Etapele evaluării sistemului de control intern de către auditorii publici externi
Controlul financiar public intern este un subiect prioritar pentru auditul public extern realizat de Curtea de Conturi a României, pentru a determina dacă managerii instituțiilor publice aplică în practică prevederile legale ale sistemului de control intern/managerial.
Este important ca evaluarea activităților de control intern și audit intern să se realizeze cu ocazia verificărilor efectuate de auditorii publici externi și să se ofere o garanție a faptului că atât controlul intern cât și auditul public extern acționează în mod sincronizat, respectându-se în același timp responsabilitățile stabilite pentru cele două părți și gradul de independență caracteristic fiecăruia.
În acest sens, auditorii publici externi au obligația de a cunoaște modul în care este conceput și funcționează întregul sistem de control intern managerial.
Cu ocazia documentării acțiunilor de verificare, auditorii publici externi colectează o serie de informații și documente necesare cunoașterii/înțelegerii activității entității respective și analizei riscurilor cu care aceasta se confruntă. Astfel de informații pot fi:
- principalele elemente ale contextului instituţional în care se desfăşoară activitatea entității (identificarea legilor şi regulamentelor aplicabile entităţii verificate și a aspectelor semnificative privind mediul și condițiile în care acestea funcționează);
- modul în care este organizată entitatea publică (obţinerea organigramei, regulamentului de organizare şi funcţionare, fişe ale posturilor, procedurile scrise ale entităţii auditate, diverse manuale sau ghiduri elaborate conform cerințelor controlului intern);
- lista personalului responsabil cu sarcinile de control atribuite;
- identificarea circuitului documentelor din cadrul entității;
- procese verbale ale ședințelor organelor de conducere;
- documentații de proiect/program;
- rapoarte anterioare de audit intern și extern;
- alte rapoarte, documente ale unor instituţii şi organizaţii abilitate (ex.: Sigma).
Auditorii publici externi trebuie să identifice slăbiciunile sistemelor de control intern ale instituțiilor publice și să sprijine în acest sens structurile de audit intern pentru a elimina aceste slăbiciuni și deficiențe (prin recomandări), să evalueze dacă activitatea desfășurată de entitățile publice este în conformitate cu reglementările specifice în domeniu, cu manualele și ghidurile elaborate pentru control intern și audit intern de către acele persoane desemnate să implementeze controlul intern în entitate.
În acest proces de dualitate și Curtea de Conturi este interesată în stabilirea unui sistem de control intern eficient în entitățile verificate, deoarece:
- acesta poate să anticipeze și să prevină erorile și omisiunile, fraudele și neregularitãțile din stadii incipiente fațã de momentul în care un audit public extern o poate realiza;
- eficacitatea și încrederea în funcționarea sistemelor de control intern pot aduce economii importante de resurse pentru Curtea de Conturi (mai puțin timp alocat unei verificări, echipe mai mici de auditori etc.).
În materialele de specialitate din domeniu se face referire la faptul că instituția supremă de audit are rolul de:
- a se asigura că există norme/regulamente ca bază generală pentru menținerea unui control intern eficace în sectorul public;
- a concentra atenția managerilor din sectorul public către implementarea unor controale interne eficace și menținerea continuă a unui mediu de control intern pozitiv;
- a accentua importanța rolului de prevenire a unor întreruperi în funcționarea controalelor interne, prin a solicita managerilor entităților publice să efectueze autoevaluări periodice ale activităților de control intern;
- a evidenția rolul auditului intern ca parte decisivă/hotărâtoare a sistemului de control intern al organizației;
- a se asigura de faptul că propria instituție (SAI) joacă un rol cheie în:
- aplicarea standardelor de control intern în entitățile din sectorul public;
- sprijinirea creării unui mediu solid de control intern;
- evaluarea sistemelor de control intern ale entităților publice.
Obiectivele de audit în sectorul public, sunt deseori mai largi decât exprimarea unei opinii asupra situaţiilor financiare, respectiv dacă au fost întocmite, în toate aspectele semnificative, în conformitate cu cadrul de raportare financiară aplicabil. Trebuie verificate de exemplu, obligaţiile entităţilor din sectorul public care decurg din legislația aplicabilă, din diverse reglementări, directive ministeriale sau cerinţe ale politicii guvernamentale, care pot duce la stabilirea unor obiective suplimentare și care pot include şi pe acelea cu privire la eficacitatea controlului intern.
Aceste obiective suplimentare pot conduce auditorii publici externi la o evaluare a unor riscuri suplimentare de denaturare semnificativă (riscuri de neconformitate cu cerințele legislative sau de ineficacitate a sistemului de control managerial intern).
În acțiunile de verificare, pentru auditorii publici externi, prezintă de asemenea, importanță:
- evaluarea modului în care sistemul de control intern a fost conceput şi stabilirea măsurii în care acesta funcționează;
- evaluarea capacităţii sistemului de control intern de a preveni, detecta şi corecta erorile/abaterile semnificative (spre exemplu o eroare sau o fraudă petrecută între compartimente/departamente determină conturi eronate și implicit, influențează situațiile financiare);
- modul în care rezultatele activităţii structurii de audit intern a entităţii verificate asigură o bază credibilă de informații (pentru auditorii publici externi), în vederea diminuării procedurilor de audit utilizate.
