Standarde Pentru SCIM SUA

Translated from English to Romanian - www.onlinedoctranslator.
com
Biroul de responsabilitate al guvernului Statelor Unite
De către Controlorul General al

Statelor Unite
septembrie 2014
Standarde pentru
Control intern
în Federal
Guvern
GAO-14-704G
Ce este Cartea Verde și cum este folosită?
Fapte și concepte importante legate de Cartea Verde și controlul intern
Controlul intern și Cartea Verde Cum folosește o entitate Cartea Verde?

Ce este controlul intern?
Controlul intern este un proces utilizat de conducere pentru a ajuta o
entitate să-și atingă obiectivele.
Obiectiv Controale Controale Obiectiv
identificat proiectat la loc realizat
Cum funcționează controlul intern? O entitate folosește Cartea Verde pentru a proiecta, implementa și
Controlul intern ajută o entitate opera controale interne pentru a-și atinge obiectivele legate de
operațiuni, raportare și conformitate.
Desfășurați operațiunile în mod eficient și eficient.
Raportați informații fiabile despre operațiunile sale.
Cine ar folosi Cartea Verde?
Respectați legile și reglementările aplicabile
Un program Personalul inspectorului general
manager la a care efectuează un audit financiar
agentie federala sau de performanță
Cum este legată Cartea Verde de

controlul intern? The
Standarde pentru controlul intern în
cub Un contabil public independent care
efectuează un audit al cheltuielilor de
Standardele din Cartea Verde sunt dolari federali către agențiile de stat
guvernul federal, cunoscută sub numele de
organizate după cele cinci componente ale
Cartea Verde, stabilește standarde de
controlului intern prezentate în cubul de mai jos.
Ofițer de conformitate
control intern pentru entitățile federale. Cele cinci componente se aplică personalului din toate responsabil pentru realizarea
organizațiile asigurați-vă că personalul a
nivele şi la toate categoriile de obiective. completat cerințele
Instruire
rii
ego r
Catiectivelo
a ob ni
r ațiu
Ope orta
re
Rap itat
e
structura organizationala
Med form
iu Con
de c
ont
rol
Nivelurile de
Eva
luar
Unitate de operare
ea
risc
Funcţie
uril
Principii
or
Ac t
ivită Pagină
Divizia
ți d
structura
e co
Entitate
ntro
Fiecare dintre cele cinci Info l
Comrmați
componente ale interne uni i și
care Pagini de carte verde
controlul conține mai multe Mon arata componente, principii,
it oriz
principii. Principiile sunt cerințele are
a
si atribute.
Com
fiecărei componente. con pon
ent
trol e
inteale
rn
Mediu de control
Mediu de control
5 principii Componentă 1.01Organismul de supraveghere și conducerea se
Principiul 1 - angajează față de integritate și valori etice.
Demonstra
Evaluare a riscurilor Angajamentul față de
Atribute
4 principii Integritate și etică

Valori
Următoarele atribute contribuie la eficiența de
funcționare a proiectării acestui principiu:
Principiu • Volumul la maxim
Activități de control •
•
Standarde de conduită
Respectarea standardelor de conduită
3 principii Volumul la maxim 1.02Organismul de supraveghere și managementul

integrității și valorilor etice prin comportamentul lor
direct.
Informatie si comunicare 3 1.03Organul de supraveghere și conducerea
principii
demonstrează valorile organizației, filozofia
Organismul de supraveghere și conducerea stabilesc
sistemul de control intern eficient în întreaga
Monitorizarea
Atribute organizație prin exemplul lor. În managementul
entităților mai mari în structura organizatorică de
mijloc.”
2 principii 1.04Comportamentele organului de supraveghere și

ale managementului reflectă integritatea și valoarea
etică a entității. Organismul de supraveghere și
conducerea fac ceea ce este corect, nu doar menținerea
unui mini necesar pentru a respecta legile și prioritățile
aplicabile sunt înțelese de toți părțile interesate,
angajații și publicul larg.
Atribute
1.05Tonul din partea de sus poate fi fie un driver, ca
paragrafe, fie o barieră în calea controlului intern.
Pentru a susține un sistem de control intern, ea poate fi
incompletă, răspunsurile la risc pot fi într-o activități
Fiecare principiu are caracteristici importante, numite

pot să nu fie concepute corespunzător și comunicarea
se poate slăbi, iar rezultatele înțelese sau luate în
considerare pentru a remedia deficiența
atribute, care explică principiile mai detaliat.
Pagina 22 GAO-14-704G
Surse: GAO și COSO. GAO.GOV/GREENBOOK GAO-14-704G

Cuprins
Prezentare generală 1
cuvânt înainte 1
Cum să utilizați Cartea Verde 3
Secțiunea 1 - Concepte fundamentale ale controlului intern 5
Definirea controlului intern Definirea 5
unui sistem de control intern 5
Secțiunea 2 - Stabilirea unui sistem eficient de control intern 6
Prezentarea Standardelor 6
Componente, Principii și Atribute 7
Controlul Intern și Entitatea 9
Roluri într-un sistem de control intern 11
Obiectivele unei entități 12
Secțiunea 3 - Evaluarea unui sistem eficient de control intern 14
Factori ai controlului intern eficient 15
Evaluarea controlului intern Secțiunea 15
4 - Considerații suplimentare 17
Organizații de servicii 17
Entități mari versus entități mici Beneficiile 18
și costurile cerințelor privind documentația 19
de control intern 19
Utilizare de către alte entități 20
Mediu de control 21
Principiul 1 - Demonstrați angajamentul față de integritate și etică
Valori 22
Volumul la maxim 22
Standarde de conduită 23
Respectarea standardelor de conduită Principiul 2 - 23
Exercitarea responsabilității de supraveghere 24
Structura de supraveghere 24
Supraveghere pentru Sistemul de Control Intern 26
Intrare pentru Remedierea Deficiențelor 27
Principiul 3 - Stabiliți structura, responsabilitatea și autoritatea 27
Structura organizationala 27
Atribuirea Responsabilității și Delegarea Autorității 28
Documentația Sistemului de Control Intern 29
Principiul 4 - Demonstrați angajamentul față de competență 30
Așteptări de competență 30
Recrutarea, dezvoltarea și menținerea persoanelor 31
Succesiunea și planurile de urgență și pregătirea 31
Principiul 5 - Implementarea răspunderii 32
Pagina i GAO-14-704G Standarde federale de control intern

Punerea în aplicare a responsabilității Luarea în 32
considerare a presiunilor excesive 33
Evaluare a riscurilor 34
Principiul 6 - Definiți obiectivele și toleranțele la risc 35
Definiții ale obiectivelor 35
Definiții ale toleranțelor la risc 36
Principiul 7 - Identificați, analizați și răspundeți la riscuri 37
Identificarea riscurilor 37
Analiza riscurilor 38
Răspuns la riscuri 39
Principiul 8 - Evaluarea riscului de fraudă 40
Tipuri de fraudă 40
Factori de risc de fraudă 41
Răspuns la riscurile de fraudă 41
Principiul 9 - Identificați, analizați și răspundeți la schimbare 42
Identificarea schimbării Analiza și 42
răspunsul la schimbare 43
Activități de control 44
Principiul 10 - Activități de control al proiectării 45
Răspuns la obiective și riscuri 45
Proiectarea tipurilor adecvate de activități de control 45
Proiectarea activităților de control la diferite niveluri 49
Segregarea sarcinilor 50
Principiul 11 - Activități de proiectare pentru sistemul informațional 51
Proiectarea Sistemului Informațional al Entității Proiectarea 51
Tipurilor Adecvate de Activități de Control Proiectarea 53
Infrastructurii Tehnologiei Informației Proiectarea 53
Managementului Securității 54
Proiectarea tehnologiei informației Achiziție, dezvoltare,
și Întreținere 55
Principiul 12 - Implementarea activităților de control 56
Documentarea responsabilităților prin Politici 56
Revizuirea periodică a activităților de control 56
Informatie si comunicare 58
Principiul 13 - Utilizați informații de calitate 59
Identificarea cerințelor de informații 59
Pagina ii GAO-14-704G Standarde federale de control intern

Date relevante din surse de încredere 59
Date procesate în informații de calitate 59
Principiul 14 - Comunicați intern 60
Comunicarea în întreaga entitate 60
Metode adecvate de comunicare 61
Principiul 15 - Comunicarea externă 62
Comunicarea cu părțile externe. 62
Metode adecvate de comunicare 63
Monitorizarea 64
Principiul 16 - Efectuați activități de monitorizare 65
Stabilirea unui sistem de control 65
intern de referință Monitorizarea 65
evaluării rezultatelor 66
Principiul 17 - Evaluați problemele și remediați deficiențele 67
Raportarea problemelor 67
Evaluarea problemelor 68
Acțiuni corective 68
Anexa I Cerințe 70
Anexa II Mulțumiri 73
Consiliul Consultativ al Controlorului General pentru Standarde pentru Interne
Control în Guvernul Federal (2013-2015) Echipa 73
de proiect GAO 74
Mulțumiri personalului 74
Glosar 75
Cifre
Figura 1: Pagină de exemplu Cartea Verde 4
Figura 2: Atingerea obiectivelor prin controlul intern Figura 3: Cele 5
cinci componente și 17 principii ale controlului intern
Control 9
Figura 4: Componentele, obiectivele și organizația
Structura controlului intern 10
Pagina iii GAO-14-704G Standarde federale de control intern

Figura 5: Cele 17 principii care susțin cele cinci componente ale
Control intern 11
Figura 6: Exemple de categorii comune de activități de control 46
Aceasta este o lucrare a guvernului SUA și nu este supusă protecției drepturilor de autor în Statele Unite.
Produsul publicat poate fi reprodus și distribuit în întregime fără permisiunea suplimentară din partea
GAO. Cu toate acestea, deoarece această lucrare poate conține imagini protejate prin drepturi de autor
sau alt material, poate fi necesară permisiunea deținătorului drepturilor de autor dacă doriți să
reproduceți acest material separat.
Pagina iv GAO-14-704G Standarde federale de control intern

Prezentare generală
Factorii politici și managerii de programe caută în mod continuu modalități de a

cuvânt înainte
îmbunătăți responsabilitatea în îndeplinirea misiunii unei entități. Un factor cheie în
îmbunătățirea responsabilității în îndeplinirea misiunii unei entități este implementarea
unui sistem eficient de control intern. Un sistem eficient de control intern ajută o entitate
să se adapteze la medii în schimbare, cerințe în evoluție, riscuri în schimbare și priorități
noi. Pe măsură ce programele se schimbă și entitățile se străduiesc să îmbunătățească
procesele operaționale și să implementeze noi tehnologii, managementul își evaluează
continuu sistemul de control intern, astfel încât să fie eficient și actualizat atunci când este
necesar.
Secțiunea 3512 (c) și (d) din titlul 31 din Codul Statelor Unite (cunoscută în mod
obișnuit sub denumirea de Federal Managers’ Financial Integrity Act (FMFIA))
impune controlorului general să emită standarde pentru controlul intern în
guvernul federal.Standarde pentru controlul intern în guvernul federal(
cunoscută sub numele de Cartea Verde), oferă cadrul general pentru stabilirea și
menținerea unui sistem eficient de control intern. Oficiul de Management și
Buget (OMB) Circulara nr. A-123 oferă cerințe specifice pentru evaluarea și
raportarea controalelor în guvernul federal. Termenul control intern din acest
document acoperă toate aspectele obiectivelor unei entități (operațiuni,
raportare și conformitate).
Cartea Verde poate fi adoptată și de entitățile de stat, locale și

cvasiguvernamentale, precum și de organizațiile non-profit, ca cadru
pentru un sistem de control intern. Conducerea unei entități
determină, pe baza legilor și reglementărilor aplicabile, modul de
adaptare adecvată a standardelor prezentate în Cartea Verde ca cadru
pentru entitate.
Comitetul organizațiilor de sponsorizare al Comisiei Treadway (COSO) și-a

actualizat îndrumările privind controlul intern în 2013, cu emiterea unui
document revizuit.Control intern - Cadru integrat.1
COSO a introdus conceptul de principii legate de cele cinci componente ale
controlului intern. Cartea Verde adaptează aceste principii pentru un mediu
guvernamental.
1Vezi Comitetul organizațiilor de sponsorizare al Comisiei Treadway,Control intern -

Cadru integrat(New York: Institutul American de Contabili Publici Autorizați, 2013).
Pagina 1 GAO-14-704G Standarde federale de control intern

Standardele intră în vigoare începând cu anul fiscal 2016 și cu

rapoartele FMFIA pentru anul respectiv. Conducerea, la discreția sa,
poate alege adoptarea anticipată a Cărții Verzi.
Această revizuire a standardelor a trecut printr-un proces deliberativ amplu, inclusiv

comentarii publice și contribuții din partea Consiliului Consultativ al Controlorului
General privind Standardele pentru Controlul Intern în Guvernul Federal. Consiliul
consultativ este format din aproximativ 20 de experți în managementul financiar și al
performanței, proveniți din administrația federală, de stat și locală; sectorul privat; și
mediul academic. Opiniile tuturor părților au fost luate în considerare cu atenție la
finalizarea standardelor.
Apreciez eforturile oficialilor guvernamentali, profesioniștilor în contabilitate

publică și alți membri ai comunităților de audit și academice care au oferit
asistență valoroasă în dezvoltarea acestor standarde. Mulțumesc în mod
special membrilor Consiliului Consultativ pentru Standarde pentru Control
Intern din Guvernul Federal pentru contribuția și feedback-ul lor extins pe
parcursul întregului proces de dezvoltare și finalizare a standardelor.
Gene L. Dodaro
Controlorul general
al Statelor Unite
septembrie 2014

Cartea Verde oferă managerilor criterii pentru proiectarea, implementarea și

Cum să utilizați operarea unui sistem eficient de control intern. Cartea Verde definește
Cartea Verde standardele prin componente și principii și explică de ce acestea sunt parte
integrantă a sistemului de control intern al unei entități. Cartea Verde clarifică
procesele pe care managementul le consideră parte a controlului intern. Într-
un sistem de control intern matur și extrem de eficient, controlul intern poate fi
imposibil de distins de activitățile de zi cu zi ale personalului.
Cartea Verde este structurată după cum urmează:
1. O prezentare generală, care include următoarele secțiuni:
• Sectiunea 1:o privire de ansamblu asupra conceptelor fundamentale ale controlului

intern
• Sectiunea 2:o discuție despre componentele, principiile și atributele controlului
intern; modul în care acestea se raportează la obiectivele unei entități; şi cele trei
categorii de obiective
• Secțiunea 3:o discuție despre evaluarea proiectării, implementării și
funcționării sistemului de control intern al entității
• Secțiunea 4:considerații suplimentare care se aplică tuturor componentelor
unui sistem de control intern
2. O discuție a cerințelor pentru fiecare dintre cele cinci componente și

17 principii, precum și o discuție a atributelor aferente, inclusiv
cerințele de documentare.
Cartea Verde indică în mod clar cerințele componente și principii prin utilizarea
„trebuie” și „ar trebui”. Discuții suplimentare despre aceste cerințe sunt incluse
în secțiunea 2 din Prezentare generală. Cerințele de documentare sunt
rezumate în secțiunea 4 din Prezentare generală.
Figura 1 prezintă un exemplu de pagină din Cartea Verde. Această ilustrație

identifică componentele, principiile și atributele Cărții Verzi, care sunt
discutate în continuare în secțiunea 2 a Prezentare generală.

Figura 1: Pagină de exemplu Cartea Verde

Sectiunea 1 -
Fundamental
Concepte de intern
Control
Definiţia Internal OV1.01Controlul intern este un proces efectuat de organul de supraveghere al
Control unei entități, de conducere și de alt personal care oferă o asigurare rezonabilă că
obiectivele unei entități vor fi atinse (a se vedea fig. 2). Aceste obiective și riscurile
aferente pot fi clasificate în linii mari în una sau mai multe dintre următoarele trei
categorii:
• Operațiuni-Eficacitatea și eficiența operațiunilor

• Raportare-Fiabilitatea raportării pentru uz intern și extern
• Conformitate-Respectarea legilor și reglementărilor aplicabile
Figura 2: Atingerea obiectivelor prin control intern
OV1.02Acestea sunt categorii distincte, dar care se suprapun. Un anumit

obiectiv poate intra în mai multe categorii, poate răspunde unor nevoi
diferite și poate fi responsabilitatea directă a diferiților indivizi.
OV1.03Controlul intern cuprinde planurile, metodele, politicile și procedurile

utilizate pentru a îndeplini misiunea, planul strategic, scopurile și obiectivele
entității. Controlul intern servește ca primă linie de apărare în protejarea
activelor. Pe scurt, controlul intern ajută managerii să obțină rezultatele dorite
prin administrarea eficientă a resurselor publice.
Definirea unui sistem de OV1.04Un sistem de control intern este o componentă continuă încorporată a
control intern operațiunilor, efectuată de oameni, care oferă o asigurare rezonabilă, nu o
asigurare absolută, că obiectivele unei entități vor fi atinse.

OV1.05Controlul intern nu este un eveniment, ci o serie de acțiuni care au loc pe parcursul

operațiunilor unei entități. Controlul intern este recunoscut ca parte integrantă a
proceselor operaționale pe care managementul le utilizează pentru a-și ghida
operațiunile, mai degrabă decât ca un sistem separat în cadrul unei entități. În acest sens,
controlul intern este integrat în entitate ca parte a structurii organizaționale pentru a
ajuta managerii să atingă obiectivele entității în mod continuu.
OV1.06Oamenii sunt cei care fac controlul intern să funcționeze. Conducerea este
responsabilă pentru un sistem eficient de control intern. Ca parte a acestei
responsabilități, conducerea stabilește obiectivele entității, implementează
controale și evaluează sistemul de control intern. Cu toate acestea, personalul din
întreaga entitate joacă roluri importante în implementarea și operarea unui sistem
eficient de control intern.
OV1.07Un sistem eficient de control intern crește probabilitatea ca o entitate

să-și atingă obiectivele. Cu toate acestea, indiferent cât de bine conceput,
implementat sau operat, un sistem de control intern nu poate oferi o asigurare
absolută că toate obiectivele unei organizații vor fi îndeplinite. Factorii în afara
controlului sau influenței conducerii pot afecta capacitatea entității de a-și
atinge toate obiectivele. De exemplu, un dezastru natural poate afecta
capacitatea unei organizații de a-și atinge obiectivele. Prin urmare, odată
implementat, controlul intern eficient oferă o asigurare rezonabilă, nu absolută,
că o organizație își va atinge obiectivele.
Sectiunea 2 -
Stabilirea unui
Intern eficient
Sistem de control
Prezentarea standardelor OV2.01Cartea Verde definește standardele pentru controlul intern în guvernul
federal. FMFIA solicită entităților executive federale să stabilească un control
intern în conformitate cu aceste standarde. Standardele oferă criterii pentru
evaluarea proiectării, implementării și eficienței operaționale a controlului
intern în entitățile guvernamentale federale pentru a determina dacă un
sistem de control intern este eficient. Entități nefederale

poate folosi Cartea Verde ca un cadru pentru a proiecta, implementa și

opera un sistem de control intern.2
OV2.02Cartea Verde se aplică tuturor obiectivelor unei entități: operațiuni, raportare

și conformitate. Cu toate acestea, aceste standarde nu sunt menite să limiteze sau
să interfereze cu autoritatea acordată în mod corespunzător în legătură cu legislația,
reglementarea sau alte politici discreționare într-o organizație. În implementarea
Cărții Verzi, conducerea este responsabilă pentru proiectarea politicilor și
procedurilor care să se potrivească circumstanțelor unei entități și să le integreze ca
parte integrantă a operațiunilor entității.
Componente, principii și OV2.03O entitate își determină misiunea, stabilește un plan strategic, stabilește
atribute obiectivele entității și formulează planuri pentru a-și atinge obiectivele.
Conducerea, sub supravegherea organismului de supraveghere al entității,
poate stabili obiective pentru o entitate în ansamblu sau țintă activități în cadrul
entității. Managementul folosește controlul intern pentru a ajuta organizația să
atingă aceste obiective. Deși există diferite moduri de a prezenta controlul
intern, Cartea Verde abordează controlul intern printr-o structură ierarhică de
cinci componente și 17 principii. Ierarhia include cerințe pentru stabilirea unui
sistem eficient de control intern, inclusiv cerințe specifice de documentare.
OV2.04Cele cinci componente reprezintă cel mai înalt nivel al ierarhiei

standardelor de control intern în guvernul federal. Pentru ca un sistem de
control intern să fie eficient, cele cinci componente ale controlului intern
trebuie să fie proiectate, implementate și operate în mod eficient și să
funcționeze împreună într-o manieră integrată. Cele cinci componente ale
controlului intern sunt următoarele:
• Mediu de control-Fundamentul unui sistem de control intern. Acesta

oferă disciplina și structura pentru a ajuta o entitate să își atingă
obiectivele.
• Evaluare a riscurilor-Evaluează riscurile cu care se confruntă entitatea pe măsură ce
încearcă să-și atingă obiectivele. Această evaluare oferă baza pentru dezvoltarea
unor răspunsuri adecvate la risc.
2Vezi alin. OV4.10 pentru discuții suplimentare despre utilizarea de către alte entități.

