CONTROL INTERN MANAGERIAL SI

MANAGEMENTUL RISCURILOR
 Abordarea auditului pe baza riscurilor

Auditul pe bază de riscuri este potrivit entităţilor

publice care au atins un nivel de maturitate al
gestionării riscurilor.
 Opinia experţilor în audit intern
ai Uniunii Europene

Managementul trebuie să aibă permanent în atenţie o

secvenţă logică, reprezentată prin:
• OBIECTIVE
– RISCURI ASOCIATE
• CONTROALE INTERNE
– ASIGURARE

Fiecare entitate din sectorul public - înfiinţată pentru

aducerea la îndeplinire a unor obiective bine definite.
 Obiective

Obiectivele - comunicate tuturor nivelurilor ierarhice.

Pot fi clasificate în:

- Strategice - ţelurile stabilite la nivelul managementului;
- Operaţionale - eficacitatea şi eficienţa activităţilor organizaţiei;
- Raportare - eficacitatea sistemului de raportare la nivelul
organizaţiei;
- Conformitate - modul în care organizaţia respectă legile
şi reglementările.
 Gestionarea riscurilor –
un proces continuu

Este necesar ca riscurile să poată fi evaluate pentru a li se stabili

importanţa, în funcţie de care se poate determina responsabilitatea în
luarea deciziilor adecvate, cu privire şi ca răspuns la riscurile respective.

Evaluarea unui risc se face pe baza a două elemente independente:

− Probabilitatea - o evaluare a eventualităţii procedurii riscului
asupra obiectivului.
− Impactul - o evaluare a efectului riscului asupra obiectivului.
 Considerente privind necesitatea
gestionării riscurilor
Gestionarea riscurilor include:
- identificarea şi evaluarea riscurilor (riscul inerent);
- modul de a reacţiona în faţa riscurilor.

Riscurile nu pot fi evitate – fiecare entitate trebuie să ia măsurile

necesare gestionării riscurilor până la un nivel confirmat şi considerat
tolerabil.

Controlul intern - răspunsul la riscurile din interiorul entităţii şi poate

implica una sau mai multe din următoarele variante:
- tolerarea riscurilor;
- tratarea riscurilor într-un mod corespunzător pentru a fi
aduse la un nivel acceptabil;
- transferarea riscurilor;
- încetarea activităţii care a dat naştere riscurilor.
Managementul are obligaţia să proiecteze:

- o strategie adecvată de gestionare a

riscurilor asociate tuturor obiectivelor
entității;
- un sistem de control corespunzător care să
asigure permanent monitorizarea acestor
riscuri.
 Strategie de gestionare a riscurilor
Gestionarea riscurilor la orice nivel trebuie integrată astfel
încât nivele de activitate să se susţină reciproc.

Decizii strategice strategic

Decizii care traduc Program

strategia în acţiuni

Decizii Proiect şi operaţional

necesare implementării

Sursa: Raportul SU privind riscurile: îmbunătăţirea capacităţii sectorului public

de a face faţă riscurilor şi incertitudinii. Noiembrie 2002
 Modul de gestionare al riscurilor
Pentru a gestiona riscurile entitatea trebuie înainte de
toate să cunoască riscurile pe care le are de înfruntat şi să
le evalueze.

Documentarea privind profilul riscurilor este esenţială

pentru eficacitatea gestionării riscurilor.

Identificarea riscurilor poate fi divizată în două etape

distincte:
- identificarea iniţială a riscurilor;
- o identificare continuă şi permanentă a riscurilor.
Riscurile pot fi evaluate şi prioritizate numai în strânsă
legătură cu obiectivele.
Formularea unui risc trebuie să includă cauza impactului şi
impactul pe care riscul îl are asupra obiectivelor (cauza şi
consecinţa).

Atunci când riscurile sunt formulate trebuie avută mare

atenţie ca impactul riscului să nu fie exprimat ca riscul în
sine şi să se evite formularea unor riscuri care nu afectează
obiectivele.
 Principii ale evaluării riscurilor

• să se asigure că există un proces clar Matricea simplă a tolerabilităţii

structurat în care să se aibă în vedere /riscului
atât probabilitatea cât şi impactul
fiecărui risc;
• înregistrarea evaluării riscurilor într-
un mod care să faciliteze
monitorizarea şi identificarea ordinii Tolerabilitate
de priorităţi în privinţa riscurilor;
• să se înţeleagă diferenţa între riscul
inerent şi riscul rezidual.
Impact
Evaluarea trebuie să fie realizată
prin aprecierea atât a probabilităţii de
materializare a riscului dar şi a
impactului în cazul materializării
acestuia.
Probabilitate
 Apetitul pentru risc

Conceptul de “apetit pentru risc” este cheia eficacităţii gestionării

riscurilor şi este esenţial să fie avut în vedere înainte de a demara
analiza modului cum poate fi controlat un anumit risc.

