Capit 2 Curs AF Master

2.
Estimarea riscului de prezentare eronată semnificativă

prin înțelegerea sistemului de control intern
O înţelegere a controlului intern, în special a elementelor legate de fiabilitatea raportării

financiare, este importantă pentru atingerea obiectivelor urmărite de auditorii financiari. Până la
prezentarea evaluării propriu-zise a sistemului de control intern, considerăm necesară reliefarea
succintă a ceea ce reprezintă acest ansamblu complex pentru o organizaţie.
2.1 Conceptul de control intern
După cum rezultă din literatura de specialitate, controlul intern este format din abordări,
politici şi proceduri create pentru a oferi managementului o asigurare rezonabilă că entitatea îşi
atinge obiectivele prestabilite, inclusiv respectarea legislaţiei. Aceste elemente sunt deseori numite
mecanisme de control şi formează laolaltă controlul intern al entității/organizaţiei. Reiese faptul că
acest ansamblu este conceput şi implementat pentru a stăpâni riscurile de afaceri identificate, cele ce
impietează asupra realizării oricăruia dintre obiectivele vizate.
Din punctul de vedere al legislaţiei naţionale, controlul intern cuprinde:
- ansamblul formelor, criteriilor, normelor şi metodelor privind organizarea internă, mergând
până la starea de spirit;
- ansamblul procedurilor interne, dintre care putem exemplifica: procedura achiziţiilor,
procedura de efectuare a recepţiilor, procedura de urmărire şi recuperare a creanţelor, procedura de
elaborare a situaţiilor financiare etc., inclusiv - controlul financiar preventiv;
- alte forme/componente de control intern, fără ca legea să precizeze care sunt acestea. În
funcţie de mărimea, specificul şi politica organizaţiei se pot regăsi diverse forme: separarea
sarcinilor pentru evitarea incompatibilităţilor, formarea şi competenţa profesională, controlul tehnic
şi de calitate al produselor şi serviciilor realizate, controlul şi verificările contabile, controlul
financiar de gestiune, controlul IT, controlul protecţiei muncii, controlul comercial, controlul sanitar
şi multe altele;
- auditul intern, nu în ultimul rând.
Potrivit (viziunii contabile) ISA, CI reprezintă procesul ! conceput, implementat si menținut
de către persoanele însărcinate cu guvernanta, conducerea si alte categorii de personal cu scopul de a
furniza o asigurare rezonabilă privind îndeplinirea obiectivelor unei entități referitoare la
credibilitatea raportării financiare, eficienta si eficacitatea operațiunilor, si conformitatea cu legile si
reglementările aplicabile.
Într-o viziune proprie, am defini controlul intern ca fiind ansamblul elementelor ce oferă
organizaţiei o anumită rigurozitate şi, pe această bază, furnizează un nivel de asigurare
responsabilului că activitatea din subordinea sa se desfăşoară în cadrul parametrilor aşteptaţi/vizați.
Controlul intern are drept scop realizarea la un nivel corespunzător a obiectivelor
entităţilor, inclusiv dezvoltarea şi întreţinerea unor sisteme adecvate de colectare, stocare,
prelucrare, actualizare şi difuzare a datelor şi informaţiilor financiare.
Astfel, din ansamblul controlului intern, pe auditorul financiar îl preocupă în special o
anumită parte, respectiv, elementele şi procesele concepute şi efectuate de cei însărcinaţi cu
guvernanţa, de conducere şi alţi angajaţi în vederea furnizării unei asigurări rezonabile despre
realizarea obiectivelor cu privire la credibilitatea raportării financiare, eficienţa activităţii şi
conformitatea cu legislaţia aplicabilă.
Mecanismele de control aplicate în cadrul unei organizaţii sunt destinate să încurajeze
utilizarea eficace și eficientă a resurselor acesteia, inclusiv a resurselor umane, cu scopul de a
optimiza realizările întreprinderii. O parte importantă a rezultatelor acestor mecanisme de control o
41
reprezintă informaţiile corecte destinate procesului decizional intern, precum şi cele transmise
terţilor prin intermediul situaţiilor financiare.
O altă preocupare importantă a sistemului de control intern este protejarea activelor şi a
evidenţelor contabile ale companiei. Activele corporale ale unei companii pot fi furate, deturnate sau
distruse accidental, dacă nu sunt protejate prin mecanisme de control adecvate. Acelaşi lucru este
valabil şi pentru activele necorporale, cum ar fi: tehnologiile de fabricare, creanţele-clienţi,
documentele importante (contractele sunt confidenţiale) şi evidenţele contabile (cartea mare şi
jurnalele). Protejarea anumitor active şi documente a devenit din ce în ce mai importantă o dată cu
generalizarea sistemelor informatice. Cantităţile mari de informaţii stocate pe suporturi electronice pot
fi pierdute sau virusate dacă nu se iau măsuri pentru protejarea lor. Protecţia evidenţelor contabile
afectează, de asemenea, fiabilitatea raportării financiare. Ca să nu mai spunem despre
confidenţialitatea unor informaţii, care se constituie în "suportul afacerii" derulate de orice
întreprindere.
Totodată, sistemul de control intern are ca obiectiv respectarea legilor şi reglementărilor
aplicabile. Organizaţiile trebuie să respecte numeroase legi şi reglementări. Majoritatea acestor acte
normative sunt doar parţial legate de contabilitate.
Aşadar, controlul intern se extinde dincolo de acele aspecte care privesc direct sistemul
financiar-contabil al entităţii, cuprinzând o mare parte a managementului şi situându-se în prima
linie de apărare a resurselor împotriva eventualelor pierderi şi, de ce nu, în avanposturile dezvoltării
şi consolidării companiei.
Controlul intern are următoarele caracteristici:
Reprezintă o continuă integrare, încorporare în componenţa operaţiunilor. Controlul intern
nu este un eveniment foarte clar delimitat, ci constă într-un ansamblu de mijloace şi procese, într-o
serie de acţiuni sau activităţi care se derulează simultan cu operaţiunile organizaţiei şi în mod
neîntrerupt. El trebuie să funcţioneze ca parte integrantă a fiecărui sistem pe care managementul îl
foloseşte pentru reglementarea şi coordonarea operaţiunilor iniţiate şi desfăşurate, însă, fără a
exista şi funcţiona neapărat ca un departament distinct în cadrul entităţii. În acest
sens, controlul intern se realizează şi ca parte a structurii şi relaționării entităţii ce ajută managerii să
conducă entitatea, astfel încât să se realizeze obiectivele programate. Din această perspectivă, am
putea spune că controlul intern reprezintă mai degrabă o anumită stare, preferabil una de rigoare.
Responsabilitatea pentru un bun control intern revine managementului, care-l concepe și îi
stabileşte obiectivele, îi pune în aplicare mecanismele, îl monitorizează, evaluează și retușează. Pe
lângă mijloacele tehnice şi financiare disponibile, controlul intern este unul dintre cele mai
importante instrumente (și în același timp funcție – obligație, sarcină sau preocupare) aflat la
dispoziţie şi creat de conducere în vederea îndeplinirii obiectivelor organizaţiei.
Asigurarea rezonabilă. O companie ar trebui să definească elementele de control intern care
să ofere o asigurare rezonabilă, nu una absolută,33 că rezultatele obţinute sunt cele mai bune posibil,
în condiţiile date, implicit că situaţiile financiare prezintă o imagine fidelă. Mecanismele de control
intern sunt concepute de metodologi după analiza atât a eforturilor, cât şi a beneficiilor generate de
punerea lor în aplicare. Deseori, managementul nu este dispus să introducă un sistem care tinde să
ajungă extrem de riguros, deoarece costurile acestuia ar putea fi prea mari şi în special pierderile
colaterale.
De exemplu, o societate comercială, cu 7 salariaţi şi multe spaţii comerciale, are ca principal obiect de activitate
acordarea de locaţii terţilor pentru vânzarea în cadrul acestora a diverselor mărfuri. În contractele de acordare a
spaţiilor exista următoarea prevedere: terţul datora locatorului 3℅ din cifra de afaceri realizată în incinta închiriată,
dar nu mai puţin de 1000 euro/lună.
Economistul firmei s-a sesizat de faptul că toţi cei 60 de clienţi datorau în fapt, lună de lună, 1000 de euro,
întrucât cifra de afaceri declarată era mult prea mică pentru a se trece la calculul tarifului pe baza procentului de 3℅
din veniturile realizate. În plus, din cauza chiriei mult prea mari comparabil cu puterea de suportare a unor firme,
gradul de ocupare a spaţiilor era de numai 70 – 75%.
33
Aceasta nu înseamnă că dacă se identifică un mecanism de control intern ce oferă o garanție absolută (oferă
garanția…), el nu trebuie implementat; dimpotrivă, doar că se au în vedere și costurile necesare implementării și
funcționării…flexibilitatea și adaptabilitatea etc.
42
Acelaşi economist sau, dacă vreţi, elemente ale sistemului de control intern s-au gândit, rând pe rând, la
următoarele mecanisme de optimizare a activităţii:
- pentru urmărirea vânzărilor realizate, să solicite clienţilor copiile rapoartelor emise de casele de marcat, dar
acestea erau corespunzătoare cifrei de afaceri declarate pentru locaţiile respective;
- să plaseze câte un salariat propriu în fiecare locaţie oferită clienţilor, care să contorizeze vânzările realizate.
Procedura s-a dovedit mult prea costisitoare, eforturile, cu cei 60 de salariaţi suplimentari împreună cu amortismentul
activelor, depăşeau cu mult potenţialele venituri;
- să plaseze la ieşirea din incinta comercială personal care să contorizeze pe baza bonurilor fiscale vânzările
realizate de fiecare partener de afaceri. Sistemul risca să producă, din punct de vedere fizic, o strangulare a circuitului
comercial, sau, din punct de vedere psihologic, să afecteze fondul comercial de care beneficiază spaţiile respective.
Concluzia a fost că nici acest mecanism de control intern nu era tocmai adecvat;
- să instaleze camere de luat vederi pentru fiecare locaţie. Măsura nu asigura, din punct de vedere tehnic,
contorizarea adecvată a vânzărilor realizate de partenerii de afaceri şi, în plus, era mult prea costisitoare...
În cele din urmă, s-a ajuns la un alt sistem de tarifare utilizat de societatea comercială în relaţia cu clienţii săi.
S-au stabilit tarife - chirii exclusiv în sume absolute şi diferenţiate în funcţie de natura mărfurilor comercializate şi
poziţionarea acestora în cadrul incintei pentru:
- produsele alimentare 20 euro/lună/mp;
- produsele cosmetice şi de telefonie mobilă 50 euro/lună/mp;
- confecţii, tricotaje şi alte produse de îmbrăcăminte 40 euro/lună/mp în sezon şi 10 euro/lună/mp în extrasezon;
- cafea, ţigări şi băuturi alcoolice 60 euro/lună/mp etc.
Astfel, contorizarea vânzărilor partenerilor nu mai prezintă interes, societatea comercială realizând o majorare
a încasărilor cu 40℅ şi un procent cuprins între 95 şi 100℅ în ceea ce priveşte ocuparea locaţiilor.
Rezultă, din această ilustrare, că o componentă a controlului intern a identificat cel puţin două riscuri, pe care
le-a diminuat prin recomandarea de schimbare a contractelor utilizate în relaţiile cu clienţii. Cu alte cuvinte, s-a creat
un mecanism de control (un nou mod de a lucra/tarifa), care oferă o asigurare rezonabilă (asigurarea absolută devine
pe alocuri absurdă) că obiectivele companiei sunt mai bine realizate.
Restricţiile inerente. Mecanismele de control intern nu ar putea fi niciodată considerate
perfect eficace, indiferent de rigurozitatea proiectării şi aplicării lor. De pildă, chiar dacă s-ar putea
concepe un sistem ideal, eficacitatea lui va depinde de competenţa şi profesionalismul persoanelor
care îl vor utiliza. Să presupunem că procedura de acordare a vizei de control financiar preventiv
este riguros proiectată şi necesită existenţa a doi salariaţi care să acorde în fapt viza. Dacă una dintre
aceste persoane are o atitudine "mai înţelegătoare" decât cealaltă sau ambele persoane sunt
neglijente în exercitarea mandatului, atunci rezultatele verificărilor financiare preventive vor fi
probabil greşite. Chiar şi în cazul în care cei doi salariaţi s-ar strădui să fie corecţi, managementul ar
putea încălca rigorile şi "ordona" acestora să acorde viza de control financiar preventiv pentru
operaţiuni mai puţin legale sau performante. În plus, verificarea preventivă exercitându-se înaintea
derulării operaţiilor economice, riscă inerent să mai şi greşească, întrucât se bazează pe multe
estimări şi presupuneri.
Similar, controlul intern, indiferent de modul în care este conceput şi operează, poate oferi
entităţii doar o asigurare rezonabilă despre îndeplinirea obiectivelor de raportare financiară ale
entităţii. Probabilitatea de realizare este afectată de diverse elemente. Acestea includ realitatea
faptului că judecata umană în luarea deciziilor poate fi defectuoasă şi că în controlul intern pot
apărea lacune din cauza erorii umane, cum sunt greşelile sau erorile simple. Spre ilustrare, dacă
personalul din sistemul de informaţional al unei entităţi nu înţelege pe deplin modul în care sistemul
de înregistrare a comenzilor procesează vânzările, el poate concepe în mod eronat schimbările ce
sunt necesare sistemului pentru a procesa vânzările pentru o nouă linie de produse. Pe de altă parte,
astfel de schimbări pot fi concepute impecabil, dar înţelese greşit de cei care convertesc concepţia
într-un program/soft. Altfel spus, relaționarea dintre diverse categorii profesionale: - economiști, IT-
iști, juriști, tehnicieni și vânzători etc. – mai are și unele scăpări…
Erorile pot, de asemenea, să apară la utilizarea informaţiilor produse de IT. De exemplu,
controalele automatizate pot fi concepute să raporteze tranzacţiile peste o anumită valoare
specificată în vederea analizării lor de către conducere, dar cei responsabili cu desfăşurarea analizei
s-ar putea să nu înţeleagă scopul unor astfel de rapoarte şi în consecinţă să nu le examineze sau să nu
investigheze elementele neobişnuite, implicit să nu ajungă nu ajungă cu rațiunea la cauzele acestora.
În plus, controalele pot fi eludate prin asocierea a două sau mai multor persoane în acest scop
sau prin ignorarea controlului intern de către conducere în mod inadecvat. De pildă, conducerea poate
încheia contracte colaterale cu clienţii care modifică termenii şi condiţiile contractelor standard de
43
vânzare ale entităţii, ceea ce poate da naştere la o recunoaştere improprie a veniturilor. De asemenea,
verificările de editare dintr-un soft care sunt concepute să identifice şi raporteze tranzacţiile care
depăşesc anumite limite de credit specificate ar putea fi ignorate sau deselectate.
Entităţile mai mici deseori au mai puţini angajaţi ceea ce poate limita măsura în care este
posibilă segregarea sarcinilor. Totuşi, pentru domeniile cheie chiar şi într-o entitate foarte mică s-ar
putea să fie posibilă implementarea unui anumit grad de segregare a sarcinilor sau altă formă de
control simplă dar eficientă. Posibilitatea de eludare a controalelor de către proprietarul-
administrator depinde în mare măsură de mediul de control şi în special de atitudinea proprietarului-
manager faţă de importanţa controlului intern.
2.2 Elementele sistemului de control intern
Există multe puncte de vedre justificate şi profunde privind componentele controlului intern ale
unei organizaţii. Şi mai este în continuare loc pentru dezbateri şi clarificări, dar suntem nevoiţi să
fim rezumativi. Astfel, controlul intern cuprinde cinci categorii de elemente: mediul controlului,
gestionarea riscurilor, activităţile de control, informarea şi comunicarea, precum şi supervizarea.
Fiecare dintre categorii conţine numeroase mecanisme de control. Auditorul financiar este interesat
în principal de cele definite în scopul detectării prezentărilor eronate semnificative din situaţiile
financiare, de sistemul de apărare împotriva riscului inerent semnificativ de prezentare eronată.
2.2.1 Mediul controlului sau starea de spirit a organizaţiei
Dintre elementele sistemului de control intern se detaşează ca o adevărată cupolă mediul

