Documente Academic
Documente Profesional
Documente Cultură
Controlul intern cuprinde cinci categorii de aspecte pe care managementul le definește și aplică
în scopul de a oferi o asigurare rezonabilă privind atingerea obiectivelor manageriale legate de
control. Acestea sânt numite elemente ale controlului intern și sânt: (1) mediul controlului, (2)
evaluarea riscurilor, (3) activitățile de control, (4) informarea și comunicarea și (5) supervizarea.
Figura 10 -1 arată că mediul controlului este ca o umbrelă care protejează celelalte patru
elemente. Fără un mediul de control eficient, este puțin probabil ca celelalte patru componente să
ducă la un control intern eficace, indiferent de calitatea lor.
Fiecare dintre categorii conține numeroase mecanisme de control. Auditorul este
interesant în principal de cele definite în scopul detectării prezentărilor semnificativ eronate din
situațiile financiare. Aceste aspecte constituie tematica abordată în tot restul capitolului de față.
Figura 10-1 Cele cinci elemente ale controlului intern
Mediul controlului
Esența unei organizații eficient controlate este atitudinea managementului acesteia. Dacă
managementul de vârf consideră că sistemul de control intern este important, ceilalți membri ai
organizației vor simți acest lucru și vor reacționa prin respectarea conștiincioasă a mecanismelor
de control definite. Pe de altă parte, dacă pentru membrii organizației este evident că sistemul de
control intern nu este o problemă importantă pentru managementul de vârf și că în acest domeniu
se vorbește mai mult decât se face, este aproape sigur că obiectivele de control ale
managementului nu vor fi rmărite cu eficacitate.
Mediul controlului
Mediul controlului este format din acțiunile, politicile și procedurile care reflectă atitudinile de
ansamblu ale managementului, ale membrilor consiliului de administrație și ale proprietarul
entității față de controlul intern și importanța lui pentru entitate. În scopul înțelegerii și evaluării
mediului de control, vă prezentăm mai jos cele mai importante componente secundare pe care ar
trebui să le analizeze un auditor.
Integritatea și valorile etice. Integritatea și valorile etice sânt produsul normelor și regulilor
etice și comportamentale ale entității, precum și al modului în care aceste sânt comunicate și
aplicate în practică. Ele cuprind acțiunile întreprinse de management în scopul înlăturării sau
reducerii motivațiilor sau tentațiilor care arputea determina angajații să se implice în fapte
necinstite, ilicite sau imorale. Ele includ și comunicarea valorilor și normelor comportamentale
ale entității către angajații săi prin intermediul directivelor de politică, al codurilor de conduită și
al exemplelor personale.
Angajamentul față de competență. Competența reprezintă cunoștințele și aptitudinile necesare
pentru a îndeplini sarcinile care definesc funcția unui individ. Angajamentul față de competență
cuprinde luarea în considerare de către management a nivelurilor de competență pentru posturi
specifice și a modului în care aceste niveluri se traduc în aptitudini și cunoștințe necesare.
Participarea consiliului de administrație sau a comitetului de audit. Un consiliu de
administrație eficace este independent de managementul întreprinderii, iar membrii săi sânt
implicați în activitățile de gestiune și le supraveghează cu atenție. Consiliul deleagă managerilor
responsabilități privind controlul intern instaurat de managementul entității. În plus, un Consiliu
activ și obiectiv poate, deseori, reduce eficient probabilitatea ca managementul să încalce politice
de control existente. Deseori, pentru a obține un sprijin în supervizarea activității întreprinderii,
consiliul de administrație creează un comitet de audit, căruia i se deleagă responsabilitatea
supravegherii procesului de raportare financiară. De asemenea, comitetul de audit răspunde de
menținerea unei comunicații permanente atât cu auditorii interni, cât și cu cei externi. Aceasta le
permite auditorilor și membrilor consiliului să dicscute probleme care ar putea viza aspecte
precum integritatea sau acțiunile întreprinse de management. Independența comitetului de audit
față de managementul entității și cunoștințele sale în domeniul raportării financiare sânt
considerați factori determinanți pentru capacitatea acestuia de a evalua de manieră eficace
mecanismele de control intern și situațiile financiare elaborate de management. De fapt, Bursa
din New York (New York Stock Exchange) impune, iar Bursa Americană (American Stock
Exchange) recomandă, că toate companiile cotate pe piețele de valori să creezi un comitet de
audit format în întregime din membri externi. Piața NASDAQ impune că numai majoritatea
simplă a posturilor din comitetul de audit să fie ocupat de membri externi întreprinderile.
Numeroase companii care nu sânt cotate pe piețele de capital creează, la rândul lor, comitete de
audit eficace, recunoscând importanța unei raportări financiare eficace și a supervizării adecvate
a sistemului de control intern.
