AUDIT INTERN

Prof. univ. dr. Laurenţiu Dobroţeanu

 STRUCTURA CURSULUI
1. Noţiuni introductive
2. Normalizarea și cadrul conceptual
3. Etica profesională a auditorilor interni
4. Relația audit intern – control intern
5. Funcţia de audit intern în cadrul organizaţiei
6. Documentația, probe și proceduri de audit
7. Planificarea și derularea angajamentului de audit
8. Relaţia audit intern – audit extern
Cum? De unde? Ce obiective avem?
Cum?
– Cursuri
– Seminarii
– Studiu individual
De unde?
– Camelia Dobroțeanu, Laurențiu Dobroțeanu - Audit intern, editura
InfoMega, 2007
– Cadrul conceptual IIA (IPPF) disponibil gratuit pe www.theiia.org
(versiunea 2016 în limba engleză) sau www.aair.ro (versiunea în
limba română)
Ce obiective avem?
– Informații – Cunoștințe – Dezvoltare profesională
– Promovare examen
• 70% examen scris
• 30% seminar
 1. Noţiuni introductive:
• Ce este auditul intern?
Scop
Obiective
Riscuri
Control intern
Management
Definiţie
• Tipuri de audit intern
Ce este auditul intern?
SCOP:
de a concura la atingerea
obiectivelor unei
organizaţii (entităţi).
 Ce este auditul intern?
OBIECTIVE:

• Orizont de timp
• Factori de influenţă: riscuri
– inerente
– de control
 Riscurile
a. Ce este riscul?
b. Care sunt posibilităţile de a face faţă
riscurilor?
c. Rolul controlului intern
d. Cine controlează riscurile?
 Riscurile

a. Ce este riscul?

Un set de circumstanţe care ameninţă

realizarea unor obiective
 Riscurile
b. Care sunt posibilităţile de a face
faţă riscurilor?

• Evitarea riscurilor
• Transferul riscurilor
• Acceptarea riscurilor
• Planificarea unor contingenţe
• Control intern
 Riscurile
c. Rolul controlului intern

Controlul intern: procesul

prin care riscurile
sunt ameliorate
 Riscurile
d. Cine controlează riscurile?

Managementul

Stabilește obiective

Identifică riscurile existente

 Asigură existenţa unor controale interne

Asigură monitorizarea sistemului de control intern

 Audit intern – definire (1):

Furnizează managementului unei entităţi

o asigurare independentă şi obiectivă cu
privire la faptul că riscurile cu care se
confruntă entitatea sunt ameliorate sau nu
la un nivel acceptabil
 Audit intern – definire (2):
Auditul intern este o activitate independentă și
obiectivă de asigurare și consiliere, care are
scopul să adauge valoare și să îmbunătățească
operațiunile unei organizații. Ajută o
organizație să își atingă obiectivele printr‐o
abordare disciplinată și sistematică în ceea ce
privește evaluarea și îmbunătățirea eficacității
managementului riscurilor, controlului și
proceselor de guvernanță.
 Tipurile de audit intern:
• Auditul de conformitate
– evaluarea calităţii şi gradului de adecvare a sistemelor interne instituite
într-o organizaţie pentru a se examina conformitatea acestora cu legile,
regulamentele, politicile sau procedurile aplicabile la un moment dat în
timp.
• Audit financiar
– examinarea credibilităţii sistemului contabil şi de informare financiară
• Auditul operaţional
– evaluarea critică a calităţii şi a gradului de adecvare a sistemelor,
metodelor, resurselor şi procedurilor utilizate de organizaţie, a
structurii organizaţionale comparativ cu responsabilităţile alocate.
• Auditul de management:
– evaluarea calităţii actului managerial, a structurii acestuia şi a atitudinii
managementului vis-a-vis de riscuri şi control în contextul obiectivelor
organizaţiei.
• Auditul de eficacitate (VFM):
– examinarea a trei coordonate definitorii - eficienţa, eficacitatea şi
economicitatea proceselor din cadrul organizaţiei
 2. Normalizarea şi cadrul
conceptual

1. Normalizarea internaţională şi naţională:

organisme, influenţe
2. Cadrul conceptual al auditului intern
3. Cum devin auditor intern?
1. Normalizarea internaţională şi
naţională
a) În plan internaţional:
 Institutul auditorilor interni (IIA)
 Bursele de valori (NYSE)
 UE – Directivele 43/2006 și 56/2014, ECIIA
b) În plan naţional:
 AAIR; CAFR; ASPAAS; BNR
(17/2003); MFP (672/2002)
c) Obligativitatea AI – audit statutar (Legea
82/1991; OMFP 1802/2014)
 1. Normalizarea internaţională şi
naţională - IIA
Misiunea Instituitului Auditorilor Interni este de a
furniza leadership dinamic profesiei de auditor
intern în ansamblul său. Pentru aceasta, IIA:
• Promovează valoarea adăugată de către auditul
intern organizațiilor lor;
• Promovează CPD, standarde, ghiduri practice,
programe de calificare profesională;
• Cercetează și sprijină cercetarea în domeniu;
• etc.
 1. Normalizarea internaţională şi
naţională - NYSE - SOX
SOX – scopul de a plasa responsabilitatea pentru
modul în care funcționează firma la cel mai înalt
nivel – cost mare pentru firme
Control intern – deficiențe pe trei paliere
Cerința ca auditorii să aducă în atenția
comitetului de audit deficiențele semnificative
Posibil ca respectarea SOX să aducă mai multe
beneficii decât un raport de audit statutar fără
rezerve
 1. Normalizarea internaţională şi
naţională - Directive UE
Directiva 43/2006 privind auditul statutar modificată prin
Directiva 56/20114, transpusă prin Legea 162/2017 și
Regulamentul (UE) 537/2014
• Obligativitate Comitet de Audit (PIE) – sancțiuni
• Obligativitate audit intern – sancțiuni
OUG 75/1999 privind auditul financiar – republicată
• Drept de efectuare audit intern
• Coordonare departament
• Adoptare Standarde Internaționale și emitere norme
audit intern
 Asociatia Auditorilor Interni din Romania
(A.A.I.R.)
s-a constituit cu scopul:
• sa stabileasca si sa reprezinte un forum deschis in vederea
promovarii si dezvoltarii practicii de audit intern;
• sa reprezinte un cadru unde sunt promovate Standardele
Internationale de Audit Intern si unde auditorii interni si
persoanele interesate de activitatea specifica de audit intern, sa-si
poata imbunatati mijloacele si metodele de exprimare profesionala
si sa primeasca sprijin profesional de specialitate;
• de a actiona pentru cresterea prestigiului profesiei de audit intern;
• sa reprezinte pozitia comuna a membrilor sai in fata institutiilor
publice din Romania si din strainatate.
 STRATEGIA dezvoltării auditului public intern pentru 2018-2020
(MFP – UCAAPI)
Organizarea activității Organizarea auditului public intern este următoarea:
A. Comitetul pentru Audit Public Intern este un organism cu caracter consultativ înființat,
pe lângă UCAAPI, care acționează în vederea definirii strategiei și îmbunătății activității de
audit public intern.
B. Unitatea Centrală de Armonizare pentru Auditul Public Intern (UCAAPI) este o structură
funcțională din cadrul MFP, care asigură elaborarea și implementarea unei strategii unitare
în domeniul auditului public intern. …
C. Comitetele de Audit Intern sunt organisme cu caracter consultativ, înființate pe lângă
compartimentele de audit intern din cadrul entităților care derulează anual bugete mai mari
de 2 mld. lei. …
D. Compartimentele de audit public intern, noțiune generică privind tipul de structură
funcţională de bază a auditului public intern, în funcție de volumul şi complexitatea
activităţilor şi riscurile asociate ….
Responsabilitatea asigurării cadrului organizatoric și funcțional desfășurării activității de
audit public intern, în condițiile Legii nr. 672/2002 privind auditul public intern,
republicată, cu modificările ulterioare, revine conducătorului entității publice.
Responsabilitatea desfășurării și dezvoltării auditului public revine șefului
compartimentului de audit public intern. …
2 Cadrul conceptual

