Sunteți pe pagina 1din 27

Audit intern Managementul riscurilor Audit intern - control intern - managementul riscurilor

Controlul intern cuprinde un set de cinci componente inter-corelate care fac parte din procesul managerial1. Aceste componente se regsesc ntr-o msur mai mare sau mai mic, n funcie de dimensiune, n toate organizaiile2. Iat despre ce este vorba: Mediul de control; Evaluarea riscurilor; Activitile de control; Informaiile i comunicarea; Monitorizarea. Mediul de control d tonul ntr-o organizaie influennd n mod decisiv atitudinea oamenilor fa de control. Altfel spus, mediul de control reprezint fundamentul tuturor celorlalte componente, asigurnd disciplina. Printre factorii3 care influeneaz mediul de control se regsesc: integritatea, valorile etice, competena personalului angajat, filosofia managementului i maniera sa de aciune, desemnarea autoritii i responsabilitilor, etc. Evaluarea riscurilor. Aa cum indicam ntr-unul din capitolele precedente ale lucrrii de fa, fiecare organizaie este expus unor riscuri a cror probabilitate i impact trebuie evaluate. O precondiie pentru evaluarea riscurilor const n stabilirea obiectivelor corelate att
1 2

www.coso.org/publications/executive_summary_integrated_framework.htm Materialul este realizat n baza unei selecii efectuate din L. Dobroeanu, C.L. Dobroeanu, Audit intern, Editura InfoMega, 2007, pag. 67 73 i 135 156 3 L. Dobroeanu, C.L. Dobroeanu, Audit: concepte i practici, Editura Economic, 2002, pag. 194-196

pe vertical ct i pe orizontal n cadrul unei organizaii. Evaluarea riscurilor presupune identificarea acestora i analiza lor prin prisma pericolului pe care-l reprezint vis-a-vis de obiectivele organizaiei. Astfel, se constituie ceea ce numim fondul de riscuri ce trebuie administrate. Unele organizaii, ndeosebi cele mari, au creat o structur operaional distinct care s realizeze acest proces complex, cunoscut sub denumirea de managementul riscurilor organizaiei (ERM)4. Totodat, dat fiind faptul c circumstanele economice, legislative etc. sunt n continu schimbare, sunt necesare mecanisme noi pentru a identifica i controla riscurile asociate acestor schimbri. Activitile de control reflect politicile i procedurile de control aplicate la nivelul ntregii organizaii incluznd, spre exemplu, aprobri, autorizri, examinri, reconcilieri, etc. Informaiile i comunicarea. Sistemele informaionale produc informaii necesare pentru derularea cotidian a afacerilor, cum ar fi rapoarte privitoare la aspecte financiare, operaionale, etc. Fr o comunicare eficace, att pe vertical ct i pe orizontal, orice sistem informaional este lipsit de valoare. Monitorizarea. Sistemele de control intern trebuie monitorizate, n sensul de a fi evaluate prin prisma performanelor sale de-a lungul timpului. n lipsa unei astfel de monitorizri, eficiena i eficacitatea controalelor interne nu ar fi cunoscute i, n consecin, nu ar putea fi corectate deficienele, dup cum nu ar putea fi consolidate punctele sale forte. Aria de acoperire i frecvena acestor evaluri depinde de procesul de evaluare a riscurilor i de eficacitatea procedurilor de monitorizare. Din nefericire, exist o seam de ateptri nerealiste privind performanele controlului intern, n sensul c se presupune c acesta poate garanta succesul afacerilor organizaiei sau c poate garanta credibilitatea informaiilor contabile din raportrile financiare. Nici una, nici cealalt dintre ateptrile expuse mai sus nu sunt rezonabile deoarece, la rndul su, controlul intern nu este o soluie magic pentru
4

Engl. Enterprise Risc Management

toate problemele unei organizaii. Da, controlul intern poate sprijini organizaia s-i ating obiectivele, dar nu poate transforma un manager incompetent, raportrilor calcul. Auditului intern n aceste circumstane i revine un rol important legat de monitorizare: evaluarea continu a eficienei i eficacitii controlului intern. De aici survin i confuziile legate de suprapunerea auditului intern cu controlul intern. Privit din afara organizaiei, n baza componentelor controlului intern prezentate mai sus, un observator ar putea asocia auditul intern drept o structur din ntregul univers al controlului intern. Dar, analizat prin prisma rolului jucat n interiorul organizaiei, auditul intern nu se poate judeca pe sine cu credibilitate. Prin urmare, este absolut obligatoriu ca cele dou structuri s fie separate: una aplic, cealalt monitorizeaz i evalueaz. n conjuncie cu publicarea raportului COSO Enterprise risk management Integrated framework, IIA a emis un ghid adresat efilor departamentelor de audit care prezint recomandrile privind relaiile auditului intern cu ERM din cadrul organizaiilor lor5. Printre altele, scopul acestui ghid vizeaz stabilirea unei linii de demarcaie clare ntre managementul riscurilor i responsabilitile auditului intern vis-a-vis de cele dou. Astfel, principalele activiti ale auditului intern n relaia cu ERM sunt: furnizarea unei asigurri cu privire la procesele de management al riscurilor; furnizarea unei asigurri cu privire la faptul c riscurile sunt evaluate corect; evaluarea proceselor de management al riscurilor; ntr-unul financiare, competent. controlul Sau, referitor nu poate la credibilitatea lacte intern pune