Definit ca o serie de limite, autorizate în mod corespunzător de

conducere, prin care fiecare nivel al entităţii primeşte îndrumarea
necesară privind limitele până la care pot să îşi asume un risc,
indiferent dacă îl privesc ca pe o ameninţare şi analizează costul
controlării lui sau dacă este considerat o oportunitate şi se are în
vedere costul exploatării sale.

Anumite riscuri nu pot fi prevenite şi nu stă în puterea entităţii de a

le gestiona în totalitate până la un nivel acceptabil şi, de aceea, este
necesar să se elaboreze planuri pentru situaţii neprevăzute.
 Controlarea riscurilor
Scopul controlării riscurilor este să transforme
incertitudinea într-un avantaj pentru entitate, limitând
nivelul ameninţărilor şi beneficiind de pe urma avantajelor.

Orice măsură luată de entitate în scopul controlării riscurilor

se integrează într-un sistem denumit “control intern”.

Există 5 aspecte ale controlării riscurilor:

- tolerarea;
- tratarea;
- transferarea;
- terminarea riscurilor la încetarea activităţii;
- tragerea de foloase de pe urma oportunităţilor.
 Tipuri de instrumente de control
pentru “tratarea” riscurilor
Instrumentele de control pot fi de 4 tipuri:
• preventiv – rol de a limita posibilitatea ca un rezultat nedorit să se
materializeze;
• corectiv – planurile pentru situaţii neprevăzute;
• directiv – concepute să asigure realizarea unui anumit rezultat;
• detectiv – identifică situaţiile sau rezultatele nedorite care au avut loc.

Instrumentele de control puse în practică trebuie:

- să fie corespunzătoare riscurilor.
- să ofere un nivel rezonabil de asigurare privind menţinerea
pierderilor în limitele apetitului pentru risc al entităţii.
- să aibă în vedere costurile.
 Analiza şi raportarea riscurilor
Gestionarea riscurilor trebuie revizuită şi raportată din două motive:
• Monitorizarea modificărilor profilului riscurilor;
• Obţinerea de asigurare privind eficacitatea gestionării riscurilor şi
identificarea nevoii de a lua măsuri viitoare.

Procesul general de gestionare a riscurilor trebuie supus unor examinări

periodice pentru a se asigura funcţionalitatea corectă şi eficace.

Procesul de revizuire trebuie să:

- ofere asigurări că toate aspectele procesului de gestionare a riscurilor
sunt revizuite cel puţin anual;
- ofere asigurări că riscurile sunt supuse revizuirii permanent;
- stabilească mecanisme de alertare a nivelelor ierarhice superioare în
privinţa noilor riscuri sau schimbărilor apărute la riscurile deja identificate.
 Instrumente şi tehnici utilizate în procesul de
revizuire a riscurilor
• Autoevaluarea riscurilor;

• Raportul privind responsabilitatea – anumite persoane cu

funcţii de conducere să raporteze nivelului ierarhic superior,
cel puţin o dată pe an, ce activitate au desfăşurat pentru a
actualiza procedurile de risc şi control şi a le menţine la un
nivel corespunzător în propria arie de responsabilitate;

• Înfiinţarea Comitetului de risc – coordonează propriile măsuri

de gestionare a riscurilor pe baza experienţei acumulate.
Maturitatea gestionării riscurilor
Niveluri de maturitate în Principalele
gestionarea riscurilor caracteristici
Necunoaşterea riscului Nu există o abordare oficială Promovarea gestionării
a gestionării riscului
Conştient de risc Abordare disperată a
gestionării riscului
Risc definit Strategie şi politici în
vigoare şi comunicate
Apetitul pentru risc este
definit
Risc gestionat Abordarea gestionării
riscului creată şi comunicată
la nivelul entităţii
Risc activat Gestionarea riscului şi
controlul intern intern
integrate total în operaţiuni
Abordarea auditului
intern
riscului şi evaluarea
riscurilor de către audit
Promovarea abordării
gestionării riscului la nivelul
entităţii şi evaluarea
riscurilor de către audit
Facilitarea gestionării
riscului şi utilizarea
rezultatelor evaluării riscului
de către management
Auditul proceselor de
gestionare a riscului şi
utilizarea rezultatelor
evaluării riscurilor de către
management
Auditul proceselor de
gestionare a riscului şi
utilizarea rezultatelor
evaluării riscurilor de către
management
 Instrumente utilizate de management pentru
gestionarea riscurilor

