Managementul Riscurilor Si Controlul Intern - Postat 22.04.2020

MANAGEMENTUL RISCURILOR
CONF. UNIV. DR. FLORIN BOGHEAN

ABORDĂRI CONCEPTUALE PRIVIND RISCUL DE AUDIT
Ca definiţie cuvântul risc are semnificaţia incertitudinii ca un eveniment care

afectează realizarea obiectivelor entităţii să se producă, el poate fi măsurat
prin doi parametrii, probabilitatea producerii şi impactul produs.
 Institutul Auditorilor Interni (IIA) defineşte riscul, ca fiind ,,incertitudinea ca un

eveniment capabil să afecteze realizarea obiectivelor, să se producă.”
 Riscul este ,, ameninţarea ca un eveniment sau o acţiune să afecteze

negativ capacitatea unei organizaţii de a-şi atinge obiectivele
stabilite.”(Emilia Vasile,2005)
 Normele profesionale ale Auditului intern defineşte riscul astfel: “Posibilitatea

de a se produce un eveniment care ar putea avea un impact asupra
îndeplinirii obiectivelor.”
 Într-o lucrare de specialitate din literatura franceză se menţionează că ,,riscul

este un ansamblu de împrejurări care ar putea avea consecinţe negative
asupra unei entităţi şi ale căror control intern şi audit au ca misiune
tocmai asigurarea unui bun control asupra acestora, pe cât
posibil.”(D.McNamee, G.Selim,2000)
2
Cuvântul „risc” derivă de la cuvântul italian „risicare”, care înseamnă „a
îndrăzni”. În acest sens, riscul este o alegere, nu o soartă (1). Acţiunile pe
care îndrăznim să le întreprindem, acţiuni ce depind de gradul de libertate pe
care îl deţinem sau ni-l asumăm, toate acestea ajută la definirea a ceea ce
înseamnă a fi o persoană umană.
Apelând la procedeul de revizuire a literaturii de specialitate, reţinem următoarele

definiţii:
riscul este un eveniment viitor şi probabil a cărui producere ar putea
genera pierderi
riscul reprezintă un inconvenient posibil, producător de prejudicii care
poate interveni în derularea unei afaceri
riscurile sunt evenimente previzibile şi imprevizibile, subiective şi
obiective, care generează o pagubă
riscul semnifică variabilitatea rezultatului întreprinderii sub presiunea
mediului său. (Dorobanţu H.,Toma S.,Vasiliu C.,Dorobanţu E., 2001:112)
Organizaţia pentru Cooperare şi Dezvoltare Economică (O.C.D.E.) consideră că

„riscul este constituit din posibilitatea ca un fapt cu consecinţe nedorite să
se producă” (Definiţie preluată de W. Shaunessy în La faisabilite de project, les
Editions de SMG, Paris, 1983).
3
(1) K. H. Spencer Pickett -The Internal Auditing Handbook, Second Edition, Editura John Wiley & Sons, III, River Street, Hoboken, NY 07030, USA, 2006, pag. 54, definiţie dată de
Peter L. Bernstein, autorul primei lucrări privind auditul intern.
Se distinge că:
„riscul reprezintă variabilitatea rezultatului posibil în funcţie de un

eveniment nesigur, incert” (Dorfman, Introduction to risk
management and insurance, 4-th edition);
„riscul este incertitudinea cu privire la o pierdere” (G. Tieschman,

Risk and insurance, 7-th edition);
„riscul poate fi definit ca posibilitatea ca pierderile să fie mai mari

decât se asteaptă” (M. Hedges, Risk management. Concepts and
aplications);
„riscul reprezintă incertitudinea cu privire la producerea unei

pagube” (Rejda, Principles of risk management and insurance, 4-th
edition);
„riscul este acea situaţie în care există posibilitatea unei devieri

potrivnice a rezultatului sperat” (Vaughn, Fundamentals of risk and
insurance, 5-th edition).
4
În realitate se manifestă trei diferenţe semnificative în raport cu modalitatea
de prezentare a riscului.
O primă diferenţă face referire la faptul că numeroşi manageri asociază

noţiunea de risc cu apariţia rezultatelor negative, ei netratând riscul ca pe un
aspect important al vieţii economice. Cu alte cuvinte, există o permanentă
tensiune între noţiunea de risc privită ca o funcţie de repartiţie a
rezultatelor posibile şi noţiunea de risc privită ca un pericol sau ca un
eveniment fortuit.
 A doua diferenţă constă în faptul că pentru manageri, riscul nu reprezintă o

noţiune cu caracter de probabilitate. Conform unui studiu elaborat în acest
sens, un procent de aproximativ 54% dintre managerii care au fost chestionaţi
consideră nesiguranţa ca pe un factor important de risc. Pentru ei, însă,
rezultatele situate sub nivelul asteptărilor prezintă o importanţă decisivă. Peste
80% dintre managerii ce au fost supusi testului au manifestat preocupări sporite
manifestate în domeniul analizei „rezultatelor cele mai slabe” sau au fost
preocupaţi de „deficitul maxim”. Se poate observa faptul că managerii sunt atrasi,
mai degrabă, de prezentarea riscului prin recurgerea la anumite mărimi cu
caracter valoric.
A treia diferenţă se rezumă la activitatea managerială, care desi iniţial are la

bază o amplă activitate de evaluare a riscului potenţial prin folosirea metodelor
cantitative, în final, totul se diminuează doar la un număr restrâns de dorinţe care
se aplică pentru sume derizorii. 5
Gestionarea riscurilor este un proces care se derulează de către Consiliul de
Administraţie sau de Comitetul Director, împreună cu un număr de persoane din
diferitele structuri ale entităţii care are ca obiect:
stabilirea strategiei şi identificarea elementelor care pot să afecteze

entitatea, activitatea şi rezultatele acesteia,
gestionarea riscurilor viitoare în limitele vulnerabilităţii entităţii faţă de risc, cu

scopul de a furniza un nivel satisfăcător de asigurare, în ceea ce priveşte
realizarea obiectivelor entităţii,
este generalizată în întreaga entitate, la fiecare nivel, structură şi formă de

organizare-funcţionare, auditul intern oferind o perspectivă generală şi
completă asupra riscurilor,
identificarea şi auditul intern al evenimentelor, tranzacţiilor, operaţiunilor

care pot afecta realizarea obiectivelor funcţionale ale entităţii şi a rezultatelor
aşteptate, monitorizarea riscurilor identificate în limitele apetitului pentru risc,
oferirea unei asigurări satisfăcătoare la nivel de management,
direcţionarea tuturor proceselor spre realizarea obiectivelor într-una sau mai

multe categorii separate, dar conectate cu elemente comune. 6
Tipologia riscurilor
Riscuri generale
O posibilă sinteză tipologică a riscurilor, specifică economiei de piaţă este prezentată în
continuare:
a. după dimensiunea şi forţa acţiunii riscului asupra afacerilor:
risc de ţară;
risc sectorial: financiar-bancar, valutar, comercial etc.;
risc de entitate;
risc de afacere.
b. după sursa generatoare de risc economic:
risc economic general;
risc specific entităţii;
risc internaţional.
c. după sectorul de activitate:
riscuri în sectorul primar;
riscuri în sectorul secundar;
riscuri în sectorul terţiar;
riscuri în sectorul cuaternar.
d. după posibilitatea de asigurare:
risc asigurabil;
neasigurabil.
e. după formele pe care le îmbracă:
7
risc economic;
risc financiar;
risc de faliment.
Din punct de vedere al abordării riscurilor, există următoarea
clasificare: (A.Arens, J.Loebbecke, 2003):
 riscul inerent;
riscul de control;
riscul de nedetectare;
Pentru audit, este important şi riscul privind modul de prelucrare a

informaţiei preluată din documente justificative, care poate fi:
 risc interpretativ, prin interpretare eronată a tranzacţiei, ţine
de raţionamentul profesional;
 risc personal, ce ţine de atitudinea în timpul prelucrării;
 risc profesional generat de neconcordanţa nivelului de
pregătire şi nivelul de dificultate al prelucrării;
 risc legislativ;
 risc fiscal, ca efect al interpretării eronate sau necunoaşterii
legii fiscale,
 risc interpretativ, prin interpretare eronată a tranzacţie, ţine
de raţionamentul profesional;
 risc legislativ. 8
Auditorul în procesul de audit trebuie să depisteze şi să analizeze şi
riscurile generale privind entitatea auditată.
Riscurile legate de situaţia economică a entităţii, fiind cauzate de:
factori externi, cum ar fi: lipsa de solvabilitate a unor clienţi, pieţele

entităţii fiind circumspecte;
factori interni: existenţa unor reguli economice, juridice, fiscale, sociale

specifice entităţii , ce implică riscuri particulare care trebuie înregistrate ca
atare în procesul din mediul economic intern.
9
Riscurile, legate de organizarea entităţii, sunt cauzate de:
 politicile aplicate de manageri: politica de investiţii financiare poate

influenţa clasificarea valorilor mobiliare, respectiv a titlurilor de
participare sau de plasament, care trebuie corect înregistrate în
contabilitate.
 structura entităţii: dacă este o entitate înfiinţată prin participarea altei

entităţii la formarea capitalului social, aceasta va avea anumite
avantaje, faţă de o alta entităţii, deoarece beneficiază de credite mai
favorabile, anumite facilităţi dar şi obligaţii, prin aprovizionări sau
vânzări în condiţii impuse de conducerea grupului.
Riscurile legate de concepţia şi funcţionarea sistemelor, de exemplu:

 riscurile legate de natura şi complexitatea metodelor: evaluarea
producţiei în curs a unei entităţi cu ciclu lung de fabricaţie e mai dificilă
decât a stocurilor dintr-o entitate comercială; prelucrarea contabilă a
unor contracte complexe se poate dovedi dificilă.
10„
10
Riscurile legate de auditul intern, cum ar fi:
sistemul eronat conceput sau aplicat, care poate deteriora

informaţia sau o parte din ea, prin urmărire ineficientă a clienţilor
incerţi, putând provoca pierderi prin continuarea livrărilor sau
prestărilor, care nu vor fi achitate, poate, niciodată; definirea eronată a
responsabilităţilor în privinţa lansării comenzilor, poate determina
aprovizionări peste necesităţi sau la preţuri care pot genera pierderi.
sistemul bine conceput şi aplicat constituie o protecţie de bază

împotriva riscului de erori şi generează pe termen mediu sau lung,
efecte de performanţă.
11
Riscurile legate de atitudinea managerilor; indiferent de
virtuţile auditului intern, atitudinea managerilor poate
contribui la amplificarea eficienţei sau invers, la sporirea
riscurilor de aplicare a procedurilor contabile;
De exemplu: o conducere atentă la calificarea informaţiilor

sistemelor şi la eficienţa serviciilor sale va asigura o
supraveghere a ansamblului operaţiilor, urmărind aplicarea
şi funcţionarea sistemelor performante şi fiabile.
Invers, conducerea care are o încredere prea mare în

calitatea personalului său, necoordonând activităţile
acestora, nu va putea descoperi riscul. Managerii, supuşi
unor presiuni prea mari, pot fi tentaţi să-şi influenţeze
colaboratorii, pentru a minimaliza aparenţa dificultăţilor lor şi
a face astfel inoperant sistemul de audit intern.
12
Alte riscuri
De un real ajutor pe acest plan este cunoaşterea principalelor forme de
risc cu care entităţile sunt confruntate, pe care managerii trebuie să le ia
în considerare:
Riscuri economice, care sunt determinate, atât de evoluţiile contextuale

entităţii, cât și calitatea activităţii economice din mediul său.
Cele mai frecvente riscuri economice care influenţează deciziile sunt:

riscul creşterii inflaţiei;
riscul amplificării ratei dobânzilor de credite;
riscul modificării cursului de schimb valutar;
riscul investiţional.
Riscuri financiare, aferente obţinerii şi utilizării capitalurilor de

împrumut, dintre care cele mai frecvente sunt:
riscul rămânerii fără lichidităţi;
riscul neasigurării rentabilităţii;
riscul îndatorării; 13
Riscuri comerciale, asociate operaţiunilor de aprovizionare şi vânzare
ale entităţii pe piața internă și externă din care enumerăm:
riscul de preţ;
riscul de transport;
riscul de vânzare;
Riscurile fabricaţiei, generate de imperfecţiuni tehnologice şi

organizatorice în cadrul activităţilor de producere efectivă ale
mărfurilor, printre care enumerăm:
riscul nerealizării calităţii dorite;
riscul neobţinerii produselor planificate;
riscul neîncadrării în consumurile specific normate;
riscul rebuturilor;
riscul accidentelor de muncă;
14
Riscurile politice, care decurg din modificările strategiei, tacticii și
acţiunilor curente ale factorilor politici din propria ţară (la nivel naţional,
regional și local), din ţările cu care entitatea are contacte directe și
indirecte. Cele mai frecvente riscuri politice generate de evenimente
independente de voinţa și solvabilitatea entităţii sunt:
riscuri de restrângere a importurilor şi/sau exporturilor; riscul
limitării trasferului valutar;
riscul refuzului admiterii produselor firmei pe teritoriul anumitor
state;
riscul de ţară, care reflectă nu numai factori de natură politică şi
economică, ci şi socială.
Riscuri sociale, care au în vedere relaţii cu personalul firmei și

comportamentul acestuia.
Generate în bună măsură atât de factori economici, cât şi de natură
umană, riscurile sociale, cu care se confruntă cel mai des managerii,
sunt:
riscul demotivării personalului;
riscul unor cheltuieli cu forţa de muncă, salariile în primul rând;
riscul pierderii poziţiilor managerial de către conducători;
riscul conturării unei culturi organizaţionale antieconomice. 15
Riscuri juridice, ce decurg din incidenţa legislaţiei naţionale şi, mai rar,
internaţionale asupra activităţilor entităţii. Din marea varietate a riscurilor
juridice menţionăm:
riscul pierderii sau distrugerii mărfii;
riscul neîncasării sumelor cuvenite pentru operaţiunile economice
efectuate;
riscul pierderii proprietăţii;
riscul plăţii de impozitare şi taxe suplimentare sau majorate;
riscul penalizării economice sau penale a managerilor;
riscul blocării afacerii.
Riscuri naturale, generate de calamităţi naturale sau de alte cauze de

forţă majoră, în care factorii naturali au ponderea decisivă. Cele mai
frecvente riscuri naturale, de care managerii trebuie să ţină seama în
procesele decizionale sunt urmatoarele:
riscul de incendii;
riscul de cutremure;
riscul de inundaţii.
16
17
Metode analitice de identificare a riscurilor
Identificarea si folosirea riscurilor pentru a dezvolta o

structura de control intern optima implica o metoda analitica
sau o combinare a acestor metode. Aceste metode sunt:
 diagrame de fluxuri;
 chestionare referitoare la controlul intern;
 analize matriciale;
 metodologia ilustrativa a Cadrului general de control intern;
 metoda Courtney.
1) Diagrame de fluxuri
Diagramele constituie o metoda de analiza a operatiunilor

pentru eficienta si control. Se reprezinta fluxul activitatilor
de-a lungul procesului. Reprezinta mijloace de comunicare
excelente intre auditorul intern si personalul operational.
Aceasta metoda este utilizata azi mai des datorita posibilitatii
de utilizare a calculatoarelor.
Pe partea stanga a desenelor grafice se pot nota riscurile, iar

pe partea dreapta controalele, sau alte observatii.
2) Chestionare referitoare la controlul intern (CCI)
CCI este un test de conformitate destinat sa dea siguranta controalelor, ca

acestea sunt in functiune si ca riscurile pot fi evaluate. Poate fi folosit si ca o lista
de verificare, pentru auditor, a controalelor care ar trebui sa fie in functiune si
testate in cursul auditului intern.
Un segment dintr-un CCI tipic contine urmatoarele elemente:
Intrebare Raspuns Comentarii Metoda Efectuat de

Sunt receptiile Da MEL
comparate cu facturile? Aceasta asigura Interogare
ca nu se primesc Observare
alte cantitati Test
3) Analize matriciale
 O matrice de controale este o metoda pentru punerea fata in fata a
controalelor si riscurilor pentru a ne asigura ca fiecare risc este acoperit
de un control adecvat.
 Fiecare control intern este destinat unui anumit risc sau mai multor
riscuri si poate fi: control primar (P), control secundar (S) - avand un
nivel de asigurare mai scazut - sau controale folositoare (F) – care
dau un al treilea nivel de asigurare unui alt control.
 O alta caracteristica care trebuie considerata este natura fiecarui control

– preventiv (p) sau detectiv (d):
Control A Control B Control C
Risc 1 P(p) F(d)
Risc 2 S(p) P(p) F(d)
Risc 3 P(d)
4) Metodologia ilustrativa a Cadrului general de control intern
Metodele de evaluare contin doua tipuri generale de instrumente:
a). Instrumente ale componentei – se refera la analiza componentelor

sistemelor de control.
Metodele componentei sunt destinate sa evalueze fiecare din cele cinci

componente ale sistemului de control intern din structura entitatii. Fiecare
componenta este subdivizata in probleme independente numite puncte
cheie. Acestea sunt mai departe dezvoltate in exemple specifice care pot fi
examinate si comentate.
b). Foaia de Evaluare a riscului si Activitatii de control – este folosita pentru

a evalua obiective, riscuri si controale specifice. Aranjarea Foii de lucru
duce persoana care o intocmeste spre procesul analitic.

5) Metoda Courtney
Tehnica implica un calcul prin care sumele in dolari (e.g.) sunt atribuite riscurilor
potentiale si sunt facute estimari asupra frecventei cu care aceste riscuri pot crea
dificultati.
Impactului potential al unui eveniment îi este dat o valoare de la 1 la 7.
Suma ($) V
10 = 1
100 = 2
1,000 = 3
10,000 = 4
100,000 = 5
1,000,000 = 6
10,000,000 = 7
 Frecventei estimate a aparitiei i se da o rata (p) de la 1 la 8:

p
Frecventa
O data la 300 ani = 1
O data la 30 ani = 2
O data la 3 ani = 3
O data in 100 zile = 4
O data in 10 zile = 5
O data pe zi = 6
10 ori pe zi = 7
100 ori pe zi = 8
Urmatoarea formula calculeaza pierderea estimata in dolari (e.g.) pe
an, daca apare un eveniment nedorit:
10 ^ (p + v - 3)
3
De exemplu, un eveniment care poate costa compania 1 mil USD iar

aceasta se poate intampla o data la 30 de ani, atunci v = 6 si p = 2.
Rezultatul 33.333 USD / an sugereaza ca un control destinat sa

previna acest risc trebuie sa coste mai putin de 33.333 USD/an.

In loc de concluzii:
R. Maynard a identificat 12 “cele mai bune practici” care pot fi adoptate de orice
organizatie pentru a dezvolta o abordare a managementului complet integrat:
 combinarea analizelor obiective si subiective ale universului auditului intern pentru
a scoate in evidenta prioritatile;
 analizarea abilitatilor managementului pentru a atinge tintele si obiectivele stabilite
in procedurile de pre-audit;
 utilizarea chestionarelor pentru a examina controalele interne de sus in jos;
 analizarea proceselor pentru stabilirea si supravegherea limitelor riscurilor;
 revizuirea altor functii ale managementului riscului cum ar fi trezoreria, conformitatea
si controalele contabile;
 observarea procesului de planificare strategica si rezultatelor sale;
 evaluarea initiativelor strategice;
 integrarea activitatilor de audit;
 bazarea procesului de audit pe efectul net al expunerii la risc si controalele
compensatorii;
 parteneriatul cu managementul furnizand servicii consultative si informatii care
contribuie la adaugarea de valoare;
 revizuirea eticilor ca element de baza al controlului intern;
 efectuarea unui audit comprehensiv al intregului program de management al riscului.
Tipologia riscurilor la nivelul UE
Principalele categorii de riscuri Sub-grupuri
Externe 1. Mediul extern (din afara Riscuri de macro-mediu (geo-politice, economice, dezastre
direcţiilor generale/Comisiei) naturale, etc.)
Decizii politice şi priorităţi stabilite în afara CE (ex: Parlament,
Consiliu, State Membre)
Parteneri externi (Agenţii, consultanţi, media)
Interne 2. Planificare, procese şi Strategii, planificare şi politici, inclusiv decizii de politică internă;
sisteme Procese operaţionale
Procese financiare şi alocare bugetară
 Sisteme informatice sau alte sisteme suport
3. Resurse umane şi Resurse umane (alocare a resurselor umane, competenţe)

organizatorice Comportament organizaţional şi etică (fraudă, conflict de inrese)
Organizare internă (guvernanţă, responsabilităţi, delegare de
competenţe)
Securitatea pesonalului, a clădirilor şi a echipamentelor
4. Legalitate şi regularitate Claritate, coerenţ în implementarea cadrului legal şi procedural
26
5. Comunicare şi informare Metode de comunicare şi canale de comunicare
Calitatea şi promptitudinea informaţiilor
Riscul de audit- elemente componente
Menţionăm că riscurile nu au toate aceeaşi posibilitate de a se

realiza și din acest punct de vedere avem:
riscurile potenţiale, adică cele ce sunt susceptibile, teoretic, de a se

produce dacă nici un control nu este exercitat pentru a le preveni sau
pentru a le detecta și corecta. Aceste riscuri sunt comune tuturor
entităţilor;
riscurile posibile, adică acele riscuri potenţiale împotriva cărora

entitatea, în general, nu dispune de mijloace pentru a le limita. Când
astfel de mijloace lipsesc, există o mare probabilitate ca anumite erori
să se producă fără să fie detectate sau corectate de către entitate.
27
Pentru a exprima nivelul riscului de audit se pot utiliza termeni cantitativi
(procente) sau calitativi (scăzut, mediu, ridicat).
 Care este impactul în urma producerii riscului ?
Foarte ridicat
Ridicat
IMPACT
Mediu
Scăzut
Foarte scăzut
Scala impactului
 Care este probabilitatea de apariţie a riscurilor ?
PROBABILITATE
Foarte Foarte
Scăzută Medie Mare
scazuta
scăzută mare
28
Scala probabilităţii
 Riscul inerent (Ri) cunoscut şi sub denumirea de “riscul afacerii”. Riscul sau
eroarea apăruta datorita mediului in care entitatea isi desfasoara activitatea;
 reprezintă o apreciere pe care o face auditorul privind existenţa unor precizări
eronate într-un segment supus auditului, înainte de a estima eficacitatea
situaţiei de fapt. Riscul inerent reflectă fragilitatea situaţiilor financiare faţă de
apariţia unor erori, în condiţiile unui control intern inexistent. Dacă auditorul
ajunge la concluzia că există o probabilitate de eroare, fără a ţine cont de
controlul intern, atunci el va deduce că riscul este mare. Controlul intern este
ignorat în determinarea riscului inerent, deoarece el este analizat separat în
modelul de risc al auditului. Evaluarea are la bază discuţiile purtate cu echipa
de conducere.
 Riscul de control (Rc) este cunoscut si sub denumirea de risc de personal

sau risc organizational. Riscul de control reprezinta riscul ca anumite erori
sau nereguli sa nu fie prevenite, sau, detectate si corectate, de sistemul de
control intern implementat in cadrul organizatiei.
 Prin sistem de control se intelege mediul de control din cadrul organizatiei