creativitii contabile ori elimina pentru totdeauna greelile inerente de

www.theiia.org IIA, The role of internal audit in enterprise-wide risk management, 2004

evaluarea raportrilor privitoare la riscurile eseniale6; analiza managementului riscurilor eseniale. Privitor la rolul legitim pe care-l are auditul intern, IIA subliniaz: facilitarea identificrii i evalurii riscurilor; consilierea conducerii pentru a adopta msuri de protecie mpotriva riscurilor; coordonarea activitilor ERM; consolidarea raportrilor privind riscurile; meninerea i dezvoltarea cadrului ERM; dezvoltarea strategiei de management a riscurilor supuse aprobrii consiliului de administraie. Totodat, IIA avertizeaz asupra rolurilor pe care auditul intern nu trebuie s i le asume7: stabilirea apetitului pentru risc; impunerea proceselor de management al riscurilor; asigurarea managementului cu privire la riscuri adoptarea deciziilor privind msurile de contracarare a riscurilor; implementarea acestor msuri n numele managementului; Studiu de caz Keos Keos este o companie care distribuie consumabile pentru tehnica de calcul. Sistemul de procesare a comenzilor provenite de la clieni, respectiv a facturrii produselor livrate adoptat de Keos este urmtorul: Dra. Kate, operator la departamentul de vnzri, nregistreaz comenzile ntr-un registru de comenzi, pre-numerotat, emis patru exemplare (1 original i trei copii) pentru fiecare comand, numai dup ce a interogat baza de date referitoare la registrul de vnzri. Interogarea are drept scop asigurarea c limitele de credit alocate pe clientul respectiv nu sunt depite. Clienii noi sunt supui n prealabil
6 7

Engl.- key risks Reamintim c, n acest context, responsabilitatea pentru stabilirea apetitului pentru risc al conducerii revine ERM.

procesului de stabilire a limitelor de creditare, operaiune efectuat de ctre managerul departamentului de vnzri; Primul exemplar (originalul) al comenzii este reinut la serviciul de vnzri, iar cele trei copii sunt trimise la depozit pentru a fi autorizat livrarea. Depozitul selecteaz produsele comandate i le ambaleaz. Comenzile pentru produsele care nu se gsesc n stoc sunt nregistrate ntr-un fiier de ateptare i sunt procesate n momentul n care stocurile sunt primite. Exemplarele doi i trei ale comenzii sunt trimise clientului mpreun cu produsele livrate, cernd clientului s semneze exemplarul doi i s-l restituie agentului de distribuie Keos. Cea de-a patra copie este trimis la serviciul de contabilitate i este confruntat cu exemplarul doi returnat de client. Detaliile exemplarului patru sunt introduse de ctre dra. Sharon, operator registrul vnzri, n fiierul privind registrul de vnzri. Programul prevede o serie de chei de control pentru a preveni riscul de a nu introduce greit codul clientului sau al produselor livrate. n caz de eroare, programul respinge nregistrarea i solicit corectarea informaiilor. Apoi, programul emite automat factura, n dublu exemplar, care cuprinde toate informaiile referitoare la client i preul produselor livrate acestuia. Primul exemplar al facturii este trimis clientului, iar exemplarul al doilea este ataat exemplarelor de comand doi i patru. Registrul de vnzri este actualizat automat, iar la finalul fiecrei zile, programul genereaz o list a tuturor facturilor emise n ziua respectiv. Programul genereaz un raport de vnzri la finalul fiecrei sptmni, iar suma total este confruntat de Sharon cu valoarea nregistrat pentru aceeai perioad n registrul de vnzri. Pe baz lunar, programul emite o situaie complex privind analiza creanelor i maturitatea acestora pe fiecare client. Sharon are responsabilitatea de a transmite clienilor situaia privind datoriile lor fa de Keos, de a avertiza clienii care nu-i achit datoriile la scaden i de a conveni cu acetia mecanisme de reealonare a plilor. O analiz a creanelor

relev faptul c durata de ncasare a acestora s-a mrit de la 39 la 74 zile pe parcursul anului curent, dei politicile Keos prevd o scaden de 30 de zile. Cerine: 1. Identificai deficienele de control intern referitoare la procedurile Keos privind sistemul descris. 2. Descriei procedurile care ar permite reducerea perioadei de ncasare a creanelor de ctre Keos.

Strategia de audit RBA8

Strategie de audit bazat pe riscuri - engl. Risk Based Auditing (RBA)

