (5) verificări
independente ale aplicării și rezultatelor.
Un mecanism de control important de care dispun companiile mici constă în cunoștințele
și implicarea principalei persoane cu funcții executive, care este deseori un proprietar-gestionar.
Un interes personal în organizație și o relație strânsă cu angajații acesteia fac posibile evaluarea
riguroasă a competenței angajaților și eficacitatea sistemului pe ansamblu. De exemplu, controlul
intern poate fi consolidat de manieră semnificativă dacă proprietarul îndeplinește conștiincios
sarcini precum: semnarea tuturor cercurilor după o verificare riguroasă a tuturor documentelor
justificative, verificarea confruntării extraselor bancare cu soldurile întreprinderii, examinarea
situațiilor recapitulative ale creanțelor comerciale trimise clienților, aprobarea creditelor,
examinarea întregii corespondențe cu clienții și furnizorii și aprobarea creanțelor incerte sau
irecuperabile.
Cele cinci elemente ale controlului intern discutate în secțiunile precedente sânt
sintetizate în Tabelul 10-2.
Acum că am discutat diverselor componente ale controlului intern, să ne întoarcem
privirea spre modul în care sânt analizate elemente atunci când se caută o înțelegere a controlului
intern și se estimează riscul de control. Tehnicile utilizate în faza de planificare pentru colectarea
probelor referitoare la modul în care sistemul de control intern este proiectat și integrat în
activitatea de exploatare sânt numite proceduri de obținere a unei înțelegeri (a controlului intern).
Auditorii obțin informații despre controlul intern și utilizează aceste informații ca bază pentru
planificarea auditului. Figura 10-2 ilustrează modul în care analiza controlului intern de către
auditor afectează testele substanțiale ale soldurilor conturilor. Auditorul abordează controlul
intern obținând, mai întâi de toate , o înțelegere a acestuia, înțelegere care este apoi utilizată
pentru estimarea inițială a riscului legat de control. Când estimarea riscului de control pe care o
face auditorul este sub nivelul maxim, auditorul efectuează teste ale mecanismelor de control.
După ce rezultatele acestorteste ale mecanismelor de control sânt cunoscute, auditorul trebuie să
analizeze modul în care aceste rezultate afectează riscul de detectare planificat și testele
substanțiale. Restul capitolului de față abordează modalitățile prin care practicienii aplică
primele trei etape din figura 10-2.
În practică, procedurile utilizate pentru a se ajunge la o înțelegerea a controlului intern și
pentru a se estima riscul legat de control variază considerabil de la un client la altul. În cazul
clienților mai mici, muți auditori obțin un nivel de înțelegere suficient doar pentru a estima dacă
situațiile financiare pot fi auditate, evaluează mediul controlului prin prisma atitudinii
managementului față de controlul intern și față de raportarea financiară și determină cât de
adecvat este sistemul contabil al clientului. Deseori, din motive de eficiență, mecanismele de
control intern sânt ignorate, se presupune că riscul de control este maxim, riscul de detectare
fiind, prin urmare, foarte mic. Pentru majoritatea clienților mai mari, în special în cazul
angajamentelor de audit repetitive, auditorul fixează înainte de a începe auditul un risc de control
estimat mai mic în majoritatea componentelor auditului.
Figura 10-2 Procesul înțelegerii controlului intern și al estimării riscului legat de
control
Obținerea unei Testarea Determinarea riscului de

înțelegeri a controlului Estimarea riscului
mecanismelor de detectare planificat și a
intern proiectare și legate de control
control testelor substanțiale
funcționare
DSA/SAS 55 (amendat prin DSA/SAS 78, AU 319) obligă auditorul să obțină o

