COMPONENTELE CONTROLULUI INTERN conform INTOSAI GOV 9100 ”Linii Directoare pentru Standardele de Control Intern în Sectorul Public”
În anul 2001, la Congresul Organizației Internaționale a Instituțiilor Supreme de Audit (INCOSAI) s-a decis actualizarea Liniilor directoare INTOSAI pentru standardele de control intern în sectorul public, emise inițial în anul 1992, prin introducerea în document a tuturor aspectelor de evoluţie recentă, din domeniul controlului intern şi pentru a integra o serie de elemente ale modelului COSO (Controlul Intern – Cadru integrat).
Prin integrarea acestuia în Liniile directoare – activitate realizată de către grupul operativ al Comitetului Standardelor de Control Intern al INTOSAI – s-a încercat obținerea unei înțelegeri unitare a modului în care funcționează noul sistem de control intern, de către reprezentanții Instituţiilor Supreme de Audit.
”Liniile directoare INTOSAI pentru standardele de control intern în sectorul public”, fac parte din categoria INTOSAI GOV (ghid/îndrumar pentru buna guvernanță) și sunt considerate extrem de utile atât managerilor din sectorul public care trebuie să implementeze sistemul de control intern, cât și auditorilor publici externi, care trebuie să cunoască acest sistem și să îl evalueze.
Controlul intern în organizațiile din sectorul public trebuie înțeles prin prisma caracteristicilor specifice a acestora, cum ar fi spre exemplu:
- îndeplinirea obiectivelor sociale sau politice;
- modul în care se utilizează fondurile publice;
- importanța procesului bugetar;
- răspunderea managerilor din sectorul public referitor la implementarea sistemului de control intern.
Potrivit Liniilor directoare INTOSAI privind standardele de control intern in sectorul public (INTOSAI GOV 9100), controlul intern este format din cinci componente interdependente (identice cu cele ale modelului COSO):
- MEDIUL DE CONTROL
- EVALUAREA RISCULUI
- ACTIVITĂȚILE DE CONTROL
- INFORMARE ȘI COMUNICARE
- MONITORIZARE
Controlul intern este conceput pentru a furniza o asigurare rezonabilă cu privire la atingerea obiectivelor generale ale instituţiei. De aceea obiective clar stabilite de către conducătorii entității și planificarea corespunzătoare a bugetului, constituie o condiţie obligatorie pentru un control intern eficace.
Relaţia dintre obiectivele generale ale controlului intern şi cele cinci componente
Există o relaţie directă între obiectivele generale (ceea ce își propune să realizeze o instituţie) şi cele cinci componente ale controlului intern, (ceea ce este necesar pentru a le atinge).
Cele patru obiective generale ale controlului intern – răspundere (şi raportare), conformitate (cu legile şi reglementările), operațiuni (sistematice, cu caracter etic, economice şi eficace) şi protejarea resurselor – sunt reprezentate în schema de mai jos prin coloane verticale. Cele cinci componente sunt reprezentate prin rânduri orizontale, iar instituţia sau entitatea şi departamentele acesteia sunt prezentate prin a treia dimensiune a matricei, din partea laterală.
Prezentăm pentru exemplificare cele 5 componente ale modelului COSO, preluate în INTOSAI GOV 9100
Fiecare rând care reprezintă componentele controlului intern se aplică tuturor celor patru obiective generale stabilite pentru entitate.
Controlul intern este relevant pentru toată instituţia în întregul său şi pentru fiecare departament în parte.
În timp ce sistemul de control intern este relevant şi aplicabil tuturor instituţiilor, modul implementării de către conducere variază foarte mult în funcţie de natura instituţiei şi depinde de o serie de factori specifici. Aceşti factori includ, structura organizatorică, genul/profilul riscurilor, mediul de activitate, dimensiunea şi complexitatea activităţilor şi sistemul de reglementare aplicabil. Deoarece are în vedere situaţia specifică a instituţiei, conducerea are în vedere o serie de opţiuni privind complexitatea proceselor şi metodologiilor utilizate pentru aplicarea componentelor sistemului de control intern.
Mediul de control
Mediul de control cuprinde atitudinea generală, conștientizarea și măsurile luate de conducere și de cei însărcinați cu
guvernanța privind sistemul intern de control și importanța sa în cadrul entității. Mediul de control stabileşte tonul organizației, influenţând conştiinţa controlului la nivelul personalului.