Atunci când evaluează conceperea și funcționarea/implementarea controlului intern managerial, auditorul public extern trebuie să aibă în vedere următoarele:
- obiectivul unei activități de control/proceduri de control;
- importanța acelei activității/proceduri de control în cadrul întregului sistem de control intern al entității;
- riscul pe care îl diminuează respectiva activitate de control;
- modul în care este desfășurată activitatea de control;
- cât de frecvent este aceasta aplicată (zilnic, lunar, trimestrial);
- perioada în care a funcționat corespunzător activitatea de control;
- amploarea și tipul proceselor pentru care se aplică activitatea de control;
- dacă aceasta este stabilită prin documente de către managerul entității;
- cunoștințele, experiența persoanei care aplică activitatea de control (cine aplică acel control are abilitățile necesare?);
- dacă respectiva activitate de control intern are o componentă IT.
Auditorii publici externi, în evaluarea activității unei entități, trebuie să analizeze dacă sunt respectate cerințele controlului intern, respectiv dacă managerii/persoanele care gestionează fonduri publice sau patrimoniul public realizează o bună gestiune financiară prin asigurarea legalității, regularității, economicității, eficienței și eficacității în utilizarea fondurilor publice și în administrarea patrimoniului public (ex. – se supun aprobării ordonatorului de credite numai proiectele de operațiuni11 care respectă întru totul cerințele de legalitate, regularitate, economicitate etc.).
În acest sens, trebuie analizate următoarele aspecte:
- În ce măsură/grad, entitatea publică a realizat dezvoltarea și întreținerea unor sisteme de colectare, stocare, prelucrare, actualizare și diseminare a datelor și informațiilor financiare și de conducere, precum și a unor sisteme și proceduri de informare publică adecvată prin realizarea unor rapoarte periodice.
- Dacă managerul entității și-a îndeplinit obligația legală de a asigura elaborarea, aprobarea, aplicarea și perfecționarea structurilor organizatorice, reglementărilor metodologice, procedurilor și criteriilor de evaluare, pentru a satisface cerințele generale și specifice de control intern. (Se verifică dacă au fost numiți responsabili cu elaborarea acestor reglementări precum și termenele de îndeplinire a acestora).
- Dacă managerii entității au asigurat îndeplinirea obiectivelor generale prin evaluarea sistematică și menținerea la un nivel considerat acceptabil a riscurilor asociate structurilor, programelor, proiectelor sau operațiunilor.
- Dacă managerul entității a realizat asigurarea unei atitudini de cooperare a personalului de conducere și de execuție, care are sarcina de a răspunde în orice moment solicitărilor managerului și dacă a sprijinit efectiv controlul intern prin instruirea personalului în vederea asigurării acestei atitudini.
- Dacă managerul entității a îndeplinit cerința legală de asigurare a integrității și competenței personalului de conducere și de execuție, a cunoașterii și înțelegerii de către acesta a importanței și rolului controlului intern, inclusiv prin instruirea personalului în acest sens.
- Dacă personalul de conducere exercită o supraveghere continuă a tuturor activităților și dacă, ori de câte ori se constată încălcări ale legalității și a regularității în efectuarea unor operațiuni sau în realizarea unor activități în mod neeconomic, ineficace, sau ineficient, acționează corectiv, prompt și responsabil (instruirea personalului în vederea desfășurării acțiunilor corective).
- Dacă au fost stabilite de către conducătorul instituției publice, obiectivele specifice ale controlului intern, astfel încât acestea să fie adecvate, cuprinzătoare, rezonabile și integrate misiunii entității (obiective SMART12) și obiectivele de ansamblu ale acesteia (care sunt integrate în strategia instituției și care se regăsesc în actul de constituire al entității, respectiv managerul trebuie să integreze obiectivele specifice de control intern în obiectivele de ansamblu ale entității).
- Dacă managerul entității publice a respectat obligațiile prevăzute de cerințele controlului intern cu privire la obiectivele specifice ale controlului intern, respectiv:
- înregistrarea de îndată și în mod corect a tuturor operațiunilor și evenimentelor semnificative;
- asigurarea aprobării și efectuării operațiunilor exclusiv de către persoane special împuternicite în acest sens;
- separarea atribuțiilor privind efectuarea de operațiuni între persoane, astfel încât atribuțiile de aprobare, control și înregistrare să fie, într-o măsură adecvată, încredințate unor persoane diferite;
- asigurarea unei conduceri competente la toate nivelurile entității (a direcțiilor/departamentelor/compartimentelor);
- accesarea resurselor și documentelor numai de către persoane îndreptățite și responsabile în legătură cu utilizarea și păstrarea lor.
- Dacă managerul entității publice a îndeplinit obligația legală de reflectare în documente scrise a organizării controlului intern, astfel încât acestea să fie disponibile cu promptitudine pentru a fi examinate de către cei în drept.
- Dacă prin controlul financiar preventiv s-a efectuat o verificare sistematică a proiectelor de operațiuni din punct de vedere al legalității, regularității și încadrării în limitele creditelor bugetare sau creditelor de angajament, după caz, stabilite potrivit legii.
- Dacă managerul entității publice, (împreună cu directorul economic, șeful contabil, șeful compartimentului de audit intern și controlorul financiar preventiv) a îndeplinit obligația de a organiza și exercita controlul financiar preventiv, respectiv dacă a îndeplinit sarcina legală de stabilire a proiectelor de operațiuni supuse controlului financiar preventiv cu respectarea dispozițiilor legale (auditorii publici externi trebuie să aibă în vedere faptul că respectarea dispozițiilor legale impune ca înainte de prezentarea proiectelor de operațiuni pentru viza de control financiar, în cadrul entității publice trebuie să fie stabilite strategia, din care să reiasă obiectivele SMART pe fiecare compartiment/direcție, serviciu, birou, să existe manuale de proceduri de lucru pe activități, să fie întocmit un registru de riscuri, să fie implementate standardele minimale obligatorii și indicatorii de rezultate și de eficiență și că se precizează acțiunile, costurile asociate și obiectivele urmărite).
