Documente Academic
Documente Profesional
Documente Cultură
Sondaj-Auditori-Interni Romania Aprilie 2019
Sondaj-Auditori-Interni Romania Aprilie 2019
Aprilie 2019
kpmg.ro
Cuvânt înainte
Cezar Furtună
Partener
Coordonatorul
Departamentului Audit
& Assurance
Într-un mediu de afaceri aflat în continuă schimbare, KPMG în
KPMG în România România și-a propus, prin această ediție a Sondajului de opinie a
și Moldova auditorilor interni din România, să aducă în discuție prioritățile și
provocările acestei profesii, ca urmare a unui interes ridicat față de
cele mai bune practici din piață. Sondajul nostru s-a desfășurat în
ultimul trimestru al anului 2018, iar respondenții provin dintr-o
gamă variată de sectoare de activitate, unele dintre acestea
făcând obiectul unor cerințe stricte de reglementare din partea
autorităților sectoriale.
05 Principalele constatări
06 12
Rolul și Metodologii
prioritățile aplicate în
funcției de derularea misiunilor
audit intern de audit intern
17 21
Capitalul uman Impactul
al funcției de tehnologiei
audit intern asupra funcției
de audit intern
CAFR
Activitatea de audit intern în sectorul privat este reglementată de Camera Auditorilor Financiari din
2 România (CAFR) și se efectuează în conformitate cu Normele obligatorii din Cadrul internațional de
practici profesionale (IPPF), emise de Institutul Auditorilor Interni (IIA Global) și adoptate de CAFR.
ASPAAS
Responsabilii cu organizarea și coordonarea activității de audit intern trebuie să fie auditori
3 financiari activi înregistrați în România, respectiv membri activi ai CAFR, autorizați de către
Autoritatea pentru Supravegherea Publică a Activității de Audit Statutar (ASPAAS).
Legea 672/2002
7 Activitatea de audit public intern efectuată la entități publice este reglementată prin Legea nr.
672/2002 privind auditul public intern, cu modificările ulterioare.
UCAAPI
Profesioniștii care activează în domeniul auditului public intern trebuie să dispună de un certificat
8 de atestare a auditorului intern din sectorul public, emis de Ministerul Finanțelor Publice, prin
Unitatea Centrală de Armonizare pentru Auditul Public Intern (UCAAPI).
Previziunile privind evoluția bugetului departamentului de audit intern sunt, mai degrabă,
moderate (58% dintre respondenți consideră că bugetul va rămâne neschimbat în
următorii trei ani), în contrast cu așteptările ridicate asupra modului în care se va dezvolta
funcția de audit intern, astfel încât să răspundă cât mai bine complexității în creștere a
subiectelor auditate.
O bună parte a auditorilor interni utilizează evaluări externe independente ale activității de
audit intern (i.e. o dată la cinci ani) (58% din respondenți), în conformitate cu cerințele
impuse de standardele internaționale de audit intern.
Securitatea cibernetică este clasată pe locul 8 în topul priorităților funcției de audit intern.
Totuși, nu mai puțin de 42% dintre auditorii interni admit că gestionarea riscului de
securitate cibernetică reprezintă una dintre principalele provocări ale companiilor.
Doar 21 %
dintre respondenți În ceea ce privește planul de audit intern, În climatul economic actual, caracterizat
consideră am identificat următoarele trei mari prin creștere încetinită, incertitudine
dimensiuni asupra cărora companiile se economică, avansul tehnologiei,
securitatea vor concentra în anul 2019: eficiența și amenințări cibernetice, modele de afaceri
cibernetică o eficacitatea operațională, alinierea la perturbatoare, reglementări din ce în ce
prioritate actuală a obiectivele companiei, precum și mai restrictive și intensificarea verificărilor,
conformitatea cu reglementările în companiile trebuie să își analizeze
departamentelor vigoare. Astfel, am constatat că 89% din constant strategia de afaceri și apetitul la
de audit intern respondenți sunt preocupați de eficiența risc.
și eficacitatea operațională a proceselor
interne. 71% din respondenți au pe lista În plus, am constatat că, pentru 58% din
de priorități, în planul misiunilor de audit respondenți, conformitatea cu
intern, alinierea operațiunilor la strategia și reglementările și raportările aferente
obiectivele companiei. reprezintă cea de-a treia direcție de focus.