înțelegere a controlului intern pentru fiecare audit. Gradul de înțelegere trebuie să fie cel puțin
suficient pentru a planifica auditul de manieră adecvată, în termenii următoarelor petru aspecte
ale planificării.
Caracterul auditabil. Auditorul trebuie să obțină informații despre integritatea
managementului și despre natura și volumul evidențelor contabile, în scopul de a se convinge că
va putea obține probe suficiente și temeinice pentru a justifica soldurile sin situațiile financiare.
Prezentările semnificativ eronate potențiale. Înțelegerea ar trebui să-i permită
auditorului să identifice tipurile de erori și fraude potențiale care ar putea afecta situațiile
financiare și să evalueze riscul de apariție a unor asemenea prezentări eronate la nivelul unor
sume care să fie semnificative pentru situațiile financiare.
Riscul de detectare. Riscul de control din modelul de risc pentru audit folosit în
planificare afectează în mod direct riscul de detectare planificat pentru fiecare obiectiv de audit [
RDP = RAA ÷(RI × RC)]. Informațiile privind controlul intern sânt utilizate pentru estimarea
riscului de control fiecărui obiectiv, influențând riscul de detectare planificat și probele de audit
planificate.
Proiectarea testelor. Informațiile obținute ar trebui să-i permită auditorului să conceapă
teste eficace ale soldurilor din situațiile financiare. Asemenea teste cuprind verificarea exactității
monetare atât a operațiunilor, cât și a soldurilor, precum și proceduri analitice.
O metodă tipică utilizată de auditori constă în: (1) obținerea unei înțelegeri a mediului de
control, a procedurilor de evaluare a riscurilor, a sistemului de informare și comunicare contabilă
și a metodelor de supervizare la un nivel suficient de detaliat, (2) identificarea mecanismelor
specifice de control care vor reduce riscul de control și nivelul estimat al acestui risc și (3)
testarea eficacității mecanismelor de control. Auditorul poate ajunge la concluzia că riscul de
control este redus numai după parcurgerea tuturor acestor trei etape. Cele trei etape menționate
mai sus sânt explicate mai detaliat în textul ce urmează, pentru a ilustra și mai bine modul în care
se obține o înțelegere a mecanismelor de control intern ale clientului și se estimează riscul legat
de control.
Sarcina auditorului în cadrul obținerii unei înțelegeri a controlului intern constă în a se
informa privind fiecare din cele cinci componente ale controlului intern. Căutând să obțină
această înțelegere, auditorul ar trebui să ia în considerare două aspecte și anume: (1) modul în
care au fost proiectate (concepute) diversele mecanisme de control intern incluse în fiecare
componentă și (2) faptul dacă aceste mecanisme au fost puse în aplicare. Mai jos Veți găsi o
serie de proceduri folosite pentru identificarea modului în care au fost concepute mecanismele de
control și a modului în care aceste mecanisme sânt aplicate.
Actualizarea și evaluarea experienței anterioare a auditorului cu entitatea în cauză.
Majoritatea auditelor unei companii sânt realizate în fiecare an de aceași firmă de expertiză
contabilă. Cu excepția angajamentelor inițiale, auditorul începe auditul raportându-se la
numeroasele informații privind controlul intern acumulate în anii precedenți. Deoarece, de
regulă, sistemele și mecanismele de control nu se schimbă frecvent, aceste informații pot fi
actualizate și preluate ca punct de plecare al auditului anului în curs.
Chestionarea personalului clientului. Un punct de pornire logic pentru actualizarea
informațiilor preluate din auditul precedent sau pentru obținerea inițială a informațiilor este
personalul relevant al clientului. Chestionarea personalului clientului de la nivel managerial, de
supervizare sau operativ va fi, de regulă, făcută ca parte a obținerii unei înțelegeri a controlului
intern.
Citirea directivelor de politică și a manualelor de sistem ale clientului. Pentru a
proiecta, pune în aplicare și întreține mecanismele de control intern, o entitate trebuie să dispună
de un volum mare de documente interne. Printre acestea se numără manualele și documentele
referitoare la politicile întreprinderii (cum ar fi un cod de conduită al întreprinderii) și manualele
și documentele de sistem (cum ar fi un manual de proceduri contabile și o organigramă). Aceste
informații trebuie citite de auditor și discutate cu personalul companiei pentru a se asigura că ele
sânt corect interpretate și înțelese.
Examinarea documentelor justificative și a evidențelor contabile. Toate cele cinci
componente ale controlului intern presupun crearea unui mare număr de documente și evidențe.
Acestea ar trebui să fie prezentate într-o anumită în manualele de politici și sisteme. Prin
examinarea documentelor justificative, a evidențelor contabile și a fișierilor informatice create,
auditorul poate concretiza conținutul manualelor și le poate înțelege mai bine. În plus,
examinarea documentelor și evidențelor oferă probe privind faptul că politicile și mecanismele
de control au fost puse în aplicare.
Observarea activităților și operațiunilor entității. Pe lângă examinarea documentelor
și evidențelor întocmite, auditorul poate observa clientului în cursul derulării activităților
contabile și de control obișnuite. Acest lucru permite o îmbunătățire suplimentară a înțelegerii și
cunoașterii mecanismelor de control puse în aplicare de entitate.
Observarea, documentarea și chestionarea pot fi eficient combinate sub forma parcursului
operațiunilor, menționat mai devreme. Prin această metodă auditorul selectează unul sau mai
multe documente necesare pentru inițierea unui tip de operațiuni și le retrasează parcursul prin
întregul proces contabil. La fiecare etapă de prelucrare, auditorul face chestionări și observă
activitățile curente, pe lângă faptul că examinează documentele întocmite pentru operațiunea sau
operațiunile selectate.
Trei metode tipice de documentare a înțelegerii controlului intern sânt: prezentările
narative, diagramele secvențiale și chestionarele de control intern. Acestea pot fi folosite separat
sau combinat, după cum se explică secțiunile ce urmează.
Prezentările narative. O prezentare narativă este o descriere scrisă a mecanismelor de
control intern ale unui client. O descriere adecvată a unui sistem contabil și a mecanismelor de
control aferente acestuia trebuie să conțină patru elemente, după cum urmează:
1. Originea fiecărui document și registru de evidență din sistem. De exemplu, descrierea
ar trebui să menționeze de unde vin comenzile clienților și cum sânt generate facturile
pentru vânzări.
2. Toate prelucrările care au loc. De exemplu, dacă sumele vânzărilor sânt determinate
de un program informatic care înmulțește cantitățile expediate cu prețurile standard
introduse în fișierul sistematic al prețurilor, atunci această operațiune ar trebui
descrisă.
3. Poziția ocupată de fiecare document și registru de evidență în sistem. Ar trebui
prezentat modul de clasificare, expediere către clienți sau anulare a documentelor.
4. Prezentarea mecanismelor de control relevante pentru estimarea riscului legat de
control. De regulă, acestea includ: separarea sarcinilor (cum ar fi separarea
înregistrării operațiunilor bănești de gestiunea lichidităților), autorizările și aprobările
(cum ar fi aprobarea creditelor) și verificările interne (cum ar fi compararea prețului
de vânzare unitar cu contractele de vânzări).
Diagramele secvențiale. O diagramă secvențială a controlului intern este o prezentare simbolică,
schematică a documentelor clientului și a succesiunii lor cronologice în organizație. O diagramă
secvențială adecvată trebuie să cuprindă aceleași patru elemente ca și o bună prezentare narativă.
Schițarea unor diagrame secvențiale este avantajoasă în primul rând pentru că poate oferi o
imagine concisă și de ansamblu asupra sistemului clientului, care îi va fi utilă auditorului ca
instrument analitic de evaluare. O diagramă secvențială bine întocmită contribuie la identificarea
punctelor slabe ale controlului, deoarece ea facilitează o înțelegere clară a modului în care
funcționează sistemul. Din cele mai multe puncte de vedere, diagramele sânt mai bune decât
prezentările narative ca metodă de comunicare a caracteristicilor unui sistem, în special ca
instrument de ilustrare a separării adecvate a sarcinilor. Este mult mai ușor să analizezi o
diagramă decât să citești o descriere. În plus, de obicei este mai ușor să actualizezi o diagramă
decât o prezentare narativă.
Nu se prea obișnuiește utilizarea concomitentă a unei diagrame și a unei prezentări
narative pentru a descrie același sistem, deoarece ambele instrumente au drept scop descrierea
fluxului documentelor și evidențelor dintr-un sistem contabil. Uneori, se folosește o combinare a
diagramelor și prezentărilor narative. Decizia de a utiliza una dintre tehnici sau o combinare a lor
depinde de doi factori: (1) gradul relativ de înțelegere la care au ajuns auditorii în anul în curs și
în anii precedenți și (2) costul relativ al utilizării celor două tehnici. Pe Internet pot fi găsite mai
multe programe informatice gratuite, destinate întocmirii de diagrame secvențiale.
Chestionarea de control intern. Un chestionarea de control conține o serie de întrebări despre
mecanismele de control aplicate în fiecare sferă supusă auditului, întrebări formulate în scopul de
a indica auditorului anumite aspecte ale controlului intern care ar putea fi necorespunzătoare. În
cele mai multe cazuri, aceste întrebări sânt formulate astfel încât să se poată răspunde prin da sau
nu, răspunsurile negative fiind indicații ale unor potențuale neajunsuri sau creanțele ale
sistemului de control intern.
Principalul avntaj al utilizării unui chestionar constă în posibilitatea de a analiza riguros
fiecare domeniu auditat, rezonabil de repede și chiar de la începutul auditului. Principalul
dezavantaj este că sânt examinate doar părțile componente ale sistemelor clientului, fără a se crea
o imagine de ansamblu. În plus, un chestionar standard este deseori inaplicabil în cazul anumitor
clienți de audit, în special, în întreprinderile mici.
Client Hillsburg Hardware Ca Data auditului 31/12/99
Auditor MSW Data întocmirii 30/09/99 Verificat de 902 Data verificării 01/10/99
Obiectiv (gri) și întrebare Răspuns Observații
Vânzări Da Nu N/A
A.Vânzările înregistrate corespund unor livrări reale Pam Dulley
către clienți existenți examinează
1. Înregistrarea vânzărilor este justificată prin documente documentația
de livrare autorizate și comenzi aprobate ale clienților?  justificativă
2. Creditarea unui client este aprobată de un împuternicit
al întreprinderii și accesul la modificare fișierul sistematic  Aplicat de
al limitelor de creditare este limitat? Chulick.
3. Există un document de livrare scris și prenumerotat, Președintele
obligatoriu pentru ieșirea oricăror bunuri din perimetrul  companiei
întreprinderii?
B.Operațiunile de vânzări existente sânt înregistrate. Prenumerotate,
1. Se ține o evidență a livrărilor?  dar nu se ține o
2. Documentul de livrare este controlat de sediul evidență a
admninistrativ astfel încât să se asigure că toate livrările  seriilor.
sânt facturate? Se impune o
3. Documentele de livrare sânt prenumerotate și se ține o  testare
evidență a succesiunii lor numerice? substanțială
4. Facturile de vânzări sânt prenumerotate și se ține o 
evidență a succesiunii lor numerice?
C.Vânzările înregistrate corespund cantităților de Făcută de Pam
bunuri expediate și sânt corect facturate și Dilley.
înregistrate. Verificată de
 Chulick.
1.Se face o comparație independentă a cantității de bunuri
din documentele de livrare ce cea din facturile de
vânzare? 
2.Se folosește o listă de prețuri autorizate și se limitează
accesul la fișierul sistematic al prețurilor? 
3.Situațiile recapitulative lunare sânt expediate clienților?
D.Operațiunile de vânzări înregistrate sânt corect Toate vânzările