- Dacă operațiunile, înainte de a fi avizate de către șefii compartimentelor de specialitate, de a se primi viza de control financiar preventiv și de a fi aprobate de către conducătorul instituției publice, au îndeplinit prevederile legislației în domeniu (OG nr. 119/1999, OMFP nr. 946/2005, OMFP nr. 1389/2006, Legea nr. 500/2002 privind finanțele publice, Legea nr. 273/2006 privind finanțele publice locale). Auditorii publici externi trebuie să aibă în vedere faptul că șefii compartimentelor de specialitate răspund pentru realitatea, regularitatea și legalitatea operațiunilor ale căror documente justificative le-au certificat. Ei trebuie să prezinte pentru viză numai acele proiecte de operațiuni certificate în privința legalității și sub semnătura lor.
- Dacă structura de specialitate juridică a pus viza juridică pe documente respectând în totalitate prevederile legislative în domeniu. Controlul intern organizat la nivelul instituției publice, include și avizul de legalitate acordat de către consilierul juridic asupra actelor cu caracter juridic, înainte de aprobarea acestora de către conducătorul instituției publice. Solicitarea acestui aviz este obligatorie, dar nu implică obligativitatea conformării din partea titularului competenței de aprobare. În cazul în care titularul competenței nu se conformează avizului, atunci operațiunea se efectuează pe răspunderea acestuia.
- Dacă managerul entității publice, directorul economic, șeful contabil au elaborat proiectul de buget în baza programelor care se fundamentează pe obiective precise și indicatori de rezultate și de eficiență.
- Dacă pe parcursul derulării proiectelor de operațiuni s-a evitat riscul de blocare a fondurilor bugetare, de către organisme abilitate, precum și alte riscuri majore identificate și tratate prin implementarea sistemului de control intern.
- Dacă managerul entității a dispus măsurile necesare pentru elaborarea și/sau dezvoltarea sistemelor de control intern inclusiv a documentelor pentru procedurile activităților.
- Dacă managerul entității a introdus în programele de dezvoltare a sistemelor de control managerial obiectivele, acțiunile, responsabilitățile și termenele de aplicare.
- Dacă managerul entității publice prin act de decizie internă a constituit structuri cu atribuții de monitorizare, coordonare și îndrumare metodologică cu privire la sistemele proprii de control managerial.
- Dacă managerul entității publice a raportat progresele înregistrate cu privire la dezvoltarea sistemelor de control managerial, precum și situațiile deosebite observate în acțiunile de monitorizare, coordonare și îndrumare metodologică derulate de structurile cu aceste atribuții, celor în drept, așa cum se solicită în legislația privind controlul intern.
Auditorii publici externi trebuie să aibă în vedere și faptul că persoana care conduce entitatea publică elaborează anual un raport asupra sistemului de control intern/managerial13, care se prezintă ca anexă la situațiile financiare ale exercițiului bugetar încheiat. Este de așteptat ca acest raport să conștientizeze managementul instituțional de la toate nivelele instituției asupra responsabilităților care îi revin în implementarea standardelor de management/control intern.
Totodată, trebuie cunoscut și faptul că, neîndeplinirea de către ordonatorul de credite a obligației de a elabora și de a prezenta raportul anual asupra sistemului de control intern/managerial, constituie contravenţie, dacă nu este săvârșită în astfel de condiţii încât să fie considerată, potrivit legii penale, infracţiune.
În procesul de evaluare a sistemului de control intern, auditorul public extern trebuie să parcurgă următoarele etape:
- cunoaşterea şi înţelegerea entității și a mediului său, inclusiv a controlului intern;
- estimarea riscului de control intern;
- testarea mecanismelor de control intern (teste de control).
Pentru a realiza acest proces de evaluare, auditorul public extern trebuie să efectueze proceduri de evaluare a riscului. Acestea sunt proceduri de audit efectuate pentru a obține o înțelegere a entității și a mediului său, inclusiv a controlului intern.
Cunoașterea și înțelegerea entității și a mediului său, inclusiv a controlului intern
Conform ISSAI 131514 ”Identificarea și evaluarea riscurilor unei erori semnificative prin înțelegerea entității și a mediului său”, se precizează că:
”Auditorul trebuie să obțină înțelegerea controlului intern relevant pentru activitatea de audit. Măsura în care un control, individual sau în combinație cu altele, este relevant pentru acțiunea de audit, depinde de raționamentul profesional al auditorului”.
Elemente esențiale care trebuie avute în vedere de auditorii publici externi atunci când obțin o înțelegere a entității și a mediului său sunt legea de înființare, reglementările sau alte cerințe legislative care pot afecta operațiunile economice ale entității.
Exemple de aspecte care trebuie luate în considerare la obținerea înțelegerii naturii entității includ:
- activități precum:
- natura surselor de venit, a produselor sau a serviciilor;
- modul de derulare a operațiunilor (activități expuse riscului de mediu);
- activități externalizate (contracte de audit intern);
- activități de cercetare și dezvoltare și cheltuieli aferente,
- investiții și activități investiționale:
- achiziții planificate sau efectuate recent;
- investiții, cesionări de titluri și valori și împrumuturi;
- activități de investiții de capital;
- finanțare și activități:
- structura datoriilor și termenii împrumuturilor, contracte de leasing;
- uzufructuari (cei care pot utiliza bunuri care se află în proprietatea altuia);
- modificări semnificative suferite de entitate în perioade recente/anterioare.