• Registrul de riscuri
• Registrul de opţiuni

Abordează toate riscurile ce pot determina

nerealizarea obiectivelor, la care s-a adăugat o a
cincea opţiune pentru a ilustra şi posibilitatea ca
un risc să favorizeze îndeplinirea unui obiectiv.
 Registrul de riscuri

Tabel cu riscurile ce au fost identificate:

- obiectivul;
- riscul;
- responsabilul;
- impactul, probabilitatea şi expunerea aferente unui risc
inerent;
- acţiunea de ameliorare şi stadiul acelei acţiuni;
- impactul, probabilitatea şi expunerea aferente unui risc
rezidual;
- data ultimei revizuiri a riscului;
- legături cu sau dependente de principalele activităţi;
- istoria fiecărui risc.
 Organizarea şi conducerea
registrului riscurilor
Managementul trebuie să stabilească o ierarhie a obiectivelor de la
fiecare nivel, până la obiectivele individuale dacă este cazul.

Altă condiţie obligatorie o reprezintă numirea unor persoane care să

răspundă de anumite riscuri identificate la diferite niveluri ale entităţii
(ofiţer de risc).

Poate fi înfiinţat un comitet de gestionare a riscului care să fie

responsabil cu crearea, promovarea şi îmbunătăţirea sistemului de
gestionare a riscului, care să realizeze şi întreţinerea Registrului de
riscuri.
 Registrul de opţiuni – cei 5 “T”
Opţiunile pentru gestionarea fiecărui risc, revin managementului şi
sunt următoarele:
– Tolerarea prin care nu se ia nicio măsură, fiind însă necesar să se
monitorizeze periodic riscul pentru a se stabili dacă a crescut nivelul de
expunere.
– Transferul care constă în transmiterea riscului către o destinaţie din
afara organizaţiei prin încheierea unei poliţe de asigurare sau a unui contract
de prelucrare a riscului.
– Terminarea care se realizează prin încetarea activităţii care generează
riscul, ceea ce poate determina realizarea parţială sau nerealizarea obiectivului
propus.
– Tratarea care presupune aplicarea controalelor adecvate pentru a reduce
riscul identificat la un nivel ce poate fi tolerat sau la un nivel minim.
– Tragerea de foloase care poate fi identificată ca o consecinţă a
aplicării unuia din ceilalţi T.
 Gestionarea eficientă a riscurilor

Managementul entităţii poate utiliza:

- controlul strategic;
- monitorizarea şi actualizarea Registrului de riscuri.

Prin controlul strategic se decide ce niveluri de risc este pregătită

entitatea să accepte şi ce niveluri nu pot fi acceptate, ceea ce va
influenţa şi valoarea expunerii reziduale a riscului care poate fi admisă.

Monitorizarea şi actualizarea Registrului de riscuri asigură

managementului posibilitatea de analiză şi cunoaştere permanentă a
nivelului şi evoluţiei riscurilor din cadrul entităţii.
 CONTROLUL INTERN

Managementul este răspunzător pentru organizarea unui sistem de

control adecvat care, în momentul când începe să funcţioneze, are rolul
de a menţine riscurile la nivelul acceptat de conducerea entităţii.

Conceptul de control intern a fost definit în raport cu două aspecte:

– descentralizarea activităţilor, care a condus la diversificarea
activităţilor de control şi la delegarea acestora în cadrul aceleiaşi
structuri;

– amplificarea volumului de prevederi normative, reguli şi reglementări

care să asigure managementului căile de acţiune pentru utilizarea
corespunzătoare a resurselor, în vederea creşterii eficacităţii.
 Caracteristici
a) Procesualitatea controlului intern - fiecare activitate
trebuie să aibă componenta ei de control, care o ajută să funcţioneze;

b) Relativitatea controlului intern – se aşteaptă asigurări

rezonabile bazate pe evaluarea riscurilor, prin concentrarea pe
principii ale performanţei (economicitate, eficienţă şi eficacitate).

c) Universalitatea controlului intern – funcţionează într-un mediu

de control mereu în schimbare.