1. Strategia de audit RBA Vom ncepe discuia noastr n acest capitol prin a sublinia c strategia RBA i planul de audit sunt dou componente strns legate ntre ele, fapt recunoscut de altfel i de standardele de audit intern: eful departamentului de audit intern trebuie s elaboreze un plan de audit pe baza riscurilor (n.n. RBA) pentru a determina prioritile activitilor auditului intern n conformitate cu obiectivele organizaiei9 sau programul misiunilor de audit intern trebuie s aib la baz evaluarea, cel puin anual, a riscurilor10. n ciuda cerinelor normelor profesionale, practicile de elaborare a planurilor de audit intern i a programelor de misiune sunt variate, majoritatea acestora fiind ancorate la o strategie tradiional de audit care plaseaz n centrul ateniei auditului intern una sau mai multe dintre urmtoarele variante: auditul pe procese, pe funcii, pe meserii, pe teme, auditul de conformitate, auditul operaional, etc. Aceste abordri tradiionale vizau auditarea intern a tot ce era posibil. La polul opus, strategia prevzut de standardele internaionale de audit intern RBA implic o selecie i o prioritizare a activitilor i misiunilor de audit intern pe baza unei evaluri a riscurilor, astfel nct auditul intern s serveasc ntr-adevr obiectivelor organizaiei. Schimbarea de strategie produce efecte asupra modului n care se desfoar activitatea de audit intern, efecte pe care le discutm att aici, dar i n cadrul altor paragrafe si capitole ale lucrrii noastre. Griffiths11 prezint urmtoarele precondiii necesare pentru a putea aplica strategia RBA: Organizaia cunoate toate riscurile inerente semnificative, adic cele situate peste nivelul apetitului pentru risc; Organizaia i-a evaluat riscurile, astfel nct acestea pot fi prioritizate n funcie de pericolul pe care-l reprezint;

Standardul de performan IIAS 2010, Planificarea Standardul de aplicare IIAS 2010.A1, Misiunile de audit 11 D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 26
10

Organizaia i-a definit apetitul pentru risc, astfel nct riscurile inerente i cele reziduale12 pot fi evaluate i clasificate n funcie de acesta. La rndul lor precondiiile pot fi satisfcute numai dac: La nivelul organizaiei, consiliul a adoptat un set adecvat de politici de control intern; Apetitul pentru risc a fost aprobat de ctre consiliu; Directorii executivi au fost instruii corespunztor pentru a avea abilitile cerute pentru identificarea riscurilor, evaluarea lor, pentru proiectarea, punerea n aplicare i monitorizarea sistemelor de control care asigur implementarea politicilor adoptate de consiliu. Etapele RBA sunt: 1. examinarea registrului riscurilor i determinarea riscurilor asupra crora auditorii vor trebui s formuleze o opinie cu privire la gradul de control exercitat; 2. elaborarea planului de audit (anual) i obinerea aprobrii comitetului de audit asupra acestuia; 3. realizarea misiunilor de audit care vor furniza baza pentru opiniile auditorilor; 4. actualizarea universului de audit13 i riscuri, pe msur ce sunt obinute informaii suplimentare. n practic, obinerea unei asigurri cu privire la registrul riscurilor este realizat de obicei o singur dat sau pn n momentul n care auditorii capt ncrederea c registrul riscurilor poate fi utilizat ca o baz credibil n etapele urmtoare. Etapa a doua este realizat anual, sub rezerva c planul de audit poate fi revizuit i modificat n cursul anului. Etapa a treia are o frecven mult mai mare, determinnd i frecvena etapei a patra. Primele dou etape sunt prezentate n cadrul

12 13

Pentru detalii privind riscurile inerente i reziduale vezi paragraful 8.2.2. O lista cu procesele (domeniile) auditabile.

acestui capitol, urmnd ca ultimele dou etape fie prezentate distinct, n cadrul capitolului urmtor al lucrrii. 2. Prima etap: Examinarea registrului riscurilor14 Obiectivele acestei etape vizeaz obinerea unei asigurri cu privire la faptul c riscurile situate peste nivelul apetitului pentru risc au fost identificate i evaluate corect de ctre conducere, cu scopul de a stabili credibilitatea folosirii ulterioare a registrului de riscuri. n acest sens, auditorii interni aplic urmtoarele proceduri de audit: discuii (interviuri, chestionare, mese rotunde etc.) cu managementul executiv i consiliul de administraie cu privire la riscurile la care este expus entitatea. Auditorii urmresc astfel s se conving de faptul c toat conducerea nelege importana riscurilor i ntreprinde eforturi de ameliorare a acestora; documentarea urmtoarelor aspecte: o obiectivele organizaiei; o metodele utilizate de ctre conducere pentru a evalua riscurile semnificative precum i alocarea responsabilitilor pentru diferite procese din cadrul organizaiei; o scala de evaluare utilizat pentru dimensionarea relevanei riscurilor; o declaraia consiliului privind definirea apetitului su pentru risc; o maniera n care riscurile vor fi integrate n procesele decizionale; o registrul riscurilor. Examinarea documentelor obinute; Formularea unei concluzii cu privire la credibilitatea i posibilitatea utilizrii registrului riscurilor pentru aciunile ulterioare. Dac auditorii interni ajung la concluzia c, pentru a fi credibil i
14