Abundența scandalurilor contabile, cum ar fi presupusă înregistrare a unor milioane de dolari ca
venituri false de către Cendant Corporation, Ne sugerează că aceste comitete de audit nu își
îndeplinesc întotdeauna cu eficacitatea rolul. Reprezentanți ai investitorilor atacă asemenea
comitete pe motivul că ele nu sânt independente sau nu dispun de cunoștințele financiare pentru
detectarea majorității erorilor de raportare financiară. Ei remarcă faptul că, uneori, comitetele de
audit nu-și îndeplinesc misiunea din cauză că un director executiv alege membri care sânt dispuși
să joace cum li se cântă. Comitetele de audit au nevoie de membri independenți, cu o experiență
financiară bogată. Pentru a răspunde acestor preocupări, Comisia Valorilor și Operațiunilor
Bursiere (CVOB/SEC) a creat un grup de studiu format din somități pentru a cerceta eficacitatea
comitetelor de audit. Acest grup de studiu a publicat în 1999 un raport intitulat. Raport și
recomandări ale grupului de studiu privind îmbunătățirea eficacității comitetelor de audit de
întreprindere. Acest raport conține zece recomandări, formulate în scopul de: (1) a consolida
independența comitetelor de audit, (2) a majora eficacitatea comitetelor de audit și (3) a prezenta
mecanisme de reponsabilizarea a comitetelor de audit, auditorilor externi și managerilor
întreprindelor. (Surse: Scandals Signal Laxity of Audit Panels, în The Walls Street Journal (17 julie 1998), B1,
Report and Recommendations of the Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit
Committees, New York Stock Exchange și National Association of Securities Dealers, 1999).
Mediul controlului
Toate societățile, indiferent de dimensiuni, structură, denumire, natură sau ramură de activitate se
confruntă cu diverse riscuri ce provin din surse interne sau externe și care trebuie gestionate.
Deoarece circumstanțele economice, de ramură, juridice și operaționale evoluează,
managementul trebuie să răspundă provocării de a crea mecanismele necesare pentru
identificarea și getionarea riscurilor asociate acestor schimbări. Controlul intern potrivit într-un
set de circumstanțe nu va continua în mod obligatoriu să fie eficace dacă aceste circumstanțe se
vor modifica.
Identificarea și analiza riscurilor este un proces continuu și o componentă critică a unui
control intern eficace. Managementul trebuie să se concentreze asupra riscurilor de la toate
nivelurile organizației și să întreprindă măsurile necesare pentru a gestiona aceste riscuri. Un
prim pas important ar fi ca managementul să identifice factorii care ar putea putea majora
riscurile. Incapacitatea de a atinge obiectivele deja fixate, calitatea personalului, dispersarea
geografică a activităților companiei, importanța și complexitatea proceselor economice de bază,
întroducerea unor noi tehnologii informaționale și intrarea pep piața a unor noi concurenți
reprezintă tot atâtea exemple de factori care ar putea conduce la un risc mai mare. După ce un
risc a fost identificat, managementul trebuie să estimeze semnificația acestui risc, să evalueze
probabilitatea apariției lui și să formuleze măsuri specifice care ar trebui întreprinse pentru a
reduce riscul până la un nivel acceptabil. Bineînțeles, nu există modalitate de eliminare a unui
risc care să fie eficientă și din punctul de vedere al costurilor. Cu toate acestea, managementul
trebuie să evalueze cu prudență care este nivelul de risc acceptabil și să se străduiască să mențină
riscul de acest nivel determinat.
Evaluarea riscurilor de către management este diferită, dar strâns legată de cea întreprinsă
de auditor, discutată în capitolul 9. Managementul evaluează riscurile ca parte a conceperii și
punerii în aplicare a mecanismelor de control intern, urmărind minimanizarea probabilității de
apariție a erorilor și fraudelor. Auditorul evaluează riscurile pentru a decide asupra probelor
necesare în audit. Dacă managementul evaluează și gestionează eficient riscurile, auditorul va
colecta, de regulă, o cantitate mai mică de probe decât în situația în care managementul nu
reușește să identifice riscurile semnificative sau să le facă față.
Auditorul ajunge să cunoască procesul de evaluare a riscurilor aplicat de management
prin determinarea modului în care managerii identifică riscurile relevante pentru raportarea
financiară, evaluează semnificația și probabilitatea de manifestarea a acestor riscuri și
formulează măsuri necesare pentru a le face față. Chestionarele și dicuțiile cu managerii sânt cele
mai obișnuite metode de obținere a acestor informații.
Activitățile de control reprezintă o serie de politici și proceduri, pe lângă cele incluse în
celelalte patru componente, care asigură faptul că în urmărirea obiectivelor entitiății se iau
măsurile necesare pentru a se face față riscurilor. În principiu, în orice entitate economică există
numeroase asemenea activității de control. DSA/SAS 78 și Raportul COSO menționează că
activitățile de control vizează, în general, politicile și procedurile referitoare la: (1) separarea
responsabilităților, (2) prelucrarea informațiilor, (3) controalele fizice și (4) evaluarea aplicării
rezultatelor. Prin definiție, activitățile de control legate de aceste tipuri de politici și proceduri se
încadrează, de obicei, în următoarele cinci tipuri de activități specifice de control, care sânt
discutate în textul ce urmează:
1. Separarea adecvată a responsabilităților (sarcinilor)
2. Autorizarea adecvată a operațiunilor și activităților
3. Întocmirea de documente și evidențe contabile adecvate
4. Controlul fizic al activelor și evidențelor contabile
5. Verificări independente ale aplicării sau rezultatelor
Mediul controlului
Mediul controlului
Mediul controlului
Cele mai importante lucruri pe care trebuie să le știe un auditor despre supervizare sânt:
principalele tipuri de activități de supervizare pe care le desfășoară o companie și modul în care
aceste activități contribuie la modificarea mecanismelor de control intern în caz de necesitate.
Discuțiile cu managerii reprezintă cea mai obișnuită modalitate de obținere a acestor informații.