Principii
fundamentale

Definiție Codul
etic
Standarde

Ghiduri de implementare
Ghiduri
suplimentare

22
2 Cadrul conceptual al auditului intern

Definiția Auditului Intern stabilește scopul

fundamental, natura și sfera auditului intern.
2 Cadrul conceptual al auditului intern
Secțiunea obligatorie
1. Principii fundamentale – Auditul intern:
– Demonstrează integritate
– Demonstrează competență și conștiinciozitate profesională
– Este obiectivă și nesupusă influențelor nepotrivite (independentă)
– Se aliniază la strategia, obiectivele și riscurile organizaționale
– Este poziționată corespunzător în structura organizației și dispune de
resursele adecvate
– Demonstrează calitate și îmbunătățire continuă
– Comunică eficace
– Furnizează asigurare pe baza riscurilor
– Se bazează pe o cunoaștere detaliată a organizației, este proactivă și
orientată spre viitor
– Promovează îmbunătățirea activităților organizaționale
 2 Cadrul conceptual al auditului intern
Standardele internaţionale pentru practica profesională a
auditului intern
• Standarde de calificare (seria 1000) – calitățile/calificările
cerute indivizilor și entităților care derulează activități AI
– Scop, autoritate și responsabilități; Independență și
obiectivitate; Competență și conștiinciozitate; Programul
de asigurare și îmbunătățire a calității
• Standarde de performanță (seria 2000) – natura activităților AI
și criteriile calitative considerate ca repere în evaluarea
activităților AI prestate
– Coordonarea activității de audit intern; Tipul activității;
Planificarea misiunii; Realizarea misiunii; Comunicarea
rezultatelor; Monitorizarea progresului; Comunicarea
acceptării riscului
2 Cadrul conceptual al auditului intern

Structura unui standard

– Principiul
– Interpretarea
– Standarde de implementare - extind aplicarea
SC și SP la nivelul activităților de asigurare
(A) și consultanță (C)
 2 Cadrul conceptual al auditului intern
1000 – Scop, Autoritate şi Responsabilităţi
(principiul)

Scopul, autoritatea şi responsabilităţile activităţii de audit

intern trebuie să fie definite, în scris, într-o cartă a
auditului intern, în concordanţă cu Misiunea auditului
intern şi normele obligatorii ale Cadrului Internaţional de
Practici Profesionale (Principiile fundamentale pentru
practica profesională a auditului intern, Codul de etică,
Standardele şi Definiţia Auditului Intern). Conducătorul
executiv al auditului trebuie să revizuiască periodic carta
auditului intern şi să o prezinte conducerii superioare şi
consiliului pentru aprobare.
 2 Cadrul conceptual al auditului intern

Interpretare: Carta auditului intern este un document

oficial care defineşte scopul, autoritatea şi
responsabilităţile activităţii de audit intern. Carta auditului
intern stabileşte poziţia auditului intern în cadrul
organizaţiei, inclusiv tipul relaţiei de raportare funcţională
a conducătorului executiv al auditului faţă de consiliu;
autorizează accesul la înregistrări, personal şi proprietăţi
fizice relevante pentru executarea misiunilor; şi defineşte
sfera de cuprindere a activităţilor de audit intern.
Aprobarea finală a cartei auditului intern reprezintă o
prerogativă a consiliului.
 2 Cadrul conceptual al auditului intern
(standarde de implementare)

1000.A1 – Tipul misiunilor de asigurare furnizate

organizaţiei trebuie să fie definit în carta auditului intern.
Dacă sunt furnizate asigurări unor părţi interesate din
afara organizaţiei, tipul acestor misiuni de asigurare
trebuie definit, de asemenea, în carta auditului intern.

1000.C1 – Tipul misiunilor de consiliere trebuie definit în

carta auditului intern.
3 Cum devin auditor intern?
3. Etica profesională
 3. Etica profesională

1. Elemente generale privind etica

2. Etica profesională a auditorilor
interni
 3.1. Elemente generale privind etica
O decizie etică posedă următoarele caracteristici
considerate cumulativ:
• este o decizie competentă;
• este o decizie luată în contextul identificării cu claritate,
într-o situaţie particulară, a persoanelor interesate, a
obligaţiilor fiecărei părţi implicate, precum şi a
problemelor specifice;
• este o decizie echilibrată;
• este o decizie pertinentă;
• este o decizie pragmatică.
3.1. Elemente generale privind etica

Cod etic profesional

• ideal
• realist și pragmatic
• nu poate fi exhaustiv
• principii – raționament profesional
• atitudinea profesională și morală depășește
cerințele legii
3.1. Elemente generale privind etica
Greenwood – cinci atribute care
caracterizează o profesie:
• Existenţa unei teorii coerente
• Autoritate
• Sancţiuni ale comunităţii
• Cod etic profesional
• Existenţa unei culturi
3.1. Elemente generale privind etica

• „Etica nu este opţională” -

Harold Tinkler

• Serbanes Oxley Act (SOX)

 3.2. Etica profesională
• Codul de Etică stabilește principiile și
așteptările care guvernează comportamentul
persoanelor și organizațiilor în desfășurarea
auditului intern. Acesta mai curând descrie
regulile minime de conduită și așteptările
privind comportamentul în audit decât să
prescrie activități specifice.
• Scopul Codului de Etică este de a promova o
cultură bazată pe etică în profesia de auditor
intern.
 3.2. Etica profesională
Principii de conduită etică – IIA:
• integritatea
independenţa
• obiectivitatea
• confidenţialitatea
• competenţa profesională
 3.2. Etica profesională

Obiectivitatea: auditorii interni manifestă cel mai

înalt nivel de obiectivitate profesională în
colectarea, evaluarea și comunicarea
informațiilor cu privire la activitatea sau
procesul aflate în curs de examinare. Auditorii
interni evaluează în mod echilibrat toate
circumstanțele relevante, fără a fi în mod
neîntemeiat influențați de propriile interese sau
de alte persoane.
 3.2. Etica profesională
Regulile de conduită sugerate de codul IIA privitoare la
obiectivitate sunt:
• Auditorii interni nu iau parte la activităţi şi nu stabilesc
relaţii personale care ar putea genera conflicte de
interese cu statutul său sau activităţile sale
profesionale.
• Auditorii interni nu pot accepta nimic ce afectează sau
ar putea afecta raţionamentul lor profesional.
• Auditorii interni trebuie să comunice toate aspectele
semnificative cunoscute care, dacă ar rămâne
necunoscute, ar putea prejudicia calitatea raportărilor
lor.
 3.2. Etica profesională

Integritatea: integritatea auditorilor

interni stabilește o relație de
încredere și, în acest fel, creează
premisele necesare pentru
exercitarea raționamentului
profesional
 3.2. Etica profesională
Regulile de conduită sugerate de IIA pentru asigurarea
integrităţii sunt:
• auditorii interni desfăşoară activitatea cu onestitate,
profesionalism şi responsabilitate;
• auditorii interni respectă legislaţia în vigoare şi
comunică public potrivit cerinţelor legii şi ale
profesiei;
• nu ia parte, conştient, la activităţi ilegale şi nu se
angajează în acţiuni care pot discredita profesia sau
organizaţia;
• respectă şi contribuie la atingerea obiectivelor etice şi
legitime ale organizaţiei.
 3.2. Etica profesională

Confidențialitatea: auditorii interni respectă

valoarea și dreptul de proprietate asupra
informațiilor pe care le primesc și nu
furnizează informații fără aprobarea
corespunzătoare, decât în cazul în care
există obligații legale sau profesionale în
acest sens.
 3.2. Etica profesională
Regulile de conduită stipulate de codul IIA pentru
asigurarea respectării confidențialității de către
auditorii interni sunt:
• Auditorii interni trebuie să manifeste o atitudine
prudentă în utilizarea informațiilor obținute în virtutea
exercitării profesiei lor.
• Auditorii interni nu trebuie să utilizeze informațiile
obținute în virtutea exercitării profesiei lor în scopul
obținerii unor beneficii personale sau în orice alt mod
care ar fi contrar legii sau în detrimentul obiectivelor
legitime sau etice ale organizației.
 3.2. Etica profesională