D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 30-39

utilizabil, registrul riscurilor necesit ajustri sau corecii minore, trebuie s solicite consiliului de administraie i managementului executiv s le opereze. n cazul n care registrul nu poate fi deloc utilizat sau nu exist, auditorii pot lua n considerare sprijinirea organizaiei n construirea sau corectarea registrului, n funcie de caz. Paragrafele 8.2.1. i 8.2.2. de mai jos detaliaz activitatea auditorilor n cazul n care registrul riscurilor nu exist n cadrul organizaiei. Decizia auditorilor interni n acest ultim caz trebuie luat n acord cu sugestiile comitetului de audit care trebuie informat printr-un raport asupra faptului c registrul riscurilor nu exist sau nu este utilizabil. 2.1. Registrul riscurilor: coninut i tehnici de elaborare Registrul riscurilor reprezint o list complet a riscurilor (de obicei o baz de date) identificate de conducerea organizaiei, care amenin atingerea obiectivelor organizaiei. Dac n cadrul organizaiei exist o funcie de management al riscurilor, atunci construirea i actualizarea acestei baze de date este responsabilitatea acesteia. Evident, volumul de munc al auditorilor interni este mult redus dac managementul riscurilor exist i funcioneaz corespunztor. n lipsa managementului riscurilor, auditorii interni pot sprijini i consilia conducerea superioar (consiliul) n ceea ce privete nfiinarea registrului de riscuri, evaluarea riscurilor i determinarea apetitului pentru risc. Dat fiind faptul c exist numeroase organizaii care se situeaz n cea de-a doua ipostaz, n continuare, vom expune activitile auditorilor interni aplicabile n contextul acestora. Construirea registrului riscurilor nu este o sarcin tocmai uoar. Chiar dac se presupune c auditorii interni nu poart responsabilitatea construirii registrului riscurilor, a evalurii riscurilor i a determinrii apetitului pentru risc, nelegerea acestui proces ajut auditorii interni s poat evalua credibilitatea registrului de riscuri obinut. n ceea ce privete registrul riscurilor, rspunsul la ntrebarea registrul riscurilor include toate riscurile semnificative? este crucial.

Punctul de pornire const n a formula, pe baza propriei experiene, anticiprile privind riscurile poteniale care amenin obiectivele, pentru a le putea discuta ulterior n ntlnirile cu persoanele relevante din cadrul organizaiei. Fiecrui risc anticipat, i sunt ataate apoi procesele de control care, prezumabil, reduc riscurile respective sau, mai bine zis, le controleaz. Detaliind, la un nivel imediat inferior, procesele de control devin, la rndul lor obiective, ameninate de alte riscuri, ameliorate de alte controale, etc. Ierarhizndu-le astfel, ntr-o abordare logic, din aproape n aproape, pot fi identificate, pe rnd, toate riscurile i se poate construi registrul riscurilor. Anexa 1 prezint un exemplu de ierarhizare n acest sens. Aceast manier de identificare a riscurilor, dei dificil de aplicat (dar, reinem c odat construit, registrul riscurilor nu trebuie dect actualizat, ulterior deci chinul nu dureaz la infinit!) este facil de urmrit i de neles de ctre consiliu, respectiv uor de utilizat de ctre auditorii interni n elaborarea planurilor anuale de audit. De reinut faptul c procesele de control indicate n cadrul acestei ierarhii sunt cele ce pot ameliora riscurile considerate, nu cele pe care le aplic organizaia. n mod firesc, ntre acestea i cele utilizate de organizaie, ar trebui s existe o apropiere foarte mare, ns pot exista situaii (ce pot fi descoperite astfel) n care nu sunt procese de control care s amelioreze anumite riscuri, dup cum pot fi identificate controale inutile. Totui, aceast dezvoltare arborescent poate deveni foarte complex, motiv pentru care este necesar structurarea ei astfel nct s fie utilizabil. Structurarea acesteia trebuie s in cont de dou aspecte: riscurile care amenin procesele superioare15 din ierarhie, respectiv procesele de control care, prezumabil, le amelioreaz. Unii auditori interni prefer construirea registrului riscurilor plecnd direct de la surs: consiliul de administraie i persoanele relevante din cadrul organizaiei. Dei, aceast procedur direct economisete foarte mult timp preios, prezint dezavantajul c, unele riscuri pot rmne neidentificate, dat fiind faptul c auditorii nu mai au o baz de
15

Procesul din ierarhie este compus din secvena: risc-proces de control (sub-obiectiv).

confruntare pregtit de ei anterior. n rest, procedura de ierarhizare, etc. rmne aplicabil. De principiu, exist trei proceduri utilizate cu scopul de a identifica riscurile: Interviul; Seminariile de identificare a riscurilor (engl. risk workshops); Evidenele contabile. Interviul. Rezultatele unui interviu reflect punctul de vedere individual exprimat de ctre cel intervievat referitor la riscurile la care obiectivele organizaiei sunt expuse. Printre avantajele aceste proceduri se numr: uurina stabilirii unei ntrevederi cu o singur persoan fa de un grup de persoane, respectiv confortul mai mare al intervievatului n exprimarea punctelor sale de vedere pe care ntr-un seminar poate nu i le-ar exprima deschis. Printre dezavantajele utilizrii acestei proceduri pot fi enumerate dificultatea de a omogeniza punctele de vedere individuale exprimate i de a clasifica riscurile astfel obinute. Seminariile de identificare a riscurilor. Rezultatele seminariilor se concretizeaz ntr-o list de riscuri care pun n pericol obiectivele organizaiei, respectiv o dimensionare a probabilitii i consecinei acestora. Un avantaj al utilizrii acestei proceduri const n faptul c persoanele interacioneaz i creeaz idei noi. Evidenele contabile. Examinarea fiecrei clase/poziii din situaiile financiare sau din evidenele contabile, precum i a evenimentelor ataate acestora poate scoate la iveal o serie de riscuri importante. n acest moment registrul riscurilor, fie ajustat cu rezultatele procedurilor expuse mai sus, fie obinut n exclusivitate n baza acestora, trebuie transpus ntr-o baz de date computerizat pentru a facilita clasificarea i utilizarea lui ulterioar. 2.2. Dimensionarea relevanei riscurilor Avnd construit registrul riscurilor, pasul urmtor trebuie s vizeze sprijinirea consiliului n ceea ce privete rafinarea registrului riscurilor prin identificarea tuturor riscurilor semnificative prin raportare la

