Sunteți pe pagina 1din 14

MINISTERUL EDUCAŢIEI ŞI CERCETĂRII

UNIVERSITATEA „TIBISCUS” TIMIȘOARA


FACULTATEA DE DREPT ŞI ŞTIINŢE ADMINISTRATIVE
SPECIALIZAREA: DREPT
DISCIPLINA: AUDIT ŞI GUVERNANŢĂ CORPORATIVĂ

REFERAT
ETAPELE PROCESULUI DE GESTIONARE A
RISCURILOR

Coordonator ştiinţific:
Lect. univ. dr. IVAN RALUCA

Student:
DOBRICA IRINA BIANCA

TIMIȘOARA
2022

Cuvântul „risc” derivă de la cuvântul italian „risicare” care înseamnă „a îndrăzni”. În


acest sens, riscul este o alegere, nu o soartă.1
Riscul este definit ca fiind incertitudinea unui rezultat îmbrăcând forma unei probabilităţi
de natură pozitivă sau a unei ameninţări, a unor acţiuni sau evenimente şi trebuie administrat din
perspectiva unei combinaţii între posibilitatea de a se întâmpla ceva şi impactul pe care l-ar
produce materializarea acestei posibilităţi.2
În orice activitate pe care o desfăşurăm există riscuri. ele se manifestă într-un fel sau
altul, chiar şi atunci când nu vrem să recunoaştem. Cel mai înţelept este însă, să înţelegem
riscurile şi să încercăm să le administrăm, poate chiar în folosul nostru.

Etapele procesului de gestionare a riscului


Procesul de gestionare a riscurilor implică realizarea unor activităţi-cheie într-o
succesiune logică, după cum urmează:
- identificarea riscurilor;
- evaluarea riscurilor;
- controlarea riscurilor;
- analiza şi raportarea riscurilor.3

1. Identificarea riscurilor
Identificarea riscurilor implică două componente, respectiv identificarea iniţială a
riscurilor pe obiective, dar şi o activitate de identificare continuă a riscurilor noi, a celor datorate
schimbărilor intervenite în organizaţie sau a celor care apar datorită modificării legislaţiei ş.a. În
practică, riscurile trebuie să fie relaţionate faţă de obiective şi să poată şi evaluate şi prioritizate,
în strânsă legătură cu obiectivele, pornind de la obiectivele individuale şi continuând cu
obiectivel de ansamblu ale entităţii. Pentru toate riscurile identificate, trebuie să se stabilească
persoanele responsabile care vor gestiona şi monitoriza în mod permanent riscul respectiv.

1
K. H. Spencer Pickett, The Internal Auditing Handbook, Second Edition, Ed. John Wiley & Sons, New York,
USA, 2006, pag. 54.
2
H. M. Treasury, Cartea portocalie – Gestionarea riscurilor, principii şi concepte, Ed. Economică, Bucureşti, 2004,
pag. 9.
3
M. Ghiţă, C. Iaţco, Guvernanţa corporativă şi auditul intern, Ed. Tipo Moldova, Iaşi, 2009, pag. 125.

2
Responsabilul de risc se impune să aibă autoritatea necesară care să asigure gestionarea
cu eficacitate a riscurilor.
Activitatea de identificare a riscurilor se poate realiza astfel:
- autoevaluarea riscurilor de către persoanele implicate în realizarea obiectivelor
respective, pe niveluri ierarhice prin diagnosticarea riscurilor cu care se confruntă zilnic. Un
punct forte al acestei abordări o reprezintă faptul că persoanele responsabile de riscuri devin mai
conştiente atunci când sunt implicate în activitatea de identificare a riscurilor.
- analiza riscurilor realizată de un compartiment special creat în cadrul entităţii sau de o
echipă externă, contractată, care să evalueze toate operaţiunile şi activităţile organizaţiei în
relaţie cu obiectivele şi să le ataşeze riscurile adecvate.
Din practică a rezultat că o combinare între cele două abordări este cea mai eficientă
pentru organizaţii, deoarece din această colaborare pot ieşi la iveală diferenţe semnificative de
percepţie asupra riscurilor care în urma soluţionării asigură o gestionare corespunzătoare a
acestora.4
Riscurile la care este supusă organizaţia pot fi grupate în mai multe categorii, aşa cum
sunt prezentate în figura 1.

