Audit intern Managementul riscurilor Audit intern - control intern - managementul riscurilor Controlul intern cuprinde un set de cinci componente inter-corelate care fac parte din procesul managerial 1 . Aceste componente se regăsesc într-o măsură mai mare sau mai mică, în funcţie de dimensiune, în toate organizaţiile 2 . Iată despre ce este vorba: Mediul de control; Evaluarea riscurilor; Activităţile de control; Informaţiile şi comunicarea; Monitorizarea. Mediul de control „dă tonul” într-o organizaţie influenţând în mod decisiv atitudinea oamenilor faţă de control. Altfel spus, mediul de control reprezintă fundamentul tuturor celorlalte componente, asigurând disciplina. Printre factorii 3 care influenţează mediul de control se regăsesc: integritatea, valorile etice, competenţa personalului 1 www.coso.org/publications/executive_summary_integrated_framework.htm 2 Materialul este realizat în baza unei selecţii efectuate din L. Dobroţeanu, C.L. Dobroţeanu, Audit intern, Editura InfoMega, 2007, pag. 67 – 73 şi 135 – 156 3 L. Dobroţeanu, C.L. Dobroţeanu, Audit: concepte şi practici, Editura Economică, 2002, pag. 194-196
37
Embed
94901908 Managementul Riscurilor Si Auditul Intern
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Audit intern
Managementul riscurilor
Audit intern - control intern - managementul riscurilor
Controlul intern cuprinde un set de cinci componente inter-
corelate care fac parte din procesul managerial1. Aceste componente se
regăsesc într-o măsură mai mare sau mai mică, în funcţie de
dimensiune, în toate organizaţiile2. Iată despre ce este vorba:
Mediul de control;
Evaluarea riscurilor;
Activităţile de control;
Informaţiile şi comunicarea;
Monitorizarea.
Mediul de control „dă tonul” într-o organizaţie influenţând în mod
decisiv atitudinea oamenilor faţă de control. Altfel spus, mediul de
control reprezintă fundamentul tuturor celorlalte componente,
asigurând disciplina. Printre factorii3 care influenţează mediul de control
se regăsesc: integritatea, valorile etice, competenţa personalului
angajat, filosofia managementului şi maniera sa de acţiune,
desemnarea autorităţii şi responsabilităţilor, etc.
Evaluarea riscurilor. Aşa cum indicam într-unul din capitolele
precedente ale lucrării de faţă, fiecare organizaţie este expusă unor
riscuri a căror probabilitate şi impact trebuie evaluate. O precondiţie
pentru evaluarea riscurilor constă în stabilirea obiectivelor corelate atât
pe verticală cât şi pe orizontală în cadrul unei organizaţii. Evaluarea
1 www.coso.org/publications/executive_summary_integrated_framework.htm2 Materialul este realizat în baza unei selecţii efectuate din L. Dobroţeanu, C.L. Dobroţeanu, Audit intern, Editura InfoMega, 2007, pag. 67 – 73 şi 135 – 1563 L. Dobroţeanu, C.L. Dobroţeanu, Audit: concepte şi practici, Editura Economică, 2002, pag. 194-196
riscurilor presupune identificarea acestora şi analiza lor prin prisma
pericolului pe care-l reprezintă vis-a-vis de obiectivele organizaţiei.
Astfel, se constituie ceea ce numim fondul de riscuri ce trebuie
administrate. Unele organizaţii, îndeosebi cele mari, au creat o
structură operaţională distinctă care să realizeze acest proces complex,
cunoscută sub denumirea de managementul riscurilor organizaţiei
(ERM)4. Totodată, dat fiind faptul că circumstanţele economice,
legislative etc. sunt în continuă schimbare, sunt necesare mecanisme
noi pentru a identifica şi controla riscurile asociate acestor schimbări.
Activităţile de control reflectă politicile şi procedurile de control
aplicate la nivelul întregii organizaţii incluzând, spre exemplu, aprobări,
autorizări, examinări, reconcilieri, etc.
Informaţiile şi comunicarea. Sistemele informaţionale produc
informaţii necesare pentru derularea cotidiană a afacerilor, cum ar fi
rapoarte privitoare la aspecte financiare, operaţionale, etc. Fără o
comunicare eficace, atât pe verticală cât şi pe orizontală, orice sistem
informaţional este lipsit de valoare.
Monitorizarea. Sistemele de control intern trebuie monitorizate, în
sensul de a fi evaluate prin prisma performanţelor sale de-a lungul
timpului. În lipsa unei astfel de monitorizări, eficienţa şi eficacitatea
controalelor interne nu ar fi cunoscute şi, în consecinţă, nu ar putea fi
corectate deficienţele, după cum nu ar putea fi consolidate punctele
sale forte. Aria de acoperire şi frecvenţa acestor evaluări depinde de
procesul de evaluare a riscurilor şi de eficacitatea procedurilor de
monitorizare.
