Norme Audit Intern

NORME PROFESIONALE ALE AUDITULUI INTERN

1000 misiune, competenţe şi responsabilităţi

MISIUNEA, COMPETENŢELE ŞI RESPONSABILITĂŢILE AUDITULUI INTERN TREBUIE Să FIE DEFINITE ÎN MOD FORMAL ÎNTR-O CARTĂ Să CORESPUNDĂ NORMELOR ŞI Să FIE

APROBATE DE CONSILIU

MPA 1000-1CARTA DE AUDIT INTERN

Natura acestei modalităţi practice de aplicare: adoptării cartei de audit intern. Prezenta MPA are drept scop trecerea în revistă a tuturor punctelor ce trebuie examinate înainte de adoptarea unei carte ci recomandarea luării în considerare a unui ansamblu de elemente.

Respectarea modalităţilor practice de aplicare este facultativă.

1. Misiunea, competenţele şi responsabilităţile auditului intern trebuie să fie definite într-o cartă. Responsabilul auditului intern trebuie să încerce să obţină aprobarea artei de către direcţia generală precum şi acceptarea acesteia de către Consiliu, comitetul de audit sau orice alt organ cu drept de deliberare în acest domeniu.

Carta trebuie: să stabilească poziţia serviciului de audit intern în cadrul entităţii să autorizeze accesul la documente, personal şi bunuri fizice, necesar

îndeplinirii corespunzătoare a misiunilor să definească sfera de activitate a auditului intern

2. Carta serviciului de audit intern trebuie să fie scrisă. Un document scris permite trimiterea acestuia în mod oficial direcţiei generale în vederea examinării şi aprobării, şi Consiliului în vederea acceptării. Acest document facilitează şi evaluarea periodică a pertinenţei misiunii, a competenţelor şi a responsabilităţilor auditului intern. Difuzarea unui document scris şi oficial care conţine Carta auditului intern este un element esenţial în administrarea funcţiei de audit intern în cadrul entităţii. Misiunea, competenţele şi responsabilităţile trebuie să fie definite şi prezentate în scopul de a preciza rolul auditului intern şi de a furniza direcţiei generale şi Consiliului o bază de evaluare a activităţilor funcţiei. În cazul în care există chestiuni de lămurit, neclarităţi, Carta este înţelegerea scrisă oficială a acordului încheiat cu direcţia generală şi cu Consiliul privind rolul şi responsabilităţile auditului intern în cadrul entităţii.

3. Responsabilul auditului intern trebuie să evalueze periodic dacă misiunea, competenţele şi responsabilităţile definite în Cartă continuă să fie pertinente pentru a permite serviciului de audit intern să îşi atingă obiectivele. Rezultatul acestei evaluări periodice trebuie să fie comunicat direcţiei generale şi Consiliului.

1000.C1

Natura misiunilor de consultanţă/consiliere trebuie să fie definită în Carta de audit

MPA 1000.C1-1

Principii de bază în realizarea activităţilor de consultanţă/consiliere de către auditorii interni

Natura acestei modalităţi practice de aplicare:Conform definiţiei auditului intern, „auditul intern este o activitate independentă şi

obiectivă care dă unei entităţi o asigurare în ceea ce priveşte gradul de control asupra

operaţiunilor o îndrumă pentru a-i îmbunătăţi operaţiunile, şi contribuie la adăugarea unui plus de valoare.

Auditul intern ajută această entitate să îşi atingă obiectivele evaluând, printr-o abordare sistematică şi metodică, procesele sale de management al riscurilor, de control, şi de guvernare a întreprinderii, şi făcând propuneri pentru a le consolida eficacitatea în ceea ce priveşte eficacitatea şi îmbunătăţirea eficienţei managementului riscului şi a proceselor de control şi de conducere”. Să reamintim auditorilor interni că normele de calificare şi de funcţionare se aplică atât misiunilor de asigurare cât şi misiunilor de consultanţă/consiliere.

Prezenta MPA pune accentul pe parametrii generali ce trebuie luaţi în considerare în cadrul tuturor misiunilor de consultanţă/consiliere Prestările de servicii de consultanţă/consiliere cuprind o varietate de activităţi : de la misiuni oficiale, definite printr-un acord scris, până la activităţi precum participarea în echipe însărcinate cu proiecte sau în comitete de conducere permanente sau temporare. Auditorii interni trebuie să facă apel la judecata profesională pentru a aprecia, de la caz la caz, în ce măsură pot fi aplicate principiile cuprinse în prezenta MPA. Anumite angajamente de consultanţă/consiliere precum şi participare la un proiect de fuziune sau de achiziţie sau misiuni de extremă urgenţă (de exemplu punerea în practică a unor planuri de urgenţă) pot necesita derogări de la procedurile care guvernează de obicei misiunile de consultanţă/consiliere .

Auditorilor interni li se recomandă să ţină cont de următoarele principii directoare în cursul misiunilor de consultanţă/consiliere . Auditorii interni trebuie să ia toate măsurile pentru a se asigura că membrii direcţiei generale şi cei ai Consiliului înţeleg şi adera la principiul, regulile directoare şi procedurile de comunicare necesare prestării serviciilor de consultanţă/consiliere .


1. aport de valoare – aportul de valoare al auditului intern este realizat în cadrul unei entităţi atunci când auditorii interni intervin conform unor modalităţi bine adaptate culturii şi resurselor sale. Acest aport de valoare, indicat în definiţia auditului intern, se aplică activităţilor de asigurare şi de consultanţă/consiliere , al căror obiect este acela de a aduce un plus de valoare entităţii printr-o abordare sistematică şi metodică în domeniile guvernării întreprinderii, al managementului riscurilor şi al controlului.

2. respectarea definiţiei auditului intern – auditul intern necesită aplicarea unei metodologii de evaluare riguroasă şi sistematică. Prestaţiile furnizate sunt în general cele legate de asigurare şi de consultanţă/consiliere . Totuşi, acestea pot să includă şi misiuni diferite care aduc un plus de valoare, care respectă definiţia generală a auditului intern.

3. activităţi care depăşesc domeniul de asigurare şi consultanţă/consiliere – misiunile de audit intern pot lua forme multiple. Aşa cum asigurarea şi consultanţa nu se exclud reciproc, acestea nu exclud nici realizarea altor misiuni precum investigaţiile sau alte prestaţii din afara auditului. Numeroase servicii de audit vor avea un rol atât de asigurare cât şi de consultanţă/consiliere

4. interdependenţa dintre asigurare şi consultanţă/consiliere – misiunile de consultanţă/consiliere sporesc plusul de valoare adus de auditul intern. Dacă frecvent serviciile de audit intern şi de asigurare generează misiuni de consultanţă/consiliere , trebuie de asemenea să recunoaştem că şi misiunile de consultanţă/consiliere pot genera misiuni de asigurare.

5. includerea misiunilor de consultanţă/consiliere în Cartă – auditorii interni efectuează în mod tradiţional diferite tipuri de misiuni de consultanţă/consiliere mergând de la analiza controalelor integrate în dezvoltarea sistemelor până la studiul dispozitivelor de securitate sau la participarea la grupuri de lucru însărcinate cu examinarea operaţiunilor şi cu formularea de recomandări etc. consiliul (sau comitetul de audit) trebuie să abiliteze auditul intern să efectueze alte misiuni în condiţiile în care acestea nu generează un conflict de interese şi nu sunt incompatibile cu obligaţiile sale faţă de comitet. Această abilitare trebuie să figureze în Carta auditului intern.

6. obiectivitate – serviciile de consultanţă/consiliere oferă uneori auditorului ocazia de a-şi îmbunătăţi cunoştinţele legate de procesele entităţii sau de problemele ridicate pe parcursul unei misiuni de asigurare; acestea nu afectează neapărat obiectivitatea

auditorului sau a auditului intern. Auditul intern nu este o funcţie de management . Decizia de a adopta sau de a implementa recomandările formulate la finalul unei misiuni de consultanţă/consiliere aparţine conducerii. În consecinţă, obiectivitatea auditului intern nu ar trebui să fie afectată de deciziile luate de conducere ca urmare a unor astfel de misiuni.

7. fundamentul misiunilor de consiliere în cadrul auditului intern – majoritatea prestaţiilor de consultanţă/consiliere reprezintă continuarea firească a misiunilor de asigurare şi de investigaţii şi pot consta în recomandări, studii sau evaluări, formale sau informale. Auditul intern este ideal plasat pentru a efectua această activitate de consultanţă/consiliere fiind (a) aderarea sa la criteriile cele mai înalte de obiectivitate şi (b) sfera sa de cunoştinţe în domeniul proceselor organizatorice, al riscurilor şi al strategiilor.

8. comunicarea informaţiilor esenţiale – una din principalele funcţii ale auditului intern este aceea de a oferi o asigurare direcţiei generale şi administratorilor comitetului de audit. Misiunile de consultanţă/consiliere nu ar putea fi îndeplinite fără a divulga informaţii care, în viziunea responsabilului auditului intern, trebuie să fie comunicate direcţiei generale şi Consiliului. Orice activitate de consultanţă/consiliere se înscrie în acest context.

9. înţelegerea da către entitate a principiilor care guvernează misiunile de consultanţă/consiliere – entităţile trebuie să aibă principii de bază care să guverneze îndeplinirea misiunilor de consultanţă/consiliere, cunoscute şi înţelese de toţi membri entităţii. Aceste principii trebuie să fie codificate în Carta de Audit aprobată de comitetul de audit şi publicate comunicate în cadrul entităţii.

10.misiuni formale de consultanţă/consiliere – se întâmplă adesea ca direcţia să încredinţeze misiuni formale de consultanţă/consiliere de o durată semnificativă unor consultanţi externi. Totuşi, unele entităţi pot estima că serviciul de audit intern este cel mai în măsură să îndeplinească aceste misiuni de consultanţă/consiliere . Atunci când auditul intern întreprinde o astfel de misiune, acesta trebuie să o efectueze printr-o abordare sistematică şi metodică.

11.obligaţii ale responsabilului auditului intern – misiunile de consultanţă/consiliere permit responsabilului auditului intern să poarte un dialog cu conducerea privind anumite aspecte legate de gestionarea entităţii. Acest dialog permite adoptarea sferei şi a calendarului misiunii la necesităţile conduceri. Totuşi responsabilul auditului intern este cel care trebuie să stabilească tehnicile de audit ce trebuie aplicate şi să informeze direcţia generală şi comitetul de audit atunci când natura şi importanţa rezultatelor evidenţiază riscuri semnificative pentru entitate.

12. rezolvarea conflictelor sau a situaţiilor neprevăzute – auditorul intern rămâne înainte de toate un auditor intern. În această calitate, toate activităţile sale sunt guvernate de Codul Deontologic al IIA şi de normele de Calificare şi de Funcţionare care figurează în Normele pentru Practica Profesională a auditului intern. Orice conflict sau activitate neprevăzută trebuie să fie soluţionate conform Codului Deontologic şi Normelor.

MPA 1000.C1-2

Observaţii suplimentare privind misiunile formale de consultanţă/consiliere

Notă specială privind prezenta MPA şi Normele aferente – prezenta modalitate practică de aplicare cuprinde recomandări care vizează mai multe Norme de aplicare

pentru activitatea de consultanţă/consiliere. În afară de Norma 1000.C1, aceste recomandări acoperă şi Normele 1130.c1 şi c2, 1210.c1, 1220.c1, 2010.c1, 2110.c1 ş

c2, 2120.c1 şi c2, 2130.c1, 2201.c1, 2210.c1, 2220.c1, 2240.c1, 2230.c1, 2410.c1, 2440.c1 şi c2 şi 2500.c1. referirile la aceste norme figurează în paranteze în titlurile

prezentei Modalităţi Practice de Aplicare.

Natura acestei Modalităţi Practice de Aplicare:

Prezenta Modalitate Practică de Aplicare tratează acelaşi subiect ca şi MPA 1000.c1-1, referitor la principiile care guvernează realizarea activităţilor de consultanţă/consiliere. Cele două MPA sunt utile auditorilor interni care efectuează activităţi de consultanţă/consiliere. Conform definiţiei sale „auditul intern este o activitate independentă şi obiectivă care dă unei entităţi o asigurare în ceea ce priveşte gradul de control asupra operaţiunilor, o îndrumă pentru a-i îmbunătăţi operaţiunile, şi contribuie la adăugarea unui plus de valoare.

Auditul intern ajută această entitate să îşi atingă obiectivele evaluând, printr-o abordare sistematică şi metodică, procesele sale de management al riscurilor, de control şi de guvernare corporativă , şi făcând propuneri pentru a le consolida eficacitatea”.

Se cuvine să reamintim auditorilor interni că Normele de calificare şi de funcţionare se aplică atât misiunilor de asigurare cât şi misiunilor de consultanţă/consiliere.

Prezenta MPA pune accentul pe parametrii generali ce trebuie luaţi în calculând toate misiunile formale de consultanţă/consiliere. Activităţile de consultanţă/consiliere cuprind o varietate de activităţi: de la misiuni definite în mod explicit printr-un acord scris, până la activităţi precum participarea în echipe însărcinate cu proiecte sau în comitete de conducere permanente sau temporare. Auditorii interni sunt cei care trebuie să facă apel la judecata lor profesională pentru a aprecia , de la caz la caz, în ce măsură trebuie aplicate liniile directoare cuprinse în prezenta MPA. Anumite misiuni de consultanţă/consiliere , precum participarea la un proiect de fuziune sau de achiziţie sau gestionarea situaţiilor neprevăzute (de exemplu punerea în practică a unor planuri de urgenţă) pot necesita derogări de la procedurile care guvernează de obicei misiunile de consultanţă/consiliere.

Auditorilor interni li se recomandă să ţină cont de următoarele sugestii în cursul misiunilor formale de consultanţă/consiliere . Prezenta recomandare nu are drept scop, expunerea exhaustivă a aspectelor ce trebuie examinate în cadrul unei misiuni formale de consultanţă/consiliere. Trebuie ca auditorii interni să ia toate măsurile necesare pentru a se asigura ca membrii direcţiei generale şi cei ai Consiliului înţeleg şi aderă la conceptul, regulile directoare şi procedurile de comunicare necesare îndeplinirii misiunilor formale de consultanţă/consiliere .


Definiţia activităţilor de formale de consultanţă/consiliere

1. glosarul anexat Normelor defineşte „servicii de consultanţă/consiliere ” după cum urmează: „consiliere şi serviciile aferente consilierii furnizate clientului solicitant, a căror natura şi sferă de activitate sunt convenite în prealabil cu clientul. Aceste activităţi au ca obiective adăugarea unui plus de valoare şi îmbunătăţirea funcţionării unei entităţi, proceselor de conducere, de management al riscurilor şi de control din cadrul unei entităţi. Iată câteva exemple: consultanţă/consiliere, consiliere, facilitare, şi formare”.

2. responsabilul auditului intern trebuie să definească metodologia ce trebuie aplicată în vederea distingerii diferitelor tipuri de misiuni existente în cadrul entităţii. Se poate dovedi oportună, în unele cazuri, gruparea în cadrul unei misiuni cu caracter mixt a activităţilor de consultanţă/consiliere şi a celor de asigurare realizate printr-o abordare consolidată . Uneori, dimpotrivă, este preferabil să se facă distincţia între componenta de asigurare şi cea de consiliere din cadrul unei misiuni.

3. auditorii interni pot efectua activităţi de consultanţă/consiliere fie în cadrul activităţii lor curente, fie ca răspuns la cererile conducerii. Fiecare entitate trebuie să examineze tipul de activităţi de consiliere pe care le propun şi să stabilească dacă este cazul să adopte proceduri sau reguli specifice fiecărui tip de activitate. Posibilele categorii vizate sunt:

misiunile formale de consiliere – planificate şi care sunt menţionate în acorduri scrise;

misiuni informale de consiliere – prestări curente, precum participarea în cadrul comitetelor permanente, la proiecte de durată determinată, la reuniuni ad-hoc , precum şi la schimburi curente de informaţii;

misiuni excepţionale de consiliere – participarea la un proiect de fuziune şi de achiziţie sau la un proiect de schimbare de sistem;

misiuni de consultanţă/consiliere în situaţii de urgenţă – participarea în cadrul unei echipe constituite în vederea reluării sau continuării activităţilor după o catastrofă sau orice alt eveniment excepţional, sau în cadrul unei echipe însărcinate cu o misiune temporară de asistenţă în scopul de a răspunde unei cerinţe specifice sau de a respecta un termen limită neobişnuit.

4. în general, auditorii trebuie să evite să efectueze o misiune de consiliere doar în scopul de a se sustrage – sau de a permite altora să se sustragă – normelor care se aplică în mod normal misiunilor de asigurare atunci când acestea din urmă sunt mai potrivite serviciilor în cauză. Această regulă nu exclude adaptarea metodologiilor atunci când se dovedeşte că prestaţiile efectuate anterior în cadrul misiunilor de asigurare ţin mai degrabă de o misiune de consiliere.

Independenţă şi obiectivitate în cadrul misiunilor formale de consiliere (norma 1130.c1)

1. se poate să li se ceară auditorilor interni să efectueze misiuni de consultanţă/consiliere privind activităţi de care aceştia să fi fost responsabili anterior sau pentru care aceştia au realizat misiuni de asigurare. Înainte de a oferi servicii de consultanţă/consiliere , responsabilul auditului intern trebuie să se asigure de faptul că principiile de realizare a misiunilor de consiliere sunt înţelese şi aprobate de Consiliu. Odată aceste principii aprobate , se cuvine să se actualizeze Carta de audit intern pentru a include în ea reguli referitoare la competenţele şi responsabilităţile în domeniul consilierii. Auditul intern trebuie de asemenea să elaboreze proceduri adecvate efectuării acestor misiuni.

2. auditorii interni trebuie să rămână obiectivi atunci când trag concluzii sau oferă consultanţă/consiliere conducerii. Aceasta trebuie informată fără întârziere asupra oricărei situaţii care ar putea să afecteze independenţa sau obiectivitatea auditorilor, indiferent dacă această situaţie este actuală misiunii de consiliere sau dacă ea survine în timpul acesteia.

3. există un risc de prejudiciere a independenţei şi obiectivităţii atunci când misiunile de asigurare sunt realizate în cursul anului care urmează unei misiuni formale de consiliere. Efectul acestei situaţii poate fi redus prin diverse măsuri, precum:

desemnarea de auditori diferiţi pentru fiecare misiune de asigurare şi de consultanţă/consiliere în parte;

desemnarea de supervizori şi de manageri obiectivi (independenţi) diferiţi; subordonarea provizorie a echipei însărcinată cu misiunea de

consultanţă/consiliere la (clientul solicitant; ), definirea unor responsabilităţi separate privind rezultatele proiectelor

De exemplu dacă auditorii interni sunt „împrumutaţi” unui departament sau unei unităţi, precum departamentul juridic sau serviciul de securitate, în vederea efectuării unei misiuni de consultanţă/consiliere sau în vederea participării la un proiect specific, atunci aceştia trebuie să fie supervizaţi, organizaţi şi subordonaţi responsabililor acestui departament sau ai acestei unităţi; şi menţionarea unui posibil prejudiciu adus independenţei şi obiectivităţii.

Responsabilitatea acceptării şi aplicării recomandărilor aparţine conducerii.8. se recomandă a se urmări, în special în cadrul misiunilor de consiliere

permanente sau continue prin natura lor, ca auditorii interni să nu-şi asume în

mod inoportun sau întâmplător responsabilităţi de management care nu sunt prevăzute în definiţia şi obiectivele iniţiale ale misiunii.

Conştiinciozitate profesională în cadrul misiunilor formale de consiliere (normele 1210.c1, 1220.c1, 2130.c1 şi 2201.c1)

9. auditorul intern trebuie să efectueze misiunile formale de consultanţă/consiliere cu conştiinciozitate profesională necesară. În acest sens se cuvine să înţelegem corect următoarele elemente:

necesităţile managerilor entităţii , în special în ceea ce priveşte natura, comunicarea şi termenele de prezentare a rezultatelor misiunii; eventualele motive şi cauze care ar fi putut duce la solicitarea misiunii; sfera activităţilor necesare pentru efectuarea misiunii; competenţele şi resursele necesare pentru efectuarea misiunii; influenţa asupra sferei de aplicabilitate a planului de audit aprobat anterior

de comisia de audit; posibilul impact asupra misiunilor viitoare de audit; posibilele beneficii pentru entitate, obţinute în urma misiunii.

10. în afara condiţiilor de independenţă, de obiectivitate şi de conştiinciozitate profesională descrise mai sus, auditorul intern trebuie să îndeplinească următoarele sarcini:

să organizeze reuniuni corespunzătoare şi să identifice informaţiile necesare pentru evaluarea naturii şi a sferelor serviciilor prestate ;

să se asigure că beneficiarii serviciilor respectă dispoziţiile Cartei de audit intern,regulile şi procedurile de audit intern şi celelalte prevederi care guvernează efectuarea misiunilor de consultanţă/consiliere . Auditorul intern trebuie să refuze misiunile de consultanţă/consiliere care sunt interzise de Carta de audit intern, care contravin regulilor şi procedurilor serviciului de audit intern, sau care nu aduc un plus de valoare şi nici nu răspund intereselor entităţii;

să se asigure de compatibilitatea dintre misiunea de consiliere şi planul general de audit intern. Acest plan, fondat pe baza unei analize a riscurilor, poate integra şi se poate baza pe misiuni de consultanţă/consiliere, în măsura în care acestea contribuie la asigurarea necesităţilor de audit ale entităţii;

să formalizeze, într-un acord scris sau plan scris, termenii generali, înţelegerile , rezultatele aşteptate şi ceilalţi factori cheie ai misiunii de consiliere. Este esenţial ca atât auditorul intern cât şi beneficiarii activităţilor de consultanţă/consiliere să definească de comun acord cerinţele de raportare şi prezentare

SFERA ACTIVITĂŢILOR IN CADRUL MISIUNILORFORMALE DE CONSILIERE (NORMELE 2010.C1, 2110.C1 ŞI C2, 2120.C1 ŞI C2, 2201.C1,

2210.C1, 2220.C1, 2240.C1 ŞI 2440.C2)

11 Aşa cum se specifică mai sus, auditorii interni trebuie să definească de comun acord cu beneficiarii activităţilor prestate obiectivele şi obiectul (sfera de aplicabilitate) misiunii de consultanţă/consiliere consiliere. Beneficiarii trebuie să fie informaţi despre orice fel de rezervă legată de valoarea , avantajele sau, eventualele , repercusiuni negative ale misiunii de consiliere. Auditorii interni trebuie să stabilească sfera activităţilor astfel încât să asigure menţinerea profesionalismului, integrităţii credibilităţii şi unei bune reputaţii a auditului intern. 12. în cadrul planificării misiunilor formale de consultanţă/consiliere , auditorii interni trebuie să definească obiectivele astfel încât acestea să răspundă necesităţilor managerilor beneficiari ai activităţilor prestate. În cazul unor solicitări

speciale din partea conducerii, auditorii interni pot lua în calcul următoarele măsuri dacă estimează că obiectivele ce trebuie îndeplinite depăşesc cererile exprimate de conducere: să convingă conducerea să includă obiectivele suplimentare în misiunea de

consiliere; sau să consemneze faptul că aceste obiective nu au fost urmărite şi să

menţioneze această observaţie în comunicarea finală a rezultatelor misiunii de consiliere;

şi să includă ulterior aceste obiective într-o misiune distinctă de asigurare.13. Programele de lucru stabilite în cadrul misiunilor formale de consiliere trebuie să susţină cu documente obiectivele şi sfera misiunii, precum şi metodologia ce trebuie aplicată pentru atingerea obiectivelor.Forma şi conţinutul programului pot varia în funcţie de natura misiunii. Auditorii interni pot lărgi sau restrânge sfera de aplicabilitate a misiunii în funcţie de cererea conducerii. Totuşi auditorul intern trebuie să se asigure că sfera prevăzută de activitate , va permite atingerea obiectivelor misiunii. Obiectivele, sfera şi modalităţile misiunii trebuie să fie periodic reexaminate şi actualizate pe toată durata activităţii 14. In cursul misiunilor formale de consultanţă/consiliere, auditorii interni trebuie să urmărească menţinerea eficacităţii proceselor de management al riscurilor şi de control. Expunerile la risc sau punctele slabe semnificative ale proceselor de control trebuie să fie aduse la cunoştinţa conducerii. In unele cazuri auditorul intern va trebuie de asemenea să semnaleze aceste probleme direcţiei generale, comitetului de audit şi/sau Consiliului de Administraţie. Auditorii trebuie să se bazeze pe judecata lor profesională (a) pentru a stabili importanţa expunerilor la risc sau a punctelor slabe şi măsurile luate sau avute în vedere în scopul atenuării sau remedierii acestora şi (b) pentru a răspunde aşteptărilor conducerii, ale comitetului de audit şi ale Consiliului în ceea ce priveşte comunicarea observa

Comunicarea rezultatelor misiunilor formale de consultanţă/consiliere (normele 2410.c1 si 2440.c1)

15. Comunicarea etapei (gradului de evoluţie) si a concluziilor misiunilor de consultanţă/consiliere variază in ceea ce priveşte natura cit si în funcţie de tipul misiunii si de necesităţile clientului (solicitant). In ceea ce priveşte informaţiile ce trebuie comunicate, necesităţile sunt in general definite de beneficiarii activităţilor de consultanţa si trebuie sa corespunda obiectivelor stabilite de comun acord cu conducerea. Totuşi, documentele folosite pentru comunicarea concluziilor misiunilor de consultanţă/consiliere trebuie sa conţină o descriere clara a naturii misiunii si sa menţioneze orice limitare, restricţie sau orice al factor ce trebuie adus la cunoştinţa destinatarilor.16. Se poate întâmpla, in unele cazuri, ca auditorul intern sa considere oportun sa comunice concluziile sale altor persoane decât beneficiarilor activităţilor prestate sau celor care au solicitat auditul. Atunci când efectuează o difuzare altor părţi a rezultatelor sale, auditorul trebuie sa parcurgă următoarele etape :

in primul rând, definirea îndrumărilor care decurg din termenii acordului aferent misiunii de consultanţă/consiliere cit si comunicărilor privind misiunea;

in al doilea rând, obţinerea acordului acelora acare au comandat sau al beneficiarilor activităţilor prestate in ceea ce priveşte comunicarea voluntară la scara mai larga a concluziilor către persoanele in cauza;

in al treilea rând, examinarea recomandărilor incluse în Carta de audit intern sau în regulile si procedurile auditului cu privire la comunicarea in cadrul misiunilor de consiliere;

in al patrule rând, raportarea dispoziţiilor codului de conduita sau ale codului de etica profesionala al entităţii, si la alte reguli, proceduri sau directive administrative;

in al cincilea rând, raportarea la Norme si la Codul Deontologic al IIA, la celelalte norme sau coduri aplicabile auditului sau la orice prevedere legala sau regulamentara privind acest subiect.

17. Auditorii interni trebuie sa transmită conducerii, comitetului de audit, Consiliului sau oricărui alt organ de conducere al entităţii, natura, domeniul si rezultatele generale ale misiunii formale de consultanţă/consiliere alături de alte rapoarte de activitate ale auditorului intern Aceştia informează conducerea si comitetul de audit in legătura cu alocarea resurselor de audit. Nu este necesară Transmiterea unor referate detaliate privind aceste misiuni de consultanţă/consiliere si a ansamblului de concluzii sau recomandări . Totuşi, trebuie sa fie comunicata o descriere corespunzătoare a misiunilor de acest tip si a recomandărilor importante, acestea fiind un aspect esenţial în îndeplinirea responsabilităţilor care revin auditorilor interni in virtutea Normei 2060, cu privire la rapoartele transmise Consiliului si conducerii

Cerinţe de documentare a misiunilor formale de consultanţă/consiliere (norma 2330.c1)

18. Auditorii interni trebuie sa susţină cu documente activităţile efectuate pentru a răspunde obiectivelor unei misiuni formale de consultanţă/consiliere si pentru a-si fundamenta concluziile. Totuşi, in ceea ce priveşte documentaţia, regulile aplicabile misiunilor de asigurare nu sânt neapărat aplicabile si misiunilor de consultanţă/consiliere 19. Auditorilor li se recomanda sa adopte proceduri corespunzătoare in ceea ce priveşte păstrarea documentelor si sa rezolve orice problema legata de acest aspect, precum proprietatea dosarelor referitoare la misiunile de consultanţă/consiliere , astfel incit să asigure o protecţie corespunzătoare a entităţii si sa evite eventualele neînţelegeri in caz de solicitări de dosare. Unele dintre acestea pot necesita un tratament special, mai ales in cazul unei proceduri judiciare, al unor cerinţe din reglementări sau al unor probleme de ordin fiscal sau contabil.

Monitorizarea misiunilor formale de consultanţă/consiliere (norma 2500.c1)

20. Activitatea de audit intern trebuie sa monitorizeze rezultatele misiunilor de consultanţă/consiliere in condiţiile cuvenite cu clientul solicitant. Exista diferite tipuri de monitorizare in funcţie de tipul misiunii. Aceste modalităţi de monitorizare depind in special de interesul acordat misiunii de către conducere sau de evaluarea de către auditorul intern a riscurilor legate de proiect, precum si de importanta sa pentru entitate.

1100 INDEPENDENTA SI OBIECTIVITATE

Auditul intern trebuie sa fie independent iar auditorii interni trebuie sa-si desfăşoare activitatea cu obiectivitate.

MPA 1100-1Independenta si obiectivitate

Natura acestei Modalităţi Practice de AplicareSe recomanda auditorilor interni sa tina cont de următoarele sugestii atunci când îşi evaluează independenta si obiectivitatea. Prezenta MPA nu are drept scop expunerea exhaustiva a aspectelor ce trebuie examinate in momentul efectuării unei astfel de evaluări. Aceasta are drept scop doar recomandarea luării in calcul a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativa

1. Auditorii interni sunt independenţi atunci când pot sa îşi exercite activitatea in mod liber si obiectiv. Independenta permite auditorilor interni sa judece in mod imparţial si fără prejudecăţi, ceea ce este esenţial pentru buna efectuare a auditurilor. Acest obiectiv este atins datorita poziţiei lor in cadrul entităţii si datorita obiectivităţii lor.

TABEL DE CORESPONDENŢĂNORME / MODALITĂŢI PRACTICE DE APLICARE

Norme de calificare Norme de aplicare

Modalităţi practice de aplicare (MPA)

1000 Misiuni, competenţe şi responsabilităţi

1001-1 Carta de audit intern

1000.A11000.C1 1000.C1-1

Principii directoare ale realizării misiunilor de consiliere ale auditorilor interni1000.C1-2Preocupări suplimentare pentru misiunile formale de consiliere

1100 Independenţă şi obiectivitate 1100-1Independenţă şi obiectivitate

1110 Independenţă în cadrul entităţii 1110-1Independenţă în cadrul entităţii

1110.A1 1110.A1-1Justificarea cererilor de informaţii

1120 Obiectivitate individuală 1120-1Obiectivitate individuală

1130 Prejudicii aduse independenţei sau obiectivităţii

1130-1Prejudicii aduse independenţei sau obiectivităţii

1130.A1 1130.A1-1Audit al operaţiunilor de care auditorii interni au fost responsabili în trecut1130.A1-2Responsabilităţi exercitate de auditul intern în cazul realizării altor funcţii

1130.A21130.C11130.C2

1200 Competenţă şi conştiinţă profesională

1200-1Competenţă şi conştiinţă profesională

1210 Competenţă 1210-1Competenţă

1210.A1 1210.A1-1Apel la prestatorii externi de servicii

1210.A2 1210.A2-1Identificarea fraudei1210.A2-2Responsabilitatea privind detectarea fraudei

1210.C1



1220 Conştiinţă profesională 1220-1Conştiinţa profesională

1220.A11220.A21220.C1

1230 Formarea profesională continuă 1230-1Formarea profesională continuă

1300 Program de asigurare şi de îmbunătăţire a calităţii1310 Evaluarea programului pentru calitate

1310-1Program de asigurare şi de îmbunătăţire a calităţii

1311 Evaluări interne 1311-1Evaluări interne

1312 Evaluări externe 1312-1Evaluări externe

1320 Rapoarte privind programul pentru calitate

1320-1Rapoarte privind programul pentru calitate

1330 Folosirea menţiunii „Efectuat conform normelor”

1330-1Audituri „efectuate conform Normelor”

1340 Indicarea neconformităţii2000 Gestionarea auditului intern 2000-1

Gestionarea auditului intern2010 Planificare 2010-1

Planificare2020-2Luarea în calcul a riscurilor privind elaborarea programului de audit

2010.A12010.C1

2020 Comunicare şi aprobare 2020-1Comunicare şi aprobare

2030 Gestionarea resurselor 2030-1Gestionarea resurselor2030-2 (*)Cerinţele SEC privind independenţa auditorilor externi pentru prestarea de servicii de audit intern

2040 Reguli şi proceduri 2040-1Reguli şi proceduri

2050 Coordonare 2050-1Coordonare2050-2 (*)Achiziţionarea de servicii de audit extern

2060 Rapoarte date Consiliului şi direcţiei generale

2060-1Rapoarte date Consiliului şi direcţiei generale

2100 Natura activităţilor 2100-1



Natura activităţilor2100-2Securitatea informaţiilor2100-3Rolul auditului intern în procesul de management al riscurilor2100-4Rolul auditului intern în absenţa procesului de management al riscurilor2100-5Evaluarea programelor de „compliance” (conformitate cu reglementările) – aspecte juridice

2110 Managementul riscurilor 2110-1 Evaluarea procesului de management al riscurilor

2110.A12110.A22110.C12110.C2

2120 Control 2120.A1 2120.A1-1Evaluarea proceselor de control intern Si raportarea acestora2120.A1-2Utilizarea auto-evaluării controalelor în vederea evaluării pertinenţei proceselor de control

2120.A22120.A32120.A4 2120.A4-1

Criterii de control2120.C12120.C2

2130 Guvernarea întreprinderii 2130.A1 2130-1Rolul auditului intern şi al auditorului intern în ceea ce priveşte cultura etică

2130.C12200 Planificarea misiunii 2200-1

Consideraţii privind planificarea2201 Consideraţii privind planificarea 2201.C12210 Obiectivele misiunii 2210-1

Obiectivele misiunii2210.A1 2210.A1-1

Evaluarea riscurilor în planificarea misiunii

2210.A22210.C1

2220 Domeniul misiunii2220.A12220.C1

2230 Resurse alocate misiunii 2230-1Resurse alocate misiunii



2240 Programul de lucru al misiunii 2240-1Programul de lucru al misiunii

2240.A1 2240.A1-1Aprobarea programelor de lucru

2240.C12300 Realizarea misiunii2310 Identificarea informaţiilor 2310-1

Identificarea informaţiilor2320 Analiză şi evaluare 2320-1

Analiză şi evaluare2330 Documentarea informaţiilor 2330-1

Documentarea informaţiilor2330.A1 2330.A1-1

Controlul dosarelor de audit2330.A1-2Acces la dosarele de audit – aspecte juridice

2330.A2 2330.A2-1Păstrarea dosarelor

2330.C12340 Supervizarea misiunii 2340-1

Supervizarea misiunii2400 Comunicarea rezultatelor 2400-1

Comunicarea rezultatelor – aspecte juridice2410-1Conţinutul comunicării

2410 Conţinutul comunicării 2410.A12410.A22410.C1

2420 Calitatea comunicării 2420-1Calitatea comunicării

2421 Erori şi omisiuni 2421-1Erori şi omisiuni

2430 Indicaţii de neconformitate cu normele2440 Difuzarea rezultatelor 2440.A1 2440-1

Difuzarea rezultatelor2440-2Difuzarea rezultatelor în exteriorul entităţii

2440.C12440.C2

2500 Supravegherea acţiunilor de evoluţie

2500-1Supravegherea acţiunilor de evoluţie

2500.A1 2500.A1-1Procesul de supraveghere a misiunii

2500.C12600 Acceptarea riscurilor de către direcţia generală

2600-1Acceptarea riscurilor de către direcţia generală

Acest tabel evidenţiază următorul fapt: nu toate normele sunt însoţite de MPA. În paginile următoare nu am reluat decât normele asociate MPA. Pentru a avea textul complet al normelor, vă invităm să consultaţi partea a III-a a prezentei lucrări.