controlului, care întreţine şi protejează, constrânge şi susţine, determină celelalte componente.
Fără un mediul de control eficient, este puţin probabil ca celelalte patru componente să conducă la
un control intern eficace, indiferent de calitatea lor.
Esenţa unei organizaţii eficient controlate este atitudinea managementului acesteia. Dacă
managementul de vârf consideră că sistemul de control intern este important, ceilalţi angajaţi vor
simţi acest lucru şi vor reacţiona prin respectarea conştiincioasă a elementelor de control definite. Pe
de altă parte, dacă pentru salariaţii unităţii este evident că sistemul de control intern nu este o
problemă importantă pentru managementul de vârf şi că în acest domeniu mai mult se vorbeşte decât
se face, este aproape sigur că obiectivele de control ale conducerii nu vor fi urmărite cu eficacitate.
Dacă-i ascultăm pe contabili, mai tehniciști, mediul controlului este format din acţiunile,
politicile şi procedurile care reflectă atitudinile de ansamblu ale managementului, ale membrilor
consiliului de administraţie şi ale proprietarilor entităţii faţă de controlul intern şi importanţa lui
pentru entitate. Dar, dacă aducem în atenție și cultura organizațională, putem spune că reprezintă
aproximativ același concept sau mai degrabă cele două elemente/concepte induc aceeași stare…
Astfel au apărut două concepte, aparent/relativ diferite, pentru același conținut (aceeași stare), pentru
simplul motiv că provin din curente/teorii diferite:
- teoria contabilă (IASB) susține conceptul mediului de control intern, în timp ce
- teoria și practica managementului susțin conceptul de cultură organizațională…
Drept circumstanță atenuantă poate fi invocat faptul că în mare parte atributul de control al
managementului pe linie financiară este delegat contabililor și de aici s-ar fi putut naște demonii…
Totuși, este clar că în această mixtură există multe elemente comune ale celor două viziuni, chiar
dacă exprimate cu cuvinte diferite; cultura organizațională și mediul de control intern reprezintă:
- ambele sunt de fapt ceea ce fac oamenii (implicații) fără să li se spună în mod explicit
- ele reprezintă simbioza dintre idealuri, filozofie și abordări ale grupurilor / entităților, și în
primul rând ale liderilor; cu alte cuvinte, ceea ce-i mână pe ei în luptă, pe membrii entității…
Mai nou, viziunea contabilă a fost nuanțată, așa că mediul de control constă în inducția
realizată de funcțiile de guvernare și gestionare, de atitudinile, conștientizarea și acțiunile
conducerii cu privire la performanța și onestitatea rigorii entității de referință.
44
În scopul înţelegerii şi evaluării mediului de control, auditorul trebuie să cunoască cele mai
importante componente secundare34 pe care acesta ar trebui să le asigure.
Integritatea şi valorile etice sunt produsul normelor şi regulilor morale şi comportamentale ale
entităţii, precum şi al modului în care acestea sunt comunicate şi aplicate în practică. Ele cuprind
acţiunile întreprinse de management în scopul înlăturării sau reducerii motivaţiilor sau tentaţiilor
care ar putea determina angajaţii să se implice în fapte necinstite, ilicite sau imorale. Ele includ şi
comunicarea valorilor şi normelor comportamentale ale entităţii către angajaţii săi prin intermediul
normelor şi dispoziţiilor interne privind politicile unităţii, a codurilor de conduită şi a exemplelor
personale.
Angajamentul faţă de competenţă se referă cel puţin la următoarele aspecte:
- capacitatea şi disponibilitatea conducerii de a identifica şi respecta deprinderile şi
cunoştinţele necesare pentru îndeplinirea fiecărei funcţii;
- asigurarea ocupării funcţiilor numai de persoane competente;
- atitudinea conducerii faţă de orice „produs propriu” inclusiv faţă de situaţiile financiare.
Pentru auditor este interesant de determinat dacă top-managementul este călăuzit de teoria "merge
oricum" sau totdeauna are ca obiectiv perfecţionarea oricărei activităţi în care este implicat…
Filozofia şi stilul de lucru al managementului. Conducerea, prin intermediul activităţilor
sale, trimite semnale clare angajaţilor privind importanţa controlului intern. De exemplu, managerii
îşi asumă riscuri importante sau sunt, mai degrabă, reticenţi faţă de riscuri? Planurile de profituri şi
datele bugetare sunt definite ca „cele mai bune posibil” planuri sau ca "cele mai dorite" ţinte? Dintr-
o altă perspectivă, conducerea entităţii poate fi descrisă ca "umflată şi birocratică", "subţire şi
agresivă", dominată de una sau câteva persoane sau este "numai bună"? Înţelegerea acestor aspecte
şi a altor elemente similare ale filozofiei şi stilului de lucru al managerilor îi oferă auditorului
financiar extern o imagine a atitudinii conducerii faţă de controlul intern.
Structura organizatorică a unei entităţi (organigrama) defineşte nivelurile ierarhice de
responsabilitate şi autoritate existente. Prin înţelegerea structurii organizatorice a unui client,
auditorul poate cunoaşte mai bine aspectele manageriale şi funcţionale ale unei entităţi economice şi
poate percepe modul în care sunt puse în aplicare mecanismele de control.
Atribuirea autorităţii şi responsabilităţii. Această preocupare este din ce în ce mai evidentă pe
fondul descentralizări procesului decizional, pentru a se asigura pertinenţa şi implementarea rapidă a
unei astfel de stări/situaţii. Entităţiile cu mai multe eșaloane ierarhice nu au posibilitatea să
funcţioneze optim fără o suficientă delegare de autoritate și responsabilitate. Deși prescriptiv,
controlul, prin sistemele sale de limitări (constrângeri), poate permite managerilor delegarea și
asigurarea condițiilor pentru un maximum de flexibilitate și creativitate. Pentru a explica mai clar
această situație Simons asociază metaforic sistemul de limitări al unei entități de afaceri cu frânele
unui automobil, fără de care mașinile nu pot rula cu viteza maximă.35
În aceste condiţii, auditorul financiar îşi va pune în mod normal întrebări privind, în primul
rând, planurile formale de organizare şi de activitate, apoi, privind existenţa, cunoaşterea şi
respectarea fişelor de post pentru angajaţi, distribuirea adecvată a obligaţiilor decizionale aferente
diverselor trepte ierarhice, precum şi cu politicile entității/organizației asociate acestora.
Politicile şi practicile din domeniul resurselor umane. Cel mai important element al
controlului intern este personalul. Dacă angajaţii sunt competenţi şi demni de încredere, alte tipuri
de mecanisme de control ar putea lipsi şi tot ar rezulta situaţii financiare fiabile. Persoanele oneste şi
eficiente sunt capabile să presteze o muncă de calitate înaltă chiar şi atunci când există puţine alte
mecanisme de control. Dar, din păcate, este valabilă și alternativa/reciproca: chiar dacă sunt aplicate
numeroase alte mecanisme de control, persoanele incompetente și/sau necinstite pot transforma
sistemul într-un haos. Pe scurt, acest domeniu al controlului intern (managementul resurselor
34
Dacă rămânem în exprimări tehnice, este corect spus componente… Dacă nu rămânem, și trecem în zona spirituală,
aceste elemente devin factori ce induc mediul de control… Oricum pentru mediul de control respectivele elemente
par/rămân abstracte în ceea ce privește definirea lor, nu însă și în ceea ce privește percepția lor…
35
Simons R., Control in an age of empowerment, Harvard Business Review, 73(2), 1995, pp. 80-88.
45
umane) poate fi o sursă motivațională pozitivă sau, dimpotrivă, poate demotiva personalul în ceea ce
privește buna îndeplinire a obiectivelor entității…
În ciuda existenţei unui personal competent şi demn de încredere, nu uitaţi că oamenii au o
serie de slăbiciuni înnăscute. De pildă, ei se pot plictisi sau pot deveni nemulţumiţi, problemele
personale le pot afecta performanţele profesionale sau obiectivele pe care le urmăresc se pot
schimba.
Din cauza importanţei pe care o are un personal competent şi fiabil în asigurarea unui control
intern eficace, metodele prin care oamenii sunt angajaţi, evaluaţi, instruiţi, promovaţi şi
recompensaţi reprezintă o componentă esenţială a controlului intern.
Auditorul trebuie să obţină informaţii privind fiecare dintre componentele secundare ale
mediului controlului. Apoi, el va utiliza aceste cunoştinţe ca bază pentru a evalua atitudinea
managerilor şi membrilor consiliului de administraţie faţă de controlul intern şi modul în care aceste
persoane percep importanţa controlului intern. Spre exemplu, auditorul ar putea determina natura
sistemului bugetar al unui client, ca parte a înţelegerii modului în care este constituit mediul contro-
lului. Apoi, funcţionarea efectivă a sistemului bugetar poate fi evaluată parţial prin chestionarea
personalului implicat în activitatea de bugetare, în scopul identificării procedurilor folosite, dar şi
prin analizarea diferenţelor dintre sumele bugetate şi cele efectiv realizate. De asemenea, auditorul
ar putea examina planurile de activitate ale clientului, pentru a compara rezultatele efective cu cele
previzionate, precum și examinările conducerii pe această direcție versus măsurile administrate.
2.2.2 Gestionarea riscurilor de către managementul entităţii de referință
Toate entităţile, indiferent de dimensiuni, structură, denumire, natură sau ramură de activitate,
se confruntă cu diverse riscuri ce provin din surse interne sau externe şi care trebuie gestionate.
Existenţa riscurilor legate de o anumită entitate este o problemă inerentă, pe care conducerea
trebuie s-o stăpânescă, dacă doreşte o evoluţie performantă.
Deoarece circumstanţele economice, de ramură, juridice şi operaţionale evoluează,
managementul trebuie să răspundă provocării de a crea mecanismele necesare pentru identificarea şi
temperarea riscurilor asociate acestor schimbări. Controlul intern adecvat într-un anumit set de
circumstanţe şi la un moment dat nu va continua în mod obligatoriu să rămână eficace, dacă aceste
circumstanţe se vor modifica, fiind nevoit (condamnat) să se adapteze permanent. Gestionarea
riscurilor este un proces continuu şi o componentă critică a unui control intern eficace.
Modelul prezentat în Figura 2.1 împarte procesul de management al riscului în elemente
componente, aşezate într-o succesiune logică a acestui proces, însă, în realitate, aceste componente
se îmbină armonios, pentru a crea un întreg performant. Managementul/gestiunea riscurilor este un
proces complex, componentele lui interacționând în diverse forme. Gestionarea unui risc poate avea
un impact asupra altor riscuri sau măsurile identificate ca fiind eficace pentru controlarea unui risc
se pot dovedi benefice şi în controlarea altor riscuri. Dar există și situații în care temperarea uni risc
poate conduce la exacerbarea altora…
De asemenea, modelul încearcă să sugereze că managementul riscurilor nu are în vedere
organizaţia izolată ci, aşa cum se întâmplă în realitate, o organizaţie integrată în mediul său de
existenţă, numit adesea context. Numai procedând astfel se poate spera că pot fi obţinute rezultatele
scontate.
Deşi nu apare figurată în model, tolerabilitatea la risc constituie premisa fundamentală în care
acesta funcţionează. Tolerabilitatea la risc caracterizează fiecare organizaţie în parte, datorită
faptului că defineşte managementul general practicat în acea organizaţie. O tolerabilitate mai mare la
risc nu înseamnă neapărat un management necorespunzător, după cum nici o tolerabilitate la risc
mai scăzută nu înseamnă că vorbim indiscutabil de un management bun. Subliniem / reamintim că
tolerabilitatea la risc este legată de rezultate şi problema esenţială este de a găsi un echilibru între
resursele consumate şi beneficiile obținute.
Managementul riscului este numai în parte aplicarea unor principii statuate la nivel de teorie;
în fapt, el este un proces continuu de învăţare din experienţe trecute, proprii sau ale altora. Ceea
46
ce este extrem de important în demersul de a se ajunge la un management al riscurilor eficace este
consolidarea permanenta a unei culturi a riscurilor.
Figura 2.1 O viziune asupra managementului riscurilor
Conducerea trebuie să se concentreze asupra riscurilor de la toate nivelurile entității şi să

întreprindă măsurile necesare pentru a gestiona aceste riscuri. Un prim pas important ar fi ca
managementul să identifice factorii care ar putea crea şi majora riscurile. Incapacitatea de a atinge
obiectivele deja fixate, calitatea personalului, dispersarea geografică a activităţilor entității, impor-
tanţa şi complexitatea proceselor economice de bază, introducerea unor noi tehnologii
informaţionale şi intrarea pe piaţă a unor noi concurenţi reprezintă numai câteva exemple de factori
care ar putea conduce la un risc mai mare. După ce un risc a fost identificat, managementul trebuie
să estimeze semnificaţia consecinţelor acestui risc, să evalueze probabilitatea apariţiei lui şi să
formuleze măsuri specifice, care ar trebui întreprinse pentru a reduce riscul până la un nivel
acceptabil.
Evaluarea riscurilor în scopuri de raportare financiară înseamnă identificarea, analizarea şi
contracararea de către management a riscurilor relevante pentru elaborarea situaţiilor financiare în
conformitate cu principiile contabile general acceptate. Spre ilustrare, dacă, pe parcursul mai multor
ani, o companie îşi prezintă în situaţiile financiare imobilizările corporale exclusiv la valoarea
contabilă rămasă (valoarea de inventar istorică diminuată cu amortismentul aferent), apare
posibilitatea ca această aserţiune să nu mai fie suficient de fidelă și relevantă pentru
receptorii/cititorii ei; sau neefctuarea și/sau nevalorificarea corespunzătoare a rezultatelor
inventarierii activelor, datoriilor și capitalurilor entității pentru bilanț poate conduce la alterarea
informațiilor cuprinse în raportările financiare de publicat.
Auditorul financiar extern evaluează modul de gestionare a riscurilor de către conducerea
entității de referință, pentru a decide asupra probelor necesare în audit. Dacă partea responsabilă
(managementul) evaluează şi gestionează eficient/înțelept riscurile, auditorul va colecta, de regulă, o
cantitate mai mică de probe decât în situaţia în care conducerea nu reuşeşte să identifice riscurile
semnificative și să le surmonteze.
Auditorul trebuie să ajungă la a cunoaşte procesul de gestionare a riscurilor aplicat de ma-
nagement prin determinarea modului în care entitatea (structurile ei de apărare) identifică riscurile
47
relevante, evaluează semnificaţia şi probabilitatea de manifestare a acestora şi formulează măsuri
necesare pentru a le face faţă. După studiul amănunțit a reglementarilor și documentelor interne,
chestionarele şi discuţiile cu managerii sunt cele mai obişnuite metode de obţinere a acestor
informaţii. Alăturat, vă prezentăm o secvenţă dintr-un posibil chestionar principial privind
conceperea şi funcţionarea sistemului de plata a facturilor furnizorilor organizaţiei examinate, ce
poate fi utilizat de auditor în aprecierea sistemului de gestionare a riscurilor de către management.
Răspunsurile afirmative sugerează premisele unei rigurozităţi, cele negative este necesar ca auditorul
să le reţină ca potenţiale puncte nevralgice ale sistemului de control intern, iar răspunsurile N/A
arată că respectivele mecanisme de control intern nu se aplică categoriei de operaţii analizate.
Reţinem însă că informaţiile sau probele obţinute prin chestionare, interviuri şi discuţii, precum şi
cele rezultate din observare trebuie validate prin alte probe mai sigure.
Tabelul 2.1 O secvență de chestionar utilizat în auditarea zonei cumpărărilor
ÎNTREBĂRI RĂSPUNSURI
Da Nu N/A
Există proceduri scrise privind plata furnizorilor ?
Sunt separate sarcinile de serviciu în ceea ce
priveşte angajarea, evidenţa şi plata furnizorilor ?
Aprovizionările sau intrările în sistem sunt
suficient documentate ?
Comisiile de recepţie sunt competente ?
Se verifică independent conformitatea dintre
contracte, comenzi, recepţii şi facturi ?
Documentele de recepţie sunt prenumerotate /
riguros gestionate ?
Se confirmarea legalitatea şi oportunitatea plăţii
prin menţionarea "bun de plata" pe facturi ?
Este organizată o evidenţă, sintetică şi analitică, a
datoriilor faţă de furnizori ?
Se verifică operarea tuturor intrărilor în evidenţa
contabilă ?
Se urmăreşte şi se respectă exigibilitatea datoriilor
către furnizori ?
Procesul de plată/decontare a obligaţiilor faţă de
furnizări este suficient de performant ?
Etc....
Dacă entitatea are implementat un sistem de gestionare a riscurilor, dar auditorul a identificat
riscuri omise sau netratate corespunzător, el trebuie să investigheze problema şi să decidă care sunt
efectele asupra misiuni sale.
Dacă sistemul/procesul de gestionare a riscurilor de către management este adecvat
circumstanţelor, inclusiv, naturii, mărimii şi complexităţii entităţii, aceasta îl va ajuta pe auditor în
identificarea riscurilor de denaturare semnificativă şi-i va facilita buna desfăşurare a misiunii.
Măsura în care procesul de evaluare a riscurilor entităţii este adecvat circumstanţelor reprezintă o
problemă de raţionament profesional.
Dacă entitatea nu a implementat un astfel de proces/sistem sau apelează la un proces ad-hoc,
auditorul trebuie să discute cu managementul măsura în care riscurile afacerii relevante pentru
obiectivele raportării financiare au fost identificate şi modul în care au fost abordate. Profesionistul
trebuie să evalueze măsura în care absenţa unui proces de gestiune a riscului prestabilit este
adecvată circumstanţelor sau să determine măsura în care aceasta reprezintă o deficienţă
semnificativă a controlului intern.
Este puţin probabil ca un proces de evaluare a riscurilor entităţii să fie stabilit/documentat într-
o entitate mică. În astfel de cazuri, este probabil că respectiva conducere să depăşească riscuri prin
implicarea personală directă în derularea activităţii. Indiferent de circumstanţe, totuşi, intervievarea
48
persoanelor relevante cu privire la riscurile identificate şi modul de abordare a acestora de către
conducere rămâne o necesitate minimală.
2.2.3 Activităţile de control
Activităţile de control reprezintă o serie de politici şi proceduri, procese şi resurse

