Audit intern Managementul riscurilor Audit Audit inter intern n - cont control rol intern intern - manage managemen mentul tul riscurilor
Controlul intern cuprinde un set de cinci componente inter-corelate care fac parte din procesul managerial1. Acest Aceste e compo componen nente te se reg regă ses sescc într-o măsură mai mare sau mai mică, în funcţ ie de dimensiune, în toate orga or gani niza zaţiile iile2. Iat Iată despr despre e cce e este este vorba vorba:: •
Mediul de control;
•
Evaluarea riscurilor;
•
Act Activit ivităţile ile de cont contro rol; l;
•
Informa Informaţiile şi comunic comunicarea area;;
•
Monitorizarea. Mediul de control „dă tonu tonul” l” într într--o organ organiz iza aţ ie infl influe uen nţ ând în în mod mod
deci decisi siv v atit atitud udin inea ea oa oam menil enilor or faţă de cont contro rol. l. Altf Altfel el spus spus,, mediu ediull de control reprezintă fundamentul fundamentul tuturor tuturor celorlalte celorlalte component componente, e, asigurând asigurând disciplin disciplina. a. Printre Printre factorii factorii3 care influenţează mediul de control se regăses sesc: c: integ integrit ritat atea ea,, valor valorile ile etice, etice, compete competen nţ a person personal alulu uluii anga angajat jat,, filo filoso sofi fia a manag anagem emen entu tulu luii şi manie aniera ra sa de acţ iun iune, dese desem mnar area ea autor orit ităţii şi res esp ponsa sab bilit ilităţ ilo ilor, etc. etc. Evaluarea Evaluarea riscurilor. riscurilor. Aşa Aşa cum cum indi indica cam m într într-u -unu null din din ca capi pito tole lele le
precedente ale luc lucră rii de de faţă , fie fiecare organiza izaţ ie este exp expusă unor risc riscur urii a căro rorr prob probab abil ilit itat ate e şi impa impact ct treb trebui uie e eval evalua uate te.. O prec precon ondi diţ ie pentru pentru evaluarea evaluarea riscurilo riscurilorr constă în stabilirea stabilirea obiectivel obiectivelor or corelate corelate atât 1
www.coso.org/publications/executive_summary_integrated_framework.htm Materialul este realizat în baza unei selecţii efectuate din L. Dobroţeanu, C.L. Dobroţeanu, Audit intern, Editura InfoMega, 2007, pag. 67 – 73 şi 135 – 156 3 L. Dobroţeanu, C.L. Dobroţeanu, Audit: concepte şi practici, Editura Economică, 2002, pag. 194-196 2
pe vert vertic ica ală câ câtt şi pe or oriz izon onta tallă în cadr cadrul ul unei unei orga organi niza zaţ ii. ii. Evalu valua are rea a riscu riscuril rilor or presu presupu pune ne ident identifi ifica carea rea ac acest estor ora a şi anali analiza za lor prin prin prism prisma a peri perico colu lulu luii pe ca care re-l -l re repr prez ezin inttă visvis-aa-vi viss de obie obiect ctiv ivel ele e or orga gani niza zaţ iei iei.. Astf Astfel el,, se cons consttitui ituie e ce ceea ea ce num numim fond fondul ul de risc riscur urii ce treb trebui uie e administrate. administrate. Unele Unele organiza organizaţii, îndeosebi cele mari, mari, au creat o structur structură oper opera aţiona ionallă dist distin inct ctă ca care re să re real aliz izez eze e ace acest st proc proces es comp complex lex,, cun cunos oscu cuttă sub denumirea denumirea de managemen managementul tul riscurilor organiza organizaţ iei (ERM)4. Totodată, dat dat fiind fiind faptu faptull că circ circum umst stan anţele econo economi mice ce,, legi legisl slat ativ ive e etc. etc. sunt sunt în continuă schimbare, schimbare, sunt necesare mecanisme mecanisme noi pentru a identifica identifica şi controla controla riscur riscurile ile asociat asociate e acestor acestor schimb schimbă ri. Activităţ ile de control control re refl flec ecttă polit politic icile ile şi proc proced edur uril ile e de cont contro roll
aplicate aplicate la la nivelul nivelul întregii întregii organ organiza izaţ ii incluzân incluzând, d, spre spre exemplu, exemplu, aprob aprobă ri, auto autori rizzări, ri, exam examin inări, ri, reco reconc ncil ilie ieri ri,, etc. etc. Info Inform rma a ţ iile iile şi comu comuni nica care rea a. Sist Sistem emel ele e info inform rma aţiona ionale le prod produc uc
info inform rma aţii nece necesa sare re pentr pentru u deru derula lare rea a coti cotidi dian ană a afac afacer erilo ilor, r, cum cum ar fi rapoa oart rte e priv privit itoa oare re la as asp pec ectte fin financiar iare, oper era aţ ion ionale, le, etc etc. Fă ră o comu comuni nica care re efica eficace ce,, atât atât pe vert vertic ical ală câ câtt şi pe or oriz izon onta tallă , or oric ice e sist sistem em informaţional este lipsit de valoare. valoare. Monitorizarea. Sistemele de control intern trebuie monitorizate, în
sens se nsul ul de a fi eval evalua uate te prin prin pris prisma ma perf perfor orma man nţ elor elor sa sale le de-a de-a lung lungul ul timp timpul ului ui.. În lipsa lipsa unei unei as astf tfel el de moni monito tori rizză ri, ri, efic eficie ien nţ a şi efic eficac acit itat atea ea contr controa oalel lelor or intern interne e nu ar fi cunos cunoscut cute e şi, în conseci consecin nţă , nu ar putea putea fi corecta corectate te deficie deficien nţele, dup după cum nu nu ar putea putea fi conso consolida lidate te puncte punctele le sale sale forte. forte. Aria Aria de acope acoperire rire şi frecven frecvenţ a acestor acestor evalu evaluă ri depinde depinde de procesu procesull de evaluare a riscurilor şi de eficacitatea procedurilor de monitorizare. Din nefer fericire, exi există o sea eam mă de aştept eptă ri ner ere ealis liste privind perf perfor orm manţele ele cont contro rolu lulu luii inte intern rn,, în sensu sensull că se presu presupu pun ne că ac aces esta ta poat poate e gara garant nta a succ succes esul ul afac afacer eril ilor or or orga gani niza zaţ iei iei sa sau u că poat poate e gara garant nta a credi credibil bilita itatea tea inform informa aţ iilor iilor contab contabile ile din ra rapor porttă rile rile finan financia ciare. re. Nici una, nici ici cea eala lalt ltă dint intre aş aşttept eptă rile rile expu expusse mai sus nu sunt unt re rezzonabile ile deoa deoarec rece, e, la la râ rând ndul ul său, cont control rolul ul int intern ern nu este este o so solu luţ ie mag magic ică pentr pentru u 4
