Sunteți pe pagina 1din 295

MANAGEMENTUL RISCURILOR

CONF. UNIV. DR. FLORIN BOGHEAN


ABORDĂRI CONCEPTUALE PRIVIND RISCUL DE AUDIT

Ca definiţie cuvântul risc are semnificaţia incertitudinii ca un eveniment care


afectează realizarea obiectivelor entităţii să se producă, el poate fi măsurat
prin doi parametrii, probabilitatea producerii şi impactul produs.

 Institutul Auditorilor Interni (IIA) defineşte riscul, ca fiind ,,incertitudinea ca un


eveniment capabil să afecteze realizarea obiectivelor, să se producă.”

 Riscul este ,, ameninţarea ca un eveniment sau o acţiune să afecteze


negativ capacitatea unei organizaţii de a-şi atinge obiectivele
stabilite.”(Emilia Vasile,2005)

 Normele profesionale ale Auditului intern defineşte riscul astfel: “Posibilitatea


de a se produce un eveniment care ar putea avea un impact asupra
îndeplinirii obiectivelor.”

 Într-o lucrare de specialitate din literatura franceză se menţionează că ,,riscul


este un ansamblu de împrejurări care ar putea avea consecinţe negative
asupra unei entităţi şi ale căror control intern şi audit au ca misiune
tocmai asigurarea unui bun control asupra acestora, pe cât
posibil.”(D.McNamee, G.Selim,2000)
2
Cuvântul „risc” derivă de la cuvântul italian „risicare”, care înseamnă „a
îndrăzni”. În acest sens, riscul este o alegere, nu o soartă (1). Acţiunile pe
care îndrăznim să le întreprindem, acţiuni ce depind de gradul de libertate pe
care îl deţinem sau ni-l asumăm, toate acestea ajută la definirea a ceea ce
înseamnă a fi o persoană umană.

Apelând la procedeul de revizuire a literaturii de specialitate, reţinem următoarele


definiţii:
riscul este un eveniment viitor şi probabil a cărui producere ar putea
genera pierderi
riscul reprezintă un inconvenient posibil, producător de prejudicii care
poate interveni în derularea unei afaceri
riscurile sunt evenimente previzibile şi imprevizibile, subiective şi
obiective, care generează o pagubă
riscul semnifică variabilitatea rezultatului întreprinderii sub presiunea
mediului său. (Dorobanţu H.,Toma S.,Vasiliu C.,Dorobanţu E., 2001:112)

Organizaţia pentru Cooperare şi Dezvoltare Economică (O.C.D.E.) consideră că


„riscul este constituit din posibilitatea ca un fapt cu consecinţe nedorite să
se producă” (Definiţie preluată de W. Shaunessy în La faisabilite de project, les
Editions de SMG, Paris, 1983).
3
(1) K. H. Spencer Pickett -The Internal Auditing Handbook, Second Edition, Editura John Wiley & Sons, III, River Street, Hoboken, NY 07030, USA, 2006, pag. 54, definiţie dată de
Peter L. Bernstein, autorul primei lucrări privind auditul intern.
Se distinge că:

„riscul reprezintă variabilitatea rezultatului posibil în funcţie de un


eveniment nesigur, incert” (Dorfman, Introduction to risk
management and insurance, 4-th edition);

„riscul este incertitudinea cu privire la o pierdere” (G. Tieschman,


Risk and insurance, 7-th edition);

„riscul poate fi definit ca posibilitatea ca pierderile să fie mai mari


decât se asteaptă” (M. Hedges, Risk management. Concepts and
aplications);

„riscul reprezintă incertitudinea cu privire la producerea unei


pagube” (Rejda, Principles of risk management and insurance, 4-th
edition);

„riscul este acea situaţie în care există posibilitatea unei devieri


potrivnice a rezultatului sperat” (Vaughn, Fundamentals of risk and
insurance, 5-th edition).
4
În realitate se manifestă trei diferenţe semnificative în raport cu modalitatea
de prezentare a riscului.

O primă diferenţă face referire la faptul că numeroşi manageri asociază


noţiunea de risc cu apariţia rezultatelor negative, ei netratând riscul ca pe un
aspect important al vieţii economice. Cu alte cuvinte, există o permanentă
tensiune între noţiunea de risc privită ca o funcţie de repartiţie a
rezultatelor posibile şi noţiunea de risc privită ca un pericol sau ca un
eveniment fortuit.

 A doua diferenţă constă în faptul că pentru manageri, riscul nu reprezintă o


noţiune cu caracter de probabilitate. Conform unui studiu elaborat în acest
sens, un procent de aproximativ 54% dintre managerii care au fost chestionaţi
consideră nesiguranţa ca pe un factor important de risc. Pentru ei, însă,
rezultatele situate sub nivelul asteptărilor prezintă o importanţă decisivă. Peste
80% dintre managerii ce au fost supusi testului au manifestat preocupări sporite
manifestate în domeniul analizei „rezultatelor cele mai slabe” sau au fost
preocupaţi de „deficitul maxim”. Se poate observa faptul că managerii sunt atrasi,
mai degrabă, de prezentarea riscului prin recurgerea la anumite mărimi cu
caracter valoric.

A treia diferenţă se rezumă la activitatea managerială, care desi iniţial are la


bază o amplă activitate de evaluare a riscului potenţial prin folosirea metodelor
cantitative, în final, totul se diminuează doar la un număr restrâns de dorinţe care
se aplică pentru sume derizorii. 5
Gestionarea riscurilor este un proces care se derulează de către Consiliul de
Administraţie sau de Comitetul Director, împreună cu un număr de persoane din
diferitele structuri ale entităţii care are ca obiect:

stabilirea strategiei şi identificarea elementelor care pot să afecteze


entitatea, activitatea şi rezultatele acesteia,

gestionarea riscurilor viitoare în limitele vulnerabilităţii entităţii faţă de risc, cu


scopul de a furniza un nivel satisfăcător de asigurare, în ceea ce priveşte
realizarea obiectivelor entităţii,

este generalizată în întreaga entitate, la fiecare nivel, structură şi formă de


organizare-funcţionare, auditul intern oferind o perspectivă generală şi
completă asupra riscurilor,

identificarea şi auditul intern al evenimentelor, tranzacţiilor, operaţiunilor


care pot afecta realizarea obiectivelor funcţionale ale entităţii şi a rezultatelor
aşteptate, monitorizarea riscurilor identificate în limitele apetitului pentru risc,

oferirea unei asigurări satisfăcătoare la nivel de management,

direcţionarea tuturor proceselor spre realizarea obiectivelor într-una sau mai


multe categorii separate, dar conectate cu elemente comune. 6
Tipologia riscurilor
Riscuri generale
O posibilă sinteză tipologică a riscurilor, specifică economiei de piaţă este prezentată în
continuare:
a. după dimensiunea şi forţa acţiunii riscului asupra afacerilor:
risc de ţară;
risc sectorial: financiar-bancar, valutar, comercial etc.;
risc de entitate;
risc de afacere.
b. după sursa generatoare de risc economic:
risc economic general;
risc specific entităţii;
risc internaţional.
c. după sectorul de activitate:
riscuri în sectorul primar;
riscuri în sectorul secundar;
riscuri în sectorul terţiar;
riscuri în sectorul cuaternar.
d. după posibilitatea de asigurare:
risc asigurabil;
neasigurabil.
e. după formele pe care le îmbracă:
7
risc economic;
risc financiar;
risc de faliment.
Din punct de vedere al abordării riscurilor, există următoarea
clasificare: (A.Arens, J.Loebbecke, 2003):

 riscul inerent;
riscul de control;
riscul de nedetectare;

Pentru audit, este important şi riscul privind modul de prelucrare a


informaţiei preluată din documente justificative, care poate fi:
 risc interpretativ, prin interpretare eronată a tranzacţiei, ţine
de raţionamentul profesional;
 risc personal, ce ţine de atitudinea în timpul prelucrării;
 risc profesional generat de neconcordanţa nivelului de
pregătire şi nivelul de dificultate al prelucrării;
 risc legislativ;
 risc fiscal, ca efect al interpretării eronate sau necunoaşterii
legii fiscale,
 risc interpretativ, prin interpretare eronată a tranzacţie, ţine
de raţionamentul profesional;
 risc legislativ. 8
Auditorul în procesul de audit trebuie să depisteze şi să analizeze şi
riscurile generale privind entitatea auditată.

Riscurile legate de situaţia economică a entităţii, fiind cauzate de:

factori externi, cum ar fi: lipsa de solvabilitate a unor clienţi, pieţele


entităţii fiind circumspecte;

factori interni: existenţa unor reguli economice, juridice, fiscale, sociale


specifice entităţii , ce implică riscuri particulare care trebuie înregistrate ca
atare în procesul din mediul economic intern.

9
Riscurile, legate de organizarea entităţii, sunt cauzate de:

 politicile aplicate de manageri: politica de investiţii financiare poate


influenţa clasificarea valorilor mobiliare, respectiv a titlurilor de
participare sau de plasament, care trebuie corect înregistrate în
contabilitate.

 structura entităţii: dacă este o entitate înfiinţată prin participarea altei


entităţii la formarea capitalului social, aceasta va avea anumite
avantaje, faţă de o alta entităţii, deoarece beneficiază de credite mai
favorabile, anumite facilităţi dar şi obligaţii, prin aprovizionări sau
vânzări în condiţii impuse de conducerea grupului.

Riscurile legate de concepţia şi funcţionarea sistemelor, de exemplu:


 riscurile legate de natura şi complexitatea metodelor: evaluarea
producţiei în curs a unei entităţi cu ciclu lung de fabricaţie e mai dificilă
decât a stocurilor dintr-o entitate comercială; prelucrarea contabilă a
unor contracte complexe se poate dovedi dificilă.

10„
10
Riscurile legate de auditul intern, cum ar fi:

sistemul eronat conceput sau aplicat, care poate deteriora


informaţia sau o parte din ea, prin urmărire ineficientă a clienţilor
incerţi, putând provoca pierderi prin continuarea livrărilor sau
prestărilor, care nu vor fi achitate, poate, niciodată; definirea eronată a
responsabilităţilor în privinţa lansării comenzilor, poate determina
aprovizionări peste necesităţi sau la preţuri care pot genera pierderi.

sistemul bine conceput şi aplicat constituie o protecţie de bază


împotriva riscului de erori şi generează pe termen mediu sau lung,
efecte de performanţă.

11
Riscurile legate de atitudinea managerilor; indiferent de
virtuţile auditului intern, atitudinea managerilor poate
contribui la amplificarea eficienţei sau invers, la sporirea
riscurilor de aplicare a procedurilor contabile;

De exemplu: o conducere atentă la calificarea informaţiilor


sistemelor şi la eficienţa serviciilor sale va asigura o
supraveghere a ansamblului operaţiilor, urmărind aplicarea
şi funcţionarea sistemelor performante şi fiabile.

Invers, conducerea care are o încredere prea mare în


calitatea personalului său, necoordonând activităţile
acestora, nu va putea descoperi riscul. Managerii, supuşi
unor presiuni prea mari, pot fi tentaţi să-şi influenţeze
colaboratorii, pentru a minimaliza aparenţa dificultăţilor lor şi
a face astfel inoperant sistemul de audit intern.
12
Alte riscuri
De un real ajutor pe acest plan este cunoaşterea principalelor forme de
risc cu care entităţile sunt confruntate, pe care managerii trebuie să le ia
în considerare:

Riscuri economice, care sunt determinate, atât de evoluţiile contextuale


entităţii, cât și calitatea activităţii economice din mediul său.

Cele mai frecvente riscuri economice care influenţează deciziile sunt:


riscul creşterii inflaţiei;
riscul amplificării ratei dobânzilor de credite;
riscul modificării cursului de schimb valutar;
riscul investiţional.

Riscuri financiare, aferente obţinerii şi utilizării capitalurilor de


împrumut, dintre care cele mai frecvente sunt:
riscul rămânerii fără lichidităţi;
riscul neasigurării rentabilităţii;
riscul îndatorării; 13
Riscuri comerciale, asociate operaţiunilor de aprovizionare şi vânzare
ale entităţii pe piața internă și externă din care enumerăm:
riscul de preţ;
riscul de transport;
riscul de vânzare;

Riscurile fabricaţiei, generate de imperfecţiuni tehnologice şi


organizatorice în cadrul activităţilor de producere efectivă ale
mărfurilor, printre care enumerăm:
riscul nerealizării calităţii dorite;
riscul neobţinerii produselor planificate;
riscul neîncadrării în consumurile specific normate;
riscul rebuturilor;
riscul accidentelor de muncă;

14
Riscurile politice, care decurg din modificările strategiei, tacticii și
acţiunilor curente ale factorilor politici din propria ţară (la nivel naţional,
regional și local), din ţările cu care entitatea are contacte directe și
indirecte. Cele mai frecvente riscuri politice generate de evenimente
independente de voinţa și solvabilitatea entităţii sunt:
riscuri de restrângere a importurilor şi/sau exporturilor; riscul
limitării trasferului valutar;
riscul refuzului admiterii produselor firmei pe teritoriul anumitor
state;
riscul de ţară, care reflectă nu numai factori de natură politică şi
economică, ci şi socială.

Riscuri sociale, care au în vedere relaţii cu personalul firmei și


comportamentul acestuia.
Generate în bună măsură atât de factori economici, cât şi de natură
umană, riscurile sociale, cu care se confruntă cel mai des managerii,
sunt:
riscul demotivării personalului;
riscul unor cheltuieli cu forţa de muncă, salariile în primul rând;
riscul pierderii poziţiilor managerial de către conducători;
riscul conturării unei culturi organizaţionale antieconomice. 15
Riscuri juridice, ce decurg din incidenţa legislaţiei naţionale şi, mai rar,
internaţionale asupra activităţilor entităţii. Din marea varietate a riscurilor
juridice menţionăm:
riscul pierderii sau distrugerii mărfii;
riscul neîncasării sumelor cuvenite pentru operaţiunile economice
efectuate;
riscul pierderii proprietăţii;
riscul plăţii de impozitare şi taxe suplimentare sau majorate;
riscul penalizării economice sau penale a managerilor;
riscul blocării afacerii.

Riscuri naturale, generate de calamităţi naturale sau de alte cauze de


forţă majoră, în care factorii naturali au ponderea decisivă. Cele mai
frecvente riscuri naturale, de care managerii trebuie să ţină seama în
procesele decizionale sunt urmatoarele:
riscul de incendii;
riscul de cutremure;
riscul de inundaţii.
16
17
Metode analitice de identificare a riscurilor

Identificarea si folosirea riscurilor pentru a dezvolta o


structura de control intern optima implica o metoda analitica
sau o combinare a acestor metode. Aceste metode sunt:

 diagrame de fluxuri;
 chestionare referitoare la controlul intern;

 analize matriciale;

 metodologia ilustrativa a Cadrului general de control intern;

 metoda Courtney.
1) Diagrame de fluxuri

Diagramele constituie o metoda de analiza a operatiunilor


pentru eficienta si control. Se reprezinta fluxul activitatilor
de-a lungul procesului. Reprezinta mijloace de comunicare
excelente intre auditorul intern si personalul operational.
Aceasta metoda este utilizata azi mai des datorita posibilitatii
de utilizare a calculatoarelor.

Pe partea stanga a desenelor grafice se pot nota riscurile, iar


pe partea dreapta controalele, sau alte observatii.
2) Chestionare referitoare la controlul intern (CCI)

CCI este un test de conformitate destinat sa dea siguranta controalelor, ca


acestea sunt in functiune si ca riscurile pot fi evaluate. Poate fi folosit si ca o lista
de verificare, pentru auditor, a controalelor care ar trebui sa fie in functiune si
testate in cursul auditului intern.

Un segment dintr-un CCI tipic contine urmatoarele elemente:

Intrebare Raspuns Comentarii Metoda Efectuat de


Sunt receptiile Da MEL
comparate cu facturile? Aceasta asigura Interogare
ca nu se primesc Observare
alte cantitati Test
3) Analize matriciale
 O matrice de controale este o metoda pentru punerea fata in fata a
controalelor si riscurilor pentru a ne asigura ca fiecare risc este acoperit
de un control adecvat.

 Fiecare control intern este destinat unui anumit risc sau mai multor
riscuri si poate fi: control primar (P), control secundar (S) - avand un
nivel de asigurare mai scazut - sau controale folositoare (F) – care
dau un al treilea nivel de asigurare unui alt control.

 O alta caracteristica care trebuie considerata este natura fiecarui control


– preventiv (p) sau detectiv (d):
Control A Control B Control C
Risc 1 P(p) F(d)
Risc 2 S(p) P(p) F(d)
Risc 3 P(d)
4) Metodologia ilustrativa a Cadrului general de control intern

Metodele de evaluare contin doua tipuri generale de instrumente:

a). Instrumente ale componentei – se refera la analiza componentelor


sistemelor de control.

Metodele componentei sunt destinate sa evalueze fiecare din cele cinci


componente ale sistemului de control intern din structura entitatii. Fiecare
componenta este subdivizata in probleme independente numite puncte
cheie. Acestea sunt mai departe dezvoltate in exemple specifice care pot fi
examinate si comentate.

b). Foaia de Evaluare a riscului si Activitatii de control – este folosita pentru


a evalua obiective, riscuri si controale specifice. Aranjarea Foii de lucru
duce persoana care o intocmeste spre procesul analitic.


5) Metoda Courtney

Tehnica implica un calcul prin care sumele in dolari (e.g.) sunt atribuite riscurilor
potentiale si sunt facute estimari asupra frecventei cu care aceste riscuri pot crea
dificultati.
Impactului potential al unui eveniment îi este dat o valoare de la 1 la 7.
Suma ($) V
10 = 1
100 = 2
1,000 = 3
10,000 = 4
100,000 = 5
1,000,000 = 6
10,000,000 = 7

 Frecventei estimate a aparitiei i se da o rata (p) de la 1 la 8:


p

Frecventa
O data la 300 ani = 1
O data la 30 ani = 2
O data la 3 ani = 3
O data in 100 zile = 4
O data in 10 zile = 5
O data pe zi = 6
10 ori pe zi = 7
100 ori pe zi = 8
Urmatoarea formula calculeaza pierderea estimata in dolari (e.g.) pe
an, daca apare un eveniment nedorit:

10 ^ (p + v - 3)
3

De exemplu, un eveniment care poate costa compania 1 mil USD iar


aceasta se poate intampla o data la 30 de ani, atunci v = 6 si p = 2.

Rezultatul 33.333 USD / an sugereaza ca un control destinat sa


previna acest risc trebuie sa coste mai putin de 33.333 USD/an.

In loc de concluzii:
R. Maynard a identificat 12 “cele mai bune practici” care pot fi adoptate de orice
organizatie pentru a dezvolta o abordare a managementului complet integrat:
 combinarea analizelor obiective si subiective ale universului auditului intern pentru
a scoate in evidenta prioritatile;
 analizarea abilitatilor managementului pentru a atinge tintele si obiectivele stabilite
in procedurile de pre-audit;
 utilizarea chestionarelor pentru a examina controalele interne de sus in jos;
 analizarea proceselor pentru stabilirea si supravegherea limitelor riscurilor;
 revizuirea altor functii ale managementului riscului cum ar fi trezoreria, conformitatea
si controalele contabile;
 observarea procesului de planificare strategica si rezultatelor sale;
 evaluarea initiativelor strategice;
 integrarea activitatilor de audit;
 bazarea procesului de audit pe efectul net al expunerii la risc si controalele
compensatorii;
 parteneriatul cu managementul furnizand servicii consultative si informatii care
contribuie la adaugarea de valoare;
 revizuirea eticilor ca element de baza al controlului intern;
 efectuarea unui audit comprehensiv al intregului program de management al riscului.
Tipologia riscurilor la nivelul UE
Principalele categorii de riscuri Sub-grupuri

Externe 1. Mediul extern (din afara Riscuri de macro-mediu (geo-politice, economice, dezastre
direcţiilor generale/Comisiei) naturale, etc.)
Decizii politice şi priorităţi stabilite în afara CE (ex: Parlament,
Consiliu, State Membre)
Parteneri externi (Agenţii, consultanţi, media)

Interne 2. Planificare, procese şi Strategii, planificare şi politici, inclusiv decizii de politică internă;
sisteme Procese operaţionale
Procese financiare şi alocare bugetară
 Sisteme informatice sau alte sisteme suport

3. Resurse umane şi Resurse umane (alocare a resurselor umane, competenţe)


organizatorice Comportament organizaţional şi etică (fraudă, conflict de inrese)
Organizare internă (guvernanţă, responsabilităţi, delegare de
competenţe)
Securitatea pesonalului, a clădirilor şi a echipamentelor

4. Legalitate şi regularitate Claritate, coerenţ în implementarea cadrului legal şi procedural

26
5. Comunicare şi informare Metode de comunicare şi canale de comunicare
Calitatea şi promptitudinea informaţiilor
Riscul de audit- elemente componente

Menţionăm că riscurile nu au toate aceeaşi posibilitate de a se


realiza și din acest punct de vedere avem:

riscurile potenţiale, adică cele ce sunt susceptibile, teoretic, de a se


produce dacă nici un control nu este exercitat pentru a le preveni sau
pentru a le detecta și corecta. Aceste riscuri sunt comune tuturor
entităţilor;

riscurile posibile, adică acele riscuri potenţiale împotriva cărora


entitatea, în general, nu dispune de mijloace pentru a le limita. Când
astfel de mijloace lipsesc, există o mare probabilitate ca anumite erori
să se producă fără să fie detectate sau corectate de către entitate.

27
Pentru a exprima nivelul riscului de audit se pot utiliza termeni cantitativi
(procente) sau calitativi (scăzut, mediu, ridicat).

 Care este impactul în urma producerii riscului ?

Foarte ridicat
Ridicat

IMPACT
Mediu
Scăzut
Foarte scăzut
Scala impactului

 Care este probabilitatea de apariţie a riscurilor ?

PROBABILITATE

Foarte Foarte
Scăzută Medie Mare
scazuta
scăzută mare
28
Scala probabilităţii
 Riscul inerent (Ri) cunoscut şi sub denumirea de “riscul afacerii”. Riscul sau
eroarea apăruta datorita mediului in care entitatea isi desfasoara activitatea;
 reprezintă o apreciere pe care o face auditorul privind existenţa unor precizări
eronate într-un segment supus auditului, înainte de a estima eficacitatea
situaţiei de fapt. Riscul inerent reflectă fragilitatea situaţiilor financiare faţă de
apariţia unor erori, în condiţiile unui control intern inexistent. Dacă auditorul
ajunge la concluzia că există o probabilitate de eroare, fără a ţine cont de
controlul intern, atunci el va deduce că riscul este mare. Controlul intern este
ignorat în determinarea riscului inerent, deoarece el este analizat separat în
modelul de risc al auditului. Evaluarea are la bază discuţiile purtate cu echipa
de conducere.

 Riscul de control (Rc) este cunoscut si sub denumirea de risc de personal


sau risc organizational. Riscul de control reprezinta riscul ca anumite erori
sau nereguli sa nu fie prevenite, sau, detectate si corectate, de sistemul de
control intern implementat in cadrul organizatiei.

 Prin sistem de control se intelege mediul de control din cadrul organizatiei


(ex: cadrul organizational si procedural), implementat de management
pentru diminuarea riscurilor inerente, si pentru prevenirea, detectarea si
corectarea erorilor materiale.
29
 Riscul de nedetectare (Rn) reprezintă riscul, ca o procedură de
fond a auditorului să nu reuşească să descopere o eroare
semnificativă ce există în soldul unui cont sau categorie de tranzacţii,
individuală sau cumulată cu informaţii eronate din alte solduri sau
categorii de operaţii.

 Nivelul riscului de nedetectare depinde în mod direct de


procedurile de fond ale auditorului în sensul că, prin evaluarea
riscului de control și a riscului inerent, se influenţează natura, durata
și întinderea acestor proceduri de fond în vederea reducerii riscului
de nedetectare şi, în consecinţă, a riscului de audit, până la un nivel
minim acceptabil.

30
Între cele patru categorii de riscuri se poate exprima relaţia privind riscul de
nedetectare:

Ra
Rn 
Ri  Rc

Având în vedere existenţa unor limite inerente auditului, precum şi a unor limite
inerente oricărui sistem de audit intern, există riscul inevitabil ca unele inexactităţi
semnificative să nu fie descoperite.

Atunci când auditorul are indicii că ar exista fraude sau erori care ar duce la
apariţia unor inexactităţi semnificative, el trebuie să-şi extindă procedurile de
control în scopul confirmării sau infirmării temerilor sale.

Nivelul riscului de nedetectare este dependent de gradul de adecvare a


tehnicilor de eşantionare, de selectare a eşantionului, de experienţa membrilor
echipei, de lărgimea eşantionului. Din cele expuse rezultă că există o întreagă
reţea de riscuri de care auditorui trebuie să ţină seama. 31
Definirea componentelor riscului de audit
RISCUL INERENT RISCUL DE CONTROL RISCUL DE
(Ri) (RC) (NE)DETECTARE
(RN)
1. Susceptibilitatea unor  Reprezintă riscul ca o  Este riscul ca o
informaţii eronate ca materialitate declaraţie eronată, ce ar procedură de fond
individuală sau cumulat cu putea apărea în soldul unui utilizată să nu
informaţii eronate din alte solduri cont sau într-o categorie detecteze o informaţie
sau tranzacţii presupunând că nu de tranzacţii şi care ar eronată ce exista în
au existat controale interne putea fi materială, soldul unui cont sau
corespunzătoare. individual sau cumulat, să categorie de tranzacţii
2. În planul de audit, auditorul nu poate fi prevenită sau care poate fi materială
intern evaluează riscul inerent ca detectată şi corectată în individual sau cumulat.
o probabilitate că unele situaţii timp util de către sistemul Riscul de nedetectare
financiare eronate să se producă contabil şi sistemul de este riscul de a nu se
în practică fiind slăbiciuni ale control intern. descoperi acele erori
controlului intern. Sistemul de control materiale care nu au
3. Aprecierea existenţei unei intern este important fost depistate de
probabilităţi înalte ca erorile din cuprinzând: sistemul de control
situaţiile financiare să nu fie -mediul de control intern (SCI). El poate fi
depistate de controlul intern, -procedurile de control influenţat de către
înseamnă că riscul inerent este intern auditor prin
ridicat.  Când controalele schimbarea naturii
4. Segmentarea situaţiilor interne sunt reduse perioadei de timp,
financiare cu cea mai mică şi cea numeric şi slabe calitativ, extinderea testelor de
mai mare probabilitate de a fi auditorii nu se pot baza pe fond aplicate asupra
eronate. ele. unui cont.
5. Aceasta influenţează  Ineficacitatea  NP↑, RN↓
dimensiunea probelor de audit controlului intern  Risc propriu:
necesare. înseamnă creşterea, neaplicarea unei 32
6. Declaraţiile conducerii, riscului de control, proceduri (NP) de
eronate conduc la situaţii determinându-i pe auditori auditare sau
financiare false. să nu aibă încredere în neinterpretarea uneia
Cultura adversă riscului se caracterizează prin:

 conducerea tinde să se limiteze la ceea ce ştie;


 stabilitatea, experienţa şi cunoştinţele sunt valorile esenţiale şi sunt
atributele cele mai căutate;
 organizaţia este foarte reactivă, tinde să aştepte să se întâmple ceva
rău şi abia apoi acţionează;
 de obicei, organizaţia este extrem de ierarhizată şi majoritatea deciziilor
se iau la vârful organizaţiei;
 conducerea pierde mult timp încercând să determine cum să-şi
desfăşoare activităţile mai eficient, în loc să se îndrepte către nevoile de
servicii ale consumatorilor;
 în cadrul organizaţiei, strategiile nu se schimbă prea des, iar când se
întâmplă, constituie un eveniment important;
 greşelile sunt personalizate, astfel încât oamenii sunt lipsiţi de iniţiativă,
aceasta fiind tipic o “cultură bazată pe vină”.
33
Cultură care acceptă riscul, numită cultura „se poate face” (can do),
care se caracterizează prin:

 inovarea şi motivarea sunt cele mai apreciate valori;


 există preocupare pentru exploatarea oportunităţilor şi cointeresarea
personalului;
 luarea deciziilor majore este problema managementului general, iar
abilitatea luării deciziilor de rutină este transmisă întregii organizaţii;
 orientarea principală a organizaţiei este externă, urmărind în general
asigurarea serviciilor clienţilor;
 strategiile şi politicile se schimbă frecvent pentru a reflecta schimbarea
circumstanţelor;
 a greşi este destul de acceptabil – chiar încurajat – dar a ascunde
greşeala este inacceptabil.

34
Există multe beneficii ale încorporării managementului riscului în
cultura organizaţiei, printre care:

Atenţie mai mare acordată aspectelor care chiar contează;


Reducerea timpului pierdut de conducere cu disputele;

Mai puţine surprize;

Mai mulţi clienţi mulţumiţi;

Protejare a reputaţiei;

Mai multă atenţie pentru a face lucrurile corecte într-o manieră corectă;

Posibilitate mai mare de a atinge obiectivele firmei;

Mai puţine plângeri;

Posibilitate sporită de iniţiative de schimbare şi atingerea beneficiilor


proiectelor/proiectate;
 Asumare a riscului şi adoptare mult mai informată a deciziilor;

Sprijin pentru inovare;

Costuri de asigurare mai reduse. 35


Obiectivele abordării managementului riscului de
către organizaţie au la baza următoarele principii:
 Gestionarea riscului este o componentă
cheie a managementului strategic
 Atitudinea pozitivă faţă de riscurii
 Abordarea riscurilor în momentul adoptării
oricărei decizii.
 Analiza oportunităţior care apar in procesul
gestionării riscurilor şi a ameninţările care pot
împiedica atingerea obiectivelor.

36
Pentru a atinge aceste obiective organizaţia trebuie să aibă în vedere
următoarea abordare:
 stabilirea răspunderilor clare, roluri şi linii de raportare pentru

gestionarea riscurilor vor fi înfiinţate şi menţinute în cadrul tuturor funcţiilor


şi departamentelor;
 introducerea unor programe de training şi oportunităţi pentru învăţare

pentru a le asigura managerilor dobândirea şi dezvoltarea abilităţilor şi


expertizei necesare gestionării riscului;
 analizele riscurilor să fie încorporate în procesului decizional şi să facă

parte din acest proces;


 întreprinderea de măsuri pentru gestionarea riscurilor individuale
adecvate posibilităţilor de apariţiei a riscurilor şi a impactului potenţial al
acestora asupra atingerii obiectivelor;
 existenţa unui registru de riscuri actualizat care să poate fi uşor
accesibil tuturor celor implicaţi pentru identificarea riscurilor strategice
şi operaţionale, si să ofere o estimare a măsurilor de control în curs al
căror rol este gestionarea acestor riscuri;
 măsurarea performanţelor activităţilor de management al riscurilor în

raport cu ţelurile şi obiectivele stabilite;


 preocupare pentru înţelegerea riscului şi a gestionării acestuia la37
toate nivelurile organizaţiei, cu partenerii şi acţionarii majoritari, combinată
cu un tratament al riscului în cadrul organizaţiei.
EVALUAREA SISTEMELOR DE MANAGEMENT AL
RISCURILOR

Considerăm că o metodă eficientă de identificare şi evaluarea a


riscurilor porneşte de la analiza riscului care are următoarele scopuri:

 identificarea riscurilor în ceea ce priveşte activitatea structurii


auditate;

 dacă controalele interne sau aplicarea procedurilor structurii


auditate pot preveni, elimina sau minimiza pericolele;

 evaluarea structurii şi evoluţiei controlului intern la structura


auditată.

38
Modele de evaluare cantitative şi calitative a riscurilor
Pentru a exemplifica evaluarea cantitativă a riscurilor să presupunem
că auditorul a estimat riscul inerent şi riscul de control la 40%, iar
riscul de audit la 5%. Riscul de nedetectare va fi determinat pe baza
formulei prezentate anterior, ca raport între riscul de audit şi riscul inerent
înmulţit cu riscul de control la o valoare de 31%.

Ra 0.5
Rn = Rn = 0,31(31%)
RiRc 0.4*0.4

Principalele avantaje ale acestui model ar fi faptul că este un model rapid şi facil
de aplicat, este un model care se poate realiza fără ajutorul unui computer
necesitând doar cunoştinţe elementare de matematică.

