Cadre de control

CADRE DE CONTROL

Intr-un fel sau altul, toata lumea efectueaza control in activitatile cotidiene si in toate domeniile de activitate de aceea CONTROLUL este o preocupare generala.

Din aceste considerente, toti oamenii care fac afaceri, dar mai ales managerii, profesionisti in domeniu au in permanenta in fata intrebarea "Ce putem face pentru a detine un control mai bun al activitatilor?"

In ultimele decenii, managerii au devenit mai interesati si s-au implicat tot mai mult in monitorizarea mai atenta a sistemului de control intern prin evaluarea riscurilor cu care se confrunta.

Perspectiva generala a controlului, care cuprinde toate aspectele/domeniile unei organizatii, a condus catre necesitatea gruparii tuturor activitatilor de control pentru a forma un tot integrat, un model sau un cadru de control.

Toate organizatiile au realizat nevoia existentei unui cadru de control de baza care sa constituie suportul pentru construirea sistemelor proprii de control intern.

In acest sens, IIA a emis[1] un set de criterii de evaluare organizationala pe care auditorul intern poate sa le utilizeze pentru verificarea sistemelor de control intern.

Implementarea unui sistem de control intern adecvat pe baza unui cadru de control general are rolul de a promova un mediu de control corect in organizatii, iar la randul sau mediul de control permite unei organizatii sa-si dezvolte propria strategie de control ca raspuns la eventualele riscuri pentru atingerea obiectivelor.

Inexistenta unui cadru de control contribuie la fragmentarea activitatii de evaluare a riscurilor de activitatile de control intern iar eforturile auditorului intern vor fi mai putin valoroase si nu vor fi directionate catre un tablou integrat, care sa reflecte corelat slabiciunile organizatiei.

Preocupari legate de incoerentele sistemului de control intern, care se constituie intr-un raspuns la evaluarile riscurilor si asigurarea rezonabila pe care trebuie sa o ofere acestea managementului general au fost in atentia permanenta a specialistilor in domeniu.

Pe plan international sunt recunoscute doua cadre de control, care au fost concepute pentru a organiza sistemul de control astfel incat sa raspunda cerintelor managementului riscurilor, pe langa altele specifice unor domenii, si anume:

Modelul COSO - SUA;

Modelul CoCo - Canada;

Alte modele de control.

1. Modelul COSO

In anul 1985, senatorul american Treadway a initiat o cercetare asupra controlului intern si a rolului sau in viata organizatiilor, instituind "Comisia Treadway", cunoscuta si sub numele de Comisia Nationala Impotriva Raportarii Financiare Frauduloase, fondata prin sponsorizarea comuna a:

Institutului American al Contabililor Publici Autorizati[2];

Asociatiei Contabililor din America[3];

Asociatiei Directorilor Financiari[4];

Institutului Auditorilor Interni[5];

Institutului Contabililor si Managerilor[6].

Scopul Comisiei Treadway a fost

elaborarea conceptului de control intern in acceptia COSO;

oferirea unor instrumente pentru management;

elaborarea unui cadru integrat al controlului intern;

elaborarea unui cadru de control de baza, acceptat international;

definirea controlului intern.

La recomandarile acestei comisii s-a creat un comitet intitulat - Comitetul de Sponsorizare al Organizatiilor - COSO[7], care a reunit competentele unui numar mare de membri ai IIA, profesionisti in domeniu, cabinete de audit extern si mari intreprinderi americane iar rezultatul a fost documentul Controlul intern - Un cadru integrat.

Cadrul de control COSO, in principal, subliniaza responsabilitatea managementului general pentru CONTROLUL INTERN.

In septembrie 1992, COSO defineste controlul intern ca fiind un proces efectuat de Consiliul de administratie, conducere si intregul personal al entitatii, menit sa furnizeze o asigurare rezonabila cu privire la indeplinirea obiectivelor organizatiei, avand in vedere:

eficacitatea si eficienta operatiilor;

realitatea rapoartelor financiare;

conformarea cu legile si cu reglementarile aplicabile.

Definitia COSO a controlului intern reflecta patru principii fundamentale[8]:

Controlul intern este un proces total, nu o activitate suplimentara, un mijloc pentru a atinge un obiectiv si nu un scop in sine;

Controlul intern este efectuat de oameni, ceea ce il face imperfect si el nu inseamna numai manuale de politici, formulare si documente, ci si oamenii la fiecare nivel al organizatiei;

Controlul intern poate sa furnizeze o asigurare rezonabila managementului si consiliului de administratie ca obiectivele organizatiei vor fi indeplinite;

Controlul intern este angrenat in indeplinirea obiectivelor organizatiei.

Tot in anul 1992, Comisia Treadway elaboreaza Modelul de control intern, intitulat Cadrul de control COSO, pe care il prezentam in figura 3.2 - Modelul COSO.

Figura 3.2. Modelul COSO

Modelul COSO se reprezinta in mod simbolic printr-o piramida care contine teoretic cele 5 elemente esentiale, si anume:

mediul de control;

evaluarea riscurilor;

activitatile de control;

informatiile si comunicarea;

monitorizarea.

In continuare descriem componentele Modelului COSO.

(1). Mediul de control reprezinta atitudinea generala, integritatea, valorile etice si comportamentele angajatilor, filozofia si stilul de operare al managementului, modul de atribuire a autoritatii si responsabilitatii si sistemul de organizare si dezvoltare a angajatilor Consiliului de administratie.

Mediul de control face parte din cultura institutionala, influentata de stilul conducerii, sistemul de valori insusite de salariati, oamenii cu competenta profesionala si integritatea lor, descrierea activitatilor si procedurilor, structura organizatorica, separarea sarcinilor, IT s.a. si ofera cadrul in care se desfasoara diferitele forme de control intern.

Practica a demonstrat faptul ca schimbarea culturii organizationale se realizeaza in timp si de aceea factorii de management trebuie sa supervizeze si sa monitorizeze permanent evolutia acesteia.

Mediul de control este unul dintre elementele importante de care au nevoie intreprinderile pentru a-si organiza un sistem de control intern eficient. Astfel, auditorii se pot confrunta cu:

- un mediu de control favorabil care presupune existenta unui climat unde valorile de etica sunt privilegiate, care utilizeaza, accepta si apreciaza controlul. Aceasta inseamna ca, regulamentele interioare si codurile de conduita etica exista si sunt luate in considerare de toti factorii, inclusiv de managementul general. Intotdeauna, puterea exemplului sefului contribuie la crearea unui climat propice dezvoltarii activitatilor de control.

Managementul general trebuie sa fie un model nu numai prin discursul utilizat, ci si prin comportamentul fata de personal, clienti, furnizori s.a. Numai intr-un asemenea mediu controlul intern va functiona, va creste si se va dezvolta in cadrul unei organizatii.