Din nefericire, există o seamă de aşteptări nerealiste privind
performanţele controlului intern, în sensul că se presupune că acesta
poate garanta succesul afacerilor organizaţiei sau că poate garanta
credibilitatea informaţiilor contabile din raportările financiare. Nici una,
nici cealaltă dintre aşteptările expuse mai sus nu sunt rezonabile
deoarece, la rândul său, controlul intern nu este o soluţie magică
4 Engl. – Enterprise Risc Management
pentru toate problemele unei organizaţii. Da, controlul intern poate
sprijini organizaţia să-şi atingă obiectivele, dar nu poate transforma un
manager incompetent, într-unul competent. Sau, referitor la
credibilitatea raportărilor financiare, controlul intern nu poate „pune
lacăte” creativităţii contabile ori elimina pentru totdeauna greşelile
inerente de calcul.
Auditului intern în aceste circumstanţe îi revine un rol important
legat de monitorizare: evaluarea continuă a eficienţei şi eficacităţii
controlului intern. De aici survin şi confuziile legate de suprapunerea
auditului intern cu controlul intern. Privit din afara organizaţiei, în baza
componentelor controlului intern prezentate mai sus, un observator ar
putea asocia auditul intern drept o structură din întregul univers al
controlului intern. Dar, analizat prin prisma rolului jucat în interiorul
organizaţiei, auditul intern nu se poate judeca pe sine cu credibilitate.
Prin urmare, este absolut obligatoriu ca cele două structuri să fie
separate: una aplică, cealaltă monitorizează şi evaluează.
În conjuncţie cu publicarea raportului COSO „Enterprise risk
management – Integrated framework”, IIA a emis un ghid adresat
şefilor departamentelor de audit care prezintă recomandările privind
relaţiile auditului intern cu ERM din cadrul organizaţiilor lor5. Printre
altele, scopul acestui ghid vizează stabilirea unei linii de demarcaţie
clare între managementul riscurilor şi responsabilităţile auditului intern
vis-a-vis de cele două.
Astfel, principalele activităţi ale auditului intern în relaţia cu ERM
sunt:
furnizarea unei asigurări cu privire la procesele de management
al riscurilor;
furnizarea unei asigurări cu privire la faptul că riscurile sunt
evaluate corect;
evaluarea proceselor de management al riscurilor;
evaluarea raportărilor privitoare la riscurile esenţiale6;5 www.theiia.org – IIA, The role of internal audit in enterprise-wide risk management, 20046 Engl.- key risks
Privitor la rolul legitim pe care-l are auditul intern, IIA subliniază:
facilitarea identificării şi evaluării riscurilor;
consilierea conducerii pentru a adopta măsuri de protecţie
împotriva riscurilor;
coordonarea activităţilor ERM;
consolidarea raportărilor privind riscurile;
menţinerea şi dezvoltarea cadrului ERM;
dezvoltarea strategiei de management a riscurilor supuse
aprobării consiliului de administraţie.
Totodată, IIA avertizează asupra rolurilor pe care auditul intern nu
trebuie să şi le asume7:
stabilirea apetitului pentru risc;
impunerea proceselor de management al riscurilor;
asigurarea managementului cu privire la riscuri
adoptarea deciziilor privind măsurile de contracarare a riscurilor;
implementarea acestor măsuri în numele managementului;
Studiu de caz KeosKeos este o companie care distribuie consumabile pentru tehnica
de calcul. Sistemul de procesare a comenzilor provenite de la clienţi,
respectiv a facturării produselor livrate adoptat de Keos este următorul:
Dra. Kate, operator la departamentul de vânzări, înregistrează
comenzile într-un registru de comenzi, pre-numerotat, emis patru
exemplare (1 original şi trei copii) pentru fiecare comandă, numai
după ce a interogat baza de date referitoare la registrul de vânzări.
