Audit intern

Managementul riscurilor

Audit intern - control intern - managementul riscurilor

Controlul intern cuprinde un set de cinci componente inter-

corelate care fac parte din procesul managerial1. Aceste componente se

regăsesc într-o măsură mai mare sau mai mică, în funcţie de

dimensiune, în toate organizaţiile2. Iată despre ce este vorba:

Mediul de control;

Evaluarea riscurilor;

Activităţile de control;

Informaţiile şi comunicarea;

Monitorizarea.

Mediul de control „dă tonul” într-o organizaţie influenţând în mod

decisiv atitudinea oamenilor faţă de control. Altfel spus, mediul de

control reprezintă fundamentul tuturor celorlalte componente,

asigurând disciplina. Printre factorii3 care influenţează mediul de control

se regăsesc: integritatea, valorile etice, competenţa personalului

angajat, filosofia managementului şi maniera sa de acţiune,

desemnarea autorităţii şi responsabilităţilor, etc.

Evaluarea riscurilor. Aşa cum indicam într-unul din capitolele

precedente ale lucrării de faţă, fiecare organizaţie este expusă unor

riscuri a căror probabilitate şi impact trebuie evaluate. O precondiţie

pentru evaluarea riscurilor constă în stabilirea obiectivelor corelate atât

pe verticală cât şi pe orizontală în cadrul unei organizaţii. Evaluarea

1 www.coso.org/publications/executive_summary_integrated_framework.htm2 Materialul este realizat în baza unei selecţii efectuate din L. Dobroţeanu, C.L. Dobroţeanu, Audit intern, Editura InfoMega, 2007, pag. 67 – 73 şi 135 – 1563 L. Dobroţeanu, C.L. Dobroţeanu, Audit: concepte şi practici, Editura Economică, 2002, pag. 194-196

riscurilor presupune identificarea acestora şi analiza lor prin prisma

pericolului pe care-l reprezintă vis-a-vis de obiectivele organizaţiei.

Astfel, se constituie ceea ce numim fondul de riscuri ce trebuie

administrate. Unele organizaţii, îndeosebi cele mari, au creat o

structură operaţională distinctă care să realizeze acest proces complex,

cunoscută sub denumirea de managementul riscurilor organizaţiei

(ERM)4. Totodată, dat fiind faptul că circumstanţele economice,

legislative etc. sunt în continuă schimbare, sunt necesare mecanisme

noi pentru a identifica şi controla riscurile asociate acestor schimbări.

Activităţile de control reflectă politicile şi procedurile de control

aplicate la nivelul întregii organizaţii incluzând, spre exemplu, aprobări,

autorizări, examinări, reconcilieri, etc.

Informaţiile şi comunicarea. Sistemele informaţionale produc

informaţii necesare pentru derularea cotidiană a afacerilor, cum ar fi

rapoarte privitoare la aspecte financiare, operaţionale, etc. Fără o

comunicare eficace, atât pe verticală cât şi pe orizontală, orice sistem

informaţional este lipsit de valoare.

Monitorizarea. Sistemele de control intern trebuie monitorizate, în

sensul de a fi evaluate prin prisma performanţelor sale de-a lungul

timpului. În lipsa unei astfel de monitorizări, eficienţa şi eficacitatea

controalelor interne nu ar fi cunoscute şi, în consecinţă, nu ar putea fi

corectate deficienţele, după cum nu ar putea fi consolidate punctele

sale forte. Aria de acoperire şi frecvenţa acestor evaluări depinde de

procesul de evaluare a riscurilor şi de eficacitatea procedurilor de

monitorizare.

Din nefericire, există o seamă de aşteptări nerealiste privind

performanţele controlului intern, în sensul că se presupune că acesta

poate garanta succesul afacerilor organizaţiei sau că poate garanta

credibilitatea informaţiilor contabile din raportările financiare. Nici una,

nici cealaltă dintre aşteptările expuse mai sus nu sunt rezonabile

deoarece, la rândul său, controlul intern nu este o soluţie magică

4 Engl. – Enterprise Risc Management

pentru toate problemele unei organizaţii. Da, controlul intern poate

sprijini organizaţia să-şi atingă obiectivele, dar nu poate transforma un

manager incompetent, într-unul competent. Sau, referitor la

credibilitatea raportărilor financiare, controlul intern nu poate „pune

lacăte” creativităţii contabile ori elimina pentru totdeauna greşelile

inerente de calcul.

Auditului intern în aceste circumstanţe îi revine un rol important

legat de monitorizare: evaluarea continuă a eficienţei şi eficacităţii

controlului intern. De aici survin şi confuziile legate de suprapunerea

auditului intern cu controlul intern. Privit din afara organizaţiei, în baza

componentelor controlului intern prezentate mai sus, un observator ar

putea asocia auditul intern drept o structură din întregul univers al

controlului intern. Dar, analizat prin prisma rolului jucat în interiorul

organizaţiei, auditul intern nu se poate judeca pe sine cu credibilitate.

Prin urmare, este absolut obligatoriu ca cele două structuri să fie

separate: una aplică, cealaltă monitorizează şi evaluează.

În conjuncţie cu publicarea raportului COSO „Enterprise risk

management – Integrated framework”, IIA a emis un ghid adresat

şefilor departamentelor de audit care prezintă recomandările privind

relaţiile auditului intern cu ERM din cadrul organizaţiilor lor5. Printre

altele, scopul acestui ghid vizează stabilirea unei linii de demarcaţie

clare între managementul riscurilor şi responsabilităţile auditului intern

vis-a-vis de cele două.