66 %
În plus, am constatat faptul că 66% dintre modul in care sunt atrase, gestionate si
respondenți indică eficiența programelor păstrate talentele in companie, astfel încât
de gestionare a riscurilor în fruntea să fie capabile să maximizeze efectul
provocărilor cu care se confruntă resurselor digitale.
dintre respondenți
indică eficacitatea
programelor de Grafic 4: Principalele provocări cu care se confruntă companiile
gestionare a din perspectiva coordonatorilor departamentelor de audit intern
riscurilor în fruntea
provocărilor cu
care se confruntă
companiile
să înțeleagă și să
gestioneze riscurile Grafic 8: Modalități de măsurare a performanței activității de
asociate, să obțină audit intern
rezultatele așteptate în
urma automatizării și să
continue să inoveze pentru
a obține valoare adăugată.
Richard Perrin
Partener
Coordonatorul
Departamentului de
Consultanță în Afaceri
KPMG în România
Modificările ce au loc la
nivelul modelelor de
afaceri, impactului
tehnologiei, inclusiv asupra
mediilor de control și
gestionării riscurilor, cât și
așteptările tot mai
diversificate ale părților
interesate, fac necesară o
adaptare continuă a 58% din respondenți utilizează evaluări — pentru părțile interesate? Auditul
metodelor și externe independente ale activității de intern este poziționat adecvat, în
audit intern (o dată la cinci ani), în termeni strategici, pentru a contribui
instrumentelor utilizate de conformitate cu cerințele Standardului la succesul companiei?
auditul intern, precum și Internațional de Audit Intern 1312 – — Auditul intern deține o strategie
dezvoltarea de noi „Evaluări externe”. adecvată, resurse umane și are
capacitatea de a-și îndeplini
competențe de către O viziune externă, independentă poate atribuțiile?
auditori pentru a-și atinge evidenția ariile în care auditul intern poate — Cât de eficace este auditul intern în
obiectivele specifice. fi optimizat, precum și o comparație cu calitate de a treia „linie de apărare”
cele mai bune practici, prin accesul la în cadrul guvernanței corporative a
recomandări constructive. companiei?
— Sunt procesele de audit intern
Annemarie Vasilache Câteva întrebări strategice prin intermediul conforme cu nevoile de afaceri?
Director Audit Intern cărora evaluare externă independentă a — Cât de bine funcționează auditul
funcției de audit intern ar putea furniza o intern al companiei, prin raportare la
Banca Transilvania opinie: companii similare și cele mai bune
— Ce valoare adăugată generează practici?
serviciile oferite de auditul intern
Grafic 10: Utilizarea evaluărilor periodice independente (externe)
în conformitate cu Standardul 1312 – „Evaluări externe”
1 din 4
companii dezvoltă
Grafic 11: Perioada acoperită de planul de audit intern
planuri de audit
intern care
acoperă o
perioadă de 3 ani
Georgiana Iancu
Head of Internal Audit
Vodafone România
53%
adaugă valoare companiei și o ajută în precizat numărul de misiuni ad-hoc
atingerea obiectivelor strategice și solicitate de către conducere ca fiind de 3
În operaționale, auditul intern este un aliat de sau 4 ori pe an.
bază al conducerii. Prin urmare, pe lângă
din companii misiunile de audit intern stabilite conform Mai mult de 4 misiuni de audit intern ad-
au loc întâlniri unor criterii bine definite, auditul intern hoc au fost menționate de către 8
primește și onorează solicitări ad-hoc din companii. Majoritatea acestor companii au
formale cu partea conducerii companiei pentru raportat întâlniri mai frecvente cu
comitetul de audit adresarea unor aspecte/situații speciale, comitetul de audit/consiliul de
de 3-4 ori pe an care, prin natura lor sau conjunctură, nu au administrație, comparativ cu celelalte
putut fi luate în considerare în planul de companii participante la sondajul de
audit construit. opinie.
Din totalul respondenților (i.e. 38), funcțiile 3 funcții de audit intern nu primesc
de audit intern a 18 companii au solicitări din partea conducerii pentru
menționat efectuarea a 1-2 misiuni de efectuarea de misiuni de audit intern
audit intern ad-hoc.