Interogarea are drept scop asigurarea că limitele de credit alocate
pe clientul respectiv nu sunt depăşite. Clienţii noi sunt supuşi în
prealabil procesului de stabilire a limitelor de creditare, operaţiune
efectuată de către managerul departamentului de vânzări;
7 Reamintim că, în acest context, responsabilitatea pentru stabilirea apetitului pentru risc al conducerii revine ERM.
Primul exemplar (originalul) al comenzii este reţinut la serviciul de
vânzări, iar cele trei copii sunt trimise la depozit pentru a fi
autorizată livrarea. Depozitul selectează produsele comandate şi le
ambalează. Comenzile pentru produsele care nu se găsesc în stoc
sunt înregistrate într-un fişier de aşteptare şi sunt procesate în
momentul în care stocurile sunt primite. Exemplarele doi şi trei ale
comenzii sunt trimise clientului împreună cu produsele livrate,
cerând clientului să semneze exemplarul doi şi să-l restituie
agentului de distribuţie Keos. Cea de-a patra copie este trimisă la
serviciul de contabilitate şi este confruntată cu exemplarul doi
returnat de client.
Detaliile exemplarului patru sunt introduse de către dra. Sharon,
operator registrul vânzări, în fişierul privind registrul de vânzări.
Programul prevede o serie de chei de control pentru a preveni riscul
de a nu introduce greşit codul clientului sau al produselor livrate. În
caz de eroare, programul respinge înregistrarea şi solicită corectarea
informaţiilor. Apoi, programul emite automat factura, în dublu
exemplar, care cuprinde toate informaţiile referitoare la client şi
preţul produselor livrate acestuia. Primul exemplar al facturii este
trimis clientului, iar exemplarul al doilea este ataşat exemplarelor de
comandă doi şi patru. Registrul de vânzări este actualizat automat,
iar la finalul fiecărei zile, programul generează o listă a tuturor
facturilor emise în ziua respectivă.
Programul generează un raport de vânzări la finalul fiecărei
săptămâni, iar suma totală este confruntată de Sharon cu valoarea
înregistrată pentru aceeaşi perioadă în registrul de vânzări. Pe bază
lunară, programul emite o situaţie complexă privind analiza
creanţelor şi maturitatea acestora pe fiecare client. Sharon are
responsabilitatea de a transmite clienţilor situaţia privind datoriile lor
faţă de Keos, de a avertiza clienţii care nu-şi achită datoriile la
scadenţă şi de a conveni cu aceştia mecanisme de reeşalonare a
plăţilor. O analiză a creanţelor relevă faptul că durata de încasare a
acestora s-a mărit de la 39 la 74 zile pe parcursul anului curent, deşi
politicile Keos prevăd o scadenţă de 30 de zile.
Cerinţe:
1. Identificaţi deficienţele de control intern referitoare la
procedurile Keos privind sistemul descris.
2. Descrieţi procedurile care ar permite reducerea perioadei de
încasare a creanţelor de către Keos.
Strategia de audit RBA8
8 Strategie de audit bazată pe riscuri - engl. Risk Based Auditing (RBA)
1. Strategia de audit RBA
Vom începe discuţia noastră în acest capitol prin a sublinia că
strategia RBA şi planul de audit sunt două componente strâns legate
între ele, fapt recunoscut de altfel şi de standardele de audit intern:
„Şeful departamentului de audit intern trebuie să elaboreze un plan de
audit pe baza riscurilor (n.n. RBA) pentru a determina priorităţile
activităţilor auditului intern în conformitate cu obiectivele organizaţiei”9
sau „programul misiunilor de audit intern trebuie să aibă la bază
evaluarea, cel puţin anuală, a riscurilor”10.
În ciuda cerinţelor normelor profesionale, practicile de elaborare a
planurilor de audit intern şi a programelor de misiune sunt variate,
majoritatea acestora fiind ancorate la o strategie tradiţională de audit
care plasează în centrul atenţiei auditului intern una sau mai multe
dintre următoarele variante: auditul pe procese, pe funcţii, pe meserii,
pe teme, auditul de conformitate, auditul operaţional, etc. Aceste
abordări tradiţionale vizau auditarea internă a tot ce era posibil. La
polul opus, strategia prevăzută de standardele internaţionale de audit
intern – RBA – implică o selecţie şi o prioritizare a activităţilor şi
misiunilor de audit intern pe baza unei evaluări a riscurilor, astfel încât
auditul intern să servească într-adevăr obiectivelor organizaţiei.
Schimbarea de strategie produce efecte asupra modului în care se
desfăşoară activitatea de audit intern, efecte pe care le discutăm atât
aici, dar şi în cadrul altor paragrafe si capitole ale lucrării noastre.
Griffiths11 prezintă următoarele precondiţii necesare pentru a
putea aplica strategia RBA:
Organizaţia cunoaşte toate riscurile inerente semnificative,
adică cele situate peste nivelul apetitului pentru risc;
Organizaţia şi-a evaluat riscurile, astfel încât acestea pot fi
prioritizate în funcţie de pericolul pe care-l reprezintă;
9 Standardul de performanţă IIAS 2010, Planificarea10 Standardul de aplicare IIAS 2010.A1, Misiunile de audit11 D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 26
Organizaţia şi-a definit apetitul pentru risc, astfel încât
riscurile inerente şi cele reziduale12 pot fi evaluate şi
clasificate în funcţie de acesta.