RISCURI DE RISCURI DE
IMAGINE FUNCŢIONARE

RISCURI RISCURI
PRIVIND MANAGEMENTUL SOCIALE ŞI
SECURITATEA RISCULUI UMANE
INFO.

RISCURI RISCURI
JURIDICE FINANCIARE

Figura 1. Departamentul de management al riscurilor.

Teoreticienii englezi consideră că cele mai întâlnite categorii de riscuri sunt următoarele:5
- riscuri strategice; sunt riscurile care afectează scopurile pe termen mediu şi lung,
precum şi obiectivele organizaţiei. Gestionarea acestor riscuri este de obicei în sarcina
comitetului de management al riscului (RMC) şi cuprind riscurile:
- politice: eşecul îndeplinirii politicii guvernamentale;
- economice: implicaţii ale schimbărilor apărute în economie;
4
M. Ghiţă, Guvernanţa corporativă, Ed. Economică, Bucureşti, 2008, pag. 246.
5
P. Griffiths, Risk-Based Auditing, Gower Publishing Limited, Aldeshot, England, 2005, pag. 22-23.

3
- sociale: neputinţa răspunderii la efectele schimbărilor apărute în tendinţele
demografice şi socioeconomice, neputinţa reflectării acestora în obiectivele companiei;
- privind clienţii: eşecul identificării nevoilor curente şi în schimbare ale clienţilor.
- riscuri operaţionale; sunt riscurile pe care managerii şi conducerea le vor întâlni în
activitatea zilnică şi anume:
- competiţionale: eşecul de a conferi valoare banilor, calitate produselor ş.a.;
- fizice/materiale: pericole legate de incendii, securitate, prevenirea accidentelor,
sănătate şi siguranţă;
- contractuale: eşecul celor contractaţi de a asigura serviciile sau produsele la timp,
costul sau specificaţiile.
- riscuri financiare; sunt riscuri semnificative care rămân în permanenţă în atenţia
managementului şi pot fi eşecuri în planificarea financiară sau gestiunea fondurilor.
- riscuri privind reputaţia sau brandul; sunt acele riscuri asociate cu zona de mass-
media şi orice alte acţiuni sau inacţiuni care pot leza marca sau reputaţia companiei.
- riscuri informaţionale şi legate de IT; sunt riscuri legate de tehnologia IT care se află
într-o permanentă mişcare şi anume:
- tehnologice: lipsa abilităţii de a folosi tehnologia, eşecuri interne de natură
tehnologică sau eşecuri privind achiziţionarea tehnologiei;
- fizice legate de IT: defecţiuni ale echipamentelor IT, de telefonie ş.a..
- riscuri privind personalul şi anume:
- profesionale: eşecuri cauzate de lipsa de discernământ financiar, lipsa unui personal
specializat, lipsa consultării privind dezvoltările ş.a.;
- conducerea şi managementul: lipsa de personal cheie sau inabilitatea păstrării
acestuia, imposibilitatea asigurării unei pregătiri profesionale adecvate.6

Metode care pot fi folosite la identificarea potenţialelor riscuri:


- workshopuri (întâlniri de lucru);
- planificare de scenarii;
- analizarea creanţelor trecute şi a altor pierderi;
- analizarea incidentelor/eşecurilor trecute;
- inspecţiile privind sănătatea sau siguranţa;
- training pentru începători;
- revederea performanţelor trecute;
6
P. Griffiths, op. cit., pag. 22-23.