După înțelegerea activității desfășurate de entitate, auditorul trebuie să cunoască și să înțeleagă suficient de bine controlul managerial intern al entității din următoarele considerente:
- pentru a se convinge că a obținut probe suficiente și temeinice;
- pentru a identifica tipurile de erori și fraude potențiale care ar putea influența situațiile financiare și pentru a evalua riscurile apariției acestora;
- pentru a estima/evalua riscul de control;
- pentru a concepe teste de audit eficace pentru informațiile din situațiile financiare.
Acest lucru presupune înțelegerea de către auditor a mediului de control, a procedurilor de evaluare a riscurilor implementate de entitate, a sistemului de informare și comunicare (inclusiv contabilă) și a metodelor de monitorizare și evaluare a sistemului de control intern.
De asemenea, pentru o bună înțelegere a controlului intern, auditorul trebuie însă să analizeze, pentru fiecare din cele cinci componente ale controlului intern (model COSO):
- modul în care mecanismele de control au fost concepute (proiectate);
- dacă aceste mecanisme au fost puse în aplicare (utilizate).
Pentru analizarea conceperii și implementării mecanismelor de control intern managerial se pot folosi următoarele proceduri:
Actualizarea și utilizarea experienței anterioare la entitatea în cauză
Cu excepția auditurilor inițiale, auditorul începe auditul raportându-se la informațiile privind controlul intern acumulate în misiunile precedente, realizate la entitatea respectivă și documentate în rapoartele de audit din anii precedenți. Aceste informații pot fi actualizate și preluate ca punct de plecare a auditului în curs.
Chestionarea angajaților entității
Această procedură se poate utiliza prin completarea unor chestionare de către unii angajați ai entității auditate care ocupă poziții cheie, atât la nivel de execuție, cât și la nivel de management.
Consultarea manualelor de proceduri
Examinarea documentelor justificative și a evidențelor contabile ajută auditorul să înțeleagă conținutul manualelor de proceduri prin faptul că prin acestea se concretizează informațiile din manuale. În același timp, examinarea documentelor și evidențelor oferă probe asupra faptului că mecanismele de control intern au fost puse în aplicare. Auditorul poate observa personalul entității, atât în timpul întocmirii documentelor și evidențelor, cât și pe parcursul derulării operațiunilor contabile sau de control.
Documentarea/întocmirea documentelor aferentă înțelegerii controlului intern poate fi făcută prin una din următoarele metode:
- prezentarea narativă – o descriere scrisă a mecanismelor de control intern;
- diagrama secvențială – o reprezentare grafică a documentelor și circuitului acestora în cadrul entității;
- chestionarele de control intern – conțin întrebări formulate de auditori pentru clarificarea unor aspecte care ar putea fi necorespunzătoare în aplicarea mecanismelor de control.
Prin utilizarea chestionarelor auditorul poate face o analiza riguroasă și rapidă a fiecărui domeniu verificat, însă acestea nu oferă o imagine de ansamblu a sistemelor de control ci doar asupra unor părți componente ale acestuia. Răspunsurile la chestionare nu pot înlocui însă, aprecierea directă a auditorului, efectuată prin constatări la fața locului, sub formă de interviuri, consultarea documentației care prezintă relevanță, precum și verificarea datelor și informațiilor.
Probele de audit pentru înţelegerea activităţii entităţii verificate și cele pentru evaluarea sistemului de control intern al acesteia se obțin din informațiile, actele, documentele, răspunsurile la chestionare și declarația conducerii entității auditate, furnizate auditorului public extern la începutul misiunii de verificare, urmare solicitării lor prin adresa de notificare, precum și pe parcursul întregii derulări a misiunii de audit/control.
Evaluarea mediului de control intern
Evaluarea mediului de control intern este prima etapă a evaluării riscului de control.
Mediul de control, determinat în mare măsură de politicile manageriale și de stilul de funcționare al entității, este fundamental pentru modul de desfășurare al controalelor într-o entitate publică.
De aceea, auditorul public extern trebuie să înţeleagă modul în care conducerea entităţii a creat şi menţinut o cultură de onestitate şi comportament etic și dacă a pus la punct controale adecvate pentru a preveni şi detecta fraudele şi erorile într-o entitate.
În Anexa nr. 1 prezentăm Lista de verificare privind organizarea și funcționarea CFPP.
În Anexa nr. 2 prezentăm un exemplu de chestionar (nr.1) pentru evaluarea mediului de control intern.
În Anexa nr. 3 prezentăm un exemplu de chestionar (nr. 2) elaborat în sprijinul auditorilor publici externi, pentru evaluarea implementarii standardelor de control intern, conform celor 5 elemente ale controlului intern (în baza Codului Controlului intern, aprobat prin OMFP nr.946/2005). Acesta se va utiliza în funcție de mărimea entității publice și a activității pe care o desfășoară aceasta.
Subliniem că, Anexele nr. 2 şi nr. 3 nu sunt exhaustive, ele putând suferi justificat modificări în sensul restrângerii sau creşterii numărului de întrebări, funcţie de percepţia şi raţionamentul profesional al auditorului public extern.