apetitul pentru risc. Dimensionarea relevanei riscurilor (R) este realizat prin prisma celor dou variabile componente ale fiecrui risc: consecina (C) i probabilitatea (P). Aritmetic, relaia de calcul este exprimat astfel: R=CxP Reamintim c, dac n cadrul organizaiei exist un departament de management al riscurilor, aceasta evaluare ar fi responsabilitatea acestuia. n cele ce urmeaz vom prezenta un model de cuantificare a relevanei riscurilor, cu meniunea c modelul nu este infailibil, el putnd fi adaptat sau modificat, n funcie de preferinele auditorilor pentru o msurare mai exact sau mai grosier. Cteva precizri legate de modelul de cuantificare a semnificaiei riscurilor: 1. am utilizat o scal de dimensionare pe cinci nivele, fiecrui nivel atandu-i valori numerice cuprinse ntre 1 i 5, detaliat n tabelul 1. de mai jos.

Tabelul 1. Dimensionarea relevanei riscului Dac se produce riscul, Consecinele acestuia ar fi: SAU, Probabilitate a riscului 1 nchiderea organizaiei total sau parial pe un orizont de timp lung (5) Imposibilitatea organizaiei de a-i atinge obiectivele sale majore pe un orizont de timp ndelungat (4) Imposibilitatea organizaiei de a-i atinge unele obiective pe o perioad de timp limitat (3) Apariia unor pagube fr s fie afectat atingerea obiectivelor majore ale organizaiei (2) Apariia unor pagube minore, fr a fi afectat atingerea obiectivelor organizaiei (1) este: 2 Foarte ridicat (5) Ridicat (4) Medie (3) Redus (2) Foarte redus (1) 3 =1x2 Foarte mare (25) Mare (16) Medie (9) Redus (4) Foarte redus (1) Relevana riscului:

2. momentul dimensionrii relevanei riscurilor: nainte sau dup evaluarea proceselor de control ataate acestora? Literatura de specialitate i practicile relev preferine diferite pentru momentul msurrii relevanei riscurilor. Normele profesionale de audit intern recomand dimensionarea riscurilor att nainte, ct i dup ce procesele de control au fost evaluate. Reinem de aici urmtoarele: Riscul inerent (brut, absolut), este riscul dimensionat nainte de a evalua eficacitatea i eficiena controalelor interne; Riscul rezidual (net, controlat), este riscul dimensionat dup ce au fost evaluate eficiena i eficacitatea controalelor interne ale organizaiei.

n timp ce riscul inerent va servi pentru formularea planului de audit anual i identificarea misiunilor de audit ce vor fi ntreprinse, riscul rezidual este determinat pe parcursul misiunilor de audit, pentru a evalua eficacitatea i eficiena controalelor efective asupra riscurilor respective. Evaluarea semnificaiei riscurilor inerente (modelul poate fi utilizat apoi i pentru riscul rezidual) prin prisma apetitului pentru risc poate fi realizat prin realizarea unei matrice, pentru fiecare risc, astfel nct prin combinaia probabilitii cu consecina riscurilor, consiliul s poat decide asupra riscurilor acceptabile, respectiv inacceptabile din punctul su de vedere. Altfel spus, consiliul i definete astfel apetitul pentru risc. Tabelul 2 de mai jos, prezint un model de evaluare a semnificaiei riscurilor inerente prin referin la apetitul pentru risc al consiliului. Tabelul 2. Semnificaia riscurilor inerente raportate la apetitul pentru risc al consiliului 5 25 20 15 10 5 Consecina riscului inerent: 4 3 2 20 15 10 16 12 8 12 9 6 8 6 4 4 3 2 1 5 4 3 2 1

Probabilitate riscului inerent auditori.

5 4 3 2 1

S presupunem c, n ansamblu, consiliul i definete apetitul pentru risc astfel: riscurile inerente a cror relevan se afl n intervalul 1-4 sunt riscuri acceptabile. Altfel spus, toate celelalte riscuri ale cror relevan depete pragul valoric 4 reprezint un interes pentru

3. Etapa a doua: Elaborarea planului de audit Obiectivele urmrite de auditori n cadrul acestei etape vizeaz: Determinarea riscurilor care vor fi incluse n planul de audit; Alocarea acestor riscuri misiunilor de audit; Elaborarea planului de audit Filtrarea riscurilor din registru pentru identificarea celor care vor fi incluse n planul de audit anual se realizeaz prin raportarea la apetitul pentru risc al conducerii drept criteriu prioritar. Astfel, riscurile care se situeaz sub nivelul apetitului pentru risc al conducerii nu vor necesita o atenie din partea auditorilor i, drept urmare, nu vor fi incluse n planul de audit. n ceea ce privete riscurile situate peste nivelul apetitului pentru risc, pot exista urmtoarele situaii cu privire la care auditorii interni vor decide meninerea sau eliminarea lor din planul de audit: Riscurile pe care conducerea le consider c, din diverse motive, nu vor putea fi ameliorate astfel nct s fie reduse la nivelul apetitului pentru risc, motiv pentru care le accept. n cazul n care exist programe contingente pentru aceste riscuri ele vor face obiectul unor misiuni de audit. n consecin, aceste riscuri vor putea fi incluse n planul de audit. Riscurile pentru care au fost adoptate msuri de prevenire de tipul transferului (de exemplu, asigurarea mpotriva riscurilor). Inclusiv acestea vor putea fi meninute n planul de audit, deoarece auditorii vor dori probabil s se conving, n contextul unei misiuni, dac toate riscurile de acest gen au fost transferate i dac transferul este eficient i eficace ca mecanism de protecie. Riscurile pe care conducerea este decis s le elimine prin diverse aciuni sau programe. Asupra acestor riscuri auditorii vor decide dac le pstreaz sau nu n planul de audit. Meninerea lor n plan poate fi justificat de faptul c aciunile conducerii de eliminare a riscului