(ex: cadrul organizational si procedural), implementat de management
pentru diminuarea riscurilor inerente, si pentru prevenirea, detectarea si
corectarea erorilor materiale.
29
 Riscul de nedetectare (Rn) reprezintă riscul, ca o procedură de
fond a auditorului să nu reuşească să descopere o eroare
semnificativă ce există în soldul unui cont sau categorie de tranzacţii,
individuală sau cumulată cu informaţii eronate din alte solduri sau
categorii de operaţii.
 Nivelul riscului de nedetectare depinde în mod direct de

procedurile de fond ale auditorului în sensul că, prin evaluarea
riscului de control și a riscului inerent, se influenţează natura, durata
și întinderea acestor proceduri de fond în vederea reducerii riscului
de nedetectare şi, în consecinţă, a riscului de audit, până la un nivel
minim acceptabil.
30
Între cele patru categorii de riscuri se poate exprima relaţia privind riscul de
nedetectare:
Ra
Rn 
Ri  Rc
Având în vedere existenţa unor limite inerente auditului, precum şi a unor limite
inerente oricărui sistem de audit intern, există riscul inevitabil ca unele inexactităţi
semnificative să nu fie descoperite.
Atunci când auditorul are indicii că ar exista fraude sau erori care ar duce la
apariţia unor inexactităţi semnificative, el trebuie să-şi extindă procedurile de
control în scopul confirmării sau infirmării temerilor sale.
Nivelul riscului de nedetectare este dependent de gradul de adecvare a

tehnicilor de eşantionare, de selectare a eşantionului, de experienţa membrilor
echipei, de lărgimea eşantionului. Din cele expuse rezultă că există o întreagă
reţea de riscuri de care auditorui trebuie să ţină seama. 31
Definirea componentelor riscului de audit
RISCUL INERENT RISCUL DE CONTROL RISCUL DE
(Ri) (RC) (NE)DETECTARE
(RN)
1. Susceptibilitatea unor  Reprezintă riscul ca o  Este riscul ca o
informaţii eronate ca materialitate declaraţie eronată, ce ar procedură de fond
individuală sau cumulat cu putea apărea în soldul unui utilizată să nu
informaţii eronate din alte solduri cont sau într-o categorie detecteze o informaţie
sau tranzacţii presupunând că nu de tranzacţii şi care ar eronată ce exista în
au existat controale interne putea fi materială, soldul unui cont sau
corespunzătoare. individual sau cumulat, să categorie de tranzacţii
2. În planul de audit, auditorul nu poate fi prevenită sau care poate fi materială
intern evaluează riscul inerent ca detectată şi corectată în individual sau cumulat.
o probabilitate că unele situaţii timp util de către sistemul Riscul de nedetectare
financiare eronate să se producă contabil şi sistemul de este riscul de a nu se
în practică fiind slăbiciuni ale control intern. descoperi acele erori
controlului intern. Sistemul de control materiale care nu au
3. Aprecierea existenţei unei intern este important fost depistate de
probabilităţi înalte ca erorile din cuprinzând: sistemul de control
situaţiile financiare să nu fie -mediul de control intern (SCI). El poate fi
depistate de controlul intern, -procedurile de control influenţat de către
înseamnă că riscul inerent este intern auditor prin
ridicat.  Când controalele schimbarea naturii
4. Segmentarea situaţiilor interne sunt reduse perioadei de timp,
financiare cu cea mai mică şi cea numeric şi slabe calitativ, extinderea testelor de
mai mare probabilitate de a fi auditorii nu se pot baza pe fond aplicate asupra
eronate. ele. unui cont.
5. Aceasta influenţează  Ineficacitatea  NP↑, RN↓
dimensiunea probelor de audit controlului intern  Risc propriu:
necesare. înseamnă creşterea, neaplicarea unei 32
6. Declaraţiile conducerii, riscului de control, proceduri (NP) de
eronate conduc la situaţii determinându-i pe auditori auditare sau
financiare false. să nu aibă încredere în neinterpretarea uneia
Cultura adversă riscului se caracterizează prin:
 conducerea tinde să se limiteze la ceea ce ştie;

 stabilitatea, experienţa şi cunoştinţele sunt valorile esenţiale şi sunt
atributele cele mai căutate;
 organizaţia este foarte reactivă, tinde să aştepte să se întâmple ceva
rău şi abia apoi acţionează;
 de obicei, organizaţia este extrem de ierarhizată şi majoritatea deciziilor
se iau la vârful organizaţiei;
 conducerea pierde mult timp încercând să determine cum să-şi
desfăşoare activităţile mai eficient, în loc să se îndrepte către nevoile de
servicii ale consumatorilor;
 în cadrul organizaţiei, strategiile nu se schimbă prea des, iar când se
întâmplă, constituie un eveniment important;
 greşelile sunt personalizate, astfel încât oamenii sunt lipsiţi de iniţiativă,
aceasta fiind tipic o “cultură bazată pe vină”.
33
Cultură care acceptă riscul, numită cultura „se poate face” (can do),
care se caracterizează prin:
 inovarea şi motivarea sunt cele mai apreciate valori;

 există preocupare pentru exploatarea oportunităţilor şi cointeresarea
personalului;
 luarea deciziilor majore este problema managementului general, iar
abilitatea luării deciziilor de rutină este transmisă întregii organizaţii;
 orientarea principală a organizaţiei este externă, urmărind în general
asigurarea serviciilor clienţilor;
 strategiile şi politicile se schimbă frecvent pentru a reflecta schimbarea
circumstanţelor;
 a greşi este destul de acceptabil – chiar încurajat – dar a ascunde
greşeala este inacceptabil.
34
Există multe beneficii ale încorporării managementului riscului în
cultura organizaţiei, printre care:
Atenţie mai mare acordată aspectelor care chiar contează;

Reducerea timpului pierdut de conducere cu disputele;
Mai puţine surprize;
Mai mulţi clienţi mulţumiţi;
Protejare a reputaţiei;
Mai multă atenţie pentru a face lucrurile corecte într-o manieră corectă;
Posibilitate mai mare de a atinge obiectivele firmei;
Mai puţine plângeri;
Posibilitate sporită de iniţiative de schimbare şi atingerea beneficiilor

proiectelor/proiectate;
 Asumare a riscului şi adoptare mult mai informată a deciziilor;
Sprijin pentru inovare;
Costuri de asigurare mai reduse. 35

Obiectivele abordării managementului riscului de
către organizaţie au la baza următoarele principii:
 Gestionarea riscului este o componentă
cheie a managementului strategic
 Atitudinea pozitivă faţă de riscurii
 Abordarea riscurilor în momentul adoptării
oricărei decizii.
 Analiza oportunităţior care apar in procesul
gestionării riscurilor şi a ameninţările care pot
împiedica atingerea obiectivelor.
36
Pentru a atinge aceste obiective organizaţia trebuie să aibă în vedere
următoarea abordare:
 stabilirea răspunderilor clare, roluri şi linii de raportare pentru
gestionarea riscurilor vor fi înfiinţate şi menţinute în cadrul tuturor funcţiilor

şi departamentelor;
 introducerea unor programe de training şi oportunităţi pentru învăţare
pentru a le asigura managerilor dobândirea şi dezvoltarea abilităţilor şi

expertizei necesare gestionării riscului;
 analizele riscurilor să fie încorporate în procesului decizional şi să facă
parte din acest proces;

 întreprinderea de măsuri pentru gestionarea riscurilor individuale
adecvate posibilităţilor de apariţiei a riscurilor şi a impactului potenţial al
acestora asupra atingerii obiectivelor;
 existenţa unui registru de riscuri actualizat care să poate fi uşor
accesibil tuturor celor implicaţi pentru identificarea riscurilor strategice
şi operaţionale, si să ofere o estimare a măsurilor de control în curs al
căror rol este gestionarea acestor riscuri;
 măsurarea performanţelor activităţilor de management al riscurilor în
raport cu ţelurile şi obiectivele stabilite;

 preocupare pentru înţelegerea riscului şi a gestionării acestuia la37
toate nivelurile organizaţiei, cu partenerii şi acţionarii majoritari, combinată
cu un tratament al riscului în cadrul organizaţiei.
EVALUAREA SISTEMELOR DE MANAGEMENT AL
RISCURILOR
Considerăm că o metodă eficientă de identificare şi evaluarea a

riscurilor porneşte de la analiza riscului care are următoarele scopuri:
 identificarea riscurilor în ceea ce priveşte activitatea structurii

auditate;
 dacă controalele interne sau aplicarea procedurilor structurii

auditate pot preveni, elimina sau minimiza pericolele;
 evaluarea structurii şi evoluţiei controlului intern la structura

auditată.
38
Modele de evaluare cantitative şi calitative a riscurilor
Pentru a exemplifica evaluarea cantitativă a riscurilor să presupunem
că auditorul a estimat riscul inerent şi riscul de control la 40%, iar
riscul de audit la 5%. Riscul de nedetectare va fi determinat pe baza
formulei prezentate anterior, ca raport între riscul de audit şi riscul inerent
înmulţit cu riscul de control la o valoare de 31%.
Ra 0.5
Rn = Rn = 0,31(31%)
RiRc 0.4*0.4
Principalele avantaje ale acestui model ar fi faptul că este un model rapid şi facil
de aplicat, este un model care se poate realiza fără ajutorul unui computer
necesitând doar cunoştinţe elementare de matematică.
Practicienii utilizează, preponderent, modelul oferit de standardele internaţionale,

deşi acesta este adesea criticat în literatură, principalele argumente împotriva lui
fiind modul simplist în care tratează problema şi incapacitatea de a răspunde 39
tuturor cerinţelor auditorilor.
Modelul funcţiilor încrederii pentru evaluarea riscului în audit
 De exemplu, dacă auditorul decide să nu ia în considerare factorii
inerenţi, valoarea riscului inerent va fi stabilită ca fiind 1. Deoarece o
probabilitate egală cu 1 înseamnă certitudine, s-ar părea că există
erori materiale în conturi. Dar acesta nu este ceea ce doreşte auditorul
când decide să nu ia în considerare factorii inerenţi. Intenţia auditorului
este reprezentată mai bine prin funcţiile încrederii care reflectă că o
valoare egală cu 1 înseamnă doar că duce lipsă de probe în ceea ce
priveşte factorii inerenţi.
 Într-o situaţie extremă auditorul poate crede, pe baza factorilor inerenţi,

că un cont este corect şi totuşi să nu fie dispus să atribuie factori de
certitudine. În acest caz, auditorul poate să atribuie o valoare mai mică
decât maximul, respectiv 70%, riscului inerent. Aceasta sugerează că
probele sunt nefavorabile indiferent de intuiţia auditorului. Interpretarea
probabilistică devine şi mai confuză dacă auditorul stabileşte nivelul
riscului inerent la 50%. Ce înseamnă asta: că auditorul este complet
ignorant cu privire la starea contului sau că există mai multe dovezi
privind corectitudinea conturilor ca în cazul anterior când factorul de
certitudine era 30%? 40
Exemplu:
În audit dacă auditorul a analizat conturile în care sunt înregistrate plăţile şi

consideră că ele prezintă un grad de încredere privind corectitudinea scăzut,
de 0.4 pe o scară de la 0 la 1, atunci conturile balanţei sunt corecte.
Dacă se notează cu a măsură în care sunt corecte şi cu b măsura în care sunt

incorecte, atunci avem următoarele mulţimi ale încrederii m-valori:
 m(a)=0.4,
m(b)=0 şi
m(a,b)=0.6,
iar suma lor este 1.
În audit se pot interpreta aceste m-valori ca fiind nivelul de sprijin obţinut

direct din probe pentru a argumenta funcţia m-valori. Din exemplul anterior
nivelul încrederii privind corectitudinea conturilor este de 0.4, nu există un nivel
al neîncrederii privind corectitudinea conturilor, iar 0.8 încredere nerepartizată.
Acest 0.6 este atribuit întregului cadru Θ={a, b}. În acest exemplu probele sunt
favorabile ceea ce susţine corectitudinea conturilor de încasări. Probele
nefavorabile sunt reprezentate prin b. Dacă presupunem că valoarea acestora
este scăzută 0.2 şi nu există probe că ar fi corecte înregistrările în conturi,
atunci m(a)=0, m(b)=0.2 şi m(a, b)=0.8, iar suma lor este tot 1. 41
Principalele responsabilităţi ale auditului intern în ceea ce
priveşte managementul riscului sunt:
furnizează asigurare asupra proceselor de management a

riscului,
furnizează asigurare că riscurile sunt corect evaluate,
evaluează procesele de management ale riscului,
evaluează raportarea riscurilor cheie,
 revizuieşte gestiunea riscurilor cheie.
42
Gestionarea riscului
Modul de gestionare a riscurilor trebuie să fie o

preocupare constantă a echipei manageriale care
evaluează uzura sistemelor de organizare şi actualizează
în permanenţă geografia riscurilor, care poate fi un punct
de plecare al oricărei analize ulterioare.
Gestionarea riscurilor este un proces dinamic de

identificare, tratament, audit intern şi monitorizare
permanentă a riscurilor cu impact pozitiv sau negativ,
asupra activităţii, rezultatelor şi ansamblului entităţii. (Gh.
Rusu, 2007)
43
Gestionarea riscurilor este o responsabilitate a managementului
care trebuie să se asigure, pentru a-şi atinge obiectivele de bună
funcţionare a proceselor de management al riscurilor.
Care este rolul auditorilor interni în acest proces?
Rolul auditorilor interni este acela de a asista managementul în acest

scop, ei examinează şi evaluează procesele de management, verifică
dacă acestea sunt suficiente şi emit rapoarte şi recomandări în vederea
îmbunătăţirii lor.
44
Fiecare entitate este preocupată de gestionarea riscurilor, unele
constituind în acest sens, departamente de management al riscului,
iar altele lăsând această activitate în responsabilitatea managementului
general şi în supervizarea compartimentului de audit intern.
Activităţile de control pot fi grupate în:
activităţi de control proprii entităţii pentru evitarea riscurilor

generale;
activităţi de control proprii fiecărei funcţii, foarte numeroase şi
specifice ;
activităţi de control general valabile şi unanim recunoscute, în
special din domenii conexe.
45
Pentru asigurarea unui nivel rezonabil al controlului intern, există
urmatoarele tipuri de verificări:
controale preventive, de evitare a unor evenimente nedorite;
controale de detecţie, pentru depistarea evenimentelor nedorite;
controale directive, pentru a produce un eveniment dorit;
controale administrative;
controale contabile;
controale fizice.
46
Aceste activităţi de control vizează, în general, politicile şi procedurile
referitoare la:
1. Separarea adecvată a responsabilităţilor. În realizarea unei bune

separări a responsabilităţilor trebuie avute în vedere, în scopul
prevenirii fraudelor şi a erorilor :
 separarea gestiunii activelor de contabilitate, astfel încât să nu se
permită unei persoane care gestionează permanent sau temporar un
activ,
să ţină şi contabilitatea acelui activ, pentru a proteja entitatea,
separarea principalelor funcţii legate de tehnologiile informaţionale de
funcţiile departamentelor care sunt utilizatorii cheie ai acestor
tehnologii;
2. Autorizarea corectă a operaţiunilor şi a activităţilor. Aceasta

presupune autorizarea adecvată pentru ca măsurile de control să poată
fi considerate satisfăcătoare. Autorizarea poate fi: generală, ceea ce
înseamnă că managementul defineşte politici pe care entitatea trebuie
să le respecte în ansamblul ei, personalul aflat în subordine primind
instrucţiuni de aplicare a acestei autorizări în limitele stabilite de politica
entităţii sau specifică pentru fiecare operaţiuni managerul acordă
autorizare; 47
3. Întocmirea corectă a documentelor şi evidenţelor contabile. Documentele
trebuie să fie corecte pentru a oferi o asigurare rezonabilă privind faptul că toate
activele sunt controlate corespunzător şi că toate operaţiunile sunt înregistrate;
4. Controlul fizic al activelor şi evidenţelor contabile, controlul accesului în

sensul că doar persoanele autorizate pot utiliza echipamentele informatice şi
avea acces la programe şi fişiere pe baza unor sisteme de parolare;
5. Verificări ale aplicării şi a rezultatelor obţinute, se verifică dacă sunt

respectate toate procedurile stabilite mai sus şi se analizează în ce măsură
contribuie la obţinerea rezultatelor.
48
Gestionarea riscului este un proces care are ca obiectiv:
 stabilirea strategiei şi identificarea evenimentelor care pot să

afecteze entitatea, activitatea şi rezultatele acesteia,
 gestionarea riscurilor viitoare în limitele vulnerabilităţii entităţii faţă

de risc, cu scopul de a furniza un nivel satisfăcător de asigurare, în
ceea ce priveşte realizarea obiectivelor entităţii,
 este generalizată în întreaga entitate, la fiecare nivel, structură şi

formă de organizare, auditul intern oferind o perspectivă generală şi
completă asupra riscurilor,
 identificarea şi auditul intern al evenimentelor, tranzacţiilor,

operaţiunilor care pot afecta realizarea obiectivelor funcţionale ale
entităţii şi a rezultatelor aşteptate, monitorizarea riscurilor identificate
în limitele apetitului pentru risc.
49
Analiza riscului în audit
Pornind de la definiţiile riscului a prins contur şi s-a dezvoltat un nou departament

în structura entităţii şi anume cel de management al riscului care nu trebuie
confundat cu departamentul de audit intern.
Managementul riscului identifică riscurile, stabileşte probabilitatea apariţiei,

impactul, precum şi politica care trebuie aplicată pe când auditorul intern
evaluează masurile stabilite de management, detectează deficienţele făcând
recomandări pentru eliminarea lor.
Modelul de analiză a riscurilor recomandat de IIA, în 2003, prin adoptarea

Bunelor practici internaţionale are în vedere şase factori şi anume:
constatările anterioare ale auditului,

sensibilitatea sistemului,
mediul de control,
încrederea în managementul operaţional,
schimbările de personal sau de sisteme,
 complexitatea.
50
O metodă eficientă de identificare şi evaluarea a riscurilor porneşte
de la analiza riscului care are următoarele scopuri:
identificarea riscurilor în ceea ce priveşte activitatea structurii

auditate;
daca controalele interne sau aplicarea procedurilor structurii auditate

pot preveni, elimina sau minimiza pericolele;
evaluarea structurii şi evoluţiei controlului intern la structura

auditată
51
Fazele analizei riscurilor sunt următoarele:
 analiza activităţii structurii auditate;
 identificarea şi evaluarea riscurilor inerente, respectiv a

riscurilor de eroare semnificativă a activităţilor structurii auditate, cu
incidenţa asupra operaţiilor financiare;
 identificarea existenţei controalelor interne care se adresează

riscurilor identificate, a procedurilor de control intern, precum si
evaluarea acestora;
52
I. IDENTIFICAREA RISCURILOR
Abordarea activităţii de identificare a riscurilor se poate realiza astfel:

 autoevaluarea riscurilor de către persoanele implicate în realizarea
obiectivelor/activităţilor respective, pe nivele ierarhice prin
diagnosticarea riscurilor cu care se confruntă zilnic. Un punct forte
al acestei abordări o reprezintă faptul că persoanele responsabile de
riscuri devin mai conştiente atunci când sunt implicate în activitatea de
identificare a riscurilor.
 analiza riscurilor realizată de un compartiment special creat în

cadrul entităţii sau de o echipă externă, contractată, care să
evalueze toate operaţiile şi activităţile organizaţiei în relaţie cu
obiectivele şi să le ataşeze riscurile adecvate. În situaţia aplicării
acestei abordări este important ca activităţile compartimentului sau
echipei să nu submineze înţelegerea responsabilităţii în gestionarea şi
monitorizarea riscurilor de către managementul de linie şi persoanele
responsabile ale riscurilor. 53
RISCURILE LA CARE ESTE EXPUSĂ ORGANIZAŢIA POT FI GRUPATE ÎN MAI MULTE
CATEGORII:
54
Riscurile pot fi clasificate astfel:
Riscuri de organizare:
 lipsa precizării unor responsabilităţi precise;
 insuficienta organizare a resurselor umane;
 documentaţia insuficienta, neactualizată;
Riscuri operaţionale:
 Neinregistrarea in evidentele contabile a anumitor operatiuni
 Arhivarea necorespunzatoare a documentelor justificative
 Lipsa unui control asupra operatiilor cu risc ridicat
 Lipsa functiei de supervizare
 Intrarea pe piata a unui nou competitor puternic
 Proasta administrare si intretinere a echipamentelor, etc.
Riscuri financiare:
 Efectuarea de plati automate nesecurizate
 Contractarea de imprumuturi la o rata a dobanzii variabila
 Realizarea unor investitii in produse/servicii noi care se pot dovedi neprofitabile
 Fluctuatii mari si imprevizibile ale cursului de schimb valutar 55
 Realizarea de operatiuni financiare cu risc ridicat, pe o piata instabila, etc.
Teoreticienii englezi consideră că cele mai întâlnite categorii de
riscuri sunt următoarele:
Riscuri strategice sunt riscurile care afectează scopurile pe termen

mediu şi lung precum şi obiectivele organizaţiei. Gestionarea acestor
riscuri este de obicei în sarcina Comitetului de Management al Riscului
(RMC) şi cuprind:
 Politice: eşecul îndeplinirii politicii guvernamentale;
 Economice: implicaţii ale schimbărilor apărute în economie (spre
exemplu inflaţia, ratele dobânzii ş.a.);
 Sociale: neputinţa răspunderii la efectele schimbărilor apărute în
tendinţele demografice şi socio-economice, neputinţa reflectării
acestora în obiectivele companiei;
 Privind clienţii: eşecul identificării nevoilor curente şi în schimbare
ale clienţilor;
56
Riscuri operaţionale sunt riscurile pe care managerii şi
conducerea le vor întâlni în activitatea zilnică şi anume:
Competiţionale: eşecul de a conferi valoare banilor,

calitate produselor ş.a.
Fizice/Materiale: pericole legate de incendii, securitate,

prevenirea accidentelor, sănătate şi siguranţă (spre
exemplu clădiri, vehicule, maşini şi echipamente).
Contractuale: eşecul celor contractaţi de a asigura

serviciile sau produsele la timp, costul sau specificaţiile.
57
Riscuri financiare sunt riscuri semnificative care rămân în permanenţă în atenţia
managementului şi pot fi eşecuri în planificarea financiară, controlul bugetar,
gestiunea fondurilor şi monitorizări sau raportări incorecte sau inadecvate.
Riscuri privind reputaţia sau brandul sunt acele riscuri asociate cu zona de
mass-media şi orice alte acţiuni sau inacţiuni care pot avaria marca sau reputaţia
companiei.
Riscuri informaţionale şi legate de IT sunt riscuri legate de tehnologia IT care se

află într-o permanentă mişcare şi anume:
Tehnologice: lipsa capacităţii de confruntare cu ritmul şi magnitudinea
schimbărilor, lipsa abilităţii de a folosi tehnologia ca răspuns la nevoile în
schimbare, eşecuri interne de natură tehnologică, eşecuri privind achiziţionarea
tehnologiei.
Fizice legate de IT: defecţiuni ale echipamentelor IT, de telefonie ş.a.
Riscuri privind personalul
Profesionale: eşecuri datorate lipsei de discernământ financiar, lipsa unui
personal specializat, lipsa consultării privind dezvoltările ş.a.
Conducerea şi managementul: lipsa de personal cheie sau inabilitatea păstrării
acestuia, imposibilitatea asigurării unei pregătiri profesionale adecvate. 58
Alte riscuri:
 Riscuri legate de managementul informatiei

 Riscuri legate de securitatea datelor
 Riscuri legate de securitatea echipamentelor IT
 Riscuri legate de reputatia entitatii
 Riscuri legate de schimbarile realizate la nivelul
managementului
 Riscuri legate de procesul decizional din cadrul organizatiei,
etc.
59
Există multe metode care pot fi folosite pentru a identifica
potenţialele riscuri:
 workshop-uri (întâlniri de lucru);

 planificare de scenarii;
 analizarea creanţelor trecute şi a altor pierderi;
 analizarea incidentelor/eşecurilor trecute;
 inspecţiile privind sănătatea sau siguranţa;
 training pentru începători;
 revedere a performanţelor trecute;
 realizarea feed-back-ului între conducere şi clienţi.
60
II. EVALUAREA RISCURILOR
Apreciem că, indiferent de modelul de evaluare a riscului la care se apelează,

procesul de evaluare a riscului trebuie să urmeze următorii paşi.
Aprecierea unui risc are la baza doua estimări:
a. Nivelul impactului, respectiv gravitatea consecinţelor (directe si indirecte) şi

durata acestora;
Nivelul impactului reprezintă efectele riscului în cazul producerii sale si se poate

exprima pe o scară valorică pe trei nivele:
impact scăzut;
impact moderat;
impact ridicat
b. Probabilitatea de apariţie
Probabilitatea de apariţie a riscului variază de la imposibilitate la certitudine şi
este exprimată pe o scara de valori pe trei nivele:
probabilitate mica;
61
probabilitate medie;
probabilitate mare.
O dată la
1- 2 Ridicată 4 7 9
ani
O dată la P R O B A B IL IT A T E A
Moderată 2 5 8
3 – 10 ani
O dată la
10 ani sau Redusă 1 3 6
mai puţin
0
Sesizabil Semnificativ Critic
IMPACTUL
Sub 100.000 100.000 – 500.000 Peste 500.000

Atribuţii semnificative Încălcări normative Încălcări normative
neîndeplinite sau majore sau apariţii în critice sau apariţii62în
plângeri frecvente presa locală presa naţională
Impactul asupra organizaţiei poate fi:
Ridicat – efect catastrofic asupra operaţiunii:
 pierderi financiare uriaşe, respectiv mai mult de 5% din totalul costurilor sau
veniturilor;
 întreruperi majore ale serviciilor (>5 zile);
 moartea unor persoane;
 eşecul complet al proiectului sau întârzieri îndelungate (peste două luni);
 publicitate negativă în presa naţională.
Moderat – efect semnificativ, dar nu catastrofic asupra operaţiunilor, care se poate
materializa în următoarele forme:
 pierderi financiare semnificative, respectiv mai mult de 2% din totalul costurilor şi
veniturilor;
 întreruperi semnificante ale afacerii (2-5 zile);
 rănirea severă a unei persoane sau a mai multor persoane;
 efect advers asupra proiectului sau derapări semnificative;
 publicitate negativă în presa regională.
Scăzut – consecinţele nu vor fi atât de severe şi orice pierderi sau implicaţii
financiare vor fi relativ scăzute, astfel:
63
 un oarecare efect asupra oferirii serviciilor (o zi);
 rănire minoră a unei persoane sau a mai multor persoane;
 câţiva clienţi se plâng.