clasificate cu planul de conturi? se fac pe credit
1.Se face o comparație independentă a vânzărilor  și există un
înregistrate cu planul de conturi? singur cont de
vânzări.
E.Vânzările sânt înregistrate la datele corecte. Sistemul are un
1.Se face o comparație independentă a datelor din punct slab și se
documentele de livrare cu datele înregistrate?  impun testări
substanțiale
adiționale.
F.Operațiunile de vânzări sânt corect transferate în
fișierele sistematice și corect sintetizate.
1.Totalurile din jurnale sânt calculate și corelate cu cartea Chulick
mare și cu versiunea imprimată a fișierului sistematic de  examinează
manieră independentă? caracterul
2.Există o comparare a numelor clienților din rezonabil.
documentele de livrare cu înregistrările din versiunea  Făcută de Pam
imprimată a fișierului sistematic? Dilley.
Figura 10-3 de mai jos ilustrează o parte dintr-un chestionar de control intern vizând
ciclul vânzări-încasări al companiei Hillsburg Hardware. De asemenea, chestionarul este
construit astfel încât să poată fie utilizat pentru cele șase obiective de audit referitoare la
operațiuni. Remarcați faptul că fiecare obiectiv (de la pinctul A la punctul F) este un obiectiv de
audit legat de operațiuni de vânzări (vezi porțiunile gri). Aceleași lucru este valabil și pentru
toate celelalte sfere auditate.
Folosirea concomitentă a chestionarelor și diagramelor secvențiale este foarte
utilă pemtru înțelegerea controlului intern al unui client. Diagramele oferă o imagine de
ansamblu asupra sistemului, în timp ce chestionarele reprezintă liste de referință utilă care îi
amintesc auditorului numeroasele tipuri diferite de mecanisme de control intern care ar trebui să
existe într-o întreprindere. Utilizează de manieră corespunzătoare, o combinație a acestor două
tehnici ar trebui să ofere auditorului o descriere excelentă a sistemului.
Deseori este de dorit să se utilizeze prezentările narative sau diagramele făcute de client
și se ceară clientului să completeze chestionarul de control intern. Când un client nu poate
furniza prezentări, diagrame și chestionare comperhensibile și fiabile (în practică, această situație
este foarte des întâlnită), auditorul este cel care trebuie să se întocmească toate aceste documente.
Pentru a facilita derularea lucrărilor de audit, numeroși auditori fac apel la tehnici informatice de
auditare, printre care se numără modele de liste de referință și diagrame specifice unor ramuri
economice, care pot fi completate și vizualizate pe suporturi informatice. După ce sânt
completate în această formă, aceste foi de lucru electronice pot fi transmise și altor membri ai
echipei de audit prin intermediul unor programe de transmisiuni de date în sistem închis.
ESTIMAREA RISCULUI LEGAT DE CONTROL
Acum că am discutat procedurile utilizate de auditori pentru obținerea unei înțelegeri a
controlului intern, capitolul de față se va concentra asupra modului în care auditorii utilizează
aceste informații pentru a estima riscul legat de control. După ce obține o înțelegere a controlului
intern suficientă pentru a putea planifica auditul, auditorul trebuie să facă o estimare inițială a
riscului de control. Pentru a ajunge la această estimare inițială trebuie să se facă pentru estimări
specifice.
Să se estimeze dacă situațiile financiare sânt auditabile. Prima estimare constă în a se determina
dacă entitatea este auditabilă. Doi factori de bază determină caracterul auditabil și anume:
integritatea managementului și caracterul adecvat al documentelor și evidențelor contabile.
Numeroase proceduri de audit se bazează într-o mai mare sau mai mică măsură pe afirmațiile
sau reprezentările managementului. De exemplu, este greu pentru auditor să evalueze dacă
stocurile sânt uzate moral (nevandabile) fără a obține o estimare onestă din partea gestionărilor
întreprinderii-client. Dacă nu sânt integri, manageri pot face afirmații false, obligând auditorul să
se bazeze pe probe îndoielnice.
Documentele și evidențele contabile sânt o sursă directă de probe de audit pentru
majoritatea obiectivelor auditului. Dacă aceste evidențe contabile sânt necorespunzătoare, s-ar
putea ca probele de audit necesare să nu fie disponibile. De exemplu, dacă un client nu păstrează
copiile facturilor de vânzare și cumpărare, în cele mai multe cazuri va fi imposibil să se facă un
audit. Cu excepția cazurilor în care auditorul poate identifica o sursă alternativă de probe fiabile
sau în care evidențele necesare pot fi reconstituite pentru uzul auditorului, unicul recurs ar fi să
se considere că entitatea nu este auditabilă.
În mediile bazate pe tehnologii informaționale complexe, cea mai mare parte a
informațiilor privind operațiunile există numai în format electronic și nu generează o pistă
vizibilă de documente și evidențe pentru audit. În acest caz, compania este, de regulă, auditabilă,
totuși auditorul trebuie să estimeze dacă dispune de aptitudinile necesare pentru a colecta probe
în format electronic și poate atribui această sarcină unui alt angajat, care are pregătirea tehnică și
experiența necesare in domeniul TI.
Când ajunge la concluzia că entitatea nu este auditabilă, auditorul trebuie să discute
circumstanțele specifice ale acestei concluzii cu clientul (de obicei, cu cel mai înalt nivel ierarhic
al acestuia) și fie să se retragă din angajament, fie să emită un raport de audit sub formă de refuz
de a exprima o opinie.
Să se determine riscul de control estimat, bazându-se pe înțelegerea sistemului de control
obținută. După obținerea unei înțelegeri a controlului intern, auditorul face o estimare inițială a
riscului de control. Această estimare exprimă măsura în care auditorul se așteaptă ca
mecanismele de control intern nici să nu preântâmpine apariția unor prezentări eronate
semnificativ, nici să nu detecteze și corecteze prezentările eronate semnificative deja apărute.
În general, estimarea inițială se face pentru fiecare obiectiv de audit legat de operațiuni și
pentru fiecare tip însemnat de operațiuni. De exemplu, auditorul face pentru vânzări o evaluare a
obiectivului existenței și o evaluare separată a obiectivului exhaustivității. Există diferite
modalități de a exprima această estimare inițială a riscului. Unii auditori folosesc o formulă
subiectivă, cum ar fimare, moderat sau mic. Alții folosesc probabilitățile cifrate, cum ar fi 1,0,0,6
sau 0,2.
De obicei, estimarea inițială începe cu luarea în considerare a mediului controlului. Dacă în ochii
managerilor controlului intern nu este important, probabilitatea ca activitățile de control specifice
să fie fiabile este foarte mică. În acest caz, cea mai bună soluție este să se presupună că riscul de
control aferent tuturor obiectivelor de audit legate de operațiuni este maxim (de exemplu, mare
sau 1,0). Pe de altă parte, dacă atitudinea managementului este pozitivă, atunci auditorul
analizează politicile și procedurile specifice din cadrul componentelor secundare ale mediului de
control și cele aparținând celorlalte patru elemente ale controlului intern.
Mecanismele de control din toate cele cinci elemente sânt utilizate ca bază pentru estimarea
riscului sub nivel maxim.
Există două considerații importante în cea ce privește estimarea inițială. În primul rând
auditorul nu este obligat să facă estimarea inițială de manieră formală, detaliată. În numeroase
audite, mai ales cele ale companiilor mici, auditorul presupune că riscul de control este maxim,
indiferent de situația reală. Auditorii procedează astefel, deoarece decid că este mai economic să
facă un audit mai aprofundat al soldurilor din situațiile financiare decât să testeze mecanismele
de control intern aferente acestor solduri.
În al doilea rând, chiar dacă auditorul consideră că riscul de control este mic, valoarea