La rândul lor precondiţiile pot fi satisfăcute numai dacă:
La nivelul organizaţiei, consiliul a adoptat un set adecvat de
politici de control intern;
Apetitul pentru risc a fost aprobat de către consiliu;
Directorii executivi au fost instruiţi corespunzător pentru a avea
abilităţile cerute pentru identificarea riscurilor, evaluarea lor,
pentru proiectarea, punerea în aplicare şi monitorizarea
sistemelor de control care asigură implementarea politicilor
adoptate de consiliu.
Etapele RBA sunt:
1. examinarea registrului riscurilor şi determinarea riscurilor
asupra cărora auditorii vor trebui să formuleze o opinie cu
privire la gradul de control exercitat;
2. elaborarea planului de audit (anual) şi obţinerea aprobării
comitetului de audit asupra acestuia;
3. realizarea misiunilor de audit care vor furniza baza pentru
opiniile auditorilor;
4. actualizarea universului de audit13 şi riscuri, pe măsură ce
sunt obţinute informaţii suplimentare.
În practică, obţinerea unei asigurări cu privire la registrul riscurilor
este realizată de obicei o singură dată sau până în momentul în care
auditorii capătă încrederea că registrul riscurilor poate fi utilizat ca o
bază credibilă în etapele următoare. Etapa a doua este realizată anual,
sub rezerva că planul de audit poate fi revizuit şi modificat în cursul
anului. Etapa a treia are o frecvenţă mult mai mare, determinând şi
frecvenţa etapei a patra. Primele două etape sunt prezentate în cadrul
acestui capitol, urmând ca ultimele două etape fie prezentate distinct,
în cadrul capitolului următor al lucrării.12 Pentru detalii privind riscurile inerente şi reziduale vezi paragraful 8.2.2.13 O lista cu procesele (domeniile) auditabile.
2. Prima etapă: Examinarea registrului riscurilor14
Obiectivele acestei etape vizează obţinerea unei asigurări cu
privire la faptul că riscurile situate peste nivelul apetitului pentru risc au
fost identificate şi evaluate corect de către conducere, cu scopul de a
stabili credibilitatea folosirii ulterioare a registrului de riscuri.
În acest sens, auditorii interni aplică următoarele proceduri de audit:
discuţii (interviuri, chestionare, mese rotunde etc.) cu
managementul executiv şi consiliul de administraţie cu privire la
riscurile la care este expusă entitatea. Auditorii urmăresc astfel să
se convingă de faptul că toată conducerea înţelege importanţa
riscurilor şi întreprinde eforturi de ameliorare a acestora;
documentarea următoarelor aspecte:
o obiectivele organizaţiei;
o metodele utilizate de către conducere pentru a evalua
riscurile semnificative precum şi alocarea responsabilităţilor
pentru diferite procese din cadrul organizaţiei;
o scala de evaluare utilizată pentru dimensionarea relevanţei
riscurilor;
o declaraţia consiliului privind definirea apetitului său pentru
risc;
o maniera în care riscurile vor fi integrate în procesele
decizionale;
o registrul riscurilor.
Examinarea documentelor obţinute;
Formularea unei concluzii cu privire la credibilitatea şi
posibilitatea utilizării registrului riscurilor pentru acţiunile
ulterioare. Dacă auditorii interni ajung la concluzia că, pentru a fi
credibil şi utilizabil, registrul riscurilor necesită ajustări sau
corecţii minore, trebuie să solicite consiliului de administraţie şi
managementului executiv să le opereze. În cazul în care registrul
14 D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 30-39
nu poate fi deloc utilizat sau nu există, auditorii pot lua în
considerare sprijinirea organizaţiei în construirea sau corectarea
registrului, în funcţie de caz. Paragrafele 8.2.1. şi 8.2.2. de mai jos
detaliază activitatea auditorilor în cazul în care registrul riscurilor
nu există în cadrul organizaţiei. Decizia auditorilor interni în acest
ultim caz trebuie luată în acord cu sugestiile comitetului de audit
care trebuie informat printr-un raport asupra faptului că registrul
riscurilor nu există sau nu este utilizabil.