respectiv, pot genera alte riscuri, iar auditorii vor dori s se conving c aceste sunt controlate corespunztor. Riscurile examinate i evaluate de o ter parte (de exemplu, de ctre auditorii externi) care furnizeaz o asigurare direct consiliului de administraie asupra gradului de control exercitat de organizaie asupra acestora. n astfel de cazuri, strategia i politicile interne ale organizaiei reprezint un punct de sprijin n adoptarea unei decizii asupra meninerii sau eliminrii lor din planul de audit. Riscurile care au fost aduse n limita apetitului pentru risc, fapt dovedit de rapoartele misiunilor de audit intern anterioare. n funcie de intervalul de timp care a trecut de la finalul acelor misiuni, precum i de rezultatele relevate de programele de monitorizare post-audit cu privire la implementarea msurilor corective, auditorii vor decide dac pstreaz sau nu n planul de audit aceste riscuri. Toate celelalte riscuri care au rmas vor fi incluse n planul de audit. Alocarea riscurilor pe misiuni de audit are ca punct de plecare registrul riscurilor, actualizat cu rezultatele procesului de filtrare precedent. Criteriile de alocare cel mai frecvent utilizate sunt: Perioada de timp i resursele necesare pentru o misiune de audit (cu ct mai multe riscuri i procese alocate pe o misiune, cu att mai lung i mai costisitoare va fi misiunea de audit); Persoanele ce se intenioneaz a fi intervievate n contextul misiunii; Locaia proceselor auditabile, etc. Exist i companii care prefer gruparea riscurilor pe misiuni, dup ce obin o list cu toate procesele auditabile (denumit universul auditului) i gruparea lor ulterioar n funcie de locaie sau alte criterii particulare. n ceea ce privete prioritizarea misiunilor de audit i includerea acestora n planul anual, auditul intern trebuie s formuleze un raionament rezonabil, innd cont de resursele financiare, materiale, umane i fondul de timp avut la dispoziie. Nu este obligatoriu ca toate misiunile identificate s fie incluse ntr-un singur plan anual, dac toate

considerentele de mai sus nu permit acest lucru. Este motivul pentru care, unele companii opereaz cu planuri de audit multi-anuale. De asemenea, companiile care abia nfiineaz funcia de audit intern fac fa unor constrngeri considerabile, mai ales n ceea ce privete resursa uman. Pentru stabilirea prioritilor n realizarea misiunilor ce vor fi incluse n planul de audit, n practic se folosesc mai multe modele, fiecare dintre ele fiind elaborat n funcie de particularitile proprii fiecrei companii. n cele ce urmeaz vom ncerca expunerea unui model, folosindu-ne de exemplul din paragraful precedent. Astfel, auditorii pot conveni urmtoarea situaie: Pentru riscurile inerente a cror relevan este cuprins n intervalul [1-4], nu vor fi ntreprinse niciodat misiuni de audit intern; Pentru riscurile inerente a cror relevan se situeaz n intervalul [5-9] se vor realiza misiuni de audit o dat la fiecare trei ani; Pentru riscurile inerente a cror relevan se situeaz n intervalul [10-12] se vor realiza misiuni de audit o dat la fiecare doi ani; Pentru riscurile inerente a cror relevan se situeaz n intervalul [15-25] se vor realiza misiuni anuale de audit. Scala de mai sus poate fi detaliat sau restrns n funcie de preferinele auditorilor. n aceast manier, se pot dezvolta planuri de audit mai scurte dect un an, planuri anuale sau multianuale, dup necesitile auditului intern i ale organizaiei respective. Auditul intern trebuie s obin acordul conducerii organizaiei asupra prioritizrii misiunilor. n acest moment, baza de date necesar elaborrii planului de audit este pregtit. Planul de audit va trebui s conin informaii referitoare la: Misiunile de audit ce vor fi ntreprinse; Perioada de timp preconizat pentru misiunile de audit (cnd vor ncepe, cte zile vor dura, cnd se vor finaliza);