estimată a riscului de control se limitează la acel nivel, care este justificat de probele obținute. De
exemplu, să presupunem că auditorul consideră că riscul de control asociat vânzărilor
neînregistrate este mic, dar nu a colectat decât o cantitate mică de probe pentru a justifica
mecanismele de control vizând exhaustivitatea ca obiectiv de audit legat de operațiuni. Prin
urmare, estimarea riscului de control pentru vânzările neânregistrate să fie ori mare, ori
moderată. Aceasta ar putea fi mică numai dacă se obțin probe suplimentare care să justifice
mecanismele de control pertinente.
Să se determine dacă se poate justifica un risc de control estimat mai mic.Când consideră că
riscul de control real ar putea fi cu mult mai mic, decât estimarea inișială, auditorul poate decide
să justifice determinarea unui risc de control estimat mai mic. Cel mai probabil caz în care s-a
putea produce acest lucru este atunci când auditorul a identifica un număr restrans de mecanisme
de control în faza de înțelegere. Bazându-se pe rezultatele estimării inițiale, auditorul consideră
acum că pot fi identificate și testate mecanisme suplimentare de control pentru a reduce și mai
mult riscul de control estimat.
Să se determine nivelul adecvat al riscului de control estimat. După ce face estimarea inițială și
analizează dacă este posibil un risc de control mai mic, auditorul are posibilitatea de a decide
care dintre riscurile de control estimate ar trebui utilizat fie un nivel deja justificat în estimarea
inițială, fie un nivel mai mic. Decizia privind nivelul de utilizat este în esență una economică
bazată ăe o comparație dintre costurile mecanismelor de control relevante și costurile efectuării
testelor substanțiale care vor fi evitate dacă se va diminua riscul de control estimat. Să
presupunem, de exemplu, că pentru existența și exactitate, ca obiective de audit legate de
operațiunile de vânzări, auditorul consideră că ar putea reduce cu 5.000$ costul confirmării
creanțelor-clienți dacă angajează cheltuieli suplimentare de 2.000$ pentru a justifica un risc de
control estimat mai mic. Din punctul de vedere al costurilor, mai rentabil ar fi să se cheltuiască
numai 2.000$ în plus.
De regulă, auditorul estimează riscul de control aferent obiectivelor de audit legate de operațiuni
abordând fiecare tip major de operațiuni din fiecare ciclu de operațiuni. De exemplu, în ciclul
vânzări-încasări, tipurile de operațiuni sânt, de obicei vânzări, vânzări restituite și rabaturi
acordate, încasări, provizioane privind creanțele incerte și scoaterea creanțelor irecuperabile din
evidență. Primul pas în estimarea riscului constă în a identifica obiectivele de audit legate de
operațiuni asupra cărora se aplică estimarea. Acest lucru se face prin aplicarea obiectivelor de
audit legate de operațiuni prezentate mai sus și formulate în termeni generali asupra fiecărei
categorii majore de operațiuni a entității.
Următorul pas este identificarea mecanismelor specifice de control, care contribuie la atingerea
fiecărui obiectiv de audit legat de operațiuni. Auditorul identifică mecanismele de control
pertinente, analizând informațiile descriptive despre sistemul clientului. Sânt identificate acele
politici, proceduri și activități care, în opinia auditorului, asigură controlul operațiunilor vizate.
Pentru această analiză, deseori este util să se facă referință la tipurile de mecanisme de control
care ar putea există și să se întrebe personalul clientului dacă aceste mecanisme există în
realitate. De exemplu: Există o separare adecvată a sarcinilor și cum se realizează acestea?
Documentele utilizate sânt adecvat concepute? Documentele prenumerotate sânt corect
contabilizate? Accesul neautorizat la fișierele sistematice este adecvat preântâmpinat?
În fiecare acestei nu este obligatoriu să se abordeze fiecare mecanism de control în parte.
Auditorul ar trebui să identifice și să includă în analiză numai mecanismele de control care se
presupune că au cel mai mare impact asupra atingerii obiectivelor de audit referitoare la
operațiuni. Deseori, acestea sânt numite mecanisme cheie ale controlului intern. Motivul pentru
care numai mecanismele- cheie ale controlului intern luate în considerare este că acestea vor fi
suficiente pentru atingerea obiectivelor de audit referitoare la operațiuni și ar trebui deci să
asigure eficiența auditului.
Un neajuns al controlului intern este absența mecanismelor de control adecvate, care majorează
riscul apariției de prezentări eronate în situațiile financiare. Dacă, în opinia auditorului,
mecanismele de control nu sânt adecvate pentru realizarea unuia dintre obiectivele de audit
referitoare la operațiuni, va crește probabilitatea apariției unor asemenea prezentări eronate. De
exemplu, dacă angajații care se ocupă de contabilitatea salariilor au posibilitatea de a modifica
datele din fișierul sistematic al salariilor, auditorul ar putea deduce că sistemul de control intern
are o carență.
Pentru a identifica neajunsurile semnificative ale controlului intern se poate utiliza o
metodă în patru etape, descrisă în continuare.
Identificarea mecanismelor de control existente. Deoarece neajunsurile constau în absența
unor mecanisme de control adecvate, auditorul ar trebui mai întâi de toate să știe ce mecanisme
de control există. Metodele de identificare a mecanismelor de control existente au fost deja
dicutate.
Identificarea mecanismelor-cheie de control absente. Chestionarele de control intern,
prezentările narative și diagramele secvențiale sânt utile pentru identificarea sferelor în care
lipsesc mecanismele-cheie de control și în care, prin consecință, crește probabilitatea apariției de
erori. De obicei, când riscul de control este estimat ca moderat sau mare, înseamnă că s-a
constatat absența unor mecanisme de control.
Determinarea erorilor semnificative potențiale care ar putea rezulta. Această etapă are drept
scop identificarea prezentărilor eronate specifice care ar putea apărea din cauza absenței
mecanismelor de control. Importanța unui neajuns al sistemului de control intern este direct
proporțională cu amploarea greșelilor sau fraudelor care ar putea rezulta din acel neajuns.
Analizarea posibilității existenței unor mecanisme de control compensatorii. Un mecanism
de control compensatoriu este acela introdus într-o altă componentă a sistemului pentru a
compensa un neajuns. Un exemplu tipic într-o companie mică este implicarea activă a
proprietarului. Când există un mecanism de control compensatoriu, neajunsul nu mai trebuie să-l
preocupe pe auditor, deoarece probabilitatea de eroare este suficient diminuată.
Figura 10-4 ilustrează documentarea unui neajuns existent în controlul ciclului vânzări-
încasări în cazul companiei Airtight Machine. Cea de-a cincea coloană arată impactul
neajunsului asupra programului de audit planificat de auditor.
Figura 10-4 Neajunsurile controlului intern
Client Airtight Machine
Neajunsuri ale controlului intern
Ciclu Vânzări-încasări
Neajunsuri Mecanism de Eroare potențială Semnificație Impact asupra
control probelor de audit
compensatoriu
1.Angajatul Proprietarul
responsabil de verifică toate
contabilitatea notele de
creanțelor-clienți creditare după ce
aprobă notele de acestea sânt N/A N/A N/A
creditare și are înregistrate. El îi
acces la cunoște pe toți
disponibilitățile clienții
bănești întreprinderii.
Nu există Erori de calcul
verificare internă în facturile
a introducerii ăn întocmite
sistemul clienților, în Extinderea
informatic a Nici unul înregistrarea testelor
datelor privind informațiilor în Potențial substanțiale ale
numărul fișierul semnificativ operașiunilor de
clientului sistematic în vânzare la 125
existente, fișierul de elemente.
potențiale sistematic și în
clasificarea
operațiunilor pe
conturi
Mulți auditori folosesc o matrice a riscului de control pentru a sprijini procesul de