- un mediu de control adecvat este un mediu unde se respecta legile, regulile, procedurile, tertii-parteneri de afaceri, salariatii, contractele incheiate si astfel activitatile entitatii sunt stapanite;

- un mediu de control deteriorat este un mediu unde nu exista proceduri formalizate, se evita controalele, exista incalcari ale normelor de conduita si regulamentelor de functionare sau chiar de nerespectare a cadrului legislativ ceea ce prejudiciaza controlul intern. Acest mediu submineaza sistematic controlul intern asupra operatiilor, minimalizeaza necesitatea implementarii diferitelor activitati de control si apeleaza in mod periodic la inspectii. Intr-un mediu nefavorabil sau poate chiar corupt, activitatea de inspectie devine importanta, dar in acelasi timp creste si rolul auditorilor interni care vor trebui sa se implice in imbunatatirea acestuia si respectiv a culturii organizatiei.

In aceste conditii, auditorii trebuie sa porneasca de la stabilirea unei politici organizationale clare, respectiv definirea delegarilor de competenta, adaptarea permanenta a competentelor salariatilor la cerintele posturilor, stabilirea de obiective realiste si realizabile si asigurarea unei gestionari eficiente a resurselor umane si chiar o finantare transparenta si la vedere pentru toata lumea.

Cand in cultura unei institutii se constata disfunctii, pe baza carora se evalueaza un mediu de control slab, o conditie pentru reusita auditorilor interni o reprezinta pozitia de autoritate pe care acestia trebuie sa o aiba in organizatie.

Mediul de control contribuie la imbunatatirea procedurilor de control specifice, insa nu poate, prin el insusi, chiar daca este un mediu de control solid, sa asigure eficacitatea sistemului de control intern.

Din punct de vedere structural, cei mai importanti factori care influenteaza in mod decisiv mediul de control sunt:

functionarea structurilor de conducere;

politica manageriala si stilul de operare al acesteia;

structura organizatorica a entitatilor;

modul de stabilire a autoritatii si a responsabilitatilor;

sistemul de control managerial, care include si functia de audit intern;

politicile si procedurile de personal;

modul de segregare a sarcinilor.

Mediul de control favorizeaza si sensibilizeaza controlul intern, iar functia de audit intern va fi cu atat mai eficace si mai performanta. In acest context, putem vorbi de o cultura a controlului intern care atrage dupa sine o cultura a auditului. Acest mediu favorizeaza comunicarea, faciliteaza cooperarea in munca, permite un castig reciproc si duce la propuneri constructive, in care fiecare se recunoaste, si astfel sunt implementate rapid si eficient.

Cultura controlului intern este indispensabila unei bune eficacitati a functiei de audit intern. Auditorii interni stiu bine cat de eficace este actiunea lor cand cel auditat cunoaste specificul muncii de audit intern, deoarece atunci ei se inteleg usor, colaboreaza ca doi parteneri, iar reusita este asigurata.

Dialogul dintre auditor si auditat demonstreaza ca cei doi parteneri sunt constienti de cultura controlului intern, indispensabila pentru dezvoltarea mediului de control si a functiei de audit intern. Daca, dimpotriva, cel auditat nu cunoaste nimic despre ce reprezinta controlul intern si auditul intern, ii percepe pe auditori ca pe niste agenti externi care ii risipesc timpul si banii, iar climatul de colaborare, atat de necesar, are putine sanse sa se instaleze.

(2). Evaluarea riscurilor

Orice entitate este supusa riscurilor care pot fi riscuri proprii functionarii organizatiei insasi, riscuri specifice fiecarei activitati, dar si riscuri externe. Unele riscuri sunt acceptabile si inerente fiecarei activitati, insa exista si riscuri inacceptabile.

Organizatiile creeaza sisteme de control intern care sa le permita pe cat posibil sa evite riscurile inacceptabile si sa mentina la un nivel de toleranta riscurile acceptabile in vederea atingerii obiectivelor acestora.

Toate entitatile isi propun administrarea riscurilor unele constituind in acest sens un Departament de management al riscului, altele lasand aceasta activitate in responsabilitatea managementului general si al managementului de linie si in supervizarea compartimentului de audit intern.

Un element fundamental al controlului intern al unei entitati il reprezinta existenta unui sistem de analiza si evaluare a riscurilor din cadrul acesteia.

Evaluarea riscurilor presupune definirea obiectivelor si conditiilor pe care trebuie sa le avem in vedere in special pentru gestionarea schimbarii, tinand cont de faptul ca oamenii se schimba, procedurile se schimba, organizarea si politicile se schimba, deci si riscurile se schimba si in consecinta controlul intern este condamnat la o permanenta adaptare la noile conditii.

Modul de gestionare a schimbarii este o preocupare constanta si a auditului intern care evalueaza fiabilitatea sistemelor de control intern si actualizeaza in permanenta geografia riscurilor entitatii, care poate fi un punct de plecare al oricarei analize ulterioare.

Evaluarea riscurilor presupune sa stim unde se gasesc riscurile in organizatie. Daca nu stim ce este riscant in entitatea noastra nu vom putea evalua si urmari adecvat aceste ricuri. Odata identificate, riscurile implica necesitatea existentei activitatilor de control pentru a putea fi stapanite sau cel putin diminuate in anumite limite tolerabile, ceea ce presupune comunicare si informare reciproca. Cea mai mare parte a riscurilor sunt obtinute numai din comunicare, care se poate realiza spre exemplu, in mod formal, prin documente, sau informal prin telefon.

Organizarea sistemului de controlul intern este raspunsul managementului la aparitia riscurilor asociate activitatilor ce se desfasoara in cadrul entitatilor;

(3). Activitatile de control sunt elemente specifice (politici, proceduri s.a.) care vor permite administrarea functiei/activitatii/ subactivitatii/ operatiei in conformitate cu obiectivele generale ale controlului intern.

Activitatile de control sunt de o mare diversitate in functie de entitate, de cultura organizationala a acesteia, de structura organizatorica, de numarul activitatilor etc. Acestea se efectueaza in intreaga organizatie, la toate nivelurile ierarhice si de catre toate functiile si sunt: indicatia, recomandarea, decizia, hotararea, sanctiunea, aprobarea, avizul, indrumarea, aprecierea, planul, programul, analiza, autorizatiile, verificarile, reconcilierile, revizuirea, siguranta activelor, segregarea sarcinilor, raportul, bugetul de venituri si cheltuieli, contul de profit si pierderi, bilantul contabil, darea de seama, instrumentele matematice, tehnicile informatice, tehnica PERT, cercetarea operationala, simularea, graficele, programarea liniara, drumul critic s.a.

Activitatile de control prezentate pot fi grupate, spre exemplu, in:

activitati de control poprii entitatii pentru evitarea riscurilor generale;

activitati de control poprii fiecarei functii, foarte numeroase si specifice;

activitati de control general valabil si unanim recunoscute in special din domenii conexe.