Competența profesională: auditorii

interni aplică cunoștințele,
abilitățile și experiența necesare în
furnizarea serviciilor de audit
intern.
 3.2. Etica profesională
Regulile de conduită recomandate pentru a sprijini
respectarea acestui principiu sunt:
• Auditorii vor accepta să se implice numai în prestarea
acelor servicii pentru care posedă cunoştinţele,
abilităţile şi experienţa necesare.
• Auditorii interni dovedesc profesionalism prin
realizarea misiunilor lor în conformitate cu
standardele internaţionale de audit intern.
• Auditorii interni trebuie să manifeste un interes
continuu şi să acţioneze în sensul îmbunătăţirii
competenţelor, eficacităţii şi calităţii serviciilor
prestate de ei.
 3.2. Etica profesională

• Principii etice – statuate în cadrul normelor profesionale

IIA (norme de calificare)
• Măsuri de asigurare a respectării codului etic – practici
naţionale diferite:
 Avertisment; Importanţa existenţei
 Mustrare; unui organism
 Suspendare temporară; profesional
 Retragerea dreptului de practică.
• Măsuri de asigurare la nivelul organizaţiilor
 Rolul CA
 Rolul AE
 Rolul şefului de departament de AI
 3.2. Etica profesională

• individuală
• Integritatea • organizațională
Independența
• Obiectivitatea
• imagine
• individuală
• de facto
• organizațională
• Confidenţialitatea
• Competenţa Norme de calificare

48
 3.2. Etica profesională
Norme de calificare:
• 1100 Independență și obiectivitate: activitatea
de audit intern trebuie să fie independentă, iar
auditorii interni trebuie să fie obiectivi pe
parcursul prestării serviciilor profesionale.
• Interpretare:
– Raportare nerestricționată
– Atitudine mentală neinfluențată
 3.2. Etica profesională
Norme de calificare:
• 1110 Independența organizațională
– nivelul de raportare
– modul de implicare al Consiliului
• 1120 Obiectivitate individuală
– Evitarea conflictului de interese
 3.2. Etica profesională
Norme de calificare:
• 1200 – Competenţă şi conştiinciozitate
profesională
– 1210 – Competenţa
• colectivă
• internă sau externă
• cunoştinţe suficiente pentru a evalua riscul de fraudă şi
modul în care acesta este gestionat în cadrul entității
• riscuri și controale IT
 3.2. Etica profesională

Norme de calificare:
• 1200 – Competenţă şi conştiinciozitate
profesională
– 1220 – Conştiinciozitate profesională - auditorii
interni trebuie să îşi exercite activitatea cu
conştiinciozitatea şi priceperea aşteptate de la un
auditor intern care dă dovadă de prudenţă şi
competenţă rezonabile
 3.2. Etica profesională
Norme de calificare:
• 1230 – pregătire profesională continuă
• 1300 – controlul calității și programe de
îmbunătățire a activității
– 1311 evaluare internă – monitorizare +
(auto)evaluări
– 1312 evaluare externă (min. 5 ani)
– 1320 raportare
4. Controlul Intern
 4. Controlul intern

4.1. Conceptul şi definirea controlului intern

4.2. Principiile controlului intern
4.3. Limitări inerente ale CI
4.4. Controlul intern – Managementul
riscurilor – Auditul intern
 4.1. Concept şi definire
Control intern-extern

Definiții
• H. Fayol: „CI este una dintre funcţiile
managementului”
• Treadway-COSO: „un proces pus în aplicare de către
consiliul de administraţie, directorii şi alţi angajaţi ai
unei organizaţii cu scopul de a furniza o asigurare
rezonabilă cu privire atingerea următoarelor obiective:
 (a) eficienţa şi eficacitatea operaţiilor,
 (b) credibilitatea raportărilor financiare şi
 (c) conformitatea cu legile şi reglementările în vigoare”.
 4.1. Concept şi definire
• The Committee of Sponsoring Organizations
of the Treadway Commission COSO)
• Cinci organizații, inclusiv IIA
• Furnizează leadership în abordarea
dezvoltării cadrelor și ghidurilor privind
riscurile organizațiilor, controlului intern și
acțiunilor antifraudă.
 4.1. Concept şi definire
• CoCo: „CI cuprinde toate elementele unei organizaţii (inclusiv
resursele, sistemele, procesele, cultura, structura şi sarcinile)
care, considerate împreună, ajută oamenii să atingă obiectivele
organizaţiei”. Obiectivele organizaţiei se pot regăsi în:
– eficacitatea şi eficienţa operaţiilor
– credibilitatea raportării interne şi externe
– conformitatea cu legile, reglementările şi politicile interne aplicabile
• CC-2003-Turnbull Guidance: „sistemul de CI cuprinde
politicile, procesele, sarcinile, comportamentele şi alte aspecte
ale organizaţiei care împreună:
• facilitează eficienţa şi eficacitatea operaţiilor sale
• ajută la asigurarea unei raportări interne şi externe de calitate
• ajută la asigurarea conformităţii cu legislaţia, reglementările şi politicile
interne aplicabile
 4.1. Concept şi definire
• cadrul conceptual IIA: CI reprezintă orice
măsură luată de conducere, consiliu şi alte
părţi pentru a gestiona riscurile şi a creşte
probabilitatea ca obiectivele şi scopurile
stabilite să fie atinse. Conducerea planifică,
organizează şi coordonează realizarea de
acţiuni suficiente pentru a furniza o asigurare
rezonabilă că obiectivele şi scopurile vor fi
atinse.
 4.1. Concept şi definire

• Obiective de control intern

–Operaționale
–Raportare
–Conformitate
 4.1. Concept şi definire
Controlul intern sistem COSO (17 principii) are 5
principii specifice mediului de control:
1. Demonstraarea angajamentului privitor la integritate și
valorile etice;
2. Exercitarea responsabilităților de supraveghere;
3. Stabilirea structurii, autorității și responsabilităților;
4. Demonstrarea angajamentului privind competența;
5. Impunerea asumării responsabilității.

– Filosofia managementului şi stilul de operare

 4.1. Concept şi definire
IIA - CI cuprinde:
• Mediul de control
 Integritatea şi valorile etice
 Abordarea managementului în luarea deciziilor şi stilul de
conducere
 Structura organizaţională
 Delegarea autorităţii şi responsabilităţii
 Politicile şi practicile de resurse umane
 Competenţa personalului
• Procesele de control: politicile, procedurile şi activităţile
care fac parte dintr-un cadru general pentru desfăşurarea
controlului, concepute pentru a asigura că riscurile se
înscriu în limitele de toleranţă stabilite de procesul de
management al riscurilor
 4.2. Principiile CI
• Cultural: vechimea organizației

• Universalitatea:
– ce activități vizează
– căror nevoi răspunde

• Aplicabilitatea relativă
 4.2. Principiile CI
• Principiul organizării - separarea funcţiilor:
de decizie
de deţinere de valori monetare sau bunuri fizice
de contabilizare
de control
• Principiul autocontrolului: proceduri de
autocontrol care permit descoperirea
erorilor şi fraudelor
• Principiul permanenţei: procedurile de
control trebuie să fie perene
 4.2. Principiile CI
• Principiul universalităţii: procedurile de control
intern trebuie să fie aplicate în toată
întreprinderea
• Principiul independenţei: obiectivele
controlului intern trebuie să fie realizate
independent de metodele, procedeele şi
mijloacele utilizate de întreprindere pentru
desfăşurarea afacerilor acesteia
• Principiul informării: informaţia produsă de
controlul intern trebuie să posede două calităţi:
să fie verificabilă şi să fie utilă
 4.2. Principiile CI
• Principiul armoniei: adaptarea controlului
intern la caracteristicile întreprinderii şi
mediului său, în funcţie de importanţa
riscurilor pe care le evită şi a costului său de
aplicare
• Principiul calităţii personalului: un personal
calificat este un element necesar pentru
asigurarea unui control intern de calitate
 4.3. Limitări inerente ale CI
• Raportul cost/beneficiu.
• Majoritatea controalelor interne tinde să fie direcţionată mai
degrabă spre tranzacţiile de rutină decât spre tranzacţiile
neobişnuite.
• Posibilitatea apariţiei erorilor umane datorate neglijenţei,
neatenţiei, greşelilor de raţionament sau a neînţelegerii
instrucţiunilor.
• Posibilitatea sustragerii de la efectuarea controalelor interne prin
înţelegeri confidenţiale între un membru al conducerii sau un
angajat, cu persoane din afara sau din interiorul entităţii.
• Posibilitatea ca o persoană responsabilă cu exercitarea controlului
intern să poată abuza de poziţia pe care o are.
• Posibilitatea ca procedurile să devină neadecvate datorită
schimbării condiţiilor.
 4.4. CI – MR – AI
AI:
MONITORIZARE

