Evaluarea riscurilor in vederea planificarii auditului anual - recomandari din practica internationala

EVALUAREA RISCURILOR IN VEDEREA  PLANIFICARII AUDITULUI ANUAL - RECOMANDARI DIN PRACTICA INTERNATIONALA

Obiectivul managementului riscurilor il reprezinta optimizarea alocarii resurselor de audit printr-o intelegere cuprinzatoare a universului domeniului auditabil si a riscurilor asociate fiecarui element al acestuia.

Buna practica internationala, adoptata de IIA, incepand cu elaborarea Planului de audit pentru anul 2003, recomanda un model de audit al riscului care se bazeaza pe sase factori de risc, si anume: 

F1 - Constatarile anterioare ale auditului;

F2 - Sensibilitatea sistemului, asa cum este perceputa;

F3 - Mediul de control;

F4 - Increderea in managementul operational;

F5 - Schimbarile de oameni sau de sisteme;

F6 - Complexitatea.

Fiecare element din domeniul auditabil va fi cuantificat dupa acesti sase factori, folosind o scara numerica de la 1 la 3, unde:

1 inseamna "probabil ca nu prezinta probleme";

2 inseamna "posibil o problema";

3 inseamna "probabil o problema".

Rezultatele acestor analize sunt totalizate si apoi multiplicate cu un "factor de varsta" a auditului, cum ar fi:

- 100%, daca un audit similar a fost facut in ultimele 24 de luni;

- 125%, daca auditul a fost facut in urma cu 25-36 de luni;

- 150%, daca auditul a fost facut in urma cu 37-60 de luni;

- 200%, daca auditul este mai vechi de 60 de luni.

In acest fel, nivelurile rezultatelor analizelor efectuate se vor intinde pe o plaja de valori cuprinsa intre 6 si 36, care, dupa incheierea acestui proces de notare, vor fi grupate in patru  categorii, in functie de factorul de risc prezentat, astfel:

stratul de 10% de sus reprezinta nivelul de risc maxim;

stratul de 30% reprezinta nivelul de risc sensibil;

stratul de 40% reprezinta nivelul de risc moderat;

ultimul strat de 20% reprezinta nivelul de risc scazut.

Planul anual de audit intern va fi construit din mostre, din cele patru straturi, cuprinzand entitati de audit considerate:

cu risc mare, in proportie de 100%;

cu risc sensibil, in proportie de 50%;

cu risc moderat, in proportie de 25%;

cu risc scazut, in proportie de 10%.

Modelul promoveaza definirea uniforma a universului de audit intern, respectiv a domeniului auditabil, astfel incat riscurile de audit pe fiecare compartiment al entitatii publice sa poata fi comparate cu cele ale celorlalte compartimente, pe o baza obiectiva in functie de repartizarea geografica a riscurilor si a personalului entitatii.

Determinarea domeniului auditului este prima cerinta prealabila a ierarhizarii riscurilor, care va fi bazata pe cunoasterea planului strategic al organizatiei si activitatilor acesteia si pe discutiile cu responsabilul compartimentului de resurse umane.

Modelul de evaluare a riscurilor recomanda liniile directoare de stabilire a criteriilor de ierarhizare a riscurilor, care sunt:

a.      constatarile anterioare ale auditului - reprezinta un indicator al disciplinei de control intern, care prezinta deseori problemele sau deficientele semnificative ale controlului si se concretizeaza intr-un numar de constatari mai mare decat normal, sau in constatari repetitive ale acelorasi nereguli. In acelasi timp, lipsa de constatari si corectarea periodica a constatarilor anterioare indica o disciplina a controlului;

b.         sensibilitatea - reprezinta evaluarea riscurilor inerente, asociate cu activitatile auditabile din cadrul entitatii evaluate. Astfel, acele riscuri care ar putea produce nereguli in viitor si care ar putea sa se materializeze in pierderea sau descompletarea activelor, erori nedetectabile, datorii nerecunoscute sau necuantificate sau in riscul de publicitate adversa etc. Cuantificarea sensibilitatii va trebui sa tina seama de expunerea potentiala si de probabilitatea de aparitie a riscurilor dar si de marimea entitatii analizate;

c.      mediul de control - reprezinta politicile, procedurile, regulile obisnuite, masurile de protectie fizica a patrimoniului, know-how-ul specific si personalul folosit in acest scop. Esentiale pentru un mediu de control favorabil sunt tonul de la varf, aderenta la politicile si procedurile cuprinse in documente, existenta sistemelor  de control intern care sa ofere siguranta, prompta detectare si corectare a erorilor, dotarea adecvata cu personal si asigurarea existentei controlului asupra numarului personalului. Dimpotriva, lipsa de supraveghere, lipsa de documentare, ratele mari de eroare, cantitatile mari de munca nenormata insuficient gestionata, un numar mare de personal si operatiuni nereglementate sunt simptomele unui mediu de control slab sau inadecvat;

d.         relatii bune, atmosfera destinsa cu managementul executiv - reflecta increderea sefului compartimentului de audit in managementul direct, responsabil de entitatea auditata si de implicarea managementului in sistemul de control intern. Atmosfera deschisa are la baza factori cum ar fi colaborarea in activitatile de auditare anterioare, experienta managementului in domeniu si perceptiile privind calitatea si nivelul de dotare cu personal;

e.      schimbari ale oamenilor sau sistemelor - indica faptul ca aceste schimbari au impact asupra sistemului de control managerial si al sistemului raportarilor financiare. Schimbarile apar de obicei pentru a avea efect pe termen lung, dar deseori necesita o mai mare atentie din partea compartimentului de audit intern chiar pe termen scurt. Schimbarile cuprind reorganizari, modificari ale ciclurilor de afaceri, cresteri rapide, noi linii de produse, noi sisteme, achizitii si vanzari ale unor parti din firma/capital, noi reglementari sau legi si implicit fluctuatia personalului;

f.      complexitatea - reprezinta un factor de risc potential pentru comiterea de erori sau luarea unor decizii inadecvate, care ar putea trece neobservate din cauza complexitatii mediului. Cuantificarea si nivelul complexitatii vor depinde intotdeauna de mai multi factori printre care: extinderea automatizarii, aparitia unor sisteme complexe de calcul, activitati interdependente, numar mare de produse sau servicii, orizont de timp al estimarilor mare, dependenta de un tert, cererile clientilor, timpii de procesare, legile si reglementarile aplicabile si multi alti factori, unii dintre ei necunoscuti, care vor influenta judecatile privind complexitatea in cadrul unei misiuni de audit intern.

Perfectionarea modelului de analiza si cuantificare a riscurilor ramane o prioritate permanenta a functiei auditului intern.

Obiectivele auditorilor interni constau in alocarea de resurse de audit, intr-o maniera optima, catre misiunile de audit cu cel mai mare risc, cu scopul "insanatosirii" activitatilor entitatii, iar economisirea de resurse pe baza analizei riscurilor trebuie sa ramana o prioritate.