In consecinta, putem afirma ca nu exista un control intern/sistem de control intern in cadrul unei entitati daca nu exista la fiecare nivel ierarhic sau subfunctie/operatie, activitati de control in vederea evitarii riscurilor de la acele nivelurile.

Sistemul de control intern reprezinta cadrul in care functioneaza aceste activitati de control la dispozitia managementului, iar el trebuie sa aiba in vedere schimbarile si sa le anticipeze pentru realizarea caracterului previzional al controlului cu privire la evolutia entitatii.

Controlul intern este un proces realizat de personalul de la toate nivelurile, respectiv Consiliul de administratie, conducerea executiva si intregul personal.

Principalele obiective ale procesului de control intern sunt:

obiectivele operationale, care sa asigure folosirea eficienta a activelor entitatii si a altor resurse si protejarea impotriva pierderilor;

obiectivele informationale, care sa permita pregatirea de rapoarte la timp si de incredere, necesare pentru luarea deciziilor in cadrul organizatiei;

obiectivele de conformitate, care sa asigure ca intreaga activitate este condusa in conformitate cu legile si regulamentele aplicabile, cu cerintele de supervizare si cu politicile si procedurile interne.

In practica, pentru asigurarea unui nivel rezonabil al controlului intern exista urmatoarele tipuri de verificari:

Controalele preventive - efectuate pentru a evita evenimente nedorite;

Controalele de detectie - efectuate pentru a detecta si corecta evenimentele nedorite care au avut loc;

Controalele directive - efectuate pentru a produce un eveniment dorit;

Controale administrative - inventarierea patrimoniului, controlul valorilor din casierie etc.;

Controale contabile - realizate de specialisti cu ocazia indeplinirii atributiilor din fisa postului;

Controale fizice - controlul personalului s.a.

In prezent, in Romania, structura sistemului de control intern al unei entitati publice cuprinde:

controlul financiar preventiv - control ex-ante obligatoriu, stabilit prin lege, se efectueaza a priori asupra operatiilor patrimoniale ale entitatii publice si se realizeaza de persoane incadrate pe functii de controlor;

controlul legislativ de conformitate cu reglementarile legale, de baza si specifice - realizat de compartimentul juridic al entitatii publice;

controlul mutual - realizat, in plan orizontal, asupra lucrarilor primite si predate, efectuat in aval si in amonte; control efectuat pe baza reglementarilor procedurale ale operatiilor;

controlul ierarhic - realizat, in plan vertical, de diferite niveluri ierarhice;

controlul administrativ - efectuat prin organe specializate de control prin compartimente de inspectie;

controlul contabil - coordonat de contabilul-sef, constand in verificarea introducerii pe conturi a operatiilor, a cheltuielilor si veniturilor derulate in institutiile publice;

controlul de gestiune - avand ca obiect principal controlul patrimoniului, al existentei bunurilor si valorilor, este un control obligatoriu conform legii si se executa cel putin o data pe an;

controlul managerial - executat de managerii de la toate nivelurile si avand ca obiective aspecte generale privind organizarea si functionarea eficienta a entitatilor publice.

Activitatile de control, prezentate anterior, sunt la dispozitia managementului si ele trebuie coordonate, dezvoltate sau reduse, infiintate sau anulate, in functie de evolutia riscurilor din entitate. Toate activitatile de control constituie sistemul de control intern care cuprinde si auditul intern si care, pe baza procedurilor standardizate, evalueaza controlul intern si consiliaza managementul entitatii.

Riscurile majore cad in responsabilitatea grupului si acesta trebuie sa le gestioneze prin delegare. Astfel apare delegarea formala, cand sefului de compartiment i se specifica activitatile care trebuie sa le realizeze si pentru care trebuie sa-si stabileasca mijloacele prin care intelege sa le utilizeze.

Persoana responsabila la varf pentru sistemul de control intern din cadrul entitatii trebuie sa-si organizeze controlul intern, iar oamenii care sunt parte din acest sistem ii vor oferi feedback-ul sistemului daca acesta functioneaza bine, ceea ce se va realiza prin adrese si rapoarte scrise.

Din practica rezulta ca nu totul se poate pune pe hartie si chiar daca s-ar pune, ar fi ceva birocratic, care ar ocupa mult timp si apoi trebuie sa avem in vedere permanenta schimbare a mediului intern si extern, existenta unei slabiciuni in procedura sau a unei eventuale omisiuni care impun actualizarea permanenta a acestora. Realizarea acestor aspecte va depinde in mare masura de cultura organizatiei si de modul de functionare a acesteia. In practica, organizarea sistemului de comunicare se materializeaza prin eventuale sedinte de analiza in urma carora se actualizeaza procedurile.

Procedura este succesiunea pasilor care trebuie urmati pentru realizarea unei activitati, iar procesul este modul concret in care se desfasoara lucrurile. Spre exemplu: Daca constatati lipsa in gestiune, procedati astfel , iar daca este plus in gestiune procedati in alt fel

In mod similar avem: formal-informal. Pentru lucrurile de baza sunt necesare aprobari formale, dar nu toate lucrurile pot fi formalizate. Ele totusi raman la fel de importante. Spre exemplu: Un sef formal va primi numai ce este aprobat, pe cand un sef lider va asculta si alte probleme personale. Seful formal, in lipsa sefului, va spune, dupa trei zile: cladirea a ars, seful informal va fi propus solutii inainte de a se intampla evenimentul. Alt exemplu: Legea prevede sa conducem cu 50 km/ora in sat sau oras. Dar daca am sotia in masina, care este aproape sa nasca atunci trec si pe rosu. Prin analogie, intr-o organizatie se poate intampla ceva la limita legalitatii sau chiar ilegal, dar in final va fi apreciat ca a fost mai bine ca s-a intamplat asa, decat sa nu fi actionat in niciun fel.

Oricat de bun ar fi sistemul formal, el nu este de ajuns, deoarece oricare ar fi situatia riscurile tot apar si din practica, rezulta clar ca acestea nu sunt acoperite doar prin proceduri formale;

(4). Informatiile si comunicarea

Informatiile relevante sunt informatiile pertinente, cheie care de regula ne parvin la timp si intr-o forma convenabila. Acestea trebuie identificate, colectate si comunicate intr-o forma si intr-un calendar de timp care sa dea oamenilor posibilitatea sa-si indeplineasca responsabilitatile. Informatia nenecesara trebuie inlaturata, iar informatia critica trebuie analizata.

Sistemele de informare produc rapoarte continand informatii operationale, financiare si de conformare. Aceste informatii fac posibile conducerea si controlul afacerii. De asemenea, se ocupa si cu evenimente, activitati si conditii externe necesare pentru luarea unei decizii de afaceri pe baza de informatie si pentru raportarea externa (spre exemplu, indicele increderii consumatorilor, indicele productiei industriale etc).

Comunicarea efectiva trebuie sa aiba loc intr-un sens mai larg si sa implice toate activitatile si toate structurile organizatiei.