Riscurile i procesele de control asociate acestora ce vor face obiectul misiunilor; Numele auditorilor ce vor participa n cadrul misiunilor (cel puin numele efilor de misiuni), etc. Planul de audit trebuie aprobat de ctre comitetul de audit i consiliul de administraie al organizaiei. n plus, comitetului de audit i se poate transmite un raport care s conin detalii referitoare la: Riscurile i procesele ce vor face obiectul misiunilor de audit cuprinse n planul de audit; Riscurile i controalele asupra crora auditorii interni vor formula o opinie pe baza rezultatelor cumulate din misiunile de revizuire i din misiunile de audit din perioadele precedente; Activitile de consultan ce vor fi acordate de ctre auditul intern conducerii organizaiei cu scopul reducerii riscurilor reziduale la nivele inferioare apetitului pentru risc; Riscurile neacoperite, datorit politicilor organizaiei sau limitrii resurselor; Asigurarea c planul de audit este n conformitate cu carta auditului intern. Anexa 2 prezint cerinele informaionale i modelul planului de audit prevzute de Hotrrea CAFR 88/2007 privitoare la normele de audit intern. 4. Probleme de discuie i studii de caz 4.1. Probleme de discuie 1. Discutai avantajele i dezavantajele strategiei RBA comparativ cu strategiile tradiionale de audit. 2. Care sunt efectele utilizrii strategiei RBA asupra planului anual de audit? 3. Semnificaia riscurilor este sinonim cu relevana lor? Discutai. 4. Evaluarea calitativ poate fi utilizat n dimensionarea relevanei riscurilor?

5. Discutai procedura de audit edine de evaluare a riscurilor. 4.2. Studiu de caz Sunny Hotel Partea I Sunny Hotel este o companie hotelier de 5 stele, care ofer servicii de cazare att turitilor, ct i oamenilor de afaceri care viziteaz Washington-ul. Recentele modificri legislative aplicabile societilor cotate la bursa din New York iar Sunny este cotat impun companiilor consolidarea guvernanei corporative i transmiterea unor rapoarte periodice privind performanele nregistrate n acest sens. Anul trecut, consiliul de administraie al hotelului tocmai a ncheiat implementarea unui proces de restructurare a companiei n baza a recomandrilor primite de la un grup de consultani externi pe probleme privind consolidarea guvernanei corporative. Astfel, hotelul dispune de un departament de audit intern, garnisit cu personal adecvat care raporteaz consiliului de administraie i se subordoneaz direct comitetului de audit, constituit din 5 membri neexecutivi ai consiliului de administraie. Dna. Jane Shine, eful departamentului de audit intern, a decis cu consultarea comitetului de audit, ca ncepnd cu anul acesta, auditul intern s-i schimbe strategia, urmnd s adopte strategia bazat pe riscuri. Dvs. suntei un auditor intern al acestui departament i ai fost desemnat, mpreun cu ali 6 colegi, s formulai planul de audit, bazat pe riscuri, pentru anul acesta. Hotelul nu dispune de un departament specializat n managementul riscurilor. Cerine: 1. Indicai activitile ce vor fi necesare s le ntreprindei pentru a ndeplini sarcina atribuit. 2. Precizai care sunt informaiile cheie care v-ar permite elaborarea registrului riscurilor. Partea a II-a Pe baza unui telefon, ai reuit s stabilii o ntlnire cu directorul general al hotelului i cu eful contabil. Pe parcursul ntlnirii, ai reuit

s obinei urmtoarele informaii cu privire la activitile desfurate de clientul dvs. Cazarea. Hotelul are 60 de camere, a cror clasificare este prezentat n tabelul de mai jos. Cifrele cu privire la gradul de ocupare reprezint un instrument important de dimensionare a succesului afacerii. n medie, camerele au avut un grad de ocupare de 74% pe o perioad de 12 luni. Conducerea este ngrijorat de faptul c n 12 luni tariful de gzduire a sczut n anul anterior cu circa 76%. Gradul de ocupare variaz pe parcursul anului de la 50% n lunile de iarn, la 90% n lunile de primvar/var, respectiv nceputul toamnei. Tip camere Camere single cu baie Camere single cu du Camere single cu chiuvet Total camere single Camere duble cu baie Camere duble cu du Camere duble cu Nr. 15 10 5 30 17 9 4 Tariful pe zi 70 60 50 Grad de ocupare 75 77 81

80 70 60

70 77 82

chiuvet Total camere duble 30 Total camere 60 74 n plus fa de aceste informaii mai aflai urmtoarele: Fiecare camer este dotat cu televizor, cafetier, frigider coninnd buturi mbuteliate n sticle i cutii, halate de du, pres i telefon; Tarifele de cazare sunt cele indicate n tabelul de mai sus, cu meniunea c se pot aplica tarife diferite n urmtoarele cazuri: o Tarife speciale pentru week-end i tarife reduse pentru cazri sptmnale; o n cazul n care camerele single nu sunt disponibile, camerele duble pot fi puse la dispoziie la tariful unei camere single; o Tarife speciale de sezon.