Sistemul de control intern reprezintă nu numai formulare, proceduri,

tehnici, programe, instrucţiuni şi manuale de politici, ci şi oameni la
fiecare nivel al organizaţiei.
În organizarea şi exercitarea controlului intern se impune o mare
flexibilitate, deoarece nu poţi fixa reguli pentru fiecare situaţie întâlnită.

Controlul intern este un proces realizat de către personalul

de la toate nivelurile.
 Managementul răspunde de cheltuirea fondurilor publice,
precum şi de implementarea unor sisteme de control cu
ajutorul cărora să se urmărească eficacitatea, eficienţa şi
economicitatea utilizării
resurselor financiare, umane şi materiale.
Managementul este responsabil de:
- organizarea activităţii financiar-contabile;
- asigurarea personalului calificat corespunzător;
- separarea sarcinilor şi a limitelor de autorizare;
- stabilirea unor mijloace de control bugetar;
- asigurarea elaborării de proceduri scrise pentru activităţile
financiar-contabile sau care au asemenea implicaţii;
- constituirea unui circuit de monitorizare a controlului
financiar;
- elaborarea unor procese formalizate de gestionare a
riscurilor.
 Obiectivele generale ale controlului intern

– realizarea, la un nivel corespunzător de calitate, a atribuţiilor

instituţiilor publice, stabilite în concordanţă cu propria lor misiune, în
condiţii de regularitate, eficacitate, economicitate şi eficienţă;

– protejarea fondurilor publice, împotriva pierderilor datorate erorii,

risipei, abuzului sau fraudei;

– respectarea legii, a reglementărilor şi deciziilor conducerii;

– dezvoltarea şi întreţinerea unor sisteme de colectare, stocare,

prelucrare, actualizare şi difuzare a datelor şi informaţiilor financiare şi
de conducere, precum şi a unor sisteme şi proceduri de informare
publică adecvată prin rapoarte publice.

Managementul entităţilor publice are obligaţia de a organiza şi

actualiza permanent sistemul de control intern.
Practica internaţională impune separarea clară a activităţilor de
control intern de cele de audit intern.

Recomandă:
Crearea unui sistem de control intern şi, separat, a unei structuri
de audit intern, ambele aflate în coordonarea managerului şi
capabile să răspundă riscurilor cu care se confruntă entităţile.
 Controlul intern se regăseşte în componenţa fiecărei activităţi
şi trebuie să fie formalizat prin proceduri coroborate cu fişele
posturilor şi ROF-ul entităţii, care vor fi însoţite de liste de
verificare, cu activităţile şi responsabilităţile ataşate acestora
sub forma unor instrucţiuni practice de realizare a controlului
intern.
Managementul stabileşte pentru fiecare compartiment formele de
control intern, care nu implică costuri suplimentare menite să
limiteze sau să elimine riscurile asociate activităţilor sub forma:

– autocontrolului propriilor activităţi efectuate prin respectarea de fiecare salariat a

procedurilor de lucru;

– controlul mutual realizat între fazele unui lanţ procedural de fiecare

post de lucru privind modul de efectuare a lucrărilor în cadrul postului de lucru anterior;

– controlul ierarhic exercitat pe fiecare nivel de responsabilitate;

– controlul partenerial, realizat prin delegarea unor competenţe între diferitele paliere de
competenţe.
 Alte forme de control care presupun
costuri suplimentare

– controlul financiar de gestiune (patrimonial);

– controlul financiar contabil;
– controlul administrativ;
– inspecţii etc.
 Mecanismele/instrumentele de control

• Separarea sarcinilor pentru a nu permite aceleiaşi persoane să se

ocupe de mai multe etape ale unei operaţii, având posibilitatea de a
minimiza consecinţele unei erori sau comportament necorespunzător;
• Controlul organizaţional concretizat în roluri şi responsabilităţi
clare, rezolvarea conflictelor de interese, canale de comunicare clar
trasate şi linii de raportare ierarhică precise;
• Autorizarea activităţilor – orice activitate trebuie aprobată de
management;
• Modalităţi fizice - încuietori la uşi, etc;
• Conducere şi administrare - au în vedere planificarea şi fixarea
obiectivelor, abilităţile de conducere, îndrumarea şi concilierea;
• Supervizarea - urmărirea continuă a activităţii şi rezolvarea
oricărei probleme acolo şi atunci când apare.
 Clasificarea instrumentelor de control