1 din 4
companii nu
efectuează
verificări privind
modul de
gestionare a
riscurilor Dintre respondenții care iau în considerare Ceilalți respondenți tratează aceste
cibernetice verificări ale modului de gestionare a amenințări fie ca parte a unui audit intern
riscurilor cibernetice, jumătate admit că IT clasic (32%), fie ca parte din verificarea
efectuează audituri interne, care au ca planurilor de recuperare în caz de dezastru
obiectiv specific securitatea sistemelor (18%).
informatice.
Gabriel Tănase
Director
Tehnologie și Securitate
Cibernetică
KPMG în România
Mădălina Racovițan
Partener
Coordonatorul
Departamentului People
Services Pentru a executa planul de audit intern, de opinie, dar cu bugete de training
KPMG în România compania trebuie să asigure calificarea situate la un maxim de 5% din totalul
corespunzătoare pentru auditorii interni, alocat departamentului de audit
precum și o formare profesională intern. În plus, am descoperit că, în
continuă. Programele de formare majoritatea companiilor respondente
profesională sunt create personalizat (87%), membrii departamentului de
pentru specialiștii din audit, așa cum audit intern dețin certificări
susțin 61% dintre respondenții sondajului profesionale.
71 %
din companii alocă
mai puțin de 5%
din bugetul
departamentului
de audit intern
pentru dezvoltarea
profesională
1 din 3
auditori interni
dețin o certificare
ce vizează
sistemele Sondajul nostru de opinie relevă ca — interne pentru 84% din respondenți;
auditorii interni consideră esențiale — Aptitudini de audit intern pentru 79%
informatice următoarele arii de expertiză pentru a-și din respondenți.
putea îndeplini cu succes misiunile de Abilitățile tehnice rămân absolut
audit intern: necesare, însă auditorii interni ai viitorului
— Competențe IT, analiza datelor, trebuie să fie înzestrați cu o gamă largă
investigare fraudă pentru 89% din de atribute non-tehnice, suplimentar
respondenți; expertizei tehnice profunde (a se vedea
— Competențe tehnice pe procesele și graficul 25).
Bogdan Vlad
Director
Corporate Audit Services
NN România
Adela Ciucioi
Partener
Coordonatorul Sectorului
Tehnologie, Media &
Telecomunicații
KPMG în România
Adoptarea instrumentelor de analiză a Integrarea datelor și analizei datelor în
datelor oferă oportunitatea de a spori cadrul tehnologiilor compatibile,
eficiența și de a facilita concentrarea precum și a instrumentelor și
asupra ariilor cu cele mai mari riscuri tehnicilor de audit în toate etapele
potențiale. În acest context, am observat misiunii de audit (evaluare riscuri,
că 63% din respondenți consideră că planificare, execuție și raportare),
analiza datelor este extrem de importantă, oferă valoare adăugată proceselor
în timp ce 37% dintre aceștia o consideră interne ale companiei și diminuează
importantă. riscurile.
Tehnologia și digitalizarea
companiilor nu afectează
doar modul de lucru al
auditorilor prin creșterea
eficacității și eficienței
activităților desfășurate, ci
și planurile anuale de audit. Inovațiile din aria de automatizare unor anomalii (76%); și
Misiunile de audit intern inteligentă au potențialul de a crește — Creșterea eficienței (71%).
viteza, eficiența operațională, eficiența de Cum ar putea auditul intern să contribuie
sunt acum concentrate pe cost, controlul și acuratețea activităților la elaborarea și implementarea unui
subiecte noi, cum ar fi: zilnice. De asemenea, aceste inovații îi vor astfel de program:
securitatea cibernetică, susține pe profesioniști în a lua decizii — Prin integrarea guvernanței, riscurilor
corecte într-un timp mai scurt. și controalelor pe parcursul
confidențialitatea și Sondajul nostru relevă care sunt proiectului de automatizare;
securitatea datelor, beneficiile utilizării analizei datelor: — Prin identificarea oportunităților de
revizuirea aplicațiilor și — Prelucrarea unor volume foarte mari implementare a controalelor-cheie
de informații cu resurse și costuri mai automatizate într-un proces
sistemelor implementate. mici la un nivel de calitate ridicat operațional sau într-un alt
(82%); departament din companie;
— Identificarea mai ușoară a unor Bineînțeles, funcția de audit intern se
potențiale riscuri și a necesității de a poate baza pe automatizare pentru a-și
Flavia Cîmpean realiza o investigație aprofundată a eficientiza propriile activități.