• Activități de control-Managementul acțiunilor le stabilește prin politici și

proceduri pentru atingerea obiectivelor și răspunsul la riscuri în sistemul de
control intern, care include sistemul informațional al entității.
• Informatie si comunicare-Managementul informațiilor de calitate

și personalul comunică și folosesc pentru a sprijini sistemul de
control intern.
• Monitorizarea-Managementul activităților stabilește și funcționează pentru a evalua
calitatea performanței în timp și pentru a rezolva cu promptitudine constatările
auditurilor și altor revizuiri.
OV2.05Cele 17 principii susțin proiectarea, implementarea și

funcționarea eficientă a componentelor asociate și reprezintă cerințele
necesare pentru a stabili un sistem eficient de control intern.
OV2.06În general, toate componentele și principiile sunt relevante pentru

stabilirea unui sistem eficient de control intern. În circumstanțe rare, poate
exista o situație operațională sau de reglementare în care conducerea a stabilit
că un principiu nu este relevant pentru ca entitatea să își atingă obiectivele și să
abordeze riscurile aferente. În cazul în care conducerea stabilește că un
principiu nu este relevant, conducerea susține determinarea respectivă cu
documentație care include rațiunea modului în care, în absența acelui principiu,
componenta asociată ar putea fi proiectată, implementată și operată eficient.
Pe lângă cerințele principale, Cartea Verde conține cerințe de documentare.
OV2.07Cartea Verde conține informații suplimentare sub formă de atribute.

Aceste atribute sunt menite să ajute la organizarea materialelor aplicației pe
care managementul poate lua în considerare atunci când proiectează,
implementează și operează principiile asociate. Atributele oferă o explicație
suplimentară a principiului și a cerințelor de documentare și pot explica mai
precis ce înseamnă o cerință și ce este destinată să acopere sau includ exemple
de proceduri care pot fi adecvate pentru o entitate. Atributele pot oferi, de
asemenea, informații de bază cu privire la aspectele abordate în Cartea Verde.
OV2.08Atributele sunt relevante pentru implementarea corectă a Cărții

Verzi. Conducerea are responsabilitatea de a înțelege atributele și de a
exercita raționament în îndeplinirea cerințelor standardelor. Cartea Verde,
însă, nu prescrie modul în care managementul proiectează, implementează
și operează un sistem de control intern.

OV2.09Figura 3 enumeră cele cinci componente ale controlului intern și 17

principii conexe.
Figura 3: Cele cinci componente și 17 principii ale controlului intern
Controlul Intern și OV2.10Există o relație directă între obiectivele unei entități, cele cinci
Entitatea componente ale controlului intern și structura organizatorică a unei entități.
Obiectivele sunt ceea ce o entitate vrea să atingă. Cele cinci componente ale
controlului intern sunt cele cerute de entitate pentru atingerea obiectivelor.
Structura organizațională cuprinde unitățile operaționale, procesele
operaționale și managementul altor structuri

foloseste pentru atingerea obiectivelor. Această relație este descrisă sub forma
unui cub dezvoltat de COSO (vezi fig. 4).3
Figura 4: Componentele, obiectivele și structura organizațională a controlului

intern
OV2.11Cele trei categorii în care pot fi clasificate obiectivele unei entități

sunt reprezentate de coloanele etichetate deasupra cubului. Cele cinci
componente ale controlului intern sunt reprezentate de rânduri. Structura
organizatorică este reprezentată de a treia dimensiune a cubului.
OV2.12Fiecare componentă a controlului intern se aplică tuturor celor trei

categorii de obiective și structurii organizatorice. Principiile susțin
componentele controlului intern (vezi fig. 5).
3Vezi alin. 3.02 până la 3.05 pentru discuții suplimentare despre structura organizațională.

Figura 5: Cele 17 principii care susțin cele cinci componente ale controlului intern
OV2.13Controlul intern este un proces dinamic, iterativ și integrat în care

componentele influențează proiectarea, implementarea și eficacitatea
operațională a altora. Nu există două entități care vor avea un sistem de control
intern identic din cauza diferențelor în factori precum misiune, mediul de
reglementare, plan strategic, dimensiunea entității, toleranța la risc și
tehnologia informației și raționamentul necesar pentru a răspunde acestor
factori diferiți.
Roluri într-un sistem OV2.14Deoarece controlul intern face parte din responsabilitatea generală a
de control intern conducerii, cele cinci componente sunt discutate în contextul conducerii entității.
Cu toate acestea, toată lumea din entitate are o responsabilitate pentru controlul
intern. În general, rolurile în sistemul de control intern al unei entități pot fi
clasificate după cum urmează:
• Organul de supraveghere-Organismul de supraveghere este responsabil pentru

supravegherea direcției strategice a entității și a obligațiilor legate de
responsabilitatea entității. Aceasta include supravegherea proiectării, implementării
și funcționării de către management a unui sistem de control intern. Pentru unele
entități, un organism de supraveghere poate fi unul sau câțiva membri ai conducerii
superioare. Pentru alte entități, mai multe părți pot fi membri ai organului de
supraveghere al entității. În sensul Cărții Verzi, supravegherea de către un organism
de supraveghere este implicită în fiecare componentă și principiu.

• management-Conducerea este direct responsabilă pentru toate activitățile unei

entități, inclusiv pentru proiectarea, implementarea și eficacitatea operațională a
sistemului de control intern al unei entități. Responsabilitățile managerilor
variază în funcție de funcțiile lor în structura organizațională.
• Personal-Personalul ajută managementul la proiectarea, implementarea și

operarea unui sistem de control intern și este responsabil pentru raportarea
problemelor observate în operațiunile, raportarea sau obiectivele de conformitate
ale entității.4
OV2.15Auditorii externi și biroul inspectorului general (OIG), dacă este cazul,

nu sunt considerați parte a sistemului de control intern al unei entități. Deși
conducerea poate evalua și include recomandări ale auditorilor externi și ale
OIG, responsabilitatea pentru sistemul de control intern al unei entități
revine conducerii.
Obiectivele unei entitati OV2.16Conducerea, sub supravegherea unui organism de supraveghere, stabilește
obiective pentru a îndeplini misiunea, planul strategic și obiectivele și cerințele
legilor și reglementărilor aplicabile ale entității. Conducerea stabilește obiective
înainte de a proiecta sistemul de control intern al unei entități. Managementul
poate include stabilirea de obiective ca parte a procesului de planificare strategică.
OV2.17Conducerea, ca parte a proiectării unui sistem de control intern,

definește obiectivele în termeni specifici și măsurabili pentru a permite
conducerii să identifice, să analizeze și să răspundă la riscurile legate de
atingerea acestor obiective.
Categorii de obiective
OV2.18Managementul grupează obiectivele în una sau mai multe dintre cele

trei categorii de obiective:
• Operațiuni-Eficacitatea și eficiența operațiunilor

• Raportare-Fiabilitatea raportării pentru uz intern și extern
• Conformitate-Respectarea legilor și reglementărilor aplicabile
4Vezi alin. 17.02 - 17.04 pentru discuții suplimentare privind identificarea problemelor.

Obiectivele operațiunilor
OV2.19Obiectivele operațiunilor se referă la operațiunile programului care realizează

misiunea unei entități. Misiunea unei entități poate fi definită într-un plan strategic. Astfel
de planuri stabilesc scopurile și obiectivele pentru o entitate, împreună cu operațiunile
eficiente și eficiente necesare pentru îndeplinirea acestor obiective. Operațiunile eficiente
produc rezultatele scontate din procesele operaționale, în timp ce operațiunile eficiente
fac acest lucru într-un mod care minimizează risipa de resurse.
OV2.20Managementul poate stabili, din obiective, subobiective aferente

pentru unitatile din structura organizationala. Prin legarea obiectivelor din
întreaga entitate la misiune, managementul îmbunătățește eficacitatea și
eficiența operațiunilor programului în îndeplinirea misiunii.
Obiective de raportare
OV2.21Obiectivele raportării se referă la pregătirea rapoartelor pentru a fi utilizate de

către entitate, părțile interesate ale acesteia sau alte părți externe. Obiectivele de
raportare pot fi grupate în continuare în următoarele subcategorii:
• Obiective de raportare financiară externă-Obiective legate de

eliberarea performanței financiare a entității în conformitate cu
standardele profesionale, legile și reglementările aplicabile, precum și
așteptările părților interesate.
• Obiective de raportare externă nefinanciară-Obiective legate de
eliberarea de informații nefinanciare în conformitate cu standardele
adecvate, cu legile și reglementările aplicabile, precum și cu așteptările
părților interesate.
• Obiectivele de raportare financiară internă și obiectivele de
raportare nefinanciară-Obiective legate de colectarea și comunicarea
informațiilor necesare conducerii pentru a sprijini luarea deciziilor și
evaluarea performanței entității.
Obiective de conformitate
OV2.22În sectorul guvernamental, obiectivele legate de conformitatea cu legile și

reglementările aplicabile sunt foarte semnificative. Legile și reglementările prescriu
adesea obiectivele unei entități guvernamentale, structura, metodele de atingere a
obiectivelor și raportarea performanței în raport cu atingerea obiectivelor.
Conducerea ia în considerare obiectivele din categoria conformității în mod
cuprinzător pentru entitate și determină ce controale

sunt necesare pentru proiectarea, implementarea și operarea pentru ca entitatea să atingă

aceste obiective în mod eficient.
OV2.23Conducerea desfășoară activitățile în conformitate cu legile și

reglementările aplicabile. Ca parte a specificarii obiectivelor de conformitate,
entitatea determină ce legi și reglementări se aplică entității. Se așteaptă ca
managementul să stabilească obiective care să includă aceste cerințe. Unele
entități pot stabili obiective la un nivel de performanță mai înalt decât cel
stabilit de legi și reglementări. În stabilirea acestor obiective, conducerea
este capabilă să exercite discreție în raport cu performanța entității.
Protejarea activelor
OV2.24Un subset din cele trei categorii de obiective este protejarea activelor.
Conducerea proiectează un sistem de control intern pentru a oferi o asigurare
rezonabilă cu privire la prevenirea sau detectarea și corectarea promptă a
achiziției, utilizării sau dispozițiilor neautorizate a activelor unei entități.
Stabilirea subobiectivelor
OV2.25Managementul poate dezvolta din obiective subobiective mai specifice în

întreaga structură organizatorică. Managementul definește subobiectivele în
termeni specifici și măsurabili care pot fi comunicați personalului căruia i se
atribuie responsabilitatea de a atinge aceste subobiective. Atât managementul,
cât și personalul necesită o înțelegere a unui obiectiv, a subobiectivelor acestuia
și a nivelurilor definite de performanță pentru responsabilitate într-un sistem de
control intern.
OV3.01Scopul acestei secțiuni este de a oferi conducerii factorii de luat în

Secțiunea 3 - considerare în evaluarea eficienței unui sistem de control intern. Pentru
Evaluarea unui efectiv entitățile federale, Circulara OMB nr. A-123 oferă cerințe specifice privind modul
de realizare a evaluărilor și raportarea controlului intern în guvernul federal.
Control intern Entitățile nefederale se pot referi la legile și reglementările aplicabile, precum și
Sistem la contribuțiile părților interesate externe cheie atunci când determină cum să
evalueze și să raporteze în mod adecvat controlul intern.

Factori de eficacitate OV3.02Un sistem eficient de control intern oferă o asigurare rezonabilă că
Control intern organizația își va atinge obiectivele. După cum se precizează în secțiunea 2 din
Prezentare generală, un sistem eficient de control intern are
• fiecare dintre cele cinci componente ale controlului intern concepute,

implementate și operaționale în mod eficient și
• cele cinci componente funcționând împreună într-o manieră integrată.
OV3.03Pentru a determina dacă un sistem de control intern este eficient,

conducerea evaluează proiectarea, implementarea și eficacitatea operațională a
celor cinci componente și a 17 principii. Dacă un principiu sau o componentă nu este
eficient sau componentele nu funcționează împreună într-o manieră integrată,
atunci un sistem de control intern nu poate fi eficient.
Evaluarea internă OV3.04În guvernul federal, FMFIA impune ca șeful fiecărei agenții executive
Control să pregătească anual o declarație privind dacă sistemele de contabilitate
interne și de control administrativ ale agenției sunt conforme cu cerințele
actului. În cazul în care sistemele nu sunt conforme, șeful agenției va întocmi
un raport în care sunt identificate eventualele deficiențe materiale ale
sistemului de contabilitate intern și control administrativ al agenției și sunt
descrise planurile și programul de corectare a oricărei astfel de deficiențe.
OMB emite îndrumări pentru evaluarea acestor cerințe în Circulara OMB nr.
A-123. Entitățile nefederale se pot referi la legile și reglementările aplicabile
pentru îndrumări în pregătirea declarațiilor privind controlul intern.
Design si implementare
OV3.05Atunci când evaluează proiectarea controlului intern, conducerea determină

dacă controalele individual și în combinație cu alte controale sunt capabile să atingă
un obiectiv și să abordeze riscurile aferente. La evaluarea implementării, conducerea
determină dacă controlul există și dacă entitatea a pus controlul în exploatare. Un
control nu poate fi implementat eficient dacă nu a fost conceput în mod eficient. O
deficiență în proiectare există atunci când (1) lipsește un control necesar pentru
îndeplinirea unui obiectiv de control sau (2) un control existent nu este proiectat
corespunzător, astfel încât, chiar dacă controlul funcționează așa cum este proiectat,
obiectivul de control nu ar fi îndeplinit. O deficiență în implementare există atunci
când un control conceput corespunzător nu este implementat corect în sistemul de
control intern.

Eficacitatea operațională
OV3.06În evaluarea eficienței operaționale, conducerea determină dacă

controalele au fost aplicate la momente relevante în timpul perioadei de
evaluare, consecvența cu care au fost aplicate și de către cine sau prin ce
mijloace au fost aplicate. Dacă controale substanțial diferite au fost utilizate în
momente diferite în timpul perioadei de evaluare, conducerea evaluează
eficacitatea operațională separat pentru fiecare sistem de control unic. Un
control nu poate funcționa eficient dacă nu a fost conceput și implementat în
mod eficient. O deficiență în funcționare există atunci când un control proiectat
corespunzător nu funcționează așa cum este proiectat sau când persoana care
efectuează controlul nu posedă autoritatea sau competența necesară pentru a
efectua controlul în mod eficient.
Efectul deficiențelor asupra sistemului de control intern
OV3.07Conducerea evaluează deficiențele de control identificate prin monitorizarea

continuă de către conducere a sistemului de control intern, precum și orice evaluări
separate efectuate atât din surse interne, cât și din surse externe. O deficiență în
controlul intern există atunci când proiectarea, implementarea sau operarea unui
control nu permite conducerii sau personalului, în cursul normal al îndeplinirii
funcțiilor care le sunt atribuite, să atingă obiectivele de control și să abordeze
riscurile aferente.
OV3.08Conducerea evaluează semnificația deficiențelor identificate. Semnificația

se referă la importanța relativă a unei deficiențe pentru realizarea de către
entitate a unui obiectiv definit. Pentru a evalua semnificația deficienței,
conducerea evaluează efectul acesteia asupra atingerii obiectivelor definite atât
la nivel de entitate, cât și la nivel de tranzacție. Conducerea evaluează
semnificația unei deficiențe luând în considerare amploarea impactului,
probabilitatea de apariție și natura deficienței. Amploarea impactului se referă la
efectul probabil pe care l-ar putea avea deficiența asupra realizării obiectivelor
entității și este afectată de factori precum dimensiunea, ritmul și durata
impactului deficienței. O deficiență poate fi mai semnificativă pentru un obiectiv
decât pentru altul. Probabilitatea de apariție se referă la posibilitatea ca o
deficiență să afecteze capacitatea unei entități de a-și atinge obiectivele. Natura
deficienței implică factori precum gradul de subiectivitate implicat în deficiență și
dacă deficiența provine din fraudă sau conduită incorectă. Organul de
supraveghere supraveghează evaluarea de către conducere a semnificației
deficiențelor, astfel încât deficiențele să fie luate în considerare în mod
corespunzător.

OV3.09Deficiențele sunt evaluate atât individual, cât și agregat. Managementul

ia în considerare corelația dintre diferitele deficiențe sau grupuri de deficiențe
atunci când evaluează semnificația acestora. Evaluarea deficiențelor variază în
funcție de entitate din cauza diferențelor dintre obiectivele entităților.
OV3.10Pentru fiecare principiu, conducerea face o determinare sumar dacă

principiul este conceput, implementat și funcționează eficient. Conducerea ia
în considerare impactul deficiențelor identificate în îndeplinirea cerințelor de
documentare ca parte a acestei determinări rezumative.5Conducerea poate lua
în considerare cele legate
atribute ca parte a acestei determinări rezumative. Dacă un principiu nu este
proiectat, implementat sau nu funcționează eficient, atunci componenta
respectivă nu poate fi eficientă.
OV3.11Pe baza rezultatelor determinării rezumate pentru fiecare principiu, conducerea

concluzionează cu privire la proiectarea, implementarea și eficacitatea operațională a
fiecăreia dintre cele cinci componente ale controlului intern. De asemenea, conducerea ia
în considerare dacă cele cinci componente funcționează împreună eficient. Dacă una sau
mai multe dintre cele cinci componente nu sunt proiectate, implementate sau
funcționează eficient sau dacă nu funcționează împreună într-o manieră integrată, atunci
un sistem de control intern este ineficient. Raționamentul este folosit pentru a face astfel
de determinări, care include exercitarea unei atenții rezonabile.
Secțiunea 4 - Considerații
suplimentare
Organizații de servicii OV4.01Conducerea poate angaja părți externe pentru a efectua anumite
procese operaționale pentru entitate, cum ar fi procesarea contabilității și a
salariilor, serviciile de securitate sau procesarea cererilor de asistență
medicală. În scopul Cărții Verzi, aceste părți externe sunt denumite organizații
de servicii. Cu toate acestea, conducerea își păstrează responsabilitatea
pentru performanța proceselor atribuite organizațiilor de servicii.
5Vezi
alin. OV4.08 până la OV4.09 pentru discuții suplimentare despre cerințele de
documentare.