− Instrumente directive care cuprind: obiective, politici, legi şi

proceduri clare, planuri şi standarde;

− Instrumente preventive includ: bugete, autorizare şi aprobare,

separarea sarcinilor, siguranţa activelor;

− Instrumente detective concretizate prin: sisteme informaţionale

de conducere a activităţii, sisteme contabile, supervizare, verificare,
inspecţie, audit, control al calităţii, conciliere, sistem de reclamaţii,
mijloace şi dispozitive de securitate;

− Instrumente corective - planuri de acţiune, sisteme de examinare

şi revizuire, recomandări ale auditului.
 Structura sistemului de control intern
INDEPENDENT AUDITUL INTERN
• Consilierea managerială
• Evaluarea sistemului de control intern

CONTROLUL INTERN
• Autocontrolul activităţii
• Controlul mutual
• Controlul ierarhic
• Controlul partenerial
• Controlul de calitate
• Controlul financiar preventiv
• Controlul de gestiune (patrimonial)
• Controlul financiar-contabil
• Controlul administrativ
• Inspecţia

Necesitatea controlului
„oamenii fac ce trebuie să facă atunci când ştiu că vor fi controlaţi”.
 Modelul COSO

• Pag 105
 Modelul CoCo

• Pag 113
 ASIGURARE

Oferirea de asigurări cu privire la sistemul de control intern

ataşat obiectivelor entităţii.

Tipuri de asigurare oferită managementului

• Asigurare totală, situaţie puţin probabilă în contextul actual;
• Asigurare parţială şi recomandări, situaţia cea mai des întâlnită
în prezent;
• Recomandări fără asigurare, situaţie care reprezintă o excepţie.
 Auditul intern va furniza o asigurare
independentă şi obiectivă asupra caracterului
adecvat al gestionării riscurilor, controlului şi
guvernanţei.
 Ce este guvernanţa?

„Sistemul prin care companiile sunt conduse şi controlate”

Adrian Cadbury (1992).

De ce avem nevoie de guvernanţă?

Guvernanţa este o încercare de a-i face pe cei din
conducere să se achite de propriile obligaţii, într-o
manieră cât mai corectă şi calificată, astfel încât să
protejeze interesele factorilor interesaţi într-o
entitate.
Conducerea unei entităţi pe baza guvernanţei se poate
realiza numai în condiţiile existenţei următoarelor
elemente:

• unor obiective ale organizaţiei;

• unei strategii de identificare şi gestionare a
riscurilor;
• unui sistem de control adecvat.
 Evaluarea aplicării Guvernanţei în
sistemele unei entităţi publice
Elemente:
• existenţa obiectivelor generale şi parţiale;
• stabilirea obiectivelor în concordanţă cu activităţile
desfăşurate în cadrul organizaţiei;
• înscrierea obiectivelor în documentele strategice şi de
organizare;
• existenţa fişei postului pentru fiecare persoană din
organizaţie;
• cunoaşterea de către salariaţi a atribuţiilor proprii şi a
obiectivelor parţiale şi generale;
• concordanţa între conţinutul fişei postului, documentele
strategice şi de organizare şi activităţile concrete desfăşurate
de fiecare angajat;
• cunoaşterea de către managementul de top şi de linie a
riscurilor ce pot afecta realizarea obiectivelor generale şi
parţiale;
• măsurile întreprinse pentru gestionarea şi actualizarea
acestor riscuri;
• mecanismele şi instrumentele de control stabilite la
nivelul fiecărui sistem şi pe ansamblul organizaţiei;
• formalizarea mecanismelor şi instrumentelor de control;
• politicile şi procedurile de control aplicate în cadrul
sistemelor organizaţiei;
• modul de funcţionare a mecanismelor şi instrumentelor
de control, precum şi eficienţa acestora în ceea ce priveşte
reducerea riscurilor la un nivel considerat acceptabil ori
minim, de către management.
• Recomandările formulate de auditori vizează
eliminarea cauzelor care împiedică realizarea
obiectivelor.

Prin punerea în practică a acestor recomandări se

asigură:
- eficientizarea sistemului de control intern;
- minimizarea riscurilor asociate activităţilor.

Acest fapt reprezintă plusul de valoare pe care

auditorul intern o transmite entităţii precum şi
ajutorul oferit conducerii în aplicarea Guvernanţei
corporative.