2.1. Registrul riscurilor: conţinut şi tehnici de elaborareRegistrul riscurilor reprezintă o listă completă a riscurilor (de
obicei o bază de date) identificate de conducerea organizaţiei, care
ameninţă atingerea obiectivelor organizaţiei. Dacă în cadrul
organizaţiei există o funcţie de management al riscurilor, atunci
construirea şi actualizarea acestei baze de date este responsabilitatea
acesteia. Evident, volumul de muncă al auditorilor interni este mult
redus dacă managementul riscurilor există şi funcţionează
corespunzător.
În lipsa managementului riscurilor, auditorii interni pot sprijini şi
consilia conducerea superioară (consiliul) în ceea ce priveşte înfiinţarea
registrului de riscuri, evaluarea riscurilor şi determinarea apetitului
pentru risc. Dat fiind faptul că există numeroase organizaţii care se
situează în cea de-a doua ipostază, în continuare, vom expune
activităţile auditorilor interni aplicabile în contextul acestora.
Construirea registrului riscurilor nu este o sarcină tocmai uşoară. Chiar
dacă se presupune că auditorii interni nu poartă responsabilitatea
construirii registrului riscurilor, a evaluării riscurilor şi a determinării
apetitului pentru risc, înţelegerea acestui proces ajută auditorii interni
să poată evalua credibilitatea registrului de riscuri obţinut.
În ceea ce priveşte registrul riscurilor, răspunsul la întrebarea
„registrul riscurilor include toate riscurile semnificative?” este crucial.
Punctul de pornire constă în a formula, pe baza propriei experienţe,
anticipările privind riscurile potenţiale care ameninţă obiectivele,
pentru a le putea discuta ulterior în întâlnirile cu persoanele relevante
din cadrul organizaţiei. Fiecărui risc anticipat, îi sunt ataşate apoi
procesele de control care, prezumabil, reduc riscurile respective sau,
mai bine zis, le controlează. Detaliind, la un nivel imediat inferior,
procesele de control devin, la rândul lor obiective, ameninţate de alte
riscuri, ameliorate de alte controale, etc. Ierarhizându-le astfel, într-o
abordare logică, din aproape în aproape, pot fi identificate, pe rând,
toate riscurile şi se poate construi registrul riscurilor. Anexa 1 prezintă
un exemplu de ierarhizare în acest sens. Această manieră de
identificare a riscurilor, deşi dificilă de aplicat (dar, reţinem că odată
construit, registrul riscurilor nu trebuie decât actualizat, ulterior – deci
„chinul” nu durează la infinit!) este facilă de urmărit şi de înţeles de
către consiliu, respectiv uşor de utilizat de către auditorii interni în
elaborarea planurilor anuale de audit. De reţinut faptul că procesele de
control indicate în cadrul acestei ierarhii sunt cele ce pot ameliora
riscurile considerate, nu cele pe care le aplică organizaţia. În mod
firesc, între acestea şi cele utilizate de organizaţie, ar trebui să existe o
apropiere foarte mare, însă pot exista situaţii (ce pot fi descoperite
astfel) în care nu sunt procese de control care să amelioreze anumite
riscuri, după cum pot fi identificate controale inutile. Totuşi, această
dezvoltare arborescentă poate deveni foarte complexă, motiv pentru
care este necesară structurarea ei astfel încât să fie utilizabilă.
Structurarea acesteia trebuie să ţină cont de două aspecte: riscurile
care ameninţă procesele superioare15 din ierarhie, respectiv procesele
de control care, prezumabil, le ameliorează.
Unii auditori interni preferă construirea registrului riscurilor
plecând direct de la sursă: consiliul de administraţie şi persoanele
relevante din cadrul organizaţiei. Deşi, această procedură directă
economiseşte foarte mult timp preţios, prezintă dezavantajul că, unele
riscuri pot rămâne neidentificate, dat fiind faptul că auditorii nu mai au
o bază de confruntare pregătită de ei anterior. În rest, procedura de
15 Procesul din ierarhie este compus din secvenţa: risc-proces de control (sub-obiectiv).
ierarhizare, etc. rămâne aplicabilă. De principiu, există trei proceduri
utilizate cu scopul de a identifica riscurile:
Interviul;
Seminariile de identificare a riscurilor (engl. – risk workshops);
Evidenţele contabile.
Interviul. Rezultatele unui interviu reflectă punctul de vedere
individual exprimat de către cel intervievat referitor la riscurile la care
obiectivele organizaţiei sunt expuse. Printre avantajele aceste
proceduri se numără: uşurinţa stabilirii unei întrevederi cu o singură
persoană faţă de un grup de persoane, respectiv confortul mai mare al
intervievatului în exprimarea punctelor sale de vedere pe care într-un
seminar poate nu şi le-ar exprima deschis. Printre dezavantajele
utilizării acestei proceduri pot fi enumerate dificultatea de a omogeniza
punctele de vedere individuale exprimate şi de a clasifica riscurile
astfel obţinute.