PROBABILITATE
IMPACT REDUS MEDIE RIDICATĂ
REDUS Ignorare = 1 Ignorare = 2 Ignorare = 3
MEDIU Ignorare = 2 Prudenţa =4 Acţiune = 6
RIDICAT Prudenţă = 3 Acţiune = 6 Acţiune = 9
Nivel tolerare Explicaţii
1–3 Ignorare Nu necesită nicio măsură de control
3-4 Prudenţă Necesită măsuri de control pe termen scurt
5-9 Acţiune Necesită măsuri de control urgente
64
Pentru evaluarea riscului asociat diferitelor structuri se pot folosi si
următoarele criterii de apreciere:
Aprecierea cantitativă (aprox. 30-35%)
Aprecierea cantitativă măsoară importanţa mizelor (miză slabă, medie

şi importantă). Pentru a realiza această încadrare se au în vedere,
funcţie de structura ce urmează a fi auditată, următoarele:
nivelul veniturilor generate, al cheltuielilor de exploatare bugetate,
al cheltuielilor de investiţii bugetate, al mijloacelor fixe implicate,
 spaţiul ocupat,
numărul managerilor şi al personalului din subordine implicat.
Pentru calculul ulterior al poziţiei de ordonare a structurii ce urmează a fi

auditate în funcţie de risc, în raport de celelalte structuri auditate, se vor
acorda următoarele scoruri:
Pentru miză slabă scorul 1

Pentru miză medie scorul 2
Pentru miză importantă scorul 3 65
Aprecierea calitativă (20%)
Este o apreciere asupra vulnerabilităţii structurii auditate. Pentru a o

cifra se vor examina toţi factorii care ar putea avea o anume incidenţă
asupra vulnerabilităţii structurii auditate precum:
Calitatea managementului structurii auditate

Calificarea personalului
Complexitatea sau simplitatea lucrărilor efectuate.
În funcţie de aprecierea acestor factori se va decide să se afecteze

fiecărei structuri ce urmează a fi auditată, referitor la vulnerabilitatea
acesteia, unul din următoarele scoruri:
Vulnerabilitate scăzută scorul 1

Vulnerabilitate medie scorul 2
Vulnerabilitate crescută scorul 3 66
Aprecierea controlului intern (45 - 50%)
Aceasta se va face având în vedere următoarele:
Deficienţe anterioare în controlul intern

Fraude anterioare
Erori semnificative raportate
Riscuri inerente în cadrul operaţiunilor auditate
Schimbări recente (exemplu introducerea unor sisteme noi)
Probleme manageriale
Lipsa revizuirilor sistemului de control intern în trecut
Revizuiri şi audituri anterioare care au evidenţiat probleme continuu în
controlul intern.
În urma analizei tuturor acestor factori se va acorda fiecărei structuri ce

urmează a fi auditată, referitor la calitatea controlului intern din cadrul
acesteia, unul din următoarele scoruri:
Control intern adecvat scorul 1 67

Control intern insuficient scorul 2
Control intern cu lacune grave scorul 3
În vederea aprecierii controlului intern, recomandăm a se va folosi următorul ghid:
Controlul Dacă:
intern este:
cu lacune 1. conducerea şi/sau personalul demonstrează o atitudine
grave necooperantă şi nepăsătoare cu privire la conformitate, păstrarea
dosarelor, sau verificări externe.
2. auditurile anterioare sau studiile preliminare au descoperit
probleme deosebite.
3. analiza dezvăluie ca nu sunt în funcţiune tehnici de control
adecvate şi suficiente.
4. procedurile de control intern lipsesc sau sunt puţin utilizate.
insuficient  conducerea si personalul demonstrează o atitudine cooperanta
cu privire la conformitate, păstrarea dosarelor si verificări
externe.
 auditurile anterioare sau studiile preliminare au descoperit
anumite probleme, dar conducerea a luat măsuri de remediere şi
a răspuns satisfăcător la recomandările auditului.
 analiza arată că sunt în funcţiune tehnici de control adecvate si
suficiente.
adecvat  conducerea şi personalul demonstrează o atitudine constructivă,
existând preocuparea de a anticipa şi înlătura problemele.
 auditurile anterioare şi studiile preliminare nu au descoperit nici
un fel de probleme.
 analiza arată că sunt în funcţiune tehnici de control intern
numeroase şi eficiente. 68
 procedurile sunt bine susţinute de documente.
Identificarea riscului de management
Exemplu:
Dacă Nr. Operaţiuni Riscuri aferente Evaluare Activităţi de
Există
avem în Crt elementare ce identificate Riscuri control intern
vedere un alcătuiesc (mare, ce se DA / NU
audit al
activitatea mediu, adresează
riscului de
auditată mic ) riscurilor
managem
ent, vom identificate
întocmi 1 Calitatea -experienţă Mare Procedura
tabelul de cunoştinţelor şi scăzută prin care se DA
identificar experienţa -slabă pregatire Mare stabilesc
e a
necesară pentru a profesională criteriile de
riscurilor,
prin conduce entitatea selecţie
divizarea 2 Schimbarea -risc de Mediu Procedura de DA
în activităţi managerilor în nerealizare a analiză de
auditabile cursul obiectivelor management
stabilind
exerciţiului propuse
riscurile
asociate. financiar
3 Confidenţialitate -scurgerea unor Mic Existenţa DA
a datelor şi informaţii care ar contractelor
informaţiilor la putea afecta de
69
care are acces entitatea confidenţialita
managerul te
III. CONTROLUL RISCURILOR
Controlul riscurilor presupune realizarea următoarelor

activităţi:
 tolerarea;
 tratarea;
 transferarea;
 încetarea;
 oportunităţi.
70
a. Tolerarea riscurilor
o Riscurile pot fi acceptate fără să fie necesară luarea vreunei
măsuri. În cazul unor riscuri, chiar dacă cu greu sunt tolerate, nu
întotdeauna avem posibilitatea să acţionăm datorită, spre exemplu,
costului măsurilor respective, care pot să fie disproporţionate.
Opţiunea aceasta poate fi completată de „un plan pentru situaţii
neprevăzute” care să atenueze posibilul impact care ar putea fi resimţit
în situaţia materializării riscurilor.
b. Tratarea riscurilor
 Marea majoritate a riscurilor sunt controlate cu scopul de a fi

tratate. Astfel, în timp ce organizaţia îşi desfăşoară activităţile care au
generat riscurile, se instalează un instrument de control care menţine
efectele riscului în limite acceptabile.
 Tratarea ineficientă a riscurilor poate produce o criză corporativă care
să conducă la pierderi semnificative.
71
Instrumente de control preventiv:
 segregarea sarcinilor, prin care o persoană nu are autoritatea de

a acţiona fără consimţământul alteia, astfel persoana care
realizează o plată este alta decât cea care a efectuat comanda;
 limitarea acţiunilor persoanelor autorizate, respectiv doar

persoanele instruite special pot efectua anumite activităţi speciale,
cum ar fi: inventarierea patrimoniului, controlul casieriei, instruirea
personalului ş.a.
 externalizarea asigurării unor servicii, precum: IT, contabilitate,

resurse umane, audit ş.a.
72
Instrumente de control corectiv:
 includerea unor clauze în contract care permit

recuperarea sumelor plătite nejustificat;
 asigurarea, care facilitează recuperarea financiară

a unor sume în cazul materializării unor riscuri;
 planurile pentru situaţiile neprevăzute reprezintă

un mijloc prin care o organizaţie îşi planifică şi
asigură continuitatea în cazuri de criză, pe care nu
le poate controla.
73
Instrumente de control directiv:
 instruirea şi deprinderea personalului cu anumite abilităţi;
 asigurarea pregătirii profesionale a personalului într-un domeniu
special, respectiv IT, control, audit ş.a.
 în general, echipamentele de protecţie pentru activităţile periculoase.
Instrumente de control detectiv
 activităţile de inventariere a stocurilor, care detectează unele mişcări

realizate fără autorizaţie;
 controlul reciproc şi încrucişat, care poate detecta unele tranzacţii
neconforme sau neautorizate;
 monitorizarea activităţilor de implementare care ne permit să
detectăm anumite modalităţi practice pozitive care pot fi utilizate şi în
alte proiecte.
74
c. Transferarea riscurilor
 Există riscuri pentru care cea mai bună soluţie este transferarea lor.
Această opţiune este benefică mai ales în cazul riscurilor financiare
sau patrimoniale şi poate fi făcută printr-o asigurare sau prin plata
unei terţe părţi care să găsească o altă modalitate de asumare a
riscului.
 Transferarea riscurilor se poate realiza fie prin reducerea expunerii

la risc, fie pentru că o altă organizaţie este mai capabilă sau
specializată în gestionarea unor astfel de riscuri. În general, nu se
pot transfera riscurile legate de reputaţie, de brandul
organizaţiei, astfel există şi riscuri netransferabile sau netransferabile
integral.
75
d. Încetarea activităţilor
 Anumite riscuri pot fi eliminate sau menţinute în limite rezonabile

numai prin reducerea activităţilor sau prin desfiinţarea acestora.
 Trebuie menţionat că această modalitate este caracteristică

sectorului privat, deoarece în sectorul public opţiunea încetării
activităţii este relativ redusă, chiar dacă pentru unele activităţi sunt
asociate riscuri însemnate, deoarece nu există o altă modalitate de
obţinere a rezultatelor aşteptate de public.
 Spre exemplu: pregătirea unor specialişti o lungă perioadă de

timp în străinătate, este însoţită de posibilitatea nedorită a
plecării acestora din organizaţie. Desigur că această opţiune poate
avea o importanţă deosebită în gestionarea proiectelor dacă devine
clar faptul că relaţia previzionată cost-beneficii este pusă în pericol.
76
e. Beneficierea de pe urma oportunităţilor
Această opţiune trebuie luată în considerare ori de câte ori un risc este
tolerat, tratat sau transferat.
În această situaţie există următoarele posibilităţi:
simultan cu reducerea evenimentelor, riscul apare ca oportunitate.
Spre exemplu, dacă o investiţie mare este riscantă, se reevaluează

instrumentele de control, dacă sunt suficiente şi justifică eventuale
cheltuieli cu acestea;
existenţa unor circumstanţe care negenerând riscuri, oferă chiar
oportunităţi. Spre exemplu: scăderea preţurilor la bunuri şi servicii
care conduce la eliberarea de resurse ce pot fi realocate.
77
ROLURI ŞI RESPONSABILITĂŢI ÎN MANAGEMENTUL
RISCURILOR.
Grup Roluri
Conducerea  Aprobă strategia Comitetului de management al riscurilor
 Consideră riscul ca parte a tuturor deciziilor
 Urmăresc anual angajamentele Comitetului de management al riscurilor
Comitetul de  Asigură gestionarea eficientă a riscurilor pe baza strategiei de management al
management al riscului şi raportează conducerii anual
riscurilor (RMC)  Identifică riscurile strategice care afectează organizaţia şi face recomandări
conducerii privind modul în care acestea vor fi gestionate.
Managerii  Asigură că riscul este gestionat eficient în fiecare funcţiune din cadrul strategiei
convenite şi raportează trimestrial Comitetului de management al riscurilor.
 Identifică riscuri individuale care afectează activitatea lor, se asigură că acestea
sun înregistrate în registrul riscurilor şi că există măsuri de control potrivite pentru
gestionarea acestor riscuri.
 Monitorizează continuu adecvarea şi eficienţa tuturor măsurilor şi raportează
membrului lor din Comitetul de management al riscurilor.
 Urmăresc cel puţin anual toate angajamentele privind managementul riscului care
influenţează activitatea lor, ca parte a planificării organizaţiei.
Toţi angajaţii  Îşi efectuează sarcinile sub îndrumările oferite de gestiunea riscului incluzând
conformitatea cu toate măsurile de control care au fost identificate.
 Raportează pericolele/riscurile managerilor lor.
Auditul intern  Monitorizează dacă riscurile au fost identificate adecvat şi dacă au fost incluse în
registrul riscurilor. 78
 Urmăresc adecvanţa şi eficienţa măsurilor de control în funcţiune.
 Fac recomandări managerilor, Comitetul de management al riscurilor şi conducerii
atunci când este necesar.
REGISTRUL RISCURILOR
 Responsabilitatea elaborării registrului riscurilor revine fiecărui nivel al

managementului de linie. Din aceste motive, fiecare manager trebuie să
elaboreze, pentru compartimentul pe care îl coordonează, propriul registru de
riscuri, iar prin centralizarea acestora, se obţine Registrul riscurilor la nivel
general al entităţii.
 Conducătorul entităţii trebuie să stabilească un responsabil cu elaborarea

Registrului riscurilor entităţii şi căruia îi revine şi responsabilitatea actualizării
sistematice a acestuia, cel mai târziu anual.
 Pentru stăpânirea riscurilor, proprietarul/responsabilul riscurilor trebuie

să adopte o strategie de control, respectiv tolerarea, tratarea, transferarea
sau încetarea activităţilor. Desigur, cel mai frecvent se adoptă strategia de
tratare a riscurilor prin instalarea unui instrument de control intern, care este
revizuit periodic pentru a evalua capacitatea acestuia de menţinere a riscului în
anumite limite.
79
PRECIZĂRI PRIVIND ELABORAREA REGISTRULUI RISCURILOR
1. Preluăm obiectivele din LISTA OBIECTIVELOR, ACTIVITĂŢILOR ŞI

OPERAŢIILOR, la care ataşăm riscurile specifice operaţiilor elementare,
până la un nivel rezonabil de detaliere, coloanele 2 - 5;
2. În continuare, se completează circumstanţele care favorizează apariţia

riscurilor, responsabilul cu gestionarea riscului şi se face aprecierea
RISCULUI INERENT , coloanele 6 - 10;
3. Se stabileşte strategia adoptată pentru risc, instrumentele de control intern

şi termenele, care monitorizează riscul, coloanele 11 – 14
4. Se stabileşte RISCUL REZIDUAL, care va fi urmărit în continuare;
5. Riscul rezidual este riscul care va intra în auditare şi la care se vor

adăuga eventuale RISCURI SECUNDARE;
6. Elaborarea Registrului riscurilor se realizează pe compartimentele din

structura entităţii, în responsabilitatea şefului de compartiment, care
poate stabili un responsabil cu administrarea riscurilor şi actualizarea
Registrului;
80
7. Centralizarea registrelor riscurilor de la nivelul compartimentelor
în vederea obţinerii REGISTRULUI GENERAL AL RISCURILOR LA
NIVELUL ENTITĂŢII;
8. Nominalizarea persoanei responsabile cu constituirea şi

actualizarea sistematică a Registrului general al riscurilor la
nivelul entităţii.
9. Responsabilul riscurilor pe compartimente care asistă

managementul în gestionarea riscurilor va ataşa un ISTORIC AL
EVOLUŢIEI RISCURILOR, de la înfiinţare până în prezent, sau cel
puţin începând din anul 2000;
10. Stabilirea unui sistem de actualizare periodică a riscurilor ataşate

operaţiilor elementare, cel puţin o dată pe an;
11. EVALUAREA ANUALĂ A SALARIAŢILOR SE VA COROBORA CU

STADIUL REALIZĂRII ŞI ACTUALIZĂRII REGISTRULUI
RISCURILOR. 81
Management general
 CA selectează 10 – Lista riscurilor din
Consiliul de administraţie
15 riscuri la nivelul cadrul entităţii
Obiective
entităţii ………
Activităţi Riscuri
la data de
Actualizarea sistematică a matricei riscurilor
………
 Transmit primele 7 DIRECTIA 1 DIRECTIA 2 ……… DIRECTIA N

riscuri
Compartiment 1 Compartiment 2 Compartiment 3 Compartiment N-1

 Transmit primele 5 Compartiment N
riscuri Obiective Obiective Obiective Obiective Obiective
REGISTRU Activităţi Riscuri Activităţi Riscuri Activităţi Riscuri Activităţi Riscuri
DE EVIDENŢĂ Activităţi Riscuri
A RISCURILOR
 Transmit primele Subunitate 1 Subunitate 1 Subunitate 1 ………… Subunitate N

3 riscuri
82
semnificative
STRUCTURI TERITORIALE
Figura . Modalitatea de stabilire a riscurilor de către managementul general

DOMENII / ACTIVITĂŢI OPERAŢII RISCURI EVALUAREA
OBIECTIVE RISCURILOR
SCORUL RISCULUI
Op1 R1 3
A1 Op 2 R2 6
Op 3 R3 4
13
Op 4 R4 7
Op 5 R5 10
A2 Op 6 R6 5
Op 7 R7 1
23
Op 8 R8 8
O1 A3 Op 9 R9 3
Op 10 R10 9
20
Op 11 R11 2
Op 12 R12 6
A4 Op 13 R13 10
Op 14 R14 7
Op 15 R15 4
……… …………… ……… 29

O2 ……… …………… ……… ………
O3 ……… ……… ………
…. ……… ……… ………
On ………
83
PROCESUL DE MANAGEMENT AL RISCULUI
Nr. ELEMENTE CARACTERISTICI
1 Obiectivul
Asigurarea securităţii persoanelor internate
2 Riscul Apariţia unui incendiu
Vechimea de 15-20 ani a instalaţiilor electrice

3 Cauze posibile
Reparaţii improvizate
4 Evaluarea probabilităţii riscului Mare
5 Evaluarea impactului riscului Ridicat
6 Expunerea la risc Mare = Probabilitate x Impact
a. Pierderea unor vieţi omeneşti

b. Spitalul poate fi obligat la plata unor
7 Consecinţe în caz de materializare despăgubiri importante
c. Managementul poate fi acuzat de
neglijenţă în serviciu
84
PROCESUL DE GESTIONARE A RISCURILOR
Riscul inerent - Apariţia unui incendiu
MĂSURI DE GESTIONARE COSTURI OBSERVAŢII
A. Supravegherea bolnavilor 16.000 1. Gradul de încadrare cu personal este de 70% şi nu

24 de ore din 24 cu personal u.m./lună permite supravegherea 24 de ore din 24
medical 2. Sumele pot fi prevăzute în buget
3. Legislaţia în vigoare nu permite momentan noi angajări
B.Verificarea instalaţiei 20.000 u.m. 1. Suma este disponibilă în buget

electrice
C. Instalarea unor 30.000 u.m. 1. Nu este disponibilă suma în buget, dar se pot obţine
detectoare de fum fondurile necesare prin reprioritizare
D.Înlocuirea instalaţiei 200.000 u.m. 1. Nu este disponibilă suma în buget şi este puţin probabil
electrice existente să se obţină
2. Se poate încerca o sponsorizare sau o donaţie în acest
sens
85
Nivelul apetitului Actiuni de Costuri
Apetitul la risc
Riscul de risc gestionare a riscului - u.m.- Consecinţe/ Impact
Se acceptă riscul Ridicat 1. Nicio acţiune 0

Apariţia unui incendiu
Nu se acceptă plata unei Mediu 1. Verificarea a. Concediere
amenzi mai mari de Instalaţiei electrice 50.000
20.000 u.m. sau a unei 2. Instalarea unor
despăgubiri mai mari de detectoare de b. Plata unor
50.000 u.m. fum
despăgubiri
c. Plata unor
Nu se acceptă plata Scăzut 1.Înlocuirea 230.000 amenzi
vreunei amenzi sau instalaţiei
despăgubiri electrice existente
2. Instalarea unor
detectoare de fum
În concluzie, activităţile privind managementul riscului trebuie să devină o

preocupare cotidiană a managementului general, cu scopul de a realiza un
management performant şi eficient, în consonanţă cu principiile guvernanţei
corporative referitoare la performanţă şi transparenţă în conducerea 86
organizaţiilor.
Risc rezidual
Risc inerent Strategia
la data ultimei revizuiri
Circumstan- adoptata Data Eventu-
Zone de risc Responsa- Proba- Im-pact Expu- Proba- Impact Expu-
tele care pentru risc Terme-nul ultimei ale
(domeniu, Descrierea bilul cu bilitate nere Instrumentele de bilitate nere
Obiective favorizeaza (actiuni de punere revizuiri riscuri Observatii
comparti- riscului gestionarea control intern
aparitia pentru in opera si stadiul secun-
ment) riscului
riscului tratarea actiunii dare
riscurilor)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
1. Relatii cu Informare Distorsiune Informatii Conducator S S S∙S Acceptare - - 6 S S S∙S - Se va
publicul corecta informare indisponibile compartiment Prejudi- evalua ori
in cazuri ciu de cate ori
izolate imagine apar
modificari in
comparti-
ment
2. Comparti- Diminua- Risc inversare Proceduri Conducator S R S∙R Monitori-zare - - - S R S∙R - Se

ment financiar rea pierderi trend de unilaterale compartiment Pierderi urmareste
din devalorizare a bazate pe financia- zilnic
operatiuni leului in raport trendul de re evolutia
valutare. cu valutele devalorizare pietei
Indicator valutare
de
performant
a: 0,1%
influente
negative
3. Tipografie Asigurare Defectare Utilaje uzate Conducatorul R R R∙R Eliminare - - R R R∙R Formu- Se va lua
proprie imprimate masini fizic si moral tipografiei Intreru- activitate lare masura
interne. peri ale indispo- tiparirii
Continui- activita- nibile formulare-
tate functii lor prin
tionare mijloace
organiza- electronice
tie
4. Comparti- Securitate Tamponari Utilizare Soferi M R M∙R Transfer - - M R M∙R - Se vor

ment transport active frecventa pe incheia
trasee asigurari
aglomerate cu CASCO
carosabil
inadecvat
87
APLICAȚIE 1 . ETAPELE MANAGEMENTULUI RISCULUI
 IDENTIFICAREA RISCULUI
 EVALUAREA RISCULUI
 CONTROLAREA RISCURILOR
 IMPLEMENTAREA ŞI MONITORIZAREA ACTIUNILOR

CORECTIVE/MĂSURILOR DE CONTROL
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA I
I. Identificarea riscului
 Procesul de management al riscului se bazează pe
cunoaşterea proceselor, activităţilor din cadrul entităţii
şi a mediului în care aceasta îşi desfăşoară activitatea.
 În acest context, procesul de management al riscului

trebuie să înceapă cu realizarea unui inventar complet
al proceselor, activităţilor din cadrul organizaţiei, realizat
de către un Comitet de gestionare a riscurilor (format
din şefii diferitelor departamente din entitate). Următorul
pas este desemnarea unei piste de audit pentru fiecare
activitate.
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA I
 Scopul realizării inventarului şi a pistelor de audit este ca

acest Comitet de gestionare a riscurilor să capete o
imagine comprehensivă asupra entităţii şi a riscurilor
(ameninţărilor potenţiale) atât interne, cât şi externe.
 Personalul din cadrul entităţii trebuie implicat în procesul

de management al riscului. Astfel, acesta notifică în
legătură cu riscurile potenţiale pe care ei le percep în
legătura cu activitatea pe care o desfăşoară (Formular
de alertă la risc)
LOGO
ENTITATE !
F O R M U L A R D E A L E R T A
L A R I S C
UNITATEA/DEPARTAMENTUL
Numele unităţii / departamentului în care se manifesta riscul
DETALII CU PRIVIRE LA RISC
O scurta descriere a riscului şi a impactului asupra

Descrierea riscului: organizaţiei (de ex: resurselor)
Probabilitate Impact
Evaluarea riscului: 1 2 3 4 5 1 2 3 4 5
1. Foarte scăzut; 2. Scăzut; 3. Mediu; 4. Inalt; 5. Foarte inalt
GESTIONAREA RISCULUI
Acţiuni preventive: Acţiunile care trebuie adoptate pentru prevenirea

apariţiei riscului
Acţiuni de tip Acţiunile care trebuie adoptate daca riscul se

manifestă efectiv, pentru a limita impactul asupra
contingent: organizaţiei
DOCUMENTE SUPORT
Nume: Semnătura: Data:
______________ ______________ _____/_____/_____
Detalii despre arhivare (RMC) 91

ID RISCULUI DATA PRIMIRII DECIZIA
ARHIVARE CA RISC IRELEVANT
INVESTIGATII VIITOARE
TRANSMITERE RMP
METODOLOGIA DE IDENTIFICARE
A RISCURILOR
In formularea riscurilor, nivelul de detaliu

trebuie să fie corespunzător definit (evitarea
unor formulări cu caracter general sau a unor
Informaţii nerelevante)
Exemplu: Activitate / Obiectiv: “Implementarea unui sistem

informatic de monitorizare a stadiului îndeplinirii
obiectivelor la nivelul entității până la sfârşitul anului xxxx”
A RISCURILOR
Descrierea riscului Comentarii