Prin urmare, conducerea trebuie să înțeleagă controalele pe care fiecare organizație

de servicii le-a proiectat, implementat și operează pentru procesul operațional
atribuit și modul în care sistemul de control intern al organizației de servicii are
impact asupra sistemului de control intern al entității.
OV4.02Dacă controalele efectuate de organizația de prestare de servicii sunt necesare

pentru ca entitatea să își atingă obiectivele și să abordeze riscurile legate de procesul
operațional atribuit, controalele interne ale entității pot include controale
complementare ale entității utilizator identificate de organizația de servicii sau de
auditorii săi care sunt necesare pentru realizarea obiectivele de control ale organizaţiei
de servicii.
OV4.03Conducerea poate lua în considerare următoarele atunci când stabilește

amploarea supravegherii pentru procesele operaționale atribuite organizației de
servicii:
• Natura serviciilor externalizate

• Standardele de conduită ale organizației de servicii
• Calitatea și frecvența aplicării de către organizația de servicii a respectării
standardelor de conduită de către personalul său
• Amploarea și nivelul de complexitate al operațiunilor și structurii
organizaționale a entității
• Măsura în care controalele interne ale entității sunt suficiente pentru ca
entitatea să-și atingă obiectivele și să abordeze riscurile legate de procesul
operațional atribuit
Mare versus Mic OV4.04Cele 17 principii se aplică atât entităților mari, cât și micilor. Cu toate acestea,
Entități entitățile mai mici pot avea abordări de implementare diferite decât entitățile mai
mari. Entitățile mai mici au de obicei avantaje unice, care pot contribui la un sistem
eficient de control intern. Acestea pot include un nivel mai ridicat de implicare a
conducerii în procesele operaționale și interacțiune directă cu personalul. Entitățile
mai mici pot considera că întâlnirile informale ale personalului sunt eficiente pentru
a comunica informații de calitate, în timp ce entitățile mai mari pot avea nevoie de
mecanisme mai formale - cum ar fi rapoarte scrise, portaluri intranet sau întâlniri
oficiale periodice - pentru a comunica cu organizația.
OV4.05Cu toate acestea, o entitate mai mică se confruntă cu provocări mai mari
în separarea sarcinilor din cauza concentrării responsabilităților și

autorităţilor din structura organizatorică.6Cu toate acestea, conducerea poate răspunde la

acest risc crescut prin conceperea sistemului de control intern, cum ar fi prin adăugarea
de niveluri suplimentare de revizuire pentru procesele operaționale cheie, revizuirea
tranzacțiilor selectate aleatoriu și a documentației lor justificative, luarea periodică a
numărului de active sau verificarea reconciliărilor cu supraveghetorul. .
Beneficiile și costurile OV4.06Controlul intern oferă multe beneficii unei entități. Oferă conducerii
controlului intern mai multă încredere în ceea ce privește atingerea obiectivelor, oferă feedback
cu privire la cât de eficient funcționează o entitate și ajută la reducerea
riscurilor care afectează realizarea obiectivelor entității. Conducerea ia în
considerare o varietate de factori de cost în legătură cu beneficiile așteptate
atunci când proiectează și implementează controale interne. Complexitatea
determinării cost-beneficiu este agravată de interrelația dintre controale și
procesele operaționale. Acolo unde controalele sunt integrate cu procesele
operaționale, este dificil să se izoleze costurile sau beneficiile acestora.
OV4.07Conducerea poate decide modul în care o entitate evaluează costurile versus

beneficiile diferitelor abordări ale implementării unui sistem eficient de control
intern. Cu toate acestea, costul singur nu este un motiv acceptabil pentru a evita
implementarea controalelor interne. Conducerea este responsabilă pentru
îndeplinirea obiectivelor de control intern. Considerațiile costuri versus beneficii
susțin capacitatea managementului de a proiecta, implementa și opera în mod
eficient un sistem de control intern care echilibrează alocarea resurselor în raport cu
zonele cu cel mai mare risc, complexitate sau alți factori relevanți pentru atingerea
obiectivelor entității.
Documentație OV4.08Documentarea este o parte necesară a unui sistem eficient de control intern.
Cerințe Nivelul și natura documentației variază în funcție de dimensiunea entității și de
complexitatea proceselor operaționale pe care le realizează entitatea. Conducerea
folosește raționamentul pentru a determina amploarea documentației care este
necesară. Documentația este necesară pentru proiectarea, implementarea și
eficacitatea operațională eficace a sistemului de control intern al unei entități. Cartea
Verde include cerințe minime de documentare, după cum urmează:
6Vezi alin. 10.12 până la 10.14 pentru discuții suplimentare despre segregarea sarcinilor.

• În cazul în care conducerea stabilește că un principiu nu este relevant,

conducerea susține determinarea respectivă cu documentație care
include rațiunea modului în care, în absența acelui principiu,
componenta asociată ar putea fi proiectată, implementată și operată
eficient. (paragraful OV2.06)
• Conducerea dezvoltă și menține documentația sistemului său de
control intern. (paragraful 3.09)
• Managementul documentează în politici responsabilitățile de control intern
ale organizației. (paragraful 12.02)
• Conducerea evaluează și documentează rezultatele monitorizării continue și ale
evaluărilor separate pentru a identifica problemele de control intern. (paragraful
16.09)
• Conducerea evaluează și documentează problemele de control intern
și determină acțiuni corective adecvate pentru deficiențele de control
intern în timp util. (paragraful 17.05)
• Conducerea finalizează și documentează acțiunile corective pentru a
remedia deficiențele de control intern în timp util. (paragraful 17.06)
OV4.09Aceste cerințe reprezintă nivelul minim de documentație în sistemul de

control intern al unei entități. Conducerea își exercită raționamentul pentru a
determina ce documentație suplimentară poate fi necesară pentru un sistem
eficient de control intern. Dacă conducerea identifică deficiențe în îndeplinirea
acestor cerințe de documentare, efectul deficiențelor identificate este considerat
ca parte a determinării rezumate a conducerii pentru a stabili dacă principiul
aferent este conceput, implementat și funcționează eficient.
Utilizare de către alte entități OV4.10Cartea Verde poate fi aplicată ca cadru pentru un sistem de control intern
pentru entitățile de stat, locale și cvasi-guvernamentale, precum și pentru
organizațiile non-profit. Dacă conducerea alege să adopte Cartea Verde ca
criteriu, conducerea urmează toate cerințele relevante prezentate în aceste
standarde.

Mediu de control
Mediu de control
Mediul de control este baza unui sistem de control intern. Acesta oferă disciplina
și structura, care afectează calitatea generală a controlului intern. Ea
influențează modul în care sunt definite obiectivele și modul în care sunt
structurate activitățile de control. Organul de supraveghere și conducerea
stabilesc și mențin un mediu în întreaga entitate care stabilește o atitudine
pozitivă față de controlul intern.
Principii
1. Organismul de supraveghere și conducerea ar trebui să demonstreze un

angajament față de integritate și valori etice.
2. Organismul de supraveghere ar trebui să supravegheze sistemul de control intern al entității.
3. Conducerea trebuie să stabilească o structură organizatorică, să atribuie

responsabilitatea și să delege autoritatea pentru a atinge obiectivele entității.
4. Managementul trebuie să demonstreze angajamentul de a recruta, dezvolta și

păstra persoane competente.
5. Conducerea ar trebui să evalueze performanța și să țină indivizii la

răspundere pentru responsabilitățile lor de control intern.

Mediu de control
1.01Organismul de supraveghere și conducerea ar trebui să demonstreze un

Principiul 1 - angajament față de integritate și valori etice.
Demonstra
Atribute
Angajamentul față de
Integritate și etică Următoarele atribute contribuie la proiectarea, implementarea și
eficacitatea operațională a acestui principiu:
Valori
• Volumul la maxim
• Standarde de conduită
• Respectarea standardelor de conduită
Volumul la maxim 1.02Organismul de supraveghere și conducerea demonstrează importanța

integrității și a valorilor etice prin directivele, atitudinile și comportamentul lor.
1.03Organismul de supraveghere și managementul conduc printr-un exemplu

care demonstrează valorile, filosofia și stilul de operare ale organizației.
Organul de supraveghere și conducerea dau tonul la vârf și în întreaga
organizație prin exemplul lor, care este fundamental pentru un sistem de
control intern eficient. În entitățile mai mari, diferitele niveluri de management
din structura organizațională pot, de asemenea, să dea „tonul la mijloc”.
1.04Directivele, atitudinile și comportamentele organismului de supraveghere și ale

managementului reflectă integritatea și valorile etice așteptate în întreaga entitate.
Organismul de supraveghere și conducerea întăresc angajamentul de a face ceea ce este
corect, nu doar de a menține un nivel minim de performanță necesar pentru a se
conforma cu legile și reglementările aplicabile, astfel încât aceste priorități să fie înțelese
de toate părțile interesate, cum ar fi autoritățile de reglementare, angajații și generalul.
public.
1.05Tonul din partea de sus poate fi fie un driver, așa cum se arată în paragrafele
precedente, fie o barieră în calea controlului intern. Fără un ton puternic la vârf pentru a
susține un sistem de control intern, identificarea riscurilor de către entitatea poate fi
incompletă, răspunsurile la risc pot fi inadecvate, activitățile de control pot să nu fie
concepute sau implementate în mod corespunzător, informațiile și comunicarea pot
scădea, iar rezultatele monitorizării pot să nu fie adecvate. să fie înțeles sau să se
acționeze pentru a remedia deficiențele.

Mediu de control
Standarde de conduită 1.06Managementul stabilește standarde de conduită pentru a comunica

așteptările privind integritatea și valorile etice. Entitatea folosește valori etice
pentru a echilibra nevoile și preocupările diferitelor părți interesate, cum ar fi
autoritățile de reglementare, angajații și publicul larg. Standardele de conduită
ghidează directivele, atitudinile și comportamentele organizației în atingerea
obiectivelor entității.
1.07Managementul, sub supravegherea organului de supraveghere, definește

așteptările organizației cu privire la valorile etice în standardele de conduită.
Managementul poate lua în considerare utilizarea politicilor, principiilor de operare sau
ghidurilor pentru a comunica standardele de conduită către organizație.
Respectarea standardelor de 1.08Conducerea stabilește procese pentru a evalua performanța față

conduită de standardele de conduită așteptate ale entității și pentru a aborda
orice abateri în timp util.
1.09Managementul folosește standardele de conduită stabilite ca bază

pentru evaluarea respectării integrității și valorilor etice în cadrul
organizației. Conducerea evaluează respectarea standardelor de conduită la
toate nivelurile entității. Pentru a obține asigurarea că standardele de
conduită ale entității sunt implementate eficient, conducerea evaluează
directivele, atitudinile și comportamentele indivizilor și echipelor. Evaluările
pot consta în monitorizare continuă sau evaluări separate.7
De asemenea, personalul individual poate raporta probleme prin linii de raportare, cum
ar fi întâlniri regulate ale personalului, procese de feedback ascendent, un program de
avertizare sau o linie telefonică de etică.8Organismul de supraveghere evaluează
aderarea conducerii la standardele de conduită, precum și aderarea generală de către
entitate.
1.10Conducerea determină nivelul de toleranță pentru abateri. Conducerea

poate determina că entitatea va avea toleranță zero pentru abaterile de la
anumite standarde de conduită așteptate, în timp ce abaterile de la altele pot fi
abordate cu avertismente către personal. Managementul stabilește un proces
de evaluare a aderării individuale și a echipelor la standardele de conduită care
escaladează și remediază abaterile.
7Vezialin. 16.04 până la 16.08 pentru discuții suplimentare despre monitorizarea continuă și
evaluările separate.
8Vezi alin. 14.06 pentru discuții suplimentare despre liniile de raportare ascendente și separate.

Mediu de control
Managementul abordează abaterile de la standardele așteptate de conduită în timp

util și în mod consecvent. În funcție de severitatea abaterii determinate prin
procesul de evaluare, conducerea, sub supravegherea organului de supraveghere,
ia măsurile adecvate și poate, de asemenea, trebuie să ia în considerare legile și
reglementările aplicabile. Cu toate acestea, standardele de conduită la care
conducerea deține personalul rămân consecvente.
2.01Organismul de supraveghere ar trebui să supravegheze sistemul de control intern al

Principiul 2 - Supravegherea entității.
exercițiului
Atribute
Responsabilitate
Următoarele atribute contribuie la proiectarea, implementarea și
• Structura de supraveghere
• Supravegherea sistemului de control intern
• Intrări pentru remedierea deficiențelor
Structura de supraveghere 2.02Entitatea determină o structură de supraveghere pentru a-și îndeplini responsabilitățile
prevăzute de legile și reglementările aplicabile, îndrumările guvernamentale relevante și
feedback-ul de la părțile interesate cheie. Entitatea va selecta sau, dacă este mandatat de lege,
va fi selectat pentru aceasta un organism de supraveghere. Atunci când organismul de
supraveghere este compus din conducerea entității, activitățile menționate în Cartea Verde, așa
cum sunt efectuate de „conducere”, exclud acești membri ai conducerii atunci când își au rolul
de organism de supraveghere.
Responsabilitățile unui organism de supraveghere
2.03Atunci când structura de supraveghere a unei entități este condusă de

conducerea superioară, conducerea superioară se poate distinge de conducerea
divizială sau funcțională prin înființarea unui organism de supraveghere. Un
organism de supraveghere supraveghează operațiunile entității; oferă critici
constructive conducerii; și, acolo unde este cazul, ia decizii de supraveghere, astfel
încât entitatea să-și atingă obiectivele în conformitate cu integritatea și valorile etice
ale entității.
Calificări pentru un organism de supraveghere
2.04La selectarea membrilor unui organism de supraveghere, entitatea sau organismul

aplicabil definește cunoștințele entității, expertiza relevantă, numărul de

Mediu de control
membrii și posibila independență necesară pentru a-și îndeplini responsabilitățile de

supraveghere pentru entitate.
2.05Membrii unui organism de supraveghere înțeleg obiectivele entității, riscurile

asociate acesteia și așteptările părților interesate. Pe lângă un organism de
supraveghere, o organizație din cadrul guvernului federal poate avea mai multe
organisme care sunt părți interesate cheie pentru entitate, cum ar fi Casa Albă,
Congresul, Biroul de Management și Buget și Departamentul de Trezorerie. Un
organism de supraveghere lucrează cu părțile interesate cheie pentru a le înțelege
așteptările și pentru a ajuta entitatea să îndeplinească aceste așteptări, dacă este
cazul.
2.06Entitatea sau organismul aplicabil ia în considerare, de asemenea, expertiza necesară

membrilor pentru a supraveghea, a pune sub semnul întrebării și a evalua managementul.
Capacitățile așteptate de la toți membrii unui organism de supraveghere includ integritatea și
valorile etice, conducerea, gândirea critică și abilitățile de rezolvare a problemelor.
2.07În plus, la determinarea numărului de membri ai unui organism de

supraveghere, entitatea sau organismul aplicabil ia în considerare necesitatea ca
membrii organismului de supraveghere să aibă abilități specializate care să permită
discuții, să ofere critici constructive conducerii și să ia deciziile de supraveghere
adecvate. Unele abilități specializate pot include următoarele:
• Mentalitatea privind controlul intern (de exemplu, scepticismul profesional și

perspectivele privind abordările pentru identificarea și răspunsul la riscuri și
evaluarea eficienței sistemului de control intern)
• Expertiză programatică, inclusiv cunoștințe despre misiunea, programele
și procesele operaționale ale entității (de exemplu, achiziții, capital uman și
expertiză în management funcțional)
• Expertiză financiară, inclusiv raportare financiară (de exemplu,
standarde de contabilitate și cerințe de raportare financiară și
expertiză bugetară)
• Sisteme și tehnologie relevante (de exemplu, înțelegerea sistemelor
critice și a riscurilor și oportunităților tehnologice)
• Expertiză juridică și de reglementare (de exemplu, înțelegerea legilor și
reglementărilor aplicabile)
2.08Dacă este autorizat de legile și reglementările aplicabile, entitatea poate lua în considerare și
includerea membrilor independenți ca parte a unui organism de supraveghere.9
GAO,Standarde guvernamentale de audit: revizuire 2011,GAO-12-331G(Washington, DC:

9Vezi
decembrie 2011), alin. 3.03, pentru discuții suplimentare despre independență.

Mediu de control
Membrii unui organism de supraveghere examinează și pun la îndoială activitățile

managementului, prezintă puncte de vedere alternative și acționează atunci când se
confruntă cu fapte greșite evidente sau suspectate. Membrii independenți cu expertiză
relevantă oferă valoare prin evaluarea imparțială a entității și a operațiunilor acesteia în
atingerea obiectivelor.
Supravegherea sistemului 2.09Organul de supraveghere supraveghează proiectarea, implementarea și funcționarea de

de control intern către conducere a sistemului de control intern al entității. Responsabilitățile organismului de
supraveghere pentru sistemul de control intern al entității includ următoarele:
• Mediu de control-Stabiliți integritatea și valorile etice, stabiliți structura de

supraveghere, dezvoltați așteptările de competență și mențineți
responsabilitatea față de toți membrii organismului de supraveghere și părțile
interesate cheie.
• Evaluare a riscurilor-Supraveghea evaluarea de către conducere a riscurilor
pentru atingerea obiectivelor, inclusiv impactul potențial al schimbărilor
semnificative, fraudă și anularea de către conducere a controlului intern.
• Activități de control-Asigurarea supravegherii conducerii în

dezvoltarea și efectuarea activităților de control.
• Informatie si comunicare-Analizați și discutați informațiile
referitoare la atingerea obiectivelor de către entitate.
• Monitorizarea-Analizați natura și domeniul de aplicare al activităților de
monitorizare ale managementului, precum și evaluarea și remedierea de
către management a deficiențelor identificate.
2.10Aceste responsabilități sunt susținute de structura organizatorică pe care o

stabilește managementul.10Organismul de supraveghere supraveghează
proiectarea, implementarea și funcționarea de către conducere a structurii
organizaționale a entității, astfel încât procesele necesare pentru a permite
organismului de supraveghere să își îndeplinească responsabilitățile să existe și să
funcționeze eficient.

Mediu de control
Intrări pentru remedierea 2.11Organismul de supraveghere oferă contribuții la planurile conducerii

deficiențelor pentru remedierea deficiențelor sistemului de control intern, după caz.
2.12Conducerea raportează organului de supraveghere deficiențele identificate în

sistemul de control intern. Organismul de supraveghere supraveghează și oferă direcțiilor
conducerii cu privire la remedierea acestor deficiențe. Organul de supraveghere oferă, de
asemenea, îndrumare atunci când o deficiență depășește granițele organizaționale sau
unitățile, sau când interesele conducerii pot intra în conflict cu eforturile de remediere.
Atunci când este cazul și autorizat, organismul de supraveghere poate direcționa crearea
de echipe care să abordeze sau să supravegheze aspecte specifice esențiale pentru
atingerea obiectivelor entității.
2.13Organismul de supraveghere este responsabil pentru supravegherea remedierii

deficiențelor, după caz, și pentru furnizarea de instrucțiuni conducerii cu privire la
intervalele de timp adecvate pentru corectarea acestor deficiențe.11
3.01Conducerea trebuie să stabilească o structură organizatorică, să atribuie

Principiul 3 - Stabilirea responsabilitatea și să delege autoritatea pentru a atinge obiectivele entității.
structurii,
Atribute
Responsabilitate și
Autoritate Următoarele atribute contribuie la proiectarea, implementarea și
• Structura organizationala
• Atribuirea responsabilității și delegarea de autoritate
• Documentarea Sistemului de Control Intern
Structura organizationala 3.02Conducerea stabilește structura organizatorică necesară pentru a permite

entității să planifice, să execute, să controleze și să evalueze organizația în
atingerea obiectivelor sale. Conducerea dezvoltă responsabilitățile generale din
obiectivele entității care îi permit entității să-și atingă obiectivele și să abordeze
riscurile aferente.
3.03Conducerea dezvoltă o structură organizațională cu o înțelegere a

responsabilităților generale și atribuie aceste responsabilități unor unități
distincte pentru a permite organizației să opereze în
11Vezi alin. 17.06 pentru discuții suplimentare despre remedierea în timp util a constatărilor.

