RISCUL DE AUDIT

&
PRAGUL DE SEMNIFICATIE

Material 7
• Riscul reprezintă incertitudinea în obţinerea rezultatelor dorite sau
vulnerabilitatea în faţa factorilor care afectează activitatea organizaţiei. În
practică, acesta este exprimat ca o combinaţie între probabilitate şi impact.

• În cadrul unei entitati, prin implementarea unui sistem de control intern

eficient, conducerea întreprinde activităţi de gestionare a riscurilor pentru
a identifica, evalua şi a ţine sub control toate tipurile de situaţii care pot
avea impact negativ asupra organizaţiei.
• Identificarea riscurilor porneste de la obiectivele entitatii (generale, operationale etc) si,
in cadrul acestora, are loc defalcarea pe activitati sau operatii (vanzari, aprovizionare,
incasari, plati, salarizare etc).

• Obiectivele generale vor fi stabilite in conformitate cu reglementarile legale,

regulamentele si reglementarile interne.

• Obiectivele operationale (specifice) trebuiesc exprimate prin indicatori de rezultate, ptr

a putea fi ulterior monitorizate.
• Gestionarea riscurilor inseamna atat identificarea si evaluarea riscurilor, cat si
aplicarea mijloacelor de control intern care sa atenueze posibulitatea de aparitie sau
consecintele pe care le-ar produce potentialele riscuri, in cazul in care s-ar materializa.
• Riscul inerent este riscul specific ce tine de realizarea obiectivului, fara a se interveni
prin masuri de control intern.
• Riscul rezidual este riscul ce ramane dupa ce s-au pus in aplicare masurile de control
intern. Prin aplicarea unor sisteme de control intern eficiente riscurile inerente sunt
diminuate până când riscul rezidual se încadrează în nivelul de risc acceptat de
organizaţie (asa- numitul “apetit la risc”).
 Managementul riscurilor
• Managementul riscurilor se referă la identificarea şi evaluarea riscurilor, precum şi la
stabilirea modului de a reacţiona în faţa acestora adică de a pune în aplicare sisteme de
control intern eficiente care să atenueze posibilitatea de apariţie (probabilitatea) sau
consecinţele pe care le-ar produce (impactul) în cazul în care acestea s-ar materializa.

• Managementul riscurilor este definit în Glosarul Standardelor Internaţionale pentru

Practica Profesională a Auditului Intern (Standarde) ca „un proces de identificare,
evaluare, gestionare şi control al potenţialelor evenimentele sau situaţii pentru a furniza
o asigurare rezonabilă cu privire la îndeplinirea obiectivelor organizaţiei.”
• Rolul activităţii de audit intern este de a evalua eficacitatea proceselor de management al riscurilor din
cadrul organizaţiei şi să contribuie la îmbunătăţirea acestora.
• Stabilirea faptului că procesele de management al riscului sunt eficace se face în baza raţionamentului
profesional şi a evaluării auditorului intern cu privire la următoarele aspecte:
a) Obiectivele organizaţionale sprijină misiunea organizaţiei şi sunt corelate cu aceasta;
b) Riscurile semnificative sunt identificate şi evaluate;
c) Sunt selectate răspunsurile adecvate la risc, care pun în concordanţă riscurile cu apetitul organizaţiei la
risc;
d) Informaţiile relevante cu privire la riscuri sunt colectate şi comunicate în timp util în cadrul organizaţiei,
permiţând personalului, managementului şi conducerii superioare să-şi îndeplinească responsabilităţile.
• Identificarea riscurilor de catre auditorul intern este primul pas in crearea
profilului de risc al entitatii auditate. Riscurile trebuie identificate in
raport de obiectivele a caror realizare este afectata de producerea lor.
• Este un proces cu caracter permanent, entitatea in cauza intocmind un asa
numit Registru al riscurilor. Daca entitatea nu are implementat un
management al riscurilor, auditorul va aplica proceduri proprii pentru
identificarea si evaluarea riscurilor asociate fiecarei activitati.
• Instrumentele ce pot fi utilizate de catre auditor sunt:
• Interviuri
• Sondaje
• Chestionare
• Intalniri
 Ce semnificatie atribuiti „riscului de
audit”?

• Riscul de audit (RA) reprezintă riscul ca auditorul să exprime o opinie de

audit neadecvată, atunci când situaţiile financiare sunt denaturate în mod
semnificativ. 