Astfel, principalele activităţi ale auditului intern în relaţia cu ERM

sunt:

furnizarea unei asigurări cu privire la procesele de management

al riscurilor;

furnizarea unei asigurări cu privire la faptul că riscurile sunt

evaluate corect;

evaluarea proceselor de management al riscurilor;

evaluarea raportărilor privitoare la riscurile esenţiale6;5 www.theiia.org – IIA, The role of internal audit in enterprise-wide risk management, 20046 Engl.- key risks

analiza managementului riscurilor esenţiale.

Privitor la rolul legitim pe care-l are auditul intern, IIA subliniază:

facilitarea identificării şi evaluării riscurilor;

consilierea conducerii pentru a adopta măsuri de protecţie

împotriva riscurilor;

coordonarea activităţilor ERM;

consolidarea raportărilor privind riscurile;

menţinerea şi dezvoltarea cadrului ERM;

dezvoltarea strategiei de management a riscurilor supuse

aprobării consiliului de administraţie.

Totodată, IIA avertizează asupra rolurilor pe care auditul intern nu

trebuie să şi le asume7:

stabilirea apetitului pentru risc;

impunerea proceselor de management al riscurilor;

asigurarea managementului cu privire la riscuri

adoptarea deciziilor privind măsurile de contracarare a riscurilor;

implementarea acestor măsuri în numele managementului;

Studiu de caz KeosKeos este o companie care distribuie consumabile pentru tehnica

de calcul. Sistemul de procesare a comenzilor provenite de la clienţi,

respectiv a facturării produselor livrate adoptat de Keos este următorul:

Dra. Kate, operator la departamentul de vânzări, înregistrează

comenzile într-un registru de comenzi, pre-numerotat, emis patru

exemplare (1 original şi trei copii) pentru fiecare comandă, numai

după ce a interogat baza de date referitoare la registrul de vânzări.

Interogarea are drept scop asigurarea că limitele de credit alocate

pe clientul respectiv nu sunt depăşite. Clienţii noi sunt supuşi în

prealabil procesului de stabilire a limitelor de creditare, operaţiune

efectuată de către managerul departamentului de vânzări;

7 Reamintim că, în acest context, responsabilitatea pentru stabilirea apetitului pentru risc al conducerii revine ERM.

Primul exemplar (originalul) al comenzii este reţinut la serviciul de

vânzări, iar cele trei copii sunt trimise la depozit pentru a fi

autorizată livrarea. Depozitul selectează produsele comandate şi le

ambalează. Comenzile pentru produsele care nu se găsesc în stoc

sunt înregistrate într-un fişier de aşteptare şi sunt procesate în

momentul în care stocurile sunt primite. Exemplarele doi şi trei ale

comenzii sunt trimise clientului împreună cu produsele livrate,

cerând clientului să semneze exemplarul doi şi să-l restituie

agentului de distribuţie Keos. Cea de-a patra copie este trimisă la

serviciul de contabilitate şi este confruntată cu exemplarul doi

returnat de client.

Detaliile exemplarului patru sunt introduse de către dra. Sharon,

operator registrul vânzări, în fişierul privind registrul de vânzări.

Programul prevede o serie de chei de control pentru a preveni riscul

de a nu introduce greşit codul clientului sau al produselor livrate. În

caz de eroare, programul respinge înregistrarea şi solicită corectarea

informaţiilor. Apoi, programul emite automat factura, în dublu

exemplar, care cuprinde toate informaţiile referitoare la client şi

preţul produselor livrate acestuia. Primul exemplar al facturii este

trimis clientului, iar exemplarul al doilea este ataşat exemplarelor de

comandă doi şi patru. Registrul de vânzări este actualizat automat,

iar la finalul fiecărei zile, programul generează o listă a tuturor

facturilor emise în ziua respectivă.

Programul generează un raport de vânzări la finalul fiecărei

săptămâni, iar suma totală este confruntată de Sharon cu valoarea

înregistrată pentru aceeaşi perioadă în registrul de vânzări. Pe bază

lunară, programul emite o situaţie complexă privind analiza

creanţelor şi maturitatea acestora pe fiecare client. Sharon are

responsabilitatea de a transmite clienţilor situaţia privind datoriile lor

faţă de Keos, de a avertiza clienţii care nu-şi achită datoriile la

scadenţă şi de a conveni cu aceştia mecanisme de reeşalonare a

plăţilor. O analiză a creanţelor relevă faptul că durata de încasare a

acestora s-a mărit de la 39 la 74 zile pe parcursul anului curent, deşi

politicile Keos prevăd o scadenţă de 30 de zile.

Cerinţe:

1. Identificaţi deficienţele de control intern referitoare la

procedurile Keos privind sistemul descris.

2. Descrieţi procedurile care ar permite reducerea perioadei de

încasare a creanţelor de către Keos.

Strategia de audit RBA8

8 Strategie de audit bazată pe riscuri - engl. Risk Based Auditing (RBA)

1. Strategia de audit RBA

Vom începe discuţia noastră în acest capitol prin a sublinia că

strategia RBA şi planul de audit sunt două componente strâns legate

între ele, fapt recunoscut de altfel şi de standardele de audit intern:

„Şeful departamentului de audit intern trebuie să elaboreze un plan de

audit pe baza riscurilor (n.n. RBA) pentru a determina priorităţile

activităţilor auditului intern în conformitate cu obiectivele organizaţiei”9

sau „programul misiunilor de audit intern trebuie să aibă la bază

evaluarea, cel puţin anuală, a riscurilor”10.

În ciuda cerinţelor normelor profesionale, practicile de elaborare a

planurilor de audit intern şi a programelor de misiune sunt variate,

majoritatea acestora fiind ancorate la o strategie tradiţională de audit

care plasează în centrul atenţiei auditului intern una sau mai multe

dintre următoarele variante: auditul pe procese, pe funcţii, pe meserii,

pe teme, auditul de conformitate, auditul operaţional, etc. Aceste

abordări tradiţionale vizau auditarea internă a tot ce era posibil. La

polul opus, strategia prevăzută de standardele internaţionale de audit

intern – RBA – implică o selecţie şi o prioritizare a activităţilor şi

misiunilor de audit intern pe baza unei evaluări a riscurilor, astfel încât

auditul intern să servească într-adevăr obiectivelor organizaţiei.