În situația în care auditorul public extern stabilește că în cadrul entității există un mediu de control satisfăcător, atunci acesta poate considera că este un factor pozitiv pentru evaluarea riscurilor de denaturare semnificativă și că se influențează totodată natura, timpul şi întinderea procedurilor suplimentare de audit pe care le va aplica. De asemenea, un mediu de control satisfăcător, poate conduce la concluzia că riscul de fraudă este mai redus, dar nu este neapărat un obstacol absolut în calea fraudei. În acest caz se creează premiza că activitățile de control instituite de entitate funcționează eficient în practică, iar auditorul public extern se concentrează pe acele întrebări din chestionar (nr. 2) care vizează activitățile de control/procedurile de control aferente categoriilor de operațiuni economice ce se vor analiza. De menționat că auditorul trebuie să selecteze numai acele întrebări din exemplul nr. 2 de chestionar, care sunt relevante pentru entitatea verificată.
Dacă stabilește faptul că în entitate există un mediu de control cu carenţe, atunci trebuie să ia în considerare că acesta poate submina eficienţa controalelor interne, fiind un factor negativ în evaluarea de către auditorul public extern a riscurilor de denaturare semnificativă, în special în ce priveşte frauda. În consecință, nu este nevoie ca auditorul să evalueze în mod individual activitățile de control/procedurile de control stabilite de entitate, deoarece va stabili faptul că riscul de control este ridicat și va efectua mai multe teste de detaliu. În acest caz auditorul public extern trebuie să discute cu conducerea entității slăbiciunile mediului de control și să facă recomandări pentru întărirea acestuia.
Estimarea riscului de control
Când auditorii publici externi evaluează riscurile de denaturare semnificativă și realizează o analiză a acestora, trebuie să aibă în vedere atât riscul de audit15 cât și cel al activității entității, care rezultă din obiectivele și strategiile stabilite în cadrul acesteia și care pot duce la denaturări semnificative în situațiile financiare (risc financiar, risc operațional, risc de conformitate).
Auditorii publici externi estimează potențialele deficiențe care pot să apară în activitatea entității și în situaţiile financiare, ținând cont de următoarele elemente:
- erorile/abaterile constatate cu ocazia verificărilor efectuate în anii precedenţi de organele cu atribuții în acest sens;
- rezultatele evaluării sistemului de control intern (riscul de control);
- raționamentul profesional.
Așa cum s-a precizat și în capitolul anterior, procesul de evaluare a riscului de către entitate este un proces continuu, de identificare şi reacţionare la riscuri şi consecinţele acestora.
În cazul situaţiilor financiare, riscurile includ evenimentele şi circumstanţele interne şi externe care pot afecta capacitatea entităţii de a iniţia, înregistra, procesa şi raporta informaţii care reflectă o imagine fidelă. Managementul entității publice are obligaţia să se preocupe de identificarea acestor riscuri, să estimeze mărimea şi importanţa lor, să evalueze probabilitatea apariţiei lor şi să impună măsuri pentru gestionarea lor.
Auditorul trebuie să obțină înțelegerea măsurii în care entitatea dispune de un proces pentru:
- identificarea riscurilor entității;
- estimarea semnificației riscurilor;
- evaluarea probabilității apariției acestora;
- decizia cu privire la acțiunile de abordare a acestor riscuri.
În cazul în care entitatea a stabilit un astfel de proces, auditorul public extern trebuie să înțeleagă atât procesul cât și rezultatele acestuia.
În caz contrar, auditorul public extern trebuie să discute cu conducerea entității măsura în care riscurile aferente activității pe care o desfășoară au fost identificate și modul în care sunt acestea abordate.
Pentru exemplificarea celor prezentate mai sus, redăm”Elementele procesului de gestionare a riscurilor.
I. Identificarea riscurilor
II. Evaluarea riscurilor
III. Atitudinea față de risc. Controlul riscurilor
IV. Monitorizarea, revizuirea și raportarea riscurilor
Identificarea și evaluarea riscurilor la nivelul entității auditate este realizată de auditor pentru fiecare categorie de operațiuni economice supusă auditului. O înțelegere a riscurilor cu care se confruntă entitatea sporește probabilitatea de identificare a riscurilor de denaturare semnificativă, de către auditor, deoarece majoritatea riscurilor aferente desfășurării activității vor avea în cele din urmă consecințe financiare și deci, un efect asupra situațiilor financiare.
Elemente ce trebuie evaluate sunt, spre exemplu:
- modul în care entitatea analizează riscurile legate de desfăşurarea activităţilor proprii entităţii;
- planurile elaborate de entitate pentru limitarea consecinţelor apariţiei riscurilor;
- abordarea conducerii faţă de modul de aplicare a planurilor de limitare a consecinţelor de apariţie a riscurilor.
În anexa nr. 4 este prezentat Exemplul nr. 3 de chestionar privind procesul de evaluare a riscurilor din entitate.
În anexa nr. 5 este prezentat un model de Registru al riscurilor, pe care auditorii publici externi trebuie să îl solicite și care îi sprijină să înțeleagă atât riscurile identificate de către entitate în derularea propriilor activități, cât și în aprecierea proprie (a auditorului) a riscului de control din organizație.
Registrul riscurilor este atașat procesului de management al riscului, realizat de entitate în vederea elaborării unui plan de acțiune pentru monitorizarea acestora.
Auditorii publici externi trebuie să aibă în vedere faptul că responsabilitatea elaborării Registrului riscurilor revine fiecărui nivel al managementului de linie (compartimente de specialitate).
Astfel, fiecare șef/director trebuie să elaboreze, pentru compartimentul pe care îl coordonează, propriul Registru de riscuri, iar prin centralizarea acestora, se obține ”Registrul riscurilor la nivelul general al entității”. Conducătorul entității trebuie să stabilească un responsabil cu elaborarea Registrului riscurilor entității și căruia îi revine și responsabilitatea actualizării sistematice a acestuia, cel mai târziu anual.