• Standardele Internaţionale de Audit au în vedere trei categorii principale de

riscuri: riscul inerent, riscul de control şi riscul de nedetectare. Produsul
acestora reprezinta riscul de audit ;
• Riscul inerent (RI) reprezintă susceptibilitatea ca un sold al unui cont sau o
categorie de tranzacţii să conţină o denaturare care ar putea fi semnificativă,
individual sau cumulată cu denaturările existente în alte solduri sau categorii de
tranzacţii, presupunând că nu au existat controale interne adiacente. 
• Riscul de control (RC) reprezintă riscul ca o denaturare, care ar putea apărea în
soldul unui cont sau într-o categorie de tranzacţii şi care ar putea fi semnificativă
în mod individual, sau atunci când este cumulată cu alte denaturări din alte
solduri sau categorii, să nu poată fi prevenită sau detectată şi corectată la
momentul oportun de sistemele de contabilitate şi de control intern. 
• Riscul de nedetectare (RNN) reprezintă riscul ca procedurile de fond ale unui
auditor să nu detecteze o denaturare ce există în soldul unui cont sau
categorie de tranzacţii şi care ar putea fi semnificativă în mod individual, sau
atunci când este cumulată cu denaturări din alte solduri sau categorii de
tranzacţii. 
• RISC AUDIT = RISC INERENT X RISC CONTROL X RISC
NEDETECTARE

• Riscul de audit trebuie să fie întotdeauna mai mic de 5% 

 Riscul inerent:
• Pentru a evalua riscul inerent, auditorii trebuie să efectueze o analiză a
contextului în care funcţionează entitatea auditată, precum şi
caracteristicile operaţiunilor auditate prin interviuri cu conducerea entităţii
şi cunoaşterea activităţii acesteia, obţinută din rapoartele auditurilor
precedente. 
• De regulă, auditorii recurg la întocmirea şi completarea unei liste de
întrebări şi în funcţie de răspunsurile primite şi pe baza raţionamentului
profesional, evaluează riscul inerent ca fiind ridicat, mediu, scăzut. 
 Riscul de control:
• Evaluarea preliminară a riscului de control reprezintă procesul de evaluare
a eficacităţii sistemelor de contabilitate şi control intern ale entităţii în
prevenirea şi detectarea denaturărilor semnificative;
• Pot fi folosite diferite tehnici pentru documentarea informaţiilor legate de
sistemele de contabilitate şi de control intern (ex: descrieri narative,
chestionare, liste de verificare şi diagrame ale fluxurilor de informaţii );
 Riscul de nedetectare:
• Există o relaţie inversă între riscul de nedetectare şi nivelul combinat al riscului inerent
şi al celui de control. 
• In cazul în care riscul inerent şi cel de control sunt ridicate, riscul de nedetectare
acceptat trebuie să fie scăzut, pentru a reduce riscul de audit la un nivel acceptabil de
scăzut. 
• Există o relaţie inversă între pragul de semnificaţie şi nivelul riscului de audit şi anume,
cu cât este mai înalt nivelul pragului de semnificaţie, cu atât este mai scăzut riscul de
audit şi invers. Auditorul ia în considerare relaţia inversă dintre pragul de semnificaţie şi
riscul de audit atunci când determină natura, durata şi întinderea procedurilor de audit. 
• Evaluarea riscurilor are in vedere componentele riscului, probabilitatea
de apariţie, respectiv condiţiile care-l favorizeaza şi impactul riscului,
respectiv consecinţa in cazul materializarii riscului.
• Aprecierea probabilităţii, reprezinta un element calitativ si se realizeaza
prin evaluarea posibilitaţii de apariţie a riscurilor, prin luarea in
considerare a factorilor de incidenţa calitativi specifici contextului in care
sunt definite şi realizate obiectivele.
 PROBABILITATE DACA

Schimbari legislative rare (peste 3 ani)

MICA (1) Personal experimentat (peste 5 ani)

Complexitate redusa

Riscul nu s-a manifestat anterior

Modificari legislative semnificative

MEDIE (2) Nivel mediu de experienta

Complexitate medie

Risc manifestat rareori in trecut

Modificari legislative frecvente

MARE (3) Personal neexperimentat (sub 1 an)

Complexitate ridicata
• Aprecierea impactului se realizeaza prin evaluarea efectelor riscului, in
cazul in care acesta s-ar materializa.
• Aceasta se poate exprima pe o scala valorica, pe trei niveluri, astfel:
• impact scăzut (1): nu exista pierderi de active, intreruperi in activitatea curenta,
imaginea entitatii nu este afectata;
• impact moderat (2): pierderi reduse de active, exista mici intreruperi de activitate,
afectare moderata a imaginii companiei
• impact ridicat (3): pierderi semnificative de active, intreruperi semnificative de
activitate, imagine afectata semnificativ
 Matricea riscurilor
este un instrument folosit ptr reprezentarea grafica a scorurilor impactului si probabilitatii;
intocmirea ei nu este in sarcina auditorului, dar este luata in calcul de catre acesta in
planificarea misiunilor

PROBABILITATE
Ridicata (3) 3 6 9
Medie (2) 2 4 6
Scazuta (1) 1 2 3
IMPACT Scazut (1) Moderat (2) Ridicat (3)
 Ierarhizarea riscurilor
- produs dintre probabilitatea si impactul riscului -