angajate, stăvilare dar şi rampe de lansare a diverselor tranzacții/operații/aspecte, pe lângă cele
incluse în celelalte patru componente ale controlului intern, care asigură faptul că în realizarea şi
urmărirea obiectivelor entităţii se aplică tratamentele/soluțiile necesare/optime, pentru a se face faţă
riscurilor ce pot afecta activitatea entităţii şi pentru creşterea performanţei. Prin natura lor,
activităţile de control se încadrează, de obicei, în următoarele cinci tipuri:
- separarea adecvată a responsabilităţilor (sarcinilor);
- autorizarea corespunzătoare a operaţiunilor şi activităţilor;
- procesarea informațiilor;
- controlul fizic al activelor şi securitatea informaţiilor;
- revizuiri ale performanțelor (verificări independente ale aplicării legilor, normelor,
politicilor, ale deciziilor şi ale obținerii rezultatelor vizate etc.).
Separarea adecvată a responsabilităţilor. Există patru recomandări generale pentru o bună
segregare a responsabilităţilor, în scopul prevenirii atât a fraudelor, cât şi a erorilor, recomandări
care au o relevanţă deosebită pentru auditori.
i. Separarea gestiunii activelor de funcţia financiar-contabilă. Când una şi aceeaşi persoană
îndeplineşte ambele funcţii, creşte riscul ca acea persoană să utilizeze resursele în interese personale
şi să "ajusteze" evidenţele contabile pentru a-şi camufla faptele, implicit, răspunderea pentru diverse
abateri.
ii. Separarea autorizării operaţiunilor de gestiunea activelor asociate acestora. În măsura
posibilităţilor, este de dorit să se evite situaţiile în care persoanele care autorizează anumite
operaţiuni au şi dreptul de a dispune de activul corespunzător. Spre exemplu, nu ar fi indicat ca una
şi aceeaşi persoană să autorizeze efectuarea unei donaţii şi să semneze cecul destinat plăţii
respectivei donaţii. Autorizarea unei operaţiuni şi gestiunea activului asociat ei de către una şi
aceeaşi persoană majorează probabilitatea unor deturnări de active, comise de persoane din interiorul
organizaţiei. Pentru o ilustrare mai simpla dar expresivă, şoferul / managerul / gestionarul unui
autovehicul are în gestiune nemijlocită acest activ al entităţii, dar cursele efectuate de acesta sunt
autorizate de alţi manageri, situaţi pe o treaptă ierarhică superioară, şi, mai mult, confirmate de terţe
persoane…
iii. Separarea sarcinilor operaţionale de sarcinile contabile. Dacă fiecare departament sau
diviziune dintr-o organizaţie ar răspunde de realizarea propriilor registre şi evidenţe contabile, ar
exista tentaţia de a influenţa informațiile, pentru a îmbunătăţi performanţele raportate. De pildă, dacă
personalul contabil din cadrul unei subunităţi ar participa la predarea în consum a materiilor prime,
poate apare interesul / riscul ca acesta să ajusteze cantităţile şi alte informaţii din bonul de consum,
oferind unor active destinaţii ce nu au legătură cu obiectivele unităţii. Pentru a asigura existenţa unor
informaţii nepărtinitoare, evidenţa contabilă este, de regulă, inclusă într-un departament separat,
supus ierarhic contabilului-şef sau directorului financiar. Din aceleaşi motive, nu este recomandată
participarea personalului din serviciul de contabilitate la inventarierea resurselor şi surselor entităţii,
îndeosebi a economistului ce asigură evidenţa respectivelor active sau pasive36.
iv. Separarea sarcinilor legate de IT de sarcinile principalilor utilizatori din afara sistemului
IT. Este absolut necesară separarea sarcinilor de programare și mentenanță software de cele de
operare în sistem, de limitare a accesului operatorului la programele sursă, la modificarea
procedurilor de prelucrare a informaţiei etc.
Fireşte, gradul de segregare a sarcinilor şi responsabilităţilor depinde într-o foarte mare măsură
de dimensiunile organizaţiei. În numeroase entităţi mici nu este practică separarea sarcinilor într-atât
36
Norme privind organizare şi efectuarea inventarierii elementelor de natura activelor, datoriilor şi capitalurilor proprii,
aprobate Ordinul Ministrului Finanţelor Publice nr. 2861/2009, punctul 5.
49
de detaliat pe cât s-a relevat mai sus. În asemenea cazuri, s-ar putea impune o modificare în probele
auditului.
Autorizarea corespunzătoare a operaţiunilor şi activităţilor. Orice operaţiune trebuie corect
autorizată, pentru ca mecanismele de control să poată fi considerate satisfăcătoare. La polul opus,
dacă orice persoană din organizaţie ar putea achiziţiona sau dispune de active după propria voinţă
sau interese, s-ar instaura un haos general.
Există o anumită deosebire între autorizare şi aprobare. Autorizarea reprezintă o decizie ce
ţine de politica întreprinderii şi vizează fie o categorie generală de operaţiuni, fie operaţiuni specifice
luate în parte. Aprobarea reprezintă aplicarea în practică a deciziilor / politicilor de autorizare
generală ale managementului înalt. De exemplu, să presupunem că managementul defineşte o
politică de autorizare a comenzilor de reaprovizionare cu materii prime în momentul în care
întreprinderea nu mai dispune decât de stocul necesar pentru trei săptămâni de producţie. Aceasta
este o autorizare generală. Când un departament face o comandă de materii prime, angajatul
responsabil de evidenţa permanentă a stocurilor aprobă comanda,37 pentru a indica faptul că politica
de autorizare a fost respectată. În multe alte cazuri, computerul face aprobarea punctuală a
operaţiunilor. Organizarea poate fi şi mai complicată/birocratică, cu oarecare posibilităţi de creştere
a rigurozităţii: persoana din departamentul solicitant inițiază, iar responsabilul de evidenţa stocurilor
avizează comanda (prin care confirmă că nivelul stocurilor existente în depozit a atins nivelul minim
la care se recomandă reaprovizionarea) şi conducătorul departamentului solicitant (sau managerul de
linie – șef serviciu aprovizionare) o aprobă…
Procesarea informațiilor. Cele două mari grupe ale activităților de control ale sistemelor
informaționale sunt:38
- controalele aplicațiilor, care se aplică la procesarea operațiilor individuale; spre exemplu:
√ verificarea matematică a înregistrărilor,
√ menținerea și revizuirea conturilor și soldurilor de verificare,
√ validările datelor,
√ verificări ale secvențelor numerice,
√ sesizarea automată a necorelărilor și excepțiilor ca bază a urmăriri și corectării lor etc.
și
- controalele generale ale sistemelor IT, care sunt politici și proceduri corelate cu numeroase
aplicații și care susțin funcționarea eficientă a controalelor aplicațiilor ajutând la asigurarea unei
funcționări permanente corespunzătoare a sistemelor informaționale. Aici se pot include:
√ restricționarea accesului la programe sau date,
√ controalele modificării programelor, controalele implementării noilor versiuni ale aplicațiilor
software,
√ și, foarte important, controalele software de sistem ce restricționează accesul la sau
monitorizează apelarea unităților sistemului; accesări care ar putea modifica datele financiare și
intervențiile/înregistrările ce nu lasă o pistă (o urmă) de audit etc.
Poate nu se observă suficient de clar unde se poziționează / realizează verificările financiar
contabile de pe parcursul procesării informațiilor, dar ele se regăsesc în toate controalelor
aplicațiilor mai sus prezentate / enumerate, în sensul că:
- verificarea matematică realizată automat de computer poate fi observată atât de un
operator calculator necontabil, cât și de contabil cu ocazia operării sau verificării rapide/la
cald;
- de asemenea, verificările contabile post operare sunt mult mai ample decât simpla
corectitudine aritmetică.
În situația în care contabilul este operatorul inițial, înainte de trecerea la operarea propriu-
zisă, el trebuie să efectueze toate verificările necesare și posibile asupra documentelor și
operațiilor ce urmează a fi înregistrate, bifând sau semnând documentele în acest sens;
37
Foarte probabil întocmită sau cel puțin sesizată de o persoană din departamentul solicitant…
38
Conform ISA 315 revizuit…
50
Indiferent de cine operează inițial (tot mai frecvent necontabili), revizuirea rulajelor
(fiecărei operații) și soldul conturilor este apanajul profesiei financiar-contabile, având o
mare responsabilitate în acest sens.
Am mai putea adăuga că în lista controalelor de aplicații și transferul de date / informații
(de pildă din „operațional” în „contabilitate”), transfer pe care sunt plasate o serie de
verificări automate cu substanță financiar-contabilă etc.
O altă problemă ce ține tot de procesarea informațiilor o reprezintă (chiar dacă ea este
integrată sistemului, poate fi menționată distinct) și conceperea, utilizarea şi circulaţia riguroasă a
documentelor. Documentele trebuie să fie adecvate pentru a oferi o asigurare rezonabilă privind
faptul că toate activele sunt controlate corespunzător şi că toate operaţiunile sunt înregistrate corect.
Spre ilustrare, dacă departamentul de recepţionare a bunurilor întocmeşte o notă de intrare-recepţie
în momentul primirii unei livrări de materii prime, departamentul care asigură evidenţa datoriilor
faţă de furnizori poate analiza caracteristicile produselor şi cantităţile din factura furnizorului,
comparând-o cu informaţiile din nota de intrare-recepţie şi din comanda anterior efectuată. Astfel, se
observă că orice document completat nu este întâmplător. El circulă şi furnizează baza pentru
răspunderea individuală şi posibilități de realizare un anumit număr de verificări. Pe de altă parte,
dacă documentele / informațiile nu sunt adecvat urmărite și protejate, ele pot fi subtilizate,
modificate sau înlocuite netransparent, deteriorate sau pierdute…
Există o serie de principii relevante care conturează controlul adecvat al documentelor. Astfel,
acestea ar trebui să fie:
- prenumerotate în serii succesive, pentru a facilita identificarea şi urmărirea documentelor
care lipsesc, a "clonării" înscrisurilor şi pentru a permite localizarea documentelor necesare la un
moment ulterior;
- întocmite la momentul operaţiunii reflectate sau cât mai curând după aceasta;
- suficient de simple, pentru a asigura buna lor înţelegere de către utilizatori şi pentru a
încuraja întocmirea lor corectă;
- elaborate într-un număr cât mai mic de exemplare, dar suficiente pentru a acoperii toate
cerinţele;
- complete, să conţină toate rubricile necesare şi acestea să fie integral şi permanent
completate;
- concepute pentru utilizări multiple (în măsura posibilităţilor), pentru a minimiza numărul de
formulare diferite;
- optimizate din punct de vedre al circuitului parcurs;
- arhivate pentru termene rezonabile şi în condiţii sigure, astfel încât să constituie de o manieră
durabilă un mijloc de probă indubitabilă.
Procedurile care asigură realizarea unor evidenţe riguroase ar trebui detaliate în manuale de
sistem, pentru a se încuraja aplicarea lor consecventă. Manualele, în cazul nostru – cel privind
circuitul documentelor, ar trebui să ofere suficiente informaţii pentru a facilita realizarea adecvată a
evidenţelor şi pentru a menţine un control suficient al surselor şi resurselor organizaţiei.
Controlul fizic vizând activele şi securitatea informaţiilor. Pentru a menţine un sistem de
control intern viguros, este esenţial ca activele şi informaţiile să fie protejate. Dacă activele nu sunt
apărate, ele pot fi uzate excesiv, deturnate sau sustrase. Unele informaţii sunt confidenţiale, iar
dobândirea lor de către anumite persoane concurente şi neloiale poate periclita bunul mers al
afacerii. În cazul în care s-ar produce asemenea evenimente, operaţiunile curente şi chiar cele
strategice ar putea fi grav perturbate. Când o companie este puternic informatizată, este deosebit de
important ca echipamentele, programele şi fişierele sale informatice să fie bine protejate.
Atenție, subliniem că aici discutăm despre control fizic nu doar despre verificări fizice.
Controlul fizic este mai cuprinzător și conține mai multe elemente, între care:
√ accesul în entitate și la informații,
√ cuantificări, verificări și înregistrări cu ocazia intrării sau ieșirii din entitate,
√ asigurarea condițiilor legale și optime pentru păstrarea valorilor și bunurilor (casierii,
magazii și depozite) – inclusiv pentru protejarea persoanelor (de pildă a casierilor),
51
√ asigurarea financiară împotriva eventualelor daune ce le-ar putea suferii activele entității de
referință,
√ garantarea
√ etc.
Revizuiri ale performanțelor sau verificări independente ale aplicării celor prestabilite şi a
nivelului rezultatelor obținute. Această categorie de activităţi de control constă în verificarea
riguroasă şi pe cât posibil anonimă a celorlalte patru categorii (segregarea sarcinilor, autorizarea,
controlul fizic și procesarea informațiilor), precum și a tuturor activităților desfășurate în cadrul
entității și/sau în legătură cu acestea, deseori numită verificare independentă sau verificare internă
independentă. Nevoia efectuării unor verificări independente apare deoarece rigoarea internă
adecvată riscă să se "uzeze" în timp, dacă nu există un mecanism de verificare periodică. În
categoria acestor verificări intră cel puţin:
√ controlul financiar preventiv,
√ verificarea documentar-contabilă ulterioară,
√ inspecţii/revizii de gestiune,
√ inventarierea,39
√ etc.
Este posibil ca angajaţii să uite să aplice o normă, să nu aplice deliberat o procedură sau să
devină neglijenţi dacă nimeni nu-i verifică din această perspectivă. În plus, indiferent de calitatea
mecanismelor de control, se pot produce greşeli (ne)intenţionate.
O caracteristică esenţială a persoanelor care aplică procedurile de verificare internă este
independenţa de indivizii răspunzători la origine de gestiunea elementelor şi pregătirea datelor.
Având în vedere că independenţa costă, verificările independente devin într-o anumită măsură
lipsite de eficienţă. Astfel, cel mai puţin costisitor mijloc de verificare internă este separarea
responsabilităţilor în combinaţie cu verificările reciproce sau mutuale.
Cu toate acestea se apelează încă la verificări anonime. De pildă, în Grupul Ford toate
verificările independente ale corectitudinii operării în sistem sunt realizate de un punct de lucru de
undeva din India. Cei care operează/evidențiază în sistem nu au cunoștință cu cine relaționează, dar
primesc sesizări cu/fără corecția corespunzătoare a erorii înfăptuite… Periodic, cel puțin anual,
istoricul acumulat de fiecare operator este utilizat ca bază a evaluării performanței profesionale,
bineînțeles, urmate de reacții în consecință ale conducerii…
În acest sens, este de subliniat faptul că relativ recent și în țara noastră a fost acceptată
calificarea controller. Ea presupune o persoană ce are exclusiv sarcini de verificare (și/sau de
reverificare) a activității celorlalți și raportarea la un nivel ierarhic adecvat. Acesta efectuează de
obicei exclusiv examinări informațional-documentare, altfel spus, își îndeplinește mandatul fără a
apela la inspecția activității efective și/sau contactarea persoanelor verificate. O bună secvență de
controllig a fost prezentată anterior (cazul Ford), dar conceptul/procesul controlling este mult mai
complex și încă amplu dezbătut în literatura de specialitate, mergând cu ideile până la punerea lui în
echivalență/congruență cu ansamblul controlului intern.
Auditorii obţin o înţelegere a mediului de control şi a evaluării riscurilor cam de aceeaşi
manieră în majoritatea misiunilor, însă înţelegerea activităţilor de control variază semnificativ.
Pentru clienţii mici, se obişnuieşte identificarea unui număr mic de activităţi de control sau chiar a
nici unei activităţi, deoarece mecanismele de control ale acestor clienţi sunt, de cele mai multe ori,
ineficace, din cauza lipsei de personal şi ineficiente din punct de vedere economic. În acest caz,
chiar dacă se practică preponderent autocontrolul, practicianul fixează un risc de control estimat mai
mare. Pentru clienţii cu mecanisme de control complexe, pe care auditorul le consideră
semnificative, deseori este recomandabil să se identifice cât mai multe mecanisme de control în faza
de înţelegere a entității de examinat. În alte misiuni, auditorul ar putea identifica un număr limitat de
39
Foarte bine inventarierea ar putea intra și la controlul fizic, dar nu aceasta este problema noastră – unde o plasăm în
această clasificare, ci să avem în vedere acest mecanism de control intern deosebit de important și să stabilim măsura în
care ne putem baza pe ea ca auditori financiari externi
52
mecanisme de control în cursul acestei faze, pentru a analiza apoi alte mecanisme suplimentare, în
fazele ulterioare ale procesului de audit. Amploarea identificării mecanismelor de control depinde de
raţionamentul profesional al auditorului.
2.2.4 Sistemul de relaționare, comunicare şi informare
Comunicarea eficientă (inter și intra entități) poate ajuta managerii prin sporirea resurselor
veritabile disponibile în procesul decizional. Din această perspectivă, companiile, şi nu numai,
trebuie să fie convinse că relaţionarea performantă reprezintă un avantaj şi nu o povară. Iar auditorul
este nevoit, de cele mai multe ori, să aprecieze măsura în care clientul său tinde către acest ideal.
Scopul sistemului de informare şi comunicare al unei entităţi constă în identificarea,
analizarea, clasificarea, înregistrarea şi raportarea operaţiunilor entităţii şi evidenţa răspunderii
privind activele şi pasivele asociate acestor operaţiuni. Acesta acţionează permanent, relaţionând cu
toate domeniile organizaţiei, pentru oferirea informaţiilor în timp util necesare deciziilor optime.
Cu ajutorul său se:
- urmăreşte operativ realizarea performantă a diverselor bugete și obiective;
- efectuează o multitudine de comparaţii între informaţiile accesibile şi disponibile,
- monitorizează încadrarea în costurile programate şi consumurile specifice,
- apreciază conformitatea cu standardele specifice, cu legislaţia şi politicile firmei;
- nu în ultimul rând, se iau atât decizii operaționale, cât și strategice etc.
Prin informaţiile puse la dispoziţia managementului de la toate nivelurile, se semnalează în
timp util (operativ) neregulile sau neclarităţile; preponderent, sistemul informațional este cel care
"furnizează" managementului tabloul de bord. În unităţile suficient de elaborate / structurate, acest
mecanism de control, impregnat de multe analize, comparaţii şi verificări, câştigă tot mai mult teren,
datorită multiplelor avantaje comparabil cu eforturile de concepere, implementare şi funcţionare
aferente.
Ca parte a importantă a întregului din ansamblul entităţii, un sistem de informare şi
comunicare (inclusiv raportare) contabilă conţine mai multe componente secundare, formate, de
obicei, din categorii de operaţiuni, cum ar fi intrările în sistem, care includ: intrări de servicii
(materiale şi imateriale) şi intrări de bunuri (achiziţii de imobilizări şi aprovizionări de stocuri),
achitarea furnizorilor şi aşa mai departe.
Comunicarea poate fi mai puţin structurată-formalizată, dar mai uşor de realizat într-o entitate
mică decât într-una mare, datorită nivelurilor/delegărilor de responsabilitate mai reduse şi unei mai
mari transparenţe şi disponibilităţi a conducerii. Pentru o societate comercială mică, al cărei
proprietar este activ implicat în activitatea de exploatare, un sistem de contabilitate informatizat şi
simplu, care necesită mai ales implicarea unui singur contabil cinstit şi competent, ar putea
reprezenta un sistem informaţional-contabil adecvat. Însă, o companie mai mare are nevoie de un
sistem mai complex, care să cuprindă responsabilităţi clar definite şi multe proceduri scrise.
Pentru a înţelege construcţia unui sistem informaţional-contabil, auditorul este obligat sau
nevoit să determine:
- principalele categorii de operaţiuni ale entităţii,
- modul în care sunt iniţiate aceste operaţiuni,
- evidenţele existente, natura și rigoarea lor,
- modul în care operaţiunile sunt prelucrate, de la iniţiere până la încheiere, inclusiv măsura şi
natura folosirii mijloacelor informatice,
- natura şi detaliile procesului de raportare financiară folosit.
Sistemul şi procesul de raportare financiară înglobează metode şi tehnici care:
- identifică şi înregistrează toate tranzacţiile valabile;
- descriu la timp tranzacţiile cu detalii suficiente, pentru a permite clasificarea corespunzătoare
a tranzacţiilor pentru raportarea financiară;
- măsoară valoarea tranzacţiilor într-o manieră ce permite înregistrarea valorii lor monetare
adecvate în situaţiile financiare;
53
- determină perioada de timp în care au avut loc tranzacţiile, pentru a permite înregistrarea
acestora în perioada adecvată;
- prezintă în mod adecvat tranzacţiile şi informaţiile aferente din situaţiile financiare.
Menționăm că înțelegerea de către auditor a proceselor de afaceri ale entității de referință
este fundamentală pentru buna înțelegere a sistemului de contabilitate și raportare financiară. Este
necesară cunoașterea:
° modului în care se inițiază tranzacțiile,
° felului în care se autorizează și se produc operațiile economice,
° rezultatelor obținute,
° anvergurii diverselor categorii de afaceri,
° riscurilor ce pot apare în raport cu tranzacțiile clientului,
° cum sunt reflectate diversele operații în evidențe,
° legalității tranzacțiilor
° etc.
De obicei, aceste elemente sunt identificate şi documentate prin descrieri narative a sistemului
sau prin diagrame ale secvenţelor proceselor. Modul în care funcţionează sistemul informaţional-
contabil este deseori determinat prin identificarea drumului parcurs de una sau mai multe operaţiuni
prin sistem, procedură numită "parcursul operaţiunii" sau pista de audit.
2.2.5 Supervizarea sau monitorizarea internă
Activităţile de supervizare se referă la evaluarea permanentă sau periodică de către