În numeroase companii, în special cele mari, existența unui departament de audit intern
este esențială pentru a se asigura o supervizare eficientă. Pentru ca o funcție de audit intern să fie
eficace, este vital ca personalul de audit să fie independent atât de departamentele operative, cât
și de departamentul contabil, precum și ca auditorii interni să fie direct subordonați unui nivel de
autoritate cât mai înalt din organizație, adică fie managementul de vârf, fie comitetului de audit
al consiliului de administrație.
Pe lângă rolul pe care îl joacă în supervizarea controlului intern al unei entități, un
personal de audit intern adecvat poate reduce costurile de audit extern prin oferirea unei asistențe
directe auditorilor externi. DSA/SAS 65 (AU 322) definește modul în care auditorii interni pot
influența colectarea de probe de către auditorul extern. Dacă auditorul extern obține probele
necesare pentru a demonstra competența, integritatea și obiectivitatea auditorilor interni, atunci
el se poate baza pe munca auditorilor interni în numeroase aspecte ale activității sale.
Dimensiunea unei companii are un impact semnificativ asupra naturii controlului intern și
asupra mecanismelor specifice de control aplicate în cursul activității. În mod evident, este mai
greu să faci o separare adecvată a sarcinilor într-o companie mică. La fel, nu ar fi rezonabil să se
aștepte ca o societate mică să aibă auditorii interni cu toate acestea, dacă sânt examinate
diversele subcomponente ale controlului intern, devine evident faptul că majoritatea se aplică
atât companiilor de dimensiuni mari, cât și societăților mai mici. Deși formalizarea politicilor
întreprinderii prin manuale nu este o practică larg răspândită, o companie mică poate, fără nici o
îndoială.
Tabelul 10-2 Elementele controlului intern
Control intern
Elemente Descrierea elementului Clasificarea secundară (dacă se aplică)
Mediul Acțiunile, politicile și procedurile care Componente secundare ale mediului
controlului reflectă atitudinea de ansamblu a controlului:
managementului de vârf, a membrilor Integritatea și valori etice
consiliului de administrație și a Angajamentul față de competență
proprietarilor unei entități față de Implicarea consiliului de administrație
controlul intern și importanța lui. sau a comitetului de audit.
Filozofia și stilul de lucru al
managementului
Structura organizatorică (organigrama)
Repartizarea autorității și
responsabilității
Politicele și practicele legate de
resursele umane
Evaluarea Identificarea și analizarea de către Procese de evaluare a riscurilor.
riscurilor management a riscurilor relevante Identificarea factorilor care afectează
pentru elaborarea situațiilor financiare riscurile
în conformitate cu principiile Evaluarea semnificației riscurilor și a
contabile general acceptate. probabilității manifestării lor
Determinarea acțiunilor necesare
pentru a gestiona riscurile
Aserțiuni manageriale care trebuie satisfăcute
Existență sau producere
Exhaustivitate
Evaluarea sau afectare
Drepturi și obligații
Prezentare și dezvăluire
Activitățile de Politicile și procedurile definite de Tipuri de activități specifice de control:
control management în scopul de a-și atinge
obiectivele referitoare la raportarea Separarea adecvată a sarcinilor
financiară Autorizarea corespunzătoare a
operațiunilor și activităților
Documente justificative și evidențe
contabile adecvate
Controlul fizic al activelor și
evidențelor contabile
Verificări independente ale aplicării și
rezultatelor
Informarea și Metodele utilizate pentru a identifica, Obiective de audit referitoare la operațiuni ce
comunicarea reuni, clasifica, înregistra și raporta trebuie satisfăcute:
operațiunile unei entități și pentru a Existență
ține evidența răspunderii privind Exhaustivitate
activele asociate acestor operațiuni. Exactitate
Clasificare
Cronologie
Sistematizare și sintetizare
Supervizarea Evaluarea permanentă și periodică de Nu se aplică
către management a calității aplicării
mecanismelor de control intern, în
scopul de a determina dacă
mecanismele de control sânt executate
conform prevederilor și modificate pe
măsura necesităților.
Dispune de: (1) personal competent și fiabil, cu niveluri ierarhice clar definite, (2)
proceduri adecvate pentru autorizarea, exacutarea și înregistrarea operațiunilor, de control fizic
privind activele și evidențele contabile și, într-o proporție mai limitată, (5) verificări
independente ale aplicării și rezultatelor.
Un mecanism de control important de care dispun companiile mici constă în cunoștințele
și implicarea principalei persoane cu funcții executive, care este deseori un proprietar-gestionar.
Un interes personal în organizație și o relație strânsă cu angajații acesteia fac posibile evaluarea
riguroasă a competenței angajaților și eficacitatea sistemului pe ansamblu. De exemplu, controlul
intern poate fi consolidat de manieră semnificativă dacă proprietarul îndeplinește conștiincios
sarcini precum: semnarea tuturor cercurilor după o verificare riguroasă a tuturor documentelor
justificative, verificarea confruntării extraselor bancare cu soldurile întreprinderii, examinarea
situațiilor recapitulative ale creanțelor comerciale trimise clienților, aprobarea creditelor,
examinarea întregii corespondențe cu clienții și furnizorii și aprobarea creanțelor incerte sau
irecuperabile.
Cele cinci elemente ale controlului intern discutate în secțiunile precedente sânt
sintetizate în Tabelul 10-2.
