Activitatea de audit intern este o activitate planificată, proces care se realizează
pe baza analizei riscurilor asociate activităţilor şi este menită să adauge valoare entităţii auditate. Responsabilitatea planificării activităţii de audit revine şefului compartimentului de audit intern, care trebuie să realizeze planificarea pe baza riscurilor cu care e confruntă organizaţia pentru definirea priorităţilor în acord cu obiectivele acesteia. Acesta trebuie să planifice auditul într-o manieră care să asigure că misiunea va fi îndeplinită în condiţii de economicitate, eficienţă, eficacitate şi la termenul convenit. Planificarea auditului constă în construirea unei strategii generale, dar şi a unor abordări detaliate cu privire la natura, durata şi gradul de cuprindere preconizat al auditului. Principalele caracteristici pe care le are activitatea de planificare sunt: ➢ Raţionalitatea ➢ Anticiparea ➢ Coordonarea La planificarea misiunii, auditorii trebuie să ţină cont de : ➢ obiectivele activităţii supuse auditului şi modul în care este stăpânită această activitate; ➢ riscurile semnificative legate de activitate, obiectivele sale, resursele folosite şi sarcinile operaţionale, ➢ precum şi mijloacele prin care impactul potenţial al riscului este menţinut la un nivel acceptabil; ➢ posibilităţile de îmbunătăţire semnificativă a sistemului de management al riscurilor şi a sistemului de control managerial; ➢ pertinenţa şi eficacitatea sistemului de management al riscurilor şi a sistemului de control managerial al activităţii în raport cu un cadru sau model de control acceptat de cadru normativ în vigoare sau de buna practică în domeniu. Buna practică în domeniu recomandă auditorilor interni ca în activitatea de planificare a misiunii să aibă în vedere următoarele: ➢ obiectivele şi scopurile activităţii; ➢ regulile, planurile, procedurile, legile, reglementările şi contractele ce pot avea un impact semnificativ asupra operaţiunilor şi rapoartelor; ➢ bugetul, cifra de afaceri şi datele financiare privind activităţile care sunt avute în vedere pentru auditare; ➢ documentele de lucru ale misiunii anterioare; ➢ rezultatele altor misiuni, inclusiv cele ale auditorilor externi, finalizate sau în curs de finalizare; ➢ dosarele de corespondenţă, pentru a detecta eventualele probleme importante; ➢ relaţia entităţii cu partenerii sociali şi eventualele ieşiri în mass-media; ➢ documentaţia tehnică de referinţă pentru activitatea în cauză. Sistemul de planificare a activităţilor de audit intern Planificarea activităţii de audit intern se realizează pe trei nivele: ✓ planificarea strategică pe termen lung are în vedere activitatea de evaluare a funcţiei auditului intern al structurilor din subordine care şi-au organizat compartimente de audit, o dată la cinci ani, conform cadrului normativ al auditului intern; ✓ planificare strategică pe termen mediu are în vedere faptul că, conform legii, toate activităţile auditabile trebuie să fie auditate cel puţin o dată la trei ani. În funcţie de importanţe unei activităţi în cadrul entităţii, de pericolul producerii unor evenimente sau chiar pagube, cât şi de gradul de apariţie şi importanţă al riscului, aceasta poate fi cuprinsă în auditare; ✓ planificarea anuală cuprinde misiunile ce se vor realiza pe parcursul anului viitor ţinând cont de bugetul de timp disponibil în cadrul planului şi de resursele alocate anual. Fiecare misiune de audit va cuprinde obiectivele, identificarea activităţilor adiacente, orele lucrate, personalul şi planificarea orară pentru activităţile şi departamentele entităţii publice supuse examinării. Luând în considerare faptul că normele legale prevăd auditarea o dată la trei ani a tuturor activităţilor şi domeniilor entităţii şi o dată la cinci ani evaluarea funcţiei de audit intern a structurilor de la nivelurile inferioare, care şi-au organizat compartimente de audit intern, se impune elaborarea unui plan multianual pentru coordonarea activităţii de planificare. Proiectul planului multianual al activităţii de audit intern elaborat de compartimentul de audit intern va reprezenta strategia de auditare a entităţii şi ar trebui să cuprindă următoarele categorii de misiuni: 1. Misiuni de asigurare şi/sau misiuni de conciliere