(*) traducerea acestei MPA se găseşte în anexa care urmează secţiunii Practice Advisory în limba engleză. O MPA specifică contextului francez este în curs de elaborare, în colaborare cu Comisia Operaţiunilor Bursiere (COB) şi cu Compania Naţională a Comisarilor de Conturi (CNCC).

1110

Independenţă în cadrul entităţii

Responsabilul auditului intern trebuie să depindă de un nivel ierarhic care să permită auditorilor interni să-şi exercite responsabilităţile.

MPA 1110-1Independenţă în cadrul entităţii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii pentru a-şi aprecia

independenţa în cadrul entităţii. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate în momentul efectuării unei astfel de evaluări. Aceasta are drept scop doar recomandarea luării în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. auditorii interni trebuie să beneficieze de sprijinul conducerii şi al Consiliului pentru a

obţine cooperarea clienţilor de audit şi pentru a-şi exercita activitatea fără intervenţii 2. responsabilul auditului intern trebuie să răspundă ierarhic unei persoane din cadrul

entităţii cu competenţă suficientă în promovarea independenţei, în asigurarea unui domeniu cât mai larg al activităţii de audit, unei desfăşurări adecvate a comunicărilor din cadrul misiunilor de consultanţă/consiliere care să aibă suficientă autoritate pentru independenţa, şi comunicărilor din cadrul misiunilor şi acţiunilor corespunzătoare care decurg din recomandările emise.

3. în mod ideal, responsabilul auditului intern trebuie să raporteze , pe plan funcţional, Directorului General al entităţii.

4. responsabilul auditului intern trebuie să poată comunica direct cu Consiliul. O comunicare regulată cu Consiliul contribuie la asigurarea independenţei sale şi va constitui un mijloc pentru consiliu şi pentru responsabilul auditului intern de a se informa reciproc asupra problemelor de interes comun.

5. comunicarea directă este atunci când responsabilul auditului intern asistă şi participă în mod regulat la adunările Consiliului, cu privire la responsabilităţile lor de supervizare privind auditul, raportarea financiară, conducerea şi controlul. Prezenţa şi participarea activă a responsabilului auditului intern la aceste reuniuni permit un schimb de informaţii în ceea ce priveşte planificarea şi activităţile auditului intern. Responsabilul auditului intern trebuie să se întâlnească în particular cu Consiliul, cu comitetul de audit sau cu orice alt organ competent cu drept de deliberare, cel puţin o dată pe an.

6. independenţa este favorizată atunci când consiliul intervine în numirea şi înlocuirea responsabilului auditului intern.

1110.A1

Auditul intern nu trebuie să fie supus nici unei imixtiuni în ceea ce priveşte definirea sferei sale de intervenţie, realizarea activităţii şi comunicarea rezultatelor.

MPA 1110.A1-1

Justificarea cererilor de informaţii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii atunci când li se

cere să îşi justifice cererile de informaţii. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Aceasta are drept scop doar recomandarea luării în considerare a unui ansamblu de elemente.Respectarea Modalităţilor Practice de Aplicare este facultativă.

Auditorului intern i se cere uneori de către client sau de alte părţi să explice importanţa documentului solicitat în efectuarea misiunii sale. Obligativitatea de a justifica sau nu în cursul misiunii necesitatea anumitor documente trebuie să fie apreciată de la caz la caz. Prezenţa unor nereguli semnificative se poate traduce prin prezenţa unui mediu mai puţin deschis decât acela care permite o cooperare normală între auditor şi client . Totuşi, responsabilul auditului intern este cel care trebuie să emită o judecată în acest sens, în funcţie de circumstanţe.

1120

Obiectivitate individuală

Auditorii interni trebuie să aibă o atitudine imparţială şi lipsită de prejudecăţi şi să evite conflictele de interese.

MPA 1120-1

Obiectivitate individuală

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii pentru a-şi aprecia

gradul de obiectivitate. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Aceasta are drept scop doar recomandarea luării în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.

1. obiectivitatea este o atitudine mentală de independenţă pe care auditorii trebuie să o menţină în realizarea misiunilor lor. Auditorii interni nu trebuie să şi subordoneze propria judecată, în ceea ce priveşte auditul, judecăţii altor persoane.Vom completa această definiţie a obiectivităţii menţionând faptul că este imperios necesar să se folosească abordări şi metode riguroase şi deci obiective, aşa cum sunt prezentate în normele seriei 2100

2. obiectivitate cere ca auditorii interni să-şi realizeze misiunile astfel încât aceştia să aibă într-adevăr încredere în rezultatul muncii lor şi să nu existe nici un compromis semnificativ privind calitatea. Auditorii interni nu trebuie să fie constrânşi în situaţii în care s-ar simţi incapabili să emită judecăţi profesionale obiective

3. numirile în cadrul echipei trebuie efectuate astfel încât să se evite orice conflict de interese sau lipsă de imparţialitate potenţiale sau reale. Responsabilul auditului intern trebuie să fie informat cu privire la eventualele conflicte de interese sau influenţă care ar

putea afecta independenţa auditorilor. Se recomandă o rotaţie regulată a auditorilor interni în cadrul echipei.

4. rezultatele aferente activităţilor de audit trebuie să fie examinate înainte de comunicarea concluziilor auditului,pentru a oferi asigurarea că activitatea a fost efectuată cu obiectivitate.

5. acceptarea de către auditorul intern a unei sume de bani sau a unui cadou din partea unui angajat, client, furnizor sau asociat este contrară eticii. Acest tip de comportament poate lăsa să se înţeleagă că obiectivitatea auditorului a fost afectată, fie că este vorba de misiuni în desfăşurare, fie de misiuni viitoare a auditorului. Natura misiunii nu poate sub nici o formă să justifice acceptarea de sume de bani sau de cadouri. Acceptarea de articole publicitare (precum stilouri, calendare sau eşantioane) puse la dispoziţia publicului şi angajaţilor şi de o valoare minimă nu ar trebui să afecteze judecata profesională a auditorilor interni. Aceştia din urmă trebuie să raporteze fără întârziere superiorului lor ierarhic orice situaţie în care li s-au oferit sume de bani sau cadouri importante.

6. activitatea de audit intern trebuie să adopte o politică de angajament prin evitarea conflictelor de interese sau a oricăror activităţi care ar putea rezulta într-un posibil conflict de interese.

1130

Prejudicii aduse independenţei şi obiectivităţii

Dacă obiectivitatea sau independenţa auditorilor interni sunt compromise în fapt sau chiar în aparenţă, părţile interesate trebuie să fie informate de acest lucru cu exactitate.

Forma acestei comunicări va depinde de natura prejudiciului adus independenţei.

MPA 1130-1

Prejudicii aduse independenţei sau obiectivităţii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii în momentul

examinării prejudiciilor aduse independenţei şi obiectivităţii. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Aceasta are drept scop doar recomandarea luării în considerare a unui ansamblu de elemente.


1. auditorii interni trebuie să semnaleze responsabilului auditului intern existenţa sau probabilitatea unui conflict de interese sau unei imparţialităţi . Responsabilul auditului intern trebuie în acest caz să înlocuiască auditorii respectivi.

2. o limitare a domeniului de aplicabilitate este o restricţie impusă activităţii de audit intern care împiedică îndeplinirea obiectivelor acestuia şi planificare sa. Limitările de acest tip pot, printre altele, să restrângă:

domeniul de aplicabilitate definit în Cartă; accesul auditului intern la dosare, personal şi la bunurile fizice necesare

realizării misiunilor; programul de lucru al activităţii de audit aprobate ; aplicarea procedurilor necesare misiunii; bugetul şi planul de resurse umane care au fost aprobate.

3. o limitare a domeniului de aplicabilitate şi eventualele sale repercusiuni trebuie să fie comunicate, de preferinţă în scris, Consiliului,4. responsabilul auditului intern trebuie să decidă dacă este bine să informeze Consiliul, asupra restricţiilor care le-au fost deja comunicate şi pe care le-au acceptat. Această informare se poate dovedi necesară mai ales în cazul în care au avut loc schimbări în cadrul entităţii, Consiliului sau conducerii .

1130.A1

Auditorii interni trebuie să evite să auditeze operaţiuni speciale de care au fost responsabili în trecut. Obiectivitatea unui auditor este considerată a fi afectată atunci

când acesta realizează o misiune de asigurare pentru o activitate de care a fost responsabil, în cursul anului precedent.

MPA 1130.A1-1

Auditarea operaţiunilor de care auditorii interni au fost responsabili în trecut

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii atunci când li se

cere să auditeze o activitate de care au fost responsabili în trecut. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie considerate într-o astfel de evaluare . Aceasta are drept scop doar recomandarea luării în considerare a unui ansamblu de elemente.


1. auditorii interni nu trebuie să exercite responsabilităţi operaţionale. în cazul în care conducerea încredinţează ocazional auditorilor interni sarcini care nu au legătură cu activitatea de audit, trebuie să fie clar specificat că aceştia nu mai exercită funcţii de audit intern. În plus, obiectivitatea este considerată a fi afectată atunci când auditorii interni realizează o misiune de asigurare pentru o activitate în cadrul căreia aceştia au avut o autoritate sau o responsabilitate în cursul anului precedent. În momentul comunicării rezultatelor auditului trebuie să ţinem cont de acest prejudiciu adus obiectivităţii.

Dacă auditorii interni sunt însărcinaţi să execute activităţi care nu ţin de activitatea de audit şi care poate să le afecteze obiectivitatea, precum realizarea de comparări cu datele de la bănci, responsabilul auditului intern trebuie să informeze conducerea generală şi Consiliul că aceste activităţi nu intră în sfera unei activităţi de asigurare de audit şi în consecinţă nu vor exista la concluzii de audit.În plus, atunci când auditul intern exercită responsabilităţi operaţionale, se recomandă să se acorde o vigilenţă deosebită şi asigurarea obiectivităţii auditorilor în cazul în care se întreprinde ulterior o misiune de asigurare în domeniul respectiv. Obiectivitatea auditorilor interni este considerată a fi afectată atunci când aceştia asigură auditul unei activităţi de care au fost responsabili în cursul anului precedent. Aceste împrejurări trebuie să fie clar precizate în cursul difuzării rezultatelor unui audit efectuat într-un domeniu în care un auditor a exercitat responsabilităţi operaţionale.

2. dacă activităţile încredinţate presupun exercitarea unei autorităţi operaţionale, obiectivitatea auditului este considerată a fi afectată pentru activitatea respectivă .

3. membrii personalului transferaţi sau numiţi temporar în cadrul serviciului de audit intern nu trebuie să participe la auditarea activităţii lor precedente, înainte de a lăsa să treacă un interval de timp rezonabil (cel puţin un an). Se consideră, într-adevăr, că astfel de participări le afectează obiectivitatea şi trebuie să se aibă în vedere acest lucru în cadrul supervizării activităţilor de audit şi al difuzării rezultatelor acestora.

4. obiectivitatea auditorului intern nu este compromisă atunci când acesta recomandă aplicarea unor norme de control pentru sistemele şi procedurile de examinare înainte ca acestea să fie implementate . În schimb, se consideră că obiectivitatea auditorului este

afectată dacă acesta concepe, aplică, redactează procedurile aferente sau exploatează astfel de sisteme.

5. realizarea ocazională de către auditorii interni a activităţilor care nu sunt activităţi de audit nu le compromite neapărat independenţa, în măsura în care acestea sânt menţionate clar în raportul de audit. Totuşi conducerea şi auditorii interni trebuie să urmărească îndeaproape ca aceste activităţi să nu le afecteze obiectivitatea

MPA 1130.A1-2

Responsabilităţi exercitate de auditul intern în baza altor funcţii de non audit

Natura acestei Modalităţi Practice de Aplicare:Următoarea Modalitate Practica de Aplicare se datorează auditorilor interni care trebuie

să decidă dacă acceptă sau nu să exercite alte funcţii operaţionale decât cele de audit. Acceptarea unor astfel de responsabilităţi poate compromite independenţa şi obiectivitatea auditorului şi trebuie pe cât posibil evitată. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate în vederea evaluării acestor responsabilităţi sau funcţii.


1. unii auditori interni primesc sau acceptă alte funcţii decât cele de audit din diverse motive pe care conducerea entităţii le consideră logice. Auditorii interni sunt din ce în ce mai des solicitaţi să-şi asume funcţii şi responsabilităţi care le-ar putea compromite independenţa sau obiectivitatea. Entităţile, fie că nu fac apel public la economisire, trebuie să corespundă exigenţelor crescânde de eficienţă şi eficacitate şi toate acestea în condiţiile reducerii resurselor de care beneficiază; unii auditori interni se văd puşi în situaţia, la solicitarea conducerii entităţii, de a-şi asuma funcţii care fac periodic obiectul unui audit intern.

2. independenţa şi obiectivitatea auditorului intern riscă să fie afectate atunci când auditul intern sau un auditor intern îşi asumă o funcţie pe care ar putea să o auditeze sau pe care conducerea intenţionează să le-o atribuie. Pentru a aprecia impactul asupra independenţei şi obiectivităţii sale, auditorul intern trebuie să ţină cont de următorii factori:

principiile enunţate de Codul Deontologic şi de Normele pentru Practica Profesională a auditului intern;

estimările părţilor implicate în entitate, în special estimările acţionarilor săi, ale Consiliului, ale comitetului de audit, ale conducerii, ale legiuitorului, ale instanţelor publice şi ale celor de reglementare şi ale asociaţilor de interes general;

dispoziţiile şi /sau restricţiile prevăzute de carta auditului intern; informaţiile a căror comunicare este obligatorie conform Normelor; îndeplinirea ulterioară, în cadrul programului de audit, a funcţiilor sau

responsabilităţilor acceptate de către auditorul intern.3. pentru a stabili dacă aceştia pot accepta responsabilitatea unei alte funcţii decât cea de

audit, auditorii interni trebuie să ţină cont de următorii factori: conform Codului Deontologic şi Normelor IIA, auditul intern trebuie să fie

independent iar auditorii interni trebuie să-şi îndeplinească misiunea cu obiectivitate;

auditorii interni trebuie, dacă este posibil să evite să exercite alte funcţii decât cele de audit, funcţii care periodic fac obiectul unui audit intern;

dacă nu este posibil, este bine ca părţile interesate să fie informate că această situaţie ar putea aduce prejudicii independenţei şi obiectivităţii auditorului, natura informaţiilor ce trebuie comunicate depinzând de gravitatea prejudiciului adus;

se consideră că obiectivitatea unui auditor este afectată atunci când acesta realizează o misiune de asigurare pentru o activitate de care a fost responsabil în cursul anului precedent;

atunci când conducerea încredinţează în mod ocazional auditorilor interni activităţi care nu ţin de audit, trebuie să se precizeze clar că aceştia nu intervin în calitate de auditori;interni

estimările părţilor implicate în entitate, inclusiv dispoziţiile legale sau de reglementare trebuie să fie evaluate ţinând cont de riscul potenţial de non-obiectivitate;

în cazul în care carta auditului intern conţine restricţii sau clauze limitative privind atribuirea altor funcţii decât cele de audit auditorilor interni, se recomandă să fie menţionate că aceste restricţii şi discutate cu conducerea. Dacă aceasta din urmă insistă să încredinţeze aceste funcţii unui auditor, el va informa şi va consulta comitetul de audit sau orice alt organ de conducere corespunzător cu drept de deliberare în acest domeniu. În lipsa unei prevederi exprese cartei, se recomandă să se ia în considerare liniile directoare prezentate mai jos, care sunt subordonate clauzelor cartei.

Evaluare – rezultatele evaluării trebuie să fie analizate împreună cu conducerea, cu comitetul de audit şi/sau cu ceilalţi acţionari competenţi. Se recomandă să se examineze un anumit număr de aspecte, uneori interdependente, şi anume:

să se aprecieze importanţa funcţiei operaţionale pentru entitate (ca venituri , cheltuieli, reputaţie şi influenţă);

să se evalueze durata misiunii încredinţate şi sfera responsabilităţilor; să se stabilească dacă principiul separării sarcinilor este adecvat ; să se ţină cont, în cursul comunicării rezultatelor raportului de audit, de posibilele prejudicii aduse obiectivităţii sau independenţei auditorului, în fapt sau în aparenţă.

Auditarea funcţiei şi comunicarea informaţiilor – în momentul în care auditul intern exercită responsabilităţi operaţionale într-un domeniu acoperit de planul de audit, auditorul trebuie să aibă în vedere mai multe linii de acţiune

auditul poate fi realizat de o societate terţă contractată , de auditori externi sau de serviciul de audit intern. În primele două cazuri, riscul legat de lipsa de obiectivitate este redus prin apelarea la auditori externi. În ultimul caz, obiectivitatea ar fi afectată;

auditorii care exercită responsabilităţi operaţionale nu trebuie să participe la auditarea operaţiunilor de care sunt responsabili. În măsura în care este posibil, auditorii care efectuează evaluarea trebuie să fie monitorizaţi şi să raporteze rezultatele evaluării persoanelor a căror independenţă şi obiectivitate nu sunt prejudiciate ;

se recomandă să se menţioneze responsabilităţile operaţionale exercitate de auditor în cadrul funcţiei în cauză, importanţa acestor operaţiuni pentru entitate (ca venituri , cheltuieli sau funcţie de orice alt criteriu relevant ), precum şi legătura existentă între persoanele care au efectuat auditarea funcţiei şi auditorul implicat;

se recomandă să se indice responsabilităţile operaţionale ale auditorului în raportul de audit aferent şi în prezentarea standard transmisă de auditor comitetului de audit sau oricărui alt organ de conducere.

1200 – Competenţă şi conştiinţă profesională

Misiunile trebuie îndeplinite cu competenţă şi conştiinciozitate profesională

MPA 1200-1

Competenţă şi conştiinciozitate profesională

Natura acestei modalităţi practice de aplicare:

Se recomandă ca auditorii interni să ţină cont de următoarele sugestii în ceea ce priveşte realizarea misiunilor. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. competenţa profesională reprezintă responsabilitatea şefului auditului intern şi a fiecărui auditor intern. Responsabilul auditului intern trebuie să se asigure că pentru fiecare misiune echipa de auditori desemnaţi deţin în mod colectiv cunoştinţele, priceperea şi competenţele necesare pentru a realiza corect misiunea.

2. auditorii interni trebuie să respecte normele de conduită profesională . Codul Deontologic al IIA depăşeşte definiţia auditului intern incluzând două componente esenţiale:

principii aplicabile practicii auditului intern şi exercitării profesiei – în special principiile de integritate obiectivitate, confidenţialitate şi de competenţă;

reguli de conduită care descriu normele de comportament impuse auditorilor interni. Aceste reguli care facilitează interpretarea principilor în sensul aplicării lor practice , sunt menite să ghideze auditorii interni din punct de vedere etic.

1210 – Competenţă

Auditorii interni trebuie să deţină cunoştinţele, priceperea şi celelalte competenţe necesare exercitării responsabilităţii individuale. Auditul intern trebuie să deţină sau să dobândească în mod colectiv cunoştinţele, priceperea şi celelalte competenţe necesare

exercitării responsabilităţilor sale.

MPA 1210-1

Competenţă

Natura acestei modalităţi practice de aplicare:Se recomandă ca auditorii interni să ţină cont de următoarele sugestii în momentul

examinării competenţei lor. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. orice auditor intern trebuie să deţină anumite cunoştinţe, pricepere şi competenţe precise în domeniile următoare:

competenţa în ceea ce priveşte aplicarea normelor, procedurilor şi tehnicilor de audit este necesară pentru realizarea misiunilor. Competenţa este capacitatea de utilizare a cunoştinţelor în diversele situaţii care ar putea apărea şi de a le face faţă fără a recurge în mod excesiv la investigaţii şi asistenţă tehnică;

competenţa în ceea ce priveşte principiile şi tehnicile contabile este indispensabilă auditorilor care lucrează mult cu documente şi rapoarte financiare;

înţelegerea principiilor de management este necesară în vederea identificării devierilor semnificative în principal de la bunele practici în afaceri Înţelegerea implică o capacitate de aplicare a cunoştinţelor generale la situaţiile care ar putea apărea în cursul desfăşurărilor activităţilor de audit, de identificare a devierilor semnificative şi de efectuare a cercetărilor necesare pentru a ajunge la soluţii rezonabile;

este, de altfel, necesar să fie cunoscute principiile de bază în contabilitate, economie, drept comercial, fiscalitate, finanţe metode cantitative şi tehnologii ale informaţiei. Aceste cunoştinţe generale trebuie să permită recunoaşterea

existenţei sau a eventualităţii apariţiei unor probleme şi să determine în acest caz cercetările suplimentare care trebuie întreprinse sau asistenţa care trebuie obţinută.

2. auditorii interni trebuie să dispună de bune calităţi relaţionale şi de comunicare eficiente . Auditorii interni trebuie să cunoască bine relaţiile umane şi să ştie să menţină relaţii bune cu clienţii misiunii.

3. auditorii interni trebuie să fie capabili să comunice oral şi în scris pentru a putea expune clar şi eficace obiectivele, aprecierile, concluziile şi recomandările misiunii.

4. responsabilul auditului intern trebuie să definească criterii adecvate de formare profesională generală şi de experienţă pentru a putea stabili posturile de auditori interni, având în vedere natura activităţilor şi nivelul de responsabilitate. Este necesar să se obţină o asigurare rezonabilă cu privire la calificările şi competenţa candidaţilor pentru funcţia de auditor..

5. întregul personal al auditului intern trebuie să deţină cunoştinţele şi priceperea indispensabile practicării profesiei în cadrul entităţii.

1210.A1

Responsabilul auditului intern trebuie să obţină sprijinul avizul şi asistenţa persoanelor calificate dacă auditorii interni nu deţin cunoştinţele, priceperea şi

celelalte competenţe necesare pentru a-şi realiza parţial sau total misiunea.

MPA 1210.A1-1

Recurgerea la prestatorii externi de servicii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă ca auditorii interni să ţină cont de următoarele sugestii în momentul în

care intenţionează să recurgă la prestatori de servicii a căror responsabilitate este aceea de a asista activitatea de audit intern. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. auditul intern trebuie să dispună de personal sau să recurgă la prestatori externi de servicii calificaţi în domenii cum ar fi: contabilitate, audit, economie, finanţe, statistici, tehnologii ale informaţiei, inginerie, fiscalitate, drept, mediu şi orice alt domeniu necesar pentru a putea să-şi exercite responsabilităţile de audit intern. Totuşi nu este necesar ca fiecare dintre membrii serviciului de audit intern să fie competent în toate aceste domenii.

2. un prestator extern de servicii este o persoană fizică sau juridică independentă de entitate, care posedă cunoştinţe, pricepere şi experienţă specifice unui domeniu menţionat. Prestatorii de servicii sunt cu precădere actuari, experţi contabili, evaluatori , specialişti în domeniul mediului înconjurător, experţi în anchete asupra fraudelor, avocaţi, ingineri, geologi, experţi în securitate, statisticieni, specialişti în tehnologia informaţiei, auditori externi ai entităţii şi alte cabinete de audit. Ei pot fi mandataţi de Consiliu, de conducerea generală sau de responsabilul de audit intern.

3. auditul intern poate solicita prestatori de servicii externi în special în următoarele cazuri: misiuni de audit care implică pricepere şi cunoştinţe deosebite în domenii ca

tehnologia informaţiei, statistică, fiscalitate, activităţi de traduceri sau pentru îndeplinirea obiectivelor fixate în program;

evaluarea activelor cum ar fi terenuri şi imobile, opere de artă, pietre preţioase, investiţii şi instrumente financiare complexe;

determinarea cantităţilor sau caracteristicilor fizice ale anumitor active cum ar fi minereurile şi rezervele de petrol;

evaluarea lucrărilor finalizate şi în curs de finalizare în cadrul contractelor în derulare ;

anchete privind frauda şi securitatea; estimarea de sume realizată după metode speciale cum ar fi calculele actuariale

privind angajamentele referitoare la beneficiile acordate angajaţilor interpretarea legislaţiei, reglementării şi normelor tehnice; evaluarea programului de asigurare a calităţii activităţii de audit intern conform

articolului 1300 din Norme; fuziuni şi achiziţii consultanţă/consiliere privind managementul riscurilor

4. în momentul în care intenţionează să recurgă la un prestator de servicii din exterior şi să se bazeze pe serviciile oferite de acesta responsabilul auditului intern trebuie să evalueze competenţa, independenţa şi obiectivitatea acestuia ţinând cont de particularităţile misiunii care trebuie îndeplinite. Este indicat de asemenea să se efectueze această evaluare dacă prestatorul de servicii din exterior este ales de conducerea generală sau de Consiliu şi dacă responsabilul auditului intern intenţionează să se bazeze pe activităţile desfăşurate de acesta. În cazul în care prestatorul de servicii este ales de alte persoane şi dacă evaluarea lui indică faptul că nu se poate baza pe activităţile desfăşurate de acesta, rezultatele evaluării trebuie să fie comunicate conducerii generale sau Consiliului, după caz.

5. responsabilul auditului intern trebuie să se asigure că prestatorul de servicii din exterior posedă cunoştinţele, priceperea şi competenţele necesare pentru îndeplinirea misiunii. Pentru a evalua aceste competenţe responsabilul auditului intern va ţine cont de următoarele elemente: diplomă, certificare sau alt titlu care să ateste competenţa prestatorului de servicii în

domeniul în cauză; aderarea prestatorului de servicii la o entitate, asociaţie profesională competentă şi

aderarea la Codul Deontologic al acestei entităţi reputaţia prestatorului de servicii. Luarea în calcul al acestui element poate implica

consultarea unor terţi care apelează de obicei la activităţile prestatorului; experienţa prestatorului de servicii în tipul de activităţi care urmează a-i fi

încredinţate; nivelul de studii şi de formare profesională a prestatorului de servicii în domeniul

aferent misiunii în cauză; cunoştinţele şi experienţa prestatorului de servicii în sectorul de activitate al entităţii;

Aceste calificări sunt cerute nu doar de asociatul care semnează contractul ci şi de responsabilul pe care acesta îl deleagă la faţa locului.

6. responsabilul auditului intern trebuie să examineze legăturile existente între prestatorii de servicii din exterior, organizaţia şi serviciul său de audit intern, şi să se asigure că independenţa şi obiectivitatea prestatorului de servicii vor fi garantate pe parcursul misiunii. Pentru a efectua această examinare, responsabilul auditului intern trebuie să se asigure că nici o legătură financiară, profesională sau personală nu-l va împiedica pe prestatorul de servicii să formuleze o judecată sau o opinie obiectivă şi imparţială în realizarea misiunii şi la emiterea rapoartelor.

7. pentru a aprecia independenţa şi obiectivitatea prestatorului de servicii din exterior, responsabilul auditului intern trebuie să ţină cont de următoarele elemente: posibilul interes financiar deţinut de prestatorul de servicii în cadrul entităţii; legătura personală sau profesională între prestatorul de servicii şi consiliul,

conducerea generală sau ceilalţi membri ai entităţii; eventualele legături stabilite în trecut între prestatorul de servicii şi organizaţia sau

activităţile examinate; sfera celorlalte servicii recurente prestate într-o entitate de prestatorul de servicii;

sumele de bani sau alte avantaje obţinute, dacă este cazul, de către prestatorul de servicii.

8. dacă prestatorul de servicii este şi auditor extern al entităţii, iar dacă misiunea sa constă în activităţi de audit aprofundate, responsabilul auditului intern trebuie să se asigure că activităţile astfel realizate nu prejudiciază independenţa auditorului extern. „activităţile de audit aprofundate” vizează serviciile care depăşesc cadrul normelor de audit în general admise de codul deontologic al profesiunii de auditor extern

În Franţa, Codul Deontologic Profesional al Companiei Naţionale a Comisarilor de Conturi (CNCC).

Dacă auditorii externi acţionează în fapt sau aparent ca membri ai conducerii generale, ai conducerii sau ca angajaţi ai entităţii, atunci independenţa lor este compromisă. În plus, este posibil ca auditorii externi să furnizeze alte servicii entităţii, de exemplu în ceea ce priveşte fiscalitatea sau consultanţă/consiliere Independenţa trebuie să fie apreciată în funcţie de gama completă a serviciilor prestate pentru entitate.

9. responsabilul auditului intern trebuie să obţină suficiente informaţii în ceea ce priveşte sfera de activitate a misiunii realizate de prestatorul extern de servicii, pentru a putea verifica dacă aceste activităţi corespund obiectivelor auditului intern. Ar fi prudent să se precizeze sfera misiunii şi diverse alte puncte într-o scrisoare de misiune sau întru-un contract. Responsabilul auditului intern va trebui să examineze cu prestatorul de servicii următoarele puncte: obiectivele şi sfera misiunii; punctele speciale care vor trebui acoperite în rapoartele predate ca urmare a

misiunii;’ accesul la documentele, persoanele şi bunurile materiale implicate; informaţiile privind ipotezele şi procedurile care trebuie folosite; proprietatea şi păstrarea documentelor de lucru întocmite în cadrul misiunii dacă este

cazul; confidenţialitatea informaţiilor obţinute în cursul misiunii şi restricţiile pe care acestea

le implică10.când prestatorul de servicii extern desfăşoară activităţi de audit intern responsabilul

auditului intern trebuie să precizeze şi să se asigure ca aceste activităţi să fie realizate în conformitate cu Standardele şi cu normele pentru practica profesională a auditului intern. În cadrul examinării activităţii unui prestator de servicii responsabilul auditului intern trebuie să evalueze relevanţa activităţilor efectuate. Această evaluare constă în special în a se asigura că informaţiile obţinute sunt suficiente pentru justificarea concluziilor formulate şi a soluţiilor propuse şi pentru a decide asupra excepţiilor semnificative sau asupra celorlalte puncte neobişnuite.

11. în cazul în care se apelează la un prestator extern de servicii, responsabilul auditului intern poate menţiona, dacă este cazul, serviciile astfel furnizate în documentele sau rapoartele emise în cadrul misiunii. Prestatorul de servicii extern trebuie să fie informat despre acest lucru şi, dacă este cazul acordul său trebuie să fie obţinut înaintea oricărei menţiuni, cu privire la serviciile sale, făcute în aceste documente.

1210.A2

Auditorul intern trebuie să deţină cunoştinţe suficiente pentru a identifica indiciile unei fraude, dar aceasta nu înseamnă că trebuie să aibă competenţa unei persoane a

cărei principală responsabilitate este identificarea detectarea şi investigarea fraudelor.

MPA 1210.A2-1

Identificarea fraudei

Natura acestei Modalităţi Practice de Aplicare:Se recomandă ca auditorii interni să ţină cont de următoarele sugestii în ceea ce priveşte

identificarea fraudei. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. frauda reprezintă o serie de iregularităţi şi acţiuni ilegale comise cu intenţia de a înşela. Fraudele pot fi comise în beneficiul entităţii sau în defavoarea acesteia, atât de angajaţi colaboratori ai entităţii cât şi de persoane din exteriorul acesteia.

2. fraudele comise în beneficiul entităţii favorizează de regulă producerea acestui beneficiu, organizaţia profitând de un avantaj injust sau necinstit care poate înşela şi o terţă parte. Autorii unor astfel de fraude beneficiază de obicei de acestea în mod direct.

Menţionăm câteva exemple de fraudă în beneficiul entităţii: vânzarea sau cesionarea de bunuri fictive sau care nu aparţin entităţii; plăţile neregulamentare cum ar fi finanţări politice ilegale ale , mită şi „mici atenţii”

către reprezentanţi ai guvernului şi intermediarii acestora, către clienţi sau furnizori;

declararea sau valorificarea incorectă a tranzacţiilor, a elementelor activelor şi pasivelor sau veniturilor, cu intenţia de a înşela;

stabilirea incorectă a preţului intern de cesionare (de exemplu evaluarea bunurilor schimbate între entităţi ale aceluiaşi grup) cu intenţia de a îmbunătăţi fictiv rezultatele exploatării uneia dintre societăţile unui grup în detrimentul alteia;

tranzacţiile neregulamentare şi deliberate între două părţi ale aceluiaşi grup, cu intenţia de a înşela, în cadrul cărora o parte obţine un beneficiu care nu ar putea fi obţinut în condiţiile normale ale pieţei;

omiterea intenţionată a înregistrărilor contabile sau a comunicării informaţiilor semnificative pentru a crea o imagine înşelătoare asupra situaţiei financiare a entităţii;

activităţile comerciale interzise de legile, regulile, regulamentele sau contractele în vigoare;

fraudele fiscale.3. fraudele comise în detrimentul entităţii sunt în general în favoarea unui angajat , a unui

terţ, sau a altei entităţi în mod direct sau indirect.Iată câteva exemple:

acceptarea mitei sau a „micilor atenţii” deturnarea, în beneficiul unui angajat sau a unui terţ, a unei operaţiuni profitabile

care în condiţii normale ar genera beneficii entităţii; deturnarea de fonduri sau de bunuri şi falsificarea registrelor contabile pentru

disimula acţiunea, astfel încât detectarea să fie dificilă; omiterea intenţionată sau interpretarea înşelătoare a evenimentelor sau a datelor; facturarea serviciilor sau a bunurilor care nu au fost furnizate entităţii.

4. diminuarea fraudelor constă în luarea de măsuri în vederea descurajării acestora şi a limitării expunerii la riscurile aferente. Controlul constituie principala forţă de diminuare a fraudei. Responsabilitatea de a adopta şi de a menţine un sistem de control intern aparţine în primul rând conducerii.

5. auditorii interni trebuie să contribuie la descurajarea fraudelor prin examinarea şi evaluarea relevanţei şi a eficacităţii sistemului de control intern, având în vedere expunerile la risc specifice fiecărui domeniu al entităţii. Acest lucru necesită ca auditorii interni, să stabilească de exemplu, dacă: mediul organizaţional stimulează conştientizarea şi sensibilizarea în ceea ce priveşte

necesitatea controlului intern;

sunt stabilite scopuri şi obiective realiste în cadrul entităţii; există reguli scrise (de ex. codul de conduită) care să descrie activităţile interzise şi

măsurile care trebuie luate în cazul în care regulile stabilite sunt încărcate; sunt stabilite şi menţinute reguli de autorizare pentru fiecare operaţiune sau

tranzacţie; sunt dezvoltate politici, practici, proceduri, rapoarte şi alte mijloace în vederea

monitorizării activităţilor şi a asigurării protecţiei bunurilor şi resurselor entităţii, mai ales pentru domeniile cu grad mare de risc;

canalele de comunicaţie permit conducerii să obţină date adecvate şi fiabile; sunt necesare recomandări pentru stabilirea sau îmbunătăţirea din punct de vedere al

costurilor sistemelor de control intern eficiente în vederea descurajării fraudelor.6. în cazul în care un auditor intern descoperă iregularităţi, acesta trebuie să avertizeze

autorităţile competente din cadrul entităţii. Auditorul intern poate , în consecinţă, să sugereze investigaţiile şi controalele pe care le consideră necesare în astfel de împrejurări, şi să efectueze o monitorizare corespunzătoare a dosarului cu scopul de a se asigura că responsabilităţile auditului intern au fost îndeplinite .