Engl. – Enterprise Risc Management
toate problemele unei organizaţ ii. Da, controlul intern poate sprijini organizaţia să-şi atingă obiectivele, dar nu poate transforma un manager incompetent, într-unul competent. Sau, referitor la credibilitatea raportărilor financiare, controlul intern nu poate „pune lacă te” creativităţii contabile ori elimina pentru totdeauna greşelile inerente de calcul. Auditului intern în aceste circumstanţ e îi revine un rol important legat de monitorizare: evaluarea continuă a eficienţ ei şi eficacităţ ii controlului intern. De aici survin şi confuziile legate de suprapunerea auditului intern cu controlul intern. Privit din afara organizaţ iei, în baza componentelor controlului intern prezentate mai sus, un observator ar putea asocia auditul intern drept o structură din întregul univers al controlului intern. Dar, analizat prin prisma rolului jucat în interiorul organizaţiei, auditul intern nu se poate judeca pe sine cu credibilitate. Prin urmare, este absolut obligatoriu ca cele două structuri să fie separate: una aplică, cealaltă monitorizează şi evaluează . În conjuncţie cu publicarea raportului COSO „Enterprise risk management – Integrated framework ”, IIA a emis un ghid adresat şefilor
departamentelor de audit care prezintă recomandă rile privind relaţ iile auditului intern cu ERM din cadrul organizaţ iilor lor5. Printre altele, scopul acestui ghid vizează stabilirea unei linii de demarcaţ ie clare între managementul riscurilor şi responsabilităţ ile auditului intern vis-a-vis de cele două. Astfel, principalele activităţ i ale auditului intern în relaţ ia cu ERM sunt: •
furnizarea unei asigurări cu privire la procesele de management al riscurilor;
•
furnizarea unei asigurări cu privire la faptul că riscurile sunt evaluate corect;
•
5
evaluarea proceselor de management al riscurilor;
www.theiia.org – IIA, The role of internal audit in enterprise-wide risk management, 2004
•
evaluarea raportărilor privitoare la riscurile esenţ iale6;
•
analiza managementului riscurilor esenţ iale.
Privitor la rolul legitim pe care-l are auditul intern, IIA subliniază : •
facilitarea identifică rii şi evaluă rii riscurilor;
•
consilierea conducerii pentru a adopta mă suri de protecţ ie împotriva riscurilor;
•
coordonarea activităţilor ERM;
•
consolidarea raportărilor privind riscurile;
•
menţinerea şi dezvoltarea cadrului ERM;
•
dezvoltarea strategiei de management a riscurilor supuse aprobă rii consiliului de administraţ ie. Totodată, IIA avertizează asupra rolurilor pe care auditul intern nu
trebuie să şi le asume7: •
stabilirea apetitului pentru risc;
•
impunerea proceselor de management al riscurilor;
•
asigurarea managementului cu privire la riscuri
•
adoptarea deciziilor privind mă surile de contracarare a riscurilor;
•
implementarea acestor măsuri în numele managementului;
Studiu de caz Keos
Keos este o companie care distribuie consumabile pentru tehnica de calcul. Sistemul de procesare a comenzilor provenite de la clienţ i, respectiv a facturării produselor livrate adoptat de Keos este urmă torul: •
Dra. Kate, operator la departamentul de vânză ri, înregistrează comenzile într-un registru de comenzi, pre-numerotat, emis patru exemplare (1 original şi trei copii) pentru fiecare comandă , numai după ce a interogat baza de date referitoare la registrul de vânză ri. Interogarea are drept scop asigurarea că limitele de credit alocate pe clientul respectiv nu sunt depă şite. Clienţ ii noi sunt supuşi în prealabil
6
Engl.- key risks Reamintim că, în acest context, responsabilitatea pentru stabilirea apetitului pentru risc al conducerii revine ERM. 7
procesului de stabilire a limitelor de creditare, operaţ iune efectuată de către managerul departamentului de vânză ri; •
Primul exemplar (originalul) al comenzii este reţ inut la serviciul de vânzări, iar cele trei copii sunt trimise la depozit pentru a fi autorizată livrarea. Depozitul selectează produsele comandate şi le ambalează . Comenzile pentru produsele care nu se gă sesc în stoc sunt înregistrate într-un fişier de aşteptare şi sunt procesate în momentul în care stocurile sunt primite. Exemplarele doi şi trei ale comenzii sunt trimise clientului împreună cu produsele livrate, cerând clientului să semneze exemplarul doi şi să -l restituie agentului de distribuţ ie Keos. Cea de-a patra copie este trimisă la serviciul de contabilitate şi este confruntată cu exemplarul doi returnat de client.
•
Detaliile exemplarului patru sunt introduse de că tre dra. Sharon, operator registrul vânzări, în fişierul privind registrul de vânză ri. Programul prevede o serie de chei de control pentru a preveni riscul de a nu introduce greşit codul clientului sau al produselor livrate. În caz de eroare, programul respinge înregistrarea şi solicită corectarea informaţiilor. Apoi, programul emite automat factura, în dublu exemplar, care cuprinde toate informaţ iile referitoare la client şi preţul produselor livrate acestuia. Primul exemplar al facturii este trimis clientului, iar exemplarul al doilea este ataşat exemplarelor de comandă doi şi patru. Registrul de vânză ri este actualizat automat, iar la finalul fiecărei zile, programul generează o listă a tuturor facturilor emise în ziua respectivă .