Seminariile de identificare a riscurilor. Rezultatele seminariilor se
concretizează într-o listă de riscuri care pun în pericol obiectivele
organizaţiei, respectiv o dimensionare a probabilităţii şi consecinţei
acestora. Un avantaj al utilizării acestei proceduri constă în faptul că
persoanele interacţionează şi creează idei noi.
Evidenţele contabile. Examinarea fiecărei clase/poziţii din
situaţiile financiare sau din evidenţele contabile, precum şi a
evenimentelor ataşate acestora poate scoate la iveală o serie de riscuri
importante.
În acest moment registrul riscurilor, fie ajustat cu rezultatele
procedurilor expuse mai sus, fie obţinut în exclusivitate în baza
acestora, trebuie transpus într-o bază de date computerizată pentru a
facilita clasificarea şi utilizarea lui ulterioară.
2.2. Dimensionarea relevanţei riscurilorAvând construit registrul riscurilor, pasul următor trebuie să
vizeze sprijinirea consiliului în ceea ce priveşte rafinarea registrului
riscurilor prin identificarea tuturor riscurilor „semnificative” prin
raportare la apetitul pentru risc. Dimensionarea relevanţei riscurilor (R)
este realizată prin prisma celor două variabile componente ale fiecărui
risc: consecinţa (C) şi probabilitatea (P). Aritmetic, relaţia de calcul este
exprimată astfel:
Reamintim că, dacă în cadrul organizaţiei există un departament de
management al riscurilor, aceasta evaluare ar fi responsabilitatea
acestuia.
În cele ce urmează vom prezenta un model de cuantificare a
relevanţei riscurilor, cu menţiunea că modelul nu este infailibil, el
putând fi adaptat sau modificat, în funcţie de preferinţele auditorilor
pentru o măsurare mai exactă sau mai grosieră.
Câteva precizări legate de modelul de cuantificare a semnificaţiei
riscurilor:
1. am utilizat o scală de dimensionare pe cinci nivele, fiecărui nivel
ataşându-i valori numerice cuprinse între 1 şi 5, detaliată în tabelul
1. de mai jos.
R = C x P
Tabelul 1. Dimensionarea relevanţei riscului
Dacă se produce riscul,
Consecinţele acestuia ar fi:
SAU,
Probabilitat
ea riscului
este:
Relevanţa
riscului:
1 2 3 =1x2
Închiderea organizaţiei totală sau
parţială pe un orizont de timp
lung (5)
Foarte
ridicată
(5)
Foarte
mare (25)
Imposibilitatea organizaţiei de a-
şi atinge obiectivele sale majore
pe un orizont de timp îndelungat
(4)
Ridicată
(4)
Mare
(16)
Imposibilitatea organizaţiei de a-
şi atinge unele obiective pe o
perioadă de timp limitată (3)
Medie
(3)
Medie
(9)
Apariţia unor pagube fără să fie
afectată atingerea obiectivelor
majore ale organizaţiei (2)
Redusă
(2)
Redusă
(4)
Apariţia unor pagube minore, fără
a fi afectată atingerea
obiectivelor organizaţiei (1)
Foarte
redusă
(1)
Foarte
redusă (1)
2. momentul dimensionării relevanţei riscurilor: înainte sau după
evaluarea proceselor de control ataşate acestora?
Literatura de specialitate şi practicile relevă preferinţe diferite
pentru momentul măsurării relevanţei riscurilor. Normele profesionale
de audit intern recomandă dimensionarea riscurilor atât înainte, cât şi
după ce procesele de control au fost evaluate. Reţinem de aici
următoarele:
Riscul inerent (brut, absolut), este riscul dimensionat înainte
de a evalua eficacitatea şi eficienţa controalelor interne;
Riscul rezidual (net, controlat), este riscul dimensionat după
ce au fost evaluate eficienţa şi eficacitatea controalelor
interne ale organizaţiei.
În timp ce riscul inerent va servi pentru formularea planului de
audit anual şi identificarea misiunilor de audit ce vor fi întreprinse,
riscul rezidual este determinat pe parcursul misiunilor de audit, pentru
a evalua eficacitatea şi eficienţa controalelor efective asupra riscurilor
respective.
Evaluarea semnificaţiei riscurilor inerente (modelul poate fi
utilizat apoi şi pentru riscul rezidual) prin prisma apetitului pentru risc
poate fi realizată prin realizarea unei matrice, pentru fiecare risc, astfel
încât prin combinaţia probabilităţii cu consecinţa riscurilor, consiliul să
poată decide asupra riscurilor acceptabile, respectiv inacceptabile din
punctul său de vedere. Altfel spus, consiliul îşi defineşte astfel apetitul
pentru risc. Tabelul 2 de mai jos, prezintă un model de evaluare a
semnificaţiei riscurilor inerente prin referinţă la apetitul pentru risc al
consiliului.