7. investigarea fraudei constă în efectuarea unor cercetări detaliate pentru a stabili dacă s-a comis într-adevăr o fraudă. Acestea constau în a strânge detalii precise şi informaţii suficiente referitoare la fraudă descriptive ale fraudei. Auditorii interni, juriştii, personalul de securitate şi orice alt specialist intern sau extern sunt cei solicitaţi de obicei pentru a efectua investigaţii sau pentru a participa la acestea.

8. în cazul auditului fraudei, auditorii interni au următoarele obligaţii: să cerceteze şi să evalueze existenţa şi importanţa eventualelor complicităţi din

cadrul entităţii . Această etapă este esenţială pentru a evita ca auditorul intern să furnizeze informaţii persoanelor care ar putea fi implicate în comiterea fraudei sau ca acesta să obţină date eronate;

să determine cunoştinţele, priceperea şi celelalte competenţe necesare pentru a efectua investigaţia în mod eficient . Pentru a se asigura că auditul va fi realizat de o echipă care dispune de calificările tehnice necesare, trebuie să se efectueze o evaluare a aptitudinilor şi a priceperii auditorilor interni şi ale specialiştilor care vor participa la audit. Această evaluare va putea să aibă la bază certificate profesionale, diplome , reputaţia şi asigurarea că fiecare membru al echipei este independent de activităţile sau persoanele care fac obiectul investigaţiei sau de orice angajat al entităţii;

să definească proceduri care trebuie urmate în vederea descoperirii autorilor fraudei, a întinderii acesteia, a cauzelor şi a tehnicilor de fraudă folosite;

să-şi efectueze activităţile pe parcursul investigaţiei în acord cu conducerea, consilierii juridici şi cu orice alt specialist considerat a fi util în timpul investigaţiei;

să cunoască drepturile autorilor presupuşi ai fraudei ale personalului care face obiectul investigaţiei, precum şi reputaţia entităţii.

9. în cazul finalizării unui audit al fraudei, auditorii interni trebuie să aprecieze faptele în următoarele scopuri: de a determina dacă măsurile de control intern trebuie aplicate sau întărite în vederea

diminuării riscurilor viitoare de comitere a fraudelor; de a defini testele de audit care permit detectarea pe viitor a riscurilor similare de

fraudă; de a menţine un grad suficient de cunoaştere a riscurilor de fraudă şi a mecanismelor

acestora pentru a putea fi capabili de a le identifica în viitor.10.comunicarea către conducere a rezultatelor în ceea ce priveşte frauda poate fi orală sau

scrisă, intermediară sau finală. Această informare se va referi la stadiul cercetărilor şi la rezultatele acestora. Responsabilul auditului intern trebuie să comunice imediat conducerii generale sau Consiliului orice caz de fraudă semnificativă. În prealabil, investigaţii suficiente, trebuie să fi permis stabilirea, cu o certitudine rezonabilă, că s-a produs o fraudă. După detectarea fraudei se recomandă întocmirea unui raport intermediar sau final. În acest raport, auditorul intern trebuie să menţioneze dacă dispune de suficiente informaţii pentru a desfăşura o investigaţie mai aprofundată şi mai completă

şi să specifice observaţiile şi recomandările care susţin această decizie. Un raport scris cuprinzând constatările făcute poate să fie efectuat după orice comunicare orală către conducerea generală sau Consiliu.

11.norma 2400 oferă o interpretare aplicabilă rapoartelor interne privind situaţiile de fraudă. Iată liniile directoare suplimentare privind interpretarea normelor în ceea ce priveşte comunicarea constatărilor privind frauda: în cazul în care auditul intern a detectat o fraudă importantă cu un grad de certitudine

rezonabil, conducerea generală şi Consiliul trebuie să fie înştiinţate imediat după aceasta;

rezultatele investigării fraudei pot indica faptul că frauda a avut deja un efect defavorabil important şi neobservat asupra situaţiei financiare şi a rezultatelor de exploatare a entităţii publicate în anii anteriori. Auditorii interni trebuie să informeze conducerea generală şi Consiliul cu privire la orice descoperire de acest fel;

un raport scris trebuie realizat, imediat după finalizarea auditului. Acesta trebuie să conţină, toate constatările, concluziile, recomandările şi toate masurile corective întreprinse;

proiectul de raport asupra fraudei trebuie să fie supus unei examinări a consilierului juridic. în cazul în care auditorul intern doreşte să invoce secretul profesional, trebuie să stabilească dacă e bine sau nu să transmită raportul consilierului juridic.

Norma face aici referire la dreptul american conform căruia „client attorney privilege” permite confidenţialitatea informaţiilor, inclusiv pentru puterea judiciară, încredinţându-le, în condiţii speciale, unui avocat spre păstrare.

12.detectarea fraudelor constă în identificarea indicilor de frauda suficiente pentru a justifica recomandarea unei investigaţii. Aceste indicii pot proveni din controalele stabilite de conducere, din testele efectuate de auditori şi din alte surse interne sau externe.

13. în cadrul misiunilor sale de audit, responsabilităţile auditorului intern în ceea ce priveşte detectarea fraudelor sunt următoarele: să deţină cunoştinţe suficiente referitoare la fraudă pentru a putea detecta

eventualele elemente care indică faptul că o fraudă ar fi putut fi comisă. În consecinţă, auditorul intern trebuie să fie capabil să identifice elementele constitutive ale unei fraude, tehnicile utilizate şi să cunoască tipurile de fraudă care s-ar putea produce în activităţile pe care le auditează;

să fie vigilent la situaţiile în care sistemele de control intern prezintă insuficienţe. În situaţia în care sunt identificate puncte slabe ale controlului intern, auditorii interni trebuie să desfăşoare activităţi suplimentare, inclusiv examinări în vederea identificării altor indicii de fraudă. Prin indiciu se înţelege, de exemplu, efectuarea unor tranzacţii neautorizate, nerespectarea controalelor, derogarea, nefondată , de la regulile de stabilire a preţurilor, şi pierderile de exploatare exagerat de mari. Auditorii interni trebuie să aibă în vedere faptul că prezenţa mai multor indicii, în acelaşi moment, creşte probabilitatea ca o fraudă să fi fost comisă;

să evalueze indiciile unei fraude şi să decidă dacă sunt necesare alte măsuri sau dacă trebuie să se recomande o anchetă;

să înştiinţeze autorităţile competente din cadrul entităţii, dacă auditorii interni consideră că prezumţiile de fraudă sunt suficiente pentru a recomanda o anchetă.

14.auditorii interni nu sunt obligaţi să deţină cunoştinţe echivalente celor pe care le posedă un specialist în detectarea şi investigarea fraudelor. De asemenea, doar procedurile de audit, chiar dacă sunt aplicate cu conştiinciozitatea profesională necesară, nu pot garanta identificarea fraudelor .

MPA 1210.A2-2

Responsabilitatea privind detectarea fraudei


detectarea fraudei. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. conducerea şi auditul intern joacă un rol diferit în ceea ce priveşte detectarea fraudei. Rolul auditului intern constă de obicei în examinarea şi evaluarea, în mod independent, a activităţilor entităţii sub forma unui serviciu prestat entităţii. În ceea ce priveşte detectarea fraudei, obiectivul auditului intern este acela de a ajuta membrii entităţii să-şi îndeplinească funcţiile în mod eficient furnizându-le analize, evaluări, recomandări, sfaturi şi informaţii cu privire la activităţile examinate. Unul din obiectivele misiunii este acela de a promova un control eficient efectuat la un cost rezonabil.

2. conducerea este responsabilă de stabilirea şi menţinerea unui sistem de control eficient la un cost rezonabil. În măsura în care frauda poate afecta activităţile examinate în derularea normală a auditului, conform celor de mai sus, auditorii interni sunt obligaţi să-şi exercite funcţiile cu „conştiinciozitate profesională”, aşa cum este definită în Norma 1220 referitoare la detectarea fraudei. Auditorii interni trebuie să deţină cunoştinţe suficiente pentru a identifica indiciile referitoare la o posibilă fraudă, să fie vigilenţi în cazul în care o situaţie implică un risc de fraudă, să aprecieze necesitatea de a recurge la cercetări suplimentare şi să informeze autorităţile competente.

3. un sistem de control intern bine conceput permite diminuarea riscului de fraudă. Testele efectuate de auditori, asociate cu controalele rezonabile aplicate de conducere, îmbunătăţesc şansele de detectare a oricărui indiciu de fraudă şi, după caz, de aprofundare a investigaţiilor .

1220

Conştiinţă profesională

Auditorii interni trebuie să-şi exercite activitatea cu conştiinciozitate şi priceperea la care ne putem aştepta de la un auditor intern prudent şi competent.

Conştiinciozitatea profesională nu implică infailibilitatea.

MPA 1220-1

Conştiinciozitate profesională

Natura acestei Modalităţi Practice de Aplicare:Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când îşi

evaluează conştiinţa profesională. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. Conştiinţa profesională se referă la conştiinciozitatea şi priceperea pe care ar trebui să le deţină un auditor intern suficient de prudent şi competent. Conştiinţă profesională trebuie să ţină cont de complexitatea misiunii realizate. Acţionând cu conştiinciozitate profesională corespunzătoare, auditorii interni vor ţine cont de riscurile de a exista greşeli intenţionate, erori sau omisiuni, ineficienţă , risipă şi conflicte de interese. Va trebui ca auditorii să fie deosebit de atenţi în ceea ce priveşte situaţiile şi activităţile în care există o probabilitate mai mare de producere a unor iregularităţi. În fine, ei trebuie să detecteze existenţă unor controale ineficiente şi să facă recomandări cu privire la promovarea respectării procedurilor şi a practicilor acceptabile.

2. Conştiinţa profesională implică conştiinciozitatea şi priceperea rezonabile necesare pentru executarea misiunii şi nu infailibilitatea sau performanţele excepţionale. Acest lucru înseamnă că auditorul efectuează verificări şi controale suficient de aprofundate şi nu examinare detaliată şi a tuturor operaţiunilor. În consecinţă, auditorul intern nu poate oferi asigurarea absolută că nu există nici o anomalie sau iregularitate. Totuşi, posibilitatea unor iregularităţi sau neconformităţi importante trebuie avută în permanenţă în vedere atunci când auditorul intern întreprinde o misiune de audit.

1230

Formarea profesională continuă

Auditorii interni trebuie să-şi dezvolte cunoştinţele, priceperea şi alte competenţe printr-o formare profesională continuă.

MPA 1230-1

Formarea profesională continuă


formarea profesională continuă. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. auditorii interni au responsabilitatea de a-şi actualiza cunoştinţele. Ei trebuie să se informeze cu privire la progresele făcute şi la evoluţiile actuale în domeniul normelor, procedurilor şi tehnicilor de audit. Formarea continuă poate fi dobândită prin aderarea şi participare la asociaţiile profesionale, prin asistarea la conferinţe, seminarii, sesiuni de studii şi prin participarea la acţiuni interne de formare, precum şi din participarea la proiecte de cercetare.

2. este indicat ca auditorii interni să obţină o certificare care să le ateste competenţa, cum ar fi titlul de auditor intern Autorizat (CIA, Certified internal auditor), sau orice alt titlu eliberat de IFACI în numele IIA.

3. auditorii interni certificaţi trebuie să urmeze o formare profesională continuă adecvată pentru a putea îndeplini condiţiile pe care le implică certificările obţinute .

4. auditorilor interni care nu sunt încă certificaţi li se recomandă să urmeze un program de formare adaptat în vederea obţinerii cerificării.

1300 - PROGRAM DE ASIGURARE Şl DE

ÎMBUNĂTĂŢIRE A CALITĂŢII

RESPONSABILUL AUDITULUI INTERN TREBUIE SĂ ELABOREZE Şl SĂMENŢINĂ UN PROGRAM DE ASIGURARE Şl DE ÎMBUNĂTĂŢIRE ACALITĂŢII PRIVIND TOATE ASPECTELE AUDITULUI INTERN PERMIŢĂNDO MONITORIZARE CONTINUĂ AL

EFICACITĂŢII ACESTUIA.PROGRAMULTREBUIE SĂ FIE CONCEPUT CU UN DUBLU SCOP: SĂ AŢUTE AUDITUL

INTERN SĂ ADUCĂ UN PLUS DE VALOARE OPERAŢIUNILORENTITĂŢII Şl SĂ LE ÎMBUNĂTĂŢEASCĂ, Şl SĂ ASIGURE CONFORMITATEA ACESTEIA

CU NORMELE Şl CODULDEONTOLOGIC

Controlul permanent al eficacităţii auditului intern presupune o definire clară a obiectivelor sale care trebuie precizate în cartă."Asigurarea calităţii" implică satisfacerea aşteptărilor diferitelor părţi implicate în auditul intern cum ar fi: conducerea generală, Consiliul, auditorii externi, şi autorităţile publice sau private de tutelă şi de control. Este aşadar absolut necesară identificarea acestora şi cunoaşterea aşteptărilor lor. Carta auditului intern trebuie să indice marile orientări în acest domeniu.Aşteptările părţilor implicate pot fi explicite sau implicite. Dacă nu sunt exprimate formal, se poate considera că un serviciu de audit intern care respectă normele şi codul deontologic şi care aduce un plus de valoare entităţii satisface aşteptările lor implicite.Programul de asigurare şi de îmbunătăţire a calităţii trebuie bineînţeles să fie conceput pentru a satisface aşteptările părţilor implicate, dar şi pentru ca acestea din urmă să înţeleagă faptul că aşteptările le sunt satisfăcute. Este aşadar important să se comunice cu privire la rezultatele examinărilor interne şi externe cu scopul întăririi încrederii pe care părţile implicate o pot avea în activitatea şi rezultatele auditului intern, precum şi pentru a avea deplina siguranţă că organizaţia este sub control.Aşteptările şi părţile implicate pot evolua în timp, !a fel ca şi normele pentru practica profesională a auditului intern. De aceea programul de asigurare şi îmbunătăţire a calităţii trebuie să ţină cont de aceste evoluţii şi în consecinţă să se adapteze la acestea. Responsabilul auditului intern ar avea de câştigat dacă s-ar inspira din referenţialele generice de management al calităţii cum ar fi seria ISO 9000 sau modelul EFQM. 1310-

1310

Evaluări ale programului de asigurare a calităţii

Auditul intern necesită adoptarea unui proces care să permitămonitorizarea şi evaluarea eficacităţii globale a programului

pentru calitate. Acest proces trebuie să includă atât evaluări internecât şi evaluări externe.

MPA 1310-1Program de Asigurare şi îmbunătăţire a Calităţii

Aceste evaluări sunt destinate atât:1. Responsabilului auditului intern ca punct de plecare pentru îmbunătăţirea calităţii auditului intern, cât şi2. Părţilor implicate în auditul intern care se pot baza pe rezultatul

evaluărilor pentru a întării încrederea pe care acestea o acordă auditului intern.


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când elaborează sau evaluează programele pentru calitate. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. implementarea programelor pentru calitate - Responsabilul auditului intern are obligaţia de a se asigura de aplicarea procesului care permite să ofere diferitelor părţi implicate în auditul intern asigurarea rezonabilă că acest serviciu:

respectă Carta sa, care trebuie să fie în conformitate cu Normele pentru Practica Profesională a auditului intern şi cu Codul Deontologic;

funcţionează în mod eficace; contribuie, din punct de vedere al părţilor implicate, la crearea unui plus de valoare şi

la îmbunătăţirea funcţionării entităţii.Aceste procese trebuie să includă o supervizare corespunzătoare, evaluări interne periodice şi o monitorizare continuă a asigurării calităţii, precum şi evaluări externe periodice.

2. Monitorizarea programelor pentru calitate - Această monitorizare trebuie să cuprindă o măsurare şi o analiză continuă a indicaţiilor de performanţă, cum ar fi ciclul de auditare a misiunilor şi procentul recomandărilor acceptate.

3. Evaluarea programelor pentru calitate - Obiectul acestei evaluări este acela de a aprecia calitatea activităţilor de audit intern şi de a emite recomandări în vederea îmbunătăţirii acestora. Evaluarea programelor pentru calitate se bazează în special pe următoarele puncte:

respectarea Normelor şi a Codului Deontologic; caracterul adecvat al Cartei, al obiectivelor, al regulilor şi procedurilor de audit intern; contribuţia la procesele de management al riscurilor, de guvernare a întreprinderii şi

de control al entităţii; respectarea legilor, a reglementărilor, a normelor administrative sau sectoriale în

vigoare; eficacitatea proceselor de îmbunătăţire continuă şi adoptarea celor ai bune practici; contribuţia auditului intern la crearea unui plus de valoare şi la îmbunătăţirea

funcţionării entităţii.4. Îmbunătăţirea continuă - Orice program de îmbunătăţire şi de evaluare a calităţii trebuie să

cuprindă un sistem de comunicare destinat să faciliteze modificările care trebuie să fie aduse resurselor, tehnologiei, proceselor şi procedurilor implicate de operaţiunile de monitorizare şi evaluare.

5. Comunicarea rezultatelor - Responsabilul auditului intern trebuie să comunice rezultatele evoluărilor externe şi, dacă este necesar, al evaluărilor interne ale programului pentru calitate, diferitelor părţi implicate în auditul intern, cum ar fi conducerea generală, Consiliul şi auditorii externi, în baza unor principii de justificare şi transparent

1311

Evaluări interne

Evaluările interne trebuie să includă:

controale continue privind funcţionarea auditului intern;

verificări periodice, efectuate prin autoevaluare sau de către alte persoane din entitate care cunosc practicile de audit intern şi Normele.

MPA 1311-1

Evaluări interne


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când efectuează evaluări interne ale serviciului lor. Prezenta MPA nu are drept scop expunerea exhaustivă a tuturor procedurilor care trebuie puse în aplicare în cadrul acestor evaluări. Ea are ca obiect doar formularea unei serii de recomandări.


1. Controale continue - Evaluările continue se bazează în special pe următoarele elemente: supervizarea misiunilor conform modalităţilor descrise în MPA 2340-1 referitoare la

Supervizarea misiunilor; liste de control şi alte procedee care oferă asigurarea că procesele adoptate de

auditul intern (de exemplu într-un manual de audit şi de proceduri) sunt urmate; informaţii furnizate, la rândul lor, de clienţii şi părţile implicate în auditul intern; analize ale indicatorilor de performanţă (de ex. frecvenţa ciclului de auditare şi

procentul recomandărilor acceptate); bugete stabilite pe proiecte, sisteme de monitorizare a perioadelor încheiate,

realizarea planului de audit, recuperarea costurilor, etc.

2. Se recomandă să se emită concluzii privind calitatea prestaţiilor şi să se efectueze o monitorizare pentru a se asigura că s-au luat măsurile adecvate de îmbunătăţire.

3. Evaluări interne periodice - Evaluările periodice urmăresc respectarea Cartei, a Normelor pentru Practica Profesională a auditului intern şi a Codului Deontologic, şi aprecierea eficacităţii serviciului, mai ales a capacităţii sale de a răspunde necesităţilor diferitelor părţi implicate. Manualul IIA referitor la evaluarea calităţii (Quality Assessment Manual) cuprinde linii directoare şi instrumente pentru evaluările interne periodice.

4. Verificări periodice: pot include anchete şi discuţii mai aprofundate cu părţile implicate în auditul intern;

pot fi realizate de membrii auditului intern (autoevaluare); pot fi realizate de auditori interni certificaţi CIA, sau de alţi profesionişti în audit, care

intervin în alte sectoare ale entităţii.IFACI este centrul de examinare al CIA în Franţa.

pot combina autoevaluarea şi pregătirea documentelor revizuite ulterior de auditorii interni certificaţi CIA sau de alţi experţi în audit care intervin în alte sectoare ale entităţii;

pot include un studiu comparativ privind practicile şi indicatorii de performanţă ai auditului intern şi cele mai bune practici ale profesiei.

5. Este necesar să se emită concluzii cu privire la calitatea prestaţiilor şi să se ia orice măsură corespunzătoare pentru a pune în practică îmbunătăţirile, în funcţie de necesităţi, şi pentru a asigura respectarea Normelor.

6. Responsabilul auditului intern trebuie să adopte un sistem de raportare a rezultatelor examinărilor periodice care să permită menţinerea credibilităţii serviciului şi să-i garanteze

obiectivitatea. Ca regulă generală, persoanele însărcinate cu evaluările continue şi periodice trebuie să raporteze responsabilului auditului intern pe parcursul examinărilor şi să-i comunice direct rezultatele.

7. Comunicarea rezultatelor - Responsabilul auditului trebuie să comunice persoanelor interesate din afara auditului intern, cum ar fi conducerea generală, Consiliul şi auditorii externi, rezultatele evaluărilor interne şi planurile de acţiune care trebuie puse în practică.

Responsabilul auditului intern va aprecia oportunitatea şi va adapta amploarea comunicării rezultatelor pentru fiecare implicată. Comunicarea rezultatelor examinărilor interne de către auditorii externi poate favoriza un climat de încredere propice cooperării între auditul intern şi auditul extern.

1312Evaluări externe

Evaluările externe, de exemplu monitorizările privind asigurarea calităţii, trebuie să fie realizate cel puţin o dată la cinci ani de către un evoluator sau o echipă de evaluatori calificaţi şi independenţi din afara entităţii.

MPA I3I2-IEvaluări externe


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când solicită o evaluare externă a serviciului lor de audit intern. Prezenta MPA nu are drept scop expunerea exhaustivă a tuturor punctelor ce trebuie examinate în cadrul unei evaluări externe. Ea are ca obiect doar formularea unei serii de recomandări.


1. Consideraţii de ordin general - Evaluarea externă a activităţii de audit intern are ca obiect aprecierea şi formularea unei opinii privind respectarea Normelor pentru Practica Profesională a auditului intern şi, dacă este necesar, emiterea de recomandări în vederea unei îmbunătăţiri. Acest tip de control poate constitui un punct important de interes pentru responsabilul auditului intern şi ceilalţi membri ai echipei. Doar persoanele calificate (vezi paragraful 4 de mai jos) pot efectua aceste revizuiri.

2. Începând de la 1 ianuarie 2002, o evaluare externă trebuie să fie realizată într-o perioadă de 5 ani . Entităţilor care au efectuat deja revizuiri externe înainte de această dată li se recomandă să planifice revizuirea externă următoare în maximum cinci ani de la ultima revizuire.

3. După finalizarea revizuirii, trebuie să se transmită un raport formal Consiliului (aşa cum este definit în glosarul anexat la norme) şi conducerii generale.

4. Calificările necesare pentru a fi evaluator extern – Evaluatorii interni inclusiv cei care validează operaţiunile de autoevaluare (vezi paragraful 13 de mai jos), trebuie să fie independente de entitate şi de activitatea de audit intern. Echipa însărcinată cu activitatea de revizuire trebuie să fie formată din profesionişti competenţi în domeniul auditului intern şi al evaluării externe. Candidaţii care ar putea fi selectaţi ca evaluatori calificaţi pot fi evaluatori de asigurare a calităţii autorizaţi de IIA, examinatori de instanţe de reglementare, consultanţi, auditori externi, alţi prestatori de servicii şi auditori interni din afara entităţii.

5. Independenţă - Persoana fizică sau juridică ce efectuează evaluarea externă, membrii

echipei de evaluare şi orice altă persoană fizică ce participă la evaluare nu trebuie să aibă nici un interes în cadrul entităţii sau o obligaţie faţă de aceasta sau faţă de personal Personalul din cadrul celorlalte departamente ale entităţii implicate, chiar dacă nu face parte din auditul intern, nu este considerat ca fiind independent pentru realizarea unei evaluări externe.

6. Revizuirile reciproce pot fi efectuate de persoane provenind din cel puţin 3 entităţi diferite pentru a atenua probleme de independenţă. În general, nu sunt indicate revizuirile reciproce între două entităţi.

7. Evaluările externe trebuie să fie încredinţate persoanelor care îndeplinesc condiţiile necesare, care sunt independente faţă de entitate şi care nu se află într-o situaţie de conflict de interese real sau aparent. Expresia "independente faţă de entitate" înseamnă că aceste persoane nu fac parte din organizaţia căreia îi aparţine auditul intern şi nu sunt plasate sub controlul acesteia. Alegerea unui evaluator extern trebuie să fie efectuată ţinând cont de un eventual conflict de interese, real sau aparent, care rezultă din relaţiile sale prezente sau anterioare cu organizaţia sau serviciul de audit intern al acesteia.

8. Integritate şi obiectivitate - Integritatea presupune ca persoanele însărcinate cu efectuarea evaluării să fie cinstite şi sincere, în limitele impuse de obligaţia de confidenţialitate. Prestaţiile şi încrederea nu trebuie să fie subordonate intereselor şi câştigurilor personale. Obiectivitatea este o stare de spirit şi o calitate care întăreşte valoarea serviciilor . Principiul obiectivităţii implică obligaţia de imparţialitate, corectitudine intelectuală şi absenţa unui conflict de interese.

9. Competenţă - Realizarea unei evaluări externe şi comunicarea rezultatelor acesteia necesită formularea unei judecăţi profesionale. în consecinţă o persoană fizică însărcinată cu evaluarea externă trebuie să posede următoarele calităţi:

să fie un profesionist al auditului şi autorizat în activitatea de audit care posedă cunoştinţe actuale şi aprofundate ale Normelor

să stăpânească bine cele mai bune practici profesionale; să aibă o experienţă recentă de cel puţin trei ani în practica auditului intern pe un

post de conducere.10. Echipa însărcinată cu evaluarea trebuie să fie formată în special din persoane care posedă

cunoştinţe în domeniul tehnologiei informaţiei şi experienţă în sectorul de activitate vizat. Persoane competente în alte domenii pot să le ofere asistenţă. Astfel, pot participa la anumite aspecte ale evaluării experţi în domeniul eşantionării statistice sau al autoevaluării revizuirilor, al sistemelor de monitorizare a operaţiilor şi managementului riscurilor.

11. Aprobarea alegerii evaluatorului extern de către conducerea generală sau Consiliu - Responsabilul auditului intern trebuie să implice conducerea generală şi Consiliul în procesul de selectare a evaluatorului extern şi să obţină aprobarea acestora.

12. Obiectul evaluărilor externe - Evaluarea externă constă într-o examinare complexă bazată în principal pe următorii parametri de audit intern:

respectarea Normelor, a Codului Deontologic, a Cartei, a planurilor, regulilor, procedurilor şi practicilor auditului intern, precum şi a legislaţiei şi a reglementărilor în vigoare;

estimările Consiliului, ale conducerii şi ale directorilor operaţionali în ceea ce priveşte activitatea de audit intern;

integrarea auditului intern în procesul de guvernare a corporativă , inclusiv la nivelul relaţiilor între principalele grupuri cheie implicate în acest proces dispozitiv;

instrumentele şi tehnicile utilizate în auditul intern, varietatea cunoştinţelor, a experienţei şi a competenţelor echipei de audit intern, în

special în ceea ce priveşte îmbunătăţirea proceselor; contribuţia auditului intern la crearea unui plus de valoare şi la îmbunătăţirea modului

de funcţionare a entităţii.Paragraful 12 defineşte punctele sferei de evaluare, puncte care trebuie neapărat luate in considerare. Aceste puncte, foarte precise dar nerestrictive, impun o bună cunoaştere a meseriei de audit intern, lucru care nu este neapărat valabil in cazul certificatorului ISO care

este un generalist si nu un expert în auditul intern. Acest lucru pune în evidenţă necesitatea realizării unei evaluări proprii auditului intern şi a unui demers ad-hoc care să permită evaluarea calităţii auditului intern, a eficacităţii sale, a independenţei sale şi a modului său de funcţionare şi aprecierea măsurii în care aduce un plus de valoare şi ajută organizaţia în îndeplinirea obiectivelor pe care le are.

13. Autoevaluarea cu validare independentă - Responsabilul auditului intern (RAI) poate opta pentru o altă metodă care constă într-o autoevaluare validată de un organism extern independent şi care cuprinde următoarele etape:

proces cuprinzător şi perfect documentat de autoevaluare; validare independentă la faţa locului, acordată de către un evaluator calificat (vezi

paragraful 4 de mai sus);

cerinţe cu privire la economisirea timpului şi resurselor .14. Realizarea şi documentarea procesului de autoevaluare trebuie să fie încredinţată unei

echipe aflate sub conducerea RAI. Manualul IIA referitor la evoluarea calităţii (Quafity Assessment Manual) prezintă etapele acestui proces inclusiv linii directoare şi instrumente privind autoevaluarea. Un evaluator calificat şi independent trebuie să realizeze teste limitate asupra procesului de autoevaluare cu scopul de a valida rezultatele şi de a emite o opinie cu privire la gradul de respectare a Normelor de către serviciu.

15. Comunicarea rezultatelor autoevaluării trebuie să urmeze procesul descris mai jos (vezi paragraful 1 7).

16. Chiar dacă o evaluare externă completă prezintă maximum de interes pentru serviciul de audit intern şi trebuie să figureze în programul său pentru calitate, autoevaluarea urmată de o validare independentă reprezintă o cale alternativă a respectării prezentei Norme 1312 .

17. Comunicarea rezultatelor - Rezultatele preliminare ale evaluării trebuie verificate împreună cu responsabilul auditului intern în cursul procesului de evaluare şi la finalizarea acestuia. Rezultatele definitive trebuie să fie comunicate RAI sau responsabilului care a autorizat evaluarea, de preferinţă cu copii ataşate transmise anumitor membri din conducerea generală sau din Consiliu.

18. Informaţiile comunicate trebuie să conţină: o opinie cu privire la respectarea Normelor de către serviciul de audit intern, bazată pe

un sistem structurat de evaluare . Termenul "respectare" înseamnă că practicile auditului intern, în ansamblul lor, corespund condiţiilor impuse de Norme. In paralel, termenul "nerespectare" înseamnă că impactul şi gravitatea anomaliilor constatate în practicile auditului intern sunt suficient de însemnate pentru a afecta capacitatea acestui serviciu de a-şi îndeplini responsabilităţile. Formularea unei opinii cu privire la rezultatele evaluării externe necesită un raţionament în afaceri competent cât şi calităţi de integritate şi de conştiinţă profesională;

o evaluare a aplicării celor mai bune practici atât cele respectate pe parcurs cât şi în cursul revizuirii sau cele ar putea să se aplice în cadrul activităţii ;

recomandări, dacă este cazul; răspunsurile RAI cuprinzând un plan de acţiune şi datele pentru implementare .

19. Responsabilul auditului intern trebuie să informeze conducerea generală şi, dacă este cazul, Consiliul cu privire la rezultatele verificării şi la planul de acţiune care urmează a fi pus în practică şi informaţii privind monitorizarea aplicării acestuia. În definitiv, punerea în practică a QAR reprezintă o manifestare a provocării cu care se confruntă astăzi auditul intern. Este vorba despre

poziţionarea auditului intern ca actor cheie in evaluarea procesului de management al riscurilor şi de guvernare a corporaţiei . În acest context, se pare că auditul intern va trebui să se asigure că aşteptările diverselor părţi implicate în entitate sunt luate în considerare de Direcţia Generală şi de Consiliu;

decretarea unor norme de funcţionare care vor fi nu doar rezultatul unui consens al profesioniştilor în auditul intern, ci vor fi şi în acord cu bunele practici ale disciplinelor periferice auditului (management al riscurilor, calitate).

Acestea sunt motivele pentru care este necesar mai mult ca oricând să se sublinieze necesitatea profesionalizării auditului intern în scopul de asigura credibilitatea şi încrederea pe care părţile implicate le vor acorda activităţii de audit intern. Astăzi, se poate afirma că o QAR, efectuată de profesionişti independenţi în activitatea de audit intern este cea mai în măsură să ofere asigurarea că un serviciu de audit intern acţionează cu profesionalism şi aduce un plus de valoare entităţii.

1320

Rapoarte referitoare la programul pentru calitate

Responsabilul auditului intern trebuie sa comunice Consiliuluirezultatele evaluărilor externe.

MPA 1320-1Rapoarte referitoare la programul pentru calitate


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când comunică rezultatele programului pentru calitate. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor care trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. în scopul finalizării unei evaluări externe este necesar să se pregătească un raport în care evaluatorul îşi exprimă părerea cu privire la respectarea normelor de către serviciul de audit intern. Raportul trebuie să trateze aspecte referitoare la respectarea Cartei de audit şi a altor norme aplicabile, şi să includă toate recomandările adecvate procesului de îmbunătăţire. Raportul trebuie să fie adresat persoanei fizice sau juridice care a solicitat verificarea. Responsabilul auditului intern trebuie să pregătească un plan de acţiune scris pentru a răspunde comentariilor importante şi recomandărilor conţinute în raportul de evaluare externă. De asemenea, responsabilul auditului intern trebuie să asigure o monitorizare corespunzătoare a aplicării acţiunilor corective.

2. Evaluarea gradului de respectare a Normelor constituie un criteriu esenţial în evaluarea externă Echipa însărcinată cu aceasta trebuie să cunoască Normele pentru a fi în măsură să verifice aplicarea acestora de către serviciul de audit intern şi pentru a putea formula o opinie în această privinţă. Totuşi, aşa cum este menţionat în Modalitatea Practică de Aplicare nr. 1310-1, aceste criterii nu sunt singurele care trebuie luate în considerare pentru a evalua performanţele serviciului mai sus menţionat.

1330

Utilizarea menţiunii"Efectuat conform Normelor"

Auditorii interni sunt încurajaţi să indice în rapoartele pe care le fac faptul ca activităţile lor sunt "efectuate conform Normelor pentru practica profesionala a auditului intern".

Totuşi, ei nu pot folosi aceasta menţiune decât dacă evaluările programului de îmbunătăţire a calităţii demonstrează că auditul intern funcţionează conform Normelor.

MPA 1330-1Audituri "efectuate conform Normelor"

Utilizare acestei menţiuni necesită aşadar realizarea unei evaluări externe odată la 5 ani, respectând criteriile definite în MPA 1312-1.


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii înainte de a folosi expresia "efectuat conform Normelor pentru Practica Profesională a auditului intern". Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. Consideraţii de ordin general - Evaluările externe şi interne ale serviciului de audit intern au drept scop formularea unei opinii cu privire la respectarea Normelor pentru Practica Profesională şi a Codului Deontologic . Ele includ, dacă este necesar, recomandări privind îmbunătăţiri . Aceste evaluări pot prezenta un interes considerabil pentru responsabilul auditului intern şi pentru ceilalţi membri ai echipei. Doar persoanele calificate pot efectua aceste evaluări.