Din practica, se impune ca intreg personalul entitatii sa primeasca un mesaj clar din partea conducerii cu privire la necesitatea luarii in serios a responsabilitatilor ce ii revin, dar si de intelegere a propriului rol in sistemul de control intern si legaturile activitatilor individuale cu munca altora. In acelasi timp este necesar sa existe un mijloc de comunicare a informatiilor semnificative superiorilor ierarhici.

Comunicarea efectiva va fi completata cu informatii privind tertii, respectiv: clientii, furnizorii, autoritatile locale si centrale, actionarii s.a. Pentru aceasta trebuie sa ne informam reciproc, avand in vedere ca cea mai mare parte a riscurilor sunt obtinute numai din comunicare, care se realizeaza la telefon sau printr-un raport formal.

Controlul intern are relatii cu cei controlati prin intermediul informatiilor si comunicatiilor, completate de referinte privind mediul extern. Toate acestea ajung la varf iar managementul le monitorizeaza si da dispozitii pentru realizarea lor.

Fiecare organizatie este creata pentru a atinge anumite obiective. Odata creata, organizatia incepe sa traiasca de una singura prin implementarea de politici si proceduri specifice, numai daca are informatii de jos sau din lumea exterioara, altfel ajunge intr-o stare de izolare.

Din cele prezentate, intelegem ca nu exista proceduri specifice perfecte si chiar daca ar exista ele nu au nicio valoare fara o comunicare eficienta, iar daca nu privim la lumea exterioara, vom oferi serviciile de ieri si nu pe cele care vor fi maine.

Sistemul de control intern trebuie sa ofere serviciile care vor fi necesare si nu pe cele care au fost si prin analogie, auditorii trebuie sa aiba in vedere lucrurile majore, nu ora venirii, data predarii raportului sau volumul cheltuielilor.

In consecinta, un control intern bun trebuie sa priveasca la lumea inconjuratoare, sa aiba semnale de jos si din afara, sa-si cunoasca obiectivele care trebuie actualizate periodic si apoi sa se organizeze pentru a stapani riscurile. Riscurile majore sunt monitorizate de managerul general, dar cad si in responsabilitatea grupului care trebuie sa le gestioneze prin delegare formala, ceea ce presupune specificarea activitatilor care revin managementului de linie si mijloacele prin care acesta intelege/crede ca si le va indeplini.

Monitorizarea

In practica s-a dovedit ca managerii de la toate nivelurile, mai ales cei care nu au proceduri formalizate sau acestea nu sunt actualizate, fac de regula control intern fara sa realizeze acest lucru. Astfel, fiecare responsabil, oriunde s-ar afla, se organizeaza pentru a-si conduce activitatea prin: definirea sarcinilor fiecaruia, stabilirea instrumentelor si tehnicilor de lucru, pregatirea profesionala, dotarea cu echipamente si sisteme electronice, supervizarea activitatii personalului s.a.

In acest fel, responsabilul realizeaza un sistem de control intern pentru functia pe care o administreaza, pe care il actualizeaza sistematic in functie de evolutia riscurilor specifice si generale.

Recomandarile IIA, dupa 2002, privind practica recunoscuta in domeniu, subliniaza in mod expres faptul ca "implementarea controlului intern este problema managementului".

Managerii care ar intentiona sa-si subcontracteze propriul control intern unor terti nu isi vor putea indeplini obligatiile ce le revin. In primul rand, auditorii interni nu pot sa se substituie managerilor pentru implementarea controlului intern, iar in al doilea rand, acestia nu isi vor putea desfasura activitatea de consiliere a managerilor si evaluarea sistemului de control intern daca acestia nu au fost implicati in crearea si implementarea lui. Desigur, acest lucru nu inseamna ca managerii nu pot apela la consiliere externa din partea unor specialisti care sa-i ajute in conceperea si imbunatatirea propriilor controale interne.

Monitorizarea este un proces care evalueaza calitatea performantei sistemului in timp si este realizata prin activitati de supervizare continua, evaluari separate sau prin combinarea celor doua.

Monitorizarea continua se realizeaza in cursul efectuarii operatiunilor si include managementul, activitatile de supraveghere si alte actiuni pe care le intreprinde personalul pentru a-si indeplini propriile sarcini. Aria si frecventa evaluarilor separate vor depinde de evaluarea riscurilor si de eficacitatea activitatilor de monitorizare continua.

Deficientele constatate in sistemul de control intern trebuie raportate superiorilor ierarhici, iar problemele importante trebuie raportate directorului, nu Consiliului de administratie.

Componentele Modelului COSO, prezentat mai sus, creeaza o sinergie care formeaza un sistem integrat ce reactioneaza in mod dinamic la conditiile schimbatoare ale mediului extern.

Modelul COSO este destul de dinamic prin faptul ca el cuprinde cele mai multe aspecte ale structurilor si proceselor care trebuie sa fie implementate pentru a asigura controlul.

In practica, este dificil de recunoscut modul in care un consiliu de administratie declara ca si-a verificat sistemele proprii de control intern fara a face referire la un model comprehensiv de criterii de evaluare a acestor controale la nivel corporativ. In acest sens, COSO propune retoric intrebari Consiliului de administratie[9] cu privire la cele cinci componente ale sale si anume:

a.      Mediul de control - Exista elemente fundamentale adecvate pentru implementarea sistemului de control intern in organizatie?

b.     Evaluarea riscurilor - Sunt intelese toate riscurile care ne pot impiedica sa detinem controlul asupra organizatiei?

c.      Activitati de control - Exista implementate activitati/sisteme de control adecvate pentru a monitoriza riscurile din cadrul organizatiei?

d.     Informatia si comunicarea - Mesajul de control este transmis catre nivelurile inferioare ale organizatiei, iar problemele asociate si ideile comunicate catre nivelul superior?

e.      Monitorizarea - Suntem capabili sa monitorizam modul in care organizatia este controlata?

Daca putem evalua calitatea raspunsurilor la aceste cinci intrebari, atunci suntem pe calea de atingere a obiectivelor controlului intern si, demonstrand aceasta tuturor partilor implicate, putem declara ca preocuparile lor legate de afaceri sunt bine administrate, desi nu exista o garantie totala.

2. Modelul COCO

2.1. Consideratii generale

In noiembrie 1995 o organizatie canadiana[10] propune un nou model, bazat pe gruparea Criteriilor de Control - CoCo , care defineste controlul ca fiind reprezentat de structura organizatiei si include resursele, sistemele, procedeele, structurile, cultura organizatiei si alte elemente care, puse impreuna sustin oamenii in indeplinirea obiectivelor, obiective care fac parte din urmatoarele categorii:

eficacitatea si eficienta operatiunilor;

siguranta raportarii interne si externe;

conformarea cu legile si reglementarile aplicabile si cu politicile interne.