Conducerea hotelului intenioneaz s amenajeze camere de baie pentru camerele care sunt dotate numai cu chiuvete. Lucrrile de amenajare vor ncepe foarte curnd n cursul exerciiului curent. Contabilul ef v informeaz c n anul anterior, veniturile din activitatea de nchiriere a camerelor au fost de circa 1,050,000$. Restaurant. Hotelul are un restaurant cu 60 de mese. Conducerea hotelului v informeaz c dei majoritatea oaspeilor servesc micul dejun n hotel, gradul de ocupare a restaurantului (de ctre oaspei) n anul precedent a fost de circa 20% la prnz, respectiv 65% n cursul serii. Este permis i accesul n restaurant al persoanelor care nu sunt cazate n hotel. Conducerea estimeaz c pragul de rentabilitate pentru activitatea restaurantului este la o capacitate de utilizare de 55%, ns dorete o cretere a capacitii de utilizare a restaurantului (care a fost de 75% n anul precedent, incluznd oaspeii i consumatorii din afara hotelului). Meniul oferit a fost modificat, iar de curnd a fost angajat un buctar specializat n prepararea mncrurilor tradiionale din regiune. Veniturile din activitatea restaurantului s-au ridicat la circa 2,400,000$ n anul precedent, incluznd veniturile din asigurarea micului dejun. Contabilul ef v informeaz c restaurantul reprezint componenta de activitate care aduce cel mai mult profit hotelului. Noului meniu i se face publicitate n presa local. Unul dintre motivele pentru care conducerea acord o atenie sporit restaurantului, este concurena fcut de un hotel din mprejurime, care a finalizat recent un proiect de modernizare i a reuit s atrag o parte din clientel datorit restaurantului atractiv pe care l-a amenajat. Buctria. Conducerea hotelului a nceput s adopte masuri pentru reducerea pierderilor din buctrie. Au fost introduse msuri de control al poriilor, iar responsabilitatea pentru aprovizionarea cu produse alimentare a fost recent acordat unui nou ef, sub supravegherea direct a contabilului ef. Barul. Exist trei baruri n hotel, i o gam variat de buturi puse la dispoziia oaspeilor hotelului i a clienilor din afar. Unul din baruri

este amplasat n salonul de oaspei. Barurile reprezint una dintre activitile foarte profitabile ale hotelului. Servicii suplimentare. Hotelul ofer servicii suplimentare pentru nuni, recepii, ntlniri de afaceri, mese rotunde, etc. Sistemul contabil. Hotelul utilizeaz un sistem contabil computerizat. Compania are o reea mic de calculatoare achiziionate cu doi ani n urm la un cost de 30.000$. Calculatoarele sunt distribuite la recepie, restaurant, baruri, biroul directorului, i biroul efului contabil. Sistemul utilizeaz un program achiziionat de la o companie de software de renume. n afar de administratorul de sistem, eful contabil are suficiente cunotine de informatic pentru a supraveghea operarea sistemului. Cea mai frecvent i important nregistrare se face la recepie, care activeaz sistemul informatic la sosirea unui client. Numrul camerei este utilizat pentru nregistrarea tuturor serviciilor utilizate de ctre client. Astfel, atunci cnd clientul servete masa la restaurant, numrul camerei este prezentat pe bonul de mas semnat de client. O procedur important de control utilizat de ctre restaurant const n codificarea meniului care are n coresponden un fiier de coduri pe calculator pentru fiecare fel de mncare din meniu precum i preul standard aferent. Fiecare chelner are un chitanier i are obligaia s ntocmeasc cte patru copii pentru fiecare chitan, dintre care una pentru buctrie, una pentru casieria restaurantului, una pentru serviciul de contabilitate i una o reine pentru el nsui. Chelnerii introduc numrul de comenzi pentru un anumit fel de mncare la fiecare mas, folosind codurile specifice pentru fiecare fel de mncare prevzut n meniu i comandat de ctre client, precum i numrul camerei clientului care este gzduit de hotel. Directorul de restaurant introduce pe calculator detaliile cu privire la toate felurile de mncare servite n restaurant, fcnd distincie ntre cele achitate cash i cele trecute n contul clientului pentru nota final. Banii ncasai n cash sunt vrsai n casieria restaurantului. Cel mai important instrument de control n activitatea barurilor const n utilizarea unui sistem automat care solicit

barmanului sa introduc codul buturilor comandate i suma ncasat, restul de plat fiind calculat automat de ctre calculator. Cerine: 1. Identificai obiectivele strategice ale companiei Sunny Hotel. 2. Indicai riscurile poteniale i controalele aferente care ar putea ameliora aceste riscuri. 3. Organizai o edin de analiz a riscurilor cu conducerea hotelului pentru a evalua riscurile inerente. 4. Determinai domeniile auditabile ce vor fi incluse n planul de audit i prioritatea lor.

Anexa 1. Ierarhizarea riscurilor

OBIECTIVUL STRATEGIC AL ORGANIZAIEI expus urmtoarelor riscuri: .

RISC 1

RISC 2

RISCn

Controlate prin urmtoarele procese de control (PC): PC1 PC2 PC3 PCn

Controale care devin, la rndul lor, (sub)obiective, ameninate de urmtoarele riscuri (r):

R1

R2

R3

Rn

. . Ameliorate prin controale, care devin sub-obiective etc.

Anexa 2. Procedura plan de audit16 Scopul: ntocmirea planului de audit intern n conformitate cu cerinele standardelor de audit intern. Premise: Planul de audit intern reprezint cadrul de aciune pentru Departamentul de Audit Intern i se ntocmete de ctre eful acestui departament. Procedura: ef Departament Audit 1. ntocmete planul anual de Intern audit intern 2. ntocmete referatul cuprinznd criteriile de selectare Comitetul de Audit Consiliul Administraie a misiunilor de audit. 3. Analizeaz i aprob planul anual de audit. de 4. Analizeaz i aprob planul anual de audit.

Not: Planul anual de audit intern poate fi modificat n cursul anului n condiiile reiterrii procedurii.

16

HCAFR 88/2007, www.cafr.ro

PLAN DE AUDIT INTERN Pe anul .......... Nr. Crt Tema misiun ii de audit Obiecti ve Perioad a supus auditrii Unitate a auditat Perioada desfur rii misiunii de audit 0 1 2 3 n ef Departament Audit Intern, 1 2 3 4 5