2. Începând de la 1 ianuarie 2002, o evaluare externă trebuie să fie realizată într-o perioadă de maxim 5 ani . Entităţilor care au efectuat deja revizuiri externe li se recomandă să planifice următoarea evaluare de acest tip într-un interval de cel mult cinci ani începând de la ultima revizuire.

3. Folosirea expresiei "Respectarea Normelor" - Folosirea expresiei"Respectarea Normelor" presupune realizarea unei evaluări a programului de îmbunătăţire a calităţii care să aibă ca rezultat asigurarea că auditul intern respectă Normele. Cazurile de nerespectare a Normelor care afectează domeniul în ansamblu sau modul de funcţionare a auditului intern, inclusiv absenţa realizării unei evaluări externe la 1 ianuarie 2007, trebuie să fie comunicate conducerii generale şi Consiliului.

2000 – Gestionarea auditului intern

Responsabilul auditului intern trebuie gestioneze această activitate astfel încât să asigure un plus de valoare în cadrul entităţii

MPA 2000-1

Gestionarea auditului intern

Natura acestei Modalităţi Practice de Aplicare:Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când

gestionează auditul intern. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. responsabilul auditului intern are obligaţia de a gestiona auditul intern în mod adecvat, pentru ca:

activitatea de audit să răspundă obiectivelor generale şi celor privind responsabilităţile descrise în Cartă, aprobate de conducerea generală şi acceptate de Consiliu;

resursele auditului intern să fie utilizate în mod eficace şi eficient; activitatea de audit să fie desfăşurată „conform Normelor pentru Practica

Profesională a auditului intern”.Gestionarea eficace şi eficientă a resurselor auditului intern presupune că responsabilul auditului intern să aibă un rol major în recrutarea şi formarea profesională a echipei sale. În consecinţă, el trebuie să convingă direcţia generală şi direcţia de resurse umane cu privire la necesitatea profesionalizării acestei activităţi şi deci a realizării în acest scop unei acţiuni intense de comunicare. Pentru a face acest lucru, el trebuie să ţină cont de toţi parametrii acestei gestionări (număr, calitate……..). în cazul unui dezacord cu direcţia de resurse umane, este important ca auditul intern să poată apela la comitetul de audit care trebuie să arbitreze în ultimă instanţă. Această posibilitate trebuie să fie înscrisă în Carta auditului intern.

2010

Planificare

Responsabilul auditului intern trebuie să realizeze o planificare a activităţii de audit intern bazată pe riscuri pentru a defini priorităţile în acord cu obiectivele entităţii.

MPA 2010-1

Planificare

Natura acestei Modalităţi Practice de Aplicare:Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci cînd

realizează planificarea. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. planificarea auditului intern trebuie să fie conformă cu Carta de audit şi obiectivele entităţii.

Procesul de planificare presupune stabilirea următoarelor elemente: obiective; un program de lucru al misiunilor; bugete de personal şi financiare ; rapoarte de activitate.

2. obiectivele auditului intern trebuie să poată fi atinse în cadrul unor planuri operaţionale şi a unor bugete fixate şi, în măsura în care este posibil, ele trebuie să fie cuantificabile .

Obiectivele trebuie să fie completate cu criterii de măsurare şi un plan de realizare a obiectivelor.

Obiectivele şi criteriile de măsurare a eficacităţii auditului intern sunt menţionate în această MPA care se referă la procesul de planificare. De fapt, încai din faza de planificare se profilează obligaţia obţinerii de rezultate din partea auditului intern, cu fixarea de obiective cuantificabile măsurabile şi realizabile („trebuie să poată fi atinse”) şi măsurarea efectivă a acestor obiective . Prin obiective măsurabile înţelegem de acum înainte îmbunătăţirea anticipării şi soluţionării riscurilor .

3. programul de lucru al misiunilor trebuie să precizeze: activităţile care trebuie auditate; data misiunilor; o estimare a timpului necesar ţinând cont de domeniul misiunii prevăzute precum şi

de natura şi obiectul lucrărilor de audit realizate de alţi participanţi .4. punctele care trebuie luate în calcul în vederea stabilirii priorităţilor sunt:

data şi rezultatele misiunii precedente; evaluări actualizate a riscurilor şi a eficacităţii proceselor de management al

riscurilor şi de control; solicitările conducerii generale şi ale Consiliului, ; problematicele actuale referitoare la guvernarea corporativă ; schimbările importante survenite în activitate, sarcinile operaţionale, programele,

sistemele şi controalele; oportunităţile de realizare a beneficiilor de exploatare; modificările intervenite în cadrul echipei de audit intern şi aptitudinile sale.

Planificarea lucrărilor trebuie să fie suficient de flexibilă pentru a face faţă cererilor de misiuni neprevăzute.

Această MPA situează auditul intern în procesul de management al riscurilor, evaluarea riscurilor şi eficacitatea procesului de management al riscurilor reprezentând în mod evident unul din obiectivele prioritare pentru realizarea planificării. Se recomandă să se discute şi să se stabilească într-o manieră consensuală criteriile de măsurare a acestui obiectiv împreună cu proprietarii riscurilor şi cu risk managers.

În ceea ce priveşte problematicele actuale referitoare la guvernarea întreprinderii, vă recomandăm să consultaţi MPA 2130-1 intitulată „Rolul auditului intern şi al auditorului intern în ceea ce priveşte cultura etică”, modalitate ce face referire la contribuţia auditului intern în procesul de guvernare corporativă (a societăţii) .

MPA 2010-2

Luarea în considerare a expunerilor la risc în elaborarea programului de audit

Natura acestei Modalităţi Practice de Aplicare:Planificarea auditului intern trebuie să reflecte strategia adoptată de entitate în ceea ce

priveşte riscurile. Se recomandă să se adopte o abordare coordonată cu scopul de a exploata sinergiile care există între procesul de management al riscurilor din cadrul entităţii şi dispozitivul său de audit intern. Se poate dovedi necesară luarea în considerare a altor elemente decât cele cuprinse în prezenta MPA.Respectarea modalităţilor practice de aplicare este facultativă.

1. planificarea auditului intern trebuie să fie realizată pe baza unei evaluări a riscurilor şi a expunerilor la risc care ar putea afecta organizaţia. În ultimă instanţă scopul auditului este acela de a furniza conducerii informaţii în vederea atenuării consecinţelor negative pe care le-ar putea aduce aceste riscuri în realizarea obiectivelor entităţii precum şi eficienţei proceselor de management al riscurilor. Gradul sau materialitatea riscurilor pot fi atenuate prin efectuarea controalelor.

Pentru a îndeplini această misiune, este important ca auditul intern să înţeleagă bine procesul de management al riscurilor. Pentru aceasta el trebuie să îşi însuşească bine rolurile auditului intern, ale risk managerilor, ale comitetului de audit şi ale comitetului pentru riscuri dacă acestea există. Dacă reiese că rolurile nu sunt suficient de precise sau sunt necoordonate, auditul intern trebuie să informeze direcţia generală şi să-i comunice recomandările sale în vederea îmbunătăţirii gestionării riscurilor din entitate. Facem referire la MPA 2100-3 şi MPA 2100-4 care tratează chiar rolul auditorului intern în procesul de management al riscurilor şi în absenţa unui astfel de proces.

2. demersul de audit poate include anumite componente ale planului strategic al entităţii pentru a ţine cont de obiectivele globale definite în planul de afaceri. De altfel, după toate aparenţele, planurile strategice reflectă atitudinea entităţii faţă de riscuri şi gradul de dificultate pe care îl implică realizarea obiectivelor fixate. Se recomandă să se examineze demersul de audit cel puţin o dată pe an, cu scopul de a-l adapta la strategiile şi orientările cele mai recente ale entităţii. Auditul poate fi afectat de rezultatele procesului de management al riscurilor. Aceste rezultate trebuie să fie luate în considerare atunci când se elaborează planurile de audit.

3. programul misiunilor de audit trebuie să fie realizat, printre altele, pe baza unei evaluări a principalelor riscuri şi expuneri la risc. Definirea priorităţilor este necesară în procesul de decizie privind alocarea resurselor în funcţie de importanţa riscurilor şi expunerilor la risc. Responsabilul auditului intern are, la dispoziţia sa, diverse modele de riscuri care îl ajută să definească zonele de audit prioritare. Majoritatea acestor modele de risc determină ordinea priorităţilor misiunilor în funcţie de factorii de risc cum ar fi consecinţele materiale , lichiditatea activelor, competenţa conducerii, calitatea controalelor interne, nivelul de schimbare sau de stabilitate, data ultimei misiuni de audit, complexitatea, relaţiile cu personalul şi administraţia etc.

printre diversele modele de riscuri existente, cităm de exemplu: raportul COSO (Statele Unite, tradus în limba franceză de IFACI şi

PricewaterhouseCoopers şi disponibil în cadrul IFACI sub numele „practica controlului intern” : raportul COSO), care va fi urmat imediat de un studiu, în curs de realizare, privind evaluarea şi gestionarea riscurilor;

raportul CoCo (Canada, disponibil la Institutul Canadian al Contabililor Agreaţi); raportul Turnball (Anglia, disponibil la ICAEW sub numele de „ Internal Control-

Guidance for Director on the Combined Code”)’ modele prezentate în caietul de cercetare „Managementul riscurilor”, publicat de

IFACI; modelele propuse în cadrul seminarilor IFACI privind riscurile.

Bineînţeles, fiecare serviciu de audit intern trebuie să le analizeze şi să le însuşească.

4. demersul şi planificarea auditului trebuie să fie actualizată în scopul de a integra schimbările privind orientarea, obiectivele şi priorităţile hotărâte de conducerea generală.

5. metodele şi tehnicile utilizate, în cadrul misiunilor de audit, pentru efectuarea unor teste şi validarea expunerii la riscuri, trebuie să ţină seama de importanţa riscurilor şi de probabilitatea apariţiei lor.

6. notele şi rapoartele adresate conducerii trebuie să conţină concluzii asupra managementului riscurilor şi recomandări care vizează reducerea expunerilor la riscuri. Pentru a permite conducerii să-şi însuşească cât mai bine gradul de expunere la risc, este esenţial ca rapoartele de audit să menţioneze importanţa critică şi consecinţele expunerii la riscuri asupra realizării obiectivelor.

7. responsabilul auditului intern trebuie să pregătească, cel puţin anual, o notă asupra capacităţii sistemului de control intern de a atenua riscurile. Această notă va trebui să mai cuprindă comentarii privind importanţa riscurilor care nu fac obiectul nici unei măsuri de atenuare şi acceptarea acestor riscuri de către conducerea generală.

2020

Comunicare şi aprobare

Responsabilul auditului intern trebuie să comunice conducerii generale şi Consiliului programul său de audit şi necesităţile sale în vederea examinării şi aprobării, precum şi

orice modificare importantă care ar putea interveni în cursul exercitării activităţii. Responsabilul auditului intern trebuie de asemenea să semnaleze impactul oricărei

limitări a resurselor sale.

MPA 2020-1

Comunicare şi aprobare


comunică şi solicită aprobarea programului şi a necesităţilor auditului intern. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. responsabilul auditului intern trebuie să supună, anual, conducerii generale pentru aprobare şi Consiliului pentru informare programele de lucru ale auditului intern, estimările de personal şi bugetul financiar. Trebuie de asemenea să semnaleze şi să solicite aprobarea oricărei modificări ulterioare semnificative. Obiectivul programelor de lucru, al estimărilor privind personalul şi bugetul este acela de a informa conducerea generală şi Consiliul privind obiectul (sfera de aplicabilitate) misiunilor de audit intern şi, după caz, limitele care sunt impuse.

2. programele de lucru, bugetele financiare şi de personal aprobate, precum şi toate modificările importante survenite în cursul exercitării activităţii, trebuie să conţină suficiente informaţii pentru a permite Consiliului să stabilească dacă obiectivele şi programele auditului intern corespund celor ale entităţii şi celor ale Consiliului (comunicate în scris. )

2030

Gestionarea resurselor

Responsabilul auditului intern trebuie să asigure ca resursele alocate acestei activităţi să fie adecvate, suficiente şi utilizate în mod raţional în vederea realizării programului

aprobat.

MPA 2030-1

Gestionarea resurselor


evaluează resursele auditului intern. Prezenta MPA nu are ca scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. bugetele de personal şi financiare care includ numărul auditorilor, cunoştinţele şi priceperea şi celelalte competenţe necesare pentru efectuarea lucrărilor, trebuie să fie determinate în funcţie de programele de lucru, de activităţile administrative, de formarea generală şi profesională şi de eforturile de cercetare şi de dezvoltare depuse.

Se recomandă să amintim că bugetul unui serviciu de audit intern realizat în colaborare cu direcţia de resurse umane şi direcţia de control de gestiune, este format din trei elemente:

un buget de personal, cu un plan de recrutare şi o estimare a mobilităţilor externe; un buget financiar, cu credite de studii, onorarii, sub-contractare, mijloace

coordonate cu auditorii externi, cheltuieli de deplasare; un buget logistic (incinte, vehicule)

Acest buget trebuie să permită optimizarea structurii şi armonizării serviciului de audit intern în funcţie de sfera de aplicare a auditului şi constrângerile financiare.

2. responsabilul auditului intern trebuie să stabilească un program de recrutare şi de dezvoltare a resurselor umane ale auditului inter. Acest program trebuie să conţină:

descrieri ale funcţiei, la fiecare nivel de responsabilitate; selectarea persoanelor fizice calificate şi competente în domeniile auditate şi în aplicarea cunoştinţelor de audit intern o formare profesională iniţială şi un program de formare continuă pentru fiecare dintre auditorii interni; stabilirea de obiective de performanţă pentru fiecare auditor intern; consultanţă/consiliere pentru auditorii interni privind performanţele personale şi dezvoltarea lor profesională; reînnoirea echipei de audit intern; evaluarea performanţei fiecărui auditor intern, cel puţin o dată pe an;

Gestionarea procesului de recrutare se realizează în funcţie de planul de independenţă a planului de resurse umane al auditului intern în raport cu cel al entităţii în ansamblul său. Un grad mare de independenţă permite selectarea colaboratorilor cel mai bine adaptaţi şi luarea în considerarea a exigenţelor entităţii cum ar fi redistribuirea competenţelor, priorităţile interne, planul social, grila de salarizare.

MPA 2030-2

Cerinţele SEC în ceea ce priveşte independenţa auditorilor externi pentru a furniza prestări de audit intern.

Traducerea acestei MPA se găseşte sub formă de anexă la sfârşitul Practice Advisory 2030-2 în limba engleză. O MPA specifică situaţiei din Franţa este în curs de elaborare în colaborare cu Comisia Operaţiunilor Bursiere (COB) şi Compania Naţională a Comisarilor de Conturi (CNCC).Aceasta va fi pusă la dispoziţie imediat după ce va fi redactată.

2040Reguli şi proceduri

Responsabilul auditului intern trebuie să stabilească reguli şiproceduri care să furnizeze un cadru activităţii de audit intern.

MPA 2040-1Reguli şi Proceduri


Se recomandă ca auditorii interni să tină cont de următoarele sugestii atunci când stabilesc reguli şi proceduri. Prezenta MPA nu are drept scop expunerea

exhaustivă a punctelor care trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


Forma şi conţinutul regulilor şi procedurilor scrise trebuie să fie adaptate dimensiunii şi structurii auditului intern precum şi complexităţii activităţii sale. Nu este neapărat necesar să se realizeze manuale administrative şi tehnice pentru toate entităţile de audit intern. Un serviciu minor de audit intern poate fi condus în mod informal. Personalul său poate fi condus şi monitorizat zi de zi printr-o supervizare strictă şi note de serviciu. In schimb, într-un serviciu de audit intern mare, este esenţial să existe reguli şi proceduri formalizate şi complete pentru a ghida auditorii către o respectare corespunzătoare a normelor de funcţionare a auditului intern.

Este important să existe protocoale sau proceduri interne pentru auditul intern care să se înscrie în cadrul convenţiilor care guvernează raporturile între societăţile aceluiaşi grup : de exemplu ,existenţa unui audit de grup şi a unor servicii de audit descentralizate în filialele cotate sau participarea minoritara într-o societate filiala. Anumite proceduri cum ar fi validarea programelor şi raportarea, necesită uneori aprobarea Consiliului.

Oricare ar fi dimensiunea şi structura auditului intern, se recomandă, cel puţin, să se realizeze o cartă grafică pentru rapoarte sau orice altă formă de comunicare, în scopul de a păstra pentru orice auditor aceeaşi formă şi pentru a putea fi imediat identificate ca produse ale auditului intern de către orice colaborator al entităţii.

2050Coordonare

Responsabilul auditului intern trebuie să comunice informaţiile şisă coordoneze activităţile cu ceilalţi prestatori interni şi externi de

servicii de asigurare şi de consultanţă/consiliere astfel încât să asigureo acoperire adecvată a activităţilor şi să evite suprapunerile acestora.

MPA 2050-1 Coordonare

Această normă şi MPA aferentă sunt fundamentale. Ele încurajează dialogul şi o relaţie de încredere între auditul intern şi comisarii de conturi; ambii vor avea mai degrabă de câştigat din această cooperare decât de pierdut. Este necesar ca în locuţiunea „ prestatorii interni şi externi de servicii de asigurare şi consultanţă/consiliere „ să se facă diferenţa între comisarii de conturi şi ceilalţi prestatori cu care auditul intern nu are aceeaşi relaţie de încredere si de colaborare.

Totuşi, această relaţie de colaborare şi de schimb de lucrări nu trebuie să conducă la omiterea faptului că informaţii delicate, destinate a priori Conducerii Generale şi/sau Comitetului de Audit, şi care figurează în raportul de audit ar putea fi cunoscute în afara entităţii.

De fapt, rapoartele de audit intern trebuie să fie comunicate Comisarilor de conturi şi justiţiei dacă se solicită acest lucru. Pentru sectorul bancar, regulamentul CRBF 97-02, înlocuit cu regulamentul 2000-01, precizează faptul că rapoartele privind controlul intern şi supravegherea riscurilor sunt transmise în fiecare an Comisarilor de conturi şi secretariatului general al Comisiei Bancare. Este aşadar important ca faptele pe care auditorii interni le cunosc să fie prezentate cu discernământ, prudenţă şi circumspecţie.


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii pentru a coordona activităţile cu ceilalţi intervenienţi însărcinaţi cu misiuni de asigurare şi consultanţă/consiliere. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiectiv doar recomandarea luării în considerare a unui ansamblu de elemente.


1. Activităţile de audit intern şi de audit extern trebuie să fie coordonate pentru ca toate activităţile sau funcţiile să fie auditate fără redundanţă sau suprapunere. Sfera de aplicabilitate a auditului intern implică o abordare sistematică şi metodică pentru evaluarea şi îmbunătăţirea eficacităţii proceselor de management al riscurilor, de control şi de guvernare corporativă . Obiectul a auditului intern este prezentat în Norma 2100. In paralel, verificarea obişnuită a auditorului extern constă în obţinerea unor informaţii probante suficiente pentru formularea unei opinii privind exactitatea şi transparenţa globală a situaţiilor financiare anuale. Sfera activităţilor auditorilor externi este determinată de normele lor profesionale, iar aceştia trebuie să estimeze dacă procedurile aplicate şi probele obţinute sunt suficiente astfel încât să-şi poată exprima propria opinie privind situaţiile financiare anuale.

2. monitorizarea activităţilor de audit extern, inclusiv coordonarea cu auditul intern, este în general responsabilitatea Consiliului. Coordonarea trebuie să fie în sarcina responsabilului auditului intern. Acesta trebuie să beneficieze de sprijinul Consiliului pentru a coordona eficace activităţile de audit.

In Franţa, coordonarea audit intern/audit extern Intr-un anumit număr de societăţi importante este în responsabilitatea Directorului Financiar. Este de dorit coresponsabilul auditului intern, in cadrul responsabilităţilor sale şi dacă poziţia sa ierarhică îi permite acest lucru, să îşi asume realizarea coordonării.

3. Coordonând activitatea auditorilor interni cu cea a auditorilor externi, responsabilul auditului intern trebuie să se asigure, în conformitate cu norma 2100, că prin activitatea efectuată auditorii interni nu repetă activităţile auditorilor externi. ţinând cont de limitele impuse de obligaţiile profesionale şi organizatorice în ceea ce priveşte raportarea conturilor, auditorii interni trebuie să-şi îndeplinească misiunile în aşa fel încât să sprijine la maxim coordonarea şi eficacitatea activităţii de audit.

Este aşadar de dorit ca responsabilul auditului intern să asiste la reuniunile de arbitraj al planificării realizate de comisarii de conturi si la reuniunile de raportare a rezultatelor.

4. Responsabilul auditului intern poate accepta să efectueze activităţi pentru auditorii externi cu ocazia auditării anuale a situaţiilor financiare . Activităţile efectuate de auditorii interni pentru a-i ajuta pe auditorii externi în îndeplinirea responsabilităţilor lor sunt supuse tuturor dispoziţiilor "Normelor pentru Practica Profesională a auditului intern".

5. Responsabilul auditului intern trebuie să evalueze în mod regulat coordonarea între auditorii interni şi cei externi. Aceste evaluări pot de asemenea să includă aprecieri ale eficacităţii şi eficientei globale ale de audit intern şi extern şi ale costului de audit total.

6. Exercitându-şi rolul de supraveghere, Consiliul poate solicita responsabilului auditului intern să evalueze performanţa auditorilor externi. In general, acest tip de evaluare se înscrie în cadrul coordonării activităţilor de audit intern şi de audit extern, care revine responsabilului

auditului intern şi care nu trebuie să se extindă în alte domenii decât la cererea expresă a conducerii generale sau a Consiliului. Evaluarea performanţelor auditorilor externi trebuie să se bazeze pe informaţii eficiente , pentru a justifica concluziile formulate. Evaluarea trebuie să se bazeze pe criteriile descrise de prezenta MPA.

7. Atunci când depăşeşte simpla coordonare cu auditorii interni, evaluarea performanţelor auditorilor externi poate acoperi în esenţă punctele următoare:

• cunoştinţele şi experienţa profesională;

• cunoaşterea sectorului de activitate a entităţii;

• independenţa;

• prestarea de servicii specializate;

• anticiparea necesităţilor entităţii şi a modului de răspuns la acestea;

• continuitatea rezonabilă a personalului de audit

• menţinerea calităţii în relaţiile de lucru;

• respectarea angajamentelor contractuale;

• plusul de valoare adus de serviciile prestate entităţii.8. Responsabilul auditului intern trebuie să comunice conducerii generale şi Consiliului

concluziile privind coordonarea între auditorii interni şi auditorii externi, însoţite, dacă este cazul, de observaţii cu privire la performanţele auditorilor externi.

Auditul intern poate juca de asemenea un rol fundamental informând conducerea generală şi/sau Comitetul de audit în situaţia în care presiunea exercitată asupra comisarilor de conturi şi reducerile de onorarii nu mai permit asigurarea eficacităţii şi a calităţii activităţilor lor de control.

9. Auditorii externi trebuie uneori, conform normelor lor profesionale, să se asigure că anumite informaţii sunt comunicate Consiliului. Responsabilul auditului intern trebuie să consulte auditorii externi pentru o mai bună înţelegere a următoarelor puncte:

• factorii care pot influenta independenţa auditorilor externi;

• punctele slabe semnificative ale controlului intern;

• erorile şi iregularităţile;

• actele ilegale;

• raţionamente ale conducerii şi estimările contabile;

• ajustările importante privind auditul;

• existenţa unui dezacord cu conducerea;

• dificultăţile întâlnite pe parcursul desfăşurării auditului.

10. Coordonarea activităţilor de audit implică reuniuni periodice în vederea discutării subiectelor de interes reciproc;

• Acoperirea domeniilor de audit. Planurile de audit ale auditorilor interni şi externi trebuie să fie discutate pentru a se asigura că este coordonată acoperirea domeniilor de audit şi că este minimizată suprapunerea activităţilor.

Un număr suficient de reuniuni trebuie să fie stabilit în timpul misiunilor de audit. Acest lucru permite coordonarea activităţii de audit şi în special luarea de decizii cu privire la modificarea obiectului programului de lucru ţinând cont de observaţiile şi recomandările generate de activitatea până la acea dată .

• Accesul reciproc la programele şi dosarele de lucru. Poate fi important pentru auditorul intern să aibă acces la programele şi dosarele de lucru ale auditorilor externi pentru a se putea baza pe activitatea acestora din urmă, în exercitarea propriei sale misiuni. Auditorul intern trebuie să respecte caracterul confidenţial al informaţiilor la care are acces. De asemenea, accesul la programele şi dosarele de lucru ale auditorului intern trebuie să fie permis auditorilor externi pentru ca aceştia să se poată baza, în exercitarea funcţiilor lor, pe activitatea auditorilor interni.

• Schimbul de rapoarte de audit şi note de sinteză transmise conducerii. Rapoartele finale de audit intern, observaţiile conducerii şi monitorizările misiunii efectuate de auditorii interni trebuie să fie accesibile auditorilor externi. Aceste rapoarte îi ajută pe auditorii externi să determine şi să ajusteze sfera activităţilor lor.

Facem referire la comentariul formulat la începutul MPA privind necesitatea prezentării faptelor cu discernământ, prudenţă şi circumspecţie.

Este important pentru auditorii interni să aibă acces la notele de sinteză adresate conducerii de către auditorii externi. Punctele abordate în aceste note îi ajută pe auditorii interni să planifice domeniile care urmează a fi auditate cu prioritate, în viitor După verificarea acestor note de către conducere şi Consiliu şi după luarea deciziei de către aceştia privind aplicarea unor măsuri corective, responsabilul auditului intern trebuie să se asigure că au fost luate măsurile adecvate şi că a fost efectuată monitorizarea corespunzătoare.

• Înţelegerea reciprocă a tehnicilor, a metodelor şi a terminologiei auditului.

In primul rând. responsabilul auditului intern trebuie să cunoască sfera activităţii planificate de auditorii externi şi trebuie să se asigure că activitatea auditorilor interni şi externi răspunde cerinţelor Normei 2100. Această asigurare necesită înţelegerea nivelului semnificativ folosit de auditorii externi în programele lor de lucru şi natura, aria de acoperire a procedurilor pe care aceştia le aplică.

În al doilea rând , responsabilul auditului intern trebuie să se asigure că tehnicile, metodele şi terminologia folosite de auditorii externi sunt suficient de bine înţelese de auditorii interni pentru a putea:

1) coordona activitatea auditorilor interni şi externi;

2) evalua activitatea auditorilor externi pentru a se baza pe aceasta,

3) să se asigure că auditorii interni care vor lucra cu auditorii externi pot comunica eficient cu aceştia.

In final. responsabilul auditului intern trebuie să furnizeze suficiente informaţii pentru a permite auditorilor externi să înţeleagă tehnicile, metodele şi terminologia folosite de auditorii interni. In acest fel, se facilitează utilizarea de către auditorii externi a activităţii auditorilor interni. Poate fi mai eficient pentru auditorii interni şi externi să folosească tehnici, metode şi o terminologie similare pentru a-şi coordona eficace activitatea şi pentru ca fiecare să se poată baza pe activitatea celuilalt.

De asemenea , auditorul intern trebuie să se poată baza pe activităţile auditorilor externi. Iată recomandările Comitetului din Bâle în documentul său publicat in august 2001 privind „ Auditul intern în bănci şi relaţiile autorităţilor tutelare cu auditorii”.

Relaţiile între auditorii interni şi auditorii externi:

Principiul nr.16

Autorităţile tutelare trebuie să încurajeze contactele dintre auditorii interni şi externi în vederea unei colaborări pe cât de reală pe atât de eficace.

64. Auditorii externi au o influenţă importantă asupra calităţii controalelor interne, ca urmare a activităţilor lor de audit si mai ales, a întrevederilor cu conducerea generală si Consiliul de Administraţie sau Comitetul de Audit, dacă acestea există , precum şi prin recomandările pe care le fac pentru îmbunătăţirea controlului intern. 65. Se admite în general faptul că auditul intern este util pentru a determina natura, calendarul şi aria de acoperire a procedurilor de audit extern. Totuşi, auditorul extern ( Comisarul de

conturi in Franţa ) este unicul responsabil pentru opinia sa privind situaţiile financiare. Auditorul extern trebuie să fie înştiinţat cu privire la activităţile de audit intern, să aibă acces la rapoartele pertinente si să fie informat cu privire la orice problemă semnificativă care a reţinut atenţia auditorului intern şi care ar putea afecta activitatea sa. In acelaşi timp, auditorul extern trebuie să informeze auditorul intern cu privire la orice problemă importantă care l-ar putea viza.

66. Responsabilul auditului intern trebuie să se asigure că activitatea auditorilor interni nu se suprapune cu cea auditorilor externi. Coordonarea între serviciile de audit necesită întâlniri periodice pentru a discuta chestiuni de interes comun, pentru a schimba rapoarte de audit şi note ale direcţiei şi pentru a decide tehnicile, metodele si terminologia comună.

Cooperare intre autorităţile tutelare,auditorii externi şi auditorii interni.

Principiul nr.18

Cooperarea între activitatea tutelara, auditorul extern si auditorul intern are drept obiectiv ca toate părţile implicate să realizeze activităţi mai raţionale şi mai eficace în vederea optimizării controlului.Cooperarea se poate materializa prin reuniuni periodice.

76. Obiectul cooperării este ca toţi intervenienţii implicaţi să aibă o contribuţie mai eficientă şi mai eficace în vederea optimizării controlului autorităţii tutelare chiar dacă fiecare parte implicată îşi asumă mai întâi propriile responsabilităţi.

77. In anumite ţări, această cooperare se manifestă prin întâlniri periodice. Este posibil ca autoritatea tutelară să considere oportună prezenţa Conducerii Generale la aceste întâlniri. In cursul acestor reuniuni, fiecare aduce informaţii cu privire la domeniile de interes comun şi o atenţie deosebită este acordată domeniilor care vor fi controlate şi a calendarului de lucru. Cele trei părţi prezente discută de asemenea despre punerea in practică de către entitate a recomandărilor auditorilor interni si externi.

78. Cooperarea presupune o relaţie de încredere intre bancă, auditorul extern şi autoritatea tutelară. Fără încredere, cooperarea nu este posibilă. In consecinţă, autoritatea tutelară aşteaptă de la Conducerea Generală a băncii să fie informată cu privire la deciziile, faptele sau evoluţiile care ar putea avea o influenţă semnificativă asupra situaţiei băncii.

Sunt în curs de elaborare împreună cu CNCC observaţii complementare.

MPA 2050-2Recurgerea la serviciile de audit extern

Traducerea acestei MPA se găseşte ca anexă după Practice Advisory 2050-2 înlimba engleză.

0 MPA specifică situaţiei din Franţa este în curs de elaborare împreună cu Comisia Operaţiunilor Bursiere (COB) şi Compania Naţională a Comisarilor de Conturi (CNCC).

Aceasta vă va fi pusă la dispoziţie după ce va fi redactată.

2060

Rapoartele transmise Consiliului şi conducerii generale

Responsabilul auditului Intern trebuie să informeze periodic conducerea generala şi Consiliul cu privire la misiunile, competenţele şi responsabilităţile auditului intern,

precum şi cu privire la rezultatele semnificative obţinute faţă de programul prevăzut.Aceste rapoarte trebuie de asemenea să menţioneze expunerile la risc , controlul şi

guvernarea corporativă , precum şi alte subiecte solicitate de către Consiliu şi conducerea generală .

MPA 2060-1Rapoartele transmise Consiliului şi conducerii generale


Se recomandă ca auditorii interni să ţină cont de sugestiile următoare atunci când înaintează rapoarte Consiliului sau direcţiei generale. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiectiv recomandarea luării în considerare a unui ansamblu de elemente.


1. Responsabilul auditului intern trebuie să prezinte rapoarte periodice de activitate conducerii generale şi Consiliului,pe tot parcursul anului Rapoartele de activitate trebuie să sublinieze constatările cele mai importante obţinute în timpul auditurilor şi recomandările aferente. Aceste rapoarte trebuie să permită de asemenea informarea conducerii generale şi a Consiliului cu privire la orice modificare importantă faţă de programul de lucru, de bugetele de personal şi financiare . Motivele acestor modificări trebuie să fie justificate .

2. Constatările de audit semnificative corespund unor situaţii care, în opinia responsabilului auditului intern, ar pute fi nefaste pentru entitate. Constatările de audit importante pot fi reprezentate de iregularităţi, acte ilegale, erori, ineficienţă, risipă, ineficacitate, conflicte de interese şi puncte slabe de control După examinarea acestor constatări şi recomandări cu conducerea generală, responsabilul auditului intern trebuie să le comunice Consiliului, indiferent dacă acestea au fost sau nu soluţionate.

3. Conducerea are responsabilitatea de a decide măsurile corespunzătoare privind constatările importante semnalate şi recomandările formulate . Conducerea generală poate decide să-şi asume riscul de a nu remedia situaţiile raportate din pricina costurilor lor sau a altor considerente. Consiliul trebuie să fie informat cu privire la dispoziţiile luate de conducerea generală privind constatările şi recomandările semnificative din cadrul misiunii de audit

4. Responsabilul auditului intern trebuie să aprecieze dacă este cazul să informeze Consiliul cu privire la constatările semnificative ale misiunii de audit şi recomandările care i-au fost deja semnalate şi pentru care conducerea generală şi Consiliul au hotărât să să-şi asume riscul de a nu remedia situaţia raportată (sau de a nu aplica măsurile corective specifice situaţiilor raportate) Această comunicare poate fi considerată deosebit de necesară dacă au avut loc schimbări în cadrul entităţii, în cadrul Consiliului sau al conducerii generale.

In acest sens, auditul intern trebuie să dispună de mijloacele necesare pentru a se orienta către un organ independent : Consiliul şi/sau comitetul de audit, în cazul in care consideră că direcţia generală nu ia măsurile adecvate. Facem referire la MPA 2600-1 care tratează acest punct special.

5. In plus faţă de subiectele de mai sus, rapoartele de audit mai trebuie să facă o comparaţie:

între realizări şi obiectivele şi programele de lucru ale auditului intern;

între cheltuielile şi bugetul financiar.Ele trebuie să explice motivele pentru variaţiile semnificative şi să indice toate măsurile luate sau care vor fi luate.

2100 – Natura Activităţii

AUDITUL INTERN EVALUEAZĂ SISTEMELE DE MANAGEMENT AL RISCURILOR, DE CONTROL Şl DE GUVERNARE CORPORATIVĂ Şl CONTRIBUIE LA ÎMBUNĂTĂŢIREA

ACESTORA

MPA2100-INatura activităţilor


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când determină natura activităţii de audit intern care va fi desfăşurată. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luării în considerare a unui ansamblu de elemente.


1. Natura activităţilor de audit intern se defineşte printr-o abordare sistematica şi metodică de evaluare şi îmbunătăţire a relevanţei şi a eficacităţii procesului de management al riscurilor, de control şi de guvernare corporativă , precum şi prin nivelul de calitate atins în îndeplinirea responsabilităţilor încredinţate. Obiectivul evaluării pertinenţei proceselor de management al riscurilor, de control şi de guvernare a întreprinderii este de a oferi o asigurare rezonabilă că aceste procese funcţionează după cum s-a prevăzut şi că vor permite entităţii să-şi atingă obiectivele şi scopurile propuse. Un alte obiectiv este acela de a propune recomandări pentru îmbunătăţirea modului de funcţionare a entităţii, atât în ceea ce priveşte eficienţa cât şi eficacitatea. Este de asemenea posibil ca direcţia generală şi Consiliul să indice orientări generale cu privire la sfera de aplicabilitate şi la activităţile care vor fi auditate.