•
Programul generează un raport de vânză ri la finalul fiecă rei săptămâni, iar suma totală este confruntată de Sharon cu valoarea înregistrată pentru aceeaşi perioadă în registrul de vânză ri. Pe bază lunară, programul emite o situaţ ie complexă privind analiza creanţ elor şi maturitatea acestora pe fiecare client. Sharon are responsabilitatea de a transmite clienţilor situaţ ia privind datoriile lor faţă de Keos, de a avertiza clienţii care nu-şi achită datoriile la scadenţă şi de a conveni cu aceştia mecanisme de reeşalonare a plăţ ilor. O analiză a creanţ elor
relevă faptul că durata de încasare a acestora s-a mă rit de la 39 la 74 zile pe parcursul anului curent, deşi politicile Keos prevă d o scadenţă de 30 de zile. Cerin ţ e:
1. Identificaţi deficienţ ele de control intern referitoare la procedurile Keos privind sistemul descris. 2. Descrieţi procedurile care ar permite reducerea perioadei de încasare a creanţelor de că tre Keos.
Strategia de audit RBA8
8
Strategie de audit bazată pe riscuri - engl. Risk Based Auditing (RBA)
1. Strategia de audit RBA
Vom începe discuţia noastră în acest capitol prin a sublinia că strategia RBA şi planul de audit sunt două componente strâns legate între ele, fapt recunoscut de altfel şi de standardele de audit intern: „Şeful departamentului de audit intern trebuie să elaboreze un plan de audit pe baza riscurilor (n.n. RBA) pentru a determina priorităţ ile activităţilor auditului intern în conformitate cu obiectivele organizaţ iei”9 sau „programul misiunilor de audit intern trebuie să aibă la bază evaluarea, cel puţin anuală , a riscurilor”10. În ciuda cerinţelor normelor profesionale, practicile de elaborare a planurilor de audit intern şi a programelor de misiune sunt variate, majoritatea acestora fiind ancorate la o strategie tradiţ ională de audit care plasează în centrul atenţ iei auditului intern una sau mai multe dintre următoarele variante: auditul pe procese, pe funcţ ii, pe meserii, pe teme, auditul de conformitate, auditul operaţ ional, etc. Aceste abordă ri tradiţionale vizau auditarea internă a tot ce era posibil. La polul opus, strategia prevăzută de standardele internaţ ionale de audit intern – RBA – implică o selecţie şi o prioritizare a activităţ ilor şi misiunilor de audit intern pe baza unei evaluări a riscurilor, astfel încât auditul intern să servească într-adevăr obiectivelor organizaţ iei. Schimbarea de strategie produce efecte asupra modului în care se desfă şoară activitatea de audit intern, efecte pe care le discută m atât aici, dar şi în cadrul altor paragrafe si capitole ale lucră rii noastre. Griffiths11 prezintă următoarele precondiţii necesare pentru a putea aplica strategia RBA: •
Organizaţia cunoaşte toate riscurile inerente semnificative, adică cele situate peste nivelul apetitului pentru risc;
•
Organizaţia şi-a evaluat riscurile, astfel încât acestea pot fi prioritizate în funcţie de pericolul pe care-l reprezintă ;
9
Standardul de performanţă IIAS 2010, Planificarea Standardul de aplicare IIAS 2010.A1, Misiunile de audit 11 D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 26 10
•
Organizaţia şi-a definit apetitul pentru risc, astfel încât riscurile inerente şi cele reziduale12 pot fi evaluate şi clasificate în funcţ ie de acesta.
La rândul lor precondiţiile pot fi satisfă cute numai dacă : •
La nivelul organizaţiei, consiliul a adoptat un set adecvat de politici de control intern;
•
Apetitul pentru risc a fost aprobat de că tre consiliu;
•
Directorii executivi au fost instruiţ i corespunză tor pentru a avea abilităţile cerute pentru identificarea riscurilor, evaluarea lor, pentru proiectarea, punerea în aplicare şi monitorizarea sistemelor de control care asigură implementarea politicilor adoptate de consiliu.
Etapele RBA sunt: 1. examinarea registrului riscurilor şi determinarea riscurilor asupra cărora auditorii vor trebui să formuleze o opinie cu privire la gradul de control exercitat; 2. elaborarea planului de audit (anual) şi obţinerea aprobă rii comitetului de audit asupra acestuia; 3. realizarea misiunilor de audit care vor furniza baza pentru opiniile auditorilor; 4. actualizarea universului de audit 13 şi riscuri, pe măsură ce sunt obţinute informaţii suplimentare. În practică, obţinerea unei asigură ri cu privire la registrul riscurilor este realizată de obicei o singură dată sau până în momentul în care auditorii capătă încrederea că registrul riscurilor poate fi utilizat ca o bază credibilă în etapele urmă toare. Etapa a doua este realizată anual, sub rezerva că planul de audit poate fi revizuit şi modificat în cursul anului. Etapa a treia are o frecvenţă mult mai mare, determinând şi frecvenţa etapei a patra. Primele două etape sunt prezentate în cadrul
12 13
Pentru detalii privind riscurile inerente şi reziduale vezi paragraful 8.2.2. O lista cu procesele (domeniile) auditabile.
acestui capitol, urmând ca ultimele două etape fie prezentate distinct, în cadrul capitolului următor al lucră rii. 2. Prima etapă: Examinarea registrului riscurilor 14
Obiectivele acestei etape vizează obţ inerea unei asigură ri cu privire la faptul că riscurile situate peste nivelul apetitului pentru risc au fost identificate şi evaluate corect de că tre conducere, cu scopul de a stabili credibilitatea folosirii ulterioare a registrului de riscuri. În acest sens, auditorii interni aplică urmă toarele proceduri de audit: •
discuţii
(interviuri,
chestionare,
mese
rotunde
etc.)
cu
managementul executiv şi consiliul de administraţ ie cu privire la riscurile la care este expusă entitatea. Auditorii urmă resc astfel să se convingă de faptul că toată conducerea înţ elege importanţ a riscurilor şi întreprinde eforturi de ameliorare a acestora; •
documentarea următoarelor aspecte: o
obiectivele organizaţiei;
o
metodele utilizate de că tre conducere pentru a evalua riscurile semnificative precum şi alocarea responsabilităţ ilor pentru diferite procese din cadrul organizaţ iei;
o
scala de evaluare utilizată pentru dimensionarea relevanţ ei riscurilor;
o
declaraţia consiliului privind definirea apetitului să u pentru risc;
o
maniera în care riscurile vor fi integrate în procesele decizionale;
o
registrul riscurilor.