Director
Transformation Grafic 29: Modurile în care tehnologia contribuie la desfășurarea
& Compliance misiunilor de audit intern
ENGIE România
Bazându-ne pe informațiile culese în urma interacțiunilor de a avea un comitet de conformitate sau de risc?
noastre avute cu comitetele de audit și liderii din mediul de Păstrarea ordinii de zi a comitetului de audit va necesita
afaceri în ultimele 12 luni, am evidențiat patru aspecte pe vigilență.
care comitetele de audit ar trebui să le ia în considerare pe
măsură ce își analizează și își desfășoară activitățile de pe Sporirea atenției companiei asupra culturii
ordinea de zi pentru anul 2019: organizaționale, eticii și conformității
— Examinarea, dintr-o altă perspectivă, a activităților și
volumului de lucru de pe ordinea de zi a comitetului Costurile reputaționale asociate unui eșec din prisma eticii
de audit; sau conformității sunt mai mari ca niciodată. Pentru un
— Sporirea atenției companiei asupra culturii program de conformitate eficace, mesajul transmis de
organizaționale, eticii și conformității; conducere și cultura organizațională reprezintă elemente
— Înțelegerea modului în care organizația financiară se fundamentale – unul care sprijină strategia companiei și
va reinventa și va adăuga o valoare sporită în acest angajamentul privind valorile declarate, etica și
mediu tehnologic, bazat pe date; conformitatea juridică și reglementară. Acest lucru este
— Concentrarea auditului intern asupra riscurilor-cheie adevărat, în special într-un mediu de afaceri complex, pe
ale companiei, mai presus de raportare financiară și măsură ce companiile se grăbesc să inoveze și să profite
conformitate. de oportunitățile unor piețe noi, să exploateze tehnologii și
date noi și să colaboreze cu mai mulți furnizori și cu alte
Examinarea, dintr-o altă perspectivă, a părți terțe în ceea ce privește lanțurile de aprovizionare
activităților și volumului de lucru de pe mult mai lungi și din ce în ce mai complexe.
ordinea de zi a comitetului de audit
Monitorizați îndeaproape climatul etic general și cultura din
Continuăm să auzim de la membrii comitetului de audit că întreaga organizație, concentrându-vă puternic asupra
este din ce în ce mai dificilă supravegherea riscurilor comportamentelor, nu doar asupra rezultatelor. Asigurați-vă
majore de pe ordinea de zi a comitetului, în plus față de că programele de conformitate cu cadrele de reglementare
responsabilitățile sale de bază în ceea ce privește și cele de monitorizare ale companiei sunt actualizate și
supravegherea (raportarea financiară și controalele interne acoperă toți furnizorii din lanțul de aprovizionare global și
aferente și supravegherea auditorilor interni și externi). Pe comunică, în mod clar, așteptările companiei în ceea ce
lângă orice alte elemente de pe ordinea de zi, riscurile pe privește standardele de etică ridicate. Concentrați-vă
care multe comitete de audit le au în vizor – securitatea asupra eficacității canalelor de raportare a încălcărilor și a
cibernetică și riscurile IT, lanțul de aprovizionare și alte proceselor de investigație ale companiei prin prisma
riscuri operaționale, precum și conformitatea juridică și propriei viziuni. Comitetul de audit vede toate plângerile
reglementară – au devenit mai complexe, asemenea denunțătorilor și modul în care acestea au fost abordate?
responsabilităților de bază ale comitetului. Dacă răspunsul este negativ, atunci care este procesul de
sortare a plângerilor care sunt raportate, în cele din urmă,
Reevaluați măsura în care comitetul de audit are timp și comitetului de audit? Ca urmare a transparenței radicale
expertiză pentru a supraveghea aceste riscuri majore. permise de rețelele de socializare, cultura organizațională,
Riscul cibernetic are nevoie de mai multă atenție din partea valorile și angajamentul față de integritatea și conformitatea
conducerii sau poate de un comitet separat? Există nevoia juridică, precum și reputația brandului unei companii, sunt
expuse mai mult ca niciodată.