Acum că am discutat diverselor componente ale controlului intern, să ne întoarcem
privirea spre modul în care sânt analizate elemente atunci când se caută o înțelegere a controlului
intern și se estimează riscul de control. Tehnicile utilizate în faza de planificare pentru colectarea
probelor referitoare la modul în care sistemul de control intern este proiectat și integrat în
activitatea de exploatare sânt numite proceduri de obținere a unei înțelegeri (a controlului intern).
Auditorii obțin informații despre controlul intern și utilizează aceste informații ca bază pentru
planificarea auditului. Figura 10-2 ilustrează modul în care analiza controlului intern de către
auditor afectează testele substanțiale ale soldurilor conturilor. Auditorul abordează controlul
intern obținând, mai întâi de toate , o înțelegere a acestuia, înțelegere care este apoi utilizată
pentru estimarea inițială a riscului legat de control. Când estimarea riscului de control pe care o
face auditorul este sub nivelul maxim, auditorul efectuează teste ale mecanismelor de control.
După ce rezultatele acestorteste ale mecanismelor de control sânt cunoscute, auditorul trebuie să
analizeze modul în care aceste rezultate afectează riscul de detectare planificat și testele
substanțiale. Restul capitolului de față abordează modalitățile prin care practicienii aplică
primele trei etape din figura 10-2.
În practică, procedurile utilizate pentru a se ajunge la o înțelegerea a controlului intern și
pentru a se estima riscul legat de control variază considerabil de la un client la altul. În cazul
clienților mai mici, muți auditori obțin un nivel de înțelegere suficient doar pentru a estima dacă
situațiile financiare pot fi auditate, evaluează mediul controlului prin prisma atitudinii
managementului față de controlul intern și față de raportarea financiară și determină cât de
adecvat este sistemul contabil al clientului. Deseori, din motive de eficiență, mecanismele de
control intern sânt ignorate, se presupune că riscul de control este maxim, riscul de detectare
fiind, prin urmare, foarte mic. Pentru majoritatea clienților mai mari, în special în cazul
angajamentelor de audit repetitive, auditorul fixează înainte de a începe auditul un risc de control
estimat mai mic în majoritatea componentelor auditului.
Figura 10-2 Procesul înțelegerii controlului intern și al estimării riscului legat de
control
Figura 10-3 de mai jos ilustrează o parte dintr-un chestionar de control intern vizând
ciclul vânzări-încasări al companiei Hillsburg Hardware. De asemenea, chestionarul este
construit astfel încât să poată fie utilizat pentru cele șase obiective de audit referitoare la
operațiuni. Remarcați faptul că fiecare obiectiv (de la pinctul A la punctul F) este un obiectiv de
audit legat de operațiuni de vânzări (vezi porțiunile gri). Aceleași lucru este valabil și pentru
toate celelalte sfere auditate.
Folosirea concomitentă a chestionarelor și diagramelor secvențiale este foarte
utilă pemtru înțelegerea controlului intern al unui client. Diagramele oferă o imagine de
ansamblu asupra sistemului, în timp ce chestionarele reprezintă liste de referință utilă care îi
amintesc auditorului numeroasele tipuri diferite de mecanisme de control intern care ar trebui să
existe într-o întreprindere. Utilizează de manieră corespunzătoare, o combinație a acestor două
tehnici ar trebui să ofere auditorului o descriere excelentă a sistemului.
Deseori este de dorit să se utilizeze prezentările narative sau diagramele făcute de client
și se ceară clientului să completeze chestionarul de control intern. Când un client nu poate
furniza prezentări, diagrame și chestionare comperhensibile și fiabile (în practică, această situație
este foarte des întâlnită), auditorul este cel care trebuie să se întocmească toate aceste documente.
Pentru a facilita derularea lucrărilor de audit, numeroși auditori fac apel la tehnici informatice de
auditare, printre care se numără modele de liste de referință și diagrame specifice unor ramuri
economice, care pot fi completate și vizualizate pe suporturi informatice. După ce sânt
completate în această formă, aceste foi de lucru electronice pot fi transmise și altor membri ai
echipei de audit prin intermediul unor programe de transmisiuni de date în sistem închis.
ESTIMAREA RISCULUI LEGAT DE CONTROL
Acum că am discutat procedurile utilizate de auditori pentru obținerea unei înțelegeri a
controlului intern, capitolul de față se va concentra asupra modului în care auditorii utilizează
aceste informații pentru a estima riscul legat de control. După ce obține o înțelegere a controlului
intern suficientă pentru a putea planifica auditul, auditorul trebuie să facă o estimare inițială a
riscului de control. Pentru a ajunge la această estimare inițială trebuie să se facă pentru estimări
specifice.
Să se estimeze dacă situațiile financiare sânt auditabile. Prima estimare constă în a se determina
dacă entitatea este auditabilă. Doi factori de bază determină caracterul auditabil și anume:
integritatea managementului și caracterul adecvat al documentelor și evidențelor contabile.
Numeroase proceduri de audit se bazează într-o mai mare sau mai mică măsură pe afirmațiile
sau reprezentările managementului. De exemplu, este greu pentru auditor să evalueze dacă
stocurile sânt uzate moral (nevandabile) fără a obține o estimare onestă din partea gestionărilor
întreprinderii-client. Dacă nu sânt integri, manageri pot face afirmații false, obligând auditorul să
se bazeze pe probe îndoielnice.