Practicienii utilizează, preponderent, modelul oferit de standardele internaţionale,


deşi acesta este adesea criticat în literatură, principalele argumente împotriva lui
fiind modul simplist în care tratează problema şi incapacitatea de a răspunde 39
tuturor cerinţelor auditorilor.
Modelul funcţiilor încrederii pentru evaluarea riscului în audit
 De exemplu, dacă auditorul decide să nu ia în considerare factorii
inerenţi, valoarea riscului inerent va fi stabilită ca fiind 1. Deoarece o
probabilitate egală cu 1 înseamnă certitudine, s-ar părea că există
erori materiale în conturi. Dar acesta nu este ceea ce doreşte auditorul
când decide să nu ia în considerare factorii inerenţi. Intenţia auditorului
este reprezentată mai bine prin funcţiile încrederii care reflectă că o
valoare egală cu 1 înseamnă doar că duce lipsă de probe în ceea ce
priveşte factorii inerenţi.

 Într-o situaţie extremă auditorul poate crede, pe baza factorilor inerenţi,


că un cont este corect şi totuşi să nu fie dispus să atribuie factori de
certitudine. În acest caz, auditorul poate să atribuie o valoare mai mică
decât maximul, respectiv 70%, riscului inerent. Aceasta sugerează că
probele sunt nefavorabile indiferent de intuiţia auditorului. Interpretarea
probabilistică devine şi mai confuză dacă auditorul stabileşte nivelul
riscului inerent la 50%. Ce înseamnă asta: că auditorul este complet
ignorant cu privire la starea contului sau că există mai multe dovezi
privind corectitudinea conturilor ca în cazul anterior când factorul de
certitudine era 30%? 40
Exemplu:

În audit dacă auditorul a analizat conturile în care sunt înregistrate plăţile şi


consideră că ele prezintă un grad de încredere privind corectitudinea scăzut,
de 0.4 pe o scară de la 0 la 1, atunci conturile balanţei sunt corecte.

Dacă se notează cu a măsură în care sunt corecte şi cu b măsura în care sunt


incorecte, atunci avem următoarele mulţimi ale încrederii m-valori:
 m(a)=0.4,
m(b)=0 şi
m(a,b)=0.6,
iar suma lor este 1.

În audit se pot interpreta aceste m-valori ca fiind nivelul de sprijin obţinut


direct din probe pentru a argumenta funcţia m-valori. Din exemplul anterior
nivelul încrederii privind corectitudinea conturilor este de 0.4, nu există un nivel
al neîncrederii privind corectitudinea conturilor, iar 0.8 încredere nerepartizată.
Acest 0.6 este atribuit întregului cadru Θ={a, b}. În acest exemplu probele sunt
favorabile ceea ce susţine corectitudinea conturilor de încasări. Probele
nefavorabile sunt reprezentate prin b. Dacă presupunem că valoarea acestora
este scăzută 0.2 şi nu există probe că ar fi corecte înregistrările în conturi,
atunci m(a)=0, m(b)=0.2 şi m(a, b)=0.8, iar suma lor este tot 1. 41
Principalele responsabilităţi ale auditului intern în ceea ce
priveşte managementul riscului sunt:

furnizează asigurare asupra proceselor de management a


riscului,

furnizează asigurare că riscurile sunt corect evaluate,

evaluează procesele de management ale riscului,

evaluează raportarea riscurilor cheie,

 revizuieşte gestiunea riscurilor cheie.

42
Gestionarea riscului

Modul de gestionare a riscurilor trebuie să fie o


preocupare constantă a echipei manageriale care
evaluează uzura sistemelor de organizare şi actualizează
în permanenţă geografia riscurilor, care poate fi un punct
de plecare al oricărei analize ulterioare.

Gestionarea riscurilor este un proces dinamic de


identificare, tratament, audit intern şi monitorizare
permanentă a riscurilor cu impact pozitiv sau negativ,
asupra activităţii, rezultatelor şi ansamblului entităţii. (Gh.
Rusu, 2007)

43
Gestionarea riscurilor este o responsabilitate a managementului
care trebuie să se asigure, pentru a-şi atinge obiectivele de bună
funcţionare a proceselor de management al riscurilor.

Care este rolul auditorilor interni în acest proces?

Rolul auditorilor interni este acela de a asista managementul în acest


scop, ei examinează şi evaluează procesele de management, verifică
dacă acestea sunt suficiente şi emit rapoarte şi recomandări în vederea
îmbunătăţirii lor.

44
Fiecare entitate este preocupată de gestionarea riscurilor, unele
constituind în acest sens, departamente de management al riscului,
iar altele lăsând această activitate în responsabilitatea managementului
general şi în supervizarea compartimentului de audit intern.

Activităţile de control pot fi grupate în:

activităţi de control proprii entităţii pentru evitarea riscurilor


generale;
activităţi de control proprii fiecărei funcţii, foarte numeroase şi
specifice ;
activităţi de control general valabile şi unanim recunoscute, în
special din domenii conexe.

45
Pentru asigurarea unui nivel rezonabil al controlului intern, există
urmatoarele tipuri de verificări:

controale preventive, de evitare a unor evenimente nedorite;

controale de detecţie, pentru depistarea evenimentelor nedorite;

controale directive, pentru a produce un eveniment dorit;

controale administrative;

controale contabile;

controale fizice.

46
Aceste activităţi de control vizează, în general, politicile şi procedurile
referitoare la:

1. Separarea adecvată a responsabilităţilor. În realizarea unei bune


separări a responsabilităţilor trebuie avute în vedere, în scopul
prevenirii fraudelor şi a erorilor :
 separarea gestiunii activelor de contabilitate, astfel încât să nu se
permită unei persoane care gestionează permanent sau temporar un
activ,
să ţină şi contabilitatea acelui activ, pentru a proteja entitatea,
separarea principalelor funcţii legate de tehnologiile informaţionale de
funcţiile departamentelor care sunt utilizatorii cheie ai acestor
tehnologii;

2. Autorizarea corectă a operaţiunilor şi a activităţilor. Aceasta


presupune autorizarea adecvată pentru ca măsurile de control să poată
fi considerate satisfăcătoare. Autorizarea poate fi: generală, ceea ce
înseamnă că managementul defineşte politici pe care entitatea trebuie
să le respecte în ansamblul ei, personalul aflat în subordine primind
instrucţiuni de aplicare a acestei autorizări în limitele stabilite de politica
entităţii sau specifică pentru fiecare operaţiuni managerul acordă
autorizare; 47
3. Întocmirea corectă a documentelor şi evidenţelor contabile. Documentele
trebuie să fie corecte pentru a oferi o asigurare rezonabilă privind faptul că toate
activele sunt controlate corespunzător şi că toate operaţiunile sunt înregistrate;

4. Controlul fizic al activelor şi evidenţelor contabile, controlul accesului în


sensul că doar persoanele autorizate pot utiliza echipamentele informatice şi
avea acces la programe şi fişiere pe baza unor sisteme de parolare;

5. Verificări ale aplicării şi a rezultatelor obţinute, se verifică dacă sunt


respectate toate procedurile stabilite mai sus şi se analizează în ce măsură
contribuie la obţinerea rezultatelor.

48
Gestionarea riscului este un proces care are ca obiectiv:

 stabilirea strategiei şi identificarea evenimentelor care pot să


afecteze entitatea, activitatea şi rezultatele acesteia,

 gestionarea riscurilor viitoare în limitele vulnerabilităţii entităţii faţă


de risc, cu scopul de a furniza un nivel satisfăcător de asigurare, în
ceea ce priveşte realizarea obiectivelor entităţii,

 este generalizată în întreaga entitate, la fiecare nivel, structură şi


formă de organizare, auditul intern oferind o perspectivă generală şi
completă asupra riscurilor,

 identificarea şi auditul intern al evenimentelor, tranzacţiilor,


operaţiunilor care pot afecta realizarea obiectivelor funcţionale ale
entităţii şi a rezultatelor aşteptate, monitorizarea riscurilor identificate
în limitele apetitului pentru risc.

49
Analiza riscului în audit

Pornind de la definiţiile riscului a prins contur şi s-a dezvoltat un nou departament


în structura entităţii şi anume cel de management al riscului care nu trebuie
confundat cu departamentul de audit intern.

Managementul riscului identifică riscurile, stabileşte probabilitatea apariţiei,


impactul, precum şi politica care trebuie aplicată pe când auditorul intern
evaluează masurile stabilite de management, detectează deficienţele făcând
recomandări pentru eliminarea lor.

Modelul de analiză a riscurilor recomandat de IIA, în 2003, prin adoptarea


Bunelor practici internaţionale are în vedere şase factori şi anume:

constatările anterioare ale auditului,


sensibilitatea sistemului,
mediul de control,
încrederea în managementul operaţional,
schimbările de personal sau de sisteme,
 complexitatea.

50
O metodă eficientă de identificare şi evaluarea a riscurilor porneşte
de la analiza riscului care are următoarele scopuri:

identificarea riscurilor în ceea ce priveşte activitatea structurii


auditate;

daca controalele interne sau aplicarea procedurilor structurii auditate


pot preveni, elimina sau minimiza pericolele;

evaluarea structurii şi evoluţiei controlului intern la structura


auditată

51
Fazele analizei riscurilor sunt următoarele:

 analiza activităţii structurii auditate;

 identificarea şi evaluarea riscurilor inerente, respectiv a


riscurilor de eroare semnificativă a activităţilor structurii auditate, cu
incidenţa asupra operaţiilor financiare;

 identificarea existenţei controalelor interne care se adresează


riscurilor identificate, a procedurilor de control intern, precum si
evaluarea acestora;

52
I. IDENTIFICAREA RISCURILOR

Abordarea activităţii de identificare a riscurilor se poate realiza astfel:


 autoevaluarea riscurilor de către persoanele implicate în realizarea
obiectivelor/activităţilor respective, pe nivele ierarhice prin
diagnosticarea riscurilor cu care se confruntă zilnic. Un punct forte
al acestei abordări o reprezintă faptul că persoanele responsabile de
riscuri devin mai conştiente atunci când sunt implicate în activitatea de
identificare a riscurilor.

 analiza riscurilor realizată de un compartiment special creat în


cadrul entităţii sau de o echipă externă, contractată, care să
evalueze toate operaţiile şi activităţile organizaţiei în relaţie cu
obiectivele şi să le ataşeze riscurile adecvate. În situaţia aplicării
acestei abordări este important ca activităţile compartimentului sau
echipei să nu submineze înţelegerea responsabilităţii în gestionarea şi
monitorizarea riscurilor de către managementul de linie şi persoanele
responsabile ale riscurilor. 53
RISCURILE LA CARE ESTE EXPUSĂ ORGANIZAŢIA POT FI GRUPATE ÎN MAI MULTE
CATEGORII:

54
Riscurile pot fi clasificate astfel:

Riscuri de organizare:
 lipsa precizării unor responsabilităţi precise;
 insuficienta organizare a resurselor umane;
 documentaţia insuficienta, neactualizată;

Riscuri operaţionale:
 Neinregistrarea in evidentele contabile a anumitor operatiuni
 Arhivarea necorespunzatoare a documentelor justificative
 Lipsa unui control asupra operatiilor cu risc ridicat
 Lipsa functiei de supervizare
 Intrarea pe piata a unui nou competitor puternic
 Proasta administrare si intretinere a echipamentelor, etc.

Riscuri financiare:
 Efectuarea de plati automate nesecurizate
 Contractarea de imprumuturi la o rata a dobanzii variabila
 Realizarea unor investitii in produse/servicii noi care se pot dovedi neprofitabile
 Fluctuatii mari si imprevizibile ale cursului de schimb valutar 55
 Realizarea de operatiuni financiare cu risc ridicat, pe o piata instabila, etc.
Teoreticienii englezi consideră că cele mai întâlnite categorii de
riscuri sunt următoarele:

Riscuri strategice sunt riscurile care afectează scopurile pe termen


mediu şi lung precum şi obiectivele organizaţiei. Gestionarea acestor
riscuri este de obicei în sarcina Comitetului de Management al Riscului
(RMC) şi cuprind:
 Politice: eşecul îndeplinirii politicii guvernamentale;
 Economice: implicaţii ale schimbărilor apărute în economie (spre
exemplu inflaţia, ratele dobânzii ş.a.);
 Sociale: neputinţa răspunderii la efectele schimbărilor apărute în
tendinţele demografice şi socio-economice, neputinţa reflectării
acestora în obiectivele companiei;
 Privind clienţii: eşecul identificării nevoilor curente şi în schimbare
ale clienţilor;

56
Riscuri operaţionale sunt riscurile pe care managerii şi
conducerea le vor întâlni în activitatea zilnică şi anume:

Competiţionale: eşecul de a conferi valoare banilor,


calitate produselor ş.a.

Fizice/Materiale: pericole legate de incendii, securitate,


prevenirea accidentelor, sănătate şi siguranţă (spre
exemplu clădiri, vehicule, maşini şi echipamente).

Contractuale: eşecul celor contractaţi de a asigura


serviciile sau produsele la timp, costul sau specificaţiile.

57
Riscuri financiare sunt riscuri semnificative care rămân în permanenţă în atenţia
managementului şi pot fi eşecuri în planificarea financiară, controlul bugetar,
gestiunea fondurilor şi monitorizări sau raportări incorecte sau inadecvate.
Riscuri privind reputaţia sau brandul sunt acele riscuri asociate cu zona de
mass-media şi orice alte acţiuni sau inacţiuni care pot avaria marca sau reputaţia
companiei.

Riscuri informaţionale şi legate de IT sunt riscuri legate de tehnologia IT care se


află într-o permanentă mişcare şi anume:
Tehnologice: lipsa capacităţii de confruntare cu ritmul şi magnitudinea
schimbărilor, lipsa abilităţii de a folosi tehnologia ca răspuns la nevoile în
schimbare, eşecuri interne de natură tehnologică, eşecuri privind achiziţionarea
tehnologiei.
Fizice legate de IT: defecţiuni ale echipamentelor IT, de telefonie ş.a.
Riscuri privind personalul
Profesionale: eşecuri datorate lipsei de discernământ financiar, lipsa unui
personal specializat, lipsa consultării privind dezvoltările ş.a.
Conducerea şi managementul: lipsa de personal cheie sau inabilitatea păstrării
acestuia, imposibilitatea asigurării unei pregătiri profesionale adecvate. 58
Alte riscuri:

 Riscuri legate de managementul informatiei


 Riscuri legate de securitatea datelor
 Riscuri legate de securitatea echipamentelor IT
 Riscuri legate de reputatia entitatii
 Riscuri legate de schimbarile realizate la nivelul
managementului
 Riscuri legate de procesul decizional din cadrul organizatiei,
etc.

59
Există multe metode care pot fi folosite pentru a identifica
potenţialele riscuri:

 workshop-uri (întâlniri de lucru);


 planificare de scenarii;

 analizarea creanţelor trecute şi a altor pierderi;

 analizarea incidentelor/eşecurilor trecute;

 inspecţiile privind sănătatea sau siguranţa;

 training pentru începători;

 revedere a performanţelor trecute;

 realizarea feed-back-ului între conducere şi clienţi.

60
II. EVALUAREA RISCURILOR

Apreciem că, indiferent de modelul de evaluare a riscului la care se apelează,


procesul de evaluare a riscului trebuie să urmeze următorii paşi.

Aprecierea unui risc are la baza doua estimări:

a. Nivelul impactului, respectiv gravitatea consecinţelor (directe si indirecte) şi


durata acestora;

Nivelul impactului reprezintă efectele riscului în cazul producerii sale si se poate


exprima pe o scară valorică pe trei nivele:
impact scăzut;
impact moderat;
impact ridicat

b. Probabilitatea de apariţie
Probabilitatea de apariţie a riscului variază de la imposibilitate la certitudine şi
este exprimată pe o scara de valori pe trei nivele:
probabilitate mica;
61
probabilitate medie;
probabilitate mare.
O dată la
1- 2 Ridicată 4 7 9
ani
O dată la P R O B A B IL IT A T E A
Moderată 2 5 8
3 – 10 ani
O dată la
10 ani sau Redusă 1 3 6
mai puţin
0
Sesizabil Semnificativ Critic

IMPACTUL

Sub 100.000 100.000 – 500.000 Peste 500.000


Atribuţii semnificative Încălcări normative Încălcări normative
neîndeplinite sau majore sau apariţii în critice sau apariţii62în
plângeri frecvente presa locală presa naţională
Impactul asupra organizaţiei poate fi:
Ridicat – efect catastrofic asupra operaţiunii:
 pierderi financiare uriaşe, respectiv mai mult de 5% din totalul costurilor sau
veniturilor;
 întreruperi majore ale serviciilor (>5 zile);
 moartea unor persoane;
 eşecul complet al proiectului sau întârzieri îndelungate (peste două luni);
 publicitate negativă în presa naţională.
Moderat – efect semnificativ, dar nu catastrofic asupra operaţiunilor, care se poate
materializa în următoarele forme:
 pierderi financiare semnificative, respectiv mai mult de 2% din totalul costurilor şi
veniturilor;
 întreruperi semnificante ale afacerii (2-5 zile);
 rănirea severă a unei persoane sau a mai multor persoane;
 efect advers asupra proiectului sau derapări semnificative;
 publicitate negativă în presa regională.
Scăzut – consecinţele nu vor fi atât de severe şi orice pierderi sau implicaţii
financiare vor fi relativ scăzute, astfel:
63
 un oarecare efect asupra oferirii serviciilor (o zi);
 rănire minoră a unei persoane sau a mai multor persoane;

 câţiva clienţi se plâng.


PROBABILITATE

IMPACT REDUS MEDIE RIDICATĂ

REDUS Ignorare = 1 Ignorare = 2 Ignorare = 3

MEDIU Ignorare = 2 Prudenţa =4 Acţiune = 6

RIDICAT Prudenţă = 3 Acţiune = 6 Acţiune = 9

Nivel tolerare Explicaţii

1–3 Ignorare Nu necesită nicio măsură de control

3-4 Prudenţă Necesită măsuri de control pe termen scurt

5-9 Acţiune Necesită măsuri de control urgente

64
Pentru evaluarea riscului asociat diferitelor structuri se pot folosi si
următoarele criterii de apreciere:

Aprecierea cantitativă (aprox. 30-35%)

Aprecierea cantitativă măsoară importanţa mizelor (miză slabă, medie


şi importantă). Pentru a realiza această încadrare se au în vedere,
funcţie de structura ce urmează a fi auditată, următoarele:
nivelul veniturilor generate, al cheltuielilor de exploatare bugetate,
al cheltuielilor de investiţii bugetate, al mijloacelor fixe implicate,
 spaţiul ocupat,
numărul managerilor şi al personalului din subordine implicat.

Pentru calculul ulterior al poziţiei de ordonare a structurii ce urmează a fi


auditate în funcţie de risc, în raport de celelalte structuri auditate, se vor
acorda următoarele scoruri:

Pentru miză slabă scorul 1


Pentru miză medie scorul 2
Pentru miză importantă scorul 3 65
Aprecierea calitativă (20%)

Este o apreciere asupra vulnerabilităţii structurii auditate. Pentru a o


cifra se vor examina toţi factorii care ar putea avea o anume incidenţă
asupra vulnerabilităţii structurii auditate precum:

Calitatea managementului structurii auditate


Calificarea personalului
Complexitatea sau simplitatea lucrărilor efectuate.

În funcţie de aprecierea acestor factori se va decide să se afecteze


fiecărei structuri ce urmează a fi auditată, referitor la vulnerabilitatea
acesteia, unul din următoarele scoruri:

Vulnerabilitate scăzută scorul 1


Vulnerabilitate medie scorul 2
Vulnerabilitate crescută scorul 3 66
Aprecierea controlului intern (45 - 50%)

Aceasta se va face având în vedere următoarele:

Deficienţe anterioare în controlul intern


Fraude anterioare
Erori semnificative raportate
Riscuri inerente în cadrul operaţiunilor auditate
Schimbări recente (exemplu introducerea unor sisteme noi)
Probleme manageriale
Lipsa revizuirilor sistemului de control intern în trecut
Revizuiri şi audituri anterioare care au evidenţiat probleme continuu în
controlul intern.

În urma analizei tuturor acestor factori se va acorda fiecărei structuri ce


urmează a fi auditată, referitor la calitatea controlului intern din cadrul
acesteia, unul din următoarele scoruri:

Control intern adecvat scorul 1 67


Control intern insuficient scorul 2
Control intern cu lacune grave scorul 3
În vederea aprecierii controlului intern, recomandăm a se va folosi următorul ghid:
Controlul Dacă:
intern este:
cu lacune 1. conducerea şi/sau personalul demonstrează o atitudine
grave necooperantă şi nepăsătoare cu privire la conformitate, păstrarea
dosarelor, sau verificări externe.
2. auditurile anterioare sau studiile preliminare au descoperit
probleme deosebite.
3. analiza dezvăluie ca nu sunt în funcţiune tehnici de control
adecvate şi suficiente.
4. procedurile de control intern lipsesc sau sunt puţin utilizate.
insuficient  conducerea si personalul demonstrează o atitudine cooperanta
cu privire la conformitate, păstrarea dosarelor si verificări
externe.
 auditurile anterioare sau studiile preliminare au descoperit
anumite probleme, dar conducerea a luat măsuri de remediere şi
a răspuns satisfăcător la recomandările auditului.
 analiza arată că sunt în funcţiune tehnici de control adecvate si
suficiente.
adecvat  conducerea şi personalul demonstrează o atitudine constructivă,
existând preocuparea de a anticipa şi înlătura problemele.
 auditurile anterioare şi studiile preliminare nu au descoperit nici
un fel de probleme.
 analiza arată că sunt în funcţiune tehnici de control intern
numeroase şi eficiente. 68
 procedurile sunt bine susţinute de documente.
Identificarea riscului de management
Exemplu:
Dacă Nr. Operaţiuni Riscuri aferente Evaluare Activităţi de
Există
avem în Crt elementare ce identificate Riscuri control intern
vedere un alcătuiesc (mare, ce se DA / NU
audit al
activitatea mediu, adresează
riscului de
auditată mic ) riscurilor
managem
ent, vom identificate
întocmi 1 Calitatea -experienţă Mare Procedura
tabelul de cunoştinţelor şi scăzută prin care se DA
identificar experienţa -slabă pregatire Mare stabilesc
e a
necesară pentru a profesională criteriile de
riscurilor,
prin conduce entitatea selecţie
divizarea 2 Schimbarea -risc de Mediu Procedura de DA
în activităţi managerilor în nerealizare a analiză de
auditabile cursul obiectivelor management
stabilind
exerciţiului propuse
riscurile
asociate. financiar
3 Confidenţialitate -scurgerea unor Mic Existenţa DA
a datelor şi informaţii care ar contractelor
informaţiilor la putea afecta de
69
care are acces entitatea confidenţialita
managerul te
III. CONTROLUL RISCURILOR

Controlul riscurilor presupune realizarea următoarelor


activităţi:

 tolerarea;
 tratarea;

 transferarea;

 încetarea;

 oportunităţi.

70
a. Tolerarea riscurilor
o Riscurile pot fi acceptate fără să fie necesară luarea vreunei
măsuri. În cazul unor riscuri, chiar dacă cu greu sunt tolerate, nu
întotdeauna avem posibilitatea să acţionăm datorită, spre exemplu,
costului măsurilor respective, care pot să fie disproporţionate.
Opţiunea aceasta poate fi completată de „un plan pentru situaţii
neprevăzute” care să atenueze posibilul impact care ar putea fi resimţit
în situaţia materializării riscurilor.

b. Tratarea riscurilor

 Marea majoritate a riscurilor sunt controlate cu scopul de a fi


tratate. Astfel, în timp ce organizaţia îşi desfăşoară activităţile care au
generat riscurile, se instalează un instrument de control care menţine
efectele riscului în limite acceptabile.
 Tratarea ineficientă a riscurilor poate produce o criză corporativă care
să conducă la pierderi semnificative.
71
Instrumente de control preventiv:

 segregarea sarcinilor, prin care o persoană nu are autoritatea de


a acţiona fără consimţământul alteia, astfel persoana care
realizează o plată este alta decât cea care a efectuat comanda;

 limitarea acţiunilor persoanelor autorizate, respectiv doar


persoanele instruite special pot efectua anumite activităţi speciale,
cum ar fi: inventarierea patrimoniului, controlul casieriei, instruirea
personalului ş.a.

 externalizarea asigurării unor servicii, precum: IT, contabilitate,


resurse umane, audit ş.a.

72
Instrumente de control corectiv:

 includerea unor clauze în contract care permit


recuperarea sumelor plătite nejustificat;

 asigurarea, care facilitează recuperarea financiară


a unor sume în cazul materializării unor riscuri;

 planurile pentru situaţiile neprevăzute reprezintă


un mijloc prin care o organizaţie îşi planifică şi
asigură continuitatea în cazuri de criză, pe care nu
le poate controla.

73
Instrumente de control directiv:
 instruirea şi deprinderea personalului cu anumite abilităţi;
 asigurarea pregătirii profesionale a personalului într-un domeniu
special, respectiv IT, control, audit ş.a.
 în general, echipamentele de protecţie pentru activităţile periculoase.

Instrumente de control detectiv

 activităţile de inventariere a stocurilor, care detectează unele mişcări


realizate fără autorizaţie;
 controlul reciproc şi încrucişat, care poate detecta unele tranzacţii
neconforme sau neautorizate;
 monitorizarea activităţilor de implementare care ne permit să
detectăm anumite modalităţi practice pozitive care pot fi utilizate şi în
alte proiecte.

74
c. Transferarea riscurilor

 Există riscuri pentru care cea mai bună soluţie este transferarea lor.
Această opţiune este benefică mai ales în cazul riscurilor financiare
sau patrimoniale şi poate fi făcută printr-o asigurare sau prin plata
unei terţe părţi care să găsească o altă modalitate de asumare a
riscului.

 Transferarea riscurilor se poate realiza fie prin reducerea expunerii


la risc, fie pentru că o altă organizaţie este mai capabilă sau
specializată în gestionarea unor astfel de riscuri. În general, nu se
pot transfera riscurile legate de reputaţie, de brandul
organizaţiei, astfel există şi riscuri netransferabile sau netransferabile
integral.

75
d. Încetarea activităţilor

 Anumite riscuri pot fi eliminate sau menţinute în limite rezonabile


numai prin reducerea activităţilor sau prin desfiinţarea acestora.

 Trebuie menţionat că această modalitate este caracteristică


sectorului privat, deoarece în sectorul public opţiunea încetării
activităţii este relativ redusă, chiar dacă pentru unele activităţi sunt
asociate riscuri însemnate, deoarece nu există o altă modalitate de
obţinere a rezultatelor aşteptate de public.

 Spre exemplu: pregătirea unor specialişti o lungă perioadă de


timp în străinătate, este însoţită de posibilitatea nedorită a
plecării acestora din organizaţie. Desigur că această opţiune poate
avea o importanţă deosebită în gestionarea proiectelor dacă devine
clar faptul că relaţia previzionată cost-beneficii este pusă în pericol.

76
e. Beneficierea de pe urma oportunităţilor

Această opţiune trebuie luată în considerare ori de câte ori un risc este
tolerat, tratat sau transferat.

În această situaţie există următoarele posibilităţi:

simultan cu reducerea evenimentelor, riscul apare ca oportunitate.

Spre exemplu, dacă o investiţie mare este riscantă, se reevaluează


instrumentele de control, dacă sunt suficiente şi justifică eventuale
cheltuieli cu acestea;
existenţa unor circumstanţe care negenerând riscuri, oferă chiar
oportunităţi. Spre exemplu: scăderea preţurilor la bunuri şi servicii
care conduce la eliberarea de resurse ce pot fi realocate.

77
ROLURI ŞI RESPONSABILITĂŢI ÎN MANAGEMENTUL
RISCURILOR.
Grup Roluri
Conducerea  Aprobă strategia Comitetului de management al riscurilor
 Consideră riscul ca parte a tuturor deciziilor
 Urmăresc anual angajamentele Comitetului de management al riscurilor
Comitetul de  Asigură gestionarea eficientă a riscurilor pe baza strategiei de management al
management al riscului şi raportează conducerii anual
riscurilor (RMC)  Identifică riscurile strategice care afectează organizaţia şi face recomandări
conducerii privind modul în care acestea vor fi gestionate.
Managerii  Asigură că riscul este gestionat eficient în fiecare funcţiune din cadrul strategiei
convenite şi raportează trimestrial Comitetului de management al riscurilor.
 Identifică riscuri individuale care afectează activitatea lor, se asigură că acestea
sun înregistrate în registrul riscurilor şi că există măsuri de control potrivite pentru
gestionarea acestor riscuri.
 Monitorizează continuu adecvarea şi eficienţa tuturor măsurilor şi raportează
membrului lor din Comitetul de management al riscurilor.
 Urmăresc cel puţin anual toate angajamentele privind managementul riscului care
influenţează activitatea lor, ca parte a planificării organizaţiei.
Toţi angajaţii  Îşi efectuează sarcinile sub îndrumările oferite de gestiunea riscului incluzând
conformitatea cu toate măsurile de control care au fost identificate.
 Raportează pericolele/riscurile managerilor lor.
Auditul intern  Monitorizează dacă riscurile au fost identificate adecvat şi dacă au fost incluse în
registrul riscurilor. 78
 Urmăresc adecvanţa şi eficienţa măsurilor de control în funcţiune.
 Fac recomandări managerilor, Comitetul de management al riscurilor şi conducerii
atunci când este necesar.
REGISTRUL RISCURILOR

 Responsabilitatea elaborării registrului riscurilor revine fiecărui nivel al


managementului de linie. Din aceste motive, fiecare manager trebuie să
elaboreze, pentru compartimentul pe care îl coordonează, propriul registru de
riscuri, iar prin centralizarea acestora, se obţine Registrul riscurilor la nivel
general al entităţii.

 Conducătorul entităţii trebuie să stabilească un responsabil cu elaborarea


Registrului riscurilor entităţii şi căruia îi revine şi responsabilitatea actualizării
sistematice a acestuia, cel mai târziu anual.

 Pentru stăpânirea riscurilor, proprietarul/responsabilul riscurilor trebuie


să adopte o strategie de control, respectiv tolerarea, tratarea, transferarea
sau încetarea activităţilor. Desigur, cel mai frecvent se adoptă strategia de
tratare a riscurilor prin instalarea unui instrument de control intern, care este
revizuit periodic pentru a evalua capacitatea acestuia de menţinere a riscului în
anumite limite.
79
PRECIZĂRI PRIVIND ELABORAREA REGISTRULUI RISCURILOR

1. Preluăm obiectivele din LISTA OBIECTIVELOR, ACTIVITĂŢILOR ŞI


OPERAŢIILOR, la care ataşăm riscurile specifice operaţiilor elementare,
până la un nivel rezonabil de detaliere, coloanele 2 - 5;

2. În continuare, se completează circumstanţele care favorizează apariţia


riscurilor, responsabilul cu gestionarea riscului şi se face aprecierea
RISCULUI INERENT , coloanele 6 - 10;

3. Se stabileşte strategia adoptată pentru risc, instrumentele de control intern


şi termenele, care monitorizează riscul, coloanele 11 – 14

4. Se stabileşte RISCUL REZIDUAL, care va fi urmărit în continuare;

5. Riscul rezidual este riscul care va intra în auditare şi la care se vor


adăuga eventuale RISCURI SECUNDARE;

6. Elaborarea Registrului riscurilor se realizează pe compartimentele din


structura entităţii, în responsabilitatea şefului de compartiment, care
poate stabili un responsabil cu administrarea riscurilor şi actualizarea
Registrului;
80
7. Centralizarea registrelor riscurilor de la nivelul compartimentelor
în vederea obţinerii REGISTRULUI GENERAL AL RISCURILOR LA
NIVELUL ENTITĂŢII;

8. Nominalizarea persoanei responsabile cu constituirea şi


actualizarea sistematică a Registrului general al riscurilor la
nivelul entităţii.