estimare a riscurilor legate de controlul intern al unui client. Majoritatea mecanismelor de control
afectează concomitent mai multe obiective de audit referitoare la operațiuni. Acest caracter
complex al mecanismelor face din matricea riscului de control un instrument util pentru
estimarea nivelului acestui risc. Auditorii utilizează matricea riscului de control pentru a
identifica atât mecanismele de control, cât și neajunsurile sistemului de control intern și pentru a
estima riscul de control .
Figura 10-5 ilustrează matricei riscului de control pentru operațiunile de vânzări ale
companiei Airtight Machine. În alcătuirea matricei, obiectivele de audit legate de operațiunile de
vânzări sțnt înscrise ca titluri de coloane, iar mecanismele de control pertinente care au fost
identificate neajunsuri semnificative, acestea au fost, de asemenea, incluse ca titluri de rând sub
lista mecanismelor-cheie ale controlului. Apoi, corpul matricei a fost folosit pentru a arăta modul
în care mecanismele de control contribuie la atingerea obiectivelor de audit legate de operațiuni
și modul în care neajunsurile afectează aceleași obiective. În această ilustrație, litera C a fost
înscrisă în fiecare căsuță unde mecanismul de control corespundea parțial sau total unui
obiectiv, iar litera N a fost înscrisă pentru a arăta influența unui neajuns.
După ce a identificat mecanismele de control și neajunsurile sistemului și le-a corelat cu
obiectivele de audit de operațiuni, auditorul poate estima riscul de control. Din nou, matricea
riscului de control este un instrument util pentru realizarea acestei lucrări. Dacă facem referință
la Figura 10-5, vedem că auditorul a estimat riscul de control pentru vânzările companiei
Airtight, verificând fiecare coloană a mecanismelor de control pertinente și a neajunsurilor și
căutând răspunsul la următoarea întrebare: Care este probabilitatea ca o prezentare eronată
semnificativă de tipul celor controlate să nu fie preântâmpinată sau detectată și corectată de
aceste mecanisme de control și care este impactul acestui neajuns?. Dacă probabilitatea este
mare, atunci și riscul de control va fi mare, și așa mai departe.
După ce se face o estimare preliminară a riscului de control pentru vânzări și încasări,
auditorul poate completa cele trei rânduri referitoare la riscul de control din foaia de lucru
destinată planificării probelor, prezentată în capitolul 9. Dacă rezultatele testării mecanismelor de
control nu justifică estimarea preliminară a riscului de control, auditorul de control, auditorul
trebuie să modifice de manieră corespunzătoare foaia de lucru. Ca o alternativă, auditorul poate
aștepta până la termminarea testării mecanismelor de control pentru a completa cele trei rânduri
dedicate riscului de control în foaia de lucru. O foaie de lucru de planificare a probelor auditului
pentru compania Hillsburg Hardware, cu cele trei rânduri aferente riscului de control completate,
este ilustrată în figura 14-7.
Pe parcursul obținerii unei înțelegeri a controlului intern și al estimării riscului legat de
control, auditorii obțin informații care ar putea interesa comitetul de audit prin prisma
responsabilităților pe care le are acest organ. În general, asemenea informații vizează neajunsuri
semnificative în proiectarea sau funcționarea sistemului de control intern. Asemenea aspecte sânt
numite condiții de raportat în DSA/SAS 60 (AU 325).
Comunicatele adresate comitetului de audit. Condițiile de raportat ar trebui comunicarea
comitetului de audit în cadrul oricărui angajament de audit. În cazul în care clientul nu are un
comitet de audit, comunicarea ar trebui adresată persoanei sau persoanelor din organizație care
poartă răspunderea de ansamblu privind controlul intern, cum ar fi consiliul de administrație sau
proprietarul-gestionar.
Figura 10-5 Matricea riscului de control
Control intern Vânzările Operațiunile de Vânzările Vânzările Vânzările sânt Operațiunile de
înregistrate vânzări existente înregistrate înregistrate înregistrate la vânzări sânt
corespund sânt înregistrate corespund sânt corect datele corecte corect
unor (exhaustivitate). cantității de clasificate (cronologie). transferate în
livrări bunuri (clasificare). fișierul
către livrate și sunt sistematic al
clienți corect creanțelor-
reali facturate și clienți și corect
(existență) înregistrate sintetizate
(exactitate). (sistematizare
și sintetizare).
Creditarea este automat
aprobată de computer
înainte de efectuarea
livrării, numai pentru
clienții incluși în fișierul C
sistematic al creditelor
comerciale.
Vânzările sânt justificate
de documente de livrare
autorizate și de comenzi
ale clienților aprobate,
care sânt anexate la copia
facturii de vânzare, iar C
numărul documentului de
livrare și numărul
comenzii aprobate a
clientului trebuie
introduse în sistem în
momentul înregistrării
vânzării
Separarea sarcinilor
legate de facturare, C C C
înregistrarea vânzărilor și
gestionarea încasărilor.
Prețurile de vânzare
unitare sânt extrase din
fișierul sistematic C
conținând lista prețurilor
aprobate.
Documentele de livrare
sânt remise zilnic spre C C
facturare și facturate în
ziua imediat următoare
Numerele documentelor
de livrare și ale copiilor
facturilor de vânzare sânt
atribuite într-o ordine
prestabilită de către C C
computer, succesiunea lor
este verificată o dată pe
săptămână și confruntată
cu jurnalul de vânzări.
Documentele de livrare
sânt regrupate în fiecare
zi pe pachete de date în C C C C C
ordinea cantităților
livrate.
După înregistrarea unui
pachet de operațiuni de
vânzări, computerul
sistematizează automat C
operațiunile în evidențele
analitice ale creanțelor-
clienți și le sintetizează în
cartea mare.
Situațiile recapitulative
ale creanțelor sânt
expediate prin poștă C C C
tuturor clienților în
fiecare lună
Ecranul de introducere a
datelor privind
operațiunile de vânzare
limitează codificarea
conturilor la numele C
predefinite în planul de
conturi astfel: vânzări,
vânzări restituite și
creanțe-clienți
Jurnalul de vânzări este
verificat lunar pentru a se
determina caracterul
rezonabil al totalului
sumelor înregistrate și C
este comparat cu sumele
din cartea mare aferente
vânzărilor și vânzărilor
restituite.
Absența unei verificări
interne a introducerii în
sistemul informatic a
datelor privind numărul
clientului, cantitățile,
prețurile, calculele și N N N
informațiile anexe din
facturile de vânzări și din
notele de creditare
Riscul de control estimat mic mic mediu mediu mic mediu
C = mecanismele de control corespunde parțial sau total obiectivului de audit referitor la