4
- realizarea feedbackului între conducere şi clienţi.
În practică mai întâlnim şi alte categorii de riscuri având în vedere anumite criterii,
astfel:
- probabilitatea apariţiei:
- riscuri potenţiale: sunt cele care sunt susceptibile, teoretic, de a se produce dacă nu
este exercitat nici un control pentru a preveni sau pentru a detecta şi corecta erorile care ar putea
să se producă;
- riscuri posibile: sunt acele riscuri împotriva cărora managementul, în general, nu
dispune de mijloace pentru a le limita. Când astfel de mijloace lipsesc, există o mare
probabilitate ca anumite erori să se producă fără să fie detectate sau corectate.7
- natura riscurilor:
- riscuri strategice, referitoare la realizarea unor acţiuni greşite, legate organizare, de
resurse, de mediu, de dotare ş.a.;
- riscuri informaţionale, referitoare la adoptarea unor sisteme nesigure sau
neperformante pentru prelucrarea informaţiilor şi pentru raportare;
- riscuri financiare, legate de pierderea unor resurse financiare sau acumularea de
pasive inacceptabile.
- natura activităţilor şi operaţiilor desfăşurate în cadrul entităţilor:
- riscuri legislative;
- riscuri financiare;
- riscuri de funcţionare;
- riscuri comerciale;
- riscuri juridice;
- riscuri sociale;
- riscuri de imagine;
- riscuri legate de mediu;
- riscuri ce privesc securitatea informaţiilor ş.a..
- specificul entităţilor:
- riscuri generale;
- riscuri legate de natura activităţilor/proceselor/operaţiilor specifice;
- riscuri privind conceperea şi funcţionarea sistemelor;
- riscuri referitoare la conceperea şi actualizarea procedurilor.

7
V. Munteanu, Control şi audit financiar-contabil, Ed. Lumina Lex, Bucureşti, 2003, pag. 516.

5
Conform normelor generale privind exercitarea activităţii de audit public intern,
riscurile se clasifică astfel:8
- riscuri de oranizare;
- riscuri operaţionale;
- riscuri financiare;
- alte riscuri (cele generate de schimbările legislative, structurale, manageriale etc);
Cele mai importante clasificări ale riscurilor rămân cele legate de probabilitatea de
apariţie a riscurilor şi nivelul impactului, respectiv gravitatea şi durata consecinţelor, în cazul în
care s-ar produce.

2. Evaluarea riscurilor
În această etapă se evaluează importanţa riscurilor care au fost identificate şi ar trebui să
graviteze în jurul componentelor bidimensionale impact şi vulnerabilitate.
Majoritatea riscurilor se pretează la o diagnosticare numerică, în special riscurile
financiare, dar există şi riscuri ale căror evaluare are o perspectivă mult mai subiectivă, spre
exemplu riscul de imagine, riscul de reputaţie, riscul de brand ş.a.. Putem astfel să concluzionăm
că în România se utilizează o abordare combinată a celor două modalităţi de evaluare a riscurilor
prezentate mai sus. În cadrul organizaţiilor se impune să se adopte un sistem cadru de evaluare a
riscurilor care să se bazeze pe dovezi imparţiale şi independente, să aibă în vedere întreaga gamă
de factori interesaţi şi să evite confuziile între evaluarea riscurilor şi aprecierea tolerabilităţii
acestora.
Evaluarea riscurilor va fi realizată prin:
- aprecierea atât a probabilităţii de materializare a riscurilor, cât şi a impactului riscului
în situaţia materializării acestuia;
- clasificarea pe trei niveluri: mare, mediu şi mic, a fiecărui risc, care vor conduce la o
matrice 3 x 3.9
- mare – foarte probabil să se întâmple (în unu-doi ani);
- medie – este probabil să se petreacă mai puţin frecvent şi este mai dificil de
anticipat (probabil să se întâmple o dată la fiecare trei-zece ani);

8
OMFP nr. 38/2003 pentru aprobarea Normelor generale privind exercitarea activităţii de audit public intern,
Monitorul Oficial, nr. 130 bis/2003.
9
P. Griffiths, op. cit., pag. 24-25.