Mediu de control
într-un mod eficient și eficient, respectă legile și reglementările aplicabile și

raportează în mod fiabil informații de calitate.12Pe baza naturii
din responsabilitatea atribuită, conducerea alege tipul și numărul de
unități discrete, cum ar fi divizii, birouri și subunități aferente.
3.04Ca parte a stabilirii unei structuri organizaționale, managementul ia în considerare

modul în care unitățile interacționează pentru a-și îndeplini responsabilitățile generale.
Conducerea stabilește linii de raportare în cadrul unei structuri organizaționale, astfel
încât unitățile să poată comunica informațiile de calitate necesare fiecărei unități pentru a-
și îndeplini responsabilitățile generale.13Liniile de raportare sunt definite
nivelurile organizației și oferă metode de comunicare care pot curge în jos,
peste, sus și în jurul structurii.14De asemenea, managementul
ia în considerare responsabilitățile generale ale entității față de părțile interesate
externe și stabilește linii de raportare care permit entității să comunice și să
primească informații de la părțile interesate externe.15
3.05Conducerea evaluează periodic structura organizatorică astfel încât să

îndeplinească obiectivele entității și să se adapteze la orice obiective noi pentru
entitate, cum ar fi o nouă lege sau un regulament.
Atribuirea de 3.06Pentru a atinge obiectivele entității, conducerea atribuie responsabilitatea și

Responsabilitate și deleagă autoritatea unor roluri cheie în întreaga entitate. Un rol cheie este o poziție
în structura organizațională căreia i se atribuie o responsabilitate generală a entității.
Delegare a autorității
În general, rolurile cheie se referă la pozițiile de conducere superioară în cadrul unei
entități.
3.07Conducerea ia în considerare responsabilitățile generale atribuite fiecărei

unități, determină ce rol-cheie sunt necesare pentru îndeplinirea responsabilităților
atribuite și stabilește rolurile cheie. Cei care dețin roluri cheie pot atribui în
continuare responsabilitatea pentru controlul intern rolurilor sub acestea în
structura organizațională, dar își păstrează dreptul de a-și îndeplini
responsabilitățile generale atribuite unității.
12Vezi alin. 13.05 până la 13.06 pentru discuții suplimentare despre informații de calitate.
13Vezi alin. 13.02 - 13.06 pentru discuții suplimentare despre utilizarea informațiilor de calitate.
14Vezi alin. 14.02 până la 14.06 pentru discuții suplimentare despre liniile de raportare interne.
15Vezi alin. 15.02 până la 15.06 pentru discuții suplimentare despre liniile de raportare externe.

Mediu de control
3.08Managementul determină ce nivel de autoritate are nevoie pentru fiecare rol

cheie pentru a-și îndeplini o responsabilitate. Conducerea deleagă autoritatea numai
în măsura necesară pentru atingerea obiectivelor entității. Ca parte a delegării de
autoritate, conducerea evaluează delegarea pentru o segregare adecvată a sarcinilor
în cadrul unității și în structura organizatorică. Separarea sarcinilor ajută la
prevenirea fraudei, risipei și abuzului în entitate, luând în considerare necesitatea de
a separa autoritatea, custodia și contabilitatea în structura organizațională.16Ca și în
cazul atribuirii responsabilității, cei în cheie
rolurile își pot delega autoritatea pentru controlul intern unor roluri sub ei
în structura organizațională.
Documentația de 3.09Conducerea dezvoltă și menține documentația sistemului său de

Sistemul de control intern control intern.
3.10Documentația eficientă ajută la proiectarea de către conducere a controlului

intern prin stabilirea și comunicarea personalului cine, ce, când, unde și de ce al
executării controlului intern. Documentația oferă, de asemenea, un mijloc de a
păstra cunoștințele organizaționale și de a reduce riscul de a avea aceste cunoștințe
limitate la un număr mic de personal, precum și un mijloc de a comunica acele
cunoștințe, după cum este necesar, părților externe, cum ar fi auditorii externi.
3.11Managementul documentează controlul intern pentru a răspunde nevoilor

operaționale. Documentarea controalelor, inclusiv modificările aduse controalelor,
reprezintă o dovadă că controalele sunt identificate, capabile să fie comunicate celor
responsabili de performanța lor și capabile să fie monitorizate și evaluate de entitate.
3.12Amploarea documentației necesare pentru a sprijini proiectarea, implementarea

și eficacitatea operațională a celor cinci componente ale controlului intern este o
chestiune de judecată pentru management. Conducerea ia în considerare cost-
beneficiu al cerințelor de documentare pentru entitate, precum și dimensiunea,
natura și complexitatea entității și a obiectivelor acesteia. Cu toate acestea, este
necesar un anumit nivel de documentare pentru ca componentele controlului intern
să poată fi proiectate, implementate și funcționate în mod eficient.
16Vezi alin. 10.12 până la 10.14 pentru discuții suplimentare despre segregarea sarcinilor.

Mediu de control
4.01Managementul trebuie să demonstreze angajamentul de a recruta, dezvolta și

Principiul 4 - păstra persoane competente.
Demonstra
Atribute
Angajamentul față de
Competență Următoarele atribute contribuie la proiectarea, implementarea și
• Așteptări de competență
• Recrutarea, dezvoltarea și menținerea persoanelor
• Planuri de succesiune și de urgență și pregătire
Așteptările de 4.02Conducerea stabilește așteptări de competență pentru roluri cheie și alte

Competență roluri la discreția conducerii, pentru a ajuta entitatea să-și atingă obiectivele.
Competența este calificarea pentru a-și îndeplini responsabilitățile atribuite.
Este nevoie de cunoștințe, abilități și abilități relevante, care sunt dobândite în
mare parte din experiența profesională, formare și certificări. Este demonstrat
de comportamentul indivizilor în timp ce își îndeplinesc responsabilitățile.
4.03Conducerea ia în considerare standardele de conduită, responsabilitatea

atribuită și autoritatea delegată atunci când stabilește așteptările. Managementul
stabilește așteptări de competență pentru rolurile cheie. De asemenea,
conducerea poate stabili așteptări de competență pentru tot personalul prin
politici din cadrul sistemului de control intern al entității.17
4.04Personalul trebuie să posede și să mențină un nivel de competență care să

le permită să-și îndeplinească responsabilitățile atribuite, precum și să înțeleagă
importanța controlului intern eficient. Responsabilizarea indivizilor față de
politicile stabilite prin evaluarea competenței personalului este esențială pentru
atragerea, dezvoltarea și păstrarea indivizilor. Conducerea evaluează
competența personalului din întreaga entitate în raport cu politicile stabilite.
Conducerea acționează după cum este necesar pentru a aborda orice abateri de
la politicile stabilite. Organul de supraveghere evaluează competența
conducerii, precum și competența generală a personalului entității.
17Vezi alin. 12.02 - 12.04 pentru discuții suplimentare despre politici.

Mediu de control
Recrutare, 4.05Conducerea recrutează, dezvoltă și reține personal competent pentru

Dezvoltare, și atingerea obiectivelor entității. Conducerea are în vedere următoarele:
Reținerea persoanelor fizice
• Recruta-Efectuați proceduri pentru a determina dacă un anumit candidat
se potrivește nevoilor organizaționale și are competența pentru rolul
propus.
• Tren-Permiteți indivizilor să dezvolte competențe adecvate pentru roluri cheie,
să consolideze standardele de conduită și să adapteze formarea în funcție de
nevoile rolului.
• Mentor-Oferiți îndrumări cu privire la performanța individului pe baza
standardelor de conduită și așteptărilor de competență, aliniați abilitățile și
expertiza individului cu obiectivele entității și ajutați personalul să se
adapteze la un mediu în evoluție.
• Reține-Oferiți stimulente pentru a motiva și consolida nivelurile
așteptate de performanță și conduita dorită, inclusiv formare și
acreditări, după caz.
Succesiunea si 4.06Conducerea definește planuri de succesiune și de urgență pentru rolurile cheie

Planuri de urgență și pentru a ajuta entitatea să-și continue atingerea obiectivelor. Planurile de succesiune
abordează nevoia entității de a înlocui personalul competent pe termen lung, în timp
Pregătirea
ce planurile de urgență abordează nevoia entității de a răspunde schimbărilor bruște
de personal care ar putea compromite sistemul de control intern.
4.07Conducerea definește planurile de succesiune pentru rolurile cheie, alege

candidații pentru succesiune și îi antrenează pe candidați pentru a-și asuma rolurile
cheie. Dacă conducerea se bazează pe o organizație de servicii pentru a îndeplini
responsabilitățile atribuite rolurilor cheie din entitate, conducerea evaluează dacă
organizația de servicii poate continua în aceste roluri cheie, identifică alte organizații
candidate pentru aceste roluri și implementează procese care să permită schimbul
de cunoștințe cu succesiunea. organizație candidată.
4.08Conducerea definește planuri de urgență pentru atribuirea responsabilităților

dacă un rol cheie în entitate este eliberat fără notificare prealabilă. Importanța rolului
cheie în sistemul de control intern și impactul asupra entității al postului său vacant
dictează formalitatea și profunzimea planului de urgență.

Mediu de control
5.01Conducerea ar trebui să evalueze performanța și să țină indivizii la

Principiul 5 - răspundere pentru responsabilitățile lor de control intern.
Implementarea răspunderii
Atribute

• Executarea răspunderii
• Luarea în considerare a presiunilor excesive
Punerea în aplicare a 5.02Conducerea impune responsabilitatea persoanelor care își îndeplinesc

Responsabilitate responsabilitățile de control intern. Responsabilitatea este condusă de tonul de
la vârf și susținută de angajamentul față de integritate și valori etice, structura
organizațională și așteptările de competență, care influențează cultura de
control a entității. Responsabilitatea pentru îndeplinirea responsabilității de
control intern sprijină luarea deciziilor de zi cu zi, atitudinile și
comportamentele. Conducerea ține personalul la răspundere prin mecanisme
precum evaluările performanței și acțiunile disciplinare.
5.03Conducerea ține la răspundere personalul entității pentru îndeplinirea

responsabilităților de control intern atribuite. Organul de supraveghere, la rândul
său, ține la răspundere conducerea, precum și organizația în ansamblu pentru
responsabilitățile sale de control intern.
5.04Dacă conducerea stabilește stimulente, conducerea recunoaște că astfel de

acțiuni pot avea consecințe neintenționate și evaluează stimulentele astfel încât
acestea să se alinieze cu standardele de conduită ale entității.
5.05Conducerea ține organizațiile de servicii responsabile pentru

responsabilitățile de control intern care le-au fost atribuite. Managementul poate
contracta cu organizațiile de servicii pentru a îndeplini roluri în structura
organizațională. Conducerea comunică organizației de servicii obiectivele
entității și riscurile aferente acestora, standardele de conduită ale entității, rolul
organizației de servicii în structura organizațională, responsabilitățile și
autoritățile atribuite rolului și așteptările de competență pentru rolul său. care va
permite organizației de servicii să își îndeplinească responsabilitățile de control
intern.
5.06Conducerea, sub supravegherea organului de supraveghere, ia măsuri corective,

după cum este necesar, pentru a impune responsabilitatea pentru internă

Mediu de control
control în entitate. Aceste acțiuni pot varia de la feedback informal

furnizat de supervizorul direct la măsuri disciplinare luate de organul de
supraveghere, în funcție de semnificația deficienței pentru sistemul de
control intern.18
Considerarea 5.07Conducerea ajustează presiunile excesive asupra personalului din entitate.

Presiuni excesive Presiunea poate apărea într-o entitate din cauza obiectivelor stabilite de conducere
pentru a îndeplini obiectivele sau cerințele ciclice ale diferitelor procese efectuate de
entitate, cum ar fi pregătirea situațiilor financiare la sfârșitul anului. Presiunea
excesivă poate determina personalul să „tăieze colțurile” pentru a îndeplini
obiectivele stabilite.
5.08Conducerea este responsabilă de evaluarea presiunii asupra personalului pentru a ajuta

personalul să-și îndeplinească responsabilitățile atribuite în conformitate cu standardele de
conduită ale entității. Managementul poate ajusta presiunile excesive folosind multe
instrumente diferite, cum ar fi reechilibrarea sarcinilor de lucru sau creșterea nivelurilor de
resurse.
18Vezi OV3.08 pentru o discuție suplimentară despre semnificația deficiențelor.

t
Evaluarea riscului n
isk Evaluare
R
După ce a stabilit un mediu de control eficient, conducerea evaluează riscurile cu care

se confruntă entitatea pe măsură ce încearcă să-și atingă obiectivele. Această evaluare
oferă baza pentru dezvoltarea unor răspunsuri adecvate la risc. Conducerea evaluează
riscurile cu care se confruntă entitatea atât din surse externe, cât și din surse interne.
Principii
6. Conducerea trebuie să definească obiectivele în mod clar pentru a

permite identificarea riscurilor și a defini toleranțele la risc.
7. Managementul trebuie să identifice, să analizeze și să răspundă la riscurile legate de

atingerea obiectivelor definite.
8. Conducerea ar trebui să ia în considerare potențialul de fraudă atunci când identifică,

analizează și răspunde la riscuri.
9. Conducerea trebuie să identifice, să analizeze și să răspundă la schimbările semnificative

care ar putea avea un impact asupra sistemului de control intern.

Evaluare a riscurilor
6.01Conducerea trebuie să definească obiectivele în mod clar pentru a

Principiul 6 - Definiți permite identificarea riscurilor și a defini toleranțele la risc.
obiectivele și riscul
Atribute
Toleranțe
• Definiții ale obiectivelor

• Definiții ale toleranțelor de risc
Definiții ale obiectivelor 6.02Conducerea definește obiectivele în termeni specifici și măsurabili pentru a
permite proiectarea controlului intern pentru riscurile aferente. Termenii specifici
sunt expuși complet și clar, astfel încât să poată fi înțeleși cu ușurință. Termenii
măsurabili permit evaluarea performanței în vederea atingerii obiectivelor.
Obiectivele sunt stabilite inițial ca parte a procesului de stabilire a obiectivelor și apoi
rafinate pe măsură ce sunt încorporate în sistemul de control intern atunci când
conducerea le folosește pentru a stabili mediul de control.
6.03Conducerea definește obiectivele în termeni specifici, astfel încât acestea să fie

înțelese la toate nivelurile entității. Aceasta implică definirea clară a ceea ce urmează
a fi realizat, cine urmează să-l realizeze, cum va fi realizat și intervalele de timp
pentru realizarea. Toate obiectivele pot fi clasificate în general în una sau mai multe
din trei categorii: operațiuni, raportare sau conformitate. Obiectivele de raportare
sunt clasificate în continuare ca fiind fie interne sau externe și financiare sau
nefinanciare. Managementul definește obiectivele în conformitate cu misiunea,
planul strategic și obiectivele de performanță ale organizației.
6.04Managementul definește obiectivele în termeni măsurabili, astfel încât

performanța în atingerea acestor obiective să poată fi evaluată. Obiectivele
măsurabile sunt în general lipsite de părtinire și nu necesită judecăți subiective
pentru a le domina măsurarea. Obiectivele măsurabile sunt, de asemenea, enunțate
într-o formă cantitativă sau calitativă, care permite măsurarea în mod rezonabil
consistentă.
6.05Conducerea ia în considerare cerințele externe și așteptările interne atunci când

definește obiectivele pentru a permite proiectarea controlului intern. Legiuitorii,
autoritățile de reglementare și organismele de stabilire a standardelor stabilesc cerințe
externe prin stabilirea legilor, reglementărilor și standardelor pe care entitatea trebuie
să le respecte. Managementul identifică,

înțelege și încorporează aceste cerințe în obiectivele entității.

Managementul stabilește așteptările și cerințele interne prin
standardele de conduită stabilite,19structura de supraveghere,20
structura organizationala,21și așteptările de competență22ca parte din
mediul de control.
6.06Conducerea evaluează și, dacă este necesar, revizuiește obiectivele definite

astfel încât acestea să fie în concordanță cu aceste cerințe și așteptări. Această
consecvență permite managementului să identifice și să analizeze riscurile asociate
cu atingerea obiectivelor definite.
6.07Conducerea determină dacă măsurile de performanță pentru obiectivele

definite sunt adecvate pentru evaluarea performanței entității în atingerea acestor
obiective. Pentru obiectivele cantitative, măsurile de performanță pot fi un procent
vizat sau o valoare numerică. Pentru obiective calitative, managementul poate avea
nevoie să proiecteze măsuri de performanță care să indice un nivel sau un grad de
performanță, cum ar fi etapele de referință.
Definițiile riscului 6.08Managementul definește toleranțele la risc pentru obiectivele definite. Toleranța
Toleranțe la risc este nivelul acceptabil de variație a performanței în raport cu atingerea
obiectivelor. Toleranțele la risc sunt stabilite inițial ca parte a procesului de stabilire a
obiectivelor. Conducerea definește toleranțele la risc pentru obiectivele definite,
asigurându-se că nivelurile stabilite de variație pentru măsurile de performanță sunt
adecvate pentru proiectarea unui sistem de control intern.
6.09Conducerea definește toleranțele la risc în termeni specifici și măsurabili,

astfel încât acestea să fie declarate clar și să poată fi măsurate. Toleranța la
risc este adesea măsurată în aceiași termeni ca și măsurile de performanță
pentru obiectivele definite. În funcție de categoria de obiective, toleranțele la
risc pot fi exprimate astfel:
19Vezi alin. 1.06 până la 1.07 pentru discuții suplimentare despre standardele de conduită.
20Vezi alin. 2.02 până la 2.08 pentru discuții suplimentare despre structura de supraveghere.
22Vezi alin. 4.02 până la 4.04 pentru discuții suplimentare despre așteptările de competență.

• Obiectivele operațiunilor-Nivelul variației performanței în raport cu

riscul.
• Obiective de raportare nefinanciară-Nivel de precizie și acuratețe adecvat
nevoilor utilizatorilor, implicând atât considerații calitative, cât și cantitative
pentru a răspunde nevoilor utilizatorului raportului nefinanciar.
• Obiectivele raportării financiare-Raționamentele privind semnificația sunt
făcute în lumina circumstanțelor înconjurătoare, implică atât considerații
calitative, cât și cantitative și sunt afectate de nevoile utilizatorilor rapoartelor
financiare și de dimensiunea sau natura unei denaturări.
• Obiective de conformitate-Conceptul de toleranță la risc nu se
aplică. O entitate este fie conformă, fie nu.
6.10De asemenea, conducerea evaluează dacă toleranțele la risc permit proiectarea

adecvată a controlului intern, luând în considerare dacă acestea sunt în concordanță
cu cerințele și așteptările pentru obiectivele definite. Ca și în definirea obiectivelor,
conducerea ia în considerare toleranțele la risc în contextul legilor, reglementărilor
și standardelor aplicabile ale entității, precum și al standardelor de conduită, al
structurii de supraveghere, al structurii organizaționale și al așteptărilor de
competență ale entității. Dacă toleranțele la risc pentru obiectivele definite nu sunt
în concordanță cu aceste cerințe și așteptări, conducerea revizuiește toleranțele la
risc pentru a obține coerență.
7.01Conducerea trebuie să identifice, să analizeze și să răspundă la riscurile legate

Principiul 7 - de atingerea obiectivelor definite.
Identificați, analizați și
Atribute
Răspundeți la riscuri
• Identificarea riscurilor
• Analiza riscurilor
• Răspuns la riscuri
Identificarea riscurilor 7.02Conducerea identifică riscurile în întreaga entitate pentru a oferi o bază pentru
analiza riscurilor. Evaluarea riscurilor este identificarea și analiza riscurilor legate de
atingerea obiectivelor definite pentru a constitui o bază pentru proiectarea
răspunsurilor la risc.