•
Examinarea documentelor obţinute;
•
Formularea unei concluzii cu privire la credibilitatea şi posibilitatea utilizării registrului riscurilor pentru acţ iunile ulterioare. Dacă auditorii interni ajung la concluzia că , pentru a fi credibil şi
14
D. Griffiths, Risk based internal auditing: an introduction, 2006, pag. 30-39
utilizabil, registrul riscurilor necesită ajustă ri sau corecţ ii minore, trebuie să solicite consiliului de administraţ ie şi managementului executiv să le opereze. În cazul în care registrul nu poate fi deloc utilizat sau nu există, auditorii pot lua în considerare sprijinirea organizaţiei în construirea sau corectarea registrului, în funcţ ie de caz. Paragrafele 8.2.1. şi 8.2.2. de mai jos detaliază activitatea auditorilor în cazul în care registrul riscurilor nu există în cadrul organizaţiei. Decizia auditorilor interni în acest ultim caz trebuie luată în acord cu sugestiile comitetului de audit care trebuie informat printr-un raport asupra faptului că registrul riscurilor nu există sau nu este utilizabil. 2.1. Registrul riscurilor: conţ inut şi tehnici de elaborare
Registrul riscurilor reprezintă o listă completă a riscurilor (de obicei o bază de date) identificate de conducerea organizaţ iei, care ameninţă atingerea obiectivelor organizaţ iei. Dacă în cadrul organizaţ iei există o funcţie de management al riscurilor, atunci construirea şi actualizarea acestei baze de date este responsabilitatea acesteia. Evident, volumul de muncă al auditorilor interni este mult redus dacă managementul riscurilor există şi funcţ ionează corespunză tor. În lipsa managementului riscurilor, auditorii interni pot sprijini şi consilia conducerea superioară (consiliul) în ceea ce priveşte înfiinţ area registrului de riscuri, evaluarea riscurilor şi determinarea apetitului pentru risc. Dat fiind faptul că există numeroase organizaţ ii care se situează în cea de-a doua ipostază , în continuare, vom expune activităţile auditorilor interni aplicabile în contextul acestora. Construirea registrului riscurilor nu este o sarcină tocmai uşoară . Chiar dacă se presupune că auditorii interni nu poartă responsabilitatea construirii registrului riscurilor, a evaluă rii riscurilor şi a determină rii apetitului pentru risc, înţelegerea acestui proces ajută auditorii interni să poată evalua credibilitatea registrului de riscuri obţ inut. În ceea ce priveşte registrul riscurilor, ră spunsul la întrebarea „registrul riscurilor include toate riscurile semnificative?” este crucial.
Punctul de pornire constă în a formula, pe baza propriei experienţ e, anticipările privind riscurile potenţ iale care ameninţă obiectivele, pentru a le putea discuta ulterior în întâlnirile cu persoanele relevante din cadrul organizaţiei. Fiecărui risc anticipat, îi sunt ataşate apoi procesele de control care, prezumabil, reduc riscurile respective sau, mai bine zis, le controlează. Detaliind, la un nivel imediat inferior, procesele de control devin, la rândul lor obiective, ameninţ ate de alte riscuri, ameliorate de alte controale, etc. Ierarhizându-le astfel, într-o abordare logică , din aproape în aproape, pot fi identificate, pe rând, toate riscurile şi se poate construi registrul riscurilor. Anexa 1 prezintă un exemplu de ierarhizare în acest sens. Această manieră de identificare a riscurilor, deşi dificilă de aplicat (dar, reţinem că odată construit, registrul riscurilor nu trebuie decât actualizat, ulterior – deci „chinul” nu durează la infinit!) este facilă de urmărit şi de înţeles de că tre consiliu, respectiv uşor de utilizat de către auditorii interni în elaborarea planurilor anuale de audit. De reţ inut faptul că procesele de control indicate în cadrul acestei ierarhii sunt cele ce pot ameliora riscurile considerate, nu cele pe care le aplică organizaţia. În mod firesc, între acestea şi cele utilizate de organizaţ ie, ar trebui să existe o apropiere foarte mare, însă pot exista situaţ ii (ce pot fi descoperite astfel) în care nu sunt procese de control care să amelioreze anumite riscuri, după cum pot fi identificate controale inutile. Totuşi, această dezvoltare arborescentă poate deveni foarte complexă , motiv pentru care este necesară structurarea ei astfel încât să fie utilizabilă . Structurarea acesteia trebuie să ţ ină cont de două aspecte: riscurile care ameninţă procesele superioare15 din ierarhie, respectiv procesele de control care, prezumabil, le ameliorează . Unii auditori interni preferă construirea registrului riscurilor plecând direct de la sursă: consiliul de administraţ ie şi persoanele relevante din cadrul organizaţiei. Deşi, această procedură directă economiseşte foarte mult timp preţios, prezintă dezavantajul că , unele riscuri pot ră mâne neidentificate, dat fiind faptul că auditorii nu mai au o bază de 15
Procesul din ierarhie este compus din secvenţa: risc-proces de control (sub-obiectiv).