operațiunile de vânzări, N = neajuns identificat în figura 10-4.
Comunicarea va lua, de regulă, forma unei scrisori, deși comunicarea verbală,
documentată în foile de lucru, este de asemenea permisă de normele profesionale. Un exemplu
de scrisoare privind condițiile de raportat este prezentat în figura 10-6 de mai jos.
Scrisorile către manageri. Pe lângă condițiile de raportat, auditorii remarcă deseori aspecte mai
puțin semnificative ale controlului intern, precum și oportunități de care ar putea profita
clientului pentru a-și îmbunătăți operațiunile. Aceste tipuri de subiecte ar trebui, de asemenea,
comunicate clientului. Forma de comunicare este, deseori, o scrisoare cu subiect distinct, numită
scrisoare către manageri. Deși scrisorile către manageri nu sânt prevăzute de standardele de
audit, de regulă, auditorii le întocmesc ca un serviciu cu valoare adăugată din cadrul auditului.
TESTAREA MECANISMELOR DE CONTROL
Capitolul de față examinat modul în care auditorii corelează calitățile și neajunsurile controlului
intern cu obiectivele de audit referitoare la operațiuni, în scopul de a estima riscul de control
aferent fiecărui obiectiv. Această secțiune a capitolului va discuta modul în care auditorii
testează acele mecanisme de control care sânt utilizate pentru justificarea unei estimări a riscului
de control sub nivelul maxim.
Figura 10-6 Scrisoare privind condițiile de raportat
Johnson & Seygroves
Contabili publici autorizați
2016 Village Boulevard
Troy, Michigan 48801
12 februarie 2000
Către: Consiliul de administrație
Al societății Airtight Machine
1729 Artens Street
Troy. MI 48801
În cursul planificării și efectuării auditului situațiilor financiare întocmite de societatea Airtight