7.03Pentru a identifica riscurile, conducerea ia în considerare tipurile de riscuri

care afectează entitatea. Aceasta include atât riscul inerent, cât și riscul rezidual.
Riscul inerent este riscul pentru o entitate în absența unui răspuns al conducerii la
risc. Riscul rezidual este riscul care rămâne după răspunsul conducerii la riscul
inerent. Lipsa de răspuns a conducerii la oricare dintre riscuri ar putea cauza
deficiențe în sistemul de control intern.
7.04Conducerea ia în considerare toate interacțiunile semnificative din cadrul

entității și cu părțile externe, schimbările din mediul intern și extern al entității,23și
alți factori interni și externi pentru a identifica riscurile la nivelul întregii entități.
Factorii de risc interni pot include natura complexă a programelor unei entități,
structura organizatorică a acesteia sau utilizarea de noi tehnologii în procesele
operaționale. Factorii de risc externi pot include legi, reglementări sau standarde
profesionale noi sau modificate; instabilitate economică; sau potenţiale dezastre
naturale. Conducerea ia în considerare acești factori atât la nivel de entitate, cât și la
nivel de tranzacție pentru a identifica în mod cuprinzător riscurile care afectează
obiectivele definite.24Metodele de identificare a riscurilor pot include activități de
clasificare calitativă și cantitativă, prognoză și planificare strategică și luarea în
considerare a deficiențelor identificate prin audituri și alte evaluări.
Analiza riscurilor 7.05Conducerea analizează riscurile identificate pentru a estima

semnificația acestora, ceea ce oferă o bază pentru răspunsul la riscuri.
Semnificația se referă la efectul asupra atingerii unui obiectiv definit.
7.06Conducerea estimează semnificația riscurilor identificate pentru a evalua

efectul acestora asupra atingerii obiectivelor definite atât la nivel de entitate, cât
și la nivel de tranzacție. Conducerea estimează importanța unui risc luând în
considerare amploarea impactului, probabilitatea de apariție și natura riscului.
Amploarea impactului se referă la amploarea probabilă a deficienței care ar
putea rezulta din risc și este afectată de factori precum dimensiunea, ritmul și
durata impactului riscului. Probabilitatea de apariție se referă la nivelul
posibilității ca un risc să apară. Natura riscului implică factori precum gradul de
subiectivitate implicat cu riscul și dacă riscul provine din fraudă sau din cauza
complexității sau neobișnuite.
23Vezi alin. 9.02 până la 9.03 pentru discuții ulterioare despre schimbările din sistemul de control
intern.
24Vezi alin. 10.07 până la 10.11 pentru discuții suplimentare despre nivelul controalelor.

tranzacții. Organismul de supraveghere poate supraveghea estimările semnificative ale

managementului, astfel încât toleranțele la risc să fie definite în mod corespunzător.
7.07Riscurile pot fi analizate individual sau grupate în categorii cu riscuri

aferente și analizate colectiv. Indiferent dacă riscurile sunt analizate
individual sau colectiv, conducerea ia în considerare corelația dintre
diferitele riscuri sau grupuri de riscuri atunci când estimează semnificația
acestora. Metodologia specifică de analiză a riscului utilizată poate varia în
funcție de entitate din cauza diferențelor în misiunile entităților și a
dificultății de a defini calitativ și cantitativ toleranțele la risc.
Răspuns la riscuri 7.08Conducerea proiectează răspunsuri la riscurile analizate astfel încât riscurile să
se încadreze în toleranța la risc definită pentru obiectivul definit. Conducerea
proiectează răspunsuri generale la risc pentru riscurile analizate pe baza
semnificației riscului și a toleranței definite la risc. Aceste răspunsuri la risc pot
include următoarele:
• Acceptare-Nu se iau măsuri pentru a răspunde riscului pe baza

nesemnificației riscului.
• Evitare-Se iau măsuri pentru oprirea procesului operațional sau a părții
din procesul operațional care provoacă riscul.
• Reducere-Se iau măsuri pentru a reduce probabilitatea sau amploarea
riscului.
• Partajarea-Se iau măsuri pentru transferul sau împărțirea riscurilor la nivelul întregii
entități sau cu părți externe, cum ar fi asigurarea împotriva pierderilor.
7.09Pe baza răspunsului la risc selectat, managementul proiectează acțiunile

specifice pentru a răspunde riscurilor analizate. Natura și amploarea acțiunilor de
răspuns la risc depind de toleranța la risc definită. Operarea în limitele de toleranță la
risc definită oferă o mai mare asigurare că entitatea își va atinge obiectivele. Măsurile
de performanță sunt utilizate pentru a evalua dacă acțiunile de răspuns la risc permit
entității să opereze în limitele de toleranță la risc definite. Atunci când acțiunile de
răspuns la risc nu permit entității să opereze în limitele toleranțelor de risc definite,
conducerea poate fi nevoită să revizuiască răspunsurile la risc sau să reconsidere
toleranțele de risc definite. Este posibil ca conducerea să fie nevoie să efectueze
evaluări periodice ale riscurilor pentru a evalua eficacitatea acțiunilor de răspuns la
risc.

8.01Conducerea ar trebui să ia în considerare potențialul de fraudă

Principiul 8 - Evaluarea atunci când identifică, analizează și răspunde la riscuri.
riscului de fraudă
Atribute

• Tipuri de fraudă
• Factori de risc de fraudă
• Răspuns la riscurile de fraudă
Tipuri de fraudă 8.02Conducerea ia în considerare tipurile de fraudă care pot apărea în cadrul entității pentru a
oferi o bază pentru identificarea riscurilor de fraudă.25Tipurile de fraudă sunt ca
urmează:
• Raportare financiară frauduloasă-Denaturări sau omisiuni intenționate ale

sumelor sau dezvăluiri în situațiile financiare pentru a înșela utilizatorii
situațiilor financiare. Aceasta ar putea include modificarea intenționată a
înregistrărilor contabile, denaturarea tranzacțiilor sau aplicarea greșită
intenționată a principiilor contabile.
• Deturnarea bunurilor-Furtul activelor unei entități. Aceasta ar putea
include furtul de proprietate, delapidarea chitanțelor sau plăți
frauduloase.
• Corupţie-Mită și alte acte ilegale.
8.03Pe lângă fraudă, conducerea ia în considerare și alte forme de abatere care pot
apărea, cum ar fi risipa și abuzul. Deșeurile reprezintă acțiunea de a folosi sau cheltui
resursele în mod neglijent, extravagant sau fără scop. Abuzul implică un
comportament care este deficitar sau impropriu în comparație cu un comportament
pe care o persoană prudentă l-ar considera o practică operațională rezonabilă și
necesară, având în vedere faptele și circumstanțele. Aceasta include folosirea abuzivă
a autorității sau a poziției pentru câștig personal sau în beneficiul altuia. Risipirea și
abuzul nu implică neapărat fraudă sau acte ilegale.
25Frauda implică obținerea a ceva de valoare prin denaturare intenționată. Dacă un act este de fapt fraudă,
este o determinare care trebuie făcută prin intermediul sistemului judiciar sau al unui alt sistem de
adjudecare și depășește responsabilitatea profesională a conducerii pentru evaluarea riscului.

Cu toate acestea, ele pot fi un indiciu al unei potențiale fraude sau a unor acte ilegale și
pot avea totuși un impact asupra atingerii obiectivelor definite.
Factori de risc de fraudă 8.04Conducerea ia în considerare factorii de risc de fraudă. Factorii de risc de fraudă nu
indică neapărat că există fraudă, dar sunt adesea prezenți atunci când apare frauda.
Factorii de risc de fraudă includ următorii:
• Stimulent/presiune-Conducerea sau alt personal are un stimulent sau

sunt sub presiune, ceea ce oferă un motiv pentru a comite fraudă.26
• Oportunitate-Există circumstanțe, cum ar fi absența controalelor,

controale ineficiente sau capacitatea conducerii de a trece peste controale,
care oferă o oportunitate de a comite fraudă.
• Atitudine/raționalizare-Persoanele implicate sunt capabile să raționalizeze
comiterea de fraude. Unii indivizi posedă o atitudine, un caracter sau valori
etice care le permit să comită cu bună știință și intenție un act necinstit.
8.05Conducerea utilizează factorii de risc de fraudă pentru a identifica riscurile de fraudă.

Deși riscul de fraudă poate fi mai mare atunci când toți cei trei factori de risc sunt
prezenți, unul sau mai mulți dintre acești factori pot indica un risc de fraudă. Alte
informații furnizate de părți interne și externe pot fi, de asemenea, utilizate pentru a
identifica riscurile de fraudă. Acestea pot include acuzații de fraudă sau suspecte de
fraudă raportate de biroul inspectorului general sau de auditorii interni, personalul sau
părțile externe care interacționează cu entitatea.
Răspuns la riscurile de fraudă 8.06Conducerea analizează și răspunde la riscurile de fraudă identificate, astfel încât
acestea să fie atenuate în mod eficient. Riscurile de fraudă sunt analizate prin același
proces de analiză a riscurilor efectuat pentru toate riscurile identificate.27Conducerea
analizează riscurile de fraudă identificate prin estimarea semnificației acestora, atât
individual, cât și agregat, pentru a evalua efectul acestora asupra atingerii obiectivelor
definite. Ca parte a analizei riscului de fraudă, conducerea evaluează, de asemenea,
riscul ca managementul să anuleze controalele.28Supravegherea
26Vezi alin. 5.07 până la 5.08 pentru discuții suplimentare despre presiune.
27Vezi alin. 7.05 până la 7.07 pentru discuții suplimentare despre analiza riscurilor.
28Vezi alin. 10.13 pentru discuții suplimentare despre anularea managementului.

organismul supraveghează evaluările conducerii cu privire la riscul de fraudă și riscul de

anulare de către conducere a controalelor, astfel încât acestea să fie adecvate.
8.07Conducerea răspunde la riscurile de fraudă prin același proces de

răspuns la risc realizat pentru toate riscurile analizate.29management
proiectează un răspuns global la risc și acțiuni specifice pentru a răspunde la riscurile de
fraudă. Este posibil să se reducă sau să se elimine anumite riscuri de fraudă prin
modificarea activităților și proceselor entității. Aceste schimbări pot include oprirea sau
reorganizarea anumitor operațiuni și realocarea rolurilor în rândul personalului pentru a
îmbunătăți segregarea sarcinilor. Pe lângă răspunsul la riscurile de fraudă,
managementul poate fi nevoit să dezvolte răspunsuri suplimentare pentru a aborda riscul
de anulare de către conducere a controalelor. În plus, atunci când a fost detectată fraudă,
procesul de evaluare a riscurilor poate fi necesar să fie revizuit.
9.01Conducerea trebuie să identifice, să analizeze și să răspundă la schimbările

Principiul 9 - semnificative care ar putea avea impact asupra sistemului de control intern.
Identificați, analizați și
Atribute
Răspunde la schimbare
• Identificarea Schimbării
• Analiza și răspunsul la schimbare
Identificarea Schimbării 9.02Ca parte a evaluării riscurilor sau a unui proces similar, conducerea identifică
schimbări care ar putea avea un impact semnificativ asupra sistemului de control intern al
entității. Identificarea, analizarea și răspunsul la schimbare este similară, dacă nu face
parte din procesul obișnuit de evaluare a riscului al entității. Cu toate acestea, schimbarea
este discutată separat, deoarece este esențială pentru un sistem de control intern eficient
și poate fi adesea trecută cu vederea sau abordată inadecvat în cursul normal al
operațiunilor.
9.03Condițiile care afectează entitatea și mediul acesteia se schimbă continuu.

Managementul poate anticipa și planifica schimbări semnificative utilizând un
proces de perspectivă pentru identificarea schimbărilor. management
29Vezi alin. 7.08 până la 7.09 pentru discuții suplimentare despre răspunsul la riscuri.

identifică, în timp util, schimbări semnificative ale condițiilor interne și externe care
au avut loc deja sau se preconizează că vor avea loc. Modificările în condițiile interne
includ modificări ale programelor sau activităților entității, structurii de
supraveghere, structurii organizaționale, personalului și tehnologiei. Schimbările în
condițiile externe includ schimbări în mediile guvernamentale, economice,
tehnologice, juridice, de reglementare și fizice. Modificările semnificative identificate
sunt comunicate la nivelul întregii entități prin intermediul liniilor de raportare
stabilite personalului corespunzător.30
Analiza și răspunsul la 9.04Ca parte a evaluării riscurilor sau a unui proces similar, managementul
schimbare analizează și răspunde la schimbările identificate și riscurile aferente pentru a
menține un sistem de control intern eficient. Schimbările în condițiile care afectează
entitatea și mediul acesteia necesită adesea modificări ale sistemului de control
intern al entității, deoarece controalele existente pot să nu fie eficiente pentru
îndeplinirea obiectivelor sau abordarea riscurilor în condiții modificate. Conducerea
analizează efectul modificărilor identificate asupra sistemului de control intern și
răspunde prin revizuirea sistemului de control intern în timp util, atunci când este
necesar, pentru a-și menține eficiența.
9.05În plus, condițiile în schimbare generează adesea noi riscuri sau modificări ale
riscurilor existente care trebuie evaluate. Ca parte a analizei și a răspunsului la
schimbări, managementul realizează o evaluare a riscurilor pentru a identifica,
analiza și răspunde oricăror noi riscuri determinate de schimbări. În plus, riscurile
existente pot necesita o evaluare suplimentară pentru a determina dacă toleranțele
de risc definite și răspunsurile la risc trebuie revizuite.
30Vezi alin. 14.02 până la 14.06 pentru discuții suplimentare despre liniile de raportare interne.

Activitatea de control Cos
Activități de control
Activitățile de control sunt acțiunile pe care conducerea le stabilește prin politici

și proceduri pentru a atinge obiectivele și a răspunde la riscuri în sistemul de
control intern, care include sistemul informațional al entității.
Principii
10. Conducerea ar trebui să proiecteze activități de control pentru a atinge obiectivele și a

răspunde la riscuri.
11. Conducerea trebuie să proiecteze sistemul informațional al entității și

activitățile de control aferente pentru a atinge obiectivele și a răspunde la riscuri.
12. Conducerea ar trebui să implementeze activități de control prin politici.

10.01Conducerea ar trebui să proiecteze activități de control pentru a atinge obiectivele

Principiul 10 - Activități de și a răspunde la riscuri.
control al proiectării
Atribute

• Răspuns la obiective și riscuri

• Proiectarea tipurilor adecvate de activități de control
• Proiectarea activităților de control la diferite niveluri
• Separarea atribuțiilor
Răspuns la obiective 10.02Conducerea proiectează activitățile de control ca răspuns la obiectivele și

și Riscuri riscurile entității pentru a realiza un sistem eficient de control intern. Activitățile de
control sunt politicile, procedurile, tehnicile și mecanismele care pun în aplicare
directivele conducerii pentru a atinge obiectivele entității și pentru a aborda riscurile
aferente. Ca parte a componentei mediului de control, conducerea definește
responsabilitățile, le atribuie unor roluri cheie și delegă autoritatea pentru a atinge
obiectivele entității. Ca parte a componentei de evaluare a riscurilor, conducerea
identifică riscurile legate de entitate și obiectivele acesteia, inclusiv organizațiile sale
de servicii; toleranța la risc a entității; și răspunsuri la risc. Managementul
proiectează activități de control pentru a îndeplini responsabilitățile definite și pentru
a aborda răspunsurile la riscuri identificate.
Proiectarea adecvată 10.03Conducerea proiectează tipuri adecvate de activități de control pentru sistemul de
Tipuri de activități de control control intern al entității. Activitățile de control ajută managementul să își îndeplinească
responsabilitățile și să abordeze răspunsurile la risc identificate în sistemul de control
intern. Categoriile comune de activități de control enumerate în figura 6 sunt menite
doar să ilustreze gama și varietatea activităților de control care pot fi utile
managementului. Lista nu este completă și este posibil să nu includă anumite activități
de control de care ar putea avea nevoie o entitate.

Figura 6: Exemple de categorii comune de activități de control
Recenzii de nivel superior ale performanței reale
Conducerea urmărește realizările majore ale entității și le compară cu

planurile, scopurile și obiectivele stabilite de entitate.
Evaluări de către conducere la nivel funcțional sau de activitate
Managementul compară performanța reală cu rezultatele planificate sau

așteptate în cadrul organizației și analizează diferențele semnificative.
Managementul capitalului uman
Gestionarea eficientă a forței de muncă a unei entități, a capitalului uman al

acesteia, este esențială pentru obținerea rezultatelor și o parte importantă a
controlului intern. Numai atunci când personalul potrivit pentru post este la bord și i
se oferă instruirea, instrumentele, structura, stimulentele și responsabilitățile
potrivite este posibil succesul operațional. Managementul evaluează continuu
nevoile de cunoștințe, abilități și abilități ale entității, astfel încât entitatea să fie
capabilă să obțină o forță de muncă care are cunoștințele, abilitățile și abilitățile
necesare pentru a atinge obiectivele organizaționale. Instruirea are ca scop
dezvoltarea și păstrarea cunoștințelor, abilităților și abilităților angajaților pentru a
răspunde nevoilor organizaționale în schimbare. Conducerea asigură o
supraveghere calificată și continuă, astfel încât obiectivele de control intern să fie
atinse. Managementul proiectează un sistem de evaluare a performanței și
feedback, completat de un sistem eficient de recompense, pentru a ajuta angajații
să înțeleagă legătura dintre performanța lor și succesul entității. Ca parte

În planificarea capitalului uman, managementul ia în considerare, de asemenea, cum să

rețină angajații valoroși, să planifice eventuala plecare a acestora și să mențină o
continuitate a abilităților și abilităților necesare.
Controale asupra procesării informațiilor
O varietate de activități de control sunt utilizate în procesarea informațiilor.

Exemplele includ verificări de editare a datelor introduse; contabilizarea tranzacțiilor
în secvențe numerice; compararea totalurilor de fișiere cu conturile de control; și
controlul accesului la date, fișiere și programe.31
Controlul fizic asupra activelor vulnerabile
Conducerea stabilește controlul fizic pentru a securiza și proteja activele vulnerabile.

Exemplele includ securitatea și accesul limitat la active, cum ar fi numerar, valori
mobiliare, stocuri și echipamente care ar putea fi vulnerabile la riscul de pierdere
sau de utilizare neautorizată. Conducerea numără și compară periodic astfel de
active cu înregistrările de control.
Stabilirea și revizuirea măsurilor și indicatorilor de performanță
Conducerea stabilește activități pentru monitorizarea măsurilor și indicatorilor de

performanță. Acestea pot include comparații și evaluări care relaționează diferite
seturi de date între ele, astfel încât să se poată face analize ale relațiilor și să se
poată lua măsuri adecvate. Conducerea proiectează controale menite să valideze
corectitudinea și integritatea măsurilor și indicatorilor de performanță atât a
entității, cât și a celor individuali.
Separarea atribuțiilor
Conducerea împarte sau separă sarcinile și responsabilitățile cheie între diferite persoane
pentru a reduce riscul de eroare, abuz sau fraudă. Aceasta include separarea
responsabilităților pentru autorizarea tranzacțiilor, procesarea și înregistrarea acestora,
revizuirea tranzacțiilor și gestionarea oricăror active aferente, astfel încât nimeni să nu
controleze toate aspectele cheie ale unei tranzacții sau ale unui eveniment.
31Vezialin. 11.02 până la 11.17 pentru discuții suplimentare despre controalele asupra procesării
informațiilor.

Executarea corectă a tranzacțiilor
Tranzacțiile sunt autorizate și executate numai de persoane care acționează în

sfera de competență a acestora. Acesta este principalul mijloc de a se asigura
că sunt inițiate sau încheiate numai tranzacții valide de schimb, transfer,
utilizare sau angajare. Conducerea comunică în mod clar autorizațiile
personalului.
Înregistrarea corectă și la timp a tranzacțiilor
Tranzacțiile sunt înregistrate prompt pentru a-și menține relevanța și valoarea

pentru conducere în controlul operațiunilor și luarea deciziilor. Acest lucru se aplică
întregului proces sau ciclului de viață al unei tranzacții sau eveniment, de la inițierea
și autorizarea acestuia până la clasificarea sa finală în înregistrările rezumative. În
plus, conducerea proiectează activitățile de control astfel încât toate tranzacțiile să
fie înregistrate complet și corect.
Restricții de acces și responsabilitate pentru resurse și înregistrări
Managementul limitează accesul la resurse și înregistrări persoanelor autorizate și

atribuie și menține responsabilitatea pentru custodia și utilizarea acestora. Conducerea
poate compara periodic resursele cu responsabilitatea înregistrată pentru a ajuta la
reducerea riscului de erori, fraudă, utilizare necorespunzătoare sau modificări
neautorizate.
Documentația corespunzătoare a tranzacțiilor și controlul intern
Conducerea documentează în mod clar controlul intern și toate tranzacțiile și alte

evenimente semnificative într-un mod care să permită ca documentația să fie ușor
disponibilă pentru examinare. Documentația poate apărea în directive de
management, politici administrative sau manuale de operare, fie în formă de
hârtie, fie în formă electronică. Documentația și înregistrările sunt gestionate și
menținute corespunzător.
Controlul intern al unei entități este flexibil pentru a permite conducerii să adapteze
activitățile de control pentru a satisface nevoile speciale ale entității. Activitățile de control
specifice utilizate de o entitate dată pot fi diferite de cele utilizate de alții, pe baza unui
număr de factori. Acești factori ar putea include amenințări specifice cu care se confruntă
entitatea și riscurile pe care le suportă; diferențe de obiective; judecata manageriala;
dimensiunea și complexitatea entității; mediul operațional; sensibilitatea și valoarea
datelor; și cerințele pentru fiabilitatea, disponibilitatea și performanța sistemului.