confruntare pregătită de ei anterior. În rest, procedura de ierarhizare, etc. rămâne aplicabilă. De principiu, există trei proceduri utilizate cu scopul de a identifica riscurile: •
Interviul;
•
Seminariile de identificare a riscurilor (engl. – risk workshops);
•
Evidenţele contabile. Interviul. Rezultatele unui interviu reflectă punctul de vedere
individual exprimat de că tre cel intervievat referitor la riscurile la care obiectivele organizaţ iei sunt expuse. Printre avantajele aceste proceduri se numără: uşurinţa stabilirii unei întrevederi cu o singură persoană faţă de un grup de persoane, respectiv confortul mai mare al intervievatului în exprimarea punctelor sale de vedere pe care într-un seminar poate nu şi le-ar exprima deschis. Printre dezavantajele utiliză rii acestei proceduri pot fi enumerate dificultatea de a omogeniza punctele de vedere individuale exprimate şi de a clasifica riscurile astfel obţ inute. Seminariile de identificare a riscurilor. Rezultatele seminariilor se
concretizează într-o listă de riscuri care pun în pericol obiectivele organizaţiei, respectiv o dimensionare a probabilităţ ii şi consecinţ ei acestora. Un avantaj al utiliză rii acestei proceduri constă în faptul că persoanele interacţionează şi creează idei noi. Eviden ţ ele contabile. Examinarea fiecărei clase/poziţ ii din situaţ iile
financiare sau din evidenţ ele contabile, precum şi a evenimentelor ataşate acestora poate scoate la iveală o serie de riscuri importante. În acest moment registrul riscurilor, fie ajustat cu rezultatele procedurilor expuse mai sus, fie obţ inut în exclusivitate în baza acestora, trebuie transpus într-o bază de date computerizată pentru a facilita clasificarea şi utilizarea lui ulterioară . 2.2. Dimensionarea relevanţ ei riscurilor
Având construit registrul riscurilor, pasul urmă tor trebuie să vizeze sprijinirea consiliului în ceea ce priveşte rafinarea registrului riscurilor prin identificarea tuturor riscurilor „semnificative” prin raportare la
apetitul pentru risc. Dimensionarea relevanţ ei riscurilor (R) este realizată prin prisma celor două variabile componente ale fiecă rui risc: consecinţ a (C) şi probabilitatea (P). Aritmetic, relaţ ia de calcul este exprimată astfel: R=CxP
Reamintim că, dacă în cadrul organizaţ iei există un departament de management al riscurilor, aceasta evaluare ar fi responsabilitatea acestuia. În cele ce urmează vom prezenta un model de cuantificare a relevanţei riscurilor, cu menţ iunea că modelul nu este infailibil, el putând fi adaptat sau modificat, în funcţ ie de preferinţ ele auditorilor pentru o măsurare mai exactă sau mai grosieră . Câteva precizări legate de modelul de cuantificare a semnificaţ iei riscurilor: 1. am utilizat o scală de dimensionare pe cinci nivele, fiecă rui nivel ataşându-i valori numerice cuprinse între 1 şi 5, detaliată în tabelul 1. de mai jos.
Tabelul 1. Dimensionarea relevanţ ei riscului Dacă se produce riscul,
SAU,
Relevan ţ a
Consecin ţ ele acestuia ar fi:
Probabilitate
riscului:
a riscului
1 Închiderea organizaţiei totală sau
este: 2 Foarte
3 =1x2 Foarte
parţială pe un orizont de timp lung
ridicată
mare (25)
(5) Imposibilitatea organizaţiei de a-şi
(5) Ridicată
Mare
atinge obiectivele sale majore pe
(4)
(16)
un orizont de timp îndelungat (4) Imposibilitatea organizaţiei de a-şi
Medie
Medie
(3)
(9)
Redusă
Redusă
(2)
(4)
majore ale organizaţiei (2) Apariţia unor pagube minore, fă ră
Foarte
Foarte
a fi afectată atingerea obiectivelor
redusă
redusă (1)
atinge
unele
obiective
pe
o
perioadă de timp limitată (3) Apariţia unor pagube fă ră să fie afectată
atingerea
obiectivelor
organizaţiei (1)
(1)
2. momentul dimensionării relevanţ ei riscurilor: înainte sau după evaluarea proceselor de control ataşate acestora? Literatura de specialitate şi practicile relevă preferinţ e diferite pentru momentul măsurării relevanţei riscurilor. Normele profesionale de audit intern recomandă dimensionarea riscurilor atât înainte, cât şi după ce procesele de control au fost evaluate. Reţ inem de aici urmă toarele: •
Riscul inerent (brut, absolut), este riscul dimensionat înainte
de a evalua eficacitatea şi eficienţ a controalelor interne; •
Riscul rezidual (net, controlat), este riscul dimensionat după
ce au fost evaluate eficienţ a şi eficacitatea controalelor interne ale organizaţiei.
În timp ce riscul inerent va servi pentru formularea planului de audit anual şi identificarea misiunilor de audit ce vor fi întreprinse, riscul rezidual este determinat pe parcursul misiunilor de audit, pentru a evalua eficacitatea şi eficienţ a controalelor efective asupra riscurilor respective. Evaluarea semnificaţiei riscurilor inerente (modelul poate fi utilizat apoi şi pentru riscul rezidual) prin prisma apetitului pentru risc poate fi realizată prin realizarea unei matrice, pentru fiecare risc, astfel încât prin combinaţia probabilităţii cu consecinţ a riscurilor, consiliul să poată decide asupra riscurilor acceptabile, respectiv inacceptabile din punctul său de vedere. Altfel spus, consiliul îşi defineşte astfel apetitul pentru risc. Tabelul 2 de mai jos, prezintă un model de evaluare a semnificaţ iei riscurilor inerente prin referinţă la apetitul pentru risc al consiliului. Tabelul 2. Semnificaţia riscurilor inerente raportate la apetitul pentru risc al consiliului Consecinţa riscului inerent: t n e r e n i i u l u c s i r
5 4 3 2 1
5
4
3
2
1
25 20 15 10 5
20 16 12 8
15 12 9 6
10 8 6
5
4
3
4 2
4 3 2 1
e t a t i l i b a b o r P
Să presupunem că, în ansamblu, consiliul îşi defineşte apetitul pentru risc astfel: riscurile inerente a că ror relevanţă se află în intervalul 1-4 sunt riscuri acceptabile. Altfel spus, toate celelalte riscuri ale că ror relevanţă depăşeşte pragul valoric 4 reprezintă un interes pentru auditori.