management a calităţii controlului intern, cu scopul de a determina dacă elementele acestuia sunt
concepute în sprijinul entităţii, funcţionează şi relaţionează conform prevederilor şi dacă ele sunt
modificate corespunzător schimbărilor circumstanţelor. Informaţiile necesare pentru evaluarea şi
modificarea sistemului provin din diverse surse, printre care se numără:
- studii ale mecanismelor de control intern existente realizate de experţi specializaţi;
- rapoarte ale auditorilor interni;
- recepţionare (in)voluntară a informaţiilor inconsecvente referitoare la o anumită problemă;
- semnalele transmise de avertizori / sesizori / senzori de detectare a riscurilor și anomaliilor;
- constatări / observări privind abaterile de la activităţile de control prescrise;
- rapoarte ale organelor de verificare externe;
- reacţii transmise de personalul operativ şi reclamaţiile terţilor, şi în mod special ale clienţilor
etc.
Cele mai importante lucruri pe care trebuie să le ştie (cunoască) un auditor financiar extern
despre supervizare sunt reprezentate de principalele tipuri de activităţi de monitorizare desfăşurate
de entitatea de referință şi modul în care acestea contribuie la modificarea/perfecţionarea
mecanismelor de control intern în caz de necesitate. Interviurile şi discuţiile cu managerii reprezintă
cea mai obişnuită modalitate de obţinere a acestor informaţii, însă fundamentate pe studierea
detaliată a regulamentelor şi procedurilor operaţionale interne.
În numeroase companii, în special cele mari, existenţa unui departament de audit intern este
esenţială pentru a se asigura o supervizare eficientă. Pentru ca o funcţie de audit intern să fie eficace,
este vital ca personalul de audit să fie independent atât de departamentele operative, cât şi de
departamentul financiar-contabil, precum şi ca auditorii interni să fie direct subordonaţi unui nivel
de autoritate cât mai înalt din organizaţie, adică fie managementului de vârf, fie consiliului de
administraţie.
Funcţia de audit intern a entităţii poate fi relevantă pentru auditorul financiar extern
- dacă natura responsabilităţilor şi activităţilor acesteia este legată de raportarea financiară
şi
- dacă auditorul extern se aşteaptă (în urma examinărilor și aprecierilor realizate) să utilizeze
activitatea auditorilor interni pentru a modifica natura, plasarea în timp sau pentru a reduce
amploarea procedurilor ce urmează a fi efectuate.
54
Dimensiunea unei entității are un impact semnificativ asupra naturii controlului intern şi
asupra mecanismelor specifice de control aplicate în cadrul activităţii. În mod evident, este mai greu
să faci o separare adecvată a sarcinilor într-o entitate mică. La fel, nu ar fi rezonabil să se aştepte ca
o entitate mică să aibă revizori de gestiune şi, cu atât mai puţin, auditori interni. Cu toate acestea,
dacă sunt examinate diversele subcomponente ale controlului intern, devine evident faptul că
majoritatea ideilor/tezelor se aplică atât companiilor de dimensiuni mari, cât şi societăţilor mai mici.
Deşi formalizarea politicilor întreprinderii prin manuale de proceduri nu este o practică larg
răspândită, o companie mică poate, fără nici o îndoială, dispune de:
- personal competent şi fiabil, cu niveluri ierarhice clar definite;
- proceduri adecvate pentru autorizarea, executarea şi înregistrarea operaţiunilor;
- documente justificative, evidenţe contabile şi rapoarte adecvate;
- mecanisme de control fizic privind activele şi o anumită cultură a confidenţialităţii;
- verificări şi evaluări independente ale aplicării şi rezultatelor, într-o proporţie mai limitată.
Un mecanism de control important de care dispun companiile mici constă în cunoştinţele şi
implicarea principalei persoane cu funcţii administrativ - executive, care este deseori un
proprietar-gestionar. Un interes personal în organizaţie şi o relaţie strânsă cu angajaţii acesteia fac
posibile evaluarea riguroasă a competenţei angajaţilor şi eficacitatea sistemului pe ansamblu. De
pildă, controlul intern poate fi consolidat de o manieră semnificativă dacă proprietarul îndeplineşte
conştiincios sarcini precum:
- semnarea tuturor cecurilor după o verificare riguroasă a tuturor documentelor justificative,
- verificarea confruntării extraselor bancare cu soldurile din evidenţele contabile,
- examinarea situaţiilor recapitulative ale creanţelor comerciale trimise clienţilor,
- aprobarea creditelor acordate partenerilor,
- examinarea întregii corespondenţe cu clienţii şi furnizorii,
- aprobarea creanţelor incerte sau irecuperabile doar după verificarea întreprinderii tuturor
măsurilor legale în domeniu
- etc.
2.3 Aspecte generale privind înțelegerea și diagnosticarea contorului intern

al clientului de audit
Auditorul financiar extern trebuie să înțeleagă și să aprecieze controlul intern al entității de

referință în toate misiunile sale. Acest mod de a reacționa se aplică pentru toate entitățile,
indiferent de dimensiune, chiar și atunci când auditorul a decis deja că răspunsul adecvat la riscurile
de prezentare eronată semnificativă este o abordare complet substanțială40 (abordare directă de fond,
bazată mai degrabă pe proceduri de fond decât pe teste ale mecanismelor de control intern).
În practică, procedurile utilizate pentru a se ajunge la diagnosticarea controlului intern şi
pentru a se estima riscul legat de control variază considerabil de la un client la altul, în funcţie de
mărimea şi complexitatea acestora.
În cazul clienţilor mai mici, mulţi auditori obţin un nivel de înţelegere suficient doar pentru a
estima dacă situaţiile financiare pot fi auditate; ei evaluează mediul controlului prin prisma atitudinii
managementului faţă de controlul intern şi faţă de raportarea financiară. Bazându-se pe evaluarea
acestor elemente, se determină cât de adecvat este sistemul contabil și de raportare financiară al
clientului. Deseori, din motive de eficienţă, mecanismele de control intern ale clienților de talie mică
sunt ignorate de auditorul financiar extern; în consecință, se presupune că riscul de control intern
este maxim, riscul de nedetectare fixându-se, prin urmare, foarte mic41 (volum de muncă de audit
40
Ghidul de utilizare a ISA-urilor în auditarea întreprinderilor mici și mijlocii, Ediția a 3-a, IFAC, CECCAR și CAFR,
București 2012, pg. 369.
41
Românește ar fi mai corect spus toleranța (prin natura ei riscantă) pe care și-o poate permite auditorul financiar este
foarte mică, minimă dacă vreți sau care tinde către zero. În consecință, acuitatea sau pretențiile verificării substanțiale a
operațiilor / rulajelor, soldurilor și prezentărilor sunt/devin înalte…
55
ridicat…). Presupunând că practicianul ar proceda astfel, trebuie, totuşi, să menţionăm că el este
obligat la o cunoaştere, examinare şi diagnosticare minimală (suficientă) a controlului intern.
Pentru majoritatea clienţilor mai mari, în special în cazul angajamentelor repetitive,42
auditorul fixează un risc de control intern estimat mai mic în majoritatea componentelor auditului,
întrucât aceştia au guvernanţa corporativă dezvoltată, o structurare şi funcţionare mai elaborată, cu
suficiente reglementări interne a căror respectare asigură o anumită rigoare. Bineînțeles că acest
nivel estimat poate fi (in)confirmat de testarea efectivă. Dar, aici este de subliniat atenția necesară
auditorului pentru realizarea distincției între rigoarea aparentă și cea operațională/efectivă!...
În nici un caz nu se poate considera riscul de control intern ca fiind zero/nul, din cel puțin
două motive:
- în principiu, nu există sisteme perfecte elaborate de om și apoi
- auditorul financiar extern trebuie să facă dovada scepticismului profesional.
De pildă, deși în instituțiile publice și în întreprinderile publice (cu capital de stat) este
obligatorie prin lege elaborarea, actualizarea și revizuirea permanentă a așa numitului Registru al
riscurilor, care ar putea sugera un control intern dezvoltat, presupunând că într-adevăr un astfel de
instrument a fost elaborat, nu înseamnă că problema rigorii interne este rezolvată întru-totul; pot
apărea oricând breșe, scăpări, înțelegeri si funcționări greșite, uneltiri mai puțin oneste etc.
În consecință, diagnosticianul este nevoit să estimeze cât mai bine performanța sistemului de
control intern al entității auditate, pentru a stabili în ce măsură se poate baza pe el și să-i determine
prin diferență riscul (contra-performanța) aferent(ă). Nu întâmplător se spune ca auditul este o
abordare bazată pe risc…
Mai trebuie spus că din ansamblul riscului de control intern al entități de referință, pe auditorul
financiar extern îl interesează îndeosebi acea parte sau elemente cu potențial de transformare în risc
de denaturare semnificativă a informațiilor și raportărilor financiare. Altfel spus, riscul rămas
(rezidual) după ce controalele interne au fost concepute și implementate, așa cum reiese și din
Figura 2.2.
Figura 2.2 O viziune sintetică asupra riscului în auditul financiar extern43
42
Se subînțelege că la angajamentele noi AFE va fixa un risc de control intern mai mare decât în cazul unui angajament
recurent, dar va întreprinde toate diligențele posibile astfel încât și această estimare să fie cât mai scăzută posibil…
43
Ghidul pregătirii profesionale pentru Curtea de Conturi a României, 2016, pg. 49.
56
În mod ideal, conducerea ar concepe suficiente controale pentru a se asigura că riscul rezidual
(de denaturare informațională) este atenuat la un nivel acceptabil de scăzut atât pentru necesități
interne, cât și pentru cele externe, implicit pentru auditorul financiar extern.44 În practică, unii
directori pot fi orientați spre o toleranță mai ridicată la risc (organizează mai puține controale,
rezultând un risc rezidual mai ridicat), iar alți directori (adesea din sectorul public) vor avea tendința
de a fi conservatori și de a concepe multe controale pentru a atenua riscul, reducându-l aproape la
zero.
Dar, subliniem că singurul scop al unui control este acela de a atenua riscurile inerente (de
activitate și de fraudă). Un control care nu urmărește atenuarea unui risc este în mod evident
redundant. Așadar, riscul (inerent) trebuie să existe anterior atenuării acestuia prin controlul
conducerii; nu se introduc mecanisme de control intern de dragul controalelor! Totuși, unii auditori
ignoră acest aspect. Ei își încep evaluarea controlului intern prin investigarea și documentarea
controalelor existente, înainte de a aloca timp identificării riscurilor (inerente), care trebuie atenuate
cu adevărat. Această abordare poate genera un volum de lucru sporit inutil pentru depistarea și
evaluarea unor controale ale clientului său, care ulterior se pot dovedi complet irelevante pentru
obiectivele auditului financiar extern.
Pe de altă parte, așa cum la structurarea riscurilor inerente am discutat despre riscuri generale
și specifice, în mod corespunzător, și contoarele interne se clasifică în generale și specifice;
distincție pe care auditorul financiar trebuie să o aibă în vedere cu ocazia diagnosticării rigorii
asigurată de clientul său..
Figura 2.3 Riscuri inerente generale și specifice versus controale interne corespunzătoare
Obiectivele entității, între care
(la nivelul entității)

situații financiare și afirmații
Generale
Generale
Guvernare
Controale interne
Riscuri inerente
Top-management și lideri
Sisteme informative
Specifice
Specifice
Procese Procese Procese Alte

aferente aferente aferente
procese
veniturilor achizițiilor salarizării
Tranzacții
Controalele generale (de la nivelul entității) tratează guvernarea și top-managementul, în

principiu, elemente ce sunt utilizate de auditorul financiar pentru a aprecia mediul general de control
intern sau „tonul la vârf”. Înțelegerea temeinică a acestora reprezintă o bază amplă/solidă de audit
pentru evaluarea controalelor atât asupra ansamblului situațiilor financiare, cât și asupra celor de la
nivelul tranzacțiilor. De exemplu, în cazul în care controalele asupra integrității datelor la nivel de
entitate sunt insuficiente, acestea vor avea impact asupra fiabilității tuturor informațiilor generate de
sisteme precum vânzările, achizițiile și statele de plată a salariilor etc. Tot așa, depășirea atribuțiilor
44
București 2012, pg. 370-377.
57
de către conducere și un „ton la vârf” necorespunzător sunt caracteristici ale unei conduite
corporative inadecvate, care, mai grav, reprezintă indicii de potențială fraudă.
Controalele specifice tranzacțiilor (proceselor) sunt concepute pentru a se asigura că:
- operațiile economico-financiare sunt înregistrate corespunzător pentru întocmirea adecvată a
situațiilor financiare;
- înregistrările contabile sunt suficient de detaliate pentru a reflecta cu exactitate și fidelitate
toate tranzacțiile și efectele economice;
- încasările și cheltuielile se realizează în conformitate cu autorizările conducerii;
- achiziționarea și alocarea, utilizarea și cedarea neautorizată de active este prevenită sau
detectată la timp etc. Aceste controale ne ajută să determinăm/apreciem riscul (rezidual) de
denaturare de la nivelul afirmațiilor din situațiile financiare, respectiv, de la nivelul tranzacțiilor,
soldurilor și prezentărilor.
Este de menționat/reiterat faptul că auditorul financiar extern trebuie să aibă o abordare de la
vârf în jos bazată pe riscuri, el se concentrează doar pe controalele relevante pentru misiune sa,
cele care reduc riscul de prezentare eronată semnificativă. Altfel spus, va proceda la eliminarea din
preocupările sale (din domeniul de aplicare a auditului) acele procese și controale ale clientului ce
nu sunt relevante pentru auditarea financiară externă. De exemplu, o companie producătoare de
napolitane poate conține următoarele procese/sisteme care asigură veniturile din vânzări:
- principalul sistem este cel de comenzi primite prin telefon și livrate la dresa indicată de
client, în care se înregistrează detaliile și progresul fiecărei comenzi (urmărire operativă). Acesta
asigură 60% din vânzări;
- vânzările pe internet – comenzile se fac online, livrarea la dresa indicată de client și plata se
face prin card (tot electronic…). Acest sistem asigură 38% din vânzări și
- vânzările de la hala de producție, când clienți cumpără napolitane deteriorate/rupte și achită
cu numerar sau prin bancă. În această situație, este mai puțin probabil ca vânzările de napolitane
neconforme calitativ să genereze o prezentare eronată semnificativă în situațiile financiare și, prin
urmare, pot fi eliminate din domeniul de aplicare a auditului. Totuși, înainte de a lua o astfel de
decizie, ar fi prudent să se facă investigații (căutări și examinări) cu privire la existența și buna
funcționare a controalelor aplicate asupra vânzărilor de napolitane deteriorate, pentru a ne asigura ca
toate vânzările de acest fel sunt înregistrate și că napolitanele nu sunt sfărâmate în mod intenționat
pentru a fi vândute la prețuri mai mici, eventual către părți afiliate mai mult sau mai puțin
transparente…
La entitățile mici, auditorii sunt tentați să spună/creadă că nu există control intern și, prin
urmare, nu trebuie cunoscut (identificat, examinat și diagnosticat), ceea ce nu este corect. Practic, în
toate entitățile există o formă de control intern. El poate fi informal și nesofisticat, dar el există,
întrucât este foarte puțin probabil că o entitate care nu controlează riscurile cu care se confruntă să se
mențină mult timp în activitate.
De regulă, prezența unei persoane cheie - proprietar, administrator și director general foarte
implicat este adesea un punct forte al controlului intern, dar poate fi și un punct slab, chiar
îngrijorător. Punctul forte al controlului constă în faptul persoana respectivă (presupunând că este
competentă) va cunoaște/revizui toate aspectele operațiunilor/rezultatelor și este foarte puțin
probabil să nu identifice potențialele prezentări eronate semnificative. Punctul slab al controlului
constă în oportunitatea pe care acea persoană o are de a manipula în propriul beneficiu.
Întrucât este evident că punctele slabe dacă există nu vor lăsa urme, însă dacă punctele forte
există, ele se manifestă și lasă urme, atunci auditorul se află într-o situație fericită, întrucât astfel de
controale vor putea fi ulterior testate din punct de vedere operațional. În situația în care punctele
forte nu lasă urme, auditorul va fi preocupat de integritatea, comportamentul lipsit de etică sau de
atitudinea necorespunzătoare a conducerii față de controlul intern (deficiențele din mediul de control
intern tind să submineze controale existente în alte componente de control).
Un aspect foarte important este cel de identificare de către auditor a controalelor antifraudă.
Spre exemplu, depășirea atribuțiilor conducerii poate fi adesea atenuată prin crearea, documentare și
aplicarea de politici și proceduri-cheie. Este de preferat ca aceasta să stipuleze că toate înregistrările
în evidențele contabile (documentele justificative pe care se bazează) să fie aprobate în prealabil și
58
explicit de conducere (lăsând urme…). Aceasta nu ar preveni depășirea atribuțiilor de către conduce,
însă ar funcționa ca un stăvilar/reductor al tentațiilor conducerii. Dacă nu sunt puse în operă
politici/cutume antifraudă, riscul depășirii atribuțiilor de către conducere va trebui tratat de către
auditor prin efectuarea altor proceduri adecvate de audit (alte decât testarea mecanismelor de control
intern, pur și simplu pentru că acestea nu există în cazul dat); de bază este testarea substanțială/de
fond dezvoltată/extinsă a tranzacțiilor, soldurilor și prezentărilor în legătură cu care este suficient de
probabilă depășirea atribuțiilor conducerii…
Pentru evaluarea sistemului de control intern, o abordare tipică utilizată de auditori constă
în:
- înţelegerea mediului de control și a procedurilor utilizate de managementul clientului în
gestionarea riscurilor, a sistemului de informare şi comunicare, a activităţilor relevante de control,
precum şi a metodelor de supervizare la un nivel suficient de detaliat,
- identificarea mecanismelor specifice de control care au menirea de a reduce riscul de control
şi nivelul estimat al acestui risc,
- testarea eficacităţii mecanismelor de control.
2.4 Înţelegerea controlului intern al entităţii auditate
Sarcina profesionistului în cadrul obţinerii unei înţelegeri a controlului intern constă în a se