10.04Activitățile de control pot fi fie preventive, fie detective. Principala diferență

între activitățile de control preventiv și detectiv este momentul în care se desfășoară
o activitate de control în cadrul operațiunilor unei entități. O activitate de control
preventiv împiedică o entitate să nu atingă un obiectiv sau să abordeze un risc. O
activitate de control detectiv descoperă când o entitate nu atinge un obiectiv sau nu
abordează un risc înainte ca operațiunea entității să se fi încheiat și corectează
acțiunile astfel încât entitatea să atingă obiectivul sau să abordeze riscul.
10.05Conducerea evaluează scopul activității de control, precum și efectul pe

care o deficiență l-ar avea asupra entității în atingerea obiectivelor sale. Dacă
activitatea de control are un scop semnificativ sau impactul unei deficiențe ar fi
semnificativ pentru atingerea obiectivelor entității, conducerea poate proiecta
atât activități de control preventiv, cât și de detectiv.
10.06Activitățile de control pot fi implementate fie într-un mod automat, fie manual.
Activitățile de control automatizat sunt fie total, fie parțial automatizate prin
tehnologia informației entității. Activitățile de control manual sunt efectuate de
persoane cu utilizare minoră a tehnologiei informaționale a entității. Activitățile de
control automate tind să fie mai fiabile, deoarece sunt mai puțin susceptibile la
erorile umane și sunt de obicei mai eficiente.32Dacă entitatea se bazează pe
tehnologia informației în operațiunile sale, conducerea proiectează activitățile de
control astfel încât tehnologia informației să continue să funcționeze corespunzător.
Proiectarea activităților de control 10.07Managementul proiectează activitățile de control la nivelurile adecvate din
la diferite niveluri structura organizațională.
10.08Conducerea proiectează activități de control pentru acoperirea adecvată a

obiectivelor și riscurilor din operațiuni. Procesele operaționale transformă intrările în
ieșiri pentru a atinge obiectivele organizației. Conducerea proiectează activități de
control la nivel de entitate, activități de control al tranzacțiilor sau ambele, în funcție
de nivelul de precizie necesar, astfel încât entitatea să își îndeplinească obiectivele și
să abordeze riscurile aferente.
32Vezi alin. 11.06 până la 11.08 pentru discuții suplimentare despre activitățile de control al sistemului
informațional.

10.09Controalele la nivel de entitate sunt controale care au un efect general asupra

sistemului de control intern al unei entități și pot viza mai multe componente.
Controalele la nivel de entitate pot include controale legate de procesul de evaluare
a riscului al entității, mediul de control, organizațiile de servicii, anularea
managementului și monitorizarea.
10.10Activitățile de control al tranzacțiilor sunt acțiuni integrate direct în

procesele operaționale pentru a sprijini entitatea în atingerea obiectivelor sale și
în abordarea riscurilor aferente. „Tranzacțiile” tind să fie asociate cu procese
financiare (de exemplu, tranzacții cu datorii), în timp ce „activitățile” se aplică mai
general proceselor operaționale sau de conformitate. În sensul acestui standard,
„tranzacții” acoperă ambele definiții. Conducerea poate proiecta o varietate de
activități de control al tranzacțiilor pentru procesele operaționale, care pot
include verificări, reconcilieri, autorizații și aprobări, activități de control fizic și
activități de control de supraveghere.
10.11Atunci când alege între activitățile de control la nivel de entitate și cele de control al
tranzacțiilor, conducerea evaluează nivelul de precizie necesar proceselor operaționale
pentru a îndeplini obiectivele entității și pentru a aborda riscurile aferente. În
determinarea nivelului de precizie necesar pentru o activitate de control, conducerea
evaluează următoarele:
• Scopul activității de control-O activitate de control care funcționează pentru a

preveni sau detecta în general este mai precisă decât o activitate de control
care doar identifică și explică diferențele.
• Nivelul de agregare-O activitate de control care este efectuată la un nivel mai
granular este în general mai precisă decât una efectuată la un nivel superior. De
exemplu, o analiză a obligațiilor pe clase de obiect bugetar este în mod normal
mai precisă decât o analiză a obligațiilor totale pentru entitate.
• Consecvența performanței-O activitate de control care este efectuată în

mod obișnuit și consecvent în general este mai precisă decât una
efectuată sporadic.
• Corelarea cu procesele operaționale relevante-O activitate de control care este
direct legată de un proces operațional este, în general, mai probabil să prevină sau
să detecteze decât o activitate de control care este legată doar indirect.
Separarea atribuțiilor 10.12Conducerea ia în considerare separarea sarcinilor în proiectarea

responsabilităților activității de control, astfel încât sarcinile incompatibile să fie
separate și, acolo unde o astfel de segregare nu este practică, proiectează activități de
control alternative pentru a aborda riscul.

10.13Separarea sarcinilor ajută la prevenirea fraudei, risipei și abuzurilor în sistemul

de control intern.33Conducerea ia în considerare necesitatea separării
activități de control legate de autoritatea, custodia și contabilitatea operațiunilor
pentru a realiza o segregare adecvată a sarcinilor. În special, separarea sarcinilor
poate aborda riscul de anulare a managementului. Anularea managementului
eludează activitățile de control existente și crește riscul de fraudă. Conducerea
abordează acest risc prin segregarea sarcinilor, dar nu îl poate preveni absolut din
cauza riscului de coluziune, în care doi sau mai mulți angajați acționează împreună
pentru a comite fraude.
10.14Dacă separarea sarcinilor nu este practică în cadrul unui proces operațional din
cauza personalului limitat sau a altor factori, conducerea proiectează activități de
control alternative pentru a aborda riscul de fraudă, risipă sau abuz în procesul
operațional.
11.01Conducerea trebuie să proiecteze sistemul informațional al entității și

Principiul 11 - Activități de activitățile de control aferente pentru a atinge obiectivele și a răspunde la riscuri.
proiectare pentru
Atribute
Sistem informatic
• Proiectarea Sistemului Informaţional al Entităţii

• Proiectarea tipurilor adecvate de activități de control
• Proiectarea infrastructurii tehnologiei informației
• Proiectarea managementului securității
• Proiectarea de achiziție, dezvoltare și întreținere a tehnologiei
informației
Proiectarea Sistemului 11.02Conducerea proiectează sistemul informațional al entității pentru a răspunde

Informaţional al Entităţii obiectivelor și riscurilor entității.
11.03Conducerea proiectează sistemul informațional al entității pentru a obține și

prelucra informații pentru a îndeplini cerințele de informații ale fiecărui proces
operațional și pentru a răspunde obiectivelor și riscurilor entității. Un sistem
informatic este oamenii, procesele, datele și tehnologia care
33Vezi alin. 8.02 până la 8.03 pentru discuții suplimentare despre fraudă, risipă și abuz.

managementul se organizează pentru a obține, comunica sau dispune de informații.

Un sistem informațional reprezintă ciclul de viață al informațiilor utilizate pentru
procesele operaționale ale entității care îi permite entității să obțină, să stocheze și
să proceseze informații de calitate.34Un sistem de informare include atât procese de
informare manuale, cât și procese bazate pe tehnologie. Procesele informaționale
bazate pe tehnologie sunt denumite în mod obișnuit tehnologie informațională. Ca
parte a componentei mediului de control, conducerea definește responsabilitățile, le
atribuie unor roluri cheie și delegă autoritatea pentru a atinge obiectivele entității.
Ca parte a componentei de evaluare a riscurilor, conducerea identifică riscurile
legate de entitate și obiectivele acesteia, inclusiv organizațiile sale de servicii;
toleranța la risc a entității; și răspunsuri la risc. Conducerea proiectează activități de
control pentru a îndeplini responsabilitățile definite și pentru a aborda răspunsurile
la risc identificate pentru sistemul informațional al entității.
11.04Conducerea proiectează sistemul informațional al entității și utilizarea

tehnologiei informației luând în considerare cerințele de informații definite
pentru fiecare dintre procesele operaționale ale entității.35Tehnologia informației
permite informațiilor legate de procesele operaționale să devină disponibile
entității în timp util. În plus, tehnologia informației poate îmbunătăți controlul
intern asupra securității și confidențialității informațiilor prin restricționarea
adecvată a accesului. Deși tehnologia informației implică tipuri specifice de
activități de control, tehnologia informației nu este o considerație de control
„autonomă”. Este o parte integrantă a majorității activităților de control.
11.05De asemenea, managementul evaluează obiectivele de procesare a

informațiilor pentru a îndeplini cerințele de informații definite. Obiectivele
procesării informațiilor pot include următoarele:
• Completitudine-Tranzacțiile care au loc sunt înregistrate și nu

subestimate.
• Precizie-Tranzacțiile sunt înregistrate la suma corectă în contul
potrivit (și în timp util) la fiecare etapă de procesare.
34Vezi alin. 13.02 - 13.06 pentru discuții suplimentare despre utilizarea informațiilor de calitate.
35Vezi alin. 13.02 până la 13.04 pentru discuții suplimentare despre cerințele de
informații definite.

• Valabilitate-Tranzacțiile înregistrate reprezintă evenimente economice

care au avut loc efectiv și au fost executate conform procedurilor prescrise.
Proiectarea adecvată 11.06Conducerea proiectează tipuri adecvate de activități de control în sistemul

Tipuri de activități de control informațional al entității pentru acoperirea obiectivelor de prelucrare a
informațiilor pentru procesele operaționale. Pentru sistemele informatice, există
două tipuri principale de activități de control: activități de control general și
aplicații.
11.07Controalele generale ale sistemului informațional (la nivel de entitate, sistem și

aplicație) sunt politicile și procedurile care se aplică tuturor sau unui segment mare
al sistemelor informaționale ale unei entități. Controalele generale facilitează
funcționarea corectă a sistemelor informaționale prin crearea mediului pentru
funcționarea corectă a controalelor aplicațiilor. Controalele generale includ
managementul securității, accesul logic și fizic, managementul configurației,
segregarea sarcinilor și planificarea pentru situații de urgență.
11.08Controalele aplicațiilor, uneori denumite controale ale proceselor de afaceri,

sunt acele controale care sunt încorporate direct în aplicațiile computerizate
pentru a obține validitatea, completitudinea, acuratețea și confidențialitatea
tranzacțiilor și a datelor în timpul procesării aplicației. Controalele aplicației includ
controale privind intrarea, procesarea, ieșirea, fișierul principal, interfața și
controalele sistemului de gestionare a datelor.
Proiectarea informațiilor 11.09Managementul proiectează activități de control asupra infrastructurii

Infrastructura Tehnologică tehnologiei informației pentru a sprijini integralitatea, acuratețea și validitatea
procesării informațiilor de către tehnologia informației. Tehnologia informației
necesită o infrastructură în care să funcționeze, inclusiv rețele de comunicații
pentru conectarea tehnologiilor informaționale, resurse de calcul pentru ca
aplicațiile să funcționeze și electricitate pentru a alimenta tehnologia informației.
Infrastructura tehnologiei informației a unei entități poate fi complexă. Acesta
poate fi partajat de diferite unități din cadrul entității sau poate fi externalizat fie
către organizații de servicii, fie către servicii tehnologice independente de locație.
Conducerea evaluează obiectivele entității și riscurile aferente în proiectarea
activităților de control pentru infrastructura tehnologiei informației.
11.10Conducerea continuă să evalueze schimbările în utilizarea tehnologiei

informației și proiectează noi activități de control atunci când aceste
modificări sunt încorporate în tehnologia informației entității.

infrastructură. De asemenea, managementul proiectează activități de control necesare

pentru menținerea infrastructurii tehnologiei informației. Întreținerea tehnologiei include
adesea proceduri de backup și recuperare, precum și continuitatea planurilor de
operațiuni, în funcție de riscurile și consecințele unei întreruperi complete sau parțiale ale
sistemelor de alimentare.
Design de securitate 11.11Conducerea proiectează activități de control pentru managementul securității

management sistemului informațional al entității pentru accesul corespunzător din partea surselor
interne și externe pentru a proteja sistemul informațional al entității. Obiectivele
managementului securității includ confidențialitatea, integritatea și disponibilitatea.
Confidențialitatea înseamnă că datele, rapoartele și alte rezultate sunt protejate
împotriva accesului neautorizat. Integritatea înseamnă că informațiile sunt protejate
împotriva modificărilor sau distrugerii necorespunzătoare, ceea ce include asigurarea
nerepudierii și a autenticității informațiilor. Disponibilitatea înseamnă că datele,
rapoartele și alte informații relevante sunt disponibile cu ușurință pentru utilizatori
atunci când este necesar.
11.12Managementul securității include procesele informaționale și activitățile de

control legate de drepturile de acces în tehnologia informației unei entități, inclusiv
cine are capacitatea de a executa tranzacții. Managementul securității include
drepturi de acces la diferite niveluri de date, sistem de operare (software de sistem),
rețea, aplicație și straturi fizice. Managementul proiectează activități de control
asupra accesului pentru a proteja o entitate împotriva accesului neadecvat și a
utilizării neautorizate a sistemului. Aceste activități de control sprijină o segregare
adecvată a sarcinilor. Prin prevenirea utilizării neautorizate și a modificărilor
sistemului, integritatea datelor și a programului sunt protejate de intenții rău
intenționate (de exemplu, cineva care intră în tehnologie pentru a comite fraudă,
vandalism sau terorism) sau eroare.
11.13Managementul evaluează amenințările de securitate la adresa tehnologiei

informației, care pot proveni atât din surse interne, cât și din surse externe.
Amenințările externe sunt deosebit de importante pentru entitățile care depind de
rețelele de telecomunicații și de internet. Amenințările externe au devenit
predominante în mediile de afaceri extrem de interconectate de astăzi și este
necesar un efort continuu pentru a aborda aceste riscuri. Amenințările interne pot
veni de la foștii angajați sau nemulțumiți. Acestea prezintă riscuri unice, deoarece
pot fi atât motivați să lucreze împotriva entității, cât și mai bine echipați pentru a
reuși să efectueze un act rău intenționat, deoarece au acces și cunoaștere mai bune
la sistemele și procesele de management al securității entității.

11.14Managementul proiectează activități de control pentru a limita accesul utilizatorilor

la tehnologia informației prin activități de control al autorizației, cum ar fi furnizarea unei
identificări unice de utilizator sau a unui simbol pentru utilizatorii autorizați. Aceste
activități de control pot restricționa utilizatorii autorizați la aplicații sau funcții
proporționale cu responsabilitățile care le sunt atribuite, susținând o separare adecvată a
sarcinilor. Conducerea proiectează alte activități de control pentru a actualiza prompt
drepturile de acces atunci când angajații își schimbă funcțiile de muncă sau părăsesc
entitatea. Managementul proiectează, de asemenea, activități de control pentru
drepturile de acces atunci când diferite elemente de tehnologie a informației sunt
conectate între ele.
Proiectarea informațiilor 11.15Managementul proiectează activități de control asupra achiziției, dezvoltării și

Achiziția, dezvoltarea întreținerii tehnologiei informației. Managementul poate utiliza un cadru ciclului de
viață al dezvoltării sistemelor (SDLC) în proiectarea activităților de control. Un SDLC
tehnologiei și
oferă o structură pentru o nouă proiectare a tehnologiei informației, subliniind faze
întreținere specifice și documentând cerințele, aprobările și punctele de control în cadrul
activităților de control asupra achiziției, dezvoltării și întreținerii tehnologiei. Printr-
un SDLC, managementul proiectează activități de control asupra schimbărilor aduse
tehnologiei. Acest lucru poate implica solicitarea de autorizare a cererilor de
modificare; revizuirea modificărilor, aprobărilor și rezultatelor testării; și proiectarea
protocoalelor pentru a determina dacă modificările sunt făcute corect. În funcție de
dimensiunea și complexitatea entității, dezvoltarea tehnologiei informației și
modificările aduse tehnologiei informației pot fi incluse într-un singur SDLC sau două
metodologii separate. Managementul evaluează obiectivele și riscurile noii tehnologii
în proiectarea activităților de control asupra SDLC-ului său.
11.16Managementul poate achiziționa tehnologia informației prin pachete de

software de la furnizori. Managementul încorporează metodologii pentru
achiziționarea pachetelor de furnizori în dezvoltarea tehnologiei informației și
proiectează activități de control asupra selecției, dezvoltării continue și
întreținerii acestora. Activitățile de control pentru dezvoltarea, întreținerea și
schimbarea aplicațiilor software împiedică programele neautorizate sau
modificările la programele existente.
11.17O altă alternativă este externalizarea dezvoltării tehnologiei informației către

organizațiile de servicii. În ceea ce privește un SDLC dezvoltat intern, managementul
proiectează activități de control pentru a îndeplini obiectivele și a aborda riscurile
aferente. Managementul evaluează, de asemenea, riscurile unice pe care le prezintă
utilizarea unei organizații de servicii pentru caracterul complet, acuratețea și
validitatea informațiilor transmise și primite de la organizația de servicii.

12.01Conducerea ar trebui să implementeze activități de control prin politici.

Principiul 12 -
Controlul implementării Atribute
Activități Următoarele atribute contribuie la proiectarea, implementarea și
• Documentarea responsabilităților prin Politici

• Revizuirea periodică a activităților de control
Documentarea de 12.02Managementul documentează în politici responsabilitățile de

Responsabilități prin control intern ale organizației.
Politici
12.03Managementul documentează în politici pentru fiecare unitate responsabilitatea sa
pentru obiectivele unui proces operațional și riscurile aferente, precum și proiectarea
activității de control, implementarea și eficacitatea operațională.36Fiecare unitate, cu
îndrumarea conducerii, determină politicile necesare pentru operarea procesului pe baza
obiectivelor și riscurilor aferente procesului operațional. De asemenea, fiecare unitate
documentează politicile la nivelul adecvat de detaliu pentru a permite conducerii să
monitorizeze eficient activitatea de control.
12.04Cei cu roluri cheie pentru unitate pot defini în continuare politici prin
proceduri de zi cu zi, în funcție de rata de schimbare a mediului de operare și
de complexitatea procesului operațional. Procedurile pot include momentul
în care are loc o activitate de control și orice acțiuni corective ulterioare care
trebuie efectuate de personalul competent dacă sunt identificate deficiențe.
37Conducerea comunică personalului politicile și
proceduri astfel încât personalul să poată implementa activitățile de control pentru

responsabilitățile care le sunt atribuite.
Revizuirea periodică a activităților 12.05Conducerea revizuiește periodic politicile, procedurile și activitățile de control
de control aferente pentru relevanța și eficacitatea continuă în atingerea obiectivelor entității
sau abordarea riscurilor aferente. Dacă există o schimbare semnificativă în procesul
unei entități, conducerea revizuiește acest proces în a
36Vezi alin. 3.02 până la 3.05 pentru discuții suplimentare despre unități.
37Vezi alin. 17.06 pentru discuții suplimentare despre acțiunile corective.