Cadrul de control dezvoltat de CoCo[13] este adresat consiliilor de directori, managementului general si managementului de linie, proprietarilor, furnizorilor precum si auditorilor. Acest cadru are o abordare conceptuala mult mai larga decat cunoscutul cadru COSO si prefera termenul "control" in locul controlului intern.

Cadrul de control CoCo[14] este un mecanism puternic, care permite unei organizatii sa se concentreze asupra structurilor-cheie, valorilor si proceselor care impreuna formeaza conceptul de control, in care oamenii sunt parte a procesului. Criteriile de control reprezinta pentru echipele de control si intregul personal o modalitate de intelegere dinamica a principiilor controlului si de aceea reprezinta un cadru de control mai avansat.

In conceptia Modelului CoCo controlul intern este reprezentat de resursele organizatiei, procedee, instrumente, sarcinile, cultura si tot ceea ce ne putem imagina, adica tot ceea ce putem intreprinde pentru a atinge obiectivele, dar acestea nu vor fi atinse niciodata, datorita relativitatii. Ei prezinta grafic aceste lucruri sub forma unui pentagon in care mentioneaza calitatile pe care trebuie sa le avem pentru ca fiecare de la nivelul sau sa stapaneasca bine activitatile, asa cum rezulta din figura 3.3 - Modelul CoCo.

Una dintre prerogativele importante ale controlului este aceea de a asigura fiabilitatea si intr-o anumita masura garantia organizatiei in atingerea obiectivelor sale.

Recomandarile modelului canadian doresc sa favorizeze perfectionarea controlului si depasesc cu mult cadrul unei analize a controalelor contabile interne traditionale si stabilesc criterii privind eficienta controlului intr-o organizatie. Recomandarile favorizeaza un model pe care toate persoanele din organizatie il pot utiliza pentru a-si implementa, evalua si modifica propriul control intern. Cu toate acestea, recomandarile nu favorizeaza directive detaliate cu privire la modul de concepere si functionare a unei organizatii.

Un control eficace contribuie la succesul unei organizatii in diverse modalitati:

persoanele isi pot exprima opiniile si utiliza propria lor creativitate, gestionand riscul unor actiuni inadecvate;

persoanele dispun de supletea necesara pentru a se adapta schimbarilor, tinand cont in acelasi timp de riscurile cunoscute;

persoanele dispun de informatii fiabile pe care sunt in masura sa le utilizeze la momentul oportun, atunci cand este cel mai potrivit pentru organizatie;

organizatia isi poate imbunatati eficacitatea si eficienta si poate creste increderea tertilor.

Organizatia cuprinde persoanele/salariatii care lucreaza pentru atingerea obiectivelor acesteia norme, regulamente sau decizii ale conducerii care stabilesc atributiile intregului personal si ceea ce face parte din organizatie sau ce este exclus din aceasta.

Organizatia poate fi o entitate juridica, un organism public ori o subdiviziune a unei organizatii care produce elementele necesare realizarii obiectivelor propuse.

Conform principiilor Modelului CoCo, cea mai mica unitate a unei organizatii este persoana, care indeplineste sarcini bazandu-se pe intelegerea scopului acestora, si anume, obiectivul care trebuie atins, sprijinindu-se pe capacitatea sa, competentele ce-i revin, informatii, resurse s.a. Pentru executarea corecta a sarcinilor ce le revin, persoanele trebuie:

sa cunoasca obiectivele;

sa se angajeze;

sa aiba capacitatea rezolvarii sarcinilor;

sa supravegheze mediul extern pentru a invata sa-si realizeze sarcinile cat mai bine si pentru a identifica schimbarile ce se impun;

sa-si monitorizeze performantele.

Modelul de control CoCo se aplica in egala masura atat unei echipe, cat si unui grup de lucru. Elemente esentiale ale controlului in orice organizatie sunt:

scopul,

angajamentul,

capacitatea,

monitorizarea,

invatarea.

Controlul este constituit din elementele unei organizatii, respectiv resursele, sistemele, procesele, cultura, structura si sarcinile care, in mod colectiv, sprijina persoanele sa realizeze obiectivele acesteia.

Pentru a intelege natura controlului sunt importante urmatoarele concepte[15]:

a) controlul este realizat de persoane din toata organizatia, inclusiv Consiliul de administratie, conducerea si ceilalti membri ai personalului.

Persoanele sunt responsabile cu conceperea, implementarea, monitorizarea si pastrarea controlului, afectat de numerosi factori organizationali care influenteaza motivatia si comportamentul persoanelor;

b) persoanele care sunt responsabile, individual sau in echipa, de realizarea obiectivelor, trebuie sa fie responsabile si de eficacitatea controlului care contribuie la realizarea acestor obiective.

Aceste persoane, fie ca sunt sau nu manageri, au datoria de a evalua eficacitatea controlului in ceea ce priveste sarcinile, echipa sau unitatea de lucru de care sunt responsabile si de a comunica rezultatele acestor evaluari persoanelor carora trebuie sa le raporteze;

c) organizatiile se afla intr-un proces permanent/constant de interactiune si de adaptare.

Organizatiile se adapteaza in mod constant in functie de schimbarile care se produc in mediul extern (sistemul bancar, sistemul legislativ, clienti, furnizori, alti terti etc.) si in mediul intern (persoane, prioritati, norme si regulamente interne etc.). Pentru eficacitatea controlului, elementele acestuia dintr-o organizatie trebuie sa corespunda obiectivului vizat, sa fie coerente si actualizate sistematic. Aceasta inseamna ca daca dorim modificarea unui aspect oarecare din cadrul organizatiei trebuie sa tinem cont si de consecintele pe care le pot avea acestea asupra controlului;

d) putem astepta de la control sa furnizeze o asigurare rezonabila, dar nu o asigurare absoluta.

Chiar atunci cand am dat dovada de prudenta si de intelegere o asigurare absoluta nu este posibila din doua motive fundamentale, si anume:

In primul rand, exista limite inerente controlului, legate de posibilitatea aparitiei unor erori de judecata in luarea deciziilor, a producerii unor disfunctii atribuite erorilor umane, intelegerilor secrete ale personalului care pot conduce la esecul activitatilor de control sau conducerea sa treaca peste control. Controlul poate permite reducerea numarului de erori si de disfunctionalitati, dar nu poate furniza asigurarea absoluta ca nu se va produce niciuna dintre acestea.

In al doilea rand, putem si trebuie sa tinem cont de echilibrul cost-beneficii la crearea controlului in cadrul organizatiilor. Costul controlului trebuie sa fie pus in relatie cu beneficiile oferite, inclusiv cu reducerea riscurilor vizate. Deciziile luate la crearea controlului necesita acceptarea anumitor niveluri de riscuri, rezultatele sau actiunile neputand fi anticipate;

e) un control eficace necesita mentinerea echilibrului intre:

autonomie si unitate. Pentru a pastra acest echilibru, putem fi adesea obligati sa trecem de la centralizare la descentralizare si de la impunerea de constrangeri pentru motive de coerenta la acordarea unei libertati de actiune.

situatia de fapt si adaptarea la schimbari. Pentru a pastra acest echilibru putem fi adesea obligati, pe de o parte, sa cerem mai multa coerenta in scopul eficientei si pe de alta parte sa acordam o flexibilitate mai mare pentru a permite adaptarea la schimbari.