Machine pentru exercițiul încheiat la 31 decembrie 1999, am analizat controlul intern al societății
pentru a determina procedurile de audit urmat, în scopul de a exprima o opinie privind situațiile
financiare și nu în cel de a oferi o asigurare privind controlul intern. Totuși am remarcat o serie
de aspecte în legătură cu controlul intern și modul de funcționare al acestuia, aspecte pe care le
considerăm condiții de raportat în cadrul prevederilor standardelor definite de Institutul
American al Contabililor Autorizați. Condițiile de raportat se referă la aspecte care ne-au fost
aduse la cunoștință și care reprezintă carențe semnificative ale proiectării sau funcționării
sistemului de control intern și care, în opinia noastră, ar putea afecta negativ capacitatea
Societății de a înregistra, prelucra, sintetiza și raporta datele financiare în conformitate cu
aserțiunile managementului din situațiile financiare.
Aspectul remarcat este absența unei verificări independente a introducerii în sistemul informatic
a datelor referitoare la numele clientului, numărul produsului, cantitatea livrată, prețurile utilizate
și calculele matematice anexe din facturile întocmite pentru vânzări și din notele de creditare.
Drept consecință, în aceste date se pot produce erori care vor rămâne necorectate, afectând de
manieră negativă atât vânzările nete, cât și creanțele-clienți înregistrate. Acest neajuns este
semnificativ din cauza valorii medii unitare mari a vânzărilor societății Airtight Machine.
Acest raport este destinat în exclusivitate informării și uzului consiliului de administrație,
managementul și altor persoane împuternicite din societatea Airtight Machine.
Cu respect,
Johanson și Seygroves,
Contabili publici autorizați
De exemplu, fiecare mecanism-cheie de control intern din figura 10-5 pe care auditorul are
intenția să se bazeze pentru a justifica un risc de control moderat sau mic trebuie să fie, la rândul
său, coroborat de o testare suficientă a mecanismelor de control.
Estimarea riscului legat de control obligă auditorul să analizeze modul în care sânt proiectate
mecanismele de control, în scopul de a determina dacă ele vor fi eficace în atingerea obiectivelor
de audit legate de operațiuni. În cursul fazei de înțelegere a controlului intern, s-au colectat deja
anumite probe privind modul de proiectare a mecanismelor de control, precum și probe că aceste
mecanisme au fost puse în funcțiune. Totuși, pentru a putea utiliza mecanismele specifice de
control ca bază pentru reducerea riscului de control estimat, auditorul trebuie să obțină probe
specifice eficacitatea aplicării lor pe toată perioada supusă auditului, sau cel puțin pentru cea mai
mare parte a acesteia. Procedurile de testare a eficacității mecanismelor de control în scopul
justificării unui risc de control estimat mai mic sunt numite teste ale mecanismelor de control.
Atunci când rezultatele testării mecanismelor de control confirmă așteptările auditorului privind
proiectarea acestor mecanisme, auditorul va continua să utilizeze același nivel de risc de control
pe care l-a estimat inițial. Dacă totuși testele mecanismelor de control arată că acestea nu au
funcționat cu eficacitate, riscul de control estimat trebuie revizuit. De exemplu, testele ar putea
arăta că aplicarea unui mecanism de control a fost întreruptă pe la mijlocul sau că persoana care
îl aplică a comis multiple greșeli. În asemenea situații, auditorul trebuie să folosească un risc de
control estimat mai mare, cu excepția cazurilor, când sânt identificate mecanisme de control
adiționale pentru același obiectiv de audit legat de operațiuni și când acestea sânt considerate
eficace.
Există patru tipuri de proceduri care se folosesc pentru a verifica funcționarea mecanismelor de
control intern. Acestea sânt prezentate în continuare.
Chestionarea angajaților ai clientului. Deși chestionarea nu reprezintă, de regulă, o sursă
foarte fiabilă de probe privind funcționarea eficace a mecanismelor de control, ea oferă totuși
probe adecvate. De exemplu, auditorul ar putea determina că personalul care nu este autorizat nu
are acces la fișierele informatice prin chestionarea angajatului care gestionează biblioteca de date
și a angajatului care controlează atribuirea drepturilor la parole de securitate care permit accesul
la sistem.
Examinarea documentelor, evidențelor și rapoartelor. Multe mecanisme de control lasă o
pistă (urmă) clară de probe documentare. Să presupunem, de exemplu, că atunci când se
recepționează comanda unui client, aceasta este utilizată pentru a crea un ordin de vânzare către
clientul respectiv, care la rândul său, este aprobată pentru creditare. (Vezi primul și al doilea
mecanism-cheie de control intern din figura 10-5). Comanda clientului este anexată ordinul de
vânzare, ca autorizare pentru operațiunile ulterioare. Auditorul examinează documentele pentru a
se asigura că ele sânt complete și adecvat corelate și că semnăturile sau inițialele obligatorii sânt
prezentate.
Observarea activităților legate de control. Alte tipuri de activități legate de control nu lasă o
pistă de probe documentare. De exemplu, separarea sarcinilor se bazează pe faptul că anumite
persoane îndeplinesc anumite sarcini și, de regulă, aceste responsabilități separate nu sânt
documentate. (Vezi cel de-al treilea mecanism-cheie de control intern din figura 10-5) În cazul
mecanismelor de control care nu lasă o urmă de probe documentare, auditorul observă, de regulă,
modul în care sânt aplicate aceste mecanisme în diverse momente pe parcursul exercițiului
contabil.
Reconstituirea procedurilor clientului. Există și activități legate de control cărora le sânt asociate
documente și evidențe, însă al căror conținut este insuficient pentru atingerea scopului urmărit de
auditor și anume cel de a evalua dacă mecanismele de control funcționează cu eficacitatea. De
exemplu, să presupunem că prețurile din facturile de vânzare trebuie comparate cu o listă de
prețuri standard de către personalul clientului, ca procedură de verificare internă, însă în factura
de vânzare nu se înscrie nici o mențiune privind faptul că procedura a fost aplicată. (Vezi cel de-
al patrulea mecanism-cheie de control intern din figura 10-5). În asemenea cazuri, se obișnuiește
ca auditorul să refacă activitatea de control, pentru a verifica dacă s-au obținut rezultatele
căutate. Pentru acest exemplu, auditorul poate reconstitui procedura de control, comparând
prețurile de vânzare cu prețurile din lista autorizată în vigoare la data operațiunii. Dacă nu se
descoperă nici o eroare, auditorul poate deduce că mecanismul de control funcționează conform
scopurilor pentru care a fost creat.
Perimetrul de aplicare a testelor mecanismelor de control depinde de nivelul dorit al riscului de
control estimat. Dacă auditorul dorește un risc de control estimat mai mic, atunci se aplică teste
ale mecanismelor de control mai extinse, atât în termenii numărului de mecanisme de control
testate, cât și în termenii profunzimii testării fiecărui mecanism. De exemplu, dacă auditorul vrea
să utilizeze un risc de control estimat mai mic, atunci el ar trebui să folosească eșantioane de
dimensiuni mai mari pentru procedurile de documentare, observare și reconstituire.
Folosirea probelor din auditul unui precedent. Dacă în cursul auditului exercițiului anterior s-
au obținut probe indicând că un mecanism – cheie al controlului intern funcționează cu
eficacitate și dacă auditorul determină că mecanismul este însă în aplicare, atunci profunzimea
testării mecanismului respectiv ar putea fi redusă, într-o anumită măsură, în anul în curs. De
exemplu, în circumstanțele de acest tip, auditorul ar putea fi folosi un eșantion mai mic pentru
testarea unui mecanism de control care lasă o pistă de probe documentare, fie aplica o rotație a
anumitor teste între diferite sfere de audit timp de doi sau mai mulți ani.
Testarea unei fracțiuni din perioada auditată. Într-o situație ideală, testele mecanismelor de
control ar trebui aplicate operațiunilor și mecanismelor din întreaga perioadă supusă auditului.
Totuși această soluție nu este întotdeauna practică. Când se testează mai puțin decât întreaga
perioada în cauză, auditorul ar trebui să determine dacă în sistemul de control au intervenit
schimbări în perioada care nu este testată și să obțină probe în legătură cu natura și amploarea
oricăror schimbări produse.
În numeroase cazuri, programele informatice de gestiune contabilă conțin o componentă
de control intern, automat executată de computer. Unul dintre avantajele controlului efectuat de
computer constă în faptul că, dacă este corect programat, sistemul informatic aplică respectivul
mecanism de control de manieră consecventă și uniformă până la următoarea modificare a
programului. Într-un asemenea, mediu auditorul ar putea fi în măsură să reducă profunzimea
testării mecanismelor de control computerizate, cu condiția să determine că există un risc redus
de producere a unor modificări neautorizate în programul informatic și în fișierele sistematice
sau datele aferente programului, utilizate pentru aplicarea mecanismului control în cauză.
Auditorul va trebui să retesteze mecanismul de control dacă programul este modificat sau dacă
mecanismele prin care se controlează accesul la fișierul sistematic sânt nesatisfăcătoare.
Există o suprapunere semnificativă între testele mecanismelor de control și procedurile utilizate
pentru a se obține o înțelegere a sistemului de control intern. Există însă două deosebiri
fundamentale în cea ce privește aplicarea acestor proceduri tipice în diferite cazuri. În primul
rând, în faza de înțelegere a controlului intern, procedurile sânt aplicate tuturor mecanismelor de
control identificate ca făcând parte din înțelegerea controlului intern. Testele mecanismelor de
control, pe de altă parte, sânt aplicate numai atunci când riscul de control estimat este sub nivelul
maxim, însă chiar și atunci ele se aplică numai asupra mecanismelor-cheie ale controlului intern.
În al doilea rând, procedurile de obținere a unei înțelegeri a controlului intern se aplică
numai asupra uneia sau câtorva operațiuni sau în cazul observărilor, într-un singur moment de
timp. Testele mecanismelor de control sânt efectuate asupra unor eșantioane mai mari de
operațiuni (poate între 20 și 100), iar observările sânt făcute deseori la mai multe momente de
timp.
În cazul mecanismelor-cheie ale controlului intern, testele mecanismelor de control, altele
decât reconstituirea, sânt în esență o extensie a procedurilor conexe necesare pentru obținerea
unei înțelegeri. Prin urmare, când auditorii planifică de la începutul auditului să obțină un risc de
control estimat mic, ei vor combina cele două tipuri de proceduri și le vor executa simultan.
Tabelul 10-3 ilustrează mai detaliat acest concept. Când se planifică doar o înțelegere
minimă a controlului intern, auditorul va face un parcurs de operațiune. Astfel, auditorul
determină dacă documentația auditului este completă și exactă și observă dacă activitățile de
control descrise sânt desfășurate în realitate.
Când riscul de control este estimat sub nivelul maxim, nu se face numai un parcurs de
operațiune, ci se examinează și un eșantion mai mare de documente pentru a se găsi indicii ale
unei funcționare eficace a mecanismelor de control. (Determinarea dimensiunii adecvate a
eșantionului este discutat în capitolele anterioare). În mod similar, când se fac observații, ele vor
fi mai aprofundate și deseori se vor produce la diverse momente de timp. De asemenea, auditorii
vor face reconstituiri pentru a verifica funcționarea anumitor mecanisme de control.
Tabelul 10-3 Relațiile dintre riscul de control estimat și profunzimea procedurilor
Risc de control estimat
Tip de procedură Mare: obținerea unei simple înțelegeri Mai mic: testarea mecanismelor de
control
Chestionare Da – în profunzime Da – parțial
Documentare Da – cu un parcurs de operațiune Da – prin sondaj
Observare Da – cu un parcurs de operațiune Da – în mai multe momente
Reconstituire Nu Da – prin sondaj
DETERMINAREA RISCULUI DE DETECTARE PLANIFICAT ȘI PROIECTAREA