6
- mică – foarte puţin probabil să aibă loc (o dată la fiecare zece ani sau chiar mai
puţin frecvent).
Impactul asupra organizaţiei după specificul organizaţiei şi tipurile sale de risc, poate
fi: - ridicat – efect catastrofic asupra operaţiunii;
- moderat – efect semnificativ, dar nu catastrofic asupra operaţiunilor;
- scăzut – consecinţele nu vor fi atât de severe şi orice pierderi sau implicaţii financiare
vor fi relativ scăzute.
În practică nu există un standard absolut pentru realizarea matricei riscurilor, putând fi
utilizate şi matricele 5 x 5 cu următoarele niveluri: nesemnificativ, minor, moderat, major şi
grav.
În cadrul organizaţiei, riscurile evaluate vor conduce la stabilirea priorităţii acestora, cele
majore fiind permanent avute în vedere la cel mai înalt nivel al organizaţiei. Evaluarea riscurilor
este parte a procesului operaţional şi trebuie să identifice şi să analizeze factorii interni şi externi
care ar putea afecta în mod negativ obiectivele organizaţiei. Factorii interni pot fi, de exemplu,
natura activităţilor entităţii, calificarea personalului, schimbări majore în organizare sau
randamentul angajaţilor, iar factorii externi pot fi; variaţia condiţiilor economice, legislative sau
schimbările intervenite în tehnologie.
Evaluarea riscurilor este o preocupare atât a auditorilor interni, pe care o realizează în
conformitate cu standardele lor profesionale, cât şi a controlului intern, în vederea oferirii unor
servicii performante pentru management.
Auditorii interni trebuie să raporteze rezultatele activităţii lor managementului general
orice slăbiciune semnificativă descoperită pe parcursul desfăşurării auditului. Cu toate acestea
auditorii se confruntă cu propriul lor risc, riscul de audit, reprezentat în figura 2.

RISCUL DE AUDIT

RISCUL DE CONTROL

RISCUL INERENT

7
Figura 2. Structura riscului.10
Analiza figurii prezentate mai sus ne permite efectuarea următoarelor observaţii:
- riscul inerent – este riscul ca o eroare materială să se producă şi reprezintă totalitatea
riscurilor care planează asupra organizaţiei şi poate fi constituit din riscuri interne şi externe,
măsurabile şi nemăsurabile;
- riscul de control – este riscul ca sistemul de control intern al entităţii să nu împiedice
sau să nu corecteze în totalitate efectele riscurilor inerente, care pot să apară şi care rămân oricât
control s-ar efectua;
- riscul de audit, care practic rămâne oricât control intern şi audit intern s-ar desfăşura în
cadrul organizaţiei. Acest risc este riscul de nedetectare, respectiv riscul ca o eroare materială să
nu fie depistată, nici de control, nici de auditorii interni sau externi.
Fiecare organizaţie are nevoie de mai multe elemente pentru instituirea unui sistem de
control intern eficient şi anume:
- existenţa unui mediu de control;
- evaluarea riscurilor;
- urmărirea adecvată a evoluţiei acestora;
- necesitatea activităţilor de control.
Pentru o bună evaluare a riscurilor este nevoie să cunoaştem entitatea, activităţile
auditabile, riscurile asociate şi activităţile de control intern care funcţionează. Activităţile
auditabile din cadrul unei organizaţii se stabilesc prin împărţirea acestora în operaţii elementare,
cărora ulterior li se asociază riscuri, aşa cum rezultă din figura 3.

Figura 3. Stabilirea obiectelor auditabile.11

Evaluarea riscurilor este o problemă permanentă deoarece condiţiile se schimbă mereu,


apar noi reglementări, apar oameni noi, apar obiective de actualitate şi toate aceste schimbări
modifică în permanenţă harta riscurilor, care niciodată nu poate fi definitivată.

10
M. Ghiţă, op. cit., pag. 253.
11
M. Ghiţă, op. cit., pag. 255.

8
Analiza riscurilor nu reprezintă o ştiinţă exactă. Prin stabilirea activităţilor de control se
urmăreşte ca riscurile ridicate să devină medii sau scăzute, până la o eventuală dispariţie
ulterioară. Oricum, riscurile trebuie să evolueze în jos.
În practica auditorilor interni, evaluarea riscurilor reprezintă o etapă majoră şi se
realizează pentru elaborarea planului anual de audit intern şi a programului de audit din etapa de
pregătire a misiunilor de audit intern. În acelaşi timp, activitatea de evaluare a riscurilor este o
componentă esenţială a managementului riscurilor şi se realizează sistematic, cel puţin o dată pe
an, pentru actualizarea analizei riscurilor, dar şi pentru identificarea de riscuri noi, cu ocazia
elaborării Registrului riscurilor.