în timp util după modificare pentru a determina dacă activitățile de control sunt
concepute și implementate în mod corespunzător. Pot apărea schimbări în personal,
procese operaționale sau tehnologia informației. Regulatoare; legiuitorii; iar în
mediul federal, Biroul de Management și Buget și Departamentul de Trezorerie pot,
de asemenea, schimba fie obiectivele unei entități, fie modul în care o entitate
trebuie să atingă un obiectiv. Conducerea ia în considerare aceste modificări în
revizuirea sa periodică.

ication
Informare și comun
Informatie si comunicare
Managementul folosește informații de calitate pentru a sprijini sistemul de control

intern. Informarea și comunicarea eficientă sunt vitale pentru ca o entitate să își
atingă obiectivele. Managementul entității are nevoie de acces la o comunicare
relevantă și de încredere legată de evenimente interne și externe.
Principii
13. Conducerea trebuie să utilizeze informații de calitate pentru a atinge obiectivele

entității.
14. Conducerea trebuie să comunice intern informațiile de calitate

necesare pentru atingerea obiectivelor entității.
15. Conducerea trebuie să comunice extern informațiile de calitate


13.01Conducerea trebuie să utilizeze informații de calitate pentru a atinge obiectivele

Principiul 13 - Utilizați entității.
informații de calitate
Atribute

• Identificarea cerințelor de informații

• Date relevante din surse de încredere
• Datele procesate în informații de calitate
Identificarea 13.02Conducerea proiectează un proces care utilizează obiectivele entității și

Cerințe de informații riscurile aferente pentru a identifica cerințele de informații necesare pentru
atingerea obiectivelor și abordarea riscurilor. Cerințele de informare iau în
considerare așteptările utilizatorilor interni și externi. Managementul
definește cerințele de informații identificate la nivelul relevant și specificitatea
necesară pentru personalul adecvat.
13.03Conducerea identifică cerințele de informații într-un proces iterativ și continuu care

are loc în cadrul unui sistem eficient de control intern. Pe măsură ce se produce
schimbarea entității și a obiectivelor și riscurilor acesteia, conducerea modifică cerințele
de informații după cum este necesar pentru a îndeplini aceste obiective modificate și
pentru a aborda aceste riscuri modificate.
Date relevante de la 13.04Conducerea obține date relevante din surse interne și externe de încredere
Surse sigure în timp util, pe baza cerințelor de informații identificate. Datele relevante au o
legătură logică cu cerinţele de informare identificate sau au legătură cu acestea.
Surse interne și externe de încredere furnizează date care sunt în mod rezonabil
lipsite de erori și părtiniri și reprezintă cu fidelitate ceea ce pretind să reprezinte.
Managementul evaluează atât sursele interne cât și externe de date pentru
fiabilitate.
Sursele de date pot fi operaționale, financiare sau legate de conformitate. Conducerea
obține date în timp util, astfel încât acestea să poată fi utilizate pentru o monitorizare
eficientă.
Datele prelucrate în 13.05Managementul procesează datele obținute în informații de calitate care

Informații de calitate susțin sistemul de control intern. Aceasta implică prelucrarea datelor în
informații și apoi evaluarea informațiilor procesate astfel încât să fie informații
de calitate. Informațiile de calitate îndeplinesc informațiile identificate

cerințele atunci când sunt utilizate date relevante din surse de încredere.
Informațiile de calitate sunt adecvate, actuale, complete, exacte, accesibile și
furnizate în timp util. Conducerea ia în considerare aceste caracteristici precum
și obiectivele procesării informațiilor în evaluarea informațiilor prelucrate și face
revizuiri atunci când este necesar, astfel încât informația să fie de calitate.38
Conducerea folosește informațiile de calitate pentru a lua decizii în cunoștință de
cauză și pentru a evalua performanța entității în atingerea obiectivelor cheie și
abordarea riscurilor.
13.06Managementul procesează datele relevante din surse de încredere în

informații de calitate în cadrul sistemului informațional al entității. Un sistem
informatic este oamenii, procesele, datele și tehnologia pe care managementul le
organizează pentru a obține, comunica sau dispune de informații.39
14.01Conducerea trebuie să comunice intern informațiile de calitate

Principiul 14 - necesare pentru atingerea obiectivelor entității.
Comunica
Atribute
Intern
• Comunicarea in intreaga entitate

• Metode adecvate de comunicare
Comunicare 14.02Conducerea comunică informații de calitate în întreaga entitate folosind

în întreaga Entitate linii de raportare stabilite. Informațiile de calitate sunt comunicate în jos,
peste, sus și în jurul liniilor de raportare la toate nivelurile entității.
14.03Conducerea comunică informații de calitate în jos și peste liniile de raportare

pentru a permite personalului să îndeplinească roluri cheie în atingerea
obiectivelor, abordarea riscurilor și sprijinirea sistemului de control intern. În
aceste comunicări, conducerea atribuie responsabilitățile de control intern pentru
rolurile cheie.
38Vezialin. 11.02 - 11.05 pentru discuții suplimentare despre obiectivele de prelucrare a

informațiilor.
39Vezi alin. 11.02 până la 11.05 pentru discuții suplimentare despre sistemele informaționale.

14.04Conducerea primește informații de calitate despre procesele operaționale

ale entității, care curg pe liniile de raportare de la personal pentru a ajuta
conducerea să atingă obiectivele entității.
14.05Organismul de supraveghere primește informații de calitate care curg în liniile

de raportare de la conducere și personal. Informațiile referitoare la controlul intern
comunicate organului de supraveghere includ chestiuni semnificative referitoare la
respectarea, modificările sau problemele care decurg din sistemul de control
intern. Această comunicare ascendentă este necesară pentru supravegherea
eficientă a controlului intern.
14.06Personalul folosește linii de raportare separate pentru a ocoli liniile de raportare

ascendente atunci când aceste linii sunt compromise. Legile și reglementările pot impune
entităților să stabilească linii de comunicare separate, cum ar fi liniile telefonice pentru
avertizori și etica, pentru comunicarea informațiilor confidențiale. Conducerea informează
angajații cu privire la aceste linii de raportare separate, modul în care funcționează, cum
urmează să fie utilizate și cum informațiile vor rămâne confidențiale.
Metode adecvate de 14.07Conducerea selectează metode adecvate pentru a comunica intern.

Comunicare Managementul ia în considerare o varietate de factori în selectarea unei metode
adecvate de comunicare. Urmează câțiva factori de luat în considerare:
• Public-Destinatarii vizați ai comunicării

• Natura informației-Scopul și tipul de informații care sunt
comunicate
• Disponibilitate-Informații disponibile publicului atunci când este
nevoie
• Cost-Resursele folosite pentru a comunica informația
• Cerințe legale sau de reglementare-Cerințe din legi și
reglementări care pot afecta comunicarea
14.08Pe baza luării în considerare a factorilor, conducerea selectează metode

adecvate de comunicare, cum ar fi un document scris – în format hârtie sau în
format electronic – sau o întâlnire față în față. Conducerea evaluează periodic
metodele de comunicare ale entității, astfel încât organizația să aibă
instrumentele adecvate pentru a comunica informații de calitate în întreaga
entitate în timp util.

15.01Conducerea trebuie să comunice extern informațiile de calitate

Principiul 15 - necesare pentru atingerea obiectivelor entității.
Comunica
Atribute
Pe plan extern
• Comunicarea cu părțile externe

• Metode adecvate de comunicare
Comunicarea cu 15.02Conducerea comunică cu și obține informații de calitate de la părți

Părți externe externe folosind liniile de raportare stabilite. Liniile de raportare externe
deschise în două sensuri permit această comunicare. Părțile externe includ
furnizori, contractori, organizații de servicii, autorități de reglementare,
auditori externi, entități guvernamentale și publicul larg.
15.03Conducerea comunică informații de calitate în exterior prin linii de raportare,

astfel încât părțile externe să poată ajuta entitatea să-și atingă obiectivele și să
abordeze riscurile aferente. Conducerea include în aceste comunicări informații
referitoare la evenimentele și activitățile entității care au impact asupra sistemului
de control intern.
15.04Managementul primește informații prin linii de raportare de la părți externe.

Informațiile comunicate conducerii includ aspecte semnificative legate de riscuri,
schimbări sau probleme care au impact asupra sistemului de control intern al
entității. Această comunicare este necesară pentru funcționarea eficientă a
controlului intern. Conducerea evaluează informațiile externe primite în raport cu
caracteristicile informațiilor de calitate și ale obiectivelor de prelucrare a
informațiilor și întreprinde orice acțiuni necesare pentru ca informațiile să fie
informații de calitate.40
15.05Organismul de supraveghere primește informații prin linii de raportare de

la părți externe. Informațiile comunicate organismului de supraveghere includ
chestiuni semnificative legate de riscuri, schimbări sau probleme care afectează
sistemul de control intern al entității. Această comunicare este necesară pentru
supravegherea eficientă a controlului intern.
40Vezialin. 11.02 - 11.05 pentru discuții suplimentare despre obiectivele de prelucrare a

informațiilor.

15.06Părțile externe folosesc linii de raportare separate atunci când liniile de

raportare externe sunt compromise. Legile și reglementările pot impune entităților
să stabilească linii de comunicare separate, cum ar fi liniile telefonice pentru
avertizori și etica, pentru comunicarea informațiilor confidențiale. Conducerea
informează părțile externe despre aceste linii de raportare separate, cum
funcționează acestea, cum urmează să fie utilizate și cum informațiile vor rămâne
confidențiale.
Metode adecvate de 15.07Managementul selectează metode adecvate pentru a comunica extern.

Comunicare Managementul ia în considerare o varietate de factori în selectarea unei metode
adecvate de comunicare. Urmează câțiva factori de luat în considerare:
• Public-Destinatarii vizați ai comunicării

• Natura informației-Scopul și tipul de informații care sunt
comunicate
• Disponibilitate-Informații disponibile publicului atunci când este
nevoie
• Cost-Resursele folosite pentru a comunica informația
• Cerințe legale sau de reglementare-Cerințe din legi și
reglementări care pot afecta comunicarea
15.08Pe baza luării în considerare a factorilor, conducerea selectează metode

adecvate de comunicare, cum ar fi un document scris – în format hârtie sau în
format electronic – sau o întâlnire față în față. Conducerea evaluează periodic
metodele de comunicare ale entității, astfel încât organizația să aibă
instrumentele adecvate pentru a comunica în timp util informații de calitate în
întreaga entitate și în afara acesteia.
15.09Entitățile guvernamentale raportează nu numai șefului guvernului,

legiuitorilor și autorităților de reglementare, ci și publicului larg. În guvernul
federal, entitățile raportează nu numai Președintelui și Congresului, ci și
publicului larg. Entitățile iau în considerare metode adecvate atunci când
comunică cu un public atât de larg.

Monitorizarea
Monitorizarea
În cele din urmă, deoarece controlul intern este un proces dinamic care trebuie
adaptat continuu la riscurile și schimbările cu care se confruntă o entitate,
monitorizarea sistemului de control intern este esențială pentru a ajuta controlul
intern să rămână aliniat la schimbarea obiectivelor, mediului, legilor, resurselor și
riscurilor. . Monitorizarea controlului intern evaluează calitatea performanței în timp
și rezolvă cu promptitudine constatările auditurilor și ale altor revizuiri. Acțiunile
corective sunt o completare necesară a activităților de control în vederea atingerii
obiectivelor.
Principii
16. Conducerea trebuie să stabilească și să opereze activități de monitorizare pentru

a monitoriza sistemul de control intern și pentru a evalua rezultatele.
17. Conducerea ar trebui să remedieze deficiențele identificate în controlul

intern în timp util.

Monitorizarea
16.01Conducerea trebuie să stabilească și să opereze activități de monitorizare pentru a

Principiul 16 - Efectuați monitoriza sistemul de control intern și pentru a evalua rezultatele.
activități de monitorizare
Atribute

• Stabilirea unei linii de bază

• Monitorizarea sistemului de control intern
• Evaluarea Rezultatelor
Înființarea unui 16.02Conducerea stabilește o linie de bază pentru monitorizarea sistemului de

De bază control intern. Linia de referință este starea actuală a sistemului de control
intern în comparație cu proiectarea managementului a sistemului de control
intern. Linia de referință reprezintă diferența dintre criteriile de proiectare a
sistemului de control intern și starea sistemului de control intern la un anumit
moment în timp. Cu alte cuvinte, linia de referință constă în probleme și
deficiențe identificate în sistemul de control intern al unei entități.
16.03Odată stabilită, conducerea poate utiliza linia de bază ca criteriu în

evaluarea sistemului de control intern și poate face modificări pentru a reduce
diferența dintre criterii și condiție. Managementul reduce această diferență în
unul din două moduri. Conducerea fie modifică designul sistemului de control
intern pentru a aborda mai bine obiectivele și riscurile entității, fie
îmbunătățește eficiența operațională a sistemului de control intern. Ca parte a
monitorizării, conducerea determină când să revizuiască linia de bază pentru a
reflecta schimbările din sistemul de control intern.
Monitorizarea sistemului de 16.04Conducerea monitorizează sistemul de control intern prin monitorizare

control intern continuă și evaluări separate. Monitorizarea continuă este integrată în
operațiunile entității, este efectuată în mod continuu și răspunde la schimbare.
Evaluările separate sunt utilizate periodic și pot oferi feedback cu privire la
eficacitatea monitorizării continue.
16.05Conducerea efectuează monitorizarea continuă a proiectării și eficienței

operaționale a sistemului de control intern, ca parte a cursului normal al
operațiunilor. Monitorizarea continuă include activități regulate de management
și supraveghere, comparații, reconcilieri și alte acțiuni de rutină. Monitorizarea
continuă poate include instrumente automate,

Monitorizarea
care poate crește obiectivitatea și eficiența prin compilarea electronică a

evaluărilor controalelor și tranzacțiilor.
16.06Conducerea folosește evaluări separate pentru a monitoriza proiectarea și

eficacitatea operațională a sistemului de control intern la un anumit moment
sau a unei anumite funcții sau proces. Sfera și frecvența evaluărilor separate
depind în primul rând de evaluarea riscurilor, de eficacitatea monitorizării
continue și de rata schimbării în cadrul entității și al mediului acesteia. Evaluările
separate pot lua forma unor autoevaluări, care includ evaluări încrucișate de
unități operaționale sau evaluări interfuncționale.
16.07Evaluările separate includ, de asemenea, audituri și alte evaluări care

pot implica revizuirea designului controlului și testarea directă a controlului
intern. Aceste audituri și alte evaluări pot fi impuse prin lege și sunt
efectuate de auditori interni, auditori externi, inspectori generali și alți
evaluatori externi. Evaluările separate oferă o mai mare obiectivitate atunci
când sunt efectuate de evaluatori care nu au responsabilitatea pentru
activitățile evaluate.
16.08Conducerea își păstrează responsabilitatea pentru monitorizarea

eficienței controlului intern asupra proceselor atribuite efectuate de
organizațiile de servicii. Conducerea utilizează monitorizarea continuă, evaluări
separate sau o combinație a celor două pentru a obține o asigurare rezonabilă
a eficacității operaționale a controalelor interne ale organizației de servicii
asupra procesului atribuit.41Activitățile de monitorizare legate de organizațiile
de servicii pot include utilizarea lucrărilor efectuate de părți externe, cum ar fi
auditorii de servicii, și revizuite de conducere.
Evaluarea Rezultatelor 16.09Conducerea evaluează și documentează rezultatele monitorizării

continue și ale evaluărilor separate pentru a identifica problemele de control
intern. Conducerea utilizează această evaluare pentru a determina
eficacitatea sistemului de control intern. Diferențele dintre rezultatele
activităților de monitorizare și nivelul de referință stabilit anterior pot indica
probleme de control intern, inclusiv schimbări nedocumentate în sistemul de
control intern sau potențiale deficiențe de control intern.
41Vezi alin. OV4.01 până la OV4.03 pentru discuții suplimentare despre organizațiile de servicii.

Monitorizarea
16.10Conducerea identifică schimbări în sistemul de control intern care fie au avut

loc, fie sunt necesare din cauza schimbărilor intervenite în entitate și în mediul
acesteia. De asemenea, părțile externe pot ajuta conducerea să identifice
problemele din sistemul de control intern. De exemplu, plângerile publicului larg și
comentariile autorităților de reglementare pot indica domenii din sistemul de
control intern care necesită îmbunătățiri. Conducerea ia în considerare dacă
controalele actuale abordează problemele identificate și modifică controalele dacă
este necesar.
17.01Conducerea ar trebui să remedieze deficiențele identificate în

Principiul 17 - controlul intern în timp util.
Evaluează problemele și
Atribute
Remediați
Deficiențe Următoarele atribute contribuie la proiectarea, implementarea și
• Raportarea problemelor
• Evaluarea problemelor
• Acțiuni corective
Raportarea problemelor 17.02Personalul raportează problemele de control intern prin liniile de raportare
stabilite către părțile interne și externe corespunzătoare, în timp util, pentru a
permite entității să evalueze prompt acele probleme.42
17.03Personalul poate identifica probleme de control intern în timp ce își

îndeplinește responsabilitățile de control intern atribuite. Personalul comunică aceste
probleme pe plan intern persoanei cu rolul cheie responsabil pentru controlul intern
sau procesul asociat și, atunci când este cazul, la cel puțin un nivel de conducere
deasupra individului respectiv. În funcție de natura problemelor, personalul poate lua
în considerare raportarea anumitor probleme organului de supraveghere. Astfel de
probleme pot include
• probleme care traversează structura organizațională sau se extind în

afara entității la organizații de servicii, contractori sau furnizori și
42Vezi alin. 14.02 până la 14.06 pentru discuții ulterioare ale liniilor de raportare interne și alin.
15.02 până la 15.06 pentru discuții suplimentare despre liniile de raportare externe.

Monitorizarea
• probleme care nu pot fi remediate din cauza intereselor conducerii,

cum ar fi informații sensibile referitoare la fraudă sau alte acte ilegale.
43
17.04În funcție de cerințele de reglementare sau de conformitate ale entității, entității i

se poate cere, de asemenea, să raporteze problemele externe către părți externe
corespunzătoare, cum ar fi legiuitorii, autoritățile de reglementare și organismele de
stabilire a standardelor care stabilesc legi, reguli, reglementări și standarde la care
entitatea. este subiect.
Evaluarea problemelor 17.05Conducerea evaluează și documentează problemele de control intern și

determină acțiuni corective adecvate pentru deficiențele de control intern în
timp util. Conducerea evaluează problemele identificate prin activități de
monitorizare sau raportate de personal pentru a determina dacă vreuna dintre
probleme se ridică la nivelul unei deficiențe de control intern. Deficiențele
controlului intern necesită o evaluare suplimentară și remediere de către
conducere. O deficiență de control intern poate fi în proiectarea, implementarea
sau eficacitatea operațională a controlului intern și a procesului aferent acestuia.
44Conducerea determină din tipul deficienței de control intern acțiunile corective
adecvate pentru a remedia deficiența de control intern în timp util. Conducerea

atribuie responsabilitatea și deleagă autoritatea pentru a remedia deficiența de
control intern.
Acțiuni corective 17.06Conducerea finalizează și documentează acțiunile corective pentru a

remedia deficiențele de control intern în timp util. Aceste acțiuni corective includ
rezolvarea constatărilor auditului. În funcție de natura deficienței, fie organul de
supraveghere, fie conducerea supraveghează remedierea promptă a
deficiențelor comunicând acțiunile corective la nivelul corespunzător al structurii
organizaționale și delegând autoritatea pentru finalizarea acțiunilor corective
personalului corespunzător. Procesul de rezoluție a auditului începe atunci când
rezultatele auditului sau a altor revizuiri sunt raportate conducerii și se încheie
numai după ce au fost luate măsuri care (1) corectează deficiențele identificate,
43Vezi alin. 8.02 până la 8.03 pentru discuții suplimentare despre fraudă.
44Vezi alin. OV3.07 până la OV3.11 pentru discuții suplimentare despre evaluarea deficiențelor
controlului intern.

Monitorizarea
(2) produce îmbunătățiri sau (3) demonstrează că constatările și recomandările

nu justifică acțiuni de management. Conducerea, sub supravegherea organului
de supraveghere, monitorizează stadiul eforturilor de remediere, astfel încât
acestea să fie finalizate în timp util.

n
Anexa I: Requireme ts
Anexa I: Cerință
s
Mai jos este o listă a cerințelor incluse în Cartea Verde.
Pentru ca un sistem de control intern să fie eficient, cele cinci componente ale
controlului intern trebuie să fie proiectate, implementate și operate în mod
eficient și să funcționeze împreună într-o manieră integrată. (paragraful
OV2.04)
Cele 17 principii susțin proiectarea, implementarea și funcționarea

eficientă a componentelor asociate și reprezintă cerințele necesare
pentru a stabili un sistem eficient de control intern. Cele 17 cerințe
principale ale Cărții Verzi sunt următoarele:
1. Organismul de supraveghere și conducerea ar trebui să demonstreze un

angajament față de integritate și valori etice.
2. Organismul de supraveghere ar trebui să supravegheze sistemul de control intern al entității.
3. Conducerea trebuie să stabilească o structură organizatorică, să atribuie

responsabilitatea și să delege autoritatea pentru a atinge obiectivele entității.
4. Managementul trebuie să demonstreze angajamentul de a recruta, dezvolta și

păstra persoane competente.
5. Conducerea ar trebui să evalueze performanța și să țină indivizii la

răspundere pentru responsabilitățile lor de control intern.
6. Conducerea trebuie să definească obiectivele în mod clar pentru a

permite identificarea riscurilor și a defini toleranțele la risc.
7. Managementul trebuie să identifice, să analizeze și să răspundă la riscurile legate de

atingerea obiectivelor definite.
8. Conducerea ar trebui să ia în considerare potențialul de fraudă atunci când identifică,

analizează și răspunde la riscuri.
9. Conducerea trebuie să identifice, să analizeze și să răspundă la schimbările semnificative

care ar putea avea un impact asupra sistemului de control intern.
10. Conducerea ar trebui să proiecteze activități de control pentru a atinge obiectivele și a

răspunde la riscuri.
11. Conducerea trebuie să proiecteze sistemul informațional al entității și

activitățile de control aferente pentru a atinge obiectivele și a răspunde la riscuri.