Figura 3.3. Modelul CoCo

Evaluarea controlului este in mod necesar e evaluare, chiar daca partiala, a gestiunii unei organizatii. Insa, controlul nu este singurul element al gestiunii unei organizatii si de aceea el nu recomanda obiectivele ce trebuie stabilite, ci favorizeaza fiabilitatea in realizarea acestora, astfel:

Poate contribui la asigurarea ca persoanele insarcinate cu monitorizarea si luarea deciziilor dispun de informatii corecte si credibile, care sa permita urmarirea rezultatelor actiunilor sau a deciziilor si de a raporta cu privire la acestea;

Nu poate impiedica luarea deciziilor strategice si operationale care, mai tarziu, se vor dovedi a fi gresite, deoarece deciziile legate de actiune si de modul de a actiona sunt aspecte de gestiune, care nu fac parte din control.

Recomandarile Modelului CoCo se intentioneaza a fi utile membrilor Consiliului de administratie, managerilor si altor persoane care sunt responsabile cu controlul unei organizatii sau al unei parti dintr-o organizatie. De asemenea, se va putea utiliza in evaluarea eficacitatii sistemului de control intern dintr-o organizatie.

Recomandarile se aplica tuturor tipurilor de organizatii, inclusiv organismelor cu scop lucrativ din sectorul privat si din cel public, organismelor fara scop lucrativ, guvernelor si administratiilor locale, ca si celorlalte organisme publice.

In plus, ele se aplica in acelasi mod ansamblului sau unei parti a unei organizatii, spre exemplu: departament, grup, echipa sau individ si unui proces de functionare din cadrul acesteia, spre exemplu prestarea unui serviciu.

In acelasi timp, recomandarile se aplica si la entitatile cu diferite moduri de organizare a gestiunii, respectiv centralizate/descentralizate.

Recomandarile lasa o deplina libertate modului de implementare al controlului, in sensul ca ele nu prevad politici sau proceduri detaliate. Organizatiile vor acorda atentie diferita fiecarui criteriu prevazut de Modelul CoCo. Astfel, organizatiile mici nu au atata nevoie de mecanisme de control structurate, deoarece comunicarile sunt mai putine, deci mai directe. Adeseori, organizatiile acorda mai multa importanta aderarii la valorile care-i motiveaza pe voluntari, decat la activitatile de control standard, chiar daca acestea au locul lor in cadrul organizatiei. De asemenea, in cadrul unei organizatii, importanta criteriilor difera de la un comportament la altul si se pot schimba in timp.

Intregul personal al organizatiei participa la control si este responsabil de acesta. Prin deciziile si actiunile sale, Consiliul de administratie si managementul dau tonul care orienteaza intreaga activitate a organizatiei.

Consiliul de administratie are responsabilitatea gestionarii organizatiei, inclusiv a functiilor de control in urmatoarele domenii:

aprobarea si supravegherea respectarii misiunii, viziunii si strategiei organizatiei;

aprobarea si supravegherea valorilor etice ale organizatiei;

supravegherea controlului de gestiune;

evaluarea conducerii;

supravegherea comunicarilor externe;

aprecierea eficacitatii consiliului.

Responsabilitatea de control exista in intreaga organizatie, in relatie cu obligatia de a raporta cu privire la atingerea obiectivelor. Aceasta responsabilitate poate fi explicita, dar se poate intampla si sa nu fie, in special in domeniile in care controlul nu este perceput ca fiind distinct fata de obligatia de a raporta cu privire la performanta. Astfel, un director de uzina poate avea obiective de productie si de eficienta. Un control eficace il va ajuta sa se asigure ca obiectivele sunt realizate, insa este foarte posibil ca responsabilitatea sa de control sa nu fi fost enuntata in mod expres, deoarece s-a considerat ca aceasta era implicita.

Membrii conducerii participa la control si au responsabilitatea de a raporta cu privire la acesta; prin urmare, ei trebuie sa evalueze functionarea generala. In functie de marime si de natura organizatiei, conducerea poate decide sa procedeze la evaluare sau sa se bazeze pe un serviciu intern specific sau pe un tert independent pentru indeplinirea unei parti din aceasta munca.

2.2. Structura Modelului COCO

Modelul de control reprezinta un mijloc de a intelege elementele majore ale controlului, inclusiv relatiile importante care exista intre aceste elemente.

Modelul CoCo este definit prin: definitia modelului, criterii de control, gruparea acestor criterii.

In continuare, prezentam cele 20 de criterii de control grupate pe cele patru elemente ale Modelului CoCo:

A. Scop

Criteriile privind scopul contribuie la orientarea organizatiei, care se refera la: obiective (inclusiv misiunea, viziunea si strategia); riscuri si oportunitati; politici; planificare; scopuri si indicatori de performanta, iar acestea sunt:

A1 - Trebuie sa stabileasca si sa se comunice obiective.

A2 - Riscurile interne si externe importante carora organizatia le face fata in urmarirea obiectivelor trebuie sa fie identificate si evaluate.

A3 - Trebuie sa fie stabilite, comunicate si puse in practica politici care vizeaza facilitarea realizarii obiectivelor organizatiei si gestiunea riscurilor carora aceasta le face fata, pentru ca persoanele sa inteleaga ceea ce se asteapta de la ele si sa cunoasca limitele libertatii lor de actiune.

A4 - Trebuie sa se stabileasca si sa se comunice planul pentru ghidarea eforturilor in atingerea obiectivelor organizatiei.

A5 - Obiectivele si planurile conexe trebuie sa includa scopuri si indicatori de performanta masurabili.

B. Angajament

Criteriile privind angajamentul contribuie la afirmarea identitatii si valorilor organizatiei si se refera la valorile etice, inclusiv la integritatea, la politicile in materie de resurse umane, la raspunderile, responsabilitatile si obligatia de raportare, la increderea reciproca, si sunt:

B1 - In intreaga organizatie trebuie sa fie definite, comunicate si puse in practica valori etice, inclusiv integritatea.

B2 - Politicile si practicile in materie de resurse umane trebuie sa fie conforme valorilor etice ale organizatiei si sa fie coerente cu obiectivele acesteia.

B3 - Puterile, responsabilitatile si obligatia de a raporta trebuie sa fie clar definite si conforme cu obiectivele organizatiei, pentru ca deciziile si actiunile sa fie luate de persoanele potrivite.

B4 - Trebuie sa se favorizeze un climat de incredere reciproca, pentru a facilita circulatia informatiei intre persoane si pentru a le ajuta pe acestea sa contribuie in mod eficace la realizarea obiectivelor organizatiei.