Opinie
Imposibilitatea implementării Descrierea

unui sistem de monitorizare a constă în
stadiului îndeplinirii Greşit
negarea
obiectivelor entității până la obiectivului
sfârşitul anului xxxx
Lipsa personalului Descrierea nu

oferă informaţii Greşit
despre
potenţialul
impact sau cauza
riscului
A RISCURILOR
Descrierea riscului Comentarii Opinie
Este prezentat
Lipsa personalului competent
impactul riscului,
care poate conduce la
deşi nu foarte clar.
întârzieri în implementare Relativ
Nu sunt precizate
cauzele apariţiei corect
Existenţa unui risc de acestuia.
înregistrare a unor întârzieri
majore în implementarea
proiectului (10 -12 luni) ca Este descris şi
urmare a indisponibilităţii cuantificat impactul Corect
personalului competent. materializării acestui
Aceast fapt se datorează risc. Este identificată
parţial lipsei formării inclusiv cauza
profesionale corespunzătoare producerii acestuia.
a personalului.
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA II-
EVALUAREA RISCURILOR
Riscul este evaluat (scăzut, mediu, ridicat) în funcţie de:
 Probabilitatea de apariţie
 Impact
Riscul este evaluat prin combinarea

celor doi factori
EVALUAREA RISCURILOR
5 10 15 20 25
4 8 12 16 20
Probabilitate
3 6 9 12 15
2 4 6 8 10
1 2 3 4 5
Scor Risc = Consecinţe/impact

probabilitate x impact
EVALUAREA PROBABILITĂŢII DE APARIŢIE A RISCURILOR
Nivel 1 - Rar - este foarte puţin probabil să se întâmple pe o

perioadă lungă de timp (3 - 5 ani); nu s-a întâmplat până în
probabilitate
prezent.
2 - Puţin probabil - Este puţin probabil să se întâmple pe o
perioadă lungă de timp (3 - 5 ani); s-a întâmplat de foarte
puţine ori până în prezent.
3 - Posibil - Este probabil să se întâmple pe o perioadă
medie de timp (1- 3 ani); s-a întâmplat de câteva ori în
ultimii 3 ani
4 - Foarte probabil - Este probabil să se întâmple pe o
perioadă scurtă de timp (< 1 an); s-a întâmplat de câteva
ori în ultimul an
5 - Aproape sigur - Este foarte probabil să se întâmple pe o
perioadă scurtă de timp (< 1 an); s-a întâmplat de multe ori
în ultimul an
EVALUAREA IMPACTULUI/CONSECINŢELOR RISCULUI
Nivel 1 - Nesemnificativ - Cu impact foarte scăzut asupra
consecinţe/ activităţilor direcţiei şi îndelinirii obiectivelor şi/sau fără
impact: impact financiar
2 - Minor - Cu impact scăzut asupra activităţilor direcţiei

şi îndelinirii obiectivelor şi/sau cu impact financiar
foarte scăzut
3 - Moderat - Cu impact mediu asupra activităţilor

direcţiei şi îndelinirii obiectivelor şi/sau cu impact
financiar mediu
4 - Major - Cu impact major asupra activităţilor direcţiei şi

îndelinirii obiectivelor şi/sau cu impact financiar major
5 - Critic - Cu impact semnificativ asupra activităţilor

direcţiei şi îndelinirii obiectivelor şi/sau cu impact
financiar semnificativ
PROCESUL DE MANAGEMENT AL RISCULUI –
ETAPA III - CONTROLAREA RISCURILOR
 Etapa în care se stabileşte atitudinea faţă de risc având în

vedere “apetitul pentru risc” definit la nivelul organizaţiei.
 Apetitul pentru risc:

 în funcţie de ameninţări – se referă la nivelul de expunere care
este considerat tolerabil şi justificabil;
 În funcţie de oportunităţi – se referă la nivelul de risc acceptabil

pentru a obţine avantaje de pe urma oportunităţii.
 Este exprimat ca o serie de limite, autorizate de

conducere, prin care fiecare nivel al organizaţiei primeşte
îndrumarea necesară privind limitele pânâ la care îşi pot
asuma un risc. Poate fi exprimat în termenii utilizaţi în
evaluarea riscului.
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA III -
CONTROLAREA RISCURILOR - ATITUDINI DE RĂSPUNS LA
RISC
Expunerea poate fi tolerată fără a necesita implementarea vreunei măsuri

de control. Această opţiune poate fi completată de un plan pentru situaţii
Tolerare: neprevăzute, care să abordeze impactul resimţit în cazul materializării
riscurilor.
Se impune implementarea unui instrument/unei măsuri de control pentru

Tratare a menţine riscul în limite acceptabile. Activitatea structurii nu este
întrerupă.
Transferare Presupune transferarea riscului către o altă structură, care poate gestiona
în condiţii eficiente respectiva activitate.
Terminare Presupune încetarea activităţii generatoare de riscuri inacceptabile pentru

structura respectivă.
Beneficierea Riscurile generate de acea activitate sunt pozitive, acestea oferind

de pe urma oportunităţi structurii respective. Nu sunt necesare măsuri de control.
oportunităţilor
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA III -
CONTROLAREA RISCURILOR - STABILIREA NIVELULUI DE
TOLERARE
tolerabil : Nu necesită măsuri de

Nivel 1-4 control
tolerare
tolerare ridicată: Necesită măsuri de control

5-8 pe termen mediu/lung
tolerare scăzută: Necesită măsuri de control

9-12 pe termen scurt
intolerabil : Necesită măsuri de control

13-25 urgente
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA III
– CONTROLAREA RISCURILOR
 Comitetulde management al riscurilor /Echipa de

gestionare a riscurilor (conform procedurii), în
urma analizei riscurilor, va propune măsuri de
diminuare a riscurilor.
 Prin urmare, se stabilesc termene limită şi

persoane responsabile pentru implementarea
măsurilor corective, informaţii care se
înregistrează în Registrul riscurilor şi Planul de
acţiuni pentru gestionarea riscurilor.
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA IV
IV. Implementarea şi monitorizarea acţiunilor

corective/măsurilor de control
 Responsabilul pentru managementul riscurilor în
cadrul structurii monitorizează implementarea Planului de
acţiuni împotriva riscurilor de către persoanele
responsabile. Acestea informează Echipa pentru
gestionarea riscurilor asupra progreselor înregistrate în
implementarea acţiunilor corective/măsurilor de control
(completarea fişei de urmărire a riscului, elaborarea
raportului lunar, organizarea reuniunilor lunare de analiză
a riscurilor).
PROCESUL DE MANAGEMENT AL RISCULUI –
ETAPA IV
 Revizuirea riscurilor:
 Se desfăşoară acţiuni de revizuire a calificativelor riscurilor

(expunerea la risc), de reprioritizare a riscurilor;
 Sunt identificate riscuri noi, se stabileşte închiderea riscurilor
soluţionate.
RESPONSABILITĂŢILE MANAGEMENTULUI ÎN
GESTIONAREA RISCURILOR
 Ia decizia implementării managementului riscurilor la

nivelul entităţii;
 Stabileşte apetitului pentru risc (nivelul de risc acceptabil
pentru entitate)
 Aprobă acţiunile/măsurile de control necesare pentru
diminuarea riscurilor;
 Aprobă planurile de acţiune elaborate pentru diminuarea
riscurilor.
 Cadrul legal: OSGG 600/2018 pentru aprobarea Codului

controlului intern (modifica OSSG 400/2015 si OMFP
946/2005) .
 Standardul 8 – Managementul riscurilor: “Entitatea publică

analizează sistematic riscurile legate de desfăşurarea activităţilor
sale, elaborează planuri corespunzătoare în vederea limitării
posibilelor consecinţe şi numeşte persoane responsabile pentru
implementarea acestora”.
1. INTEGRITATEA ACTIVELOR
Deteriorare Mentenanţă Eşec al infrastructurii
Securitate împotriva Scurgeri şi spărturi Explozii
incendiilor
Avarii ale activelor Lipsuri privind proprietatea sau de Eşecuri ale măsurilor de
materiale siguranţă
Sabotaj
2. SCHIMBARE
Incapacitatea ţinerii pasului cu Magnitudinea Iniţiative competiţionale
schimbările
Stabilire defectuoasă a Atenţie, focusare Nerespectarea procedurii
priorităţilor
3. COMPETIŢIA
Schimbarea poziţiei de piaţă Numărul competitorilor Fuziunile
Fuziuni/absorbţie
Performanţele şi reputaţia
competitorilor
4. CONFUZIA
Semnalele neclare Obiective conflictuale Politici interne
Lipsa alinierii Luptele pentru putere
5. CONTRACTELE
Acorduri/Înţelegeri Proiecte Limite
Restricţii Lipsa responsabilităţii Proprietate
Răspundere limitată Necunoaşterea obligaţiilor Lipsă de claritate
6. RISCURI NAŢIONALE
Devalorizare Schimbarea puterii Lipsa conformităţii legale
Tulburare a comunităţii Instabilitate Atitudini păgubitoare
Terorism Întreruperi ale afacerii Nelinişte publică
Criză politică Lipsa ordinii Restricţii monetare
Colaps al infrastructurii Schimbări bruşte ale ratei dobânzii Sabotaj 107
Infracţiuni Greve Corupţie
Reglementare Transparenţă Creştere neplanificată
7. CLIENŢI
Lipsa concentrării Declaraţie/propunere cu valoare Identificare deficitară
redusă
Satisfacţie Feedback Sensibilitate
Intern/extern Reţinere Evaluare
8. FINANCIAR
Preţ Tranzacţionare Rate ale dobânzii
Noi produse financiare Impozitarea Moneda
Facturarea Disponibilitatea costurilor capitalului Lichiditate
Raportarea financiară
Contraparte
Cash Flow-uri Grad de îndatorare
9. FRAUDĂ
Defalcarea Jaf Delapidare
Denaturare Furt Crimă organizată
Şantaj Acţiuni ilegale Drept de folosinţă neautorizat
Falsificare Piratarea datelor
10. INTERACŢIUNI ÎNTRE GRUPURI
Aliniere Conflict de interese Evaluarea transferurilor
Competiţie internă Duplicitate Coordonare
Evaluarea portofoliului şi
managementul
11. SĂNĂTATE ŞI SIGURANŢĂ
Stricări ale echipamentelor Impact asupra mediului Moarte
Răniri de persoane Îmbolnăviri Boală
Poluare Deteriorări ale bunurilor aflate în Contaminare
proprietate
Emisii Zgomot Nealiniere a normelor
Litigii/Contestaţii Abuz de substanţe Evenimente catastrofice
12. INFORMAŢIE
Integritate Acurateţe Securitate
De încredere/sigură Oportunitate Reţinere
Utilitate Viruşi de computer Accesibilitate
Prea multe date Întrebuinţare greşită Infrastructură
13. ŞTIINŢĂ/CUNOŞTINŢE
Învăţare din greşeli Drepturi de autor Brevete
Mărci înregistrate 108
Proprietate intelectuală Presupuneri ascunse sau false Împărţire a cunoştinţelor.
Plecări de personal Reinventarea roţii Decepţie
14. MANAGEMENT
Stil Ton Acceptare
Atitudine faţă de risc şi control Competenţă Judecată
Experienţă Direcţie Viziune
Consistenţă Comunicare Luare a deciziilor
Cuantificarea performanţelor Eşec Flexibilitate
Abilitate de adaptare
15. PIEŢE
Competiţia Cotă de piaţă Substitute
Învechire Produse noi Ciclul de viaţă al produselor
Marje Reglementări privind preţul Liberalizarea
Calitate Cerere Contracte pe termen lung
Volatilitate Disponibilitatea ofertei Acces
Profitabilitate
16. EVENIMENTE NATURALE
Cutremur Inundaţie Incendiu
Furtună Încălzire globală Zgomot
Contaminare Poluare Schimbare a climei
17. RISCURI OPERAŢIONALE
Managementul costului Eficienţă Capacitate
Încredere Închidere neplanificată Continuitate
Măsurători Calitatea produselor Logistică
Ofertă Timpul necesar ciclului
Distribuţie Management al inventarului Tehnologie
Informaţie Interfeţe Eşecuri ale designului
Evaluare Marketing Întrerupere
18. ORGANIZAŢIA
Ansamblu Structură Complexitate
Guvernare Competenţe de bază Luare a deciziilor
Externalizare Interfeţe Concentrarea puterii
Schimbări Cultură Graniţe
Mediul de lucru
19. OAMENI
Comunicaţii Direcţie Încredere
Eroarea umană Sisteme de răsplătire a Capacitarea
performanţelor
Morală Expertiză Provocare
Stres Atracţie şi reţinere a abilităţilor-
cheie
Experienţă Conflicte de interes 109
Competenţă Relaţii nepotrivite Leadership
Rezistenţă la schimbare Valoarea angajaţilor Evaluare
Fluctuaţia personalului Flexibilitate Reeducare
20. REPUTAŢIE
Datorii/Responsabilităţi Integritatea brandului Legea competiţiei
Percepţie publică Relaţiile cu acţionarii Transparenţă
Evaluări/Ratinguri ale pieţei Percepţii ale pieţei financiare Mărci înregistrate
Eşecuri în producţie / ale Litigii /încălcări ale unei convenţii
produselor
21. ACŢIONARI MAJORITARI ŞI PARTENERI
Puterea relaţiilor Abilitatea de a influenţa Interes pentru competiţie
Conflict de interese Planuri ascunse sau în schimbare Percepţii diferite
Ignoranţă Sfaturi păguboase Fuziuni
Principii de afaceri Eşec al parteneriatului
22. STRATEGIE ŞI LUAREA DECIZIILOR
Oportunităţi Puncte tari Achiziţii
Ameninţări Intrarea sau ieşirea de pe piaţă Managementul portofoliului
Evaluare Presupuneri esenţiale Modele de business
Cesiuni de active; transferuri Evaluarea investiţiilor Planificare
de active
A nu face nimic Inovaţie Lipsă de viziune
23. SISTEME
Compatibiliatate Integrare Interfeţe
Selecţie Accidente/Întâmplări neprevăzute Design
Stabilitate Implementare Folosinţă / Utilitate
24. TEHNOLOGIE
Creşterea comerţului electronic şi a
comerţului mobil
Inovaţie Identitatea/oportunităţile grupului
Dezvoltarea produselor Alternative Cercetare 110
Accesul la noi tehnologii Schimbări / tendinţe noi în industrie / Învechire/ieşire din uz
ramură.
ANALIZA ŞI RAPORTAREA RISCURILOR
Principalele instrumente şi tehnici utilizate în procesul de analiză a riscurilor

sunt:
 autoevaluarea riscurilor, care se realizează în scopul aprecierii păstrării

profilului riscului la nivelul întregii organizaţii şi se efectuează de fiecare salariat
în parte;
 raportarea managementului de linie responsabil cu administrarea
riscurilor, către managementul superior, cu privire la activităţile pe care le-au
întreprins, cel puţin anual, la închiderea exerciţiului financiar, pe lângă cele
trimestriale şi semestriale, pentru a actualiza registrul riscurilor şi sistemul de
control managerial, care să menţină un nivel corespunzător de funcţionalitate
procedurile operaţionale de lucru;
 echipe specializate de revizie şi asigurare a actualizării procesului general
de administrare a riscurilor, prin care este analizată activitatea
managementului de linie cu privire la responsabilităţile ce le revin în domeniul de
activitate pe care îl coordonează în privinţa riscurilor şi sistemelor de control
managerial; 111
 constituirea comitetelor de risc, care trebuie să se stabilească de către
conducere – Consiliul de administraţie, ce rol se va atribui comitetelor şi
modalitatea de organizare a acestora, respectiv:
 comitetul de risc, stabilit ca un comitet al Consiliului de Administraţie,
format din membrii non-executivi, cu atribuţii privind monitorizarea riscurilor
şi evoluţiei acestora, care emite o opinie asupra procesului de gestionare a
riscurilor la nivelul organizaţiei, atribuţii care altfel îi reveneau Comitetului
de audit;
 comitetul de risc, stabilit ca un for al directorilor executivi, care au
responsabilităţi în domeniul administrării riscurilor şi unde îşi împărtăşesc
experienţe în vederea elaborării propriilor măsuri de gestionare a riscurilor
şi a asigurării eficacităţii gestionării acestora.
Totuşi, această modalitate de organizare a comitetelor de risc nu exclude şi

persoane non-executive în structura sa. În această situaţie atribuţiile privind
monitorizarea riscurilor şi procesul de gestionare al acestora rămâne la
nivelul Comitetului de audit, care trebuie să furnizeze asigurări
independente privind sistemul de administrare al riscurilor în cadrul
organizaţiei.
112
APLICAȚIE 2. ETAPELE PROCESULUI DE GESTIONARE A
RISCURILOR
a) Identificarea obiectelor auditabile care presupune un demers structurat plecând de
la general la detaliu, respectiv activităţile unui domeniu se împart în operaţii elementare
care vor intra în auditare.
b) Evaluarea sau măsurarea riscurilor se va realiza în funcţie de probabilitatea
apariţiei riscurilor şi de impactul şi durata consecinţelor evenimentului.
Măsurarea riscurilor se realizează prin următoarele tehnici dintre care menţionăm:
1. Tehnica probabilităţilor care presupune următorii paşi:
 permite măsurarea riscului major în raport cu ansamblul riscurilor;
 evaluarea pierderilor probabile plecând de la instrumente statistice şi de la o abordare
istorică;
 evaluarea directă a pierderilor anuale;
 constatări şi extrapolări, cu corecturi dacă este necesar.
2. Tehnica factorilor de risc, care se identifică în prealabil plecând de la o clasificare pe
categorii de riscuri.
3. Tehnica matricelor de apreciere, plecând de la criteriile de apreciere şi ponderile riscului
privind:
Impactul financiar (apreciere calitativă) I – 35%
Probabilitatea de apariţie (apreciere cantitativă) P – 20%
113
Nivelul controlului intern CI – 45%
Spre exemplu, construim matricea pentru o entitate folosind o scară, de
la 1-3, pentru criteriile de apreciere, în vederea măsurării riscurilor, astfel:
DOMENIU I-35% P-20% CI-45% SCOR

Resurse umane 2 1 1 1,35
Financiar-contabil 2 1 2 1,80
Achiziţii 2 3 2 2,20
Prestări servicii 1 1 3 1,90
IT 2 2 2 1,65
În cadrul acestei faze se realizează şi clasificarea riscurilor care, în

practică, se efectuează prin mai multe tehnici, şi anume:
 Tehnica clasificării absolută în ordinea importanţei scorului total
stabilit în exemplul anterior, valori ale riscului exprimate în procente sau
printr-o medie, conform tabelului de mai jos:
DOMENIU SCOR RISC

Achiziţii 2,20 Mare
Prestări servicii 1,90 Mare
Financiar-contabil 1,80 Mare
IT 1,65 Mediu
Resurse umane 1,35 Mic
 Tehnica clasificării relative utilizând o scară de valori determinată în

prealabil, spre exemplu: scăzut, mediu, ridicat.
 Tehnica clasificării matriciale în funcţie de diverse combinaţii 114
posibile. În acest sens, se aleg criterii diverse aplicabile domeniilor care vor fi
evaluate, tot pe o scală cu trei nivele: slab, moderat şi grav.
c) Stabilirea controlului intern se realizează prin completarea tabelului
realizat în exemplul de mai sus cu activităţile de control şi constatarea dacă
acestea sunt implementate sau nu în practică, conform modelului:
Domeniu Obiective Riscuri Evaluare Activităţi de control Constatare

intern DA/NU
1.Resurse Întocmirea - înscrierea Mare - comparaţie cu NU
umane documentelor incompletă sau dosarul de concurs
pentru eronată a datelor - verificarea DA
angajare autenticităţii
documentelor de bază
2. Financiar Calculul - neactualizarea Mediu - cunoaşterea NU
salariilor şi procedurilor cu modificărilor legislative
întocmirea modificările - actualizarea fişelor
statului de legislative Mare posturilor DA
plată - actualizarea - analiza programelor
incorectă a de salarii în vederea NU
programului de analizării
salarii
3. Contabilitate Lipsa - înregistrări Mediu - elaborarea NU
procedurilor eronate procedurilor conform
scrise pentru legii
115
înregistrarea în
contabilitate
În cadrul acestei faze se realizează şi ierarhizarea riscurilor, care se
materializează în analiza datelor din tabelul de mai sus, în care nefiind
implementate activităţile de control potrivite, activităţile şi respectiv operaţiile
vor fi catalogate cu risc mare sau mediu, aşa cum rezultă din tabelul următor:
Domeniu Obiective Riscuri Evaluare

1.Resurse umane Întocmirea documentelor - înscrierea incompletă sau eronată a Mare
pentru angajare datelor
2. Financiar Calculul salariilor şi - neactualizarea procedurilor cu Mediu
întocmirea statului de plată modificările legislative
- actualizarea incorectă a programului Mare
de salarii
3. Contabilitate Lipsa procedurilor scrise - înregistrări eronate Mediu
pentru înscrierea în
contabilitate
Tot în această fază se realizează şi clasarea riscurilor pe baza fazelor parcurse

anterior şi în funcţie de gravitatea riscurilor şi se efectuează prioritizarea
acestora pentru elaborarea Registrului riscurilor, planului anual al activităţii
de audit intern sau pentru Programul de audit întocmit în Etapa de pregătire
116
a misiunii de audit intern.
Din practică, se cunoaşte, dimensiunea impactului vizual asupra
managementului general al organizaţiei auditate şi din aceste considerente
recomandăm utilizarea grilelor de reprezentare grafică, în funcţie de
necesităţi, în mai multe variante şi anume:
(1). FUNCŢIONAL DE ÎMBUNĂTĂŢIT CRITIC
(2). SATISFĂCĂTOR NESATISFĂCĂTOR CRITIC
(3). MARE MEDIU MIC
(4). RIDICAT MODERAT SCĂZUT
STANDARD ACCEPTABIL CU PROBLEME

(5).
INTERNAŢIONAL 117
Beneficiile riscurilor şi măsurarea succesului.
Beneficiile procesului de gestionare a Rezultate şi măsurări ale succesului acestora
riscurilor
Măreşte reputaţia Mai puţină risipă
Mai multă inovare Economii – legate de asigurare
Conştientizare strategică mai bună Reduce creanţele şi alte costuri
Abordare mai consistentă/ consecventă /compactă Reduce costurile auditului extern
Îndreptare a atenţiei mai mult către imaginea de Proiecte livrate la timp şi cu încadrarea în costuri
ansamblu
Sporeşte dreptul de proprietate Reduce plângerile
Mai puţine articole nefavorabile în media Reduce fluctuaţia a personalului
Influenţează schimbarea Mai puţin absenteism
Ajută la schimbarea culturii Mai puţine decizii regândite
Decizii mai informate Asigurarea activităţilor câştigătoare – contracte,
proiecte ş.a.
Confort/siguranţă mai mare pentru management. Reducere a costului solicitărilor legate de risc
Facilitează o mai bună planificare a afacerii Reducere a stresului
Facilitează analiza sensibilităţilor Servicii la un nivel calitativ mai ridicat
Încurajează o gândire mai largă, “în afara cutiei” Scrisoare/raport anual al auditului pozitiv
Conştientizare mai bună a corporaţiei Preţuri mai bune în contracte şamd
Transfer mai bun al informaţiilor Rezultate mai bune în sondajele privind satisfacţia
Informaţii mai bune pentru şeful executivului Mai puţine articole adverse în presă
Încurajează luarea în proprietate a riscurilor Mai puţine recomandări ale auditului intern
Identifică pericolele, respectiv “cojile de banană” Mai puţine vizite de reglementare
Evită acceptarea de eşecuri ale sistemului Registrul riscurilor menţinut la zi
Sporeşte înţelegerea vulnerabilităţilor Reducere a provocărilor legale
118
Măreşte şansa de atingere a obiectivelor Procent sporit al obiectivelor atinse
Identifică principalele riscuri şi oportunităţi Soluţionarea plângerilor – număr şi
rezultate/efecte
Documentare formală asupra riscurilor Declaraţie mult mai concretă a guvernanţei
corporative
Gestionare mai bună a riscului financiar Câştigarea unei poziţii mai înalte într-o ierarhie
Împărţirea/difuzarea cunoştinţelor despre controale Reducere a costului riscului – solicitări de pierderi
neasigurate, şamd
Identifică întreruperile/pauzele Reducere a plângerilor dovedite – presă
Procese provocatoare Finanţare sporită
Provocare a status quo-ului Reducere a absenteismului, şamd
Înţelegere mai bună a rolurilor celorlalţi Reducere a fraudei
Încadrare/orientare în vederea acceptării de riscuri Reducere a scorului obţinut cu ajutorul matricei
calculate riscului
Personal mai satisfăcut Îmbunătăţirea politicilor corporative
Îi încurajează pe oameni să gândească Mai puţine dezastre şi surprize
Folosire mai eficientă a resurselor Reducerea costurilor din fondurile contingentate
Îmbunătăţire a răspunderii Reducere a controalelor supragestionate
Îmbunătăţeşte comunicarea Feedback pozitiv de la agenţiile externe
Înlătură acumulările/stocările Adăugarea de valoare în zonele/domeniile
serviciilor
Luare a deciziilor mult mai informată Satisfacţie publică mai mare
Perspectivă mai proactivă Finanţare sporită pentru reluarea parteneriatelor
Cultivă mai multă deschidere Rapoarte favorabile ale inspecţiilor externe
Forţează acordarea unei priorităţi mai mari folosirii Conformitate demonstrată a guvernanţei
resurselor. corporative
Îmbunătăţeşte motivarea angajaţilor Reducere a riscurilor în cazul riscurilor critice
Gestionează mai bine plângerile Metodologie consistentă şi coerentă de analiză119 a
riscului
Învăţare din greşeli Atingerea ţintelor valorice înalte
Înlătură barierele Răspundere mai bună a membrilor
Coordonare mai bună Management mai bun al proiectelor.
Reduce duplicarea
Reduce bănuielile
Conformitate cu valoarea cea bună
Bifează o activitate internă realizată
Ajută profilul auditului intern