El reprezintă baza tuturor celorlalte componente ale controlului intern, asigurând o disciplină în cadrul organizației ce trebuie respectată şi o structură a entității, astfel încât să poată fi aplicat în mod eficace sistemul de control intern.
În plus, mediul de control intern este un instrument eficient în prevenirea corupției și a fraudei.
Elementele care definesc mediul de control sunt:
- integritatea personală și profesională, valorile etice stabilite de conducere pentru întregul personal, inclusiv o atitudine de sprijin permanent față de controlul intern;
- o preocupare continuă a conducerii pentru competență la nivelul întregului personal;
- ” tonul dat de sus” (filozofia și stilul de activitate ale conducerii);
- structura organizatorică a entității;
- politica și practicile privind resursele umane.
Evaluarea riscurilor
Conform INTOSAI GOV 91302, scopul gestionării riscului entității este acela de a permite managementului unei entități să identifice elementul de nesiguranţă privind atingerea obiectivelor stabilite şi riscul asociat acestuia (deciderea acțiunilor care să îl limiteze sau să îl înlăture) și să aibă oportunitatea de a spori capacitatea de adăugare de valoare, sau, în termeni utilizați în sectorul public, de a oferi servicii mai eficiente, economice şi eficace şi de a ţine cont de valori cum ar fi echitatea şi dreptatea.
Riscul poate fi considerat în sens negativ de incertitudine, amenințare, obstacol sau în sens pozitiv, de oportunitate.
Procesul de gestionare a riscului implică:
- identificarea riscurilor aferente obiectivelor instituţiei, inclusiv a celor datorate factorilor interni şi externi, la nivel de instituţie şi la nivel de activitate.
- evaluarea riscurilor:
- estimarea semnificaţiei riscurilor;
- evaluarea probabilităţii producerii riscurilor.
- evaluarea înclinaţiei/dispoziției (gradului/nivelului) de acceptare a unor riscuri de către conducerea instituţiei;
- crearea răspunsurilor/stabilirea acțiunilor ce trebuie întreprinse:
- trebuie avute în vedere patru tipuri de răspunsuri la risc: transfer, toleranţă, tratare sau terminare. Dintre acestea, tratarea riscurilor este cea mai relevantă, deoarece controalele interne eficiente reprezintă principalul mecanism de tratare a riscurilor;
- controalele adecvate care pot fi introduse pentru a evita riscurile pot fi de depistare sau de prevenire.
Având în vedere evenimentele economice din ultimii ani, cea mai importantă provocare va fi ca organizațiile să găsească echilibrul între risc, costuri și valoare, în condițiile în care un beneficiu semnificativ este de a avea cât mai multe rezultate cu resurse puține, dar care presupune o stabilire clară a riscurilor cheie cu care se confruntă entitățile.
Aspecte ce trebuie avute în vedere pentru echilibrarea riscului, costului și valorii
RISC: – Înțelege managementul entității riscurile cu care se confruntă? – Cunoaște riscurile cheie? – Se raportează managementului riscurile cheie? – Se acceptă nivelul corect de risc? – Se cunoaște dacă riscurile proprii se gestionează corespunzător? – Există un document specific referitor la risc (registru) ?
COST: – Se concentrează atenția pe riscurile semnificative? – Există riscuri care se dublează, se suprapun? – Sunt utilizate controale automate sau controale manuale? – Există combinația necesară de competențe corespunzătoare atinse prin costuri corecte? – Este optimizată utilizarea tehnologiei pentru gestionarea riscurilor?
VALOARE; – Riscurile asumate corespund obiectivelor strategice stabilite? – Se obțin beneficii corespunzătoare în investițiile riscante realizate? – Urmare procesului de gestionare a riscului se obțin soluții de îmbunătățire? – Gestionarea riscului ajută la un progres mai rapid sau la o încetinire a activității?
Activități de control
Activitățile de control sunt politicile și procedurile stabilite pentru abordarea riscurilor în vederea atingerii obiectivelor instituției (Activitate semnificativă pentru entitate –> Obiective –> Riscuri –> Controale).
Pentru a fi eficiente, activitățile de control trebuie să fie adecvate, trebuie să funcționeze permanent în conformitate cu planul pentru perioada respectivă și să fie rentabile, să fie înțelese rapid și just, să fie rezonabile și integrate în alte componente ale controlului intern.
Activitățile de control se desfășoară în întreaga instituție, la toate nivelurile și funcțiile acesteia.