Documentele și evidențele contabile sânt o sursă directă de probe de audit pentru
majoritatea obiectivelor auditului. Dacă aceste evidențe contabile sânt necorespunzătoare, s-ar
putea ca probele de audit necesare să nu fie disponibile. De exemplu, dacă un client nu păstrează
copiile facturilor de vânzare și cumpărare, în cele mai multe cazuri va fi imposibil să se facă un
audit. Cu excepția cazurilor în care auditorul poate identifica o sursă alternativă de probe fiabile
sau în care evidențele necesare pot fi reconstituite pentru uzul auditorului, unicul recurs ar fi să
se considere că entitatea nu este auditabilă.
În mediile bazate pe tehnologii informaționale complexe, cea mai mare parte a
informațiilor privind operațiunile există numai în format electronic și nu generează o pistă
vizibilă de documente și evidențe pentru audit. În acest caz, compania este, de regulă, auditabilă,
totuși auditorul trebuie să estimeze dacă dispune de aptitudinile necesare pentru a colecta probe
în format electronic și poate atribui această sarcină unui alt angajat, care are pregătirea tehnică și
experiența necesare in domeniul TI.
Când ajunge la concluzia că entitatea nu este auditabilă, auditorul trebuie să discute
circumstanțele specifice ale acestei concluzii cu clientul (de obicei, cu cel mai înalt nivel ierarhic
al acestuia) și fie să se retragă din angajament, fie să emită un raport de audit sub formă de refuz
de a exprima o opinie.
Să se determine riscul de control estimat, bazându-se pe înțelegerea sistemului de control
obținută. După obținerea unei înțelegeri a controlului intern, auditorul face o estimare inițială a
riscului de control. Această estimare exprimă măsura în care auditorul se așteaptă ca
mecanismele de control intern nici să nu preântâmpine apariția unor prezentări eronate
semnificativ, nici să nu detecteze și corecteze prezentările eronate semnificative deja apărute.
În general, estimarea inițială se face pentru fiecare obiectiv de audit legat de operațiuni și
pentru fiecare tip însemnat de operațiuni. De exemplu, auditorul face pentru vânzări o evaluare a
obiectivului existenței și o evaluare separată a obiectivului exhaustivității. Există diferite
modalități de a exprima această estimare inițială a riscului. Unii auditori folosesc o formulă
subiectivă, cum ar fimare, moderat sau mic. Alții folosesc probabilitățile cifrate, cum ar fi 1,0,0,6
sau 0,2.
De obicei, estimarea inițială începe cu luarea în considerare a mediului controlului. Dacă în ochii
managerilor controlului intern nu este important, probabilitatea ca activitățile de control specifice
să fie fiabile este foarte mică. În acest caz, cea mai bună soluție este să se presupună că riscul de
control aferent tuturor obiectivelor de audit legate de operațiuni este maxim (de exemplu, mare
sau 1,0). Pe de altă parte, dacă atitudinea managementului este pozitivă, atunci auditorul
analizează politicile și procedurile specifice din cadrul componentelor secundare ale mediului de
control și cele aparținând celorlalte patru elemente ale controlului intern.
Mecanismele de control din toate cele cinci elemente sânt utilizate ca bază pentru estimarea
riscului sub nivel maxim.
Există două considerații importante în cea ce privește estimarea inițială. În primul rând
auditorul nu este obligat să facă estimarea inițială de manieră formală, detaliată. În numeroase
audite, mai ales cele ale companiilor mici, auditorul presupune că riscul de control este maxim,
indiferent de situația reală. Auditorii procedează astefel, deoarece decid că este mai economic să
facă un audit mai aprofundat al soldurilor din situațiile financiare decât să testeze mecanismele
de control intern aferente acestor solduri.
În al doilea rând, chiar dacă auditorul consideră că riscul de control este mic, valoarea
estimată a riscului de control se limitează la acel nivel, care este justificat de probele obținute. De
exemplu, să presupunem că auditorul consideră că riscul de control asociat vânzărilor
neînregistrate este mic, dar nu a colectat decât o cantitate mică de probe pentru a justifica
mecanismele de control vizând exhaustivitatea ca obiectiv de audit legat de operațiuni. Prin
urmare, estimarea riscului de control pentru vânzările neânregistrate să fie ori mare, ori
moderată. Aceasta ar putea fi mică numai dacă se obțin probe suplimentare care să justifice
mecanismele de control pertinente.
Să se determine dacă se poate justifica un risc de control estimat mai mic.Când consideră că
riscul de control real ar putea fi cu mult mai mic, decât estimarea inișială, auditorul poate decide
să justifice determinarea unui risc de control estimat mai mic. Cel mai probabil caz în care s-a
putea produce acest lucru este atunci când auditorul a identifica un număr restrans de mecanisme
de control în faza de înțelegere. Bazându-se pe rezultatele estimării inițiale, auditorul consideră
acum că pot fi identificate și testate mecanisme suplimentare de control pentru a reduce și mai
mult riscul de control estimat.
Să se determine nivelul adecvat al riscului de control estimat. După ce face estimarea inițială și
analizează dacă este posibil un risc de control mai mic, auditorul are posibilitatea de a decide
care dintre riscurile de control estimate ar trebui utilizat fie un nivel deja justificat în estimarea
inițială, fie un nivel mai mic. Decizia privind nivelul de utilizat este în esență una economică
bazată ăe o comparație dintre costurile mecanismelor de control relevante și costurile efectuării
testelor substanțiale care vor fi evitate dacă se va diminua riscul de control estimat. Să
presupunem, de exemplu, că pentru existența și exactitate, ca obiective de audit legate de
operațiunile de vânzări, auditorul consideră că ar putea reduce cu 5.000$ costul confirmării
creanțelor-clienți dacă angajează cheltuieli suplimentare de 2.000$ pentru a justifica un risc de
control estimat mai mic. Din punctul de vedere al costurilor, mai rentabil ar fi să se cheltuiască
numai 2.000$ în plus.