Schimbarea de strategie produce efecte asupra modului în care se

desfăşoară activitatea de audit intern, efecte pe care le discutăm atât

aici, dar şi în cadrul altor paragrafe si capitole ale lucrării noastre.

Griffiths11 prezintă următoarele precondiţii necesare pentru a

putea aplica strategia RBA:

Organizaţia cunoaşte toate riscurile inerente semnificative,

adică cele situate peste nivelul apetitului pentru risc;

Organizaţia şi-a evaluat riscurile, astfel încât acestea pot fi

prioritizate în funcţie de pericolul pe care-l reprezintă;

9 Standardul de performanţă IIAS 2010, Planificarea10 Standardul de aplicare IIAS 2010.A1, Misiunile de audit11 D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 26

Organizaţia şi-a definit apetitul pentru risc, astfel încât

riscurile inerente şi cele reziduale12 pot fi evaluate şi

clasificate în funcţie de acesta.

La rândul lor precondiţiile pot fi satisfăcute numai dacă:

La nivelul organizaţiei, consiliul a adoptat un set adecvat de

politici de control intern;

Apetitul pentru risc a fost aprobat de către consiliu;

Directorii executivi au fost instruiţi corespunzător pentru a avea

abilităţile cerute pentru identificarea riscurilor, evaluarea lor,

pentru proiectarea, punerea în aplicare şi monitorizarea

sistemelor de control care asigură implementarea politicilor

adoptate de consiliu.

Etapele RBA sunt:

1. examinarea registrului riscurilor şi determinarea riscurilor

asupra cărora auditorii vor trebui să formuleze o opinie cu

privire la gradul de control exercitat;

2. elaborarea planului de audit (anual) şi obţinerea aprobării

comitetului de audit asupra acestuia;

3. realizarea misiunilor de audit care vor furniza baza pentru

opiniile auditorilor;

4. actualizarea universului de audit13 şi riscuri, pe măsură ce

sunt obţinute informaţii suplimentare.

În practică, obţinerea unei asigurări cu privire la registrul riscurilor

este realizată de obicei o singură dată sau până în momentul în care

auditorii capătă încrederea că registrul riscurilor poate fi utilizat ca o

bază credibilă în etapele următoare. Etapa a doua este realizată anual,

sub rezerva că planul de audit poate fi revizuit şi modificat în cursul

anului. Etapa a treia are o frecvenţă mult mai mare, determinând şi

frecvenţa etapei a patra. Primele două etape sunt prezentate în cadrul

acestui capitol, urmând ca ultimele două etape fie prezentate distinct,

în cadrul capitolului următor al lucrării.12 Pentru detalii privind riscurile inerente şi reziduale vezi paragraful 8.2.2.13 O lista cu procesele (domeniile) auditabile.

2. Prima etapă: Examinarea registrului riscurilor14

Obiectivele acestei etape vizează obţinerea unei asigurări cu

privire la faptul că riscurile situate peste nivelul apetitului pentru risc au

fost identificate şi evaluate corect de către conducere, cu scopul de a

stabili credibilitatea folosirii ulterioare a registrului de riscuri.

În acest sens, auditorii interni aplică următoarele proceduri de audit:

discuţii (interviuri, chestionare, mese rotunde etc.) cu

managementul executiv şi consiliul de administraţie cu privire la

riscurile la care este expusă entitatea. Auditorii urmăresc astfel să

se convingă de faptul că toată conducerea înţelege importanţa

riscurilor şi întreprinde eforturi de ameliorare a acestora;

documentarea următoarelor aspecte:

o obiectivele organizaţiei;

o metodele utilizate de către conducere pentru a evalua

riscurile semnificative precum şi alocarea responsabilităţilor

pentru diferite procese din cadrul organizaţiei;

o scala de evaluare utilizată pentru dimensionarea relevanţei

riscurilor;

o declaraţia consiliului privind definirea apetitului său pentru

risc;

o maniera în care riscurile vor fi integrate în procesele

decizionale;

o registrul riscurilor.

Examinarea documentelor obţinute;

Formularea unei concluzii cu privire la credibilitatea şi

posibilitatea utilizării registrului riscurilor pentru acţiunile

ulterioare. Dacă auditorii interni ajung la concluzia că, pentru a fi

credibil şi utilizabil, registrul riscurilor necesită ajustări sau

corecţii minore, trebuie să solicite consiliului de administraţie şi

managementului executiv să le opereze. În cazul în care registrul

14 D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 30-39

nu poate fi deloc utilizat sau nu există, auditorii pot lua în

considerare sprijinirea organizaţiei în construirea sau corectarea

registrului, în funcţie de caz. Paragrafele 8.2.1. şi 8.2.2. de mai jos

detaliază activitatea auditorilor în cazul în care registrul riscurilor

nu există în cadrul organizaţiei. Decizia auditorilor interni în acest

ultim caz trebuie luată în acord cu sugestiile comitetului de audit

care trebuie informat printr-un raport asupra faptului că registrul

riscurilor nu există sau nu este utilizabil.

2.1. Registrul riscurilor: conţinut şi tehnici de elaborareRegistrul riscurilor reprezintă o listă completă a riscurilor (de

obicei o bază de date) identificate de conducerea organizaţiei, care

ameninţă atingerea obiectivelor organizaţiei. Dacă în cadrul

organizaţiei există o funcţie de management al riscurilor, atunci

construirea şi actualizarea acestei baze de date este responsabilitatea

acesteia. Evident, volumul de muncă al auditorilor interni este mult

redus dacă managementul riscurilor există şi funcţionează

corespunzător.

