Capitolul IV

RELAȚIA DINTRE AUDITUL INTERN ŞI AUDITUL EXTERN.

MANAGEMENTUL RISCURILOR ŞI AUDITUL INTERN

4.1 Relația dintre auditul intern şi auditul extern

4.2 Managementul riscurilor şi auditul intern

4.1 Relația dintre auditul intern şi auditul extern

La nivelul întreprinderii auditul intern se afla poziţionat şi în relaţie cu alte funcţii şi
activităţi cum sunt cele de:
- audit extern
- consultanță externă
- inspecție
- control de gestiune
- organizare internă
- calitate
- riscul de management

a) Audit intern şi extern – diferențele

Auditorul intern este de regulă angajatul întreprinderii în timp ce auditorul extern este
un prestator de servicii independent juridic de întreprindere. Auditorul intern lucrează doar în
folosul responsabililor întreprinderii iar auditorul extern ii are ca beneficiari ai lucrărilor sale
de certificare ai situațiilor financiare pe utilizatorii externi. Obiectivele auditorului intern sunt
aprecierea bunului control asupra activităţii întreprinderii şi recomandările pentru
îmbunătățirea acestui control, iar al auditorului extern sunt certificarea regularității, sincerității
şi imaginii fidele a contului situațiilor financiare şi rezultatele întreprinderii. În demersului de
audit extern utilizează dispozitivele de control intern ca urmare controlul intern este un mijloc
pentru auditul extern şi un obiectiv pentru auditul intern.
Domeniul de aplicare a auditului extern cuprinde toate funcțiile întreprinderii implicate
în stabilirea rezultatelor şi elaborarea situațiilor financiare dar numai acestea nu altele, pe când
auditul intern are un domeniu mult mai larg cuprinzând toate funcțiile întreprinderii în
dimensiunea lor integrala.
Auditul extern are în vedere orice fel de frauda care influențează situația financiara sau
care ar putea face acest lucru, în schimb auditul intern deși nu are ca scop principal descoperirea
fraudelor poate investiga orice frauda din întreprindere având posibilități mai mari în acest sens
decât auditul extern. Independenta auditului extern este una juridica şi statutara (autorizare pt.
libera practica) dar auditorul intern are o independenta mai restrânsa care se manifesta fata de
activitățile auditate nu şi fata de direcția generala a Întreprinderii.

1
 Auditul extern se desfășoară periodic intermitent la finele trimestrelor, semestrelor sau
exercițiului financiar el nefiind permanent în Întreprindere în timp ce auditul intern este prezent
în Întreprindere dar schimba frecvent interlocutorii care în cazul auditului extern sunt de regula
aceeași.
Auditul extern folosește pt. lucrările sale metode verificate cum ar fi comparațiile
analizele; iar auditul intern utilizează metode derivate de regula din cultura întreprinderii.
Auditul intern este complementul auditului extern întrucât daca primul exista ca funcție
atunci cel deal doilea se poate folosi de lucrările sale. Auditul extern este complementul
auditului intern deoarece primul poate furniza o apreciere a gradului de control al afacerilor iar
al doilea poate sa recurgă la sprijinul primului în diferite situații impuse de fundamentarea
opiniei. Auditorii interni şi externi pot conveni să aibă acces reciproc la programele şi dosarele
de lucru. Intre auditul intern şi extern se pot face schimb de informații diferite cu privire la
datele despre Întreprindere la mediul intern sau extern după caz precum şi la aspecte privind
organizarea Întreprinderii.

b) Auditul intern şi consultanța externă

Auditul intern poate sa înlocuiască consultanta externa în măsura în care deține
suficiente informații cu privire la mediul extern al întreprinderii. Ambele funcțiuni au rolul de
consiliere a managementului.