SISTEMUL DE
CONTROL INTERN
MR: EVALUARE ŞI
CI:
ADMINISTRARE
APLICARE
DE RISCURI
 4.4 CI – MR – AI
Identificarea
riscurilor/actualizarea
RR

Tratamentul adoptat Elaborarea criteriilor de

accepta/redu/partajează/ evaluare a riscurilor
evită (ARPE)

MR

Prioritizarea Evaluarea
riscurilor riscurilor

Determinarea inter-
conexiunilor dintre
riscurile evaluate 69
 4.4. CI – MR – AI

Componentele controlului intern

• Mediul de control;
• Evaluarea riscurilor;
• Activităţile de control;
• Informaţiile şi comunicarea;
• Monitorizarea.
 4.4. CI – MR – AI

2130 – Controlul
• Activitatea de audit intern trebuie să sprijine
organizaţia în menţinerea unor controale
eficace, prin evaluarea eficienţei şi
eficacităţii acestora, precum şi prin
promovarea unor acţiuni permanente de
îmbunătăţire.
 4.4. CI – MR – AI
2130.A1 – Activitatea de audit intern trebuie să
evalueze caracterul adecvat şi eficacitatea controalelor
stabilite ca răspuns la riscurile privind guvernanţa
organizaţiei, operaţiunile şi sistemele informaţionale,
din următoarele puncte de vedere:
• Îndeplinirea obiectivelor strategice ale organizaţiei;
• Fiabilitatea şi integritatea informaţiilor financiare şi
operaţionale;
• Eficacitatea şi eficienţa operaţiunilor şi programelor;
• Protejarea activelor; şi
• Conformitatea cu legi, regulamente, politici,
proceduri şi contracte.
 4.4. CI – MR – AI

2120 – Managementul riscului

• Activitatea de audit intern trebuie să
evalueze eficacitatea şi să contribuie la
îmbunătăţirea proceselor de management al
riscului.
 4.4. CI – MR – AI
Raţionament bazat pe evaluarea auditorului intern cu
privire la următoarele aspecte:
• Obiectivele organizaţionale sprijină misiunea
organizaţiei şi sunt corelate cu aceasta;
• Riscurile semnificative sunt identificate si evaluate;
• Sunt selectate răspunsurile adecvate la risc, care pun în
concordanţă riscurile cu apetitul organizaţiei la risc; şi
• Informaţiile relevante cu privire la riscuri sunt colectate
şi comunicate în timp util în cadrul organizaţiei,
permiţând personalului, managementului şi consiliului
să-şi îndeplinească responsabilităţile.
 4.4. CI – MR – AI
Rezultatele misiunilor de audit furnizează o
înţelegere a proceselor de management al
riscului din organizaţie, precum şi a
eficacităţii lor.

Procesele de management al riscului sunt

monitorizate prin activităţi continue de
management, evaluări separate sau prin
ambele modalităţi.
 4.4. CI – MR – AI
Activitatea de audit intern trebuie să evalueze expunerile
la risc privind guvernanţa organizaţiei, operaţiunile şi
sistemele informaţionale, privind:
• Îndeplinirea obiectivelor strategice ale organizaţiei;
• Fiabilitatea şi integritatea informaţiilor financiare şi
operaţionale;
• Eficacitatea şi eficienţa operaţiunilor şi programelor;
• Protejarea activelor; şi
• Conformitatea cu legi, regulamente, politici, proceduri
şi contracte.
 4.4. CI – MR – AI
Ghidul IIA: recomandări privind relaţiile
auditului intern cu MR
• furnizarea unei asigurări cu privire la procesele de
management al riscurilor;
• furnizarea unei asigurări cu privire la faptul că
riscurile sunt evaluate corect;
• evaluarea proceselor de management al riscurilor;
• evaluarea raportărilor privitoare la riscurile
esenţiale;
• analiza managementului riscurilor esenţiale.
 4.4. CI – MR – AI
Rolul AI:
• facilitarea identificării şi evaluării riscurilor;
• consilierea conducerii pentru a adopta măsuri de
protecţie împotriva riscurilor;
• coordonarea activităţilor MR;
• consolidarea raportărilor privind riscurile;
• menţinerea şi dezvoltarea cadrului MR;
• dezvoltarea strategiei de MR supuse aprobării
consiliului de administraţie.
 4.4. CI – MR – AI
AI nu are responsabilităţi privind:
• stabilirea apetitului pentru risc (dacă există MR);
• impunerea proceselor de MR;
• asigurarea administrării riscurilor;
• adoptarea deciziilor privind măsurile de
contracarare a riscurilor;
• implementarea acestor măsuri în numele
managementului;
• asumarea responsabilităţii pentru managementul
riscurilor.
5. Funcţia de AI în contextul 
guvernanței corporative
5. Conceptul de guvernanţă corporativă

Semnificaţie:
“Maniera în care afacerile unei companii sunt conduse şi
controlate”

Obiectiv:
Îmbunătăţirea performanţelor economice în favoarea tuturor
deţinătorilor de interese (stakeholders)

81
5. Conceptul de guvernanţă corporativă

Obiectivul este tangibil prin:

Integritate, transparenţă şi responsabilitate
Respectarea reglementărilor şi legislaţiei aplicabile
Securizarea reputaţiei şi a încrederii investitorilor

82
5. Conceptul de guvernanţă corporativă

GC presupune:
Separarea funcţiei de supraveghere de funcţia
executivă (“one / two tier GC”)
Responsabilizare adecvată în faţa deţinătorilor
de interese
5. Conceptul de guvernanţă corporativă
Forme de supraveghere:
• supravegherea asigurată de consiliul de administraţie
sau consiliul de supraveghere;
• supravegherea realizată de indivizi neimplicaţi în
derularea afacerilor cotidiene ale organizaţiei;
• supravegherea realizată direct la nivelul
direcţiilor/departamentelor de activitate ale
organizaţiei;
• existenţa unor funcţii independente privind
managementul riscurilor, audit şi conformitate.
 5. Modele de guvernanţă corporativă
Art. 142 (2) Consiliul de administratie are urmatoarele
competente de baza, care nu pot fi delegate directorilor:
a) stabilirea directiilor principale de activitate si de
dezvoltare ale societatii;
b) stabilirea politicilor contabile si a sistemului de
control financiar, precum si aprobarea planificarii
financiare;
c) numirea şi revocarea directorilor şi stabilirea
remuneraţiei lor;
d) supravegherea activitatii directorilor;
e) pregatirea raportului anual, organizarea adunarii
generale a actionarilor si implementarea hotararilor
5. Modele de guvernanţă corporativă
 a) Modelul unitar de guvernanţă
ACŢIONARI

Palier comun pentru conducerea executivă și supraveghere

CONSILIUL CONSILIU DE COMITETE DE COMITET

DE
DIRECTOR ADMINISTRAŢIE SUPRAVEGHERE AUDIT

CENZORI
DIRECTOR ….