3. Etapa a doua: Elaborarea planului de audit
Obiectivele urmărite de auditori în cadrul acestei etape vizează : •
Determinarea riscurilor care vor fi incluse în planul de audit;
•
Alocarea acestor riscuri misiunilor de audit;
•
Elaborarea planului de audit
Filtrarea riscurilor din registru pentru identificarea celor care vor fi incluse în planul de audit anual se realizează prin raportarea la apetitul pentru risc al conducerii drept criteriu prioritar. Astfel, riscurile care se situează sub nivelul apetitului pentru risc al conducerii nu vor necesita o atenţ ie din partea auditorilor şi, drept urmare, nu vor fi incluse în planul de audit. În ceea ce priveşte riscurile situate peste nivelul apetitului pentru risc, pot exista urmă toarele situaţ ii cu privire la care auditorii interni vor decide menţ inerea sau eliminarea lor din planul de audit: •
Riscurile pe care conducerea le consideră că , din diverse motive, nu vor putea fi ameliorate astfel încât să fie reduse la nivelul apetitului pentru risc, motiv pentru care le acceptă . În cazul în care există programe contingente pentru aceste riscuri ele vor face obiectul unor misiuni de audit. În consecinţă , aceste riscuri vor putea fi incluse în planul de audit.
•
Riscurile pentru care au fost adoptate mă suri de prevenire de tipul transferului (de exemplu, asigurarea împotriva riscurilor). Inclusiv acestea vor putea fi menţ inute în planul de audit, deoarece auditorii vor dori probabil să se convingă , în contextul unei misiuni, dacă toate riscurile de acest gen au fost transferate şi dacă transferul este eficient şi eficace ca mecanism de protecţ ie.
•
Riscurile pe care conducerea este decisă să le elimine prin diverse acţiuni sau programe. Asupra acestor riscuri auditorii vor decide dacă le păstrează sau nu în planul de audit. Menţ inerea lor în plan poate fi justificată de faptul că acţ iunile conducerii de eliminare a riscului
respectiv, pot genera alte riscuri, iar auditorii vor dori să se convingă că aceste sunt controlate corespunză tor. •
Riscurile examinate şi evaluate de o terţă parte (de exemplu, de că tre auditorii externi) care furnizează o asigurare directă consiliului de administraţie asupra gradului de control exercitat de organizaţ ie asupra acestora. În astfel de cazuri, strategia şi politicile interne ale organizaţiei reprezintă un punct de sprijin în adoptarea unei decizii asupra menţinerii sau elimină rii lor din planul de audit.
•
Riscurile care au fost aduse în limita apetitului pentru risc, fapt dovedit de rapoartele misiunilor de audit intern anterioare. În funcţ ie de intervalul de timp care a trecut de la finalul acelor misiuni, precum şi de rezultatele relevate de programele de monitorizare post-audit cu privire la implementarea măsurilor corective, auditorii vor decide dacă păstrează sau nu în planul de audit aceste riscuri.
Toate celelalte riscuri care au ră mas vor fi incluse în planul de audit. Alocarea riscurilor pe misiuni de audit are ca punct de plecare registrul riscurilor, actualizat cu rezultatele procesului de filtrare precedent. Criteriile de alocare cel mai frecvent utilizate sunt: •
Perioada de timp şi resursele necesare pentru o misiune de audit (cu cât mai multe riscuri şi procese alocate pe o misiune, cu atât mai lungă şi mai costisitoare va fi misiunea de audit);
•
Persoanele ce se intenţionează a fi intervievate în contextul misiunii;
•
Locaţia proceselor auditabile, etc. Există şi companii care preferă gruparea riscurilor pe misiuni, după
ce obţin o listă cu toate procesele auditabile (denumită universul auditului) şi gruparea lor ulterioară în funcţ ie de locaţ ie sau alte criterii particulare. În ceea ce priveşte prioritizarea misiunilor de audit şi includerea acestora în planul anual, auditul intern trebuie să formuleze un raţionament rezonabil, ţinând cont de resursele financiare, materiale, umane şi fondul de timp avut la dispoziţ ie. Nu este obligatoriu ca toate misiunile identificate să fie incluse într-un singur plan anual, dacă toate
considerentele de mai sus nu permit acest lucru. Este motivul pentru care, unele companii operează cu planuri de audit multi-anuale. De asemenea, companiile care abia înfiinţ ează funcţ ia de audit intern fac faţă unor constrângeri considerabile, mai ales în ceea ce priveşte resursa umană. Pentru stabilirea priorităţ ilor în realizarea misiunilor ce vor fi incluse în planul de audit, în practică se folosesc mai multe modele, fiecare dintre ele fiind elaborat în funcţ ie de particularităţ ile proprii fiecărei companii. În cele ce urmează vom încerca expunerea unui model, folosindu-ne de exemplul din paragraful precedent. Astfel, auditorii pot conveni urmă toarea situaţ ie: •
Pentru riscurile inerente a că ror relevanţă este cuprinsă în intervalul [1-4], nu vor fi întreprinse niciodată misiuni de audit intern;
•
Pentru riscurile inerente a că ror relevanţă se situează în intervalul [5-9] se vor realiza misiuni de audit o dată la fiecare trei ani;
•
Pentru riscurile inerente a că ror relevanţă se situează în intervalul [10-12] se vor realiza misiuni de audit o dată la fiecare doi ani;
•
Pentru riscurile inerente a că ror relevanţă se situează în intervalul [15-25] se vor realiza misiuni anuale de audit. Scala de mai sus poate fi detaliată sau restrânsă în funcţ ie de
preferinţele auditorilor. În această manieră , se pot dezvolta planuri de audit mai scurte decât un an, planuri anuale sau multianuale, după necesităţile auditului intern şi ale organizaţ iei respective. Auditul intern trebuie să obţină acordul conducerii organizaţ iei asupra prioritiză rii misiunilor. În acest moment, baza de date necesară elaboră rii planului de audit este pregătită . Planul de audit va trebui să conţ ină informaţ ii referitoare la: •
Misiunile de audit ce vor fi întreprinse;
•
Perioada de timp preconizată pentru misiunile de audit (când vor începe, câte zile vor dura, când se vor finaliza);
•
Riscurile şi procesele de control asociate acestora ce vor face obiectul misiunilor;
•
Numele auditorilor ce vor participa în cadrul misiunilor (cel puţ in numele şefilor de misiuni), etc.