2. Se poate vorbi despre o relevanţă a proceselor de management al riscurilor, de control şi de guvernare corporativă dacă conducerea le-a conceput şi organizat astfel încât să ofere o asigurare rezonabilă că obiectivele şi scopurile fixate vor fi atinse în mod eficient şi economic. 0 funcţionare eficientă permite atingerea cu precizie a obiectivelor şi a scopurilor fixate, la data fixată şi la un preţ minim. 0 funcţionare economică permite atingerea obiectivelor şi a scopurilor cu o utilizare minimă a resurselor (costuri minime) în funcţie de expunerea la risc . 0 asigurare rezonabilă este obţinută dacă sunt luate măsurile cele ai eficace şi economice începând cu conceperea şi aplicarea proceselor pentru reducerea riscurilor şi pentru limitarea neregularităţilor anticipate la un nivel tolerabil. Astfel, conceperea proceselor începe prin determinarea obiectivelor şi a scopurilor. Apoi este necesar să se coreleze conceptele, diversele componente, activităţile şi persoanele astfel încât toate acestea să participe la realizarea obiectivelor şi a scopurilor fixate.

3. Se poate vorbi despre o eficacitate a proceselor de management al riscurilor, de control şi guvernare corporativă în cazul în care conducerea coordonează aceste procese astfel încât să se obţină asigurarea rezonabilă că obiectivele şi scopuri!e entităţii vor fi atinse. Pe lângă realizarea obiectivelor şi a activităţilor prevăzute, coordonarea presupune şi autorizarea tranzacţiilor şi a activităţilor, monitorizarea rezultatelor obţinute şi verificarea faptului că procesele entităţii funcţionează aşa cum s-a prevăzut.

4. In general, conducerea este responsabilă de dezvoltarea entităţii în faţa acţionarilor celorlalte părţi implicate, agenţiilor de reglementare şi publicului pe care trebuie să-l

informeze cu privire la acţiunile sale, gestionarea sa şi rezultatele entităţii.

Mai precis, obiectivul principal al procesului de management este acela de a obţine:

• informaţii financiare şi operaţionale relevante şi fiabile ;

• o utilizare eficace şi eficientă a resurselor entităţii;

• protejarea activelor entităţii;• respectarea legilor, a reglementărilor, a normelor de etică şi de conduită în afaceri, precum

şi a contractelor;• identificarea expunerilor la risc existente şi utilizarea unor strategii eficace pentru a le

controla;

• obiectivele şi scopurile fixate pentru operaţiuni sau proiecte.5. Conducerea planifică, organizează şi coordonează desfăşurarea acţiunilor necesare care să

ofere asigurarea rezonabilă că obiectivele şi scopurile stabilite vor fi atinse. Conducerea le examinează periodic şi îşi modifică procesele pentru a ţine cont de schimbările condiţiilor interne şi externe. Conducerea stabileşte şi menţine o cultură a întreprinderii şi un climat etic ce înţelege existenţa expunerilor la risc şi implementează eficient strategii de risc pentru controale .

6. Orice măsură luată de conducere pentru a creşte probabilitatea că obiectivele şi scopurile fixate vor fi atinse reprezentă un control. Controalele pot fi preventive (pentru a preveni apariţia oricărui eveniment nedorit), de detectare (pentru a identifica evenimentele nedorite care s-au produs şi a corecta efectele acestora), sau de direcţionare (pentru o provoca şi încuraja apariţia unui eveniment dorit).

Conceptul unui sistem de control face trimitere la un ansamblu integrat de componente şi activităţi utilizate de către o entitate pentru a-şi atinge obiectivele şi scopurile.

7. Auditorii interni examinează şi evaluează întregul proces de planificare, de organizare şi de gestionare pentru a stabili dacă există o asigurare rezonabilă că obiectivele şi scopurile vor fi atinse. Luând în considerare posibila evoluţie, auditorii interni trebuie să fie atenţi la schimbările condiţiilor interne sau externe, reale sau potenţiale, care ar putea afecta capacitatea sistemului de control de a oferi o asigurare de perspectivă. In acest context, auditorii interni trebuie să acorde atenţie riscurilor unei eventuale deteriorări a performanţei.

8. Aceste evaluări de audit intern permit în mod global obţinerea informaţiilor necesare aprecierii procesului de management în ansamblul său. Toate sistemele de activitate, procesele, operaţiunile, funcţiile şi activităţile din cadrul entităţii sunt supuse evaluărilor auditului intern. Un domeniu exhaustiv al activităţilor de audit intern trebuie să permită obţinerea unei asigurări rezonabile că:

• sistemul de management al riscurilor este eficace;

• sistemul de control intern este adecvat şi eficient;•procesul de conducere este eficace şi răspunde următoarelor obiective: definirea şi păstrarea valorilor, fixarea obiectivelor, monitorizarea activităţilor şi a performanţelor şi definirea modurilor de raportare.

MPA 2100-2Securitatea informaţiei


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când evaluează activităţile de guvernare a întreprinderii în ceea ce priveşte securitatea informaţiei. Prezenta MPA nu are drept scop prezentarea tuturor procedurilor ce trebuie aplicate în cadrul unei misiuni de audit sau de consultanţă/consiliere privind securitatea informaţiei. Ea are ca obiectiv doar descrierea responsabilităţilor care ar trebui încredinţate auditorilor în plus faţa de cele care revin Consiliului sau conducerii.


1. Auditorii interni trebuie să se asigure că atât conducerea, Consiliul, sunt conştienţi de responsabilitatea conducerii în ceea ce priveşte securitatea informaţiei. Această responsabilitate vizează toate informaţiile esenţiale pentru entitate, oricare ar fi suportul lor de păstrare.

2. Responsabilul auditului intern trebuie să se asigure că auditul intern dispune de sau are acces la resursele adecvate pentru a evalua securitatea informaţiei şi expunerile la risc aferente. Acestea din urmă includ atât expunerile la risc interne cât şi cele externe şi, mai ales, cele aferente relaţiilor stabilite de entitate cu alte entităţi externe.

3. Auditorii interni trebuie să se asigure că managementul a furnizat Consiliului, comitetului de audit asigurarea că auditul intern va fi rapid informat cu privire la orice situaţie în care securitatea informaţiei a fost afectată sau care ar putea constitui o ameninţare pentru entitate.

4. Auditorii interni trebuie să evalueze gradul de eficacitate a măsurilor luate astfel încât să se poată preveni, detecta şi atenua atacurile apărute în trecut, precum şi orice incident sau tentativă de atac care s-ar putea produce în viitor. Auditorii interni trebuie să confirme că au fost bine informate atât Consiliul, cât şi comitetul de audit cu privire la ameninţările sau incidentele apărute, punctele slabe exploatate şi măsurile corective.

5. Auditorii interni trebuie să evalueze periodic sistemul de securitate a informaţiei din entitate şi să recomande, dacă este cazul, îmbunătăţiri sau efectuarea unor noi controale şi luarea de noi măsuri de siguranţă. După această evaluare, un raport de asigurare trebuie să fie prezentat membrilor Consiliului, . Aceste evaluări pot face obiectul misiunilor distincte şi izolate sau pot fi integrate în alte misiuni realizate în cadrul altor activităţi de audit sau în cadrul planului de audit aprobat.

MPA 2100-3Rolul auditului intern în procesul de management al riscurilor


Definiţia auditului intern enunţă faptul că "ajută această entitate să îşi atingă obiectivele evaluând, printr-o abordare sistematică şi metodică, procesele sale de management al riscurilor, de control, şi de guvernare a întreprinderii, şi făcând propuneri pentru a le consolida eficacitatea". Respectarea Normelor presupune faptul că auditorii interni joacă un rol cheie în procesul de management al riscurilor unei entităţi. Obiectul prezentei MPA este acela de a ajuta auditorii interni să-şi definească rolul în procesul de management al riscurilor dintr-o entitate şi să respecte Normele. Poate fi necesar să se ţină cont de alte elemente decât cele cuprinse în prezenta Modalitate Practică de Aplicare.


1. Gestionarea riscurilor este o responsabilitate majoră a conducerii care trebuie să se asigure, pentru a-şi atinge obiectivele, de implementarea şi buna funcţionare a proceselor de management al riscurilor. Este obligaţia Consiliului şi a comitetului de audit de a se asigura de existenţa proceselor adecvate, suficiente şi eficace de management al riscurilor. Rolul auditorilor interni constă în a asista atât conducerea cât şi comitetul de audit, examinând şi evaluând procesele de management al riscurilor puse în practică de conducere, verificând dacă sunt suficiente şi eficace, elaborând apoi rapoarte şi recomandări în vederea îmbunătăţirii acestora. Conducerea şi Consiliul sunt responsabile de procesele de control şi de management al riscurilor din cadrul entităţii lor. Totuşi, auditorii interni pot, în cadrul unei misiuni de consultanţă/consiliere , să ajute organizaţia să identifice, să evalueze şi să implementeze un sistem de management al riscurilor şi al controalelor care să răspundă acestor riscuri.

2. Evaluarea proceselor de management al riscurilor entităţii şi informarea cu privire la aceste evaluări fac parte în mod normal din obiectivele prioritare ale auditului. Trebuie să se facă deosebire între evaluarea procesului de management al riscurilor şi analiza riscurilor pe care auditorii trebuie să o efectueze pentru a-şi planifica activităţile. Totuşi, informaţiile obţinute dintr-un proces complet de management al riscurilor, şi mai ales identificarea subiectelor de interes pentru conducere şi Consiliu, îl pot ajuta pe auditorul intern să îşi planifice activităţile de audit.

3. Responsabilul auditului intern trebuie să cunoască aşteptările de la conducerii şi Consiliului cu privire la rolul auditului intern în procesul de management al riscurilor entităţii. Acest rol va fi precizat în cartele auditului intern şi ale comitetului de audit.

4. Responsabilităţile şi activităţile tuturor persoanelor care intervin în grup sau individual în procesul de management al riscurilor entităţii trebuie să fie coordonate. Aceste responsabilităţi şi activităţi trebuie să se regăsească în mod corect prin planurile strategice ale entităţii, soluţiile Consiliului ,decizii ale conducerii, procedurile operaţionale şi alte instrumente care ţin de guvernarea corporativă . De exemplu, activităţile şi responsabilităţile cuprind:• definirea orientărilor strategice, care pot fi în sarcina Consiliului sau a unui comitet;• responsabilităţile legate de riscurile pot să revină conducerii generale • acceptarea riscurilor reziduale, care poate fi încredinţată cadrelor de conducere;• operaţiunile continue de identificare, evaluare, atenuare şi monitorizare, care pot fi delegate personalului de execuţie;• evaluările periodice şi realizarea unei asigurări trebuie să fie în sarcina auditului intern.

5. Se aşteaptă din partea auditorilor interni să identifice şi să evalueze expunerile la risc semnificative în cadrul activităţilor lor curente.

6. Rolul auditului intern în procesul de management al riscurilor unei entităţi poate evolua în timp şi se poate regăsi sub următoarele forme:

• nici o intervenţie a auditului intern;• auditarea procesului de management al riscurilor în cadrul programului de audit intern;• sprijin activ şi continuu, şi participare la procesul de management al riscurilor, mai ales în

cadrul comitetelor de supraveghere şi de monitorizare şi în cadrul emiterii de rapoarte privind acest proces;

• gestionarea şi coordonarea procesului de management al riscurilor.

7. In definitiv, cadrelor de conducere şi comitetului de audit le revine sarcina de a determina rolul auditului intern în procesul de management al riscurilor. Viziunea conducerii asupra rolului auditului intern va depinde, după cât se pare, de factori precum cultura entităţii, competenţa auditorilor interni, conjunctura locală şi practicile ţării.

8. Alte linii directoare figurează în următoarele Modalităţi Practice de Aplicare:• Modalitatea Practică de Aplicare nr. 2100-4. Rolul auditului intern în lipsa procesului de

management al riscurilor.• Modalitatea Practică de Aplicare nr. 1130.A1-2. Responsabilităţile exercitate de auditul

intern în baza altor funcţii.• Modalitatea Practică de Aplicare nr. 2110-1. Evaluarea procesului de management al

riscurilor.• Modalitatea Practică de Aplicare nr. 2010-2. Luarea în considerare a riscurilor la

elaborarea programului de audit.

MPA2100-4Rolul auditului intern în absenţa procesului de

management al riscurilor


Definiţia auditului intern enunţă faptul că "ajută organizaţia să îşi atingă obiectivele evaluând, printr-o abordare sistematică şi metodică, procesele sale de management al riscurilor, de control, şi de guvernare a întreprinderii, şi făcând propuneri pentru a le consolida eficacitatea".

Respectarea Normelor pentru Practica Profesională a auditului intern presupune faptul ca auditorii interni să joace un rol cheie în procesul de management al riscurilor unei entităţi. Totuşi, anumite entităţi nu dispun de nici un proces real de gestionare a riscurilor. Obiectul prezentei MPA este acela de a ajuta auditorii interni să-şi definească rolul în cadrul unei entităţi în care nu există un astfel de proces. Poate fi necesar să se ţină cont de alte elemente decât cele cuprinse în prezenta Modalitate Practică de Aplicare.


1. Managementul riscurilor este o responsabilitate majoră a conducerii care trebuie să se asigure, pentru a-şi atinge obiectivele, de implementarea şi buna funcţionare a proceselor de management al riscurilor. Consiliul şi comitetul de audit trebuie să se asigure de aplicarea proceselor adecvate, suficiente şi eficace de management al riscurilor. Rolul auditorilor interni constă în a asista atât conducerea cât şi comitetul de audit, examinând şi evaluând procesele de management al riscurilor , verificând suficienţa şi eficacitatea lor, elaborând apoi rapoarte şi recomandări în vederea îmbunătăţirii acestora. Conducerea şi Consiliul sunt responsabile de procesele de control şi de management al riscurilor din cadrul entităţii lor. Totuşi, auditorii interni pot, în cadrul unei misiuni de consultanţă/consiliere , să ajute organizaţia să identifice, să evalueze şi să implementeze un sistem de management al riscurilor şi de control care să răspundă acestor riscuri.

2. Evaluarea proceselor de management al riscurilor entităţii şi informarea cu privire la aceste evaluări fac în mod normal parte din obiectivele prioritare ale auditului. Trebuie să se facă deosebire între evaluarea proceselor de management al riscurilor adoptate de către conducere şi analiza riscurilor pe care auditorii trebuie să o efectueze pentru a-şi întocmi programul de activitate. Totuşi, informaţiile extrase dintr-un proces complet de management al riscurilor, inclusiv identificarea subiectelor de interes pentru conducere şi Consiliu, îl pot ajuta pe auditorul intern în planificarea activităţilor de audit.

3. Responsabilul auditului intern trebuie să solicite informaţii de la conducere şi Consiliu cu privire la rolul auditului intern în procesul de management al riscurilor entităţii. Acest rol va fi precizat în cartele auditului intern şi ale comitetului de audit.

4. în cazul în care organizaţia nu a adoptat un proces de management al riscurilor, auditorul intern trebuie să atragă atenţia conducerii asupra acestui aspect şi să formuleze sugestii în vederea adoptării unui astfel de proces. Auditorul intern trebuie să consulte conducerea şi Consiliul cu privire la rolul auditului intern în procesul de management al riscurilor. Cartele auditului intern şi ale comitetului de audit trebuie să indice rolul lor în acest proces.

5. Auditorii interni pot, dacă li se solicită acest lucru, să joace un rol activ participând la iniţierea unui proces de management al riscurilor în cadrul entităţii. In afara misiunii lor clasice de asigurare, aceştia îşi asumă un rol de consultanţă/consiliere în vederea îmbunătăţirii proceselor fundamentale. Dacă această asistenţă depăşeşte cadrul misiunilor de asigurare şi de consiliere încredinţate în general auditorilor interni, independenţa auditorilor poate fi afectata. In acest caz, trebuie ca ei să respecte obligaţia de informare prevăzută de Norme. Directive complementare se găsesc şi în Modalitatea Practică de Aplicare nr. 1130.A1 -2 referitoare la responsabilităţile exercitate de auditul intern în baza altor funcţii.

6. Este necesar să se facă o diferenţă între rolul activ al auditorului în implementarea şi gestionarea unui dispozitiv de management al riscurilor şi rolul de "responsabil al riscurilor". Pentru a evita ca responsabilitatea riscurilor să le fie atribuită, auditorii interni trebuie să obţină de la conducere confirmarea că aceasta urmăreşte identificarea, atenuarea şi monitorizarea riscurilor şi că îşi asumă responsabilitatea acestor acţiuni.

7. In concluzie, auditorii interni pot facilita sau permite aplicarea proceselor de management al riscurilor, dar aceasta nu înseamnă că trebuie să îşi asume responsabilitatea pentru managementul riscurilor identificate.

MPA 2100-5Aspecte juridice ale evaluării programelor de conformitate Evaluarea

programelor de "compliance" (conformitate cu reglementările) - aspecte juridice


Se recomandă auditorilor interni să ţină cont de următoarele sugestii atunci când evaluează programele de conformitate ale unei entităţi. Prezenta MPA nu are ca scop prezentarea tuturor procedurilor care pot fi necesare în furnizarea de asigurări suficiente .

Respectarea Modalităţilor Practice de Aplicare este facultativă. Avertisment - Auditorii interni trebuie să consulte un jurist cu privire la orice problemă de ordin juridic, reglementările putând fi foarte diferite de la o ţară la alta. Îndrumările cuprinse în prezenta Modalitate Practică de Aplicare se bazează în principal pe sistemul juridic din Statele Unite.

1. Obiectul programelor de conformitate constă în sprijinirea entităţilor în prevenirea infracţiunilor comise neintenţionat de către personal, identificarea actelor ilegale şi descurajarea oricărei infracţiuni comise cu bună ştiinţă de către personal. Aceste programe facilitează de asemenea justificarea cererilor de plată a despăgubirilor , delimitarea responsabilităţilor conducerii şi a resturilor personalului crearea sau consolidarea identităţii corporative şi aprecierea corectitudinii despăgubirilor. Pentru a evalua programele de conformitate ale unei entităţi, auditorii interni trebuie să examineze următoarele puncte care au ca obiect garantarea eficienţei acestor programe.

2. Organizaţia trebuie să stabilească, pentru personal şi ceilalţi agenţi, standarde şi proceduri de conformitate care vor permite reducerea , în mod rezonabil, a riscului de conduită ilegală .• Organizaţia trebuie să elaboreze un cod de conduită scris, indicând clar activităţile

interzise. Acest cod trebuie să fie redactat într-un limbaj uşor de înţeles şi lipsit de jargoane juridice.

• Un bun cod de conduită furnizează angajaţilor îndrumări în problemele relevante . Inserarea unor "check-list-uri şi a unei secţiuni de întrebări-răspunsuri, precum şi trimiterea la alte surse conţinând informaţii mai ample, vor face acest cod mai uşor de utilizat .

• Organizaţia trebuie să realizeze o organigramă care să permită identificarea membrilor Consiliului de Administraţie a conducerii generale, a responsabilului cu conformitatea şi a personalului însărcinat cu implementarea programelor de conformitate.

• Un cod de conduită poate mări riscul comiterii de activităţi ilegale sau contrare eticii de către angajaţi dacă aceştia îl consideră formalist şi inechitabil, sau dimpotrivă poate reduce acest risc dacă ei îl consideră la obiect şi echitabil.

• Societăţile care folosesc un sistem de recompense financiare pentru comportamente ilegale sau aparent contrare eticii creează un mediu puţin propice respectării reglementărilor.

• Societăţile internaţionale trebuie să instaureze un program de conformitate la scară mondială, nu doar pentru anumite zone geografice . Aceste programe trebuie să ţină cont de condiţiile legislaţiile şi reglementările naţionale.

3. Se recomandă desemnarea în cadrul entităţii a unuia sau a mai multor angajaţi cu funcţie de conducere care să supravegheze conformitatea cu normele şi procedurile .• colaboratorii cu funcţie de conducere sunt persoanele care joacă un rol important în

entitate sau în procesul de luare a deciziilor.• Angajaţii cu funcţii de conducere pot fi administratorii, un director, un preşedinte

persoanele cu funcţii de conducere responsabile de o ramură sau de o parte importantă din cadrul entităţii cum ar fi vânzări, administraţie sau finanţe, precum şi persoanele care au un rol important în cadrul entităţii.

• Directorul General şi ceilalţi membri ai comitetului executiv trebuie să se implice în mare

măsură în program pentru a asigura eficacitatea acestuia.• In anumite entităţi, atribuirea responsabilităţii pentru conformitate coordonatorului

departamentului juridic al societăţii poate determina personalul să creadă că managementul nu este interesat de program şi că acesta din urmă nu prezintă importanţă decât pentru departamentul juridic şi nu pentru întreaga entitate. In alte entităţi, aceeaşi distribuţie poate avea efectul invers.

• In marile societăţi care cuprind mai multe unităţi de profit, este indicat să se desemneze în fiecare dintre acestea un angajat cu funcţie de răspundere l responsabil de respectarea conformităţii .

• Nu este suficient să se creeze postul de responsabil cu conformitatea şi să se selecteze ceilalţi membri ai echipei. Societatea trebuie de asemenea să se asigure că aceştia au autoritatea şi resursele necesare exercitării misiunii lor. In plus, trebuie ca ei să aibă acces la conducerea generală. Acest responsabil cu conformitatea trebuie să fie direct subordonat directorului general .

4. Organizaţia nu trebuie să delege competenţe nelimitate importante unor persoane despre care ştie, sau ar trebui să ştie, că ar putea comite activităţi ilicite.• Societăţile trebuie să verifice antecedentele oricărui candidat la un post, indiferent de

nivelul acestuia şi să se asigure că nu a comis nici o ilegalitate, în special în sectorul de activitate al societăţii.

• Formularele de candidatură ar trebui să cuprindă o rubrică privind cazierul judiciar. Va trebui ca membrii profesiunilor reglementate să fie chestionaţi cu privire la orice antecedent disciplinar.

• Se recomandă ca societatea să nu prejudicieze în nici un fel viata privată a angajaţilor şi a candidaţilor, conform legilor aplicabile în acest domeniu. Numeroase ţări au o legislaţie care limitează informaţiile pe care o societate le poate obţine în cadrul verificărilor privind personalul.

5. Organizaţia trebuie să asigure o bună comunicare a normelor şi a procedurilor sale către întregul personal şi agenţii săi . In acest sens, ea poate, de exemplu, solicita participarea acestora la programe de formare sau poate distribui documente prin care acestora li se explică ce se aşteaptă de la ei. • Eficacitatea unui program de conformitate va depinde de modul în care este prezentat

angajaţilor . În general, comunicarea de tip interactiv este mai eficace decât o expunere formală. In acelaşi timp, programele comunicate personal funcţionează în general mai bine decât programele prezentate în întregime sub formă de video sau joc. Organizarea de sesiuni periodice este mai eficace decât o prezentare unică.

• Cele mai bune programe includ o instruire care permite salariaţilor să experimenteze noi tehnici şi să exploateze noi informaţii. Acest tip de instruire, special adaptat pentru conducere, este de asemenea eficace pentru angajaţii de la toate nivelurile.

• Codul de conduită şi manualul personalului trebuie să fie redactate astfel încât să faciliteze înţelegerea. Modalităţi alternative de prezentare a codului şi a manualului trebuie să fie adoptate şi aplicate pentru colaboratorii care nu au un nivelul necesar de studii.

• Conformitatea cu reglementările trebuie să facă obiectul consilierilor, declaraţiilor şi avertismentelor distribuite angajaţilor pe diverse suporturi: buletine, afişe, curier electronic, chestionare şi prezentări.

• Se recomandă ca programul să fie prezentat în mai multe etape diferitelor categorii de personal, având informaţiile prezentate pe punctele care sunt importante pentru fiecare grup. Informaţiile distribuite trebuie să fie adaptate fişelor posturilor specifice grupului avut în vedere. Trebuie, de exemplu, să se comunice informaţii cu privire la protecţia mediului înconjurător angajaţilor din serviciile de fabricare sau gestiune imobiliară care sunt mai predispuşi să comită sau să identifice o încălcare a legislaţiei sau a regulamentelor aplicabile în acest domeniu. In schimb, în cazul unui grup care nu exercită astfel de responsabilităţi, această formare se poate dovedi dăunătoare şi poate inspira doar indiferenţă, sau îi poate face pe salariaţi să creadă că programul este prost conceput.

• Se recomandă să se acorde noilor angajaţi , în cadrul programului de îndrumare care le este destinat, o instruire de bază privind conformitatea cu reglementările. Ulterior , aceştia vor putea fi incluşi în acţiunile întreprinse în cadrul serviciului lor.

• Agenţii din cadrul entităţii trebuie să fie invitaţi la o prezentare special destinată lor. Este important ca o societate să comunice agenţilor săi valorile fundamentale ale entităţii şi să-i informeze cu privire la faptul că acţiunile în care aceştia reprezintă societatea vor face obiectul unei monitorizări în cadrul unui program de conformitate din moment ce aceştia angajează societatea. Organizaţia trebuie să fie pregătită să înceteze relaţiile cu agenţii care nu aderă la principiile sale în ceea ce priveşte conceptul de conformitate .

• Entităţile trebuie să solicite periodic de la salariaţii lor o declaraţie scrisă care să ateste că aceştia cunosc codul de conduită al societăţii, că l-au înţeles şi că îl respectă. Aceste informaţii trebuie să fie comunicate anual conducerii generale şi Consiliului de Administraţie.

• Toate documentele referitoare la etică - coduri de conduită, politici /manuale ale de Resurse Umane, etc. - trebuie să fie puse la dispoziţia fiecărui salariat. Se recomandă cu tărie adoptarea unui mod de acces permanent cum ar fi difuzarea pe intranet.

6. Organizaţia trebuie să ia măsuri adecvate pentru a asigura respectarea normelor sale. De exemplu, aceste măsuri includ utilizarea sistemelor de monitorizare şi de audit permiţând detectarea infracţiunilor comise de angajaţi şi agenţi, precum şi prezentarea pentru angajaţii şi agenţii din cadrul entităţii a unui sistem prin care aceştia pot raporta, fără teama de măsuri coercitive , infracţiunile comise de alte persoane din cadrul entităţii.• Organizaţia trebuie să asigure resursele adecvate pentru planul de audit intern ţinând cont

de dimensiunile societăţii şi de dificultatea sarcinilor de audit. Planul de audit trebuie să fie axat pe operaţiunile specifice fiecărei ramuri de activitate a entităţii.

• Planul de audit trebuie de asemenea să cuprindă o expunere a programului de conformitate al entităţii şi a procedurilor sale, expunere al cărei obiect principal va fi să se verifice dacă documentele scrise sunt eficiente , dacă comunicările au fost receptate de angajaţi , dacă au fost corect soluţionate situaţiile în care s-au identificat proceduri încălcate dacă problemele de disciplină au fost rezolvate în mod echitabil, dacă nu s-au luat măsuri coercitive împotriva persoanelor care au raportat infracţiunile comise şi dacă serviciul de conformitate şi-a îndeplinit responsabilităţile. Auditorii trebuie să examineze programul de conformitate, să identifice posibilele îmbunătăţiri şi să solicite opinia angajaţilor cu privire la acest punct.

• Fiecare program trebuie să cuprindă un telefon de urgenţă sau alt sistem de comunicare prin care angajaţii pot raporta activităţile pe care le consideră ilegale sau contrare eticii sau codului de conduită al entităţii. Este necesar ca personalul să aibă libertatea de a dezvălui astfel de încălcări fără teama de măsuri coercitive .

• In momentul în care responsabilitatea monitorizării telefonului de urgenţă este încredinţată unui avocat, secretul profesional al clienţilor săi sau cel cuprins în dosarele de lucru este mai bine păstrat. Totuşi, rezultatele unui studiu arată că angajaţii nu au deloc încredere în numerele de urgenţă gestionate de serviciul juridic sau de un prestator extern. Acest studiu a mai arătat că ei au şi mai puţină încredere în rapoartele emise sau apelarea la un mediator extern. Liniile telefonice de urgenţă gestionate de un reprezentant intern al entităţii şi sprijinite de o politică de evitare a măsurilor coercitive sunt cele care le inspiră cea mai mare încredere.

• Apelarea la un mediator intern este mai eficace dacă acesta este direct subordonat unui responsabil cu conformitatea sau Consiliului de Administraţie, dacă acesta poate păstra anonimatul avertizorilor , dacă le oferă consultanţă/consiliere şi dacă efectuează o monitorizare cu scopul de a se asigura că nu s-au luat măsuri coercitive împotriva lor . De altfel, în unele legislaţii , mediatorul beneficiază de protecţie şi nu este obligat să dezvăluie informaţiile confidenţiale care i-au fost comunicate.

• Chestionarul asupra eticii este un mod eficace de a detecta actele ilegale sau contrare eticii. Chestionarul este destinat fiecărui angajat al entităţii, care trebuie să indice dacă are cunoştinţă de informaţii privind luarea de mită, "micile atenţii" sau alte nereguli Pentru a oferi toate garanţiile de protecţie, chestionarul trebuie să fie trimis de consilierul juridic al entităţii, să menţioneze o clauză de confidenţialitate să precizeze că angajatul trebuie să completeze, să semneze şi să înapoieze chestionarul fără a păstra o copie, şi să indice faptul că organizaţia îşi rezervă dreptul de a divulga informaţiile furnizate fie autorităţilor publice, fie justiţiei. De reţinut că această confidenţialitate a informaţiilor nu mai este

garantată în cazul în care chestionarul este divulgat unor terţe părţi.7. Respectarea regulilor trebuie să fie asigurată constant printr-un sistem adecvat de sancţiuni

vizând în special persoanele care împiedică detectarea unei infracţiuni. Adoptarea de măsuri disciplinare împotriva persoanelor responsabile de comiterea unei infracţiuni este necesară pentru a asigura respectarea regulilor; totuşi, măsurile necesare nu pot fi determinate decât de la caz la caz .• Programul de conformitate trebuie să fie însoţit de un sistem disciplinar care să prevadă

aplicarea, în cazul nerespectării codului de conduită al entităţii, a unor sancţiuni adaptate încălcării comise cum ar fi avertismentul, neplata salariului, suspendarea, transferul sau concedierea. In momentul în care un angajat a comis un act ilegal, este posibil ca organizaţia să fie obligată să îl concedieze conform principiului după care "organizaţia nu trebuie să delege competenţe nelimitate unor persoane despre care ştie, prin supravegherea pe care o efectuează, sau ar trebui să ştie, că ar putea comite acte ilicite".

• Măsurile disciplinare prevăzute de program trebuie să fie echitabile. Sunt puţine şanse ca programul să reuşească dacă actele ilegale sau contrare eticii rămân nepedepsite, în special dacă sunt legate de activităţile conducerii generale sau ale unor producători importanţi. In lipsa sancţiunilor, infracţiunile comise de aceste persoane vor încuraja acest tip de comportament în restul entităţii.

• Este posibil ca celelalte măsuri disciplinare sau concedierea să fie supuse unor restricţii care rezultă din legislaţia privind avertizorii sau din excepţii privind anumite categorii de angajaţi , contracte de muncă sau acorduri sindicale, responsabilităţi ale angajatorului în ceea ce priveşte discriminarea şi concedierea abuzivă, şi legi sau jurisprudenţe referitoare la reaua-credinţă a angajatorului.

8. In cazul în care se detectează o eroare, organizaţia trebuie să întreprindă toate măsurile necesare pentru a o soluţiona şi pentru a preveni orice alte încălcări similare, modificând, dacă este cazul, programul său de prevenire şi detectare a încălcărilor legii.• Organizaţia trebuie să reacţioneze în mod corespunzător faţă de orice greşeală detectată

în cadrul programului de conformitate. Printre reacţiile corespunzătoare figurează măsurile disciplinare luate împotriva celor care au comis încălcarea

• In anumite cazuri, o reacţie adecvată implica denunţarea către autorităţi a infracţiunii, cooperarea la anchetele desfăşurate de acestea şi acceptarea responsabilităţii entităţii în ceea ce priveşte infracţiunea. Se recomandă să se observe că aceste reacţii, precum şi existenţa unui program de conformitate eficace, pot determina instanţa să reducă suma amenzii impuse entităţii.

• Nedetectarea sau neprevenirea unei infracţiuni grave implică uneori necesitatea unei revizuiri a programului de conformitate. După detectarea unei infracţiuni, personalul responsabil cu conformitatea trebuie, cel puţin, să examineze programul şi să decidă dacă sunt necesare modificări.

• Este posibil ca, în urma unei infracţiuni constatate, să fie necesară înlocuirea sau reorganizarea echipei însărcinate cu activitatea de conformitate . De fapt, organizaţia poate fi determinată să sancţioneze sau să înlocuiască un manager pentru nedetectarea sau neprevenirea unei erori în sectoarele de care este responsabil, în special dacă este vorba despre o infracţiune pe care respectivul manager ar fi trebuit s-o detecteze.

Traducere: „employees” a fost tradus fie prin „salariaţi” , fie prin „colaboratori”, fie prin „personal” ; „agents” a fost tradus prin „agenţi”. In acest caz este vorba despre persoane nesalariate.

2110Managementul riscurilor

Auditul intern trebuie sa ajute organizaţia prin identificareafi evaluarea expunerilor semnificative la risc şi să contribuie la îmbunătăţirea

sistemelor de management al riscurilor şi de control.

MPA 2110-1

Evaluarea procesului de management al riscurilor


Auditorii interni pot fi solicitaţi să verifice, la cererea conducerii şi a comitetului de audit, dacă organizaţia dispune de procese adecvate de management al riscurilor. Această responsabilitate presupune ca auditorul să formuleze o opinie şi să indice dacă procesul de management al riscurilor este suficient pentru a proteja bunurile, reputaţia şi activităţile entităţii. Obiectul prezentei MPA este acela de a preciza principalele obiective de care auditorul trebuie să tină cont pentru a-şi exprima opinia în ceea ce priveşte procesul de management al riscurilor folosit de entitate . Aici sunt abordate numai evaluarea eficacităţii procesului şi comunicarea acestuia Alte Modalităţi Practice de Aplicare vor trata mai aprofundat aspectele legate de controale şi de misiunile de consultanţă/consiliere. Conform prezentei MPA, procesul de management al riscurilor care face parte din procesele importante ale entităţii poate şi trebuie să fie evaluat ca orice alt proces strategic important.


1. Gestionarea riscurilor este o responsabilitate majoră a conducerii care trebuie să se asigure, pentru a-şi atinge obiectivele, de adoptarea şi de buna funcţionare a proceselor riguroase de management al riscurilor. Sarcina de a monitoriza aplicarea proceselor adecvate, suficiente şi eficiente de management al riscurilor revine consiliului şi comitetului de audit. Rolul auditorilor interni este acela de a asista conducerea şi comitetul de audit. În acest scop, ei trebuie să examineze şi să evalueze procesele de management al riscurilor adoptate de conducere, să verifice dacă acestea sunt suficiente şi eficace, apoi să emită rapoarte şi recomandări în vederea îmbunătăţirii lor. Conducerea şi Consiliul sunt responsabili de procesele de management al riscurilor şi de control din organizaţia lor. Totuşi, auditorii interni pot, în cadrul misiunilor de consultanţă/consiliere , să ajute organizaţia să identifice, să evalueze şi să implementeze metodologii şi controale privind managementul riscurilor care să permită gestionarea acestor riscuri.