informa despre fiecare din cele cinci componente ale controlului intern și despre cum se manifestă
ele în toate structurile și procesele entității auditate. Căutând să obţină această înţelegere, auditorul
ar trebui să ia în considerare două aspecte esenţiale şi anume:
1. modul în care au fost proiectate (concepute și amplasate) diversele mecanisme de control
intern incluse în fiecare dintre componentele sistemului de control intern al clientului şi
2. să obțină asigurarea că aceste mecanisme au fost puse corespunzător în aplicare.
Metodele aflate la dispoziţia auditorului sunt prezentate în cele ce urmează.
i. Identificarea şi consultarea politicilor, normelor şi deciziilor interne. Pentru a proiecta, a
pune în aplicare şi a întreţine mecanismele de control intern, o entitate trebuie să dispună de un volum
mare de documente interne proprii elaborate în acest sens. Printre acestea se numără manualele şi
documentele referitoare la politicile întreprinderii (cum ar fi politica de marketing, de vânzări, de
mentenanţă, de prețuri şi altele asemenea), manualele şi documentele de sistem (cum ar fi un manual
de proceduri contabile, ROI/ROF, manualele softurilor utilizate şi organigrame) etc.
Aceste documente trebuie citite cu foarte mare atenție de auditor și înțelese, iar informaţiile
colectate sunt folosite la începuturi pentru orientare, sensibilităţile se discută cu personalul entității
examinate, pentru a se asigura că ele sunt corect interpretate şi percepute.
ii. Chestionarea personalului clientului. Un punct de ancorare pentru obţinerea iniţială a
informaţiilor constă în colectarea informaţiilor de la personalul relevant al clientului (managerial, de
supervizare sau operativ).
Altfel spus, după ce auditorul a solicitat, obținut și parcurs reglementările interne ale
clientului, a purtat o serie de discuții cu personalul relevant al entității examinate, pentru o mai bună
înțelegere trece la interogarea sau chestionarea formalizată (un instrument de audit mult mai riguros
decât discuțiile).
Cred că trebuie precizat ce însemnă „personal relevant” în acest caz și în general în
chestionările și ascultările auditorului (financiar extern). Desigur că aici intră persoanele cu atribuții
în domeniul investigat, dar nu sunt de neglijat indiciile celor mai puțin implicați, însă dispuși să
spună cât mai multe. Aceștia din urmă nu-s puțini, dar depinde de măiestria auditorului de a-i
încuraja pe oameni să vorbească sau chiar să nu vorbească, dar să sugereze unele indicii de căutare
și detectare…
Pe de altă parte, nu trebuie pierdut din vedere faptul că personalul entității de referință îi poate
explica auditorului mai degrabă modul în care ar trebui să funcționeze un sistem/mecanism/control
intern, decât modul în care funcționează în practică.
iii. Examinarea documentelor justificative şi a evidenţelor contabile. Toate cele cinci
componente ale controlului intern presupun crearea unui mare număr de documente şi evidenţe. Prin
59
examinarea documentelor justificative, a evidenţelor (ne)contabile şi a fişierelor informatice create,
auditorul poate înţelege mai bine conţinutul manualelor, sistemelor și a proceselor efective. În plus,
examinarea înscrisurilor oferă probe privind faptul că politicile şi mecanismele de control au fost
puse în aplicare.
iv. Observarea activităţilor şi operaţiunilor entităţii. Pe lângă examinarea actelor întocmite,
auditorul poate observa personalul clientului în cursul desfăşurării diverselor operaţii, al întocmirii
documentelor, al efectuării recepției și altele asemenea, precum şi în cursul derulării activităţilor
contabile şi de control obişnuite. Acest demers permite o îmbunătăţire suplimentară a înţelegerii şi
cunoaşterii mecanismelor de control puse în aplicare de entitate.
Întrucât ar putea trece neobservată, subliniem examinarea IT-lui clientului de audit, care este
inevitabilă în condițiile computerizării actuale. Ea este prezentă în toate cele patru metode anterior
prezentate, foarte importantă în înțelegerea și cunoașterea entității examinate ca bază de apreciere a
riscului de control intern atașat, precum și în testarea mecanismelor de control intern ale clientului.
Ceea ce înseamnă că, în această fază a misiunii sale, auditorul financiar extern discută și observă cât
mai mult pe această direcție, studiază documente și interoghează personalul relevant pentru a obține
o suficientă înțelegere a mediului IT al clientului.
Apoi urmează a se declara (in)competent în diagnosticarea acestui mediu, astfel:
- dacă el are suficiente competențe, atunci va trece la estimarea riscurilor din domeniu; prin
aprofundarea cunoașterii, de pildă prin scurte examinări realizate prin operare în sistem, dar
analizând profund probleme complexe cum ar fi, de pildă, securitatea bazelor de date;
- dacă nu are suficientă capacitate tehnică, va apela la un expert în domeniu și demn de
încredere, care să-i ofere o opinie veritabilă privind siguranța IT-ului clientului și încrederea pe care
i-o poate acorda…
După ce va fi diagnosticat preliminar IT-ul clientului, întrucât siguranța informațiilor este
vitală, între alții, și pentru auditorul financiar extern, el (sau reprezentantul său, expertul IT
atras/angajat de AFE) va trece ulterior la testarea consistentă a lui, pentru a stabili cât mai exact
posibil daca sistemul informatic al clientului are breșe sau nu; dacă IT-ul reprezintă un mijloc de
fidelizare / curățare a informației financiare sau unul cu potențial de manipulare și alterare a
acesteia?!...
Observarea, examinarea documentară şi chestionarea pot fi eficient combinate sub forma
parcursului operaţiunilor. Prin această metodă auditorul selectează unul sau mai multe înscrisuri
necesare pentru iniţierea unui tip de operaţiuni şi le retrasează/simulează parcursul prin procesele
tehnologice-comerciale (de afaceri) și prin întregul sistem și proces informaţional, contabil și de
raportare financiară. La fiecare etapă de prelucrare, auditorul face chestionări şi observă activităţile
curente, pe lângă faptul că examinează documentele întocmite pentru operaţiunea sau operaţiunile
selectate.
Apoi trebuie discutat despre documentarea înțelegerii SCI al clientului. Dar ce înseamnă de
fapt documentarea în audit?! Aceasta presupune că sistematic
- acțiunile propuse și cele întreprinse,
- dificultățile întâlnite și
- rezultatele obținute de AFE
trebuie „puse pe hârtie” într-un mod cât mai clar, sintetic și grăitor. Atenție! AFE nu este și nici nu
poate fi prezent la toate operațiile ce au loc în entitatea examinată, dar el trebuie să ajungă la
concluzii ferme despre calitatea informației financiare privind acele tranzacții. Dificil! Tocmai din
cauza acestei dificultăți specifice auditului, documentarea lui devine foarte importantă. Mai mult,
auditorul trebuie să prezinte în documentele sale de lucru investigațiile efectuate și rezultatele
obținute de așa manieră încât cel ce-i revizuiește lucrările să înțeleagă suficient de bine ce a făcut
entitatea auditată, ce a făcut auditorul și dacă (ambele entități) s-au comportat corect. Ca nivel de
performanță, ar trebui precizat că reperul este: atunci când parcurge documentarea de audit,
revizorul profesional să nu fie nevoit să mai adreseze întrebări suplimentare pentru a înțelege corect
cum a decurs auditul și care este de fapt calitatea informației financiare a entității auditate!
În acest sens, există trei metode tipice de documentare a înţelegerii controlului intern:
- prezentările narative,
60
- diagramele secvenţiale şi
- chestionarele de control intern.
Acestea pot fi folosite separat sau mai degrabă combinat, după cum se prezintă în cele ce
urmează.
a. În acest context prezentarea narativă devine o descriere a mecanismelor de control intern
ale clientului de auditat. O descriere adecvată a unui sistem contabil şi a mecanismelor de control
aferente acestuia trebuie să conţină cel puțin patru elemente, după cum urmează:
-1.originea fiecărui document şi registru de evidenţă din sistem. De exemplu, descrierea poate
să menţioneze cine generează referatele de necesitate şi cum sunt emise comenzile de aprovizionare;
-2.toate prelucrările care au loc. De pildă, dacă valorile aprovizionărilor sunt determinate de
un program informatic, atunci această operaţiune ar trebui descrisă succint dar cuprinzător;
-3.poziţia, conținutul și menirea fiecărui document si registru de evidenţă în sistem. Auditorul
trebuie să înțeleagă aceste aspecte prin prisma riscurilor identificate și să aprecieze în ce măsură
documentele utilizate de clientul său sunt adaptate și bine fundamentate în zonele de risc; dacă
există documente necesare dar neutilizate sau documente utilizate, dar care nu oferă o încredere
suficientă etc.;
-4.prezentarea mecanismelor de control relevante pentru stăvilirea riscurilor identificate.
Spre ilustrare, prezentarea modului de primire, prelucrare şi remitere către furnizori sau anulare a
comenzilor. De regulă, acestea includ:
- separarea sarcinilor (cum ar fi separarea înregistrării operaţiunilor băneşti de
gestiunea lichidităţilor),
- autorizările şi aprobările (cum ar fi aprobarea comenzii din punctul de vedere
al politicii de aprovizionare) şi
- verificările interne (cum ar fi compararea preţului de cumpărare unitar cu
prevederile contractelor încheiate cu furnizorii).
După cum se poate observa prin exemplele simple prezentate, ne-am îndreptat atenția către
zona de cumpărări a entității de auditat. Dar, dacă vorbim de narațiune în audit, considerăm util a
spune că la entitățile suficient de elaborate există proceduri stricte privind rigoarea/managementul
cumpărărilor, pe care auditorul este obligat să le parcurgă și să le rezume narativ sau combinat…
Mai mult, auditorul financiar extern trebuie să se asigure că rezumatul său (înțelegerea sa)
corespunde și proceselor efective desfășurate de entitatea client în această zonă…
b. Diagrama secvenţială, ca mijloc de susținere a rezultatelor investigării controlului intern al
clientului de audit, este o reprezentare simbolică, schematică a documentelor clientului şi a
succesiunii lor cronologice în organizaţie. Diagrama secvenţială adecvată trebuie să cuprindă ace-
leaşi patru elemente ca şi o bună (scurtă dar sugestivă) prezentare narativă.
Schiţarea unor diagrame secvenţiale este avantajoasă, în primul rând, pentru că poate oferi o
imagine concisă şi de ansamblu asupra sistemului clientului, care îi va fi utilă auditorului ca
instrument analitic de evaluare. Pentru aceasta, se folosesc, mai frecvent, schema bloc, schema
orizontală a fluxului informaţional şi schema logică de program.
Diagrama bloc, de rutină sau de relaţii constă în simbolizarea convenţională a compartimentelor care
participă la desfăşurarea activităţii analizate sub forma unor pătrate sau dreptunghiuri de dimensiuni
variate astfel încât să se poată înscrie în ele documentele care circulă în compartimentele respective şi unele
operaţii din cadrul fluxului informaţional; în interiorul acestor patrulatere se înscrie denumirea sau simbolul
compartimentului.
Utilizarea schemei bloc în analiza fluxului informaţional prezintă avantajul unor reprezentări grafice
sugestive şi într-un spaţiu restrâns, pe baza cărora sunt sesizate cu uşurinţă eventualele sinuozităţi ale
circulaţiei documentelor (informaţiilor). Are dezavantajul că nu permite o analiză a fluxului informaţional pe
operaţii.
În schema orizontală a fluxului informaţional reprezentarea circuitelor se desfăşoară pe orizontală,
utilizându-se pentru aceasta semnele convenţionale din Figura 2.4.
61
Figura 2.4 Semne convenţionale utilizate în reprezentarea circuitului informaţional
- Crearea unui document nou sau - Bloc informaţional

înregistrarea pentru prima oară simplificator, folosit pentru
a unor date într-un document în alb reprezentarea unor operaţii
simultane
- Adăugire de date pe un document
elaborat anterior - Linie de influenţă (linia notată
1 cu 2 reprezintă nivelul pe care
este situat documentul
2 influenţat)
- Manipularea, colaţionarea, capsarea,
clasarea documentului
- Staţionarea sau îndosarierea - Mişcarea unuia sau mai multor

temporară a unui document în documente de la un
vederea sortării, prelucrării etc. compartiment la altul,
de la o persoană la alta etc.
- Verificarea din punct de vedere