Tabelul 2. Semnificaţia riscurilor inerente
raportate la apetitul pentru risc al consiliului
Consecinţa riscului inerent:
5 4 3 2 1
Pro
bab
ilita
te
risc
ulu
i in
ere
nt 5 25 20 15 10 5
4 20 16 12 8 4
3 15 12 9 6 3
2 10 8 6 4 2
1 5 4 3 2 1
Să presupunem că, în ansamblu, consiliul îşi defineşte apetitul
pentru risc astfel: riscurile inerente a căror relevanţă se află în
intervalul 1-4 sunt riscuri acceptabile. Altfel spus, toate celelalte riscuri
ale căror relevanţă depăşeşte pragul valoric 4 reprezintă un interes
pentru auditori.
3. Etapa a doua: Elaborarea planului de audit
Obiectivele urmărite de auditori în cadrul acestei etape vizează:
Determinarea riscurilor care vor fi incluse în planul de audit;
Alocarea acestor riscuri misiunilor de audit;
Elaborarea planului de audit
Filtrarea riscurilor din registru pentru identificarea celor care vor fi
incluse în planul de audit anual se realizează prin raportarea la apetitul
pentru risc al conducerii drept criteriu prioritar.
Astfel, riscurile care se situează sub nivelul apetitului pentru risc
al conducerii nu vor necesita o atenţie din partea auditorilor şi, drept
urmare, nu vor fi incluse în planul de audit. În ceea ce priveşte riscurile
situate peste nivelul apetitului pentru risc, pot exista următoarele
situaţii cu privire la care auditorii interni vor decide menţinerea sau
eliminarea lor din planul de audit:
Riscurile pe care conducerea le consideră că, din diverse motive, nu
vor putea fi ameliorate astfel încât să fie reduse la nivelul apetitului
pentru risc, motiv pentru care le acceptă. În cazul în care există
programe contingente pentru aceste riscuri ele vor face obiectul
unor misiuni de audit. În consecinţă, aceste riscuri vor putea fi
incluse în planul de audit.
Riscurile pentru care au fost adoptate măsuri de prevenire de tipul
transferului (de exemplu, asigurarea împotriva riscurilor). Inclusiv
acestea vor putea fi menţinute în planul de audit, deoarece auditorii
vor dori probabil să se convingă, în contextul unei misiuni, dacă
toate riscurile de acest gen au fost transferate şi dacă transferul este
eficient şi eficace ca mecanism de protecţie.
Riscurile pe care conducerea este decisă să le elimine prin diverse
acţiuni sau programe. Asupra acestor riscuri auditorii vor decide
dacă le păstrează sau nu în planul de audit. Menţinerea lor în plan
poate fi justificată de faptul că acţiunile conducerii de eliminare a
riscului respectiv, pot genera alte riscuri, iar auditorii vor dori să se
convingă că aceste sunt controlate corespunzător.
Riscurile examinate şi evaluate de o terţă parte (de exemplu, de
către auditorii externi) care furnizează o asigurare directă consiliului
de administraţie asupra gradului de control exercitat de organizaţie
asupra acestora. În astfel de cazuri, strategia şi politicile interne ale
organizaţiei reprezintă un punct de sprijin în adoptarea unei decizii
asupra menţinerii sau eliminării lor din planul de audit.
Riscurile care au fost aduse în limita apetitului pentru risc, fapt
dovedit de rapoartele misiunilor de audit intern anterioare. În funcţie
de intervalul de timp care a trecut de la finalul acelor misiuni,
precum şi de rezultatele relevate de programele de monitorizare
post-audit cu privire la implementarea măsurilor corective, auditorii
vor decide dacă păstrează sau nu în planul de audit aceste riscuri.
Toate celelalte riscuri care au rămas vor fi incluse în planul de audit.
Alocarea riscurilor pe misiuni de audit are ca punct de plecare registrul
riscurilor, actualizat cu rezultatele procesului de filtrare precedent.
Criteriile de alocare cel mai frecvent utilizate sunt:
Perioada de timp şi resursele necesare pentru o misiune de audit
(cu cât mai multe riscuri şi procese alocate pe o misiune, cu atât
mai lungă şi mai costisitoare va fi misiunea de audit);
Persoanele ce se intenţionează a fi intervievate în contextul
misiunii;
Locaţia proceselor auditabile, etc.