DIRECTOR
AUDIT
INTERN
 b) Modelul dualist de guvernanţă

ACŢIONARI

Palier 1: Funcţia de Supraveghere - neexecutivă

CONSILIUL DE COMITET DE
SUPRAVEGHERE AUDIT

Palier 2: Funcţia executivă DIRECTORAT

DIRECTOR AUDIT
DIRECTOR ….
INTERN
b) Modelul dualist de guvernanţă

89
 5. Comitetul de audit
Raportare: “comply or explain”
Rolul comitetului de audit (stipulat în cartă):
 Membri directori neexecutivi independenţi
 Monitorizarea integrităţii situaţiilor financiare;
 Revizuirea CI financiar al companiei;
 Monitorizarea şi revizuirea eficacităţii AI;
 Recomandări asupra numirii, renumirii, remunerării sau
revocării AE;
 Revizuirea şi analiza independenţei şi obiectivităţii AE;
 Protecţia independenţei AI;
 Interfaţa între AI – acţionari – consiliu – AE.
 5. Standarde Internaționale
2110 – Guvernanţa - activitatea de audit intern trebuie să evalueze şi
să formuleze recomandări adecvate pentru îmbunătăţirea proceselor
de guvernanţă în:
• Adoptarea deciziilor strategice şi operaţionale;
• Supravegherea administrării riscurilor şi controalelor;
• Promovarea unei conduite etice adecvate şi a valorilor
corespunzătoare în cadrul organizaţiei;
• Asigurarea unui management eficace al performanţei în cadrul
organizaţiei şi a asumării răspunderii;
• Comunicarea informaţiilor privind riscul şi controlul către
domeniile corespunzătoare din organizaţie; şi
• Coordonarea activităţilor şi comunicarea informaţiilor între
consiliu, auditorii interni, auditorii externi, alţi furnizori de
asigurare şi conducere.
6. Funcţia de audit intern în
cadrul organizaţiei
 Natura activităţilor auditului
intern (2100)
Auditul intern evaluează sistemele de:
– management al riscurilor
– control intern
– guvernanţa corporatistă
• oferă o asigurare că acestea funcţionează
permiţând entităţii să-şi atingă obiectivele
• formulează recomandări de îmbunătăţire a
modului de funcţionare a entităţii, a eficienţei şi
eficacităţii activităților acesteia
 AGA

CONSILIUL DE
ADMINISTRAŢIE/SUPRAVEGHERE
(THE BOARD)

COMITETUL DE COMITETUL DE COMITETUL DE

RISC REMUNERARE AUDIT INTERN

CONDUCEREA EXECUTIVĂ
(SENIOR MANAGERS)

DIRECTOR DIRECTOR TEHNIC DIRECTOR AUDIT

FINANCIAR (CEO) INTERN

Poziţionarea Auditului Intern în structura organizatorică

 Departamentul de audit intern

• Organizarea internă:
–Model centralizat
–Model descentralizat

• Externalizare serviciu
 DEPARTAMENTUL DE AUDIT
INTERN
• FUNCŢII: asigurare şi consiliere
• ORGANIZARE:
– carta auditului intern: misiune, competenţe şi responsabilităţi
(1000.A1; 1000.C1)
– reguli şi proceduri de organizare a auditului intern (2040)
– coordonare a activităţii departamentului (2050)

• GESTIONARE
– gestionarea resurselor (2030)
– planificarea (2010)
– asigurarea îmbunătăţirii calităţii (1300: 1310, 1311, 1312)
– supravegherea acţiunilor de evoluţie (2500.A1)
 Carta auditului intern
1000 – Scop, Autoritate şi Responsabilităţi

Scopul, autoritatea şi responsabilităţile activităţii

de audit intern trebuie să fie definite, în scris, într-
o cartă a auditului intern ... . Conducătorul
executiv al auditului trebuie să revizuiască
periodic carta auditului intern şi să o prezinte
conducerii superioare şi consiliului pentru
aprobare.
 Carta auditului intern
Carta auditului intern este un document oficial care
defineşte scopul, autoritatea şi responsabilităţile activităţii
de audit intern. Carta auditului intern stabileşte poziţia
auditului intern în cadrul organizaţiei, inclusiv tipul
relaţiei de raportare funcţională a conducătorului executiv
al auditului faţă de consiliu; autorizează accesul la
înregistrări, personal şi proprietăţi fizice relevante pentru
executarea misiunilor; şi defineşte sfera de cuprindere a
activităţilor de audit intern. Aprobarea finală a cartei
auditului intern reprezintă o prerogativă a consiliului.
 Carta auditului intern
1000.A1 – Tipul misiunilor de asigurare
furnizate organizaţiei trebuie să fie definit în
carta auditului intern. Dacă sunt furnizate
asigurări unor părţi interesate din afara
organizaţiei, tipul acestor misiuni de asigurare
trebuie definit, de asemenea, în carta auditului
intern.

1000.C1 – Tipul misiunilor de consiliere trebuie

definit în carta auditului intern.
 Carta auditului intern
• natura activităților
• misiunea, competenţele şi responsabilităţile auditului intern
• poziţia departamentului în structura organizatorică
• accesul la documentaţie, persoane, bunuri pentru desfăşurarea
misiunilor
• sfera de activitate a auditului intern
• relaţiile de comunicare şi raportare ale auditului intern cu
celelalte structuri organizaţionale
• modalităţile de soluţionare a diferitelor probleme cu care s-ar
putea confrunta auditorii interni
• competenţele şi responsabilităţile comitetului de audit
• aprobată de management şi comitetul de audit, etc.
Carta auditului intern

•Flexibilitate
•Aprobare
•Diseminare
 Planul de audit
2010 – Planificarea
Conducătorul executiv al auditului trebuie
să stabilească un plan bazat pe riscuri
pentru a determina priorităţile activităţii
de audit intern, care să fie în concordanţă
cu obiectivele organizaţiei.
 Planul de audit
– Responsabilitate elaborare
– Orizont de timp acoperit
– Conținut:
• tipul misiunilor
• natura acestora
• momentul începerii
• momentul finalizării
• proceduri
• bugete previzionate, etc.
– Criteriu de raportare
– Manual de proceduri
 Planul de audit
Pentru elaborarea unui plan bazat pe riscuri,
conducătorul executiv al auditului se consultă cu
conducerea superioară şi consiliul, obtinând o
înţelegere a strategiilor organizaţiei, a obiectivelor
cheie şi riscurilor asociate, precum şi a proceselor
de administrare a riscurilor. Conducătorul executiv
al auditului trebuie să revizuiască şi să ajusteze
planul, după caz, ca răspuns la schimbările
survenite cu privire la activităţile, riscurile,
operaţiunile, programele, sistemele şi controalele
organizaţiei.
 Planul de audit
A1 – Planificarea misiunilor de audit intern
trebuie să se bazeze pe o evaluare documentată
a riscurilor, întreprinsă, cel puţin, anual. În
acest proces, trebuie consultate conducerea
superioară şi consiliul.
A2 – Conducătorul executiv al auditului trebuie
să identifice şi să ia în considerare aşteptările
conducerii superioare, ale consiliului şi ale altor
factori interesaţi de activitatea de audit intern cu
privire la modul de formulare a opiniilor de
audit intern şi a altor concluzii.
 Planul de audit
2010.C1 – Conducătorul executiv al
auditului trebuie să ia în considerare,
pentru acceptarea propunerilor primite
privind misiuni de consiliere, potenţialul
acestora de a îmbunătăţi managementul
riscurilor, de a aduce valoare şi de a
îmbunătăţi operaţiunile organizaţiei.
Misiunile acceptate trebuie incluse în
planul de audit.
 Planul de audit
2020 – Comunicarea şi aprobarea
Conducătorul executiv al auditului trebuie să
transmită conducerii superioare şi consiliului,
spre analiză (revizuire) şi aprobare, planurile
de audit şi necesarul de resurse, inclusiv
modificările semnificative apărute ulterior. De
asemenea, conducătorul executiv al auditului
trebuie să informeze cu privire la impactul
limitării resurselor activităţii de audit intern.
 Gestionarea auditului intern (2000)