calitativ şi cantitativ a înregistrărilor - Arhivare
efectuate într-un document
Blocul informaţional simplificator şi linia de influenţă sunt semne convenţionale complexe.
Caracteristicile acestei reprezentări grafice constau în aceea că, pe de o parte, oferă posibilitatea
precizării influenţei pe care o are un document asupra unuia sau mai multor documente iar, pe de altă parte,
lungimea reprezentării este nelimitată, permiţând cuprinderea întregului sistem intr-un singur grafic.
Potrivit acestei metode de reprezentare, fiecare document este situat pe o linie orizontală proprie din
momentul apariţiei până la arhivarea sau distrugerea lui. Diagrama se desfăşoară continuu, de la stânga
spre dreapta; fiecare bloc informaţional simplificat fiind însoţit de indicaţii scrise asupra operaţiei
simbolizate.
Pentru exemplificarea acestei metode de reprezentare grafică a fluxurilor informaţionale se va
considera că documentul A, aflat în arhivă, este folosit pentru întocmirea, în patru exemplare, a unui alt
document B. Documentul A, după ce a fost utilizat la întocmirea documentului B, este din nou arhivat. Cele
patru exemplare ale documentului B sunt transmise spre verificarea şi înregistrarea de date unui alt
compartiment. În acest compartiment, după ce au fost efectuate operaţiile amintite, un exemplar din
documentul B este arhivat, iar celelalte trei exemplare sunt transmise altor compartimente. Operaţiile
efectuate asupra documentelor A şi B, precum şi circuitul acestora sunt redate în Figura 2.5.
Figura 2.5 Diagrama orizontală de prezentare a fluxului informaţional
Trimite
Document B 1
2
3
4
Verifică şi Trimite
înregistrează
Schema orizontală a fluxului informaţional, aşa cum rezultă şi din reprezentarea grafică, permite o
prezentare sugestivă a operaţiilor din sistemul informaţional, ilustrează circuitele documentelor şi
interdependenţele dintre documente în procesul realizării diferitelor operaţii. Această metodă de reprezentare
grafică are, de asemenea, avantajul că permite urmărirea cu uşurinţă a circulaţiei documentelor până la
finalizare, depistează paralelismele în efectuarea operaţiilor, precum şi operaţiile inutile. Are însă dezavantajul
unei perceperi de ansamblu mai dificile şi, mai ales, nu oferă o imagine vizuală a locului de efectuare a
operaţiilor.
O diagramă secvenţială bine întocmită contribuie la identificarea punctelor slabe ale
controlului intern, deoarece ea facilitează o înţelegere clară a modului în care funcţionează sistemul
sau cum este pus în operă procesul. Din cele mai multe puncte de vedere, diagramele sunt mai bune
decât prezentările narative ca metodă de comunicare a caracteristicilor unui sistem și ale proceselor
62
aferente, în special ca instrument de ilustrare a separării adecvate a sarcinilor. Este mult mai uşor să
analizezi o diagramă decât să citeşti o descriere interminabilă.
Decizia de a utiliza una dintre tehnici sau o combinare a lor depinde de doi factori: gradul
relativ de înţelegere la care au ajuns auditorii şi costul relativ al utilizării celor două tehnici. Însă,
indiferent de soluția adoptată, important este rezultatul: calitatea probelor de audit/informațiilor
colectate…
c. Un chestionar de control intern conţine o serie de întrebări despre mecanismele de control
aplicate în fiecare sferă supusă auditului, întrebări formulate cu scopul de a indica auditorului
anumite aspecte ale controlului intern ce ar putea fi necorespunzătoare. În cele mai multe cazuri,
aceste întrebări sunt formulate astfel încât să se poată răspunde prin "da" sau "nu". De regulă, răs-
punsurile negative sunt indicii ale unor potenţiale neajunsuri sau carenţe ale sistemului de control
intern.
Atenție! În acest caz, chestionarul este în primul rând un instrument de documentare, nu unul
de obținere a probelor de audit, a informațiilor necesare A.F.E. Altfel spus, ansamblul rezultatelor
obținute de auditor prin cele patru metode enumerate anterior (inclusiv chestionarea diverselor
persoane) este sistematizat sub forma unui auto-chestionar, prin care auditorul se asigură că o
anumită problematică este abordată corect și complet, încât, pe seama celor cuprinse în el, să poată
ajunge la o concluzie/constatare clară de diagnosticare a respectivei problematici.
În Tabelul 2.2 se prezintă un exemplu de chestionar folosit în înţelegerea şi evaluarea
controlului intern al aprovizionărilor şi achiziţionărilor entităţii auditate.
Bineînţeles că nici acest chestionar, ca şi exemplul anterior, nu epuizează întrebările pe care le
poate adresa auditorul personalului clientului în legătură cu aprovizionările acestuia, precum şi pe
cele pe care şi le poate autoadresa. Conceperea chestionarului depinde de cunoştinţele, experienţa şi
raţionamentul profesional al auditorului., de caracteristicile entității de referință și multe altele, dar
el oferă o imagine de ansamblu privind abordarea de audit sistematizată a unei anumite
problematici.
Principalul avantaj al utilizării unui chestionar constă în posibilitatea de a analiza riguros
fiecare domeniu auditat, suficient de repede şi la orice moment din parcursul auditului. Principalul
dezavantaj este că, de regulă, sunt examinate doar părţi componente ale sistemelor și proceselor
clientului de audit, fără a se crea o imagine de ansamblu. În plus, un chestionar standard este deseori
inaplicabil în cazul anumitor clienţi de audit, în special în întreprinderile mici. De asemenea, nu
trebuie neglijată diferența între chestionarea de auditor a celorlalți (a angajaților relevanți/interesanți
ai entității examinate și a colaboratorilor / partenerilor ei) și auto-chestionarea (arsenalul de întrebări
pe care auditorul financiar extern trebuie să și le adreseze sieși; denumirea corectă pentru acest
instrument de audit ar fi listă de verificare a îndeplinirii obiectivelor).
Este de menționat că auditorul nu poate (nu trebuie) să epuizeze (să considere că a finalizat)
lucrul decât după ce a obținut răspunsuri temeinice, ce se bazează pe probe de audit veritabile.
Reținem că ambele categorii se pot formula, uneori cu forme diferite, dar trebuie utilizate toate
(cât mai multe posibil) fără ezitare. Ajungem astfel la capacitatea interogativă a auditorilor, care
trebuie formată/deprinsă și întreținută permanent, pusă în operă inteligent, dacă dorim să realizăm
lucrări de performanță...
Folosirea concomitentă a chestionarelor şi diagramelor secvenţiale este foarte utilă pentru
înţelegerea controlului intern al unui client. Diagramele oferă o imagine de ansamblu asupra
sistemului, în timp ce chestionarele reprezintă liste de referinţă utile care îi amintesc auditorului
numeroasele tipuri diferite de mecanisme de control intern care ar trebui să existe într-o entitate.
Utilizată de manieră corespunzătoare, o combinaţie a acestor două tehnici ar trebui să ofere
auditorului o descriere suficient de concisă și completă a sistemelor, proceselor și
rezultatelor/efectelor rigorii sau controlului entității examinate.
Deseori este de dorit să se utilizeze prezentările narative sau diagramele făcute de client şi să se
ceară clientului să completeze/răspundă chestionarul de control intern. Când un client de auditat nu
poate furniza prezentări, diagrame şi chestionare aprofundate şi fiabile, auditorul este cel care
trebuie să elaboreze toate aceste instrumente.
63
Tabelul 2.2 Exemplu de sintetizare a documentării în audit prin întocmirea unui chestionar
Răspuns
Obiective şi întrebări
Da Nu N/A
A. Întrările înregistrate corespund unor aprovizionări reale (existenţă)?
1. Înregistrarea aprovizionărilor este justificată prin documente autorizate
X
(facturi), contracte şi comenzi aprobate?
2. Cumpărările sunt aprobate la nivel ierarhic corespunzător? X
3. Există un fişier sistematic al furnizorilor? X
4. Computerul acceptă înregistrarea de cumpărări numai pentru furnizorii
X
autorizaţi din fişierul sistematic?
5. Facturile furnizorilor, notele de recepţie, comenzile de cumpărare şi cererile
X
de aprovizionare sunt conexate şi verificate pe plan intern?
B. Operaţiunile de cumpărare existente sunt înregistrate (exhaustivitate -
integralitate)?
1. Se realizează o evidenţă (operativă) a aprovizionărilor? X
2. Comenzile de cumpărare sunt prenumerotate şi se urmăreşte succesiunea lor
X
numerică?
3. Există procedură privind abordarea diferenţelor constatate cu ocazia
X
recepţiilor?
4. Documentele de intrare (avize de însoţire sau facturi) sunt verificate la sediul
administrativ, astfel încât să se asigure că toate aprovizionările sunt X
recepţionate?
5. Se realizează o evidenţă independentă de contabilitate a TVA deductibilă şi o
confruntare lunară între registrul de evidenţă operativă a aprovizionărilor, X
jurnalul de TVA şi fişa contului furnizori?
C. Operaţiunile de cumpărare înregistrate sunt corecte (exacte)?
1. Se face o comparaţie independentă a cantităţii de bunuri din documentele emise
X
de furnizori cu cea din documentele de recepţie?
2. Preţurile şi reducerile aferente cumpărărilor sunt contorizate, aprobate şi
verificate dacă sunt consecvente politicilor întreprinderii, cererilor de X
aprovizionare şi contractelor încheiate cu furnizorii?
3. Calculele şi sumele sunt verificate pe plan intern? X
4. Conţinutul fişierului analitic al datoriilor către furnizori este verificat pe plan
X
intern?
5. Totalurile fişierului analitic de furnizori sunt comparate cu sumele si soldurile
X
contului sintetic corespunzător?
D. Operaţiunile de cumpărare înregistrate sunt corect clasificate ?
1. Se foloseşte un plan de conturi adecvat? X
2. Există o limitare prin soft a operării intrărilor de imobilizări corporale privind
X
condiţiile cumulative legale de îndeplinit?
3. Inserarea în conturi este verificată independent pe plan intern? X
E. Aprovizionările sunt înregistrate la datele corecte (cronologie)?
1. Procedurile contabile interne impun înregistrarea operaţiunilor cât mai curând
X
posibil după primirea bunurilor?
2. Datele sunt verificate din acest punct de vedere? X
De asemenea, în cazul unei mici entități de auditat unde, de regulă, nu există regulamente,
manuale de sistem și proceduri de formalizate, auditorul se va orienta cu predilecție spre înțelegerea
cutumelor sau obișnuințelor… În care, volumul studiului/cititului auditorului se reduce, în schimb,
va fi compensat de creșterea intervievări persoanelor, a observării proceselor și examinări
documentelor primare și contabile…
Evitați tentația de a utiliza liste de verificare generale cu activități de control intern, care sunt
adecvate pentru așa-numita entitate „tipică”. Listele cu controale „standard” sau „tipice” pot necesita
mult timp pentru a fi citite și înțelese, și adesea sunt prea complexe sau pur și simplu irelevante
pentru unele entități (mai mici). În schimb, folosiți-le ca sursă de orientare, însă doar atunci când
64
este necesar. Este mult mai bine să se documenteze natura/conținutul fiecărui control intern
identificat folosind propria logică și descriere succintă a contextului.
2.5 Estimarea riscului de control şi identificarea elementelor care îl pot reduce
După ce obţine o înţelegere suficientă a controlului intern, pentru a putea planifica misiunea,
examinatorul extern trebuie să facă o estimare iniţială a riscului de control. Pentru a ajunge la
această estimare iniţială trebuie să respecte patru cerinţe și/sau etape de lucru.
I. Să aprecieze dacă situaţiile financiare sunt auditabile. Prima estimare constă în a se
determina dacă entitatea este auditabilă. Indiferent de mărimea entității de referință, doi factori de
bază determină caracterul auditabil şi anume:
- integritatea managementului şi
- caracterul adecvat al documentelor şi evidenţelor contabile.
Dacă auditorul percepe managementul întreprinderii ca fiind (foarte) serios şi competent,
precum şi că evidenţa este rezonabil organizată şi bine documentată, atunci el poate estima că
entitatea este auditabilă.
Deși, cu altă ocazie, am spus/scris despre contabilitate că este doar unul dintre șase domenii de
cunoaștere a entității de referință, iată că aceasta, contabilitatea, ajunge în primul rând al
preocupărilor auditorului financiar extern; nu este vorba despre o contradicție în termeni și/sau
exprimări, ci doar despre a sublinia că auditorul este nevoit ca aceeași problemă să o abordeze din
cât mai multe ipostaze, inclusiv cea de bază în opinarea sa…
Când ajunge la concluzia că entitatea nu este demnă de încredere, practicianul trebuie să
discute circumstanţele specifice ale acestei concluzii cu clientul (de obicei, cu cel mai înalt nivel
ierarhic al acestuia), având la dispoziţie două alternative
- fie să se retragă din angajament,
- fie să emită un raport de audit sub formă de refuz de a exprima o opinie. Aceasta înseamnă
că alte riscuri pot fi stăpânite într-o anumită măsură de auditor.
De precizat că, prin onestitatea conducerii, în acest caz, se înțelege (include) și disponibilitatea
acestuia pentru dialog și reacție obiectivă în raport cu cele constatate și sesizate de auditor…
II. După obţinerea unei anumite înţelegeri a controlului intern de la începutul planificării
misiunii sale, auditorul face o estimare iniţială a riscului de control intern. Această proiecţie
exprimă măsura în care practicianul se aşteaptă ca mecanismele de control intern să nu:45
- preîntâmpine apariţia în situațiile financiare a unor prezentări eronate
semnificative,
- detecteze şi corecteze denaturările semnificative deja apărute.
De obicei, estimarea iniţială începe cu luarea în considerare a mediului controlului. Dacă în
viziunea managerilor controlul intern nu este important, probabilitatea ca activităţile specifice să fie
fiabile (inclusiv informațiile financiare de interes public) este foarte mică. În acest caz, cea mai bună
soluţie este dată de scepticismul profesional: să se presupună că riscul de control aferent tuturor
obiectivelor de audit legate de operaţiuni este maxim. Altfel spus, încrederea în conducerea entității
de referință pe care auditorul financiar extern o ia în considerare este foarte scăzută, tinde către
zero…
Pe de altă parte, dacă atitudinea managementului este una călăuzită de rigoare, performanță și
onestitate, atunci auditorul analizează inductorii specifici din cadrul mediului de control şi
elementele interesante aparţinând celorlalte patru mari componente ale controlului intern.
Diagnosticele preliminare ale mecanismelor de control intern din toate cele cinci mari
componente sunt utilizate ca bază pentru estimarea riscului UNDEVA46 sub nivelul maxim. Astfel,
45
Se observă clar aici că din tot riscul de control intern al entității auditate, pe auditorul financiar extern îl interesează
doar acela cu potențial de transformare în risc de denaturare semnificativă….
46
Aceasta-i esența acestui curs. Ce are de făcut și ce poate să facă AFE pentru stabilirea acestui „UNDEVA”, pe o scara
de la 0 la 5, de la 0 la 1 sau de la 0 la 10 (ce notă-i dăm SCI?) sau, pe o scară de la 0 la 100, ce procent de (ne)încredere-i
acordăm!?
65
această apreciere se realizează luând în considerare toate informaţiile colectate până la acest
moment din:
- studierea legislaţiei,
- consultarea reglementărilor interne relevante, inclusiv graficul de circulație a documentelor,
fișele posturilor etc.,
- discuţii și consultări (atât în cadrul echipei de audit și firmei/entității de audit, cât și cu
personal relevant din entitatea auditată sau din afara acesteia),
- interogări,
- observări şi
- analizele preliminarii de sisteme și de procese specifice clientului de audit
- scurte inspecții (chiar și în această fază de cunoaștere prealabilă verificării „pe teren” nu sunt
excluse scurte inspecții la „fața locului” efectuate pentru mai buna înțelegere a conceperii și
amplasării mecanismelor de control intern ale clientului de audit),
a căror ordonare este cuprinsă în:
- liste de verificare,
- naraţiuni,
- diagrame
- grafice sugestive
- grile de analiză a separării sarcinilor şi
- chestionare de control intern etc.
Se diagnostichează în proforma fiecare element al rigorii sau dezordinii din cadrul entităţii
de referinţă, pe baza propriului raţionament profesional al examinatorului. Este nevoie și obligatoriu
ca toate rațiunile utilizate să fie suficient de clar precizate în documentația realizată de auditor.
Indiferent de momentul în care se produce aprecierea, de regulă, auditorul estimează riscul de
control aferent obiectivelor de audit legate de operaţiuni, existențe/solduri și prezentări,
abordând fiecare tip major de operaţiuni din fiecare ciclu, categorii de solduri și secvențe de
prezentări47. De pildă, în ciclul aprovizionare, tipuri de operaţiuni (procese) sunt:
- selectări de furnizori,
- contractări,
- solicitări interne,
- comenzi,
- intrări în entitate de natura aprovizionărilor / cumpărărilor,
- recepţionări,
- refuzuri la recepție
- restituiri,
- recunoaștere/înregistrare financiar-contabilă,
- declararea bun de plată,
- achitări etc.
Aceste mari procese nu sunt standard, auditorul le stabilește (mai bine spus, le identifică,
corelează și apreciază) relativ diferit de la o entitate auditată la alta în funcție de experiența sa și de
condițiile specifice clientului (pe baza raționamentului profesional). Tot așa, estimarea inițială a
riscului de control intern se poate realiza în patru pași:
A. Primul pas în estimarea riscului constă în a identifica obiectivele de audit legate de
cicluri de operaţiuni (plus existențe/solduri și prezentări) asupra cărora se aplică estimarea. Acest
lucru se face prin aplicarea obiectivelor de audit legate de operaţiuni şi formulate în termeni generali
asupra fiecărei categorii majore de operaţiuni a entităţii.
De pildă, daca vorbim de ciclul aprovizionări și ne limităm doar la operațiunile de aici (nu și la
solduri și prezentări), transpunerea obiectivelor generale de audit al operațiilor / tranzacțiilor poate
dobândi o formă precum cea reliefată în Tabelul 2.3.
47
Pentru o mai bună înțelegere, în această expunere vom face referire doar la un ciclu sau set de operații. Abordări
privind soldurile și prezentările din situațiile financiare vom realiza cu alte ocazii
66
Problema de fond pe care o au de soluționat auditorii financiari externi este: ce rigori (ce
mecanisme de control intern) a implementat clientul pe procesele din ciclul aprovizionări care-l pot
ajuta să răspundă mai ușor la lista de întrebări minimale din tabelul anterior. Nu este o problemă
ușoară, dar de buna ei soluționare depinde fundamental reușita și eficiența misiunii de audit
financiar extern. Pentru mai multa claritate, reluăm integrat într-un nou Tabel 2.4 toată problematica
Tabelul 2.3 Obiective de audit ale oprerațiilor/tranzacțiilor
Obiective generale de audit a Obiective specifice de audit al operațiunilor din ciclul aprovizionare
rulajelor conturilor (nu este nici pe departe o listă exhaustivă)
Apariţie / existenţă / Tranzacţiile şi evenimentele înregistrate în zona aprovizionări într-adevăr
i.
realitatea au avut loc şi sunt legate de entitatea respectivă ?
Toate tranzacţiile şi evenimentele din ciclul aprovizionare care ar fi trebuit
Exhaustivitate / înregistrate au fost evidenţiate?
ii.
integralitate Toate informațiile ce trebuiau colectate în acest ciclu sunt colectate și
accesibile?
Detalii tranzacțiilor sunt suficient de clare?
Tranzacția este ferită de orice ilegalități?
Evaluarea financiară a cumpărărilor este adecvat realizată?
iii Acurateţe Sumele au fost calculate corect?
Sumele şi alte date aferente tranzacţiilor şi evenimentelor din
aprovizionare au fost înregistrate în mod corespunzător (cu toate
detaliile necesare)?
Separarea exerciţiilor Tranzacţiile şi evenimentele din ciclul aprovizionare au fost înregistrate în
iv.
financiare perioadele contabile adecvate?
Tranzacţiile şi evenimentele au fost înregistrate în conturile şi/sau
v. Clasificare categoriile corespunzătoare?
Se asigură o recunoaştere adecvată a naturii şi destinaţiei cumpărării.
B. Pe parcursul examinării şi evaluării „stăvilarelor” ce trebuie să le parcurgă operaţiilor

desfăşurate de client, din perspectiva obiectivelor de audit, se pot constata o serie de asiguratori /
furnizori de rigoare internă ce funcționează performant, dar se pot observa și inadvertenţe sau
neajunsuri. Un neajuns al controlului intern este reprezentat de absenţa mecanismelor de control
adecvate,48 care majorează riscul apariţiei de prezentări eronate în situaţiile financiare. Dacă, în opi-
nia auditorului, mecanismele de control nu sunt adecvate pentru realizarea unuia/oricăruia dintre
obiectivele de audit referitoare la operaţiuni, va creşte probabilitatea apariţiei prezentărilor eronate în
cadrul situaţiilor financiare (va crește riscul de control intern estimat). Spre exemplu, dacă angajaţii
ce se ocupă de contabilitatea stocurilor au posibilitatea de a modifica datele din nomenclatorul
stocurilor şi cel al preţurilor de aprovizionare, profesionistul ar putea deduce că sistemul de control
intern are o carenţă/deficiență, implicit, că informaţiile din situaţiile financiare privind stocurile pot
fi eronate.
Pentru a identifica neajunsurile semnificative ale controlului intern se poate utiliza o
metodă în patru secvențe/trepte/plaje de lucru, descrisă în continuare.
b1. Identificarea mecanismelor de control existente. Deoarece neajunsurile constau în absenţa
unor mecanisme de control adecvate concepute și plasate, auditorul ar trebui mai întâi de toate să
ştie ce mecanisme de control există în raport cu riscurile inerente reținute. Identificarea mecanis-
melor de control existente se realizează pe baza metodelor deja prezentate, pentru toate
(sub)procesele entității raportat la obiectivele de audit specifice; pentru a determina siguranța
(încrederea acordată de examinatorul extern conducerii entității de referință) tuturor sub/circuitelor
entității auditate.
Este de subliniat că este puțin probabil ca un singur control intern de sine stătător să atenueze
un (factor de) risc. Adesea, pentru a trata factorul de risc este necesară o combinație de componente
48
Această adecvare este una teoretică / proforma, ce a rezultat din studiile preliminare realizate până la acest moment de
auditorul financiar extern. O adecvare mai puternică (mai aplicată) se va putea stabili numai după testarea competentă a
mecanismelor de control intern…
67
ale controlului intern al clientului, de pildă: separarea sarcinilor, verificare documentară și nelipsitul
mediu de control intern.
Tabelul 2.4 Obiective de audit ale tranzacțiilor, procese și mecanisme de control intern
Obiective specifice de audit al operațiunilor Princip. procese Mecanisme de control