• pentru PT = 1 sau 2, riscul este mic, tolerabil si nu necesita masuri

de control

• pentru PT = 3 sau 4, riscul este mediu, tolerarea este ridicata si

necesita masuri de control pe termen mediu/ lung

• pentru PT = 6 sau 9, riscul este ridicat, intolerabil, necesita masuri

de control urgente
 Ierarhizarea riscurilor
Obiective Actiuni Riscuri Probab Impact Punctaj Ierarhie
Politica de Concor- Neconcordanta 1 2 2 Mic
achizitii danta intre
achizitii si
obiective
Achizitii in Nerespectarea 2 2 4 Mediu
functie de criteriilor de
necesitati calitate/pret
viitoare
Eficienta Utilizare slaba a 3 2 6 Mare
activit. sistemului informatic
 Ponderarea factorilor de risc
• Aprecierea controlului intern = 40%
• Aprecierea cantitativa = 25%
• Aprecierea calitativa = 20%
• Modificari legislative = 10%
• Vechimea personalului = 5%
Determinarea punctajului total
Actiun Riscuri F1– 40% F2- 25% F3- 20% F4- 10% F5- 5% TOTAL
i
Punctaj = 2 0,80 0,50 0,40 0,10 0,05 1,85
 Categorii de riscuri
• Riscul de credit –
riscul manifestat ca urmare a incapacităţii contrapărţii de a-şi îndeplini
obligaţiile integral, nici la scadenţă şi nici la un alt moment viitor;
• Riscul de piaţă –
riscul de a înregistra pierderi aferente poziţiilor din bilanţ şi din afara
bilanţului din cauza fluctuaţiilor nefavorabile pe piaţă ale preţurilor (cum ar
fi, de exemplu, preţurile acţiunilor, ratele de dobândă, cursurile de schimb
valutar);
• Risc de lichiditate –
riscul actual sau viitor de afectare negativă a profiturilor şi capitalului,
determinat de incapacitatea organizaţiei de a-şi îndeplini obligaţiile la scadenţă;

• Riscul operaţional –
riscul manifestat ca urmare a erorii umane şi/sau a unei nefuncţionări a unei
componente hardware, software sau a sistemului de comunicaţie, care este
crucială în procesul de decontare;
• Riscul de concentrare –
riscul rezultat din expunerile faţă de fiecare contraparte, grupuri de contrapartide asociate şi
contrapartide din acelaşi sector economic, aceeaşi regiune geografică sau care desfăşoară aceeaşi
activitate sau furnizează aceeaşi marfă sau din aplicarea tehnicilor de diminuare a riscului de
credit, inclusiv, în special, riscurile aferente expunerilor indirecte mari din credite;

• Risc reputaţional –
riscul actual sau viitor de afectare negativă a profiturilor şi capitalului determinat de percepţia
nefavorabilă asupra imaginii unei organizaţii, de către clienţi, contrapartide, acţionari, investitori
sau autorităţi de supraveghere;
• Risc de conformitate –
reprezintă riscul actual sau viitor de afectare a profiturilor şi a capitalului, care poate conduce la
amenzi, daune şi/sau rezilierea de contracte sau care poate afecta reputaţia unei organizaţii, ca
urmare a încălcărilor sau neconformării cu cadrul legal şi de reglementare, cu acordurile, practicile
recomandate sau standardele etice;

• Riscul strategic –
riscul actual sau viitor de afectare negativă a profiturilor şi capitalului determinat de schimbări în
mediul de afaceri sau de decizii de afaceri defavorabile, de implementarea inadecvată a deciziilor
sau de lipsa de reacţie la schimbările din mediul de afaceri.
• Riscul de conformitate cu GDPR –
Vizeaza standardizarea si armonizarea reglementarilor privind protectia
datelor cu caracter personal.
• Riscul cibernetic –
Este probabil cel mai de actualitate risc, in era digitala.
• Riscul spălării banilor –
riscul este determinat de cerinţele Directivei 2015/849 a Parlamentului
European şi a Consiliului din 20 mai 2015 privind prevenirea utilizării
sistemului financiar în scopul spălării banilor sau finanţării terorismului;
 Pragul de semnificatie
• Informaţiile sunt semnificative dacă omisiunea sau declararea lor eronată
ar putea influenţa deciziile economice ale utilizatorilor, luate pe baza
situaţiilor financiare. 

• Auditorul ia în considerare pragul de semnificaţie atât la nivelul global al

situaţiilor financiare, cât şi în relaţia cu soldurile conturilor individuale,
categoriilor de tranzacţii şi prezentărilor de informaţii. 
 Risc de audit = mic 250.000
2019 2020 TREND
ACTIVE TOTALE 200.000 +25%
1% 2.000 2.500 500
2% 4.000 5.000 1.000
CIFRA DE AFACERI 350.000 370.000 +5%
0,5% 1.750 1.850 100
1% 3.500 3.700 200
PROFIT BRUT 16.000 18.000 +12%
5% 800 900 100
10% 1.600 1.800 200