c) Auditul intern şi inspecția

Între cele doua funcții exista următoarele diferențe:
-inspecția nu interpretează regulile şi directivele managementului.
-inspecția intervine fără mandat în timp ce auditul are nevoie de mandate
-inspecția poate sa sesizeze la rândul sau şi unele aspecte separate de audit
-inspecția realizează controale exhaustive (complete)

d) Auditul intern şi controlul de gestiune

Asemănări:
-au caracter universal ocupându-se de toate activităţile a întreprinderii
-atât auditorul cât şi controlorulul de gestiune sunt incompatibili cu domeniul
operaţional, ei semnalează, recomanda şi propun soluţii ori masuri.
-se situează la un nivel ierarhic înalt în Întreprinderile, beneficiind de autonomie şi
independenta
-sunt funcții relative noi apărute sub acoperirea acelorași premise şi se afla încă în plină
dezvoltare
Intre cele 2 funcțiuni exista şi deosebiri constând în principal în următoarele:
-auditul intern se ocupa cu aprecierea gradului de control deținut asupra afacerii şi
realizează un diagnostic al dispozitivului de control intern, în timp ce controlul de gestiune are

2
ca obiectiv principal furnizarea de asigurări cu privire la utilizarea eficienta a resurselor
încredințate întreprinderii.
-controlul de gestiune se bazează pe 4 puncte de sprijin (mijloace, proceduri, acțiuni şi
atitudini) şi de asemenea concepe şi urmărește funcționarea sistemelor de informare ale
Întreprinderii având o componenta cifrica, iar auditul intern acoperă mai multe domenii care
exced cifrele interesându-se de relații sociale, calitate, mediu.
-periodicitatea auditului intern este determinat de risc, iar a controlului de gestiune de
rezultate şi raportări.

e) Auditul intern şi calitate

Conceptul de calitate la nivelul întreprinderii se examinează din perspective a doua
proceduri care se diferențiază formal şi care poarta denumirea de calitate totala şi asigurarea
calității. Ca urmare asemănările şi deosebirile dintre auditul intern şi calitate trebuie să se facă
separat pe cele 2 concepte.

4.2 Managementul riscurilor şi auditul intern

Auditul intern nu trebuie sa-şi mai concentrează atenţia pe control, ci pe risc. În aceeaşi
ordine de idei, auditorii au devenit mult mai interesaţi de prezent şi viitor, în detrimentul
trecutului. Atenţia exagerată acordată controlului tranzacţiilor l-a îngropat pe auditorului intern
în detaliile trecutului, limitând valoarea informaţiilor astfel obţinute. Analizând în special
riscurile aferente activităţii prezente şi viitoare, auditorul a depăşit nivelul detaliilor, ocupându-
se acum de obstacolele ce stau în calea succesului unei organizaţii.
Riscul reprezintă incertitudinea că un eveniment s-ar putea produce şi ar afecta
atingerea obiectivelor propuse. Riscul se măsoară prin elementele sale componente:
- probabilitatea de apariţie;
- nivelul impactului, respectiv gravitatea consecinţelor şi durata acestora.
Privit prin prisma gestionarii riscurilor, riscul este întotdeauna legat de obiective - acest
lucru ne permite o analiza în limitele plajei de activitate al obiectivelor. Dacă nu am avea
obiective şi n-am cunoaşte cadrul de activitate pentru atingerea fiecăruia, analiza şi gestionarea
riscurilor nu ar avea obiect şi/sau un punct de reper.
De asemenea putem defini riscul drept „incertitudinea unui rezultat în cadrul unei game
largi de expuneri ce izvorăsc dintr-o combinaţie de impact şi probabilitate a unor evenimente
potenţiale".
Există risc în tot ceea ce facem. O situaţie de risc zero este una în care ştim exact ce se
va întâmpla şi nu există nici o şansă (dubiu) de variaţie, lucru de altfel imposibil. Nu toate
riscurile au o conotaţie exclusiv negativă, unele pot crea oportunităţi. O bună gestionare a
riscurilor înseamnă practic să păstrezi un risc nedorit în anumite limite admise şi să exploatezi
latura „oportună" a acestuia.