Există şi companii care preferă gruparea riscurilor pe misiuni,
după ce obţin o listă cu toate procesele auditabile (denumită universul
auditului) şi gruparea lor ulterioară în funcţie de locaţie sau alte criterii
particulare. În ceea ce priveşte prioritizarea misiunilor de audit şi
includerea acestora în planul anual, auditul intern trebuie să formuleze
un raţionament rezonabil, ţinând cont de resursele financiare,
materiale, umane şi fondul de timp avut la dispoziţie. Nu este
obligatoriu ca toate misiunile identificate să fie incluse într-un singur
plan anual, dacă toate considerentele de mai sus nu permit acest lucru.
Este motivul pentru care, unele companii operează cu planuri de audit
multi-anuale. De asemenea, companiile care abia înfiinţează funcţia de
audit intern fac faţă unor constrângeri considerabile, mai ales în ceea
ce priveşte resursa umană. Pentru stabilirea priorităţilor în realizarea
misiunilor ce vor fi incluse în planul de audit, în practică se folosesc mai
multe modele, fiecare dintre ele fiind elaborat în funcţie de
particularităţile proprii fiecărei companii. În cele ce urmează vom
încerca expunerea unui model, folosindu-ne de exemplul din paragraful
precedent.
Astfel, auditorii pot conveni următoarea situaţie:
Pentru riscurile inerente a căror relevanţă este cuprinsă în
intervalul [1-4], nu vor fi întreprinse niciodată misiuni de audit
intern;
Pentru riscurile inerente a căror relevanţă se situează în intervalul
[5-9] se vor realiza misiuni de audit o dată la fiecare trei ani;
Pentru riscurile inerente a căror relevanţă se situează în intervalul
[10-12] se vor realiza misiuni de audit o dată la fiecare doi ani;
Pentru riscurile inerente a căror relevanţă se situează în intervalul
[15-25] se vor realiza misiuni anuale de audit.
Scala de mai sus poate fi detaliată sau restrânsă în funcţie de
preferinţele auditorilor. În această manieră, se pot dezvolta planuri de
audit mai scurte decât un an, planuri anuale sau multianuale, după
necesităţile auditului intern şi ale organizaţiei respective. Auditul intern
trebuie să obţină acordul conducerii organizaţiei asupra prioritizării
misiunilor.
În acest moment, baza de date necesară elaborării planului de
audit este pregătită. Planul de audit va trebui să conţină informaţii
referitoare la:
Misiunile de audit ce vor fi întreprinse;
Perioada de timp preconizată pentru misiunile de audit (când vor
începe, câte zile vor dura, când se vor finaliza);
Riscurile şi procesele de control asociate acestora ce vor face
obiectul misiunilor;
Numele auditorilor ce vor participa în cadrul misiunilor (cel puţin
numele şefilor de misiuni), etc.
Planul de audit trebuie aprobat de către comitetul de audit şi consiliul
de administraţie al organizaţiei. În plus, comitetului de audit i se poate
transmite un raport care să conţină detalii referitoare la:
Riscurile şi procesele ce vor face obiectul misiunilor de audit
cuprinse în planul de audit;
Riscurile şi controalele asupra cărora auditorii interni vor formula
o opinie pe baza rezultatelor cumulate din misiunile de revizuire şi
din misiunile de audit din perioadele precedente;
Activităţile de consultanţă ce vor fi acordate de către auditul
intern conducerii organizaţiei cu scopul reducerii riscurilor
reziduale la nivele inferioare apetitului pentru risc;
Riscurile neacoperite, datorită politicilor organizaţiei sau limitării
resurselor;
Asigurarea că planul de audit este în conformitate cu carta
auditului intern.
Anexa 2 prezintă cerinţele informaţionale şi modelul planului de
audit prevăzute de Hotărârea CAFR 88/2007 privitoare la normele de
audit intern.
4. Probleme de discuţie şi studii de caz
4.1. Probleme de discuţie1. Discutaţi avantajele şi dezavantajele strategiei RBA comparativ
cu strategiile tradiţionale de audit.
2. Care sunt efectele utilizării strategiei RBA asupra planului anual
de audit?
3. Semnificaţia riscurilor este sinonimă cu relevanţa lor? Discutaţi.
4. Evaluarea calitativă poate fi utilizată în dimensionarea
relevanţei riscurilor?
5. Discutaţi procedura de audit „şedinţe de evaluare a riscurilor”.
4.2. Studiu de caz Sunny HotelPartea I
Sunny Hotel este o companie hotelieră de 5 stele, care oferă
servicii de cazare atât turiştilor, cât şi oamenilor de afaceri care