2000 – Coordonarea Activităţii de Audit

Intern
Conducătorul executiv al auditului trebuie să
coordoneze în mod eficace activitatea de audit
intern astfel încât să se asigure că aceasta aduce
valoare organizaţiei.
 Gestionarea auditului intern
Auditul intern este coordonat eficace atunci când:
• Sunt asigurate îndeplinirea scopului şi
responsabilităţilor prevăzute în carta auditului
intern.
• Se conformează Standardelor.
• Fiecare membru în parte se conformează Codului
de Etică şi Standardelor.
• Acesta este derulat conform tendinţelor şi
evoluţiilor cu posibil impact asupra organizaţiei.
 Gestionarea auditului intern

• Responsabilități șef audit intern:

– Responsabilități generale
– Responsabilități specifice
• Relaționare
• Gestionare resurse: umane, materiale
know-how
 Gestionarea auditului intern
2030 – Administrarea resurselor
Conducătorul executiv al auditului trebuie
să se asigure că auditul intern dispune de
resurse adecvate, suficiente şi alocate în
mod eficace pentru îndeplinirea planului
aprobat.
 Gestionarea auditului intern
Adecvat – cumul de cunoştinţe, abilităţi şi
alte competenţe necesare pentru
îndeplinirea planului.
Suficient – volumul de resurse necesare
pentru îndeplinirea planului. Resursele sunt
alocate în mod eficace atunci când sunt
folosite într-un mod care optimizează
îndeplinirea planului aprobat.
 Gestionarea auditului intern

• Responsabilități șef audit intern:

– Gestionare resurse umane:
• Dimensionare echipe
• Experiență
• Calificări necesare
• Retenție personal
 Gestionarea auditului intern

• Responsabilități șef audit intern:

– Gestionare resurse materiale și
financiare
• Tehnică de lucru
• Spaţiu adecvat
• Consultanţă
• Expertiză externă
 Gestionarea auditului intern
• Responsabilități șef audit intern:
– Gestionare know-how: Consolidarea şi lărgirea
cunoştinţelor de specialitate
• Programe de instruire profesională
• Stabilire set de performanţă
• Monitorizare
• Evaluare periodică
– Internă
– Externă
• Experţi externi: evaluarea acestora, independenţa şi
obiectivitatea lor, înţelegerea termenilor misiunii
 COMUNICARE/RAPORTARE

2060 – Raportarea către conducerea superioară şi

consiliu
Conducătorul executiv al auditului trebuie să raporteze
periodic conducerii superioare şi consiliului cu privire la
scopul, autoritatea şi responsabilitatea activităţii de audit
intern, precum şi referitor la gradul de îndeplinire a
planului de audit şi a conformării cu prevederile Codului
de Etică şi ale Standardelor. Raportarea trebuie să
cuprindă aspectele privind riscurile semnificative, inclusiv
riscurile de fraudă, controlul şi guvernanţa, precum şi alte
informaţii ce necesită atenţia conducerii superioare şi/sau
consiliului.
7. Auditul bazat pe riscuri (RBA) şi Misiunea de audit intern
 RBA

„Şeful departamentului de audit intern

trebuie să elaboreze un plan de audit pe
baza riscurilor (n.n. RBA) pentru a
determina priorităţile activităţilor auditului
intern în conformitate cu obiectivele
organizaţiei”
„programul misiunilor de audit intern
trebuie să aibă la bază evaluarea, cel
puţin anuală, a riscurilor”
RBA
Practicile de elaborare a planurilor de audit intern şi a programelor de
misiune sunt variate
 strategie tradiţională de audit – auditarea internă a tot ce era
posibil.
 strategia prevăzută de standardele internaţionale de audit intern
– RBA – implică o selecţie şi o prioritizare a activităţilor şi misiunilor
de audit intern pe baza unei evaluări a riscurilor.
 RBA
Precondiţii necesare pentru a putea aplica strategia RBA:

 Organizaţia cunoaşte toate riscurile inerente

semnificative, adică cele situate peste
nivelul apetitului pentru risc;
 Organizaţia şi-a evaluat riscurile, astfel încât
acestea pot fi prioritizate în funcţie de
pericolul pe care-l reprezintă;
 Organizaţia şi-a definit apetitul pentru risc,
astfel încât riscurile inerente şi cele reziduale
pot fi evaluate şi clasificate în funcţie de
acesta.
RBA

Precondiţiile pot fi satisfăcute numai dacă:

 La nivelul organizaţiei, consiliul a adoptat un

set adecvat de politici de control intern;
 Apetitul pentru risc a fost aprobat de către
consiliu;
 Directorii executivi au fost instruiţi
corespunzător pentru a avea abilităţile
cerute pentru identificarea riscurilor,
evaluarea lor, pentru proiectarea, punerea
în aplicare şi monitorizarea sistemelor de
control care asigură implementarea
politicilor adoptate de consiliu.
 RBA
Etapele RBA:
1. examinarea registrului riscurilor şi
determinarea riscurilor asupra cărora auditorii
vor trebui să formuleze o opinie cu privire la
gradul de control exercitat;
2. elaborarea planului de audit (anual) şi
obţinerea aprobării comitetului de audit
asupra acestuia;
3. realizarea misiunilor de audit care vor furniza
baza pentru opiniile auditorilor;
4. actualizarea universului de audit şi riscuri, pe
măsură ce sunt obţinute informaţii
suplimentare.
 Etapele RBA
Etapa 1: Examinarea registrului riscurilor – proceduri:
 Discuții cu managementul și consiliul cu privire la riscuri.
 Se documentează:
 obiectivele organizației;
 metodele utilizate de către conducere pentru a evalua
riscurile semnificative;
 scala de evaluare utilizată pentru dimensionarea relevanței
riscurilor;
 declarația consiliului privind definirea apetitului său pentru risc;
 maniera în care riscurile vor fi integrate în procesele
decizionale;
 analiza registrului riscurilor.
 Examinarea documentelor obținute;
 Formularea unei concluzii cu privire la credibilitatea și
posibilitatea utilizării registrului riscurilor pentru acțiunile
ulterioare.
Etapele RBA

 Registrul riscurilor: ce este,

elaborare, actualizare

 Proceduri: interviu,
chestionar, seminarii de
lucru (mese rotunde)
Dimensionarea relevanţei riscurilor

Există două componente ale riscului:

 Consecinţa (impactul) riscului (C)

 Probabilitatea producerii riscului: (P)

R=CxP

R – nivelul riscului;

C – consecinţa;