din ciclul aprovizionare din aprovizionare intern posibile
Tranzacţiile şi evenimentele înregistrate în 1. separarea sarcinilor și
- selectări de furnizori,
i. zona aprovizionări într-adevăr au avut loc şi limitarea accesului;
sunt legate de entitatea respectivă ? - contractări, 2. asigurarea ocupării
Toate tranzacţiile şi evenimentele din ciclul funcţiilor numai de
aprovizionare care ar fi trebuit înregistrate - solicitări interne,
persoane competente și
au fost evidenţiate ? - comenzi, oneste;
ii.
Toate informațiile ce trebuiau colectate în
acest ciclu sunt colectate și accesibile - intrări în entitate de 3. rotirea personalului;
utilizatorilor autorizați ? natura aprovizionărilor
cumpărărilor, 4. autorizarea
Detalii tranzacțiilor sunt suficient de clare corespunzătoare a
? - recepţionări, operaţiunilor şi activităţilor;
Tranzacția este ferită de orice ilegalități ?
Evaluarea financiară a cumpărărilor este - restituiri, 5. procesarea
iii adecvat realizată ? informațiilor;
- recunoaștere /
Sumele au fost calculate corect ? înregistrare financiar- 6. controlul fizic al
Sumele şi alte date aferente tranzacţiilor contabilă, activelor şi securitatea
şi evenimentelor din aprovizionare au fost informaţiilor;
înregistrate în mod corespunzător ? - declararea bun de
Tranzacţiile şi evenimentele din ciclul plată, 7. revizuirea sistematică a
iv. aprovizionare au fost înregistrate în performanțelor;
- achitări
perioadele contabile adecvate ? 8. monitorizarea internă dar
Tranzacţiile şi evenimentele au fost - etc. independentă
înregistrate în conturile şi / sau categoriile
v. corespunzătoare ? 9. etc.49
Se asigură o recunoaştere adecvată a naturii
şi destinaţiei cumpărării ?
De asemenea, poate deveni interesantă clasificarea controalelor interne în preventive,
respectiv, de detecție și corecție ale posibilelor prezentări eronate. Auditorul trebuie să50 rețină:
- frecvența controlului (continuu, zilnic, săptămânal lunar etc.) și
- dacă este automat sau manual, respectiv,
- fiabilitatea preconizată a controlului intern pe parcursul perioadei de referință. Aceasta ar
putea cuprinde, de exemplu, evaluarea competenței și independenței față de alte funcții a persoanei
ce efectuează/gestionează controlul, dacă acel control este efectuat în timp util/oportun, precum și
istoricul tuturor erorilor înregistrate, modul de tratare a acestora, inclusiv atitudinea conducerii.
Evaluarea controlului intern se poate combina cu documentarea (cunoașterii) controlului și cu
inspecția/observarea documentelor pentru a susține/proba implementarea efectivă a controlului. De
exemplu, dacă se identifică o politică stipulând că nicio înregistrare care nu este de rutină în
evidențele contabile nu se poate efectua fără autorizație, trebuie solicitată și examinată/studiată
respectiva politică (pentru evaluarea conceperii) și examinate unele înregistrări contabile de această
natură pentru a observa dovada aprobării (implementarea controlului).
Atenție, multe entități desemnează responsabilitățile de gestionare a riscului prin procese
(vânzări, cumpărări, salarizare etc.) în loc de desemnarea pe persoane. Drept consecință, pot apărea
o serie de factori de risc importanți a căror gestionare se împarte între departamente (cum ar fi
49
La o privire simplistă, s-ar putea spune că lipsește unul dintre cele mai importante mecanisme de control intern,
anume, verificarea! Însă ea este foarte prezentă, doar că nu este enunțată. Ea se regăsește în controlul fizic, în autorizare,
în procesarea informațiilor și în revizuire, precum și în monitorizare…
50
București 2012, pg. 389-392.
68
vânzările, achizițiile și contabilitate) și niciunul dintre acestea nu este direct responsabil. Dacă
riscurile nu sunt identificate în mod clar și responsabilitatea nu revine unei persoane anume, atunci
când ceva nu merge bine, responsabilitatea este aruncată de la o persoană la alta. Persoanele
solicitate de auditor se pot învinovății una pe alta, spunând ceva de genul „Am crezut că acel risc era
gestionat de dl. Ionescu sau de dl. Popescu, sau de departamentul de contabilitate, de IT sau de
vânzări... Vorbim aici despre aprecierea de către auditor a sinergiei relaționărilor dintre persoane,
procese și structuri/sisteme…
b2. Identificarea mecanismelor de control absente. Pentru aceasta auditorul trece în revistă
riscurile inerente posibile versus „fortificaţiile” amplasate de conducere în calea acestora, inclusiv
auto-limitările ce și le-a „plantat” în cale propriilor tentații... Astfel, se pot repera cu uşurinţă
poziţiile/circuitele în care mecanismele de control intern lipsesc... Chestionarele de control intern,
prezentările narative şi diagramele secvenţiale sunt utile pentru identificarea sferelor în care lipsesc
mecanisme de control şi în care, pe cale de consecinţă, creşte probabilitatea apariţiei de erori și/sau
fraude. De regulă, când auditorul estimează riscul de control ca moderat sau mare, înseamnă că s-a
constatat absenţa unor mecanisme de control.
b3. Determinarea denaturărilor semnificative potenţiale (reziduale) care ar putea rezulta.
Această etapă are drept scop identificarea prezentărilor denaturate specifice, care ar putea apărea din
cauza absenţei mecanismelor de control intern. Importanţa unui neajuns al sistemului de control
intern este direct proporţională cu amploarea denaturărilor (erorilor și/sau fraudelor), care ar putea
rezulta/exista urmare a respectivului neajuns. Am mai spus, problemele/aspectele ce nu au potențial
de denaturare a informației financiare îi preocupă mai puțin pe auditorii financiari externi; de pildă,
nerespectarea cerințelor de ținută la serviciu; pe alți auditori s-ar putea să-i interesează această speță,
deși și pentru AFE ar putea fi un indiciu privind analiza mediului de control intern, dar foarte puțin
probabil să-i ajungă efectul până la denaturarea informației financiare.
b4. Analizarea posibilităţii existenţei unor mecanisme de control intern compensatorii. Nu ne
grăbim! Un mecanism de control compensatoriu este cel introdus într-o altă componentă a
sistemului pentru a compensa un neajuns al componentei examinate. Un exemplu tipic într-o com-
panie mică este implicarea activă în toate a proprietarului onest, inclusiv în înțelegerea și
acceptarea/verificarea propriilor date furnizate de contabilitate. Când există un mecanism de control
compensatoriu, neajunsul nu mai trebuie să-1 preocupe pe auditor, deoarece probabilitatea de
alterare a informației financiare este suficient diminuată.
Un alt exemplu se poate construi pentru evaluare controlului intern al stocurilor, atunci când
managementul nu optează pentru mecanismul de control intern garantare, dar lipsurile constatate la
inventarierea stocurilor se impută ferm și se recuperează de la gestionarii responsabili, iar plusurile
constatate se înregistrează în contabilitate ca venituri, fără a se compensa cu minusuri anterioare,
astfel, acest al doilea mecanism de control intern nu numai că este unul compensator al lipsei
garantării, dar devine și unul sancționatoriu capabil să inducă un mediu de control intern deosebit de
riguros. Dar, atenție! Mecanismul de control intern compensatoriu prezentat este eficient/performant
în lupta împotriva fraudei salariale (de regulă, mai simplă și de valori mai mici), însă nu are nici un
efect asupra fraudei manageriale (mai perfidă și de valori mult mai mari)… Pentru frauda
managerială, indiciile sunt de altă natură, cum ar fi, de pilă, tratamentul discriminatoriu /
inconsecvent de către guvernanță și top-management ale acelorași fapte săvârșite de diverși
manageri din treptele inferioare – inconsecvența funcționării controalelor!…
Tot ca exemplu, în condițiile crizei și dorinței de reducere a costurilor, băncile comerciale nu
mai respectă separarea clasică a sarcinilor între casier și consilierii în vânzări de produse bancare.
Într-o nouă formă de control intern hibridă, există încă funcția de casier de sine stătătoare, dar cu un
număr redus de personal… În condițiile aglomerării casieriei, consilierii realizează și ei încasări și
plăți cu numerar! În acest caz, mecanismele de control intern compensatorii interesante pentru
auditorul financiar extern pot fi:
- consilierii de vânzări realizează numai anumite operații cu numerar, de regulă, cele mai
simple și cu sume modice (foarte puțin riscante…);
- selectarea de consilieri onești pentru astfel de intervenții combinată cu verificarea
permanentă a acestei onestități;
69
- monitorizarea video a întregului habitat operațional și în mod special (similar casierilor) a
consilierilor ce pot să efectueze și operațiuni de încasări și plăți;
- controlul IT în timp real asupra înregistrărilor și mini-seifurilor utilizate;
- obligarea consilierilor de vânzări (ca și casierii obișnuiți) la realizarea/asigurarea garantării;
- etc.
Sau, tot cu titlu de exemplu, lipsa autorizării interne a comenzilor primite de la clienți
este/poate fi compensată de reținerea din salariile agenților de vânzări a sumelor neachitate în
termen sau a costurilor returnării bunurilor de la clienții de ale căror comenzi s-au ocupat respectivii
agenți…
C. Următorul pas este identificarea mecanismelor cheie de control, care contribuie la
atingerea fiecărui obiectiv de audit legat de operaţiuni. Din întregul arsenal, practicianul identifică
mecanismele de control pertinente și relevante în raport cu asigurarea calității informației financiare
de publicat, analizând informaţiile descriptive despre sistemele și procesele clientului. Sunt
identificate acele politici, proceduri şi activităţi care, în opinia auditorului, asigură controlul
operaţiunilor vizate. Pentru a conduce această analiză, deseori este util să se facă referinţă la tipurile
de mecanisme de control care ar putea exista şi să se întrebe personalul clientului dacă aceste
mecanisme există în realitate. Spre exemplu:
- Există o separare adecvată a sarcinilor şi cum se realizează aceasta?
- Documentele utilizate sunt adecvat concepute?
- Se utilizează exclusiv documente pre-numerotate?
- Documentele pre-numerotate sunt corect utilizate și contabilizate?
- Accesul neautorizat la fişierele sistematice este suficient preîntâmpinat / restricționat?
- Etc.
În efectuarea acestei analize nu este obligatoriu să se abordeze fiecare mecanism de control în
parte. Auditorul poate să identifice şi să includă în analiză numai mecanismele de control care se
presupune că au cel mai mare impact asupra atingerii obiectivelor de audit referitoare la
operaţiuni. Deseori, acestea sunt numite mecanisme-cheie ale controlului intern. Motivul pentru
care numai mecanismele-cheie ale controlului intern sunt luate în considerare de examinatorul
extern este că acestea sunt apreciate ca suficiente pentru atingerea obiectivelor de audit referitoare la
operaţiuni (solduri și prezentări) şi ar trebui să asigure astfel (urmărind mai puține MCI) eficienţa
misiunii/angajamentului.
D. După ce a identificat mecanismele de control cheie, neajunsurile sistemului şi le-a corelat
cu obiectivele de audit legate de operaţiuni, auditorul poate estima riscul de control, întrucât se
presupune că a acumulat suficiente probe.
În acest scop, mulţi practicieni folosesc matricea riscului de control. Întrucât majoritatea
mecanismelor de control afectează concomitent mai multe obiective de audit referitoare la
operaţiuni, ele sunt reflectate laolaltă prin matrice. Caracterul complex al mecanismelor face din
această matrice un instrument util pentru estimarea nivelului riscului de control/de denaturare.
Auditorii utilizează matricea pentru a identifica atât mecanismele de control, cât şi neajunsurile
sistemului şi pentru a estima riscul de control, aşa cum rezultă din Figura 2.6.
În alcătuirea matricei, obiectivele de audit legate de operaţiunile de aprovizionări sunt înscrise
ca titluri de coloane, iar mecanismele de control pertinente și relevante identificate sunt înscrise în
titlurile rândurilor. În plus, acolo unde au fost identificate neajunsuri semnificative, acestea au fost,
de asemenea, incluse ca titluri de rând sub lista mecanismelor-cheie ale controlului intern. Apoi,
corpul matricei este folosit pentru a arăta modul în care mecanismele de control contribuie la
atingerea obiectivelor de audit legate de operaţiuni şi modul în care neajunsurile afectează aceleaşi
obiective.
Auditorul estimează riscul de control căutând răspunsul la următoarea întrebare: „Care este
probabilitatea ca o prezentare eronată semnificativă să nu fie preîntâmpinată sau detectată şi
corectată de mecanismele de control intern ale entității examinate şi care este impactul acestui
neajuns?” Dacă probabilitatea și impactul sunt mari, atunci şi riscul de control/de prezentare
eronată va fi mare, şi aşa mai departe.
70
Figura 2.6 Matricea riscului de control intern
OBIECTIVE DE AUDIT
PRIVIND OPERAŢIUNILE
DE APROVIZIONĂRI
Exhaustivitate
CONTROL INTERN
Cronologie
Clasificare
Acurateţe
Existenţă
Contractele și/ sau comenzile sunt verificate și vizate privind
C
legalitatea lor
Verificarea independentă la intrarea bunurilor/M.T.A. în unitate C C
MECANISME DE CONTROL INTERN CHEIE ILUSTRATIVE
Comanda de aprovizionare este automat aprobată de computer /

C
suficient de independent.
Recepția competentă a intrărilor de bunuri C C C C
Computerul acceptă înregistrarea cumpărărilor numai pentru furnizorii
C C
autorizaţi din fişierul sistematic
Separarea sarcinilor legate de aprovizionare, contabilizare şi gestiunea
C C
plăţilor.
Facturile furnizorilor, notele de recepţie, comenzile de cumpărare şi
C C C
cererile de aprovz. sunt conexate şi verificate pe plan intern
Documentele de aprovizionare sunt remise zilnic spre serviciul
C C
administrativ, în ziua imediat următoare.
Numerele documentelor de recepţie sunt prestabilite suficient de
C C C
timpuriu şi se utilizează secvenţial
Se face o comparaţie indpd. a cantităţii de bunuri din documentele
C C C C
emise de furnizori cu cea din documentele de recepţie
Preţurile şi reducerile aferente cumpărărilor sunt contorizate,
C C C C
aprobate şi verificate intern independent
Proced. contabile impun înreg. oper. cât mai curând posibil după
C C C C
prim. bunurilor.
Zilnic sau periodic conţinutul fişierului analitic al furniz. este verif.
C C C C
şi confruntat cu balanţa de verificare sintetică
Nu se realiz. o evidţ indpnd. de contab. a TVA şi o confrtr lunară
N N
NEAJUNSURI
între reg. de evid. opertv a aproviz, jurn de TVA şi reg. cumpărr.

Inserarea în conturi nu este verificată independent pe plan intern N N
mediu
mic
mic
mare
mare
Riscul de control estimat
C = mecanismul de control există și corespunde obiectivului de audit referitor la operaţiunile de aprovizionări;

N = neajuns de control intern identificat.
Aprecierea sistemului de control intern efectuată înainte de administrarea testelor