3
 Strategia de risc a unei organizaţii este o strategie coordonată de consiliul sau
organismul cu puteri similare, prin intermediul căreia se stabileşte nivelul apetitului pentru risc
al organizaţiei, preferinţele privind asumarea riscurilor şi opţiunile de soluţionare.
Gestionarea riscurilor este un proces dinamic de luare a tuturor măsurilor rezonabile
pentru a descoperi şi trata toate riscurile care au impact asupra obiectivelor noastre. Importantă
este reacţia la riscuri şi deciziile luate în funcţie de opţiunile disponibile (stabilite în funcţie de
resursele disponibile). Deci, resursele şi procesele organizaţionale sunt aliniate pentru a face
faţă riscurilor ori de câte ori acestea sunt identificate.
Gestionarea riscurilor este recunoscută ca o parte integrantă a bunelor practici de
conducere. Pentru maxima eficacitate, gestionarea riscurilor trebuie să se integreze şi culturii
organizaţionale, în filozofia, practicile şi planurile de acţiune ale acesteia, mai degrabă decât
să fie privită şi exersată ca un episod singular. Atunci când se reuşeşte punerea ei în practică,
gestionarea riscurilor devine treaba fiecărei persoane din organizaţie.
Riscurile care trebuie să ne îngrijoreze sunt cele viitoare. Dacă un anumit eveniment s-
a desfăşurat fără ca riscurile aferente lui să se materializeze, fie am avut noroc, fie riscul a fost
gestionat eficace. Noua orientare spre riscurile viitoare este cea mai mare provocare ridicată de
gestionarea riscurilor, dar totodată ea aduce şi avantaje reale pentru organizaţie. Este mult mai
bine să prevezi, să anticipezi şi să încerci să reduci probabilitatea ca un risc să se producă şi /
sau să reduci impactul pe care îl va avea asupra organizaţiei într-o astfel de situaţie decât să
reacţionezi la un risc deja materializat sau să înveţi să trăieşti cu consecinţele acestuia.
Avantajele gestionării riscurilor
• O planificare a activităţii pe baze cât mai reale;
• Masurile sunt luate în timpul necesar pentru avea eficacitate;
• O mai mare siguranţă ca obiectivele şi ţelurile activităţii sunt atinse
• Conştientizare şi entuziasm în exploatarea oportunităţilor;
• Un control al pierderilor mai bun;
• Un control mai bun asupra cheltuielilor operaţionale;
• O mai mare flexibilitate prin utilizarea unei game largi de operaţiuni ;
• Mai puţine surprize costisitoare;
Gestionarea riscurilor la nivel de organizaţie, este un proces derulat de consiliul director
al unei entităţi, cadrele de conducere şi de o anumită parte a personalului, aplicat în stabilirea
strategiei în întreaga organizaţie, fiind conceput să identifice evenimentele potenţiale care pot
să afecteze entitatea şi să gestioneze riscurile viitoare în limitele apetitului pentru risc, cu scopul
de a furniza un nivel satisfăcător de asigurare în ceea ce priveşte atingerea obiectivelor
organizaţionale.
Gestionarea riscurilor la nivel de organizaţie este strâns legată de conducerea
corporativă, prin furnizarea de informaţii către consiliul director privind cele mai importante
riscuri şi modul cum acestea pot fi gestionate. De asemenea, există o strânsă conexiune cu
gestionarea performanţei, prin punerea la dispoziţie a unor măsuri croite în funcţie de riscuri,