Planul de audit trebuie aprobat de că tre comitetul de audit şi consiliul de administraţie al organizaţiei. În plus, comitetului de audit i se poate transmite un raport care să conţ ină detalii referitoare la: •
Riscurile şi procesele ce vor face obiectul misiunilor de audit cuprinse în planul de audit;
•
Riscurile şi controalele asupra că rora auditorii interni vor formula o opinie pe baza rezultatelor cumulate din misiunile de revizuire şi din misiunile de audit din perioadele precedente;
•
Activităţile de consultanţă ce vor fi acordate de că tre auditul intern conducerii organizaţiei cu scopul reducerii riscurilor reziduale la nivele inferioare apetitului pentru risc;
•
Riscurile neacoperite, datorită politicilor organizaţ iei sau limită rii resurselor;
•
Asigurarea că planul de audit este în conformitate cu carta auditului intern. Anexa 2 prezintă cerinţele informaţ ionale şi modelul planului de
audit prevăzute de Hotărârea CAFR 88/2007 privitoare la normele de audit intern. 4. Probleme de discuţ ie şi studii de caz 4.1. Probleme de discuţ ie
1. Discutaţi avantajele şi dezavantajele strategiei RBA comparativ cu strategiile tradiţionale de audit. 2. Care sunt efectele utiliză rii strategiei RBA asupra planului anual de audit? 3. Semnificaţia riscurilor este sinonimă cu relevanţ a lor? Discutaţ i. 4. Evaluarea calitativă poate fi utilizată în dimensionarea relevanţ ei riscurilor?
5. Discutaţi procedura de audit „şedinţ e de evaluare a riscurilor”. 4.2. Studiu de caz Sunny Hotel Partea I
Sunny Hotel este o companie hotelieră de 5 stele, care oferă servicii de cazare atât turiştilor, cât şi oamenilor de afaceri care vizitează Washington-ul. Recentele modifică ri legislative aplicabile societăţ ilor cotate la bursa din New York
– iar Sunny este cotată – impun
companiilor consolidarea guvernanţ ei corporative şi transmiterea unor rapoarte periodice privind performanţ ele înregistrate în acest sens. Anul trecut, consiliul de administraţ ie al hotelului tocmai a încheiat implementarea unui proces de restructurare a companiei în baza a recomandărilor primite de la un grup de consultanţ i externi pe probleme privind consolidarea guvernanţ ei corporative. Astfel, hotelul dispune de un departament de audit intern, garnisit cu personal adecvat care raportează consiliului de administraţ ie şi se subordonează direct comitetului de audit, constituit din 5 membri neexecutivi ai consiliului de administraţie. Dna. Jane Shine, şeful departamentului de audit intern, a decis cu consultarea comitetului de audit, ca începând cu anul acesta, auditul intern să-şi schimbe strategia, urmând să adopte strategia bazată pe riscuri. Dvs. sunteţ i un auditor intern al acestui departament şi aţ i fost desemnat, împreună cu alţ i 6 colegi, să formulaţ i planul de audit, bazat pe riscuri, pentru anul acesta. Hotelul nu dispune de un departament specializat în managementul riscurilor. Cerin ţ e:
1. Indicaţi activităţile ce vor fi necesare să le întreprindeţ i pentru a îndeplini sarcina atribuită . 2. Precizaţi care sunt informaţ iile cheie care v-ar permite elaborarea registrului riscurilor. Partea a II-a
Pe baza unui telefon, aţ i reuşit să stabiliţ i o întâlnire cu directorul general al hotelului şi cu şeful contabil. Pe parcursul întâlnirii, aţ i reuşit
să obţineţi următoarele informaţ ii cu privire la activităţ ile desfă şurate de clientul dvs. Cazarea. Hotelul are 60 de camere, a că ror clasificare este
prezentată în tabelul de mai jos. Cifrele cu privire la gradul de ocupare reprezintă un instrument important de dimensionare a succesului afacerii. În medie, camerele au avut un grad de ocupare de 74% pe o perioadă de 12 luni. Conducerea este îngrijorată de faptul că în 12 luni tariful de găzduire a scă zut în anul anterior cu circa 76%. Gradul de ocupare variază pe parcursul anului de la 50% în lunile de iarnă , la 90% în lunile de primăvară/vară, respectiv începutul toamnei. Tip camere
Nr.
Tariful
Grad de
pe zi
ocupare
Camere single cu baie 15 Camere single cu duş 10 Camere single cu 5
70 60 50
75 77 81
chiuvetă Total camere single 30 Camere duble cu baie 17 Camere duble cu duş 9 Camere duble cu 4
80 70 60
70 77 82
chiuvetă Total camere duble 30 Total camere 60 74 În plus faţă de aceste informaţ ii mai aflaţ i urmă toarele: •
Fiecare cameră este dotată cu televizor, cafetieră , frigider conţinând băuturi îmbuteliate în sticle şi cutii, halate de duş, presă şi telefon;
•
Tarifele de cazare sunt cele indicate în tabelul de mai sus, cu menţiunea că se pot aplica tarife diferite în urmă toarele cazuri: o
Tarife speciale pentru week-end şi tarife reduse pentru cază ri săptămânale;
o
În cazul în care camerele single nu sunt disponibile, camerele duble pot fi puse la dispoziţ ie la tariful unei camere single;
o
Tarife speciale de sezon.
•
Conducerea hotelului intenţ ionează să amenajeze camere de baie pentru camerele care sunt dotate numai cu chiuvete. Lucră rile de amenajare vor începe foarte curând în cursul exerciţ iului curent.