mecanismelor de control intern ale clientului, pe o scară de la zero la unu (sau de la 0% la 100%), se
finalizează prin acordarea unuia dintre calificativele/riscurile:
□ excelent – în situaţia în care toate riscurile sunt abordate adecvat de sistemul de control
intern, risc de control foarte mic (0,10%);
□ bun – dacă riscurile, cu câteva mici excepţii, sunt abordate adecvat de sistemul de control
intern, risc de control mic [10%,20%);
71
□ satisfăcător – în acest caz riscurile sunt abordate cu excepţii semnificative, risc de control
mediu [20%,60%];
□ slab – când controalele interne nu abordează riscurile ce planează asupra entităţii auditate,
risc de control mare (70% – 100%).
Desigur că se pot folosi diverse grile de evaluare, nu neapărat doar cea prezentată aici cu titlu
de exemplu. Forma de prezentare nu este importantă, ci rațiunile și conținutul diagnosticării; cu alte
cuvinte, probele de audit obținute/realizate de auditor în sprijinul diagnosticului său...
Indiferent de grila utilizată, există două consideraţii importante în ceea ce priveşte estimarea
iniţială. În primul rând, auditorul nu este obligat să facă estimarea iniţială de manieră formală,
detaliată. El poate schiţa estimarea riscului de control întrucât deocamdată foloseşte exclusiv la
orientarea / planificarea misiunii. Însă, în cele din urmă, practicianul va documenta nivelul riscului
de control final utilizat (măsura îngrijorării privind rigoarea internă ce o ia în considerare), pe care
seva baza și în elaborarea concluziilor finale, precum şi a raportării / A OPINĂRII. Bineînţeles că
prezentarea noastră este nevoită să facă referiri la nivelul riscului estimat şi eventualele ajustări ce au
condus la versiunea finală, dar de referinţă rămâne riscul de control stabilit după testarea efectivă,
suficientă și de calitate, a mecanismelor de control intern al entității auditate.
În numeroase misiuni de audit, mai ales cele ale companiilor mici, auditorul presupune că
riscul de control este maxim (1 sau 100%), indiferent de situaţia reală. Auditorii procedează astfel,
deoarece decid că este mai economic să facă o examinare aprofundată a rulajelor, soldurilor şi altor
elemente/prezentări din situaţiile financiare, decât să testeze mecanismele de control intern aferente
acestor elemente.
În al doilea rând, dacă auditorul consideră că riscul de control este sub nivelul maxim (mai mic
de 1 sau de 100%), valoarea estimată a riscului de control se limitează la acel nivel, indiferent care
ar fi respectivul nivel, doar dacă este justificat de probele obţinute. La aceste momente ale misiunii
de audit, de regulă acestea sunt insuficiente, dificil de obţinut sau este mult prea costisitoare
obţinerea lor. Spre ilustrare, să presupunem că auditorul consideră că riscul de control asociat
aprovizionărilor ireale este mic, dar nu a colectat decât o cantitate mică de probe pentru a justifica
mecanismele de control vizând existenţa, ca obiectiv de audit legat de operaţiuni. Prin urmare,
estimarea riscului de control pentru aprovizionările inexistente trebuie să fie ori mare, ori moderată
(peste 0,7 sau peste 0,3). Aceasta ar putea fi mică sau foarte mică numai dacă se obţin probe
suplimentare care să ateste existenţa şi funcţionarea unor mecanisme de control pertinente.
III. Să aprecieze dacă se poate justifica un risc de control estimat mai mic. Când consideră
că riscul de control real ar putea fi cu mult mai mic decât estimarea iniţială, profesionistul poate
decide să justifice (încerce) determinarea unui risc de control estimat mai mic. Cel mai probabil caz
în care s-ar putea produce acest lucru este atunci când auditorul a identificat un număr restrâns de
mecanisme de control în faza de înţelegere. Bazându-se pe rezultatele estimării iniţiale, practicianul
consideră acum (când cunoaște puțin mai bine clientul) că pot fi identificate şi testate mecanisme
suplimentare de control intern pentru a reduce şi mai mult riscul de control estimat.
IV. Să determine nivelul adecvat al riscului de control intern estimat. După ce face estimarea
iniţială (pe baza acțiunilor descrise anterior), auditorul – înainte de a începe conceperea procedurilor
de audit suplimentare51 și munca laborioasă „pe teren” de testare consistentă – analizează dacă este
posibil să utilizeze un risc de control intern mai mic pentru munca desfășurată în continuare.
Astfel, auditorul are posibilitatea de a decide care dintre riscurile de control estimate ar trebui
utilizat: fie un nivel deja justificat în estimarea iniţială, fie un nivel mai mic (de preferat ar fi acest
nivel mai mic, altfel eforturile de examinare vor fi considerabil mai mari…).
Decizia privind nivelul de utilizat este în esenţă una economică, bazată pe o comparaţie dintre
costurile testării mecanismelor de control relevante şi costurile efectuării testelor
substanţiale/proceduri de fond, care vor fi evitate dacă se va diminua riscul de control estimat; dar
51
Pe lângă procedurile de evaluare/estimare a riscurilor, auditorul financiar extern mai efectuează și proceduri de audit
suplimentare, respectiv: teste ale mecanismelor de control intern și proceduri de fond (teste substanțiale/ale detaliilor și
proceduri analitice).
72
aceasta se decide fără a neglija (luând în considerare) riscul de audit, respectiv, emiterea unei opinii
necorespunzătoare stării de fapt..
2.6 Comunicarea deficiențelor de control intern
Pe parcursul auditului financiar extern pot fi identificare deficiențe sau neajunsuri ale
controlului intern al entității de referință.52 Aceasta se poate întâmpla ca urmare a cunoașterii și
diagnosticării controlului intern, atunci când se evaluează riscurile, se efectuează procedurile de
audit sau pot rezulta din diverse alte observări/constatări făcute în orice etapă a misiunii.
Nu există restricții (limite superioare) cu privire la deficiențele de control ce pot fi comunicate
celor însărcinați cu guvernanța și conducerii executive superioare. Totuși, exită cerințe minimale în
domeniu, atunci când auditorul reperează o deficiențe de control intern și o apreciază ca fiind
semnificativă, trebuie mai întâi să o discute cu conducerea și apoi să o comunice în scris celor
însărcinați cu guvernarea.
Subliniem (reiterăm) faptul că o problemă privind calitatea controlului intern, o deficiență/un
neajuns, apare atunci când:53
- un control intern este conceput, implementat sau pus în operă într-o așa manieră încât nu
poate preveni sau detecta și corecta în timp util prezentările eronate din situațiile financiare; sau
- nu există un control necesar pentru a preveni sau detecta și corecta în timp util prezentările
eronate din situațiile financiare. Ca în majoritatea problemelor de audit, prin deficiență semnificativă
se înțelege o problemă, care, individual sau în combinație cu altele probleme, potrivit
raționamentului profesional al auditorului, este suficient de importantă pentru a merita atenția celor
însărcinați cu guvernarea.
Criteriile pentru a determina dacă o deficiență este importantă sau nu sunt similare cu cele
utilizate pentru aprecierea oricărui risc. Se face apel la raționamentul profesional pentru a evalua
probabilitatea ca o prezentare eronată semnificativă să aibă loc, precum și posibila amploare a
prezentării eronate, în cazul în care aceasta ar avea loc. Dacă a avut loc într-adevăr o prezentare
eronată, aprecierea se realizează pe seama amplorii prezentării eronate semnificative.
De asemenea, pe parcursul auditului pot fi identificate și deficiențe mai puțin grave /
semnificative sau chiar minore. Acestea pot rezulta din interviurile și discuțiile cu conducerea și
personalul, observarea controalelor interne în curs de desfășurare, efectuarea procedurilor de audit
suplimentare și din orice alte informații care pot fi obținute. Pentru a stabili dacă aceste aspecte sunt
suficient de importante pentru a fi raportate guvernanței, se face apel la raționamentul profesional, în
care doui vectori sunt clari:
1. cele raportate trebuie să fie adecvat conectate cu cele constatate și documentate în
dosarul de audit și
2. să nu coborâm în derizoriu, prin raportarea unor deficiențe absolut nesemnificative.
Între criteriile ce pot fi avute în vedere în acest sens, se pot menționa:
- probabilitatea ca deficiențele să genereze pe viitor prezentări eronate semnificative în
situațiile financiare;
- susceptibilitatea unui activ sau a unei datorii de a furniza/produce pierderi sau condiții
favorabile fraudei;
- valorile din situațiile financiare ce pot fi expuse deficienței și măsura în care acestea pot fi
afectate;
- volumul activității clientului la care ne raportăm;
- cauza și frecvența excepțiilor detectate ca urmare a deficiențelor în controale etc.
Dacă se obțin dovezi cu privire la existența sau doar indicii privind posibila apariție a unei
fraude, aceasta trebuie prezentată nivelului adecvat din ierarhia clientului cât mai curând posibil.
Acest fapt trebuie făcut chiar dacă se consideră că nu ar exista consecințe; adică fapta nu s-a produs,
52
București 2012, pg. 413-423.
53
ISA 265 – Comunicarea deficiențelor de control intern către persoanele responsabile cu guvernanța și către conducere.
73
dar nu sunt concepute și implementate stăvilare (controalele) îndreptate împotriva unei astfel de
alternative...
Stabilirea nivelului adecvat din ierarhie căruia trebuie raportate aspecte despre fraudă, iarăși,
ține de raționamentul profesional, dar acesta trebuie să fie cel puțin cu un nivel mai sus decât
persoanele care par a fi implicate în frauda suspectă. De asemenea, un factor care poate influența
raționamentul îl reprezintă posibilitatea complicității, precum și natura și amploarea fraudei
suspectate. Atunci când în fraudă este implicată o persoana din conducerea superioară, comunicarea
trebuie făcută celor însărcinați cu guvernarea.
Și mai grav, atunci când frauda este săvârșită la cel mai înalt nivel ierarhic (proprietarul-
administrator sau cei însărcinați cu guvernarea), nu există nicio persoană în entitate căreia îi poate fi
raportată! În aceste situații, se recomandă ca auditorul să solicite asistență juridică pentru a stabili
planul de acțiune corespunzător în astfel de circumstanțe. Scopul obținerii unei astfel de consilieri
este acela de a stabili care sunt pași de urmat (dacă există) în a trata aspectele de interes public
privind frauda reperată.
Privind documentarea deficiențelor de control intern, se recomandă ca lista și detaliile acestora
să fie înregistrate consecvent într-un singur loc din dosarul de audit. Dacă mențiunile privind
deficiențele de control vor fi răspândite prin ansamblu dosarului de audit, pot fi omise cu ocazia
raportării și pot genera un răspund de audit incomplet cu privire la riscurile implicate. O soluție
rezonabilă presupune realizarea unui tabel sintetic-centralizator al deficiențelor depistate, cu trimiteri
la secțiunile/foile de lucru din dosarul de audit unde au fost documentate/prezentate detaliat
investigațiile de audit efectuate pe această temă și rezultatele obținute.
Nu este obligatoriu să se prezinte conducerii un plan de acțiune recomandat pentru a corecta
deficiențele de control identificate. Totuși, recomandările pot fi de folos conducerii în a stabili
măsura corectivă corespunzătoare. Atunci când este probabil ca recomandările să fie transmise
conducerii, este indicat să se documenteze sugestiile pentru îmbunătățire în același timp cu
înregistrarea deficiențelor. Dacă această etapă se amână pentru un moment ulterior, poate duce la
alocarea unei perioade de timp suplimentare necesare pentru familiarizarea din nou cu faptele.
Înainte de a emite o comunicare scrisă, se consideră ca fiind o bună practică discutarea
constatărilor privind deficiențele de control intern cu persoana corespunzătoare, care poate evalua
deficiențele și care poate lua măsura corectivă imediat. Această dezbatere (eventual bazată pe
proiectul scrisorii ce urmează a fi transmise) îl ajută pe auditor:
- în obținerea asigurării că problemele și circumstanțele sunt prezentate în mod corect;
- să observe reacțiile conducerii și să afle cauzele reale ale deficiențelor;
- să obțină indicii preliminare referitoare la răspunsul conducerii în urma sesizărilor sale;
- să detecteze alte controale interne compensatorii, chiar și indicii privind existența altor
deficiențe etc.
Privind documentarea, de regulă, dezbaterea este rezumată într-o minută semnată de
participanți, altfel, este necesar ca ulterior auditorul să obțină un răspuns scris al părții responsabile
în raport cu cele sesizate.
După ce a discutat cu conducerea, auditorul comunică în scris deficiențele de control
guvernanței. Conducerea și guvernanța au responsabilitatea de a răspunde în mod corespunzător la
deficiențele semnificative din controlul intern și la toate recomandările care vizează măsuri
corective. Aceste răspunsuri pot fi sub formă de:
- inițiere a măsurilor necesare și pentru corectarea deficiențelor;
- decizia de a nu lua nicio măsură. Este posibil ca deficiențele sesizate de auditor să fie
cunoscute de reprezentanții entității de referință, iar aceștia să fi ales să nu le remedieze din cauza
costurilor și a altor considerente;
- lipsa unei măsuri/reacții. Aceasta poate indica o atitudine inadecvată a guvernanței și
conducerii față de controlul intern, care poate avea efecte asupra evaluării riscului de denaturare de
la nivelul situațiilor financiare. În unele situații, lipsa măsurii poate reprezenta în sine o deficiență
semnificativă de control intern.
Este de menționat că auditorul nu are rolul de a determina dacă beneficiul care va fi obținut de
implementarea și/sau revizuirea unui control sesizate/recomandate de el este depășit de costul de
74
atenuare a riscului de referință. Totuși, trebuie acordată atenție raportului dintre dimensiunea
entității și aplicarea simțului practic în circumstanțele date.
În mod normal, comunicarea deficiențelor semnificative va cuprinde:
- descrierea naturii/conținutului fiecărei deficiențe semnificative, precum și a posibilelor sale
efecte; cu precizarea că nu este necesar ca efectele să fie cuantificate de auditor;
- toate sugestiile privind remedierea deficiențelor;
- răspunsurile reale sau propuse ale conducerii;
- precizarea din care să reiese dacă auditorul a întreprins măsuri pentru a verifica dacă
răspunsurile conducerii au fost implicate.
Atenție! Ca auditori financiari externi nu avem ca obiectiv examinarea și diagnosticarea
exhaustivă a controlului intern, așa cum sunt obligați auditorii interni sau alți consultanți /
diagnosticieni, ci doar acele elemente de control intern care-și dau concursul la asigurarea
calității informației financiare de interes public. Și este obligatoriu să specificăm acest aspect în
toate rapoartele și comunicările efectuate, astfel încât cititori să înțeleagă corect problematica
etalată.
Deficiențele semnificative pot fi grupate și eventuale corelate în scopul raportării. Ordinea
prezentării ține de raționamentul profesional al auditorului, iar ideal ar fi ca deficiențele sesizate să
fie prezentate separat pe cele cinci componente majore ale controlului intern. Însă, se consideră
suficient a fi împărțite în cele două mari categorii: controale/riscuri generale și cele specifice, iar în
cadrul acestora ordonate în funcție de importanța deficienței relevate.
Reprezentând un context special de comunicare, scrisoarea cu deficiențele de control intern va
cuprinde următoarele:
- dacă auitorul a efectuat proceduri mai ample de examinare a controlului intern decât îi
solicită mandatul (contractul) său;
- o indicație privind neasumarea rezultatelor ce s-ar fi putut obține, dacă s-ar fi realizat
investigații suplimentare;
- precizarea faptului că o astfel de comunicare a fost oferită celor însărcinați cu guvernarea și
că nu poate fi utilizată în alte scopuri.
Auditorul trebuie să comunice în scris și în timp util celor însărcinați cu guvernarea
deficiențelor semnificative din controlul intern al entității de referință; în orice caz, înainte de data
raportului de audit.
Atunci când este posibil,54 se recomandă ca deficiențele controlului intern să fie comunicate la
finalul estimării riscurilor, înainte de trecerea la elaborarea procedurilor de audit suplimentare.
Anunțarea timpurie îi poate permite conducerii să ia măsuri corective, care l-ar putea ajuta pe
auditor prin reducerea riscului de prezentare eronată semnificativă. Dar este de subliniat că cu cât
comunicarea este mai timpurie, cu atât mai mult se bazează pe estimări de audit, decât pe investigații
mai aplicate ce pot furniza o certitudine sporită…
Pentru o expunere cât mai completă, redăm în Anexa 1 un exemplu de scrisoare către
guvernanța entității auditate financiar extern.
2.7 Finalizarea etapei de estimare a riscurilor
Scopul estimării riscurilor este acela de a oferii o bază de orientare și un punct referință pentru
ceea ce este necesar în vederea elaborării unui răspuns corespunzător prin proceduri de audit
suplimentare bine concepute și eficiente.
Această fază a auditului financiar, finalizarea etapei de estimare a riscurilor, nu trebuie
interpretată sau realizată doar că o activitate de documentare, ci ca un proces de examinare a
rezultatelor obținute și, este adevărat, o cât mai bună sistematizare a acestora. Dacă riscurile au fost
identificate la termen (oportun-timpuriu), au fost adecvat documentate și apreciate consecvent, va fi
simplu să fie revizuite și rezumate.
54
Mai posibilă este în cazul unui audit recurent, unde cunoașterea clientului este mai bogată….
75
Desigur că și acest proces se realizează atât la nivelul situațiilor financiare ca întreg, cât și la nivelul
afirmațiilor privind rulajele, soldurile și prezentările din respectivele situații financiare. Astfel, cea
mai mare parte a combinațiilor ce pot să apară între riscurile inerente și cele de control pentru
estimarea riscului de prezentare eronată (denaturare) semnificativă sunt prezentate în Tabelul 2.5.
Tabelul 2.5 Ilustrații ale riscului de prezentare eronată semnificativă rezultat din
diverse combinări ale riscului inerent cu cel de control
Risc de prezentare
Risc inerent Risc de control
eronată semnificativă
R R R
R M M
R S M sau S
M R M
M M M
M S S
S R M/S
S M S
S S S
Legendă: R = Ridicat M = Moderat S = Scăzut
Determinarea riscului rezidual (de denaturare) rezultat din combinarea riscului inerent și a
celui de control ține de raționamentul profesional. Cu certitudine estimarea riscului este una relativă,
dar, apelând la raționamentul profesional (obiectiv), este necesar să ne asigurăm că ea este cât mai
puțin relativă. În plus, pentru mai bună orientare, se pot avea în vedere următoarele:
- înainte de a conchide că nu există riscuri specifice pentru o anumită secțiune sau prezentare
din situațiile financiare, trebuie să luăm în calcul existența unor factori relevanți, cum ar fi istoricul
erorilor cunoscute, expunerea activului/datoriei la fraudă și posibilitatea depășirii atribuțiilor de
conducere, precum și experiența din perioada anterioară (dacă auditul este recurent);
- dacă intenționăm să ne bazăm pe un anumit control intern al riscului (risc ce a fost estimat ca
fiind scăzut/redus datorită existenței controlului), dorind să reducem volumul muncii de audit (de
pildă, numărul procedurilor de fond), atunci trebuie efectuate teste ale eficienței operaționale a
respectivului control intern;
- în unele cazuri, entitatea de referință poate avea unele controale interne, dar auditorul nu le
consideră relevante pentru misiunea sa și, prin urmare, nu face nicio evaluare. În aceste cazuri, riscul
de control luat în considerare va fi ridicat;
- de obicei, controalele specifice (tranzacțiilor) funcționează (asigurând un risc scăzut) sau nu
funcționează (riscul fiind estimat drept ridicat). Aceasta sugerează că nu trebuie să existe nicio
apreciere/estimare conform căreia riscul de control intern este moderat. Totuși, unii auditori
estimează riscul de control ca fiind moderat, atunci când un control poate să nu fie fiabil în aplicare,
dar se preconizează că va funcționa în mare parte din timp. Această situație poate apărea adesea la
entitățile mici.
Atenție! Atunci când se rezumă riscurile estimate, trebuie să ne asigurăm că am realizat și o
scurtă descriere a motivelor pentru fiecare estimare sau o referință încrucișată cu privire la locul din
dosarul de audit în care se pot găsi. Adesea, aceasta este mai importantă decât estimarea în sine,
deoarece ajută la conceperea unor răspunsuri de audit personalizate (mult mai adaptate contextului)
și eficiente din punct de vedere al costului.
Iarăși este de subliniat că, deși acest paragraf din curs se numește finalizarea etapei de
estimare a riscurilor, estimarea riscurilor nu se încheie la un anumit moment! Se pot obține
informații noi pe măsură ce auditul avansează, iar prin aplicarea procedurilor de audit se pot
identifica riscuri suplimentare sau faptul că un anume control intern luat în considerare de auditor nu
funcționează așa cum s-a mizat. În aceste condiții, estimarea inițială a riscului trebuie revizuită,
luând în considerare impactul asupra naturii și amplorii procedurilor de audit suplimentare.
76
În continuare, prezentăm un exemplu de documentare a finalizării estimării riscului, din care
se pot desprinde unele raționamente de audit
Tabelul 2.6 Exemplu de sintetizare a documentării finalizării
estimării riscului de prezentare eronată semnificativă
RP
Nivelul / domeniul Afirmații RI RC Motivare/explicare
ES
Sectorul este în declin pe măsură ce apar noi
tehnologii. Totuși, vânzările sunt în continuare la
un nivel ridicat și entitatea investește în cercetare
și dezvoltare
Situații financiare RG M S S Atitudinea conducerii față de controlul intern este
una bună. Persoane competente ocupă poziții
cheie.
Nu-i exclus să existe depășiri ale atribuțiilor de
către conducere, dar noile politici implementate de
entitate ar trebui să descurajeze abuzurile de
putere cele mai comune. Nu am descoperit indicii
că astfel de fapte au avut loc.
Consiliul de administrație este compus din
membrii familiei.
Afirmații:
1 Vânzării C R S M Proprietarul dorește să diminueze cât mai mult
impozitele. Pe alocuri, recunoașterea veniturilor
nu este consecventă.
E M S M Testele de parcurgere efectuate au indicat buna
funcționare a mecanismelor de control intern:
dovezile livrărilor sunt documentate și asumate, se
poate proba transportul efectuat și existența
confirmării primirii de către client. Totuși,
departamentul de vânzări este plătit în funcție de
realizări.
A M S S Livrările sunt preluate automat în facturi, iar
operația este verificată independent de directorul
de vânzări și de departamentul contabilitate.
V M S S Doar directorul economic are acces la modificarea
fișierului de prețuri utilizate, iar utilizarea corectă
a prețurilor este verificată de asistent manager
vânzări.
2 Creanțe C M M M Deși nu s-au reperat indicii privind existența de
comenzi / creanțe nereflectate în evidențe, totuși
proprietarul dorește să diminueze cât mai mult
impozitele.
E R M M Pentru unele creanțe mai vechi măsurile de
recuperare a debitelor nu au fost suficient de
ferme.
A S S S Regimul documentelor este ireproșabil și în
general sistemul de vânzări funcționează bine (a se
vedea foaia de lucru 78).
V R S S Deși domeniu este în oarecare declin, pe lângă
rigoarea prețurilor utilizate anterior enunțată,
politica de ajustare a valorii creanțelor este una
pragmatică și consecvent aplicată.
3 Stocuri C M S S Se folosește inventarul permanent cu patru
numărări pe an; istoricul erorilor nu relevă sincope
semnificative.
77
E R M M Mai dispar stocuri nesemnificative din hala de
producție, dar acestea sunt imputate ferm tuturor
celor implicați (atât lucrătorilor cât și directorului
de producție, direct proporțional cu salariul de
încadrare al fiecăruia).
A M S S Evidența este un riguroasă, astfel încât este
posibilă determinarea și corectarea oricăror
neajunsuri în foarte scurt timp de la apariția lor
V R S M Din cauza noilor tehnologii, o parte din stocuri
(mai puțin bine definită) pot deveni învechite
(uzate moral).
Legendă: RG = risc general (toate afirmațiile); C = exhaustivitate; A = exactitate; E = existență; V = evaluare
78
Anexa 1
AUDITOR SA Strict confidențial!
Craiova, Strada Speranței, nr. 83
Nr. 286 / 08.12.20MN
Către
AUDITAT SA Craiova
Dlui. Administrator Ion IONESCU
În calitatea noastră de auditori ai Situaţiilor financiare elaborate AUDITATUL SA pentru

31.12.20MN, societate administrată de dumneavoastră, vă transmitem constatările realizate pe
parcursul misiunii privind deficiențele de control intern.
Precizăm că auditul nostru a fost programat și executat pentru a obține o asigurare rezonabilă că
situațiile financiare nu cuprind prezentări eronate semnificative. Misiunea noastră nu a fost
concepută și realizată cu scopul de a identifica deficiențe în controlul intern de comunicat. În
consecință, auditul nostru nu identifică de obicei toate aspectele de acest gen care vă pot interesa și
este incorect să se concluzioneze că astfel de aspecte nu există.
Pe parcursul auditului desfășurat de noi pentru anul financiar 20MN, am identificat următoarele
deficiențe de control intern, care, în viziunea noastră, sunt importante. Precizăm că o deficiență
importantă sau o combinație de deficiențe de control intern este aceea care, conform raționamentului
nostru profesional, este suficient de importantă pentru a merita atenția celor însărcinați cu
guvernarea.
Înregistrări neautorizate în evidența contabilă
În prezent, nu există controale pentru înregistrările manuale în evidența contabilă, care au fost
efectuate pe parcursul perioadei auditate. Fără să existe o separare a sarcinilor și controale de
revizuire pentru înregistrările, prezentări eronate pot trece nedepistate și corectate. Deși auditul
nostru nu a descoperit astfel de denaturări semnificative, această speță poate reprezenta un risc la
adresa exactității situațiilor financiare.
Conducerea cunoaște problema, dar afirmă că implementarea soluției propuse de noi este
neeficientă. Cu toate acestea, noi recomandăm să se efectueze o mai bună separare a sarcinilor, în
baza rolurilor și responsabilităților. În plus, trebuie stabilit un proces formal de revizuire a tuturor
înregistrărilor în contabilitate. Toate înregistrările importante manuale trebuie aprobate înainte de a
fi efectuate și conducerea trebuie să realizeze lunar o a doua revizuire.
Controale necorespunzătoare ale stocurilor
În prezent, controalele stocurilor sunt limitate. Se folosește o combinație între inventarul
permanent și cel intermitent. Fără controale corespunzătoare, stocurile pot fi incomplete, evaluate
incorect sau deturnate.
Noi recomandăm implementarea totală a metodei inventarului permanent, combinată cu numărări
periodice ale stocurilor (nu doar la finalul exercițiului financiar). Evidențele stocurilor trebuie
comparate atât sistematic cât și inopinat cu existențele din depozit. De asemenea, trebuie efectuat
lunar o inspecție vizuală a bunurilor învechite sau deteriorate pentru a se asigura că deprecierile
legate de stocuri sunt înregistrate conform prevederilor. Conducerea spune că nu s-au constat
probleme deosebite pe aceasta direcție și, drept consecință, nu este oportun să schimbe modul de
lucru.
Această comunicare este întocmită doar pentru informarea dumneavoastră și nu are nici un alt
scop. Nu ne asumăm responsabilitatea față de o terță parte care utilizează această comunicare.
Cu stimă,
Auditor financiar
Ștefan FLORESCU
79
80

Capit 2 Curs AF Master

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Capit 2 Curs AF Master

Încărcat de

Drepturi de autor:

Formate disponibile

2.

Estimarea riscului de prezentare eronată semnificativă

O înţelegere a controlului intern, în special a elementelor legate de fiabilitatea raportării

2.1 Conceptul de control intern

2.2 Elementele sistemului de control intern

2.2.1 Mediul controlului sau starea de spirit a organizaţiei

Dintre elementele sistemului de control intern se detaşează ca o adevărată cupolă mediul

2.2.2 Gestionarea riscurilor de către managementul entităţii de referință

Conducerea trebuie să se concentreze asupra riscurilor de la toate nivelurile entității şi să

2.2.3 Activităţile de control

Activităţile de control reprezintă o serie de politici şi proceduri, procese şi resurse

2.2.4 Sistemul de relaționare, comunicare şi informare

2.2.5 Supervizarea sau monitorizarea internă

Activităţile de supervizare se referă la evaluarea permanentă sau periodică de către

2.3 Aspecte generale privind înțelegerea și diagnosticarea contorului intern

Auditorul financiar extern trebuie să înțeleagă și să aprecieze controlul intern al entității de

Obiectivele entității, între care

(la nivelul entității)

Procese Procese Procese Alte

Controalele generale (de la nivelul entității) tratează guvernarea și top-managementul, în

2.4 Înţelegerea controlului intern al entităţii auditate

Sarcina profesionistului în cadrul obţinerii unei înţelegeri a controlului intern constă în a se

- Crearea unui document nou sau - Bloc informaţional

- Staţionarea sau îndosarierea - Mişcarea unuia sau mai multor

- Verificarea din punct de vedere

2.5 Estimarea riscului de control şi identificarea elementelor care îl pot reduce

B. Pe parcursul examinării şi evaluării „stăvilarelor” ce trebuie să le parcurgă operaţiilor

Obiective specifice de audit al operațiunilor Princip. procese Mecanisme de control

Comanda de aprovizionare este automat aprobată de computer /

între reg. de evid. opertv a aproviz, jurn de TVA şi reg. cumpărr.

Riscul de control estimat

C = mecanismul de control există și corespunde obiectivului de audit referitor la operaţiunile de aprovizionări;

Aprecierea sistemului de control intern efectuată înainte de administrarea testelor

2.6 Comunicarea deficiențelor de control intern

2.7 Finalizarea etapei de estimare a riscurilor

În calitatea noastră de auditori ai Situaţiilor financiare elaborate AUDITATUL SA pentru

S-ar putea să vă placă și