2. Evaluarea proceselor de management al riscurilor entităţii şi raportarea acestor evaluări fac parte în mod normal din obiectivele prioritare ale auditului. Trebuie să se facă distincţia între evaluarea proceselor de management al riscurilor şi analiza riscurilor pe care auditorii trebuie să o realizeze în planificarea activităţii de audit . Totuşi, informaţiile rezultate în urma unui proces complet de management al riscurilor inclusiv identificarea subiectelor de interes pentru conducere şi pentru Consiliu îl pot ajuta pe auditorul intern să-şi planifice activităţile de audit.

3. Fiecare entitate poate adopta o metodologie proprie pentru implementarea propriului proces de management al riscurilor. Auditorul intern trebuie să se asigure că grupurile sau indivizii implicaţi în guvernarea corporativă , inclusiv Consiliul şi comitetul de audit, înţeleg această metodologie. Pentru a formula o opinie în ceea ce priveşte adecvarea în general a proceselor de management al riscurilor, auditorii interni trebuie de asemenea să se asigure că procesul de management al riscurilor îndeplineşte cinci obiective principale. Cele cinci obiective principale ale procesului de management al riscurilor sunt următoarele:

- riscurile care decurg din strategiile şi activităţile entităţii sunt identificate şi ierarhizate;- conducerea şi Consiliul au stabilit un nivel al riscurilor acceptabil pentru entitate,

incluzând riscurile acceptate pentru punerea în aplicare a planurilor strategice ale entităţii;

- activităţi de atenuare a riscurilor sunt create şi implementate în vederea reducerii sau gestionării riscurilor, Ţinând cont de pragurile considerate acceptabile de către conducere şi Consiliu;

- o monitorizare permanentă a activităţilor este efectuată în vederea unei reevaluări periodice a riscurilor şi a eficacităţii controalelor care permit gestionarea acestora;

- rapoarte privind rezultatele proceselor de management al riscurilor sunt transmise periodic Consiliului şi conducerii. Procesele de guvernare corporativă trebuie să

furnizeze o prezentare periodică a riscurilor, a strategiilor de risc şi a controalelor, destinată celor implicaţi .

4. Auditorii interni trebuie să ţină cont de diferenţele semnificative care pot exista între entităţi în ceea ce priveşte practicile de management al riscurilor. Procesele de management al riscurilor trebuie să fie concepute în funcţie de natura activităţilor entităţii. In funcţie de importanţa şi complexitatea acestor activităţi, procesele de management al riscurilor pot:

- să fie formalizate sau informale;- să aibă la bază o abordare cantitativă sau subiectivă;- să fie integrate în diferitele unităţi ale entităţii sau să fie centralizate la nivelul corporaţiei .Procesul fiecărei entităţi trebuie să fie adaptat „culturii” sale, stilului său de management şi obiectivelor sale. De exemplu, recurgerea de către entitate la titluri derivate sau la alte produse perfecţionate de pe pieţele de capital perfecţionate presupune utilizarea unor instrumente cantitative de management al riscurilor. Entităţile mai mici, cu o structură mai simplă pot în schimb să analizeze profilul de risc al entităţii şi să ia în mod periodic măsuri în cadrul unui comitet informal de risc . Auditorul trebuie să se asigure că metodologia utilizată este exhaustivă şi adaptată naturii activităţilor entităţii. Pentru a formula o opinie în ceea ce priveşte procesele, auditorii interni trebuie să dispună de dovezi pentru a se asigura că cele cinci obiective principale ale proceselor de management al riscurilor sunt îndeplinite corespunzător. Pentru a obţine aceste elemente, auditorul intern poate să recurgă la procedurile de audit descrise mai jos.

5. Cercetarea şi examinarea documentelor de referinţă şi a informaţiilor de ordin general privind metodele de management al riscurilor pentru a aprecia dacă procesul adoptat de entitate este corespunzător şi se bazează pe cele mai bune practici din acest sector de activitate.

- Cercetarea şi analizarea informaţiilor şi referinţelor privind sectorul de activitate al entităţii, privind evoluţia recentă şi tendinţele, precum şi oricare altă sursă corespunzătoare de informaţii, în vederea determinării riscurilor care ar putea afecta organizaţia şi a procedurilor de control utilizate în scopul gestionării, monitorizării şi reevaluării acestor riscuri.

- Examinarea politicilor entităţii precum şi a proceselor verbale ale deliberărilor Consiliului şi comitetului de audit pentru a determina strategiile entităţii, abordarea de către aceasta a managementului riscurilor, expunerea entităţii la risc şi acceptarea riscurilor de către aceasta.

- Examinarea rapoartelor de evaluare a riscurilor întocmite anterior de conducere, de auditorii interni sau externi şi, după caz, de alte surse care ar fi putut emite astfel de rapoarte .

- Organizarea de întâlniri cu responsabilii operaţionali şi cu managerii lor în vederea stabilirii obiectivelor fiecărei ramuri de activitate, a riscurilor corespunzătoare şi a măsurilor luate de conducere privind monitorizarea, controlul şi atenuarea riscurilor.

- Asimilarea de informaţii în vederea evaluării, în mod independent, a eficacităţii procesului de monitorizare, de comunicare şi de atenuare a riscurilor şi a activităţilor de control corespunzătoare.

- Verificarea transmiterii către nivelul ierarhic corespunzător a informaţiilor sau a rapoartelor referitoare la monitorizarea riscurilor.

- Verificarea difuzării conform modalităţilor şi termenelor corespunzătoare a rapoartelor privind rezultatele managementului riscurilor.

- Asigurarea că analiza riscurilor efectuate de conducere şi a măsurilor luate în vederea soluţionării problemelor ridicate în cadrul procesului de management al riscurilor au un caracter exhaustiv, şi propunerea de soluţii de îmbunătăţire a situaţiei.

- Aprecierea eficacităţii procesului de autoevaluare adoptat de conducere, pe baza observaţiilor şi testelor privind procedurile de monitorizare şi de control care testează exactitatea informaţiilor folosite în cadrul activităţilor de monitorizare şi pe baza altor tehnici corespunzătoare.

- Examinarea eventualelor puncte slabe în tacticile de management al riscurilor şi, după caz, analizarea acestora împreună cu conducerea, comitetul de audit şi

Consiliul. Dacă auditorul estimează că managementul a acceptat un nivel de risc incompatibil cu strategia şi politicile entităţii privind gestionarea riscurilor, sau considerat inacceptabil pentru entitate, auditorul trebuie să facă referire la Norma 2600 privind acceptarea riscurilor de către conducere, şi la orice îndrumare suplimentară .

---

2120Controlul

Auditul intern trebuie sa ajute organizaţia să menţinăun mecanism de control corespunzător evaluând eficacitatea

şi eficienţa sa şi încurajând îmbunătăţirea sa continuă.

2120.A1

Pe baza rezultatelor evaluării riscurilor,auditul intern trebuie să evalueze relevanţa şi eficacitatea

mecanismului de control privind guvernarea entităţii ,operaţiunile şi sistemele de informare ale acesteia .

Această evaluare trebuie să cuprindă următoarele aspecte:

• credibilitatea şi integritatea informaţiilor financiare şi operaţionale;

• eficacitatea şi eficienţa operaţiunilor;

• protecţia patrimoniului;

• respectarea legilor, a regulamentelor şi a contractelor.

MPA 2120.A1 - 1Evaluarea proceselor de control intern şi raportarea acestora


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii în evaluarea eficacităţii mecanismului de control al unei entităţi şi în raportarea rezultatelor acestei evaluări conducerii generale şi Consiliului. Informaţiile colectate în decursul exerciţiului, în cadrul activităţilor de audit, trebuie să fie suficiente pentru a permite evaluarea mecanismului de control şi formularea unei opinii.


. Una din misiunile Consiliului este stabilirea şi menţinerea proceselor de guvernare a întreprinderii şi obţinerea asigurării că procesele de management al riscurilor şi de control sunt eficace. Rolul direcţiei generale este acela de a superviza stabilirea , gestionarea şi evoluarea acestor procese. Acest sistem de control, cu multiple faţete, are scopul de a ajuta pe angajaţii entităţii în gestionarea riscurilor şi îndeplinirea obiectivelor fixate şi comunicate în cadrul entităţii. Mai exact, aceste procese de control trebuie să asigure îndeplinirea următoarelor condiţii:• informaţiile financiare şi operaţionale sunt credibile şi îndeplinesc criteriul de integritate;

• operaţiunile sunt realizate în mod eficace şi eficient;

• activele sunt protejate ;• acţiunile întreprinse şi deciziile luate de entitate sunt în conformitate cu legea,

reglementările şi contractele.2. Managerii entităţii trebuie să evalueze procesele de control adoptate în domeniile de care

răspund . Auditorii interni şi cei externi oferă diverse niveluri de asigurare în ceea ce priveşte gradul de eficacitate a proceselor de management al riscurilor şi de control puse în practică în respectivele activităţi şi segmente ale entităţii.

3. Direcţia generală şi comitetul de audit consideră în general activităţile îndeplinite şi informaţiile colectate de responsabilul auditului intern în cursul exerciţiului ca fiind suficiente pentru a-i permite să formuleze o opinie cu privire la relevanţa şi eficacitatea proceselor de control. Responsabilul auditului intern trebuie să comunice conducerii generale şi comitetului de audit această opinie de ansamblu cu privire la sistemul de control al entităţii. Un număr din ce în ce mai mare de entităţi includ, în rapoartele anuale sau periodice destinate terţilor, un raport al conducerii cu privire la sistemul de control intern şi la procesul de management al riscurilor.

4. Responsabilul auditului intern trebuie să elaboreze un proiect de plan de audit pentru anul următor, care să asigure că elementele colectate vor permite evaluarea eficacităţii proceselor de control. Acest plan trebuie să ia în considerare necesitatea de a strânge , în cadrul misiunilor de audit sau a celorlalte proceduri , informaţii pertinente cu privire la toate segmentele şi unităţile operaţionale importante. Se recomandă de asemenea să se acorde o atenţie deosebită operaţiunilor afectate în mare măsură de modificările recente sau prevăzute care pot apărea ca rezultat al pieţei, condiţiilor de investiţie, de achiziţie şi de cesiune sau restructurare, şi al noilor asocieri . Planul propus trebuie să fie suficient de flexibil pentru a permite o actualizare în cursul anului, în cazul în care strategiile de conducere sau mediul exterior evoluează sau în cazul reajustării previziunilor legate de îndeplinirea obiectivelor entităţii.

5. Odată cu elaborarea proiectului planului de audit, responsabilul auditului intern trebuie să ţină cont de activităţile care vor fi efectuate de terţi. Pentru a minimaliza redundanţa şi lipsa de eficienţă se recomandă să se întocmească un plan de audit al exerciţiului viitor ţinând cont de activităţile planificate de auditorii externi şi de activităţile planificate sau realizate recent de către conducere în cadrul evaluării proceselor de control şi de îmbunătăţire a calităţii.

6. In fine, responsabilul auditului intern trebuie să evalueze aria de aplicabilitate planul propus şi din două perspective: planul trebuie adaptat la toate entităţile entităţii şi trebuie să se aplice pentru diferite tipuri de tranzacţii şi de activităţi de afaceri . Dacă aria de aplicabilitate a planului de audit propus nu permite formularea unei asigurări cu privire la procesele de control din entitate, responsabilul auditului intern trebuie să informeze conducerea generală şi comitetul de audit cu privire la aceste lipsuri, la cauzele lor şi consecinţele probabile.

7. Provocarea pentru auditul intern constă în evaluarea eficacităţii dispozitivului de control din entitate pe baza numeroaselor evaluări individuale. Aceste evaluări provin, în mare parte, din misiunile de audit intern, din autoevaluările efectuate de conducere şi din activităţile auditorilor externi. Pe măsură ce misiunile se derulează, auditorii interni trebuie să comunice observaţiile lor celor responsabili, astfel încât să poată fi luate rapid măsuri pentru a remedia punctele slabe sau inadvertenţele constatate sau pentru a le atenua consecinţele.

8. Evaluarea eficacităţii proceselor de control dintr-o entitate trebuie să ţină cont de următoarele trei elemente cheie:• Activităţile de audit şi informaţiile adunate în cadrul evaluărilor au scos în evidenţă

inadvertenţele sau punctele slabe semnificative?• In cazul unui răspuns pozitiv, s-au făcut corecturile sau îmbunătăţirile necesare după

constatarea anomaliilor sau a punctelor slabe?• Aceste inadvertenţe sau puncte slabe şi consecinţele lor sunt generalizate şi determină

astfel un grad de risc inacceptabil?

Existenta temporară a unei inadvertenţe sau a unui punct slab semnificativ nu înseamnă neapărat că această inadvertenţă sau punct slab este generalizat şi că atrage după sine un risc rezidual inacceptabil. Natura inadvertenţelor sau a punctelor slabe constatate, caracterul lor restrâns sau generalizat, precum şi gravitatea consecinţelor sau a expunerilor

la risc , reprezintă tot atâţia factori de luat în considerare pentru a determina dacă este pusă sub semnul întrebării problema eficacităţii ansamblului mecanismului de control şi dacă există riscuri inacceptabile. Responsabilul auditului intern trebuie să prezinte conducerii generale şi comitetului de audit, în general o dată pe an, un raport cu privire la starea proceselor de control din entitate.

9. Acest raport trebuie să sublinieze importanţa rolului jucat de procesele de control în îndeplinirea obiectivelor entităţii. Trebuie de asemenea să conţină principalele activităţi realizate de auditul intern şi alte surse importante de informaţii pe care se bazează raţionamentul general . Partea din raport destinată opiniei este în general formulată printr-o asigurare negativă; acest lucru înseamnă că activităţile de audit efectuate pentru perioada în cauză şi celelalte informaţii colectate nu au scos în evidenţă punctele slabe semnificative şi generalizate ale proceselor de control. In cazul unei inadvertenţe sau al unui punct slab semnificativ şi generalizat, această parte a raportului poate conţine rezerve sau o opinie nefavorabilă, în funcţie de gravitatea prevăzută a riscului rezidual şi de impactul acestuia asupra obiectivelor entităţii.

10. Membrii conducerii şi ai comitetului de audit sunt principalii destinatari ai raportului anual. Dat fiind faptul că ei abordează diferit auditul şi activitatea, raportul anual al responsabilului auditului intern trebuie să fie clar, concis şi bine documentat. Trebuie să fie conceput şi redactat astfel încât să fie uşor de citit şi să satisfacă nevoia de informarea destinatarilor. Raportul va fi cu atât mai util cu cât va cuprinde şi principalele recomandări şi îmbunătăţiri propuse, precum şi informaţii despre problemele de actualitate (de exemplu, riscurile aferente tehnologiilor şi siguranţei informaţiilor), despre tipul de inadvertenţe sau puncte slabe constatate în entitate, şi despre dificultăţile pe care le poate ridica respectarea legilor sau a reglementărilor.

11. Există în mod vizibil un "decalaj" în ceea ce priveşte efectele aşteptate de la activităţile de audit intern în materie de evaluare şi asigurare a stării proceselor de control. Acest decalaj vizează printre altele aspiraţiile conducerii şi ale comisiei de audit care, de regulă , se aşteaptă la prestări de audit intern cu o valoare sporită şi pe acelea mai modeste ale auditorului intern care cunoaşte limitele practice ale ariei de aplicabilitate a auditului şi care nu e foarte sigur că a întrunit toate dovezile suficiente pentru a justifica un raţionament clară şi obiectivă. Responsabilul auditului intern trebuie să acorde atenţie decalajului care poate exista între presupunerile cititorului raportului şi realitatea exerciţiului care a fost executat. Acest raport trebuie utilizat ca o altă modalitate de a te adresa unor modele mentale diferite şi de a sugera o îmbunătăţire a capacităţilor auditului intern sau diminuarea constrângerilor care dăunează eficienţei.

MPA2120.A1 -2

Utilizarea autoevaluării controalelor pentru a evalua

relevanţa proceselor de control


Managerii şi auditorii interni pot adopta o metodologie fondată pe autoevaluarea controalelor (CSA) pentru a se asigura că procesele de management al riscurilor şi de control din entitate sunt adecvate . Auditorii interni pot apela la programe de autoevaluare a controalelor pentru a strânge informaţiile relevante cu privire la riscuri şi controale, pentru a axa planul de audit pe riscurile importante şi pe elementele excepţionale, şi pentru a consolida colaborarea cu directorii operaţionali şi grupurile de lucru.

Respectarea Modalităţilor Practice este facultativă.

1. Conducerea trebuie să supervizeze stabilirea gestionarea şi evaluarea proceselor de management al riscurilor şi de control. Directorii operaţionali sunt însărcinaţi tocmai cu evaluarea riscurilor şi controalele existente în unităţile lor. Auditorii interni şi auditorii externi

oferă diferite grade de asigurare în ceea ce priveşte eficienţa proceselor de management al riscurilor şi de control din entitate. Ar fi util ca managerii şi auditorii să folosească tehnici şi instrumente axate pe evaluarea proceselor de management al riscurilor şi de control existente, precum şi pe identificarea mijloacelor de sporire a eficacităţii acestora.

2. Punerea în practică a unei metodologii fondate în principal pe studiile de autoevaluare şi pe animarea de ateliere de lucru (CSA sau Autoevaluarea controalelor) constituie pentru manageri şi auditorii intern un mijloc util şi eficace de a colabora la evaluarea procedurilor de control. In principiu, luarea în considerare a obiectivelor sau a riscurilor face parte integrantă din autoevaluarea controalelor (CSA) care uneori este denumită "autoevaluarea controalelor şi a riscurilor" (CRSA). Utilizatorii CSA folosesc diferite tehnici, însă marea parte a programelor implementate prezintă anumite caracteristici şi obiective comune. 0 entitate care practică autoevaluarea dispune de un proces formalizat şi documentat graţie căruia conducerea şi grupurile de lucru care sunt direct implicate într-o unitate operaţională, un segment sau un proces, pot participa în mod structurat la următoarele operaţiuni:

identificarea riscurilor şi expunerilor la risc existente; evaluarea proceselor de control care permit atenuarea sau gestionarea acestor

riscuri; elaborarea de planuri de acţiuni prin care să se aducă riscurile la niveluri acceptabile;

estimarea probabilităţii ca obiectivele entităţii să fie atinse.

3. Procesele de autoevaluare pot prezenta următoarele avantaje: personalul unităţilor operaţionale a dobândit instruire şi experienţă graţie cărora poate

evalua riscurile, poate asocia procesele de control şi managementul acestor riscuri şi poate spori şansele de îndeplinire a obiectivelor entităţii;

controalele informale numite "soft" sunt mai uşor de identificat şi de evaluat; membrii personalului sunt motivaţi să-şi "însuşească" procesele de control existente în

unităţile lor, iar măsurile de corectare luate de grupurile de lucru sunt uneori mai eficace şi mai rapide;

întreg lanţul obiective-riscuri-controale din entitate face obiectul unei monitorizări mai bune şi al unor îmbunătăţiri continue;

auditorii interni intervin în procesul de autoevaluare şi ajung să-l cunoască foarte bine, fie în calitate de moderatori , secretari sau raportori ai grupurilor de lucru, fie ca traineri în prezentarea conceptelor de risc şi control care stau la baza programului de autoevaluare. Astfel, ei ajung să cunoască acest proces foarte bine;

auditul intern este mai bine informat despre procesele de control din entitate. Prin urmare poate exploata aceste informaţii şi aloca, în primul rând, puţinele sale resurse examinării unităţilor sau segmentelor ale căror controale prezintă puncte slabe semnificative sau prezintă riscuri reziduale importante;

conducerea, având o responsabilitate mărită în ceea ce priveşte procesele de management al riscurilor şi de control din entitate, va fi mai puţin tentată să delege aceste responsabilităţi specialiştilor, adică auditorilor;

principalul rol al auditului intern va consta, ca şi în trecut, în validarea procesului de evaluare cu ajutorul testelor şi în formularea unei opinii profesionale cu privire la relevanţa şi eficacitatea tuturor sistemelor de management al riscurilor şi de control.

4. Abordarea adoptată în cadrul unui program de autoevaluare a controalelor variază mult în funcţie de sectorul de activitate al entităţii, de poziţia, structura şi cultura sa organizaţională, de gradul de autonomie al personalului său, de stilul de conducere şi modalitatea de formulare a strategiilor şi a politicilor , ceea ce ne face să credem că succesul întâlnit de un anumit tip de program de autoevaluare într-o anumită entitate nu poate fi întâlnit şi în altă parte. Procesul de autoevaluare trebuie personalizat şi adaptat la caracteristicile fiecărei entităţi. Trebuie deci să se adopte o abordare dinamică şi aceasta să fie modificată în funcţie de evoluţia entităţii.

5. Programele de autoevaluare se prezintă, în principal, sub următoarele trei forme: ateliere de lucru în echipă, anchete şi analize şi studii realizate de către conducere. Entităţile folosesc adesea o combinaţie între abordări.

6. In cadrul atelierelor de lucru se adună informaţiile colectate de grupurile de lucru care reprezintă, la diferite niveluri, unitatea sau segmentul în cauză. Atelierul poate fi axat pe obiective, riscuri, controale sau procese. atelierele axate pe obiective caută în principal cel mai bun mijloc pentru îndeplinirea unui

obiectiv al entităţii. Grupul începe prin identificarea controalelor existente care concurează la îndeplinirea obiectivului apoi determină riscurile reziduale. Scopul atelierului este de a aprecia dacă procedurile de control sunt eficace şi dacă permit menţinerea riscurilor reziduale la un nivel acceptabil.

Atelierele axate pe riscuri încearcă în primul rând să identifice riscurile legate de îndeplinirea unui obiectiv. Atelierul începe prin întocmirea listei tuturor obstacolelor, ameninţărilor şi riscurilor care ar putea împiedica îndeplinirea unui obiectiv, apoi examinează procedurile de control şi verifică dacă acestea sunt suficiente pentru gestionarea principalelor riscuri. Scopul atelierului este acela de a determina riscurile reziduale semnificative. Acest tip de atelier vizează întregul lanţ obiective-riscuri- controale.

Atelierele axate pe controale studiază în primul rând buna funcţionare a controalelor existente. Acest tip de atelier diferă de primele două deoarece moderatorul grupului identifică principalele riscuri şi controale înainte de începerea atelierului. In timpul atelierului, grupul de lucru apreciază măsura în care controalele contribuie la atenuarea riscurilor şi la îndeplinirea obiectivelor. Scopul atelierului este acela de a analiza diferenţa între eficacitatea reală a controalelor şi eficacitatea aşteptată de conducere.

Atelierele axate pe procese vizează în primul rând anumite activităţi care fac parte dintr-un ansamblu de procese. Procesele constau în general într-o serie de activităţi care sunt legate între ele şi care se desfăşoară de la început până la sfârşit, cum ar fi diferitele etape ale unui ciclu de achiziţii, dezvoltarea de produse sau generarea de venituri. Acest tip de atelier vizează în general identificarea obiectivelor întregului proces şi diversele etape intermediare. Scopul acestui atelier este de a evalua, actualiza, valida, îmbunătăţi şi chiar accelera ansamblul de procese şi activităţile care îl compun. Acest tip de atelier poate da naştere la o analiză mai amplă decât abordarea axată pe controale deoarece acoperă mai multe obiective ale procesului şi susţine eforturile efectuate de altfel de către conducere în cadrul operaţiunilor precum retehnologizarea îmbunătăţirea calităţii, şi proiecte de îmbunătăţire continuă a proceselor.

7. Anchetele sunt realizate cu ajutorul unui chestionar la care în general trebuie răspuns cu da sau nu, întrebările fiind formulate cu grijă astfel încât să fie uşor de înţeles. Anchetele sunt adesea utilizate atunci când persoanele ce trebuie consultate sunt prea multe sau prea răspândite pentru a participa la un atelier. Ele sunt folosite şi atunci când cultura entităţii nu favorizează dialogul sincer şi deschis în cadrul atelierelor sau dacă managementul doreşte să economisească timp şi bani în procesul de colectare a informaţiilor.

8. Forma de autoevaluare denumită "analize realizate de conducere" cuprinde majoritatea celorlalte abordări adoptate de grupurile de conducere pentru a strânge informaţii cu privire la anumite procese, anumite activităţi de management al riscurilor sau anumite proceduri de control. Studiul are adesea ca scop emiterea, în termene rezonabile de timp, a unei opinii clare cu privire la anumite caracteristici ale procedurilor de control. Acest lucru se realizează în principal de către o echipă din postul respectiv sau care joacă rolul de suport. Auditorul intern poate sintetiza această analiză şi alte informaţii pentru a-şi îmbunătăţi cunoştinţele cu privire la controale şi a le împărtăşi şi responsabililor unităţilor operaţionale sau funcţionale în cadrul programului de autoevaluare a controalelor din entitate.

9. Toate programele de autoevaluare se bazează pe faptul că membrii conducerii şi ai grupurilor de lucru cunosc bine conceptele de risc şi control şi că le utilizează pentru a comunica. în timpul instruirilor, entităţile folosesc adesea un cadru, de control precum modelele COSO şi COCO, destinat facilitării bunei derulări a discuţiilor în cadrul atelierelor şi verificării caracterului exhaustiv al ansamblului procesului.

10. Ca regulă generală, atelierele au ca rezultat emiterea unui raport redactat în mare parte în timpul discuţiilor. Se va realiza un consens cu privire la diferitele subiecte de discuţie, iar grupul va examina proiectul de raport înainte de sfârşitul ultimei sesiuni. Anumite programe

cuprind un sistem de vot anonim care asigură libera circulaţie a informaţiilor şi a părerilor în timpul atelierelor şi care facilitează rezolvarea divergenţelor de puncte de vedere şi de interese.

11. Auditul intern se implică foarte mult în anumite programe de autoevaluare a controalelor. El poate să iniţieze, să conceapă, să aplice, şi de fapt să îşi însuşească procesul, să coordoneze formarea, să pună la dispoziţie moderatorii , secretarele şi raportorii, şi să coordoneze participarea conducerii şi a grupurilor de lucru. în cadrul altor programe, auditul intern îşi reduce participarea la minimum şi nu intervine decât în calitate de parte interesată şi consultant pentru întreg procesul, pentru a verifica în ultimă instanţă concluziile echipelor. In marea majoritate a cazurilor, implicarea auditului intern în programele de autoevaluare a controalelor se situează între aceste două extreme. Cu cât este mai importantă participarea auditului intern la programele de autoevaluare şi la discuţiile organizate în ateliere, cu atât responsabilul auditului intern trebuie să se asigure de obiectivitatea echipei de audit intern, să ia măsuri în acest sens (dacă este necesar), şi să mărească numărul de teste efectuate pentru a se asigura că opinia finală este obiectivă şi imparţială Conform Normei 1120: 'Auditorii interni trebuie să adopte o atitudine imparţială şi nepărtinitoare şi să evite conflictele de interese".

12. Existenţa unui program de autoevaluare a controalelor consolidează rolul tradiţional al auditului intern deoarece îi permite acestuia să asiste conducerea în exercitarea responsabilităţilor ei, mai ales în ceea ce priveşte implementarea şi menţinerea procesului de management al riscurilor şi de control şi în ceea ce priveşte evaluarea sistemului. In cadrul unui astfel de program, auditul intern, unităţile operaţionale şi funcţionale cooperează în scopul de a îmbunătăţi calitatea informaţiilor privind funcţionarea proceselor de control şi importanţa riscurilor reziduale.

13. Deşi participă la programul de autoevaluare a controalelor în calitate de moderator şi de expert, auditul intern constată deseori că acest program îi permite să reducă eforturile necesare pentru culegerea informaţiilor privind procedurile de control şi să elimine anumite teste. Un program de autoevaluare trebuie să aibă ca efect extinderea sferei de evaluare a proceselor de control în cadrul entităţii, îmbunătăţirea calităţii măsurilor de corectare luate de responsabilii proceselor şi axarea activităţilor de audit intern pe examinarea proceselor cu un grad mare de risc şi a situaţiilor neobişnuite. In acest caz, poate proceda la validarea concluziilor care rezultă din programul de autoevaluare, poate să efectueze sinteza informaţiilor care provin din diferitele componente ale entităţii şi să formuleze, în atenţia conducerii şi a comitetului de audit, o opinie de ansamblu privind eficacitatea controalelor.

2120.A4

Sunt necesare criterii adecvate pentru a evalua mecanismul de control.Auditorii interni trebuie sa stabilească în ce măsură conducerea a

definit criterii adecvate pentru a aprecia daca obiectivele şi scopurileau fost atinse. Dacă aceste criterii sunt adecvate, auditorii interni

trebuie să le utilizeze în propria evaluare Daca suntneadecvate, auditorii interni trebuie să colaboreze cu conducerea

pentru a elabora criterii corespunzătoare de evaluare.

MPA2120.A4-1Criterii de control


Se recomandă ca auditorii interni să ţină cont de următoarele sugestii atunci când evaluează criteriile de control. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea de a include un ansamblu de elemente.


1. Auditorii interni trebuie să evalueze obiectivele şi previziunile operaţionale fixate şi să

determine dacă sunt acceptabile şi dacă pot fi respectate. Dacă obiectivele şi criteriile de apreciere sunt imprecise, este necesar să se apeleze la interpretări oficiale. Dacă auditorii interni sunt puşi în situaţia de a interpreta sau alege normele operaţionale, trebuie să obţină acordul clientului misiunii în ceea ce priveşte criteriile ce trebuie utilizate pentru a măsura rezultatele operaţionale.

2130Guvernarea entităţii

Auditul intern trebuie să contribuie la procesul de guvernare aentităţii prin evaluarea şi îmbunătăţirea procesului prin care

(1) se definesc şi se comunică valorile şi obiectivele, (2) se urmăreşterealizarea obiectivelor, (3) se raportează şi (4) se păstrează valorile.

2130.A1

Auditorii interni trebuie să verifice operaţiunile şiproiectele pentru a asigura compatibilitatea acestora cu valorile entităţii.

MPA 2130 - 1Rolul auditului intern şl al auditorului intern în ceea ce priveşte

modelul etic


Auditorii interni trebuie să ţină cont de următoarele puncte pentru a-şi defini rolul în ceea ce priveşte modelul etic al unei entităţi. Acest rol variază în funcţie de existenţa sau absenţa unei culturi etice în entitate şi în funcţie de gradul său de dezvoltare. Prezenta MPA nu are drept scop descrierea tuturor procedurilor necesare pentru a îndeplini o misiune completă de asigurare sau de consultanţă/consiliere cu privire la modelul etic al unei entităţi.


1. Prezenta MPA subliniază importanţa culturii organizaţionale în crearea unui mediu etic şi conţine sugestii cu privire la rolul pe care auditorii interni îl pot juca în îmbunătăţirea acestui mediu. Această MPA:

Descrie natura procesului de guvernare a entităţii ; Stabileşte o legătură între acest proces şi cultura entităţii în ceea ce priveşte etica; Precizează că orice persoană care are legătură cu organizaţia, şi în special auditorii

interni, trebuie să promoveze şi să apere etica;

Enumeră caracteristicile unui model etic consolidat.2. O Entitate poate adopta diverse forme juridice, structuri, strategii şi proceduri pentru a se

asigura că: respectă legislaţia şi reglementările în vigoare; răspunde normelor general admise în lumea de afaceri, principiilor de etică şi aşteptărilor

ale societăţii civile; funcţionează conform interesului general şi consolidează interesele părţilor sale

implicate, atât pe termen lung cât şi pe termen scurt; informează în mod exhaustiv şi corect acţionarii, instanţele de reglementare, celelalte

părţi implicate şi publicul şi îşi justifică deciziile, acţiunile, gestiunea şi rezultatele sale.Mijloacele folosite de o entitate pentru a îndeplini aceste patru obiective corespund conceptului general de proces de guvernare a entităţii Eficacitatea guvernării entităţii depinde de responsabilitatea organului de conducere al acesteia (cum ar fi Consiliul sau comitetul de conducere) şi de conducerea generală.

3. Practicile adoptate de o entitate în ceea ce priveşte guvernarea sa reprezintă rezultatul unei culturi unice şi în continuă evoluţie care influenţează rolurile, condiţionează comportamentele, determină obiectivele şi strategiile, măsoară performanţele şi defineşte responsabilităţile. Această cultură influenţează valorile, rolurile şi comportamentele dictate şi tolerate de entitate şi condiţionează importanţa, grija sau indiferenţa pe care o conferă exercitării responsabilităţilor sale faţă de societate. Astfel, eficacitatea procesului de guvernare depinde în mare măsură de cultura organizaţională.

4. Toate persoanele care au legătură cu organizaţia sunt într-o anumită măsură responsabile de modelul său Dată fiind complexitatea şi răspândirea proceselor de decizie în majoritatea entităţilor, fiecare persoană trebuie încurajată să promoveze şi să apere etica, indiferent dacă acest rol i-a fost delegat oficial sau neoficial. Codurile de conduită, precum şi rapoartele referitoare la strategia şi politicile entităţii, constituie declaraţii importante în care organizaţia precizează valorile şi scopurile sale, comportamentul pe care-l aşteaptă din partea personalului şi strategiile adoptate pentru a instaura un model compatibil cu responsabilităţile care îi revin pe plan juridic, etic şi cu privire la societate. Un număr din ce în ce mai mare de entităţi au desemnat un responsabil al cărui rol este de a consilia conducerea , managerii şi ceilalţi membri ai personalului şi de a fi un exemplu în cadrul entităţii.

5. Auditorii interni şi auditul intern trebuie să contribuie activ la susţinerea modelului etic în cadrul entităţii fiind un exemplu de încredere şi o integritate morală sporită; de asemenea dispun de competenţele necesare pentru promovarea eficientă a unei conduite morale . Aceştia au capacitatea de a determina conducerea , managerii precum şi pe ceilalţi angajaţi din cadrul entităţii să respecte obligaţiile care le revin atât pe plan juridic cât şi în ceea ce priveşte etica sau responsabilităţile faţă de societate

6. Auditul intern poate promova şi poate apăra etica în diferite moduri. Poate, , să numească din rândul colaboratorilor săi un responsabil cu etica (mediator, responsabil cu conformitatea , consilier al conducerii sau expert în domeniul eticii), un membru al comitetului intern de etică, sau o persoană însărcinată cu evaluarea climatului etic din entitate. în anumite cazuri, se poate întâmpla ca exercitarea funcţiilor responsabilului cu etica să dăuneze independenţei auditului intern.