Există o gamă diversă de activități de control care pot fi de depistare și de prevenire, cum ar fi, de exemplu:
- Proceduri de autorizare și aprobare;
- Separarea îndatoririlor (autorizare, procesare, înregistrare, revizuire);
- Controale privind accesul la resurse și înregistrări;
- Verificări;
- Reconcilieri;
- Analize ale performanței de funcționare;
- Revizuiri ale operațiilor, proceselor și activităților;
- Supervizare.
Activitățile de control (1) – (3) sunt preventive, (4) – (6) au mai degrabă caracter de depistare iar (7) și (8) sunt și de prevenire și de depistare/detectare.
Controalele de prevenire se realizează în timpul derulării operațiunilor înainte de a se trece la faza următoare și de regulă, înaintea înregistrării operațiunii respective. Aceste controale se materializează într-o semnătură sau o viză dată pe documente de către persoanele abilitate.
Controalele de detectare sunt efectuate asupra unui grup de operațiuni de aceeași natură (prin sondaj) cu scopul de a descoperi anomaliile în funcționarea sistemului sau pentru a se asigura că aceste anomalii nu există.
Instituțiile trebuie să atingă un echilibru adecvat între activitățile de detectare și cele de control preventive, adesea recurgându-se la o combinare de controale pentru a compensa dezavantajele particulare ale controalelor individuale.
Măsurile corective sunt o completare necesară la activitățile de control pentru atingerea obiectivelor.
Activităţile de control privind tehnologia informaţiilor
Deoarece tehnologia informaţiilor a avansat, instituţiile au devenit tot mai dependente de sistemele informatice care le efectuează operaţiile şi procesează, menţin şi raportează informaţiile esenţiale.
Drept urmare, siguranţa şi securitatea datelor informatice şi a sistemelor care procesează, stochează şi raportează aceste date reprezintă o preocupare majoră a conducerii şi a auditorilor din instituţii.
Sistemele informaţionale implică tipuri specifice de activităţi de control, tehnologia informaţiei nu este un element de control ce ”se susţine singur”. Utilizarea sistemelor automatizate de procesare a informaţiilor introduce mai multe riscuri care trebuie avute în vedere de instituţie.
Aceste riscuri provin, printre altele, din:
- procesarea uniformă a tranzacţiilor;
- sisteme informatice care iniţiază automat tranzacţii;
- potenţial sporit de erori nedetectate;
- natura componentelor hardware şi a soft-urilor utilizate;
- înregistrarea de operațiuni economice care nu sunt obişnuite sau nu sunt frecvente (de rutină).
De exemplu, un risc inerent de la procesarea uniformă a operațiunilor este că eroarea care rezultă din probleme de programare informatică va apărea sistematic în operațiunile similare. Controalele eficiente privind tehnologia informaţiilor pot oferi conducerii o asigurare rezonabilă că informaţiile procesate de sistemele sale informatice îndeplinesc obiectivele de control preconizate, cum ar fi asigurarea integralităţii, oportunităţii şi valabilităţii datelor şi păstrarea integrităţii acestora. Sistemele informatice implică tipuri speciale de activităţi de control.
Informarea și comunicarea
Informarea și comunicarea sunt esențiale pentru realizarea tuturor obiectivelor de control intern dintr-o entitate.
Informațiile
O precondiție a informațiilor sigure și relevante este înregistrarea imediată și clasificarea corectă a tranzacțiilor sau evenimentelor. Informațiile pertinente trebuie identificate, obținute și comunicate într-o formă și într-un interval de timp care să permită personalului să realizeze controlul intern și responsabilitățile care îi revin (comunicare oportună persoanelor autorizate).
De aceea, sistemul de control intern în sine și toate operațiunile economice și evenimentele semnificative trebuie integral documentate.
Sistemele informatice generează rapoarte care conțin informații operaționale, financiare, nefinanciare și de conformitate, ceea ce face posibilă executarea și controlarea activității. Ele se ocupă nu numai de datele generate pe plan intern ci și de informațiile referitoare la evenimente, activități și condiții externe necesare pentru a permite luarea deciziilor și raportarea.
Capacitatea conducerii de a lua decizii adecvate este afectată de calitatea informațiilor, ceea ce presupune că informațiile trebuie să fie adecvate, oportune, actuale, corecte și accesibile.
Comunicarea
Comunicarea eficientă trebuie să se desfășoare de sus în jos, de jos în sus și la nivelul instituției, prin toate componentele și întreaga sa structură.