De regulă, auditorul estimează riscul de control aferent obiectivelor de audit legate de operațiuni
abordând fiecare tip major de operațiuni din fiecare ciclu de operațiuni. De exemplu, în ciclul
vânzări-încasări, tipurile de operațiuni sânt, de obicei vânzări, vânzări restituite și rabaturi
acordate, încasări, provizioane privind creanțele incerte și scoaterea creanțelor irecuperabile din
evidență. Primul pas în estimarea riscului constă în a identifica obiectivele de audit legate de
operațiuni asupra cărora se aplică estimarea. Acest lucru se face prin aplicarea obiectivelor de
audit legate de operațiuni prezentate mai sus și formulate în termeni generali asupra fiecărei
categorii majore de operațiuni a entității.
Următorul pas este identificarea mecanismelor specifice de control, care contribuie la atingerea
fiecărui obiectiv de audit legat de operațiuni. Auditorul identifică mecanismele de control
pertinente, analizând informațiile descriptive despre sistemul clientului. Sânt identificate acele
politici, proceduri și activități care, în opinia auditorului, asigură controlul operațiunilor vizate.
Pentru această analiză, deseori este util să se facă referință la tipurile de mecanisme de control
care ar putea există și să se întrebe personalul clientului dacă aceste mecanisme există în
realitate. De exemplu: Există o separare adecvată a sarcinilor și cum se realizează acestea?
Documentele utilizate sânt adecvat concepute? Documentele prenumerotate sânt corect
contabilizate? Accesul neautorizat la fișierele sistematice este adecvat preântâmpinat?
În fiecare acestei nu este obligatoriu să se abordeze fiecare mecanism de control în parte.
Auditorul ar trebui să identifice și să includă în analiză numai mecanismele de control care se
presupune că au cel mai mare impact asupra atingerii obiectivelor de audit referitoare la
operațiuni. Deseori, acestea sânt numite mecanisme cheie ale controlului intern. Motivul pentru
care numai mecanismele- cheie ale controlului intern luate în considerare este că acestea vor fi
suficiente pentru atingerea obiectivelor de audit referitoare la operațiuni și ar trebui deci să
asigure eficiența auditului.
Un neajuns al controlului intern este absența mecanismelor de control adecvate, care majorează
riscul apariției de prezentări eronate în situațiile financiare. Dacă, în opinia auditorului,
mecanismele de control nu sânt adecvate pentru realizarea unuia dintre obiectivele de audit
referitoare la operațiuni, va crește probabilitatea apariției unor asemenea prezentări eronate. De
exemplu, dacă angajații care se ocupă de contabilitatea salariilor au posibilitatea de a modifica
datele din fișierul sistematic al salariilor, auditorul ar putea deduce că sistemul de control intern
are o carență.
Pentru a identifica neajunsurile semnificative ale controlului intern se poate utiliza o
metodă în patru etape, descrisă în continuare.
Identificarea mecanismelor de control existente. Deoarece neajunsurile constau în absența
unor mecanisme de control adecvate, auditorul ar trebui mai întâi de toate să știe ce mecanisme
de control există. Metodele de identificare a mecanismelor de control existente au fost deja
dicutate.
Identificarea mecanismelor-cheie de control absente. Chestionarele de control intern,
prezentările narative și diagramele secvențiale sânt utile pentru identificarea sferelor în care
lipsesc mecanismele-cheie de control și în care, prin consecință, crește probabilitatea apariției de
erori. De obicei, când riscul de control este estimat ca moderat sau mare, înseamnă că s-a
constatat absența unor mecanisme de control.
Determinarea erorilor semnificative potențiale care ar putea rezulta. Această etapă are drept
scop identificarea prezentărilor eronate specifice care ar putea apărea din cauza absenței
mecanismelor de control. Importanța unui neajuns al sistemului de control intern este direct
proporțională cu amploarea greșelilor sau fraudelor care ar putea rezulta din acel neajuns.
Analizarea posibilității existenței unor mecanisme de control compensatorii. Un mecanism
de control compensatoriu este acela introdus într-o altă componentă a sistemului pentru a
compensa un neajuns. Un exemplu tipic într-o companie mică este implicarea activă a
proprietarului. Când există un mecanism de control compensatoriu, neajunsul nu mai trebuie să-l
preocupe pe auditor, deoarece probabilitatea de eroare este suficient diminuată.
Figura 10-4 ilustrează documentarea unui neajuns existent în controlul ciclului vânzări-
încasări în cazul companiei Airtight Machine. Cea de-a cincea coloană arată impactul
neajunsului asupra programului de audit planificat de auditor.
Figura 10-4 Neajunsurile controlului intern
Client Airtight Machine
Neajunsuri ale controlului intern
Ciclu Vânzări-încasări
Neajunsuri Mecanism de Eroare potențială Semnificație Impact asupra
control probelor de audit
compensatoriu
1.Angajatul Proprietarul
responsabil de verifică toate
contabilitatea notele de
creanțelor-clienți creditare după ce
aprobă notele de acestea sânt N/A N/A N/A
creditare și are înregistrate. El îi
acces la cunoște pe toți
disponibilitățile clienții
bănești întreprinderii.