3. Controlul riscurilor
Controlul riscurilor se realizează cu scopul de a transforma incertitudinile într-un avantaj
pentru organizaţie, limitând nivelul ameninţărilor. Orice măsură luată de organizaţie pentru
controlul riscurilor se încadrează în cunoscutul „sistem de control intern”.
Controlul riscurilor presupune realizarea următoarelor activităţi:
- tolerarea;
- tratarea;
- transferarea;
- încetarea;
- oportunităţi.12

Tolerarea riscurilor
Riscurile pot fi acceptate fără să fie necesară luarea vreunei măsuri. În cazul unor riscuri,
chiar dacă cu greu sunt tolerate, nu întotdeauna avem posibilitatea să acţionăm datorită, spre
exemplu, costului măsurilor respective, care pot să fie disproporţionate. Opţiunea aceasta poate fi
completată de „un plan pentru situaţii neprevăzute” care să atenueze posibilul impact care ar
putea fi resimţit în situaţia materializării riscurilor.13
Tratarea riscurilor
Marea majoritate a riscurilor sunt controlate cu scopul de a fi tratate. Astfel, în timp ce
organizaţia îşi desfăşoară activităţile care au generat riscurile, se instalează un instrument de
control care menţine efectele riscului în limite acceptabile.

12
M. Ghiţă, C. Iaţco, Guvernanţa corporativă şi auditul intern, Ed. Tipo Moldova, Iaşi, 2009, pag. 138.
13
M. Ghiţă, Guvernanţa corporativă, Ed. Economică, Bucureşti, 2008, pag. 257.

9
În practică, pentru tratarea riscurilor se utilizează următoarele categorii de instrumente de
control:
- instrumente de control preventiv. Implementarea acestor instrumente se realizează
atunci când se urmăreşte ca un rezultat nedorit să nu se materializeze sau pentru a limita efectele
riscurilor nedorite care s-ar putea concretiza. Majoritatea instrumentelor de control puse în
aplicare sunt din categoria riscurilor de control preventiv. Exemple:
- segregarea sarcinilor, prin care o persoană nu are autoritatea de a acţiona fără
consimţământul alteia, astfel persoana care realizează o plată este alta decât cea care a efectuat
comanda;
- limitarea acţiunilor persoanelor neautorizate, respectiv doar persoanele instruite
special pot efectua anumite activităţi speciale;
- externalizarea asigurării unor servicii precum: IT, contabilitate, resurse umane, audit
ş.a..
- instrumente de control preventiv. Scopul acestor instrumente este acela de a corecta
rezultatele nedorite care s-au materializat şi reprezintă o modalitate de recuperare a daunelor sau
a pierderilor. Exemple:
- includerea unor clauze în contract care permit recuperarea sumelor plătite
nejustificat;
- asigurarea, care facilitează recuperarea financiară a unor sume în cazul materializării
unor riscuri;
- planurile pentru situaţiile neprevăzute reprezintă un mijloc prin care o organizaţie îşi
planifică şi asigură continuitatea în cazuri de criză, pe care nu le poate controla.
- instrumente de control directiv. Aceste instrumente de control sunt concepute să
asigure realizarea unui anumit rezultat, respectiv sunt esenţiale atunci când se doreşte ca efectele
unui anumit risc nedorit care s-ar putea materializa, să fie orientate într-o anumită direcţie
tolerabilă de către organizaţie. Exemple:
- instruirea şi deprinderea personalului cu anumite abilităţi;
- asigurarea pregătirii profesionale a personalului într-un domeniu special;
- în general, echipamentele de protecţie pentru activităţile periculoase.
- instrumente de control detectiv. Scopul acestor instrumente este să identifice
situaţiile nou-rezultate nedorite care au avut loc. Exemple:
- activităţile de inventariere a stocurilor, care detectează unele mişcări realizate fără
autorizaţie;