9. Responsabilul riscurilor pe compartimente care asistă


managementul în gestionarea riscurilor va ataşa un ISTORIC AL
EVOLUŢIEI RISCURILOR, de la înfiinţare până în prezent, sau cel
puţin începând din anul 2000;

10. Stabilirea unui sistem de actualizare periodică a riscurilor ataşate


operaţiilor elementare, cel puţin o dată pe an;

11. EVALUAREA ANUALĂ A SALARIAŢILOR SE VA COROBORA CU


STADIUL REALIZĂRII ŞI ACTUALIZĂRII REGISTRULUI
RISCURILOR. 81
Management general
 CA selectează 10 – Lista riscurilor din
Consiliul de administraţie
15 riscuri la nivelul cadrul entităţii
Obiective
entităţii ………
Activităţi Riscuri
la data de
Actualizarea sistematică a matricei riscurilor
………

 Transmit primele 7 DIRECTIA 1 DIRECTIA 2 ……… DIRECTIA N


riscuri

Compartiment 1 Compartiment 2 Compartiment 3 Compartiment N-1


 Transmit primele 5 Compartiment N
riscuri Obiective Obiective Obiective Obiective Obiective
REGISTRU Activităţi Riscuri Activităţi Riscuri Activităţi Riscuri Activităţi Riscuri
DE EVIDENŢĂ Activităţi Riscuri
A RISCURILOR

 Transmit primele Subunitate 1 Subunitate 1 Subunitate 1 ………… Subunitate N


3 riscuri
82
semnificative
STRUCTURI TERITORIALE

Figura . Modalitatea de stabilire a riscurilor de către managementul general


DOMENII / ACTIVITĂŢI OPERAŢII RISCURI EVALUAREA
OBIECTIVE RISCURILOR

SCORUL RISCULUI

Op1 R1 3
A1 Op 2 R2 6
Op 3 R3 4

13

Op 4 R4 7
Op 5 R5 10
A2 Op 6 R6 5
Op 7 R7 1

23

Op 8 R8 8
O1 A3 Op 9 R9 3
Op 10 R10 9

20

Op 11 R11 2
Op 12 R12 6
A4 Op 13 R13 10
Op 14 R14 7
Op 15 R15 4

……… …………… ……… 29


O2 ……… …………… ……… ………
O3 ……… ……… ………
…. ……… ……… ………
On ………

83
PROCESUL DE MANAGEMENT AL RISCULUI
Nr. ELEMENTE CARACTERISTICI

1 Obiectivul
Asigurarea securităţii persoanelor internate

2 Riscul Apariţia unui incendiu

Vechimea de 15-20 ani a instalaţiilor electrice


3 Cauze posibile
Reparaţii improvizate

4 Evaluarea probabilităţii riscului Mare

5 Evaluarea impactului riscului Ridicat

6 Expunerea la risc Mare = Probabilitate x Impact

a. Pierderea unor vieţi omeneşti


b. Spitalul poate fi obligat la plata unor
7 Consecinţe în caz de materializare despăgubiri importante
c. Managementul poate fi acuzat de
neglijenţă în serviciu
84
PROCESUL DE GESTIONARE A RISCURILOR
Riscul inerent - Apariţia unui incendiu

MĂSURI DE GESTIONARE COSTURI OBSERVAŢII

A. Supravegherea bolnavilor 16.000 1. Gradul de încadrare cu personal este de 70% şi nu


24 de ore din 24 cu personal u.m./lună permite supravegherea 24 de ore din 24
medical 2. Sumele pot fi prevăzute în buget
3. Legislaţia în vigoare nu permite momentan noi angajări

B.Verificarea instalaţiei 20.000 u.m. 1. Suma este disponibilă în buget


electrice

C. Instalarea unor 30.000 u.m. 1. Nu este disponibilă suma în buget, dar se pot obţine
detectoare de fum fondurile necesare prin reprioritizare

D.Înlocuirea instalaţiei 200.000 u.m. 1. Nu este disponibilă suma în buget şi este puţin probabil
electrice existente să se obţină
2. Se poate încerca o sponsorizare sau o donaţie în acest
sens

85
Nivelul apetitului Actiuni de Costuri
Apetitul la risc
Riscul de risc gestionare a riscului - u.m.- Consecinţe/ Impact

Se acceptă riscul Ridicat 1. Nicio acţiune 0


Apariţia unui incendiu
Nu se acceptă plata unei Mediu 1. Verificarea a. Concediere
amenzi mai mari de Instalaţiei electrice 50.000
20.000 u.m. sau a unei 2. Instalarea unor
despăgubiri mai mari de detectoare de b. Plata unor
50.000 u.m. fum
despăgubiri

c. Plata unor
Nu se acceptă plata Scăzut 1.Înlocuirea 230.000 amenzi
vreunei amenzi sau instalaţiei
despăgubiri electrice existente
2. Instalarea unor
detectoare de fum

În concluzie, activităţile privind managementul riscului trebuie să devină o


preocupare cotidiană a managementului general, cu scopul de a realiza un
management performant şi eficient, în consonanţă cu principiile guvernanţei
corporative referitoare la performanţă şi transparenţă în conducerea 86
organizaţiilor.
REGISTRUL RISCURILOR

Risc rezidual
Risc inerent Strategia
la data ultimei revizuiri
Circumstan- adoptata Data Eventu-
Zone de risc Responsa- Proba- Im-pact Expu- Proba- Impact Expu-
tele care pentru risc Terme-nul ultimei ale
(domeniu, Descrierea bilul cu bilitate nere Instrumentele de bilitate nere
Obiective favorizeaza (actiuni de punere revizuiri riscuri Observatii
comparti- riscului gestionarea control intern
aparitia pentru in opera si stadiul secun-
ment) riscului
riscului tratarea actiunii dare
riscurilor)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
1. Relatii cu Informare Distorsiune Informatii Conducator S S S∙S Acceptare - - 6 S S S∙S - Se va
publicul corecta informare indisponibile compartiment Prejudi- evalua ori
in cazuri ciu de cate ori
izolate imagine apar
modificari in
comparti-
ment

2. Comparti- Diminua- Risc inversare Proceduri Conducator S R S∙R Monitori-zare - - - S R S∙R - Se


ment financiar rea pierderi trend de unilaterale compartiment Pierderi urmareste
din devalorizare a bazate pe financia- zilnic
operatiuni leului in raport trendul de re evolutia
valutare. cu valutele devalorizare pietei
Indicator valutare
de
performant
a: 0,1%
influente
negative

3. Tipografie Asigurare Defectare Utilaje uzate Conducatorul R R R∙R Eliminare - - R R R∙R Formu- Se va lua
proprie imprimate masini fizic si moral tipografiei Intreru- activitate lare masura
interne. peri ale indispo- tiparirii
Continui- activita- nibile formulare-
tate func- tii lor prin
tionare mijloace
organiza- electronice
tie

4. Comparti- Securitate Tamponari Utilizare Soferi M R M∙R Transfer - - M R M∙R - Se vor


ment transport active frecventa pe incheia
trasee asigurari
aglomerate cu CASCO
carosabil
inadecvat

87
APLICAȚIE 1 . ETAPELE MANAGEMENTULUI RISCULUI

 IDENTIFICAREA RISCULUI

 EVALUAREA RISCULUI

 CONTROLAREA RISCURILOR

 IMPLEMENTAREA ŞI MONITORIZAREA ACTIUNILOR


CORECTIVE/MĂSURILOR DE CONTROL
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA I

I. Identificarea riscului
 Procesul de management al riscului se bazează pe
cunoaşterea proceselor, activităţilor din cadrul entităţii
şi a mediului în care aceasta îşi desfăşoară activitatea.

 În acest context, procesul de management al riscului


trebuie să înceapă cu realizarea unui inventar complet
al proceselor, activităţilor din cadrul organizaţiei, realizat
de către un Comitet de gestionare a riscurilor (format
din şefii diferitelor departamente din entitate). Următorul
pas este desemnarea unei piste de audit pentru fiecare
activitate.
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA I

 Scopul realizării inventarului şi a pistelor de audit este ca


acest Comitet de gestionare a riscurilor să capete o
imagine comprehensivă asupra entităţii şi a riscurilor
(ameninţărilor potenţiale) atât interne, cât şi externe.

 Personalul din cadrul entităţii trebuie implicat în procesul


de management al riscului. Astfel, acesta notifică în
legătură cu riscurile potenţiale pe care ei le percep în
legătura cu activitatea pe care o desfăşoară (Formular
de alertă la risc)
LOGO
ENTITATE !
F O R M U L A R D E A L E R T A
L A R I S C
UNITATEA/DEPARTAMENTUL

Numele unităţii / departamentului în care se manifesta riscul

DETALII CU PRIVIRE LA RISC

O scurta descriere a riscului şi a impactului asupra


Descrierea riscului: organizaţiei (de ex: resurselor)
Probabilitate Impact

Evaluarea riscului: 1 2 3 4 5 1 2 3 4 5
1. Foarte scăzut; 2. Scăzut; 3. Mediu; 4. Inalt; 5. Foarte inalt

GESTIONAREA RISCULUI

Acţiuni preventive: Acţiunile care trebuie adoptate pentru prevenirea


apariţiei riscului

Acţiuni de tip Acţiunile care trebuie adoptate daca riscul se


manifestă efectiv, pentru a limita impactul asupra
contingent: organizaţiei

DOCUMENTE SUPORT

Nume: Semnătura: Data:

______________ ______________ _____/_____/_____

Detalii despre arhivare (RMC) 91


ID RISCULUI DATA PRIMIRII DECIZIA
ARHIVARE CA RISC IRELEVANT
INVESTIGATII VIITOARE
TRANSMITERE RMP
METODOLOGIA DE IDENTIFICARE
A RISCURILOR

In formularea riscurilor, nivelul de detaliu


trebuie să fie corespunzător definit (evitarea
unor formulări cu caracter general sau a unor
Informaţii nerelevante)

Exemplu: Activitate / Obiectiv: “Implementarea unui sistem


informatic de monitorizare a stadiului îndeplinirii
obiectivelor la nivelul entității până la sfârşitul anului xxxx”
METODOLOGIA DE IDENTIFICARE
A RISCURILOR

Descrierea riscului Comentarii


Opinie

Imposibilitatea implementării Descrierea


unui sistem de monitorizare a constă în
stadiului îndeplinirii Greşit
negarea
obiectivelor entității până la obiectivului
sfârşitul anului xxxx

Lipsa personalului Descrierea nu


oferă informaţii Greşit
despre
potenţialul
impact sau cauza
riscului
METODOLOGIA DE IDENTIFICARE
A RISCURILOR

Descrierea riscului Comentarii Opinie

Este prezentat
Lipsa personalului competent
impactul riscului,
care poate conduce la
deşi nu foarte clar.
întârzieri în implementare Relativ
Nu sunt precizate
cauzele apariţiei corect
Existenţa unui risc de acestuia.
înregistrare a unor întârzieri
majore în implementarea
proiectului (10 -12 luni) ca Este descris şi
urmare a indisponibilităţii cuantificat impactul Corect
personalului competent. materializării acestui
Aceast fapt se datorează risc. Este identificată
parţial lipsei formării inclusiv cauza
profesionale corespunzătoare producerii acestuia.
a personalului.
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA II-
EVALUAREA RISCURILOR

Riscul este evaluat (scăzut, mediu, ridicat) în funcţie de:

 Probabilitatea de apariţie
 Impact

Riscul este evaluat prin combinarea


celor doi factori
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA II-
EVALUAREA RISCURILOR

5 10 15 20 25

4 8 12 16 20
Probabilitate

3 6 9 12 15

2 4 6 8 10

1 2 3 4 5

Scor Risc = Consecinţe/impact


probabilitate x impact
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA II-
EVALUAREA PROBABILITĂŢII DE APARIŢIE A RISCURILOR

Nivel 1 - Rar - este foarte puţin probabil să se întâmple pe o


perioadă lungă de timp (3 - 5 ani); nu s-a întâmplat până în
probabilitate
prezent.
2 - Puţin probabil - Este puţin probabil să se întâmple pe o
perioadă lungă de timp (3 - 5 ani); s-a întâmplat de foarte
puţine ori până în prezent.
3 - Posibil - Este probabil să se întâmple pe o perioadă
medie de timp (1- 3 ani); s-a întâmplat de câteva ori în
ultimii 3 ani
4 - Foarte probabil - Este probabil să se întâmple pe o
perioadă scurtă de timp (< 1 an); s-a întâmplat de câteva
ori în ultimul an
5 - Aproape sigur - Este foarte probabil să se întâmple pe o
perioadă scurtă de timp (< 1 an); s-a întâmplat de multe ori
în ultimul an
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA II-
EVALUAREA IMPACTULUI/CONSECINŢELOR RISCULUI
Nivel 1 - Nesemnificativ - Cu impact foarte scăzut asupra
consecinţe/ activităţilor direcţiei şi îndelinirii obiectivelor şi/sau fără
impact: impact financiar

2 - Minor - Cu impact scăzut asupra activităţilor direcţiei


şi îndelinirii obiectivelor şi/sau cu impact financiar
foarte scăzut

3 - Moderat - Cu impact mediu asupra activităţilor


direcţiei şi îndelinirii obiectivelor şi/sau cu impact
financiar mediu

4 - Major - Cu impact major asupra activităţilor direcţiei şi


îndelinirii obiectivelor şi/sau cu impact financiar major

5 - Critic - Cu impact semnificativ asupra activităţilor


direcţiei şi îndelinirii obiectivelor şi/sau cu impact
financiar semnificativ
PROCESUL DE MANAGEMENT AL RISCULUI –
ETAPA III - CONTROLAREA RISCURILOR

 Etapa în care se stabileşte atitudinea faţă de risc având în


vedere “apetitul pentru risc” definit la nivelul organizaţiei.

 Apetitul pentru risc:


 în funcţie de ameninţări – se referă la nivelul de expunere care
este considerat tolerabil şi justificabil;

 În funcţie de oportunităţi – se referă la nivelul de risc acceptabil


pentru a obţine avantaje de pe urma oportunităţii.

 Este exprimat ca o serie de limite, autorizate de


conducere, prin care fiecare nivel al organizaţiei primeşte
îndrumarea necesară privind limitele pânâ la care îşi pot
asuma un risc. Poate fi exprimat în termenii utilizaţi în
evaluarea riscului.
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA III -
CONTROLAREA RISCURILOR - ATITUDINI DE RĂSPUNS LA
RISC

Expunerea poate fi tolerată fără a necesita implementarea vreunei măsuri


de control. Această opţiune poate fi completată de un plan pentru situaţii
Tolerare: neprevăzute, care să abordeze impactul resimţit în cazul materializării
riscurilor.

Se impune implementarea unui instrument/unei măsuri de control pentru


Tratare a menţine riscul în limite acceptabile. Activitatea structurii nu este
întrerupă.

Transferare Presupune transferarea riscului către o altă structură, care poate gestiona
în condiţii eficiente respectiva activitate.

Terminare Presupune încetarea activităţii generatoare de riscuri inacceptabile pentru


structura respectivă.

Beneficierea Riscurile generate de acea activitate sunt pozitive, acestea oferind


de pe urma oportunităţi structurii respective. Nu sunt necesare măsuri de control.

oportunităţilor
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA III -
CONTROLAREA RISCURILOR - STABILIREA NIVELULUI DE
TOLERARE

tolerabil : Nu necesită măsuri de


Nivel 1-4 control
tolerare

tolerare ridicată: Necesită măsuri de control


5-8 pe termen mediu/lung

tolerare scăzută: Necesită măsuri de control


9-12 pe termen scurt

intolerabil : Necesită măsuri de control


13-25 urgente
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA III
– CONTROLAREA RISCURILOR

 Comitetulde management al riscurilor /Echipa de


gestionare a riscurilor (conform procedurii), în
urma analizei riscurilor, va propune măsuri de
diminuare a riscurilor.

 Prin urmare, se stabilesc termene limită şi


persoane responsabile pentru implementarea
măsurilor corective, informaţii care se
înregistrează în Registrul riscurilor şi Planul de
acţiuni pentru gestionarea riscurilor.
PROCESUL DE MANAGEMENT AL RISCULUI – ETAPA IV

IV. Implementarea şi monitorizarea acţiunilor


corective/măsurilor de control
 Responsabilul pentru managementul riscurilor în
cadrul structurii monitorizează implementarea Planului de
acţiuni împotriva riscurilor de către persoanele
responsabile. Acestea informează Echipa pentru
gestionarea riscurilor asupra progreselor înregistrate în
implementarea acţiunilor corective/măsurilor de control
(completarea fişei de urmărire a riscului, elaborarea
raportului lunar, organizarea reuniunilor lunare de analiză
a riscurilor).
PROCESUL DE MANAGEMENT AL RISCULUI –
ETAPA IV

 Revizuirea riscurilor:

 Se desfăşoară acţiuni de revizuire a calificativelor riscurilor


(expunerea la risc), de reprioritizare a riscurilor;
 Sunt identificate riscuri noi, se stabileşte închiderea riscurilor
soluţionate.
RESPONSABILITĂŢILE MANAGEMENTULUI ÎN
GESTIONAREA RISCURILOR

 Ia decizia implementării managementului riscurilor la


nivelul entităţii;
 Stabileşte apetitului pentru risc (nivelul de risc acceptabil
pentru entitate)
 Aprobă acţiunile/măsurile de control necesare pentru
diminuarea riscurilor;
 Aprobă planurile de acţiune elaborate pentru diminuarea
riscurilor.
REGISTRUL RISCURILOR

 Cadrul legal: OSGG 600/2018 pentru aprobarea Codului


controlului intern (modifica OSSG 400/2015 si OMFP
946/2005) .

 Standardul 8 – Managementul riscurilor: “Entitatea publică


analizează sistematic riscurile legate de desfăşurarea activităţilor
sale, elaborează planuri corespunzătoare în vederea limitării
posibilelor consecinţe şi numeşte persoane responsabile pentru
implementarea acestora”.
1. INTEGRITATEA ACTIVELOR
Deteriorare Mentenanţă Eşec al infrastructurii
Securitate împotriva Scurgeri şi spărturi Explozii
incendiilor
Avarii ale activelor Lipsuri privind proprietatea sau de Eşecuri ale măsurilor de
materiale siguranţă
Sabotaj
2. SCHIMBARE
Incapacitatea ţinerii pasului cu Magnitudinea Iniţiative competiţionale
schimbările
Stabilire defectuoasă a Atenţie, focusare Nerespectarea procedurii
priorităţilor
3. COMPETIŢIA
Schimbarea poziţiei de piaţă Numărul competitorilor Fuziunile
Fuziuni/absorbţie
Performanţele şi reputaţia
competitorilor
4. CONFUZIA
Semnalele neclare Obiective conflictuale Politici interne
Lipsa alinierii Luptele pentru putere
5. CONTRACTELE
Acorduri/Înţelegeri Proiecte Limite
Restricţii Lipsa responsabilităţii Proprietate
Răspundere limitată Necunoaşterea obligaţiilor Lipsă de claritate
6. RISCURI NAŢIONALE
Devalorizare Schimbarea puterii Lipsa conformităţii legale
Tulburare a comunităţii Instabilitate Atitudini păgubitoare
Terorism Întreruperi ale afacerii Nelinişte publică
Criză politică Lipsa ordinii Restricţii monetare
Colaps al infrastructurii Schimbări bruşte ale ratei dobânzii Sabotaj 107
Infracţiuni Greve Corupţie
Reglementare Transparenţă Creştere neplanificată
7. CLIENŢI
Lipsa concentrării Declaraţie/propunere cu valoare Identificare deficitară
redusă
Satisfacţie Feedback Sensibilitate
Intern/extern Reţinere Evaluare
8. FINANCIAR
Preţ Tranzacţionare Rate ale dobânzii
Noi produse financiare Impozitarea Moneda
Facturarea Disponibilitatea costurilor capitalului Lichiditate
Raportarea financiară
Contraparte
Cash Flow-uri Grad de îndatorare
9. FRAUDĂ
Defalcarea Jaf Delapidare
Denaturare Furt Crimă organizată
Şantaj Acţiuni ilegale Drept de folosinţă neautorizat
Falsificare Piratarea datelor
10. INTERACŢIUNI ÎNTRE GRUPURI
Aliniere Conflict de interese Evaluarea transferurilor
Competiţie internă Duplicitate Coordonare
Evaluarea portofoliului şi
managementul
11. SĂNĂTATE ŞI SIGURANŢĂ
Stricări ale echipamentelor Impact asupra mediului Moarte
Răniri de persoane Îmbolnăviri Boală
Poluare Deteriorări ale bunurilor aflate în Contaminare
proprietate
Emisii Zgomot Nealiniere a normelor
Litigii/Contestaţii Abuz de substanţe Evenimente catastrofice
12. INFORMAŢIE
Integritate Acurateţe Securitate
De încredere/sigură Oportunitate Reţinere
Utilitate Viruşi de computer Accesibilitate
Prea multe date Întrebuinţare greşită Infrastructură
13. ŞTIINŢĂ/CUNOŞTINŢE
Învăţare din greşeli Drepturi de autor Brevete
Mărci înregistrate 108
Proprietate intelectuală Presupuneri ascunse sau false Împărţire a cunoştinţelor.
Plecări de personal Reinventarea roţii Decepţie
14. MANAGEMENT
Stil Ton Acceptare
Atitudine faţă de risc şi control Competenţă Judecată
Experienţă Direcţie Viziune
Consistenţă Comunicare Luare a deciziilor
Cuantificarea performanţelor Eşec Flexibilitate
Abilitate de adaptare
15. PIEŢE
Competiţia Cotă de piaţă Substitute
Învechire Produse noi Ciclul de viaţă al produselor
Marje Reglementări privind preţul Liberalizarea
Calitate Cerere Contracte pe termen lung
Volatilitate Disponibilitatea ofertei Acces
Profitabilitate
16. EVENIMENTE NATURALE
Cutremur Inundaţie Incendiu
Furtună Încălzire globală Zgomot
Contaminare Poluare Schimbare a climei
17. RISCURI OPERAŢIONALE
Managementul costului Eficienţă Capacitate
Încredere Închidere neplanificată Continuitate
Măsurători Calitatea produselor Logistică
Ofertă Timpul necesar ciclului
Distribuţie Management al inventarului Tehnologie
Informaţie Interfeţe Eşecuri ale designului
Evaluare Marketing Întrerupere
18. ORGANIZAŢIA
Ansamblu Structură Complexitate
Guvernare Competenţe de bază Luare a deciziilor
Externalizare Interfeţe Concentrarea puterii
Schimbări Cultură Graniţe
Mediul de lucru
19. OAMENI
Comunicaţii Direcţie Încredere
Eroarea umană Sisteme de răsplătire a Capacitarea
performanţelor
Morală Expertiză Provocare
Stres Atracţie şi reţinere a abilităţilor-
cheie
Experienţă Conflicte de interes 109
Competenţă Relaţii nepotrivite Leadership
Rezistenţă la schimbare Valoarea angajaţilor Evaluare
Fluctuaţia personalului Flexibilitate Reeducare
20. REPUTAŢIE
Datorii/Responsabilităţi Integritatea brandului Legea competiţiei
Percepţie publică Relaţiile cu acţionarii Transparenţă
Evaluări/Ratinguri ale pieţei Percepţii ale pieţei financiare Mărci înregistrate
Eşecuri în producţie / ale Litigii /încălcări ale unei convenţii
produselor
21. ACŢIONARI MAJORITARI ŞI PARTENERI
Puterea relaţiilor Abilitatea de a influenţa Interes pentru competiţie
Conflict de interese Planuri ascunse sau în schimbare Percepţii diferite
Ignoranţă Sfaturi păguboase Fuziuni
Principii de afaceri Eşec al parteneriatului
22. STRATEGIE ŞI LUAREA DECIZIILOR
Oportunităţi Puncte tari Achiziţii
Ameninţări Intrarea sau ieşirea de pe piaţă Managementul portofoliului
Evaluare Presupuneri esenţiale Modele de business
Cesiuni de active; transferuri Evaluarea investiţiilor Planificare
de active
A nu face nimic Inovaţie Lipsă de viziune
23. SISTEME
Compatibiliatate Integrare Interfeţe
Selecţie Accidente/Întâmplări neprevăzute Design
Stabilitate Implementare Folosinţă / Utilitate
24. TEHNOLOGIE
Creşterea comerţului electronic şi a
comerţului mobil
Inovaţie Identitatea/oportunităţile grupului
Dezvoltarea produselor Alternative Cercetare 110
Accesul la noi tehnologii Schimbări / tendinţe noi în industrie / Învechire/ieşire din uz
ramură.
ANALIZA ŞI RAPORTAREA RISCURILOR

Principalele instrumente şi tehnici utilizate în procesul de analiză a riscurilor


sunt:

 autoevaluarea riscurilor, care se realizează în scopul aprecierii păstrării


profilului riscului la nivelul întregii organizaţii şi se efectuează de fiecare salariat
în parte;
 raportarea managementului de linie responsabil cu administrarea
riscurilor, către managementul superior, cu privire la activităţile pe care le-au
întreprins, cel puţin anual, la închiderea exerciţiului financiar, pe lângă cele
trimestriale şi semestriale, pentru a actualiza registrul riscurilor şi sistemul de
control managerial, care să menţină un nivel corespunzător de funcţionalitate
procedurile operaţionale de lucru;
 echipe specializate de revizie şi asigurare a actualizării procesului general
de administrare a riscurilor, prin care este analizată activitatea
managementului de linie cu privire la responsabilităţile ce le revin în domeniul de
activitate pe care îl coordonează în privinţa riscurilor şi sistemelor de control
managerial; 111
 constituirea comitetelor de risc, care trebuie să se stabilească de către
conducere – Consiliul de administraţie, ce rol se va atribui comitetelor şi
modalitatea de organizare a acestora, respectiv:
 comitetul de risc, stabilit ca un comitet al Consiliului de Administraţie,
format din membrii non-executivi, cu atribuţii privind monitorizarea riscurilor
şi evoluţiei acestora, care emite o opinie asupra procesului de gestionare a
riscurilor la nivelul organizaţiei, atribuţii care altfel îi reveneau Comitetului
de audit;
 comitetul de risc, stabilit ca un for al directorilor executivi, care au
responsabilităţi în domeniul administrării riscurilor şi unde îşi împărtăşesc
experienţe în vederea elaborării propriilor măsuri de gestionare a riscurilor
şi a asigurării eficacităţii gestionării acestora.

Totuşi, această modalitate de organizare a comitetelor de risc nu exclude şi


persoane non-executive în structura sa. În această situaţie atribuţiile privind
monitorizarea riscurilor şi procesul de gestionare al acestora rămâne la
nivelul Comitetului de audit, care trebuie să furnizeze asigurări
independente privind sistemul de administrare al riscurilor în cadrul
organizaţiei.
112
APLICAȚIE 2. ETAPELE PROCESULUI DE GESTIONARE A
RISCURILOR
a) Identificarea obiectelor auditabile care presupune un demers structurat plecând de
la general la detaliu, respectiv activităţile unui domeniu se împart în operaţii elementare
care vor intra în auditare.
b) Evaluarea sau măsurarea riscurilor se va realiza în funcţie de probabilitatea
apariţiei riscurilor şi de impactul şi durata consecinţelor evenimentului.
Măsurarea riscurilor se realizează prin următoarele tehnici dintre care menţionăm:
1. Tehnica probabilităţilor care presupune următorii paşi:
 permite măsurarea riscului major în raport cu ansamblul riscurilor;
 evaluarea pierderilor probabile plecând de la instrumente statistice şi de la o abordare
istorică;
 evaluarea directă a pierderilor anuale;
 constatări şi extrapolări, cu corecturi dacă este necesar.
2. Tehnica factorilor de risc, care se identifică în prealabil plecând de la o clasificare pe
categorii de riscuri.
3. Tehnica matricelor de apreciere, plecând de la criteriile de apreciere şi ponderile riscului
privind:
Impactul financiar (apreciere calitativă) I – 35%
Probabilitatea de apariţie (apreciere cantitativă) P – 20%
113
Nivelul controlului intern CI – 45%
Spre exemplu, construim matricea pentru o entitate folosind o scară, de
la 1-3, pentru criteriile de apreciere, în vederea măsurării riscurilor, astfel:

DOMENIU I-35% P-20% CI-45% SCOR


Resurse umane 2 1 1 1,35
Financiar-contabil 2 1 2 1,80
Achiziţii 2 3 2 2,20
Prestări servicii 1 1 3 1,90
IT 2 2 2 1,65

În cadrul acestei faze se realizează şi clasificarea riscurilor care, în


practică, se efectuează prin mai multe tehnici, şi anume:
 Tehnica clasificării absolută în ordinea importanţei scorului total
stabilit în exemplul anterior, valori ale riscului exprimate în procente sau
printr-o medie, conform tabelului de mai jos:

DOMENIU SCOR RISC


Achiziţii 2,20 Mare
Prestări servicii 1,90 Mare
Financiar-contabil 1,80 Mare
IT 1,65 Mediu
Resurse umane 1,35 Mic

 Tehnica clasificării relative utilizând o scară de valori determinată în


prealabil, spre exemplu: scăzut, mediu, ridicat.
 Tehnica clasificării matriciale în funcţie de diverse combinaţii 114
posibile. În acest sens, se aleg criterii diverse aplicabile domeniilor care vor fi
evaluate, tot pe o scală cu trei nivele: slab, moderat şi grav.
c) Stabilirea controlului intern se realizează prin completarea tabelului
realizat în exemplul de mai sus cu activităţile de control şi constatarea dacă
acestea sunt implementate sau nu în practică, conform modelului:

Domeniu Obiective Riscuri Evaluare Activităţi de control Constatare


intern DA/NU
1.Resurse Întocmirea - înscrierea Mare - comparaţie cu NU
umane documentelor incompletă sau dosarul de concurs
pentru eronată a datelor - verificarea DA
angajare autenticităţii
documentelor de bază
2. Financiar Calculul - neactualizarea Mediu - cunoaşterea NU
salariilor şi procedurilor cu modificărilor legislative
întocmirea modificările - actualizarea fişelor
statului de legislative Mare posturilor DA
plată - actualizarea - analiza programelor
incorectă a de salarii în vederea NU
programului de analizării
salarii
3. Contabilitate Lipsa - înregistrări Mediu - elaborarea NU
procedurilor eronate procedurilor conform
scrise pentru legii
115
înregistrarea în
contabilitate
În cadrul acestei faze se realizează şi ierarhizarea riscurilor, care se
materializează în analiza datelor din tabelul de mai sus, în care nefiind
implementate activităţile de control potrivite, activităţile şi respectiv operaţiile
vor fi catalogate cu risc mare sau mediu, aşa cum rezultă din tabelul următor:

Domeniu Obiective Riscuri Evaluare


1.Resurse umane Întocmirea documentelor - înscrierea incompletă sau eronată a Mare
pentru angajare datelor
2. Financiar Calculul salariilor şi - neactualizarea procedurilor cu Mediu
întocmirea statului de plată modificările legislative
- actualizarea incorectă a programului Mare
de salarii
3. Contabilitate Lipsa procedurilor scrise - înregistrări eronate Mediu
pentru înscrierea în
contabilitate

Tot în această fază se realizează şi clasarea riscurilor pe baza fazelor parcurse


anterior şi în funcţie de gravitatea riscurilor şi se efectuează prioritizarea
acestora pentru elaborarea Registrului riscurilor, planului anual al activităţii
de audit intern sau pentru Programul de audit întocmit în Etapa de pregătire
116
a misiunii de audit intern.
Din practică, se cunoaşte, dimensiunea impactului vizual asupra
managementului general al organizaţiei auditate şi din aceste considerente
recomandăm utilizarea grilelor de reprezentare grafică, în funcţie de
necesităţi, în mai multe variante şi anume:

(1). FUNCŢIONAL DE ÎMBUNĂTĂŢIT CRITIC

(2). SATISFĂCĂTOR NESATISFĂCĂTOR CRITIC

(3). MARE MEDIU MIC

(4). RIDICAT MODERAT SCĂZUT

STANDARD ACCEPTABIL CU PROBLEME


(5).
INTERNAŢIONAL 117
Beneficiile riscurilor şi măsurarea succesului.
Beneficiile procesului de gestionare a Rezultate şi măsurări ale succesului acestora
riscurilor
Măreşte reputaţia Mai puţină risipă
Mai multă inovare Economii – legate de asigurare
Conştientizare strategică mai bună Reduce creanţele şi alte costuri
Abordare mai consistentă/ consecventă /compactă Reduce costurile auditului extern
Îndreptare a atenţiei mai mult către imaginea de Proiecte livrate la timp şi cu încadrarea în costuri
ansamblu
Sporeşte dreptul de proprietate Reduce plângerile
Mai puţine articole nefavorabile în media Reduce fluctuaţia a personalului
Influenţează schimbarea Mai puţin absenteism
Ajută la schimbarea culturii Mai puţine decizii regândite
Decizii mai informate Asigurarea activităţilor câştigătoare – contracte,
proiecte ş.a.
Confort/siguranţă mai mare pentru management. Reducere a costului solicitărilor legate de risc
Facilitează o mai bună planificare a afacerii Reducere a stresului
Facilitează analiza sensibilităţilor Servicii la un nivel calitativ mai ridicat
Încurajează o gândire mai largă, “în afara cutiei” Scrisoare/raport anual al auditului pozitiv
Conştientizare mai bună a corporaţiei Preţuri mai bune în contracte şamd
Transfer mai bun al informaţiilor Rezultate mai bune în sondajele privind satisfacţia
Informaţii mai bune pentru şeful executivului Mai puţine articole adverse în presă
Încurajează luarea în proprietate a riscurilor Mai puţine recomandări ale auditului intern
Identifică pericolele, respectiv “cojile de banană” Mai puţine vizite de reglementare
Evită acceptarea de eşecuri ale sistemului Registrul riscurilor menţinut la zi
Sporeşte înţelegerea vulnerabilităţilor Reducere a provocărilor legale
118
Măreşte şansa de atingere a obiectivelor Procent sporit al obiectivelor atinse
Identifică principalele riscuri şi oportunităţi Soluţionarea plângerilor – număr şi
rezultate/efecte
Documentare formală asupra riscurilor Declaraţie mult mai concretă a guvernanţei
corporative
Gestionare mai bună a riscului financiar Câştigarea unei poziţii mai înalte într-o ierarhie
Împărţirea/difuzarea cunoştinţelor despre controale Reducere a costului riscului – solicitări de pierderi
neasigurate, şamd
Identifică întreruperile/pauzele Reducere a plângerilor dovedite – presă
Procese provocatoare Finanţare sporită
Provocare a status quo-ului Reducere a absenteismului, şamd
Înţelegere mai bună a rolurilor celorlalţi Reducere a fraudei
Încadrare/orientare în vederea acceptării de riscuri Reducere a scorului obţinut cu ajutorul matricei
calculate riscului
Personal mai satisfăcut Îmbunătăţirea politicilor corporative
Îi încurajează pe oameni să gândească Mai puţine dezastre şi surprize
Folosire mai eficientă a resurselor Reducerea costurilor din fondurile contingentate
Îmbunătăţire a răspunderii Reducere a controalelor supragestionate
Îmbunătăţeşte comunicarea Feedback pozitiv de la agenţiile externe
Înlătură acumulările/stocările Adăugarea de valoare în zonele/domeniile
serviciilor
Luare a deciziilor mult mai informată Satisfacţie publică mai mare
Perspectivă mai proactivă Finanţare sporită pentru reluarea parteneriatelor
Cultivă mai multă deschidere Rapoarte favorabile ale inspecţiilor externe
Forţează acordarea unei priorităţi mai mari folosirii Conformitate demonstrată a guvernanţei
resurselor. corporative
Îmbunătăţeşte motivarea angajaţilor Reducere a riscurilor în cazul riscurilor critice
Gestionează mai bine plângerile Metodologie consistentă şi coerentă de analiză119 a
riscului
Învăţare din greşeli Atingerea ţintelor valorice înalte
Înlătură barierele Răspundere mai bună a membrilor
Coordonare mai bună Management mai bun al proiectelor.
Reduce duplicarea
Reduce bănuielile
Conformitate cu valoarea cea bună

Bifează o activitate internă realizată

Ajută profilul auditului intern


Conformitate cu agenda guvernamentală
Probitate sporită
Sporeşte protecţia activelor
Revizuire regulată şi monitorizare
Furnizarea informaţiilor organismelor externe
Potenţială influenţare minimă a reglementărilor
externe
Asigurare sporită
Oferire îmbunătăţită a serviciilor
Planificare mai bună a proiectelor
Reduce surprizele
Eliberează fonduri celor mai importante servicii
Mai bună continuitate a planificării firmei
Minimizează costurile de asigurare 120
CONTROLUL INTERN
UN INSTRUMENT UTIL PENTRU MANAGERII
ENTITĂŢILOR

- Întrebările “cheie” pentru succesul demersului –

- ``

121
TEME SUPUSE ATENŢIE:

1. De ce controlul intern trebuie să devină una din preocupările centrale


ale managerilor entităţilor?