În lipsa managementului riscurilor, auditorii interni pot sprijini şi

consilia conducerea superioară (consiliul) în ceea ce priveşte înfiinţarea

registrului de riscuri, evaluarea riscurilor şi determinarea apetitului

pentru risc. Dat fiind faptul că există numeroase organizaţii care se

situează în cea de-a doua ipostază, în continuare, vom expune

activităţile auditorilor interni aplicabile în contextul acestora.

Construirea registrului riscurilor nu este o sarcină tocmai uşoară. Chiar

dacă se presupune că auditorii interni nu poartă responsabilitatea

construirii registrului riscurilor, a evaluării riscurilor şi a determinării

apetitului pentru risc, înţelegerea acestui proces ajută auditorii interni

să poată evalua credibilitatea registrului de riscuri obţinut.

În ceea ce priveşte registrul riscurilor, răspunsul la întrebarea

„registrul riscurilor include toate riscurile semnificative?” este crucial.

Punctul de pornire constă în a formula, pe baza propriei experienţe,

anticipările privind riscurile potenţiale care ameninţă obiectivele,

pentru a le putea discuta ulterior în întâlnirile cu persoanele relevante

din cadrul organizaţiei. Fiecărui risc anticipat, îi sunt ataşate apoi

procesele de control care, prezumabil, reduc riscurile respective sau,

mai bine zis, le controlează. Detaliind, la un nivel imediat inferior,

procesele de control devin, la rândul lor obiective, ameninţate de alte

riscuri, ameliorate de alte controale, etc. Ierarhizându-le astfel, într-o

abordare logică, din aproape în aproape, pot fi identificate, pe rând,

toate riscurile şi se poate construi registrul riscurilor. Anexa 1 prezintă

un exemplu de ierarhizare în acest sens. Această manieră de

identificare a riscurilor, deşi dificilă de aplicat (dar, reţinem că odată

construit, registrul riscurilor nu trebuie decât actualizat, ulterior – deci

„chinul” nu durează la infinit!) este facilă de urmărit şi de înţeles de

către consiliu, respectiv uşor de utilizat de către auditorii interni în

elaborarea planurilor anuale de audit. De reţinut faptul că procesele de

control indicate în cadrul acestei ierarhii sunt cele ce pot ameliora

riscurile considerate, nu cele pe care le aplică organizaţia. În mod

firesc, între acestea şi cele utilizate de organizaţie, ar trebui să existe o

apropiere foarte mare, însă pot exista situaţii (ce pot fi descoperite

astfel) în care nu sunt procese de control care să amelioreze anumite

riscuri, după cum pot fi identificate controale inutile. Totuşi, această

dezvoltare arborescentă poate deveni foarte complexă, motiv pentru

care este necesară structurarea ei astfel încât să fie utilizabilă.

Structurarea acesteia trebuie să ţină cont de două aspecte: riscurile

care ameninţă procesele superioare15 din ierarhie, respectiv procesele

de control care, prezumabil, le ameliorează.

Unii auditori interni preferă construirea registrului riscurilor

plecând direct de la sursă: consiliul de administraţie şi persoanele

relevante din cadrul organizaţiei. Deşi, această procedură directă

economiseşte foarte mult timp preţios, prezintă dezavantajul că, unele

riscuri pot rămâne neidentificate, dat fiind faptul că auditorii nu mai au

o bază de confruntare pregătită de ei anterior. În rest, procedura de

15 Procesul din ierarhie este compus din secvenţa: risc-proces de control (sub-obiectiv).

ierarhizare, etc. rămâne aplicabilă. De principiu, există trei proceduri

utilizate cu scopul de a identifica riscurile:

Interviul;

Seminariile de identificare a riscurilor (engl. – risk workshops);

Evidenţele contabile.

Interviul. Rezultatele unui interviu reflectă punctul de vedere

individual exprimat de către cel intervievat referitor la riscurile la care

obiectivele organizaţiei sunt expuse. Printre avantajele aceste

proceduri se numără: uşurinţa stabilirii unei întrevederi cu o singură

persoană faţă de un grup de persoane, respectiv confortul mai mare al

intervievatului în exprimarea punctelor sale de vedere pe care într-un

seminar poate nu şi le-ar exprima deschis. Printre dezavantajele

utilizării acestei proceduri pot fi enumerate dificultatea de a omogeniza

punctele de vedere individuale exprimate şi de a clasifica riscurile

astfel obţinute.

Seminariile de identificare a riscurilor. Rezultatele seminariilor se

concretizează într-o listă de riscuri care pun în pericol obiectivele

organizaţiei, respectiv o dimensionare a probabilităţii şi consecinţei

acestora. Un avantaj al utilizării acestei proceduri constă în faptul că

persoanele interacţionează şi creează idei noi.

Evidenţele contabile. Examinarea fiecărei clase/poziţii din

situaţiile financiare sau din evidenţele contabile, precum şi a

evenimentelor ataşate acestora poate scoate la iveală o serie de riscuri

importante.

În acest moment registrul riscurilor, fie ajustat cu rezultatele

procedurilor expuse mai sus, fie obţinut în exclusivitate în baza

acestora, trebuie transpus într-o bază de date computerizată pentru a

facilita clasificarea şi utilizarea lui ulterioară.