În consecință, entitatea publică trebuie să dispună de ”Procedura privind întocmirea și actualizarea Registrului riscurilor”. În cadrul acestei proceduri, auditorii publici externi vor pune accent pe analiza ”Planului de acțiune pentru minimizarea riscurilor inerente identificate” și pe ”Stadiul implementării acțiunilor de minimizare și evaluare a riscurilor reziduale”, care se regăsesc în conținutul Anexelor procedurii (care sunt de fapt etapele ce se parcurg de entitatea verificată în realizarea procedurii). În principal, aceste Anexe se referă la:
- lista activităţilor desfăşurate în cadrul compartimentului;
- obiectivele specifice şi riscurile inerente asociate acestora;
- stabilirea factorilor de risc, a ponderilor şi nivelurilor de apreciere al riscului;
- stabilirea nivelului riscului şi a punctajului total al riscului din activitatea compartimentului;
- punctele tari şi punctele slabe ale activităţii compartimentului;
- plan de acţiune pentru minimizarea riscurilor inerente identificate;
- stadiul implementării acţiunilor de minimizare şi evaluarea riscurilor reziduale în cadrul compartimentului;
- modelul Registrului Riscurilor.
Fiecare entitate are anumite caracteristici proprii și în funcție de specificul entității se pot evidenția diferite riscuri.
În general, conceptul de risc se referă la, (dar nu numai):
- folosirea incorectă a resurselor financiare (interne şi externe) umane, materiale şi tehnice;
- neexecutarea într-o manieră normală şi eficientă a unor decizii bugetare sau de altă natură;
- frauda şi eroarea;
- neproducerea/neprocesarea şi necomunicarea unor informaţii oportune şi de încredere privind administrarea bunurilor materiale şi băneşti;
- riscuri legate de natura datelor supuse contabilizării, care pot fi:
- riscuri datorate prelucrării unor date repetitive (cumpărări, vânzări etc),
- riscuri datorate prelucrării unor date punctuale, la anumite termene (procese verbale de inventariere),
- riscuri datorate prelucrării unor date excepționale/neobișnuite (reevaluări, fuziuni);
Exemplu de categorii de riscuri cheie care pot să apară în cadrul unei entități
Printre riscurile ce trebuie luate în considerare de către auditori cu privire la conducerea entității sunt, printre altele, următoarele:
- nu au pregătirea și cunoștințele adecvate pentru a conduce entitatea;
- au avut loc schimbări ale managerilor cu funcții cheie, în cursul verificării efectuate de auditor;
- au tendința de a angaja entitatea în activități sau asocieri cu grad de risc ridicat;
- riscuri legate de atitudinea conducerii entității – limitarea/creșterea riscurilor legate de respectarea regulilor și principiilor contabile;
- situația în care rezultatul raportat are o semnificație personală pentru manageri (de exemplu, prime legate de rezultate).
După ce auditorul public extern a obținut o înțelegere a controlului intern din entitatea respectivă, trebuie să efectueze o evaluare inițială a riscului de control. Această evaluare presupune realizarea unor estimări specifice, respectiv:
- estimarea inițială a riscului de control;
- considerarea că riscul real de control este mai mic/mare decât cel estimat inițial;
- determinarea nivelului real al riscului de control.
Răspunsurile obținute de auditorul public extern (în cazul în care aplică exemplul nr. 2 de chestionar) sunt utilizate pentru evaluarea riscului de control și vor constitui o probă de evaluare preliminară a modului în care a fost proiectat și funcționează sistemul de control intern din entitatea respectivă. Evaluarea finală a riscului de control se va face cu ocazia testării efective de către auditor a controalelor interne/procedurilor/activităților de control intern. Auditorul poate reconsidera estimarea inițială a riscului de control după ce a constatat modul în care funcționează în mod real activitățile de control intern și dacă acestea diminuează într-adevăr riscurile semnificative.
În concluzie, dacă auditorul stabilește inițial că riscul de control este redus sau mediu, atunci el trebuie să testeze activitățile de control implementate de entitate, pentru a se asigura că acestea funcționează. În acest sens, va obține suficiente probe de audit convingătoare, cu cât se bazează în mai mare măsură pe eficacitatea controalelor interne, ţinându-se cont că între gradul de încredere în controlul intern şi volumul eşantionului stabilit de auditor, există o relaţie de proporţionalitate inversă.
Printre procedurile de evaluare a riscului de control trebuie să se includă și următoarele:
- interogări ale conducerii și ale altor categorii de personal din cadrul entității, care potrivit raționamentului auditorului pot deține informații care pot ajuta la identificarea riscurilor de denaturare semnificativă datorate fraudei sau erorii;
- proceduri analitice;
- observare și inspecție.
Estimarea inițială a riscului de control exprimă măsura în care auditorul se așteaptă ca mecanismele de control intern fie să nu preîntâmpine apariția unor erori semnificative, fie să nu detecteze și corecteze erorile apărute. Această estimare se face pentru fiecare tip de operațiuni economice.
În practică, estimarea inițială începe luând în considerare mediul de control. Dacă managerii consideră că nu este important controlul intern, probabilitatea ca activitățile de control să fie adecvate este foarte mică, rezultând un risc inițial ridicat. Dacă atitudinea conducătorului entității față de controlul intern este pozitivă, atunci auditorul va analiza modul în care sunt implementate celelalte elemente ale controlului intern (cele 4 rămase), pentru a justifica estimarea riscului la un nivel mediu sau scăzut (mic).