7. Serviciul de audit intern trebuie, cel puţin, să evalueze periodic climatul etic din cadrul entităţii şi eficacitatea strategiilor, a tacticilor, a comunicării şi a altor procese adoptate pentru a atinge nivelul dorit de conformitate cu legea şi cu normele de etică. Auditorii interni trebuie să aprecieze realitatea următoarelor elemente, care reprezintă semnul unui model etic puternic şi eficace :

existenţa unui cod oficial de conduită, clar şi uşor de înţeles, a declaraţiilor şi politicilor aferente (în special proceduri referitoare la fraudă şi la corupţie), şi a altor elemente care exprimă aspiraţiile entităţii;

demonstraţii frecvente şi dovezi ale comportamentului etic exemplar al conducătorilor influenţi ai entităţii;

strategii explicite care au ca scop susţinerea şi consolidarea modelului etic prin programe periodice care permit actualizarea şi reînnoirea angajamentului entităţii în ceea ce priveşte etica;

existenţa mai multor modalităţi uşor de accesat ce permit raportarea , cu maximă confidenţialitate, a presupuselor nerespectări ale codului de conduită şi ale politicilor , precum şi a altor dovezi de conduită necorespunzătoare;

declaraţiile periodice ale angajaţilor, furnizorilor şi clienţilor care atestă că aceştia sunt informaţi în privinţa regulilor etice care trebuie respectate în tranzacţiile care implică organizaţia;

definirea clară a responsabilităţilor ce permit asigurarea că implicaţiile etice sunt evaluate, că sfaturile sunt oferite cu maximă confidenţialitate, că pretinsele încălcări fac obiectul unei anchete şi sunt raportate corect;

facilitarea accesului la o formare profesională ce permite tuturor colaboratorilor să promoveze şi să apere etica;

practici pozitive ale personalului, care îi încurajează să contribuie la instaurarea unui

climat etic în cadrul entităţii; anchete periodice în rândul angajaţilor, furnizorilor şi clienţilor pentru a aprecia

climatul etic din cadrul entităţii; examinări periodice ale proceselor formale şi informale ale entităţii care ar putea

provoca presiuni şi abateri de natură să submineze modelul etic ; verificarea periodică a referinţelor şi a evoluţiei profesionale a personalului în curs de

recrutare, în special prin teste de integritate, controale cu privire la consumul de droguri şi alte măsuri similare.

2200Planificarea misiunii

Auditorii interni trebuie să conceapă şi să formalizeze un plan pentru fiecare misiune

2201

Consideraţii cu privire la planificare

La planificarea misiunii, auditorii interni trebuie să ţină cont de: Obiectivele activităţii supuse auditului şi modul în care este controlată, stăpânită această

activitate;Activitate: textul original vorbeşte despre „activity”; entitatea supusă auditului nu reprezintă neapărat un serviciu în sensul strict al cuvântului. Poate fi un proces complet (care poate deci viza mai multe servicii, de ex.: auditul procesului de achiziţii va viza serviciul achiziţii, serviciul logistică, serviciul contabilitate), un sistem, o temă, etc. Riscurile semnificative legate de activitate, obiectivele sale, resursele folosite şi sarcinile

operaţionale, precum şi mijloacele prin care impactul potenţial al riscului este menţinut la un nivel acceptabil;

Relevanţa şi eficacitatea sistemelor de management al riscurilor şi de control al activităţii în raport cu un cadru sau model de control corespunzător;

Posibilităţile de îmbunătăţire semnificativă a sistemelor de management al riscurilor şi de control al activităţii.

MPA 2200-1

Planificarea misiunii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii în planificarea

misiunilor. Prezenta MPA nu are drept scop prezentarea tuturor procedurilor ce trebuie puse în aplicare în cadrul unei misiuni de audit sau de consultanţă/consiliere cu privire la respectarea reglementărilor.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. auditorul intern este responsabil de planificarea şi realizarea misiunilor care i-au fost

încredinţate, cu condiţia ca acestea să fie controlate şi aprobate de către supervizorul său. Programul misiunii trebuie:

să furnizeze documente cu privire la procedurile care permit auditorului intern să adune, să analizeze, să interpreteze şi să justifice informaţiile în timpul misiunii;

să definească obiectivele misiunii; să stabilească aria de aplicabilitate şi gradul necesar de detaliere al testelor

pentru a atinge obiectivele fiecărei etape a misiunii;

să identifice aspectele tehnice, obiectivele activităţii, riscurile, procedeele şi tranzacţiile care trebuie auditate;

să stabilească natura şi aria de aplicabilitate a testelor; să fie pregătit înainte de începerea misiunii şi modificat, dacă este necesar, în

cursul misiunii.2. responsabilul auditului intern are responsabilitatea de a determina cum, când şi cui vor fi

comunicate rezultatele auditului. Aceste precizări vor fi documentate şi comunicate conducerii, pe cât posibil, în etapa de planificare a misiunii. Modificările ulterioare care afectează termenele şi raportarea rezultatelor auditului vor trebui de asemenea comunicate conduceri, dacă este necesar.

3. vor trebui de asemenea stabilite şi alte cerinţe precum durata misiunii şi datele estimate pentru realizarea sa. Structura raportului final de audit va trebui luată în calcul, pentru că o planificare corectă în această etapă facilitează pregătirea raportului final.

Raport final de audit: termenul din limba engleză este mai general „final engagement communication”; acesta indică faptul că produsul finit al unei misiuni nu se realizează neapărat sub forma unui raport în sensul tradiţional al cuvântului. Prezentarea rezultatelor unei misiuni se poate face pe diferite suporturi şi în diverse formate (prezentare de tip power point, raport „clasic”….). în schimb, dacă formatul a fost definit în scrisoarea de misiune, este obligatoriu să fie respectat. Forma şi mijloacele sunt lăsate la aprecierea departamentului de audit intern.4. Toţi membrii conducerii care sunt vizaţi trebuie informaţi. . Trebuie să se organizeze

întâlniri cu conducerea responsabilă de activitatea studiată. Trebuie să se facă un rezumat al subiectelor discutate în timpul reuniunilor şi al concluziilor rezultate care să fie apoi distribuit persoanelor implicate şi păstrat în dosarul misiunii.

În anumite situaţii, pentru a asigura reuşita misiunii şi fiabilitatea rezultatelor aşteptate, comunicarea prealabilă misiunii poate fi restrânsă sau poate avea un grad de confidenţialitate mai mare. În anumite cazuri, având acordul direcţiei generale se poate chiar ca responsabilul entităţii auditate să nu fie anunţat cu privire la misiune.Subiectele discuţiei pot fi următoarele:

obiectivele şi aria de aplicabilitate a misiunii de audit planificate; calendarul misiunii; lista auditorilor interni cărora li s-a repartizat misiunea’ procesul de comunicare în cursul misiunii, inclusiv metodele, calendarul şi persoanele

responsabile; condiţiile de gestionare şi operaţiunile activităţii auditate, inclusiv schimbările recente

la nivelul conducerii şi al sistemelor celor mai importante; preocupările şi cerinţele conducerii; subiectele importante sau preocupările auditorului intern; descrierea procedurilor de audit intern pentru a putea raporta ş asigura monitorizarea

misiunii.

2210

Obiectivele misiunii

Obiectivele misiunii trebuie să abordeze procesele de management al riscurilor, de control şi de guvernare a entităţii asociate activităţilor supuse auditului.

MPA 2210-1


Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii în stabilirea

obiectivelor misiunii. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. planificarea trebuie să fie documentată Trebuie definite obiectivele misiunii şi aria de

aplicabilitate . Obiectivele de audit stabilite de auditorii interni definesc în termeni generali realizările scontate ale misiunii. Procedurile misiunii reprezintă mijloacele pentru atingerea obiectivelor misiunii. Ansamblul acestor obiective şi proceduri ale misiunii definesc aria de aplicabilitate a activităţii de audit intern .

2. obiectivele şi procedurile misiunii trebuie să ţină cont de riscurile aferente activităţii auditate. Cuvântul „risc” reprezintă probabilitatea producerii unui eveniment care ar putea avea impact asupra realizării obiectivelor. Riscul se măsoară din punct de vedere al consecinţelor şi al probabilităţilor. Scopul evaluării riscurilor, în faza de planificare a auditului, este de a identifica sectoarele importante ale activităţii care ar trebui să fie examinate ca posibile obiective ale misiunii.

2210.A1


În planificarea misiunii, auditorul intern trebuie să identifice şi să evalueze riscurile aferente activităţii supuse auditului. Obiectivele misiunii trebuie să fie stabilite în

funcţie de rezultatele evaluării riscurilor.

MPA 2210.A1-1

Evaluarea riscurilor la planificarea misiunii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii la evaluarea

riscurilor în timpul planificării misiunii. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. trebuie obţinute informaţii de bază cu privire la activitatea ce trebuie auditată. Va trebui

efectuată o examinare a acestor informaţii pentru a determina impactul lor asupra misiunii. Ele se referă în primul rând la:

obiectivele şi scopul activităţii; politicile , planurile, procedurile, legile, reglementările şi contractele care pot avea

un impact semnificativ asupra operaţiunilor şi rapoartele; entitate, de exemplu numărul şi numele salariaţilor, angajaţii acre ocupă posturi

cheie, descrierea posturilor, precum şi detalii cu privire la ultimele modificări în entitate, inclusiv modificările importante ale sistemelor informatice;

bugetul, cifra de afaceri şi datele financiare privind activitatea ce trebuie auditată; documentele de lucru ale misiunii anterioare; rezultatele altor misiuni, inclusiv cele ale auditorilor externi, finalizate sau în curs

de realizare;

dosarele de corespondenţă pentru a detecta eventualele probleme importante; documentaţia tehnică de referinţă pentru activitatea în cauză.

2. realizarea, dacă este necesar, a unei examinări preliminare la faţa locului pentru a se familiariza cu activităţile, riscurile şi controalele, pentru a identifica domeniile în care misiunea trebuie aprofundată şi pentru a invita clienţii misiunii să-şi prezinte comentariile şi sugestiile. O examinare preliminară este un procedeu care permite strângerea de informaţii despre activitatea studiată, fără o verificare detaliată. Principalele scopuri sunt:

înţelegerea activităţii studiate; identificarea sectoarelor importante care necesită o analiză mai aprofundată; obţinerea de informaţii utile pentru îndeplinirea misiunii; determinarea necesităţii de a continua sau nu misiunea.

3. o examinare preliminară permite o abordare documentată pentru planificarea şi realizarea misiunii. Este un mijloc eficace de alocare a resurselor de audit intern sectoarelor în care pot fi folosite mai eficient. În funcţie de natura auditului, examinarea preliminară va fi mai mult sau mai puţin aprofundată. Aria şi durata examinării preliminare vor varia în funcţie de experienţa şi pregătirea auditorului, de cunoştinţele sale cu privire la activitatea studiată, de tipul misiunii şi de faptul că misiunea poate fi o misiune recurentă sau o misiune de monitorizare a aplicării recomandărilor. Durata va fi de asemenea influenţată de dimensiunea şi complexitatea activităţii studiate precum şi de răspândirea geografică a acestei activităţi.

4. o examinare preliminară poate antrena folosirea următoarelor proceduri: discuţii cu clientul misiunii; întâlniri cu persoanele vizate de activitate, de exemplu, utilizatorii produselor obţinute

din această activitate; observări la faţa locului; revizuirea rapoartelor şi a studiilor de management; proceduri analitice de audit; scheme de lucru ; repetiţii funcţionale (teste privind sarcinile unei anumite activităţi de la început până

la sfârşit); documentaţia activităţilor cheie de control.

5. la încheierea anchetei preliminare trebuie să se facă un rezumat al rezultatelor. Acest rezumat trebuie sa identifice: problemele importante şi motivele pentru realizarea unui studiu mai amănunţit; informaţiile relevante obţinute în timpul examinării preliminare; obiectivele şi procedurile misiunii, precum şi abordările speciale cum ar fi tehnicile de

audit asistate de calculator; punctele de control care necesită o atenţie sporită, lipsurile sau excesele aparente

legate de control; estimări preliminare în ceea ce priveşte termenul şi resursele necesare; datele actualizate pentru etapele de raportare şi de încheiere a misiunii; dacă este necesar, motivele pentru a nu continua misiunea.

2230

Resurse alocate misiunii

Auditorii interni trebuie să stabilească resursele necesare atingerii obiectivelor misiunii. La formarea echipei trebuie să se ţină cont de natura şi complexitatea fiecărei misiuni, de

limitele de timp şi de resursele disponibile.

MPA 2230-1

Resursele alocate misiunii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii în alocarea

resurselor misiunii. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. pentru a stabili resursele necesare realizării misiunii, este important să evaluăm

următoarele puncte: necesităţile în ceea ce priveşte numărul de auditori interni şi nivelul de experienţă

a; echipei de audit trebuie să se bazeze pe o evaluare a naturii şi a complexităţii misiunii încredinţate, pe limitele de timp şi resursele disponibile;

cunoştinţele, abilităţile şi celelalte competenţe ale auditorilor interni trebuie luate în calcul pentru repartizarea auditorilor în cadrul fiecărei misiuni de audit;

necesităţile de formare a auditorilor trebuie luate în calcul pentru fiecare misiune: pornind: de la acest lucru se constituie baza cerinţelor necesare activităţii de audit intern.

Necesităţi de formare : această recomandare nu implică neapărat faptul ca auditorul să urmeze o formare ad-hoc înainte de a începe o misiune (competenţe necesare abordate la punctul 2) ci faptul că o misiune poate reprezenta de asemenea ocazia ca auditorul sa-şi aprofundeze cunoştinţele cu privire la întreprindere şi procesele acesteia astfel putând să-şi dezvolte competenţele. Utilizarea resurselor externe trebuie avută în vedere în cazul în care sunt

necesare cunoştinţe, abilităţi sau competenţe suplimentare.

2240

Programul de lucru al misiunii

Auditorii interni trebuie să elaboreze un program de lucru care să permită îndeplinirea obiectivelor misiunii. Acest program de lucru trebuie să fie formalizat.

MPA 2240-1

Programul de lucru al misiunii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii în elaborarea

programelor de lucru pentru misiune. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. procedurile de audit, inclusiv tehnicile de sondaj şi eşantionare utilizate, trebuie fixate pe

cît posibil dinainte şi dezvoltate sau modificate dacă circumstanţele o cer. În MPA 2210.A1-1 înt prezentate linii directoare mai detaliate.

2. procesul de colectare, analizare, interpretare şi documentare a informaţiilor trebuie să fie supervizat pentru a obţine o asigurare rezonabilă că se respectă obiectivitatea auditorului şi că obiectivele auditului sunt atinse.

2240.A1

Programul de lucru trebuie să definească procedurile ce urmează a fi aplicate pentru a colecta, analiza, evalua şi documenta informaţiile în cadrul misiunii. Programul de lucru

trebuie să fie aprobat înainte de începerea lucrărilor. Eventualele modificări trebuie să fie aprobate rapid.

MPA 2240A1-1

Aprobarea programelor de lucru

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii la aprobarea

programelor de lucru. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. programul de lucru al misiunii trebuie aprobat în scris de către responsabilul auditului

intern sau delegatul acestuia înainte de începerea misiunii.. Aprobarea trebuie mai întâi obţinută oral dacă nu se poate obţine în scris înainte de începerea misiunii. Modificările aduse planului de misiune trebuie aprobate al timp

În scris: formalizarea aprobării nu este neapărat greoaie. Documentul „program de lucru” poate conţine numele celui care a întocmit acest document şi poate avea un spaţiu „revizuit de ________ „ pentru ca responsabilul auditului intern sau delegatul său să poată semna odată ce documentul a fost revizuit.

2300 – Realizarea misiunii

Auditorii interni trebuie să identifice, să analizeze, să evalueze şi să documenteze informaţiile în vederea îndeplinirii obiectivelor misiunii.

2310

Identificarea informaţiilor

Auditorii interni trebuie să identifice informaţiile necesare, credibile , relevante şi utile în vederea îndeplinirii obiectivelor misiunii.

MPA 2310-1

Identificarea informaţiilor

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii la colectarea

informaţiilor. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. trebuie strânse informaţii cu privire la toate elementele ce ţin de obiectivele şi aria de

aplicabilitate a misiunii. Auditorii interni utilizează proceduri analitice în examinarea şi identificarea informaţiilor. Procedurile analitice de audit sunt realizate studiind şi comparând relaţiile dintre informaţiile financiare şi celelalte informaţii. Procedurile

analitice de audit pentru identificarea informaţiilor ce trebuie analizate sunt fondate pe ipoteza că în lipsa unor condiţii contrare cunoscute, se presupun că există relaţii între anumite informaţii existente şi că aceste relaţii se păstrează. Exemple de condiţii contrare sunt tranzacţiile sau evenimentele neobişnuite în care nu au loc: modificări ale principiilor contabile, de organizare, de funcţionare, de mediu precum şi schimbări tehnologice; lipsa de eficienţă ; factori de ineficacitate; erori greşeli; neregularităţi sau fraude.

2. aceste informaţii trebuie să fie suficiente, concludente, relevante şi utile, astfel încât să furnizeze o bază solidă pentru constatările de audit şi pentru recomandările aferente

informaţie este suficientă dacă ea este de asemenea funcţională, corespunzătoare şi probantă, astfel încât o persoană prudentă şi informată să ajungă la aceleaşi concluzii ca şi auditorul.

informaţie concludentă este credibilă ş uşor accesibilă prin utilizarea tehnicilor de audit corespunzătoare.

informaţie este relevantă dacă ea confirmă constatările şi recomandările auditului şi dacă corespunde obiectivelor misiunii.

informaţie este utilă dacă ajută organizaţia să-şi atingă obiectivele.

2320

Analiză şi evaluare

Auditorii interni trebuie să-şi bazeze concluziile şi rezultatele misiunii lor pe analize şi evaluări corespunzătoare.

MPA 2320-1

Analiză şi evaluare

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii în utilizarea

analizelor şi evaluărilor pentru aşi fonda concluziile. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. procedurile analitice de audit furnizează auditorilor interni mijloace eficace şi eficiente

pentru evaluarea şi analizarea informaţiilor strânse în timpul unei misiuni. Evaluarea este rezultatul comparării acestor informaţii cu rezultatele scontate, identificate sau dezvoltate de către auditorul intern. Procedurile analitice de audit sunt utile pentru a identifica, de exemplu:

diferenţele neprevăzute; lipsa diferenţelor estimate; posibile erori; neregularităţi sau posibile fraude; alte tranzacţii sau evenimente neobişnuite sau nerecurente.

2. procedurile analitice de audit cuprind, de exemplu: compararea informaţiilor perioadei în curs cu informaţiile similare din perioadele precedente; compararea informaţiilor din perioada în curs cu bugetele sau previziunile; studiul rapoartelor existente între informaţiile financiare şi celelalte informaţii corespunzătoare (de exemplu, valorile contabilizate din cadrul plătii salariilor comparate cu evoluţia numărului mediu de angajaţi ); studiul raporturilor existente între diferite elemente de informare (de exemplu, fluctuaţiile valorilor contabilizate ale dobânzii comparate cu evoluţiile soldurilor datoriilor aferente);

compararea informaţiilor cu informaţii similare de la mai multe unităţi operaţionale; compararea informaţiilor sectoriale de acelaşi fel.

3. procedurile analitice de audit pot folosi valori monetare, cantităţi fizice, proporţii şi procentaje. Procedurile analitice de audit specifice pot cuprinde, de exemplu, proporţii, tendinţe şi analize de regresie, teste de rezonabilitate , comparaţii între perioade, comparaţii cu bugetele, previziunile şi informaţiile economice exterioare. Procedurile analitice de audit ajută auditorul intern să identifice condiţiile care pot determina apariţia unor proceduri de audit complementare. Auditorii interni trebuie să utilizeze procedurile analitice de audit pentru planificarea misiunii conform instrucţiunilor cuprinse în secţiunea 220 a normelor (MPA 2210-1).

4. procedurile analitice de audit trebuie de asemenea să fie utilizate în timpul misiunii pentru a examina şi evalua informaţiile care susţin rezultatele auditului. Auditorii interni trebuie să ia în calcul factorii de mai jos pentru a putea determina în ce măsură trebuie folosite procedurile analitice de audit. După evaluarea acestor factori, auditorii interni trebuie să ia în calcul şi să folosească, dacă este necesar, alte proceduri de audit pentru a îndeplini obiectivul misiunii, şi anume: importanţa sectorului studiat; validitatea sistemului de control intern; disponibilitatea şi credibilitatea în informaţiile financiare şi a celorlalte informaţii ; gradul de precizie aşteptată de la rezultatele procedurilor analitice de audit; disponibilitatea şi posibilitatea de a face comparaţii între sectoare; relevanţa altor proceduri de audit pentru susţinerea rezultatelor misiunii.

5. când procedurile analitice de audit evidenţiază raporturi sau rezultate neprevăzute , auditorii interni trebuie să examineze şi să evalueze aceste rezultate şi raporturi. Examinarea şi evaluarea raporturilor şi a rezultatelor neaşteptate obţinute cu ajutorul procedurilor analitice de audit trebuie să ducă la chestionarea conducerii sau la utilizarea altor proceduri de audit până când auditorii interni obţin explicaţii satisfăcătoare. Rezultatele sau raporturile care nu sunt explicate, obţinute cu ajutorul procedurilor analitice de audit pot indica fapte importante cum ar fi o posibilă eroare , neregularitate, fraudă. Rezultatele sau raporturile care nu sunt suficient de explicite, obţinute în urma procedurilor analitice de audit, trebuie comunicate nivelului de conducere corespunzător. Auditorii interni pot recomanda luarea unor măsuri corespunzătoare, în funcţie de situaţie.

2330

Documentarea informaţiilor

Auditorii interni trebuie să documenteze informaţiile relevante în vederea justificării concluziilor şi rezultatelor misiunii.

MPA2330-1

Documentarea informaţiilor

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii la înregistrarea

informaţiilor obţinute. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. documentele de lucru care servesc la documentarea activităţilor de audit trebuie

întocmite de către auditorul intern şi revăzute de conducerea auditului intern. Aceste documente trebuie să consemneze informaţiile obţinute şi analizele făcute şi trebuie să confirme constatările şi recomandările de audit care vor fi raportate Documentele de lucru servesc în principal la:

furnizarea principalului document suport pentru comunicările în cadrul misiunii; planificarea, executarea şi revizuirea misiunilor; documentarea realizării obiectivelor de audit; facilitarea revizuirii de către terţi; furnizarea unei baze de evaluare a programului pentru calitate al auditului intern; aducerea unor elemente probante în caz de reclamaţii din partea companiilor de

asigurări, în caz de frauda sau trimitere în judecată dezvoltarea profesională a echipei de audit intern; demonstrarea faptului că auditul intern respectă normele pentru practicarea

profesională a auditului intern.2. organizarea, întocmirea şi conţinutul dosarelor de lucru ale auditului se face în funcţie de

misiune. Dosarele de lucru trebuie totuşi să cuprindă următoarele elemente: planificarea misiunii; evaluarea riscurilor examinarea şi evaluarea relevanţei şi a eficacităţii sistemului de control intern; procedurile folosite pentru realizarea misiunii, informaţiile obţinute şi concluziile rezultate ; revizuirea dosarelor de lucru; comunicarea rezultatelor; monitorizarea misiunii;

3. dosarele de lucru trebuie să fie complete şi să justifice concluziile rezultate în urma misiunii. Dosarele de audit pot conţine între altele:

documentele de planificare şi programele misiunii; chestionarele de control, schemele de lucru (diagramele de circulaţie a informaţiei), listele de control şi memorandumurile de sinteză; note şi referate privind întâlnirile; date despre entitate, precum organigramele şi descrierile posturilor; o copie a contractelor importante; scrisori de confirmare şi reprezentare; analiza şi sondajele efectuate cu privire la tranzacţii, procese şi solduri contabile; rezultatele procedurilor analitice de audit; raportul final al misiunii şi observaţiile conducerii; corespondenţa , dacă aceasta vine în sprijinul concluziilor trase în urma misiunii.

4. dosarul de lucru poate fi prezentat pe hârtie, pe casetă, pe dischetă sub forma unui film sau a altui mijloc de înregistrare. Dacă dosarul de lucru nu este pe hârtie, trebuie păstrată şi o copie de rezervă.

5. în cazul unui audit al situaţiilor financiare, documentele de lucru trebuie să demonstreze faptul că sunt în conformitate cu înregistrările în contabilitate .

6. responsabilul auditului intern trebuie să stabilească regulile ce trebuie urmate în ceea ce priveşte documentele de lucru, reguli adaptate pentru fiecare tip de misiune. Normalizarea dosarelor de lucru, de exemplu normalizarea chestionarelor şi a programelor de audit poate îmbunătăţi eficacitatea unei misiuni şi poate facilita delegarea

sarcinilor. Anumite dosare de lucru pot fi considerate dosare permanente. Aceste dosare conţin informaţii cu caracter permanent.

7. iată câteva tehnici tipice pentru pregătire unui dosar de lucru: fiecare document e lucru trebuie să poarte numele misiunii şi să descrie conţinutul sau obiectul documentului de lucru; fiecare document de lucru trebuie să fie semnat (sau parafat) şi datat de către auditorul intern care realizează activitatea; fiecare document de lucru trebuie să aibă un index sau un număr de referinţă; trebuie explicate simbolurile de verificare („tick marks”); trebuie precizate sursele datelor.

2330.A1

Responsabilul auditului intern trebuie să controleze accesul la dosarele misiunii. Acesta trebuie să obţină, dacă este necesar, acordul conducerii şi/sau avizul unui

jurist înainte de a transmite aceste dosare în exterior.

MPA 2330.A1-1

Controlul dosarelor de audit

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii privind controlul

dosarelor de audit. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă.1. documentele de lucru ale misiunii sunt proprietatea entităţii. În general ele trebuie să

rămână sub controlul auditului intern şi nu trebuie să aibă acces la ele decât personalul autorizat.

2. conducerea şi ceilalţi membrii ai entităţii pot cere accesul la documentele de lucru ale misiunii. Un astfel de acces poate fi necesar pentru a corobora sau explica constatările şi recomandările misiunii sau pentru a utiliza documentele unei misiuni în alte scopuri. În prealabil, responsabilul auditului intern trebuie să autorizeze aceste cereri.

3. în practică, auditorii externi şi interni îşi transmit uni altora dosarele de lucru. Accesul acordat auditorilor externi trebuie să fie aprobat de către responsabilul auditului intern.

4. există situaţii când cererile de acces la dosarele de lucru şi la rapoarte sunt făcute de către persoane dina afara entităţii, altele decât auditorii externi. Înainte de a accepta furnizarea documentaţiei cerute, responsabilul auditului intern trebuie să obţină aprobarea din partea conducerii şi/sau după caz, din partea consilierului juridic.

În Franţa, rapoartele de audit intern trebuie transmise, la cererea acestora, Comisarilor de conturi şi justiţiei. Pentru sectorul bancar, regulamentul 97-02 al CRBF, înlocuit cu regulamentul 2000-01, menţionează în plus că rapoartele cu privire la controlul intern şi la supravegherea riscurilor sunt prezentate în fiecare an Comisarilor de conturi şi secretariatului general al Comisiei Bancare. Se recomandă deci ca faptele de care au cunoştinţă auditorii interni să fie prezentate cu discernământ, prudenţă şi circumspecţie. Facem trimitere la comentariile formulate cu privire la codul deontologic.

MPA 2330.A1-2

Accesul la dosarele de audit – aspecte juridice

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii înainte de a permite

accesul la dosarele de audit persoanelor din exteriorul auditului intern. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate.

Respectarea Modalităţilor Practice de Aplicare este facultativăAvertisment : auditorii interni trebuie să consulte un consilier juridic cu privire la

toate problemele de ordin juridic, regulile aplicabile putând varia considerabil de la o legislaţie la alta. Îndrumările conţinute în prezenta MPA se bazează în principal pe sistemul juridic american

1. dosarele de audit intern rapoartele, documentele justificative, notele de reexaminare şi corespondenţa schimbată, oricare ar fi suportul utilizat. Auditorii interni întocmesc aceste dosare cu ajutorul conducerii şi al organelor deliberante pentru care efectuează prestările. Cuprinsul acestor dosare se estimează a fi în general confidenţial şi poate fi întemeiat atât pe fapte cât şi pe opinii. Accesul la dosarele de audit poate fi solicitat de către terţi prin diverse proceduri, printre care putem enumera urmăririle penale, litigiile, verificările fiscale, controalele instanţelor de reglementare, examinarea achiziţiilor publice şi controalele efectuate în cadrul profesiunilor abilitate să se autoreglementeze. Teoretic toate dosarele care nu sunt acoperite de secretul profesional dintre avocat şi clientul său pot fi comunicate în cazul procedurilor judiciare. Pentru celelalte proceduri, problema accesului la dosare este mai puţi evidentă.

2. inserarea procedurilor explicite în documentele auditului intern enumerate mai jos poate permite sporirea controlului asupra accesului la dosarele de audit. Aceste sugestii sunt analizate în paragrafele de mai jos:

cartă; descrierea posturilor; politicile interne ale serviciului; proceduri referitoare la desfăşurarea anchetelor efectuate împreună cu

Consilierii juridici.3. carta auditului intern trebuie să trateze atât accesul la dosarele şi informaţiile care

aparţin entităţii cât şi controlul acestora, indiferent de suportul utilizat pentru păstrarea documentelor.

4. membrii auditului intern trebuie să dispună de descrieri scrise ale posturilor precizând natura sarcinilor complexe şi variate pe care le îndeplinesc. Aceste descrieri ale posturilor ar putea să-i ajute pe auditorii interni în cazul cererii de transmitere a dosarelor. În plus, vor ajuta la mai buna delimitare a sferei activităţilor lor permiţând în acelaşi timp terţilor să înţeleagă mai bine sarcinile auditorilor interni.

5. se recomandă stabilirea unor proceduri specifice serviciului de audit intern cu scopul de a preciza modul de funcţionare a auditului intern. Aceste proceduri scrise vor trebui să acopere mai ales următoarele puncte: conţinutul dosarelor de audit, termenul de păstrare a dosarelor serviciului, modalităţile de procesare a cererilor de acces la dosarele şi procedurile specifice ce trebuie urmate în cazul unei anchete efectuate împreună cu consilierul juridic. Aceste puncte sunt examinate în cele ce urmează.

6. o procedură vizând diferite tipuri de misiuni trebuie să precizeze conţinutul şi forma dosarelor de audit precum şi modalitatea de procesare a notelor de revizuire (păstrarea pentru justificarea problemelor ridicate şi soluţionate ulterior sau distrugerea lor pentru a împiedica accesul unor terţi la acestea). De altfel, se recomandă să se menţioneze printr-o procedură termenul de păstrarea a dosarelor de audit. Aceste termene vor fi stabilite în funcţie de necesităţile entităţii şi de cerinţele legale. (Este important ca acest punct să fie verificat împreună cu consilierul juridic).

7. politicile de audit intern trebuie să precizeze identitatea persoanelor însărcinate cu asigurarea controlului şi securităţii dosarelor serviciului şi a persoanelor acre pot avea acces la dosarele de audit, precum şi modalităţile de procesare a cererilor de acces la aceste dosare. Aceste proceduri pot varia în funcţie de practicile folosite în acest domeniu sau de cele ale dreptului aplicabil entităţii. Responsabilul auditului intern şi ceilalţi membrii ai auditului intern trebuie să urmeze cu atenţie evoluţia jurisprudenţei şi a practicilor în domeniu. Aceştia trebuie de asemenea să anticipeze eventualele cereri de acces la rezultatele activităţii lor.

8. procedura care defineşte condiţiile de acces la dosarele de audit trebuie de asemenea să acopere următoarele puncte: procesul care trebuie urmat pentru a rezolva problemele de acces; termenul de păstrare pentru fiecare tip de document de lucru; programul de formare şi actualizare a cunoştinţelor echipei de audit intern cu

privire la riscurile şi problemele de acces la dosarele lor; şi necesitatea de a efectua periodic un studiu ala acestui domeniu cu scopul

de a anticipa posibilele cereri de acces la dosare.9. o procedură trebuie să permită auditorului intern să stabilească dacă un audit

justifică o anchetă – sau, cu alte cuvinte, dacă un audit determină realizarea unei anchete efectuate împreună cu un avocat şi de asemenea procedurile specifice ce trebuie urmate în ceea ce priveşte comunicarea cu Consilierul juridic. Procedura trebuie de asemenea să abordeze aspectele legate de semnarea unui angajament de confidenţialitate privind toate informaţiile încredinţate avocatului.

10.auditorii interni trebuie de altfel să atragă atenţia Consiliului şi conducerii asupra riscurilor accesului la dosarele de audit. Procedurile referitoare la dreptul de acces la dosare, modalităţile de procesare a cererilor de acces şi demersul ce trebuie făcut pentru ca un audit să justifice realizarea unei anchete trebuie revăzute de către comitetul de audit (sau de către un organ de deliberare echivalent). Aceste proceduri variază în funcţie de caracteristicile entităţii şi de dispoziţiile legii privind secretul profesional.

11.este important ca dosarele de audit ce trebuie făcute publice să fie bine pregătite. În această privinţă se recomandă să se urmeze următoarele etape: trebuie făcute publice doar documentele cerute. Ca regulă generală, dosarele

de audit ce conţin opinii şi recomandări nu sunt comunicate. Documentele care dezvăluie argumentaţia sau strategiile avocaţilor sunt în general acoperite de secretul profesional şi comunicarea lor nu este obligatorie;

trebuie transmise doar copiile, exemplarul original trebuind păstrat, în special dacă documentele au fost redactate cu creionul. Dacă tribunalul cere originalul, auditul intern trebuie să păstreze o copie;

trecerea pe fiecare document a menţiunii „confidenţial” precum şi o adnotare precizând că orice difuzare către o altă persoană trebuie să facă obiectul unei autorizări prealabile.

2330.A2

Responsabilul auditului intern trebuie să stabilească reguli privind păstrarea dosarelor misiunii. Aceste reguli trebuie să corespundă orientărilor definite entitate şi oricărei

cerinţe de reglementare sau de altă natură.

MPA 2330.A2-1

Păstrarea dosarelor

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii la definirea

modalităţilor de păstrare a dosarelor de audit. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă1. modalităţile de păstrare a dosarelor de audit trebuie întocmite astfel încât să vizeze toate

dosarele, indiferent de forma în care sunt păstrate.

2340

Supervizarea misiunii

Misiunile trebuie să facă obiectul unei supervizări corespunzătoare în vederea garantării îndeplinirii obiectivelor, asigurării calităţii şi dezvoltării profesionale a personalului.

MPA 2340-1

Supervizarea misiunii

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii în momentul

supervizării misiunii. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.

Respectarea Modalităţilor Practice de Aplicare este facultativă1. responsabilul auditului intern are sarcina de a asigura o supervizare corespunzătoare a

auditurilor. Supervizarea începe cu planificarea misiunii şi se continuă cu verificările, evaluările, raportul şi monitorizarea misiunii. Supervizarea constă în:

asigurarea că auditorii desemnaţi deţin cunoştinţele, abilităţile şi celelalte competenţe necesare pentru îndeplinirea misiunii;

furnizarea instrucţiunilor corespunzătoare în cursul planificării misiunii şi aprobarea programului misiunii;

verificarea pentru a stabili dacă programul aprobat este executat corect existând posibilitatea unor modificări justificate şi autorizate;

controlarea documentelor de lucru pentru ca acestea să conţină elementele probante care demonstrează constatările, concluziile şi recomandările misiunii;

asigurarea că raportul este exact, obiectiv, clar, concis, constructiv şi întocmit în termenele fixate;

asigurarea că obiectivele de audit au fost atinse; valorificarea tuturor oportunităţilor pentru dezvoltarea cunoştinţelor, a abilităţilor şi

a celorlalte competenţe ale auditorilor interni. 2. trebuie să existe o dovadă a supervizării efectuate ce trebuie documentată şi păstrată în

documentele de lucru. Aria supervizării depinde de competenţa şi experienţa auditorilor interni precum şi de complexitatea misiunii. Responsabilul auditului intern are întreaga responsabilitate pentru supervizarea misiunilor dar poate de asemenea să desemneze o altă persoană cu experienţa şi competenţa cerută pentru realizarea acestei supervizări. Auditorii interni care au experienţa necesară pot fi folosiţi pentru a superviza munca celorlalţi auditori interni mai puţin experimentaţi.