2. Controlul intern un instrument eficace pentru o mai bună gestionare


a activităţilor.

3. Care sunt atribuţiile şi cui sunt ele încredinţate ?

4. Cum se aplică acest demers în practică ?

5. Care este contribuţia adusă entităţii pe termen lung ?

122
1.1. CARE SUNT CERINŢELE ŞI OBIECTIVUL IMPLEMENTĂRII
DEMERSULUI DE CONTROL INTERN ?

“Fiecare salariat răspunde


de propriul său control intern “

■ Atingerea obiectivelor, stăpânirea şi pilotajul activităţii unei entităţi, sunt


preocupări ce se regăsesc în administraţia publică din multe ţări.

■ Cerinţele europene în privinţa transparenţei financiare şi a eficienţei


circuitelor financiare publice implică un angajament permanent al
managerilor publici în controlarea operaţiilor.

■ În repetate rânduri, Uniunea Europeană a subliniat importanţa consolidării


sistemelor de control intern şi de management financiar.

■ Pe lângă aceste cerinţe, obiectivul major este punerea la dispoziţia


managerilor a unui instrument eficace care să-i ajute în ţinerea sub
control a activităţii şi care să faciliteze îndeplinirea obiectivelor.

123
Pe baza informațiilor furnizate, controlul serveşte
managementului pentru:

Analiza calităţii deciziilor luate anterior şi a eficienţei acţiunilor


întreprinse pentru realizarea lor;

Aprecierea abaterilor pe cauze şi responsabilităţi;

În funcţie de rezultatele acestor analize, stabilirea unor noi


obiective şi strategii raportate la noile condiţii aflate în continuă
mişcare.

124
În practică se întâlnesc destul de des situații în care există așteptări nerealiste
în ceea ce privește controlul intern și anume:

Controlul intern poate asigura succesul unei organizații și de asemenea o


încrederea absolută în situațiile financiare și a conformității cu sistemul de
referință avut în vedere.

Acest punct de vedere este eronat deoarece, pe de o parte controlul intern


poate doar să contribuie la atingerea obiectivelor stabilite ale organizației,
nu poate determina schimbarea unui manager slab pregătit profesional într-un
manager de excelență, iar pe de altă parte, controlul intern, așa cum subliniam
și mai sus, indiferent de cât de bine este conceput și implementat, poate furniza
doar o asigurare rezonabilă.

125
Sistemulde control este privit ca un înlocuitor al sistemului
de management.

Aceasta este o greșeală întâlnită destul de frecvent în practică,


dar nu trebuie să uităm faptul că controlul intern este o parte
componentă a proceselor de management în planificare, executare
și monitorizare, fiind considerat ca un mijloc utilizat de
management și nu ca și un înlocuitor al acestuia.

126
Controlul intern protejează total organizația împotriva
erorilor în luarea deciziilor, a confruntării a două sau mai
multe persoane cu intenții de fraudă sau capacitatea
managerului de a face uz de autoritate asupra sistemului, cu
intenții de rea-credință.

Posibilitatea întâmplării unor astfel de evenimente nu este complet eliminată


prin intermediul controlului intern și aceasta datorită limitelor inerente de care
se lovește în practică sistemul de control intern, indiferent de cât de bine
fundamentat și implementat este acesta.

127
Dintre aceste limite inerente ale controlului intern menționăm:

 Raportul cost/beneficiu: pornindu-se de la considerentul că, costul unui


control intern să nu depășească avantajele care ar rezulta din exercitarea
acestuia.

 Direcționarea controalelor interne cu precădere spre tranzacțiile de rutină și


mai puțin spre cele neobișnuite.

 Probabilitatea apariției erorilor umane datorate neglijenței, neatenției,


neînțelegerii sau interpretării greșite a normelor legale și a instrucțiunilor
primite;

 Probabilitatea sustragerii de la controalele interne ca urmare a înțelegerilor


secrete între un membru al conducerii și un angajat, cu persoanele din afara
sau din interiorul organizației;

 Probabilitatea exercitării unui abuz din partea unei persoane responsabile


cu aplicarea controlului intern.

 Probabilitatea ca unele proceduri, datorită schimbării unor anumite condiții


să devină neadecvate. 128
1.2. CARE ESTE DOMENIUL ACOPERIT DE
STANDARDELE DE CONTROL INTERN ?

■ Toate misiunile, toate activităţile şi toate procedurile entităţii sunt vizate de


demersul de control intern.

■ Din acest motiv, standardele de control intern aprobate prin OSGG 600/2018
fac referire la o abordare managerială a controlului intern.

■ Punerea în practică a standardelor de control intern şi a ansamblului măsurilor


cuprinse în acest act normativ, au drept scop dezvoltarea sistemului de control
managerial la nivelul fiecărei entităţi publice.

■ Introducerea şi buna aplicare a procedurilor contabile şi financiare, ca


instrumente ale unui management financiar public eficace, constituie totuşi o
prioritate care reiese clar din dispoziţiile OSGG 600/2018 al ministrului
finanţelor publice.

129
Legislaţia privind implementarea sistemului de control
managerial intern

Ordinul nr. 600/2018 pentru aprobarea Codului controlului


intern/managerial al entităţilor publice

OMFP 946/2005 pentru aprobarea “Codului controlului intern cuprinzand standardele de


management/ control intern la entitatile publice” si pentru dezvoltarea sistemelor de
control managerial

OMFP 1389/2006 – model de proceduri scrise

Legea nr. 234/2010 pentru modificarea şi completarea Ordonanţei Guvernului nr.119/1999


privind controlul intern şi controlul financiar preventiv- raportul anual;

130
Ordinul nr.1649/2011 al ministrului finanţelor publice privind modificarea şi completarea
Ordinului nr.946/2005 pentru aprobarea Codului controlului intern şi a măsurilor pentru
dezvoltarea sistemelor de control managerial.
2. CONTROLUL INTERN UN INSTRUMENT
EFICACE PENTRU O MAI BUNĂ GESTIONARE A
ACTIVITĂŢILOR
2.1. Ce este controlul intern ?

2.2. Ce este COSO ?

2.3. Care este legătura între controlul intern şi managementul riscurilor ?

2.4. Reprezintă controlul intern o sarcină de lucru în plus pentru manageri


şi colaboratorii lor ?

2.5. Care este ponderea relativă a părţii financiare în cadrul controlului


intern ?

2.6. Care este legătura între controlul intern şi dispozitivul de combatere a


fraudei ? 131
2.1. CE ESTE CONTROLUL INTERN ?
■ Conform definiţiei cel mai des utilizate la nivel internaţional, controlul intern
reprezintă ansamblul de dispozitive stabilite de conducere şi
implementate de către responsabilii de la orice nivel pentru controlarea
funcţionării activităţilor.

■ Aceste dispozitive sunt menite să ofere o asigurare rezonabilă cu privire la


realizarea obiectivelor organizaţiei, iar managerii sunt direct responsabili.

■ Conform celor indicate în standarde, obiectivele unei entităţi publice pot fi


grupate in trei categorii:
• eficacitatea şi eficienţa operaţiilor;
• fiabilitatea informaţiilor interne şi externe;
• conformarea la legi, regulamente şi proceduri interne.

■ Prin urmare, această definiţie a controlului intern nu se limitează la simpla


verificare a operaţiilor.

132
Instrumentarul cu care opereaza sistemele de control
intern

Întregul instrumentar de control intern poate fi repartizat in


urmatoarele sase grupe:

1. obiectivele;
2. mijloacele;
3. sistemul informational;
4. organizarea;
5. procedurile;
6. controlul.
1. Obiectivele

Pornind de la obiectivele globale si urmarind riguros deplina


conformitate cu acestea, fiecare persoana cu functie de
conducere stabileste obiectivele derivate, specifice
activitatilor din compartimentul pe care il conduce, asigurand
ca obiectivele stabilite:

 sa fie realiste si in deplina concordanta cu misiunea si


atributiile compartimentului;

 sa fie repartizate in interiorul compartimentului pe sub-


obiective individuale, incredintate personalului de executie;
O buna repartizare trebuie sa constea in:
 o constructie piramidala a sub-obiectivelor care concura la realizarea
obiectivelor compartimentului;
 performante de atins, incredintate fiecaruia, in functie de sub-obiective,
pentru ca acestea sa fie transpuse in realitatea operationala;
 sa fie masurabile, adica exprimate in indicatori cantitativi sau, dupa caz,
calitativi;
 sa poata fi monitorizate prin sistemul de informare existent/necesar a fi
creat la dispozitia managementului si care trebuie sa fie construit in functie
de natura indicatorilor proprii obiectivelor/sub-obiectivelor incredintate
fiecaruia;
 sa aiba prevazut un termen calendaristic de realizare realist.

Intr-adevar, nu s-ar putea trece la construirea unui sistem de control intern


adecvat, daca obiectivele nu sunt stabilite si cunoscute in prealabil.
2. Mijloacele

 Prin mijloace se intelege, de regula, ansamblul


resurselor umane, financiare si materiale, privite in
corelatie cu realizarea obiectivelor. In consecinta,
conducatorul entitatii publice, precum si fiecare dintre
persoanele care ocupa o functie de conducere, trebuie
sa isi puna urmatoarea intrebare: mijloacele efectiv
disponibile permit realizarea obiectivelor fixate?

 Raspunsurile la aceasta intrebare scot adesea in


evidenta grave distorsiuni, surse de esecuri si de
ineficacitate.

3. Sistemul informational

 Prin sistem informational intelegem totalitatea procedeelor,


metodelor si mijloacelor utilizabile la nivelul entitatii, in cadrul
procesului informational considerat ca un tot organic al
operatiilor de culegere, prelucrare, sistematizare, transmitere,
valorificare si stocare a datelor si informatiilor.

 Vizand toate activitatile din entitatea publica, sistemul informational


si, in particular, sistemul informatic pentru conducere, trebuie sa fie
astfel construit incat sa permita un bun control asupra acestora, in
vederea atingerii obiectivelor prestabilite.
In primul rand, se recomanda utilizarea unei terminologii unitare, pentru
caracterizarea componentelor proprii ale oricarui sistem informational. Astfel:

 datele reprezinta ansamblul marimilor sau expresiilor calitative, caracteristice unor


fiinte, lucruri sau procese;

 informatiile sunt elemente noi, in raport cu cunostintele prealabile, continute intr-


un text scris, mesaj oral, imagine etc.;

 circuitele informationale semnifica traseele pe care circula informatiile, in


conformitate cu legaturile functionale existente intre diferitele compartimente,
precum si in interiorul acestora, inclusiv a legaturilor entitatii publice cu mediul ei
extern;

 fluxurile informationale, constand in ansamblul informatiilor care sunt vehiculate


prin circuitele informationale;
 modulele bazei de date, care asigura functionarea sistemului
informatic, si care definesc:

 metodele prin care se asigura incarcarea bazei de date pentru


crearea fisierelor permanente;

 structura conceptuala a bazei de date, permitand evidentierea


tuturor categoriilor de fisiere de date, permanente si temporare;

 structura iesirilor, rezultate din prelucrarea bazelor de date,


conform cerintelor utilizatorului;

 mijloacele de tratare a informatiilor, adica ansamblul


mijloacelor fizice (hardware) si a celor logice (software).
 In al doilea rand, practica a dovedit ca proiectarea sistemului
informational al entitatii publice nu poate aborda de la inceput
intregul acestuia, ci trebuie efectuata intai in domenii restranse, pe
subsisteme, intre care se vor stabili ulterior legaturile de
interdependenta, iar specialistii au aratat ca este rational ca
proiectarea perfectionarii sistemului informational sa se faca pe
activitati distincte. Entitatea publica care este in situatia de a-si
perfectiona sistemul informational trebuie sa-si identifice activitatile
proprii si sa stabileasca o ordine de prioritate pentru efectuarea
lucrarilor de perfectionare.

 In al treilea rand, trebuie subliniat ca orice actiune de proiectare,


perfectionare sau modificare a sistemului informational determina, in
mod necesar, o serie de modificari in lant, care afecteaza
subsistemele decizional, organizatoric si operational, pana la
realizarea unui nou echilibru intre acestea.

In fine, dar nu in ultimul rand, perfectionarea sistemului
informational se poate realiza parcurgandu-se urmatoarele
etape:

 analiza diagnostic;

 proiectarea logica;

 proiectarea tehnică;

 experimentarea și aplicarea sistemului.


4. Organizarea

Sub aceasta denumire generica se grupeaza instrumentele de


control intern prin care se poate realiza, in mod practic, o functie
esentiala a managementului oricarei entitati publice: organizarea
interna.

Organizarea, ca functie manageriala, constituie un ansamblu de


masuri, metode, tehnici, mijloace si operatiuni, prin care
conducerea stabileste - in conformitate cu anumite principii, reguli,
norme si criterii - componentele procesuale si structurale ale entitatii
publice, in vederea realizarii obiectivelor propuse.
5. Procedurile
Oricat de numeroase ar fi, procedurile de control intern pot fi
grupate, in functie de obiectivul lor, in trei categorii:

 operationale, care privesc aspectul procesual;

 decizionale, care se refera la exercitarea competentei;

 jurisdictionale, care vizeaza angajarea raspunderii.

In cazul primelor doua categorii, procedurile pot fi formalizate sau nu, in


functie de complexitatea obiectului lor si a gradului nevoii de
reglementare.
6. Controlul

Controlul este feedback-ul procesului managerial si, prin aceasta,


impulsul actiunii manageriale continue.

Controlul consta in compararea rezultatelor cu obiectivele, depistarea


cauzelor care determina abaterile (pozitive sau negative) constatate si
luarea masurilor cu caracter corectiv sau preventiv necesare.

In functie de cauzele abaterilor, masurile corective sau preventive


pot fi de natura previzionala, organizatorica, de coordonare, antrenare
sau chiar de evaluare-control. Aceasta inseamna ca procesul
managerial, concretizat in functiile manageriale mentionate, are ca
suport exercitarea continua a functiei de evaluare-control.
SISTEMELE DE CONTROL MANAGERIAL: O PRIVIRE A
COMPONENTELOR ŞI INDEPENDENŢA ACESTORA
 INTOSAI (The International Organisation of
Supreme Audit Institutions) : Controlul intern este un
instrument managerial utilizat pentru a furniza o
asigurare rezonabilă ca obiectivele managementului
sunt îndeplinite.

 Comitetul Entităţilor Publice de Sponsorizare a


Comisiei Treadway (S.U.A) – COSO: Controlul intern
este un proces implementat de managementul
entităţilor publice, care intenţionează să furnizeze o
asigurare rezonabilă cu privire la atingerea
obiectivelor.

 lnstitutul Canadian al Contabililor Autorizaţi


(Criteria of Control) – CoCo: Controlul intern este
ansamblul elementelor unei organizaţii (inclusiv
resursele, sistemele, procesele, cultura, structura şi
sarcinile) care, in mod colectiv îi ajută pe oameni să
atingă obiectivele organizaţiei. 145
COMPONENTELE CADRULUI DE CONTROL INTERN
COSO – Comitetul Entităţilor de Sponsorizare a
Comisiei Treadway este un grup de analiză
constituit în SUA în 1985. Standardele Europene
se inspiră direct din acest model, ce structurează
controlul intern după cinci componente:

 Mediul de control;

Evaluarea riscurilor;

Activităţile de control;

Informare şi comunicare;

Pilotaj (al controlului intern).


146
a) Mediul de control reprezintă atitudinea generală,
integritatea, valorile etice şi comportamentale angajaţilor,
stilul de operare al managementului, modul de atribuire a
autorităţii şi responsabilităţii.

Mediul de control face parte din cultura instituţională, care


este influenţată de stilul conducerii, sistemul de valori însuşite
de salariaţi, oamenii cu competenţă profesională şi integritatea
lor, descrierea activităţilor şi procedurilor, structura
organizatorică, separarea sarcinilor, IT ş.a. şi oferă cadrul în care
se desfăşoară diferitele forme de control intern.

147
Mediul de control este unul dintre elementele importante de care au nevoie întreprinderile
pentru a-şi organiza un sistem de control intern eficient. Astfel auditorii se pot confrunta
cu:

 un mediu de control favorabil, care presupune existenţa unui climat în care valorile
de etică sunt privilegiate, care utilizează, acceptă şi apreciază controlul. Aceasta
înseamnă că codurile de conduită etică şi regulamentele interioare există şi sunt luate în
consideraţie de toţi factorii, inclusiv de managementul general. Întotdeauna, puterea
exemplului şefului contribuie la crearea unui climat propice dezvoltării activităţilor de
control.

 un mediu de control adecvat, în care se respectă legile, regulile, procedurile, terţii-


parteneri de afaceri, salariaţii, contractele încheiate şi astfel activităţile entităţii sunt
stăpânite;

un mediu de control deteriorat, în care nu există proceduri formalizate, se evită


controalele, există încălcări ale normelor de conduită şi regulamentelor de funcţionare sau
chiar nerespectări ale cadrului legislativ, ceea ce prejudiciază controlul intern. Acest
mediu subminează sistematic controlul intern asupra operaţiilor, minimalizează
necesitatea implementării diferitelor activităţi de control şi apelează în mod periodic la
inspecţii. Într-un mediu nefavorabil sau poate chiar corupt activitatea de inspecţie devine
importantă, dar în acelaşi timp creşte rolul auditorilor interni, care va trebui să se implice
în îmbunătăţirea acestuia şi a culturii organizaţiei.
148
b) Evaluarea riscurilor
Orice entitate este supusă riscurilor, care pot fi riscuri proprii funcţionării
organizaţiei înseşi, riscuri specifice fiecărei activităţi, dar şi riscuri externe.
Unele riscuri sunt acceptabile şi inerente fiecărei activităţi, însă există şi riscuri
inacceptabile.

Toate entităţile îşi propun administrarea riscurilor, unele constituind în acest


sens un departament de management al riscului, altele lăsând această
activitate în responsabilitatea managementului general şi a managementului de
linie şi în supervizarea compartimentului de audit intern.

Un element fundamental al controlului intern al unei entităţi îl reprezintă


existenţa unui sistem de analiză şi evaluare a riscurilor din cadrul acesteia.

Evaluarea riscurilor presupune definirea obiectivelor şi condiţiilor pe care


trebuie să le avem în vedere în special pentru gestionarea schimbării,
ţinând cont de faptul că oamenii se schimbă, procedurile se schimbă,
organizarea şi politicile se schimbă, deci şi riscurile se schimbă şi în consecinţă
controlul intern este condamnat la o permanentă adaptare la noile condiţii.

149
c) Activităţile de control sunt elemente specifice (politici, proceduri ş.a.) care
vor permite administrarea funcţiei, activităţii, subactivităţii sau operaţiei în
conformitate cu obiectivele generale ale controlului intern.

Activităţile de control sunt de o mare diversitate, în funcţie de entitate, de


cultura organizaţională a acesteia, de structura organizatorică, de numărul
activităţilor etc. Acestea se efectuează în întreaga organizaţie, la toate
nivelurile ierarhice şi de către toate funcţiile şi constau în:
 indicaţie, recomandare, decizie, hotărâre, sancţiune, aprobare, aviz,
îndrumare, apreciere, plan, program, analiză, autorizaţii, verificări, reconcilieri,
revizuiri, siguranţa activelor, segregarea sarcinilor,
raport, buget de venituri şi cheltuieli, cont de profit şi pierdere, bilanţ
contabil, dare de seamă, instrumente matematice, tehnici informatice, tehnica
PERT,
cercetarea operaţională, simulare, grafice, programare liniară, drum critic ş.a.

150
d) Informaţii şi comunicare
Informaţiile relevante sunt informaţiile pertinente, cheie, care de regulă ne
parvin Ia timp şi într-o formă convenabilă. Acestea trebuie identificate,
colectate şi comunicate într-o formă şi într-un timp care să Ie dea oamenilor
posibilitatea să-şi îndeplinească responsabilităţile.

Comunicarea efectivă trebuie să aibă loc într-un sens mai larg şi să implice
toate activităţile şi toate structurile organizaţiei.

Din practică se impune ca întreg personalul entităţii să primească un mesaj clar


din partea conducerii cu privire la necesitatea luării în serios a
responsabilităţilor ce-i revin, dar şi la înţelegerea propriului rol în sistemul de
control intern şi a legăturilor activităţilor individuale cu munca altora. În
acelaşi timp este necesar să existe un mijloc de comunicare a informaţiilor
semnificative superiorilor ierarhici.

151
e) Monitorizarea

In practică s-a dovedit că managerii de la toate nivelurile, mai


ales cei care nu au proceduri formalizate sau în cazul în care
acestea nu sunt actualizate, fac de regulă control intern fără să
realizeze acest lucru. Astfel fiecare responsabil, oriunde s-ar
afla, se organizează pentru a-şi conduce activitatea prin:
definirea sarcinilor fiecăruia,

 stabilirea instrumentelor şi tehnicilor de lucru,

pregătirea profesională,

dotarea cu echipamente şi sisteme electronice,

supervizarea activităţii personalului ş.a.

152
Elementul
Modelul COSO Modelul CoCo
urmărit
Un proces implementat de consiliul de administraţie, Ansamblul elementelor ca şi resurse, sisteme,
conducere şi întregul personal al unei entităţi, procedee, structuri, cultura organizaţiei şi alte
Definiţia destinat să furnizeze o asigurare rezonabilă cu elemente componente, care puse împreună
controlului intern privire la atingerea obiectivelor organizaţiei. contribuie la atingerea obiectivelor organizaţiei.

 Eficienţa şi eficacitatea operaţiunilor;  Eficienţa şi eficacitatea operaţiunilor;


Obiectele  Realitatea rapoartelor financiare;  Fiabilitatea raportărilor interne şi externe;

controlului intern Conformitatea cu legile şi regulamentele aplicabile.  Conformitatea cu legile şi regulamentele


aplicabile, precum şi cu politicile interne.

Cinci elemente componente: mediul de control; Patru elemente componente: scopul, implicarea,
Punctele de evaluarea riscurilor; activităţile de control; informaţii capacitatea, monitorizarea şi învăţarea; şi douăzeci
ancorare şi comunicare, monitorizarea. de criterii de control.

Utilizat îndeosebi în sectorul privat din Europa, şi Utilizat în sectorul public şi privat din Canada.
din ce în ce mai mult în organizaţiile din SUA,
Aplicabilitate îndeosebi în acela implicate în comerţul
internaţional, dar şi în sectorul public.

Element important care este privit în strânsă Se realizează ţinând cont de eficienţa controalelor
Monitorizarea
corelaţie cu celelalte patru elemente componente ale şi indicatorii de performanţă urmăriţi.
controlului intern
modelului.
Utilizarea COSO promovează utilizarea experienţei dobândite CoCo susţine utilizarea experienţei prin
experienţei prin monitorizare şi revizuire. monitorizare şi învăţare.
Controlul intern este efectuat de întregul personal al organizaţiei;
Controlul intern furnizează doar un nivel rezonabil de asigurare, nu oferă o garanţie absolută;
Controlul intern este proiectat şi implementat pentru atingerea obiectivelor organizaţiei.
153
Elementele cheie
comune
2.3. CARE ESTE LEGĂTURA ÎNTRE CONTROLUL
INTERN ŞI MANAGEMENTUL RISCURILOR ?

O politică adecvată de control intern oferă managerului o asigurare rezonabilă


că obiectivele sale vor fi atinse.

Aceasta presupune, în prealabil, realizarea următoarelor operaţiuni:


• identificarea obiectivelor entităţii;
• cartografierea proceselor;
• analiza şi evaluarea riscurilor inerente proceselor şi care ar
putea să compromită îndeplinirea obiectivelor entităţii.

154
 Definirea activităţilor de control intern ţine direct de această analiză;
activităţile de control constituie răspunsurile entităţii în gestionarea
riscurilor.

 Gestionarea riscurilor constituie, deci, o etapă esenţială în orice demers


de control intern.

■ Actualizarea sistematică a acestei analize a riscurilor este de asemenea


indispensabilă pentru ca dispozitivul de control intern să fie un instrument
operaţional permanent. Recunoaşterea caracterului esenţial al gestionării
riscurilor cu privire la controlul intern s-a concretizat prin apariţia
conceptului de management al riscurilor.

155
2.4. REPREZINTĂ CONTROLUL INTERN O SARCINĂ DE
LUCRU ÎN PLUS PENTRU MANAGERI ŞI COLABORATORII
LOR ?
■ Activităţile de control intern sunt cu atât mai eficace cu cât sunt integrate în
proceduri decât să se suprapună cu sarcinile curente: ele nu se limitează la
operaţiile de verificare efectuate de manageri asupra operaţiilor realizate de
subordonaţii lor sau la controale mutuale între executanţi. Astfel, separarea
sarcinilor, regulile de rotaţie pe funcţiile sensibile sunt măsuri de control
intern de ordin organizatoric des utilizate pentru garantarea securităţii în
gestionarea fondurilor publice.

■ Este responsabilitatea managerilor să vegheze asupra eficienţei dispozitivului


de control intern în funcţie de:
• apetenţa lor pentru risc;
• rezultatele evaluării riscurilor;
• mijloacele de care dispun.

■ Este foarte important de reţinut faptul că riscul 0 nu există. Miza unui demers
metodologic riguros este, deci, găsirea unui echilibru optimal între nevoia de
securitate şi gestionarea eficientă a mijloacelor de care dispun managerii
publici. 156
■ Cu certitudine, efortul de dezvoltare a sistemului de control intern este o
investiţie profitabilă pe termen mediu şi lung.
2.5. CARE ESTE PONDEREA RELATIVĂ A PĂRŢII
FINANCIARE ÎN CADRUL CONTROLULUI INTERN ?
■ Cu toate că demersul de control intern vizează toate activităţile organizaţiei, funcţiile
financiare sunt în primul rând vizate. Fiabilitatea informaţiilor financiare constituie
astfel unul din cele trei obiective majore ale modelului COSO.

■ Importanţa acordată calităţii informaţiilor financiare a fost net afirmată în ultimii ani de
decizia mai multor state europene de a se angaja intr-un demers de certificare a
conturilor.

■ Un acelaşi fenomen de consolidare a controlului intern contabil şi financiar a fost iniţiat


în sectorul comercial sub forma legilor “post-Enron” şi în contextul Legii Sarbanes-
Oxley.

■ Bineînţeles, acest demers nu trebuie să se limiteze la verificări tradiţionale sau


reglementări pe operaţii sau situaţii financiare, ci trebuie să includă o gândire mai
largă privind riscurile care ameninţă funcţiile financiare dar şi identificarea mijloacelor
eficace de gestionare a acestora (separarea sarcinilor, securitatea sistemului
informaţional,fiabilitatea raportării).

157
2.6. CARE ESTE LEGĂTURA ÎNTRE CONTROLUL INTERN
ŞI DISPOZITIVUL DE COMBATERE A FRAUDEI ?

■ Demersul de control intern vizează gestionarea riscurilor care ameninţă


activitatea organizaţiei, fără ca acestea să poată fi eliminate complet.

■ Riscul de fraudă trebuie să constituie o preocupare majoră pentru managerii


financiari, mai ales atunci când resursele sunt constituite din bani publici.

■ O cerinţă fundamentală pentru manager, în cadrul politicii sale de control intern,


este să realizeze o analiză obiectivă a vulnerabilităţii organizaţiei sale.

■ Pornind de la această bază, el va putea să implementeze măsuri eficace şi cât


mai puţin costisitoare prin care să consolideze securitatea fără însă a
compromite fluiditatea procedurilor / activităţilor.

158
3. CARE SUNT ATRIBUŢIILE ŞI CUI SUNT
ELE ÎNCREDINŢATE ?

3.1. Cine are responsabilitatea controlului intern ?


3.2. Care sunt actorii controlului intern ?
3.3. Care este rolul auditului intern ?

159
3.1. CINE ARE RESPONSABILITATEA CONTROLULUI INTERN ?

■ În măsura în care managerul este responsabil de obiective, acesta este clar


identificat ca fiind responsabil de controlul intern în cadrul organizaţiei sale.

■ Managerul general este responsabil de pilotajul întregului dispozitiv de


control intern, asigurându-se că acesta acoperă riscurile principale şi că este
coerent în ansamblul său şi eficient.

■ În acest caz, fiecare manager din entitate trebuie să elaboreze politica de


control intern la nivelul compartimentului / compartimentelor care depind
de acesta ierarhic şi funcţional.

■ Directorul financiar are o responsabilitate specială pe dispozitivul de


control în ceea ce priveşte procesele contabile şi financiare. Acesta trebuie
să aibă în vedere că procesele contabile pot reflecta operaţiuni ale mai
multor servicii, fie că ele iniţiază anumite operaţii (de exemplu: comandă
de marfă de către un serviciu tehnic) sau contribuie la finalizarea
operaţiilor financiare ori efectuează controale asupra acestora.

160
3.2. CARE SUNT ACTORII CONTROLULUI INTERN ?

■ Dacă managerii, de la toate nivelurile ierarhice, sunt responsabili de


dispozitivul de control intern în sfera lor de competenţă, aceştia nu sunt singurii
actori. Tot personalul, de la top management până la personalul de execuţie,
trebuie să fie implicat, să participe la acest demers.