a domeniilor auditabile, repartizate pe următorii trei ani; 2. Misiuni de evaluare a funcţiei de audit intern la structurile din subordinea entităţii care şi-au constituit compartimente de audit intern, repartizate pe următorii 5 ani. Proiectele planurilor anuale ale activităţii de audit intern, care se vor elabora pe baza planului multianual, vor cuprinde atât misiuni de asigurare, una-două de consiliere formalizate pe domeniile auditabile ale entităţii, cât şi de evaluare a funcţiei de audit intern la structurile din subordine entităţii. Planul anual de audit intern reprezintă un document oficial şi este păstrat în arhiva insituţiei împreună cu referatul de justificare în conformitate cu normele de arhivare în vigoare. Planul de audit intern va cuprinde următoarele elemente obligatorii: - Scopul acţiunii de auditare; - Obiectivele acţiunii de auditare; - Identificarea activităţii/operaţiunii supuse auditului intern; - Identificare/descrierea entităţii/entităţilor sau a structurilor organizatorice la care se va desfăşura acţiunea de auditare; - Durata acţiunii de auditare; - Perioada supusă auditării; - Numărul de auditori proprii antrenaţi în acţiunea de auditare; - Precizarea elementelor ce presupun utilizarea unor cunoştinţe de specialitatea, precum şi a numărului de specialişti cu care urmează să se încheie contracte externe de servicii de expertiză/consultanţă (dacă este cazul); - Numărul de auditori care urmează să fie atraşi în acţiunile de audit intern din cadrul structurilor descentralizate. Modelul de evaluare a riscurilor recomandă liniile directoare de stabilire a criteriilor de ierarhizare a riscurilor, care sunt: Constatările anterioare ale auditului Sensibilitatea Mediul de control Relaţii bune, atmosferă destinsă cu managementul executiv Schimbări ale oamenilor/sistemelor Complexitatea Metodologia de evaluare a riscurilor pentru întocmirea planului de audit intern Normele generale de aplicare a auditului public intern conţin o metodologie comună pentru evaluarea riscurilor atât pentru procedura de întocmire a Planului de audit public intern cât şi pentru derularea unei misiuni de audit în faza de colaborare a Programului de audit, şi presupun parcurgerea următoarelor etape: a) Identificarea activităţilor auditabile; b) Identificarea riscurilor inerente asociate activităţilor; c) Stabilirea factorilor de analiză a riscurilor şi nivelelor de apreciere a acestora; d) Stabilirea nivelului riscului pe toate criteriile de apreciere; e) Determinarea punctajului total al riscului; f) Clasarea activităţilor pe baza analizei riscurilor; g) Ierarhizarea activităţilor care urmează a fi auditate; h) Elaborarea tematicii în detaliu a activităţilor auditabile; i) Elaborarea planului de audit intern anual. a) Identificarea activităţilor auditabile se realizează pe baza analizei actului de înfiintare, organigramei, deciziilor de organizare a eventualelor noi activităţi. Etapa se concretizează prin întocmirea de către auditori a Listei activităţilor din cadrul entităţii. b) Identificarea riscurilor inerente asociate activităţilor. Evaluarea riscurilor trebuie să aibă în vedere gestionarea schimbării: oamenii se schimbă, metodele se schimbă, organizările şi politicile se schimbă şi ca atare şi riscurile se schimbă. Evaluarea riscului înseamnă identificarea şi analizarea riscurilor relevante în îndeplinirea obiectivelor pentru a cunoaşte modul în care acestea trebuie să fie administrate. Etapa se concretizează prin întocmirea tabelului Identificarea riscurilor asociate activităţilor auditabile. c) Stabilirea factorilor de analiză a riscurilor şi nivelelor de apreciere a acestora se realizează ţinând cont de recomandările din Normele generale pentru utilizarea factorilor privind: aprecierea controlului intern, aprecierea cantitativă şi aprecierea calitativă, la care mai putem adăuga şi alţi factori specifici activităţii. Spre exemplu, propunem pentru domeniul financiar-contabil să utilizăm şi factorii: modificări legislative şi vechimea personalului. Menţionăm că pentru stabilirea ponderii riscului se are în vedere importanţa şi greutatea factorului de risc în cadrul activităţii respective şi, de asemenea, faptul că suma ponderilor factorilor de risc trebuie să fie 100.