4
dar şi cu controlul intern, care este o parte integrantă a gestionarii riscurilor la nivel de
organizaţie.
Ipoteza de la care porneşte gestionarea riscurilor la nivel de organizaţie se bazează pe
faptul că fiecare entitate, fie ea comercială, non-profit sau organism guvernamental, există
pentru a aduce valoare factorilor săi interesaţi. Dar, toate entităţile, indiferent de natura lor, se
confruntă cu nesiguranţa, iar provocarea cea mai mare căreia trebuie să îi facă faţa conducerea
este să stabilească ce nivel de nesiguranţa este pregătită organizaţia să accepte în misiunea ei
de a aduce şi mai multă valoare factorilor interesaţi. Incertitudinea aduce cu ea deopotrivă
riscuri şi posibilităţi, putând să erodeze sau să sporească valoarea. Gestionarea riscurilor la
nivel de organizaţie pune la dispoziţia conducerii un cadru de abordare eficace a incertitudinii
şi a riscurilor şi posibilităţilor eferente acesteia, sporindu-i astfel capacitatea de a consolida
valoarea.
Mediul intern al organizaţiei reprezintă fundaţia tuturor celorlalte componente ale
gestionarii riscurilor la nivel de organizaţie, oferind deopotrivă disciplină în cadrul structurii.
Mediul intern influenţează modul de stabilire a strategiei şi obiectivelor, de structurare a
activităţii şi de identificare şi evaluare a riscurilor, dar şi măsurile luate în privinţa acestora.
Influenţează de asemenea conceperea şi funcţionarea activităţilor de control, sistemelor
informaţionale şi de comunicare şi monitorizarea activităţilor.
Mediul intern se compune la rândul său din mai multe elemente, incluzând valorile etice
ale organizaţiei, competenţa şi dezvoltarea personalului, stilul de conducere şi modul de
desemnare a autorităţii şi responsabilităţii. Existenţa unui consiliu director ca o parte esenţială
a mediului intern poate influenţa decisiv celelalte elemente ale mediului intern, astfel ea va
elabora o filozofie de conducere, va stabili limitele apetitului pentru risc, va pune bazele unei
culturi a riscului şi va integra gestionarea riscurilor la nivel de organizaţie în toate activităţile.
În contextul unei misiuni sau viziuni bine stabilite, conducerea stabileşte obiective
strategice, selectează strategii şi stabileşte obiectivele corespunzătoare care se propagă la toate
nivelele organizaţiei şi care sunt aliniate şi corelate strategiei.
Evaluarea riscurilor permite unei entităţi să analizeze modul în care evenimentele
potenţiale ar putea să afecteze atingerea obiectivelor. Conducerea evaluează evenimentele din
doua perspective: probabilitate şi impact.
Probabilitatea reprezintă posibilitatea ca un anumit eveniment să aibă loc, în timp ce
impactul reprezintă efectul produs în acest caz. Acestea sunt deseori estimate pe baza datelor
colectate în timpul unor evenimente trecute observabile, care pot să furnizeze mai degrabă o
baza obiectivă de apreciere, decât una subiectivă. Datele generate intern pe baza propriei
experienţe a entităţii pot să reflecteze rezultate mai puţin subiective decât cele provenite din
surse externe.
Evaluarea riscurilor se face mai întâi asupra riscurilor inerente - riscul care exista în
orice organizaţie, în absenţa oricărei măsuri pe care conducerea o poate lua pentru a modifica
impactul sau probabilitate riscului. Odată definită reacţia la risc, conducerea foloseşte tehnicile

5
de evaluare a riscurilor pentru a stabili nivelul riscului rezidual - riscul rămas după ce
conducerea a luat măsuri de modificare a impactului sau probabilităţii acestuia.
Conducerea identifica opţiunile de care dispune pentru a răspunde riscului şi analizează
efectele acestora asupra probabilităţii apariţiei evenimentului şi a impactului aferent, în strânsă
legătură cu toleranţa la risc şi raportul cost-beneficiu, iar ulterior, concepe şi implementează
reacţiile la risc. Analizarea reacţiei la risc, selectarea şi punerea în aplicare a răspunsului la risc
sunt părţi integrante ale gestionarii riscurilor. O gestionare eficace a riscurilor la nivel de
organizaţie, presupune definirea unei poziţii de către conducere, poziţie care se aşteaptă să
aducă la un nivel al probabilității şi impactului aferent, până la limitele de toleranţa agreate de
organizaţie.
Conducerea - directorul general sau ordonatorul de credite, este organul suprem de
răspundere şi trebuie să-şi asume responsabilitatea asupra gestionarii riscurilor la nivel de
organizaţie. Mai mult decât oricine altcineva, directorul general/ordonatorul de credite, dă
„tonul la cel mai înalt nivel", fapt ce afectează integritatea, principiile etice şi ceilalţi factori ai
mediului intern. Intr-o companie/instituţie foarte mare, managerul îşi îndeplineşte sarcinile
conducând şi îndrumând cadrele superioare, revizuind felul în care aceştia conduc activitatea.