3. responsabilul auditului intern este însărcinat cu toate misiunile de audit indiferent dacă acestea sunt realizate de către auditul intern sau în numele acestuia. El este de asemenea responsabil de toate opiniile profesionale importante formulate în timpul planificării, verificărilor, evaluărilor, raportului şi monitorizări misiunii. Responsabilul

auditului intern trebuie să se folosească de mijloacele adecvate pentru a-şi asuma această responsabilitate. Mijloacele adecvate vizează regulile şi procedurile destinate: reducerii riscului ca opiniile profesionale formulate de auditorii interni sau de alte

persoane care execută lucrări pentru auditul intern să fie în dezacord cu opinia profesională a responsabilului auditului intern ceea ce ar avea un efect negativ asupra misiunii;

rezolvarea conflictelor de opinie între responsabilul auditului intern şi auditorii interni asupra punctelor importante ale misiunii. Mijloacele ce trebuie utilizate pot fi:

a) dezbaterile privind constatările relevante ;b) anchetele şi cercetările suplimentare ;c) menţionarea în documentele de lucru a diferitelor puncte de vedere, împreună cu

documentele suport.În cazul unor opinii contrare privind chestiunile de etică, mijloacele corespunzătoare trebuie să facă apel la persoane care, în cadrul entităţii au responsabilităţi în acest domeniu.

4. supervizarea cuprinde formarea şi dezvoltarea personalului, evaluarea performanţelor, urmărirea cheltuielilor şi a timpului utilizat, şi alte aspecte administrative de aceeaşi natură.

5. toate documentele de lucru trebuie revăzute pentru a se asigura că ele stau la baza raportului de audit şi că toate procedurile de audit necesare au fost efectuate. Această revizuire trebuie materializată prin menţionarea pe fiecare document de lucru revizuit a iniţialelor supervizorului şi a datei. Alte tehnici de revizuire care furnizează o dovadă a revizuirii includ un check list de revizuire sau un memorandum care precizează natura, aria şi rezultatele revizuirii.

6. supervizorii pot pregăti o listă scrisă a problemelor (note de revizuire) ridicate în cursul revizuirii. În momentul abordării punctelor ce trebuie revizuite, trebuie să ne asigurăm că dosarul de lucru va conţine de aici înainte elementele care demonstrează că au fost soluţionate problemele apărute în timpul revizuirii. Alternativele acceptabile, în ceea ce priveşte păstrarea notelor, sunt următoarele: păstrarea notelor de revizuire ca înregistrări ale problemelor ridicate de către

supervizor şi ale acţiunilor întreprinse pentru rezolvarea lor; eliminarea notelor de revizuire după soluţionarea problemelor şi după ce

documentele de lucru necesare au fost modificate pentru a furniza informaţiile suplimentare cerute.

2400 – COMUNICAREA REZULTATELOR

AUDITORII INTERNI TREBUIE SĂ COMUNICERAPID REZULTATELE MISIUNII

MPA 2400 - 1

Comunicarea rezultatelor - Aspecte juridice


Se recomandă auditorilor interni să ţină cont de următoarele sugestii la comunicarea rezultatelor misiunii. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce

trebuie examinate la comunicarea rezultatelor.


Notă - Auditorii interni trebuie să consulte un consilier juridic cu privire la toate chestiunile de ordin juridic, regulile aplicabile putând varia considerabil în funcţie de diferite jurisdicţii Directivele conţinute în prezenta Modalitate Practică de Aplicare se bazează în principal pe sistemul juridic american.1. Auditorii interni trebuie să ia toate măsurile necesare înainte de a menţiona în rapoartele sau

în documentele lor de lucru concluzii şi opinii cu privire la încălcarea legii şi a reglementărilor sau la orice altă problemă de ordin juridic. Se recomandă stabilirea de politici şi formularea de proceduri pentru aceste situaţii şi strânsa colaborare cu responsabilii competenţi din alte domenii corespunzătoare (consilier juridic, Compliance Officer/deontolog, etc.).

2. Auditorii interni trebuie să adune elemente probante, să emită decizii bazate pe analize, să raporteze rezultatele muncii lor şi să se asigure că sunt luate măsuri corective. Sarcinile auditorului intern, obligat să îşi documenteze dosarele de audit, pot să nu fie în acord cu cele ale consilierului juridic preocupat de a nu păstra elementele care ar putea compromite mijloacele de apărare a entităţii. Într-adevăr, chiar dacă auditorul intern desfăşoară o anchetă în mod corespunzător , faptele divulgate pot pune sub semnul întrebării argumentarea consilierului juridic. 0 planificare şi proceduri corespunzătoare sunt deci esenţiale pentru a evita ca dezvăluirea unor fapte să provoace un dezacord între consilierul juridic (al societăţii) şi auditorul intern. Se recomandă să se precizeze, în proceduri, rolul fiecăruia şi modul de comunicare. De altfel, auditorul intern şi consilierul juridic trebuie să favorizeze în cadrul entităţii o cultură etică şi un comportament preventiv sensibilizând conducerea în privinţa procedurilor. Auditorii interni trebuie să ia în considerare următoarele puncte, în special în cazul misiunilor ale căror rezultate ar putea fi dezvăluite sau comunicate persoanelor din afara entităţii.

3. Pentru păstrarea secretului profesional la care este obligat avocatul sunt necesare patru elemente. Trebuie să existe:

o comunicare,

realizată în confidenţialitate deplină,

între persoane protejate de secretul profesional,

pentru a furniza clientului asistenţă juridică.Secretul profesional, al cărui principal scop este protejarea informaţiilor comunicate avocatului, poate de asemenea să se aplice şi în cazul informaţiilor comunicate terţilor care lucrează cu avocatul.

4. Anumite jurisdicţii au admis existenta unui "drept de auto-analiză critică" care permite păstrarea confidenţialităţii documentelor de auto-critică cum ar fi dosarele de audit. Ca regulă generală, recunoaşterea acestui drept se bazează pe postulatul conform căruia confidenţialitatea analizelor efectuate în cazurile examinate primează asupra interesului general, aşa cum demonstrează argumentarea de mai jos extrasă dintr-un raţionament:

Dreptul de analiză auto-critică a fost admis în anumite condiţii pentru a păstra confidenţialitatea anumitor auto-evaluări critice. Acesta permite persoanelor fizice sau entităţilor să se asigure că respectă regulile legale şi regulamentare fără a genera totuşi dovezi care ar putea fi reţinute împotriva lor de către partea adversă în cazul unui litigiu ulterior. Această doctrină se bazează pe ideea că o astfel de autoevaluare critică încurajează importanţa acordată de public respectării acestui drept.

5. Ca regulă generală, protejarea prin secretul profesional implică respectarea a trei condiţii: trebuie ca informaţiile protejate prin secret să provină dintr-o analiză auto-critică

întreprinsă de partea care invocă secretul; trebuie ca protecţia informaţiilor conţinute în analiza critică să fie determinată în mod

vizibil de interesul general; trebuie să fie vorba despre informaţii a căror posibilă divulgare ar avea ca efect

restrângerea fluxului acestora.In anumite cazuri, tribunalele au cercetat de asemenea dacă analiza critică a precedat sau provocat prejudiciul cauzat reclamantului, sau dacă aceasta a intervenit după evenimentele care au stat la bază reclamaţiei, caz în care păstrarea secretului este perfect justificată.

6. Ca regulă generală, tribunalele au fost mai reticente în a admite existenţa unui drept la secret fondat pe autoevaluare atunci când cererea de transmitere a documentelor este eliberată de o administraţie publică şi nu de o persoană particulară; această atitudine este foarte probabil legată de recunoaşterea interesului mai mare al statului în aplicarea legii . Secretul fondat pe autoevaluare este foarte bine adaptat funcţiilor şi activităţilor care au adoptat proceduri de auto-reglementare cum ar fi, de exemplu, spitalele, agenţii de brokeraj (case) şi cabinetele de expertiză contabilă. Majoritatea acestor proceduri sunt asociate cu procedurile pentru asigurarea calităţii care vin să completeze o activitate operaţională precum auditul financiar.

7. Pentru a beneficia de protecţia prin intermediul secretului, documentele trebuie, conform doctrinei, să îndeplinească trei condiţii. Trebuie ca aceste documente să fie întocmite pentru a beneficia de protecţia documentelor conform doctrinei unui suport de lucru:

sub forma unor suporturi de lucru (instrumente) (poate să fie vorba despre memorii, de exemplu un program informatic);

în anticiparea unui litigiu;

şi de către un reprezentant al avocatului.8. Documentele întocmite înainte de a exista o relaţie între avocat şi client nu sunt protejate în

baza acestei doctrine care nu prevede nici o protecţie în cazul în care astfel de documente sunt date avocatului. In plus, aplicarea acestei doctrine este supusă unor condiţii. Transmiterea documentelor către avocat, înainte ca legătura dintre acesta şi client să fie formată, nu va proteja acele documente conform doctrinei produsului muncii. Intr-adevăr, documentele nu sunt protejate dacă transmiterea informaţiilor răspunde unei necesităţi substanţiale şi dacă aceste informaţii nu pot fi obţinute altfel fără un efort excesiv. Astfel, în afacerea Grand Jury, comitetul de audit al societăţii avusese întâlniri pentru a determina dacă fuseseră efectuate în străinătate plăţi dubioase. Raportul său a beneficiat de protecţie prin secret în baza doctrinei de mai sus, cu excepţia extraselor referitoare la întâlnirile organizate cu persoane care au decedat între timp.

2410Criteriile comunicării

Comunicarea trebuie să includă obiectivele şi sfera de activitate a misiunii, precum şi concluziile, recomandările şi planurile de acţiune.

Normele anterioare se opreau, în ceea ce priveşte conţinutul comunicării la recomandări. Includerea în raport a planurilor de acţiuni ale audiaţilor reprezenta totuşi practica anumitor Servicii de audit intern (ceilalţi cereau aceste planuri de acţiuni ca răspuns la recomandările conţinute în raport). Astăzi, în cadrul normelor se prevede că: auditul intern nu aduce de fapt un

plus de valoare decât dacă recomandările sale conduc la întocmirea de planuri de acţiuni (care sunt aplicate….. de unde rezultă necesitatea unui control al stadiului aplicării acestor planuri) : raportul nu este complet iar misiunea nu este încheiată dacă planurile de acţiuni nu sunt cuprinse în raport.

MPA2410- 1

Conţinutul comunicării


Se recomandă auditorilor interni să ţină cont de următoarele sugestii la comunicarea rezultatelor misiunii. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate în timpul comunicării rezultatelor.


1. Formatul şi conţinutul rapoartelor de audit pot varia de la o entitate la alta precum şi de la un tip de misiune la altul. Totuşi, aceste rapoarte trebuie să conţină, cel puţin, obiectivele, sfera de activitate şi rezultatele auditului.

2. Rapoartele finale de audit pot cuprinde informaţii despre context şi sinteze. Informaţiile despre context pot prezenta unităţile şi activităţile examinate şi pot furniza explicaţii utile. Observaţiile, concluziile şi recomandările rapoartelor precedente pot de asemenea să fie reluate; se mai poate indica şi dacă acest audit reprezintă o misiune înscrisă în planul de audit sau care răspunde la o anumită solicitare specială. Dacă sunt incluse sinteze, acestea trebuie să fie proporţionale cu conţinutul raportului.

3. Prezentarea obiectului misiunii trebuie să descrie obiectivele şi poate, dacă este necesar, să informeze cititorul cu privire la motivele misiunii şi rezultatele scontate.

4. Prezentarea obiectului misiunii trebuie să precizeze activităţile auditate şi să cuprindă, dacă este necesar, informaţii complementare cum ar fi perioada vizată, natura şi sfera lucrărilor. Activităţile conexe neexaminate trebuie să fie menţionate, dacă este necesar, pentru a preciza limitele intervenţiei.

5. Rezultatele trebuie să cuprindă observaţiile, concluziile (opiniile), recomandările şi planurile de acţiune.

6. Observaţiile reprezintă prezentări pertinente ole faptelor. Observaţiile care justifică concluziile şi recomandările sau care permit evitarea unei neînţelegeri trebuie să fie incluse în raportul final. Informaţiile sau observaţiile mai puţin importante pot fi comunicate în mod neoficial.

7. Observaţiile şi recomandările reprezintă rezultatul unui proces de comparare între ceea ce ar trebui să existe şi ceea ce există. Atunci când situaţiile sunt în conformitate cu referinţele, se recomandă să se menţioneze în raportul de audit că funcţionarea este corespunzătoare. Observaţiile şi recomandările trebuie fondate pe următoarele caracteristici:

Criterii : norme, măsuri sau standarde utilizate pentru evaluare sau verificare (ceea ce ar trebui să existe);

fapte: dovezi reale identificate de auditorul intern în cursul examinării făcute de acesta (ceea ce există cu adevărat);

cauze: explicarea diferenţei între situaţia scontată şi cea existentă (motivul acestei diferenţe);

consecinţe: riscul sau pericolul la care o entitate sau alte persoane sunt expuse ca urmare a faptului că situaţiile sunt diferite faţă de criterii (impactul diferenţei). Pentru a determina importanţa riscului sau a expunerii la risc mizei, auditorii interni trebuie să ia în calcul consecinţele observaţiilor şi recomandărilor lor privind funcţionarea şi

situaţiile financiare ale entităţii; observaţiile şi recomandările pot include de asemenea îmbunătăţirile entităţii în urma

auditului, întrebări conexe şi informaţii justificative dacă acestea nu figurează în altă parte.

8. Concluziile şi opiniile reprezintă evaluările pe care auditorul intern le face privind consecinţele, observaţiile şi recomandările pentru activităţile auditate. În mod obişnuit, concluziile situează observaţiile şi recomandările în perspectiva implicaţiilor lor globale. Concluziile, atunci când sunt incluse în raportul de audit, trebuie expuse clar. Ele pot face referire la ansamblul sferei auditate sau la aspecte particulare. Pot prezenta, nelimitându-se la aceasta, în ce măsură obiectivele operaţionale şi programele sunt în conformitate cu cele ale entităţii, scopurile şi obiectivele entităţii sunt îndeplinite, iar activitatea examinată funcţionează aşa cum este prevăzut.

9. Rapoartele trebuie să cuprindă recomandări cu privire la posibilele îmbunătăţiri şi să prezinte funcţionările satisfăcătoare şi măsurile corective. Recomandările se bazează pe observaţiile şi concluziile auditorului intern. Acestea se referă la acţiunile destinate corectării situaţiilor existente sau îmbunătăţirii funcţionării. Recomandările pot sugera abordări care vizează corectarea sau îmbunătăţirea funcţionării, abordări pe care conducerea le poate utiliza ca ghid pentru obţinerea rezultatelor dorite. Recomandările pot fi generale sau specifice. De exemplu, în anumite cazuri poate fi oportun să se recomande o linie de acţiune generală şi propuneri specifice de aplicare. In alte cazuri, poate fi de preferat să se sugereze doar o examinare sau un studiu complementar.

10. Realizările efectuate de auditat, indiferent dacă este vorba despre îmbunătăţiri aduse în comparaţie cu ultimul audit, sau de o funcţionare bine controlată, pot figura în raportul final. Această informaţie poate fi necesară pentru a avea o imagine fidelă a situaţiei actuale, pentru a oferi o perspectivă corespunzătoare şi a asigura un echilibru adecvat în raportul final de audit.

11. Punctul de vedere al auditatului, cu privire la concluziile (opiniile) sau recomandările de audit, poate figura în raportul de audit.

12. In cadrul discuţiilor între auditorul intern şi auditat, auditorul intern trebuie să încerce să obţină acordul auditatului asupra rezultatelor auditului şi asupra unui plan de acţiune care vizează îmbunătăţirea funcţionării, dacă este necesar. Dacă auditorul intern şi auditatul nu se pun de acord asupra rezultatelor auditului, raportul de audit poate menţiona cele două poziţii precum şi motivele dezacordului. Comentariile scrise ale auditatului pot fi incluse într-o anexă la raport; sau opiniile acestuia pot fi prezentate în cadrul raportului sau într-o scrisoare ataşată.

13. Uneori, anumite informaţii nu pot fi dezvăluite tuturor destinatarilor raportului pentru că este vorba despre informaţii confidenţiale cu drept de autor sau referitoare la actele neregulamentare sau ilegale. Aceste informaţii pot totuşi să fie incluse într-un raport distinct. Dacă faptele pe care le prezintă auditorul intern implică conducerea generală, raportul trebuie să se adreseze Consiliului entităţii, şi comitetului de audit.

14. Pot fi utilizate rapoarte interimare pentru a comunica informaţii care necesită o atenţie imediată, pentru a semnala o modificare în sfera misiunii sau pentru a informa conducerea despre progresul activităţilor atunci când misiunea este de lungă durată. Rapoartele interimare pot fi scrise sau orale, şi pot fi transmise oficial sau neoficial. Folosirea rapoartelor interimare nici nu reduce şi nici nu elimină necesitatea raportului final .

15. Un raport semnat trebuie să fie transmis la sfârşitul lucrărilor. Se recomandă să se trimită nivelurilor de conducere superioare ale entităţii auditate o notă de sinteză din care să reiasă rezultatele auditului.

Această notă poate fi emisă împreună cu raportul definitiv sau separat dar cu aceiaşi destinatari (mai puţin atunci când există o excepţie). Termenul "semnat" înseamnă că auditorul intern autorizat trebuie să semneze personal raportul; semnarea unei scrisori ataşate este o alternativă posibilă. Auditorul intern autorizat să semneze raportul trebuie să fie desemnat de

către responsabilul auditului intern. Dacă rapoartele de audit sunt transmise pe cale electronică , un exemplar semnat trebuie arhivat la auditul intern.

2420

Calitatea comunicăriiComunicarea trebuie sa fie exactă, obiectivă, clară, concisă,

constructivă, completă şi realizată în timp util.

MPA 2420 - 1Calitatea comunicării

Natura acestei Modalităţi Practice de Aplicare:Se recomandă auditorilor interni să ţină cont de următoarele sugestii atunci când îşi pregătesc comunicările. Prezenta MPA nu are co scop expunerea exhaustivă a punctelor ce trebuie examinate în comunicarea rezultatelor.


1. comunicare exactă nu conţine erori sau deformări şi este o prezentare fidelă a faptelor care stau la baza ei. Datele şi dovezile trebuie să fie colectate, evaluate şi sintetizate în vederea prezentării lor cu grijă şi precizie.

2. comunicare obiectivă este corectă, imparţială, lipsită de prejudecăţi şi rezultă dintr-o evaluare echitabilă şi măsurată a tuturor faptelor şi circumstanţelor pertinente. Constatările, concluziile şi recomandările trebuie dezvoltate şi exprimate fără prejudecată, părtinire, interes personal sau influenţă necorespunzătoare.

3. comunicare clară şi logică este uşor de înţeles. Claritatea poate fi ameliorată evitând utilizarea unui limbaj foarte tehnic şi furnizând toate informaţiile semnificative şi pertinente.

4. comunicare concisă este precisă şi evită orice detaliu nesemnificativ , orice elaborare inutilă, orice redundantă sau exces de cuvinte . Ea rezultă din verificări şi corectări permanente ale comunicărilor. Obiectivul este acela de a exprima fiecare idee cât mai exact şi mai concis .

5. comunicare constructivă îl ajută pe auditat şi organizaţia, şi duce la îmbunătăţiri atunci când acestea sunt necesare. Conţinutul şi tonul discursului trebuie să fie utile, pozitive şi constructive şi să contribuie la atingerea obiectivelor de către entitate .

Conducerea generală este obişnuită cu rapoartele de audit, însă numeroase entităţi auditate nu sunt. Este deci util să le dăm indicaţii privind lectura sub forma unor remarci introductive. De exemplu:

acest document este un raport de audit intern. Vi se cere să nu-l divulgaţi deoarece conţine informaţii confidenţiale. Un raport de audit intern analizează o situaţie şi pune accentul pe riscuri şi disfuncţionalităţi pentru a conduce la realizarea unor acţiuni de evoluţie însă nu uită să menţioneze, în câteva fraze, ceea ce funcţionează corect.

Conţine recomandări. O recomandare este o soluţie propusă responsabilului de desfăşurarea acţiunii. Acesta este responsabil de conceperea şi punerea în practică a unei soluţii la problema ridicată: cea propusă sau una mai bună.

6. 0 comunicare completă nu omite nimic esenţial pentru destinatarii avuţi în vedere. Ea conţine toate informaţiile semnificative şi relevante , precum şi observaţiile care permit justificarea recomandărilor şi a concluziilor. Conţinutul său cuprinde obiectivele şi sfera misiunii, precum şi concluziile, recomandările şi planurile de acţiuni (conform Normei 2410).

7. 0 comunicare oportună este făcută în timp util pentru a fi luată în calcul cu atenţie de către cei care pot acţiona pe baza acestora . Prezentarea rezultatelor misiunii trebuie să fie stabilită fără întârziere excesivă si cu urgenţa necesară care să permită o acţiune promptă şi eficace.

2421

ERORI Şl OMISIUNI

Dacă o comunicare finală conţine o eroare sau o omisiune importantă,responsabilul auditului intern trebuie să procedeze astfel încât

informaţiile corectate să parvină tuturor persoanelor care au primitversiunea iniţială.

MPA 2421-1

Erori şi omisiuni


Se recomandă auditorilor interni să ţină cont de următoarele sugestii în cazul în care vor fi descoperite greşeli şi erori în raportul de audit. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este recomandarea luării în considerare a unui ansamblu de elemente.


1. Dacă se dovedeşte că un raport definitiv conţine o greşeală, responsabilul auditului intern trebuie să ia în considerare necesitatea de a emite un raport rectificat care să identifice informaţiile corectate. Raportul rectificat trebuie să fie distribuit tuturor destinatarilor raportului dinainte de corectare.

2. 0 "eroare" într-un raport definitiv se defineşte ca o reprezentare eronată însă neintenţionată a faptelor sau ca omisiune a informaţiilor importante.

2420

Difuzarea rezultatelor

Responsabilul auditului intern trebuie să difuzeze rezultatelepersoanelor îndreptăţite

2440.A1

Responsabilul auditului intern este însărcinat să comunicerezultatele definitive persoanelor în măsură să asigure

că aceste rezultate vor primi atenţia necesară.

MPA 2440-1

Transmiterea rezultatelor

Natura acestei Modalităţi Practice de Aplicare:Se recomandă ca auditorii interni să ţină cont de următoarele sugestii în momentul difuzării rezultatelor. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.


1. Auditorii interni trebuie să-şi dezbată concluziile şi recomandările împreună cu responsabilii abilitaţi la diferite nivele de conducere înainte de a emite raportul final.

Acest lucru se va realiza mai uşor dacă managementul auditat a fost considerat ca partener în timpul misiunii.2. Dezbaterea privind concluziile şi recomandările se efectuează de obicei în timpul misiunii de

audit sau în reuniunile de la sfârşitul misiunii (şedinţe de încheiere). 0 altă tehnică o reprezintă examinarea, de către conducerea activităţii auditate, a problemelor, observaţiilor şi recomandărilor preliminare . Aceste dezbateri şi examinări contribuie la asigurarea că nu au existat neînţelegeri nici false interpretări ale faptelor şi oferă entităţii auditate ocazia de a clarifica anumite puncte şi de a-şi exprima părerea cu privire la observaţii, concluzii şi recomandări.

3. Nivelul ierarhic al participanţilor la discuţii şi la examinări poate varia de la o entitate la alta şi de la un raport la altul; totuşi, participanţii vor fi, în general, persoane care cunosc cu exactitate operaţiunile auditate şi acele persoane care sunt în măsură să autorizeze implementarea a măsurilor corective.

4. Responsabilul auditului intern sau delegatul său trebuie să verifice , să aprobe şi să semneze raportul final înainte de emiterea sa, şi să decidă căror persoane i va fi transmis . Dacă anumite circumstanţe o justifică, poate fi luată în considerare posibilitatea ca auditorul responsabil, supervizorul sau , şeful misiunii sau supervizorul să semneze raportul în calitate de reprezentant al responsabilului auditului intern.

5. Rapoartele trebuie să fie transmise membrilor entităţii care pot să se asigure că rezultatele auditului vor beneficia de atenţia necesară. Raportul trebuie deci trimis persoanelor aflate într-o poziţie care le permite să întreprindă acţiunile corective impuse sau să se asigure că astfel de măsuri vor fi luate. Raportul definitiv trebuie să fie dat conducerii unităţii auditate. Membrii entităţii care ocupă posturi pe o scară ierarhică mai înaltă pot primi doar o notă de sinteză. Când rapoartele trebuie comunicate altor persoane interesate sau vizate, de exemplu auditorilor externi, trebuie să ne asigurăm că acestea trebuie să respecte confidenţialitatea punctelor menţionate în raport.

Să reamintim că în Franţa, în sectorul bancar, rapoartele de audit sunt puse la dispoziţia comisarilor de conturi conform articolului 41 al Reglementării 97/02 din CRBF, înlocuit cu Reglementarea 2000-01.

MPA 2440 - 2

Difuzarea rezultatelor în afara entităţii


Se recomandă auditorilor interni să ţină cont de următoarele sugestii dacă trebuie să transmită informaţii în afara entităţii. Acest lucru se poate întâmpla atunci când auditorii interni trebuie să dea un raport sau alte informaţii unei terţe persoane pentru care au fost efectuate activităţile de audit intern şi care nu face parte din entitate. Prezenta MPA conţine o serie de elemente ce trebuie luate în considerare şi nu are drept scop expunerea exhaustivă a tuturor punctelor ce

trebuie examinate.


1. Auditorii interni trebuie să examineze directivele conţinute în scrisoarea de misiune sau în procedurile referitoare la difuzarea informaţiilor în afara entităţii. Carta auditului intern şi cea a comitetului de audit poate de asemenea să conţină directivele cu privire la difuzarea informaţiilor în afara entităţii. în lipsa unor astfel de directive, auditorul intern trebuie să faciliteze adoptarea de către entitate a unor proceduri corespunzătoare. lată câteva exemple de informaţii care pot figura în proceduri:

autorizaţia cerută pentru difuzarea informaţiilor în afara entităţii;

procesul de obţinere a autorizaţiei de a difuza informaţii în afara entităţii; directive privind natura informaţiilor a căror difuzare este sau nu autorizată;

persoane din afară autorizate să primească informaţii şi natura informaţiilor care le pot fi comunicate;

reguli referitoare la confidenţialitate, obligaţii prevăzute prin reglementări, şi aspecte juridice ce trebuie examinate înaintea difuzării informaţiilor în afara entităţii;

natura asigurărilor , sfaturilor, recomandărilor, opiniilor, directivelor şi alte informaţii care urmează a fi transmise în afara entităţii.

2. Cererile pot privi informaţiile care există deja, de exemplu un raport de audit intern deja emis . Ele pot de asemenea să vizeze informaţii care trebuie obţinute sau elaborate în cadrul unei misiuni noi de audit intern. In primul caz, auditorul intern trebuie să verifice informaţiile şi să decidă dacă acestea pot fi transmise în afara entităţii.

3. In anumite cazuri, informaţiile sau un raport existent pot fi verificate pentru a putea fi difuzate în afara entităţii. In alte cazuri este posibil ca un nou raport să fie întocmit pe baza lucrărilor deja efectuate. Examinarea , adaptarea sau crearea unui raport plecând de la activităţile anterioare trebuie efectuate cu conştiinciozitate profesională.

4. înaintea difuzării informaţiilor în afara entităţii, trebuie examinate următoarele puncte:

necesitatea obţinerii unui acord scris cu privire la informaţiile ce trebuie difuzate; identificarea surselor de informaţii, a semnatarilor raportului, a destinatarilor

informaţiei şi a persoanelor care au legătură cu raportul sau informaţiile difuzate; identificarea obiectivelor, a limitelor şi a procedurilor ce trebuie respectate pentru a

produce informaţiile respective; natura raportului sau a celorlalte informaţii comunicate, în special opinii, recomandări,

limite de responsabilitate , restricţii, şi tipul de asigurare sau declaraţie ce trebuie furnizată;

dreptul de autor şi restricţiile cu privire la difuzarea sau utilizarea ulterioară a informaţiilor.

5. Misiunile care au ca scop întocmirea de rapoarte de audit intern sau documente destinate difuzării în afara entităţii trebuie să fie realizate conform Normelor pentru Practica Profesională a Auditului Intern, iar menţionarea acestor Norme în cadrul acestui raport sau în celelalte documente.

6. Dacă în cursul unei misiuni al cărei scop este difuzarea de informaţii în afara entităţii se descoperă informaţii care trebuie raportate Direcţiei sau Comitetului de Audit, auditorul intern trebuie să furnizeze persoanelor respective toate informaţiile corespunzătoare.

Informaţiile delicate destinate a priori direcţiei generale sau comitetului de audit ar putea fi cunoscute în afara entităţii; se recomandă deci ca faptele de care au cunoştinţă auditorii interni să se prezinte în mod inteligent, cu prudenţă şi circumspecţie.

2440.C2

În cursul misiunilor de consultanţă/consiliere , este posibil să se identificeprobleme referitoare la procesele de management al riscurilor,de control şi de guvernare a entităţilor . De fiecare dată când

aceste probleme devin importante pentru entitate, ele trebuie săfie comunicate conducerii Generale şi Consiliului.

Pentru a nu lăsa impresia clientului misiunii de consultanţă/consiliere că încrederea sa a fost trădată, această posibilă comunicare către conducerea generală şi Consiliu trebuie să figureze în cartă (Norma 1000.C1) şi trebuie reamintită înainte de începerea misiunii: odată cu acceptarea şi planificarea sa.

2500 – MONITORIZAREA ACŢIUNILOR DE EVOLUŢIE

RESPONSABILUL AUDITULUI INTERN TREBUIE SĂ IMPLEMENTEZE ŞL SĂ ACTUALIZEZE UN SISTEM CARE SĂ PERMITĂ MONITORIZAREA ACŢIUNILOR

ÎNTREPRINSE CA URMARE A REZULTATELORCOMUNICATE CONDUCERII

Această supraveghere este mai uşoară, şi prin urmare mai eficace, atunci când activitatea de audit intern este efectuată de un serviciu intern al întreprinderii. Ea rămâne obligatorie când activitatea rămâne externalizată.

MPA 2500 - 1

Monitorizarea acţiunilor de evoluţie


Se recomandă auditorilor interni să ţină cont de următoarele sugestii atunci când evaluează acţiunile întreprinse ca urmare a rezultatelor comunicate conducerii. Prezenta Metodă Practică de Aplicare nu are drept scop expunerea exhaustivă a punctelor de examinat. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.


1. Responsabilul auditului intern trebuie să stabilească procedurile referitoare la următoarele aspecte:

un termen în care conducerea trebuie să răspundă la observaţiile şi recomandările auditului;

o apreciere a răspunsului conducerii;

o verificare a răspunsului (dacă este necesar);

o misiune de monitorizare (dacă este necesar); o procedură de prezentare a nivelului de conducere corespunzător

răspunsurile/acţiunile nesatisfăcătoare şi asumarea riscului care rezultă din acestea.2. Anumite observaţii şi recomandări ale auditului pot fi atât de importante încât să necesite o

acţiune imediată din partea conducerii. Aceste situaţii trebuie supravegheate de către auditul intern până la remedierea lor, având în vedere consecinţelor pe care acestea le-ar putea avea asupra entităţii.

3. Mijloace folosite pentru supravegherea reală a evoluţiei: transmiterea observaţiilor şi a recomandărilor auditului la nivelele corespunzătoare

ale conducerii a căror responsabilitate este de a lua măsuri corective; primirea şi evaluarea răspunsurilor conducerii la observaţiile şi recomandările

auditului, în decursul misiunii sau într-un interval de timp rezonabil după transmiterea raportului. Răspunsurile sunt cu atât mai utile cu cât cuprind informaţii suficiente pentru ca responsabilul auditului intern să poată aprecia pertinenţa şi calendarul de aplicare a măsurilor corective ;

obţinerea din partea conducerii a actualizărilor periodice care permit aprecierea progresului realizat de aceasta în corectarea situaţiilor semnalate anterior;

obţinerea şi aprecierea informaţiilor provenind de la alte entităţi ale entităţii care au responsabilităţi în procedurile de monitorizare sau corecţie;

raportarea către Direcţia Generală sau Consiliu privind situaţia răspunsurilor la observaţiile şi recomandările auditului.

2500.A1

Responsabilul auditului intern trebuie să adopte un proces de monitorizare care să asigure implementarea eficace a deciziilor de management sau asumarea riscului de

către conducerea generală de a nu întreprinde nici o acţiune corectivă .

MPA2500.A1-1

Procesul de monitorizare a misiunii


Se recomandă auditorilor interni să ţină cont de următoarele sugestii la punerea în aplicare a procesului de monitorizare. Prezenta MPA nu are drept scop expunerea exhaustivă a punctelor ce trebuie examinate. Singurul său scop este acela de a recomanda luarea în considerare a unui ansamblu de elemente.


1. Auditorii interni trebuie să se asigure că a fost întreprinsă o acţiune corectivă şi că aceasta şi-a atins rezultatele scontate, sau că Direcţia Generală sau Consiliul au acceptat riscul de a nu realiza acţiuni corective cu privire la observaţiile care figurează în raport.

Monitorizarea efectuată de auditorii interni se defineşte ca un proces conform căruia aceştia apreciază dacă acţiunile întreprinse de conducere, ca răspuns la observaţii şi recomandări, inclusiv cele ale auditului extern sau ale altor intervenienţi, sunt adecvate, eficiente şi întreprinse la timp.

Responsabilitatea monitorizării trebuie definită în scris în carta auditului intern. Natura, calendarul şi domeniul monitorizării trebuie să fie stabilite de către responsabilul auditului intern. Factorii care trebuie luaţi în calcul pentru a determina procedurile adecvate de monitorizare sunt:

importanţa observaţiilor şi a recomandărilor raportate;

nivelul efortului şi costul necesar pentru a corecta situaţiile;

impactul pe care l-ar putea avea eşecul acţiunii corective;

complexitatea activităţii de remediere ;

termenele;4. Pot exista cazuri când responsabilul auditului intern consideră că răspunsul scris sau oral al

conducerii demonstrează faptul că acţiunea deja întreprinsă este suficientă în ceea ce priveşte importanţa relativă a observaţiei şi a recomandării auditului. In astfel de cazuri, monitorizarea se poate face în cursul misiunii următoare.

5. Auditorii trebuie să se asigure că acţiunile întreprinse ca urmare a observaţiilor şi recomandărilor remediază situaţiile care stau la baza acestora.

6. Responsabilul auditului intern are sarcina de a planifica activităţile de monitorizare ca parte a planificării misiunilor. Planificarea monitorizării trebuie să se bazeze pe riscurile existente şi

a expunerilor la risc, precum şi pe gradul de dificultate şi pe termenul de aplicare a acţiunilor de corective .

Documents

Norme Audit Intern