•
Contabilul şef vă informează că în anul anterior, veniturile din activitatea de închiriere a camerelor au fost de circa 1,050,000$. Restaurant. Hotelul are un restaurant cu 60 de mese. Conducerea
hotelului vă informează că deşi majoritatea oaspeţ ilor servesc micul dejun în hotel, gradul de ocupare a restaurantului (de că tre oaspeţ i) în anul precedent a fost de circa 20% la prânz, respectiv 65% în cursul serii. Este permis şi accesul în restaurant al persoanelor care nu sunt cazate în hotel. Conducerea estimează că pragul de rentabilitate pentru activitatea restaurantului este la o capacitate de utilizare de 55%, însă doreşte o creştere a capacităţii de utilizare a restaurantului (care a fost de 75% în anul precedent, incluzând oaspeţ ii şi consumatorii din afara hotelului). Meniul oferit a fost modificat, iar de curând a fost angajat un bucă tar specializat în prepararea mâncă rurilor tradiţ ionale din regiune. Veniturile din activitatea restaurantului s-au ridicat la circa 2,400,000$ în anul precedent, incluzând veniturile din asigurarea micului dejun. Contabilul şef vă informează că restaurantul reprezintă componenta de activitate care aduce cel mai mult profit hotelului. Noului meniu i se face publicitate în presa locală . Unul dintre motivele pentru care conducerea acordă o atenţie sporită restaurantului, este concurenţ a fă cută de un hotel din împrejurime, care a finalizat recent un proiect de modernizare şi a reuşit să atragă o parte din clientelă datorită restaurantului atractiv pe care l-a amenajat. Bucătăria. Conducerea hotelului a început să adopte masuri pentru
reducerea pierderilor din bucă tă rie. Au fost introduse mă suri de control al porţiilor, iar responsabilitatea pentru aprovizionarea cu produse alimentare a fost recent acordată unui nou şef, sub supravegherea directă a contabilului şef. Barul. Există trei baruri în hotel, şi o gamă variată de bă uturi puse
la dispoziţia oaspeţilor hotelului şi a clienţ ilor din afară . Unul din baruri
este amplasat în salonul de oaspeţ i. Barurile reprezintă una dintre activităţile foarte profitabile ale hotelului. Servicii suplimentare. Hotelul oferă servicii suplimentare pentru
nunţi, recepţii, întâlniri de afaceri, mese rotunde, etc. Sistemul
contabil.
Hotelul
utilizează
un
sistem
contabil
computerizat. Compania are o reţea mică de calculatoare achiziţ ionate cu doi ani în urmă la un cost de 30.000$. Calculatoarele sunt distribuite la recepţie, restaurant, baruri, biroul directorului, şi biroul şefului contabil. Sistemul utilizează un program achiziţ ionat de la o companie de software de renume. În afară de administratorul de sistem, şeful contabil are suficiente cunoştinţ e de informatică pentru a supraveghea operarea sistemului. Cea mai frecventă şi importantă înregistrare se face la recepţie, care activează sistemul informatic la sosirea unui client. Numărul camerei este utilizat pentru înregistrarea tuturor serviciilor utilizate de către client. Astfel, atunci când clientul serveşte masa la restaurant, numărul camerei este prezentat pe bonul de masă semnat de client. O procedură importantă de control utilizată de că tre restaurant constă în codificarea meniului care are în corespondenţă un fişier de coduri pe calculator pentru fiecare fel de mâncare din meniu precum şi preţul standard aferent. Fiecare chelner are un chitanţ ier şi are obligaţ ia să întocmească câte patru copii pentru fiecare chitanţă , dintre care una pentru bucătărie, una pentru casieria restaurantului, una pentru serviciul de contabilitate şi una o reţ ine pentru el însuşi. Chelnerii introduc numărul de comenzi pentru un anumit fel de mâncare la fiecare masă , folosind codurile specifice pentru fiecare fel de mâncare prevă zut în meniu şi comandat de că tre client, precum şi numă rul camerei clientului care este găzduit de hotel. Directorul de restaurant introduce pe calculator detaliile cu privire la toate felurile de mâncare servite în restaurant, făcând distincţ ie între cele achitate cash şi cele trecute în contul clientului pentru nota finală . Banii încasaţ i în cash sunt vă rsaţ i în casieria restaurantului. Cel mai important instrument de control în activitatea barurilor constă în utilizarea unui sistem automat care solicită
barmanului sa introducă codul bă uturilor comandate şi suma încasată , restul de plată fiind calculat automat de că tre calculator. Cerin ţ e:
1. Identificaţi obiectivele strategice ale companiei Sunny Hotel. 2. Indicaţi riscurile potenţ iale şi controalele aferente care ar putea ameliora aceste riscuri. 3. Organizaţi o şedinţă de analiză a riscurilor cu conducerea hotelului pentru a evalua riscurile inerente. 4. Determinaţi domeniile auditabile ce vor fi incluse în planul de audit şi prioritatea lor.
Anexa 1. Ierarhizarea riscurilor
OBIECTIVUL STRATEGIC AL ORGANIZAŢIEI expus următoarelor riscuri: RISC 1
………… ………… ………… ….
RISC 2
RISCn
Controlate prin urmă toarele procese de control (PC):
PC1
PC2
PC3
……
PCn
Controale care devin, la rândul lor, (sub)obiective, amenin ţate de următoarele riscuri (r):
R1
R2
R3
……………………… ………….
Rn
… … … … . . Ameliorate prin controale, care devin sub-obiective … etc.
Anexa 2. Procedura „plan de audit”16 Scopul:
Întocmirea planului de audit intern în conformitate cu cerinţele standardelor de audit intern. Premise:
Planul de audit intern reprezintă cadrul de acţ iune pentru Departamentul de Audit Intern şi se întocmeşte de că tre şeful acestui departament. Procedura: Şef Departament Audit 1. Întocmeşte planul anual de
audit intern
Intern
2.
Întocmeşte
referatul
cuprinzând criteriile de selectare a misiunilor de audit. 3. Analizează şi aprobă planul
Comitetul de Audit Consiliul
anual de audit. de 4. Analizează şi aprobă planul
Administraţie
anual de audit.
Notă: Planul anual de audit intern poate fi modificat în cursul anului în
condi ţiile reiteră rii procedurii.
16
HCAFR 88/2007, www.cafr.ro
PLAN DE AUDIT INTERN Pe anul .......... Nr.
Tema
Obiecti
Perioad
Unitate
Perioada
Crt
misiun
ve
a
a
desfăşură
ii de
supusă
auditat
rii
audit
auditării
ă
misiunii de audit
0
1
2
3
4
5
1 2 3 … n Şef Departament Audit Intern,