■ Managerii stabilesc dispozitivul de implementat, dar pot delega pilotajul


operaţional la compartimentul vizat de demers.

■ Restul personalului implementează activităţile de control.

■ În multe organizaţii, direcţiile financiare au o funcţie transversală de pilotaj


şi de organizare a dispozitivului de control intern.

■ Anumite administraţii au instituit direcţii de management al riscurilor.

161
3.3 CARE ESTE ROLUL AUDITULUI INTERN ?

■ Auditul intern este una din activităţile menite să evalueze periodic


dispozitivul de control intern şi să propună, dacă este cazul, măsuri de
îmbunătăţire în vederea oferirii de sprijin managerilor pentru o mai bună
gestionare a riscurilor, deci pentru atingerea obiectivelor.

■ Auditul intern este o activitate independentă şi obiectivă care se exercită prin


respectarea unei metodologii şi a unor reguli de deontologie definite prin
norme internaţionale de audit şi preluate în referenţiale naţionale.

■ Auditul intern nu se interferează cu gestionarea exercitată de manager.


Pentru a-şi menţine obiectivitatea, auditorul nu are autoritate ierarhică asupra
managerului şi nu trebuie implicat în implementarea procedurilor auditate.
De asemenea, el nu este subordonat managerilor pe care îi auditează.

■ Acesta propune recomandări operaţionale pentru ameliorarea eficacităţii


dispozitivului de control intern dar de a căror implementare este responsabil
doar managerul.

162
4. CUM SE APLICĂ ACEST DEMERS ÎN PRACTICĂ
?

4.1. Cum se iniţiază un demers de control intern ?


4.2. Cum se pilotează implementarea controlului intern ?
4.3. Care sunt dificultăţile întâmpinate în implementarea
unui dispozitiv de control intern adaptat şi eficace ?
4.4. Cui şi în ce mod trebuie comunicate problemele legate
de implementarea demersului de control intern ?

163
4.1. CUM SE INIŢIAZĂ UN DEMERS DE CONTROL
INTERN ?
■ Desfăşurarea unui demers de control intern în cadrul unei entităţi publice
constituie un proiect în sine.

■ Iniţierea acestui proiect presupune parcurgerea mai multor faze:


• crearea unei echipe pilot ce are ca atribuţie pilotajul acţiunilor:
OSGG 600/2018 al ministrului finanţelor publice prevede în acest sens
constituirea în cadrul fiecărei entităţi publice, a unui grup de lucru.
• realizarea unui diagnostic al sistemului de control managerial
existent: trebuie analizate procedurile şi practicile existente în cadrul
entităţii raportate la prevederile standardelor. Acest diagnostic
reprezintă o etapă decisivă, deoarece condiţionează natura şi sfera de
acoperire a masurilor care urmează a fi implementate.
• elaborarea unui plan de acţiune care va constitui tabloul de bord
al desfăşurării demersului. Acţiunile trebuie să fie ierarhizate în funcţie
de strategia entităţii.
164
4.2. CUM SE PILOTEAZĂ IMPLEMENTAREA
CONTROLULUI INTERN ?

■ Implementarea unei politici de control intern nu răspunde unei nevoi pentru


termen scurt. Trebuie, dimpotrivă, văzută ca un demers permanent şi viu în
cadrul organizaţiei.

■ Aceasta înseamnă că pilotajul implementării controlului intern trebuie să


implice, pe lângă echipa de proiect, top managementul entităţii.

■ Este foarte important ca in stadiul de implementare, să se transmită tuturor


compartimentelor entităţii semnale puternice privind importanţa şi
finalitatea demersului.

165
■ Managerul general al entităţii publice ar trebui să conducă direct echipa
de proiect. El poate, totuşi, să delege această responsabilitate
înlocuitorului său de drept sau unei persoane de rang înalt din cadrul
entităţii, şi să participe la momentele “cheie” ale proiectului.

■ Atenţia acordată constituirii echipei de proiect este de asemenea


importantă. Echipa trebuie să cuprindă cel puţin persoanele cu funcţie de
conducere astfel încât să acopere ansamblul componentelor structurii
organizatorice a entităţii publice.

■ Un expert în informatică poate fi asociat acestor lucrări în mod util. De


asemenea, auditorii pot fi solicitaţi în calitate de consultanţi.

166
4.3. CARE SUNT DIFICULTĂŢILE ÎNTÂMPINATE ÎN
IMPLEMENTAREA UNUI DISPOZITIV DE CONTROL
INTERN ADAPTAT ŞI EFICACE ?
■ Miza şi provocarea majoră cu care se confruntă managerii în momentul lansării
demersului de control intern nu sunt cele de ordin tehnic.

■ Anumite instrumente specifice sunt evident indispensabile implementării


dispozitivului (evaluarea riscurilor, instrumente de raportare, sistem
informaţional).

■ Cu toate acestea, managerii se pot inspira din experienţele altor administraţii


publice care au conceput şi aplicat sisteme de control managerial proprii
eficace.

■ O bună “instrumentare” a controlului intern nu garantează totuşi reuşita


demersului pe termen scurt şi cu atât mai puţin pe termen lung.

■ Provocarea managerilor constă mai degrabă în a obţine adeziunea reală a


întregului personal al entităţii publice la dezvoltarea sistemului de control
intern. 167
Pentru a favoriza această aderare, managerii dispun de cel puţin trei pârghii:

• acţiuni de comunicare şi de pregătire, care sunt indispensabile pentru


a convinge în privinţa utilităţii colective a demersului şi a implicării managerilor,
şi pentru a da naştere unei culturi comune în acest sens în cadrul entităţii.

• implicarea personalului prin participarea directă la conceperea


dispozitivului de control intern, în special în faza de diagnostic. Aceasta
poate avea forma de ateliere de lucru (de tipul “autoevaluare a sistemului /
subsistemului de control managerial”). La aceste ateliere de lucru trebuie să
participe manageri, de toate nivelurile, dar şi persoane fără responsabilitate
managerială. Dezbaterile din cadrul acestor ateliere favorizează identificarea
factorilor de risc şi definirea măsurilor de control intern corespunzătoare.
Participarea la aceste ateliere a personalului, însărcinat ulterior cu
implementarea acestor măsuri, favorizează şi mai mult aderarea lor la demers.

• exemplul personal al managerilor, îndeosebi al managerului general,


constituie o pârghie determinantă pentru reuşita întregului demers de control
intern. Acesta condiţionează esenţial adeziunea reală a personalului entităţii.

168
4.4. CUI ŞI ÎN CE MOD TREBUIE COMUNICATE
PROBLEMELE LEGATE DE IMPLEMENTAREA
DEMERSULUI DE CONTROL INTERN ?

■ Comunicarea deţine un rol important în demersul de control intern şi aceasta


trebuie să aibă loc în două sensuri:
• comunicarea “descendentă” de la top management către compartimentele
entităţii, în vederea explicării, a demistificării şi a promovării demersului. Această
comunicare este esenţială în faza de diseminare a dispozitivului.

Toată lumea câştigă: este stimulată dorinţa de reuşită a demersului care


favorizează responsabilizarea fiecăruia şi îndeplinirea obiectivelor. Comunicarea
se poate face prin suporturi oficiale (texte reglementare sau legislative), dar
se recomandă utilizarea, cu precădere, a unor suporturi mai puţin formale, scrise
sau orale, menite să reafirme importanţa demersului sau să insiste pe anumite
aspecte “cheie” (de exemplu: mobilizarea tuturor, identificarea riscurilor
majore ...).

169
• comunicarea “ascendentă”: este vorba despre raportarea către nivelurile
corespunzătoare de management a informaţiilor privind gestionarea riscurilor şi
îndeplinirea obiectivelor. Managerii au responsabilitatea de a defini natura,
gradul de agregare şi termenul de colectare a informaţiilor în funcţie de obiective
şi de nivelul de responsabilitate.

■ Trebuie ţinut cont şi de costul producerii acestor informaţii. Cu cât costul este
mai ridicat cu atât devine mai important riscul de exhaustivitate, de exactitate,
deci de fiabilitate a informaţiilor. Aceasta presupune acordarea unei atenţii
sporite numărului şi pertinenţei indicatorilor de activitate şi de rezultate ce vor fi
raportaţi managerilor.

■ Ceilalţi actori ai controlului intern, auditorii interni şi controlorii financiari,


pot, de asemenea, contribui la colectarea informaţiilor esenţiale privind
funcţionarea sistemului de control intern prin semnalarea disfuncţionalităţilor
constatate.

170
Privita in integritatea ei, aplicarea metodologiei-cadru de
proiectare/reproiectare si implementare a sistemului de control intern in
entitatea publica presupune parcurgerea urmatoarelor etape:
1. Evaluarea instrumentelor generale de control intern;

2. Evaluarea instrumentelor specifice de control intern, la nivelul fiecarei


activitati;

3. Analiza raportului intre costurile suplimentare si efectele asteptate,


generate de implemetarea noului sistem de control intern;

4. Elaborarea si aprobarea programului de implementare a noului


sistem de control intern al entitatii publice;

5. Monitorizarea executiei programului de implementare a noului sistem


de control intern.
Etapa 1 - Evaluarea instrumentelor generale de control
intern
Mentionam ca realizarea primei etape a metodologiei-cadru consta in
percurgerea urmatoarelor faze de executie:

Elaborarea chestionarelor de control intern;

Formularea raspunsurilor la chestionarele de control intern;

Identificarea riscurilor si estimarea nivelului de risc;

Evaluarea propriu-zisa a instrumentelor generale de control intern;

Intocmirea fiselor analitice si sintetice, continand rezultatele fazelor


anterioare.
1.1. Elaborarea chestionarelor de control intern

Se impune a fi subliniat ca cel putin, urmatoarele posibile tendinte


trebuie evitate in elaborarea chesionarelor de control intern:

 tentatia ca, prin intrebari, sa fie urmarita identificarea, directa sau


indirecta, a celor responsabili;
 redactarea de intrebari vizand cerinte generale formulate in mod
abstract, fara o observare concreta a situatiilor particulare din
entitate;
 deciderea, exclusiv de catre managerul general/ordonatorul de
credite, a intrebarilor care fac obiectul chestionarelor.
1.2. Formularea raspunsurilor la intrebarile din chestionarele de
control intern

Nu trebuie pierdut din vedere faptul ca formularea raspunsului exact la


o anumita intrebare, de catre oricare membru al grupului de lucru,
presupune indeplinirea urmatoarelor premise:

 sensul intrebarii sa fie corect perceput;

 sa fie detinute informatiile pertinente cu privire la problema supusa


chestionarii;

 sa existe o efectiva disponibilitate in relevarea realitatii.


1.3. Identificarea riscurilor si estimarea nivelului de risc

 Este vorba, despre riscurile care pot ameninta realizarea obiectivelor


generale ale entitatii, si care constau in efectele ce decurg din
nerespectarea regulilor minimale de management, continute in
standardele aprobate prin ordinul ministrului finantelor publice.

 Estimarea marimii riscului se va face, de regula, prin apreciere


calitativa (cuantificarea putand fi efectuata de fiecare data cand
aceasta este posibila), pentru a sti daca aceasta este: grav (G), mediu
(M) sau redus (R).
 1.4. Evaluarea propriu-zisa a instrumentelor generale de
control intern

Examinand situatia de facto in cazul unui anumit risc identificat,


membrii grupului de lucru ar putea constata urmatoarele:

 daca exista sau nu un instrument general de control intern,


destinat evitarii riscului respectiv;

 in cazul existentei instrumentului de control intern, se va putea


aprecia:
 daca acesta este total sau partial adecvat ori neadecvat marimii
estimate a riscului;
 in ce masura este aplicat si eficacitatea acestuia.
1.5. Intocmirea fiselor analitice si sintetice continand rezutatele
fazelor anterioare
Standardul nr Titlul standardului:
Descrier:
:
Nr. crt Chestionar de Raspuns Risc identificat Instrumentul de control intern
control intern adecvat
Da/Nu Comentariu Specificare Nivel Descriere Starea de
estimat fapt a acestuia
1 2 3 4 5 6 7
1
2
3

Concluzii/Masuri de
adoptat:

Observam ca:
* primei faze de executie ii corespunde coloana nr. 1, intitulata "Chestionar de control
intern", aici urmand a fi inscrise, in ordine logica, intrebarile referitoare la cerintele
generale ale standardului respectiv;
* celei de-a doua faze de executie ii revin coloanele nr. 2 si nr. 3, in care vor fi formulate
raspunsurile corespunzatoare fiecareia din intrebarile inscrise in prima coloana;
* in coloanele nr. 4 si nr. 5, care corespund rezultatelor fazei a treia de executie, se va
specifica natura riscului identificat, respectiv nivelul estimat al acestuia, ca fiind: grav
(G), mediu (M), sau redus (R), dupa caz;
* rezultatele celei de a patra faze de executie vor fi mentionate in coloanele nr. 6 si nr. 7,
rezervate descrierii precise a instrumentului de control intern adecvat riscului identificat,
respectiv caracterizarii succinte a starii de fapt a acestuia.
DENUMIREA ELEMENTULUI-CHEIE:

Titlurile standardelor componente:


1
2
3
4
Nr. crt. Intrebarile esentiale Concluzii punctuale si Lista
privind cerintele generale ale masuri de adoptat
instrumentelor de control intern
standardelor componente
Implementate

1 2 3

CONCLUZIILE EVALUARII GLOBALE:

Coloana nr. 1 a fisei sintetice va contine intrebarile (redactate in chestionarele de control


intern aferente standardelor componente) referitoare la acele cerinte generale a caror
nerespectare implica riscuri identificate ca fiind grave (G) sau medii (M), intrucat necesitatea
tratarii acestora este prioritara. In mod corespunzator, in cea de a doua coloana vor fi
prezentate succint concluziile si masurile de adoptat cu privire la operationalitatea cerintelor
generale respective.
Instrumentele de control intern precizate in coloanele nr. 3 si nr. 4 ale fisei sintetice reflecta
stadiul existent, premergator actiunii de aplicare integrala in entitatea publica a regulilor
minimale de management continute in standardele componente ale unui anumit element-
cheie al controlului intern.
Concluziile rezultate din evaluarea globala a elementului-cheie de control intern vor fi
formulate in caseta prevazuta cu aceasta destinatie in fisa sintetica.
 Etapa 2 - Evaluarea instrumentelor specifice de control
intern la nivelul fiecarei activitati
In realizarea integrala a acestei etape, potivit metodei propuse, este necesara
parcurgerea urmatoarelor faze de lucru:
A. Faze premergatoare evaluarii
 A.1. Delimitarea si definirea activitatilor entitatii;
 A.2. Stabilirea misiunii, identificarea resurselor necesare si precizarea
regulilor/normelor ce trebuie respectate.
B. Faze de evaluare la nivelul unei activitati

 B.1. Divizarea activitatii in sarcini elementare;


 B.2. Identificarea si evaluarea riscului/riscurilor proprii fiecarei sarcini elementare; B.3.
Evaluarea instrumentelor specifice de control intern, corespunzatoare
riscului/riscurilor proprii sarcinilor elementare;
 B.4. Intocmirea fisei sintetice a evaluarii aferente unei activitati.
C. Verificarea si validarea coerentei ansamblului instrumentelor de control intern,
evaluate pentru activitatile componente ale unei functiuni a entitatii publice
 C.1. Analiza comparativa a fiselor sintetice, aferente activitatilor din componenta unei
functiuni a entitatii;
 C.2. Validarea coerentei.
Etapa 3 - Analiza raportului intre costurile suplimentare si efectele
asteptate, generate de implementarea noului sistem de control intern

Astfel, din moment ce fiecare instrument de control intern, fie el general sau
specific, presupune atat anumite costuri de implementare, cat si efecte
asteptate, legate de evitarea producerii unui risc, membrii grupului de lucru se
afla in situatia de a analiza, din perspectiva eficientei, si a aprecia daca
implementarea instrumentului de control intern respectiv este justificata
sau nu.

Nu de putine ori, o astfel de decizie va fi luata in circumstante nefavorabile,


intrucat, in practica, calcularea, atat a costurilor, cat si a efectelor implementarii
fiecarui instrument de control intern in parte, va fi marcata, in grad diferit, de
subiectivitate.

Estimarea efectelor implementarii instrumentelor de control intern este marcata


de si mai multa subiectivitate. De exemplu, in timp ce efectele concrete ale
instruirii personalului, prin diverse programe de perfectionare a pregatirii
profesionale, pot fi relativ usor identificate, cuantificarea acestora in expresie
valorica (baneasca) este mult mai dificila.
Etapa 4 - Elaborarea si aprobarea programului de implementare a
noului sistem de control intern al entitatii publice

In stabilirea succesiunii precise de implementare a instrumentelor generale


de control intern, vor fi avute in vedere urmatoarele:

 ierarhia logica, functionala a celor cinci elemente-cheie ale controlului


intern si interdependentele obiective existente intre acestea;

 corelatiile proprii standardelor de management/control intern care


apartin unui anumit element-cheie sau unor elemente-cheie diferite;

 masura in care anumite standarde de management/control intern


determina si detinerea unui bun control asupra unei/unor activitati.
Etapa 5 - Monitorizarea executiei programului de implementare a
noului sistem de control intern

Activitatea de monitorizare interna va fi organizata si pusa in practica


de managerul general/ordonatorul de credite, acestuia revenindu-i
intreaga responsabilitate pentru buna derulare a acestei operatiuni.

Orice abatere de la programul de implementare aprobat, ce ar putea fi


anticipata sau numai constatata pe parcursul executiei acestuia, va fi
raportata imediat managerului general/ordonatorului de credite,
care are obligatia convocarii grupului de lucru, in vederea analizarii
situatiei respective si adoptarii masurilor preventive, sau, dupa caz,
corective, ce se impun.
ETAPELE
PROGRAMULUI DE IMPLEMENTARE
Motto: Fiecare salariat răspunde
A de propriul său control intern
SISTEMULUI DE CONTROL MANAGERIAL

GRUPURILE DE LUCRU
 BAZA NORMATIVĂ:
OSGG 600/2018 privind IMPLEMENTAREA NOULUI SISTEM DE CONTROL INTERN ÎN INSTITUŢIILE PUBLICE

 MOD DE CONSTITUIRE:
- responsabilitatea revine conducătorului entităţii / managerului general
- participă şefii de compartimente/managementul de linie şi specialişti recunoscuţi din cadrul acestora
- se constituie prin ordin / decizie a managementului general
- este o comisie de lucru şi monitorizare a activităţilor specifice implementării sistemului de control managerial – SMC
- este o comisie constituită temporar, nu un compartiment (birou, serviciu), până la implementarea sistemelor de control managerial – SMC.
- autoevaluarea membrilor grupului de lucru pentru a stabili nivelul de cunoaştere a prevederilor OSGG 600/2018
 MODUL DE LUCRU:
- elaborarea şi însuşirea chestionarelor de control intern pentru fiecare standard, care se stabileşte prin vot în situaţia în care apar divergenţe
- se elaborează un program de dezvoltare a SMC pe compartimente cu responsabilităţi concrete şi termene de realizare
- asigură îndrumarea metodologică a implementării SMC şi monitorizarea progreselor înregistrate
- analizează şi concentrează rezultatele din celelalte etape în vederea stabilirii în continuare a măsurilor care să asigure implementarea SMC
 ATRIBUŢIILE AUDITULUI INTERN:
- monitorizează sistematic toate fazele prezentate mai sus
- asigură consilierea pe toată perioada funcţionării grupului de lucru
- informează sistematic managementul general despre stadiul implementării Standardelor de control intern

 Notă:
Dacă nu se organizează GRUPUL DE LUCRU, şansele implementării SISTEMULUI DE CONTROL MANAGERIAL – SMC sunt minime.
Cu ocazia accesării fondurilor europene în cadrul entităţilor, va fi evaluat modul de implementare a SCM de către experţii UNIUNII EUROPENE.
Anual va exista o monitorizare externă din partea CURŢII DE CONTURI şi o dată la 5 ani, din partea UCAAPI – MEF sau a organului ierarhic superior.

183
STANDARDELE DE MANAGEMENT/CONTROL INTERN
LA

ENTITATILE PUBLICE

Mediul de control:
- Standardul 1 - Etica şi integritatea
- Standardul 2 - Atribuţii, funcţii, sarcini
- Standardul 3 - Competenţa, performanţa
- Standardul 4 - Structura organizatorică

Performanţe şi managementul riscului:


- Standardul 5 - Obiective
- Standardul 6 - Planificarea
- Standardul 7 - Monitorizarea performanţelor
- Standardul 8 - Managementul riscului

Activităţi de control:
- Standardul 9 - Proceduri
- - Standardul 10 - Supravegherea
- - Standardul 11 - Continuitatea activităţii

Informarea şi comunicarea:
- - Standardul 12 - Informarea şi comunicarea
- - Standardul 13 - Gestionarea documentelor
- - Standardul 14 - Raportarea contabilă şi financiară

Evaluare şi audit:
- Standardul 15 - Evaluarea sistemului de control intern/managerial
- - Standardul 16 - Auditul intern
184
Motto:
Pentru reorganizarea sistemului de control intern
- SCI - nu trebuie să aşteptăm să vină cineva
din afară, responsabilitatea i-a fost transferată
în totalitate managementului general

ETAPELE
PROGRAMULUI DE IMPLEMENTARE A
SISTEMULUI DE CONTROL MANAGERIAL
ÎN
CONFORMITATE CU OSGG 600/2018 PRIVIND APROBAREA

CODULUI CONTROLULUI INTERN

ETAPA I.
STABILIREA OBIECTIVELOR GENERALE ŞI SPECIFICE ALE
ENTITĂŢII PUBLICE
 Obiective SMART (Specifice, Măsurabile, de Atins, Realiste şi în Termen).
 Standardele ale căror cerinţe vor fi avute în vedere sunt: 4 - Structura organizatorică, 5-
Obiective.
185
ETAPA II.
STABILIREA ACTIVITĂŢILOR ŞI ACŢIUNILOR / OPERAŢIILOR PENTRU REALIZAREA OBIECTIVELOR
SPECIFICE

 Standardele avute în vedere: 2 – Atribuţii, funcţii, sarcini; 4 - Structura organizatorică; 11 – Continuitatea activităţii;
 Elaborarea Listei activităţilor pe compartimente în mod succesiv, de două-trei ori, de către responsabilul compartimentului, conform
modelului următor:

Lista obiectivelor şi activităţilor

Nr.
ctr. OBIECTIVE ACTIVITĂŢI OPERAŢII

1. Dezvoltarea unei strategii 1.1.Actualizarea documentului Identificarea sistematica, documentarea si analizarea elementelor care generează
unitare in domeniul strategic in domeniul necesitatea de actualizare a documentului strategic
auditului public intern controlului financiar public
în concordanţă cu intern, capitolul audit
standardele intern
internaţionale
Fundamentarea modificărilor si completărilor documentului strategic
acceptate în Uniunea
Europeană
Elaborarea proiectului de modificare si completare a documentului strategic

Aprobarea proiectului documentului strategic

Pregătirea documentului strategic actualizat pentru transmiterea la Comisia Europeana

2. Dezvoltarea cadrului 2.1. Actualizarea cadrului Identificarea sistematica, documentarea si analizarea elementelor cadrului legal care
normativ legislativ privind auditul trebuie actualizate
intern
Fundamentarea modificărilor si completărilor legii privind activitatea de audit intern

Elaborarea proiectului de lege privind activitatea de audit intern 186


Aprobarea proiectului legii privind activitatea de audit intern
ETAPA III
DESCRIEREA MODULUI DE ORGANIZARE ŞI FUNCŢIONARE A SISTEMULUI
DE CONTROL MANAGERIAL

 Standardele avute în vedere: 1 - Etica, integritatea; 3 - Competenţa, performanţa;

 Descrierea va cuprinde elemente privind:


 structura organizatorică
 noile obiective ale entităţii
 stabilirea indicatorilor de rezultat sau a indicatorilor de performanţă
 resursele umane, materiale, financiare şi informaţionale
 stabilirea arhitecturii de control intern, conform modelelor prezentate.
 sistemul de management financiar şi control intern
 comparaţie SIC al UE şi SIC din România

187
COMPARAŢIE
SISTEMUL DE CONTROL INTERN SISTEMUL DE CONTROL INTERN
AL UE DIN ROMÂNIA

CONTROL OPERAŢIONAL CONTROL MANAGERIAL

- Implementarea Standardelor de - OSGG nr. 600/2018


- OMFP nr. 946/2005
management financiar şi control - OMFP nr. 1389/2006
- Sistemul procedurilor de lucru
CONTROL FINANCIAR PREVENTIV
CONTROL ULTERIOR

- Compartiment de control financiar - Legea nr. 119/1999


- 15% din valoarea proiectelor - OMFP nr. 522/2003 şi nr. 912/2004
- Raportul de control pentru
operaţiuni care reprezintă fluxuri
Echipe de control/inspecţie sau
complete
constituirea unor compartimente prin
CONTROL ANTIFRAUDĂ ORDIN
al managementului general
- Compartimentul de inspecţie
- Acţiuni punctuale INSPECŢIA GENERALĂ MEF
AUDITUL INTERN

AUDITUL INTERN
- Compartimentul de audit
- Evaluarea celor 3 compartimente ale - Legea nr. 672/2002
controlului intern - OG nr. 37/2004
- OMFP nr. 38/2003
- OMFP nr. 1702/2005 188

AUDITUL EXTERN AUDITUL EXTERN

- Legea nr. 94/1992 republicată


ETAPA IV
IDENTIFICAREA RISCURILOR ŞI DISFUNCŢIONALITĂŢILOR CARE POT
AFECTA REALIZAREA OBIECTIVELOR

Modelul documentului care se elaborează în această etapă este următorul:


Situaţia identificării riscurilor şi disfuncţionalităţilor
NC Obiective Activităţi Riscuri Disfuncţionalităţi

0 1 2 3 4

1. Dezvoltarea unei strategii 1.1. Netratarea principalelor elemente de noutate Crearea unor decalaje faţă de evoluţia activităţii de
unitare in domeniul auditului Actualizarea documentului apărute în activitatea de audit intern audit intern faţă de celelalte ţări europene
public intern în concordanţă strategic in domeniul controlului
cu standardele internaţionale financiar public intern, capitolul
acceptate în Uniunea audit intern Afectează eficacitatea activităţii de audit intern
Europeană
Neidentificarea direcţiilor de acţiune care ar Implementarea parţială a elementelor de noutate
trebui să fie avute în vedere pentru identificate
implementarea elementelor de noutate

Neagrearea din partea Comisiei Europene a Întârzieri în definitivarea documentului strategic


direcţiilor de acţiune pentru elementele de
progres preconizate

Dezvoltarea cadrului normativ 2.1. Actualizarea cadrului Neluarea în consideraţie a tuturor direcţiilor de Implementarea parţială a Documentului strategic şi
legislativ privind auditul intern acţiune stabilite în documentul strategic, neaplicarea în practică a acestuia
referitoare la adaptarea cadrului legislativ
preconizat

Neadecvarea textelor legislative pentru Crearea dificultăţilor în aplicarea legii


implementarea direcţiilor de acţiune

189
Elaborarea Registrului riscurilor conform modelului de pe site-ul: www.mfinante.ro , ataşat ca anexă la documentul Metodologia de implementare a
Standardului de control intern nr. 8 – Managementul riscurilor.
PRECIZĂRI PRIVIND ELABORAREA REGISTRULUI RISCURILOR

 1. Preluăm obiectivele din LISTA OBIECTIVELOR, ACTIVITĂŢILOR ŞI OPERAŢIILOR, la care ataşăm riscurile
specifice operaţiilor elementare, până la un nivel rezonabil de detaliere, coloanele 2 - 5;

 2. În continuare, se completează circumstanţele care favorizează apariţia riscurilor, responsabilul cu gestionarea


riscului şi se face aprecierea RISCULUI INERENT , coloanele 6 - 10;

 3. Se stabileşte strategia adoptată pentru risc, instrumentele de control intern şi termenele, care monitorizează riscul,
coloanele 11 – 14

 4. Se stabileşte RISCUL REZIDUAL, care va fi urmărit în continuare;

 5. Riscul rezidual este riscul care va intra în auditare şi la care se vor adăuga eventuale RISCURI SECUNDARE;

 6. Elaborarea Registrului riscurilor se realizează pe compartimentele din structura entităţii, în responsabilitatea


şefului de compartiment, care poate stabili un responsabil cu administrarea riscurilor şi actualizarea Registrului;

 7. Centralizarea registrelor riscurilor de la nivelul compartimentelor în vederea obţinerii REGISTRULUI GENERAL


AL RISCURILOR LA NIVELUL ENTITĂŢII;

 8. Nominalizarea persoanei responsabile cu constituirea şi actualizarea sistematică a Registrului general al


riscurilor la nivelul entităţii.