Conformitate cu agenda guvernamentală
Probitate sporită
Sporeşte protecţia activelor
Revizuire regulată şi monitorizare
Furnizarea informaţiilor organismelor externe
Potenţială influenţare minimă a reglementărilor
externe
Asigurare sporită
Oferire îmbunătăţită a serviciilor
Planificare mai bună a proiectelor
Reduce surprizele
Eliberează fonduri celor mai importante servicii
Mai bună continuitate a planificării firmei
Minimizează costurile de asigurare 120
CONTROLUL INTERN
UN INSTRUMENT UTIL PENTRU MANAGERII
ENTITĂŢILOR
- Întrebările “cheie” pentru succesul demersului –
- ``
121
TEME SUPUSE ATENŢIE:
1. De ce controlul intern trebuie să devină una din preocupările centrale

ale managerilor entităţilor?
2. Controlul intern un instrument eficace pentru o mai bună gestionare

a activităţilor.
3. Care sunt atribuţiile şi cui sunt ele încredinţate ?
4. Cum se aplică acest demers în practică ?
5. Care este contribuţia adusă entităţii pe termen lung ?
122
1.1. CARE SUNT CERINŢELE ŞI OBIECTIVUL IMPLEMENTĂRII
DEMERSULUI DE CONTROL INTERN ?
“Fiecare salariat răspunde

de propriul său control intern “
■ Atingerea obiectivelor, stăpânirea şi pilotajul activităţii unei entităţi, sunt

preocupări ce se regăsesc în administraţia publică din multe ţări.
■ Cerinţele europene în privinţa transparenţei financiare şi a eficienţei

circuitelor financiare publice implică un angajament permanent al
managerilor publici în controlarea operaţiilor.
■ În repetate rânduri, Uniunea Europeană a subliniat importanţa consolidării

sistemelor de control intern şi de management financiar.
■ Pe lângă aceste cerinţe, obiectivul major este punerea la dispoziţia

managerilor a unui instrument eficace care să-i ajute în ţinerea sub
control a activităţii şi care să faciliteze îndeplinirea obiectivelor.
123
Pe baza informațiilor furnizate, controlul serveşte
managementului pentru:
Analiza calităţii deciziilor luate anterior şi a eficienţei acţiunilor

întreprinse pentru realizarea lor;
Aprecierea abaterilor pe cauze şi responsabilităţi;
În funcţie de rezultatele acestor analize, stabilirea unor noi

obiective şi strategii raportate la noile condiţii aflate în continuă
mişcare.
124
În practică se întâlnesc destul de des situații în care există așteptări nerealiste
în ceea ce privește controlul intern și anume:
Controlul intern poate asigura succesul unei organizații și de asemenea o

încrederea absolută în situațiile financiare și a conformității cu sistemul de
referință avut în vedere.
Acest punct de vedere este eronat deoarece, pe de o parte controlul intern

poate doar să contribuie la atingerea obiectivelor stabilite ale organizației,
nu poate determina schimbarea unui manager slab pregătit profesional într-un
manager de excelență, iar pe de altă parte, controlul intern, așa cum subliniam
și mai sus, indiferent de cât de bine este conceput și implementat, poate furniza
doar o asigurare rezonabilă.
125
Sistemulde control este privit ca un înlocuitor al sistemului
de management.
Aceasta este o greșeală întâlnită destul de frecvent în practică,

dar nu trebuie să uităm faptul că controlul intern este o parte
componentă a proceselor de management în planificare, executare
și monitorizare, fiind considerat ca un mijloc utilizat de
management și nu ca și un înlocuitor al acestuia.
126
Controlul intern protejează total organizația împotriva
erorilor în luarea deciziilor, a confruntării a două sau mai
multe persoane cu intenții de fraudă sau capacitatea
managerului de a face uz de autoritate asupra sistemului, cu
intenții de rea-credință.
Posibilitatea întâmplării unor astfel de evenimente nu este complet eliminată

prin intermediul controlului intern și aceasta datorită limitelor inerente de care
se lovește în practică sistemul de control intern, indiferent de cât de bine
fundamentat și implementat este acesta.
127
Dintre aceste limite inerente ale controlului intern menționăm:
 Raportul cost/beneficiu: pornindu-se de la considerentul că, costul unui

control intern să nu depășească avantajele care ar rezulta din exercitarea
acestuia.
 Direcționarea controalelor interne cu precădere spre tranzacțiile de rutină și

mai puțin spre cele neobișnuite.
 Probabilitatea apariției erorilor umane datorate neglijenței, neatenției,

neînțelegerii sau interpretării greșite a normelor legale și a instrucțiunilor
primite;
 Probabilitatea sustragerii de la controalele interne ca urmare a înțelegerilor

secrete între un membru al conducerii și un angajat, cu persoanele din afara
sau din interiorul organizației;
 Probabilitatea exercitării unui abuz din partea unei persoane responsabile

cu aplicarea controlului intern.
 Probabilitatea ca unele proceduri, datorită schimbării unor anumite condiții

să devină neadecvate. 128
1.2. CARE ESTE DOMENIUL ACOPERIT DE
STANDARDELE DE CONTROL INTERN ?
■ Toate misiunile, toate activităţile şi toate procedurile entităţii sunt vizate de

demersul de control intern.
■ Din acest motiv, standardele de control intern aprobate prin OSGG 600/2018
fac referire la o abordare managerială a controlului intern.
■ Punerea în practică a standardelor de control intern şi a ansamblului măsurilor

cuprinse în acest act normativ, au drept scop dezvoltarea sistemului de control
managerial la nivelul fiecărei entităţi publice.
■ Introducerea şi buna aplicare a procedurilor contabile şi financiare, ca

instrumente ale unui management financiar public eficace, constituie totuşi o
prioritate care reiese clar din dispoziţiile OSGG 600/2018 al ministrului
finanţelor publice.
129
Legislaţia privind implementarea sistemului de control
managerial intern
Ordinul nr. 600/2018 pentru aprobarea Codului controlului

intern/managerial al entităţilor publice
OMFP 946/2005 pentru aprobarea “Codului controlului intern cuprinzand standardele de

management/ control intern la entitatile publice” si pentru dezvoltarea sistemelor de
control managerial
OMFP 1389/2006 – model de proceduri scrise
Legea nr. 234/2010 pentru modificarea şi completarea Ordonanţei Guvernului nr.119/1999

privind controlul intern şi controlul financiar preventiv- raportul anual;
130
Ordinul nr.1649/2011 al ministrului finanţelor publice privind modificarea şi completarea
Ordinului nr.946/2005 pentru aprobarea Codului controlului intern şi a măsurilor pentru
dezvoltarea sistemelor de control managerial.
2. CONTROLUL INTERN UN INSTRUMENT
EFICACE PENTRU O MAI BUNĂ GESTIONARE A
ACTIVITĂŢILOR
2.1. Ce este controlul intern ?
2.2. Ce este COSO ?
2.3. Care este legătura între controlul intern şi managementul riscurilor ?
2.4. Reprezintă controlul intern o sarcină de lucru în plus pentru manageri

şi colaboratorii lor ?
2.5. Care este ponderea relativă a părţii financiare în cadrul controlului

intern ?
2.6. Care este legătura între controlul intern şi dispozitivul de combatere a

fraudei ? 131
2.1. CE ESTE CONTROLUL INTERN ?
■ Conform definiţiei cel mai des utilizate la nivel internaţional, controlul intern
reprezintă ansamblul de dispozitive stabilite de conducere şi
implementate de către responsabilii de la orice nivel pentru controlarea
funcţionării activităţilor.
■ Aceste dispozitive sunt menite să ofere o asigurare rezonabilă cu privire la

realizarea obiectivelor organizaţiei, iar managerii sunt direct responsabili.
■ Conform celor indicate în standarde, obiectivele unei entităţi publice pot fi

grupate in trei categorii:
• eficacitatea şi eficienţa operaţiilor;
• fiabilitatea informaţiilor interne şi externe;
• conformarea la legi, regulamente şi proceduri interne.
■ Prin urmare, această definiţie a controlului intern nu se limitează la simpla

verificare a operaţiilor.
132
Instrumentarul cu care opereaza sistemele de control
intern
Întregul instrumentar de control intern poate fi repartizat in

urmatoarele sase grupe:
1. obiectivele;
2. mijloacele;
3. sistemul informational;
4. organizarea;
5. procedurile;
6. controlul.
1. Obiectivele
Pornind de la obiectivele globale si urmarind riguros deplina

conformitate cu acestea, fiecare persoana cu functie de
conducere stabileste obiectivele derivate, specifice
activitatilor din compartimentul pe care il conduce, asigurand
ca obiectivele stabilite:
 sa fie realiste si in deplina concordanta cu misiunea si

atributiile compartimentului;
 sa fie repartizate in interiorul compartimentului pe sub-

obiective individuale, incredintate personalului de executie;
O buna repartizare trebuie sa constea in:
 o constructie piramidala a sub-obiectivelor care concura la realizarea
obiectivelor compartimentului;
 performante de atins, incredintate fiecaruia, in functie de sub-obiective,
pentru ca acestea sa fie transpuse in realitatea operationala;
 sa fie masurabile, adica exprimate in indicatori cantitativi sau, dupa caz,
calitativi;
 sa poata fi monitorizate prin sistemul de informare existent/necesar a fi
creat la dispozitia managementului si care trebuie sa fie construit in functie
de natura indicatorilor proprii obiectivelor/sub-obiectivelor incredintate
fiecaruia;
 sa aiba prevazut un termen calendaristic de realizare realist.
Intr-adevar, nu s-ar putea trece la construirea unui sistem de control intern

adecvat, daca obiectivele nu sunt stabilite si cunoscute in prealabil.
2. Mijloacele
 Prin mijloace se intelege, de regula, ansamblul

resurselor umane, financiare si materiale, privite in
corelatie cu realizarea obiectivelor. In consecinta,
conducatorul entitatii publice, precum si fiecare dintre
persoanele care ocupa o functie de conducere, trebuie
sa isi puna urmatoarea intrebare: mijloacele efectiv
disponibile permit realizarea obiectivelor fixate?
 Raspunsurile la aceasta intrebare scot adesea in

evidenta grave distorsiuni, surse de esecuri si de
ineficacitate.

3. Sistemul informational
 Prin sistem informational intelegem totalitatea procedeelor,

metodelor si mijloacelor utilizabile la nivelul entitatii, in cadrul
procesului informational considerat ca un tot organic al
operatiilor de culegere, prelucrare, sistematizare, transmitere,
valorificare si stocare a datelor si informatiilor.
 Vizand toate activitatile din entitatea publica, sistemul informational

si, in particular, sistemul informatic pentru conducere, trebuie sa fie
astfel construit incat sa permita un bun control asupra acestora, in
vederea atingerii obiectivelor prestabilite.
In primul rand, se recomanda utilizarea unei terminologii unitare, pentru
caracterizarea componentelor proprii ale oricarui sistem informational. Astfel:
 datele reprezinta ansamblul marimilor sau expresiilor calitative, caracteristice unor

fiinte, lucruri sau procese;
 informatiile sunt elemente noi, in raport cu cunostintele prealabile, continute intr-

un text scris, mesaj oral, imagine etc.;
 circuitele informationale semnifica traseele pe care circula informatiile, in

conformitate cu legaturile functionale existente intre diferitele compartimente,
precum si in interiorul acestora, inclusiv a legaturilor entitatii publice cu mediul ei
extern;
 fluxurile informationale, constand in ansamblul informatiilor care sunt vehiculate

prin circuitele informationale;
 modulele bazei de date, care asigura functionarea sistemului
informatic, si care definesc:
 metodele prin care se asigura incarcarea bazei de date pentru

crearea fisierelor permanente;
 structura conceptuala a bazei de date, permitand evidentierea

tuturor categoriilor de fisiere de date, permanente si temporare;
 structura iesirilor, rezultate din prelucrarea bazelor de date,

conform cerintelor utilizatorului;
 mijloacele de tratare a informatiilor, adica ansamblul

mijloacelor fizice (hardware) si a celor logice (software).
 In al doilea rand, practica a dovedit ca proiectarea sistemului
informational al entitatii publice nu poate aborda de la inceput
intregul acestuia, ci trebuie efectuata intai in domenii restranse, pe
subsisteme, intre care se vor stabili ulterior legaturile de
interdependenta, iar specialistii au aratat ca este rational ca
proiectarea perfectionarii sistemului informational sa se faca pe
activitati distincte. Entitatea publica care este in situatia de a-si
perfectiona sistemul informational trebuie sa-si identifice activitatile
proprii si sa stabileasca o ordine de prioritate pentru efectuarea
lucrarilor de perfectionare.
 In al treilea rand, trebuie subliniat ca orice actiune de proiectare,

perfectionare sau modificare a sistemului informational determina, in
mod necesar, o serie de modificari in lant, care afecteaza
subsistemele decizional, organizatoric si operational, pana la
realizarea unui nou echilibru intre acestea.

In fine, dar nu in ultimul rand, perfectionarea sistemului
informational se poate realiza parcurgandu-se urmatoarele
etape:
 analiza diagnostic;
 proiectarea logica;
 proiectarea tehnică;
 experimentarea și aplicarea sistemului.

4. Organizarea
Sub aceasta denumire generica se grupeaza instrumentele de

control intern prin care se poate realiza, in mod practic, o functie
esentiala a managementului oricarei entitati publice: organizarea
interna.
Organizarea, ca functie manageriala, constituie un ansamblu de

masuri, metode, tehnici, mijloace si operatiuni, prin care
conducerea stabileste - in conformitate cu anumite principii, reguli,
norme si criterii - componentele procesuale si structurale ale entitatii
publice, in vederea realizarii obiectivelor propuse.
5. Procedurile
Oricat de numeroase ar fi, procedurile de control intern pot fi
grupate, in functie de obiectivul lor, in trei categorii:
 operationale, care privesc aspectul procesual;
 decizionale, care se refera la exercitarea competentei;
 jurisdictionale, care vizeaza angajarea raspunderii.
In cazul primelor doua categorii, procedurile pot fi formalizate sau nu, in

functie de complexitatea obiectului lor si a gradului nevoii de
reglementare.
6. Controlul
Controlul este feedback-ul procesului managerial si, prin aceasta,

impulsul actiunii manageriale continue.
Controlul consta in compararea rezultatelor cu obiectivele, depistarea

cauzelor care determina abaterile (pozitive sau negative) constatate si
luarea masurilor cu caracter corectiv sau preventiv necesare.
In functie de cauzele abaterilor, masurile corective sau preventive

pot fi de natura previzionala, organizatorica, de coordonare, antrenare
sau chiar de evaluare-control. Aceasta inseamna ca procesul
managerial, concretizat in functiile manageriale mentionate, are ca
suport exercitarea continua a functiei de evaluare-control.
SISTEMELE DE CONTROL MANAGERIAL: O PRIVIRE A
COMPONENTELOR ŞI INDEPENDENŢA ACESTORA
 INTOSAI (The International Organisation of
Supreme Audit Institutions) : Controlul intern este un
instrument managerial utilizat pentru a furniza o
asigurare rezonabilă ca obiectivele managementului
sunt îndeplinite.
 Comitetul Entităţilor Publice de Sponsorizare a

Comisiei Treadway (S.U.A) – COSO: Controlul intern
este un proces implementat de managementul
entităţilor publice, care intenţionează să furnizeze o
asigurare rezonabilă cu privire la atingerea
obiectivelor.
 lnstitutul Canadian al Contabililor Autorizaţi

(Criteria of Control) – CoCo: Controlul intern este
ansamblul elementelor unei organizaţii (inclusiv
resursele, sistemele, procesele, cultura, structura şi
sarcinile) care, in mod colectiv îi ajută pe oameni să
atingă obiectivele organizaţiei. 145
COMPONENTELE CADRULUI DE CONTROL INTERN
COSO – Comitetul Entităţilor de Sponsorizare a
Comisiei Treadway este un grup de analiză
constituit în SUA în 1985. Standardele Europene
se inspiră direct din acest model, ce structurează
controlul intern după cinci componente:
 Mediul de control;
Evaluarea riscurilor;
Activităţile de control;
Informare şi comunicare;
Pilotaj (al controlului intern).

146
a) Mediul de control reprezintă atitudinea generală,
integritatea, valorile etice şi comportamentale angajaţilor,
stilul de operare al managementului, modul de atribuire a
autorităţii şi responsabilităţii.
Mediul de control face parte din cultura instituţională, care

este influenţată de stilul conducerii, sistemul de valori însuşite
de salariaţi, oamenii cu competenţă profesională şi integritatea
lor, descrierea activităţilor şi procedurilor, structura
organizatorică, separarea sarcinilor, IT ş.a. şi oferă cadrul în care
se desfăşoară diferitele forme de control intern.
147
Mediul de control este unul dintre elementele importante de care au nevoie întreprinderile
pentru a-şi organiza un sistem de control intern eficient. Astfel auditorii se pot confrunta
cu:
 un mediu de control favorabil, care presupune existenţa unui climat în care valorile
de etică sunt privilegiate, care utilizează, acceptă şi apreciază controlul. Aceasta
înseamnă că codurile de conduită etică şi regulamentele interioare există şi sunt luate în
consideraţie de toţi factorii, inclusiv de managementul general. Întotdeauna, puterea
exemplului şefului contribuie la crearea unui climat propice dezvoltării activităţilor de
control.
 un mediu de control adecvat, în care se respectă legile, regulile, procedurile, terţii-

parteneri de afaceri, salariaţii, contractele încheiate şi astfel activităţile entităţii sunt
stăpânite;
un mediu de control deteriorat, în care nu există proceduri formalizate, se evită

controalele, există încălcări ale normelor de conduită şi regulamentelor de funcţionare sau
chiar nerespectări ale cadrului legislativ, ceea ce prejudiciază controlul intern. Acest
mediu subminează sistematic controlul intern asupra operaţiilor, minimalizează
necesitatea implementării diferitelor activităţi de control şi apelează în mod periodic la
inspecţii. Într-un mediu nefavorabil sau poate chiar corupt activitatea de inspecţie devine
importantă, dar în acelaşi timp creşte rolul auditorilor interni, care va trebui să se implice
în îmbunătăţirea acestuia şi a culturii organizaţiei.
148
b) Evaluarea riscurilor
Orice entitate este supusă riscurilor, care pot fi riscuri proprii funcţionării
organizaţiei înseşi, riscuri specifice fiecărei activităţi, dar şi riscuri externe.
Unele riscuri sunt acceptabile şi inerente fiecărei activităţi, însă există şi riscuri
inacceptabile.
Toate entităţile îşi propun administrarea riscurilor, unele constituind în acest

sens un departament de management al riscului, altele lăsând această
activitate în responsabilitatea managementului general şi a managementului de
linie şi în supervizarea compartimentului de audit intern.
Un element fundamental al controlului intern al unei entităţi îl reprezintă

existenţa unui sistem de analiză şi evaluare a riscurilor din cadrul acesteia.
Evaluarea riscurilor presupune definirea obiectivelor şi condiţiilor pe care

trebuie să le avem în vedere în special pentru gestionarea schimbării,
ţinând cont de faptul că oamenii se schimbă, procedurile se schimbă,
organizarea şi politicile se schimbă, deci şi riscurile se schimbă şi în consecinţă
controlul intern este condamnat la o permanentă adaptare la noile condiţii.
149
c) Activităţile de control sunt elemente specifice (politici, proceduri ş.a.) care
vor permite administrarea funcţiei, activităţii, subactivităţii sau operaţiei în
conformitate cu obiectivele generale ale controlului intern.
Activităţile de control sunt de o mare diversitate, în funcţie de entitate, de

cultura organizaţională a acesteia, de structura organizatorică, de numărul
activităţilor etc. Acestea se efectuează în întreaga organizaţie, la toate
nivelurile ierarhice şi de către toate funcţiile şi constau în:
 indicaţie, recomandare, decizie, hotărâre, sancţiune, aprobare, aviz,
îndrumare, apreciere, plan, program, analiză, autorizaţii, verificări, reconcilieri,
revizuiri, siguranţa activelor, segregarea sarcinilor,
raport, buget de venituri şi cheltuieli, cont de profit şi pierdere, bilanţ
contabil, dare de seamă, instrumente matematice, tehnici informatice, tehnica
PERT,
cercetarea operaţională, simulare, grafice, programare liniară, drum critic ş.a.
150
d) Informaţii şi comunicare
Informaţiile relevante sunt informaţiile pertinente, cheie, care de regulă ne
parvin Ia timp şi într-o formă convenabilă. Acestea trebuie identificate,
colectate şi comunicate într-o formă şi într-un timp care să Ie dea oamenilor
posibilitatea să-şi îndeplinească responsabilităţile.
Comunicarea efectivă trebuie să aibă loc într-un sens mai larg şi să implice
toate activităţile şi toate structurile organizaţiei.
Din practică se impune ca întreg personalul entităţii să primească un mesaj clar

din partea conducerii cu privire la necesitatea luării în serios a
responsabilităţilor ce-i revin, dar şi la înţelegerea propriului rol în sistemul de
control intern şi a legăturilor activităţilor individuale cu munca altora. În
acelaşi timp este necesar să existe un mijloc de comunicare a informaţiilor
semnificative superiorilor ierarhici.
151
e) Monitorizarea
In practică s-a dovedit că managerii de la toate nivelurile, mai

ales cei care nu au proceduri formalizate sau în cazul în care
acestea nu sunt actualizate, fac de regulă control intern fără să
realizeze acest lucru. Astfel fiecare responsabil, oriunde s-ar
afla, se organizează pentru a-şi conduce activitatea prin:
definirea sarcinilor fiecăruia,
 stabilirea instrumentelor şi tehnicilor de lucru,
pregătirea profesională,
dotarea cu echipamente şi sisteme electronice,
supervizarea activităţii personalului ş.a.
152
Elementul
Modelul COSO Modelul CoCo
urmărit
Un proces implementat de consiliul de administraţie, Ansamblul elementelor ca şi resurse, sisteme,
conducere şi întregul personal al unei entităţi, procedee, structuri, cultura organizaţiei şi alte
Definiţia destinat să furnizeze o asigurare rezonabilă cu elemente componente, care puse împreună
controlului intern privire la atingerea obiectivelor organizaţiei. contribuie la atingerea obiectivelor organizaţiei.
 Eficienţa şi eficacitatea operaţiunilor;  Eficienţa şi eficacitatea operaţiunilor;

Obiectele  Realitatea rapoartelor financiare;  Fiabilitatea raportărilor interne şi externe;
controlului intern Conformitatea cu legile şi regulamentele aplicabile.  Conformitatea cu legile şi regulamentele

aplicabile, precum şi cu politicile interne.
Cinci elemente componente: mediul de control; Patru elemente componente: scopul, implicarea,
Punctele de evaluarea riscurilor; activităţile de control; informaţii capacitatea, monitorizarea şi învăţarea; şi douăzeci
ancorare şi comunicare, monitorizarea. de criterii de control.
Utilizat îndeosebi în sectorul privat din Europa, şi Utilizat în sectorul public şi privat din Canada.
din ce în ce mai mult în organizaţiile din SUA,
Aplicabilitate îndeosebi în acela implicate în comerţul
internaţional, dar şi în sectorul public.
Element important care este privit în strânsă Se realizează ţinând cont de eficienţa controalelor
Monitorizarea
corelaţie cu celelalte patru elemente componente ale şi indicatorii de performanţă urmăriţi.
controlului intern
modelului.
Utilizarea COSO promovează utilizarea experienţei dobândite CoCo susţine utilizarea experienţei prin
experienţei prin monitorizare şi revizuire. monitorizare şi învăţare.
Controlul intern este efectuat de întregul personal al organizaţiei;
Controlul intern furnizează doar un nivel rezonabil de asigurare, nu oferă o garanţie absolută;
Controlul intern este proiectat şi implementat pentru atingerea obiectivelor organizaţiei.
153
Elementele cheie
comune
2.3. CARE ESTE LEGĂTURA ÎNTRE CONTROLUL
INTERN ŞI MANAGEMENTUL RISCURILOR ?
O politică adecvată de control intern oferă managerului o asigurare rezonabilă

că obiectivele sale vor fi atinse.
Aceasta presupune, în prealabil, realizarea următoarelor operaţiuni:

• identificarea obiectivelor entităţii;
• cartografierea proceselor;
• analiza şi evaluarea riscurilor inerente proceselor şi care ar
putea să compromită îndeplinirea obiectivelor entităţii.
154
 Definirea activităţilor de control intern ţine direct de această analiză;
activităţile de control constituie răspunsurile entităţii în gestionarea
riscurilor.
 Gestionarea riscurilor constituie, deci, o etapă esenţială în orice demers

de control intern.
■ Actualizarea sistematică a acestei analize a riscurilor este de asemenea

indispensabilă pentru ca dispozitivul de control intern să fie un instrument
operaţional permanent. Recunoaşterea caracterului esenţial al gestionării
riscurilor cu privire la controlul intern s-a concretizat prin apariţia
conceptului de management al riscurilor.
155
2.4. REPREZINTĂ CONTROLUL INTERN O SARCINĂ DE
LUCRU ÎN PLUS PENTRU MANAGERI ŞI COLABORATORII
LOR ?
■ Activităţile de control intern sunt cu atât mai eficace cu cât sunt integrate în
proceduri decât să se suprapună cu sarcinile curente: ele nu se limitează la
operaţiile de verificare efectuate de manageri asupra operaţiilor realizate de
subordonaţii lor sau la controale mutuale între executanţi. Astfel, separarea
sarcinilor, regulile de rotaţie pe funcţiile sensibile sunt măsuri de control
intern de ordin organizatoric des utilizate pentru garantarea securităţii în
gestionarea fondurilor publice.
■ Este responsabilitatea managerilor să vegheze asupra eficienţei dispozitivului

de control intern în funcţie de:
• apetenţa lor pentru risc;
• rezultatele evaluării riscurilor;
• mijloacele de care dispun.
■ Este foarte important de reţinut faptul că riscul 0 nu există. Miza unui demers
metodologic riguros este, deci, găsirea unui echilibru optimal între nevoia de
securitate şi gestionarea eficientă a mijloacelor de care dispun managerii
publici. 156
■ Cu certitudine, efortul de dezvoltare a sistemului de control intern este o
investiţie profitabilă pe termen mediu şi lung.
2.5. CARE ESTE PONDEREA RELATIVĂ A PĂRŢII
FINANCIARE ÎN CADRUL CONTROLULUI INTERN ?
■ Cu toate că demersul de control intern vizează toate activităţile organizaţiei, funcţiile
financiare sunt în primul rând vizate. Fiabilitatea informaţiilor financiare constituie
astfel unul din cele trei obiective majore ale modelului COSO.
■ Importanţa acordată calităţii informaţiilor financiare a fost net afirmată în ultimii ani de
decizia mai multor state europene de a se angaja intr-un demers de certificare a
conturilor.
■ Un acelaşi fenomen de consolidare a controlului intern contabil şi financiar a fost iniţiat

în sectorul comercial sub forma legilor “post-Enron” şi în contextul Legii Sarbanes-
Oxley.
■ Bineînţeles, acest demers nu trebuie să se limiteze la verificări tradiţionale sau

reglementări pe operaţii sau situaţii financiare, ci trebuie să includă o gândire mai
largă privind riscurile care ameninţă funcţiile financiare dar şi identificarea mijloacelor
eficace de gestionare a acestora (separarea sarcinilor, securitatea sistemului
informaţional,fiabilitatea raportării).
157
2.6. CARE ESTE LEGĂTURA ÎNTRE CONTROLUL INTERN
ŞI DISPOZITIVUL DE COMBATERE A FRAUDEI ?
■ Demersul de control intern vizează gestionarea riscurilor care ameninţă

activitatea organizaţiei, fără ca acestea să poată fi eliminate complet.
■ Riscul de fraudă trebuie să constituie o preocupare majoră pentru managerii

financiari, mai ales atunci când resursele sunt constituite din bani publici.
■ O cerinţă fundamentală pentru manager, în cadrul politicii sale de control intern,

este să realizeze o analiză obiectivă a vulnerabilităţii organizaţiei sale.
■ Pornind de la această bază, el va putea să implementeze măsuri eficace şi cât

mai puţin costisitoare prin care să consolideze securitatea fără însă a
compromite fluiditatea procedurilor / activităţilor.
158
3. CARE SUNT ATRIBUŢIILE ŞI CUI SUNT
ELE ÎNCREDINŢATE ?
3.1. Cine are responsabilitatea controlului intern ?