Anexa I: Cerințe
12. Conducerea ar trebui să implementeze activități de control prin politici.
13. Conducerea trebuie să utilizeze informații de calitate pentru a atinge obiectivele

entității.
14. Conducerea trebuie să comunice intern informațiile de calitate

15. Conducerea trebuie să comunice extern informațiile de calitate

16. Conducerea trebuie să stabilească și să opereze activități de monitorizare pentru

a monitoriza sistemul de control intern și pentru a evalua rezultatele.
17. Conducerea ar trebui să remedieze deficiențele identificate în controlul

intern în timp util.
Documentarea este o parte necesară a unui sistem eficient de control intern. Nivelul
și natura documentației variază în funcție de dimensiunea entității și de
complexitatea proceselor operaționale pe care le realizează entitatea. Conducerea
folosește raționamentul pentru a determina amploarea documentației care este
necesară. Documentația este necesară pentru a demonstra proiectarea,
implementarea și eficacitatea operațională a sistemului de control intern al unei
entități. Cartea Verde include cerințe minime de documentare, după cum urmează:
• În cazul în care conducerea stabilește că un principiu nu este relevant,

conducerea susține determinarea respectivă cu documentație care
include rațiunea modului în care, în absența acelui principiu,
componenta asociată ar putea fi proiectată, implementată și operată
eficient. (paragraful OV2.06)
• Conducerea dezvoltă și menține documentația sistemului său de
control intern. (paragraful 3.09)
• Managementul documentează în politici responsabilitățile de control intern
ale organizației. (paragraful 12.02)
• Conducerea evaluează și documentează rezultatele monitorizării continue și ale
evaluărilor separate pentru a identifica problemele de control intern. (paragraful
16.09)
• Conducerea evaluează și documentează problemele de control intern
și determină acțiuni corective adecvate pentru deficiențele de control
intern în timp util. (paragraful 17.05)

Anexa I: Cerințe
• Conducerea finalizează și documentează acțiunile corective pentru a

remedia deficiențele de control intern în timp util. (paragraful 17.06)

m
Anexa II: Recunoaștere enti
Anexa II: Recunoaștere
s
Onorabilul Jon Rymer, președinte

Controlorului General Departamentul Apărării al SUA, Biroul Inspectorului General
Consiliul Consultativ privind
Dr. Brett Baker
Standarde pentru Interne Fundația Națională de Știință, Biroul Inspectorului General
Control în Guvernul
Lisa Casias
Federal Departamentul de Comerț al SUA
(2013-2015)
Carole Clay
Departamentul de Stat al Statelor Unite ale Americii
Melinda DeCorte
Crowe Horwath LLP
Stephen M. Eells
Biroul Serviciilor Legislative din New Jersey, Biroul Auditorului de Stat
Dr. Carol M. Eyermann

National Science Foundation
Bill Hughes
MorganFranklin Consulting LLC
Scot Janssen
KPMG LLP
John Kaschak
Biroul pentru Buget din Pennsylvania, Biroul de Audit
David L. Landsittel
Comitetul organizațiilor de sponsorizare a Comisiei Treadway
Onorabilul Samuel T. Mok Condor

International Advisors, LLC
Kenneth J. Mory
Orașul Austin, Texas
Dan Murrin
Ernst & Young

Anexa II: Mulțumiri
Dr. Annette K. Pridgen

Universitatea de Stat Jackson
Dr. Sandra B. Universitatea

Richtermeyer Xavier
Neil Ryder
Departamentul de Justiție al SUA
Peggy Sherry
Departamentul Trezoreriei SUA, Serviciul de venituri interne
F. Michael Taylor
Guvernul Comitatului Hanover, Virginia
David A. Von Moll

Biroul Controlorului de Stat al Commonwealth-ului Virginia
David M. Zavada
Kearney & Company
Steven J. Sebastian, director general

Echipa de proiect GAO James R. Dalkin, director
Robert F. Dacey, contabil șef
Jacquelyn N. Hamilton, consilier general adjunct adjunct
Kristen A. Kociolek, director adjunct
Grant L. Simmons, auditor principal
Christie A. Pugnetti, auditor principal
Pe lângă echipa de proiect numită mai sus, au contribuit și Francine

Personal
M. DelVecchio, Lee Evans, Marci L. Goasdone, Peter B. Grinnell, Brian
Mulțumiri S. Harechmak, Debra L. Hoffman, Heather I. Keister, Jason M. Kelly,
Judy Lee, William S. Lowrey, Alan S. MacMullin, Mary Arnold
Mohiyuddin, Mary O. Osorno, Doris G. Yanger și Kimberly Y. Young.

Glosar
Glosar
Următorii termeni sunt furnizați pentru a ajuta la clarificareaStandarde pentru

controlul intern în guvernul federal. Cele mai relevante numere de paragraf
sunt furnizate pentru referință.
Controale aplicației-Controale care sunt încorporate direct în aplicațiile

computerizate în scopul validității, completității, acurateții și
confidențialității tranzacțiilor și datelor în timpul procesării cererii;
controalele aplicației includ controale asupra controalelor de intrare,
procesare, ieșire, fișier principal, interfață și sisteme de gestionare a
datelor (paragraful 11.08)
Atribute-Informații suplimentare care oferă explicații suplimentare cu privire la

principiile și cerințele de documentare pentru un control intern eficient
(paragraful OV2.07)
De bază-Diferența dintre criteriile de proiectare a sistemului de

control intern și starea sistemului de control intern la un anumit
moment în timp (punctul 16.02)
Competență-Calificarea de a îndeplini responsabilitățile atribuite

(paragraful 4.02)
Controale complementare ale entităților utilizator-Controalele pe care conducerea

organizației de servicii și le asumă, în proiectarea serviciului său, vor fi implementate de
către entitățile utilizator și, dacă este necesar, pentru atingerea obiectivelor de control
menționate în descrierea conducerii a sistemului organizației de servicii, sunt identificate
ca atare în descrierea respectivă (paragraful OV4.02)
Componentă-Unul dintre cele cinci elemente necesare ale controlului intern.

Componentele controlului intern sunt Mediul de Control, Evaluarea Riscurilor,
Activitățile de Control, Informarea și Comunicarea și Monitorizarea (paragraful
OV2.04)
Planuri de contingență-Procesele definite pentru a răspunde nevoii unei entități

de a răspunde la schimbările bruște de personal care ar putea compromite sistemul
de control intern (punctul 4.06)
Activități de control-Politicile, procedurile, tehnicile și mecanismele care pun în

aplicare directivele conducerii pentru a atinge obiectivele entității și pentru a
aborda riscurile aferente (paragraful 10.02)

Glosar
Obiectivul de control-Scopul sau scopul controalelor specificate; obiectivele

de control abordează riscurile legate de atingerea obiectivelor unei entități
(paragraful OV3.05)
Deficienta-Atunci când proiectarea, implementarea sau operarea unui control

nu permite conducerii sau personalului, în cursul normal al îndeplinirii
funcțiilor lor atribuite, să atingă obiectivele de control și să abordeze riscurile
aferente (paragraful OV3.07)
Controlul detectiv-O activitate care este concepută pentru a descoperi când o

entitate nu atinge un obiectiv sau nu abordează un risc înainte ca operațiunea
entității să se fi încheiat și să corecteze acțiunile astfel încât entitatea să atingă
obiectivul sau să abordeze riscul (paragraful 10.04)
Control la nivel de entitate-controale care au un efect general asupra sistemului de

control intern al unei entități; Controalele la nivel de entitate pot include controale legate
de procesul de evaluare a riscului al entității, mediul de control, organizațiile de servicii,
anularea managementului și monitorizarea (paragraful 10.09)
Fraudă-Implică obținerea a ceva de valoare prin denaturare

intenționată (paragraful 8.02)
Controale generale-Politicile și procedurile care se aplică tuturor sau unui segment

mare al sistemelor informaționale ale unei entități; controalele generale includ
managementul securității, accesul logic și fizic, gestionarea configurației, separarea
sarcinilor și planificarea pentru situații de urgență (paragraful 11.07)
Cartea Verde-Numele folosit frecvent pentruStandarde pentru controlul

intern în guvernul federal(Prezentare generală: Cuvânt înainte)
Sistem informatic-Managementul persoanelor, proceselor, datelor și

tehnologiei se organizează pentru a obține, comunica sau dispune de informații
(paragraful 11.03)
Tehnologia de informație-Procese de informare bazate pe tehnologie

(punctul 11.03)
Risc inerent-Riscul pentru o entitate înainte de a lua în considerare

răspunsul conducerii la risc (punctul 7.03)

Glosar
Control intern-Un proces efectuat de organismul de supraveghere al unei

entități, de conducere și de alt personal care oferă o asigurare rezonabilă că
obiectivele unei entități vor fi atinse (paragraful OV1.01)
Sistem de control intern-O componentă continuă încorporată a operațiunilor,

efectuată de oameni, care oferă o asigurare rezonabilă – nu o asigurare
absolută – că obiectivele unei entități vor fi atinse
(paragraful OV1.04)
Rol cheie-O poziție într-o structură organizatorică căreia i se atribuie o

responsabilitate generală a unei entități (paragraful 3.06)
Probabilitatea de apariție-Nivelul posibilității ca un risc să apară

(paragraful 7.06)
Amploarea impactului-Severitatea deficienței care ar putea rezulta dintr-un

risc și este afectată de factori precum dimensiunea, ritmul și durata impactului
riscului (paragraful 7.06)
management-Personalul care este direct responsabil pentru toate activitățile unei

entități, inclusiv pentru proiectarea, implementarea și eficacitatea operațională a
sistemului de control intern al unei entități (paragraful OV2.14)
Trebuie sa-Indică o cerință pe care conducerea trebuie să o respecte în toate

cazurile; aceste cerințe sunt componentele controlului intern (paragraful
OV2.04)
Structura organizationala-Unitățile operaționale, procesele operaționale și alte

structuri pe care managementul le folosește pentru atingerea obiectivelor (paragraful
OV2.10)
Organul de supraveghere-Cei responsabili cu supravegherea proiectării,

implementării și funcționării de către conducere a unui sistem de control
intern (paragraful OV2.14)
Măsura performanței-Un mijloc de evaluare a performanței entității în

atingerea obiectivelor (paragraful 6.07)
Politici-Declarații de responsabilitate pentru obiectivele unui proces operațional și

riscurile aferente și proiectarea activității de control, implementarea și eficacitatea
operațională (paragraful 12.03)

Glosar
Control preventiv-O activitate care este concepută pentru a împiedica o

entitate să nu atingă un obiectiv sau să abordeze un risc (paragraful 10.04)
Principiu-Concept fundamental care este parte integrantă a proiectării,

implementării și eficienței de funcționare a componentei asociate
(paragraful OV2.05)
Obiective calitative-Obiective pentru care managementul poate avea nevoie să

elaboreze măsuri de performanță care să indice un nivel sau un grad de
performanță, cum ar fi etapele de referință (paragraful 6.07)
Informatii de calitate-Informații din date relevante și de încredere care

sunt adecvate, actuale, complete, exacte, accesibile și furnizate în timp util
și care îndeplinesc cerințele de informații identificate (paragraful 13.05)
Obiective cantitative-Obiective în care măsurile de performanță pot fi

un procent vizat sau o valoare numerică (punctul 6.07)
Asigurare rezonabila-Un grad ridicat de încredere, dar nu o încredere

absolută (paragraful OV1.04)
Liniile de raportare-Linii de comunicare, atât interne cât și externe, la toate

nivelurile organizației, care oferă metode de comunicare care pot curge în
jos, peste, sus și în jurul structurii organizaționale (paragraful 3.04)
Risc rezidual-Riscul care rămâne după răspunsul conducerii la riscul

inerent (punctul 7.03)
Risc-Posibilitatea ca un eveniment să se producă și să afecteze negativ

realizarea obiectivelor (paragraful 7.02)
Toleranță la risc-Nivelul acceptabil de variație a performanței în raport

cu atingerea obiectivelor (paragraful 6.08)
Management de securitate-Procesele de informare și activitățile de control

legate de drepturile de acces în tehnologia informației unei entități (punctul
11.12)
Separarea atribuțiilor-Separarea autorității, custodiei și

contabilității unei operațiuni (paragraful 10.13)

Glosar
Organizarea serviciilor-O parte externă care efectuează proces(e)

operațional(e) pentru o entitate (paragraful OV4.01)
Ar trebui să-Indică o cerință de principiu pe care trebuie să o respecte

managementul, cu excepția unor circumstanțe rare în care cerința nu este relevantă
pentru entitate (paragraful OV2.09)
Planuri de succesiune-Procesele care abordează nevoia unei entități

de a înlocui personalul competent pe termen lung (punctul 4.06)
Tranzacţie-Un eveniment care poate apărea în procesele operaționale, de

conformitate sau financiare (paragraful 10.10)
Activitati de control al tranzactiilor-Acțiuni integrate direct în procesele

operaționale pentru a sprijini entitatea în atingerea obiectivelor sale și în abordarea
riscurilor aferente (punctul 10.10)
(194915)
Biroul de responsabilitate guvernamentală, componenta de audit, evaluare și
Misiunea GAO investigație a Congresului, există pentru a sprijini Congresul în îndeplinirea
responsabilităților sale constituționale și pentru a ajuta la îmbunătățirea
performanței și a răspunderii guvernului federal față de poporul american. GAO
examinează utilizarea fondurilor publice; evaluează programele și politicile federale;
și oferă analize, recomandări și alte asistențe pentru a ajuta Congresul să ia decizii
informate de supraveghere, politici și finanțare. Angajamentul GAO față de o bună
guvernare se reflectă în valorile sale fundamentale de responsabilitate, integritate și
fiabilitate.
Cel mai rapid și simplu mod de a obține copii ale documentelor GAO fără costuri
Obținerea de copii ale este prin intermediul site-ului web al GAO (http://www.gao.gov). În fiecare după-
Rapoartele GAO și amiază, GAO postează pe site-ul său rapoarte, mărturii și corespondență recent
lansate. Pentru ca GAO să vă trimită prin e-mail o listă de produse nou postate,
Mărturie accesațihttp://www.gao.govși selectați „Actualizări prin e-mail”.
Comandați copii tipărite Versiunea tipărită a 2014Standarde pentru controlul intern în guvernul
federalpoate fi comandat online prin Imprimeria Guvernului (GPO).
http://bookstore.gpo.gov/sau sunând gratuit la 202-512-1800 sau la
1-866-512-1800.
Conectați-vă cu GAO activatFacebook,Flickr, Twitter, șiYouTube. Abonează-te la
Conectați-vă cu GAO nostruFeed-uri RSSsauActualizări prin e-mail.Ascultă-le noastrePodcasturi. Vizitați
GAO pe web lawww.gao.gov.
A lua legatura:
Pentru a raporta fraudă,
Site:http://www.gao.gov/fraudnet/fraudnet.htm E-
Deșeuri și abuz în mail:fraudnet@gao.gov
programele federale Sistem de răspuns automat: (800) 424-5454 sau (202) 512-7470
Katherine Siggerud, director general,siggerudk@gao.gov, (202) 512-4400,

Congresului Biroul de responsabilitate guvernamentală din SUA, 441 G Street NW, Room
Relaţii 7125, Washington, DC 20548
Chuck Young, director general,youngc1@gao.gov, (202) 512-4800 US

Afacerile publice Government Accountability Office, 441 G Street NW, Room 7149
Washington, DC 20548
închiriere Imprimare pe hârtie reciclată.

Standarde Pentru SCIM SUA

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Standarde Pentru SCIM SUA

Încărcat de

Drepturi de autor:

Formate disponibile

Translated from English to Romanian - www.onlinedoctranslator.

Biroul de responsabilitate al guvernului Statelor Unite

De către Controlorul General al

Controlul intern și Cartea Verde Cum folosește o entitate Cartea Verde?

manager la a care efectuează un audit financiar

agentie federala sau de performanță

Cum este legată Cartea Verde de

4 principii Integritate și etică

Principiu • Volumul la maxim

3 principii Volumul la maxim 1.02Organismul de supraveghere și managementul

Informatie si comunicare 3 1.03Organul de supraveghere și conducerea

2 principii 1.04Comportamentele organului de supraveghere și

Fiecare principiu are caracteristici importante, numite

atribute, care explică principiile mai detaliat.

Surse: GAO și COSO. GAO.GOV/GREENBOOK GAO-14-704G

Pagina i GAO-14-704G Standarde federale de control intern

Pagina ii GAO-14-704G Standarde federale de control intern

Pagina iii GAO-14-704G Standarde federale de control intern

Pagina iv GAO-14-704G Standarde federale de control intern

Factorii politici și managerii de programe caută în mod continuu modalități de a

Cartea Verde poate fi adoptată și de entitățile de stat, locale și

Comitetul organizațiilor de sponsorizare al Comisiei Treadway (COSO) și-a

1Vezi Comitetul organizațiilor de sponsorizare al Comisiei Treadway,Control intern -

Pagina 1 GAO-14-704G Standarde federale de control intern

Standardele intră în vigoare începând cu anul fiscal 2016 și cu

Această revizuire a standardelor a trecut printr-un proces deliberativ amplu, inclusiv

Apreciez eforturile oficialilor guvernamentali, profesioniștilor în contabilitate

Pagina 2 GAO-14-704G Standarde federale de control intern

Cartea Verde oferă managerilor criterii pentru proiectarea, implementarea și

Cartea Verde este structurată după cum urmează:

1. O prezentare generală, care include următoarele secțiuni:

• Sectiunea 1:o privire de ansamblu asupra conceptelor fundamentale ale controlului

2. O discuție a cerințelor pentru fiecare dintre cele cinci componente și

Figura 1 prezintă un exemplu de pagină din Cartea Verde. Această ilustrație

Pagina 3 GAO-14-704G Standarde federale de control intern

Figura 1: Pagină de exemplu Cartea Verde

Pagina 4 GAO-14-704G Standarde federale de control intern

• Operațiuni-Eficacitatea și eficiența operațiunilor

Figura 2: Atingerea obiectivelor prin control intern

OV1.02Acestea sunt categorii distincte, dar care se suprapun. Un anumit

OV1.03Controlul intern cuprinde planurile, metodele, politicile și procedurile

Pagina 5 GAO-14-704G Standarde federale de control intern

OV1.05Controlul intern nu este un eveniment, ci o serie de acțiuni care au loc pe parcursul

OV1.07Un sistem eficient de control intern crește probabilitatea ca o entitate

Pagina 6 GAO-14-704G Standarde federale de control intern

poate folosi Cartea Verde ca un cadru pentru a proiecta, implementa și

OV2.02Cartea Verde se aplică tuturor obiectivelor unei entități: operațiuni, raportare

OV2.04Cele cinci componente reprezintă cel mai înalt nivel al ierarhiei

• Mediu de control-Fundamentul unui sistem de control intern. Acesta

Pagina 7 GAO-14-704G Standarde federale de control intern

• Activități de control-Managementul acțiunilor le stabilește prin politici și

• Informatie si comunicare-Managementul informațiilor de calitate

OV2.05Cele 17 principii susțin proiectarea, implementarea și

OV2.06În general, toate componentele și principiile sunt relevante pentru

OV2.07Cartea Verde conține informații suplimentare sub formă de atribute.

OV2.08Atributele sunt relevante pentru implementarea corectă a Cărții

Pagina 8 GAO-14-704G Standarde federale de control intern

OV2.09Figura 3 enumeră cele cinci componente ale controlului intern și 17

Figura 3: Cele cinci componente și 17 principii ale controlului intern

Pagina 9 GAO-14-704G Standarde federale de control intern

Figura 4: Componentele, obiectivele și structura organizațională a controlului

OV2.11Cele trei categorii în care pot fi clasificate obiectivele unei entități

OV2.12Fiecare componentă a controlului intern se aplică tuturor celor trei