C. Capacitate 

Criteriile privind capacitatea contribuie la afirmarea componentei organizatiei si se refera la cunostinte, competente si instrumente, la procese de comunicare, informatii, coordonare activitati de control si sunt:

C1 - Persoanele trebuie sa aiba cunostintele, competentele si instrumentele necesare pentru a contribui la realizarea obiectivelor organizatiei.

C2 - Procesele de comunicare trebuie sa sustina valorile organizatiei si realizarea obiectivelor sale.

C3 - Trebuie sa se defineasca si sa se comunice in termene acceptabile informatii pertinente si suficiente, pentru a le permite persoanelor sa-si indeplineasca responsabilitatile care le sunt incredintate.

C4 - Deciziile si actiunile diverselor parti ale organizatiei trebuie sa fie coordonate.

C5 - Activitatile de control trebuie sa fie concepute astfel incat sa faca parte integranta din organizatie, tinand cont de obiectivele acesteia, de riscurile care ar putea afecta realizarea acestor obiective si de interrelatia dintre elementele controlului.

D. Monitorizare si invatare

Criteriile privind monitorizarea si invatarea contribuie la afirmarea evolutiei organizatiei si se refera la supravegherea mediului extern si a mediului intern, monitorizarea performantei, revizuirea ipotezelor, reevaluarea nevoilor de informare si a sistemelor conexe, la procesul de monitorizare, evaluarea eficacitatii controlului si sunt:

D1 - Mediul extern si mediul intern trebuie sa fie supravegheate pentru a obtine informatii ce ar putea semnala necesitatea reevaluarii obiectivelor organizatiei sau controlului in cadrul acesteia.

D2 - Performanta trebuie sa faca obiectul unei monitorizari cu ajutorul scopurilor si indicatorilor definiti in obiectivele si planurile organizatiei.

D3 - Ipotezele inerente obiectivelor organizatiei trebuie sa fie revizuite in mod periodic.

D4 - Nevoile de informare si sistemele conexe trebuie sa fie reevaluate atunci cand se schimba obiectivele sau atunci cand sunt depistate deficiente in comunicarea informatiilor.

D5 - Trebuie sa se stabileasca si sa se aplice proceduri de monitorizare, pentru a se asigura ca se realizeaza schimbarile sau actiunile   corespunzatoare.

D6 - Conducerea trebuie sa evalueze periodic eficacitatea controlului in organizatie si sa comunice rezultatele evaluarii sale persoanelor fata de care are obligatia sa raporteze.

Modelul de control CoCo prezentat sintetic in aceste recomandari constituie un mod util si global de a privi controlul, de aceea in activitatea practica trebuie sa dam dovada de creativitate in interpretarea si aplicarea recomandarilor. Organizatiile pot adopta acest model sau il pot folosi pentru a elabora si/sau modifica propriul model.

Criteriile de control, grupate pe cele patru elemente, pun in lumina anumite aspecte ale controlului comparativ si ele pot fi grupate in functie de particularitatile organizatie, insa este important ca toate criteriile sa fie luate in considerare. 

Criteriile de control ne permit sa intelegem controlul din cadrul unei organizatii si sa-i judecam eficacitatea, de aceea ele sunt formulate astfel incat sa poate fi aplicabile in diferite contexte.

Intr-o organizatie, oricare ar fi obiectivul urmarit, eficacitatea controlului poate fi evaluata cu ajutorul acestor criterii.

Initiatorii modelului CoCo precizeaza ca criteriile nu constituie reguli minime a caror aplicare este necesara si suficienta, ci va trebui sa dam dovada de multa ratiune si echilibru pentru a evalua eficacitatea controlului din cadrul acesteia. In acest sens, criteriile trebuie interpretate in functie obiectivele specifice ale entitatii (spre exemplu: in cadrul unui obiectiv al unui departament de relatii cu clientii, criteriul cu privire la monitorizarea performantei ar putea fi constituit de rapiditatea si exactitatea executarii comenzilor, in perspectiva comentariilor clientilor). Toate criteriile sunt pertinente pentru oricare organizatie, dar intr-o situatie data unele pot fi mai importante, deci vor fi preferate inaintea altora.

Criteriile de control sunt interrelationale, asa cum sunt elementele sistemului de control dintr-o organizatie, de aceea eficacitatea controlului nu poate fi judecata evaluand fiecare criteriu in mod izolat.

In continuare, prezentam evaluarea eficacitatii controlului intern prin enuntarea criteriilor sub forma de intrebari care corespund particularitatilor sale, dintr-o organizatie, conform modelului CoCo, sub forma unui chestionar Lista de verificare, care ar trebui urmate de intrebarea: "De unde stim acest lucru?" pentru a identifica si analiza procesul de control, astfel:

3. Comparatie intre modelele COSO si CoCo

Documentul intitulat "Controlul intern - Cadru Integrat", elaborat de COSO, este in curs de a deveni un text de lege pentru controlul intern in Statele Unite ale Americii.

Recomandarile enuntate in documentul CoCo se bazeaza pe conceptele exprimate in documentul COSO. Chiar daca cele doua documente acopera in mare parte aceleasi domenii si concorda in mare masura, ele comporta si unele diferente in anumite dimensiuni.

Consiliul pentru elaborarea criteriilor de control ale documentului CoCo considera ca a reusit sa faca astfel incat organizatiile care se conformeaza recomandarilor pe care le-a stabilit sa tina cont in acelasi timp si de directivele documentului COSO.

In sprijinul acestei afirmatii prezentam in continuare, lista criteriilor stabilite prin documentul CoCo, grupate in structura celor cinci componente ale documentului COSO.

Modelul CoCo este considerat de specialisti ca fiind modelul slab al controlului, desi este mult mai formalizat comparativ cu COSO.

La baza acestui model sta teoria potrivit careia putem avea un control eficient doar daca toti membrii organizatiei:

inteleg scopul organizatiei;

cunosc obiectivele si resursele necesare pentru atingerea acestora;

au capacitate de implicare si comunicare a obiectivelor;

stapanesc modalitatile de transmitere a informatiilor in toate structurile sociale;

isi monitorizeaza activitatile si au dorinta de invatare.

Observam ca acest model (slab) al controlului utilizeaza experienta pentru a invata lucrurile, altfel:

COSO prin monitorizare si revizuire, iar

CoCo prin monitorizare si invatare.

Modelul de control CoCo are in vedere ca fiecare organizatie sa influenteze personalul prin invatare. Dar acest model induce o cultura organizationala lipsita de vina. Astfel o greseala efectuata este considerata utila pentru invatare si nu presupune aplicarea de sanctiuni.

Pentru manageri aceasta este o problema mai delicata. De aceea aici se impune sa vorbim despre atitudine si despre schimbarea mentalitatii oamenilor.