3.2. Care sunt actorii controlului intern ?
3.3. Care este rolul auditului intern ?
159
3.1. CINE ARE RESPONSABILITATEA CONTROLULUI INTERN ?
■ În măsura în care managerul este responsabil de obiective, acesta este clar

identificat ca fiind responsabil de controlul intern în cadrul organizaţiei sale.
■ Managerul general este responsabil de pilotajul întregului dispozitiv de

control intern, asigurându-se că acesta acoperă riscurile principale şi că este
coerent în ansamblul său şi eficient.
■ În acest caz, fiecare manager din entitate trebuie să elaboreze politica de

control intern la nivelul compartimentului / compartimentelor care depind
de acesta ierarhic şi funcţional.
■ Directorul financiar are o responsabilitate specială pe dispozitivul de

control în ceea ce priveşte procesele contabile şi financiare. Acesta trebuie
să aibă în vedere că procesele contabile pot reflecta operaţiuni ale mai
multor servicii, fie că ele iniţiază anumite operaţii (de exemplu: comandă
de marfă de către un serviciu tehnic) sau contribuie la finalizarea
operaţiilor financiare ori efectuează controale asupra acestora.
160
3.2. CARE SUNT ACTORII CONTROLULUI INTERN ?
■ Dacă managerii, de la toate nivelurile ierarhice, sunt responsabili de

dispozitivul de control intern în sfera lor de competenţă, aceştia nu sunt singurii
actori. Tot personalul, de la top management până la personalul de execuţie,
trebuie să fie implicat, să participe la acest demers.
■ Managerii stabilesc dispozitivul de implementat, dar pot delega pilotajul

operaţional la compartimentul vizat de demers.
■ Restul personalului implementează activităţile de control.
■ În multe organizaţii, direcţiile financiare au o funcţie transversală de pilotaj

şi de organizare a dispozitivului de control intern.
■ Anumite administraţii au instituit direcţii de management al riscurilor.
161
3.3 CARE ESTE ROLUL AUDITULUI INTERN ?
■ Auditul intern este una din activităţile menite să evalueze periodic

dispozitivul de control intern şi să propună, dacă este cazul, măsuri de
îmbunătăţire în vederea oferirii de sprijin managerilor pentru o mai bună
gestionare a riscurilor, deci pentru atingerea obiectivelor.
■ Auditul intern este o activitate independentă şi obiectivă care se exercită prin

respectarea unei metodologii şi a unor reguli de deontologie definite prin
norme internaţionale de audit şi preluate în referenţiale naţionale.
■ Auditul intern nu se interferează cu gestionarea exercitată de manager.

Pentru a-şi menţine obiectivitatea, auditorul nu are autoritate ierarhică asupra
managerului şi nu trebuie implicat în implementarea procedurilor auditate.
De asemenea, el nu este subordonat managerilor pe care îi auditează.
■ Acesta propune recomandări operaţionale pentru ameliorarea eficacităţii

dispozitivului de control intern dar de a căror implementare este responsabil
doar managerul.
162
4. CUM SE APLICĂ ACEST DEMERS ÎN PRACTICĂ
?
4.1. Cum se iniţiază un demers de control intern ?

4.2. Cum se pilotează implementarea controlului intern ?
4.3. Care sunt dificultăţile întâmpinate în implementarea
unui dispozitiv de control intern adaptat şi eficace ?
4.4. Cui şi în ce mod trebuie comunicate problemele legate
de implementarea demersului de control intern ?
163
4.1. CUM SE INIŢIAZĂ UN DEMERS DE CONTROL
INTERN ?
■ Desfăşurarea unui demers de control intern în cadrul unei entităţi publice
constituie un proiect în sine.
■ Iniţierea acestui proiect presupune parcurgerea mai multor faze:

• crearea unei echipe pilot ce are ca atribuţie pilotajul acţiunilor:
OSGG 600/2018 al ministrului finanţelor publice prevede în acest sens
constituirea în cadrul fiecărei entităţi publice, a unui grup de lucru.
• realizarea unui diagnostic al sistemului de control managerial
existent: trebuie analizate procedurile şi practicile existente în cadrul
entităţii raportate la prevederile standardelor. Acest diagnostic
reprezintă o etapă decisivă, deoarece condiţionează natura şi sfera de
acoperire a masurilor care urmează a fi implementate.
• elaborarea unui plan de acţiune care va constitui tabloul de bord
al desfăşurării demersului. Acţiunile trebuie să fie ierarhizate în funcţie
de strategia entităţii.
164
4.2. CUM SE PILOTEAZĂ IMPLEMENTAREA
CONTROLULUI INTERN ?
■ Implementarea unei politici de control intern nu răspunde unei nevoi pentru

termen scurt. Trebuie, dimpotrivă, văzută ca un demers permanent şi viu în
cadrul organizaţiei.
■ Aceasta înseamnă că pilotajul implementării controlului intern trebuie să

implice, pe lângă echipa de proiect, top managementul entităţii.
■ Este foarte important ca in stadiul de implementare, să se transmită tuturor

compartimentelor entităţii semnale puternice privind importanţa şi
finalitatea demersului.
165
■ Managerul general al entităţii publice ar trebui să conducă direct echipa
de proiect. El poate, totuşi, să delege această responsabilitate
înlocuitorului său de drept sau unei persoane de rang înalt din cadrul
entităţii, şi să participe la momentele “cheie” ale proiectului.
■ Atenţia acordată constituirii echipei de proiect este de asemenea

importantă. Echipa trebuie să cuprindă cel puţin persoanele cu funcţie de
conducere astfel încât să acopere ansamblul componentelor structurii
organizatorice a entităţii publice.
■ Un expert în informatică poate fi asociat acestor lucrări în mod util. De

asemenea, auditorii pot fi solicitaţi în calitate de consultanţi.
166
4.3. CARE SUNT DIFICULTĂŢILE ÎNTÂMPINATE ÎN
IMPLEMENTAREA UNUI DISPOZITIV DE CONTROL
INTERN ADAPTAT ŞI EFICACE ?
■ Miza şi provocarea majoră cu care se confruntă managerii în momentul lansării
demersului de control intern nu sunt cele de ordin tehnic.
■ Anumite instrumente specifice sunt evident indispensabile implementării

dispozitivului (evaluarea riscurilor, instrumente de raportare, sistem
informaţional).
■ Cu toate acestea, managerii se pot inspira din experienţele altor administraţii

publice care au conceput şi aplicat sisteme de control managerial proprii
eficace.
■ O bună “instrumentare” a controlului intern nu garantează totuşi reuşita

demersului pe termen scurt şi cu atât mai puţin pe termen lung.
■ Provocarea managerilor constă mai degrabă în a obţine adeziunea reală a

întregului personal al entităţii publice la dezvoltarea sistemului de control
intern. 167
Pentru a favoriza această aderare, managerii dispun de cel puţin trei pârghii:
• acţiuni de comunicare şi de pregătire, care sunt indispensabile pentru

a convinge în privinţa utilităţii colective a demersului şi a implicării managerilor,
şi pentru a da naştere unei culturi comune în acest sens în cadrul entităţii.
• implicarea personalului prin participarea directă la conceperea

dispozitivului de control intern, în special în faza de diagnostic. Aceasta
poate avea forma de ateliere de lucru (de tipul “autoevaluare a sistemului /
subsistemului de control managerial”). La aceste ateliere de lucru trebuie să
participe manageri, de toate nivelurile, dar şi persoane fără responsabilitate
managerială. Dezbaterile din cadrul acestor ateliere favorizează identificarea
factorilor de risc şi definirea măsurilor de control intern corespunzătoare.
Participarea la aceste ateliere a personalului, însărcinat ulterior cu
implementarea acestor măsuri, favorizează şi mai mult aderarea lor la demers.
• exemplul personal al managerilor, îndeosebi al managerului general,

constituie o pârghie determinantă pentru reuşita întregului demers de control
intern. Acesta condiţionează esenţial adeziunea reală a personalului entităţii.
168
4.4. CUI ŞI ÎN CE MOD TREBUIE COMUNICATE
PROBLEMELE LEGATE DE IMPLEMENTAREA
DEMERSULUI DE CONTROL INTERN ?
■ Comunicarea deţine un rol important în demersul de control intern şi aceasta

trebuie să aibă loc în două sensuri:
• comunicarea “descendentă” de la top management către compartimentele
entităţii, în vederea explicării, a demistificării şi a promovării demersului. Această
comunicare este esenţială în faza de diseminare a dispozitivului.
Toată lumea câştigă: este stimulată dorinţa de reuşită a demersului care

favorizează responsabilizarea fiecăruia şi îndeplinirea obiectivelor. Comunicarea
se poate face prin suporturi oficiale (texte reglementare sau legislative), dar
se recomandă utilizarea, cu precădere, a unor suporturi mai puţin formale, scrise
sau orale, menite să reafirme importanţa demersului sau să insiste pe anumite
aspecte “cheie” (de exemplu: mobilizarea tuturor, identificarea riscurilor
majore ...).
169
• comunicarea “ascendentă”: este vorba despre raportarea către nivelurile
corespunzătoare de management a informaţiilor privind gestionarea riscurilor şi
îndeplinirea obiectivelor. Managerii au responsabilitatea de a defini natura,
gradul de agregare şi termenul de colectare a informaţiilor în funcţie de obiective
şi de nivelul de responsabilitate.
■ Trebuie ţinut cont şi de costul producerii acestor informaţii. Cu cât costul este
mai ridicat cu atât devine mai important riscul de exhaustivitate, de exactitate,
deci de fiabilitate a informaţiilor. Aceasta presupune acordarea unei atenţii
sporite numărului şi pertinenţei indicatorilor de activitate şi de rezultate ce vor fi
raportaţi managerilor.
■ Ceilalţi actori ai controlului intern, auditorii interni şi controlorii financiari,

pot, de asemenea, contribui la colectarea informaţiilor esenţiale privind
funcţionarea sistemului de control intern prin semnalarea disfuncţionalităţilor
constatate.
170
Privita in integritatea ei, aplicarea metodologiei-cadru de
proiectare/reproiectare si implementare a sistemului de control intern in
entitatea publica presupune parcurgerea urmatoarelor etape:
1. Evaluarea instrumentelor generale de control intern;
2. Evaluarea instrumentelor specifice de control intern, la nivelul fiecarei

activitati;
3. Analiza raportului intre costurile suplimentare si efectele asteptate,

generate de implemetarea noului sistem de control intern;
4. Elaborarea si aprobarea programului de implementare a noului

sistem de control intern al entitatii publice;
5. Monitorizarea executiei programului de implementare a noului sistem

de control intern.
Etapa 1 - Evaluarea instrumentelor generale de control
intern
Mentionam ca realizarea primei etape a metodologiei-cadru consta in
percurgerea urmatoarelor faze de executie:
Elaborarea chestionarelor de control intern;
Formularea raspunsurilor la chestionarele de control intern;
Identificarea riscurilor si estimarea nivelului de risc;
Evaluarea propriu-zisa a instrumentelor generale de control intern;
Intocmirea fiselor analitice si sintetice, continand rezultatele fazelor

anterioare.
1.1. Elaborarea chestionarelor de control intern
Se impune a fi subliniat ca cel putin, urmatoarele posibile tendinte

trebuie evitate in elaborarea chesionarelor de control intern:
 tentatia ca, prin intrebari, sa fie urmarita identificarea, directa sau

indirecta, a celor responsabili;
 redactarea de intrebari vizand cerinte generale formulate in mod
abstract, fara o observare concreta a situatiilor particulare din
entitate;
 deciderea, exclusiv de catre managerul general/ordonatorul de
credite, a intrebarilor care fac obiectul chestionarelor.
1.2. Formularea raspunsurilor la intrebarile din chestionarele de
control intern
Nu trebuie pierdut din vedere faptul ca formularea raspunsului exact la

o anumita intrebare, de catre oricare membru al grupului de lucru,
presupune indeplinirea urmatoarelor premise:
 sensul intrebarii sa fie corect perceput;
 sa fie detinute informatiile pertinente cu privire la problema supusa

chestionarii;
 sa existe o efectiva disponibilitate in relevarea realitatii.

1.3. Identificarea riscurilor si estimarea nivelului de risc
 Este vorba, despre riscurile care pot ameninta realizarea obiectivelor

generale ale entitatii, si care constau in efectele ce decurg din
nerespectarea regulilor minimale de management, continute in
standardele aprobate prin ordinul ministrului finantelor publice.
 Estimarea marimii riscului se va face, de regula, prin apreciere

calitativa (cuantificarea putand fi efectuata de fiecare data cand
aceasta este posibila), pentru a sti daca aceasta este: grav (G), mediu
(M) sau redus (R).
 1.4. Evaluarea propriu-zisa a instrumentelor generale de
control intern
Examinand situatia de facto in cazul unui anumit risc identificat,

membrii grupului de lucru ar putea constata urmatoarele:
 daca exista sau nu un instrument general de control intern,

destinat evitarii riscului respectiv;
 in cazul existentei instrumentului de control intern, se va putea

aprecia:
 daca acesta este total sau partial adecvat ori neadecvat marimii
estimate a riscului;
 in ce masura este aplicat si eficacitatea acestuia.
1.5. Intocmirea fiselor analitice si sintetice continand rezutatele
fazelor anterioare
Standardul nr Titlul standardului:
Descrier:
:
Nr. crt Chestionar de Raspuns Risc identificat Instrumentul de control intern
control intern adecvat
Da/Nu Comentariu Specificare Nivel Descriere Starea de
estimat fapt a acestuia
1 2 3 4 5 6 7
1
2
3
Concluzii/Masuri de
adoptat:
Observam ca:
* primei faze de executie ii corespunde coloana nr. 1, intitulata "Chestionar de control
intern", aici urmand a fi inscrise, in ordine logica, intrebarile referitoare la cerintele
generale ale standardului respectiv;
* celei de-a doua faze de executie ii revin coloanele nr. 2 si nr. 3, in care vor fi formulate
raspunsurile corespunzatoare fiecareia din intrebarile inscrise in prima coloana;
* in coloanele nr. 4 si nr. 5, care corespund rezultatelor fazei a treia de executie, se va
specifica natura riscului identificat, respectiv nivelul estimat al acestuia, ca fiind: grav
(G), mediu (M), sau redus (R), dupa caz;
* rezultatele celei de a patra faze de executie vor fi mentionate in coloanele nr. 6 si nr. 7,
rezervate descrierii precise a instrumentului de control intern adecvat riscului identificat,
respectiv caracterizarii succinte a starii de fapt a acestuia.
DENUMIREA ELEMENTULUI-CHEIE:
Titlurile standardelor componente:

1
2
3
4
Nr. crt. Intrebarile esentiale Concluzii punctuale si Lista
privind cerintele generale ale masuri de adoptat
instrumentelor de control intern
standardelor componente
Implementate
1 2 3
CONCLUZIILE EVALUARII GLOBALE:
Coloana nr. 1 a fisei sintetice va contine intrebarile (redactate in chestionarele de control

intern aferente standardelor componente) referitoare la acele cerinte generale a caror
nerespectare implica riscuri identificate ca fiind grave (G) sau medii (M), intrucat necesitatea
tratarii acestora este prioritara. In mod corespunzator, in cea de a doua coloana vor fi
prezentate succint concluziile si masurile de adoptat cu privire la operationalitatea cerintelor
generale respective.
Instrumentele de control intern precizate in coloanele nr. 3 si nr. 4 ale fisei sintetice reflecta
stadiul existent, premergator actiunii de aplicare integrala in entitatea publica a regulilor
minimale de management continute in standardele componente ale unui anumit element-
cheie al controlului intern.
Concluziile rezultate din evaluarea globala a elementului-cheie de control intern vor fi
formulate in caseta prevazuta cu aceasta destinatie in fisa sintetica.
 Etapa 2 - Evaluarea instrumentelor specifice de control
intern la nivelul fiecarei activitati
In realizarea integrala a acestei etape, potivit metodei propuse, este necesara
parcurgerea urmatoarelor faze de lucru:
A. Faze premergatoare evaluarii
 A.1. Delimitarea si definirea activitatilor entitatii;
 A.2. Stabilirea misiunii, identificarea resurselor necesare si precizarea
regulilor/normelor ce trebuie respectate.
B. Faze de evaluare la nivelul unei activitati
 B.1. Divizarea activitatii in sarcini elementare;

 B.2. Identificarea si evaluarea riscului/riscurilor proprii fiecarei sarcini elementare; B.3.
Evaluarea instrumentelor specifice de control intern, corespunzatoare
riscului/riscurilor proprii sarcinilor elementare;
 B.4. Intocmirea fisei sintetice a evaluarii aferente unei activitati.
C. Verificarea si validarea coerentei ansamblului instrumentelor de control intern,
evaluate pentru activitatile componente ale unei functiuni a entitatii publice
 C.1. Analiza comparativa a fiselor sintetice, aferente activitatilor din componenta unei
functiuni a entitatii;
 C.2. Validarea coerentei.
Etapa 3 - Analiza raportului intre costurile suplimentare si efectele
asteptate, generate de implementarea noului sistem de control intern
Astfel, din moment ce fiecare instrument de control intern, fie el general sau
specific, presupune atat anumite costuri de implementare, cat si efecte
asteptate, legate de evitarea producerii unui risc, membrii grupului de lucru se
afla in situatia de a analiza, din perspectiva eficientei, si a aprecia daca
implementarea instrumentului de control intern respectiv este justificata
sau nu.
Nu de putine ori, o astfel de decizie va fi luata in circumstante nefavorabile,

intrucat, in practica, calcularea, atat a costurilor, cat si a efectelor implementarii
fiecarui instrument de control intern in parte, va fi marcata, in grad diferit, de
subiectivitate.
Estimarea efectelor implementarii instrumentelor de control intern este marcata

de si mai multa subiectivitate. De exemplu, in timp ce efectele concrete ale
instruirii personalului, prin diverse programe de perfectionare a pregatirii
profesionale, pot fi relativ usor identificate, cuantificarea acestora in expresie
valorica (baneasca) este mult mai dificila.
Etapa 4 - Elaborarea si aprobarea programului de implementare a
noului sistem de control intern al entitatii publice
In stabilirea succesiunii precise de implementare a instrumentelor generale

de control intern, vor fi avute in vedere urmatoarele:
 ierarhia logica, functionala a celor cinci elemente-cheie ale controlului

intern si interdependentele obiective existente intre acestea;
 corelatiile proprii standardelor de management/control intern care

apartin unui anumit element-cheie sau unor elemente-cheie diferite;
 masura in care anumite standarde de management/control intern

determina si detinerea unui bun control asupra unei/unor activitati.
Etapa 5 - Monitorizarea executiei programului de implementare a
noului sistem de control intern
Activitatea de monitorizare interna va fi organizata si pusa in practica

de managerul general/ordonatorul de credite, acestuia revenindu-i
intreaga responsabilitate pentru buna derulare a acestei operatiuni.
Orice abatere de la programul de implementare aprobat, ce ar putea fi

anticipata sau numai constatata pe parcursul executiei acestuia, va fi
raportata imediat managerului general/ordonatorului de credite,
care are obligatia convocarii grupului de lucru, in vederea analizarii
situatiei respective si adoptarii masurilor preventive, sau, dupa caz,
corective, ce se impun.
ETAPELE
PROGRAMULUI DE IMPLEMENTARE
Motto: Fiecare salariat răspunde
A de propriul său control intern
SISTEMULUI DE CONTROL MANAGERIAL
GRUPURILE DE LUCRU
 BAZA NORMATIVĂ:
OSGG 600/2018 privind IMPLEMENTAREA NOULUI SISTEM DE CONTROL INTERN ÎN INSTITUŢIILE PUBLICE
 MOD DE CONSTITUIRE:
- responsabilitatea revine conducătorului entităţii / managerului general
- participă şefii de compartimente/managementul de linie şi specialişti recunoscuţi din cadrul acestora
- se constituie prin ordin / decizie a managementului general
- este o comisie de lucru şi monitorizare a activităţilor specifice implementării sistemului de control managerial – SMC
- este o comisie constituită temporar, nu un compartiment (birou, serviciu), până la implementarea sistemelor de control managerial – SMC.
- autoevaluarea membrilor grupului de lucru pentru a stabili nivelul de cunoaştere a prevederilor OSGG 600/2018
 MODUL DE LUCRU:
- elaborarea şi însuşirea chestionarelor de control intern pentru fiecare standard, care se stabileşte prin vot în situaţia în care apar divergenţe
- se elaborează un program de dezvoltare a SMC pe compartimente cu responsabilităţi concrete şi termene de realizare
- asigură îndrumarea metodologică a implementării SMC şi monitorizarea progreselor înregistrate
- analizează şi concentrează rezultatele din celelalte etape în vederea stabilirii în continuare a măsurilor care să asigure implementarea SMC
 ATRIBUŢIILE AUDITULUI INTERN:
- monitorizează sistematic toate fazele prezentate mai sus
- asigură consilierea pe toată perioada funcţionării grupului de lucru
- informează sistematic managementul general despre stadiul implementării Standardelor de control intern
 Notă:
Dacă nu se organizează GRUPUL DE LUCRU, şansele implementării SISTEMULUI DE CONTROL MANAGERIAL – SMC sunt minime.
Cu ocazia accesării fondurilor europene în cadrul entităţilor, va fi evaluat modul de implementare a SCM de către experţii UNIUNII EUROPENE.
Anual va exista o monitorizare externă din partea CURŢII DE CONTURI şi o dată la 5 ani, din partea UCAAPI – MEF sau a organului ierarhic superior.
183
STANDARDELE DE MANAGEMENT/CONTROL INTERN
LA
ENTITATILE PUBLICE
Mediul de control:
- Standardul 1 - Etica şi integritatea
- Standardul 2 - Atribuţii, funcţii, sarcini
- Standardul 3 - Competenţa, performanţa
- Standardul 4 - Structura organizatorică
Performanţe şi managementul riscului:

- Standardul 5 - Obiective
- Standardul 6 - Planificarea
- Standardul 7 - Monitorizarea performanţelor
- Standardul 8 - Managementul riscului
Activităţi de control:
- Standardul 9 - Proceduri
- - Standardul 10 - Supravegherea
- - Standardul 11 - Continuitatea activităţii
Informarea şi comunicarea:
- - Standardul 12 - Informarea şi comunicarea
- - Standardul 13 - Gestionarea documentelor
- - Standardul 14 - Raportarea contabilă şi financiară
Evaluare şi audit:
- Standardul 15 - Evaluarea sistemului de control intern/managerial
- - Standardul 16 - Auditul intern
184
Motto:
Pentru reorganizarea sistemului de control intern
- SCI - nu trebuie să aşteptăm să vină cineva
din afară, responsabilitatea i-a fost transferată
în totalitate managementului general
ETAPELE
PROGRAMULUI DE IMPLEMENTARE A
SISTEMULUI DE CONTROL MANAGERIAL
ÎN
CONFORMITATE CU OSGG 600/2018 PRIVIND APROBAREA
CODULUI CONTROLULUI INTERN
ETAPA I.
STABILIREA OBIECTIVELOR GENERALE ŞI SPECIFICE ALE
ENTITĂŢII PUBLICE
 Obiective SMART (Specifice, Măsurabile, de Atins, Realiste şi în Termen).
 Standardele ale căror cerinţe vor fi avute în vedere sunt: 4 - Structura organizatorică, 5-
Obiective.
185
ETAPA II.
STABILIREA ACTIVITĂŢILOR ŞI ACŢIUNILOR / OPERAŢIILOR PENTRU REALIZAREA OBIECTIVELOR
SPECIFICE
 Standardele avute în vedere: 2 – Atribuţii, funcţii, sarcini; 4 - Structura organizatorică; 11 – Continuitatea activităţii;
 Elaborarea Listei activităţilor pe compartimente în mod succesiv, de două-trei ori, de către responsabilul compartimentului, conform
modelului următor:
Lista obiectivelor şi activităţilor
Nr.
ctr. OBIECTIVE ACTIVITĂŢI OPERAŢII
1. Dezvoltarea unei strategii 1.1.Actualizarea documentului Identificarea sistematica, documentarea si analizarea elementelor care generează
unitare in domeniul strategic in domeniul necesitatea de actualizare a documentului strategic
auditului public intern controlului financiar public
în concordanţă cu intern, capitolul audit
standardele intern
internaţionale
Fundamentarea modificărilor si completărilor documentului strategic
acceptate în Uniunea
Europeană
Elaborarea proiectului de modificare si completare a documentului strategic
Aprobarea proiectului documentului strategic
Pregătirea documentului strategic actualizat pentru transmiterea la Comisia Europeana
2. Dezvoltarea cadrului 2.1. Actualizarea cadrului Identificarea sistematica, documentarea si analizarea elementelor cadrului legal care
normativ legislativ privind auditul trebuie actualizate
intern
Fundamentarea modificărilor si completărilor legii privind activitatea de audit intern
Elaborarea proiectului de lege privind activitatea de audit intern 186

Aprobarea proiectului legii privind activitatea de audit intern
ETAPA III
DESCRIEREA MODULUI DE ORGANIZARE ŞI FUNCŢIONARE A SISTEMULUI
DE CONTROL MANAGERIAL
 Standardele avute în vedere: 1 - Etica, integritatea; 3 - Competenţa, performanţa;
 Descrierea va cuprinde elemente privind:

 structura organizatorică
 noile obiective ale entităţii
 stabilirea indicatorilor de rezultat sau a indicatorilor de performanţă
 resursele umane, materiale, financiare şi informaţionale
 stabilirea arhitecturii de control intern, conform modelelor prezentate.
 sistemul de management financiar şi control intern
 comparaţie SIC al UE şi SIC din România
187
COMPARAŢIE
SISTEMUL DE CONTROL INTERN SISTEMUL DE CONTROL INTERN
AL UE DIN ROMÂNIA
CONTROL OPERAŢIONAL CONTROL MANAGERIAL
- Implementarea Standardelor de - OSGG nr. 600/2018

- OMFP nr. 946/2005
management financiar şi control - OMFP nr. 1389/2006
- Sistemul procedurilor de lucru
CONTROL FINANCIAR PREVENTIV
CONTROL ULTERIOR
- Compartiment de control financiar - Legea nr. 119/1999

- 15% din valoarea proiectelor - OMFP nr. 522/2003 şi nr. 912/2004
- Raportul de control pentru
operaţiuni care reprezintă fluxuri
Echipe de control/inspecţie sau
complete
constituirea unor compartimente prin
CONTROL ANTIFRAUDĂ ORDIN
al managementului general
- Compartimentul de inspecţie
- Acţiuni punctuale INSPECŢIA GENERALĂ MEF
AUDITUL INTERN
AUDITUL INTERN
- Compartimentul de audit
- Evaluarea celor 3 compartimente ale - Legea nr. 672/2002
controlului intern - OG nr. 37/2004
- OMFP nr. 38/2003
- OMFP nr. 1702/2005 188
AUDITUL EXTERN AUDITUL EXTERN
- Legea nr. 94/1992 republicată

ETAPA IV
IDENTIFICAREA RISCURILOR ŞI DISFUNCŢIONALITĂŢILOR CARE POT
AFECTA REALIZAREA OBIECTIVELOR
Modelul documentului care se elaborează în această etapă este următorul:

Situaţia identificării riscurilor şi disfuncţionalităţilor
NC Obiective Activităţi Riscuri Disfuncţionalităţi
0 1 2 3 4
1. Dezvoltarea unei strategii 1.1. Netratarea principalelor elemente de noutate Crearea unor decalaje faţă de evoluţia activităţii de
unitare in domeniul auditului Actualizarea documentului apărute în activitatea de audit intern audit intern faţă de celelalte ţări europene
public intern în concordanţă strategic in domeniul controlului
cu standardele internaţionale financiar public intern, capitolul
acceptate în Uniunea audit intern Afectează eficacitatea activităţii de audit intern
Europeană
Neidentificarea direcţiilor de acţiune care ar Implementarea parţială a elementelor de noutate
trebui să fie avute în vedere pentru identificate
implementarea elementelor de noutate
Neagrearea din partea Comisiei Europene a Întârzieri în definitivarea documentului strategic

direcţiilor de acţiune pentru elementele de
progres preconizate
Dezvoltarea cadrului normativ 2.1. Actualizarea cadrului Neluarea în consideraţie a tuturor direcţiilor de Implementarea parţială a Documentului strategic şi
legislativ privind auditul intern acţiune stabilite în documentul strategic, neaplicarea în practică a acestuia
referitoare la adaptarea cadrului legislativ
preconizat
Neadecvarea textelor legislative pentru Crearea dificultăţilor în aplicarea legii

implementarea direcţiilor de acţiune
189
Elaborarea Registrului riscurilor conform modelului de pe site-ul: www.mfinante.ro , ataşat ca anexă la documentul Metodologia de implementare a
Standardului de control intern nr. 8 – Managementul riscurilor.
PRECIZĂRI PRIVIND ELABORAREA REGISTRULUI RISCURILOR
 1. Preluăm obiectivele din LISTA OBIECTIVELOR, ACTIVITĂŢILOR ŞI OPERAŢIILOR, la care ataşăm riscurile
specifice operaţiilor elementare, până la un nivel rezonabil de detaliere, coloanele 2 - 5;
 2. În continuare, se completează circumstanţele care favorizează apariţia riscurilor, responsabilul cu gestionarea

riscului şi se face aprecierea RISCULUI INERENT , coloanele 6 - 10;
 3. Se stabileşte strategia adoptată pentru risc, instrumentele de control intern şi termenele, care monitorizează riscul,
coloanele 11 – 14
 4. Se stabileşte RISCUL REZIDUAL, care va fi urmărit în continuare;
 5. Riscul rezidual este riscul care va intra în auditare şi la care se vor adăuga eventuale RISCURI SECUNDARE;
 6. Elaborarea Registrului riscurilor se realizează pe compartimentele din structura entităţii, în responsabilitatea

şefului de compartiment, care poate stabili un responsabil cu administrarea riscurilor şi actualizarea Registrului;
 7. Centralizarea registrelor riscurilor de la nivelul compartimentelor în vederea obţinerii REGISTRULUI GENERAL

AL RISCURILOR LA NIVELUL ENTITĂŢII;
 8. Nominalizarea persoanei responsabile cu constituirea şi actualizarea sistematică a Registrului general al

riscurilor la nivelul entităţii.
 9. Responsabilul riscurilor pe compartimente care asistă managementul în gestionarea riscurilor va ataşa un

ISTORIC AL EVOLUŢIEI RISCURILOR, de la înfiinţare până în prezent, sau cel puţin începând din anul 2000;
 10. Stabilirea unui sistem de actualizare periodică a riscurilor ataşate operaţiilor elementare, cel puţin o dată pe an;190
 11. EVALUAREA ANUALĂ A SALARIAŢILOR SE VA COROBORA CU STADIUL REALIZĂRII ŞI ACTUALIZĂRII

REGISTRULUI RISCURILOR.
191
PROCEDURĂ
DE ELABORARE ŞI ACTUALIZARE A
REGISTRULUI RISCURILOR
1. DATE GENERALE
1.1. Domeniul de aplicare
Procedura se utilizează de către toate direcţiile generale/direcţiile din cadrul MFP în vederea gestionării riscurilor care pot afecta atingerea
obiectivelor generale ale MFP şi a obiectivelor specifice.
1.2. Documentele de referinţă
1.2.1. Reglementări internaţionale
- Standardele internaţionale de control intern
1.2.2. Legislaţie
- OSGG nr. 600/2018 pentru aprobarea Codului controlului intern-managerial al entităților publice.
- Legea nr. 500/2002 privind finanţele publice, cu modificările şi completările ulterioare;
- Ordinul ministrului finanţelor publice nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinzând standardele de
management/control intern la entităţile publice şi pentru dezvoltarea sistemelor de control managerial, cu modificările şi completările ulterioare;
- Ordinul ministrului finanţelor publice nr. 139/2006 privind constituirea Comisiei de monitorizare, coordonare şi îndrumare
metodologică a dezvoltării sistemului de control managerial al Ministerului Finanţelor Publice, cu modificările şi completările ulterioare;
• - Ordinul ministrului economiei şi finanţelor nr. 998/2008 pentru aprobarea procedurii de sistem „Realizarea procedurilor formalizate
pe activităţi”.
1.2.3. Alte documente, inclusiv reglementări interne
Metodologie de implementare a standardului 8 “Managementul riscurilor”, elaborată de Unitatea Centrală de Armonizare a Sistemelor de
Management Financiar şi Control - UCASMFC (manualul este postat pe pagina web a MFP www.mfinante.ro, la secţiunea „ Sisteme de
management financiar şi control);
Îndrumar metodologic pentru dezvoltarea controlului intern în entităţile publice, elaborat de Unitatea Centrală de Armonizare a Sistemelor de
Management Financiar şi Control - UCASMFC (manualul este postat pe pagina web a MFP www.mfinante.ro, la secţiunea „ Sisteme de
management financiar şi control);
Manualul de control financiar preventiv, elaborat de Unitatea centrală de armonizare a sistemelor de management financiar şi control (manualul
este postat pe pagina web a MFP www.mfinante.ro, la secţiunea „ Sisteme de management financiar şi control).
Documentele obţinute în cadrul procesului de implementare a Programului de dezvoltare a sistemului de control managerial – SCM,
respectiv:
- Etapa 2 Lista obiectivelor şi activităţilor
- Etapa 4 Autoevaluarea şi analiza sistemului de control managerial al ministerului şi identificarea elementelor de disfuncţionalitate şi a
riscurilor care pot afecta realizarea obiectivelor 192
LISTA OBIECTIVELOR ŞI ACTIVITĂŢILOR
Nr. COD
OBIECTIV ACTIVITĂŢI / OPERAŢII RESPONSABIL TERMEN
crt. PO
I. Dezvoltarea unei strategii unitare in 1. Actualizarea documentului strategic in domeniul controlului financiar Martie
domeniul auditului public intern public intern, capitolul audit intern 201N
în concordanţă cu standardele 06.01 VD
internaţionale acceptate în Uniunea
Europeană
II. Dezvoltarea cadrului normativ 2. Identificarea sistematică, documentarea şi analizarea elementelor de Septembrie
06.02 NC
dezvoltare a cadrului normativ, în domeniul auditului public intern 201N
3. Realizarea şi actualizarea ghidurilor practice privind activitatea de Septembrie

06.03 CI
audit public intern 201N
4. Realizarea Codului privind conduita etică a auditorului intern Septembrie

06.04 CG
201N
5. Realizarea şi actualizarea Cartei auditului intern Septembrie

06.05 CG
201N
6. Avizarea normelor proprii entităţilor publice centrale, în domeniul Septembrie

06.06 PA
auditului intern 201N
III. Îmbunătăţirea nivelului de recrutare 7. Realizarea şi actualizarea cadrului de competenţe al auditorilor interni Octombrie
06.07 PM
şi pregătire profesională în domeniul din sectorul public 201N
auditului public intern
8. Realizarea programului de formare profesională a auditorilor interni Octombrie
06.08 PM
din sectorul public 201N
IV. Îmbunătăţirea activităţii de audit 9. Elaborarea planurilor multianuale la nivelul UCAAPI Martie
06.09 CA
intern 201N
10. Elaborarea planului anual de audit intern la nivelul UCAAPI Martie

06.10 CA
201N
11. Desfăşurarea misiunilor de audit public intern de natura Martie

06.11 VM
intersectoriala 201N
12. Raportarea recomandărilor neînsuşite de către conducătorul entităţii Iulie

06.12 ŞL
publice auditate N
13. Realizarea, la nivelul UCAAPI, Raportului anual privind activitatea

06.13 CR
193
Iulie
de audit public intern 201N
Autoevaluarea şi analiza sistemului de control managerial si identificarea elementelor de
disfuncţionalitate si a riscurilor
care pot afecta realizarea obiectivelor
Nr. crt OBIECTIVE ACTIVITĂŢI / OPERAŢII RISCURI DISFUNCŢIONALITĂŢI
I. Dezvoltarea unei strategii 1. Actualizarea documentului Netratarea principalelor elemente de Crearea unor decalaje faţă de evoluţia
unitare in domeniul strategic in domeniul noutate apărute în activitatea de audit intern activităţii de audit intern faţă de celelalte ţări
auditului public intern în controlului financiar public europene
concordanţă cu intern, capitolul audit intern
standardele internaţionale Afectează eficacitatea activităţii de audit
acceptate în Uniunea intern
Europeană
Neidentificarea direcţiilor de acţiune care Implementarea parţială a elementelor de
ar trebui să fie avute în vedere pentru noutate identificate
implementarea elementelor de noutate
Neagrearea din partea Comisiei Europene a Întârzieri în definitivarea documentului

direcţiilor de acţiune pentru elementele de strategic
progres preconizate
II. Dezvoltarea cadrului 2. Identificarea sistematică, Neluarea în consideraţie a tuturor Implementarea parţială a Documentului
normativ documentarea şi analizarea direcţiilor de acţiune stabilite în strategic şi neaplicarea în practică a acestuia
elementelor de dezvoltare a documentul strategic, referitoare la
cadrului normativ, în adaptarea cadrului legislativ preconizat
domeniul auditului public
intern
Neadecvarea textelor legislative pentru Crearea dificultăţilor în aplicarea legii
implementarea direcţiilor de acţiune
Necesitatea reluării procesului legislativ
Nerealizarea cadrului procedural pentru Imposibilitatea implementării cadrului

toate elementele de noutate stabilite prin legislativ
cadrul legislativ
194
Insuficienţa gradului de detaliere sau a Dificultăţi în aplicarea cadrului procedural
clarităţii cadrului procedural (aplicare neuniformă, greoaie, reducerea
eficienţei activităţii)
1.3. Prezentarea conceptelor utilizate
 Control intern = orice acţiune/măsură provenită din organizaţie, luată în scopul gestionării riscurilor;
 Gestionarea riscurilor sau managementul riscurilor = toate procesele privind identificarea, evaluarea, luarea de
măsuri de atenuare sau anticipare a acestora, revizuirea periodică şi monitorizarea progresului, stabilirea
responsabilităţilor;
 Risc = posibilitatea de a se produce un eveniment care ar putea avea un impact asupra îndeplinirii obiectivelor;
 Risc inerent = expunerea la un anumit risc înainte să fie luată vreo măsură de atenuare a lui;
 Risc rezidual = expunerea cauzată de un anumit risc după ce au fost luate măsuri de atenuare a lui, presupunând că
măsurile sunt eficace;
 Probabilitatea de materializare a riscului = posibilitatea sau eventualitatea ca un risc să se realizeze;
 Impactul = consecinţa (efectul) asupra rezultatelor (obiectivelor) dacă riscul s-ar materializa;
 Expunere la risc = consecinţele, ca o combinaţie de probabilitate şi impact, pe care le poate resimţi o organizaţie în
raport cu obiectivele prestabilite în cazul în care riscul se materializează;
 Evaluarea riscului = evaluarea consecinţelor materializării riscului în combinaţie cu evaluarea probabilităţii de
materializare a riscului;
 Registrul riscurilor = document integrator al gestiunii riscurilor, cuprinzând o sinteză a informaţiilor şi deciziilor luate în
urma analizei riscurilor.
1.4. Abrevieri
 MFP = Ministerul Finanţelor Publice;

 SCM = Sistemul de control managerial .
 RR = Registrul riscurilor
 EGR = Echipa de gestionare a riscurilor de la nivelul fiecărei direcţii generale/direcţii;
 GL = Grupul de lucru care monitorizează activitatea de implementare a SCM, în conformitate cu OSGG 600/2018 privind
Codul controlului intern.
 Secretariatul GL = Secretariatul Comisiei de monitorizare, coordonare şi îndrumare metodologică a dezvoltării sistemului
de control managerial al Ministerului Finanţelor Publice. 195
2. DESCRIEREA PROCEDURII
2.1. IDENTIFICAREA ŞI EVALUAREA RISCURILOR = COL 1- 8
(1) GL identifică, analizează, evaluează şi prioritizează riscurile care pot afecta atingerea obiectivelor generale şi funcţionarea
de ansamblu a ministerului. Comisia informează secretarii de stat sau ministrul finanţelor publice despre aspectele prezentate
mai sus, în vederea luării unei decizii.
(2) Secretariatul GL intocmeşte, actualizează şi modifică Registrul general al riscurilor la nivel centralizat, prin agregarea şi
a datelor/informaţiilor cuprinse în Registrul riscurilor de la nivelul direcţiilor generale/direcţiilor.
(3) Pentru o mai bună gestionare a riscurilor pe toate nivelele manageriale ale unei direcţii generale/direcţii, conducătorul
acesteia stabileşte:
- responsabil cu riscurile care îl asistă în gestionarea riscurilor.
- structura echipelor de gestionare a riscurilor (EGR), care se compune din conducătorii direcţiilor
generale/direcţiilor, responsabilii cu riscurile şi şefii de serviciu de la nivelul acestora.
(4) În această etapă se desfăşoară următoarele activităţi/acţiuni/operaţiuni:
•identificarea problemelor care au apărut şi se pot repeta în viitor sau care pot apărea în desfăşurarea activităţilor şi
care au ca efect nerealizarea parţială sau totală a obiectivelor prestabilite;
•identificarea cauzelor care generează problemele şi descrierea circumstanţelor care favorizează apariţia lor şi
determinarea consecinţelor asupra obiectivelor;
•estimarea, pe o scală în 5 trepte, a probabilităţii de materializare a riscului şi a impactului. Combinarea celor două
estimări pe o scală bidimensională reprezintă expunerea la risc, indicator în raport cu care se stabileşte atitudinea faţă
de fiecare problemă identificată ca fiind un risc. Un model de evaluare a riscurilor este prezentat în Anexa nr. 1 –
Model de evaluare a expunerii la risc.
•elaborarea Procesului verbal al şedinţei de analiză a riscurilor – Anexa nr. 2.
(5) Conducătorii direcţiilor generale/direcţiilor şi întreg personalul ce le compun au obligaţia de a identifica riscurile care
afectează atingerea obiectivelor prestabilite, astfel:
A. Persoana care a identificat un risc efectuează următoarele operaţiuni:
a) analizează preliminar riscul identificat, prin:
•definirea corectă a riscului, respectându-se regulile de definire, prezentate în Metodologia de implementare a
Standardului nr. 11 - Managementul riscurilor, elaborat de UCASMFC;
•analiza cauzelor sau a circumstanţelor care favorizează apariţia/repetarea riscului;
b) evaluează expunerea la risc prin: 196

•estimarea şanselor de apariţie/repetare a riscului, pe o scală în cinci trepte, ca fiind: 1 - rar; 2 - puţin probabil; 3 -
posibil; 4 - foarte probabil; 5 - aproape sigur;
•estimarea impactului asupra riscului, pe o scală în cinci trepte, ca fiind: 1 - nesemnificativ; 2 - minor; 3 - moderat; 4 -
major; 5 - critic;
• estimarea expunerii la risc, prin combinarea pe o scală bidimensională a rezultatelor estimărilor anterioare; conform Modelului
de evaluare a expunerii la risc – Anexa nr. 1.
c) formulează o opinie cu privire la măsurile care trebuie luate pentru a controla riscul identificat;
d) completează Formularul de alertă la risc - Anexa nr. 3, ataşând la acesta documentaţia riscului, pe care le va
transmite Responsabilului cu riscurile de la nivelul direcţiei generale/direcţiei din care face parte.
B. Responsabilul cu riscurile:
a) colectează formularele de alertă la risc şi documentaţiile aferente de la persoanele care au identificat riscurile
sau de la responsabilii cu riscurile de la direcţiile componente ale direcţiei generale care au decis escaladarea lor;
b) analizează fiecare formular de alertă la risc şi face propuneri pentru:
- clasarea formularului de alertă la risc, dacă riscul este nerelevant;
- escaladarea riscului la nivele superioare ale managementului dacă:
- riscul afectează un obiectiv mai general decât cele stabilite la nivelul direcţiei generale/direcţiei în cauză;
- cauzele care generează riscul sunt externe direcţiei generale/direcţiei în cauză;
- măsurile prin care se realizează un control satisfăcător al riscurilor exced competenţelor direcţiei
generale/direcţiei în cauză;
- resursele sunt insuficiente.
c) reţine, spre dezbatere, riscurile ce aparţin direcţiei generale/direcţiei, caz în care propune una din următoarele
alternative de abordare a riscurilor:
•acceptarea riscurilor, în cazul în care se apreciază că riscul are o expunere redusă, iar beneficiile controlării
riscurilor sunt reduse raportat la costurile aferente măsurilor de control ce ar trebui introduse;
•supravegherea riscurilor, în cazul în care se apreciază că, deşi riscurile au un impact semnificativ, şansele de
apariţie/repetare sunt foarte reduse, iar resursele limitate ce pot fi alocate impun amânarea implementării unor
măsuri de control;
•evitarea riscurilor, prin eliminarea/restrângerea activităţilor care generează riscurile;
transferarea riscurilor, atunci când există posibilitatea gestionării riscurilor de un terţ specializat, prin externalizarea
unor activităţi;
•tratarea riscurilor, atunci când luarea măsurilor de control este asumată.
C. Responsabilul cu riscurile, cel puţin lunar, organizează şedinţe de analiză a riscurilor, în cadrul cărora EGR
analizează, pe baza datelor cuprinse în Formularele de alertă la risc, noile riscuri raportate, resursele care pot fi alocate acţiunilor
propuse pentru contracararea riscurilor.
• Conducătorul direcţiei generale/direcţiei, după analiza dosarului cu riscurile noi identificate, precum şi a rapoartelor de 197
monitorizare, elaborate de responsabilii cu monitorizarea implementării acţiunilor de control, şi a rapoartelor de audit, stabileşte data
la care se convoacă EGR.
Şedinţa EGR este condusă de conducătorul direcţiei generale/direcţiei, care decide în ultimă instanţă.
• În cadrul şedinţei, membrii EGR:
(a) validează sau invalidează soluţia de clasare pentru riscurile considerate nerelevante;
(b) fac propuneri de escaladare a riscurilor la nivelul ierarhic imediat superior sau la nivelul de
competenţă care le poate controla, în cazul în care:
- resursele sunt insuficiente;
- măsurile de control intern exced competenţele decizionale ale acestuia;
- se identifică riscuri externe direcţiei generale/direcţiei, dar al caro impact afectează obiectivele stabilite
pentru acesta.
(c) analizează rapoartele de audit, reţinându-se riscurile identificate prin acestea şi măsurile
recomandate a fi implementate;
(d) ierarhizează riscurile în funcţie de priorităţi şi elaborează profilul de risc, ca rezultat al acţiunii de
grupare a riscurilor identificate în funcţie de expunerea la risc.
La finalul şedinţei de analiză a riscurilor, responsabilul cu riscurile:
(a) consemnează hotărârile luate în Procesul-verbal de analiză a riscurilor – Anexa nr. 2, care se
aprobă de conducătorul direcţiei generale/direcţiei;
(b) transmite Formularele de alertă la risc şi documentaţia aferentă pentru riscurile escaladate
responsabililor cu riscurile de la nivelele de competenţă la care s-a convenit, cu excepţia riscurilor care se
escaladează la nivelul secretarilor de stat, caz în care directorul general/directorul este acela care motivează şi
susţine documentaţia riscurilor escaladate la acest nivel;
(c) îndosariază Formularele de alertă la risc clasate;
(d) pe baza informaţiilor/datelor cuprinse în Procesul-verbal de analiză a riscurilor, completează
coloanele nr. 1-8 din Registrul riscurilor de la nivelul direcţiei generale/direcţiei;
(e) listează şi îndosariază un exemplar al Registrului riscurilor după ce acesta a fost, în prealabil,
semnat de conducătorul direcţiei generale/direcţiei.
In concluzie:
Conform procedurii prezentate, organizarea gestionării riscurilor implică realizarea următoarelor activităţi,
aşa cum rezultă din Procesul verbal al şedinţei de analiză a riscurilor - Anexa nr. 2:
- stabilirea responsabililor cu riscurile pe fiecare compartiment
- stabilirea responsabilului cu întocmirea Registrului riscurilor, persoană care asistă conducătorul
structurii în activitatea de gestionare a riscurilor 198
- constituirea EGP – Echipei de gestionare a riscurilor la nivelul UCAAPI
- stabilirea acţiunilor şi a calendarului de desfăşurare.
c. Stabilire scor general risc: probabilitate x impact
P 5 10 15 20 25
R
O
B 4 8 12 16 20
A
B
I 3 6 9 12 15
L
I
T 2 4 6 8 10
A
T
E 1 2 3 4 5
IMPACT
d. Stabilirea nivelului de tolerare
Nivel tolerare Explicaţii
1–4 Tolerabil Nu necesită nicio măsură de control
5–8 Tolerare ridicată Necesită măsuri de control pe termen mediu/ lung
9 – 12 Tolerare scăzută Necesită măsuri de control pe termen scurt
13 – 25 Intolerabil Necesită măsuri de control urgente