Nu există Erori de calcul
verificare internă în facturile
a introducerii ăn întocmite
sistemul clienților, în Extinderea
informatic a Nici unul înregistrarea testelor
datelor privind informațiilor în Potențial substanțiale ale
numărul fișierul semnificativ operașiunilor de
clientului sistematic în vânzare la 125
existente, fișierul de elemente.
potențiale sistematic și în
clasificarea
operațiunilor pe
conturi
De exemplu, fiecare mecanism-cheie de control intern din figura 10-5 pe care auditorul are
intenția să se bazeze pentru a justifica un risc de control moderat sau mic trebuie să fie, la rândul
său, coroborat de o testare suficientă a mecanismelor de control.
Estimarea riscului legat de control obligă auditorul să analizeze modul în care sânt proiectate
mecanismele de control, în scopul de a determina dacă ele vor fi eficace în atingerea obiectivelor
de audit legate de operațiuni. În cursul fazei de înțelegere a controlului intern, s-au colectat deja
anumite probe privind modul de proiectare a mecanismelor de control, precum și probe că aceste
mecanisme au fost puse în funcțiune. Totuși, pentru a putea utiliza mecanismele specifice de
control ca bază pentru reducerea riscului de control estimat, auditorul trebuie să obțină probe
specifice eficacitatea aplicării lor pe toată perioada supusă auditului, sau cel puțin pentru cea mai
mare parte a acesteia. Procedurile de testare a eficacității mecanismelor de control în scopul
justificării unui risc de control estimat mai mic sunt numite teste ale mecanismelor de control.
Atunci când rezultatele testării mecanismelor de control confirmă așteptările auditorului privind
proiectarea acestor mecanisme, auditorul va continua să utilizeze același nivel de risc de control
pe care l-a estimat inițial. Dacă totuși testele mecanismelor de control arată că acestea nu au
funcționat cu eficacitate, riscul de control estimat trebuie revizuit. De exemplu, testele ar putea
arăta că aplicarea unui mecanism de control a fost întreruptă pe la mijlocul sau că persoana care
îl aplică a comis multiple greșeli. În asemenea situații, auditorul trebuie să folosească un risc de
control estimat mai mare, cu excepția cazurilor, când sânt identificate mecanisme de control
adiționale pentru același obiectiv de audit legat de operațiuni și când acestea sânt considerate
eficace.
Există patru tipuri de proceduri care se folosesc pentru a verifica funcționarea mecanismelor de
control intern. Acestea sânt prezentate în continuare.
Chestionarea angajaților ai clientului. Deși chestionarea nu reprezintă, de regulă, o sursă
foarte fiabilă de probe privind funcționarea eficace a mecanismelor de control, ea oferă totuși
probe adecvate. De exemplu, auditorul ar putea determina că personalul care nu este autorizat nu
are acces la fișierele informatice prin chestionarea angajatului care gestionează biblioteca de date
și a angajatului care controlează atribuirea drepturilor la parole de securitate care permit accesul
la sistem.
Examinarea documentelor, evidențelor și rapoartelor. Multe mecanisme de control lasă o
pistă (urmă) clară de probe documentare. Să presupunem, de exemplu, că atunci când se
recepționează comanda unui client, aceasta este utilizată pentru a crea un ordin de vânzare către
clientul respectiv, care la rândul său, este aprobată pentru creditare. (Vezi primul și al doilea
mecanism-cheie de control intern din figura 10-5). Comanda clientului este anexată ordinul de
vânzare, ca autorizare pentru operațiunile ulterioare. Auditorul examinează documentele pentru a
se asigura că ele sânt complete și adecvat corelate și că semnăturile sau inițialele obligatorii sânt
prezentate.
Observarea activităților legate de control. Alte tipuri de activități legate de control nu lasă o
pistă de probe documentare. De exemplu, separarea sarcinilor se bazează pe faptul că anumite
persoane îndeplinesc anumite sarcini și, de regulă, aceste responsabilități separate nu sânt
documentate. (Vezi cel de-al treilea mecanism-cheie de control intern din figura 10-5) În cazul
mecanismelor de control care nu lasă o urmă de probe documentare, auditorul observă, de regulă,
modul în care sânt aplicate aceste mecanisme în diverse momente pe parcursul exercițiului
contabil.
Reconstituirea procedurilor clientului. Există și activități legate de control cărora le sânt asociate
documente și evidențe, însă al căror conținut este insuficient pentru atingerea scopului urmărit de
auditor și anume cel de a evalua dacă mecanismele de control funcționează cu eficacitatea. De
exemplu, să presupunem că prețurile din facturile de vânzare trebuie comparate cu o listă de
prețuri standard de către personalul clientului, ca procedură de verificare internă, însă în factura
de vânzare nu se înscrie nici o mențiune privind faptul că procedura a fost aplicată. (Vezi cel de-
al patrulea mecanism-cheie de control intern din figura 10-5). În asemenea cazuri, se obișnuiește
ca auditorul să refacă activitatea de control, pentru a verifica dacă s-au obținut rezultatele
căutate. Pentru acest exemplu, auditorul poate reconstitui procedura de control, comparând
prețurile de vânzare cu prețurile din lista autorizată în vigoare la data operațiunii. Dacă nu se
descoperă nici o eroare, auditorul poate deduce că mecanismul de control funcționează conform
scopurilor pentru care a fost creat.