În practică există două variante în estimarea inițială a riscului:
- auditorul estimează riscul inițial la un nivel ridicat (mare), indiferent de situația reală, pentru a nu proceda la estimări inițiale detaliate, considerând că este mai sigură/economică efectuarea unui audit aprofundat (teste de detaliu și proceduri analitice) decât să testeze mecanismele de control intern. Această estimare se utilizează, în special, în cazul auditării entităților mici, care nu au implementat un sistem de control intern corespunzător standardelor;
- dacă auditorul consideră că riscul inițial este mic, acesta va colecta o cantitate suficientă de probe pentru a justifica acest raționament.
Considerarea de către auditor a faptului că riscul de control este mult mai mic decât estimarea inițială
După parcurgerea primei etape de evaluare a sistemului de control intern (cunoașterea și înțelegerea controlului intern) auditorul poate ajunge la concluzia că a identificat și a testat mecanisme de control intern suplimentare care să justifice reducerea riscului de control estimat inițial.
Determinarea nivelului real al riscului de control
După ce a estimat riscul inițial și a analizat dacă este posibil un risc de control mai mic, auditorul poate hotărî care dintre acestea două ar trebui utilizat. Pentru a lua această decizie, auditorul va ține cont de costurile testelor de control intern, comparativ cu costurile efectuării testelor de detaliu, care vor fi evitate în situația diminuării riscului de control.
Evaluarea riscului de control intern presupune parcurgerea următorilor pași:
- identificarea obiectivelor de audit pentru fiecare tip de operațiune economică analizată;
- identificarea mecanismelor de control intern, ceea ce presupune ca auditorii să identifice politicile, procedurile și activitățile de control intern efectuate asupra operațiunilor vizate. Această analiză nu presupune, în mod obligatoriu, abordarea fiecărui mecanism de control, ci doar a acelora pe care auditorul le consideră relevante pentru realizarea obiectivelor de audit.
- identificarea neajunsurilor controlului intern ca urmare a absenței mecanismelor de control adecvate, fapt care poate genera riscul apariției unor erori semnificative în situațiile financiare. Acest pas se poate realiza prin parcurgerea următoarelor etape:
- stabilirea acelor mecanisme cheie de control intern care sunt absente;
- determinarea erorilor semnificative care ar putea apărea din cauza absenței mecanismelor cheie.
După identificarea mecanismelor de control și a neajunsurilor sistemului de control intern, corelate cu obiectivele de audit identificate, auditorul poate estima riscul de control. În evaluarea riscului de control pentru fiecare tip de operațiune, auditorul caută răspunsuri la următoarele două întrebări: (1) care este probabilitatea ca o eroare semnificativă să nu fie preîntâmpinată sau identificată și corectată de sistemul de control intern și (2) care este impactul respectivei erori. Dacă probabilitatea este mare, atunci riscul de control va fi mare.
Testarea mecanismelor de control (efectuarea testelor de control)
Prin testarea controalelor interne auditorii publici externi trebuie să obţină confirmarea cu privire la modul în care au funcționat aceste controale. Auditorii publici externi trebuie să hotărască, prin folosirea/utilizarea raționamentului profesional, numărul de operaţiuni economice care trebuie verificate, astfel încât să dețină suficiente probe pentru evaluarea funcţionării satisfăcătoare a activităților de control existente în cadrul entităţii. Aceștia trebuie să concentreze testele pe care le efectuează asupra acelor activități de control care reduc riscurile și care au fost identificate în etapa de evaluare a riscului.
În consecință, pentru a justifica nivelul mediu sau scăzut al riscului de control stabilit inițial de auditor, acesta trebuie să testeze eficacitatea mecanismelor de control, dacă în practică aceste mecanisme funcționează așa cum au fost concepute (proiectate). Așa cum s-a precizat anterior, în situația în care auditorul a stabilit un nivel ridicat (maxim) al riscului de control, această etapă (testarea mecanismelor de control) nu se va mai efectua, utilizându-se teste de detaliu18. Parcurgerea acestei etape este necesară numai pentru a confirma sau infirma nivelul stabilit al riscului de control intern, prin verificarea modului în care au fost aplicate, cum au funcționat mecanismele de control în entitatea auditată.
Dacă auditorul, în urma efectuării testelor de control, va constata că acestea au funcționat eficient, atunci va utiliza nivelul riscului de control pe care l-a estimat inițial.
În acest sens, auditorul public extern testează controalele pentru a obţine probe din care să rezulte că acestea funcţionează, respectiv:
- controlul a funcţionat într-o manieră corespunzătoare şi fără deficienţe întreaga perioadă verificată de auditor (se va acorda o atenţie specială perioadelor în care personalul cheie al entităţii a fost absent);
- controalele tuturor categoriilor de operaţiuni existente au funcţionat într-o manieră corespunzătoare şi fără deficienţe (se va acorda o atenţie specială controalelor care privesc un număr mare de operaţiuni cât şi controalelor referitoare la acele operaţiuni care sunt materiale prin context şi natură).
- managerii au dispus corectarea erorilor în cazul în care acestea au existat.
Dacă, însă, în urma testelor de control efectuate va rezulta că activitățile de control nu au funcţionat corespunzător, sau că persoanele implicate în aplicarea acestora au comis multe greșeli, atunci auditorul va fi nevoit să stabilească un nivel al riscului de control mai mare decât cel estimat.