P – probabilitatea
Dimensionarea relevanţei riscurilor

Cuantificarea riscurilor: înainte şi după control

 Riscul inerent (brut/absolut): riscul
dimensionat înainte de a evalua eficacitatea
şi eficienţa controalelor interne – util pentru
elaborarea planului anual de audit.
 Riscul rezidual (net/controlat): riscul
dimensionat după ce au fost evaluate
eficienţa şi eficacitatea controalelor interne
ale organizaţiei – determinat pe parcursul
misiunii.
Exemplu:
 Etapele RBA
Etapa 2: Elaborarea planului de audit (anual)
şi obţinerea aprobării comitetului de audit
asupra acestuia
Obiective:
• Determinarea riscurilor care vor fi incluse în planul
de audit;
• Alocarea acestor riscuri misiunilor de audit;
• Elaborarea planului de audit.
 Planul anual
Etape:
• determinarea riscurilor care vor fi incluse în planul
de audit;
• alocarea acestor riscuri misiunilor de audit;
• elaborarea planului de audit
 Etapele RBA
Luarea în considerare a includerii riscurilor în planul de audit:
• Riscurile care se situează sub nivelul apetitului pentru risc al
conducerii nu vor fi incluse în planul de audit.
• Riscurile situate peste nivelul apetitului pentru risc - situaţii cu
privire la care auditorii interni vor decide menţinerea sau
eliminarea lor din planul de audit:
– Riscurile pe care conducerea le consideră că, din diverse motive, nu vor
putea fi ameliorate astfel încât să fie reduse la nivelul apetitului pentru risc,
motiv pentru care le acceptă.
– Riscurile pentru care au fost adoptate măsuri de prevenire de tipul
transferului.
– Riscurile pe care conducerea este decisă să le elimine prin diverse acţiuni
sau programe.
– Riscurile examinate şi evaluate de o terţă parte.
– Riscurile care au fost aduse în limita apetitului pentru risc, fapt dovedit de
rapoartele misiunilor de audit intern anterioare.
• Toate celelalte riscuri care au rămas vor fi incluse în planul de
audit.
 Planul anual
Tratament riscuri:
• Riscuri acceptate de conducere (contingențe?)
• Riscuri transferate (exhaustivitate, eficacitate)
• Riscuri eliminate (controale corespunzătoare?)
• Riscuri evaluate de o terță parte
• Riscuri aduse sub nivelul apetitului pentru risc
(de când?, rezultate monitorizare)
Orice alte riscuri se includ în plan.
 Planul anual
Criteriile de alocare a riscurilor pe misiuni de audit cel mai
frecvent utilizate sunt:
• Perioada de timp și resursele necesare pentru o misiune
de audit (cu cât mai multe riscuri și procese alocate pe o
misiune, cu atât mai lungă și mai costisitoare va fi
misiunea de audit);
• Persoanele ce se intenționează a fi intervievate în
contextul misiunii;
• Locația proceselor auditabile, etc.
Se pot grupa riscurile și pe misiuni, după obținerea unei
liste cu toate procesele auditabile (universul auditului) și
gruparea lor ulterioară în funcție de locație sau alte criterii
particulare.
 Planul anual
Anual sau multianual - ex: scala de la 1 la 5
Conţinut:
• Misiunile de audit ce vor fi întreprinse;
• Perioada de timp preconizată pentru misiunile de audit
(când vor începe, câte zile vor dura, când se vor
finaliza);
• Riscurile şi procesele de control asociate acestora ce
vor face obiectul misiunilor;
• Numele auditorilor ce vor participa în cadrul misiunilor
(cel puţin numele şefilor de misiuni), etc.
Aprobare: comitetul de audit şi consiliul de
administraţie al organizaţiei
 Misiunea de audit
Etapele 3+4: în contextul misiunii de audit:
3. Realizarea misiunilor de audit care vor furniza
baza pentru opiniile auditorilor;
4. Actualizarea universului de audit şi riscuri, pe
măsură ce sunt obţinute informaţii
suplimentare.
 Etapele misiunii

Documentarea

• dosare permanente de audit

• dosare curente de audit

Standardizare?
 Etapele misiunii
Caracteristici probe:

• suficiente;
• pertinente;
• utile;
• concludente (convingătoare).
 Etapele misiunii
Material suplimentar

Elaborarea şi publicarea aşa-numitelor norme

minimale de audit intern

Ghid privind implementarea standardelor

internaționale de audit intern
 Probe – definiție
Informații care confirmă sau infirmă un
obiectiv de audit

Informațiile obținute prin observarea

condițiilor, intervievarea persoanelor
și examinarea înregistrărilor
 Probe – categorii

• Documente primare originale

• Documente secundare (copii,

probe verbale, note scrise)
 Probe – categorii
• Probe directe – nu necesită un
raționament pentru a demonstra un fapt
• Probe circumstanțiale – demonstrează
altceva, necesită raționament, implică
scepticism profesional
• Probe concludente – o singură concluzie
logică, surclasează orice altă probă, nu
necesită coroborare
 Probe – categorii

• Probe care se coroborează cu alte tipuri

de probe:
– Suplimentare
– Diferite ca natură
– Privesc același aspect
– Întărește sau contrazice o altă probă deja existentă
 Probe – categorii
• Probe de tip opinie (din discuții):
– Subiective
– Autojustificare
– Neprofesionale
Necesare! Documentare?
Excepție: opinia experților
• Probe de tip mărturie nedemonstrată
– Repetarea opiniei altcuiva
– Prezentarea unui document întocmit de altcineva
Excepție: documentele întocmite în cursul normal al
afacerii
 Probe
Informațiile obținute prin observarea condițiilor,
intervievarea persoanelor și examinarea
înregistrărilor pentru a fundamenta concluziile
auditorului în baza cărora se va emite opinia
și/sau recomandările.
Probele pot fi:
– Fizice
– Declarații
– Documentare
– Analitice
 Probe fizice

Observarea:
• Persoanelor
• Reperelor fizice
• Evenimentelor

Se documentează!
 Probe tip declarații

Scrisori, e-mail-uri, note interne

Răspunsuri la chestionare, interviuri

Pot fi scrise sau verbale

Nu sunt conclusive – necesită
coroborare
 Probe documentare

Externe
Interne (create de către auditat)

Sursa determină în mare parte

credibilitatea
 Probe analitice

Rate, indicatori, comparații

Nu sunt conclusive – necesită

coroborare
 Etapele misiunii

Planificarea

Etapa Interimară

Raportarea
 Etapele misiunii
Planificarea
1.Determinarea obiectivelor activităţilor ce
urmează a fi auditate
2.Identificarea riscurilor care ameninţă
realizarea acestor obiective. Cuantificarea şi
ierarhizarea riscurilor.
 Etapele misiunii
2200 – Planificarea misiunii
• Auditorii interni trebuie să elaboreze şi să
documenteze un plan pentru fiecare
misiune, care să includă obiectivele
misiunii, sfera de cuprindere, calendarul de
desfăşurare şi alocarea resurselor. Planul
trebuie să ia în considerare strategiile
organizaţiei, obiectivele şi riscurile
relevante pentru misiunea respectivă de
audit.
 Etapele misiunii
2201 – Aspecte privind planificarea: în planificarea misiunii,
auditorii interni trebuie să ia în considerare:
• Strategiile şi obiectivele activităţii auditate şi mijloacele prin
care se deţine controlul asupra desfăşurării acesteia;
• Riscurile semnificative ale activităţii faţă de obiectivele
acesteia, resursele, operaţiunile şi mijloacele prin care impactul
potenţial al riscului este menţinut la un nivel acceptabil;
• Caracterul adecvat şi eficacitatea proceselor de guvernanţă,
managementul riscului şi control aferente activităţii, în
comparaţie cu un cadru sau model relevant de control;
• Oportunităţile pentru îmbunătăţirea semnificativă a proceselor
de management al riscului şi control aferente activităţii.
 Etapele misiunii
Planificarea misiunii de audit are ca principal scop
determinarea ariei de întindere a acesteia prin
evidenţierea următoarelor aspecte importante:
• motivaţia misiunii de audit: de ce are loc misiunea?
• obiectivele (nu ale misiunii, ci ale proceselor ce urmează a
fi auditate!), riscurile şi controalele ce vor fi examinate
• programul de lucru elaborat în conformitate cu manualul
de proceduri interne de audit
• limitele ariei de întindere a misiunii, cu specificarea
explicită a proceselor excluse din misiune
• echipa de auditori care va realiza misiunea
• perioada de timp în care misiunea va avea loc
• destinatarii planului de misiune, a rapoartelor interimare,
respectiv a raportului final al misiunii.
 Etapele misiunii
Planificarea
Cunoaşterea preliminară a clientului nu este realizată la
întâmplare. Pentru a fi utilă, ea este organizată şi
vizează colectarea unor informaţii structurate pe patru
secţiuni principale:
• organizarea entităţii/proceselor ce vor face obiectul
misiunii de audit (personal, bugete, performanţe,
resurse, etc.);
• obiectivele activităţilor/proceselor ce vor fi auditate,
respectiv a mediului în care acestea operează;
• actualizarea informaţiilor privind riscurile specifice
prin referinţă la planul anual şi registrul riscurilor;
• mecanismele şi tehnicile utilizate în cadrul
activităţilor/ proceselor ce vor face obiectul misiunii
de audit.
 Etapele misiunii
Elaborarea programului de lucru al misiunii cuprinde detalii
privind:
• obiectivele misiunii de audit intern: auditorii interni trebuie să
efectueze o evaluare preliminară a riscurilor relevante pentru
activitatea în curs de auditare. Obiectivele misiunii trebuie să
reflecte rezultatele acestei evaluări
• colectarea şi prelucrarea informaţiilor referitoare la procesele
auditate;
• organizarea cronologică şi secvenţială a proceduri de audit
utilizate;
• responsabilităţi punctuale privind aplicarea procedurilor de
audit, colectarea probelor, comunicarea şi raportarea pe
parcursul misiunii;
• aspecte legate de documentaţia întocmită pe parcursul misiunii;
• responsabilităţi privind monitorizarea şi supervizarea misiunii;
• reguli specifice de raportare, comunicare, etc.
 Etapele misiunii
Etapa Interimară
1.Evaluarea şi testarea existenţei
mecanismelor de control intern.
Cuantificarea şi ierarhizarea riscurilor
reziduale.
2.Identificarea activităţilor în care riscurile nu
sunt ameliorate la un nivel acceptabil prin
mecanismele de control, în funcţie de
apetitul pentru risc al conducerii.
 Etapele misiunii
Etapa Interimară
Pe parcursul acestei etape auditorii interni sunt
preocupaţi de două probleme majore:
• să examineze dacă pentru secţiunea auditată:
• există un proces prin care riscurile sunt identificate şi evaluate?
• operează un sistem de control?
• să evalueze controalele interne utilizate pentru
ameliorarea riscurilor identificate:
• controalele directe
• controalele de monitorizare
 Etapele misiunii
Etapa Interimară