2.2. Dimensionarea relevanţei riscurilorAvând construit registrul riscurilor, pasul următor trebuie să

vizeze sprijinirea consiliului în ceea ce priveşte rafinarea registrului

riscurilor prin identificarea tuturor riscurilor „semnificative” prin

raportare la apetitul pentru risc. Dimensionarea relevanţei riscurilor (R)

este realizată prin prisma celor două variabile componente ale fiecărui

risc: consecinţa (C) şi probabilitatea (P). Aritmetic, relaţia de calcul este

exprimată astfel:

Reamintim că, dacă în cadrul organizaţiei există un departament de

management al riscurilor, aceasta evaluare ar fi responsabilitatea

acestuia.

În cele ce urmează vom prezenta un model de cuantificare a

relevanţei riscurilor, cu menţiunea că modelul nu este infailibil, el

putând fi adaptat sau modificat, în funcţie de preferinţele auditorilor

pentru o măsurare mai exactă sau mai grosieră.

Câteva precizări legate de modelul de cuantificare a semnificaţiei

riscurilor:

1. am utilizat o scală de dimensionare pe cinci nivele, fiecărui nivel

ataşându-i valori numerice cuprinse între 1 şi 5, detaliată în tabelul

1. de mai jos.

R = C x P

Tabelul 1. Dimensionarea relevanţei riscului

Dacă se produce riscul,

Consecinţele acestuia ar fi:

SAU,

Probabilitat

ea riscului

este:

Relevanţa

riscului:

1 2 3 =1x2

Închiderea organizaţiei totală sau

parţială pe un orizont de timp

lung (5)

Foarte

ridicată

(5)

Foarte

mare (25)

Imposibilitatea organizaţiei de a-

şi atinge obiectivele sale majore

pe un orizont de timp îndelungat

(4)

Ridicată

(4)

Mare

(16)

Imposibilitatea organizaţiei de a-

şi atinge unele obiective pe o

perioadă de timp limitată (3)

Medie

(3)

Medie

(9)

Apariţia unor pagube fără să fie

afectată atingerea obiectivelor

majore ale organizaţiei (2)

Redusă

(2)

Redusă

(4)

Apariţia unor pagube minore, fără

a fi afectată atingerea

obiectivelor organizaţiei (1)

Foarte

redusă

(1)

Foarte

redusă (1)

2. momentul dimensionării relevanţei riscurilor: înainte sau după

evaluarea proceselor de control ataşate acestora?

Literatura de specialitate şi practicile relevă preferinţe diferite

pentru momentul măsurării relevanţei riscurilor. Normele profesionale

de audit intern recomandă dimensionarea riscurilor atât înainte, cât şi

după ce procesele de control au fost evaluate. Reţinem de aici

următoarele:

Riscul inerent (brut, absolut), este riscul dimensionat înainte

de a evalua eficacitatea şi eficienţa controalelor interne;

Riscul rezidual (net, controlat), este riscul dimensionat după

ce au fost evaluate eficienţa şi eficacitatea controalelor

interne ale organizaţiei.

În timp ce riscul inerent va servi pentru formularea planului de

audit anual şi identificarea misiunilor de audit ce vor fi întreprinse,

riscul rezidual este determinat pe parcursul misiunilor de audit, pentru

a evalua eficacitatea şi eficienţa controalelor efective asupra riscurilor

respective.

Evaluarea semnificaţiei riscurilor inerente (modelul poate fi

utilizat apoi şi pentru riscul rezidual) prin prisma apetitului pentru risc

poate fi realizată prin realizarea unei matrice, pentru fiecare risc, astfel

încât prin combinaţia probabilităţii cu consecinţa riscurilor, consiliul să

poată decide asupra riscurilor acceptabile, respectiv inacceptabile din

punctul său de vedere. Altfel spus, consiliul îşi defineşte astfel apetitul

pentru risc. Tabelul 2 de mai jos, prezintă un model de evaluare a

semnificaţiei riscurilor inerente prin referinţă la apetitul pentru risc al

consiliului.

Tabelul 2. Semnificaţia riscurilor inerente

raportate la apetitul pentru risc al consiliului

Consecinţa riscului inerent:

5 4 3 2 1

Pro

bab

ilita

te

risc

ulu

i in

ere

nt 5 25 20 15 10 5

4 20 16 12 8 4

3 15 12 9 6 3

2 10 8 6 4 2

1 5 4 3 2 1

Să presupunem că, în ansamblu, consiliul îşi defineşte apetitul

pentru risc astfel: riscurile inerente a căror relevanţă se află în

intervalul 1-4 sunt riscuri acceptabile. Altfel spus, toate celelalte riscuri

ale căror relevanţă depăşeşte pragul valoric 4 reprezintă un interes

pentru auditori.

3. Etapa a doua: Elaborarea planului de audit

Obiectivele urmărite de auditori în cadrul acestei etape vizează:

Determinarea riscurilor care vor fi incluse în planul de audit;

Alocarea acestor riscuri misiunilor de audit;

Elaborarea planului de audit

Filtrarea riscurilor din registru pentru identificarea celor care vor fi

incluse în planul de audit anual se realizează prin raportarea la apetitul

pentru risc al conducerii drept criteriu prioritar.

Astfel, riscurile care se situează sub nivelul apetitului pentru risc

al conducerii nu vor necesita o atenţie din partea auditorilor şi, drept

urmare, nu vor fi incluse în planul de audit. În ceea ce priveşte riscurile

situate peste nivelul apetitului pentru risc, pot exista următoarele

situaţii cu privire la care auditorii interni vor decide menţinerea sau

eliminarea lor din planul de audit:

Riscurile pe care conducerea le consideră că, din diverse motive, nu

vor putea fi ameliorate astfel încât să fie reduse la nivelul apetitului

pentru risc, motiv pentru care le acceptă. În cazul în care există

programe contingente pentru aceste riscuri ele vor face obiectul

unor misiuni de audit. În consecinţă, aceste riscuri vor putea fi

incluse în planul de audit.