10
- controlul reciproc şi încrucişat, care poate detecta unele tranzacţii neconforme sau
neautorizate;
- monitorizarea activităţilor de implementare care ne permit să detectăm anumite
modalităţi practice pozitive care pot fi utilizate şi în alte proiecte.
Transferarea riscurilor
Pentru anumite riscuri cea mai indicată soluţie este transferarea. Această soluţie este
benefică mai ales în cazul riscurilor financiare sau patrimoniale şi poate fi făcută printr-o
asigurare sau prin plata unei terţe părţi care să găsească o altă modalitate de asumare a riscului.
Transferarea riscurilor se poate realiza fie prin reducerea expunerii la risc, fie pentru că o altă
organizaţie este mai capabilă sau specializată în gestionarea unor astfel de riscuri. În general, nu
se pot transfera riscurile legate de reputaţie, de brandul organizaţiei, astfel există şi riscuri
netransferabile sau netransferabile integral.14
Încetarea activităţilor
Anumite riscuri pot fi eliminate sau menţinute în limite rezonabile numai prin reducerea
activităţilor sau prin desfinţarea acestora. Trebuie menţionat că această modalitate este
caracteristică sectorului privat, deoarece în sectorul public opţiunea încetării activităţii este
relativ redusă, chiar dacă pentru unele activităţi sunt asociate riscuri însemnate, deoarece nu
există o altă modalitate de obţinere a rezultatelor aşteptate de public.15
Beneficierea de pe urma oportunităţilor
Această opţiune trebuie luată în considerare ori de câte ori un risc este tolerat, tratat sau
transferat. În această situaţie există următoarele posibilităţi:
- simultan cu reducerea evenimentelor, riscul apare ca oportunitate;
- existenţa unor circumstanţe care, negenerând riscuri, oferă chiar oportunităţi.
Când se concep unele instrumente de control, care vor fi puse în practică, urmărim să
atingem regula generală, respectiv instrumentele de control să ofere o asigurare rezonabilă pentru
menţinerea riscurilor şi a pierderilor implicite în cadrul apetitului de risc programat.
Conducerea trebuie să-şi asume întreaga responsabilitate pentru organizarea activităţilor
privind gestionarea şi administrarea riscurilor. Responsabilitatea managementului de zi cu zi al
riscurilor specifice aparţine managerilor şi conducerii, întrucât ei sunt direct responsabili pentru
diferitele activităţi ale organizaţiei.

4. Analiza şi raportarea riscurilor


14
M. Ghiţă, op. cit., pag. 258.
15
Ibid., pag. 259.

11
Supervizarea riscurilor este necesară pentru monitorizarea evoluţiei profilurilor riscurilor
şi asigurarea că activitatea de administrare a riscurilor este corespunzătoare şi se realizează prin
procese de revizie a riscurilor. Se impune ca riscurile să fie analizate periodic, cel puţin anual,
pentru a evalua persistenţa riscului, eventualele modificări ale impactuluişi probabilităţii, apariţia
unor riscuri noi, cu scopul raportării acestor evoluţii ale riscului care influienţează priorităţile şi
furnizează informaţii privind eficacitatea controlului.
Procesul general de gestionare a riscurilor trebuie supus unor examinări periodice pentru
a ne asigura de funcţionalitatea acestuia, de existenţa unui sistem de revedere a riscurilor cu o
frecvenţă corespunzătoare şi de stabilirea unor mecanisme de avertizare a nivelurilor superioare
de management cu privire la evoluţia riscurilor sau apariţia altor riscuri neprevăzute.
Principalele instrumente şi tehnici utilizate în procesul de analiză a riscurilor sunt:16
- autoevaluarea riscurilor, care se realizează în scopul aprecierii păstrării profilului
riscului la nivelul întregii organizaţii şi se efectuează de fiecare salariat în parte;
- raportarea managementului de linie responsabil cu administrarea riscurilor, către
managementul superior, cu privire la activităţile pe care le-au întreprins, cel puţin anual, la
închiderea exerciţiului financiar, pe lângă cele trimestriale şi semestriale, pentru a actualiza
Registrul riscurilor şi sistemul de control managerial, care să menţină la un nivel corespunzător
de funcţionalitate procedurile operaţionale de lucru;
- echipele specializate de revizie şi asigurare a actualizării procesului general de
administrare a riscurilor, prin care este analizată activitatea managementului de linie cu privire
la responsabilităţile ce îi revin în domeniul de activitate pe care îl coordonează în privinţa
riscurilor şi sistemelor de control managerial;
- constituirea comitetelor de risc, care trebuie să se stabilească de conducere –
Consiliul de administraţie, ce rol se va atribui comitetelor şi modalitatea de organizare a acestora,
respectiv:
- comitetul de risc, stabilit ca un comitet al Consiliului de administraţie, format
din membri nonexecutivi, cu atribuţii privind monitorizarea riscurilor şi evoluţiei acestora, care
emite o opinie asupra procesului de gestionare a riscurilor la nivelul organizaţiei, atribuţii care
altfel îi reveneau comitetului de audit;
- comitetul de risc, stabilit ca un al directorilor executivi, care au responsabilităţi
în domeniul administrării riscurilor şi unde îşi împărtăşesc experienţe în vederea elaborării
propriilor măsuri de gestionare a riscurilor şi a asigurării eficacităţii gestionării acestora.