TESTELOR SUBSTANȚIALE
Până acum ne-am concentrat atenția asupra modelului în care auditorii estimează riscul de
control pentru fiecare obiectiv de audit referitor la operațiuni și justifică estimări ale riscului de
control sub nivelul maxim prin intermediul testelor specifice ale mecanismelor de control.
Auditorul folosește rezultatele estimării riscului de control și testării mecanismelor de control
pentru a determina riscul de detectare planificat și pentru a defini testele substanțiale
corespunzătoare acestuia. Auditorul definește testele substanțiale prin corelarea estimărilor
riscului de control cu obiectivele de audit referitoare la soldurile conturilor afectate de
principialele tipuri de operațiuni. Nivelul riscului de detectare adecvat pentru fiecare obiectiv de
audit legat de solduri este determinat apoi utilizându-se modelul de risc de audit. Relațiile dintre
obiectivele de audit referitoare la operațiuni, obiectivele de audit referitoare la solduri și
proiectarea procedurilor de audit vizând testarea substanțială a soldurilor conturilor din situațiile
financiare sânt discutate și ilustrate în capitolul 12.
Figura 10-7 Sinteză a înțelegerii controlului intern și a estimării riscului legat de control
Se obține o înțelegere a controlului intern, suficientă

pentru a planifica auditul situațiilor financiare ale
entităților
Se determină dacă situațiile Nu sunt auditabile

financiare sânt auditabile
Refuz de a exprima o
opinie sau retragere din
Sunt auditabile angajaent
Se estimează un nivel de risc de control, justificat de

înțelegerea obținută (estimarea inițială) și de costul
testării mecanismelor de control relevante
Se estimează dacă se poate justifica un risc de

control mai mic și se determină costurile legate de
obținerea unei asemenea justificări
Se decide nivelul adecvat

riscului de control estimat de
utilizat
3 alternative
(1) (2) (3)
Nivel maxim Nivel justificat de Nivel probabil mai redus, care

înțelegerea obținută ar putea fi justificat
Se planifică și se efectuează Se aprofundează înțelegerea

testele mecanismelor de în măsură necesității
control
Nu e justificat Se decide nivelul adecvat riscului

de control estimat de utilizat
Se determină riscul de detectare planificat Este justificat

asociat nivelului maxim de risc de control Se determină nivelul adecvat al
mai mare decât se planificase inițial și se riscului de detectare planificat
planifică testele substanțiale necesare pentru majorat și se planifică testele
a justifica riscul de detectare planificat mai substanțiale necesare pentru a
redus justifica riscul de detectare
planificat mai mare
REZUMAT
Capitolul de față a pus accentul pe modul în care un control intern eficace poate diminua
cantitatea de probe de audit planificate. Pentru a putea utiliza punctele forte ale controlului intern
al unui client în scopul de a reduce cantitatea de probe planificată, auditorul trebuie, mai întâii,
să obțină o înțelegere a fiecăreia dintre cele cinci componente ale controlului intern. Cunoștințele
privind proiectarea mediului de control, evaluarea riscurilor, activitățile de control, informarea și
comunicării și activitățile de supervizare ale clientului, precum și informațiile privind faptul dacă
mecanismele controlului intern au fost puse în funcțiune sau nu îl ajută pe auditor să estimeze
nivelul de risc de control pentru fiecare obiectiv de audit legat de operațiuni.
În cazul în care elementele controlului intern justifică o estimare a riscului de control sub
nivelul maxim, auditorul trebuie să facă teste ale mecanismelor de control, în scopul de a verifica
eficacitatea funcționării respectivelor mecanisme de control. În cazul în care rezultatele testării
mecanismelor de control justifică estimarea riscului de control sub nivelul maxim, auditorul va
putea reduce cantitatea planificată de teste substanțiale aplicate conturilor în cauză. Toate etapele
acestui program sânt sintetizate în figura 10-7.

FGF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

FGF

Încărcat de

Drepturi de autor:

Formate disponibile

Studiul efectuat în 1992 și dedicat controlului intern, numit Controlul intern – cadru de referință

integrat, realizat de Comitetul Organizațiilor Finanțatoare ale controlului intern. Interesele

Evaluarea Activitățile Informarea și Supervizarea

Evaluarea Activitățile Informarea și Supervizarea

Filozofia și stilul de lucru al managementului. Managementul, prin intermediul activităților

Evaluarea Activitățile Informarea și Supervizarea

Evaluarea Activitățile Informarea și Supervizarea

Separarea adecvată a responsabilităților. Există patru recomandări generale pentru o bună

Evaluarea Activitățile Informarea și Supervizarea

Pentru o companie mică, al cărei proprietar este activ implicat în activitatea de

Evaluarea Activitățile Informarea și Supervizarea

Obținerea unei Testarea Determinarea riscului de

DSA/SAS 55 (amendat prin DSA/SAS 78, AU 319) obligă auditorul să obțină o

D.Operațiunile de vânzări înregistrate sânt corect Toate vânzările

Mulți auditori folosesc o matrice a riscului de control pentru a sprijini procesul de

C = mecanismele de control corespunde parțial sau total obiectivului de audit referitor la

În cursul planificării și efectuării auditului situațiilor financiare întocmite de societatea Airtight

DETERMINAREA RISCULUI DE DETECTARE PLANIFICAT ȘI PROIECTAREA

Se obține o înțelegere a controlului intern, suficientă

Se determină dacă situațiile Nu sunt auditabile

Se estimează un nivel de risc de control, justificat de

Se estimează dacă se poate justifica un risc de

Se decide nivelul adecvat

Nivel maxim Nivel justificat de Nivel probabil mai redus, care

Se planifică și se efectuează Se aprofundează înțelegerea

Nu e justificat Se decide nivelul adecvat riscului

Se determină riscul de detectare planificat Este justificat

S-ar putea să vă placă și