Cât de des este evaluată maturitatea cadrului de gestionare implementarea unui sistem de control care să ajute la
a riscurilor în ceea ce privește securitatea cibernetică a prevenirea apariției crizelor și la atenuarea impactului
companiei? Cum ține compania pasul cu schimbările de acestora atunci când apar. Observăm, în mod clar, un
reglementare și noile cerințe juridice? Este compania la interes sporit din partea consiliilor cu privire la riscurile
curent cu practicile industriei și în contact cu aplicarea legii? culturale, precum și la riscurile operaționale cheie în cadrul
Dispune compania de un plan de pregătire și de reacție la organizației globale extinse – de exemplu lanțul de
incidente care să fi fost revizuit și testat? Primește consiliul aprovizionare și riscurile legate de externalizare, de
informațiile de care are nevoie (tablou de bord cibernetic) tehnologia informației și de securitatea datelor. Înțelege
pentru a supraveghea eforturile de securitate cibernetică? consiliul riscurile operaționale critice ale companiei? Ce s-a
schimbat în mediul operațional? A experimentat compania
Ce riscuri implică utilizarea unor baze de date voluminoase vreo deficiență legată de controlul intern? Este conducerea
și cine este responsabil de luarea deciziilor privind atentă la semnalele de avertizare timpurie privind siguranța,
colectarea și utilizarea datelor? Regulamentul general calitatea produselor și conformitatea?
privind protecția datelor (GDPR), recent intrat în vigoare în
Europa, ar trebui să impună evaluări riguroase ale practicilor Asigurați-vă că membrii din conducere analizează un
legate de date din cadrul companiilor. Într-adevăr, în spectru larg de scenarii de tipul „cum ar fi dacă”– începând
contextul unei legături strânse între confidențialitatea cu lanțurile de aprovizionare și starea financiară a
datelor și încredere și reputație, este esențială verificarea furnizorilor până la riscuri geopolitice, dezastre naturale,
realității: „Doar pentru că putem, nu însemna că trebuie.” acte teroriste și amenințări cibernetice. Este planul de
răspuns al companiei la criză unul solid și pregătit de
Reevaluarea capacității companiei de implementare? Este planul testat în mod activ sau sunt
prevenție a crizelor și gradul de pregătire efectuate simulări de atacuri posibile și apoi actualizat, dacă
este cazul? Are planul în vedere pierderea infrastructurii
a acesteia
critice – de exemplu rețelele de telecomunicații, sistemele
financiare, mijloacele de transport și aprovizionarea cu
Prevenirea crizelor și gradul de pregătire în fața acestora au
energie? Include protocoale de comunicare pentru a
devenit tot mai importante și urgente pentru consiliile de
menține consiliul informat cu privire la evenimente și la
administrație și conducere, pe măsură ce crizele cu care se
răspunsul companiei? Desigur, chiar și cele mai bine
confruntă companiile în ultimii ani sunt tot mai dese.
pregătite companii se vor confrunta cu o criză, însă tind să
Prevenirea crizelor este strâns legată de o gestionare solidă
îi țină piept mai bine acele companii care iau măsuri
a riscurilor – identificarea și anticiparea riscurilor și
prompte și eficiente.
kpmg.ro
Opiniile exprimate aici sunt cele ale respondenților și nu reprezintă neapărat punctele de vedere și opiniile KPMG.
Informațiile conținute aici sunt de natură generală și nu sunt destinate să abordeze circumstanțele unui anumit
individ sau entitate.
Deși ne străduim să furnizăm informații exacte și la timp, nu există nicio garanție că aceste informații sunt exacte la
data la care au fost furnizate sau că vor continua să fie corecte în viitor. Nimeni nu ar trebui să se bazeze în procesul
decizional pe astfel de informații fără o consiliere profesională adecvată și o examinare aprofundată a situației
particulare.
© 2019 KPMG România S.R.L., o societate cu răspundere limitată de drept român, membră a reţelei de firme
independente KPMG afiliate la KPMG International Cooperative („KPM G International”), o entitate elveţiană. Toate
drepturile rezervate.
KPMG și logoul KPMG sunt mărci înregistrate ale KPMG International Cooperative (“KPMG International”), o
entitate elveţiană.