16
M. Ghiţă, op. cit., pag. 261.

12
Entităţile publice trebuie să se asigure de existenţa funcţiei de audit intern în conformitate
cu reglementările în vigoare, luând în considerare că aceasta va furniza o asigurare independentă
şi obiectivă asupra modului adecvat al gestionării riscurilor, controlului şi guvernanţei.17
Auditorii interni pot oferi consiliere conducerii entităţilor, în calitate de consultanţi
interni, pentru organizarea şi dezvoltarea proceselor de gestionare a riscurilor, luând în
considerare viziunea amplă pe care o au asupra întregului portofoliu de activităţi care se
derulează în cadrul organizaţiei. În acest sens, este important să precizăm faptul că, în
conformitate cu standardele de audit intern şi cu buna practică recunoscută în domeniu:
- auditul intern nu se poate substitui responsabilităţii pe care o are conducerea entităţii
în problematica administrării riscurilor;
- auditul intern nu poate reprezenta un sistem integrat de revizuire şi analiză a
riscurilor ce trebuie pus în practică de către managementul general şi personalul cu sarcini
executive în privinţa atingerii obiectivelor programate.
Cu anumite excepţii, entităţile publice vor trebui să îşi constituie comitetele de audit,
formate din membri nonexecutivi şi în care preşedintele va fi membru nonexecutiv, care vor avea
responsabilităţi bine definite privind procesul gestionării riscurilor, respectiv:
- să se asigure că riscurile şi evoluţia acestora este monitorizată;
- să ofere o părere independentă privind funcţionalitatea procesului de gestionare a
riscurilor şi gradul de asigurare corespunzător;
- să emită o opinie generale privind gestionarea riscurilor.
Totuşi, în conformitate cu prevederile de mai sus, comitetul de audit nu trebuie el însuşi
să administreze riscuri sau să fie responsabil cu procesul de gestionare a acestora.

BIBLIOGRAFIE

1. Ghiţă M., Guvernanţa corporativă, Editura Economică, Bucureşti, 2008.


2. Ghiţă M., Iaţco C., Guvernanţa corporativă şi auditul intern, Editura Tipo Moldova,
Iaşi, 2009.
3. Griffiths P., Risk-Based Auditing, Gower Publishing Limited, Aldershot, England,
2005.
4. Legea nr. 672/2002 privind auditul public intern.
5. Monitorul oficial al României, nr. 953/2002.
6. Munteanu V., Control şi audit financiar-contabil, Editura Lumina Lex, Bucureşti,
2003.
7. OMFP nr. 38/2003 pentru aprobarea Normelor generale privind exercitarea activităţii
de audit public intern, Monitorul Oficial, nr. 130 bis/2003.
17
Legea nr. 672/2002 privind auditul public intern, art. 2, Monitorul oficial nr. 953/2002.

13
8. Spencer Pickett K. H., The Internal Auditing Handbook, Second Edition, Editura John
Wiley & Sons, New York, USA, 2006.
9. Treasury H. M., Cartea portocalie – Gestionarea riscurilor, principii şi concepte,
Editura Economică, Bucureşti, 2004.

14