Perimetrul de aplicare a testelor mecanismelor de control depinde de nivelul dorit al riscului de
control estimat. Dacă auditorul dorește un risc de control estimat mai mic, atunci se aplică teste
ale mecanismelor de control mai extinse, atât în termenii numărului de mecanisme de control
testate, cât și în termenii profunzimii testării fiecărui mecanism. De exemplu, dacă auditorul vrea
să utilizeze un risc de control estimat mai mic, atunci el ar trebui să folosească eșantioane de
dimensiuni mai mari pentru procedurile de documentare, observare și reconstituire.
Folosirea probelor din auditul unui precedent. Dacă în cursul auditului exercițiului anterior s-
au obținut probe indicând că un mecanism – cheie al controlului intern funcționează cu
eficacitate și dacă auditorul determină că mecanismul este însă în aplicare, atunci profunzimea
testării mecanismului respectiv ar putea fi redusă, într-o anumită măsură, în anul în curs. De
exemplu, în circumstanțele de acest tip, auditorul ar putea fi folosi un eșantion mai mic pentru
testarea unui mecanism de control care lasă o pistă de probe documentare, fie aplica o rotație a
anumitor teste între diferite sfere de audit timp de doi sau mai mulți ani.
Testarea unei fracțiuni din perioada auditată. Într-o situație ideală, testele mecanismelor de
control ar trebui aplicate operațiunilor și mecanismelor din întreaga perioadă supusă auditului.
Totuși această soluție nu este întotdeauna practică. Când se testează mai puțin decât întreaga
perioada în cauză, auditorul ar trebui să determine dacă în sistemul de control au intervenit
schimbări în perioada care nu este testată și să obțină probe în legătură cu natura și amploarea
oricăror schimbări produse.
În numeroase cazuri, programele informatice de gestiune contabilă conțin o componentă
de control intern, automat executată de computer. Unul dintre avantajele controlului efectuat de
computer constă în faptul că, dacă este corect programat, sistemul informatic aplică respectivul
mecanism de control de manieră consecventă și uniformă până la următoarea modificare a
programului. Într-un asemenea, mediu auditorul ar putea fi în măsură să reducă profunzimea
testării mecanismelor de control computerizate, cu condiția să determine că există un risc redus
de producere a unor modificări neautorizate în programul informatic și în fișierele sistematice
sau datele aferente programului, utilizate pentru aplicarea mecanismului control în cauză.
Auditorul va trebui să retesteze mecanismul de control dacă programul este modificat sau dacă
mecanismele prin care se controlează accesul la fișierul sistematic sânt nesatisfăcătoare.
Există o suprapunere semnificativă între testele mecanismelor de control și procedurile utilizate
pentru a se obține o înțelegere a sistemului de control intern. Există însă două deosebiri
fundamentale în cea ce privește aplicarea acestor proceduri tipice în diferite cazuri. În primul
rând, în faza de înțelegere a controlului intern, procedurile sânt aplicate tuturor mecanismelor de
control identificate ca făcând parte din înțelegerea controlului intern. Testele mecanismelor de
control, pe de altă parte, sânt aplicate numai atunci când riscul de control estimat este sub nivelul
maxim, însă chiar și atunci ele se aplică numai asupra mecanismelor-cheie ale controlului intern.
În al doilea rând, procedurile de obținere a unei înțelegeri a controlului intern se aplică
numai asupra uneia sau câtorva operațiuni sau în cazul observărilor, într-un singur moment de
timp. Testele mecanismelor de control sânt efectuate asupra unor eșantioane mai mari de
operațiuni (poate între 20 și 100), iar observările sânt făcute deseori la mai multe momente de
timp.
În cazul mecanismelor-cheie ale controlului intern, testele mecanismelor de control, altele
decât reconstituirea, sânt în esență o extensie a procedurilor conexe necesare pentru obținerea
unei înțelegeri. Prin urmare, când auditorii planifică de la începutul auditului să obțină un risc de
control estimat mic, ei vor combina cele două tipuri de proceduri și le vor executa simultan.
Tabelul 10-3 ilustrează mai detaliat acest concept. Când se planifică doar o înțelegere
minimă a controlului intern, auditorul va face un parcurs de operațiune. Astfel, auditorul
determină dacă documentația auditului este completă și exactă și observă dacă activitățile de
control descrise sânt desfășurate în realitate.
Când riscul de control este estimat sub nivelul maxim, nu se face numai un parcurs de
operațiune, ci se examinează și un eșantion mai mare de documente pentru a se găsi indicii ale
unei funcționare eficace a mecanismelor de control. (Determinarea dimensiunii adecvate a
eșantionului este discutat în capitolele anterioare). În mod similar, când se fac observații, ele vor
fi mai aprofundate și deseori se vor produce la diverse momente de timp. De asemenea, auditorii
vor face reconstituiri pentru a verifica funcționarea anumitor mecanisme de control.
Tabelul 10-3 Relațiile dintre riscul de control estimat și profunzimea procedurilor
Risc de control estimat
Tip de procedură Mare: obținerea unei simple înțelegeri Mai mic: testarea mecanismelor de
control
Chestionare Da – în profunzime Da – parțial
Documentare Da – cu un parcurs de operațiune Da – prin sondaj
Observare Da – cu un parcurs de operațiune Da – în mai multe momente
Reconstituire Nu Da – prin sondaj
3 alternative
(1) (2) (3)