Toți membrii personalului trebuie să primească de la conducerea superioară mesajul clar că reponsabilitățile de control trebuie luate în serios. Ei trebuie să înțeleagă rolul individual pe care îl au în sistemul de control intern și modul în care activitățile proprii se leagă de activitatea celorlalți. Este necesară și comunicarea eficientă cu părțile din afara instituției.
Monitorizarea
Sistemele de control intern trebuie monitorizate pentru a evalua calitatea performanței sistemului în timp. Monitorizarea se realizează prin activități de rutină, evaluări separate sau o combinare a acestor două metode.
i. Monitorizarea continuă
Monitorizarea continuă a controlului intern este încorporată în activitățile normale, obișnuite, de funcționare ale instituției. Ea include activități de conducere și supervizare regulate și alte măsuri luate de personal în procesul de îndeplinire a sarcinilor.
Activitățile de monitorizare continuă acoperă fiecare componentă a controlului intern și implică măsuri împotriva sistemelor de control nesistematice, neetice, neeconomice și ineficiente.
ii. Evaluări separate
Sfera și frecvența evaluărilor separate va depinde în primul rând de evaluarea riscurilor și de eficiența procedurilor de monitorizare continuă.
Evaluările separate specifice acoperă evaluarea eficienței sistemului de control intern și asigură obținerea de către controlul intern a rezultatelor dorite pe baza unor metode și proceduri predefinite. Deficiențele controlului intern trebuie raportate nivelului corespunzător de conducere.
Monitorizarea trebuie să asigure rezolvarea adecvată și promptă a constatărilor și recomandărilor efectuate de către auditul intern din cadrul entității respective.
Limitele controlului intern
Controlul intern, indiferent de modul în care este conceput și funcționează poate oferi doar o asigurare rezonabilă și nu una absolută că obiectivele entității sunt îndeplinite. Probabilitatea de realizare a acestora este afectată de limitele inerente ale controlului intern. Acest fapt se datorează unor factori interni și externi care nu au fost și nu au putut fi luați în considerare la proiectarea (conceperea) controlului intern, cum ar fi:
- erori umane: neglijență, neatenție, interpretări eronate, erori de raționament etc;
- abuzul de autoritate manifestat de unele persoane cu atribuții de conducere, coordonare sau supervizare;
- limitarea independenței în exercitarea atribuțiilor de serviciu;
- schimbări frecvente intervenite în mediul intern și cel extern al entității;
- proceduri de control neadecvate;
- proceduri de control neadaptate sau adaptate și neaplicate;
- costurile controlului intern.
Controlul intern trebuie să fie eficient, să nu determine costuri suplimentare și să permită economisirea mijloacelor materiale, financiare și umane. De altfel, poate exista și situația de a proiecta un sistem bun de control intern dar acesta să fie greșit înțeles și pus în practică de către cei implicați în acea entitate (personal greșit instruit în ceea ce privește implementarea controlului intern) sau tratat în mod formal.
Trebuie avută în vedere și situația în care controalele interne pot fi eludate prin asocierea a două sau mai multe persoane în acest scop sau chiar de către conducere.
În concluzie, există o mulţime de factori care nu se află sub directa influenţă a deciziei manageriale sau a proiectării unor produse sau servicii în cadrul entității – erori umane, erori de judecată, decizii greşite, acte de indisciplină ori de reavoinţă.
De aceea, un sistem de control rezonabil şi flexibil, care se poate modifica în funcție de realități, reuşeşte, nu în mod absolut, ci în anumite limite, să asigure îndeplinirea obiectivelor manageriale cu o mai mare probabilitate şi în condiţii mai bune.
Concluzionând cele prezentate în acest capitol, activitățile de control fac parte integrantă din procesul de control intern/managerial, prin care entitatea urmărește atingerea obiectivelor propuse. Controlul vizează aplicarea normelor și procedurilor de control intern, la toate nivelele ierarhice și funcționale: aprobare, autorizare, verificare, evaluarea performanțelor operaționale, securizarea activelor, separarea funcțiilor.
Răspunderea managerială implică responsabilitatea pentru buna gestiune financiară și performanță la toate nivelele unei entități, respectiv pentru toate cele cinci componente ale controlului intern. Acest lucru reprezintă inclusiv faptul că managerii sunt obligați să raporteze despre acțiunile întreprinse și deciziile luate pentru a îndeplini obiectivele entității pe care o conduc.