În practică se utilizează patru tipuri de proceduri pentru testarea funcționării mecanismelor de control intern, după cum urmează:
- chestionarea angajaților entității;
- examinarea documentelor, evidențelor și rapoartelor; se utilizează pentru mecanismele de control care se concretizează în documente;
- observarea activităților legate de control; se utilizează pentru mecanismele de control care nu se concretizează în documente;
- reconstituirea procedurilor entității, presupune ca auditorul să refacă activitatea de control. Această procedură are drept consecință obținerea de probe mult mai concludente și de încredere decât cele obținute prin examinarea documentelor. Auditorii pot combina cele două proceduri. Exemplu: o anumită persoană din cadrul entității este desemnată să vizeze facturile de achiziție a unor lucrări din punctul de vedere al conformității și realității, ca procedură internă de verificare, însă auditorul constată că în unele cazuri aceste facturi nu sunt vizate de persoana în cauză. În această situație auditorul va reconstitui procedura de control comparând prețurile din facturi cu cele prevăzute în contractele de achiziție.
În urma evaluării sistemului de control intern din entitatea publică verificată, auditorii publici externi concluzionează dacă acesta a fost proiectat și funcționează conform cerințelor legale, acordând calificative (foarte bine, bine, satisfăcător, nesatisfăcător). La stabilirea nivelului de încredere al auditorilor publici externi în sistemul de control intern al entităţii verificate, se utilizează următorul tabel:
Evaluarea sistemului de control intern înainte de efectuarea testelor de control | Nivelul de încredere în sistemul de control intern al entității, stabilit după efectuarea testelor de control, în funcție de deficiențele constatate | ||||
---|---|---|---|---|---|
Rezultatul evaluării sistemului de control intern | Calificativul acordat sistemului de control intern | Nu s-au identificat deficiențe | S-au identificat puţine deficiențe, dar nesemnificative | S-au identificat câteva deficiențe semnificative | S-au identificat numeroase deficiențe |
Sistemul de control intern a fost proiectat corespunzător și funcționează bine | foarte bine | ridicat | mediu | scăzut | foarte scăzut |
Sistemul de control intern a fost proiectat corespunzător și pare să funcționeze în general bine | bine | mediu | scăzut | foarte scăzut | foarte scăzut |
Sistemul de control intern pare a fi proiectat corespunzător, dar există totuşi pericolul ca aceste controale să dea greş în anumite cazuri | satisfăcător | scăzut | foarte scăzut | foarte scăzut | foarte scăzut |
Sistemul de control intern nu este proiectat și nu funcționează satisfăcător. | nesatisfăcător |
Deşi verificările controalelor interne ale entităţilor publice aduc de cele mai multe ori probe negative, auditorul public extern trebuie să aibă în vedere şi posibilitatea de a aduce o dovadă pozitivă pentru funcţionarea eficientă a sistemelor de control intern. Una din posibilităţile de evidenţiere ar consta în descoperirea cazurilor în care au fost identificate erori sau excepţii cu ajutorul controalelor interne puse în aplicare.
Auditorii publici externi pot avea în vedere și faptul că aprecierea caracterului adecvat al sistemului de control intern al unei entități se poate realiza şi prin autoevaluare, respectiv autoapreciere. Departamentele de specialitate/angajaţii își pot evalua singuri instrumentele de control intern. Printre metodele folosite de aceștia se pot regăsi chestionare, rapoarte ale grupurilor de lucru şi analize ale managementului.
Autoevaluarea efectuată de către angajaţii entităților publice şi de către conducere, nu poate însă înlocui verificarea realizată de departamentul/structura de audit intern sau cea efectuată de către auditorii publici externi.
Așa cum s-a mai precizat, informațiile obținute de auditorii publici externi în urma evaluării sistemului de control intern se vor utiliza ca probe de audit menite să susțină evaluarea riscurilor din cadrul entității. Toate aceste informații privind evaluarea sistemului de control intern vor fi cuprinse într-o secțiune distinctă a raportului de control/audit.
Calificativele acordate și nivelurile de încredere în sistemele de control intern, reprezintă o concluzie ce rezultă ca urmare a evaluării acestuia.
Concluziile formulate de auditorii publici externi ce rezultă din evaluarea modului de organizare și funcționare a sistemului de control intern, din fiecare entitate verificată (inclusiv prin utlizarea machetelor nr.4 și nr.5 din Regulamentul privind organizarea și desfășurarea activităților specifice Curții de Conturi, precum și valorificarea actelor rezultate din aceste activități) și calificativele acordate acestor sisteme se vor încărca în aplicația INFOPAC, pentru a se putea centraliza pe structuri de specialitate și pe tipuri de entități și de acțiuni de control/audit.
În cazul în care o entitate publică este supusă mai multor verificări (audit financiar, control, auditul performanței) prevăzute în programul de activitate al anului respectiv, evaluarea sistemului de control intern se va efectua o singură dată, de regulă, în cadrul acțiunii de audit financiar.
Departamentul I al Curții de Conturi va efectua o analiză a informațiilor din INFOPAC și va transmite departamentelor și camerelor de conturi comentarii și, dacă este cazul, instrucțiuni suplimentare privind această secțiune, în vederea îmbunătățirii capacității de evaluare a sistemelor de control intern din entitățile publice, de către auditorii publici externi. De asemenea, se va întocmi un raport anual asupra situației controlului intern în entitățile publice, care va fi înaintat către Parlament, Guvern și alte părți interesate.
De aceea este foarte important ca atunci când concluziile sunt formulate de către auditorii publici externi, acestea să cuprindă suficiente informații din care să se poată face o analiză corespunzătoare cu privire la proiectarea şi funcţionarea sistemului de control intern în entitățile publice din România.