Riscurile pentru care au fost adoptate măsuri de prevenire de tipul

transferului (de exemplu, asigurarea împotriva riscurilor). Inclusiv

acestea vor putea fi menţinute în planul de audit, deoarece auditorii

vor dori probabil să se convingă, în contextul unei misiuni, dacă

toate riscurile de acest gen au fost transferate şi dacă transferul este

eficient şi eficace ca mecanism de protecţie.

Riscurile pe care conducerea este decisă să le elimine prin diverse

acţiuni sau programe. Asupra acestor riscuri auditorii vor decide

dacă le păstrează sau nu în planul de audit. Menţinerea lor în plan

poate fi justificată de faptul că acţiunile conducerii de eliminare a

riscului respectiv, pot genera alte riscuri, iar auditorii vor dori să se

convingă că aceste sunt controlate corespunzător.

Riscurile examinate şi evaluate de o terţă parte (de exemplu, de

către auditorii externi) care furnizează o asigurare directă consiliului

de administraţie asupra gradului de control exercitat de organizaţie

asupra acestora. În astfel de cazuri, strategia şi politicile interne ale

organizaţiei reprezintă un punct de sprijin în adoptarea unei decizii

asupra menţinerii sau eliminării lor din planul de audit.

Riscurile care au fost aduse în limita apetitului pentru risc, fapt

dovedit de rapoartele misiunilor de audit intern anterioare. În funcţie

de intervalul de timp care a trecut de la finalul acelor misiuni,

precum şi de rezultatele relevate de programele de monitorizare

post-audit cu privire la implementarea măsurilor corective, auditorii

vor decide dacă păstrează sau nu în planul de audit aceste riscuri.

Toate celelalte riscuri care au rămas vor fi incluse în planul de audit.

Alocarea riscurilor pe misiuni de audit are ca punct de plecare registrul

riscurilor, actualizat cu rezultatele procesului de filtrare precedent.

Criteriile de alocare cel mai frecvent utilizate sunt:

Perioada de timp şi resursele necesare pentru o misiune de audit

(cu cât mai multe riscuri şi procese alocate pe o misiune, cu atât

mai lungă şi mai costisitoare va fi misiunea de audit);

Persoanele ce se intenţionează a fi intervievate în contextul

misiunii;

Locaţia proceselor auditabile, etc.

Există şi companii care preferă gruparea riscurilor pe misiuni,

după ce obţin o listă cu toate procesele auditabile (denumită universul

auditului) şi gruparea lor ulterioară în funcţie de locaţie sau alte criterii

particulare. În ceea ce priveşte prioritizarea misiunilor de audit şi

includerea acestora în planul anual, auditul intern trebuie să formuleze

un raţionament rezonabil, ţinând cont de resursele financiare,

materiale, umane şi fondul de timp avut la dispoziţie. Nu este

obligatoriu ca toate misiunile identificate să fie incluse într-un singur

plan anual, dacă toate considerentele de mai sus nu permit acest lucru.

Este motivul pentru care, unele companii operează cu planuri de audit

multi-anuale. De asemenea, companiile care abia înfiinţează funcţia de

audit intern fac faţă unor constrângeri considerabile, mai ales în ceea

ce priveşte resursa umană. Pentru stabilirea priorităţilor în realizarea

misiunilor ce vor fi incluse în planul de audit, în practică se folosesc mai

multe modele, fiecare dintre ele fiind elaborat în funcţie de

particularităţile proprii fiecărei companii. În cele ce urmează vom

încerca expunerea unui model, folosindu-ne de exemplul din paragraful

precedent.

Astfel, auditorii pot conveni următoarea situaţie:

Pentru riscurile inerente a căror relevanţă este cuprinsă în

intervalul [1-4], nu vor fi întreprinse niciodată misiuni de audit

intern;

Pentru riscurile inerente a căror relevanţă se situează în intervalul

[5-9] se vor realiza misiuni de audit o dată la fiecare trei ani;

Pentru riscurile inerente a căror relevanţă se situează în intervalul

[10-12] se vor realiza misiuni de audit o dată la fiecare doi ani;

Pentru riscurile inerente a căror relevanţă se situează în intervalul

[15-25] se vor realiza misiuni anuale de audit.

Scala de mai sus poate fi detaliată sau restrânsă în funcţie de

preferinţele auditorilor. În această manieră, se pot dezvolta planuri de

audit mai scurte decât un an, planuri anuale sau multianuale, după

necesităţile auditului intern şi ale organizaţiei respective. Auditul intern

trebuie să obţină acordul conducerii organizaţiei asupra prioritizării

misiunilor.

În acest moment, baza de date necesară elaborării planului de

audit este pregătită. Planul de audit va trebui să conţină informaţii

referitoare la:

Misiunile de audit ce vor fi întreprinse;

Perioada de timp preconizată pentru misiunile de audit (când vor

începe, câte zile vor dura, când se vor finaliza);

Riscurile şi procesele de control asociate acestora ce vor face

obiectul misiunilor;

Numele auditorilor ce vor participa în cadrul misiunilor (cel puţin

numele şefilor de misiuni), etc.

Planul de audit trebuie aprobat de către comitetul de audit şi consiliul

de administraţie al organizaţiei. În plus, comitetului de audit i se poate

transmite un raport care să conţină detalii referitoare la:

Riscurile şi procesele ce vor face obiectul misiunilor de audit

cuprinse în planul de audit;

Riscurile şi controalele asupra cărora auditorii interni vor formula

o opinie pe baza rezultatelor cumulate din misiunile de revizuire şi

din misiunile de audit din perioadele precedente;

Activităţile de consultanţă ce vor fi acordate de către auditul

intern conducerii organizaţiei cu scopul reducerii riscurilor

reziduale la nivele inferioare apetitului pentru risc;

Riscurile neacoperite, datorită politicilor organizaţiei sau limitării

resurselor;

Asigurarea că planul de audit este în conformitate cu carta

auditului intern.