 9. Responsabilul riscurilor pe compartimente care asistă managementul în gestionarea riscurilor va ataşa un


ISTORIC AL EVOLUŢIEI RISCURILOR, de la înfiinţare până în prezent, sau cel puţin începând din anul 2000;

 10. Stabilirea unui sistem de actualizare periodică a riscurilor ataşate operaţiilor elementare, cel puţin o dată pe an;190

 11. EVALUAREA ANUALĂ A SALARIAŢILOR SE VA COROBORA CU STADIUL REALIZĂRII ŞI ACTUALIZĂRII


REGISTRULUI RISCURILOR.
REGISTRUL RISCURILOR

191
PROCEDURĂ
DE ELABORARE ŞI ACTUALIZARE A
REGISTRULUI RISCURILOR

1. DATE GENERALE
1.1. Domeniul de aplicare
Procedura se utilizează de către toate direcţiile generale/direcţiile din cadrul MFP în vederea gestionării riscurilor care pot afecta atingerea
obiectivelor generale ale MFP şi a obiectivelor specifice.
1.2. Documentele de referinţă
1.2.1. Reglementări internaţionale
- Standardele internaţionale de control intern
1.2.2. Legislaţie
- OSGG nr. 600/2018 pentru aprobarea Codului controlului intern-managerial al entităților publice.
- Legea nr. 500/2002 privind finanţele publice, cu modificările şi completările ulterioare;
- Ordinul ministrului finanţelor publice nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinzând standardele de
management/control intern la entităţile publice şi pentru dezvoltarea sistemelor de control managerial, cu modificările şi completările ulterioare;
- Ordinul ministrului finanţelor publice nr. 139/2006 privind constituirea Comisiei de monitorizare, coordonare şi îndrumare
metodologică a dezvoltării sistemului de control managerial al Ministerului Finanţelor Publice, cu modificările şi completările ulterioare;
• - Ordinul ministrului economiei şi finanţelor nr. 998/2008 pentru aprobarea procedurii de sistem „Realizarea procedurilor formalizate
pe activităţi”.
1.2.3. Alte documente, inclusiv reglementări interne
Metodologie de implementare a standardului 8 “Managementul riscurilor”, elaborată de Unitatea Centrală de Armonizare a Sistemelor de
Management Financiar şi Control - UCASMFC (manualul este postat pe pagina web a MFP www.mfinante.ro, la secţiunea „ Sisteme de
management financiar şi control);
Îndrumar metodologic pentru dezvoltarea controlului intern în entităţile publice, elaborat de Unitatea Centrală de Armonizare a Sistemelor de
Management Financiar şi Control - UCASMFC (manualul este postat pe pagina web a MFP www.mfinante.ro, la secţiunea „ Sisteme de
management financiar şi control);
Manualul de control financiar preventiv, elaborat de Unitatea centrală de armonizare a sistemelor de management financiar şi control (manualul
este postat pe pagina web a MFP www.mfinante.ro, la secţiunea „ Sisteme de management financiar şi control).
Documentele obţinute în cadrul procesului de implementare a Programului de dezvoltare a sistemului de control managerial – SCM,
respectiv:
- Etapa 2 Lista obiectivelor şi activităţilor
- Etapa 4 Autoevaluarea şi analiza sistemului de control managerial al ministerului şi identificarea elementelor de disfuncţionalitate şi a
riscurilor care pot afecta realizarea obiectivelor 192
LISTA OBIECTIVELOR ŞI ACTIVITĂŢILOR
Nr. COD
OBIECTIV ACTIVITĂŢI / OPERAŢII RESPONSABIL TERMEN
crt. PO

I. Dezvoltarea unei strategii unitare in 1. Actualizarea documentului strategic in domeniul controlului financiar Martie
domeniul auditului public intern public intern, capitolul audit intern 201N
în concordanţă cu standardele 06.01 VD
internaţionale acceptate în Uniunea
Europeană

II. Dezvoltarea cadrului normativ 2. Identificarea sistematică, documentarea şi analizarea elementelor de Septembrie
06.02 NC
dezvoltare a cadrului normativ, în domeniul auditului public intern 201N

3. Realizarea şi actualizarea ghidurilor practice privind activitatea de Septembrie


06.03 CI
audit public intern 201N

4. Realizarea Codului privind conduita etică a auditorului intern Septembrie


06.04 CG
201N

5. Realizarea şi actualizarea Cartei auditului intern Septembrie


06.05 CG
201N

6. Avizarea normelor proprii entităţilor publice centrale, în domeniul Septembrie


06.06 PA
auditului intern 201N

III. Îmbunătăţirea nivelului de recrutare 7. Realizarea şi actualizarea cadrului de competenţe al auditorilor interni Octombrie
06.07 PM
şi pregătire profesională în domeniul din sectorul public 201N
auditului public intern
8. Realizarea programului de formare profesională a auditorilor interni Octombrie
06.08 PM
din sectorul public 201N

IV. Îmbunătăţirea activităţii de audit 9. Elaborarea planurilor multianuale la nivelul UCAAPI Martie
06.09 CA
intern 201N

10. Elaborarea planului anual de audit intern la nivelul UCAAPI Martie


06.10 CA
201N

11. Desfăşurarea misiunilor de audit public intern de natura Martie


06.11 VM
intersectoriala 201N

12. Raportarea recomandărilor neînsuşite de către conducătorul entităţii Iulie


06.12 ŞL
publice auditate N

13. Realizarea, la nivelul UCAAPI, Raportului anual privind activitatea


06.13 CR
193
Iulie
de audit public intern 201N
Autoevaluarea şi analiza sistemului de control managerial si identificarea elementelor de
disfuncţionalitate si a riscurilor
care pot afecta realizarea obiectivelor

Nr. crt OBIECTIVE ACTIVITĂŢI / OPERAŢII RISCURI DISFUNCŢIONALITĂŢI

I. Dezvoltarea unei strategii 1. Actualizarea documentului Netratarea principalelor elemente de Crearea unor decalaje faţă de evoluţia
unitare in domeniul strategic in domeniul noutate apărute în activitatea de audit intern activităţii de audit intern faţă de celelalte ţări
auditului public intern în controlului financiar public europene
concordanţă cu intern, capitolul audit intern
standardele internaţionale Afectează eficacitatea activităţii de audit
acceptate în Uniunea intern
Europeană
Neidentificarea direcţiilor de acţiune care Implementarea parţială a elementelor de
ar trebui să fie avute în vedere pentru noutate identificate
implementarea elementelor de noutate

Neagrearea din partea Comisiei Europene a Întârzieri în definitivarea documentului


direcţiilor de acţiune pentru elementele de strategic
progres preconizate

II. Dezvoltarea cadrului 2. Identificarea sistematică, Neluarea în consideraţie a tuturor Implementarea parţială a Documentului
normativ documentarea şi analizarea direcţiilor de acţiune stabilite în strategic şi neaplicarea în practică a acestuia
elementelor de dezvoltare a documentul strategic, referitoare la
cadrului normativ, în adaptarea cadrului legislativ preconizat
domeniul auditului public
intern
Neadecvarea textelor legislative pentru Crearea dificultăţilor în aplicarea legii
implementarea direcţiilor de acţiune
Necesitatea reluării procesului legislativ

Nerealizarea cadrului procedural pentru Imposibilitatea implementării cadrului


toate elementele de noutate stabilite prin legislativ
cadrul legislativ
194
Insuficienţa gradului de detaliere sau a Dificultăţi în aplicarea cadrului procedural
clarităţii cadrului procedural (aplicare neuniformă, greoaie, reducerea
eficienţei activităţii)
1.3. Prezentarea conceptelor utilizate

 Control intern = orice acţiune/măsură provenită din organizaţie, luată în scopul gestionării riscurilor;
 Gestionarea riscurilor sau managementul riscurilor = toate procesele privind identificarea, evaluarea, luarea de
măsuri de atenuare sau anticipare a acestora, revizuirea periodică şi monitorizarea progresului, stabilirea
responsabilităţilor;
 Risc = posibilitatea de a se produce un eveniment care ar putea avea un impact asupra îndeplinirii obiectivelor;
 Risc inerent = expunerea la un anumit risc înainte să fie luată vreo măsură de atenuare a lui;
 Risc rezidual = expunerea cauzată de un anumit risc după ce au fost luate măsuri de atenuare a lui, presupunând că
măsurile sunt eficace;
 Probabilitatea de materializare a riscului = posibilitatea sau eventualitatea ca un risc să se realizeze;
 Impactul = consecinţa (efectul) asupra rezultatelor (obiectivelor) dacă riscul s-ar materializa;
 Expunere la risc = consecinţele, ca o combinaţie de probabilitate şi impact, pe care le poate resimţi o organizaţie în
raport cu obiectivele prestabilite în cazul în care riscul se materializează;
 Evaluarea riscului = evaluarea consecinţelor materializării riscului în combinaţie cu evaluarea probabilităţii de
materializare a riscului;
 Registrul riscurilor = document integrator al gestiunii riscurilor, cuprinzând o sinteză a informaţiilor şi deciziilor luate în
urma analizei riscurilor.

1.4. Abrevieri

 MFP = Ministerul Finanţelor Publice;


 SCM = Sistemul de control managerial .
 RR = Registrul riscurilor
 EGR = Echipa de gestionare a riscurilor de la nivelul fiecărei direcţii generale/direcţii;
 GL = Grupul de lucru care monitorizează activitatea de implementare a SCM, în conformitate cu OSGG 600/2018 privind
Codul controlului intern.
 Secretariatul GL = Secretariatul Comisiei de monitorizare, coordonare şi îndrumare metodologică a dezvoltării sistemului
de control managerial al Ministerului Finanţelor Publice. 195
2. DESCRIEREA PROCEDURII
2.1. IDENTIFICAREA ŞI EVALUAREA RISCURILOR = COL 1- 8
(1) GL identifică, analizează, evaluează şi prioritizează riscurile care pot afecta atingerea obiectivelor generale şi funcţionarea
de ansamblu a ministerului. Comisia informează secretarii de stat sau ministrul finanţelor publice despre aspectele prezentate
mai sus, în vederea luării unei decizii.
(2) Secretariatul GL intocmeşte, actualizează şi modifică Registrul general al riscurilor la nivel centralizat, prin agregarea şi
a datelor/informaţiilor cuprinse în Registrul riscurilor de la nivelul direcţiilor generale/direcţiilor.
(3) Pentru o mai bună gestionare a riscurilor pe toate nivelele manageriale ale unei direcţii generale/direcţii, conducătorul
acesteia stabileşte:
- responsabil cu riscurile care îl asistă în gestionarea riscurilor.
- structura echipelor de gestionare a riscurilor (EGR), care se compune din conducătorii direcţiilor
generale/direcţiilor, responsabilii cu riscurile şi şefii de serviciu de la nivelul acestora.
(4) În această etapă se desfăşoară următoarele activităţi/acţiuni/operaţiuni:
•identificarea problemelor care au apărut şi se pot repeta în viitor sau care pot apărea în desfăşurarea activităţilor şi
care au ca efect nerealizarea parţială sau totală a obiectivelor prestabilite;
•identificarea cauzelor care generează problemele şi descrierea circumstanţelor care favorizează apariţia lor şi
determinarea consecinţelor asupra obiectivelor;
•estimarea, pe o scală în 5 trepte, a probabilităţii de materializare a riscului şi a impactului. Combinarea celor două
estimări pe o scală bidimensională reprezintă expunerea la risc, indicator în raport cu care se stabileşte atitudinea faţă
de fiecare problemă identificată ca fiind un risc. Un model de evaluare a riscurilor este prezentat în Anexa nr. 1 –
Model de evaluare a expunerii la risc.
•elaborarea Procesului verbal al şedinţei de analiză a riscurilor – Anexa nr. 2.

(5) Conducătorii direcţiilor generale/direcţiilor şi întreg personalul ce le compun au obligaţia de a identifica riscurile care
afectează atingerea obiectivelor prestabilite, astfel:
A. Persoana care a identificat un risc efectuează următoarele operaţiuni:
a) analizează preliminar riscul identificat, prin:
•definirea corectă a riscului, respectându-se regulile de definire, prezentate în Metodologia de implementare a
Standardului nr. 11 - Managementul riscurilor, elaborat de UCASMFC;
•analiza cauzelor sau a circumstanţelor care favorizează apariţia/repetarea riscului;

b) evaluează expunerea la risc prin: 196


•estimarea şanselor de apariţie/repetare a riscului, pe o scală în cinci trepte, ca fiind: 1 - rar; 2 - puţin probabil; 3 -
posibil; 4 - foarte probabil; 5 - aproape sigur;
•estimarea impactului asupra riscului, pe o scală în cinci trepte, ca fiind: 1 - nesemnificativ; 2 - minor; 3 - moderat; 4 -
major; 5 - critic;
• estimarea expunerii la risc, prin combinarea pe o scală bidimensională a rezultatelor estimărilor anterioare; conform Modelului
de evaluare a expunerii la risc – Anexa nr. 1.

c) formulează o opinie cu privire la măsurile care trebuie luate pentru a controla riscul identificat;
d) completează Formularul de alertă la risc - Anexa nr. 3, ataşând la acesta documentaţia riscului, pe care le va
transmite Responsabilului cu riscurile de la nivelul direcţiei generale/direcţiei din care face parte.

B. Responsabilul cu riscurile:

a) colectează formularele de alertă la risc şi documentaţiile aferente de la persoanele care au identificat riscurile
sau de la responsabilii cu riscurile de la direcţiile componente ale direcţiei generale care au decis escaladarea lor;
b) analizează fiecare formular de alertă la risc şi face propuneri pentru:
- clasarea formularului de alertă la risc, dacă riscul este nerelevant;
- escaladarea riscului la nivele superioare ale managementului dacă:
- riscul afectează un obiectiv mai general decât cele stabilite la nivelul direcţiei generale/direcţiei în cauză;
- cauzele care generează riscul sunt externe direcţiei generale/direcţiei în cauză;
- măsurile prin care se realizează un control satisfăcător al riscurilor exced competenţelor direcţiei
generale/direcţiei în cauză;
- resursele sunt insuficiente.
c) reţine, spre dezbatere, riscurile ce aparţin direcţiei generale/direcţiei, caz în care propune una din următoarele
alternative de abordare a riscurilor:
•acceptarea riscurilor, în cazul în care se apreciază că riscul are o expunere redusă, iar beneficiile controlării
riscurilor sunt reduse raportat la costurile aferente măsurilor de control ce ar trebui introduse;
•supravegherea riscurilor, în cazul în care se apreciază că, deşi riscurile au un impact semnificativ, şansele de
apariţie/repetare sunt foarte reduse, iar resursele limitate ce pot fi alocate impun amânarea implementării unor
măsuri de control;
•evitarea riscurilor, prin eliminarea/restrângerea activităţilor care generează riscurile;
transferarea riscurilor, atunci când există posibilitatea gestionării riscurilor de un terţ specializat, prin externalizarea
unor activităţi;
•tratarea riscurilor, atunci când luarea măsurilor de control este asumată.

C. Responsabilul cu riscurile, cel puţin lunar, organizează şedinţe de analiză a riscurilor, în cadrul cărora EGR
analizează, pe baza datelor cuprinse în Formularele de alertă la risc, noile riscuri raportate, resursele care pot fi alocate acţiunilor
propuse pentru contracararea riscurilor.

• Conducătorul direcţiei generale/direcţiei, după analiza dosarului cu riscurile noi identificate, precum şi a rapoartelor de 197
monitorizare, elaborate de responsabilii cu monitorizarea implementării acţiunilor de control, şi a rapoartelor de audit, stabileşte data
la care se convoacă EGR.
Şedinţa EGR este condusă de conducătorul direcţiei generale/direcţiei, care decide în ultimă instanţă.
• În cadrul şedinţei, membrii EGR:
(a) validează sau invalidează soluţia de clasare pentru riscurile considerate nerelevante;
(b) fac propuneri de escaladare a riscurilor la nivelul ierarhic imediat superior sau la nivelul de
competenţă care le poate controla, în cazul în care:
- resursele sunt insuficiente;
- măsurile de control intern exced competenţele decizionale ale acestuia;
- se identifică riscuri externe direcţiei generale/direcţiei, dar al caro impact afectează obiectivele stabilite
pentru acesta.
(c) analizează rapoartele de audit, reţinându-se riscurile identificate prin acestea şi măsurile
recomandate a fi implementate;
(d) ierarhizează riscurile în funcţie de priorităţi şi elaborează profilul de risc, ca rezultat al acţiunii de
grupare a riscurilor identificate în funcţie de expunerea la risc.

La finalul şedinţei de analiză a riscurilor, responsabilul cu riscurile:

(a) consemnează hotărârile luate în Procesul-verbal de analiză a riscurilor – Anexa nr. 2, care se
aprobă de conducătorul direcţiei generale/direcţiei;
(b) transmite Formularele de alertă la risc şi documentaţia aferentă pentru riscurile escaladate
responsabililor cu riscurile de la nivelele de competenţă la care s-a convenit, cu excepţia riscurilor care se
escaladează la nivelul secretarilor de stat, caz în care directorul general/directorul este acela care motivează şi
susţine documentaţia riscurilor escaladate la acest nivel;
(c) îndosariază Formularele de alertă la risc clasate;
(d) pe baza informaţiilor/datelor cuprinse în Procesul-verbal de analiză a riscurilor, completează
coloanele nr. 1-8 din Registrul riscurilor de la nivelul direcţiei generale/direcţiei;
(e) listează şi îndosariază un exemplar al Registrului riscurilor după ce acesta a fost, în prealabil,
semnat de conducătorul direcţiei generale/direcţiei.

In concluzie:
Conform procedurii prezentate, organizarea gestionării riscurilor implică realizarea următoarelor activităţi,
aşa cum rezultă din Procesul verbal al şedinţei de analiză a riscurilor - Anexa nr. 2:
- stabilirea responsabililor cu riscurile pe fiecare compartiment
- stabilirea responsabilului cu întocmirea Registrului riscurilor, persoană care asistă conducătorul
structurii în activitatea de gestionare a riscurilor 198
- constituirea EGP – Echipei de gestionare a riscurilor la nivelul UCAAPI
- stabilirea acţiunilor şi a calendarului de desfăşurare.
c. Stabilire scor general risc: probabilitate x impact

P 5 10 15 20 25
R
O
B 4 8 12 16 20
A
B
I 3 6 9 12 15
L
I
T 2 4 6 8 10
A
T
E 1 2 3 4 5

IMPACT

d. Stabilirea nivelului de tolerare

Nivel tolerare Explicaţii

1–4 Tolerabil Nu necesită nicio măsură de control

5–8 Tolerare ridicată Necesită măsuri de control pe termen mediu/ lung

9 – 12 Tolerare scăzută Necesită măsuri de control pe termen scurt

13 – 25 Intolerabil Necesită măsuri de control urgente


199
Anexa nr. 1

MODEL DE EVALUARE A EXPUNERII LA RISC

a. Evaluarea probabilităţii de apariţie a riscurilor

Nivel probabilitate Explicaţie

Rar Este foarte puţin probabil să se întâmple pe o perioadă lungă de timp (3 – 5 ani); nu s-a întâmplat până în prezent

Puţin probabil Este puţin probabil să se întâmple pe o perioadă lungă de timp (3 – 5 ani); s-a întâmplat de foarte puţine ori până în prezent

Posibil Este probabil să se întâmple pe o perioadă medie de timp (1- 3 ani); s-a întâmplat de câteva ori în ultimii 3 ani

Foarte probabil Este probabil să se întâmple pe o perioadă scurtă de timp (< 1 an); s-a întâmplat de câteva ori în ultimul an
Aproape sigur Este foarte probabil să se întâmple pe o perioadă scurtă de timp (< 1 an); s-a întâmplat de multe ori în ultimul an

b. Evaluarea impactului/consecinţelor riscurilor

Nivel consecinţe/ impact Explicaţie

1 Nesemnificativ Cu impact foarte scăzut asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau fără impact financiar

2 Minor Cu impact scăzut asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau cu impact financiar foarte scăzut

3 Moderat Cu impact mediu asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau cu impact financiar mediu

4 Major Cu impact major asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau cu impact financiar major

5 Critic Cu impact semnificativ asupra activităţilor direcţiei şi îndelinirii obiectivelor şi/sau cu impact financiar semnificativ

200
PROCES-VERBAL AL ŞEDINTEI DE ANALIZĂ A RISCURILOR

Nr Nume, Funcţia Semnătura Nr. telefon


. prenume Adresă e-mail
crt
.
1. MS Director
general

2. MG Şef Serv.
SMG

3. TT Şef Serv.
OAPI

4. NC Şef Serv.
CER

5. GC Responsabil
201
RR
Participă membrii EGR – echipei de gestionare a riscurilor
Nr.
Probleme dezbătute Concluzii, recomandări, observaţii
crt.
1. Riscuri analizate -
2. Propuneri de -
acţiuni/măsuri de control
3. Stadiul implementării -
acţiunilor de control
4. Dificultăţi întâmpinate -
5. Alte probleme:
5.1. Stabilirea echipei de La nivelul UCAAPI echipa de gestionare a riscurilor va avea următoarea componenţă:
gestionare a riscurilor la MS - Director general;
nivelul direcţiei. MG - Şef Serv. SMG;
TT - Şef Serv. OAPI;
NC - Şef Serv. CER;
GC - Auditor intern – responsabil RR.

5.2. Analizarea posibilităţilor de Stabilirea responsabilor cu riscurile pentru fiecare serviciu:


a coopta în echipa de Serviciul SMG: GC
gestionare a riscurilor a Serviciul SOAPI: IR
unor noi persoane. Serviciul CER: CB.

5.3. Discutarea acţiunile - Identificarea şi evaluarea riscurilor se va materializa prin completarea documentului Formularul
imediate care vor fi de alertă la risc, de către persoanele care au identificat riscurile, din cadrul serviciilor, până la data
întreprinse la nivelul de 09.06.2009.
UCAAPI. - Colectarea Formularelor de alertă la risc se va efectua de către responsabilul RR din cadrul
UCAAPI.
5.4. Discutarea calendarului Stabilirea ordinii de zi şi a datei următoarelor şedinţe:
şedinţelor de lucru până la 1) 09.06.xxxxx – Şedinţă de analiză şi evaluare a riscurilor identificate la 202
nivelul direcţiei,
şfârşitul primului semestru consemnate în Fişele de urmărire a riscului.
al anului xxxxxx. 2) 15.06.xxxx – Şedinţă de analiză a riscurilor, pentru stabilirea acţiunilor/măsurilor de control
3) 29.06.xxxx – Şedinţă de analiză a riscurilor, pentru evaluarea acţiunilor întreprinse în vederea
implementării acţiunilor/măsurilor de control.
DETALII PRIVIND RISCUL FORMULARUL DE ALERTĂ LA RISC Anexa nr. 3
Descrierea riscului Riscul identificat: Neidentificarea corespunzătoare a nevoilor de formare a auditorilor interni
Cauza: Inexistenţa unui plan privind perfecţionarea pregătirii profesionale a auditorilor interni din sectorul public

Impactul: Fundamentarea necorespunzătoare a programelor de perfecţionare a pregătirii profesionale

Evaluarea riscului
X

1 2 3 4 5

1. rar; 2. putin probabil; 3. posibil; 4. foarte probabil; 5. aproape sigur .

1 2 3 4 5

1.nesemnificativ; 2.minor; 3. moderat; 4. major; 5. critic Expunere: TOLERARE RIDICATĂ

Tratarea riscului Acţiuni preventive recomandate:


1) Analiza şi aplicarea PO: Realizarea programului de formare profesională a auditorilor interni din sectorul public.
2) Elaborarea şi actualizarea planului privind perfecţionarea pregătirii profesionale a auditorilor interni în corelaţie cu cadrul de
competenţe .
3) Supervizarea activităţii de către şeful de serviciu.
Documentaţia utilizată pentru fundamentarea riscului identificat:
1) Documentului strategic în domeniul controlului financiar public intern, capitolul audit intern
2) Legea nr. 672/2002 privind auditul public intern
3) Legea nr. 7/2004 privind Codul de conduită a funcţionarilor publici
4) H.G nr. 1209/2003 privind organizarea şi dezvoltarea carierei funcţionarilor publici
5) Cadrul European al Calificărilor
6) Rapoarte de evaluare a performanţelor individuale ale auditorilor interni din sectorul public
7) Note de informare
8) Adresele primite de la structurile de audit intern din sistem
9) Rapoarte de evaluare elaborate la nivelul Serviciului OAPI şi Serviciului CER
9) Rapoartele anuale privind activitatea de audit public intern
10) Manuale, ghiduri practice şi alte materiale din domeniul auditului public intern.
Nume: Semnătura: Data:
.................... --------------------- 03/06/N

Nr. crt. al riscului Data primirii Decizia EGR


3.3. 05/06/N Irelevant 203
Investigaţii suplimentare

Îndosariere X
PROCES-VERBAL AL ŞEDINŢEI DE ANALIZĂ A RISCURILOR

Nr. Nume, prenume Funcţia Semnătura Nr. telefon


crt. Adresă e-mail

1. MS Director general

2. MG Şef Serv. SMG

3. TT Şef Serv. OAPI

4. NC Şef Serv. CER

5. GC Responsabil RR

Participă membrii EGR

204
Nr.
Probleme dezbătute Concluzii, recomandări, observaţii
crt.
1. Riscuri analizate 1) Cauza: Imposibilitatea actualizării, pentru moment, a tuturor direcţiilor de acţiune
1) Neluarea în consideraţie a tuturor direcţiilor de acţiune stabilite în (imposibilitatea actualizării cadrului legislativ).
Documentul strategic, referitoare la adaptarea cadrului legislativ Concluzie:TOLERABIL
preconizat – nr. crt. din Registrul de risc: 2.1. 2) Cauza: Imposibilitatea realizării ghidurilor practice pe exemplul unei entităţi
2) Ghidurile procedurale nu abordează în totalitate obiectivele şi reprezentative din sistem.
activităţile domeniului pentru care au fost elaborate – nr. crt. din Concluzie: TOLERAREA RIDICATĂ
Registrul de risc:2.5. 3) Cauza: Neidentificarea tuturor elementelor de noutate care au apărut pe plan internaţional.
3) Necuprinderea tuturor elementelor de noutate care au apărut pe plan Concluzie: TOLERABIL
internaţional, referitoare la Carta auditului intern – nr. crt. din
Registrul de risc: 2.8. 4) Cauza: Prezentarea incompletă sau într-o formă favorabilă petiţionarilor a elementelor
4) Soluţiile oferite petiţionarilor exced cadrului normativ sau sunt care trebuie clarificate.
neclare/confuze – nr. crt. din Registrul de risc:2.11. Concluzie: TOLERAREA RIDICATĂ
5) Insuficienţa cadrului de competenţe al auditorilor interni nr. crt. din 5) Cauza: Neidentificarea tuturor tematicilor de pregătire profesională.
Registrul de risc: 3.1. Concluzie: TOLERAREA RIDICATĂ
6) Neidentificarea corespunzătoare a nevoilor de formare a 6) Cauza: Inexistenţa unui plan privind perfecţionarea pregătirii profesionale a auditorilor
auditorilor interni – nr. crt. din Registrul de risc: 3.3. interni din sectorul public.
7) Nerespectarea structurii minimale a rapoartelor – nr. crt. din Concluzie: TOLERAREA RIDICATĂ
Registrul de risc: 4.3. 7) Cauza: Rapoartele anuale de audit intern din sistem sunt incomplete.
8) Raportul conţine informaţii cu caracter general – nr. crt. din Concluzie: TOLERAREA SCĂZUTĂ
Registrul de risc: 4.4. 8) Cauza: Constatările şi recomandările sunt prezentate la modul general, fără a fi direcţionate
9) Numirea şefilor compartimentelor de audit intern fără avizul către entităţile în cauză.
prealabil UCAAPI – nr. crt. din Registrul de risc: 5.1. Concluzie: TOLERAREA SCĂZUTĂ
10) Destituirea şefilor compartimentelor de audit intern fără avizul 9) Cauza: Informare necorespunzătoare a managementului entităţilor publice cu privire la
prealabil UCAAPI – nr. crt. din Registrul de risc: 5.2. procedura de numire a conducătorului compartimentului de audit intern.
Concluzie: TOLERAREA RIDICATĂ
10) Cauza: Informare necorespunzătoare a managementului entităţilor publice cu privire la
procedura de destituire a conducătorului compartimentului de audit intern.
Concluzie: TOLERAREA RIDICATĂ

2. Propuneri de acţiuni/măsuri de control -

3. Stadiul implementării acţiunilor de control -

4. Dificultăţi întâmpinate -
5. Alte probleme:

5.1. Au fost analizate riscurile prezentate la pct. 1 dpdv al definirii Riscurile au fost definite în conformitate cu regulile prezentate în metodologia de implementare a
acestora. Standardului nr. 11 - Managementul riscurilor
5.2. Analiza posibilităţilor de cooptare şi altor persoane din cadrul Pentru monitorizarea implementării măsurilor de control propuse, aferente riscului de la nr.205
crt 3.3.
direcţiei pentru monitorizarea implementării măsurilor de control. din Registrul riscurilor, a fost numit..................................................

5.3. A fost discutat calendarul şedinţelor de lucru până la sfârşitul Echipa de gestionare a riscurilor la nivelul direcţiei a hotărât ca următoarea şedinţă de analiză a
semestrului II al anului xxxx. riscurilor să aibă loc în data de _______.
2.2. CONTROLAREA RISCURILOR – RĂSPUNSUL LA RISC = COL 9 – 11

(1) În această etapă se stabileşte atitudinea faţă de risc: acceptare, monitorizare, transferare, externalizare sau
tratare.
Dacă riscurile urmează a fi tratate, se identifică măsurile posibile ce pot fi luate astfel încât riscurile să fie controlate
satisfăcător, se grupează în variante alternative, se alege varianta cea mai avantajoasă din perspectiva raportului cost/beneficiu.
(2) Persoana care a identificat un risc, pe lângă o estimare a probabilităţii şi a impactului riscului identificat, face propuneri
de acţiuni/instrumente de control, pe care le va cuprinde în Formularul de alertă la risc.
(3) EGR, în cadrul şedinţelor lunare de analiză a riscurilor, pentru fiecare risc identificat şi evaluat, face propuneri cu
privire la tipul de răspuns cel mai adecvat şi se pronunţă pentru:
1. tolerarea riscului, în situaţia în care se apreciază că riscul are o expunere scazută;
2. acceptarea riscului, ceea ce presupune amânarea luării măsurilor de control şi instituirea supravegherii
permanente a probabilităţii de apariţie a riscului;
3.eliminarea circumstanţelor care generează riscul;
4. externalizarea riscului, în situaţia în care se apreciază că pentru gestionarea eficace a riscului este necesară expertiza
unui terţ specializat;
5. atenuarea riscului, cu indicarea instrumentelor/măsurilor de control intern, prezentate în Îndrumarul metodologic pentru
dezvoltarea controlului intern în entităţile publice, elaborat de UCASMFC, ce trebuie implementate pentru a menţine riscul
respectiv în limita toleranţei la risc acceptate, conform Modelului de evaluare a expunerii la risc – Anexa nr. 1, litera d.

(4) În acelaşi cadru, EGR face propuneri cu privire la termenele limită pentru implementarea acţiunilor/măsurilor stabilite,
precum şi la responsabilii cu monitorizarea implementării acestora;
(5) Decizia finală cu privire la alegerea tipului cel mai adecvat de răspuns la risc, precum şi la numirea responsabililor cu
monitorizarea implementării acţiunilor/măsurilor stabilite, aparţine conducătorului direcţiei generale/direcţiei;
(6) La finalul şedinţei de analiză a riscurilor, Responsabilul cu riscurile:
1.consemnează în Procesul-verbal al şedinţei toate hotărârile luate în legătură cu controlarea riscurilor;
2.transmite responsabililor desemnaţi cu monitorizarea implementării măsurilor de control intern, Formularele de
alertă la risc şi documentaţia aferentă;
3.în baza informaţiilor cuprinse în Procesul-verbal, completează/actualizează/modifică coloanele nr. 9, 10 şi 11
din Registrul riscurilor de la nivelul direcţiei generale/direcţiei;
4.listează şi îndosariază un exemplar al Registrului riscurilor după ce acesta a fost semnat de conducătorul
direcţiei generale/direcţiei.
206
PROCES-VERBAL AL ŞEDINŢEI DE ANALIZĂ A RISCURILOR
Participă membrii EGR
Nr. Nume, prenume Funcţia Semnătura Nr. telefon
Ctr. Adresă e-mail

1. MS Director general

2. MG Şef Serv. SMG

3. TT Şef Serv. OAPI

4. NC Şef Serv. CER

5. GC Responsabil RR

Nr.
Probleme dezbătute Concluzii, recomandări, observaţii
crt.
1. Riscuri analizate Au fost analizate acţiunile/măsurile de control propuse de
Nr. crt. din Registrul de risc 3.3. - Neidentificarea persoanele care au identificat riscurile pentru tratarea
corespunzătoare a nevoilor de formare a auditorilor interni - riscurilor.
2. Propuneri de acţiuni/măsuri de control: Măsurile/acţiunile identificate asigură ameliorarea riscului.
1) Analiza şi aplicarea PO: Realizarea programului de formare
profesională a auditorilor interni din sectorul public;
2) Elaborarea şi actualizarea planului privind perfecţionarea
pregătirii profesionale a auditorilor interni în corelaţie cu
cadrul de competenţe;
3) Supervizarea activităţii de către şeful de serviciu.
3. Stadiul implementării acţiunilor de control Implementate
4. Dificultăţi întâmpinate Nu este cazul
207
5. Alte probleme:
5.1. Stabilirea datei pentru următoare şedinţă de analiză a riscurilor. 1) Echipa de gestionare a riscurilor la nivelul direcţiei a
hotărât ca următoarea şedinţă de analiză a riscurilor să
aibă loc în data de 30.11.N.
2.3. IMPLEMENTAREA ŞI MONITORIZAREA ACŢIUNILOR ŞI MĂSURILOR DE CONTROL = COL 12

(1) În această etapă se realizează următoarele activităţi:


- monitorizarea implementării măsurilor;
- evaluarea efectului măsurilor implementate asupra riscurilor;
- reconsiderarea măsurilor luate în cazul în care acestea nu au ameliorat riscurile.

(2) Conducătorul direcţiei generale/direcţiei asigură cadrul organizaţional şi procedural pentru punerea în aplicare, de către
persoanele responsabile, a acţiunilor/dispozitivelor de control stabilite.

(3) Responsabilii cu monitorizarea implementării măsurilor de control realizează următoarele activităţi:


- deschid, pentru fiecare risc identificat şi evaluat, Fişa de urmărire a riscului – Anexa nr. 4, pe baza informaţiilor
cuprinse în formularele de alertă la risc şi în documentaţia aferentă;
- elaborează informări sau rapoarte lunare cu privire la stadiul implementării acţiunilor şi măsurilor de control, pe care le
prezintă responsabilului cu riscurile;
- întocmeşte un raport cu privire la stadiul implementării măsurilor de control intern dispuse anterior, pe care îl va prezenta,
spre analiză şi decizie, conducătorului direcţiei generale/direcţiei.

(4) EGR, în cadrul aceleiaşi şedinţe lunare de analiză a riscurilor, realizează următoarele activităţi:
- analizează stadiul implementării acţiunilor şi măsurilor de control;
- stabileşte, acolo unde este cazul, noi măsuri/instrumente de control pentru contracararea riscurilor specifice şi noi
termene pentru implementarea acestora;
- necesităţile de escaladare a riscurilor la nivelul ierarhic imediat superior.

(5) La finalul şedinţei, Responsabilul cu riscurile:

1. consemnează în Procesul-verbal al şedinţei toate hotărârile luate;


2. transmite responsabililor cu monitorizarea implementării, modificarea măsurilor sau a termenelor pentru riscurile aflate
deja în faza de implementare a măsurilor de control intern; 208
3. în baza informaţiilor/datelor cuprinse în Procesul-verbal, completează coloana nr. 12 din Registrul riscurilor de la
nivelul direcţiei generale/direcţiei şi, de asemenea, actualizează sau modifică, după caz, coloanele nr. 9, 10 şi 11.
Anexa nr. 4
FIŞA DE URMĂRIRE A RISCULUI

Directia:
Responsabilul cu monitorizarea implementării măsurilor:
(Nume, prenume)

Riscul monitorizat:
Denumire: Neidentificarea corespunzătoare a nevoilor de formare a auditorilor interni
Expunere: TOLERARE RIDICATĂ

Data urmăririi
Acţiuni preventive propuse Stadiul implementării acţiunilor preventive
riscului

16.11.200N 1) Analiza şi aplicarea PO: Realizarea programului de 1) Procedura operaţională a fost analizată şi implementată, termenul de
formare profesională a auditorilor interni din sectorul finalizare fiind 31.10.200N
public;

2) Elaborarea şi actualizarea Planului privind perfecţionarea 1) Planul a fost elaborat, termenul de finalizare este 31.10.200N.
pregătirii profesionale a auditorilor interni în corelaţie cu
cadrul de competenţe;

3) Supervizarea activităţii de Şeful de serviciu.