199
Anexa nr. 1
MODEL DE EVALUARE A EXPUNERII LA RISC
a. Evaluarea probabilităţii de apariţie a riscurilor
Nivel probabilitate Explicaţie
Rar Este foarte puţin probabil să se întâmple pe o perioadă lungă de timp (3 – 5 ani); nu s-a întâmplat până în prezent
Puţin probabil Este puţin probabil să se întâmple pe o perioadă lungă de timp (3 – 5 ani); s-a întâmplat de foarte puţine ori până în prezent
Posibil Este probabil să se întâmple pe o perioadă medie de timp (1- 3 ani); s-a întâmplat de câteva ori în ultimii 3 ani
Foarte probabil Este probabil să se întâmple pe o perioadă scurtă de timp (< 1 an); s-a întâmplat de câteva ori în ultimul an
Aproape sigur Este foarte probabil să se întâmple pe o perioadă scurtă de timp (< 1 an); s-a întâmplat de multe ori în ultimul an
b. Evaluarea impactului/consecinţelor riscurilor
Nivel consecinţe/ impact Explicaţie
1 Nesemnificativ Cu impact foarte scăzut asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau fără impact financiar
2 Minor Cu impact scăzut asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau cu impact financiar foarte scăzut
3 Moderat Cu impact mediu asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau cu impact financiar mediu
4 Major Cu impact major asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau cu impact financiar major
5 Critic Cu impact semnificativ asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau cu impact financiar semnificativ
200
PROCES-VERBAL AL ŞEDINTEI DE ANALIZĂ A RISCURILOR
Nr Nume, Funcţia Semnătura Nr. telefon

. prenume Adresă e-mail
crt
.
1. MS Director
general
2. MG Şef Serv.
SMG
3. TT Şef Serv.
OAPI
4. NC Şef Serv.
CER
5. GC Responsabil
201
RR
Participă membrii EGR – echipei de gestionare a riscurilor
Nr.
Probleme dezbătute Concluzii, recomandări, observaţii
crt.
1. Riscuri analizate -
2. Propuneri de -
acţiuni/măsuri de control
3. Stadiul implementării -
acţiunilor de control
4. Dificultăţi întâmpinate -
5. Alte probleme:
5.1. Stabilirea echipei de La nivelul UCAAPI echipa de gestionare a riscurilor va avea următoarea componenţă:
gestionare a riscurilor la MS - Director general;
nivelul direcţiei. MG - Şef Serv. SMG;
TT - Şef Serv. OAPI;
NC - Şef Serv. CER;
GC - Auditor intern – responsabil RR.
5.2. Analizarea posibilităţilor de Stabilirea responsabilor cu riscurile pentru fiecare serviciu:

a coopta în echipa de Serviciul SMG: GC
gestionare a riscurilor a Serviciul SOAPI: IR
unor noi persoane. Serviciul CER: CB.
5.3. Discutarea acţiunile - Identificarea şi evaluarea riscurilor se va materializa prin completarea documentului Formularul
imediate care vor fi de alertă la risc, de către persoanele care au identificat riscurile, din cadrul serviciilor, până la data
întreprinse la nivelul de 09.06.2009.
UCAAPI. - Colectarea Formularelor de alertă la risc se va efectua de către responsabilul RR din cadrul
UCAAPI.
5.4. Discutarea calendarului Stabilirea ordinii de zi şi a datei următoarelor şedinţe:
şedinţelor de lucru până la 1) 09.06.xxxxx – Şedinţă de analiză şi evaluare a riscurilor identificate la 202
nivelul direcţiei,
şfârşitul primului semestru consemnate în Fişele de urmărire a riscului.
al anului xxxxxx. 2) 15.06.xxxx – Şedinţă de analiză a riscurilor, pentru stabilirea acţiunilor/măsurilor de control
3) 29.06.xxxx – Şedinţă de analiză a riscurilor, pentru evaluarea acţiunilor întreprinse în vederea
implementării acţiunilor/măsurilor de control.
DETALII PRIVIND RISCUL FORMULARUL DE ALERTĂ LA RISC Anexa nr. 3
Descrierea riscului Riscul identificat: Neidentificarea corespunzătoare a nevoilor de formare a auditorilor interni
Cauza: Inexistenţa unui plan privind perfecţionarea pregătirii profesionale a auditorilor interni din sectorul public
Impactul: Fundamentarea necorespunzătoare a programelor de perfecţionare a pregătirii profesionale
Evaluarea riscului
X
1 2 3 4 5
1. rar; 2. putin probabil; 3. posibil; 4. foarte probabil; 5. aproape sigur .
1 2 3 4 5
1.nesemnificativ; 2.minor; 3. moderat; 4. major; 5. critic Expunere: TOLERARE RIDICATĂ
Tratarea riscului Acţiuni preventive recomandate:

1) Analiza şi aplicarea PO: Realizarea programului de formare profesională a auditorilor interni din sectorul public.
2) Elaborarea şi actualizarea planului privind perfecţionarea pregătirii profesionale a auditorilor interni în corelaţie cu cadrul de
competenţe .
3) Supervizarea activităţii de către şeful de serviciu.
Documentaţia utilizată pentru fundamentarea riscului identificat:
1) Documentului strategic în domeniul controlului financiar public intern, capitolul audit intern
2) Legea nr. 672/2002 privind auditul public intern
3) Legea nr. 7/2004 privind Codul de conduită a funcţionarilor publici
4) H.G nr. 1209/2003 privind organizarea şi dezvoltarea carierei funcţionarilor publici
5) Cadrul European al Calificărilor
6) Rapoarte de evaluare a performanţelor individuale ale auditorilor interni din sectorul public
7) Note de informare
8) Adresele primite de la structurile de audit intern din sistem
9) Rapoarte de evaluare elaborate la nivelul Serviciului OAPI şi Serviciului CER
9) Rapoartele anuale privind activitatea de audit public intern
10) Manuale, ghiduri practice şi alte materiale din domeniul auditului public intern.
Nume: Semnătura: Data:
.................... --------------------- 03/06/N
Nr. crt. al riscului Data primirii Decizia EGR

3.3. 05/06/N Irelevant 203
Investigaţii suplimentare
Îndosariere X
PROCES-VERBAL AL ŞEDINŢEI DE ANALIZĂ A RISCURILOR
Nr. Nume, prenume Funcţia Semnătura Nr. telefon

crt. Adresă e-mail
1. MS Director general
2. MG Şef Serv. SMG
3. TT Şef Serv. OAPI
4. NC Şef Serv. CER
5. GC Responsabil RR
Participă membrii EGR
204
Nr.
crt.
1. Riscuri analizate 1) Cauza: Imposibilitatea actualizării, pentru moment, a tuturor direcţiilor de acţiune
1) Neluarea în consideraţie a tuturor direcţiilor de acţiune stabilite în (imposibilitatea actualizării cadrului legislativ).
Documentul strategic, referitoare la adaptarea cadrului legislativ Concluzie:TOLERABIL
preconizat – nr. crt. din Registrul de risc: 2.1. 2) Cauza: Imposibilitatea realizării ghidurilor practice pe exemplul unei entităţi
2) Ghidurile procedurale nu abordează în totalitate obiectivele şi reprezentative din sistem.
activităţile domeniului pentru care au fost elaborate – nr. crt. din Concluzie: TOLERAREA RIDICATĂ
Registrul de risc:2.5. 3) Cauza: Neidentificarea tuturor elementelor de noutate care au apărut pe plan internaţional.
3) Necuprinderea tuturor elementelor de noutate care au apărut pe plan Concluzie: TOLERABIL
internaţional, referitoare la Carta auditului intern – nr. crt. din
Registrul de risc: 2.8. 4) Cauza: Prezentarea incompletă sau într-o formă favorabilă petiţionarilor a elementelor
4) Soluţiile oferite petiţionarilor exced cadrului normativ sau sunt care trebuie clarificate.
neclare/confuze – nr. crt. din Registrul de risc:2.11. Concluzie: TOLERAREA RIDICATĂ
5) Insuficienţa cadrului de competenţe al auditorilor interni nr. crt. din 5) Cauza: Neidentificarea tuturor tematicilor de pregătire profesională.
Registrul de risc: 3.1. Concluzie: TOLERAREA RIDICATĂ
6) Neidentificarea corespunzătoare a nevoilor de formare a 6) Cauza: Inexistenţa unui plan privind perfecţionarea pregătirii profesionale a auditorilor
auditorilor interni – nr. crt. din Registrul de risc: 3.3. interni din sectorul public.
7) Nerespectarea structurii minimale a rapoartelor – nr. crt. din Concluzie: TOLERAREA RIDICATĂ
Registrul de risc: 4.3. 7) Cauza: Rapoartele anuale de audit intern din sistem sunt incomplete.
8) Raportul conţine informaţii cu caracter general – nr. crt. din Concluzie: TOLERAREA SCĂZUTĂ
Registrul de risc: 4.4. 8) Cauza: Constatările şi recomandările sunt prezentate la modul general, fără a fi direcţionate
9) Numirea şefilor compartimentelor de audit intern fără avizul către entităţile în cauză.
prealabil UCAAPI – nr. crt. din Registrul de risc: 5.1. Concluzie: TOLERAREA SCĂZUTĂ
10) Destituirea şefilor compartimentelor de audit intern fără avizul 9) Cauza: Informare necorespunzătoare a managementului entităţilor publice cu privire la
prealabil UCAAPI – nr. crt. din Registrul de risc: 5.2. procedura de numire a conducătorului compartimentului de audit intern.
Concluzie: TOLERAREA RIDICATĂ
10) Cauza: Informare necorespunzătoare a managementului entităţilor publice cu privire la
procedura de destituire a conducătorului compartimentului de audit intern.
Concluzie: TOLERAREA RIDICATĂ
2. Propuneri de acţiuni/măsuri de control -
3. Stadiul implementării acţiunilor de control -
4. Dificultăţi întâmpinate -
5. Alte probleme:
5.1. Au fost analizate riscurile prezentate la pct. 1 dpdv al definirii Riscurile au fost definite în conformitate cu regulile prezentate în metodologia de implementare a
acestora. Standardului nr. 11 - Managementul riscurilor
5.2. Analiza posibilităţilor de cooptare şi altor persoane din cadrul Pentru monitorizarea implementării măsurilor de control propuse, aferente riscului de la nr.205
crt 3.3.
direcţiei pentru monitorizarea implementării măsurilor de control. din Registrul riscurilor, a fost numit..................................................
5.3. A fost discutat calendarul şedinţelor de lucru până la sfârşitul Echipa de gestionare a riscurilor la nivelul direcţiei a hotărât ca următoarea şedinţă de analiză a
semestrului II al anului xxxx. riscurilor să aibă loc în data de _______.
2.2. CONTROLAREA RISCURILOR – RĂSPUNSUL LA RISC = COL 9 – 11
(1) În această etapă se stabileşte atitudinea faţă de risc: acceptare, monitorizare, transferare, externalizare sau
tratare.
Dacă riscurile urmează a fi tratate, se identifică măsurile posibile ce pot fi luate astfel încât riscurile să fie controlate
satisfăcător, se grupează în variante alternative, se alege varianta cea mai avantajoasă din perspectiva raportului cost/beneficiu.
(2) Persoana care a identificat un risc, pe lângă o estimare a probabilităţii şi a impactului riscului identificat, face propuneri
de acţiuni/instrumente de control, pe care le va cuprinde în Formularul de alertă la risc.
(3) EGR, în cadrul şedinţelor lunare de analiză a riscurilor, pentru fiecare risc identificat şi evaluat, face propuneri cu
privire la tipul de răspuns cel mai adecvat şi se pronunţă pentru:
1. tolerarea riscului, în situaţia în care se apreciază că riscul are o expunere scazută;
2. acceptarea riscului, ceea ce presupune amânarea luării măsurilor de control şi instituirea supravegherii
permanente a probabilităţii de apariţie a riscului;
3.eliminarea circumstanţelor care generează riscul;
4. externalizarea riscului, în situaţia în care se apreciază că pentru gestionarea eficace a riscului este necesară expertiza
unui terţ specializat;
5. atenuarea riscului, cu indicarea instrumentelor/măsurilor de control intern, prezentate în Îndrumarul metodologic pentru
dezvoltarea controlului intern în entităţile publice, elaborat de UCASMFC, ce trebuie implementate pentru a menţine riscul
respectiv în limita toleranţei la risc acceptate, conform Modelului de evaluare a expunerii la risc – Anexa nr. 1, litera d.
(4) În acelaşi cadru, EGR face propuneri cu privire la termenele limită pentru implementarea acţiunilor/măsurilor stabilite,
precum şi la responsabilii cu monitorizarea implementării acestora;
(5) Decizia finală cu privire la alegerea tipului cel mai adecvat de răspuns la risc, precum şi la numirea responsabililor cu
monitorizarea implementării acţiunilor/măsurilor stabilite, aparţine conducătorului direcţiei generale/direcţiei;
(6) La finalul şedinţei de analiză a riscurilor, Responsabilul cu riscurile:
1.consemnează în Procesul-verbal al şedinţei toate hotărârile luate în legătură cu controlarea riscurilor;
2.transmite responsabililor desemnaţi cu monitorizarea implementării măsurilor de control intern, Formularele de
alertă la risc şi documentaţia aferentă;
3.în baza informaţiilor cuprinse în Procesul-verbal, completează/actualizează/modifică coloanele nr. 9, 10 şi 11
din Registrul riscurilor de la nivelul direcţiei generale/direcţiei;
4.listează şi îndosariază un exemplar al Registrului riscurilor după ce acesta a fost semnat de conducătorul
direcţiei generale/direcţiei.
206
PROCES-VERBAL AL ŞEDINŢEI DE ANALIZĂ A RISCURILOR
Participă membrii EGR
Nr. Nume, prenume Funcţia Semnătura Nr. telefon
Ctr. Adresă e-mail
1. MS Director general
2. MG Şef Serv. SMG
3. TT Şef Serv. OAPI
4. NC Şef Serv. CER
5. GC Responsabil RR
Nr.
crt.
1. Riscuri analizate Au fost analizate acţiunile/măsurile de control propuse de
Nr. crt. din Registrul de risc 3.3. - Neidentificarea persoanele care au identificat riscurile pentru tratarea
corespunzătoare a nevoilor de formare a auditorilor interni - riscurilor.
2. Propuneri de acţiuni/măsuri de control: Măsurile/acţiunile identificate asigură ameliorarea riscului.
1) Analiza şi aplicarea PO: Realizarea programului de formare
profesională a auditorilor interni din sectorul public;
2) Elaborarea şi actualizarea planului privind perfecţionarea
pregătirii profesionale a auditorilor interni în corelaţie cu
cadrul de competenţe;
3) Supervizarea activităţii de către şeful de serviciu.
3. Stadiul implementării acţiunilor de control Implementate
4. Dificultăţi întâmpinate Nu este cazul
207
5. Alte probleme:
5.1. Stabilirea datei pentru următoare şedinţă de analiză a riscurilor. 1) Echipa de gestionare a riscurilor la nivelul direcţiei a
hotărât ca următoarea şedinţă de analiză a riscurilor să
aibă loc în data de 30.11.N.
2.3. IMPLEMENTAREA ŞI MONITORIZAREA ACŢIUNILOR ŞI MĂSURILOR DE CONTROL = COL 12
(1) În această etapă se realizează următoarele activităţi:

- monitorizarea implementării măsurilor;
- evaluarea efectului măsurilor implementate asupra riscurilor;
- reconsiderarea măsurilor luate în cazul în care acestea nu au ameliorat riscurile.
(2) Conducătorul direcţiei generale/direcţiei asigură cadrul organizaţional şi procedural pentru punerea în aplicare, de către
persoanele responsabile, a acţiunilor/dispozitivelor de control stabilite.
(3) Responsabilii cu monitorizarea implementării măsurilor de control realizează următoarele activităţi:

- deschid, pentru fiecare risc identificat şi evaluat, Fişa de urmărire a riscului – Anexa nr. 4, pe baza informaţiilor
cuprinse în formularele de alertă la risc şi în documentaţia aferentă;
- elaborează informări sau rapoarte lunare cu privire la stadiul implementării acţiunilor şi măsurilor de control, pe care le
prezintă responsabilului cu riscurile;
- întocmeşte un raport cu privire la stadiul implementării măsurilor de control intern dispuse anterior, pe care îl va prezenta,
spre analiză şi decizie, conducătorului direcţiei generale/direcţiei.
(4) EGR, în cadrul aceleiaşi şedinţe lunare de analiză a riscurilor, realizează următoarele activităţi:
- analizează stadiul implementării acţiunilor şi măsurilor de control;
- stabileşte, acolo unde este cazul, noi măsuri/instrumente de control pentru contracararea riscurilor specifice şi noi
termene pentru implementarea acestora;
- necesităţile de escaladare a riscurilor la nivelul ierarhic imediat superior.
(5) La finalul şedinţei, Responsabilul cu riscurile:
1. consemnează în Procesul-verbal al şedinţei toate hotărârile luate;

2. transmite responsabililor cu monitorizarea implementării, modificarea măsurilor sau a termenelor pentru riscurile aflate
deja în faza de implementare a măsurilor de control intern; 208
3. în baza informaţiilor/datelor cuprinse în Procesul-verbal, completează coloana nr. 12 din Registrul riscurilor de la
nivelul direcţiei generale/direcţiei şi, de asemenea, actualizează sau modifică, după caz, coloanele nr. 9, 10 şi 11.
Anexa nr. 4
FIŞA DE URMĂRIRE A RISCULUI
Directia:
Responsabilul cu monitorizarea implementării măsurilor:
(Nume, prenume)
Riscul monitorizat:
Denumire: Neidentificarea corespunzătoare a nevoilor de formare a auditorilor interni
Expunere: TOLERARE RIDICATĂ
Data urmăririi
Acţiuni preventive propuse Stadiul implementării acţiunilor preventive
riscului
16.11.200N 1) Analiza şi aplicarea PO: Realizarea programului de 1) Procedura operaţională a fost analizată şi implementată, termenul de
formare profesională a auditorilor interni din sectorul finalizare fiind 31.10.200N
public;
2) Elaborarea şi actualizarea Planului privind perfecţionarea 1) Planul a fost elaborat, termenul de finalizare este 31.10.200N.
pregătirii profesionale a auditorilor interni în corelaţie cu
cadrul de competenţe;
3) Supervizarea activităţii de Şeful de serviciu.
Dificultăti întâmpinate:
Acţiuni noi propuse Responsabil Termen de implementare
Elaborarea şi obţinerea unor chestionare cu privire la nevoia Ionescu Ion 07.10.200N

de formare profesională structurilor de audit intern, din
cadrul ent

Limbă

Managementul Riscurilor Si Controlul Intern - Postat 22.04.2020

Încărcat de

Informații document

Titlu original

Drepturi de autor

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Managementul Riscurilor Si Controlul Intern - Postat 22.04.2020

Încărcat de

Drepturi de autor:

MANAGEMENTUL RISCURILOR

CONF. UNIV. DR. FLORIN BOGHEAN

Ca definiţie cuvântul risc are semnificaţia incertitudinii ca un eveniment care

 Institutul Auditorilor Interni (IIA) defineşte riscul, ca fiind ,,incertitudinea ca un

 Riscul este ,, ameninţarea ca un eveniment sau o acţiune să afecteze

 Normele profesionale ale Auditului intern defineşte riscul astfel: “Posibilitatea

 Într-o lucrare de specialitate din literatura franceză se menţionează că ,,riscul

Apelând la procedeul de revizuire a literaturii de specialitate, reţinem următoarele

Organizaţia pentru Cooperare şi Dezvoltare Economică (O.C.D.E.) consideră că

„riscul reprezintă variabilitatea rezultatului posibil în funcţie de un

„riscul este incertitudinea cu privire la o pierdere” (G. Tieschman,

„riscul poate fi definit ca posibilitatea ca pierderile să fie mai mari

„riscul reprezintă incertitudinea cu privire la producerea unei

„riscul este acea situaţie în care există posibilitatea unei devieri

O primă diferenţă face referire la faptul că numeroşi manageri asociază

 A doua diferenţă constă în faptul că pentru manageri, riscul nu reprezintă o

A treia diferenţă se rezumă la activitatea managerială, care desi iniţial are la

stabilirea strategiei şi identificarea elementelor care pot să afecteze

gestionarea riscurilor viitoare în limitele vulnerabilităţii entităţii faţă de risc, cu

este generalizată în întreaga entitate, la fiecare nivel, structură şi formă de

identificarea şi auditul intern al evenimentelor, tranzacţiilor, operaţiunilor

oferirea unei asigurări satisfăcătoare la nivel de management,

direcţionarea tuturor proceselor spre realizarea obiectivelor într-una sau mai

Pentru audit, este important şi riscul privind modul de prelucrare a

Riscurile legate de situaţia economică a entităţii, fiind cauzate de:

factori externi, cum ar fi: lipsa de solvabilitate a unor clienţi, pieţele

factori interni: existenţa unor reguli economice, juridice, fiscale, sociale

 politicile aplicate de manageri: politica de investiţii financiare poate

 structura entităţii: dacă este o entitate înfiinţată prin participarea altei

Riscurile legate de concepţia şi funcţionarea sistemelor, de exemplu:

sistemul eronat conceput sau aplicat, care poate deteriora

sistemul bine conceput şi aplicat constituie o protecţie de bază

De exemplu: o conducere atentă la calificarea informaţiilor

Invers, conducerea care are o încredere prea mare în

Riscuri economice, care sunt determinate, atât de evoluţiile contextuale

Cele mai frecvente riscuri economice care influenţează deciziile sunt:

Riscuri financiare, aferente obţinerii şi utilizării capitalurilor de

Riscurile fabricaţiei, generate de imperfecţiuni tehnologice şi

Riscuri sociale, care au în vedere relaţii cu personalul firmei și

Riscuri naturale, generate de calamităţi naturale sau de alte cauze de

Identificarea si folosirea riscurilor pentru a dezvolta o

 metodologia ilustrativa a Cadrului general de control intern;

Diagramele constituie o metoda de analiza a operatiunilor

Pe partea stanga a desenelor grafice se pot nota riscurile, iar

CCI este un test de conformitate destinat sa dea siguranta controalelor, ca

Un segment dintr-un CCI tipic contine urmatoarele elemente:

Intrebare Raspuns Comentarii Metoda Efectuat de

 O alta caracteristica care trebuie considerata este natura fiecarui control

Metodele de evaluare contin doua tipuri generale de instrumente:

a). Instrumente ale componentei – se refera la analiza componentelor

Metodele componentei sunt destinate sa evalueze fiecare din cele cinci

b). Foaia de Evaluare a riscului si Activitatii de control – este folosita pentru

 Frecventei estimate a aparitiei i se da o rata (p) de la 1 la 8:

De exemplu, un eveniment care poate costa compania 1 mil USD iar

Rezultatul 33.333 USD / an sugereaza ca un control destinat sa

3. Resurse umane şi Resurse umane (alocare a resurselor umane, competenţe)

4. Legalitate şi regularitate Claritate, coerenţ în implementarea cadrului legal şi procedural

Menţionăm că riscurile nu au toate aceeaşi posibilitate de a se

riscurile potenţiale, adică cele ce sunt susceptibile, teoretic, de a se

riscurile posibile, adică acele riscuri potenţiale împotriva cărora

 Care este impactul în urma producerii riscului ?

 Care este probabilitatea de apariţie a riscurilor ?

 Riscul de control (Rc) este cunoscut si sub denumirea de risc de personal

 Prin sistem de control se intelege mediul de control din cadrul organizatiei

 Nivelul riscului de nedetectare depinde în mod direct de