Anexa 2 prezintă cerinţele informaţionale şi modelul planului de

audit prevăzute de Hotărârea CAFR 88/2007 privitoare la normele de

audit intern.

4. Probleme de discuţie şi studii de caz

4.1. Probleme de discuţie1. Discutaţi avantajele şi dezavantajele strategiei RBA comparativ

cu strategiile tradiţionale de audit.

2. Care sunt efectele utilizării strategiei RBA asupra planului anual

de audit?

3. Semnificaţia riscurilor este sinonimă cu relevanţa lor? Discutaţi.

4. Evaluarea calitativă poate fi utilizată în dimensionarea

relevanţei riscurilor?

5. Discutaţi procedura de audit „şedinţe de evaluare a riscurilor”.

4.2. Studiu de caz Sunny HotelPartea I

Sunny Hotel este o companie hotelieră de 5 stele, care oferă

servicii de cazare atât turiştilor, cât şi oamenilor de afaceri care

vizitează Washington-ul. Recentele modificări legislative aplicabile

societăţilor cotate la bursa din New York – iar Sunny este cotată –

impun companiilor consolidarea guvernanţei corporative şi

transmiterea unor rapoarte periodice privind performanţele înregistrate

în acest sens. Anul trecut, consiliul de administraţie al hotelului tocmai

a încheiat implementarea unui proces de restructurare a companiei în

baza a recomandărilor primite de la un grup de consultanţi externi pe

probleme privind consolidarea guvernanţei corporative. Astfel, hotelul

dispune de un departament de audit intern, garnisit cu personal

adecvat care raportează consiliului de administraţie şi se subordonează

direct comitetului de audit, constituit din 5 membri neexecutivi ai

consiliului de administraţie. Dna. Jane Shine, şeful departamentului de

audit intern, a decis cu consultarea comitetului de audit, ca începând

cu anul acesta, auditul intern să-şi schimbe strategia, urmând să

adopte strategia bazată pe riscuri. Dvs. sunteţi un auditor intern al

acestui departament şi aţi fost desemnat, împreună cu alţi 6 colegi, să

formulaţi planul de audit, bazat pe riscuri, pentru anul acesta. Hotelul

nu dispune de un departament specializat în managementul riscurilor.

Cerinţe:

1. Indicaţi activităţile ce vor fi necesare să le întreprindeţi pentru a

îndeplini sarcina atribuită.

2. Precizaţi care sunt informaţiile cheie care v-ar permite elaborarea

registrului riscurilor.

Partea a II-a

Pe baza unui telefon, aţi reuşit să stabiliţi o întâlnire cu directorul

general al hotelului şi cu şeful contabil. Pe parcursul întâlnirii, aţi reuşit

să obţineţi următoarele informaţii cu privire la activităţile desfăşurate

de clientul dvs.

Cazarea. Hotelul are 60 de camere, a căror clasificare este

prezentată în tabelul de mai jos. Cifrele cu privire la gradul de ocupare

reprezintă un instrument important de dimensionare a succesului

afacerii. În medie, camerele au avut un grad de ocupare de 74% pe o

perioadă de 12 luni. Conducerea este îngrijorată de faptul că în 12 luni

tariful de găzduire a scăzut în anul anterior cu circa 76%. Gradul de

ocupare variază pe parcursul anului de la 50% în lunile de iarnă, la 90%

în lunile de primăvară/vară, respectiv începutul toamnei.

Tip camere Nr

.

Tariful

pe zi

Grad de

ocupare

Camere single cu baie 15 70 75

Camere single cu duş 10 60 77

Camere single cu

chiuvetă

5 50 81

Total camere single 30

Camere duble cu baie 17 80 70

Camere duble cu duş 9 70 77

Camere duble cu

chiuvetă

4 60 82

Total camere duble 30

Total camere 60 74

În plus faţă de aceste informaţii mai aflaţi următoarele:

Fiecare cameră este dotată cu televizor, cafetieră, frigider

conţinând băuturi îmbuteliate în sticle şi cutii, halate de duş,

presă şi telefon;

Tarifele de cazare sunt cele indicate în tabelul de mai sus, cu

menţiunea că se pot aplica tarife diferite în următoarele cazuri:

o Tarife speciale pentru week-end şi tarife reduse pentru

cazări săptămânale;

o În cazul în care camerele single nu sunt disponibile,

camerele duble pot fi puse la dispoziţie la tariful unei

camere single;

o Tarife speciale de sezon.

Conducerea hotelului intenţionează să amenajeze camere de baie

pentru camerele care sunt dotate numai cu chiuvete. Lucrările de

amenajare vor începe foarte curând în cursul exerciţiului curent.

Contabilul şef vă informează că în anul anterior, veniturile din

activitatea de închiriere a camerelor au fost de circa 1,050,000$.

Restaurant. Hotelul are un restaurant cu 60 de mese. Conducerea

hotelului vă informează că deşi majoritatea oaspeţilor servesc micul

dejun în hotel, gradul de ocupare a restaurantului (de către oaspeţi) în

anul precedent a fost de circa 20% la prânz, respectiv 65% în cursul

serii. Este permis şi accesul în restaurant al persoanelor care nu sunt

cazate în hotel. Conducerea estimează că pragul de rentabilitate pentru

activitatea restaurantului este la o capacitate de utilizare de 55%, însă

doreşte o creştere a capacităţii de utilizare a restaurantului (care a fost

de 75% în anul precedent, incluzând oaspeţii şi consumatorii din afara

hotelului). Meniul oferit a fost modificat, iar de curând a fost angajat un

bucătar specializat în prepararea mâncărurilor tradiţionale din regiune.