Dificultăti întâmpinate:

Acţiuni noi propuse Responsabil Termen de implementare

Elaborarea şi obţinerea unor chestionare cu privire la nevoia Ionescu Ion 07.10.200N


de formare profesională structurilor de audit intern, din
cadrul entităţii

209
2.4. REVIZUIREA ŞI RAPORTAREA RISCURILOR = COL 13 - 17

(1) În această etapă se desfăşoară activităţi/acţiuni/operaţiuni de revizuire a calificativelor


riscurilor sau expunerilor la risc, de reprioritizare a riscurilor şi de raportare cu privire la desfăşurarea
procesului de gestionare a riscurilor.
(2) EGR, în cadrul şedinţelor lunare de analiză a riscurilor:
- analizează noile riscuri raportate, pe baza datelor cuprinse în Formularele de alertă la risc,
- analizează modificările apărute la riscurile iniţiale, consemnate în Fişele de urmărire a riscului;
- revizuieşte calificativele riscurilor, în baza informaţiilor cuprinse în Fişa de urmărire a riscului
- realizează o nouă ierarhizare a riscurilor în funcţie de priorităţi, reajustând limitele de toleranţă
pentru riscurile mai puţin prioritare;
- stabileşte închiderea riscurilor soluţionate.

(3) La finalul şedinţei de analiză a riscurilor, Responsabilul cu riscurile:


1.consemnează în Procesul-verbal al şedinţei toate hotărârile luate;
2.în baza informaţiilor/datelor cuprinse în Procesul-verbal, completează coloanele nr. 13,
14,15,16 şi 17 din Registrul riscurilor de la nivelul direcţiei generale/direcţiei.

(4) Responsabilul cu riscurile elaborează un raport semestrial cu privire la desfăşurarea


procesului de gestionare a riscurilor la nivelul direcţiei generale/direcţiei, în cel mult două luni de la
expirarea semestrului în cauză.

După aprobarea de către conducătorul direcţiei generale/direcţiei, responsabilul cu riscurile


transmite, simultan, un exemplar al raportului secretarului de stat coordonator, pentru aprobare şi GL/Comisiei
de monitorizare, în vederea elaborării informării semestriale referitoare la progresele înregistrate cu privire
la dezvoltarea sistemului de control managerial, destinată ministrului finanţelor publice.
210
Unitatea Centrală pentru Armonizarea Auditului Public Intern
Nr. ................. Data ...................
PROCES-VERBAL AL ŞEDINŢEI DE ANALIZĂ A RISCURILOR
Participă membrii EGR

Nr. Nume, prenume Funcţia Semnătura Nr. telefon


Ctr. Adresă e-mail

1. MS Director general

2. MG Şef Serv. SMG

3. TT Şef Serv. OAPI

4. NC Şef Serv. CER

5. GC Responsabil RR

Nr.
Probleme dezbătute Concluzii, recomandări, observaţii
crt.

1. Riscuri analizate În urma implementării măsurilor/acţiunilor de control riscul este TOLERABIL


1) Neidentificarea corespunzătoare a nevoilor de formare a auditorilor
interni - nr. crt. din Registrul de risc:3.3.

2. Propuneri de acţiuni/măsuri de control: -

3. Stadiul implementării acţiunilor de control -

4. Dificultăţi întâmpinate Nu este cazul

5. Alte probleme:

5.1. Stabilirea următoarei Şedinţe de analiză a riscurilor Echipa de gestionare a riscurilor la nivelul direcţiei a hotărât ca următoarea şedinţă de analiză a riscurilor
să aibă loc în data de ________________

211
Responsabil cu Registrul riscurilor:.....................
Data:
REGISTRUL RISCURILOR

212
ETAPA V
STABILIREA MODALITĂŢILOR DE DEZVOLTARE A SISTEMULUI DE CONTROL MANAGERIAL PRIN RAPORTAREA LA

CODUL CONTROLULUI INTERN

Coroborarea ROF - ului entităţii cu Lista obiectivelor, activităţilor şi operaţiilor pe compartimente , care se va concretiza în:
1. ACTUALIZAREA ROF-ULUI;
2. ACTUALIZAREA FIŞELOR POSTURILOR prin stabilirea atribuţiilor de serviciu pentru fiecare post;
3. Constituirea ARBORELUI ACTIVITĂŢILOR LA NIVELUL ENTITĂŢII şi stabilirea responsabilului cu actualizarea sistematică a acestui
4. CODIFICAREA PROCEDURILOR DE LUCRU şi stabilirea persoanelor responsabile şi a termenelor de realizare;
5. PRIORITIZAREA PROCEDURILOR OPERAŢIONALE, de lucru:
- PO curente
- PO periodice
- PO anuale
6. COMPLETAREA LISTEI OBIECTIVELOR, ACTIVITĂŢILOR şi OPERAŢIILOR cu codurile procedurilor operaţionale, responsabilii şi termenele de realizare
ale acestora, conform următorului model

Nr.
ctr. Obiective Activităţi Operaţii Cod procedură Responsabil Prioritizare

0 1 2 3 4 5 6

213

Standardele avute în vedere: 9 – Planificarea;


ETAPA VI
INVENTARIEREA DOCUMENTELOR, A FLUXURILOR DE INFORMAŢII,
A PROCESELOR ŞI A MODULUI DE COMUNICARE ÎNTRE
STRUCTURILE ENTITĂŢII ŞI CU ALTE ENTITĂŢI

Modelul documentului care se elaborează în această etapă este următorul:


Inventarierea documentelor, fluxurilor de informaţii şi proceselor
Nr. Denumirea activitatii
ctr. Documentele de intrare Continutul procesarii Documentele de iesire
(fluxul de informatii)

1. Elaborarea Strategiei de dezvoltare - Documentul de pozitie - Analiza recomandarilor CE si sintetizarea - Strategia dezvoltarii CFPI in
a CFPI in Romania (Obiectiv - Raportul Curtii de Conturi a Romaniei elementelor de actualizare ale cadrului Romania
nr. 1) - Cadrul normativ actualizat privind sistemul normativ
controlului financiar public - Stabilirea punctelor tari si punctelor slabe
ale strategiei
- Stabilirea necesarului de resurse

2. Dezvoltarea cadrului normativ - Rapoarte de evaluare externa (UE, audit - Analiza propunerilor - Cadrul normativ general :
general, respectiv norme, extern) - Modificarea si completarea cadrului - Norme generale privind
ghiduri, proceduri in - Rapoarte peer-rewiev normativ exercitarea activitatii de
domeniul auditului public - Standardele internaţionale de audit intern - Elaborarea proiectului actului normativ audit public intern
intern (Obiectiv nr. 2) - Legi, alte acte normative care au influente - Avizare CAPI - Codul privind conduita etica
asupra activităţii de audit intern - Aprobare si publicare a auditorului intern
- Scrisori, recomandari ale practicienilor, - Carta auditului intern
mass-media - Ghiduri practice

3. Elaborarea planului anual de - Raport UE - recomandari - Analiza riscurilor - Planul strategic si planul
activitate (Obiectiv nr. 4) - Raport CCR – recomandari - Elaborarea proiectului planuluistrategic/ anual al activitatii de
- Rapoarte de evaluare externa anual audit intern
- Avizare CAPI
- Aprobare ministru

214

Standardele avute în vedere: 8 – Managementul riscurilor, 12 – Informarea


și Comunicarea,
ETAPA VII
STABILIREA UNUI SISTEM DE MONITORIZARE A DESFĂŞURĂRII ACTIVITĂŢILOR DIN STRUCTURA
OBIECTIVELOR
Obiective
Activităţi Indicatori de rezultat şi/sau de
Rezultate aşteptate Resurse Responsabili Termen limită
performanţă

OBIECTIV 1: Dezvoltarea unei strategii unitare in domeniul auditului public intern

1.1.Actualizarea documentului -Cuprinderea în Strategia de dezvoltare -Număr de acţiuni implementate Nu este necesară Director general Martie 200N
strategic in domeniul controlului a CFPI în România a evoluţiei pe plan -Numărulde acţiuni noi cuprinse alocarea de UCAAPI
financiar public intern, capitolul naţional şi internaţional a activităţii de în documentul strategic resurse Şef serv. Strategie şi
audit intern audit intern suplimentare metodologie generală
(SMG)
Auditorii interni
desemnaţi

OBIECTIV 2: Dezvoltarea cadrului normativ

2.1. Actualizarea cadrului legislativ -Îmbunătăţirea cadrului legislativ prin -Gradul de implementare a Nu este necesară Director general Iunie 200N
privind activitatea de audit intern modificarea şi completarea Legii acţiunilor cuprinse în documentul alocarea de UCAAPI
nr.672/2002 privind auditul public intern strategic resurse Şef serv. SMG
pe baza Strategiei de dezvoltare a suplimentare Auditorii interni
CFPI desemnaţi

2.2.Modificarea si completarea -Actualizarea Normelor generale -Gradulde implementare a noilor Nu este necesară Director general Noiembrie 200N
Normelor generale privind privind exercitarea activităţii de audit prevederi legislative în cadrul alocarea de UCAAPI
exercitarea activităţii de audit intern pe baza legii normativ resurse Şef serv SMG
intern suplimentare Auditorii interni
desemnaţi

215

Standardele avute în vedere 6 Planificarea, 7 – Monitorizarea performanţelor, 12 – Informarea,


Și Comunicarea, 10 – Supravegherea
ETAPA VIII
AUTOEVALUAREA REALIZĂRII OBIECTIVELOR GENERALE ŞI A CELOR SPECIFICE ŞI

ÎMBUNĂTĂŢIREA SISTEMULUI DE CONTROL MANAGERIAL

Obiective

Indicatori de rezultat şi/sau Termen


Activităţi Rezultate aşteptate Resurse Responsabili
de performanţă limită

OBIECTIV 1: Dezvoltarea unei strategii unitare in domeniul auditului public intern

1.1.Actualizarea - Cuprinderea în Strategia de dezvoltare a CFPI în - Număr de acţiuni Nu este Director general Martie 200N
documentului strategic in România a evoluţiei pe plan naţional şi internaţional implementate : 0. necesară UCAAPI
domeniul controlului a activităţii de audit intern - Numărul de acţiuni noi alocarea de Şef serv. SMG
financiar public intern, cuprinse în documentul resurse Auditorii interni
capitolul audit intern strategic: 2. suplimentare desemnaţi

OBIECTIV 2: Dezvoltarea cadrului normativ

2.1. Actualizarea cadrului - Îmbunătăţirea cadrului legislativ prin modificarea şi - Gradul de transpunere a Nu este Director general Iunie 200N
legislativ privind activitatea completarea Legii nr.672/2002 privind auditul public acţiunilor cuprinse în necesară UCAAPI
de audit intern intern pe baza Strategiei de dezvoltare a CFPI documentul strategic: 0 alocarea de Şef serv. SMG
Parţial realizat resurse Auditorii interni
Textul modificat şi completat al Legii nr. suplimentare desemnaţi
672/2002 privind auditul public intern este elaborat
şi a fost prezentat pentru avizare CAPI în luna
august.
În prezent se află într-un proces de revedere a
unor paragrafe, urmând să fie transmis ulterior
pentru avizare şi direcţiilor de specialitate din
minister.

216

Standardele avute în vedere: 4 – Structura organizatorică,5– Obiective, 11 – Continuitatea activităţii


ETAPA IX
REALIZAREA PROCEDURILOR OPERAŢIONALE PENTRU ACTIVITĂŢILE ENTITĂŢII ÎN DIRECTĂ CORELAŢIE CU FLUXUL DE

INFORMAŢII PREZENTATE

Standardele avute în vedere: 8 – Managementul riscului, 9 – Proceduri,


15 – Evaluarea sistemului de control intern/managerial, 16 – Auditul intern

PRECIZĂRI PRIVIND ELABORAREA PROCEDURILOR OPERAŢIONALE


1.Elaborarea procedurilor de lucru se realizează în baza OSGG 600/2018, care modifică şi completează OMFP nr. 946/2005 privind Codul
controlului intern.
2. Analiza Listei obiectivelor, activităţilor şi procedurilor pentru realizarea acestora în funcţie de priorităţile stabilite
3. Stabilirea cadrului legislativ şi normativ care reglementează domeniul de activitate;
4. Implementarea activităţilor de control intern pe fluxul proceselor şi în punctele cheie ale acestora;
5. Urmărirea stabilirii responsabilităţilor pe faze de întocmire, avizare, aprobare şi pe nivele de execuţie;
6. Respectarea principiului dublei semnături;
7. Asigurarea transpunerii corecte a datelor în sistemele informatizate;
8. Existenţa modalităţii de arhivare a documentelor;
9. Existenţa componentei de actualizare a procedurilor de lucru;
10. Aprobarea procedurilor operaţionale de către persoanele competente;

Notă:
EVALUAREA ANUALĂ A SALARIAŢILOR DE CĂTRE ŞEFII DE COMPARTIMENTE SE VA REALIZA ŢINÂND CONT DE STADIUL
ELABORĂRII ŞI ACTUALIZĂRII PROCEDURILOR OPERAŢIONALE DE LUCRU.

ETAPA X
ELABORAREA PROGRAMULUI DE PREGĂTIRE PROFESIONALĂ A PERSONALULUI
PENTRU ACTUALIZAREA SCM
217
Standardele avute în vedere: 3 – Competenţă, performanţă
ETAPA IX
REALIZAREA PROCEDURILOR OPERAŢIONALE PENTRU ACTIVITĂŢILE ENTITĂŢII ÎN DIRECTĂ CORELAŢIE CU FLUXUL DE

INFORMAŢII PREZENTATE

Standardele avute în vedere: 8 – Managementul riscului, 9 – Proceduri,


15 – Evaluarea sistemului de control intern/managerial, 16 – Auditul intern

PRECIZĂRI PRIVIND ELABORAREA PROCEDURILOR OPERAŢIONALE


1.Elaborarea procedurilor de lucru se realizează în baza OSGG 60/2018, care modifică şi completează OMFP nr. 946/2005 privind Codul
controlului intern.
2. Analiza Listei obiectivelor, activităţilor şi procedurilor pentru realizarea acestora în funcţie de priorităţile stabilite
3. Stabilirea cadrului legislativ şi normativ care reglementează domeniul de activitate;
4. Implementarea activităţilor de control intern pe fluxul proceselor şi în punctele cheie ale acestora;
5. Urmărirea stabilirii responsabilităţilor pe faze de întocmire, avizare, aprobare şi pe nivele de execuţie;
6. Respectarea principiului dublei semnături;
7. Asigurarea transpunerii corecte a datelor în sistemele informatizate;
8. Existenţa modalităţii de arhivare a documentelor;
9. Existenţa componentei de actualizare a procedurilor de lucru;
10. Aprobarea procedurilor operaţionale de către persoanele competente;

Notă:
EVALUAREA ANUALĂ A SALARIAŢILOR DE CĂTRE ŞEFII DE COMPARTIMENTE SE VA REALIZA ŢINÂND CONT DE STADIUL
ELABORĂRII ŞI ACTUALIZĂRII PROCEDURILOR OPERAŢIONALE DE LUCRU.

ETAPA X
ELABORAREA PROGRAMULUI DE PREGĂTIRE PROFESIONALĂ A PERSONALULUI
PENTRU ACTUALIZAREA SCM
218
Standardele avute în vedere: 3 – Competenţă, performanţă
RELAŢIA DE INTERCONDIŢIONARE DINTRE CONTROL ŞI AUDIT

• NIVELUL ORDONATORUL
DE RESPONSABILITATE
DE CREDITE

•RELATIA
CE CI AI
DE BAZA AE
SMFCI

Direcția Antifraudă UCASMFC UCAAPI CCR - realizeaza misiuni


de
CAPI AF si API conform
programului anual
•STRUCTURI
PROFESIONALE CECCAR AAIR CAFR - realizeaza AF, pe baze

contractuale :
- sectorul economic public,
219
- sectorul economic privat
- structuri private
CONTROLUL RISCURILOR

Controlul riscurilor presupune realizarea următoarelor activităţi:

 tolerarea;
 tratarea;

 transferarea;

 încetarea;

 oportunităţi.

220
a. Tolerarea riscurilor
o Riscurile pot fi acceptate fără să fie necesară luarea vreunei măsuri.
În cazul unor riscuri, chiar dacă cu greu sunt tolerate, nu întotdeauna
avem posibilitatea să acţionăm datorită, spre exemplu, costului măsurilor
respective, care pot să fie disproporţionate. Opţiunea aceasta poate fi
completată de „un plan pentru situaţii neprevăzute” care să atenueze
posibilul impact care ar putea fi resimţit în situaţia materializării riscurilor.

b. Tratarea riscurilor

 Marea majoritate a riscurilor sunt controlate cu scopul de a fi tratate.


Astfel, în timp ce organizaţia îşi desfăşoară activităţile care au generat
riscurile, se instalează un instrument de control care menţine efectele
riscului în limite acceptabile.
 Tratarea ineficientă a riscurilor poate produce o criză corporativă care să
221
conducă la pierderi semnificative.
Instrumente de control preventiv:

 segregarea sarcinilor, prin care o persoană nu are autoritatea de a


acţiona fără consimţământul alteia, astfel persoana care realizează o plată
este alta decât cea care a efectuat comanda;

 limitarea acţiunilor persoanelor autorizate, respectiv doar persoanele


instruite special pot efectua anumite activităţi speciale, cum ar fi:
inventarierea patrimoniului, controlul casieriei, instruirea personalului ş.a.

 externalizarea asigurării unor servicii, precum: IT, contabilitate, resurse


umane, audit ş.a.

222
Instrumente de control corectiv:

 includerea unor clauze în contract care permit recuperarea


sumelor plătite nejustificat;

 asigurarea, care facilitează recuperarea financiară a unor


sume în cazul materializării unor riscuri;

 planurile pentru situaţiile neprevăzute reprezintă un mijloc


prin care o organizaţie îşi planifică şi asigură continuitatea în
cazuri de criză, pe care nu le poate controla.

223
Instrumente de control directiv:
 instruirea şi deprinderea personalului cu anumite abilităţi;

 asigurarea pregătirii profesionale a personalului într-un domeniu special,


respectiv IT, control, audit ş.a.
 în general, echipamentele de protecţie pentru activităţile periculoase.

Instrumente de control detectiv

 activităţile de inventariere a stocurilor, care detectează unele mişcări


realizate fără autorizaţie;
 controlul reciproc şi încrucişat, care poate detecta unele tranzacţii
neconforme sau neautorizate;
 monitorizarea activităţilor de implementare care ne permit să detectăm
anumite modalităţi practice pozitive care pot fi utilizate şi în alte proiecte.
224
c. Transferarea riscurilor

 Există riscuri pentru care cea mai bună soluţie este transferarea lor. Această
opţiune este benefică mai ales în cazul riscurilor financiare sau
patrimoniale şi poate fi făcută printr-o asigurare sau prin plata unei terţe
părţi care să găsească o altă modalitate de asumare a riscului.

 Transferarea riscurilor se poate realiza fie prin reducerea expunerii la risc,


fie pentru că o altă organizaţie este mai capabilă sau specializată în
gestionarea unor astfel de riscuri. În general, nu se pot transfera riscurile
legate de reputaţie, de brandul organizaţiei, astfel există şi riscuri
netransferabile sau netransferabile integral.

225
d. Încetarea activităţilor

 Anumite riscuri pot fi eliminate sau menţinute în limite rezonabile numai prin
reducerea activităţilor sau prin desfiinţarea acestora.

 Trebuie menţionat că această modalitate este caracteristică sectorului


privat, deoarece în sectorul public opţiunea încetării activităţii este relativ
redusă, chiar dacă pentru unele activităţi sunt asociate riscuri însemnate,
deoarece nu există o altă modalitate de obţinere a rezultatelor aşteptate de
public.

 Spre exemplu: pregătirea unor specialişti o lungă perioadă de timp în


străinătate, este însoţită de posibilitatea nedorită a plecării acestora
din organizaţie. Desigur că această opţiune poate avea o importanţă
deosebită în gestionarea proiectelor dacă devine clar faptul că relaţia
226
previzionată cost-beneficii este pusă în pericol.
e. Beneficierea de pe urma oportunităţilor

Această opţiune trebuie luată în considerare ori de câte ori un risc este
tolerat, tratat sau transferat.

În această situaţie există următoarele posibilităţi:

simultan cu reducerea evenimentelor, riscul apare ca oportunitate.

Spre exemplu, dacă o investiţie mare este riscantă, se reevaluează


instrumentele de control, dacă sunt suficiente şi justifică eventuale
cheltuieli cu acestea;
existenţa unor circumstanţe care negenerând riscuri, oferă chiar
oportunităţi. Spre exemplu: scăderea preţurilor la bunuri şi servicii care
conduce la eliberarea de resurse ce pot fi realocate. 227
5. CARE ESTE CONTRIBUŢIA ADUSĂ PE
TERMEN LUNG ?

5.1. Cum poate contribui controlul intern la ameliorarea performanţelor


sistemelor informaţionale ?

5.2. Cum poate fi permanentizat demersul de control intern ?

228
5.1. CUM POATE CONTRIBUI CONTROLUL INTERN LA
AMELIORAREA PERFORMANŢELOR SISTEMELOR
INFORMAŢIONALE ?
■ Implementarea unui demers de control intern constituie o oportunitate reală
oferită managerilor pentru ameliorarea funcţionării şi a performanţelor
entităţii. Aceasta implică o gândire profundă şi colectivă asupra punctelor
forte dar îndeosebi asupra vulnerabilităţilor proprii proceselor implementate în
cadrul entităţii.

■ Acest diagnostic inerent demersului permite:


• identificarea disfuncţionalităţilor sau a factorilor potenţiali de
disfuncţionalitate;
• valorificarea şi diseminarea celor mai bune practici elaborate în cadrul
entităţii publice.

■ Lansarea unui asemenea proiect poate constitui, în acelaşi timp, o oportunitate


de implementare a unor dispozitive de pilotaj inovatoare dar, în primul rând, a
principiilor / regulilor de bună practică agreate la nivelul Uniunii Europene.

229
5.2. CUM SE POATE PERMANENTIZA DEMERSUL DE
CONTROL INTERN ?

■ Trebuie asigurată permanenţa şi durabilitatea dispozitivului de control intern.


Aceasta nu înseamnă totuşi că dispozitivul trebuie să rămână imuabil. De fapt,
mediul, activităţile, organizarea entităţii evoluează. De asemenea, strategia şi
obiectivele entităţii sunt reevaluate cu regularitate. Dispozitivul de control
intern trebuie să se poată adapta constant la aceste evoluţii, altfel riscă să
nu mai garanteze controlarea operaţiilor. Mai mult, el poate deveni astfel un
factor de rigiditate în cadrul entităţii.

■ Miza este deci permanentizarea eficienţei dispozitivului de control intern.

Pentru aceasta, trebuie actualizate cu regularitate:


• diagnosticul proceselor vitale pentru entitate;
• cartografia riscurilor.

Această funcţie de veghere poate fi încredinţată unei structuri specializate,


230
însărcinată cu managementul riscurilor.
■ Controlul intern nu trebuie totuşi ca, în timp, să devină o preocupare
exclusivă a unor specialişti. Managerii trebuie să fie în continuare, fiecare la
nivelul său, actori cheie ai adaptării dispozitivului la realităţile entităţii publice.
Ei trebuie să diagnosticheze cu regularitate procesele de care sunt
responsabili. Ori investiţia realizată pentru organizarea atelierelor de lucru
care au ajutat la lansarea demersului nu se poate repeta cu aceeaşi
regularitate.

■ Pot fi însă elaborate şi puse la dispoziţia managerilor ghiduri de


autodiagnostic, a căror utilizare le permite să menţină activ dispozitivul de
control intern.

■ De asemenea, compartimentul de audit intern îi poate ajuta pe manageri să


adapteze controlul intern în funcţie de riscurile inerente activităţilor din cadrul
entităţii.

231
PROCESUL DE IMPLEMENTARE AL CONTROLULUI
INTERN

Implementarea activităţilor de control presupune parcurgerea


următoarelor etape:

I. Pregătirea implementării activităţilor de control;

II. Stabilirea activităţilor de control intern;

III. Ierarhizarea activităţilor de control intern.

232
I. Pregătirea implementării activităţilor de control

Implementarea activităţilor de control intern, indiferent de ce


natură ar fi ele, presupune definirea misiunii, stabilirea şanselor
de reuşită şi cunoaşterea regulilor ce se impun a fi respectate.

În definirea misiunii aferente fiecărei activităţi, se porneşte de la


premisa că fiecare funcţie sau activitate din cadrul unei entităţi se
exercită pe baza unei politici generale şi fiecare manager al unei
activităţi sau funcţii trebuie să definească, sau cel puţin să
cunoască politica pe care trebuie să o aibă în desfăşurarea
activităţii sau funcţiei respective. Prin intermediul fiecărei politici
se va stabili, aşadar, care este misiunea responsabilului, precizând
acţiunile pe care trebuie să le întreprindă, scopul şi domeniul de
aplicare.
233
Atunci, când în desfăşurarea misiunii sale auditorul intern va
trebui să aprecieze şi să evalueze aceste dispozitive de control, el
nu va putea face acest lucru decât dacă va cunoaşte misiunea
încredinţată managerului activităţii respective. De aceea, prima sa
întrebare va fi: „Care sunt obiectivele misiunii dumneavoastră?”,
urmată apoi de o altă întrebare: „De ce?”, pentru a înţelege astfel
misiunea încredinţată respectivului manager.

234
Limitele ce trebuie luate în calcul la definirea misiunii le putem
clasifica în două categorii astfel:

Limite generate de prevederile legale, dar şi prevederi de


deontologie profesională a entităţii. Aceste dispoziţii creează un
cadru pe care nu-l vom putea încălca, în interiorul lui
desfăşurându-se acţiunea, iar controlul intern trebuie să aibă în
vedere acest cadru legislativ;

Limite tehnice, cum ar fi de exemplu, capacitatea de producţie a


utilajelor, scadenţarul fiscal sau al obligaţiilor juridice care
trebuie respectate sau limite impuse de contractele de împrumut.

235
II. Stabilirea activităţilor de control intern

O dată aceste faze prealabile ale implementării controlului intern


fiind îndeplinite, este momentul trecerii la următoarea etapă şi
anume aceea a stabilirii activităţilor de control, în vederea
implementării.

Aceste activităţi sau dispozitive de control trebuie să fie foarte


bine cunoscute atât de către manageri, cât şi de către auditori, a
căror misiune va fi aceea de a le aprecia. Aceste activităţi de
control vor fi identificate prin intermediul „Chestionarelor de
control intern”, iar ele pot fi grupate în următoarele şase
categorii:

236
1. Obiectivele
După precizarea obiectului misiunii sale, prima îndatorire a
managerului sau responsabilului unei activităţi va fi aceea de
stabilire a obiectivelor pe care trebuie să le atingă pentru a
îndeplini sarcina care i-a fost încredinţată. Responsabilii
funcţiilor sau activităţilor au sarcina de a respecta atât obiectivele
generale ale controlului intern, cât şi obiectivele specifice
misiunii lor, pe care trebuie să le definească şi care vor fi ulterior
apreciate de către auditorii interni, pornind de la următoarele
criterii pe care trebuie să le îndeplinească:

Participarea la realizarea misiunii încredinţate responsabilului,


Repartizarea lor în interiorul funcţiei sau activităţii,
Posibilitatea cuantificării lor,
Posibilitatea monitorizării lor,
Încadrarea în timp;
Claritate, astfel încât să nu dea naştere la confuzii. 237
2. Resursele

Este necesar să avem în vedere următoarele categorii de resurse:

 Resurse umane, o problemă destul de delicată, unde trebuie să urmărim


mai degrabă criteriul calităţii, decât cel al cantităţii. În lipsa unui personal
competent profesional, rezultă o compromitere a activităţilor de control,
ceea ce poate cauza anomalii sau ineficienţe destul de grave. Această
problematică a resurselor umane trebuie privită prin prisma recrutării,
perfecţionării pregătirii permanente şi deontologia profesională.

 Resurse financiare sunt concretizate în bugetele de exploatare sau de


investiţii conforme cu obiectivele stabilite, iar problema care trebuie
urmărită întotdeauna este de a asigura încadrarea în limitele stabilite de
aceste bugete, în vederea atingerii scopurilor stabilite, fără a modifica însă
obiectivele stabilite.

 Resursele tehnice, care au în vedere tehnicile de gestiune, sistemele


informatice, tehnicile comerciale sau industriale, care contribuie în mod
unitar la atingerea obiectivelor stabilite. 238
3. Sistemele de informare

Cea de-a treia categorie de activitate de control o reprezintă


sistemele de informare, care se regăsesc în cadrul tuturor
activităţilor din cadrul unei organizaţii, fiind constituite atât din
sisteme informaţionale, cât şi din sisteme informatice.

Sistemele informaţionale au în vedere toate activităţile, fiind


constituite pentru a permite un control eficient al acestora şi
includ şi sistemele de informare financiar-contabile. Un exemplu
de sistem informaţional este sistemul informaţional economic
care are principala menire de a furniza informaţiile necesare
cunoaşterii activităţii economice în vederea luării deciziilor pe
toate treptele organizatorice.

Sistemele informatice sunt reprezentate de partea automatizată


239
din cadrul sistemului informaţional.
4. Organizarea

Datorită complexităţii şi diversităţii mari a entităţilor, naturii


activităţii desfăşurate, culturii fiecărei organizaţii, o problemă
esenţială a managementului o constituie organizarea, pentru că
aşa cum afirma Fayolle: „nu putem controla decât ceea ce este
organizat” (citat de Renard, J., 2002).

240
În aprecierea eficienţei organizării, auditorului interni
trebuie să aibă în vedere următoarele elemente:

Organigrama ierarhică, care permite o înţelegere mai


bună a funcţionării activităţii, iar o eventuală lipsă a sa
constituie din start o deficienţă gravă. Analiza organigramei
îi va permite auditorului să înţeleagă relaţiile de
competenţă, de acţiune şi de responsabilitate şi să
depisteze eventualele puncte slabe.

Fişa postului, a cărui analiză permite identificarea


sarcinilor şi atribuţiilor care revin fiecărui angajat, precum şi
limitele competenţei de acţiune;

Cadrul material, care se referă la cadrul de creare a


mediului corespunzător desfăşurării activităţii şi care
asigură totodată protecţia fizică atât a bunurilor, cât şi a
241
persoanelor.
5. Procedurile

Pentru ca activităţile să se poată desfăşura este necesară


definirea procedurilor şi modalităților de lucru şi
formalizarea acestora pentru toate activităţile sau funcţiile
care se desfăşoară în cadrul unei organizaţii. Inexistenţa
procedurilor şi a modalităţilor de lucru presupune că:

Managementul deţine un control slab asupra activităţilor


desfăşurate;

Auditorulintern este privat de vitalul sistem de referinţă, la


care el se raportează în vederea evaluării diferenţelor şi
formularea recomandărilor şi a concluziilor.

242
5. Supervizarea

Supervizarea presupune însă:

Un act de asistenţă, ceea ce înseamnă ajutarea salariatului în realizarea


sarcinilor dificile, noi soluţionarea conflictelor şi identificare punctelor slabe şi
a punctelor tari;

Un act de verificare, în vederea evitării aplicării sau interpretării eronate a


unor proceduri;

Un act de evaluare, conform unei periodicităţi aleatorii, dar sigure, a ceea ce
se întâmplă, pentru a evita tentaţiile de naturi diferite şi pentru îmbunătăţirea
performanţelor în desfăşurarea activităţilor;

Un act de susţinere, prin care să le arătăm celorlalţi că greutăţile şi


performantele lor nu sunt ignorate şi avem în vedere posibilitatea valorificării
243
oricărei iniţiative valoroase de la toate nivelurile ierarhice.
Motive ale nerespectarii activitatilor de control intern

S-au stabilit patru tipuri de reactii la sistemele de control intern:


 Considerarea lor ca un joc – Controalele sunt considerate ca ceva ce trebuie
invins, nu ca un ajutor al tehnicilor de management.