Funcţie de criteriile alese stabilim următoarele ponderi:
- Aprecierea controlului intern 40%; - Aprecierea cantitativă 25%; - Aprecierea calitativă 20%; - Modificări legislative 10%; - Vechimea personalului 5%. Factorul de risc este elementul utilizat pentru a identifica probabilitatea ca evenimentele să aibă un impact negativ asupra unei activităţi auditabile. Nivelul factorului de apreciere a riscului reprezintă modificarea produsă de impactul riscului asupra domeniului auditabil. Etapa se concretizează prin întocmirea tabelului Situaţia privind factorii de analiză a riscurilor şi nivelele de apreciere a acestora. d) Stabilirea nivelului riscului pe criteriile de apreciere se realizează prin aplicarea la fiecare factor de analiză a riscurilor a unui nivel de apreciere. Etapa se concretizează prin întocmirea situaţiei Stabilirea nivelului riscului. e) Determinarea punctajului total al riscului se realizează prin aplicarea ponderii nivelului de apreciere a fiecărui factor de risc pe nivele de riscuri în vederea stabilirii punctajului total pe baza formulei: Pt =Pi* Ni unde: Pt - punctaj total; Pi - ponderea riscurilor pentru fiecare factor; Ni - nivelul riscului pentru fiecare factor utilizat. Etapa se concretizează prin întocmirea situaţiei Determinarea punctajului total. Precizăm că la stabilirea ponderii riscului se are în vedere importanţa şi greutatea factorilor de risc în cadrul domeniului respectiv. De asemenea, suma ponderilor factorilor de risc trebuie să fie de 100% pe fiecare activitate. f) Clasarea activităţilor pe baza analizei riscurilor se realizează pe baza punctajelor totale obţinute anterior, stabilite în ordinea impactului produs asupra domeniului auditabil şi se departajează pe o scală cu trei nivele: mari, medii şi mici. Etapa se concretizează prin întocmirea situaţiei Clasarea activităţilor, care conţine activităţile identificate din cadrul domeniului financiar-contabil, în funcţie de riscuri. Auditorii vor prelua din lista de Clasare a activităţilor şi riscurilor, activităţile care prezintă risc mare şi pe cât posibil pe cele cu risc mediu în funcţie de importanţa lor. Activităţile cu riscuri mici se ţin în supraveghere şi vor fi prinse în plan, obligatoriu, cel puţin o dată la trei ani. g) Ierarhizarea activităţilor care urmează a fi auditate se realizează pe baza situaţiei anterioare, ţinând cont şi de numărul personalului, timpul disponibil, alte activităţi care se desfăşoară în cadrul structurii de audit intern şi, în mod special, de analiza riscurilor identificate la celelalte domenii din cadrul entităţii. Etapa se concretizează prin elaborarea Situaţiei puncte tari şi puncte slabe, document care prezintă sintetic rezultatul evaluării fiecărei activităţi în scopul elaborării Planului de audit intern. Documentul conţine şi o opinie referitoare la nivelul impactului riscurilor activităţilor asupra domeniului auditabil şi a gradului de încredere privind funcţionalitatea activităţii în cadrul domeniului. h) Elaborarea tematicii în detaliu a activităţilor auditabile Tematica de detaliu se realizează pe baza Situaţiei puncte tari şi puncte slabe, întocmite în etapa anterioară şi cuprinde misiunile de audit intern ce vor face parte din planul pentru viitor. Etapa se concretizează în situaţia Tematica în detaliu a activităţilor auditabile. i) Elaborarea Planului de audit intern anual este necesara să determinăm pentru fiecare obiectiv perioada auditată, fondul de timp necesar pentru realizarea misiunilor şi numărul auditorilor implicaţi. Etapa se concretizează în elaborarea Planului de audit intern pe anul respectiv. Regula de bază în desfăşurarea auditului o constituie urmărirea activităţilor în succesiunea lor firească, spre exemplu: contractare, proiectare, omologare, execuţie, livrare. În cele mai multe situaţii, auditul sistemului calităţii este realizat în scopul constructiv de a se asigura că sistemul calităţii organizaţiei funcţionează, constituind un instrument al dezvoltării acestuia. Din aceste considerente este necesar ca programul de audit să fie planificat. Aceasta dă posibilitatea auditorului şi auditatului de a se pregăti pentru audit şi a face posibilă desfăşurarea lui cu maximum de cooperare de ambele părţi.