Managementul trebuie sa fie promotorul schimbarii, chiar adeptul schimbarii propriei mentalitati, sa permita transparenta si sa-si asume responsabilitatile pentru riscurile din entitatile lor, conform conceptiei conducerii corporatiste. Daca managerii nu primesc aceste lucruri auditorii au datoria sa devina promotorii schimbarii. Atunci cand managerii sunt persoane inchise auditorii interni vor proceda astfel incat schimbarea sa se produca in mod global. Spre exemplu, stilul de a lasa impresia acceptarii de comisioane sau chiar de a lua mita se poate schimba prin presiunea tuturor celor implicati. Stoparea acestei practici este dificila, pare perturbatoare pentru sistem, pe termen scurt, dar va da rezultate pe termen lung.

Autorii considera ca, in practica, cea mai buna solutie este sa aplicam, in organizatiile noastre, elementele care ne avantajeaza din ambele modele

4. Alte modele de control

Modelele COSO si CoCo sunt cadre de control recunoscute international si ele sa constituie baza pentru organizatii in elaborarea propriilor sisteme de control intern.

Totusi, exista si alte surse de informatii ce pot asista organizatiile in intelegerea si reorganizarea controlului intern, respectiv:

Standardul de control COBIT - Obiectivele de control pentru informatii si sisteme tehnologice, care cuprinde securitatea si controlul in sistemele de tehnologia informatiei (IT).

COBIT cuprinde patru componente principale, respectiv: planificarea si organizarea; achizitiile si implementarea; furnizarea si sustinerea; monitorizarea, care la randul lor sunt structurate pe procese de control.

Comitetul BASEL de verificare bancara, care stabileste sarcinile controlorilor interni pentru organizatiile bancare. Cadrul pentru sistemele de control intern din organizatiile bancare (1998) a asigurat o buna platforma pentru indrumarea acestor organizatii in domeniul gestionarii riscurilor operationale.

In Romania, in cadrul MEF, UCASMFC a elaborat un model general de control intern pe baza modelului COSO-ERM, care cuprinde intr-o reprezentare grafica tridimensionala legaturile dintre componentele acestora, prezentata in figura 3.4 - Modelul general de control managerial.

Modelul elaborat de UCASMFC este realizat pe baza standardelor de control intern[16] si constituie un ansamblu de reguli minimale de management pentru entitatile publice. In acelasi timp, modelul reprezinta si criteriile in functie de care se evalueaza calitatea sistemelor de control intern care se dezvolta in cadrul entitatilor publice.

Luand in considerare ca orice sistem de control intern este subordonat realizarii obiectivelor organizatiei, se impune evidentierea legaturilor[17] existente intre:

• cele trei mari categorii de obiective generale

eficacitatea si eficienta functionarii activitatilor;

fiabilitatea informatiilor;

conformitatea cu legile, regulamentele si politicile interne, si

• cele cinci elemente componente ale controlului intern in cadrul carora sunt grupate standardele de management si control intern si anume:

mediul de control in care sunt grupate standarde privind: etica, integritatea, atributii, functii, sarcini; competenta, performanta; functiile sensibile; delegarea; structura organizatorica;

Figura Modelul general de control managerial

performantele si managementul riscului cuprinzand standarde referitoare la: obiective, planificare, coordonare; monitorizarea performantelor; managementul riscului; ipoteze, reevaluari;

informarea si comunicarea continand urmatoarele standarde: informarea, comunicarea, corespondenta; semnalarea neregularitatilor;

activitati de control reunind standardele: proceduri, separarea atributiilor; supravegherea; gestionarea abaterilor; continuitatea activitatii; strategii de control; accesul la resurse;

auditarea si evaluarea din care fac parte standardele: verificarea si evaluarea controlului; auditul intern.

Cubul din reprezentarea grafica, din figura 2.4, cuprinde in total 60 de celule respectiv 3 x 5 x 4 (lungimea x latimea x inaltimea) pentru calculul volumului paralelipipedului.

Analiza detaliata a acestei reprezentari grafice ne prezinta:

blocurile verticale corespunzatoare obiectivelor A1, A2 si A3, grupeaza cele trei mari categorii de obiective si se pot detalia pe obiective de rangul doi sau trei;

sectiunile orizontale corespunzatoare fiecarui element-cheie al controlului intern B1, B2, B3, B4 si B5, contin cele 25 de standarde de control intern structurate pe componentele Modelului COSO;

sectiunile verticale, corespunzatoare compartimentelor sau activitatilor entitatii C1, C2, C3 si C4, exemplificativ, se pot detalia pe componentele structurii organizatorice.

Analiza Modelului de control managerial se realizeaza pe celulele elementare ale acestuia in mod individual. Spre exemplu, celula elementara A3-B3-C3 se refera la CONFORMITATEA cu cadrul normativ a ACTIVITATII DE CONTROL din structura ACTIVITATII 2.

Reorganizarea sistemului de control intern, in baza cadrului controlului intern legiferat in Romania[18], nu va avea sanse de reusita decat prin constientizarea intregului personal din organizatie, deoarece acesta, in totalitate, este implicat in proces.

Daca, in cadrul organizatiilor, personalul, care este implicat intr-un fel sau altul in activitatile de control, ar avea o intelegere asupra controlului intern, atunci ar fi motivat in implementarea acestuia. Dar, neexistand o cultura a respectului fata de activitatile de control si audit, in cadrul organizatiilor, s-a ajuns implicit la un exces de reglementare si din aceste considerente se impun actiuni de constientizare a personalului de executie, dar mai ales de conducere.

Activitatile de constientizare a personalului privind controlului intern, se realizeaza prin cursuri, seminarii, ateliere de lucru, echipe mixte de profesionisti din cadrul diferitelor niveluri ierarhice ale aceleiasi entitati pentru derularea unor misiuni interdepartamentale s.a., care trebuie sa fie concepute astfel incat sa se adapteze la necesitatile organizatiei si la particularitatile personalului acesteia si, de asemenea, printr-o atitudine pozitiva, atat a consiliului de administratie, cat si a managementului general si a celui de linie.

Implicarea acestor forte in intelegerea sistemelor de control intern si in implementarea acestuia in propria organizatie, pornind de la evaluarea riscurilor, reprezinta o buna sansa ca organizatiile sa imputerniceasca oamenii, care sa-si asume responsabilitati pentru reorganizarea propriului sistem de control intern, ce va avea ca principal scop protejarea si promovarea organizatiei.

Intelegerea conceptului de control intern, coroborat cu un sistem adecvat de guvernanta corporativa si sustinut de un mediu de control robust, poate dezvolta intr-o organizatie o politica de control eficienta, care se va constitui ca parte a politicii de gestionare a riscurilor acesteia.

Rolul de consultanta al auditului intern consta in asistarea organizarii managementului riscului si implementarea sistemului propriu de control intern adecvat, iar rolul de asigurare al auditului intern poate merge mai departe pentru oferirea unei asigurari rezonabile managementului cu privire la functionalitatea sistemului de control intern implementat si beneficiile acestuia pentru organizatie.