 Sabotaj – Angajatii incearca sa avarieze sistemul de control, sa creeze confuzie si


sa stabileasca proiecte cu caracteristici complexe. Obiectivul este de a face sistemul
inoperabil, lipsindu-i credibilitatea si facandu-l nenecesar de complex.

 Informatii incorecte – Managerii manipuleaza informatiile pentru a se face pe ei


sau unitatile lor sa arate mai bine sau creaza date care sunt atat de false incat
controalele interne sunt inoperante.

 iluzia controlului i– managerii dau impresia ca sistemele de control intern sunt in


functiune. Sistemele sunt ignorate sau interpretate gresit. Rezultatele bune sunt
atribuite sistemului. Rezultatele slabe sunt atribuite circumstantelor neuzuale care
sunt in afara sistemului.
In plus, sunt identificate o serie de cauze mai simpliste ale esecului sistemului de
control:

 Apatia – Anagajatii operand in sistem nu au interes in functionarea lui si tind sa


devina nepasatori in a se asigura ca acesta functioneaza bine;
 Oboseala – Operarea sistemului poate induce oboseala iar simplificarile de
sistem nu sunt facilitate;
 Eludarea din partea executivului – Permisiunile de eludare ale controalelor
distrug credibilitatea nu numai asupa controalelor in cauza, cat si a intregului
sistem de control;
 Complexitatea – Sistemul de control este atat de complex incat este imposibil
de a se opera cu el;
 Comunicarea – Realizarea controlului nu a fost bine comunicata celor ce
opereaza cu el;
 Aspecte de eficienta – angajatii vad controalele ca impedimente asupra operarii
eficiente si in absenta informatiilor asupra valorii lor esentiale pentru binele
organizatiei, controalele sunt modificate sau eliminate.
III. Ierarhizarea activităţilor de control intern

Managementul de linie, sau, mai exact, managerii de compartimente,


realizează o listă a activităţilor de control, având ca punct de pornire baza
piramidei organizatorice şi mergând până la obiectivele situate în vârful acestei
piramide.

Din acest punct de vedere, putem împărţi activităţile de control astfel:

Activităţi de control care revin managementului general, cum ar fi:


obiectivele, resursele şi sistemele de informare;

Activităţi de control care interesează în mod deosebit managementul de


linie şi anume: organizarea, procedurile, supervizarea.

246
Concluzii:
 Între obiectivele şi misiune există o relaţie directă, obiectivele fiind stabilite
în funcţie de misiune care trebuie îndeplinită;

 Aceste obiective definite vor condiţiona ulterior definirea şi stabilirea


resurselor care trebuie implementate, asigurând o rigoare în identificare şi
cuantificarea acestora;

 Definirea resurselor va permite calcularea costului necesar implementării


acestora;

 Este necesar ca sistemul de informare să conţină elementele necesare


pentru monitorizarea obiectivelor;

 Resursele identificate vor fi implementate în cadrul organizării, iar


elementele inutile vor fi eliminate.

 Procedurile de lucru sunt avute în vedere împreună cu sistemele de


informare pentru activitatea de supervizare;

 Toate activităţile de control nu trebuie să facă abstracţie de constrângerile,


care rezultă din regulile care trebuie să fie respectate, mai exact
reglementările legislative şi politicile interne ale organizaţiei. 247
Implementarea efectivă a controlului intern

Identificarea activităţilor de control specifice funcţiei sau


activităţii presupune parcurgerea următoarelor etape:

(1) Divizarea funcţiei sau activităţii în subactivităţi elementare


pentru identificare zonelor de risc şi pentru a-şi construi
chestionarul de control intern (CCI).

Responsabilul activităţii respective va întocmi o listă cu


subactivităţile sale, într-un mod secvenţial, în măsura
posibilităţilor. Gradul de detaliere va rămâne la latitudinea
responsabilului, însă el trebuie să fie conştient de faptul că, cu cât
divizarea în sarcini elementare va fi mai adâncă, cu atât
activitatea de control implementată va fi mai riguroasă şi mai
eficace.

248
Vom considera astfel că avem de implementat activităţile de control pentru
activitatea: „Încasarea numerarului de la clienţi”. Divizarea în subactivităţi
a activităţii „Încasarea numerarului de la clienţi” cuprinde:

Întâmpinarea clientului şi comunicarea de către acesta a numărului de factură


pe care doreşte să o plătească, sau a numelui acestuia, în condiţiile existenţei
unui program informatic care să permită vizualizarea listei creanţelor aferente
fiecărui client în parte.

Comunicarea sumei de plată de către casier.

Încasarea şi numărarea banilor de către casier.

Validarea încasări de către casier.

Emiterea chitanţei.

Transmiterea de către client a chitanţei precum şi a restului de numerar


aferent.
Activitatea de încasare a numerarului de la clienţi a fost împărţită în şase
sarcini elementare, dar ele ar putea fi mai multe sau mai puţine, în funcţie de
gardul de rigurozitate dorit.
249
1. Pentru subiectivitatea „întâmpinarea clientului şi comunicarea de către
acesta a numărului de factură pe care doreşte să o plătească, sau a numelui
acestuia” identificăm următoarele riscuri:

Înscrierea eronată a datelor de identificare a clientului (înţelegerea greşită a


numelui) – G;

Înscrierea eronată a datelor de identificare a facturii care se plăteşte – G;

250
2. Pentru subactivitatea „Comunicarea sumei de plată de către
casier” apreciem existenţa următoarelor riscuri:

Insatisfacerea clientului prin comunicarea sumei eronate în


sensul că s-a comunicat în plus – M;

Minus în casă prin comunicarea sumei eronate în minus –G;

clientului prin comunicarea sumei eronate în sensul că s-a


comunicat în plus – M;

Minus în casă prin comunicarea sumei eronate în minus –G;

251
3. În ceea ce priveşte subactivitatea „Încasarea şi numărarea
banilor de către casier” stabilim următoarele riscuri:

Numărarea eronată a banilor încasaţi – G;

Numărul încasat nu este depozitat imediat în locurile protejate


cu măsuri de securitate, existând posibilitatea furtului lor de
către alţi salariaţi, clienţi – M;

252
4. La subactivitatea „Validarea încasării de către casier”,
identifică următoarele riscuri:
Validarea incorectă a încasării – G;
Lipsa procedurilor scrise privind validarea încasării – M;

5. Pentru subactivitatea „Emiterea chitanţei” apreciem existenţa


următoarelor riscuri:
Neasigurarea conformităţii cu legile în ceea ce priveşte
formularele cu regim special (în cazul nostru chitanţa) – G;
Lipsa procedurilor scrise de emitere a chitanţei – M;
Neactualizarea procedurilor conform cu noile modificări
legislative – G;

253
6. Referitor la subactivitatea „Transmiterea către client a
chitanţei precum şi a restului de numerar aferent”, stabilim
următoarele riscuri:

 Insatisfacerea clientului prin restituirea în minus a


numerarului aferent – M;

 Minus în casă prin restituirea în plus a numerarului aferent –


G

254
(3) Identificarea activităţilor de control presupune să căutăm
răspunsul la întrebarea: „Cum trebuie acţionat sau ce trebuie
implementat pentru ca riscurile identificate să nu se mai
manifeste?” Nu trebuie să facem abstracţie de caracterul relativ
al acestei proceduri, deoarece un risc nu putem să-l eliminăm
niciodată complet, ci doar să încercăm să-i reducem
probabilitatea de apariţie, şi aceasta datorită următoarelor motive:

 niciodată nu va putea fi eliminat definitiv riscul de control, mai


exact acel risc inerent aferent însăşi activităţii de control
implementate, care vrând-nevrând va avea imperfecţiuni. Acest
risc al controlului va creşte o dată cu modificările şi schimbările
din cadrul funcţiei sau activităţii la care se referă, dacă aceasta nu
va fi actualizată în mod constant;

 funcţia de audit intern din cadrul organizaţiei va avea şi ea o


contribuţie foarte importantă pentru updatarea şi îmbunătăţirea
continuă a sistemului de control al funcţiei sau activităţii, însă nu
255
putem să facem abstracţie de riscul de audit la care este expus
auditul intern.
1. Pentru subactivitatea „Întâmpinarea clientului şi
comunicarea de către acesta a numărului de factură pe care
doreşte să o plătească, sau a numelui acestuia”, pentru fiecare
risc în parte, identificăm următoarele activităţi de control:

Riscul nr.1: Înscrierea eronată a datelor de identificare a


clientului (înţelegerea greşită a numelui);
Activităţi de control:
Solicitarea pe lângă nume, a codului de client;
Emiterea unui bon cuprinzând elementele de identificare a
clientului;

Riscul nr.2: Înscrierea eronată a datelor de identificare a


facturii care se plăteşte;
Activităţi de control:
Confruntarea propriu-zisă a datelor de identificare a facturii cu
documentul suport material al acesteia; 256
2. Pentru subactivitatea „Comunicarea sumei de plată de către
casier”, având în vedere riscurile identificare, implementăm
următoarele activităţi de control:

Riscul nr.1: Insatisfacerea clientului prin comunicarea sumei


eronate în sensul că s-a comunicat în plus;
Activităţi de control:
Afişarea unui monitor pentru clienţi, pe care să fie înscrisă
suma de plată;

Riscul nr.2: Minus în casă prin comunicarea sumei eronate în


minus;
Activităţi de control:
Verificarea sumei comunicate cu suma precizată în factura
clientului;
257
3. În ceea ce priveşte subactivitatea „Încasarea şi numărarea
banilor de către casier”, pornind de la riscurile stabilite,
depistăm următoarele activităţi de control:
Riscul nr.1: Numărarea eronată a banilor încasaţi;
Activităţi de control:
Instalarea unei maşini de numărat banii;

Riscul nr.2: Numerarul încasat nu este depozitat imediat în


locurile protejate cu măsuri de securitate, existând posibilitatea
furtului lor de către alţi salariaţi, clienţi;
Activităţi de control:
Instalarea unor camere de luat vederi;
Măsuri de securitate permanente;
Controale inopinate la casierie;
258
4. La subactivitatea „Validarea încasării de către casier”, după
identificarea riscurilor aferente, activităţile de control adecvate
vor fi:

Riscul nr.1: Validarea incorectă a încasării;


Activităţi de control:
Emiterea bonului cu elementele de identificare;
Afişarea la vedere a unui telefon pentru reclamaţiile clienţilor;

Riscul nr.2: Lipsa procedurilor scrise privind validarea


încasării;
Activităţi de control:
Aprecierea procedurilor aplicate;
Analiza cauzei inexistenţei procedurilor;

259
5. Pentru subactivitatea „Emiterea chitanţei”, pornind de la riscurile
avute în vedere, implementăm următoarele activităţi de control:
Riscul nr.1: Neasigurarea conformităţii cu legile în ceea ce priveşte
formularele cu regim special;
Activităţi de control:
Verificarea periodică a formatului pentru a se asigura de
conformitatea cu legislaţia;
Afişarea obligativităţii clientului de a solicita şi păstra chitanţa;
Riscul nr.2: Lipsa procedurilor scrise de emitere a chitanţei;
Activităţi de control:
Aprecierea procedurilor aplicate;
Analiza cauzei inexistenţei procedurilor;
Riscul nr.3: Neactualizarea procedurilor conform cu noile modificări
legislative;
Activităţi de control:
Cunoaşterea modificărilor legislative;
Sondaje pentru a stabili până la ce nivel trebuie actualizate
procedurile;

260
6. Referitor la subactivitatea „Transmiterea către client a
chitanţei precum şi a restului de numerar aferent” luând în
considerare riscurile stabilite activităţile de control adecvate vor
fi:
Riscul nr.1: Insatisfacerea clientului prin restituirea în minus a
numerarului aferent;
Activităţi de control:
Afişarea unui monitor pentru clienţi, în care să se reflecte suma
datorată, suma încasată şi restul de primit;
Afişarea mesajului „Solicitaţi şi verificaţi restul”

Riscul nr.2: Minus în casă prin restituirea în plus a


numerarului aferent;
Activităţi de control:
Punerea la dispoziţia casierului a unei maşini de numărat
261
banii;
Ulterior grupării activităţilor de control intern specifice în cele
şase categorii de activităţi generale, vom proceda la aprecierea
coerenţei acestora, ocazie cu care vom putea face anumite
constatări cum ar fi:

Anumite activităţi de control specifice nu vor părea corelate cu


celelalte activităţi din ansamblul activităţilor de control, şi pentru
acestea va trebui să ne întoarcem la a doua etapă, aceea de
identificare a riscurilor, uneori fiind necesară chiar întoarcerea la
prima etapă;

Unele activităţi de control pot părea foarte simpliste, ceea ce ar


putea fi rezultatul omiterii unor elemente, sau dimpotrivă altele
pot să pară foarte greoaie, ceea ce ar putea fi un semnal că s-a
mers prea departe cu detalierea. ŞI în această situaţie se apreciază
că ar trebui să reluăm etapele în vederea obţinerii unei situaţii
rezonabile, având în vedere şi faptul că nu putem să obţinem o
situaţie ideală în domeniul controlului sau al riscurilor. 262
Datorită relativităţii care caracterizează controlul intern,
responsabilul sau managerul funcţiei sau activităţii, va
trebui să iniţieze o mişcare ciclică, prin care treptat să se
reuşească aproprierea de situaţia ideală, chiar dacă de atins
nu va fi atinsă niciodată.

Managerul va modifica şi actualiza analiza riscurilor şi


implicit a procedurii, în funcţie de modificările intervenite,
făcând actualizări, pentru ca prin intermediul acestora,
activităţile de control intern specifice funcţiei sau
activităţii, de care este responsabil să fie, în mod
permanent, adaptate. 263
Ulterior, auditorul intern va interveni, evaluând sistemul de
control intern al responsabilului, pentru a-l îmbunătăţi, a-i
identifica lipsurile şi pentru a da o asigurare cu caracter rezonabil,
asupra funcţionalităţii acestuia. Şi în această situaţie (a evaluării
sistemului de control intern de către auditorul intern), nu putem
face abstracţie de riscul de audit, care nu poate fi acoperit în
totalitate, având în vedere relativitatea controlului intern de care
menţionam mai sus. Dar în ciuda acestor riscuri, auditorii interni
au o contribuţie semnificativă la updatarea continuă a sistemului
de control intern, aceştia având ca şi suport în activitatea lor,
metodologia exactă şi riguroasă pe care o au la dispoziţie.

264
Auditorii interni se află în acea poziţie unică, care oferă un
suport deosebit de important în procesul de tranziţie al
organizaţiei de la ceea ce a fost, la implementarea unui
model de control intern viabil, eficient şi eficace, rezultatul
colaborării cu auditorii interni, de cele mai multe ori, este
caracterizat prin succes, indiferent de cum am hotărî
definirea, măsurarea şi comunicarea acestuia (Benson, J.,
2007).

265
Autoritatea de
audit

Risc şi control
intern

266
RISC ŞI CONTROL INTERN

De ce sunt auditorii interesaţi de controlul intern?

Trebuie să înţelegem controlul intern pentru a ne asigura că


managementul deţine controlul adecvat asupra tranzacţiilor
înregistrate în situaţiile financiare.
267
RISC ŞI CONTROL INTERN

Care este legătura dintre controlul intern şi riscuri?

Conducerea are tendinţa de a implementa controale în domenii în care


sunt detectate riscuri.

268
RISC ŞI AUDIT
Ce înţelegem prin riscuri de afaceri şi cum le identificăm?

Un risc de afaceri înseamnă “orice ar putea împiedica


îndeplinirea obiectivelor de afaceri ale clientului,
inclusiv obiective strategice, operaţionale, financiare şi
de conformitate."

269
RISC ŞI AUDIT
Cum identificăm riscurile de afaceri?

Identificarea riscurilor de afaceri are loc cu ajutorul echipei de


conducere a clientului. Echipa de angajament se va întâlni cu cea de
conducere pentru a cunoaşte modul în care afacerea este văzută din
perspectiva managementului şi pentru a identifica obiectivele de afaceri
ale acestuia şi riscurile aferente.

Este important de menţionat că, în ciuda discuţiilor avute cu conducerea,


trebuie să se ajungă la o concluzie independentă privind riscurile de
afaceri.

270
DEFINITII

Riscul afacerii Controlul intern


Procesul conceput, implementat si
Un risc rezultat in urma
conditiilor, evenimentelor, mentinut de catre persoanele
circumstantelor, actiunilor sau insarcinate cu guvernanta,
inactiunilor semnificative care ar Control conducere si alte categorii de
putea afecta negativ capacitatea personal cu scopul de a furniza o
unei entitati de a isi indeplini asigurare rezonabila privind
obiectivele si de a isi executa indeplinirea obiectivelor unei entitati
strategiile, sau in urma stabilirii cu privire la credibilitatea raportarii
unor obiective si strategii financiare, eficienta si eficacitatea
neadecvate. operatiunilor, si conformitatea cu
Entitate legile si reglementarile aplicabile.

Auditor
Proceduri de evaluare a riscului
Procedurile de audit efectuate
pentru a obtine o intelegere a
entitatii si a mediului sau, inclusiv
a controlului intern al entitatii,
pentru a identifica si evalua
riscurile de denaturare
semnificativa, in masura in care
se datoreaza fraudei sau erorii, la
nivelul situatiilor financiare si al
afirmatiilor .

Risc semnificativ
Un risc de denaturare semnificativa
identificat si evaluat care, potrivit
rationamentului auditorului, prevede
o atentie speciala de audit.
INTELEGEREA ENTITATII SI A MEDIULUI SAU, INCLUSIV A CONTROLULUI INTERN
Procesul de evaluare a riscului entitatii - Auditorul trebuie sa obtina intelegerea masurii in care
entitatea dispune de un proces pentru:
a. Identificarea riscurilor afacerii relevante pentru obiectivele de raportare financiara;
b. Estimarea semnificatiei riscurilor;
c. Evaluarea probabilitatii aparitiei acestora;
d. Decizia cu privire la actiunile de abordare a acestor riscuri (Daca acel proces este adecvat
circumstantelor, inclusiv naturii, marimii si complexitatii entitatii, aceasta il va asista pe auditor in
identificarea riscurilor de denaturare semnificativa).

Sistemul informational, inclusiv procesele de activitate aferente, relevante pentru raportarea


financiara -Auditorul trebuie sa obtina o intelegere a sistemului informational prin urmarirea
urmatoarelor aspecte:
a. Clasele de tranzactii din operatiunile entitatii care sunt semnificative pentru situatiile financiare;
b. Procedurile, atat din cadrul sistemelor de tehnologie a informatiei (IT), cat si din sistemele manuale;
c. Inregistrarile contabile aferente, informatiile justificative si conturile specifice din situatiile financiare
care sunt utilizate pentru a initia, inregistra, procesa si raporta tranzactiile;
d. Modul in care sistemul informational capteaza evenimentele si conditiile, altele decat tranzactiile,
care sunt semnificative pentru situatiile financiare;
e. Procesul de raportare financiara utilizat pentru intocmirea situatiilor financiare ale entitatii, inclusiv a
estimarilor contabile si prezentarilor semnificative;
f. Controalele aferente intrarilor din registru, inclusiv intrarilor non-standard, folosite la
inregistrarea tranzactiilor si ajustarilor nerecurente, neobisnuite.
IDENTIFICAREA SI EVALUAREA RISCURILOR DE DENATURARE SEMNIFICATIVA

Riscuri care impun o atentie speciala pentru audit (exemplu):

Auditorul trebuie sa determine masura in care oricare dintre riscurile identificate,


reprezinta, potrivit rationamentului sau, riscuri semnificative.

In exercitarea rationamentului prin care unele riscuri sunt considerate riscuri semnificative,
auditorul trebuie sa ia in considerare cel putin urmatoarele:
a. Masura in care riscul este un risc de frauda;
b. Masura in care riscul este legat de aspecte recente semnificative economice,
contabile sau de alta natura;
c. Complexitatea tranzactiilor;
d. Masura in care riscul implica tranzactii semnificative cu partile afiliate;
e. Gradul de subiectivitate in evaluarea informatiilor financiare aferente riscului, in
special acele evaluari care implica o gama larga de incertitudini de evaluare; si
f. Masura in care riscul implica tranzactii semnificative care sunt in afara activitatii
normale a entitatii, sau care par a fi neobisnuite, din alte privinte.

Daca auditorul a determinat ca exista un risc semnificativ, el trebuie sa obtina o intelegere a


controalelor entitatii, inclusiv a activitatilor de control, relevante pentru acel risc.
Risc şi audit

• Vă amintiţi ce înseamnă Riscul de Audit?

Riscul de audit înseamnă riscul de a emite o opinie


necorespunzătoare cu privire la obiectul auditat.

În practică, riscul de audit este inevitabil deoarece nu putem obţine


garanţii absolute că vor fi detectate toate erorile semnificative în urma
examinării în proporţie de 100% a tranzacţiilor înregistrate (şi, chiar şi
atunci, există riscul de tranzacţii neînregistrate).

274
Risc şi audit

• Ştiţi care sunt componentele Riscului de Audit?

• Riscul inerent: susceptibilitatea ca un sold sau o clasă de tranzacţii să


fie prezentate eronat în mod semnificativ, presupunând că nu există
controale interne.
• Riscul de control: riscul ca o eroare semnificativă ce poate apărea
într-un sold de conturi sau într-un ciclu să nu fie evitată sau detectată şi
corectată la momentul oportun de către controalele interne ale
clientului.
• Riscul de nedetectare: riscul ca procedurile auditorilor să nu
detecteze eroarea semnificativă care afectează situaţiile financiare.

275
Risc şi audit

• Cum administrăm riscul de audit?

Riscul de audit poate fi administrat în funcţie de natura, aria de


cuprindere şi calendarul lucrărilor de audit.

Totuşi, auditul trebuie întotdeauna planificat şi desfăşurat astfel încât


riscul de audit să fie limitat la un nivel redus acceptabil, care, pe baza
raţionamentului nostru profesional, să fie adecvat emiterii unei opinii
asupra administrării riscurilor.

276
Risc şi audit

• Atunci, cu ce este un risc cheie diferit de un risc de audit?

Riscul cheie este tot un risc de audit, dar în opinia noastră


ca auditori, un risc cheie determină un risc mai mare de
erori financiare semnificative sau de alte aspecte având
ca rezultat emiterea unei opinii de audit necorespunzătoare.

277
Risc şi audit

• Care este legătura dintre toate aceste tipuri diferite de


risc? Riscurile de audit sunt riscuri
de afaceri pentru clienţii
noştri. Persoanele fizice
responsabile cu guvernanţa
Risc unei entităţi sau acele
cheie
persoane cu funcţii de
conducere trebuie să fie
Riscuri de audit
Risc conştiente şi să aibă un
cheie răspuns la riscurile de afaceri
Risc
cheie pe care noi le considerăm
riscuri de audit.
Notă – nu toate riscurile de
afaceri sunt riscuri de audit.
Riscuri de afaceri
278
Autoritatea de audit
RISCURI DE AFACERI VS.
RISCURI DE AUDIT

Test

279
Risc şi audit
Obiectivul conducerii: menţinerea unei relaţii bune cu cei 4 clienţi
principali (reprezentând 70% din veniturile anuale).

• Referitor la obiectivul menţionat mai sus, care ar fi riscurile identificate


de către conducere?

•Care din aceste riscuri de afaceri ar rezulta în risc de audit?

•Care dintre aceste riscuri de audit sunt riscuri cheie? În alte cuvinte,
care dintre acestea, în opinia d-voastră ca auditor, determină un risc mai
mare de eroare financiară semnificativă sau de alte aspecte care conduc
la emiterea unei opinii de audit necorespunzătoare?

•Care sunt procedurile pe care conducerea ar putea să le implementeze


pentru a diminua riscurile identificate?
280
Risc şi audit

• Matricea riscurilor şi de abordare a acestora (Audit Comfort Matrix)


poate crea legături între cele prezentate anterior ca parte a
procesului de audit.

Obiective de Risc de afaceri Riscuri Comentariile Raportare Abordare de


afaceri cheie conducerii/ financiară şi audit
Controale aserţiuni
menţinerea unei Pierderea unuia Riscul ca Se urmăreşte
relaţii bune cu sau a mai toate extinderea bazei
cei 4 clienţi multor clienţi activele şi de clienţi pentru a
principali poate cauza pasivele să reduce
(reprezentând probleme de fie dependenţa de cei
70% din lichiditate, denaturate 4 clienţi
veniturile continuitatea Monitorizarea
anuale) activităţii şi, în atentă a
ultimă instanţă, recuperabilităţii
faliment creanţelor şi a
vânzărilor

281
Risc şi audit

• Nu trebuie înregistrate în această matrice alte riscuri de audit (de ex.


riscul ca anumite creanţe să nu existe, situaţie în care acest risc nu
este un risc cheie).

Rezumatul asigurării de audit permite ca astfel de riscuri să fie


abordate corect prin indicarea modului în care s-a obţinut asigurare
pentru fiecare aserţiune privind situaţiile financiare.

• În consecinţă, doar riscurile cheie sunt documentate în matrice,


celelalte riscuri fiind documentate în formularul “Sumarul de asigurare
de audit”.

282
• Care este legătura dintre cadrul de control intern şi
Ciclul de Asigurare de audit şi Matricea riscurilor?

• Componentele cadrului de control intern ne ajută să înţelegem modul


în care conducerea controlează afacerea, analizând operaţiunile de
afaceri din perspectiva conducerii.

• Ne aflăm în etapa de stabilire a ariei de aplicabilitate a ciclului de


obţinere de asigurări de audit (Audit Comfort Cycle) şi de abordare a
întrebărilor suplimentare care decurg din “În legătură cu ce trebuie
să obţină conducerea asigurări?”

283
• Evaluarea riscurilor este un proces dinamic şi continuu de
colectare, actualizare şi analizare a informaţiilor pe
parcursul auditului.

• Doar procedurile de evaluare a riscurilor nu oferă probe


suficiente de audit corespunzătoare pe care să se bazeze opinia de
audit.

Pentru a putea exprima o opinie, procedurile de evaluare a


riscurilor trebuie suplimentate cu proceduri ulterioare de audit sub
formă de teste de controale, acolo unde este necesar, şi proceduri de
fond (ISA 500.20), (ISA 315.6), (ISA 315.101).

284
PSIHOLOGIA PERSONAJULUI PREDISPUS LA FRAUDĂ

Realizarea fraudei depinde în principal de următorii patru factori:

iniţiativa sau existenţa unei motivaţii solide;

oportunitatea sau conjunctura favorabilă;

autoconvingerea că merită riscul;

capabilitatea de a duce la bun sfârşit acest fapt.


În funcţie de autorii ei, distingem[1]:

 frauda la nivelul conducerii, comisă de una sau mai multe


persoane din conducere sau dintre cei însărcinaţi cu guvernanţa;

 frauda comisă de angajaţi, în cazul în care persoanele implicate se


află în raport de muncă cu entitatea.

[1] Gary G. Johnson, Charryl L. Rudesill, Articol-”Investigaţie în prevenirea şi detectarea fraudei din
întreprinderile mici din Statele Unite: responsabilităţile de Conturi, manageri şi proprietarii de
afaceri”, 1997.
Frauda comisă de către conducere care se sustrage controalelor
presupune utilizarea unor tehnici precum:

înregistrarea unor intrări fictive în registrul contabil, în special către


sfârşitul exerciţiului, pentru a manipula rezultatele din exploatare sau
pentru a atinge alte obiective;

modificarea necorespunzătoare a prezumţiilor şi schimbarea


raţionamentelor utilizate pentru estimarea soldurilor conturilor;

omiterea, avansarea sau întârzierea recunoaşterii în situaţiile


financiare a evenimentelor şi tranzacţiilor care au avut loc în timpul
perioadei de raportare;

ascunderea sau neprezentarea unor fapte care ar putea afecta


valorile înregistrate în documente;

angajarea în tranzacţii complexe care sunt structurate astfel încat


să prezinte eronat poziţia sau performanţa entităţii;
Capacitatea auditorului de a detecta o fraudă depinde în
principal de factorii[1]:

priceperea celui care comite frauda;

frecvenţa şi amploarea manipulării;

gradul de complicitate implicat;

marimea relativă a valorilor individuale delapidate;

funcţia persoanelor implicate.

[1]Marcel Ghiţă, Mihai Sprânceană,” Auditul intern în sistemul public“, Editura Tribuna
Economică, Bucureşti, 2006, pag. 34.
Profesionistul în audit nu poate obţine asigurarea absolută că
prezentările eronate semnificative din situaţiile firmei vor fi detectate, din
cauza unor factori, cum ar fi:

utilizarea raţionamentului profesional (care are în ultima instanţă un


caracter inerent subiectiv);

utilizarea testărilor şi limitările inerente ale controlului intern;

o bună parte din probele de audit disponibile auditorului sunt prin natura
lor, mai degrabă convingătoare decât concludente.
Cunoscând entitatea şi mediul său, auditorul poate identifica evenimente
sau condiţii care exprimă premise necesare pentru comiterea fraudei.
Astfel de evenimente sau condiţii denumite generic "factori de risc de
fraudă"sunt:

necesitatea de a îndeplini aşteptările unor terţe părţi pentru a obţine un


aport de capital suplimentar;

acordarea unor bonusuri semnificative în condiţiile îndeplinirii unor ţinte


de profit nerealiste sau a altor parametri greu de realizat;

existenţa unui mediu de control ineficient;

apariţiape acelaşi segment de piaţă cu entitatea a unui concurent de


performanţă.

promovarea unei atitudini de indiferenţă sau uneori chiar de încurajare a


fraudei de către conducerea întreprinderii.
KPMG, una dintre cele cinci mari firme de audit (grupul Big
Five) și-a îndreptat în mod deosebit atenția asupra fraudei,
realizând începând din anul 1993, studii bienale, prin care
și-a propus abordarea evenimentelor de fraudă din cadrul
organizațiilor din Australia. Ulterior, aceste studii au fost
extinse asupra organizațiilor din Noua Zeelandă.

Studiul realizat de KPMG în anul 2006 (KPMG, 2006)


releva, printre altele, un aspect foarte semnificativ și
îngrijorător, în același timp, și anume faptul că numărul
total al incidentelor de fraudă raportate în anul 2006, au
crescut cu 50% faţă de numărul incidentelor raportate în
anul 2004, conform studiului KPMG din 2004 (KPMG,
2004).

291
Fraudele pot fi făcute fie în beneficiul organizației, fie în detrimentul
acesteia (Boța-Avram, C., 2006).

Exemple de fraude în beneficiul organizației:

Eliminarea sau omiterea efectelor unor tranzacții din înregistrări sau


documente sau înregistrarea de tranzacții fictive, în vederea
„cosmetizării” situațiilor financiare;

Aplicarea eronată, în mod intenționat, a politicilor contabile în vederea


prezentării unor situații financiare care să includă în eroare utilizatorii
acestora.

Fraude fiscale în scopul sustragerii de la plata impozitelor și taxelor


datorate;

Practicarea unor activități interzise prin reglementări legale, statute


sau contracte.
292
Exemple de fraude în detrimentul organizației:

 Acceptarea a diverse forme de mită;

 Deturnarea unor active sau furtul acestora;

 Alocarea necorespunzătoare a unor active, ceea ce poate duce la


înrăutățirea situației financiare a organizației, având consecințe
directe asupra continuității activității acesteia;

 Manipularea sau modificarea înregistrărilor sau documentelor


(falsificarea acestora în vederea denaturării sau ascunderii
adevărului);

 Diversiunea unor tranzacții cu potențial profit către un angajat sau


alte terțe persoane din afara organizației, tranzacții care în mod
normal ar genera profituri pentru organizație.
293
Cum este detectată frauda?
Graficul nr.1

Detectarea fraudelor

non-raspunsuri 1%

auditul extern 1%

scrisori anonime 3%

auditul intern 7%

altele 8%

notificari din parte unor terte persoane externe 15%

notificari din partea angajatilor 28%

controale interne 38%

Sursa: KPMG, 2006

294
Relevante, sunt concluziile rezultate în urma studiului realizat de către
Oversight Systems (un grup de profesioniști americani, fondat pentru a
asigura încrederea în integritatea și acuratețea raportărilor financiare)
în anul 2007.

Astfel, raportul Oversighit Systems din 2007 evidențiază că principalul


motiv pentru evenimentele de fraudă este „presiunea de a face orice
este necesar, pentru atingerea obiectivelor” (81% dintre
respondenții la studiu), iar 72% „au urmărit interese personale”.
Interesant este faptul că, o parte semnificativă a respondenților (40%)
consideră că „ei nu apreciază acțiunile lor ca fiind frauduloase”.

295