Veniturile din activitatea restaurantului s-au ridicat la circa 2,400,000$

în anul precedent, incluzând veniturile din asigurarea micului dejun.

Contabilul şef vă informează că restaurantul reprezintă componenta de

activitate care aduce cel mai mult profit hotelului. Noului meniu i se

face publicitate în presa locală. Unul dintre motivele pentru care

conducerea acordă o atenţie sporită restaurantului, este concurenţa

făcută de un hotel din împrejurime, care a finalizat recent un proiect de

modernizare şi a reuşit să atragă o parte din clientelă datorită

restaurantului atractiv pe care l-a amenajat.

Bucătăria. Conducerea hotelului a început să adopte masuri

pentru reducerea pierderilor din bucătărie. Au fost introduse măsuri de

control al porţiilor, iar responsabilitatea pentru aprovizionarea cu

produse alimentare a fost recent acordată unui nou şef, sub

supravegherea directă a contabilului şef.

Barul. Există trei baruri în hotel, şi o gamă variată de băuturi puse

la dispoziţia oaspeţilor hotelului şi a clienţilor din afară. Unul din baruri

este amplasat în salonul de oaspeţi. Barurile reprezintă una dintre

activităţile foarte profitabile ale hotelului.

Servicii suplimentare. Hotelul oferă servicii suplimentare pentru

nunţi, recepţii, întâlniri de afaceri, mese rotunde, etc.

Sistemul contabil. Hotelul utilizează un sistem contabil

computerizat. Compania are o reţea mică de calculatoare achiziţionate

cu doi ani în urmă la un cost de 30.000$. Calculatoarele sunt distribuite

la recepţie, restaurant, baruri, biroul directorului, şi biroul şefului

contabil. Sistemul utilizează un program achiziţionat de la o companie

de software de renume. În afară de administratorul de sistem, şeful

contabil are suficiente cunoştinţe de informatică pentru a supraveghea

operarea sistemului. Cea mai frecventă şi importantă înregistrare se

face la recepţie, care activează sistemul informatic la sosirea unui

client. Numărul camerei este utilizat pentru înregistrarea tuturor

serviciilor utilizate de către client. Astfel, atunci când clientul serveşte

masa la restaurant, numărul camerei este prezentat pe bonul de masă

semnat de client. O procedură importantă de control utilizată de către

restaurant constă în codificarea meniului care are în corespondenţă un

fişier de coduri pe calculator pentru fiecare fel de mâncare din meniu

precum şi preţul standard aferent. Fiecare chelner are un chitanţier şi

are obligaţia să întocmească câte patru copii pentru fiecare chitanţă,

dintre care una pentru bucătărie, una pentru casieria restaurantului,

una pentru serviciul de contabilitate şi una o reţine pentru el însuşi.

Chelnerii introduc numărul de comenzi pentru un anumit fel de

mâncare la fiecare masă, folosind codurile specifice pentru fiecare fel

de mâncare prevăzut în meniu şi comandat de către client, precum şi

numărul camerei clientului care este găzduit de hotel. Directorul de

restaurant introduce pe calculator detaliile cu privire la toate felurile de

mâncare servite în restaurant, făcând distincţie între cele achitate cash

şi cele trecute în contul clientului pentru nota finală. Banii încasaţi în

cash sunt vărsaţi în casieria restaurantului. Cel mai important

instrument de control în activitatea barurilor constă în utilizarea unui

sistem automat care solicită barmanului sa introducă codul băuturilor

comandate şi suma încasată, restul de plată fiind calculat automat de

către calculator.

Cerinţe:

1. Identificaţi obiectivele strategice ale companiei Sunny Hotel.

2. Indicaţi riscurile potenţiale şi controalele aferente care ar putea

ameliora aceste riscuri.

3. Organizaţi o şedinţă de analiză a riscurilor cu conducerea

hotelului pentru a evalua riscurile inerente.

4. Determinaţi domeniile auditabile ce vor fi incluse în planul de

audit şi prioritatea lor.

Anexa 1. Ierarhizarea riscurilor

………………………………….

OBIECTIVUL STRATEGIC AL ORGANIZAŢIEI

expus următoarelor riscuri:

RISC 1 RISC 2 RISCn………………………………….

Controlate prin următoarele procese de control (PC):

Controale care devin, la rândul lor, (sub)obiective, ameninţate de următoarele riscuri (r):

PC1 PC2 PC3 PCn……

R1 R2 R3 Rn

………….. Ameliorate prin controale, care devin sub-

obiective … etc.

Anexa 2. Procedura „plan de audit”16

Scopul:

Întocmirea planului de audit intern în conformitate cu

cerinţele standardelor de audit intern.

Premise:

Planul de audit intern reprezintă cadrul de acţiune pentru

Departamentul de Audit Intern şi se întocmeşte de către

şeful acestui departament.

Procedura:

Şef Departament Audit

Intern

1. Întocmeşte planul anual de

audit intern

2. Întocmeşte referatul

cuprinzând criteriile de

selectare a misiunilor de audit.

Comitetul de Audit 3. Analizează şi aprobă planul

anual de audit.

Consiliul de

Administraţie

4. Analizează şi aprobă planul

anual de audit.

Notă: Planul anual de audit intern poate fi modificat în cursul anului în

condiţiile reiterării procedurii.

16 HCAFR 88/2007, www.cafr.ro

PLAN DE AUDIT INTERN

Pe anul ..........

Nr.

Crt

Tema

misiu

nii de

audit

Obiecti

ve

Perioad

a

supusă

auditării

Unitate

a

auditat

ă

Perioada

desfăşură

rii

misiunii

de

audit

0 1 2 3 4 5

1

2

3

…

n

Şef Departament Audit Intern,