Scorul de control (SC) poate fi dimensionat, din

punct de vedere algebric, după următoarea
relaţie:

SC = RI – RR
Unde:
RI – valoarea atribuită riscului inerent
RR – valoarea atribuită riscului rezidual
 Etapele misiunii
Raportarea:
• Elaborarea şi furnizarea unui raport adresat
managementului care să prezinte o asigurare
referitoare la faptul că riscurile identificate sunt
ameliorate sau nu la un nivel acceptabil.
• Convenirea cu managementul asupra măsurilor
ce trebuie adoptate, momentului adoptării şi
sistemului de monitorizare.
 Etapele misiunii
Raportarea:
Auditorii interni vor trebui să includă în raportul de audit
concluziile lor cu privire la:
•riscurile care se situează în limitele apetitului pentru risc
datorită controalelor interne utilizate de organizaţie;
•riscurile pe care conducerea:
• fie le acceptă;
• fie adoptă măsuri pentru eliminarea, transferul sau ameliorarea lor;
•riscurile care nu se situează în limitele apetitului pentru
risc şi
•programul de măsuri ce va trebui convenit pentru
ameliorarea riscurilor la nivelul apetitului pentru risc al
organizaţiei.
 Etapele misiunii
• 2400 – Comunicarea rezultatelor
• Auditorii interni trebuie să comunice rezultatele misiunilor.
• 2410 – Criterii pentru comunicare
• Comunicările trebuie să includă obiectivele misiunii, sfera de
cuprindere şi rezultatele.
• 2410.A1 – Comunicarea finală a rezultatelor misiunii trebuie să
conţină, atât de opinia auditorilor interni cât şi recomandările
corespunzătoare şi/sau planurile de acţiune. Când este cazul,
auditul intern trebuie să formuleze o opinie. Aceasta trebuie să
ia în considerare aşteptările conducerii superioare, consiliului,
precum şi a altor factori interesaţi de activitatea de audit intern
şi să fie susţinută de informaţii suficiente, sigure, relevante şi
utile.
 Etapele misiunii
Raportul de audit ar putea fi structurat în patru secţiuni distincte, care
împreună, pot constitui un raport final:
• un rezumat (preliminar): cuprinde concluziile, acţiunile necesare a
fi adoptate, motivaţia şi obiectivele misiunii, riscurile şi procesele
auditate.
• riscuri esenţiale: prezintă o detaliere a riscurilor reziduale cuprinse
în intervalele [9-25] situate mult peste nivelul apetitului pentru risc
al conducerii. În cazul lor trebuie prezentată o detaliere, în special
a consecinţelor acestora în cazul producerii lor, măsurile corective
necesare, etc.
• riscuri semnificative: prezintă detalii referitoare la riscurile situate
peste nivelul apetitului pentru risc (intervalul [5-8]), dar care vor fi
fie acceptate de către conducere, fie vor fi atenuate prin măsuri de
control eficiente din punctul de vedere al costurilor de
implementare. În cazuri oportune, poate fi inclusă o descriere a
controalelor propuse.
• raportul privind procesele, controalele şi riscurile
 Etapele misiunii
Raportul privind procesele, controalele şi riscurile:
• prezintă detaliat lucrările de audit întreprinse pentru a ajunge la
concluziile formulate;
• plasează riscurile situate peste nivelul apetitului pentru risc într-un
context logic şi real: spre exemplu, din 15 riscuri examinate, două
riscuri sunt esenţiale, trei sunt semnificative, iar restul sunt
controlate. Imaginea oferită astfel este completă şi mult mai
relevantă.
• descrie controalele ataşate riscurilor respective, indicând deficienţele
şi consecinţele acestor deficienţe;
• avansează recomandări pentru corecţia deficienţelor sesizate sub
forma programelor de măsuri;
• prezintă un paragraf distinct de opinie referitoare la:
– procedurile existente de identificare, evaluare şi management al riscurilor;
– eficienţa şi eficacitatea sistemelor de control ataşate în ameliorarea riscurilor la
nivelul apetitului pentru risc;
– conformitatea/neconformitatea cu standardele de audit intern, respectiv cu
planul anual de audit.
 Raportul de audit intern
• Rezumat • comitetului de audit,
principalilor directori,
directorului responsabil de
afaceri, managerilor
implicaţi în mod direct

• Riscuri • comitetului de audit,

esenţiale directorului responsabil de
afacerile entităţii şi
directorilor implicaţi în
mod direct
 Raportul de audit intern
• Comitetului de
• Riscuri audit,
semnificative managerilor
direct implicaţi

• Raportul privind • Comitetului de

activităţile, riscurile şi audit,
mecanismele de managerilor
control direct implicaţi
Responsabilități post-audit

Urmărirea implementării
planurilor de acțiune
convenite
 Proiect raport audit

Conform metodologiei
CAFR
8. Relaţia audit intern – audit extern
Relaţia audit intern - audit extern

a. Diferenţieri audit intern - audit extern

b. Evaluarea activităţii auditului intern

c. Coordonarea auditului intern cu auditul

extern
 Relaţia audit intern - audit
extern
a. Diferenţieri audit intern - audit extern

• maniera de angajare și independența

• destinatarii și natura raportului de audit
• obiectivele auditului
• aria de întindere a misiunilor
 Relaţia audit intern - audit
extern
Standardul Internațional de Audit (ISA) 610 Utilizarea
activității auditorilor interni tratează responsabilitățile
auditorului extern atunci când utilizează activitatea
auditorilor interni. Aceasta presupune
(a) utilizarea activității funcției de audit intern pentru
obținerea de probe de audit și
(b) utilizarea auditorilor interni pentru furnizarea de
asistență directă sub coordonarea, supravegherea și
revizuirea auditorului extern.
 Relaţia audit intern - audit
extern
b. Evaluarea activităţii auditului intern
Auditorul extern trebuie să determine dacă activitatea funcției
de audit intern poate fi utilizată în sensul auditului, prin
evaluarea următoarelor aspecte:
(a) Măsura în care statutul organizațional, procedurile și
politicile relevante ale funcției de audit intern sprijină
obiectivitatea auditorilor interni;
(b) Nivelul de competență al funcției de audit intern; și
(c) Măsura în care funcția de audit intern aplică o abordare
sistematică și disciplinată, inclusiv un control al calității.
 Relaţia audit intern - audit
extern
c. Coordonarea auditului intern cu auditul
extern:
• planificare
• consultări
• informare reciprocă
 Informaţii utile
Adrese web:

• Camera Auditorilor Financiari din România: www.cafr.ro

• Institute of Internal Auditors (SUA): www.theiia.org
• Asociaţia Auditorilor Interni din România: www.aair.ro
 Informaţii utile
Cărţi:
• Audit intern, Laurenţiu & Camelia Dobroţeanu, editura
InfoMega, 2007
• Teoria şi Practica Auditului Intern, Jacques Renard, ediţia
a IV a, 2002